A informação

Victor, Monica
SST A informação / Monica Victor
Ano: 2020
nº de p.: 11

Copyright © 2020. Delinea Tecnologia Educacional. Todos os direitos reservados.

 A informação

Apresentação
Nessa unidade, discutiremos a importância da informação, entendendo que é o
bem mais valioso que qualquer organização pode ter. Faremos a diferenciação da
informação de dados, bem como, explicar de maneira breve e objetiva, o conceito
de big data.

Também serão discutidas as medidas utilizadas para a produção de inventário,

rótulo, manuseio e ciclo de vida de cada informação dentro de uma organização,
enfatizando a importância delas, bem como os tipos possíveis de classificação das
informações existentes.

A informação
A informação é o bem mais valioso de uma organização, independente do seu
segmento de negócio e é através dela que a organização atinge seus objetivos. A
informação pode existir de diversas formas: escrita, falada, impressa, ou através de
meios eletrônicos.

No ambiente digital, o conceito de informação é diferenciado do conceito de dados.

Dados são elementos que ainda não foram analisados, e informações são aquelas
que foram processadas dando um sentido para os dados.

Por exemplo, num banco de dados, você armazena separadamente o endereço,

como rua, número, complemento, bairro etc., se você acessar o complemento
isoladamente ele não faz sentido, agora, quando você agrupa os dados formando o
endereço, aí temos a informação.

3
 Reflita
“Informação é muito mais que um conjunto de dados. Transformar
esses dados em informação é transformar algo com pouco
significado em um recurso de valor para a nossa vida pessoal ou
profissional” (FONTES, 2006, p. 1).

Com o avanço do uso da internet, das redes sociais, dos celulares inteligentes,
dentre outras tecnologias, os usuários vêm gerando um grande volume de dados.

Exemplo
Quando você faz compras virtuais ou pesquisa sobre algum
produto, esses dados ficam armazenados e juntamente com
outros, como sua localização, começam a definir o tipo de
consumidor que você é.

A informação

Fonte: Plataforma Deduca (2018).

4
Transformar estes dados não estruturados em informações é que chamamos de Big
Data. As organizações utilizam esta tecnologia para conhecer e monitorar melhor seus
clientes, estimular os possíveis consumidores, ou ainda antecipar os desejos do cliente
antes que eles peçam, melhorando cada vez mais a experiência de seus clientes.

Os aspectos do Big Data são definidos com os 5Vs:

Volume, Variedade e Velocidade

Que se refere à quantidade de dados;

Veracidade

Que é a qualidade dos dados;

Valor

Que é o benefício que os dados trazem para a organização.

Resumindo, com tantos recursos tecnológicos, a informação pode ser mais

rapidamente acessada a qualquer momento, de diversas formas e ao alcance de
inúmeras pessoas, possibilitando que uma organização possa disponibilizar seus
produtos e serviços mais facilmente.

Diante deste cenário cada vez mais repleto de dados e informações, a proteção da
informação se torna crucial para que a organização garanta a continuidade de seu
negócio, devendo manter mecanismos de segurança adequados.

Classificação da Informação
O primeiro passo para garantir a segurança das informações é a determinação do
que deve ser protegido, bem como o nível de proteção necessária, o que chamamos
de Classificação da Informação.

A classificação da informação consiste em estabelecer o grau de importância das

informações e seu impacto no negócio no caso da ocorrência de um vazamento
de dados.

5
Não existe um padrão para a classificação da informação, ela deve contemplar o
grau de classificação no que tange ao seu sigilo, como por exemplo: confidencial,
restrito, público. A classificação é importante também para identificar o grau de
proteção que a informação necessita, e contribui para a identificação dos controles
necessários para sua proteção, diminuindo o custo da implantação.

Como as informações podem sofrer alterações, com novas legislações que alteram
seu tipo, informações que foram excluídas, outras acrescentadas, dentre outros,
periodicamente é necessário realizar a reclassificação, assim como quando houver
uma necessidade específica.

Uma vez classificadas as informações, elas precisam ter regras para seu manuseio,
acesso e manipulação de forma a garantir sua proteção, ou seja, é necessário que
seja elaborada a Política de Segurança da Informação. Com a política fica explícito
o que a organização espera de cada colaborador para proteção da informação.

O processo de classificação da informação consiste em quatro etapas, conforme

fluxo abaixo:

Fluxo da Classificação da Informação

Fonte: Elaborada pela autora (2018).

Inventário, rótulo, manuseio e ciclo de

vida da informação
O inventário de ativos é primordial para que você saiba quais são os ativos da
informação e quem é o responsável. Os ativos da informação podem ser:

6
 Processos: a informação pode estar no processo
de backup, no processo de transporte de
documentos, dentre outros.
Pessoas: informação transmitida
verbalmente; deve-se estar atento àquilo que
as funções têm acesso.
Ambiente: localização física da informação, onde
estão as instalações do datacenter, onde estão
armazenados os documentos físicos, dentre outros.
Tecnologia: bastante utilizada em todos os
processos do ciclo de vida da informação, cada
vez mais a informação em papel está sendo
substituída pela tecnologia.

A tecnologia está presente em mídias de armazenamento, no processamento

das informações, nos sistemas, nas bases de dados etc.

As normas ISO 27001 e 27002 não determinam quais os níveis de classificação a

informação deve conter, isso depende de cada organização.

A seguir, temos uma classificação da informação utilizada em organizações do

setor privado:

• Confidencial – grau mais alto de confidencialidade da informação. Requer

nível de proteção elevado.
• Restrito – grau médio de confidencialidade da informação. O acesso geral-
mente é restrito a um grupo específico e requer um bom nível de proteção
restritivo.
• Uso Interno – grau baixo de confidencialidade da informação. O acesso é
comum a todos da organização. Requer um nível baixo de proteção interna,
mas devendo ser protegida do mundo externo.
• Pública - não tem confidencialidade, todos podem ver a informação. Não re-
quer proteção de acesso.

No setor público existe a Lei de Acesso à Informação (LAI) que, através do Decreto
7.724, de 16 de maio de 2012, em seu Art. 26 determina: “a informação em poder dos
órgãos e entidades, observado o seu teor e em razão de sua imprescindibilidade à
segurança da sociedade ou do Estado, poderá ser classificada no grau ultrassecreto,
secreto ou reservado”.

7
 Atenção
Lembre-se que a confidencialidade é apenas um dos pilares
da segurança da informação. Os aspectos de integridade e
disponibilidade devem ser observados.

O gestor da informação é o responsável pela classificação da informação e ele

deve fazer isso com base no resultado da análise de riscos considerando o valor
da informação para a organização. Quanto maior o impacto no negócio no caso de
uma falta da confidencialidade maior o grau de classificação da informação.

Rotular a informação também é de responsabilidade do Gestor da Informação e

consiste em colocar rótulos nos documentos físicos e eletrônicos, mostrando o
grau de classificação da informação. As normas ISO 27001 e 27002 também não
possuem recomendações de como fazer ficando por conta de cada organização a
forma de incluir os rótulos nas informações.

Para o manuseio das informações é necessário colocar regras para a proteção

dependendo no grau de sigilo determinado pela organização, e do tipo de mídia
onde a informação está armazenada.

Exemplo de regras de proteção para manuseio da informação

Mídia/
Grau de Uso Pública Interno Restrito Confidencial
sigilo
Acesso a todos Acesso restrito
Documentos Acesso restrito
Acesso de dentro da definido
a um perfil
eletrônicos consulta a todos organização para por perfis de
estratégico
consulta acesso
Acesso a todos Acesso restrito
Acesso restrito
Acesso de dentro da definido
Sistemas consulta a todos organização para por perfis de
a um perfil
estratégico
consulta acesso
Armazenados
Armazenados
em armários
em armários Trancados
Documentos ou disponível Trancados em
sem necessidade em armário,
e locais cofre, manipulados
físicos de trancar, transferidos em
necessários de apenas no loca
transferidos em envelope
visibilidade da
envelopes
informação

Fonte: Elaborado pela autora (2018).

8
Segundo Galvão (2015), em todo o ciclo de vida da informação deve-se garantir
a confidencialidade, integridade e disponibilidade da mesma. O ciclo de vida da
informação consiste em:

Manuseio

Informação criada e manipulada (exemplo: digitar informações em

aplicações, usar senha para acessar uma aplicação etc.)

Armazenamento

Informação retida (exemplo: gravação em um banco de dados, anotação em

papel, mídias removíveis, drives virtuais na nuvem etc.)

Transporte

Informação conduzida ou transportada (exemplo: encaminhar por correio

eletrônico, por mensagem instantânea, falada etc.)

Descarte

Informação inutilizada, descartada (exemplo: documentos impressos na

lixeira, documentos eletrônicos na lixeira dos dispositivos etc.)

A proteção da informação deve ser garantida em todo o ciclo de vida da informação,

caso contrário será impossível garantir sua segurança, podendo comprometer o
negócio da organização.

A perda ou roubo de informação é um prejuízo sem precedentes para uma

organização e pode afetar sua imagem, bem como causar danos financeiros. A
organização deve manter uma proteção adequada para cada tipo de informação,
bem como realizar cópias de segurança destas, caso haja algum incidente
mantendo sua capacidade de recuperação.

Atualmente o ataque de Ransomware é uma das ameaças mais temidas pelas

organizações. Um ataque de Ransomware é aquele em que o atacante invade o
computador de uma organização, criptografa as informações e pede uma quantia (o
dinheiro usado nesta transação é o Bitcoin) para restaurar os dados na forma original.

9
Para evitar este tipo de ataque é fundamental que a organização mantenha
seus softwares atualizados, utilize ferramentas contra softwares maliciosos e
manter sempre o backup atualizado e testado. As principais causas de perda das
informações podem ser:

1. Invasão de hackers;
2. Indisponibilidade de sistemas e serviços;

3. Erros por falta de treinamento ou descuido;

4. Falha nas cópias dos dados.

O roubo da informação é caracterizado pela obtenção não autorizada da

informação. Isso é válido tanto para documentos impressos como para
documentos eletrônicos.

Contudo com o advindo da internet, redes sociais, celulares inteligentes, dentre

outros, o roubo de informação foi “facilitado”, uma vez que as informações estão
tanto mais disponíveis para acesso quanto sem a proteção adequada.

Fechamento
Nessa unidade, estudamos que a informação é um bem importante para uma
organização e observamos a diferença entre informação e dado, entendendo que
o dado é um elemento que não foi analisado, enquanto a informação é o elemento
que já foi processado e construído um sentido para ele. Também vimos que a
transformação de dados não estruturados em informação é chamada de Big Data.

Discutiu-se, também, que a informação precisa ser protegida e que, apesar de não
existir um padrão para a classificação da informação, é possível contemplar o grau
de classificação quanto ao seu sigilo.

10
Referências
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS (ABNT). ISO/ IEC 27002:2013:
Tecnologia da Informação – Técnicas de segurança – Código e prática para
segurança da informação. Rio de Janeiro: ABNT, 2013. ISBN: 8507002765.

FONTES, E. Segurança da informação. Rio de Janeiro: Brasport, 2006.

GALVÃO, M. C. (Org.). Fundamentos em segurança da informação. São Paulo:

Pearson, 2015.

INTERNATIONAL ORGANIZATION FOR STANDARDIZATION (ISO). BS ISO/IEC

27001:2013: Information technology. Security techniques. Information security
management systems. Requirements. BSI Standards Limited, 2013.

11