Abrir menu principal

Segurança da informação e comunicações

Merge-arrows 2.svg
Foi proposta a fusão deste artigo ou se(c)ção com Segurança da informação (pode-se discutir o procedimento aqui). (desde abril de 2019)
Edit-delete-not encyclopedic3.svg
Este artigo ou parte de seu texto pode não ser de natureza enciclopédica. (desde julho de 2010)
Observações: A redação é "de manual" ou académica (de artigo científico), com trechos que soam a pesquisa inédita. O tema é, senão vago, pelo menos demasiado vasto para que o texto que existe possa ser considerado enciclopédico Vide página de discussão.
Ambox important.svg
Foram assinalados vários aspectos a serem melhorados nesta página ou se(c)ção:

Segurança da informação e comunicações é o conjunto de ações que objetivam viabilizar e assegurar a disponibilidade, a integridade, a confidencialidade e a autenticidade das informações.[1]

Ações de segurança da informação e comunicações são realizadas com dois propósitos: primeiro para conquistar e segundo para assegurar um conjunto de quatro propriedades essenciais para as informações, quais sejam: disponibilidade, integridade, confidencialidade e autenticidade. O mnemônico para facilitar a memorização do conceito é “DICA”, sendo: D para Disponibilidade; I para Integridade; C para Confidencialidade; e A para Autenticidade. Entender o significado de cada propriedade que integra a DICA é essencial para entender o conceito de segurança da informação e comunicações.

DisponibilidadeEditar

Disponibilidade é a “propriedade de que a informação esteja acessível e utilizável sob demanda por uma pessoa física, por um órgão ou sistema” (IN01 GSIPR, 2008). Quanto a disponibilidade pode-se pensar na oportunidade de acesso à informação. Não basta ter acesso a uma informação fora de seu tempo de uso. O esforço para disponibilizar informação deve levar em consideração a oportunidade de seu uso. Uma série de ações ou de boas práticas é necessária para manter a disponibilidade. Destacam-se as seguintes: uso de “backups”; cópias de segurança; redundância de sistemas; eficácia no controle de acesso; e eficiente gestão de continuidade de negócios (GCN). A eficácia do controle de acesso é uma variável muito difícil de ser avaliada, pois tem como contrapeso a confidencialidade, que tende a não tornar disponível a informação. Entretanto a disponibilidade da informação deve ser a regra, enquanto as medidas de restritivas de acesso relativas a confidencialidade devem ser exceções.

IntegridadeEditar

Integridade é a “propriedade de que a informação não foi modificada ou destruída de maneira não autorizada ou acidental” (IN01 GSIPR, 2008). Nota-se que o conceito de integridade é mais complexo e justifica-se pela necessidade de tornar bem claro o que significa completa certeza e exatidão da informação. Para destruição de uma informação é importante observar normas que regulamentam tal procedimento. Além disso, é importante observar que o termo integridade também pode dizer respeito ao comportamento de quem trata a informação. Desejável é o comportamento ético, responsável e sustentado em bases legais. Integridade, dessa forma, é uma atitude da pessoa compromissada com a legalidade, a justiça e a ética através das ações no cotidiano. Quando uma pessoa é íntegra não há lugar para ilegalidade, falsidade, enganação, modificação ou destruição.

ConfidencialidadeEditar

Confidencialidade é a propriedade de que a informação não esteja disponível a quem não tem autorização nem esteja credenciado. A questão do credenciamento relaciona-se com a necessidade de conhecer. A confidencialidade envolve a classificação em graus de sigilo, o credenciamento de acesso e medidas de proteção e de acesso em geral. A confidencialidade, na maioria das vezes, é apresentada sob enfoque de sigilo, o que não deixa de estar correto, porém existe outro aspecto a considerar que é a ética de preservar ou guardar um informação nem sempre classificada como sigilosa. Isto significa que nem sempre a informação tenha de receber um grau de sigilo para justificar a necessidade de medidas de proteção. Outro instrumento não menos importante que classificação em graus de sigilo é a criptografia.

AutenticidadeEditar

Autenticidade está dentro da Integridade. É a propriedade de que a informação foi produzida, modificada ou descartada por uma determinada pessoa física, órgão, entidade ou sistema. Esta propriedade tem relevância fundamental para a segurança da informação e comunicações, quando se incluem os processos de transmissão e réplicação da informação no termo comunicações. Nesse aspecto é necessário estabelecer protocolos e regras claras para o emissor e o receptor da informação. A autenticidade relaciona-se com a confirmação de autoria, a certificação e a originalidade da informação. Uma das formas para verificar a autenticidade em meio eletrônico é a assinatura digital.

Por que o termo comunicações?Editar

Na história da humanidade, possivelmente não houve processo tão espetacular para o tratamento da informação como a computação. A evolução da computação, desde o tempo do mainframe tem contribuído de forma decisiva para o que se tem sido denominado de convergência digital. Reforça este argumento a rápida evolução pela qual tem passado a internet, Com a evolução da informática e, mais recentemente, com o fenômeno da convergência, o termo “comunicações” passou a incorporar uma nova expressão denominada tecnologia da informação e comunicações.

Depreende­-se que as comunicações fazem parte do universo da segurança da informação. Tal visão parece estar em conformidade com a ABNT 27002. Nessa norma, a gestão das operações e comunicações é tratada como sendo uma das seções que compõem o conjunto de controles a serem implementados pela segurança da informação. Certamente é a seção com maior número de categorias e respectivos objetivos de controle, sendo dez categorias que se subdividem em trinta e dois objetivos de controles. Esta forma de tratar as comunicações não parece satisfatória quando se trata de organizações governamentais, por reduzir a aplicação do termo aos níveis táticos e operacionais da gestão de segurança da informação. Vale resgatar o entendimento do termo comunicações em seu sentido mais amplo, incluindo todo o processo pelo qual uma mente influi sobre a outra. Dessa forma, comunicações poderiam envolver todos os aspectos dinâmicos para sobrevivência de um sistema. Comunicações seriam os processos, os comportamentos, as relações e as trocas entre as estruturas (informações) de um sistema. Para entender um pouco mais esta argumentação, que promove as comunicações ao mesmo patamar de importância da segurança da informação, vale recordar que existem três níveis de problemas de comunicação:

  • Nível A – Com que exatidão podem ser transmitidos os símbolos de comunicação? (Este é o problema técnico.)
  • Nível B – Com que precisão os símbolos transmitidos transferem o significado desejado? (Este é o problema de semântica.)
  • Nível C – Com que eficiência o significado recebido afeta o comportamento, a conduta do receptor em relação à finalidade desejada e prevista? (Este é o problema da eficiência.)[2]

O primeiro nível de problema técnico relaciona­-se com a exatidão de transferência de um conjunto finito de símbolos em função de tempo ou de espaço. Aqui tem se concentrado o esforço da informática, das telecomunicações e das modernas ferramentas de convergência digital. Aqui também tem sido a área de concentração da segurança da informação. O nível de problema semântico das comunicações diz respeito a uma aproximação bem próxima e satisfatória da interpretação do significado captado pelo receptor, comparando com o significado previsto pelo transmissor. Aqui as comunicações assumem caráter cultural. Entender o significado da informação recebida com a mesma interpretação dada pelo seu emissor é fenômeno complexo que, ainda hoje, não existe solução que ultrapasse os limites do tolerável. As aproximações são idealizadas na formulação de protocolos e na construção de símbolos que construam uma linguagem de alcance transcultural.

O terceiro e último nível, dos problemas de eficiência, condiciona-se ao êxito alcançado em relação à mudança de conduta, desejada ou prevista, no receptor da mensagem. Seria ingenuidade considerar ausência de interesse na mudança comportamental no receptor, por parte do transmissor de uma informação. Aqui é o campo da psicologia, da sociologia, da antropologia e da comunicação social. Não existe relato sobre trabalho desenvolvido na área de segurança da informação para enfrentar problemas nesse nível. Ainda não há como oferecer qualquer tipo de garantias ou de segurança na solução deste problema.

Para entender o conceito de segurança da informação e comunicações é essencial analisar o alcance do termo comunicações, englobando soluções para os três níveis de problemas citados. Para conseguir isso é vital entender a concepção estratégica para o termo comunicações.

Referências

  • ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC 17799:2005: Tecnologia da Informação: Técnicas de Segurança: Código de prática para a gestão da segurança da informação. Rio de Janeiro: 2005.
  • ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC 27001:2006: Tecnologia da Informação: Técnicas de Segurança: Sistema de gestão de segurança da informação: Requisitos. Rio de Janeiro: 2006.
  • BOBBIO, Norberto. Dicionário de política/ Nicolai Matteucci … [et al.]; coordenação da tradução João Ferreira: 4ª edição. Editora Universidade de Brasília, Brasília: 1992.
  • BORDIM, Jacir Luiz. Controles de Segurança da Informação. Universidade de Brasília, Curso de Especialização em Gestão de Segurança da Informação e Comunicações, CEGSIC, Brasília, 2008, Apostila.
  • BRASIL. Decreto nº 5772, de 8 de maio de 2006. Aprova a Estrutura Regimental e o Quadro Demonstrativo dos Cargos em Comissão e das Gratificações de Exercício em Cargo de Confiança do Gabinete de Segurança Institucional da Presidência da República, e dá outras providências. Diário Oficial 9 de maio de 2006.
  • BRASIL. Instrução Normativa n° 01, do Gabinete de Segurança Institucional da presidência da República, 13 de junho de 2008, Disciplina a Gestão de Segurança da Informação e Comunicações na Administração Pública Federal, direta e indireta, e dá outras providências, publicada no Diário Oficial da União n° 115, Seção 1, 18 de junho de 2008, Brasília, disponível no site: http://dsic.planalto.gov.br
  • LEVEQUE, Vicent. Informatio Security a Strategic Approach, IEEE Computer Society Publications. Wiley­Interscience Publication. United States of America, 2006.
  • SHANNON, Claude E. & WEAVER, Warren. A Teoria Matemática da Comunicação. Título original: The Mathematical Theory of Communication, publicado por The University of Illinois Press, 11ª edição, 1967. Tradução de Orlando Agueda, DIFEL, São paulo e Rio de Janeiro, 1975.
  • SIMIÃO, Reinaldo Silva. Segurança da Informação e Comunicações: um conceito aplicável em organizações governamentais. Monografia apresentada ao Departamento de Ciência da Computação da Universidade de Brasília como requisito parcial para a obtenção do título de Especialista em Gestão de Segurança da Informação e Comunicações, sob orientação do Professor Doutor Jorge Henrique Cabral Fernandes e aprovada pela banca em 23 de junho de 2009.
  • SIQUEIRA, André Henrique. Sobre a Natureza da Tecnologia da Informação: Ciência da Informação/Instituto Brasileiro de Informação em Ciência e Tecnologia, volume 37 – número 1 jan./abr.2008. Brasília, 2008.