Segurança da Tecnologia da Informação (TI): Que é? Conceitos e Definições
A Segurança da Tecnologia da Informação, conhecida também como Segurança em TI, refere-se as medidas de proteção adotadas para proteger a integridade das tecnologias de informação como sistemas de computadores, software, hardware, redes e suas informações, contra ataques, danos e acessos não autorizados.
A Segurança em TI é um campo dentro da área da tecnologia da informação responsável pela proteção de sistemas de informatizados, cuida da proteção de dados e informações contidos em sistemas eletrônicos.
É um conjunto de estratégias de segurança eletrônica que visa dissuadir, impedir, identificar e responder a acessos não autorizados a ativos organizacionais, como computadores, redes e dados, com intuito de manter confidencialidade, integridade e disponibilidade das informações sensíveis.
Por José Sérgio Marcondes.
Postado 10/09/2020
Índice do Conteúdo
1. Definição de Informação Empresarial2. Definição de Tecnologia da Informação
3. Componentes da Tecnologia da Informação
4. Segurança da Tecnologia da Informação
5. Pilares da Segurança da Tecnologia da Informação
6. Objetivos da Segurança da Tecnologia da Informação
7. Qual a Importância da Segurança da Tecnologia da Informação
8. Ameaças em Segurança de TI
9. Vulnerabilidades na Segurança da TI
10. Riscos em Segurança de TI
11. Segurança da Tecnologia da Informação x Cibersegurança
12. Diferença entre Segurança de TI e Segurança da Informação
13. Prioridades entre TI e STI
14. Participação do Leitor
15. Dados para Citação em Trabalhos
16. Indicação de Artigos Complementares
17. Referencias Bibliográficas
Voltar para o Índice
1. Definição de Informação Empresarial
Informação pode ser definida como sendo um conjunto de dados organizados que fazem sentido e referencia a um acontecimento, um fato ou um fenômeno, que no seu contexto tem um determinado significado para o receptor.
Dado, por sua vez, pode ser entendido como uma seqüência de símbolos estruturados que tem a potencialidade de transformar-se em informação desde que receba a intervenção e o tratamento adequado que os preencha de significado.
Neste contexto, a Informação Empresarial é um conjunto de dados organizados que fazem sentido e que geram valor para a empresa, refere-se a acontecimentos, fatos ou fenômenos, que no seu contexto tem um determinado significado para a organização, cujo fim é reduzir a incerteza, auxiliar a tomada de decisão, e incrementar o conhecimento e a competitividade empresarial.
É um dos ativos mais importantes para a empresa, uma vez que tem a capacidade de gerar desenvolvimento e subsidiar a implementação das estratégias empresariais.
A informação pode estar armazenada, contida ou integrada a diversos recursos empresariais, e estar presente presente em:
- papéis impressos;
- equipamentos eletrônicos, em mídias de dados, ficheiros e banco de dados;
- em imagens, desenhos ou vídeos;
- nos processos empresariais;
- nas formas de realizar determinados atividades ou serviços;
- em máquinas e equipamentos;
- nas instalações e layouts industriais; e
- na mente dos empregados e prestadores de serviços.
A informação empresarial é à base de tudo o que uma organização faz, inclusive de sua rentabilidade.
Voltar para o Índice
2. Definição de Tecnologia da Informação
A Tecnologia da Informação (sigla T.I.), são todas aquelas tecnologias que envolvem eletrônica e computação, nas quais há transmissão, recepção, armazenamento ou processamento de dados por meio de sinais elétricos, magnéticos ou óticos.
Os exemplos mais conhecidos são o telefone, a televisão, os computadores, os softwares, redes de transmissão de dados e os satélites.
A T.I. permite o gerenciamento de enormes quantidades de dados, proporciona diversas mudanças, desde a simples automatização de processos até uma profunda alteração na maneira de conduzir e alavancar os negócios.
O´Brien (2004) define Tecnologia da Informação como: “ um conjunto organizado de pessoas, hardware, software, redes de comunicações e recursos de dados que coleta, transforma e dissemina informações em uma organização”.
Segundo Castels (2007), a Tecnologia da Informação incluem todo o conjunto convergente de tecnologias em microeletrônica, computação (software e hardware), telecomunicações, radiodifusão, e optoeletrônica.
Para Batista (2004), a “Tecnologia de Informação é todo e qualquer dispositivo que tenha a capacidade para tratar dados e/ou informações, tanto de forma sistêmica como esporádica, independentemente da maneira como é aplicada”.
A Tecnologia da Informação refere-se às tecnologias de computadores e telecomunicações utilizadas nas organizações, incluindo aquelas relacionadas ao processamento e transmissão de dados, voz, gráficos e vídeos (Applegate, McFarlan, e McKenney, 1996).
Sistemas de Informação (S.I.) podem ser definidos como um conjunto de elementos ou componentes inter-relacionados que coleta, armazena, processa e distribuem dados e informações com a finalidade de dar suporte às atividades de uma organização (planejamento, direção, execução e controle) (Laudon e Laudon, 2001).
Voltar para o Índice
3. Componentes da Tecnologia da Informação
O termo Tecnologia da Informação serve para designar o conjunto de recursos tecnológicos e computacionais para geração e uso da informação. Segundo (REZENDE; ABREU, 2000), a TI está fundamentada nos seguintes componentes:
- Hardware e seus dispositivos e periféricos;
- Software e seus recursos;
- Sistemas de telecomunicações;
- Gestão de dados e informações.
Embora conceitualmente não faça parte da tecnologia da Informação, o componente humano é um recurso fundamental, pois sem ele, esta tecnologia não teria funcionalidade.
A união desses componentes eleva a potencialidade de atuação das empresas, agregando valor de mercado e capacidade de gerir as informações de forma eficiente.
Voltar para o Índice
4. Segurança da Tecnologia da Informação
A Segurança da Tecnologia da Informação, conhecida também como Segurança em TI, refere-se as medidas de proteção adotadas para proteger a integridade das tecnologias de informação como sistemas de computadores, redes e dados contra ataques, danos e acessos não autorizados.
A Segurança em TI é um campo dentro da área da tecnologia da informação responsável pela proteção de sistemas de informatizados, cuida da prevenção do uso não autorizado ou alterações ou acesso a dados eletrônicos.
Trata da proteção de software, hardware, redes e suas informações. Devido à grande dependência dos sistemas informatizados nas indústrias modernas, que armazenam e transmitem uma abundância de informações confidenciais sobre as pessoas, seus processos e produtos, a Segurança em TI é uma função crítica e necessária a todas as organizações.
A Segurança da Tecnologia da Informação é um conjunto de estratégias de segurança eletrônica que visa dissuadir, impedir, identificar e responder a acessos não autorizados a ativos organizacionais, como computadores, redes e dados, com intuito de manter confidencialidade, integridade e disponibilidade das informações sensíveis.
A Segurança de TI se faz por meio do processo de implementação de medidas e sistemas projetados para proteger e salvaguardar com segurança os dados e informações (dados comerciais e pessoais, conversas de voz, imagens, vídeos, apresentações multimídia e etc).
Ela faz uso de várias formas de tecnologia desenvolvidas para criar, armazenar, transmitir, usar e trocar informações, contra qualquer acesso não autorizado, uso indevido, mau funcionamento, modificação, destruição ou divulgação indevida.
Visa preservar assim o valor, confidencialidade, integridade, disponibilidade dos dados e informações.
Voltar para o Índice
5. Pilares da Segurança da Tecnologia da Informação
Em geral, a Segurança da Tecnologia da Informação inclui a proteção de bancos de dados, softwares, aplicativos, servidores e dispositivos.
Para garantir a proteção, a Segurança de Tecnologia da Informação, também inclui o conceito de garantia da informação. A garantia da informação refere-se à sigla CIA – confidencialidade, integridade e disponibilidade, considerados os pilares da segurança em TI.
A confidencialidade é talvez o elemento da Segurança de TI que mais rápido vem à mente quando se pensa em segurança da informação.
Os dados e informações são confidenciais quando apenas as pessoas autorizadas a acessá-los podem fazê-lo.
Para garantir a confidencialidade é necessário ser capaz de identificar quem está tentando acessar os dados, checar sua permissão e bloquear tentativas sem autorização. Senhas, criptografia, autenticação e defesa contra ataques de penetração são técnicas projetadas para garantir a confidencialidade.
Integridade significa manter os dados em seu estado correto e evitar que sejam modificados indevidamente, seja por acidente ou maliciosamente com segundas intenções.
Muitas das técnicas utilizadas para garantir a confidencialidade também protegerão a integridade dos dados, afinal, não se pode alterar os dados que não se pode acessar.
Porém, existem outras ferramentas que ajudam a fornecer uma defesa da integridade em profundidade, por exemplo: software de controle de versão e backups frequentes podem ajudar a restauração dos dados para um estado correto, se necessário.
A disponibilidade é a imagem espelhada da confidencialidade: embora seja preciso garantir que os dados não possam ser acessados por usuários não autorizados, também é preciso garantir que eles possam ser acessados por aqueles que têm as permissões adequadas.
Garantir a disponibilidade de dados significa combinar recursos de rede e de computação com o volume de acesso de dados conforme a necessidade e implementar uma boa política de backup para fins de recuperação de desastres.
Voltar para o Índice
6. Objetivos da Segurança da Tecnologia da Informação
O objetivo principal da Segurança da Tecnologia da Informação é garantir a confidencialidade, disponibilidade e integridade das informações da organização.
A segurança de TI tem um papel estratégico nas organizações, pois é ela a responsável pelos processos de proteção de toda a estrutura da tecnologia de uma empresa, como: bancos de dados; servidores; provedores; computadores e notebooks; data centers; serviços de proteção de dados, entre outros.
Voltar para o Índice
7. Qual a Importância da Segurança da Tecnologia da Informação (TI)
Embora fornecer segurança de TI possa ser caro, uma violação significativa custa muito mais para a organização.
Grandes violações de sistema de informações podem prejudicar a saúde de uma empresa. Durante ou após um incidente, as equipes de segurança de TI podem seguir um plano de resposta a incidentes como uma ferramenta de gerenciamento de risco para obter o controle da situação.
A segurança de TI evita ameaças maliciosas e possíveis violações de segurança que podem ter um grande impacto na organização. Ela trabalha para garantir a confidencialidade, disponibilidade e integridade dos dados e informações da organização.
Voltar para o Índice
8. Ameaças em Segurança de TI
Ameaças em Segurança de TI refere-se a possibilidade de um agente (ou fonte de ameaça) explorar acidentalmente ou propositalmente uma vulnerabilidade especifica.
É um evento ou atitude indesejável com potencial de causar danos a informação ou aos dados, ou prejudicar o funcionamento do sistema. Elas normalmente não podem ser controladas
As ameaças normalmente aproveitam das falhas de segurança da organização (vulnerabilidade).
8.1 Exemplos de ameças na Segurança de TI
Scan – É um ataque que quebra a confidencialidade do sistema com o objetivo de analisar detalhes dos computadores presentes na rede e identificar possíveis alvos para outros ataques.
Worms – são alguns dos malwares mais comuns e antigos. Malwares são softwares com o intuito de prejudicar o computador “hospedeiro”.
Rootkit – Tem como objetivo fraudar o acesso, logando no sistema como root, ou seja, usuário com poder para fazer qualquer coisa.
DDoS (negação de serviço) Os ataques de negação de serviço estão entre os mais frequentes. Eles têm como objetivo tornar um sistema, infraestrutura ou servidores indisponíveis, causando interrupção dos serviços.
Ransomware – A família ransomware é um conjunto de vírus do tipo malware e tem sido massivamente utilizada para a prática de crimes de extorsão de dados — prática também conhecida como sequestro de dados.
Vírus de resgate – visa sequestro de dados das organizações.
Antivírus falsos – oferecem um produto para rastrear ameaças e limpar o computador, quando na verdade tem outras intenções criminosas.
Phishing – consiste no envio de mensagens de e-mail, onde o invasor se passa por uma instituição legítima e confiável induzindo a vítima a passar informações cadastrais.
Voltar para o Índice
9. Vulnerabilidades na Segurança da TI
Refere-se a falha ou fraqueza de procedimento, design, implementação, ou controles internos de um sistema que possa ser acidentalmente ou propositalmente explorada, resultando em uma brecha de segurança ou violação da política de segurança do sistema.
Vulnerabilidade (internas) – Podem ser tratadas
Em segurança de TI, uma vulnerabilidade é uma fraqueza que permite que o atacante reduza a garantia da informação do sistema.
Vulnerabilidade é a interseção de três elementos: uma suscetibilidade ou falha do sistema, acesso do atacante a falha e a capacidade do atacante explorar a falha.
9.1 Exemplos de Vulnerabilidades
- Softwares desatualizados – Um risco existente em praticamente todas as empresas é a utilização de softwares desatualizados e legados, sendo uma das principais portas de acesso para que hackers consigam ter acesso aos dados de um negócio.
- Colaboradores – Um dos maiores riscos dentro de uma empresa é o próprio colaborador. A falta de instrução sobre segurança da informação e de uma política bem definida pode ser muito prejudicial para o negócio.
- Ausência de backups regulares;
- O não uso ou uso incorreto de firewall e antivírus;
- Vulnerabilidade de armazenamento – Diz respeito a fragilidades nas formas de armazenamento de informações.
- Vulnerabilidade de comunicação – transmissão de dados ou informações de forma e por meios não seguros;
- Vulnerabilidade de infraestrutura – Está relacionado à tudo aquilo que diz respeito a infraestrutura de TI.
Voltar para o Índice
10. Riscos em Segurança de TI
Probabilidade de uma fonte de ameaça explorar uma vulnerabilidade, resultando em um impacto para a segurança de TI da organização.
Qualquer evento que possa causar impacto negativo na confidencialidade, disponibilidade ou integridade dos dados ou informações da organização.
Riscos (externos e/ou internos) – Podem ser minimizados ou mitigados
10.1 Exemplo de Riscos a Segurança de TI
- Furto de dados – os dados são furtados para uso indevido ou para venda para a terceiros;
- Desvio de pagamentos – podem ocorrer principalmente no pagamentos de boletos bancários, por meio de dados falsos;
- Furto de dinheiro (transferência para outas contas sem conhecimento do proprietário da conta) – ocorrem princialmente pela descoberta de senhas de acesso;
- Sequestro de dados – sequestrar as informações e só liberá-las mediante um pagamento;
- Espionagem industrial – obter informações sensíveis da organização para concorrência desleal.
Voltar para o Índice
11. Segurança da Tecnologia da Informação x Cibersegurança
A Cibersegurança pode ser vista como uma especialização da Segurança da Tecnologia da Informação. Enquanto a cibersegurança trata da proteção de dados contra hacks da Internet, a segurança de TI é o processo abrangente que cobre como os dados da empresa são tratados diariamente.
A segurança cibernética se refere à proteção dos dados da empresa contra ameaças que podem ocorrer na Internet.
A segurança de TI pode abranger o acesso físico a várias salas na empresa e determinar quem pode abrir ou modificar arquivos específicos.
A Cibersegurança refere-se a um conjunto de procedimentos, medidas e uma combinação de hardwares e softwares com o objetivo de proteger dados, programas e sistemas, alocados num Ciberespaço , contra tentativas de acesso não autorizadas feitas por pessoas ou outros programas de computador.
Segundo a norma internacional ISO/IEC 27032 Ciberespaço ou Espaço Cibernético pode ser entendido como “um ambiente complexo resultante da interação entre pessoas, software e serviços existentes na Internet, conectados entre si por meio de dispositivos de tecnologia e redes, o qual não existe como forma física”.
A segurança cibernética é principalmente uma estratégia preventiva e de gestão de risco. As técnicas implementadas incluem proteção por senha, criptografia de dados e segurança de rede para evitar hacks online.
À medida que mais empresas dependem da Internet para alimentar suas operações diárias, a segurança cibernética se tornou uma das principais preocupações. Manter os dados confidenciais seguros online é um aspecto crítico da estratégia geral de segurança de dados de qualquer empresa.
Voltar para o Índice
12. Diferença entre Segurança de TI e Segurança da Informação
Embora a segurança da Tecnologia da Informação e a Segurança da Informação pareçam semelhantes, elas se referem a diferentes tipos de segurança.
A segurança da informação se refere aos processos e ferramentas projetados para proteger todas as informações sensíveis da empresa, enquanto a segurança de TI se refere à proteção de dados digitais, por meio da segurança da rede e sistemas de computadores.
O conceito de segurança da informação é algo mais amplo, que envolve toda a empresa, é de responsabilidade da empresa como um todo e não apenas da área da Tecnologia da Informação da organização.
A segurança da informação não é uma única tecnologia fechada, mas sim um conjunto de ferramentas, estratégias e políticas de segurança que visam proteger a empresa de vários problemas relacionados a informação.
Por um lado, a segurança de TI é focada em manter a segurança dos sistemas operacionais e da infraestrutura de TI da empresa, enquanto a segurança da informação é um conceito que vai muito além e tem como objetivo proteger os dados e informações corporativas em si de ataques e ameaças.
Devemos ter em mente que a informação sensível não está presente ou contida apenas nos sistemas eletrônicos (computador, celular, banco de dados, redes, mídias de dados etc), elas também podem estar presente ou contidas e presentes em:
- Papeis impressos por meio da escrita;
- Imagens e desenhos impressos;
- Vídeos;
- nos processos empresariais;
- nas formas e técnicas de realizar determinados atividades ou serviços;
- em máquinas e equipamentos;
- nas instalações e layouts industriais ; e
- na mente das pessoas.
12.1 Abrangência da Segurança da Informação
Normalmente, quando o assunto segurança da informação é discutido, algumas pessoas associam o tema a hackers e vulnerabilidades em sistemas eletrônicos, onde o principal entendimento é de que a empresa precisa de um bom antivírus e firewal aplicados no ambiente tecnológico. Não há dúvida de que são questões importantes, porém a Segurança da Informação não está limitada a somente esses pontos.
Em se tratando de Segurança da Informação, deve-se estar atento a itens como os ambientes físico e lógico, as tecnologias, processos, as políticas e as pessoas.
O tema Segurança da Informação envolve diversas recursos, tais como:
- segurança física de instalações e segurança do ambiente (segurança patrimonial);
- infraestrutura de tecnológica da informação, segurança da tecnologia da informação e cibersegurança (Tecnologia da .Informação);
- políticas de recursos humanos – seguranças de pessoas – (RH);
- políticas e procedimentos de segurança da informação;
- gestor da informação sensível;
- colaboradores que tiverem acesso ao dado ou informação sensível.
Voltar para o Índice
13. Prioridades entre TI e STI
TI – Tecnologia da Informação – STI Segurança da Tecnologia da Informação
S.T.I. – garante que os hardwares, softwares e outros componentes de rede permaneçam funcionais.
S.I. – trata da proteção de dados e ativos.
S.T.I – é responsável por hardware, software e novas tecnologias.
S.I. – é responsável pelos processos do sistema e pelos riscos apresentados pelos usuários finais.
S.T.I – implementa controles sobre Hardware, software.
S.I. – identifica quais controles implementar e testa os controles para garantir que estejam funcionando corretamente.
S.T.I – mantém o hardware, o software e os aplicativos atualizados e corrigidos.
S.I. – se mantém atualizada sobre novas ameaças e ataques cibernéticos que surgem diariamente.
Voltar para o Índice
14. Você Gostou? Sem sim, colabore com o crescimento do Blog
Para continuar publicando e disponibilizando os artigos de forma gratuita a todos, solicito a você leitor ou leitora, que ajude na divulgação e crescimento do blog, fazendo pelo menos uma das práticas a seguir:
Deixe seu comentário no final do artigo, ele é muito importante para nós;
Inscreve-se na nossa Newsletter para receber avisos diretos no seu e-mail quando houver novas publicações de artigos.
Obrigado pelo tempo disponibilizado na leitura de nosso artigo, espero que tenha sido útil pra você!
Forte abraço e sucesso!
José Sérgio Marcondes
Voltar para o Índice
15. Dados para Citação em Trabalhos
MARCONDES, José Sérgio (10 de setembro de 2020). Segurança da Tecnologia da Informação: Que é? Conceitos e Definições. Disponível em Blog Gestão de Segurança Privada: – Acessado em (inserir data do acesso).
Voltar para o Índice
16. Indicação de Artigos Complementares
Sugiro a leitura dos artigos a seguir como forma de complementar o aprendizado desse artigo.
Informação: O que é? Significado, Conceitos, para Que Serve
Informação Empresarial/ Organizacional: Definições e Conceitos
Sistema de Informação: O que é? Conceitos e Definições. O que Faz.
Gestão da Informação (G.I.): O que é? Objetivo e Importância
Gestão do Conhecimento Nas Organizações: O que é? Conceitos
Tecnologia da Informação (TI): O que é? O que faz? Importância
Cibersegurança: Segurança Cibernética. Principais Ameças ao Ciberespaço
Convergência da Segurança Física e Lógica nas Organizações
Segurança da Informação: O que é? O que Faz? Conceitos e Definições
Política de Mesas Limpas e Telas Limpas na Segurança da Informação
Voltar para o Índice
17. Referencias Bibliográficas
APPLEGATE, Lynda M., McFARLAN, F.Warren e McKENNEY, James L. (1996). Corporate information systems mangement: The issuesfacing senior executives (4ª ed.). Chicago: Irwin.
O ‟BRIEN, James A. Sistemas de informação e das decisões gerenciais naera da Internet.São Paulo: Saraiva, 2004.
CASTELLS, M. A sociedade em rede.10ª Ed. São Paulo: Paz e Terra, 2007.
BATISTA, E. O. Sistema de Informação: o uso consciente da tecnologia para o gerenciamento. São Paulo: Saraiva, 2004.
Introduction to Personnel Security Student Guide – Center for Development of Security Excellence -2017
LAUDON, K. C.; LAUDON, J. P. Sistemas de informação gerenciais. 4 ed. São Paulo: Prentice Hall, 1999.
Olivia, Lawrence M.- Information Technology Security- Idea Group Publishing – 2004.
REZENDE, D. A.; ABREU, A. F. Tecnologia da informação aplicada a sistemas de informação empresariais. São Paulo: Atlas, 2000.
REZENDE, Denis Alcides. Tecnologia da informação aplicada a sistemas de informação empresariais: o papel estratégico da informação e dos sistemas de informação nas empresas.
"? Fique por Dentro! Junte-se ao Nosso Grupo de WhatsApp!
Quer ser o primeiro a receber todas as atualizações do nosso blog? Então, não perca tempo! Junte-se ao nosso Grupo de WhatsApp agora mesmo e esteja sempre atualizado(a) com as últimas postagens.
Artigos Relacionados
Sobre o Autor
Certificações CES e CPSI - Especialista da área de segurança privada com experiência sólida na área. Gestor, Consultor e Diretor no IBRASEP. Ex-sargento do EB, com uma variedade de cursos de formação, graduação, especialização, capacitação, aprimoramento e aperfeiçoamento na área de segurança privada, segurança empresarial e gestão empresarial. Acumula mais de 30 anos de atuação na área da segurança privada, com resultados relevantes nas áreas operacionais, administrativas e comerciais.
0 Comentários