Segurança da Informação é Gestão de Riscos !

Hoje, muito se fala que vivemos na sociedade do conhecimento, ou sociedade da informação.  Nessa sociedade, a informação, como meio para geração de conhecimento para o indivíduo ou organização, desempenha papel fundamental para a produção e acumulação de riquezas.

No contexto desse blog, informação é qualquer conjunto de dados, imagens, textos e outras formas de representação, dotado de significado dentro de um contexto para uma pessoa ou organização. Ou, dito de outra forma, Informações são "estruturas significantes com a competência de gerar conhecimento no indivíduo, em seu grupo, ou à sociedade" *.

Atualmente, as informações são vistas e tratadas como objetos de valor. Essa percepção e atribuição de valor às informações deram origem a um novo campo de conhecimento e trabalho, chamado de segurança da informação.  A segurança da informação busca a preservação e agregação de valor de uma informação, protegendo-a de vários tipos de ameaças.


A gestão da segurança da informação visa assegurar a seleção e implementação de controles de segurança adequados e proporcionados para proteger os ativos de informação e propiciar confiança às partes interessadas (ABNT ISO/IEC 27001).

O relacionamento entre os elementos motivadores da gestão da segurança da informação pode ser representado como na figura abaixo:



A segurança de uma informação pode ser afetada por fatores comportamentais e de uso de quem se utiliza dela, pelo ambiente ou infra-estrutura que a cerca, por pessoas cujo objetivo seja furtar, destruir ou modificar tal informação, ou ainda por ameaças físicas ou naturais (enchentes, terremotos, etc.).

Pelo exposto, vê-se que a identificação e tratamento dos riscos são o cerne de todo processo de gestão da segurança da informação.

Nesse contexto, a gestão dos riscos na segurança das informações torna-se uma área relevante, pois:

"Aqueles que detêm o poder sobre os estoques institucionais de informação detêm também o poder sobre a sua distribuição e, conseqüentemente, sobre o conhecimento gerado nesta sociedade e o seu potencial de desenvolvimento (...) 

O produtor de informação, detentor dos estoques, decide sobre quais os itens de informação devem ser armazenados e quais as estratégias para a sua distribuição à sociedade. Decide, ainda, sobre o "empacotamento" tecnológico para a sua distribuição (...)

O detentor do poder sobre estes estoques (oferta) possui condições políticas de manipular a disponibilidade e o acesso à informação." (BARRETO,1996). *

Então, aprimorar a gestão de riscos é uma ação de interesse de todo os tipos de organizações e especialmente para aqueles envolvidos nos processos de Segurança da Informação.


Até a próxima...

* - veja http://revista.ibict.br/index.php/ciinf/article/download/466/425