Alguém poderia pensar que a segurança de TI e a segurança da
informação são sinônimos - afinal, a segurança da informação não é tudo sobre computadores?
Na verdade não. O ponto básico é este - você pode ter proteções de
segurança de TI perfeitas, mas apenas um ato malicioso feito, por exemplo, por um administrador, pode derrubar todo o sistema de TI. Esse risco não tem nada a ver com computadores; tem a ver com pessoas, processos, supervisão, etc.
Além disso, informações importantes podem nem estar em formato
digital; também pode ser em forma de papel - por exemplo, um contrato importante assinado com o maior cliente, anotações pessoais feitas em um bloco de notas de papel pelo CEO ou senhas de administrador impressas armazenadas em um cofre.
Por isso, sempre gosto de dizer aos meus clientes - a segurança de TI é
apenas metade da segurança da informação, porque a segurança da informação também inclui segurança física, gerenciamento de recursos humanos, proteção legal, organização, processos etc. O objetivo da segurança da informação é construir um sistema que leva em consideração todos os possíveis riscos à segurança da informação (relacionada à TI ou não) e implementa controles abrangentes que reduzem todos os tipos de riscos inaceitáveis.
A ISO 27001 possibilita essa abordagem integrada à segurança da
informação: como mencionado anteriormente, ela requer que a avaliação de riscos seja feita em todos os ativos da organização - incluindo hardware, software, documentação, pessoas, fornecedores, parceiros, etc. controles para diminuir esses riscos. Ao analisar o Anexo A da ISO 2 7001, verifica-se que apenas 37% desses controles são relacionados a TI - todos os outros são controles que não são de TI.