O CICLO DE VIDA DA INFORMAÇÃO
1. Identificação das necessidades e dos requisitos (Criação)
Identificar as necessidades de informação dos grupos e indivíduos que integram a organização e de seus públicos externos é um passo fundamental para que possam ser desenvolvidos serviços e produtos informacionais orientados especificamente para cada grupo e necessidade interna e externa. O esforço de descoberta das necessidades e dos requisitos de informação é recompensado quando a informação se torna mais útil e os seus destinatários, mais receptivos a aplicá-la na melhoria de produtos e processos (usuários internos) ou no fortalecimento dos vínculos e relacionamentos com a organização (usuários externos). (BEAL, 2008)
2. Obtenção
Nesta etapa são desenvolvidos procedimentos para captura e recepção da informação proveniente de uma fonte externa (Em qual quer mídia ou formato), ou da sua criação.
No caso da captura de informações de fontes externas, devemos ter a preocupação com integridade da informação, ou seja, é preciso garantir que é genuína, produzidas por pessoas ou entidades autorizadas, está completa e compatível com os requisitos apontados na etapa anterior. (LYRA, 2008)
22
3. Tratamento
Antes de estar em condições de ser aproveitada é comum que a informação precise passar por processos de organização, formatação, estruturação, classificação, análise, síntese, apresentação e reprodução, com o propósito de torná-la mais acessível, organizada e fácil de localizar pelos usuários. Nesta etapa, a preocupação com a integridade continua em evidência, principalmente se estiverem envolvidas técnicas de adequação do estilo e adaptação de linguagem, contextualização e condensação da informação, entre outras.
O uso dessas técnicas deve levar em conta a preservação das características de quantidade e qualidade necessárias para que a informação efetivamente sirva ao fim a que se propõe. No caso das atividades de reprodução da informação para posterior distribuição, as questões relacionadas à preservação da confidencialidade podem adquirir grande relevância, uma vez que a existência de diversas cópias de uma mesma informação, qualquer que seja a mídia utilizada (computador, papel, disquete, fita de áudio ou vídeo, etc.), amplia os problemas de restrição de acesso aos usuários devidamente autorizados. (BEAL, 2008)
4. Distribuição
Esta etapa consiste em levar a informação até seus consumidores. Quanto mais capilar for a rede de distribuição, mais eficiente será esta etapa. Fazendo chegar a informação certa a quem necessita dela para tomada de decisão. (LYRA, 2008)
5. Uso
O uso é sem dúvida a etapa mais importante de todo o processo de gestão da informação, embora seja frequentemente ignorado nos processos de gestão das organizações.
Não é a existência da informação que garante melhore resultados em uma organização, mas sim o uso, dentro de suas finalidades básicas: conhecimento dos ambientes interno e externo da organização e atuação nesses ambientes (Chaumier, 1986).
Na etapa de uso, os objetivos de integridade e disponibilidade devem receber atenção especial: uma informação deturpada, difícil de localizar ou indisponível pode prejudicar os processos decisórios e operacionais da organização. Como já mencionado, a preocupação com o uso legítimo da informação pode levar a requisitos de confidencialidade, destinados a restringir
23
o acesso e o uso de dados e informação as pessoas devidamente autorizadas. (BEAL, 2008)
6. Armazenamento
Momento em que a informação é armazenada seja em um banco de dados compartilhado, em uma anotação de papel posteriormente postada em um arquivo de ferro, ou ainda, em uma mídia de disquete depositada na gaveta da mesa de trabalho, por exemplo. (SEMOLA, 2003)
7. Descarte
Quando uma informação torna-se obsoleta ou perde a utilizada para a organização, ela deve ser objeto de processos de descarte que obedeçam a normas legais, políticas operacionais e exigências internas. Excluir dos repositórios de informação corporativos os dados e as informações inúteis melhoram o processo de gestão da informação de diversas formas: economizando recursos de armazenamento, aumentando a rapidez e eficiência na localização da informação necessária, melhorando a visibilidade dos recursos informacionais importantes etc. Entretanto, o descarte de dados e informação precisa ser realizado dentro de condições de Segurança, principalmente no que tange ao aspecto da confidencialidade, e, em menor grau, também de disponibilidade. No que tange à confidencialidade, o descarte de documentos e mídias que contenham dados de caráter sigiloso precisa ser realizado com observância de critérios rígidos de destruição segura (por exemplo, o uso de máquinas fragmentadoras para documentos em papel, ou de softwares destinados a apagar com Segurança arquivos de um microcomputador que, se simplesmente excluídos do sistema, poderiam ser facilmente recuperados com o uso de ferramentas de restauração de dados).
Do ponto de vista da disponibilidade, as preocupações incluem a legalidade da destruição de informação que podem vir a ser exigidas no futuro e a necessidade de preservar dados históricos valiosos para o negócio, entre outras.
São relativamente comuns os casos de descoberta de informações sigilosas ou dados pessoais sujeitos a normas de privacidade em computadores usados quando estes são transferidos de área, doados ou vendidos durante um processo de renovação do parque de computadores da organização. A existência de procedimentos formais de descarte de computadores e mídias pode evitar constrangimentos e prejuízos à imagem e a credibilidade da organização, possibilitando que os itens descartados sejam auditados e tenham seus dados apagados de forma segura antes de serem transferidos para os novos proprietários. (BEAL 2008)
24
Riscos e ameaças à informação durante o ciclo de vida
Para mitigarmos os eventos de riscos de segurança da informação, podemos adotar as seguintes medidas:
A tabela 01 (STONEBURNER, 2004), apresenta a relação entre uma descrição de cada objetivo de segurança (Integridade, disponibilidade e confidencialidade) com as consequências ou impactos caso tais objetivos não sejam alcançados.
Tabela 01 – Objetivo de segurança e sua consequência para a organização.
Objetivo de segurança Causa e consequências Perda de integridade Causa:
Modificações não autorizadas sejam feitas de forma acidental ou intencional. Além disto, a violação da integridade pode ser o primeiro passo para um
ataque com sucesso a disponibilidade ou
confidenciabilidade da informação.
Consequências:
– Imprecisão das informações, fraude;
– Tomada de decisão errada;
– Reduz a garantia da informação.
Perda de
disponibilidade
Causa:
Se as informações não estiverem disponíveis para o usuário final, a missão da organização pode ser afetado.
Consequências:
– Perda de produtividade por parte dos usuários;
– Impedir que os usuários executem suas atividades normalmente.
Perda de
confiabilidade
Causa:
Divulgação das informações de forma não autorizada.
Consequências:
– Comprometimento da credibilidade;
– Embaraço ou ação legal contra a organização.
Fonte: STONEBURNER (2004, p.25)
25
ADACHI, Tomi. Gestão de Segurança em Internet Banking - São Paulo: FGV, 2004. 121p. Mestrado. Fundação Getúlio Vargas - Administração. Orientador: Eduardo Henrique Diniz.
ALBUQUERQUE, Ricardo e RIBEIRO, Bruno. Segurança no Desenvolvimento de Software - Como desenvolver sistemas seguros e avaliar a segurança de aplicações desenvolvidas com base na ISO 15.408. Editora Campus. Rio de Janeiro, 2002.
CARUSO, Carlos A. A.; STEFFEN, Flávio Deny. Segurança em Informática e
de Informações - São Paulo: Editora SENAC São Paulo, 1999.
DIAS, Cláudia. Segurança e Auditoria da Tecnologia da Informação. Axcel Books. Rio de Janeiro, 2000.
SEMOLA, MARCOS. Gestão da Segurança da Informação. Uma visão executiva Rio de janeiro: Editora Elsevier, 2003
BEAL, ADRIANA. Segurança da informação. Princípios e melhores práticas para a Proteção dos Ativos de Informação nas Organizações.
São Paulo: Editora Atlas- 2008
LYRA, MAURICIO ROCHA. Segurança e Auditoria em Sistemas da Informação.Rio de janeiro: Editora Ciência Moderna Ltda-2008
Stoneburner, Gary GOGUEN. Alice & FERINGA.Alexis : Risk Management Guide for Information Technology Systems, NIST, Washington, 2004.
CUNHA, Renato Menezes. Modelo de governança da segurança da informação no escopo da governança computacional. Recife, 2008.
26
Sobre os autores
Leonardo Carvalho Lima de Sousa.
Formando em Redes de computadores, Pós graduando em Governança de TI, atua na area a 7 anos ,com foco em areas voltadas para gestão de TI .
Rosemberg de Oliveira Santos
Escriturário do Banco de Brasília S.A, graduado em Gestão de Tecnologia da Informação e Pós-graduando em Governança da TI
27