Questões sobre a Segurança da Informação

Esclareça algumas questões comuns relativamente à segurança da informação e sistemas de gestão da segurança da informação (ISO/IEC 27001).

A segurança da informação está relacionada com proteção de dados, com a intenção de preservar o valor que representam para uma organização (empresa) ou um indivíduo. Esta proteção atuanas seguintes vertentes:

Confidencialidade: para garantir que a informação apenas está disponível a quem a ela está autorizado a aceder

Integridade: a informação é exacta e completa, e que não é modificada sem autorização

Disponibilidade: a informação encontra-se acessível a utilizadores autorizados e quando eles dela necessitam

A segurança da informação não se limita a informação digital/ eletrónica, visando também informação noutros suportes.

Um Sistema de Gestão da Segurança da Informação (Information Security Management System - ISMS) é um sistema de gestão baseado numa aproximação sistemática dos riscos inerentes aos negócios, com o objectivo de estabelecer, implementar, operar, monitorizar, rever, manter e melhorar a segurança da informação. É uma abordagem à segurança da informação numa perspectiva organizacional, tratando de forma integrada múltiplos temas que incluem segurança física, tecnologia, processos e pessoas.

A norma ISO / IEC 27001 está desenvolvida de acordo com o anexo SL que integra os requisitos comuns a todos as normas ISO de sistemas de gestão, pelo que existe um alinhamento entre os requisitos da ISO/IEC 27001 e as outras normas ISO de sistemas de gestão, nomeadamente a ISO 9001 ou a ISO 14001.

A realidade demonstra que nenhuma organização estará um dia totalmente protegida das ameaças que colocam em risco suas informações. Tal protecção atingiria custos absurdamente elevados ou bloquearia de forma não aceitável os processos desenvolvidos pela organização. Pode-se mesmo afirmar que, com a excepção do caso extremo em que se cessa toda a actividade, não existe essa coisa chamada segurança total. O que um ISMS possibilita é uma abordagem sistemática dos riscos e a implementação de controlos com o objectivo de os minimizar.

Podem-se identificar como principais vantagens:

  • maior confiança do mercado ao tornar evidente o compromisso com a proteção da informação
  • a redução do risco de incidentes de segurança
  • a redução de custo e do impacto de eventuais incidentes
  • o cumprimento das leis e regulamentos
  • a confiança e credibilidade comercial
  • um melhor conhecimento dos sistemas de informação e das suas fraquezas

Para além destes aspectos e ao nível dos recursos humanos, consegue-se um melhor conhecimento e consciencialização relativamente às questões de segurança e às responsabilidades de cada colaborador para com a organização.