A gestão da informação conforme a sensibilidade e a criticidade
Redação
A segurança da informação é um conjunto de práticas destinadas a manter os dados protegidos contra acessos não autorizados ou alterações, tanto quando estão sendo armazenados quanto quando estão sendo transmitidos de uma máquina ou local físico para outro. Um dado pessoal sensível é aquele sobre a origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural e a criticidade do nível de impacto que pode advir da divulgação ou do uso indevido da informação. Dessa forma, deve a confidencialidade é talvez o elemento da tríade da segurança da informação que mais imediatamente vem à mente quando você pensa em segurança da informação. Os dados são confidenciais quando apenas as pessoas autorizadas a acessá-los podem fazê-lo e, para garantir a confidencialidade, precisa-se ser capaz de identificar quem está tentando acessar os dados e bloquear tentativas sem autorização. Senhas, criptografia, autenticação e defesa contra ataques de penetração são técnicas projetadas para garantir a confidencialidade. A integridade significa manter os dados em seu estado correto e evitar que sejam modificados indevidamente, seja por acidente ou maliciosamente. Muitas das técnicas que garantem a confidencialidade também protegerão a integridade dos dados - afinal, um hacker não pode alterar os dados que não pode acessar - mas existem outras ferramentas que ajudam a fornecer uma defesa da integridade em profundidade: somas de verificação podem ajudá-lo a verificar os dados integridade, por exemplo, e software de controle de versão e backups frequentes podem ajudá-lo a restaurar os dados para um estado correto, se necessário. A disponibilidade é a imagem espelhada da confidencialidade: embora se precise garantir que os dados não possam ser acessados por usuários não autorizados, também se precisa garantir que eles possam ser acessados por aqueles que têm as permissões adequadas. Garantir a disponibilidade de dados significa combinar recursos de rede e de computação com o volume de acesso de dados que você espera e implementar uma boa política de backup para fins de recuperação de desastres. Deve-se compreender as diretrizes para classificação, rotulação, tratamento e gestão da informação, de acordo com a sua sensibilidade e criticidade para a organização, visando o estabelecimento de níveis adequados de proteção.
Da Redação –
Uma coisa importante a se ter em mente é que, em um mundo onde muitas empresas terceirizam alguns serviços de informática ou armazenam dados na nuvem, a política de segurança precisa cobrir mais do que apenas os ativos que se possui. Precisa-se saber como vai lidar com tudo, desde informações de identificação pessoal armazenadas na nuvem até contratados terceirizados que precisam ser capazes de se autenticar para acessar informações corporativas confidenciais.
A primeira consideração de segurança, confidencialidade, geralmente requer o uso de criptografia e chaves criptográficas. A segunda consideração, integridade, implica que quando os dados são lidos, eles serão exatamente os mesmos de quando foram gravados. Em alguns casos, pode ser necessário enviar os mesmos dados para dois locais diferentes, a fim de proteger contra a corrupção de dados em um lugar. A terceira parte é a disponibilidade que visa garantir que os novos dados possam ser usados em tempo hábil e os dados de backup possam ser restaurados em um tempo de recuperação aceitável.
Na infraestrutura de computação empresarial moderna, é prová...