Duas coisas que muitas vezes são confundidas entre si: segurança de tecnologia da informação (TI) e segurança da informação. Na era da digitalização, as informações geralmente são processadas, armazenadas ou transportadas com a ajuda da TI - mas muitas vezes a segurança da informação ainda é mais analógica do que imaginamos! Basicamente, a segurança de TI e a segurança da informação estão intimamente ligadas. Portanto, é necessária uma abordagem sistemática para a proteção efetiva de informações confidenciais, bem como da própria TI.

Loading...

Segurança de TI vs. segurança da informação

A segurança da informação é mais do que apenas segurança informática. Ela se concentra em toda a empresa. Afinal, a segurança da informação confidencial não se destina apenas aos dados processados por sistemas eletrônicos. A segurança da informação engloba todos os ativos corporativos que precisam ser protegidos, incluindo aqueles em suportes de dados analógicos, como o papel.

"Segurança de TI e segurança da informação são dois termos que não são (ainda) substituídos um pelo outro."

Objetivos de proteção da segurança da informação

Os três objetivos essenciais de proteção da segurança da informação - confidencialidade, disponibilidade e integridade - aplicam-se, portanto, também a documentos e contratos importantes, que devem chegar ao seu destinatário final a tempo, de forma confiável e intacta, transportados por um mensageiro, mas inteiramente analógicos. E estes objetivos de proteção aplicam-se igualmente a uma folha de papel que contém informações confidenciais, mas que está sobre uma mesa, sem a supervisão de ninguém e que podem ser copiada facilmente por pessoas não autorizadas.

Assim, a segurança da informação tem um escopo mais amplo do que a segurança de TI. A segurança de TI, por outro lado, refere-se "apenas" à proteção da informação nos sistemas de TI.

Segurança de TI de acordo com a definição

O que dizem os organismos oficiais? A segurança de TI é "um estado em que os riscos presentes no uso da tecnologia da informação devido a ameaças e vulnerabilidades são reduzidos a um nível aceitável através de medidas apropriadas". A segurança de TI é, portanto, o estado em que a confidencialidade, integridade e disponibilidade da informação e da tecnologia da informação são protegidas por medidas apropriadas". De acordo com o Escritório Federal Alemão de Segurança da Informação (BSI).

Segurança da informação = Segurança de TI mais X

Na prática, às vezes é adotada uma abordagem diferente, usando a regra geral "segurança da informação = segurança de TI + proteção de dados". No entanto, esta afirmação, escrita como uma equação, é bastante impressionante. É certo que a questão da proteção de dados sob o  LGPD europeu é sobre a proteção da privacidade, o que exige que os processadores de dados pessoais tenham TI segura e, por exemplo, um ambiente de desenvolvimento seguro - descartando assim o acesso físico aos registros de dados do cliente. No entanto, isso deixa de fora dados analógicos importantes que não exigem privacidade pessoal. Por exemplo, planos de projetos da empresa e muito mais.

O termo segurança da informação contém critérios fundamentais que vão além dos aspectos puramente de TI, mas sempre os incluem. Assim, comparativamente, mesmo as simples medidas técnicas ou organizacionais no âmbito da segurança da informação são sempre tomadas no contexto de uma segurança de informação adequada. Exemplos disso podem ser:

  • Protegendo a fonte de alimentação para o hardware
  • Medidas contra superaquecimento do hardware
  • Varreduras de vírus e programas seguros
  • Organização de estruturas de pastas
  • Configurando e atualizando firewalls
  • Treinamento de funcionários, etc.


É óbvio que computadores e sistemas de TI completos por si só não precisariam ser protegidos. Afinal, sem informações para serem processadas ou transportadas digitalmente, hardware e software tornam-se inúteis.

webinar-dqs-junger-mann-mit-headset-sitzt-vor-einem-laptop
Loading...

Assista agora: O que está mudando com a nova ISO/IEC 27001:2022

A nova versão da ISO/IEC 27001, adaptada aos riscos de informação contemporâneos, foi publicada em 25 de outubro de 2022. O que isso significa para os usuários da norma? Em nossa  gravação gratuita de webinar , você aprenderá sobre 

  • Novos recursos da ISO/IEC 27001:2022 - Estrutura e Anexo A 
  • ISO/IEC 27002:2022-02 - estrutura, conteúdo, atributos e hashtags 
  • Linha do tempo para a transição e seus próximos passos

Segurança de TI por lei, um exemplo da Alemanha

O tema do CRITIS: A lei de segurança de TI concentra-se em infraestruturas críticas de vários setores, tais como eletricidade, gás e abastecimento de água, transportes, finanças, alimentação e saúde. Aqui, o foco principal é proteger a infraestrutura de TI contra o crimes cibernéticos, a fim de manter a disponibilidade e a segurança dos sistemas de TI. Em particular, os atuais sistemas de telecontroles controlados digitalmente devem ser protegidos.

Estes objetivos de proteção estão na vanguarda (excerto):

  • Consideração dos riscos de segurança de TI
  • Criação de conceitos de segurança de TI
  • Criação de planos de emergência
  • Tomar precauções gerais de segurança
  • Controle da segurança na Internet
  • Usando métodos criptográficos, etc.

ISO/IEC 27001 - A norma para a segurança da informação

O que diz a ISO/IEC 27001? A norma globalmente reconhecida para um sistema de gestão da segurança da informação (SGSI), com seus derivados ISO 27019, ISO 27017 e ISO 27701, é chamado:

ISO/IEC 27001:2022  – Segurança da informação, segurança cibernética e proteção da privacidade – Sistemas de gestão de segurança da informação – Requisitos

A versão revisada foi publicada em 25 de outubro de 2022. A versão antiga (ISO/IEC 27001:2013) permanecerá válida até outubro de 2025.

O título desta importante norma deixa claro que a segurança de TI desempenha um papel importante na segurança da informação hoje e continuará a crescer em importância no futuro. No entanto, os requisitos estabelecidos na ISO/IEC 27001 não se destinam diretamente apenas aos sistemas digitais de TI. Pelo contrário:

"Em toda a ISO/IEC 27001, a "informação" é mencionada em todas as áreas, sem exceção."

Em princípio, não é feita qualquer distinção quanto à forma analógica ou digital como esta informação é processada ou deve ser protegida.

Para mais informações sobre segurança da informação e a possibilidade de uma avaliação, visite Certificação ISO/IEC 27001

Um ISMS implementado com sucesso suporta uma estratégia de segurança abrangente: inclui medidas organizacionais, gestão de pessoal consciente da segurança, a segurança das estruturas de TI implantadas e a conformidade com os requisitos legais.

Loading...

Know-how valioso: O Guia de Auditoria DQS

Nosso guia de auditoria ISO/IEC 27001 - Anexo A foi criado por especialistas renomados como uma ajuda prática na implementação e é ideal para entender melhor os requisitos padrão selecionados. A diretriz é baseada na ISO/IEC 27001:2017. Como a versão revisada foi publicada em 25 de outubro de 2022, adicionaremos informações sobre as alterações assim que estiverem disponíveis.  

Segurança da informação muitas vezes mais analógica do que pensamos

Qualquer pessoa que quisesse aplicar os requisitos padrão da ISO/IEC 27001 sobre um sistema completamente analógico e acabasse com o mesmo nível que alguém que aplicasse os requisitos a um sistema completamente digital. É apenas no Anexo A da conhecida norma ISMS, que contém objetivos de medida e medidas para os utilizadores, que aparecem termos como trabalho remoto ou dispositivos móveis. Mas mesmo as medidas do Anexo A da norma nos lembram que ainda existem processos e situações análogas em todas as empresas que devem ser levadas em conta no que diz respeito à segurança da informação.

Qualquer pessoa que fale alto em público sobre temas sensíveis via smartphone, por exemplo, no trem, pode estar usando canais de comunicação digital, mas sua má conduta é na verdade analógica. E quem não limpar a sua mesa, é melhor trancar o seu escritório para manter a confidencialidade. Pelo menos a primeira, como uma das medidas únicas mais eficazes para proteger as informações com segurança, ainda é normalmente feita à mão, até agora...

Segurança de TI vs. Segurança da Informação - Conclusão

Segurança de TI e segurança da informação são dois termos que não são (ainda) intercambiáveis. Ao contrário, a segurança de TI é uma componente da segurança da informação, que por sua vez também inclui fatos, processos e comunicação analógicos - o que, aliás, ainda é comum em muitos casos hoje em dia. No entanto, a crescente digitalização está aproximando cada vez mais esses termos, de modo que a diferença de significado provavelmente se tornará mais marginal a longo prazo.

O que você pode esperar de nós

A DQS é especializada em auditorias e certificações - para sistemas e processos de gestão. Com 35 anos de experiência e o know-how de 2.500 auditores em todo o mundo, somos o seu parceiro de certificação competente em todos os aspectos da segurança da informação e da proteção de dados.

gerber-hermsdorf-werner-korall-audit dqs
Loading...

Você tem alguma pergunta?

Contate-nos!
Sem compromisso e sem custos.

Nós não falamos apenas de competência profissional, nós a temos: A DQS possui muitos anos de experiência profissional em auditorias, certificações e avaliações de sistemas de gestão. Nossos auditores e especialistas possuem ampla qualificação e know how de gestão e técnica e podem contribuir efetivamente com a sua empresa independente do tamanho ou segmento. Com esta diversidade é garantido que o seu auditor líder da DQS entenderá o perfil da sua empresa e com a cultura de gestão. Os nossos auditores conhecem os sistemas de gestão  - e conhecem os desafios diários. Estamos ansiosos para conversar com você.

Autor
André Säckel

Gestor de produto na DQS para gestão da segurança da informação. Como especialista nas normas para a área de segurança da informação e catálogo de segurança de TI (infra-estruturas críticas), André Säckel é responsável pelas seguintes normas e normas específicas da indústria, entre outras: ISO 27001, ISIS12, ISO 20000-1, KRITIS e TISAX (segurança da informação na indústria automotiva). Ele também é membro do grupo de trabalho ISO/IEC JTC 1/SC 27/WG 1 como delegado nacional do Instituto Alemão de Normalização DIN.

Loading...