Segurança da Informação: Confidencialidade, Integridade e Disponibilidade (CID)

Há uma eterna discussão nas organizações sobre o perfil ideal dos profissionais. Devem ser especialistas ou generalistas?

Há quem defenda os generalistas, pois saber um pouco de tudo acaba dando ao profissional uma visão mais completa dos problemas, o que facilita a escolha do caminho mais efetivo a seguir.

Por outro lado, há quem defenda os especialistas, pois problemas complexos são resistentes e só se entregam diante de um conhecimento muito aprofundado e detalhado do contexto em que o problema se manifesta. Apesar de ser um engenheiro da computação apaixonado por lógica, bits e bytes, portanto naturalmente inclinado a defender os especialistas, minha experiência no mundo corporativo me diz que generalistas e especialistas são ambos absolutamente necessários.

O segredo de como empregar bem os talentos de uma equipe diversa é avaliar muito bem em qual momento cada perfil profissional agrega mais valor. Na abordagem inicial de qualquer problema ou projeto, agregam muito mais valor a observação, a visão sistêmica, a organização dos dados e a priorização das ações. É trabalho de generalista. Quando a situação já está mapeada e organizada o problema grande se transforma em uma coleção de problemas muito específicos e, neste momento, o que agrega valor é o conhecimento profundo para montar cada um dos complicados quebra-cabeças. É trabalho de especialista.

Gerenciar recursos sempre é uma questão de equilíbrio e timing.

Discorrer sobre Segurança da Informação também é um problema complexo e, seguindo a linha de raciocínio que apresentei acima, preciso começar escrevendo em termos mais gerais e conceituais, procurando observar e priorizar, para só mais tarde mergulhar de cabeça nos temas bem específicos (e divertidos).

O que digo a seguir parece óbvio, mas não é. O grande objetivo da Segurança da Informação é proteger a informação e não os ativos tecnológicos pelos quais ela passa ou onde está armazenada.

Muito antes dos computadores entrarem na vida doméstica, corporativa ou militar, já víamos nos filmes de agente secreto aqueles envelopes pardos com um carimbo vermelho dizendo “CLASSIFIED: TOP SECRET”. Sabíamos que dentro do envelope havia um segredo muito bem guardado e que poderia modificar o destino se fosse divulgado. Era a proteção da informação já acontecendo em um contexto onde a tecnologia praticamente não existia. Notem como informação e tecnologia são coisas conceitualmente independentes.

Entretanto, à medida que a informação começou a sair do papel e habitar o meio digital, os cuidados de proteção foram transportados para a base tecnológica. Mesmo os apaixonados por computação, como eu, não podem se deixar levar por esse movimento sob pena de perderem de vista o verdadeiro foco, que é a informação.

Mas como se protege a informação? Ou, antes disso, o que é Segurança da Informação?

Segurança da Informação é a disciplina que visa preservar a confidencialidade, a integridade e a disponibilidade da informação (CID). São estes os três pilares que detalho a seguir.

Confidencialidade

Significa garantir que a informação não será conhecida por pessoas que não estejam autorizadas para tal.

Esse conceito é o mais interessante dos três pilares, talvez porque tenha a ver com sigilo e segredo; e isso mexe com a curiosidade humana. No mundo corporativo, também é o aspecto mais estratégico, pois a confidencialidade da informação protege o capital intelectual e por consequência as vantagens competitivas da empresa.

Toda empresa investe dinheiro e/ou energia para criar conhecimentos de negócio e de operação, energia essa que não deixa de ser dinheiro, mas em formato de homem-hora. Esse conhecimento é o catalizador que possibilita transformar o trabalho dos colaboradores no lucro do acionista e o vazamento de capital intelectual dá aos concorrentes o mesmo bônus do conhecimento que a empresa tem, mas sem o ônus do investimento que a mesma fez para construí-lo.

Quando o vazamento acontece, estabelece-se uma corrida injusta em que a empresa vai a pé e o concorrente de helicóptero, o que me faz pensar que é bem melhor e sai bem mais barato investir para preservar a confidencialidade do que entregar de bandeja para o concorrente todo o investimento feito na inteligência do negócio.

Vamos ao segundo pilar: Integridade

Significa garantir que a informação armazenada ou transferida está correta e é apresentada corretamente para quem a consulta.

Esse pilar pode ser menos emocionante, mas é absolutamente crítico do ponto de vista operacional, pois valida todo o processo de comunicação em uma empresa ou comunidade.

Toda empresa comunica-se interna e externamente o tempo todo, transmitindo números, resultados, projeções, estratégias, regras, procedimentos e dados em todas as direções; e a comunicação efetiva só acontece quando o emissor e o receptor da informação a interpretam da mesma maneira.

Isso já não é tarefa simples quando a informação está íntegra. Torna-se então tarefa muito mais lenta e trabalhosa quando a informação é adulterada ou corrompida no meio do caminho entre emissor e receptor. Informação sem integridade demanda verificação, correção e retrabalho, portanto, causa desperdício de energia, que se traduz em dinheiro, como dito acima.

Considerando-se o gigantesco e crescente volume de mensagens e dados que circulam atualmente nas empresas, a integridade da informação aparece como indispensável. Falta de integridade de informação gera ineficiência, isto é, mais custo para a mesma receita e, em consequência, menor margem de lucro. No limite, pode prejudicar o fluxo de caixa a ponto de quebrar uma empresa.

Ao terceiro e último pilar: Disponibilidade

Significa garantir que a informação possa ser obtida sempre que for necessário, isto é, que esteja sempre disponível para quem precisar dela no exercício de suas funções.

Esse pilar também está ligado à questão operacional da empresa, mas de uma maneira muito mais direta do que a integridade.

No mundo em que vivemos praticamente todos os processos de trabalho de uma empresa dependem de chegada ou busca de uma informação para acontecerem. Quando a informação está indisponível, os processos que dela dependem simplesmente ficam paralisados. Caso haja indisponibilidade de um conjunto grande ou especificamente crítico de informações, a empresa pode parar e entrar em estado de lucro cessante, quando não de prejuízo.

Vivemos na sociedade do conhecimento, onde a informação é ativo valioso para qualquer negócio. Nesse contexto, sem confidencialidade perde-se vantagem competitiva, sem integridade perde-se lucratividade e sem disponibilidade perde-se a capacidade de operar. Isso equivale a dizer que sem Segurança da Informação, uma empresa tem muito mais dificuldade em crescer, em lucrar e em sobreviver. Segurança da Informação é Segurança do Negócio.

Abraços e até o próximo post!

Publicado originalmente em ticianobenetti.wordpress.com


4 Comentários

Thiago
3

Prezado Ticiano, parabéns pelo artigo.
Gostaria de contribuir apenas com relação a parte da INTEGRIDADE pois vejo que seu conceito não está totalmente de acordo com o que os profissionais de segurança consideram como integridade. Talvez tenha sido apenas a forma de escrever, mas faz muita diferença.
Garantir a integridade da informação não é garantir que a informação está correta, mas sim que ela não foi alterada. A informação estando correta ou errada, ela precisa ser entregue da mesma maneira. Se a informação é: “1+1=11”, é assim que ela deve ser armazenada, transportada e entregue, independente de estar certa ou errada ou de qualquer interpretação em cima dela.
Não é possível garantir que o emissor e o receptor vão “interpretar” a informação da mesma maneira. O que precisa é que eles tenham acesso exatamente à mesma informação, independente de como ambos a interpretam.
Parece bobagem isso, mas a diferença de conceitos é muito grande.
Paz e bem!
Abraços.

Deixe seu comentário

Seu endereço de e-mail não será publicado. Campos com * são obrigatórios!