Principios Da Segurança
Artigos Científicos: Principios Da Segurança. Pesquise 862.000+ trabalhos acadêmicosPor: pridefranca • 9/9/2014 • 1.060 Palavras (5 Páginas) • 261 Visualizações
Princípios da Segurança da Informação
Mas afinal, o que é segurança da informação? No que consiste? Do que se trata?
Nesse post mostrarei quais os princípios em que a segurança (e a falta dela) se baseiam…
Definição
Segurança da informação faz referência à proteção da mesma, no que diz respeito a todas as formas em que tal pode ser apresentada. Tem como objetivo a garantia de continuidade dos negócios protegendo os ativos, de forma à minimizar ao máximo os riscos possíveis e tornar maior (na medida do possível) o retorno em relação ao investimento.
Abaixo uma figura que ilustra o ciclo de vida da informação.
Fundamentos da Segurança da Informação
Quando falamos sobre segurança da informação, não podemos esquecer da chamada “tríade CID”. Esta é a base de todo o conceito e prática relacionados à garantia de segurança sobre qualquer informação. Trata-se de confidencialidade, integridade e disponibilidade. Estas três formam os pilares onde, se usados em conjunto, nos remetem à segurança da informação no seu mais completo conceito.
Abaixo uma figura que exemplifica o que foi, até então, abordado nesse tópico:
Explicaremos abaixo os itens da tríade abordada na figura 1.
Confidencialidade
A ideia de uma informação ser confidencial é de que somente o destinatário à receber a mensagem – único e exclusivamente – é quem de fato vai ter acesso à tal mensagem. Contudo, uma informação confidencial não é necessariamente uma informação em segurança. Em poucas palavras podemos definir confidencialidade da seguinte forma: Uma informação com garantia de proteção contra revelação não autorizada, seja revelação ler ou escrever na mensagem (também pode ser dada como exibição ou alteração).
Integridade
Integridade diz respeito à garantia que se pode depositar na informação de que ela realmente é o que ela deveria ser. Podemos até mesmo comparar o seu conceito com a aplicação do termo às pessoas. Uma pessoa íntegra é uma pessoa de conduta, é a pessoa que realmente “é o que é destinada a ser” e que realmente “faz o que é destinada a fazer”. Assim também uma informação íntegra é aquela em que se pode confiar no que diz respeito à sua origem e a garantia de não alteração no meio por onde a mesma “transitou” quando ainda era um dado.
Disponibilidade
Uma informação confidencial e íntegra mas que não está disponível quando se vê necessário seu uso não é uma informação segura. Então o ideia de dispoibilidade diz respeito à exposição segura da informação, esteja ela íntegra ou não.
Uma informação disponível é aquela que se hospeda em um sistema à prova de falhas lógicas e físicas e sobretudo redundante. Conseguimos aplicar disponibilidade usando de “gerência de riscos” e de “planos de continuidade”, outras duas importantíssimas áreas da segurança da informação.
Autenticidade
Autenticidade reflete à certeza que se pode ter de que uma ação refletida sobre alguma informação foi antes exposta à conhecimento e de que há registros do fato. Ou seja, autenticidade é quando um usuário, que por sua vez deseja manipular (à essa altura entende-se manipular por visualizar, alterar ou excluir) uma informação, antes de realizá-la, é anunciado e sobre o anúncio há uma documentação.
Um exemplo do que foi dito acima seria aplicado no cenário abaixo:
Como exposto, vamos agora à explicação. No cenário acima temos uma arquitetura cliente/servidor. Podemos implementar autenticidade nesse cenário da seguinte maneira, seguindo a numeração da figura:
1 – O cliente solicita acesso a alguma informação do servidor por meio de uma rede.
2 – A solicitação chega ao servidor que solicita autenticação. Dados como usuário/senha são enviados e o cliente autentica.
3 – No momento da autenticação o servidor dispara uma notificação (por exemplo um e-mail) ao administrador do servidor.
4 – A notificação chega pela rede ao administrador que por sua vez está ciente do acesso e tem tudo documentado, seja nos logs do servidor ou na caixa de entrada do seu e-mail (obviamente no caso de alerta via e-mail)
Não repúdio
Podemos definir “não repúdio” como a garantia de que o emissor de algum dado ou informação ou o autor de alguma ação sobre a informação não possa posteriormente negar que tenha enviado o dado/informação ou que tenha alterado alguma informação. Em poucas palavras trata-se
...