É usual a visão de que a informação constitui per se um ativo (no sentido de um bem a ser valorizado e preservado) (SÊMOLA, 2003, p. 1-2). Com isso surge uma pergunta: como fica a proteção desse ativo diante do uso cada vez mais amplo de sistemas informatizados na sociedade do conhecimento?
Anteriormente reconhecida por seu papel como redutora de incertezas, a informação é cada vez mais vista como um recurso transformador do indivíduo e da sociedade, cabendo-lhe papel essencial no contexto socioeconômico vigente, não por acaso denominado de Era da Informação. As características da informação mais salientadas atualmente são as seguintes:
- Valor: valoriza-se não somente o que se sabe, mas também, e em muitos casos até mais, o que não se sabe. Transações entre indivíduos, empresas e governos são cada vez mais baseadas na troca de informações, que substituem os ativos tangíveis e o papel-moeda. O grau de conhecimento a respeito dos bens de troca e da situação dos prováveis parceiros ou concorrentes, por sua vez, assume papel cada vez mais preponderante. Diversos modelos para a valoração da informação têm sido apresentados, tais como o de Dickhaut et al. (2003) e o de Henessy e Babcock (1998). Em comum, apresentam a preocupação com a distribuição da informação entre os participantes, seja em situações de parceria, como consorciados, seja em situações de rivalidade, como concorrentes.
- Temporalidade ou volatilidade: tão importante quanto “o que” se sabe é “quando” se sabe. O exemplo das informações noticiosas é apenas um dentre a gama que se pode citar: o que hoje é um “furo” amanhã tornar-se-á uma notícia velha. Quanto a esse critério, varia da situação em que a informação deve estar disponível no instante exato em que dela se necessite (caso de permissão de acesso concedida) à situação em que ela não deve estar disponível em tempo algum (caso de permissão de acesso vedada). Observe-se que a temporalidade está, em muitos casos, intrinsecamente relacionada ao valor e ao usuário em questão.
- Abrangência: mede o número de usuários (sejam humanos, sejam sistemas automatizados) com o qual a informação se relaciona, bem como o nível hierárquico em que se encontram. Em muitos casos, quanto maior o valor da informação tratada, menor sua abrangência, mas há pelo menos um caso em que isso não se verifica: a chamada Lei de Metcalfe, segundo a qual o valor de um sistema de comunicação é proporcional ao quadrado do número de seus usuários (ANDERSON, 2001). Observe-se que a informação é parte integrante do sistema de comunicação, como na internet, para citar o exemplo mais evidente.
- Extensibilidade: mede o grau com que a informação é capaz de originar mais informação, de valor e relevância comparáveis ou superiores à informação original. Apenas para citar um exemplo, esse é um dos pilares da comunidade de software aberto, mas deve-se ressaltar que isso não implica a gratuidade da informação assim disseminada. A gestão do conhecimento, com seu enfoque voltado à formação e à preservação do capital intelectual, é outra área afeita a esse conceito.
O texto clássico de Borko (1968), ao situar o escopo da Ciência da Informação, aponta para as principais etapas do ciclo de vida da informação: origem, coleta, organização, armazenagem, recuperação, interpretação, transmissão, transformação e utilização. Todas essas etapas estão sujeitas a eventos relacionados à segurança, sendo que esses eventos podem ocorrer em momentos precoces ou tardios de cada uma das etapas, o que faz com que a segurança da informação tenha de se preocupar com todo o ciclo de vida, sem desprezar nenhuma das etapas identificadas.
O fato de, cada vez mais, os recursos de tratamento da informação (ou seja, os recursos que manipulam a informação durante o seu ciclo de vida) serem apresentados sobre uma base tecnológica induz a uma elevada ênfase nos aspectos tecnológicos da segurança. De fato, essa ênfase não é recente (SALTZER; SCHROEDER, 1975). Entretanto, não deve ser a tecnologia a única nuance contemplada – nem mesmo a principal.
Levando em consideração tudo que foi dito nos parágrafos anteriores, está explicitamente claro que na sociedade do conhecimento a proteção da informação é uma preocupação visível e justificável, já que representa um ativo de valor a ser protegido dentro do seu ciclo de vida, considerando fatores principais como valor e temporalidade.
O ciberespaço (ou espaço cibernético) é considerado como a metáfora que descreve o espaço não físico criado por redes de computador, notadamente a internet, pela qual as pessoas podem se comunicar de diferentes maneiras, como mensagens eletrônicas, salas de bate-papo, grupos de discussão, entre outras. O termo foi criado por Willian Gibson em seu romance Neuromancer (APDSI, 2005). Esse é um ambiente amplamente utilizado; podemos dizer inclusive que os avanços tecnológicos dependem em maior ou menor grau do ciberespaço, e direta ou indiretamente de informações compartilhadas por meio desse espaço virtual que interconecta todo o globo.
Eu sei que é preocupante saber que existem tantos fatores de risco à informação. Mas, como já diz o ditado, melhor prevenir do que remediar. Por esse motivo lancei, em 2011, o projeto Revista Segurança Digital, uma iniciativa gratuita que reuniu os melhores profissionais de segurança presentes no mercado. Como produto de um trabalho colaborativo entre mais de 70 especialistas, tivemos como produto final edições digitais e gratuitas disponíveis para download.
Você gosta do assunto ou tem interesse por ele? Então siga o link https://goo.gl/SwTD4v e baixe gratuitamente as 12 edições da Revista Segurança Digital.
O projeto foi encerrado em 2014 após atingir seu objetivo inicial, porém, no momento em que escrevo este artigo, planejo o lançamento do TI na Rede, uma iniciativa ainda mais ambiciosa que, além de englobar temas da tecnologia como um todo, irá tratar do tema Segurança da Informação como um dos seus pilares principais.
A composição principal deste artigo faz referência à tese de doutorado de João Luiz Pereira Marciano, intitulada Segurança da Informação: uma abordagem social. Link: http://repositorio.unb.br/handle/10482/1943
Referências
ASSOCIAÇÃO PARA A PROMOÇÃO E DESENVOLVIMENTO DA SOCIEDADE DA INFORMAÇÃO (APDSI). Glossário da Sociedade da Informação. Portugal: APDSI, 2005.
ANDERSON, R. Why information security is hard: an economic perspective. Cambridge, 2001. Disponível em: <http://www.cl.cam.ac.uk/ftp/users/rja14/econ.pdf>. Acesso em: 2 abr. 2004.
BORKO, H. Information science: what is it? American Documentation, v. 19, n. 1, p. 3-5, Jan. 1968. Disponível em: <http://www-ec.njit.edu/robertso/infosci/whatis.html>. Acesso em: 26 ago. 2003.
DICKHAUT, J. et al. Information management and valuation: an experimental investigation. Games and Economic Behavior, v. 44, n. 1, p. 26-53, July 2003.
HENESSY, D. A.; BABCOCK, B. A. Information, flexibility and value added. Information Economics and Policy, v. 10, n. 4, p. 431-449, Dec. 1998.
MARCIANO, J. L. P. Segurança da informação: uma abordagem social. 211 f. 2006. Tese (Doutorado em Ciência da Informação) – Universidade de Brasília, Brasília, 2006.
SALTZER, J. H.; SCHROEDER, M. D. The protection of information in computer systems. Proceedings of the IEEE, v. 63, n. 9, p. 1278–1308, Sept. 1975. Disponível em: <http://www.acsac.org/secshelf/papers/protection_information.pdf>. Acesso em: 30 jul. 2004.
SÊMOLA, M. Gestão da segurança da informação: uma visão executiva. Rio de Janeiro: Campus, 2003.