Com o crescente número de ataques cibernéticos e a vigência da LGPD, conhecer os 5 pilares da segurança da informação pode transformar o seu negócio e melhorar a reputação da sua empresa.
Se você acompanha o mundo empresarial ou da TI, deve ter observado que o investimento em segurança da informação tem se tornado prioridade para os gestores.
No entanto, para investir em práticas e serviços que buscam essa proteção dos dados, é preciso entender os conceitos e parâmetros que estão por traz dessas medidas e serviços. E é nesse ponto que entram os pilares.
Os 5 pilares funcionam como critério para as medidas de segurança da informação, ou seja, norteiam todas as práticas e normas que visam a proteção dos dados.
E, diferente do que você possa estar pensando, os pilares não norteiam apenas as práticas digitais. A segurança da informação é crucial em todos os âmbitos.
Caso já tenha parado para observar o dia a dia dentro de uma empresa, provavelmente deve ter reparado que o tempo todo as pessoas estão lidando com informações e, diversas vezes, elas são registradas em papéis ou apenas compartilhadas durante uma conversa.
Esse tipo de situação ilustra bem como práticas de segurança são necessárias dentro e fora dos meios digitais. Em uma simples conversa entre colaboradores pode ocorrer a quebra de confidencialidade de algum dado ou até mesmo o vazamento de informação empresarial.
Por isso, é essencial compreender cada pilar antes de instituir políticas de segurança da informação.
Para entender mais sobre o assunto, basta continuar lendo!
O que é a segurança da informação?
A segurança da informação nada mais é do que um conjunto de práticas que buscam garantir a proteção das informações pessoais de pessoas físicas ou jurídicas. Ou seja, os seus dados e da empresa em questão.
Dentre essas práticas estão termos de confidencialidade, instalação de antivírus, análise de vulnerabilidades e muitas outras medidas.
Ademais, a segurança da informação busca a proteção dos dados independente da forma e do meio em que estejam armazenados. Ou seja, caso uma organização armazene informações dos colaboradores em papéis e mídias digitais, essa empresa deve garantir a integridade dos dois meios e protegê-los de acessos e reproduções indevidas.
A segurança da informação busca garantir que os seus dados não sejam corrompidos e que apenas as pessoas autorizadas tenham acesso às suas informações.
Para ficar ainda mais fácil de compreender, imagine que você forneceu os seus dados para uma grande loja de departamento quando foi comprar um notebook. Dias depois, você vê nos jornais que os servidores daquela loja foram invadidos e houve um vazamento de dados dos clientes.
Provavelmente, você se estressaria e ficaria preocupado com a possibilidade dos seus dados estarem circulando pela rede e na mão de criminosos.
Uma situação como essa fere diversas normas e diretrizes, além de impactarem na reputação do empreendimento. As práticas de segurança buscam evitar essas e outras situações.
No entanto, ao mesmo tempo que as empresas intensificam o investimento em medidas de segurança da informação, mais se escuta falar sobre episódios de ataques cibernéticos e vazamentos de dados, entre tantas outras situações.
Por isso é essencial compreender a base da segurança da informação e como essas medidas são criadas, para só assim entender a fundamentalidade dessas práticas.
Os 5 pilares da segurança da informação
Os primeiros estudos e publicações sobre segurança da informação relatam apenas 3 pilares: confidencialidade, disponibilidade e integridade. No entanto, com a valorização dos dados e aliada ao surgimento de novas tecnologias, os autores passam a discutir sobre a existência de mais dois pilares: a irretratabilidade/legalidade e a autenticidade.
Confidencialidade
Este pilar trata da privacidade dos dados. Ou seja, garante que as informações sejam acessadas apenas por pessoas autorizadas.
Para garantir essa privacidade, podem ser implementados mecanismos de autenticação por senha. Dessa forma é possível controlar e registrar os usuários que acessam determinada informação.
Em empresas que armazenam dados em meios físicos, é comum determinar uma pessoa responsável pelo controle do acesso às informações. Esse funcionário registra cada pessoa que teve acesso à determinada informação e é encarregado de garantir que dados confidenciais e sigilosos não sejam acessados sem autorização.
Disponibilidade
Como o próprio nome diz, a disponibilidade garante que as informações estejam disponíveis sempre que forem requisitadas.
Este pilar garante que as informações estejam disponíveis o tempo inteiro. Isso só é possível a partir da implementação de métodos que garantam o funcionamento da rede e dos sistemas em que os dados são armazenados.
Além disso, a disponibilidade também diz respeito a situações de crise e desastre. É essencial manter um sistema de backups e outros meios para garantir que as informações possam ser recuperadas e consultadas mesmo em situações inesperadas.
Integridade
A integridade trata da confiabilidade dos dados. Este parâmetro busca garantir que as informações não sofram modificações sem autorização e sejam sempre exatas e atualizadas.
Dessa forma, caso duas pessoas precisem dos mesmos dados, há a garantia de que as duas recebam exatamente as mesmas informações.
A integridade das informações pode ser aprimorada a partir de verificações de erros e validações. Também, é importante monitorar os sistemas de gerenciamento de bancos de dados, no caso de informações armazenadas em meios digitais, e o controle de versões e cópias emitidas por terceiros e colaboradores, em casos de informações em meios físicos.
Autenticidade
A autenticidade se refere a garantia da identidade de quem está emitindo a informação ou recebendo. Este princípio permite a contestação de alterações em determinado dado e evita fraudes de identidade para conseguir acesso à informação.
Dentre os inúmeros exemplos de autenticidade há a confirmação por biometria e por SMS. Ao realizar login em sites e aplicativos, é comum receber uma notificação via SMS pedindo para confirmar que realmente é você quem está fazendo o acesso. Essa é uma forma de garantir a autenticidade das informações que serão geradas e da pessoa que está realizando o acesso.
Legalidade e irretratabilidade
A legalidade é o reforço das leis vigentes no local ou país em que as informações são armazenadas e transmitidas. Este pilar determina que todo e qualquer uso da tecnologia deve seguir a legislação vigente.
Já a irretratabilidade, também conhecida como não repúdio, busca garantir que o autor de uma informação ou ação não negue o seu feito.
Como exemplo de ações de irretratabilidade há a assinatura de atas de reuniões e o registro das ações de um indivíduo enquanto navega por determinado sistema.