Existe atualmente muita confusão entre segurança da informação e cibersegurança; a finalidade deste artigo é clarificar de modo objetivo esses dois conceitos, que são bem distintos embora relacionados.
Cibersegurança, segurança do computador, segurança cibernética ou segurança da tecnologia da informação (segurança de TI) é a proteção de sistemas e redes de computadores contra ataques de agentes mal intencionados que podem resultar na divulgação não autorizada de informações, roubo ou danos a hardware, software ou dados, bem como da interrupção ou má orientação dos serviços que prestam.
O campo tornou-se importante devido à dependência expandida de sistemas de computadores, Internet, e padrões de rede sem fio, como Bluetooth e Wi-Fi, e devido ao crescimento de dispositivos inteligentes, incluindo smartphones, televisões e os vários dispositivos que constituem a Internet das coisas (IoT). A cibersegurança é um dos desafios mais significativos do mundo contemporâneo, tanto pela complexidade dos sistemas de informação como pelas sociedades que estas suportam. A segurança é especialmente importante para infrastructuras que governam “sistemas” de grande escala, com efeitos físicos de longo alcance, como distribuição de energia, eleições e finanças.
Segurança da Informação, às vezes abreviada para InfoSec ou SegInfo, é a prática de proteger as informações mitigando os riscos de segurança (proactividade e antecipação) das “informações” (dados, aplicações, equipamentos, etc.). Normalmente envolve a prevenção ou redução da probabilidade de acesso não autorizado/inapropriado aos dados, ou o uso ilegal, divulgação, interrupção, exclusão, corrupção, modificação, inspeção, registo ou desvalorização de informações. Também envolve acções destinadas a reduzir os impactos adversos de tais incidentes. As informações protegidas podem assumir qualquer forma (por exemplo electrónica ou física, tangível (por exemplo, papéis ou equipamentos) ou intangível (por exemplo, conhecimento). O foco principal da segurança da informação é a protecção equilibrada da Confidencialidade, Integridade e Disponibilidade dos dados (também conhecida como a tríade CIA), mantendo o foco na implementação eficiente de políticas de segurança, sempre sem prejudicar a produtividade da organização. Como nota adicional, a Autenticidade foi adicionada, nos últimos anos, à referida tríade.
Isso é alcançado, em grande parte, por meio de um processo estruturado de gestão de riscos que envolve:
- identificação de informações e activos relacionados, além de possíveis ameaças, vulnerabilidades e impactos;
- avaliação dos riscos;
- decidir como abordar ou tratar os riscos, ou seja, evitá-los, mitigá-los, compartilhá-los ou aceitá-los;
- identificação de onde a mitigação de riscos é necessária ou relevante, selecionando ou projetando controlos/salvaguardas de segurança apropriados e implementando-os;
- monitorização das atividades, fazendo os ajustes necessários para resolver quaisquer problemas, mudanças e oportunidades de melhoria.
Para padronizar esta disciplina, académicos e profissionais colaboram para oferecer orientação, políticas e padrões da indústria sobre senhas, software antivírus, firewall, software de criptografia, responsabilidade legal, consciencialização, treino de segurança, etc. Essa padronização pode ser impulsionada por uma ampla variedade de leis, regulamentos e políticas que afetam como os dados são acedidos, processados, armazenados, transferidos e destruídos. No entanto, a implementação de quaisquer normas e orientações dentro de uma entidade pode ter um efeito limitado, se uma cultura de melhoria contínua não for adotada.
Atributos de Segurança da Informação: qualidades, ou seja: Confidencialidade, Integridade e Disponibilidade (CIA). Os Sistemas de Informação são compostos em três partes principais (hardware, software e comunicações), com o objetivo de ajudar a identificar e aplicar os padrões da indústria de segurança da informação, como mecanismos de proteção e prevenção, em três níveis ou camadas: físico, pessoal e organizacional. Essencialmente, procedimentos ou políticas são implementados para informar os administradores, utilizadores e operadores em como usar os diferentes produtos para garantir a segurança da informação dentro das organizações.
Várias definições de segurança da informação são sugeridas abaixo, resumidas de diferentes fontes:
- “Preservação da confidencialidade, integridade e disponibilidade das informações”. Nota: Além disso, outras propriedades, como autenticidade, responsabilidade, não-repúdio e confiabilidade também podem estar envolvidas.” (ISO/IEC 27000:2009)
- “A proteção de informações e sistemas de informação contra acesso não autorizado, uso, divulgação, interrupção, modificação ou destruição, a fim de fornecer confidencialidade, integridade e disponibilidade.” (CNSS, 2010)
- “Garante que apenas utilizadores autorizados (confidencialidade) tenham acesso a informações precisas e completas (integridade) quando necessário (disponibilidade).” (ISACA, 2008)
- “Segurança da Informação é o processo de proteção da propriedade intelectual de uma organização.” (Pipkin, 2000)
- “…segurança da informação é uma disciplina de gestão de risco, cujo trabalho é gerir o custo do risco da informação para o negócio.” (McDermott e Geer, 2001)
- “Uma sensação bem informada de garantia de que os riscos e controles da informação estão em equilíbrio.” (Anderson, J., 2003)
- “Segurança da informação é a protecção da informação e minimiza o risco de expor a informação a pessoas não autorizadas.” (Venter e Eloff, 2003)
- “Segurança da Informação é uma área multidisciplinar de estudo e atividade profissional que se preocupa com o desenvolvimento e implementação de mecanismos de segurança de todos os tipos disponíveis (técnicos, organizacionais, humanos e legais) para manter a informação em todos os seus locais (dentro e fora do perímetro da organização) e, consequentemente, sistemas de informação, onde a informação é criada, processada, armazenada, transmitida e destruída, livre de ameaças. As ameaças à informação e aos sistemas de informação podem ser categorizadas e uma meta de segurança correspondente pode ser definida para cada categoria de ameaças. Um conjunto de objetivos de segurança, identificados como resultado de uma análise de ameaças, deve ser revisado periodicamente para garantir sua adequação e conformidade com o ambiente em evolução. O conjunto atualmente relevante de objetivos de segurança pode incluir: confidencialidade, integridade, disponibilidade, privacidade, autenticidade e confiabilidade, não-repúdio, responsabilidade e auditabilidade” (Cherdantseva and Hilton, 2013)
Em resumo, a Cibersegurança é a componente tecnológica (normalmente considerada como 30% a 40% do problema) da Segurança da Informação, pois esta não está restrita aos componentes tecnológicos e digitais, apenas os utiliza e os alarga a toda a organização e negócio, procurando a antecipação e prévia mitigação de eventos, ameaças, vulnerabilidades e riscos.
Como analogia, na construção de um edifício: Se a Cibersegurança são as ferramentas e os materiais, então a SegInfo é a obra completa, incluindo, para além das ferramentas e materiais, também os trabalhadores, os métodos, o projeto, o arquiteto, a finalidade para que se destina, etc.
Assim, se a configuração de um NIDS, firewall ou a aplicação de DAC ou MAC é cibersegurança, então a SegInfo vai para além dessas configurações, incluindo também os seus objectivos e motivos, as suas integrações com outros métodos ou equipamentos, as finalidades a atingir, o valor a proteger e a esperar, e por fim… a grande meta final a alcançar: o PREVENIR.
Podemos ver ainda que a Cibersegurança é, no seu essencial, monitorização e reação a eventos, porém a SegInfo, para além de incluir a Cibersegurança, vai também incluir todos os métodos para prevenir e antecipar a existência de eventos nefastos à informação da organização.
Resultados da confusão entre estes dois termos são os contínuos ataques com sucesso que sucedem todos os dias. “Depois de casa roubada, trancas na porta” não é solução, pois os ladrões podem sempre entrar pela janela. A solução é mitigar e antecipar.
O projeto SENTINELYA (www.sentinelya.com) não é mais uma ferramenta de cibersegurança (já existem muitas e de elevadíssima qualidade): é sim, uma solução de SegInfo, para ajudar na tomada de decisões pró-activas com metodologias, dados de informação (recolhida e centralizada) e processamento, , impedindo deste modo o surgimento de impactos negativos ou catastróficos ainda antes destes acontecerem.