Este é um assunto que nos cerca, seja em nossa rotina doméstica ou professional, agravado pelas notícias de fraudes e roubos que povoam a mídia. Mas primeiro, vamos definir o que não é Segurança de Informação: não é apenas se proteger contra hackers, vírus e assemelhados, roubo de informações ou invasão de privacidade, apesar da maioria das empresas entender que apenas isto é suficiente para a segurança da informação.

Contratam uma empresa ou técnico de informática especializado neste aspecto da segurança (muitas vezes a mesma pessoa ou empresa que instalou o sistema de controle de acesso, o firewall ou a rede) para fazer o diagnóstico e indicar ou implementar dispositivos e procedimentos para a segurança do ambiente informatizado.

Este procedimento implica em duplo risco: 1) põe a raposa a cuidar do galinheiro e, 2) não tratam dos demais riscos que ameaçam as informações.

A Segurança da informação deve garantir que as informações (em qualquer formato: mídias eletrônicas, papel e até mesmo em conversações pessoais ou por telefone) - estejam protegidas contra o acesso por pessoas não autorizadas (confidencialidade), estejam sempre disponíveis quando necessárias (disponibilidade) e que sejam confiáveis (integridade), não tendo sido alteradas de forma intencional ou acidental.

Para garantirmos a segurança das informações, primeiramente devemos identificar os riscos (vulnerabilidades + ameaças) inerentes ao nosso ambiente, para trabalharmos focados naqueles que efetivamente devam ser considerados, em relação a três categorias básicas - riscos administrativos, físicos e tecnológicos.

Identificados os riscos, o relatório desta análise deve apontar as soluções que eliminem, minimizem ou transfiram os riscos. É importante lembrar que não se consegue eliminar 100% dos riscos e aqueles que não são elimináveis devem ser gerenciados para que, ocorrendo um evento que afete as informações, sejam acionadas providências objetivando garantir - a partir de procedimentos de contingência - a disponibilidade das informações e a continuidade dos processos críticos do negócio.

Finalmente, a alta administração da empresa deve avaliar o resultado da Análise de Risco para, baseados no princípio de Custos versus Benefícios, decidir quais riscos devem ser eliminados, quais providências devem ser tomadas para minimizar outros e finalmente, quais devem ser transferidos (p.ex. comprar cobertura por seguro e/ou fazer outsourcing).

A segurança da informação deve ser vista como assunto estratégico, para ser tratada pelo nível apropriado da organização, que é a alta administração (sócios proprietários e/ou diretoria executiva). Não deveria ser simplesmente delegada ao nível tecnológico operacional, que assume papel relevante na sua implementação e manutenção, mas que não deve tomar decisões estratégicas que possam envolver a Continuidade dos Negócios.