É o elemento desprovido de significados.
É o resultado do elemento após passar por processos de organização, manipulação, análise e avaliação.
Isso ocorre porque os dados, elementos desprovidos de significado, após passarem pelo processo de organização, manipulação, análise e avaliação, adquirem a característica de informação.
Desse modo, é basilar que o profissional de cibersegurança identifique em quais ativos a informação poderá estar. Cada formato e ativo pode exigir abordagens diferentes de medidas de segurança, lembrando que a informação poderá estar em vários formatos como texto, vídeo, áudio, dentre outros.
Em um contexto mais amplo, não importando o ativo de TI em que a informação possa residir, sabe-se que os dados podem ser agregados de acordo com a finalidade do Sistema de Informação (SI) a qual pertencem.
O SI possui a tarefa de reunir, armazenar, processar e distribuir informações relevantes para clientes, funcionários e gestores.
Além disso, os SI podem auxiliar a empresa no processamento de suas transações, no apoio à decisão e na automação de tarefas, por exemplo. Cada organização poderá apresentar tecnologias diferentes para cada SI, mas, mesmo assim, a metodologia das ações para proteção de cada sistema será a mesma.
A proteção de dados é o primeiro passo para garantir a segurança das informações de uma organização. Por mais que os dados sejam elementos aparentemente sem significado, ainda assim podem fornecer o entendimento de informações críticas e sensíveis para uma organização.
<aside> 💬 Exemplo
Vários bancos de dados podem conter itens como: nome, sobrenome, estado civil, ano de nascimento, local de nascimento, dentre outros itens afins. Suponhamos que, em um desses bancos de dados, encontram-se estes dados pessoais: Sara Ferreira, solteira, 2001 e Rio de Janeiro-RJ. Qual informação é possível abstrair desses elementos? Provavelmente, poderíamos dizer que a Srta. Sara Ferreira nasceu na capital do estado do Rio de Janeiro no ano de 2001.
</aside>
O exemplo apresentado foi apenas um dos que podemos encontrar no cotidiano das atividades de negócios das organizações.
A informação é considerada um dos fatores de produção, ao lado de fatores como o capital, o trabalho e a matéria-prima. Por essa razão, no meio corporativo, não é incomum ouvirmos frases como “informação é poder”. Basta visualizarmos casos reais em que empresas desprovidas de informações podem se tornar inoperantes ou menos competitivas em relação a outras do mesmo ramo.
Importante passo para proteção dos dados e, como consequência, das informações, a etapa de classificação da informação sustenta-se em critérios descritos nos manuais de boas práticas e normatizações, como a ISO (International Standards Organization) e a NIST (National Institute of Standards and Technology). Essas instituições orientam a catalogação da informação de acordo com seu risco e sua criticidade, dada sua importância em diferentes níveis para a organização a qual pertença.