Segurança da informação significa proteger seus dados e sistemas de informação de acessos e uso não autorizados, divulgação, modificação, leitura, gravação, inspeção e destruição. O conceito de segurança da informação está ligado à confidencialidade, integridade e disponibilidade da informação. O conceito de segurança de processamento está ligado à disponibilidade e operação da infraestrutura computacional. Esses conceitos são complementares e asseguram a proteção e disponibilidade das informações das organizações. O impacto da perda e ou violação de informações para empresa é enorme e pode, em alguns casos, a leva-la a falência. Casos reais de empresas que tiveram seus ambientes invadidos por hackers sofreram quedas no valor de suas ações nas bolsas de valores. A questão de segurança da informação cresce em importância com o uso intensivo do comércio eletrônico e das redes sociais. Com uma multiplicidade de tecnologias envolvidas é necessário à especialização nas áreas de infraestrutura, softwares, banco de dados, testes de segurança, gestão de risco, auditoria, planejamento de continuidade de negócios, técnicas forense digital, etc.
As diretrizes para a segurança dos sistemas e redes de informação, definida pelo OCDE (Organisation for Economic Co-operation and Development), propôs nove princípios geralmente aceitos: consciência e responsabilidade; resposta; ética; democracia; avaliação de risco; design e implantação de segurança; gestão da segurança e reavaliação. Uma evolução da tríade clássica da segurança (integridade, confidencialidade e disponibilidade) foi revista e hoje conta com seis elementos: confidencialidade, posse, integridade, autenticidade, disponibilidade e utilidade.
Uma questão que o comércio eletrônico tenta resolver é como evitar o não repúdio em transações eletrônicas. O não repúdio é o fato de depois de registrado uma solicitação de compras o comprador no momento do recebimento da mercadoria se nega a recebê-la. Este fato ocorre, pois não existe a garantia que o solicitante é quem está recebendo a mercadoria. Isso gera um enorme prejuízo às empresas de comércio eletrônico que devem pela lei do consumidor retornar sem custo para o comprador a mercadoria. A solução para isso é o uso de tecnologias de assinaturas digitais e criptografia de chave pública para verificar a autenticidade do comprador e evitar o não repúdio.
Um ponto crucial da estratégia empresarial é a gestão de risco de segurança da informação. Esse tema não é apenas uma questão da área de TI, é uma questão corporativa. O conceito de gestão de risco é o processo de identificação de vulnerabilidade e ameaças para os recursos de informação usados por uma organização para alcançar objetivos de negócios, e decidir contra medidas, se houver, para mitigar o risco a um nível aceitável, com base no valor da informação para a organização. Pesquisas mostram que o fator humano é a maior componente de risco para as organizações.
Para gerenciar o risco, a ISO 27002:2005 recomenda a análise e controle dos seguintes pontos:
- Política de segurança;
- Organização da segurança da informação;
- Gestão de ativos;
- Recursos humanos;
- Segurança física e ambiental;
- Gestão da operação e comunicação;
- Controle de acessos;
- Sistemas de aquisição de informação, desenvolvimento e manutenção;
- Informações sobre segurança e gerenciamento de incidentes;
- Gestão de continuidade de negócios, e
- Conformidade regulatória.
O processo de gestão de risco envolve os seguintes pontos:
- Identificação dos ativos e estimar o seu valor. Incluem: pessoas, edifícios, hardwares, software, dados e suprimentos;
- Realizar uma avaliação das ameaças. Incluem: atos da natureza, acidentes, atos maliciosos de dentro e fora da organização e atos de terrorismo;
- Conduzir uma avaliação de vulnerabilidade. Para cada vulnerabilidade calcular a probabilidade de ocorrência. Avaliar as políticas, procedimentos, normas, treinamento, segurança física, controle de qualidade e técnicas de segurança;
- Calcular o impacto que cada ameaça tem sobre cada ativo através de análises quantitativa e qualitativa;
- Identificar e selecionar os controles apropriados, considerando a produtividade, rentabilidade e valor do ativo;
- Avaliar a eficácia das medidas de controle para assegurar que os controles forneçam a proteção necessária a um custo eficaz sem perda de funcionalidade.
Essas análises devem ser submetidas aos dirigentes da organização que podem optar por aceitar o risco ou investir em projetos para mitigar os riscos. Embora não livre a responsabilidade da empresa, o risco pode ser transferido para uma empresa especializada na modalidade de outsourcing.
A gestão de segurança da informação é complexa e multidisciplinar. Para apoio aos processos de design, análise e operação as seguintes ferramentas são recomendadas:
- Sistema de firewall;
- Sistema de detecção de intrusão;
- Sistema de antivírus;
- VPN, virtual private network
- PKI, public key infrastructure;
- Sistemas de criptografia;
- Sistema de gestão de identidade.