Conheça os 3 pilares da Segurança da Informação e saiba como a ISO 27001:2013 pode ser um diferencial nas suas operações
No artigo de hoje, vou falar um pouco sobre os 3 pilares da Segurança da Informação. Afinal, com o advento da LGPD (Lei Geral da Proteção de Dados), a segurança das informações tem tomado cada vez mais espaço no mercado.
Apesar de muitos profissionais se confundirem, a ISO 27001 e a LGPD são bastante distintas. A 27001 é um padrão ISO, de adoção voluntária e que pode ser um diferencial para sua empresa. Já a LGPD é uma lei nacional, e que precisa ser atendida por todas as empresas brasileiras e tem foco específico na proteção de dados individuais.
De qualquer forma, percebemos que os 3 pilares da segurança da informação presentes na ISO 27001 são extremamente aderentes a qualquer empresa e podem ajudar muito no trato da informação. Eles são a base para construir um sistema que proteja a própria empresa e garanta que, também, seus clientes tenham a proteção que merecem.
A LGPD não é o assunto do meu texto de hoje, mas se você também estiver interessado nessa lei, te convido a relacionar os conceitos discutidos aqui com a lei brasileira. Inclusive, se você estiver interessado em LPGD, fizemos um webinar há alguns dias, vale a pena assistir, e temos um curso totalmente online também.
Os 3 pilares da segurança da informação são Disponibilidade, Confidencialidade e Integridade. Vejamos cada um deles:
Disponibilidade
Esse pilar está diretamente à possibilidade de acesso às informações. Segundo ele, as informações precisam estar sempre à disposição, e em 2 níveis:
- Tempo – Quando as informações forem necessárias;
- Localidade – Onde elas precisem ser utilizadas.
Dessa forma, um documento não pode ficar indisponível para aqueles que necessitam dele, independente de qual seja o motivo.
Obviamente, existem regras envolvidas na disponibilidade das informações. E esse princípio é diretamente afetado pelo nosso próximo conceito, o pilar da Confidencialidade.
Confidencialidade
O segundo dos 3 pilares da segurança da informação é a confidencialidade. Segundo ele, o acesso as informações devem ser concedidas apenas a quem tem permissão para acessá-las.
Dessa forma, mesmo que as informações estejam disponíveis onde e quando necessário, é preciso garantir que apenas quem tem autorização vá acessá-las.
De certa forma, aqui, há um ponto de ligação interessante entre a norma ISO e a LGPD. Esse pilar está diretamente ligado a LGPD, cuja temática se pauta na proteção de dados individuais, os quais só podem ser compartilhados com autorização expressa de seus detentores.
Integridade
Esse talvez seja o pilar que mais causa dúvidas nos profissionais de sistemas de gestão. Entretanto, veremos que ele não é nenhum bicho de sete cabeças. Basicamente, podemos dizer que o pilar da Integridade se divide em 3.
- Precisamos evitar que as informações deteriorem ou percam a capacidade de serem compreendidas. Isso significa, por exemplo, que não podem haver informações armazenadas em documentos físicos que estão “mofando”. Se o papel se deteriorar, a informação perde sua integridade. No caso do meio digital, podemos citar documentos corrompidos ou bancos de dados comprometidos;
- Além disso, precisamos proteger os dados contra qualquer tipo de alteração NÃO intencional. Ao, por exemplo, atualizar um cadastro de um cliente, é possível que o responsável pela atualização se confunda e atualize o cadastro do cliente errado. Isso corresponde há uma quebra na integridade da informação. Vale notar que mesmo incorreta, a informação ainda pode atender os outros pilares, ou seja, pode estar disponível e atender aos princípios de confidencialidade;
- Também precisamos garantir que as alterações intencionais mantenham a informação integra e correta. Assim, nossos sistemas de gestão precisam ter dispositivos que garantam que alterações de má fé não sejam feitas (ou sejam detectadas), bem como que alguma possível alteração errônea, por falta de treinamento por exemplo, não seja feita. Resumindo, o “conteúdo” da informação precisa ser integro e confiável.
Resumindo:
Se pudéssemos resumir os 3 pilares da segurança da informação uma única frase, eu diria que:
As informações que decidimos controlar precisam estar disponíveis onde e quando necessárias (Disponibilidade), garantindo que somente quem tem autorização terá acesso a elas (Confidencialidade) e, não menos importante, garantindo que essa informação é confiável e pode ser utilizada para os devidos fins (Integridade).
A importância da Segurança da Informação
Sem demagogia, podemos afirmar que a informação está presente em TODAS as empresas e em TODOS os setores de cada empresa. Assim, gerenciar essas informações passou a ser uma necessidade das partes interessadas como um todo.
Como se isso já não fosse suficiente, um sistema de gestão de informações verdadeiramente eficaz pode inclusive fornecer dados úteis a empresa, ajudando-a a obter diferenciais competitivos e melhorar como um todo.
Além disso, com a chegada da LGPD, a segurança da informação ganhou um aspecto ainda mais importante: a proteção das pessoas e de suas informações. Como eu disse, LGPD e 27001 são coisas diferentes, mas empresas que já atuavam para proteger e gerenciar seus dados, certamente, estão um passo mais próximas da nova lei (no mínimo ao que tange à conscientização).
Aprenda mais sobre a ISO 27001 em nosso curso de auditor líder, mais informações aqui. Se você busca especialização na LGPD também, aproveite nosso combo ISO 27001 + ISO 27701 + LGPD.
