o que é a segurança da informação

A segurança da informação é o processo de assegurar que a informação é mantida a salvo de acesso, utilização, ou divulgação não autorizada. É uma parte vital da infra-estrutura de qualquer organização que lida com dados sensíveis. É também um serviço essencial para os indivíduos que querem proteger as suas informações pessoais. É o acto de proteger dados e informações. É um termo amplo que pode abranger desde a encriptação de um ficheiro até à protecção das suas informações pessoais em linha.

Leia mais sobre Segurança da Informação Vs Segurança Cibernética.

Definição de Segurança da Informação

A segurança da informação é a prática de proteger a informação a fim de impedir o acesso, utilização e divulgação não autorizados. Envolve a implementação de políticas e procedimentos concebidos para salvaguardar a informação e ajudar a prevenir a perda ou roubo de dados.

A segurança da informação é a protecção de dados e informações contra acesso, utilização, divulgação, perturbação, modificação ou destruição não autorizados.

A segurança da informação é uma grande preocupação para indivíduos e organizações. A quantidade de dados sensíveis que precisam de ser protegidos aumentou drasticamente nos últimos anos. Isto pode incluir informações pessoais, tais como números de segurança social, informações médicas e dados financeiros.

Para além de proteger este tipo de dados, as organizações também precisam de proteger informações de propriedade, tais como segredos comerciais, informações financeiras e planos de desenvolvimento de novos produtos.

Um Política de segurança da informação é importante porque protege a sua privacidade, que é valiosa em si mesma. Mas no mundo actual, também protege coisas como as suas finanças, as suas relações com amigos e familiares - mesmo a sua capacidade de arranjar um emprego ou alugar um apartamento!

Porque é importante a segurança da informação?

A segurança da informação é importante porque o ajuda a proteger os seus dados, que são valiosos e sensíveis. Há muitas formas de proteger os seus dados, tais como encriptá-los ou armazená-los num local seguro. Pode ajudá-lo a proteger a sua informação pessoal, e a manter os seus dados em segurança.

Por exemplo, se alguém roubar o número do seu cartão de crédito ou outra informação financeira, pode utilizar essa informação para fazer compras em seu nome. Se utilizar o dinheiro para comprar algo caro, como um carro ou uma casa, então poderá levar anos a pagar o que lhe é devido nessas compras com juros acrescidos. Isto pode afectar a sua pontuação de crédito e a sua capacidade de obter empréstimos no futuro!

Outra razão pela qual a segurança da informação é importante é porque ajuda a impedir os hackers de acederem às suas contas online para que ninguém mais possa ver o que está a fazer online. Isto pode incluir coisas como verificar o correio electrónico ou fazer operações bancárias online - não quer que mais ninguém bisbilhotar essas coisas! 

Por último (e mais importante), a segurança da informação pode manter-nos a salvo do roubo de identidade. O roubo de identidade acontece quando alguém rouba a identidade de outra pessoa fingindo ser ela própria online - isto pode significar roubar o número do seu cartão de crédito ou outras informações pessoais para que possa fazer compras com o seu nome sem autorização!

Como é que a segurança da informação o ajuda?

Para que a segurança da informação o ajude, é preciso ter algo que precise de ser protegido. Se tiver informações pessoais sobre outros ou segredos da empresa, então isto é algo que beneficiará de ser protegido.

Que tipos de informação merecem ser protegidos?

A informação é poder.

Se tiver informações que possam ser utilizadas para manipular outras pessoas, então vale a pena proteger. Mas como se sabe que informação vale a pena proteger?

O primeiro passo consiste em identificar o tipo de informação que está a ser partilhada. Existem dois tipos principais: privado e público. A informação privada inclui o seguinte:

  • Registos financeiros
  • Dados do empregado ou do cliente
  • Os seus sistemas informáticos e bases de dados (por exemplo, prevenindo ataques de resgates)
  • As contas de correio electrónico dos seus empregados (por exemplo, parar as tentativas de phishing)
  • A propriedade intelectual da sua empresa (por exemplo, garantir que os empregados não divulgam segredos comerciais)
  • A informação ao público inclui o seguinte:
  • Notícias sobre uma empresa ou organização
  • Informação sobre produtos ou serviços (incluindo preços)
  • Credenciais empresariais 
  • Informação bancária
  • Senhas

Como assegurar a sua informação? : Métodos para a Segurança da Informação

Criptografia de dados

A encriptação de dados é um processo de codificação ou encriptação de dados de modo a que seja ilegível para qualquer pessoa que não tenha a chave para os desencriptar. A encriptação de dados proporciona confidencialidade e integridade, e por vezes autenticação, ao transformar os dados num formato ilegível.

A utilização mais comum para a encriptação de dados é para a protecção de informações sensíveis contra o acesso não autorizado ou modificação.

A encriptação de dados pode ser utilizada para proteger qualquer tipo de dados e para qualquer finalidade. Contudo, as aplicações mais comuns são: confidencialidade (ocultar conteúdo), integridade (proteger contra modificações), autenticação (estabelecer identidade), não repúdio (impedir repúdio / provar autenticidade). 

Autenticação de Email

A autenticação de e-mail é um processo que confirma a autenticidade de uma mensagem de e-mail. É uma salvaguarda contra o phishing e a falsificação, em que os criminosos se fazem passar por empresas ou indivíduos para enganar as pessoas, fazendo-as clicar em ligações e cedendo as suas informações pessoais.

A autenticação de e-mail faz uso de DomainKeys Identified Mail (DKIM) e/ou Quadro de Política de Remetentes (SPF). Estes protocolos permitem ao proprietário do domínio adicionar uma assinatura digital a uma mensagem de correio electrónico, para que os destinatários possam verificar que a mensagem provém de uma fonte autorizada.

Finalmente, pode utilizar DMARC para dizer ao seu fornecedor de e-mail o que fazer quando receber e-mails de outros domínios que não cumpram os seus padrões de autenticidade ou legitimidade. Por exemplo, se algum spammer começar a enviar e-mails do seu domínio sem a sua permissão, pode utilizar DMARC para dizer ao seu fornecedor que não os aceite como e-mails legítimos provenientes do seu domínio.

Seguros Cibernéticos

O seguro cibernético é um tipo de seguro que cobre empresas que tenham sido vítimas de um ciberataque. O seguro cibernético é normalmente adquirido como um suplemento às apólices de seguros gerais das empresas e cobre perdas causadas por hacking, malware, resgates e outras formas de cibercrime. A apólice cobrirá também quaisquer perdas de terceiros resultantes destes eventos, tais como o custo da investigação do incidente e o restabelecimento dos sistemas de volta ao funcionamento normal.

Leia mais sobre Ciber-seguros e DMARC.

Firewall

Um firewall é um software de segurança que protege o seu computador de ataques externos. Pode ser um dispositivo de hardware ou software, ou pode ser incorporado no sistema operativo do seu computador.

Uma firewall impede a entrada de conteúdos maliciosos no seu computador através da Internet. Isto inclui vírus, malware, e outros programas nocivos. Uma firewall também impede o acesso não autorizado ao seu computador a partir de fontes externas, bloqueando os pedidos de acesso aos seus ficheiros ou dados.

Filtragem de pacotes

A filtragem de pacotes é um método de segurança de rede em que os pacotes de entrada e saída são analisados e permitidos ou negados com base em critérios. Um dos factores mais importantes a considerar ao implementar a filtragem de pacotes é a localização do filtro. 

Se o seu filtro de pacotes for colocado num gateway, impedirá que o tráfego entre ou saia da sua rede através desse ponto específico. Se tiver vários gateways no seu ambiente, pode configurar diferentes filtros de pacotes para cada gateway, para garantir que apenas o tráfego apropriado é permitido através dele.