• (19) 2042-2150
  • (11) 4210-8150

A tríade da segurança: confidencialidade, integridade e disponibilidade

Confidencialidade, integridade e disponibilidade

A segurança da informação é um dos objetivos mais importantes dentro das associações em função do aumento do valor do ativo dos dados para os negócios. Mesmo durante uma pandemia, vimos como o acesso aos dados de forma segura é importante para manter as operações de forma remota, com os funcionários em home office.

Com o “novo normal” de acesso aos dados para fora do perímetro tradicional de segurança de segurança das empresas no entorno da sua rede, a segurança da informação está se tornando ainda mais complexa e importante para as associações. Veja mais sobre proteção de dados em Home Office no nosso post.

E quanto mais cresce a importância dos dados como um ativo e um fator de produção para as empresas, mais cresce também como verteu orquestradas a sua violação, como vazamento de dados, sequestro de dados e destruição mal intencionada.

Neste post vamos tratar sobre os pilares da segurança da informação, conhecido como a tríade CID (confidencialidade, integridade e disponibilidade), que é um modelo projetado para orientar Políticas de Segurança dentro das associações.

 

Análise de Risco

Para proteger o valor da informação e especific-la confiável, deve ser analisado os três requisitos da segurança da informação: confidencialidade, integridade e disponibilidade (CID).

O ponto de partida em uma análise de riscos é a oferta que as exigências do CID têm sobre o valor da informação:

  • A importância da informação para manter os processos e a operação da organização;
  • O valor atribuído pela informação;
  • A capacidade de recuperação e reprodução da informação em todo ciclo de vida. Veja mais sobre Ciclo de Vida dos Dados .

 

Como referência para análise de risco, pode ser usado uma ISO 27001 [1]:

Identificação dos riscos:

1) Identificar os ativos dentro do escopo do SGSI (Sistema de Gestão da Segurança da Informação) e os proprietários destes ativos;

2) Identificar como esses ativos;

3) Identificar como vulnerabilidades que podem ser exploradas pelas corrigidas;

4) Identificar os impactos que as perdas de confidencialidade, integridade e disponibilidade podem causar aos ativos.

Requisitos de Segurança

Todos os controles e processos de segurança são implementados para atender os requisitos do CID ea resposta e controle dos riscos envolvidos, detectados e vulnerabilidades com base na capacidade potencial de comprometer a segurança dos dados.

Confidencialidade

A confidencialidade é o requisito que garante que as informações da organização e dados pessoais pessoais sejam acessadas somente por pessoas autorizadas.

Esse conceito se relaciona com o ideal de  privacidade das informações , isto é, da restrição do acesso. A segurança da informação, nesse ponto, é pensada e implantada para garantir o sigilo total de dados específicos, evitando que ações maliciosas podem expor o seu conteúdo, causando toda sorte de prejuízos para uma organização, como as sanções previstas na LGPD e também o acesso não autorizado em conteúdos restritos da organização, como dados financeiros, projetos e inovações.

São características da confidencialidade:

  • Exclusividade: Garantia de que os dados serão acessados ​​pelos usuários autorizados;
  • Privacidade: Aplicação do conceito de exclusividade, ou seja, não permitir que os dados caiam em mãos erradas e sejam acessados ​​por pessoas sem permissão.

Medidas para aumentar a confidencialidade das informações

A medidas de confidencialidade devem ser persistentes e prevalecer enquanto os dados elaborados nos sistemas da rede interna da empresa, na transmissão dos dados e no destino.

Os sistemas de controle de acesso para limitar as ações e privilégios do usuário (ou grupos de usuários) que utilizam os sistemas de informação são fundamentais e devem ser revisados ​​periodicamente. Com sistemas de controle de acesso, o administrador da rede pode garantir:

  • Autenticação;
  • Autorização;
  • Auditoria e logs.

Outra medida importante é realizar uma classificação dos dados, como aquelas que são de acesso público, de uso interno, restrito ou confidencial. Assim como os recursos físicos de uma organização devem ser inventariados, as informações que trafegam pela rede e que são armazenadas localmente ou em nuvem devem ser catalogadas. É necessário olhar para a informação sob o ponto de vista do risco que a sua publicação ou mau uso representação para a empresa, seja em termos de dano à imagem, risco contratual ou prejuízo financeiro.

Em relação à infraestrutura de rede e utilização de sistemas em nuvem, é importante utilizar soluções com criptografia de dados fim a fim. A criptografia trata da lista de informação, transformando dados em códigos que impedem a leitura por pessoas não autorizadas. Desta maneira, apenas quem envia e quem recebe tem acesso a determinado arquivo, ou apenas quem tem uma “chave” pode realizar a leitura.

Para evitar roubos de identidade e acessos indevido, é importante implementar política de senha forte, além de autenticação em dois fatores ou outras opções, como verificação biométrica ou tokens.

Treinamento da equipe para evitar hipóteses de exposição de dados, políticas de mesa limpa e controle de acesso físico em áreas restritas complementares ou atendimento da confidencialidade de dados.

 

Integridade

 O requisito de segurança de integridade está associado à confiança e consistência dos dados. O foco maior está em garantir que as informações se mantenham exatas e sem erros, livre de alterações não autorizadas, para que possam ser empregadas de maneira segura pela organização.

A integridade dos dados pode ser comprometida de várias maneiras. Cada vez que os dados são replicados ou transferidos, eles devem permanecer intactos e inalterados entre as atualizações e movimentos.

Ambientes que cumprem com esse atributo de segurança devem garantir que atacantes externos ou mesmo erros não intencionais não consigam alterar ou corromper os dados.

Medidas para aumentar a integridade das informações

A integridade regular-se à confiabilidade dos dados em todo o seu ciclo de vida.

Verificação de erros e validação, por exemplo, são métodos comuns para garantir a integridade dos dados como parte de um processo.

O controle de versão e cópias shadow podem ser utilizadas para permitir que mudanças incorretas ou exclusão acidentais por usuários possam ser restauradas do ponto anterior.

Como a última fronteira e medida contra a perda de dados, é imprescindível realizar o backup de dados para garantir o processo de restauração. Sistemas profissionais de backup possuem validação de checksum e CRC ( Cyclic Redundancy Check ) para garantir a integridade dos dados nos pontos de recuperação.

Além da integridade física dos dados, é importante contar com a integridade dos dados em sistemas de gerenciamento de banco de dados. Os bancos de dados devem evitar erros de consistência com dados duplicados, garantia de dados dados são precisos, formato dos dados para o campo esperado, por exemplo.

 

Disponibilidade

O objetivo requisito é manter os dados sempre ativos, obter e estar disponíveis para serem usados ​​quando for necessário, com desempenho adequado.

Como as associações estão se valendo cada dia mais de sistemas de informação, qualquer queda na disponibilidade pode inviabilizar contratos, contratos, vendas e outras ações exigidas, além de prejudicar o relacionamento com os clientes.

As características da disponibilidade são:

  • Pontualidade: os dados estão disponíveis no tempo necessário;
  • Continuidade: as operações da empresa não são afetadas;
  • Robustez: garantir capacidade suficiente de acesso para todos os usuários fornecidos para acesso simultâneo.

Medidas para aumentar a disponibilidade das informações

Para evitar apagão dos sistemas de informação e interrupção das operações nas associações, é importante contar com sistemas de armazenamento local ou em nuvem com facilidade de crescimento e redundância de discos, como em sistemas RAID ( Redundant Array of Independent Disks ).

Para o acesso em sistemas em nuvem e para manter as operações da organização disponíveis, é importante também contar com links para uma Internet redundantes, com largura de banda compatível com como necessidade, principalmente para aplicações de e-commerce.

É essencial montar um plano de Recuperação de Desastres (RD) que contém procedimentos para se administrar crises, manter a continuidade dos negócios e recuperar dados perdidos, contando com sistemas de backup corporativos e gerenciados.

Sistemas de backup e em especial com armazenamento externo, fora do ambiente da empresa, são importantes também para a proteção contra perda de dados provocadas por desastres naturais (enchentes, tempestades, desmoronamentos etc.), além de outros eventos como roubos, incêndios entre outros. Uma boa dica é ler o post Aumentando a proteção dos seus dados com a regra de backup 3-2-1 para boas práticas de backup.

Para os hardwares de missão crítica, como servidores de rede, firewall etc .; é importante contar com equipamentos de reserva e contrato de garantia estendido com os fabricantes.

 

Artigo por Yuri Amorim, Marketing DataSafer

Referências

[1] ABNT, ABNT NBR ISO / IEC 27001: 2013