Duas coisas que muitas vezes são confundidas uma com a outra: a segurança da tecnologia da informação (IT) e a segurança da informação. Na era da digitalização, a informação é normalmente processada, armazenada ou transportada com a ajuda da IT- mas muitas vezes a segurança da informação ainda é mais analógica do que pensamos! Basicamente, a segurança de IT e a segurança da informação estão intimamente ligadas. Portanto, é necessária uma abordagem sistemática para a protecção eficaz de informações confidenciais, bem como da própria IT.

Loading...

Segurança informática vs. segurança da informação

A segurança da informação é mais do que apenas segurança informática. Ela concentra-se em toda a empresa. Afinal, a segurança da informação confidencial não se destina apenas aos dados processados por sistemas eletrónicos. A segurança da informação engloba todos os activos corporativos que precisam de ser protegidos, incluindo aqueles em suportes de dados analógicos, como o papel.

"Segurança informática e segurança da informação são dois termos que não são (ainda) intercambiáveis."

Objectivos de protecção da segurança da informação

Os três objectivos essenciais de protecção da segurança da informação - confidencialidade, disponibilidade e integridade - aplicam-se, portanto, também a uma carta contendo documentos contractuais importantes, que devem chegar à porta do destinatário a tempo, de forma fiável e intacta, transportados por um mensageiro, mas inteiramente analógicos. E estes objectivos de protecção aplicam-se igualmente a uma folha de papel que contém informações confidenciais, mas que está deitada numa secretária desacompanhada para qualquer pessoa ver ou esperar na fotocopiadora, de livre acesso, para acesso não autorizado.

Assim, a segurança da informação tem um âmbito mais amplo do que a segurança de IT. A segurança de IT, por outro lado, refere-se "apenas" à protecção da informação nos sistemas de IT.

Segurança informática de acordo com a definição

O que dizem os organismos oficiais? A segurança informática é "um estado em que os riscos presentes no uso da tecnologia da informação devido a ameaças e vulnerabilidades são reduzidos a um nível aceitável através de medidas apropriadas". A segurança de IT é, portanto, o estado em que a confidencialidade, integridade e disponibilidade da informação e da tecnologia da informação são protegidas por medidas apropriadas". De acordo com o Escritório Federal Alemão de Segurança da Informação (BSI).

Segurança da informação= Segurança informática mais X

Na prática, uma abordagem diferente é por vezes adoptada, utilizando a regra de polegar "segurança da informação = segurança informática + protecção de dados". No entanto, esta afirmação, escrita como uma equação, é bastante marcante. É certo que a questão da protecção de dados no âmbito da GDPR europeia tem a ver com a protecção da privacidade, o que exige que os processadores de dados pessoais tenham tanto IT segura como, por exemplo, um ambiente de edifício seguro - excluindo assim o acesso físico aos registos de dados dos clientes. No entanto, isto deixa de fora dados analógicos importantes que não requerem privacidade pessoal. Por exemplo, os planos de construção da empresa e muito mais.

O termo segurança da informação contém critérios fundamentais que vão além dos aspectos puramente de IT, mas que os incluem sempre. Assim, comparativamente, mesmo medidas técnicas ou organizacionais simples dentro do âmbito da segurança de IT são sempre tomadas contra o pano de fundo da segurança de informação apropriada. Exemplos disso podem ser:

  • Segurança do fornecimento de energia ao hardware
  • Medidas contra o sobreaquecimento do hardware
  • Rastreamento de vírus e programas seguros
  • Organização de estruturas de pastas
  • Montagem e actualização de firewalls
  • Formação de funcionários, etc.

É óbvio que computadores e sistemas completos de IT em si não precisariam de ser protegidos. Afinal, sem informação a ser processada ou transportada digitalmente, hardware e software tornam-se inúteis.

Segurança informática por lei, um exemplo da Alemanha

O tema do CRITIS: A lei de segurança informática centra-se em infra-estruturas críticas de vários sectores, tais como electricidade, gás e abastecimento de água, transportes, finanças, alimentação e saúde. Aqui, o foco principal é a proteção da infra-estrutura de IT contra o crime cibernético, a fim de manter a disponibilidade e a segurança dos sistemas de IT. Em particular, os actuais sistemas de telecontrolo controlados digitalmente devem ser protegidos.

Estes objectivos de protecção estão na vanguarda (excerto):

  • Consideração dos riscos de segurança de IT
  • Criação de conceitos de segurança informática
  • Criação de planos de emergência
  • Tomar precauções gerais de segurança
  • Controlo da segurança na Internet
  • Usando métodos criptográficos, etc.

ISO 27001 - A norma para a segurança da informação

O que diz a ISO 27001? A norma globalmente reconhecida para um sistema de gestão da segurança da informação (SGSI), com seus derivados ISO 27019, ISO 27017 e ISO 27701, é chamada:

ISO/IEC 27001:2022 – Segurança de informação, cibersegurança e protecção de privacidade – Sistemas de gestão de segurança de informação – Requisitos

A versão revista foi publicada a 25 de Outubro de 2022.  A versão corrente (ISO/IEC 27001:2013) permanecerá válida até Outubro de 2025.

O título desta importante norma deixa claro que a segurança de IT desempenha um papel importante na segurança da informação hoje e continuará a crescer em importância no futuro. No entanto, os requisitos estabelecidos na ISO 27001 não se destinam directamente apenas aos sistemas digitais de IT. Pelo contrário:

"Ao longo da ISO/IEC 27001, a "informação" é referida em toda a linha, sem excepção."

Em principio, não é feita nenhuma distinção relativamente à forma análoga ou digital na qual a informação é processada ou deve ser protegida.

Para conhecimento mais valioso sobre segurança de informação e a possibilidade de uma avaliação, visita certificação ISO 27001

Um SGSI implementado com sucesso suporta uma estratégia de segurança holística: inclui medidas organizacionais, gestão de pessoal consciente da segurança, a segurança das estruturas de IT implantadas e a conformidade com os requisitos legais.

Segurança da informação muitas vezes mais analógica do que pensamos

Qualquer pessoa que quisesse aplicar os requisitos padrão da ISO 27001 sobre um sistema completamente analógico e acabasse com o mesmo nível que alguém que aplicasse os requisitos a um sistema completamente digital. É apenas no Anexo A da conhecida norma ISMS, que contém objectivos de medida e medidas para os utilizadores, que aparecem termos como teletrabalho ou dispositivos móveis. Mas mesmo as medidas do Anexo A da norma lembram-nos que ainda existem processos e situações análogas em todas as empresas que devem ser levadas em conta no que diz respeito à segurança da informação.

Qualquer pessoa que fale alto em público sobre temas sensíveis via smartphone, por exemplo, no comboio, pode estar a usar canais de comunicação digital, mas a sua má conduta é na verdade analógica. E quem não limpar a sua secretária, é melhor trancar o seu escritório para manter a confidencialidade. Pelo menos a primeira, como uma das medidas únicas mais eficazes para proteger as informações com segurança, ainda é normalmente feita à mão, até agora...

Segurança de IT vs. Segurança da Informação - Conclusão

Segurança informática e segurança da informação são dois termos que não são (ainda) intercambiáveis. Ao contrário, a segurança de IT é uma componente da segurança da informação, que por sua vez também inclui factos, processos e comunicação analógicos - o que, aliás, ainda é comum em muitos casos hoje em dia. No entanto, a crescente digitalização está aproximando cada vez mais esses termos, de modo que a diferença de significado provavelmente se tornará mais marginal a longo prazo.

O que você pode esperar de nós

A DQS é o seu especialista para auditorias e certificações - para sistemas e processos de gestão. Com 35 anos de experiência e o know-how de 2.500 auditores em todo o mundo, somos o seu parceiro de certificação competente em todos os aspectos da segurança de informação e de protecção de dados.

Tem alguma questão?

Contacte-nos!
Sem compromisso e sem custos.

Nós não falamos apenas de competência profissional, nós temo-la: Você pode esperar muitos anos de experiência profissional prática de todos os nossos auditores DQS. Reunidos em organizações de todas as dimensões e de todas as indústrias. Com esta diversidade é garantido que o seu auditor líder DQS irá ter empatia com a situação individual da sua empresa e com a cultura de gestão. Os nossos auditores conhecem os sistemas de gestão a partir da sua própria experiência, ou seja, eles próprios criaram, geriram e desenvolveram ISMS - e conhecem os desafios diários a partir da sua própria experiência. Estamos ansiosos para conversar consigo.

Autor
André Saeckel

Gestor de produto na DQS para gestão da segurança da informação. Como especialista em normas para a área de segurança da informação e catálogo de segurança de IT (infra-estruturas críticas), André Säckel é responsável pelas seguintes normas e normas específicos da indústria, entre outros: ISO 27001, ISIS12, ISO 20000-1, KRITIS e TISAX (segurança da informação na indústria automóvel). Ele também é membro do grupo de trabalho ISO/IEC JTC 1/SC 27/WG 1 como delegado nacional do Instituto Alemão de Normalização DIN.

Loading...