SEGURANÇA DA INFORMAÇÃO

São Paulo
4º Semestre 2012

Segurança da informação:

A Segurança da informação é garantir que as informações, em qualquer formato: mídias eletrônicas, papel e até mesmo em conversações pessoais ou por telefone estejam protegidas contra o acesso por pessoas não autorizadas, estejam sempre disponíveis quando necessárias, e que sejam confiáveis, não tenham sido corrompidas ou adulteradas por atos de pessoas mal intencionadas.
Para que haja segurança das informações primeiramente deve ser feita uma análise de risco que identifique todos os riscos que ameacem as informações, considerando três categorias básicas - riscos administrativos, físicos e tecnológicos.
Identificados os riscos, o relatório da Análise de Risco deve apontar as soluções que eliminem, minimizem ou transfiram os riscos. É importante lembrar que não se consegue eliminar 100% dos riscos, e aqueles que não são elimináveis devem ser gerenciados para que, ocorrendo um evento que ameace as informações, providências sejam tomadas objetivando garantir, a partir de procedimentos de contingência, a disponibilidade das informações e a continuidade dos processos críticos do negócio.
Finalmente, a alta administração da empresa deve avaliar o relatório da análise de risco, e a partir do conhecimento das ameaças e vulnerabilidades, devem decidir, considerando o custo e benefício, quais riscos que devem ser eliminados, quais as providências para minimizar outros e finalmente quais os que devem ser transferidos para terceiros.
A segurança da informação é assunto estratégico e deve ser tratado no nível apropriado da organização que é a alta administração. Não deveria ser simplesmente delegada ao nível tecnológico operacional, o qual tem papel relevante, mas não é boa prática que tome decisões estratégicas que envolvam a tecnologia da informação e a continuidade dos negócios.

Atributos básicos, segundo os padrões internacionais ISO/IEC