Entenda por que é relevante a diferenciação desses conceitos, principalmente no cumprimento de normas de privacidade e proteção de dados.

Com frequência vemos pessoas usando os termos “segurança cibernética”, “cibersegurança” ou, em inglês, “cybersecurity” e “segurança da informação” como sinônimos. Ainda que por princípios básicos ambos se refiram à disponibilidade, à integridade e à confidencialidade das informações, existe uma diferença decisiva entre eles.

Segurança da Informação

Empresas, pessoas físicas e organizações, independente da área em que atuam, guardam informações e registros comerciais, manipulam dados pessoais para alguma finalidade e armazenam informação estratégica, seja da própria intimidade humana, seja de segredos de negócio e propriedade intelectual. Tudo isto tem muito valor, e, uma vez furtada a informação ou, de alguma forma violada a confidencialidade, isso pode causar graves danos ao proprietário da informação e a terceiros por ela afetados.

No ciclo de vida da informação desde sua criação até eventual descarte, ela pode transitar e ser gravada através de diversos meios. Como é notório, a informação administrada hoje por pessoas e organizações transita em grande parte através de sistemas de tecnologia da informação, sendo transmitida e armazenada de forma digital, porém também, através de documentação física em papel e outros impressos, como através da voz das pessoas em conversas e reuniões.

Como também é sabido, existem boas práticas internacionais de segurança da informação, assim como diversas leis que determinam a determinados indivíduos que zelem pela segurança da informação que administram.

No Brasil, como um exemplo dentre vários, temos o Marco Civil da Internet, lei que estabelece princípios, garantias, direitos e deveres para o uso da Internet no Brasil, e também prevê a proteção aos registros, aos dados pessoais e às comunicações privadas, que devem ser mantidas sob sigilo, em ambiente controlado e de segurança.

Além dessa, existem normativas referentes às organizações responsáveis por transações financeiras, que devem ter um cuidado especial com a segurança da informação, como o próprio Banco Central estabelece em seus regramentos. Essas normas referenciam à segurança, mas não restringem isso a ambientes digitais.

Outra importante lei no País, a LGPD – Lei Geral de proteção de Dados Pessoas, deixa isso claro quando menciona que ela “dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais”, logo não exclusivamente neles. A LGPD, determina que “os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais”, e que “qualquer outra pessoa que intervenha em uma das fases do tratamento obriga-se a garantir a segurança da informação prevista nesta Lei em relação aos dados pessoais, mesmo após o seu término.”.

Logo, apesar da maior parte da informação no mundo hoje ser processada através de meios digitais, ela não se encontra exclusivamente nesse meio, razão pela qual a Segurança da Informação é mais abrangente que a Segurança Cibernética, protegendo aquela a informação tratada sob qualquer meio.

Por que é importante essa distinção? Porque a comum confusão entre segurança da informação e segurança cibernética faz com que algumas organizações tenham a visibilidade e tomem providências apenas no meio digital, deixando de considerar os fluxos de informação em outros meios, que não só devem ser protegidos como as próprias leis determinam, como considerados nas análises e controles de riscos.

Sabe-se que no meio cibernético um incidente tem muito mais capacidade de causar impacto, porém, a segurança da informação física é determinante inclusive para proteção digital, pois temos inúmeros exemplos de ataques cibernéticos precedidos do furto de informação física, como acesso visual em ambientes, através de documentos descartados de forma insegura ou por meio de dados obtidos por interceptação de conversas de terceiros ou por manipulação de pessoas com o artifício chamado de engenharia social.

Portanto, a segurança da informação é mais ampla que a segurança cibernética, assim como os riscos a ela associados devem considerar outros fatores, como estruturas físicas de transporte e armazenamento de informação, pessoas e ambientes. Assim, dentre as boas práticas de segurança da informação, encontra-se também gerenciar os acessos de ambientes físicos, mapear riscos de ambientes e estruturas, gerando medidas de controle e mitigação onde existe facilidade de acesso de pessoas a locais em tese restritos.

Outro ponto relevante após a classificação da informação em seus níveis de acesso, é o gerenciamento de permissões para acessos a arquivos confidenciais, assim como todo controle de acesso a documentação em geral, seja a armazenada em arquivos físicos ou qualquer espécie de informação em trânsito ou qualquer espécie de uso, evitando assim a exposição indevida.

A segurança da informação é orientada pelos seus três principais pilares, que são reconhecidos como a confidencialidade, a integridade e a disponibilidade, complementados pela autenticidade, a irretratabilidade (ou não repúdio) e a conformidade, em um ciclo que integra a parte física e digital, garantindo a proteção da informação em todos os meios, sejam ele físicos, ou no ambiente cibernético, onde a proteção da informação por meio digital é chamada de Segurança Cibernética.

Segurança Cibernética

A Segurança Cibernética ou Cibersegurança é uma ramificação da Segurança da Informação. O conceito está ligado à proteção da informação, seja de ataques maliciosos que ocorrem no Ciberespaço, isto é, no mundo digital, seja contra violação dentro da própria organização e contra vazamento ou mal uso de dados, atuando na prevenção e proteção de dados que estejam conectados à internet ou às redes que ligam um dispositivo a outro.

Existem diferentes etapas de proteção dentro da Cibersegurança que uma pessoa ou organização necessita seguir para se manter segura. Assim como as diversas ameaças e vulnerabilidades dos dispositivos, os sistemas são mutáveis e estão em constante evolução, todas essas etapas nem sempre estarão o tempo todo 100% seguras e atualizadas. Por isso é necessário entender que toda a visão de risco, as ferramentas e mecanismos utilizados na Segurança da Informação são fundamentais para a Cibersegurança, pois a primeira pode atenuar as falhas e brechas deixadas por essa última. Isto é, um gerenciamento de Segurança da Informação eficaz pode garantir que os dados armazenados digitalmente sofram menos ataques ou, então, que esses ataques e outros riscos sejam atenuados, permitindo medidas no sentido de amplo cumprimento das diversas obrigações e responsabilidades de proteção da informação. Quer saber mais ?