Fundamentos

de Segurança
da Informação
 QUEIROZ, Z. C. L. S.
SST Fundamentos de Segurança da Informação / Zandra
Cristina Lima Silva Queiroz
Ano: 2020
nº de p.: 10 páginas

Copyright © 2020. Delinea Tecnologia Educacional. Todos os direitos reservados.

 Fundamentos de
Segurança da Informação

Apresentação
A Segurança da Informação é definida como um mecanismo que assegura a
proteção das informações, visando a garantir a integridade, a disponibilidade e a
confidencialidade delas.

Nesse sentido, vamos estudar os princípios básicos de Segurança da Informação,

a classificação e o controle dos ativos de informação, bem como a classificação da
informação quanto aos requisitos de segurança.

Princípios básicos de Segurança da

Informação
Vários autores concordam que tais conceitos são os alicerces da Segurança da
Informação. Por isso, vamos nos aprofundar sobre tais conceitos:

• Integridade: o princípio da integridade baseia-se em garantir que a informação

não será alterada após o seu armazenamento, ou seja, é a “garantia da cria-
ção legítima e da consistência da informação ao longo do seu ciclo de vida”
(BEAL, 2008, p.17).
• Disponibilidade: o princípio da disponibilidade garante que as informações es-
tarão sempre disponíveis para as pessoas que possuem autorização de aces-
so a elas, é “a garantia de que a informação e os ativos associados estejam
disponíveis para os usuários legítimos de forma oportuna” (BEAL, 2008, p.17).
• Confidencialidade: o princípio da confidencialidade garante que somente as
pessoas autorizadas possam acessar as informações, ou seja, “que o acesso
à informação é restrito aos seus usuários legítimos”. (BEAL, 2008, p.17);

3
 Saiba mais
Você pode pesquisar sobre dois outros princípios, que são:
princípio da legalidade (garantia de que a informação foi produzida
em conformidade com a lei) e o princípio da irrevogabilidade
(garantia de que o autor de uma transação feita anteriormente não
seja capaz de negar tal autoria sobre o ato).

Ciclo de vida da informação

Conforme argumenta Galvão (2015, p. 71), “existem momentos que a informação
é colocada em risco e tais momentos identificam o ciclo de vida da informação”.
Vamos entender melhor essa frase! Pense que o ciclo de uma vida passa por
algumas etapas. Neste caso, além de garantir os princípios fundamentais de
segurança da informação em si, há também a preocupação com a segurança desde
a obtenção, o tratamento, armazenamento, uso, distribuição e descarte. Isto é, o
sentido de segurança da informação expande-se e desdobra-se em várias etapas, as
quais veremos como ocorrem na figura a seguir:

Ciclo de vida da informação.

Organização
Informação Identificação de
coletada necessidades e
requisitos
externamente
Obtenção Tratamento

Armazenamento

Uso Distribuição

Informação Informação
produzida pela Descarte produzida pela
organização e organização e
destinada ao destinada aos
público interno públicos externos

Fonte: BEAL (2008, p.4)

4
Vamos pensar em um exemplo real para visualizarmos como acontecem essas
etapas. Primeiro, imagine que você trabalha na área financeira de uma empresa e se
depara com os seguintes processos:

Obtenção

Tem em seu computador uma planilha com informações restritas de clientes.

Tratamento

As informações são atualizadas sempre que necessário.

Armazenamento

Essas informações pessoais dos clientes ficam salvas em um banco de dados

Distribuição

Sempre que necessário, você envia esses dados para os colegas de equipe.

Uso

O colega de equipe faz uso desses dados.

Descarte

Em um determinado momento, você precisa criar uma nova planilha e excluir a

antiga.

No momento da exclusão, a planilha não foi removida do computador, pois ficou

armazenada na lixeira, e as informações trocadas via e-mail também não foram
devidamente apagadas. Em seguida, você descarta esse computador sem se
preocupar com essas ações. Essa atitude expõe informações restritas e pessoais
que, nesse caso, são de terceiros, deixando-as disponíveis para serem acessadas por
pessoas desautorizadas.

5
Esse exemplo demonstra que os princípios de segurança da informação são
utilizados em todo o ciclo de vida da informação, mesmo para aquelas que em um
dado momento não são mais utilizadas.

Classificação e controle dos ativos de

informação
O conceito de ativo, segundo Galvão (2015, p.3), compreende qualquer parte que
componha a estrutura da organização ou que possua valor para a organização.

Nesse sentido, a norma NBR ISO/IEC 27002:2005 (ABNT, 2005, p.21) caracteriza
ativos de informação como: base de dados, contratos, acordos, imagens,
equipamentos e serviços de computação e comunicação em geral.

Um dos objetivos primordiais da segurança da informação é o de proteger todos

os ativos de informação e, desse modo, identificar e descrever os ativos, facilitar
a gestão da segurança e a proteção desses elementos são fundamentais para a
organização.

A classificação dos ativos é feita de acordo com critérios apropriados e varia de

acordo com a estrutura da organização e o grau de importância que ela determina
para cada ativo, porém sempre visando à garantia dos princípios básicos:
confidencialidade, integridade e disponibilidade.

Reflita
Vamos analisar um exemplo de um banco que guarda informações
como: nome, endereço, valor em conta, senhas de acesso. Você
acha que todas essas informações devem ser confidenciais?
Agora imagine que todas essas informações sejam públicas
e que alguém solicite a senha de acesso de outra pessoa. Seria
inadmissível, não?

De acordo com Galvão (2015, p.6) não existe um padrão de classificação dos ativos
da informação e cada uma deve construí-la de acordo com suas especificidades e
ramo de negócio.

6
É importante salientar que, embora não exista um padrão pré-determinado de
classificação, Beal (2008, p.59) recomenda a divisão dos ativos em três categorias, a
saber: pessoal, segurança nacional e de negócio.

Após a classificação dos ativos, é necessária a realização de um inventário dos

ativos existentes e, somente depois, classificá-los de acordo com o valor e o grau de
sensibilidade. Dessa maneira, será possível determinar com precisão os requisitos
de tratamento e proteção deles. Nesse sentido, Beal (2008, p.60) argumenta que tal
classificação permite, também, que a organização consiga enxergar o impacto de
cada atitude para proteger os ativos e, como isso, pode influenciar nas atividades da
organização.

Altos níveis de segurança exigem maiores investimentos

Fonte: Plataforma Deduca (2020).

Todo esse processo de proteção dos ativos envolve um investimento alto. Por
exemplo, se for realizado um investimento para a proteção de todos os ativos,
como armazenar, impedir o acesso indevido e recuperar informações em caso de
falhas, isso pode acarretar enormes gastos de dinheiro, recursos e capacidade
de processamento. Por isso, em alguns cenários, é preciso ser mais estratégico
e pensar em classificar os ativos, de acordo com a sua criticidade, ou seja, se
são informações essenciais ou não. Assim, somente os ativos mais relevantes
utilizariam os níveis mais altos de segurança e, consequentemente, os custos para
proteção são maiores.

7
 O armazenamento de dados eletrônicos é um exemplo típico: ao
diferenciar-se quais dados são acessados com pouca ou nenhuma
frequência daqueles que precisam estar disponíveis em tempo integral,
é possível não só diminuir os custos de armazenamento como também
minimizar o tempo de produção de cópias-reserva e de recuperação de
dados críticos. (BEAL, 2008, p. 61).

Outro aspecto importante referente à classificação é demonstrado quando os

mecanismos de proteção utilizados para atender a determinado objetivo de
segurança podem afetar negativamente o alcance de outro objetivo.

Classificação da informação quanto

aos requisitos de segurança
O sistema de classificação deve ser elaborado levando em conta as reais
necessidades do negócio, com o objetivo de simplificar a identificação para não
inviabilizar a sua gestão. Segundo Beal (2008, p.63) uma alternativa é classificá-las
quanto aos requisitos de integridade, confidencialidade e disponibilidade. Vamos
conhecer, a seguir, como acontece a classificação em cada um desses requisitos.

Quanto aos requisitos de confidencialidade, recomenda-se classificá-los conforme o

quadro a seguir.

Requisitos de confidencialidade

Requisitos de confidencialidade

Aqueles cujo acesso não autorizado possa acarretar dano

Ultrassecretos
excepcionalmente grave.

Secretos Aqueles cujo acesso não autorizado possa causar dano grave.

Aqueles que devem ser de conhecimento restrito, e cuja revelação não

Confidenciais
autorizada possa frustrar seus objetivos ou acarretar dano à segurança.

Aqueles cujo acesso não autorizado possa comprometer planos,

Reservados
operações ou objetivos neles previstos ou referidos.

Fonte: Beal (2008, p.63)

8
Quanto aos requisitos de disponibilidade, propõe-se classificar os ativos segundo
categorias de tempo necessárias para recuperação, como demonstrado no quadro
a seguir.

Requisitos de disponibilidade

Requisitos de disponibilidade
Categoria 1 Devem ser recuperados dentro de ‘x’ minutos.

Categoria 2 Devem ser recuperados dentro de ‘x’ horas.

Categoria 3 Devem ser recuperados dentro de ‘x’ dias.

Categoria 4 Devem ser recuperados dentro de ‘x’ semanas.

Categoria 5 Devem ser recuperados dentro de um prazo específico (mensal, bimestral etc.).

Categoria 6 Aplicações não críticas.

Fonte: Beal (2008, p.63)

Quanto aos requisitos de integridade, a classificação deve prever o impacto para

a organização da perda de integridade e os investimentos necessários para a
prevenção, detecção e correção dos dados e informações, conforme quadro a seguir.

Requisitos de integridade

Requisitos de integridade
Alta exigência de A perda da integridade pode comprometer as operações ou os
integridade objetivos organizacionais.

Média exigência de A perda da integridade não compromete as operações ou os

integridade objetivos organizacionais, mas pode causar eventuais prejuízos.

Baixa exigência de A perda da integridade pode ser facilmente detectada e/ou

integridade oferecer riscos desprezíveis para a organização.

Fonte: Beal (2008,p.63)

Fechamento
Para ser garantida, a segurança da informação requer diferentes cuidados sobre
diferentes aspectos relacionados à segurança da informação. Neste material,
pudemos entender melhor como garantir a confidencialidade, a disponibilidade e a
integridade da informação.

9
Referências
BEAL, A. Segurança da informação: princípios e melhores práticas para a proteção
dos ativos de informação nas organizações. São Paulo: Atlas, 2008. ISBN:
9788522472109.

GALVÃO, M. C. Fundamentos em segurança da informação. São Paulo: Pearson,

2015. ISBN: 9788543009452.

10