Neste artigo

"A inteligência foi dada ao homem pra duvidar"

- E. Verhaeren

Introducao

Atualmente no cenário de Tecnologia da Informação a área de segurança está em alta, pois o acesso à informação está cada vez mais difundido, com muitos adeptos aos ataques via internet. Com essa linha de pensamento as empresas estão cada vez mais preocupadas em proteger suas informações.

Uma passagem rápida pela história da segurança da informação nos traz alguns pontos de um estudo efetuado por John McCumber, um dos primeiros especialistas em segurança cibernética, desenvolvendo uma estrutura comumente usada chamada Cubo McCumber ou popularmente conhecida como cubo de segurança cibernética.

Esse modelo estabelece a relação entre três dimensões fundamentais: os estados das informações (transmissão, armazenamento e processamento), as contramedidas (tecnologia, políticas e pessoas) e os princípios de segurança (confidencialidade, integridade e disponibilidade).

A Triade CID

A Tríade CID (ou CIA Triad em inglês) representa os três pilares fundamentais da segurança da informação. Esses princípios são a base para qualquer programa de segurança cibernética e permitem que especialistas utilizem como referência em suas tomadas de decisão.

Confidencialidade

Garantir que a informação seja acessível apenas por pessoas autorizadas

Integridade

Assegurar que os dados permaneçam precisos e não sejam alterados indevidamente

Disponibilidade

Manter sistemas e dados acessíveis sempre que necessário

Confidencialidade

CONFIDENCIALIDADE

A Confidencialidade impede a divulgação de informações para pessoas, recursos ou processos não autorizados. É o princípio que garante que apenas quem tem permissão pode acessar determinados dados.

Exemplos de Ameaças à Confidencialidade

  • Engenharia Social: Técnicas de manipulação para obter informações sensíveis
  • Ataques de Phishing: E-mails falsos que visam roubar credenciais
  • Vazamento de Dados: Exposição não autorizada de informações confidenciais
  • Espionagem Industrial: Acesso não autorizado a segredos comerciais
  • Shoulder Surfing: Observação não autorizada de telas ou teclados

Mecanismos de Protecao

  • Criptografia: Transformação de dados em formato ilegível para não autorizados
  • Controle de Acesso: Definição de quem pode acessar quais recursos
  • Autenticação Multifator (MFA): Verificação de identidade por múltiplos métodos
  • Classificação de Dados: Categorização de informações por nível de sensibilidade
  • Treinamento de Funcionários: Conscientização sobre práticas de proteção de dados
  • Gerenciadores de Senhas: Ferramentas para criar e armazenar senhas fortes - veja nossas recomendacoes de gerenciadores seguros e gratuitos

"Para conhecer o seu inimigo você deve tornar-se seu inimigo"

- Sun Tzu, A Arte da Guerra

Integridade

INTEGRIDADE

A Integridade é a precisão, a consistência e a confiabilidade dos dados durante todo seu ciclo de vida. Garante que a informação não seja alterada de forma não autorizada ou acidental.

Exemplos de Ameaças à Integridade

  • Malware: Software malicioso que pode corromper ou modificar arquivos
  • Ataques Man-in-the-Middle: Interceptação e alteração de comunicações
  • Erros Humanos: Modificações acidentais em dados críticos
  • Falhas de Hardware: Corrupção de dados por problemas físicos
  • SQL Injection: Manipulação de bancos de dados através de entradas maliciosas

Mecanismos de Protecao

  • Hashing: Função hash (MD5, SHA-256) para verificar integridade de arquivos
  • Assinaturas Digitais: Garantia de autoria e integridade de documentos
  • Controle de Versão: Rastreamento de alterações em arquivos e códigos
  • Checksums: Verificação matemática de integridade de dados transferidos
  • Backups Regulares: Cópias de segurança para recuperação de dados íntegros
  • Logs de Auditoria: Registro de todas as modificações realizadas

Disponibilidade

DISPONIBILIDADE

A Disponibilidade garante que os sistemas de informação estejam disponíveis sempre que necessário. Falhas de sistemas ou ataques cibernéticos podem impedir o acesso aos sistemas, ferindo esse princípio fundamental.

Exemplos de Ameaças à Disponibilidade

  • Ataques DDoS: Sobrecarga de servidores com tráfego malicioso
  • Ransomware: Sequestro de dados que impede acesso aos sistemas
  • Falhas de Hardware: Quebra de equipamentos críticos
  • Desastres Naturais: Incêndios, inundações, terremotos
  • Falhas de Energia: Interrupções no fornecimento elétrico
  • Erros de Configuração: Configurações incorretas que derrubam serviços

Mecanismos de Protecao

  • Redundância: Sistemas duplicados para failover automático
  • Balanceamento de Carga: Distribuição de tráfego entre múltiplos servidores
  • Backups e Disaster Recovery: Planos de recuperação de desastres
  • UPS e Geradores: Fornecimento ininterrupto de energia
  • Monitoramento 24/7: Vigilância contínua da infraestrutura
  • SLA (Service Level Agreement): Acordos de nível de serviço com fornecedores

Pilares Adicionais

Além da tríade CID, a segurança da informação moderna considera outros princípios importantes que complementam a proteção de dados e sistemas.

AUTENTICIDADE

A Autenticidade garante que uma informação ou usuário é genuíno e não foi falsificado. Confirma que a origem da informação é legítima e que a identidade de usuários e sistemas pode ser verificada.

  • Mecanismos: Certificados digitais, tokens de autenticação, biometria

NAO-REPUDIO

O Não-Repúdio (ou irretratabilidade) garante que uma ação ou transação não pode ser negada posteriormente. O autor de uma ação não pode negar ter realizado aquela operação, sendo essencial para transações legais e financeiras.

  • Mecanismos: Assinaturas digitais, logs de auditoria, carimbos de tempo

LEGALIDADE

A Legalidade assegura que todas as ações relacionadas à informação estejam em conformidade com leis e regulamentações vigentes, como a LGPD no Brasil, GDPR na Europa e outras normas setoriais.

  • Mecanismos: Políticas de compliance, auditorias regulares, DPO (Data Protection Officer)

PRIVACIDADE

A Privacidade garante que dados pessoais sejam coletados, processados e armazenados de acordo com o consentimento do titular e em conformidade com as leis de proteção de dados.

  • Mecanismos: Anonimização, pseudonimização, consentimento informado, políticas de privacidade

Conclusao

A segurança da informação é um campo em constante evolução que exige atenção contínua aos fundamentos apresentados. A Tríade CID - Confidencialidade, Integridade e Disponibilidade - forma a base de qualquer estratégia de proteção de dados, enquanto os pilares adicionais como Autenticidade, Não-Repúdio, Legalidade e Privacidade complementam uma abordagem completa de segurança.

Compreender esses princípios é essencial para profissionais de TI e segurança, bem como para gestores que precisam tomar decisões sobre proteção de ativos informacionais. A aplicação correta desses conceitos pode significar a diferença entre uma organização resiliente e uma vulnerável a ataques cibernéticos.

Precisa implementar uma estratégia de segurança da informação? Nossa equipe oferece consultoria completa para avaliar riscos, implementar controles e estabelecer uma cultura de segurança na sua organização.

Referências

Inteligência Brasil

Roberto Lima

Especialista em Segurança da Informação e Governança de Dados na Inteligência Brasil.