Com o avanço acelerado das Tecnologias da Informação e da Comunicação nos últimos anos, importantes ganhos para a humanidade que proporcionam crescimento e produtividade foram trazidos. Contudo, esse cenário tem colocado as organizações diante de riscos ao acesso e ao ataque às informações armazenadas em sistemas computacionais.

A informação, ativo cada vez mais valorizado, impacta diretamente na continuidade dos negócios e na sua credibilidade diante de um mercado cada dia mais competitivo.

Ao buscar soluções para mitigar esses riscos, as empresas procuram estabelecer um conjunto de boas práticas com Políticas de Segurança, funções e responsabilidades definidas para assegurar um adequado nível de segurança às estratégias de negócio.

Para isso, faz necessário um bom planejamento para implementar o Sistema de Gestão de Segurança da Informação, chamado aqui de SGSI.

Fundamentalmente a Segurança da Informação está baseada em três princípios básicos: Confidencialidade, Integridade e Disponibilidade.

O SGSI abrange um conjunto de processos e procedimentos, baseado em normas ISO, para prover segurança no uso dos ativos tecnológicos de uma empresa. Tal sistema deve ser seguido por todos aqueles que se relacionam direta ou indiretamente com a infraestrutura de TI da organização.

Toda essa orientação está prevista no SGSI, onde sua implantação envolve primeiramente:

1. Análise de riscos na infraestrutura de TI para identificar os pontos vulneráveis e as falhas nos sistemas que deverão ser corrigidos.
2. Processos para detectar e responder aos incidentes de segurança assegurando, em casos emergenciais, o pronto restabelecimento dos sistemas e o acesso seguro às informações
3. Procedimentos para auditoria.

O que proteger?

O que proteger cabe à diretoria e aos departamentos estratégicos da empresa definir, pois existem informações de cunho competitivo, inclusive no aspecto legal, as quais devem ter um tratamento diferenciado. Isso porque cada empresa possui suas particularidades em seus respectivos segmentos e ninguém melhor do que a própria empresa para definir quais informações são importantes. O objetivo do SGSI é exatamente este, tratar adequadamente as informações restritas, sejam elas comerciais, financeiras, políticas ou até mesmo legais.

Uma vez definido o que é importante (também tratado como crítico) para o negócio, o SGSI, com o apoio da tecnologia, aplicará as medidas necessárias para classificar e tratar estas informações.

Fazem parte da manipulação destas informações:

• Saber quais processos de negócios envolvem ou geram estas informações;
• Estar claro quem deve ter acesso;
• Quais os tipos de acesso existirão;
• Quem será o “dono” dessa(s) informação(ões);
• Existir classificação da informação (Pública, Restrita ou Confidencial);
• Auditoria e Monitoramento periódico;
• Como descartar a informação;
• Existir termos de Responsabilidade e Confidencialidade;
• Definir uma matriz de responsabilidades.

Com todos os conceitos aqui apresentados, possuir uma sólida SGSI se torna fundamental para a preservação da empresa, com relação as informações por ela tratada e competitividade no mercado alinhada a estratégia de negócios.