• Share
  • Email
  • Embed
  • Like
  • Save
  • Private Content
O valor das informações para as empresas e a importancia da seguranca da informacao
 

O valor das informações para as empresas e a importancia da seguranca da informacao

on

  • 9,012 views

 

Statistics

Views

Total Views
9,012
Views on SlideShare
9,012
Embed Views
0

Actions

Likes
3
Downloads
150
Comments
0

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    O valor das informações para as empresas e a importancia da seguranca da informacao O valor das informações para as empresas e a importancia da seguranca da informacao Document Transcript

    • 1André Luiz CunhaAnhanguera Educacionalacunha_sp@hotmail.comRoberto Bittencourt PeischlAnhanguera EducacionalOrientacao2012@yahoo.com.brO VALOR DAS INFORMAÇÕES PARA ASEMPRESAS E A IMPORTÂNCIA DASEGURANÇA DA INFORMAÇÃO.RESUMOCom o constante crescimento do uso dos meios tecnológicos pelasempresas, as mesmas têm visto cada dia mais suas informaçõesserem armazenadas e processadas por meios computacionais, emuitas vezes não tem a noção que todas essas informações trans-mitidas e armazenadas independentes do seu formato têm valor,são um ativo importante, sendo muitas vezes cruciais nas tomadasde decisões, e que sem essas informações as mesmas não poderi-am realizar os seus negócios. Essas informações estão cada vezmais expostas a ameaças, é ai que a segurança da informação en-tra, para garantir a integridade, confidencialidade e disponibilida-de desses ativos tão valiosos as empresas assegurando assim acontinuidade dos negócios.Este artigo tem como objetivo mostrar a importância das informa-ções para as empresas e o papel da segurança da informação emgarantir a segurança dessas informações e também descrever al-gumas medidas e controles de segurança que podem ser implan-tados.Palavras-Chave: Empresas; Informação; Ativo; Segurança; Integridade;Confidencialidade; Disponibilidade.ABSTRACTWith the constant growth in the use of technological means bycompanies, we have increasingly seen information being storedand processed by computational means, too often without a cluethat all such information transmitted and stored is in fact valuable,independently from its format, being therefore an important assetand too often crucial while making decisions. Moreover, withoutsuch information businesses could not be conducted. Neverthe-less, such information is more and more often exposed to threats.This is the moment when the security of information starts in or-der to ensure the integrity, confidentiality and availability of suchvaluable asset, thusly assuring business continuity.This article aims to show the company the importance of infor-mation as well as the information security’s roles in order to en-sure the security of information and also describe some securitymeasures and controls that can be deployed.Keywords: Companies; Information; Asset; Security; Integrity; Confi-dentiality; Availability.Anhanguera Educacional S.A.Correspondência/ContatoAlameda Maria Tereza, 2000Valinhos, São PauloCEP. 13.278-181rc.ipade@unianhanguera.edu.brCoordenaçãoInstituto de Pesquisas Aplicadas eDesenvolvimento Educacional - IPADEArtigo OriginalRecebido em: dd/mm/yyyyAvaliado em: dd/mm/yyyyPublicação: dd de mmm de 2012
    • O Valor das Informações para as Empresas e a Importância da Segurança da InformaçãoNome da Revista • Vol. V, Nº. N, Ano 2012 • p. 1-2221. INTRODUÇÃO.Com o crescimento crescente dos meios tecnológicos, cada dia mais as empresas temvisto suas informações armazenadas e processadas por meios computacionais, elas de-pendem cada dia mais do ambiente computacional, meio esse que fornece informaçõescada vez mais a um numero maior de colaboradores.E cada vez mais as empresas, dependem das informações para auxilia-las nastomadas de decisões, desenvolvimento de novos produtos, vantagem tecnológica, etc.O uso das informações diminuem as incertezas e garantem a competitividadenos negócios, tanto que para muitos a informação passou a ser tratada como ativo deinformação e como todo ativo faz parte do patrimônio da empresa e, portanto, possuivalor.Porém o termo informação por si só, é muito vago, pois utilizando nosso dia adia como exemplo, quando lemos um jornal, assistimos a um filme, vamos ao teatro,etc. Estamos de alguma maneira coletando algum tipo de dado, e para que esses dadosvenham se tornar uma informação precisam ser tratados e organizados de forma lógicapara serem utilizados quando necessário.O mesmo acontece com as empresas elas coletam uma enorme variedade dedados todos os dias e precisam trata-los e organiza-los de uma forma estruturada parase tornarem informação.Para isso as empresas utilizam algum tipo de sistema de informação para querecebam os dados e possam, processa-los, armazena-los e fornece-los aos seus colabo-radores na medida em que forem solicitados.Atualmente o acesso à informação está mais fácil com a globalização das em-presas, porém a globalização traz as empresa uma grande desvantagem pois seus sis-temas de informação estão cada vezes mais expostos a algum tipo de risco e ameaça, eproteger esses sistemas de informação e suas informações tão valiosas contra riscos eameaças é o objetivo da segurança da informação, que visa a garantir a confidenciali-dade, integridade e disponibilidade desses sistemas e informações, através de adoçãode políticas e procedimentos que devem ser prioridade constante nas empresas.
    • André Luiz CunhaNome da Revista • Vol. V, Nº. N, Ano 2012 • p. 1-2232. INFORMAÇÃO.Para definirmos informação é necessário primeiro distinguir dados de informação,dados são fatos brutos que não receberam tratamento já informações são o resultadodos dados já tratados e organizados de uma forma lógica (LAUDON; LAUDON, 2007).Segundo Laudon e Laudon (2007) podemos definir dados como:“Dados são correntes de fatos brutos que representam eventos que estão ocor-rendo nas organizações ou no ambiente físico, antes de terem sido organizados e arran-jados de uma forma que as pessoas possam entendê-los e usa-los”. (LAUDON;LAUDON, 2007, p. 7).Já a informação é o resultado de um conjunto de dados que receberam algumtipo de tratamento e que assim podem ser visualizados pelos usuários (ABREU, 2005).Cortes (2008, P. 26), define informações como: dados que passaram por algumtipo de tratamento, relacionamento, avaliação, interpretação ou organização.A informação é tratada hoje pelas empresas como um item crucial na tomadade decisões, sendo consideradas um ativo de valor incalculável.Sêmola (2003, p. 47), afirma que: todas as empresas, independente de seusegmento de mercado, em todas as fases de existência, sempre usufruem da informa-ção como apoio à tomada de decisão para suas ações e seus planos.Tanto que a informação é tratada por muitos autores como um ativo, e sendoconsiderada um ativo, a informação deve ser considerada um bem de grandeimportância, pois como todo ativo possui valor para as empresas (NBR ISO/IEC 17799,2001).Ativos de informação podem ser considerados os meios que a empresa utilizapara armazenar, processar e transmitir as informações incluindo também a própria in-formação (BEAL, 2005).Segundo a NBR ISO/IEC 17799 (2001) tudo que agrega valor para a empresasão considerados ativos:Ativos de informação: banco de dados, documentação de sistemas, planos decontinuidade, informações arquivadas, etc.Ativos de software: aplicações, sistemas operacionais, ferramentas de sistemas eutilitários.Ativos físicos: computadores, equipamentos de comunicação, mídias magnéticas,sala cofre, acomodações, etc.Serviços: computação e serviços de comunicação, utilidades gerais, comoeletricidade, ar condicionado, etc.(NBR ISO/IEC 17799, 2001, p. 9).
    • O Valor das Informações para as Empresas e a Importância da Segurança da InformaçãoNome da Revista • Vol. V, Nº. N, Ano 2012 • p. 1-224Esses ativos tem grande valor se forem disponibilizados de forma correta e se-gura pois são essenciais a todos os processos de negócio da empresam sendo assim umativo de grande valor.3. O VALOR DAS INFORMAÇÕES.A informação hoje é um recurso extremamente abundante as empresas investemmuitos recursos para adquirir, transformar e para produzirem informação, porémpoucas sabem o verdadeiro valor dessas informações (FALCÃO, 2009). Muitas nemimaginam quanto dinheiro elas perdem, ou deixam de ganhar, por não saberemutilizar essas informações.É muito difícil mensurar o valor que uma informação tem para uma empresa,existem estudos que tentam medir o valor das informações, mas o simples fato de es-truturamos uma informação não nos muitas vezes a capacidade de medir o seu valor(MARSHALL, 2002).Na grande maioria dos casos é praticamente impossível quantificar quantocusta uma informação em relação a uma quantia em dinheiro pois a informação é tra-tada como um ativo intangível (ABREU, 2006).O valor da informação pode ser considerado o quanto esperamos ganhar aoobter uma informação, e que informação como todo ativo tem um custo (JUNIOR,2007).Cada vez mais as informações tem importância na tomada de decisões estra-tégicas nas empresas e é nessa hora que as informações mostram seu valor, ajudandonas tomadas de decisões. As informações tem um fator muito além de apoio as toma-das de decisões segundo Beal (2004), as informações podem ser utilizadas para gerarnovos produtos, troca de idéias, informações entres as empresas e influenciar no com-portamento dos indivíduos.A própria Beal (2004) vai mais além para demonstrar o valor das informaçõese para isso descreve sete leis:1º Lei – A informação é infinitamente compartilhável: diferentemente do ativos co-muns, como equipamentos, móveis, etc., a informação pode ser compartilhada infini-tamente e simultaneamente por inúmeras pessoas, aumentado cada vez mais o seuvalor, à medida que mais pessoas forem usando. Assim como o compartilhamentoaumenta o valor, a replicação da informação, através da reinserção de dados nãoagrega valor algum, só tende a aumentar os custos da organização.2º Lei – O valor da informação aumenta com o uso: diferente dos ativos comuns daorganização que quanto mais usam mais perdem valor, a informação quanto mais
    • André Luiz CunhaNome da Revista • Vol. V, Nº. N, Ano 2012 • p. 1-225usada, maior o valor a ela associado. Mas para ser bem utilizada, para que seu usoseja efetivo todos da organização devem saber que ela existe, saber onde ela está or-ganizada, ter acesso a ela e saber como utilizá-la. Além disso essas informações de-vem estar adequadas às necessidades de seus usuários.3º Lei- A informação é perecível: a informação perde parte do seu valor à medida queo tempo for passando. Ela deve ser utilizada na hora correta, pois corre o risco deperder o valor da descoberta.4º Lei- O valor da informação aumenta com a precisão: quanto mais precisa for à in-formação, mais valor ela terá. O contrário, ou seja, a utilização da informação impre-cisa, inexatas, pode levar a tomadas de decisões equivocadas ou provocar graves er-ros prejudicando seu usuário.5º Lei- O valor da informação aumenta quando há combinação de informações: a in-tegração da informações permite uma visão sistêmica da organização em substituiçãoà visão setorial, fragmentada. Quando mais integrada estiver, maior potencial de va-lor.6º Lei- Mais informação não é necessariamente melhor: Assim como a insuficiênciade informação, a sobrecarga dela também é prejudicial. Muitas vezes o excesso de in-formação, ultrapassa a capacidade humana de processamento. Para ser útil, a infor-mação precisa ser filtrada, usando critérios de relevância, quantidade e qualidade deseu conteúdo.7º Lei- A informação se multiplica: a informação é autogenerativa, pois ela possui acapacidade de se multiplicar através de novas operações de síntese, análise e combi-nações, podendo ser reciclada e reutilizada. (BEAL, 2004 p. 21-24).As informações independentes do meio em que estejam, possuem valor e sãoum ativo importantes para a estratégia das empresas, pois auxiliam e agilizam o pro-cesso de tomadas de decisões.4. CICLO DE VIDA DAS INFORMAÇÕES.A informação deve ser protegida por todo o seu ciclo de vida, as informações passampor transformações durante o seu ciclo de vida, informações que eram confidenciais naconcepção de um novo projeto com o término desse projeto essa informação pode serpatenteada tornando se assim uma informação publica. Nesse caso essas informações jánão precisam mais, serem tratadas como confidenciais, fazendo assim diminuir oinvestimento com a segurança dessas informações (SALOMÃO, 2005).Para Laureano (2005) baseado em Sêmola (2003), o ciclo de vida das informa-ções pode ser dividas em 4 etapas como demonstra a figura a seguir:
    • O Valor das Informações para as Empresas e a Importância da Segurança da InformaçãoNome da Revista • Vol. V, Nº. N, Ano 2012 • p. 1-226Fonte: SÊMOLA (2003, p. 11).Manuseio – Momento em que a informação é criada e manipulada, seja ao folhear ummaço de papéis, ao digitar informações recém-geradas em uma aplicação Internet,ou, ainda, ao utilizar sua senha de acesso para autenticação, por exemplo.Armazenamento – Momento em que a informação é armazenada, seja em um bancode dados compartilhado, em uma anotação de papel posteriormente postada em umarquivo de ferro, ou, ainda em uma mídia de disquete depositada na gaveta da mesade trabalho, por exemplo.Transporte – Momento em que a informação é transportada, seja ao encaminharinformações por correio eletrônico, ao postar um documento via aparelho de fax, ou,ainda, ao falar ao telefone uma informação confidencial, por exemplo.Descarte – Momento em que a informação é descartada, seja ao depositar na lixeirada empresa um material impresso, seja ao eliminar um arquivo eletrônico em seucomputador de mesa, ou ainda, ao descartar um CDROM usado que apresentoufalha na leitura. (LAUREANO, 2005, p. 10).5. CLASSIFICANDO AS INFORMAÇÕES.As informações devem ser classificadas para que possam assim indicar sua importân-cia, prioridade e o nível de segurança que necessitam.Algumas informações podem necessitar de um nível maior de segurança poresse motivo é importante classificar as informações, para que assim um conjuntoapropriado de níveis de proteção possam ser implantado e assim determinar se existea necessidade de medidas especiais de tratamento para cada tipo de informação ou não(NBR ISO/IEC 17799, 2001).Nem todas as informações são tão importantes ou essenciais a ponto de mere-cerem uma segurança especial. Em contrapartida algumas informações tão essenciaisque o custo para manter essas informações integras, por maior que possa ser, ainda as-sim será menor que o custo de não dispor dessa informação adequadamente(LAUREANO, 2005), a classificação das informações visa evitar o desperdício de recur-sos em um informação que não necessite de tanta segurança.
    • André Luiz CunhaNome da Revista • Vol. V, Nº. N, Ano 2012 • p. 1-227Para Laureano (2005), é necessário que as empresas classifiquem as informa-ções conforme suas necessidades e prioridades. Laureano (2005) classifica as informa-ções da seguinte forma:Pública – informação que pode vir a público sem maiores consequências danosas aofuncionamento normal da empresa, e cuja integridade não é vital;Interna – o acesso a esse tipo de informação deve ser evitado, embora asconsequências do uso não autorizado não sejam por demais sérias. Sua integridade éimportante, mesmo que não seja vital;Confidencial – informação restrita aos limites da empresa, cuja divulgação ou perdapode levar a desequilíbrio operacional, e eventualmente, perdas financeiras, ou deconfiabilidade perante o cliente externo, além de permitir vantagem expressiva aoconcorrente;Secreta – informação crítica para as atividades da empresa, cuja integridade deve serpreservada a qualquer custo e cujo acesso deve ser restrito a um número bastantereduzido de pessoas. A manipulação desse tipo de informação é vital para acompanhia. (LAUREANO, 2005, p. 8).As informações devem ser classificadas em um nível corporativo e não por aplicaçãoou departamento (CAMPOS, 2007).Segundo a NBR ISO/IEC 17799 (2001) convém que:A classificação da informação e seus respectivos controles de proteção levem em con-sideração as necessidades de negócios para compartilhamento ou restrição de infor-mações e os respectivos impactos nos negócios em geral, a classificação dada a umainformação é o caminho mais curto para determinar como ela é tratada e protegida.Convém que informações e resultados de sistemas que processam dados classificadossejam rotulados de acordo com seu valor e sua sensibilidade para a organização.Também pode ser apropriado rotular a informação em termos de quão crítica ela épara a organização. A informação frequentemente deixa de ser sensível ou críticaapós um certo período de tempo, por exemplo quando a informação se torna pública.Convém que estes aspectos sejam levados em consideração, pois uma classificaçãosuperestimada pode levar a custos adicionais desnecessários. Convém que as regrasde classificação previnam e alertem para o fato de que um determinado item de in-formação não tem necessariamente uma classificação fixa, podendo sofrer modifica-ção de acordo com alguma política predeterminada.Convém que cuidados sejam tomados com a quantidade de categorias de classifica-ção e com os benefícios obtidos pelo seu uso. Esquemas excessivamente complexospodem tornar o uso incômodo, inviável economicamente ou impraticável.Convém que atenção especial seja dada na interpretação dos rótulos de classificaçãosobre documentos de outras organizações, que podem ter definições diferentes pararótulos iguais ou semelhantes aos usados.Convém que a responsabilidade pela definição da classificação de um item de infor-mação, tais como um documento, registro de dado, arquivo de dados ou disquete, e aanálise crítica periódica desta classificação fiquem com o autor ou com o proprietárioresponsável pela informação. (NBR ISO/IEC 17799, 2001, p. 10).6. RÓTULO E TRATAMENTO DAS INFORMAÇÕES.É importante que as empresas definam procedimentos para rotular e tratar as informa-ções respeitando o modo no qual elas foram classificadas (NBR ISO / IEC 17799, 2001).
    • O Valor das Informações para as Empresas e a Importância da Segurança da InformaçãoNome da Revista • Vol. V, Nº. N, Ano 2012 • p. 1-228Esses procedimentos precisam atender tanto os ativos físicos quantos os ativoseletrônicos.Segundo a norma NBR ISO/IEC 17799 (2001) convêm que:As saídas de sistemas que contêm informações classificadas como sensíveis ou críti-cas tenham o rótulo apropriado da classificação da informação (na saída). Convémque o rótulo reflita a classificação de acordo com as regras estabelecidas na classifica-ção das informações. Itens que devem ser considerados incluem relatórios impressos,telas, mídias magnéticas (fitas, discos, CDs, cassetes), mensagens eletrônicas e trans-ferências de arquivos.Rótulos físicos é geralmente a forma mais apropriada de rotular a informação. Entre-tanto, alguns ativos de informação, como documentos em forma eletrônica, não po-dem ser fisicamente rotulados, sendo necessário usar um rótulo eletrônico. (NBRISO/IEC 17799, 2001, p. 10).7. INVENTÁRIO DOS ATIVOS DE INFORMAÇÃO.A NBR ISO/IEC 17799 (2001), recomenda que sejam inventariados todos os ativos deinformação e que os mesmos possuam um proprietário responsável para que se garan-ta uma proteção adequada aos ativos de informação.O inventário realizado nos ativos de informação tem importância, pois atravésdos seus resultados as empresas são capazes identificar seus ativos e seus respectivosvalores e importância (NBR ISO/IEC 17799, 2001).Com essas informações as empresas podem estabelecer níveis de proteçãoproporcionais ao valor e importância de cada ativo.Segundo a NBR ISO/IEC 17799 (2001), convém que:Um inventário dos principais ativos associados com cada sistema de informação sejaestruturado e mantido. Convém que cada ativo e seu respectivo proprietário sejamclaramente identificados e a classificação de segurança seja acordada e documentada,juntamente com a sua localização atual (importante quando se tenta recuperar perdasou danos). (NBR ISO/IEC 17799, 2001, p. 9).8. SISTEMAS DE INFORMAÇÕES.Todas essas informações adquiridas pelas empresas precisam de componentes quecoletem, processem, armazenem e distribuam essas informações. Além de auxiliar natomada de decisões, esses sistemas de informações, trabalham para dar suporte agerentes e trabalhadores a analisar problemas, visualizar assuntos complexos e criarnovos produtos (LAUDON; LAUDON, 2007).Para Laureano (2005, p. 5), baseado em Laudon e Laudon (2004) três ativida-des em um sistema de informação produzem as informações de que as organizaçõesnecessitam para apoiarem suas decisões, controlar suas operações, analisar problemas
    • André Luiz CunhaNome da Revista • Vol. V, Nº. N, Ano 2012 • p. 1-229e criar novos produtos ou serviços. Essas atividades são a entrada, o processamento e asaída conforme demonstra a figura a seguir.Fonte: LAUREANO (2005, p. 6).Existem vários tipos de sistemas de informações e cada um pode atender umanecessidade especifica da empresa.Laudon e Laudon (2007) dizem ainda que os sistemas de informações podemse dividir em 4 grupos:Sistemas de nível operacional: Utilizados pelos gerentes operacionais no suporte atransações elementares das organizações.Sistemas de nível de conhecimento: Permitem as empresas integrar novos conheci-mentos e controlar o fluxo de documentos.Sistema de nível gerencial: são utilizados na tomada de decisões e o monitoramentode atividades e processos.Sistema de nível estratégico: Subsidiam a direção da empresa quanto a questões delongo prazo. (LAUDON; LAUDON, 2007, p. 28).Sistemas de informações são hoje componentes vitais e fundamentais dentrodas empresas, tanto que sem eles muitas não conseguiriam tocas e administrar seusnegócios.9. SEGURANÇA DA INFORMAÇÃO.Com o aumento crescente do uso da tecnologia pelas empresas, as mesmas se veemcada vez mais dependentes do uso dos meios de sistemas de informações, ecomeçaram a perceber a necessidade de se investir em segurança, já que cada vez maisestão vulneráveis a um numero crescente de ameaças (DIAS, 2000).
    • O Valor das Informações para as Empresas e a Importância da Segurança da InformaçãoNome da Revista • Vol. V, Nº. N, Ano 2012 • p. 1-2210Dias (2000), diz que:Na sociedade da informação, ao mesmo tempo em que as informações são conside-radas o principal patrimônio de uma organização, estão também sob constante risco,como nunca estiveram antes. Com isto, a segurança de informações tornou-se umponto crucial para a sobrevivência das instituições. (DIAS, 2000, p. 40).Dias (2000) ainda define segurança da informação como: “a proteção de in-formações, sistemas, recursos e serviços contra desastres, erros e manipulação não au-torizada, de forma a reduzir a probabilidade e o impacto de incidentes de segurança”(DIAS, 2000, p. 41).Segurança da Informação segundo a NBR ISO/IEC 17799 (2001):A informação é um ativo que, como qualquer outro ativo importante para os negó-cios, tem um valor para a organização e consequentemente necessita ser adequada-mente protegida. A segurança da informação protege a informação de diversos tiposde ameaças para garantir a continuidade dos negócios, minimizar os danos aos negó-cios e maximizar o retorno dos investimentos e as oportunidades de negócio. (NBRISO/IEC 17799, 2001, p. 2).A informação pode existir em diversas formas papel, armazenada eletronica-mente, impressa, mídias, correios eletrônicos, etc. E seja qual for a forma que ela sejaapresentada ela precisa ser adequadamente protegida e esse é o papel da segurança dainformação, proteger as informações independente da forma que ela se encontra(DANTAS, 2010).A Segurança da Informação é composta por três conceitos básicos:Confidencialidade, Integridade e Disponibilidade.Segundo a Oficina da Net (2008) podemos definir esses três conceitos da se-guinte forma:Confidencialidade - propriedade que limita o acesso a informação tão somente àsentidades legítimas, ou seja, àquelas autorizadas pelo proprietário da informação.Integridade - propriedade que garante que a informação manipulada mantenhatodas as características originais estabelecidas pelo proprietário da informação,incluindo controle de mudanças e garantia do seu ciclo de vida (nascimento,manutenção e destruição).Disponibilidade - propriedade que garante que a informação esteja sempredisponível para o uso legítimo, ou seja, por aqueles usuários autorizados peloproprietário da informação. (OFICINA DA NET, 2008).Sêmola, (2003) considera ainda que para uma informação ser considerada se-gura, o sistema que o administra ainda deve respeitar:Autenticidade – Garante que a informação ou o usuário da mesma é autêntico; Atestacom exatidão, a origem do dado ou informação;Não repúdio – Não é possível negar (no sentido de dizer que não foi feito) uma ope-ração ou serviço que modificou ou criou uma informação; Não é possível negar o en-vio ou recepção de uma informação ou dado;Legalidade – Garante a legalidade (jurídica) da informação; Aderência de um sistemaà legislação; Característica das informações que possuem valor legal dentro de um
    • André Luiz CunhaNome da Revista • Vol. V, Nº. N, Ano 2012 • p. 1-2211processo de comunicação, onde todos os ativos estão de acordo com as cláusulas con-tratuais pactuadas ou a legislação política institucional, nacional ou internacional vi-gentes.Privacidade – Foge do aspecto de confidencialidade, pois uma informação pode serconsiderada confidencial, mas não privada. Uma informação privada deve ser vista /lida / alterada somente pelo seu dono. Garante ainda, que a informação não serádisponibilizada para outras pessoas (neste é caso é atribuído o caráter de confidencia-lidade a informação); É a capacidade de um usuário realizar ações em um sistemasem que seja identificado.Auditoria – Rastreabilidade dos diversos passos que um negócio ou processo reali-zou ou que uma informação foi submetida, identificando os participantes, os locais ehorários de cada etapa. Auditoria em software significa uma parte da aplicação, ouconjunto de funções do sistema, que viabiliza uma auditoria; Consiste no exame dohistórico dos eventos dentro de um sistema para determinar quando e onde ocorreuuma violação de segurança. (SÊMOLA, 2003, p. 42).Nem todos os sistemas de informações foram desenvolvidos para serem segu-ros, por isso é necessário que sejam criados procedimentos para auxiliar na segurançadesses sistemas (CAMPOS, 2007). E para isso a segurança da informação se utiliza deprocedimentos, controles e políticas de segurança que devem ser aplicadas pelas em-presas.Investir em Segurança da Informação é o meio de garantir que as informações,permaneçam confidenciais, integras e disponíveis para acesso a hora que forem neces-sárias o uso das mesmas (NBR ISO/IEC 17799, 2001).Mais antes de se estabelecer essas politicas e procedimentos é necessário reali-zar a analise de risco para se identificar os riscos e ameaças e assim implementar oscontroles e politicas adequadas (NBR ISO/IEC 17799, 2001).10. ANALISE DE RISCOS.Antes de se falar de analise de risco é preciso entender o que é risco, ameaça e vulnera-bilidade.Riscos correspondem à probabilidade de certas ameaças virem a prejudicar ossistemas e suas informações causando assim danos aos negócios.Segundo Marshall (2002) risco pode ser definido como: “Uma forma abran-gente, como o potencial de eventos ou tendências continuadas causarem perdas ou flu-tuações em receitas futuras” (MARSHALL, 2002, p.19).Ameaças podem ser classificadas de duas maneiras intencionais e nãointencionais (DANTAS, 2010).
    • O Valor das Informações para as Empresas e a Importância da Segurança da InformaçãoNome da Revista • Vol. V, Nº. N, Ano 2012 • p. 1-2212Ameaças intencionais abrangem incidentes tais como vandalismo, sabotagem,roubo, espionagem, utilização errada ou indevida de recursos e outros (DANTAS,2010).Ameaças não intencionais, podem ser creditadas a eventos tais como erroshumanos, falhas em equipamentos, desastres naturais, problemas em meios de comu-nicação entre outros (DANTAS, 2010).Para Laudon e Laudon (2007) podemos definir ameaça como: “Qualquer cir-cunstância ou evento com o potencial de causar impacto negativo sobre a confidencia-lidade, integridade ou disponibilidade de informação ou sistemas de informação”(LAUDON;LAUDON, 2007, p. 28).Vulnerabilidades podem ser vistas como falhas na proteção do sistema ou au-sência de proteção que venham a gerar oportunidades para a ocorrência ou concretiza-ção de ameaças (MARSHALL, 2002).Agora falaremos de analise de risco, as empresas necessitam fazer a analise deriscos a fim de identificar os requisitos que elas necessitam para garantir a segurançade seus ativos de informação.Segundo a NBR ISO/IEC 17799 (2001), através da analise de riscos são identi-ficados as ameaças aos ativos, vulnerabilidades e sua probabilidade de ocorrência éavaliada bem como seu impacto pode ser estimado, a analise de riscos pode ser aplica-da em toda a empresa ou em partes.A NBR ISO/IEC 17799 (2001) diz ainda que a analise de riscos é uma conside-ração sistemática:Impactando nos negócios como resultado de uma falha de segurança, levando-se emconta as potenciais consequências da perda de confidencialidade, integridade ou dis-ponibilidade da informação ou de outros ativos;Probabilidade de tal falha realmente ocorrer à luz das ameaças e vulnerabilidadesmais frequentes e nos controles atualmente implementados. (NBR ISO/IEC 17799,2001, p. 2).A NBR ISO/IEC 17799 (2001), recomenda que analise de riscos e os controlesimplantados sejam revistos periodicamente para: “considerar as mudanças nos requi-sitos de negócio e suas prioridades, considerar novas ameaças e vulnerabilidades econfirmar que os controles permanecem eficientes e adequados” (NBR ISO/IEC 17799,2001, p. 3).Os requisitos obtidos através da analise de riscos vão auxiliar as empresas pa-ra que as mesmas possam tomar as medidas mais adequadas para gerenciar os riscos e
    • André Luiz CunhaNome da Revista • Vol. V, Nº. N, Ano 2012 • p. 1-2213assim implantar controles para protegerem seus ativos de informação (NBR ISO/IEC17799, 2001).11. SELEÇÃO DE CONTROLES.Conhecendo os riscos a segurança da informação, é hora selecionar e elaborar controlese procedimentos para minimizar ao máximo os riscos identificados.Os controles podem seguir as normas de segurança, mais nada impede quenovos controles sejam criados para atender a necessidades especificas de cada empresa(NBR ISO/IEC 17799, 2001).A NBR ISO/IEC 17799 (2001), diz que na seleção de controles a serem aplica-dos convém que:Os controles sejam selecionados baseados nos custos de implementação em relaçãoaos riscos que serão reduzidos e as perdas potenciais se as falhas na segurança ocor-rerem. Convém que fatores não financeiros, como, por exemplo, prejuízos na reputa-ção da organização, sejam também levados em consideração. (NBR ISO/IEC 17799,2001, p. 3).Alguns controles podem ser considerados princípios básicos, para implanta-ção de segurança da informação, segundo a NBR ISO/IEC 17799 (2001) esses princípiosão baseados tanto em requisitos sob o ponto de vista legal como nas melhores praticasde segurança da informação, esses dois princípios serão abordados.12. CONTROLES SOB O PONTO DE VISTA LEGAL.Segundo a NBR ISO/IEC 17799 (2001), os princípios básicos sob o ponto de vista legalsão: “direitos de propriedade intelectual, salvaguarda de registros organizacionais e di-reitos de propriedade intelectual” (NBR ISO/IEC 17799, 2001, pg. 3).12.1.Direitos de Propriedade Intelectual.Os sistemas de informações utilizados pelas empresas podem estar sujeitos a requisitosde segurança contratuais, regulamentares ou estatutários (NBR ISO/IEC 17799, 2001).É importante a empresa procurar uma assessoria jurídica especializada paraauxilia-la nos requisitos legais, pois a violação pode levar a empresa a uma ação legalenvolvendo processos criminais (NBR ISO/IEC 17799, 2001).Segundo a NBR ISO/IEC 17799 (2001), direitos de propriedade intelectual po-dem ser divididos em dois: direitos autorais e direitos autorais de software.
    • O Valor das Informações para as Empresas e a Importância da Segurança da InformaçãoNome da Revista • Vol. V, Nº. N, Ano 2012 • p. 1-2214Direitos Autorais.Direitos autorais são aqueles referentes aos direitos que os autores têm sobre su-as obras.A NBR ISO/IEC 17799 (2001), diz que:Convém que procedimentos apropriados sejam implementados para garantir a con-formidade com as restrições legais no uso de material de acordo com leis de proprie-dade intelectual, como as de direitos autorais, patentes ou marcas registradas. A vio-lação do direito autoral pode levar a uma ação legal envolvendo processos criminais.(NBR ISO/IEC 17799, 2001, pg.48).Direitos Autorais de Software.Softwares normalmente são vendidos com contratos de licenças que restringemseu uso a um numero x de maquinas ou usuários, e proíbem a copia do mesmo,permitindo às vezes apenas uma cópia de segurança (NBR ISO/IEC 17799,2001).Segundo a NBR ISO/IEC 17799 (2001), os seguintes controles devem ser consi-derados para garantir a proteção de direitos de software:Divulgar uma política de conformidade de direito autoral de software que defina ouso legal de produtos de software e de informação;Emitir padrões para procedimentos de aquisição de produtos de software;Manter atenção sobre a política de aquisição e de direitos autorais de software e noti-ficar a intenção de tomar ações disciplinares contra colaboradores que violarem essaspolíticas;Manter adequadamente os registros de ativos;Manter provas e evidências da propriedade de licenças, discos-mestres, manuais,etc.;Implementar controles para assegurar que o número máximo de usuários permitidosnão excede o número de licenças adquiridas;Conduzir verificações para que somente produtos de software autorizados e licenci-ados sejam instalados;Estabelecer política para a manutenção das condições adequadas de licenças;Estabelecer uma política para disposição ou transferência de software para outros;Utilizar ferramentas de auditoria apropriadas;Cumprir termos e condições para software e informação obtidos a partir de redespúblicas. (NBR ISO/IEC 17799, 2001, p. 48).12.2. Salvaguarda de Registros Organizacionais.Arquivos importantes para a empresa devem ficar protegidos contra roubo, perda,falsificação, etc. Como visto esses ativos são fundamentais para as empresas tocaremseus negócios.
    • André Luiz CunhaNome da Revista • Vol. V, Nº. N, Ano 2012 • p. 1-2215A NBR ISO/IEC 17799 (2001), cita alguns exemplos de documentos que preci-sam estar seguros e o porquê:Documentos que podem ser exigidos como evidência de que uma organização operade acordo com as regras estatutárias e regulamentares, ou que podem assegurar a de-fesa adequada contra potenciais processos civis ou criminais ou confirmar a situaçãofinanceira de uma organização perante aos acionistas, parceiros e auditores. (NBR /NBR ISO 17799, 2001, p. 49).É recomendado que esses registros sejam separados por tipo, o tempo queprecisam ser arquivados e o meio no qual estão armazenados (papel, disquete, cd, dvd,ficha, etc.)O armazenamento desses registros, precisam respeitar a possibilidade de de-gradação dos mesmos por isso o local onde esses registros serão armazenados preci-sam ser seguros não só contra roubo ou alteração mais também contra chuva, humida-de, incêndio, etc.. (NBR ISO/IEC 17799 2001).Segundo a NBR ISO/IEC 17799 (2001), é recomendável que o armazenamentode mídias assegure que esses dados possam ser acessados pelo período que for neces-sário durante sua retenção, assim os protegendo contra perdas ocasionadas pela mu-dança de tecnologia.É recomendável que o armazenamento desses registros estejam em um forma-to no qual o tribunal de justiça aceite, se vierem a ser solicitados. É conveniente que es-ses registros possam ser destruídos após o seu período de retenção se os mesmos nãoforem mais necessários (NBR ISO/IEC 17799, 2001).Para atender essas solicitações a NBR ISO/IEC 17799 (2001), recomenda queos seguintes passos sejam seguidos:Emitir diretrizes gerais para retenção, armazenamento, tratamento e disposição deregistros e informações.Elaborar uma programação para retenção, identificando os tipos de registro essenci-ais e o período que cada um deve ser mantido.Manter um inventário das fontes de informações-chave.Implementar controles apropriados para proteger registros e informações essenciaisde perda, destruição e falsificação. (NBR ISO/IEC 17799, 2001, p. 49).12.3. Proteção de Dados e Privacidade da Informação Pessoal.Em alguns países existem leis que controlam o processamento e a transmissão dedados pessoais, esses controles podem segundo a NBR ISO/IEC 17799 (2001): “imporresponsabilidades sobre aqueles que coletam, processam e disseminam informaçãopessoal, e podem restringir a capacidade de transferência desses dados para outrospaíses” (NBR ISO/IEC 17799, 2001, p. 49).
    • O Valor das Informações para as Empresas e a Importância da Segurança da InformaçãoNome da Revista • Vol. V, Nº. N, Ano 2012 • p. 1-2216Para que as empresas se adequem as leis desses países ela precisam estabele-cer controles apropriados, a NBR ISO/IEC 17799 (2001) recomenda que para se estabe-lecer esses controles mais facilmente à empresa deve:Indicar um responsável pela proteção de dados que deve fornecer orientações geraispara gestores, usuários e provedores de serviço sobre as responsabilidades de cadaum e sobre quais procedimentos específicos recomenda-se seguir.Convém que seja responsabilidade do proprietário do dado notificar ao responsávelpela proteção de dados sobre qualquer proposta de armazenamento de informaçõespessoais em um arquivo estruturado e garantir a capacitação nos princípios de prote-ção de dados definidos na legislação vigente. (NBR ISO/IEC 17799, 2001, p. 49).13. CONTROLES SOB O PONTO DE VISTA DAS MELHORES PRÁTICAS.Segundo a NBR ISO/IEC 17799 (2001), os controles básicos baseados nas melhores pra-ticas são: “Documento da política de segurança da informação, definição das responsa-bilidades na segurança da informação, educação e treinamento em segurança da in-formação, relatório dos incidentes de segurança, plano de continuidade do negócio”(NBR ISO/IEC 17799, 2001, p.3).13.1.Politica de Segurança da Informação.A Politica de Segurança em uma empresa é um documento criado e elaborado paraorientar e apoiar o departamento de segurança da informação, nele deve conter infor-mações claras e que apoie e demonstre comprometimento da empresa com as normasde seguranças (NBR ISO/IEC 17799, 2001).Para que a empresa obtenha sucesso na implantação de uma politica de segu-rança é necessário, a aprovação do mais alto escalão e que seja divulgado para todos osfuncionários.A NBR ISO/IEC 17799 (2001), recomenda que no mínimo as orientações abai-xo sejam incluídas:Definição de segurança da informação, resumo das metas e escopo e a importânciada segurança como um mecanismo que habilita o compartilhamento da informação(ver introdução);Declaração do comprometimento da alta direção, apoiando as metas e princípios dasegurança da informação;Breve explanação das políticas, princípios, padrões e requisitos de conformidade deimportância específica para a organização.Definição das responsabilidades gerais e específicas na gestão da segurança da in-formação, incluindo o registro dos incidentes de segurança;Referências à documentação que possam apoiar a política, por exemplo, políticas eprocedimentos de segurança mais detalhados de sistemas de informação específicos
    • André Luiz CunhaNome da Revista • Vol. V, Nº. N, Ano 2012 • p. 1-2217ou regras de segurança que convém que os usuários sigam. (NBR ISO/IEC17799,2001, p. 4).É recomendado que a politica de segurança da empresa, seja divulgada eapresentada a todos os funcionários, para que eles tenham ciência das politicas de se-gurança da empresa (NBR ISO/IEC 17799, 2001).13.2. Atribuição das responsabilidades em segurança da informação.Esse controle é importante porque cria responsabilidades que visa a proteção de cadaativo, é recomendado que cada ativo, possua um proprietário que será responsávelpela segurança do mesmo (NBR ISO/IEC 17799, 2001).O responsável pode até delegar a segurança a terceiros, mais a ele continuacomo responsável final pela segurança do ativo.A NBR ISO/IEC 17799 (2001), diz que é essencial que fique claro por qual áreacada gestor é responsável pela segurança dos ativos, a NBR ISO/IEC 17799 (2001), citaainda que os seguintes itens sejam cumpridos:Convém que os vários ativos e processos de segurança associados com cada sistemasejam identificados e claramente definidos.Convém que o gestor responsável por cada ativo ou processo de segurança esteja deacordo e os detalhes dessa responsabilidade sejam documentados.Convém que os níveis de autorização sejam claramente definidos e documentados.(NBR ISO/IEC 17799, 2001, p. 6).13.3. Educação e Treinamento em segurança da informação.O usuário é ponto fundamental no que diz respeito à segurança da informação e paraque os mesmo estejam cientes das ameaças e da preocupação que a empresa tem pelasegurança da informação é essencial que os mesmos recebam treinamento baseado napolitica de segurança da empresa (CAMPOS, 2007).Segundo a NBR ISO/IEC 17799 (2001) convém que:Todos os funcionários da organização e, onde forem relevante, prestadores de servi-ços recebam treinamento apropriado e atualizações regulares sobre as políticas e pro-cedimentos organizacionais. Isto inclui requisitos de segurança, responsabilidadeslegais e controles do negócio, assim como treinamento sobre o uso correto das insta-lações de processamento da informação como, por exemplo, procedimentos de acessoou uso de pacotes de software, antes que seja fornecido qualquer acesso aos serviçosou informações. (NBR ISO/IEC 17799, 2001, p. 12).Esse treinamento é essencial, pois assim a politica de segurança elaborada terámais sucesso.
    • O Valor das Informações para as Empresas e a Importância da Segurança da InformaçãoNome da Revista • Vol. V, Nº. N, Ano 2012 • p. 1-221813.4. Notificação dos Incidentes de Segurança.A NBR ISO/IEC 17799 (2001) recomenda que os incidentes de segurança sejamreportados a seus gestores o mais breve possível, utilizando dos canais de comunicaçãoque a empresa definir, essa ação facilitara e agilizara o processo e as atitudes a seremtomadas.Conforme a NBR ISO/IEC 17799 (2001) essas notificações precisam:Que um procedimento de notificação formal seja estabelecido, junto com um proce-dimento de resposta ao incidente, estabelecendo a ação a ser tomada ao se receberuma notificação de incidente. Convém que todos os funcionários e prestadores deserviço estejam conscientes dos procedimentos para notificação de incidentes de se-gurança e instruídos para relatar tais incidentes, o mais rapidamente possível. Con-vém que processos de retorno (feedback) adequados sejam implementados para as-segurar que os incidentes estão notificados com os resultados obtidos após o inci-dente ser tratado e encerrado. Estes incidentes podem ser usados nos treinamentosde conscientização de usuários como exemplos do que pode acontecer, como reagir atais incidentes e como evitá-los no futuro. (NBR / NBR ISO 17799, 2001, p. 12).13.5. Plano de Continuidade do Negócio.O plano de continuidade dos negócios é vital hoje para as empresas porque ele visa ga-rantir que as atividades da empresa não sejam interrompidas em caso de interrupçãototal ou parcial.Segundo a NBR ISO/IEC 17799, o plano de continuidade do negócio deve serimplantado para:Reduzir, para um nível aceitável, a interrupção causada por desastres ou falhas dasegurança (que pode ser resultante de, por exemplo, desastres naturais, acidentes, fa-lhas de equipamentos e ações intencionais) através da combinação de ações de pre-venção e recuperação e garantir que os processos do negócio possam ser recuperadosdentro da requerida escala de tempo. (NBR ISO/IEC 17799, 2001, p. 45).É vital que todas as áreas da empresa estejam contempladas no plano de con-tinuidade do negócio segundo a NBR ISO/IEC 17799 (2001), é importante que o planode continuidade do negócio agregue os seguintes elementos chaves:Entendimento dos riscos a que a organização está exposta, no que diz respeito à suaprobabilidade e impacto, incluindo a identificação e priorização dos processos críti-cos do negócio;Entendimento do impacto que as interrupções provavelmente terão sobre os negó-cios (é importante que as soluções encontradas possam tratar tanto os pequenos inci-dentes como os mais sérios, que poderiam colocar em risco a continuidade da orga-nização) e estabelecimento dos objetivos do negócio relacionados com as instalaçõese recursos de processamento da informação;Consideração de contratação de seguro compatível que possa ser parte integrante doprocesso de continuidade;Definição e documentação de estratégia de continuidade consistente com os objetivose prioridades estabelecidos para o negócio;
    • André Luiz CunhaNome da Revista • Vol. V, Nº. N, Ano 2012 • p. 1-2219Detalhamento e documentação de planos de continuidade alinhados com a estratégiaestabelecida;Testes e atualizações regulares dos planos e procedimentos implantados;Garantia de que a gestão da continuidade do negócio esteja incorporada aos proces-sos e estrutura da organização. A responsabilidade pela coordenação do processo degestão de continuidade do negócio deve ser atribuída a um nível adequado dentro daorganização, por exemplo ao fórum de segurança da informação. (NBR ISO/IEC17799, 2001, p. 46).O plano de continuidade do negocio deve focar os objetivos do negócio, e quesua recuperação se de em um período de tempo aceitável e definir responsabilidadesindividuais para a execução de cada atividade do plano (NBR ISO/IEC 17799, 2001).Segundo a NBR ISO/IEC 17799 (2001), o plano de continuidade do negóciodeve seguir uma estrutura que considere os seguintes itens:a) as condições para ativação dos planos, os quais descrevem os processos a seremseguidos previamente à sua ativação (como se avaliar a situação, quem deve ser aci-onado, etc.);b) os procedimentos de emergência que descrevam as ações a serem tomadas após aocorrência de um incidente que coloque em risco as operações do negócio e/ou vidashumanas. Convém que isto inclua procedimentos para a gestão das relações públicase para o contato eficaz com as autoridades públicas apropriadas, tais como polícia,bombeiros e governo local;c) procedimentos de recuperação que descrevam as ações necessárias para a transfe-rência das atividades essenciais do negócio ou os serviços de infra-estrutura para lo-calidades alternativas temporárias e para a reativação dos processos do negócio noprazo necessário;d) procedimentos de recuperação que descrevam as ações a serem adotadas quandodo restabelecimento das operações;e) uma programação de manutenção que especifique quando e como o plano deveráser testado e a forma de se proceder à manutenção deste plano;f) desenvolvimento de atividades educativas e de conscientização com o propósito decriar o entendimento do processo de continuidade do negócio e de assegurar que osprocessos continuem a serem efetivos;g) designação das responsabilidades individuais, descrevendo quem é responsávelpela execução de que item do plano. Convém que suplentes sejam definidos quandonecessário. (NBR ISO/IEC 17799, 2001, p. 46-47).14.CONSIDERAÇÕES FINAIS.Estamos vivendo por muitos a era da informação, porém o termo informação por si sóé muito vago, a informação só é obtida através de um conjunto de dados que sãocoletados, processados e assim estão prontos para serem apresentados e utilizadospelos usuários.A informação hoje é tratada por diversas empresas como um ativo, ativo essede valor incalculável. Muitos tentam calcular o valor que a informação possui, mas nãoexiste até hoje uma fórmula matemática capaz de traduzir em números o valor que a
    • O Valor das Informações para as Empresas e a Importância da Segurança da InformaçãoNome da Revista • Vol. V, Nº. N, Ano 2012 • p. 1-2220informação possui. Segundo Beal (2004), o valor da informação aumenta conforme oseu uso, precisão e quando combinada com outras informações.Mas, independente de se traduzir ou não o valor da informação em números,o fato é que ela é um ativo vital para as empresas, independentes do seu porte ou ramode atividade. Elas auxiliam na tomada de decisões, podem agregar valor na concepçãode novos produtos, etc.Para que as empresas façam um bom uso das informações é necessário queelas disponham de sistemas de informações capazes de processar, armazenar e apre-sentar as mesmas na hora em que forem solicitadas.Porém, as informações estão cada vez mais expostas a risco e ameaças e a se-gurança dessas informações devem ser levadas a sério pelas empresas, pois a perda deintegridade, disponibilidade e confidencialidade podem trazer prejuízos incalculáveis.As empresas devem investir em segurança da informação para garantir queesse ativo tão valioso e necessário continue íntegro, confidencial e disponível onde equando forem necessários.A segurança da informação é implantada a partir de controles, procedimentose politicas que visam a garantir a segurança e integridade não só das informações masde todo ambiente computacional como um todo (sistemas, desktops, servidores, insta-lações, etc.), contra riscos e ameaças, garantindo assim a continuidade dos negócios.
    • André Luiz CunhaNome da Revista • Vol. V, Nº. N, Ano 2012 • p. 1-2221DEDICATÓRIADedico este trabalho primeiramente a Deus, por me dar saúde e força para poder tor-nar meus sonhos realidades. Como também aos meus pais pela educação que me de-ram, sempre me apoiando e me motivando, a minha esposa Vanessa Batista Matos porestar sempre ao meu lado na alegria e na tristeza e ao meu filho Felipe Batista Cunhapor ser a luz da minha vida, que me dá forças para lutar.AGRADECIMENTOSAgradeço a Deus pela oportunidade de estudar e concluir esse trabalho, a minha famí-lia tão especial e presente na minha vida e ao meu Professor e orientador Roberto Bit-tencourt Peischl, pelos ensinamentos e por sua paciência e dedicação.REFERÊNCIAS BIBLIOGRÁFICASABREU, Aline França de. Tecnologia da informação aplicada a sistemas de informa-ção empresariais: o papel estratégico da informação e dos sistemas de informação nasempresas. 4. ed. São Paulo: Atlas, 2006.ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS (ABNT)– Tecnologia da In-formação - Código de Prática para Gestão da Segurança da Informação: NBRISO/IEC 17799:2001. Rio de Janeiro: ABNT, 2001.BEAL, Adriana. Segurança da Informação: Princípios e melhores praticas para prote-ção dos ativos de informação nas organizações. São Paulo: Atlas, 2005.BEAL, Adriana. Gestão estratégica da informação. São Paulo: Atlas, 2004.CAMPOS, André. Sistemas de segurança da informação. Florianópolis: Visual Books,2007.CÔRTES, Pedro Luiz. Administração de sistemas de informação. São Paulo: Saraiva,2008.DANTAS, Marcus Leal. Segurança da informação: Uma abordagem focada em riscos.Olinda: Livro Rápido: 2010.DIAS, Cláudia. Segurança e Auditoria da Tecnologia da Informação. Rio de Janeiro:Axcel Books, 2000.FALCÃO, José de Moraes. O Valor da Informação: Da Inderteminação de Morgens-tern a Irrelevância de Phelps, 2009. Disponível em:http://www2.rj.sebrae.com.br/boletim/o-valor-da-informacao-da-indeterminacao-de-morgenstern-a-irrelevancia-de-phelps/ Acessado em 20/04/2012.JUNIOR, Leopoldo Costa. Como Calcular o Valor da Informação, 2007. Disponívelem: http://www.expresstraining.com.br/scripts/UpToDate107.pdf. Acessado em12/04/2012.
    • O Valor das Informações para as Empresas e a Importância da Segurança da InformaçãoNome da Revista • Vol. V, Nº. N, Ano 2012 • p. 1-2222LAUDON, Kenneth C. e LAUDON, Jane P. Sistemas de Informação Gerenciais. Pren-tice Hall; São Paulo, 2007.LAUREANO, Marcos Aurélio Pchek. Gestão de segurança da informação, 2005. Dis-ponível em: http://www.mlaureano.org/aulas_material/gst/apostila_versao_20.pdf.Acessado em: 22/03/2012.MARSHALL, Chistopher. Medindo e Gerenciando Riscos Operacionais em Institui-ções Financeiras; Qualitymark, 2002.NET, Oficina Da. Segurança da informação conceitos e mecanismos, 2008. Disponívelem:http://www.oficinadanet.com.br/artigo/1307/seguranca_da_informacao_conceitos_e_mecanismos. Acessado em 30/03/2012.OLIVEIRA, Salomão de. Ciclo de vida da informação, 2005. Disponível em:http://pt.scribd.com/doc/52566307/42/Ciclo-de-vida-da-informacao#. Acessado em:28/03/2012.SÊMOLA, Marcos. Gestão da Segurança da Informação: Uma visão Executiva. Rio deJaneiro: Campus, 2003.André Luiz CunhaGraduado em Redes de Computadores, na UniversidadeRadial, atuando atualmente como Administrador de Re-des Windows e Linux.