ISOs e Normas: Princípios Fundamentais da Segurança da Informação: Confidencialidade, Integridade e Disponibilidade

Posted on By Categoria: Outros 3 comentários em ISOs e Normas: Princípios Fundamentais da Segurança da Informação: Confidencialidade, Integridade e Disponibilidade

A segurança da informação é a proteção da informação contra uma ampla gama de ameaças, afim de garantir a continuidade dos negócios, minimizar os riscos de negócio e maximizar o retorno sobre os investimentos e as oportunidades de negócio.

Os princípios mais importantes em todos os programas de segurança são a confidencialidade(exclusividade), integridade(Integrity) e disponibilidade(Availability). Estes são referidos como o triângulo CIA. A segurança que deve ser aplicada para implementar esses princípios é diferente para cada empresa, pois cada uma tem sua própria combinação de objetivos e requisitos de negócio e de segurança.

Outros princípios básicos de Segurança da Informação existem, como autenticidade, responsabilidade, não repúdio e confiabilidade. Veja:  Termos Usados na Família 27000

Vamos tentar explicar os 3 fundamentos da Segurança da Informação.

Ferramentas Usadas para Implementar o Triângulo CIA

Importante também é compreendermos a relação que existe entre os pilares discutidos e as diferentes ferramentas utilizadas para a implementação de uma política de segurança da informação.

  • Confidencialidade: Podemos relacionar o pilar da confidencialidade com os sistemas criptográficos e para proteção de dados em transações de rede, como é o caso da criptografia de chave pública, assim como com a segurança de acesso físico e lógico a dados confidenciais em um servidor.
  • Integridade: podemos fazer uma relação entre integralidade (e autenticidade) com os sistemas de hashing, bem como a proteção de banco de dados em servidores seguros.
  • Disponibilidade: as ferramentas utilizadas para disponibilidade seriam aquelas relacionadas à continuidade do negócio e recuperação de desastre, como, por exemplo, sistemas de backup e uma recuperação após uma invasão em um servidor ou um ataque de disponibilidade (DOS ou Denial of Service, ou seja, negação de serviço)

Vamos falar mais sobre cada uma desses princípios.

Confidencialidade

A confidencialidade, também chamada de exclusividade, refere-se aos limites em termos de quem pode obter que tipo de informação.

A confidencialidade assegura que o nível necessário de sigilo seja aplicado em cada elemento de processamento de dados e impede a divulgação não autorizada. Esse nível de confidencialidade deve prevalecer enquanto os dados residirem em sistemas e dispositivos na rede, quando forem transmitidos e quando chegarem ao seu destino.

A confidencialidade pode ser fornecida através da criptografia de dados à medida que são armazenados e transmitidos, usando preenchimento de tráfego na rede (traffic padding), estrito controle de acesso, classificação dos dados e treinamento de pessoal nos procedimentos apropriados.

Exemplos de medidas de confidencialidade são:

  • necessidade de conhecer: O acesso à informação é concedido com base na necessidade de conhecer.
  • política da mesa limpa: nenhum documento confidencial seja deixado sobre suas mesas enquanto estão ausentes. Isso são medidas para garantir que a informação não vá para pessoas que não necessitem dela.
  • Controle na instalação de softwares: usuário, por exemplo, não tenha o direito de alterar as configurações do PC.
  • Controle de Lista de Acesso(ACL) em pastas e programas: gerenciamento de acesso lógico assegura que pessoas ou processos não autorizados não tenham acesso a sistemas automatizados, base de dados e programas.
  • Segregar departamentos em empresa de desenvolvimento: criar separações estritas entre o ambiente de desenvolvimento, o ambiente de teste e aceitação, e o ambiente de produção. Proibir também que o desenvolvedor não pode fazer qualquer modificação nos salários.

Integridade

Segundo Donn Parker,

Integridade significa que a informação é completa, perfeita e intacta; significa que nada está faltando na informação, ela está completa e em um desejado bom estado

A integridade é quando a informação está em um estado correto; refere-se a ser correto e consistente com o estado ou a informação pretendida. Qualquer modificação não autorizada de dados, quer deliberada ou acidental, é uma violação da integridade dos dados.

Problemas de Integridade podem ser:

  • Usuários que, deliberadamente ou não, modificam arquivos incorretamente
  • dados armazenados em disco alterados aleatoriamente por problemas com os controladores de disco.
  • programas de aplicação que gravam as informações incorretamente introduzindo valores diferentes dos desejados.
  • Um usuário com disco rígido cheio pode involuntariamente apagar arquivos de configuração supondo equivocadamente que não haveria problema ao apagar o arquivo boot.ini por achar que não serve para nada por nunca tê-lo usado
  • inserir valores incorretos em uma aplicação de processamento de dados que acabe cobrando de um cliente $ 3.000.000,00 em vez de $ 300,00.

FORMAS DE PREVENIR QUEBRA DE INTEGRIDADE

  • Mudanças em sistemas e dados são autorizadas: outro setor ou colaborador revisar e autorizar alterações antes de publicá-las
  • mecanismos que forcem as pessoas a usar o termo correto.
  • Gravação dos logs para identificar quem fez o quê e quando fez.
  • Segregar/separar funções de forma que ao menos duas pessoas serão necessárias para realizar mudanças que tenham graves consequências.
  • Usar criptografia para data at rest(dados em repouso ou guardados em disco) e data in transit(dados em trânsito).

Disponibilidade

Qualquer atraso que exceda o nível de serviço esperado para um sistema pode ser descrito como uma violação da disponibilidade. Podemos citar como exemplo falha de disco como um ataque de negação de serviço(ou ddos). Uma forma simples de se proteger contra DDoS é apenas deixar acessíveis os serviços e portas necessárias que devem ser usados por programas. Usar programas de segurança com detecção e prevenção de intrusão(IDS/IPS) que limitam as muitas solicitações provenientes de uma só origem. Veja: O que É IDS e IPS em Informática? e pfSense: Conhecendo e Configurando o Snort(IDS/IPS).

Para programas que fazem excesso de tentativas de acesso não autorizados podemos usar programas como Fail2Ban. Há técnicas mais sofisticadas e complexas.

É altamente recomendado ter dispositivos de backup que devem ser utilizados para substituir rapidamente os sistemas críticos. Clique aqui pra ver lista de artigos sobre alta-disponibilidade em servidores.

Para proteger pastas, arquivos e contas de usuários, recomendo usar um Active Directory em redundância. Pode-se usar o Samba ou o AD da Microsoft. Clique aqui para ver links sobre Samba. Essa redundância fará com que se um servidor ficar inoperante outro ficará ativo para que não ocorra indisponibilidade dos arquivos e nem de acesso dos usuários ao Sistema Operacional.

Veja sobre o que é Active Directory(ou AD): Qual Diferença Entre DC e AD em Informática?

O Active Directory juntamente com um servidor de arquivos com discos espelhados formam um belo kit. Se quiser saber sobre espelhamento de discos em rede com um belo custo benefício veja esses artigo sobre DRBD: Artigos sobre DRBD.

Segundo o livro Fundamentos da Segurança da Informação com Base na ISO 27001 e ISO 27002, as características de disponibilidade são:

  • Oportunidade: a informação está disponível quando necessário.
  • Continuidade: a equipe consegue continuar trabalhando no caso de falha
  • Robustez: existe capacidade suficiente para permitir que toda a equipe trabalhe no sistema.

O livro ainda continua abordando sobre ambiente físico:

Questões ambientais como calor, frio, umidade, eletricidade estática e contaminantes também podem afetar a disponibilidade do sistema. Sistemas devem ser protegidos contra esses elementos, devidamente aterrados e monitorados de perto.

Ainda acmo medidas que auxiliam contra a indisponibilidade, além daquelas citadas acima, temos:

  • Armazenar dados em discos fora do computador e que tenham redundância.
  • armazenar os dados de tal forma que se houver risco de perda de dados essa perda seja mínima, mas que os serviços continuem.
  • guardar backup em local separado e longe da empresa ou instituição. Essa distância pode ser outro bairro, cidade ou estado; mas não recomendo que seja em outro país.

Procedimentos de emergência são estabelecidos para garantir que as atividades possam ser recuperadas o mais breve possível após uma interrupção de grande escala.

Uncategorized

Comments (3) on “ISOs e Normas: Princípios Fundamentais da Segurança da Informação: Confidencialidade, Integridade e Disponibilidade”

  1. Pingback: Normas e ISO: O que é Segurança da Informação? - Categoria Outros
  2. Pingback: O que é um ataque DoS, o que é um ataque DDoS e qual é a diferença? - Categoria Outros
  3. Pingback: ISOs e Normas: Pilares e Princípios da Segurança da Informação - Categoria Outros

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Share via
Facebook
Twitter
LinkedIn
Mix
Email
Print
Copy Link
Copy link
CopyCopied