Segurança dentro do ciclo de vida da informação
E fácil observar que nem todos os objetivos de Segurança da informação e da comunicação se aplicam a todo tipo de informação e processo de transmissão de dados, nem a todas as etapas dos ciclos de vida da informação. A seguir, são apresentados alguns exemplos de como os objetivos de Segurança podem variar de acordo com o tipo de informação, e também ao longo do tempo:
Um estudo estatístico divulgado pela imprensa e importante para a tomada de decisão corporativa precisará ter sua autenticidade verificada e sua integridade e disponibilidade
protegidas, não havendo, no entanto, sentido em se preocupar com o aspecto da confidencialidade durante o ciclo de vida dessa informação na organização.
Uma declaração formal da direção da organização destinada á imprensa em geral devera desencadear ações de proteção de sua integridade (em especial, a autenticidade, para evitar, por exemplo, que alguém fazendo-se passar por diretor, encaminhe ao setor de divulgação um comunicado prejudicial à organização e este venha a ser divulgado sem a devida conferência da fonte) e da integridade do conteúdo (para impedir que um comunicado legítimo seja indevidamente alterado antes de sua liberação para terceiros). Nesse caso, a preocupação com a confidencialidade poderá existir de forma temporária, até a distribuição do comunicado, assim como provavelmente a questão da disponibilidade também será rapidamente superada, a menos que se identifique uma necessidade de consulta interna à informação após estar sido publicada. Do ponto de vista da Segurança da comunicação, a principal preocupação será a preservação da integridade da mensagem.
Tratando-se de um documento destinado ao público em geral, a questão da autenticidade do receptor seria desprezível, e as preocupações com a autenticidade do emissor e com a irretratabilidade da comunicação fariam mais sentido do lado do receptor da mensagem, interessado em garantir que a organização não tenha depois como recusar seu papel de emissor do comunicado.
Informações sobre a estratégia de negócio de uma organização estarão sujeitas a requisitos de controle rígido de acesso para manutenção da confidencialidade durante a fase de elaboração da estratégia, deixando de demandar os mesmos esforços a partir do momento em que a estratégia de posta em execução e passa a ser de conhecimento geral da concorrência.
Etapas do ciclo de vida da informação
1. Identificação das necessidades e dos requisitos
Identificar as necessidades de informação dos grupos e indivíduos que integram a organização e de seus públicos externos é um passo fundamental para que possam ser desenvolvidos serviços e produtos informacionais orientados especificamente para cada grupo e necessidade interna e externa. O esforço de descoberta das necessidades e dos requisitos de informação é recompensado quando a informação se torna mais útil e os seus destinatários, mais receptivos a aplicá-la na melhoria de produtos e processos (usuários internos) ou no fortalecimento dos vínculos e relacionamentos com a organização (usuários externos).
2. Obtenção
Definidas as necessidades de informação, a próxima etapa é a de obtenção das informações que podem suprir essas necessidades. Na etapa de obtenção da informação, são desenvolvidas as atividades de criação, recepção ou captura de informação, proveniente de fonte externa ou interna, em qualquer mídia ou formato. Na maioria dos casos, o processo de obtenção da informação não é pontual, precisando repetir-se ininterruptamente para alimentar os processos organizacionais (por exemplo, informação sobre o grau de satisfação dos clientes com os produtos ofertados normalmente serão coletadas repetidamente, por meio de pesquisas periódicas).
Uma preocupação típica da etapa de obtenção diz respeito a integridade da informação:
É preciso garantir que a informação é genuína, criada por alguém autorizado a produzi-la (ou proveniente de uma fonte confiável), livre de adulteração, completa e apresentada dentro de um nível de precisão compatível com os requisitos levantados na etapa de Identificação das necessidades.
3. Tratamento
Antes de estar em condições de ser aproveitada, é comum que a informação precise passar por processos de organização, formatação, estruturação, classificação, análise, síntese, apresentação e reprodução, com o propósito de torná-la mais acessível, organizada e fácil de localizar pelos usuários. Nesta etapa, a preocupação com a integridade continua em evidência, principalmente se estiverem envolvidas técnicas de adequação do estilo e adaptação de linguagem, contextualização e condensação da informação, entre outras.
O uso dessas técnicas deve levar em conta a preservação das características de quantidade e qualidade necessárias para que a informação efetivamente sirva ao fim a que se propõe. No caso das atividades de reprodução da informação para posterior distribuição, as questões relacionadas à preservação da confidencialidade podem adquirir grande relevância, uma vez que a existência de diversas cópias de uma mesma informação, qualquer que seja a mídia utilizada (computador, papel, disquete, fita de áudio ou vídeo, etc.), amplia os problemas de restrição de acesso aos usuários devidamente autorizados.
4. Distribuição
A etapa de distribuição da informação permite levar a informação necessária a quem precisa dela. Quanto melhor a rede de comunicação da organização, mais eficiente e a distribuição interna da informação, o que aumenta a probabilidade de que esta venha a ser usada para apoiar processos e decisões e melhorar o desempenho corporativo. É necessário considerar, nesta etapa, os diversos objetivos de Segurança da comunicação mencionados no início desta aula, devendo ser analisados separadamente os requisitos de Segurança relacionados aos processos de distribuição interna de informação daqueles voltados para a disseminação para públicos externos (parceiros, fornecedores, clientes, acionistas, grupos de pressão, governo, etc.).
5. Uso
O uso é sem dúvida a etapa mais importante de todo o processo de gestão da informação, embora seja frequentemente ignorado nos processos de gestão das organizações. Não é a existência da informação que garante melhores resultados em uma organização, mas sim o uso, dentro de suas finalidades básicas: conhecimento dos ambientes interno e externo da organização e atuação nesses ambientes (Chaumier, 1986). Na etapa de uso, os objetivos de integridade e disponibilidade devem receber atenção especial: uma informação deturpada, difícil de localizar ou indisponível pode prejudicar os processos decisórios e operacionais da orgranização. Como já mencionado, a preocupação com o uso legítimo da informação pode levar a requisitos de confidencialidade, destinados a restringir o acesso e o uso de dados e informação as pessoas devidamente autorizadas.
6. Armazenamento
A etapa de armazenamento é necessária para assegurar a conservação dos dados e informação, permitindo seu uso e reuso dentro da organização. Nesta etapa, os objetivos de integridade e disponibilidade dos dados e informação armazenados podem adquirir maior destaque.
A complexidade da conservação dos dados obviamente aumenta à medida que cresce a variedade de mídias usadas para armazená-los: base de dados informatizadas, arquivos magnéticos ou ópticos, documento em papel, etc. A necessidade de ser precaver contra problemas na recuperação dos dados pode exigir a migração periódica dos acervos digitais para tecnologias mais atualizadas, para protegê-los de mudanças nos métodos de gravação, armazenamento e recuperação, que ocorrem a ciclos cada vez menores devido aos constantes avanços nas tecnologias da informação e comunicação. Mesmo com o desenvolvimento de mídias mais estáveis, com expectativa de vida útil superior às mídias magnéticas, tais como CD-ROM e DVD, a recuperação dos documentos ficaria inviável se não houvesse no futuro dispositivos capazes de ler essas mídias; o processo de migração periódica visa a evitar esse problema. No caso de dados sigilosos, é necessário considerar os tipos de mecanismo de proteção a serem usados para impedir o acesso físico ou remoto por pessoas não autorizadas.
7. Descarte
Quando uma informação torna-se obsoleta ou perde a utilizada para a organização, ela deve ser objeto de processos de descarte que obedeçam a normas legais, políticas operacionais e exigências internas. Excluir dos repositórios de informação corporativos os dados e as informação inúteis melhoram o processo de gestão da informação de diversas formas: economizando recursos de armazenamento, aumentando a rapidez e eficiência na localização da informação necessária, melhorando a visibilidade dos recursos informacionais importantes etc. Entretanto, o descarte de dados e informação precisa ser realizado dentro de condições de Segurança, principalmente no que tange ao aspecto da confidencialidade, e, em menor grau, também de disponibilidade. No que tange à confidencialidade, o descarte de documentos e mídias que contenham dados de caráter sigiloso precisa ser realizado com observância de critérios rígidos de destruição segura (por exemplo, o uso de máquinas fragmentadoras para documentos em papel, ou de softwares destinados a apagar com Segurança arquivos de um microcomputador que, se simplesmente excluídos do sistema, poderiam ser facilmente recuperados com o uso de ferramentas de restauração de dados). Do ponto de vista da disponibilidade, as preocupações incluem a legalidade da destruição de informação que podem vir a ser exigidas no futuro e a necessidade de preservar dados históricos valiosos para o negócio, entre outras.
São relativamente comuns os casos de descoberta de informações sigilosas ou dados pessoais sujeitos a normas de privacidade em computadores usados quando estes são transferidos de área, doados ou vendidos durante um processo de renovação do parque de computadores da organização. A existência de procedimentos formais de descarte de computadores e mídias pode evitar constrangimentos e prejuízos à imagem e a credibilidade da organização, possibilitando que os itens descartados sejam auditados e tenham seus dados apagados de forma segura antes de serem transferidos para os novos proprietários.
E fácil observar que nem todos os objetivos de Segurança da informação e da comunicação se aplicam a todo tipo de informação e processo de transmissão de dados, nem a todas as etapas dos ciclos de vida da informação. A seguir, são apresentados alguns exemplos de como os objetivos de Segurança podem variar de acordo com o tipo de informação, e também ao longo do tempo:
Um estudo estatístico divulgado pela imprensa e importante para a tomada de decisão corporativa precisará ter sua autenticidade verificada e sua integridade e disponibilidade
protegidas, não havendo, no entanto, sentido em se preocupar com o aspecto da confidencialidade durante o ciclo de vida dessa informação na organização.
Uma declaração formal da direção da organização destinada á imprensa em geral devera desencadear ações de proteção de sua integridade (em especial, a autenticidade, para evitar, por exemplo, que alguém fazendo-se passar por diretor, encaminhe ao setor de divulgação um comunicado prejudicial à organização e este venha a ser divulgado sem a devida conferência da fonte) e da integridade do conteúdo (para impedir que um comunicado legítimo seja indevidamente alterado antes de sua liberação para terceiros). Nesse caso, a preocupação com a confidencialidade poderá existir de forma temporária, até a distribuição do comunicado, assim como provavelmente a questão da disponibilidade também será rapidamente superada, a menos que se identifique uma necessidade de consulta interna à informação após estar sido publicada. Do ponto de vista da Segurança da comunicação, a principal preocupação será a preservação da integridade da mensagem.
Tratando-se de um documento destinado ao público em geral, a questão da autenticidade do receptor seria desprezível, e as preocupações com a autenticidade do emissor e com a irretratabilidade da comunicação fariam mais sentido do lado do receptor da mensagem, interessado em garantir que a organização não tenha depois como recusar seu papel de emissor do comunicado.
Informações sobre a estratégia de negócio de uma organização estarão sujeitas a requisitos de controle rígido de acesso para manutenção da confidencialidade durante a fase de elaboração da estratégia, deixando de demandar os mesmos esforços a partir do momento em que a estratégia de posta em execução e passa a ser de conhecimento geral da concorrência.
Etapas do ciclo de vida da informação
1. Identificação das necessidades e dos requisitos
Identificar as necessidades de informação dos grupos e indivíduos que integram a organização e de seus públicos externos é um passo fundamental para que possam ser desenvolvidos serviços e produtos informacionais orientados especificamente para cada grupo e necessidade interna e externa. O esforço de descoberta das necessidades e dos requisitos de informação é recompensado quando a informação se torna mais útil e os seus destinatários, mais receptivos a aplicá-la na melhoria de produtos e processos (usuários internos) ou no fortalecimento dos vínculos e relacionamentos com a organização (usuários externos).
2. Obtenção
Definidas as necessidades de informação, a próxima etapa é a de obtenção das informações que podem suprir essas necessidades. Na etapa de obtenção da informação, são desenvolvidas as atividades de criação, recepção ou captura de informação, proveniente de fonte externa ou interna, em qualquer mídia ou formato. Na maioria dos casos, o processo de obtenção da informação não é pontual, precisando repetir-se ininterruptamente para alimentar os processos organizacionais (por exemplo, informação sobre o grau de satisfação dos clientes com os produtos ofertados normalmente serão coletadas repetidamente, por meio de pesquisas periódicas).
Uma preocupação típica da etapa de obtenção diz respeito a integridade da informação:
É preciso garantir que a informação é genuína, criada por alguém autorizado a produzi-la (ou proveniente de uma fonte confiável), livre de adulteração, completa e apresentada dentro de um nível de precisão compatível com os requisitos levantados na etapa de Identificação das necessidades.
3. Tratamento
Antes de estar em condições de ser aproveitada, é comum que a informação precise passar por processos de organização, formatação, estruturação, classificação, análise, síntese, apresentação e reprodução, com o propósito de torná-la mais acessível, organizada e fácil de localizar pelos usuários. Nesta etapa, a preocupação com a integridade continua em evidência, principalmente se estiverem envolvidas técnicas de adequação do estilo e adaptação de linguagem, contextualização e condensação da informação, entre outras.
O uso dessas técnicas deve levar em conta a preservação das características de quantidade e qualidade necessárias para que a informação efetivamente sirva ao fim a que se propõe. No caso das atividades de reprodução da informação para posterior distribuição, as questões relacionadas à preservação da confidencialidade podem adquirir grande relevância, uma vez que a existência de diversas cópias de uma mesma informação, qualquer que seja a mídia utilizada (computador, papel, disquete, fita de áudio ou vídeo, etc.), amplia os problemas de restrição de acesso aos usuários devidamente autorizados.
4. Distribuição
A etapa de distribuição da informação permite levar a informação necessária a quem precisa dela. Quanto melhor a rede de comunicação da organização, mais eficiente e a distribuição interna da informação, o que aumenta a probabilidade de que esta venha a ser usada para apoiar processos e decisões e melhorar o desempenho corporativo. É necessário considerar, nesta etapa, os diversos objetivos de Segurança da comunicação mencionados no início desta aula, devendo ser analisados separadamente os requisitos de Segurança relacionados aos processos de distribuição interna de informação daqueles voltados para a disseminação para públicos externos (parceiros, fornecedores, clientes, acionistas, grupos de pressão, governo, etc.).
5. Uso
O uso é sem dúvida a etapa mais importante de todo o processo de gestão da informação, embora seja frequentemente ignorado nos processos de gestão das organizações. Não é a existência da informação que garante melhores resultados em uma organização, mas sim o uso, dentro de suas finalidades básicas: conhecimento dos ambientes interno e externo da organização e atuação nesses ambientes (Chaumier, 1986). Na etapa de uso, os objetivos de integridade e disponibilidade devem receber atenção especial: uma informação deturpada, difícil de localizar ou indisponível pode prejudicar os processos decisórios e operacionais da orgranização. Como já mencionado, a preocupação com o uso legítimo da informação pode levar a requisitos de confidencialidade, destinados a restringir o acesso e o uso de dados e informação as pessoas devidamente autorizadas.
6. Armazenamento
A etapa de armazenamento é necessária para assegurar a conservação dos dados e informação, permitindo seu uso e reuso dentro da organização. Nesta etapa, os objetivos de integridade e disponibilidade dos dados e informação armazenados podem adquirir maior destaque.
A complexidade da conservação dos dados obviamente aumenta à medida que cresce a variedade de mídias usadas para armazená-los: base de dados informatizadas, arquivos magnéticos ou ópticos, documento em papel, etc. A necessidade de ser precaver contra problemas na recuperação dos dados pode exigir a migração periódica dos acervos digitais para tecnologias mais atualizadas, para protegê-los de mudanças nos métodos de gravação, armazenamento e recuperação, que ocorrem a ciclos cada vez menores devido aos constantes avanços nas tecnologias da informação e comunicação. Mesmo com o desenvolvimento de mídias mais estáveis, com expectativa de vida útil superior às mídias magnéticas, tais como CD-ROM e DVD, a recuperação dos documentos ficaria inviável se não houvesse no futuro dispositivos capazes de ler essas mídias; o processo de migração periódica visa a evitar esse problema. No caso de dados sigilosos, é necessário considerar os tipos de mecanismo de proteção a serem usados para impedir o acesso físico ou remoto por pessoas não autorizadas.
7. Descarte
Quando uma informação torna-se obsoleta ou perde a utilizada para a organização, ela deve ser objeto de processos de descarte que obedeçam a normas legais, políticas operacionais e exigências internas. Excluir dos repositórios de informação corporativos os dados e as informação inúteis melhoram o processo de gestão da informação de diversas formas: economizando recursos de armazenamento, aumentando a rapidez e eficiência na localização da informação necessária, melhorando a visibilidade dos recursos informacionais importantes etc. Entretanto, o descarte de dados e informação precisa ser realizado dentro de condições de Segurança, principalmente no que tange ao aspecto da confidencialidade, e, em menor grau, também de disponibilidade. No que tange à confidencialidade, o descarte de documentos e mídias que contenham dados de caráter sigiloso precisa ser realizado com observância de critérios rígidos de destruição segura (por exemplo, o uso de máquinas fragmentadoras para documentos em papel, ou de softwares destinados a apagar com Segurança arquivos de um microcomputador que, se simplesmente excluídos do sistema, poderiam ser facilmente recuperados com o uso de ferramentas de restauração de dados). Do ponto de vista da disponibilidade, as preocupações incluem a legalidade da destruição de informação que podem vir a ser exigidas no futuro e a necessidade de preservar dados históricos valiosos para o negócio, entre outras.
São relativamente comuns os casos de descoberta de informações sigilosas ou dados pessoais sujeitos a normas de privacidade em computadores usados quando estes são transferidos de área, doados ou vendidos durante um processo de renovação do parque de computadores da organização. A existência de procedimentos formais de descarte de computadores e mídias pode evitar constrangimentos e prejuízos à imagem e a credibilidade da organização, possibilitando que os itens descartados sejam auditados e tenham seus dados apagados de forma segura antes de serem transferidos para os novos proprietários.
Olá gostei muito deste texto. Inclusive vou referenciá-lo em meu pro projeto de mestrado. O texto ficou muito claro. Parabéns!!!!
ResponderExcluirbjos
Muito Obrigado pelo comentário positivo, vou postar mais assim ok espero que ajude você. abraço...
ResponderExcluir