Segurança da Informação ou Segurança de TI?

Muita gente poderia pensar que esses dois termos são sinônimos - afinal de contas, não é referente a segurança todas as informações sobre computadores? Na verdade, não. O ponto básico é este: você pode entender bastante sobre segurança de TI, mas lembre que apenas um único ato malicioso, que seja feito, por exemplo, o administrador pode trazer o sistema de TI inteiro abaixo. Este risco nada tem a ver com computadores, e sim, tem totalmente a ver com pessoas, com processos, com trabalho mal feito de supervisão, e muitos outros elementos similares.

Além disso, informações importantes pode até não estar em forma digital, als podem muito bem estar em forma de papel - por exemplo, um importante contrato assinado com o maior cliente, anotações pessoais feitas pelo diretor-gerente, administrador ou senhas impressas armazenados em um cofre.

Portanto, é sempre bom dizer aos clientes, que segurança de TI é o equivalente a 50% da segurança da informação, porque a segurança da informação também inclui segurança física, gestão de recursos humanos, a proteção jurídica, organização, processos, entre outros elementos relevantes. O objetivo da segurança da informação, é construir um sistema que leva em conta todos os possíveis riscos para o seu âmbito (seja exatamente de TI ou não-relacionados com TI), e implementar controles abrangentes que reduzem todos os tipos inaceitáveis de riscos.

Esta abordagem integrada para a segurança da informação, é melhor definida no ISO 27001, o padrão internacional líder de gestão de segurança da informação. Em suma, é necessário que haja uma avaliação de risco a ser feita em todos os ativos da organização - incluindo hardware, software, documentação, pessoas, fornecedores, parceiros, e para escolher os estilos de controles aplicáveis ​​para diminuir esses riscos.


Saiba Mais:

[1] Net Security http://www.net-security.org/article.php?id=1652