Módulo 3 | Aula 1
Introdução à segurança da informação
Princípios Básicos da Segurança da informação
Toda segurança da informação é montada sobre propriedades básicas, muitas vezes referenciadas pelos autores como pilares. São 6 pilares principais, conforme figura a seguir.
Você irá conhecer agora os princípios fundamentais que ajudam a garantir a proteção, a integridade e a confidencialidade das informações e que buscam prevenir ameaças e garantir que os dados sejam acessados e utilizados de maneira adequada e segura.
1. Confidencialidade
A confidencialidade é relacionada à privacidade de dados. Ou seja, esse processo estima que as informações pessoais ou confidenciais de uma empresa não sejam visualizadas por pessoas não autorizadas ou, até mesmo, roubadas para ser utilizada de forma indevida.
Além dos dados pessoais e dados pessoais sensíveis, como por exemplo informações de prontuários de pacientes, temos nesta categoria informações financeiras, fiscais, contábeis e estratégicas para um negócio ou indivíduo. Todos estes tipos de dados são considerados confidenciais e devem ser protegidos.
Para mitigar os riscos e garantir este pilar, os gestores devem implementar iniciativas para gestão do acesso e dos usuários, além de definição de políticas de senhas, criptografia e monitoramento constante e inteligente da rede, de forma a tentar identificar acessos suspeitos e não autorizados às informações.
Bom, para começar, se uma organização não considerar a proteção de dados confidenciais, pode levar a sérios problemas como o descumprimento da Lei Geral de Proteção de Dados Pessoais (LGPD) e a reputação da imagem da empresa. Lembrando que as informações confidenciais não são apenas os dados da empresa, mas também dos seus clientes, parceiros, colaboradores e fornecedores.
A violação desses dados pode causar danos financeiros e até mesmo fazer com que as pessoas afetadas entrem com ações judiciais contra a organização. E, com a LGPD em vigor, isso se tornou um risco ainda maior mediante as inspeções recorrentes.
Dessa forma, garantir a confidencialidade é um dos princípios da segurança da informação que devem guiar as ações de proteção e, também, ser seguidos à risca pelas organizações.
Na área de saúde encontramos vários tipos de dados que devem ser protegidos, como informações pessoais, prontuários, informações fiscais, informações de fornecedores, e é extremamente importante que a confidencialidade seja implantada em todos os processos que envolvam a manipulação de informações.
2. Integridade
A integridade consiste na proteção da veracidade da informação em todo o seu ciclo de vida. Isso significa que os gestores precisam adotar boas práticas que impeçam a alteração ou exclusão dos dados. E registros, (conhecido em TI como “logs”) que controlem quando (data) e como (ações realizadas) ocorreram as alterações das informações.
Geralmente, a integridade das informações acaba entrando em risco por conta de erros humanos, ou seja, quando os colaboradores alteram ou apagam “sem querer” algum dado, lançam alguma informação errada no sistema, ou por falhas em equipamentos físicos como HDs, memórias etc.
Para reduzir esse risco, mais do que nunca é preciso reforçar aspectos da gestão de acesso. Além disso, é fundamental que existam políticas de backups periódicos, de modo a garantir que as informações possam ser recuperadas em situações não previstas.
Para que os sistemas operem corretamente, a integridade dos dados precisa ser mantida. As instruções, orientações e mensagens trocadas entre médicos, enfermeiros e pacientes, por exemplo, precisa chegar aos destinatários da mesma forma que foram enviados para não comprometer a saúde dos pacientes, criando riscos desnecessários a todo corpo médico.
A integridade dos dados é responsável por manter a confiança dos usuários aos serviços prestados por uma organização. Falhas deste tipo levam a incertezas e prejuízos financeiros, a imagem e valores da organização.
3. Disponibilidade
Sabemos que os sistemas tecnológicos são vulneráveis a diversos fatores, desde problemas de cunho natural (como desastres naturais) até ameaças internas (como falhas de softwares, erros humanos e falhas em hardwares).
Diante disso, a disponibilidade é um dos principais pilares da segurança da informação e ela prevê que a plataforma que forneça os dados seja estável e possa ser acessada pelas áreas de interesse a qualquer momento.
Para isso, é preciso manter os softwares sempre atualizados, utilizar aplicações de proteção de dados e possuir um plano robusto de recuperação de desastres, de modo a mitigar os impactos caso qualquer situação adversa aconteça. Muitas plataformas implementam alta disponibilidade em sistemas, com vários servidores distribuídos geograficamente em regiões distintas e dados e sistemas replicados atendendo aos usuários.
Um profissional de saúde registra informações sobre substâncias em que um determinado paciente é alérgico. Em uma situação em que o paciente esteja inconsciente, o sistema em que estas informações estão registradas fica indisponível para a equipe médica. Se essa informação não estiver disponível, você cria riscos para todos os envolvidos, leva a organização a perder credibilidade, gera incertezas para os pacientes, leva à falta de confiança em utilizar sistemas eletrônicos.
Dessa forma, a disponibilidade é um dos princípios da segurança da informação mais simples, mas com grande importância, principalmente para os usuários.
4. Autenticidade
Este pilar é focado na validação e permissão do usuário para acessar, alterar, mover, visualizar e transmitir determinado dado. É a propriedade que permite garantir que o emissor de determinada informação seja realmente quem alega ser, assegurando que a mensagem é realmente proveniente da fonte declarada. Ou seja, ela garante a identidade da informação.
Isso, em geral, é feito por meio de senhas e logins, e hoje em dia está sendo adotado outras soluções complementares: verificação em duas etapas (com mensagens e ligações a celulares, mensagens enviadas a e-mails etc.), validação biométrica (digital do usuário, reconhecimento facial, leitura de íris etc.), além de certificados digitais emitidos com confirmação física do usuário.
Esse é um princípio muito importante da Segurança da Informação, pois se um sistema não confirma a autenticidade de um usuário, se torna vulnerável a diversos tipos de ataques e falsificações, como pessoas mal-intencionadas se passando por outras para roubar, vazar ou ter acesso a dados que não lhe pertencem sem a devida autorização dos titulares. É muito importante neste pilar a definição de uma política segura para as senhas.
5. Conformidade / Legalidade
A verificação de conformidade não é uma tarefa trivial. Muitas vezes, o fluxo de informações pode envolver além de pessoas, entidades e países distintos, com legislações bem específicas. Por isso, é sempre recomendado apoio de uma consultoria jurídica especializada para elaboração deste pilar em uma organização.
A área de saúde possui legislações específicas. Esta legislação pode ser consultada em uma área das páginas do Ministério da Saúde.
Caso uma organização utilize ou acesse informações de forma inapropriada, poderá sofrer sanções legais. E os responsáveis pela ação poderão responder civil e criminalmente.
A obrigação legal com os dados fez com que organizações passassem a tratar a segurança da informação com muito mais seriedade.
Com a LGPD (Lei Geral de Proteção de Dados Pessoais) em vigor, é preciso garantir que todas as regras desta lei sejam cumpridas, a fim de evitar multas e outras sanções. A Conformidade visa garantir que os tratamentos dos dados estejam sempre em conformidade com as leis e normas vigentes, de forma a respeitar os direitos e deveres das partes envolvidas. Isso é extremamente importante quando pensamos na responsabilidade com todos os dados que são adquiridos, armazenados, processados ou compartilhados entre usuários e organizações.
As principais medidas a serem adotadas para garantir esse pilar são assumir a responsabilidade pelo tratamento dos dados, e adequar as ações da organização às leis aplicáveis para o seu tipo de negócio.
Por exemplo, a Lei Geral de Proteção de Dados (LGPD), determina transparência em todos os processos e controle da autorização dos titulares dos dados para que eles possam ser utilizados. Isso inclui descrever a finalidade de uso, além de critérios de como isso será feito e por quanto tempo será utilizado.
Seguindo o pilar da conformidade a organização garante que não terá prejuízo financeiro e de imagem com processos judiciais, gerando maior credibilidade aos usuários e fornecedores.
6. Não Repúdio / Irretratabilidade
Com a digitalização de todos os processos de uma empresa, passou a ser essencial a validação dos atores em um documento ou transação. O não repúdio refere-se a uma situação em que a autoria de uma declaração não pode ser contestada. O termo é frequentemente visto em um ambiente legal quando a autenticidade de uma assinatura está sendo contestada (nesse caso, a autenticidade do conteúdo está sendo "repudiada"). O não repúdio é, portanto, a garantia de que a autoria de um conteúdo não pode ser rejeitada, assegurando que aquele conteúdo se mantenha íntegro e o autor assinalado deve ser admitido.
Em termos práticos, o não repúdio prova quem foi o autor do conteúdo e impossibilita qualquer tipo de contestação sobre sua autoria, seja pelo autor do conteúdo ou pelo seu destinatário. O não repúdio, portanto, assegura ao destinatário que o conteúdo de fato provém daquele remetente (ou seja, não foi forjado nem alterado na transmissão) e impede que o autor negue ter assinado o documento. Ele é complementar ao pilar da autenticidade e é muito importante para evitar fraudes.
Em um mundo digital, a maneira mais comum de garantir esse pilar é a utilização do recurso de Assinatura Digital através de Certificados emitidos por Autoridades Certificadoras. Eventualmente haverá discussões legais sobre documentos e processos, esta prática é importante para resolver questões em que pode ocorrer a dúvida jurídica, garantindo de forma segura o autor da informação.