Prévia do material em texto
Conceito e Valor da Informação APRESENTAÇÃO Identificar a importância e o valor da informação no contexto organizacional é extremamente importante para os profissionais que desejam trabalhar na área de segurança, bem como para as equipes gestoras das empresas. Esta importância é destacada uma vez que, para que sejam investidos tempo e recursos nesta área, os profissionais precisam compreender que a informação é parte fundamental das empresas e, por isso, precisa ser preservada da melhor forma possível. Nesta Unidade de Aprendizagem, você vai aprender mais sobre o valor da informação no contexto organizacional e conhecerá as fases do ciclo de vida da informação e suas classificações. Bons estudos. Ao final desta Unidade de Aprendizagem, você deve apresentar os seguintes aprendizados: Relacionar a importância e o valor da informação no contexto organizacional.• Identificar as fases do ciclo de vida da informação.• Analisar a classificação das informações (pública, interna, confidencial, secreta).• DESAFIO Em uma empresa, a informação é uma ferramenta-chave que está diretamente associada ao seu sucesso ou insucesso. Você é gestor de uma grande empresa do setor calçadista e precisa preocupar-se em garantir a manutenção e a rentabilidade de seu negócio. Assim, analise as seguintes informações e classifique-as de acordo com o seu grau de criticidade, justificando a sua resposta: 1) Design de novos sapatos. 2) Código utilizado para formulação da tinta que colore uma determinada linha de sapatos. 3) Número de funcionários da empresa. 4) CNPJ da empresa. 5) Tecnologia inovadora que está sendo inserida para melhorar o amortecimento de sapatos da linha esportiva. 6) Calendário de datas de lançamentos de novos produtos. INFOGRÁFICO A classificação da informação se dá por ordem de prioridade ou criticidade, sendo que a criticidade diz respeito ao dado em caso de a informação ser acessada indevidamente. Já em relação ao ciclo de vida da informação, deve-se ter em vista que, ao enviar um arquivo em uma rede social, você está tramitando uma informação na etapa de transporte. No Infográfico, você conhecerá os principais assuntos que norteiam dois dos principais conceitos fundamentais da área de segurança da informação, sendo eles: classificação da informação e ciclo de vida da informação. CONTEÚDO DO LIVRO Cada informação é classificada com um nível de relevância específico. De acordo com estes níveis, uma informação pode ser pública, interna, confidencial ou secreta. Informações confidenciais e secretas demandam mais atenção e um maior trabalho de segurança, uma vez que uma falha na segurança de informações nestas classificações pode ser vital para uma empresa. Leia o capítulo Conceito e Valor da Informação, da obra Fundamentos de Segurança da Informação, base teórica para essa Unidade de Aprendizagem, no qual são apresentados os conceitos fundamentais de segurança da informação, sendo eles: valor da informação para as organizações, ciclo de vida da informação e classificação da informação. Boa leitura. FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO Aline Zanin Conceito e valor da informação Objetivos de aprendizagem Ao final deste texto, você deve apresentar os seguintes aprendizados: Identificar a importância e o valor da informação no contexto organizacional. Identificar as fases do ciclo de vida da informação. Descrever a classificação das informações (pública, interna, confiden- cial, secreta). Introdução As informações têm importância significativa para as empresas, estando relacionadas a aspectos estratégicos, de fidelização e atração de clientes e de organização interna. Devido a essa relevância, as informações estão sujeitas a ameaças como perda ou roubo, que podem gerar grandes transtornos para as empresas. Assim, torna-se importante compreender em quais momentos as informações estão sob maior risco e quais os tipos de informação que exigem maiores esforços de segurança da informação. Neste capítulo, você vai estudar os conceitos fundamentais de segurança da informação, sendo eles o valor da informação para as organizações, o ciclo de vida da informação e a classificação da informação. A informação no contexto organizacional Para defi nirmos a importância da informação para as organizações, primeira- mente é necessário entender o seu conceito. Primeiramente, vamos distinguir dados e informação: dados são fatos brutos que não receberam tratamento; já informações são o resultado dos dados já tratados e organizados de uma forma lógica, conforme lecionam Laudon e Laudon (2007). A Figura 1 traz um esquema desses conceitos. Figura 1. Conceitos de conhecimento, informação e dados. Fonte: Adaptada de Oliveira (2018). Informação Dados analisados, valor agregado Dados Públicos, de diferentes fontes Conhecimento Compreensão da informação Em uma empresa, a informação é uma ferramenta-chave que está di- retamente associada ao seu sucesso ou insucesso. Uma informação ou um conjunto de informações pode representar uma parte ou o todo do negócio de uma empresa. Por exemplo: uma determinada marca de refrigerantes tem um grande faturamento e uma grande quantidade de vendas e tem como diferencial a fórmula utilizada para a produção do refrigerante da marca. Nesse contexto, a fórmula de produção da bebida é a informação principal da empresa, e a perda ou a divulgação dessa informação para a concorrência pode representar o fracasso da organização. As empresas também se utilizam da informação para conquistar novos clientes e fidelizar clientes antigos, uma vez que, por meio da análise de dados e informações, é possível construir o perfil consumidor e habitual dos clientes. Assim, um empresa pode, por exemplo, posicionar produtos em um supermercado de acordo com as possibilidades de compra do público que frequenta o local. Outro exemplo similar é a oferta de produtos em lojas vir- tuais ou o anúncio de produtos em sites em geral: ao analisar as informações de pesquisas recentes e acessos a páginas web feitos pelo cliente, é possível ofertar anúncios que sejam atraentes para ele. Assim, existem diversos aspectos que tornam a informação de grande importância para as empresas. Dentre eles, podemos citar: o impacto no negócio da empresa; a fidelização de clientes; a conquista de novos clientes; a organização dos processos internos; e o estabelecimento de uma cultura organizacional. Conceito e valor da informação2 Com o crescimento da oferta de tecnologia da informação e a consequente necessidade das empresas de se reinventarem e de inovarem em seus proces- sos e produtos para se manterem competitivas, as informações empresariais passaram a ser armazenadas e manipuladas, em sua maioria, por meio de softwares e bancos de dados. O uso das informações diminui as incertezas na tomada de decisões e garante a competitividade dos negócios. Atualmente, em muitas empresas, a informação é tratada como ativo de informação e, como todo ativo, faz parte do patrimônio da empresa; como tal, tem valor próprio, conforme leciona Cunha (2012). O valor da informação para as organizações está descrito nas chamadas sete leis da informação, organizadas por Moody e Walsh e abordadas por Beal (2004, p. 21–24): 1º Lei – A informação é infinitamente compartilhável: diferentemente de ativos comuns, como equipamentos, móveis, etc., a informação pode ser compar- tilhada infinitamente e simultaneamente por inúmeras pessoas, aumentado cada vez mais o seu valor, à medida que mais pessoas forem usando. Assim como o compartilhamento aumenta o valor, a replicação da informação, através da reinserção de dados não agrega valor algum, só tende a aumentar os custos da organização. 2º Lei – O valor da informação aumenta com o uso: diferente dos ativos comuns da organização que quanto mais usam mais perdem valor, a informação quanto mais usada, maior o valor a ela associado. Mas para ser bemutilizada, para que seu uso seja efetivo todos da organização devem saber que ela existe, saber onde ela está organizada, ter acesso a ela e saber como utilizá-la. Além disso essas informações devem estar adequadas às necessidades de seus usuários. 3º Lei – A informação é perecível: a informação perde parte do seu valor à medida que o tempo for passando. Ela deve ser utilizada na hora correta, pois corre o risco de perder o valor da descoberta. 4º Lei – O valor da informação aumenta com a precisão: quanto mais precisa for à informação, mais valor ela terá. O contrário, ou seja, a utilização da in- formação imprecisa, inexatas, pode levar a tomadas de decisões equivocadas ou provocar graves erros prejudicando seu usuário. 5º Lei – O valor da informação aumenta quando há combinação de informações: a integração das informações permite uma visão sistêmica da organização em substituição à visão setorial, fragmentada. Quando mais integrada estiver, maior potencial de valor. 6º Lei – Mais informação não é necessariamente melhor: Assim como a insu- ficiência de informação, a sobrecarga dela também é prejudicial. Muitas vezes o excesso de informação, ultrapassa a capacidade humana de processamento. Para ser útil, a informação precisa ser filtrada, usando critérios de relevância, quantidade e qualidade de seu conteúdo. 3Conceito e valor da informação 7º Lei – A informação se multiplica: a informação é autogenerativa, pois ela possui a capacidade de se multiplicar através de novas operações de síntese, análise e combinações, podendo ser reciclada e reutilizada. Conforme leciona Gurgel (2006), citando os ensinamentos de Drott (2001), “o fato de informações poderem ser estruturadas não quer dizer que o seu valor possa ser medido. As tomadas de decisões em uma organização são realizadas com base no conhecimento pessoal de seus colaboradores, bem como das informações corporativas existentes”. Ciclo de vida da informação O ciclo de vida da informação representa todo o “histórico” dessa infor- mação, desde o momento de sua criação. O ciclo de vida descreve, inclusive, as mudanças na criticidade da informação, isto é, as variações quanto à relevância da informação para a empresa: uma informação que, em um dado período, era extremamente importante para uma empresa, pode hoje não ter mais valor de negócio, ou vice-versa. Por exemplo: há cinco anos, uma marca criou um smartphone com uma funcionalidade inovadora; até o lançamento deste, o processo de fabricação e a ideia de negócio eram informações de alta criticidade. Após o lançamento, essas informações passaram a ser insignifi - cantes para o negócio da empresa. O ciclo de vida da informação se divide nas seguintes fases, segundo Sêmola (2003): Manuseio: trata-se do momento da criação e da manipulação da infor- mação, seja esta física ou virtual. Armazenamento: trata-se do armazenamento da informação, seja ele em arquivos físicos ou em bancos de dados de sistemas computadorizados. Transporte: momento em que a informação é transportada, seja ao encaminhar informações por e-mail, via correspondência ou via tele- fone, por exemplo. Descarte: ato de descartar a informação, quando esta deixa de ser rele- vante; por exemplo: apagar informações de computadores ou depositar documentos na lixeira. Conceito e valor da informação4 As etapas do ciclo de vida da informação representam os momentos em que a infor- mação pode estar sob ameaça e, por isso, sua segurança demanda maior atenção. Segundo Sêmola (2003), na etapa de manuseio, a informação está sob ameaça, por exemplo, ao se fazer anotações em uma reunião e não zelar pelo sigilo das anotações. Classificação das informações Conforme destacado anteriormente, a informação tem um valor fundamental em todas ou, pelo menos, na maioria das empresas. Ela pode ser representada de diversas maneiras, por exemplo, digitalizada, em banco de dados, ou física, em arquivos de papel. Além da forma de representação, as informações também se diferenciam pelas suas restrições de acesso, isto é, as defi nições de quem pode acessar e do nível de segurança demandado. Uma vez que uma política de classificação é elaborada pela empresa, torna-se possível tomar decisões adequadas para a avaliação e o tratamento de riscos. Com isso, segundo Palma (2018), podem ser adotadas medidas preventivas, visando, por exemplo, a: reduzir o risco de que informações classificadas como sensíveis sejam acessadas por pessoas não autorizadas; garantir a divulgação adequada para informações públicas; reduzir o risco de perda de integridade das informações que criam maior valor para o negócio; entre outras. Nesse contexto, é pertinente que as empresas categorizem as informações conforme suas necessidades e prioridades, classificando-as como informações públicas, internas, confidenciais e secretas, conforme leciona Laureano (2005 apud CUNHA, 2012). 1. Pública: é o tipo de informação que demanda menos trabalho de segu- rança; isso porque uma informação pública é aquela cuja integridade não é vital e que pode ser de senso comum, dentro e fora da empresa, sem prejudicar o negócio. 5Conceito e valor da informação 2. Interna: é o segundo tipo de informação que exige menos trabalho de segurança. Para informações internas, o sigilo deve ser mantido, e devem ser impostas restrições de acesso; contudo, os danos causados por um acesso não autorizado não são demasiadamente sérios. A integridade da informação interna é importante, mesmo que não seja vital. 3. Confidencial: esse tipo de informação deve ser mantido nos limites da empresa; por isso, devem ser investidos esforços de segurança nessas informações. O acesso não autorizado, o dano ou a perda desse tipo de informação pode trazer prejuízos e levar ao desequilíbrio operacional. Além disso, pode ocorrer uma quebra de confiabilidade perante o cliente, além de permitir vantagem expressiva ao concorrente. 4. Secreta: essas informações são críticas para a empresa; elas devem ser preservadas, e deve ser investido nelas o maior esforço possível para a sua segurança. O acesso a esse tipo de informações deve ser restrito, e sua manipulação deve ser extremamente cuidadosa. De acordo com a ISO 27001, essa classificação deve ser feita em um contexto organizacional, e não setorial. Ou seja, ao classificar uma informação, devem ser levados em conta todos os setores da empresa, e não apenas o setor ao qual, a princípio, essa informação pertence. No entanto, muito frequentemente, uma organização pode ter dois esquemas de classificação diferentes, no caso de trabalhar tanto com o setor governamental quanto com o privado. A norma ISO 27001 fala sobre a gestão da segurança da in- formação. Nessa norma estão descritos conceitos, práticas e informações sobre segurança da informação e, inclusive, sobre a classificação da informação. Saiba mais sobre a ISO 27001 acessando o link ou código a seguir: https://goo.gl/2qnTiB Conceito e valor da informação6 BEAL, A. Gestão estratégica da informação. São Paulo: Atlas, 2004. CUNHA, A. L.; PEISCHL, R. B. O valor das informações para as empresas e a importância da segurança da informação. Revista Anhanguera Educacional, Valinhos, São Paulo, p. 1–22, jan. 2012. Disponível em: <https://pt.slideshare.net/acunha_sp/o-valor-das-informaes- -para-as-empresas-e-a-importancia-da-seguranca-da-informacao?from_action=save>. Acesso em: 3 ago. 2018. DROTT, M. C. Individual Knowledge – Personal Knowledge, Corporate Information: The Challenges for competitive intelligence. Business Horizons, Março-Abril de 2001, pp 31–37. GURGEL, G. M. M. O valor estratégico da informação para a gestão das organizações. XIII SIMPEP, Bauru, SP, p. 1–10, nov. 2006. Disponível em: <http://agildoc.com/wp-content/ uploads/2017/06/O-valor-estrat%C3%A9gico-da-informa%C3%A7%C3%A3o-para-a- -gest%C3%A3o-das-organiza%C3%A7%C3%B5es.pdf>. Acesso em: 4 ago. 2018. LAUDON, K. C.; LAUDON, J. P. Sistemas de Informação Gerenciais.Prentice Hall; São Paulo, 2007. OLIVEIRA, J. P. M. de. Dados, Informação e Conhecimento. 2018. Disponível em: <https:// www.palazzo.pro.br/Wordpress/?p=156>. Acesso em: 3 ago. 2018. PALMA, F. Política de classificação da informação: exemplo. 2018. Disponível em: <https:// www.portalgsti.com.br/2014/09/politica-de-classificacao-da-informacao-exemplo. html>. Acesso em: 3 ago. 2018 7Conceito e valor da informação Conteúdo: DICA DO PROFESSOR Em relação à classificação da informação, divide-se em quatro classificações diferentes, sendo elas: pública, interna, confidencial ou secreta. Assista à Dica do professor em que se destacam as classificações e o ciclo de vida da informação, dando ênfase nas etapas de armazenamento e transporte. Conteúdo interativo disponível na plataforma de ensino! EXERCÍCIOS 1) Os ativos de informação são considerados os meios que a empresa utiliza para armazenar, processar e transmitir as informações, incluindo a própria informação. Assinale a alternativa que contém apenas ativos de informação. A) Documentos de sistemas, ferramentas de sistemas e mobiliário. B) Aplicação, computadores, banco de dados, material de escritorio (novo e em uso). C) Computação, equipamentos de comunicação, nome fantasia e CNPJ da empresa. D) Banco de dados, documentação de sistemas, planos de continuidade, informações arquivadas, etc. E) Sistemas operacionais, sala-cofre, acomodações, etc. A informação deve ser protegida por todo o seu ciclo de vida, pois ela passa por transformações durante este período. Assim, informações que eram confidenciais na concepção de um projeto, com o término deste, podem ser patenteadas tornando-se, assim, informações públicas. Desse modo, o ciclo de vida das informações é dividido 2) em quatro etapas. Sobre as quatro etapas do ciclo de vida da informação, assinale a alternativa correta. A) Manuseio, armazenamento, transporte, descarte. B) Manuseio, armazenamento, transporte, descarga. C) Criação, alteração, manutenção e exibição. D) Descarte, manutenção, transporte, armazenamento. E) Manuseio, armazenamento, descarte, criação. 3) As empresas classificam as informações conforme suas necessidades e prioridades. Assinale a alternativa que contém a classificação correta das informações. A) Pública, privada, secreta, interna. B) Pública, interna, confidencial, secreta. C) Externa, interna, pública, confidencial. D) Interna, secreta, pública, privada. E) Confidencial, pública, secreta, externa. A Segurança de Informação protege a informação de diversos tipos de ameaças para garantir a continuidade dos negócios, minimizar os danos e maximizar o retorno de investimentos e as oportunidades de negócio. 4) A Segurança da Informação é composta por três conceitos básicos. Assinale a alternativa que indica corretamente esses 3 conceitos básicos. A) Disponibilidade, integração e confidencialidade. B) Integridade, disponibilidade e confiança. C) Confidencialidade, integridade e disponibilidade. D) Confiabilidade, disponibilidade e integridade. E) Segurança, integridade e confidencialidade. 5) As informações são classificadas de acordo com o nível de privacidade. Isso é importante pois evita que pessoas não autorizadas acessem as informações. De acordo com essa classificação, considere as afirmativas a seguir: I – a informação, quando acessada de forma indevida, não causa tantos danos. II – a informação deve ser tratada com maior esforço possível, por ser vital para empresa, levando ao seu fechamento. III – a informação, quando acessada de forma indevida, pode acarretar em prejuízos para empresa, porém não a ponto de causar o seu fechamento. Assinale a alternativa que corresponda ao tipo de nível de privacidade: A) I – Interna, II – Secreta, III – Confidencial B) I – Interna, II – Confidencial, III – Secreta. C) I – Pública, II – Interna, III – Confidencial. D) I – Interna, II – Pública, III – Confidencial. E) I – Pública, II – Secreta, III – Confidencial. NA PRÁTICA A segurança da informação tem uma importância extrema nas empresas. A ausência de políticas de segurança da informação ou a aplicação de políticas ineficientes podem causar grandes prejuízos a empresas, como é o caso de um ataque de ransomware que aconteceu no ano de 2017 e que causou prejuízos para hospitais e empresas de comunicação de, pelo menos, 70 países. Conteúdo interativo disponível na plataforma de ensino! SAIBA + Para ampliar o seu conhecimento a respeito desse assunto, veja abaixo as sugestões do professor: Segurança da Informação O vídeo aborda conceitos relevantes sobre a importância e os principais cuidados com a Segurança da Informação. Conteúdo interativo disponível na plataforma de ensino! O valor da informação para a organização A informação é um bem que tem alto valor para a empresa, pois a informação protegida proporciona à organização tomar decisões precisas para os seus negócios. Nesse material, você poderá compreender mais sobre o valor da informação para a empresa. Conteúdo interativo disponível na plataforma de ensino! As 5 principais ameaças ao sistema de segurança de uma empresa Para falar em segurança da informação, primeiramente é essencial conhecer quais são as ameaças das quais há necessidade de se proteger. Por isso, esse material aborda as principais ameaças de ataque à rede. Conteúdo interativo disponível na plataforma de ensino!