Ações para obtenção de confiabilidade

O que é confiabilidade?

Qualidade daquele ou daquilo que é confiável; fiabilidade. (Michaelis – Dicionário Brasileiro da Língua Portuguesa)

Segurança da Informação é a disciplina que se concentra na qualidade (confiabilidade) da prestação de informações e no gerenciamento da continuidade das operações.

Qualidade nesse contexto entende-se como a confidencialidade, integridade e disponibilidade das informações.  Saiba mais aqui.

O que precisamos entender é que as ações para obtenção da confiabilidade devem estar alinhadas ao CID que é abreviação para confidencialidade, integridade e disponibilidade. Também conhecido como a tríade em Segurança da Informação!

A tríade em Segurança da Informação

Figura 1 – A Tríade em Segurança da Informação

 

Seguindo esses critérios, é possível garantir a confiabilidade das informações

Figura 2 – A Tríade em Segurança da Informação – Atributos Importantes

 

Atualmente é aplicado a Segurança da Informação dois atributos importantes: Autenticidade e Não Repúdio. Vamos entender melhor esses conceitos:

Confiabilidade

•      Integridade: Garantir a exatidão da informação;

•      Confidencialidade: Garantir somente acesso autorizado às informações;

•      Disponibilidade: Garantir que a informação esteja sempre disponível;

•      Autenticidade: Garantir que a informação é autentica;

•      Não-repúdio: Garantir que o usuário não negue autoria ou alterações nas informações.

Assim sendo, podemos dizer que todos estes atributos reunidos garantem a confiabilidade das informações

Para que possamos estudar e trabalhar com a tríade, a princípio podemos fazer algumas questões como por exemplo:

•      Confidencialidade: Os usuários que não devem ter acesso aos dados/informações acessam de alguma forma esses dados/informações?

A partir do momento que os dados/informações podem ser acessados/alterados por um usuário que não deveria ter permissão, esses dados/informações já não são mais confidenciais;

•      Integridade: Os dados/informações podem ser modificados de alguma forma que não foi proposta?

Se os dados/informações em seu ciclo de vida sofrem uma alteração indeterminada por usuário sem permissão, esses dados/informações não são mais íntegros;

•      Disponibilidade: Os dados/informações estão acessíveis quando e como se propõem ser?

Quando os dados/informações não podem ser acessados por motivo de falha/interrupção na rede de dados ou nos dispositivos de hardware, esses dados não são mais disponíveis.

•      Autenticidade: Os usuários estão devidamente identificados (autenticados) permitindo o controle de acesso (autorização) aos dados/informações?

É possível verificar a autenticidade através de assinaturas e certificações digitais, que garante a originalidade dos dados/informações;

•      Não-Repúdio (Irretratabilidade): Os usuários podem negar autoria não autorizada a dados/informações e/ou acesso a sistemas sem permissão?

O não-repúdio é a garantia de que determinado usuário não pode negar ter acessado/alterado um dado/informação sem ter permissão, não tendo essa garantia, não obtemos a confiabilidade.

Figura 3 – Confiabilidade

 

Ou seja, para obter confiabilidade é necessário ter conformidade com esses cinco atributos. Os dados/informações devem ser íntegros, confidenciais, disponíveis, autênticos e que garantam a não negação de autoria.

Esses conceitos não são complicados, eles são trabalhados diariamente no cotidiano, mesmo que muitos não os reconheçam. É importante interagir com esses conceitos de forma consciente, para uma melhor visão onde será aplicado os esforços. Ou seja, de forma que auxilie na identificação de componentes críticos, esforços e os recursos que valem a pena investir para correção dos problemas identificados.

Por que se preocupar com a confiabilidade?

Todos nós somos responsáveis pela Segurança dos dados/informações que trabalhamos e devemos nos preocupar com elas devido a três fatores:

Risco? É o que estamos tentando impedir que aconteça;

Ameaça? É como quem o faria para atacar;

Vulnerabilidade? É como o que lhes permitem fazer.

Para obtermos confiança em um ambiente, os elementos tecnológicos, processuais e humanos precisam estar seguros.

Elo mais fraco (Fator Humano): Este precisa ser conscientizado com frequência, pessoas mal-intencionadas por meio de engenharia social aproveitam-se da vulnerabilidade humana, através de uma falsa identidade, persuadindo pessoas para obtenção de informações privilegiadas e confidenciais para fins próprios; Saiba mais aqui.

Segurança X Usabilidade: A segurança não se adéqua a facilidade de uso; porque o usuário para facilitar as suas atividades, não se preocupa com segurança, por exemplo utilizando uma mesma senha para várias contas e/ou perfis, ou deixando salvas automaticamente que atualmente é uma funcionalidade dos navegadores.

O oponente: Os atacantes (cibercriminosos) são organizados, são especialistas no que fazem e em muitos casos conseguem o que querem;

Os mecanismos de segurança: As atualizações são imprescindíveis para que os mecanismos de segurança funcionem corretamente, é importante que o ambiente organizacional esteja em conformidade com as políticas de segurança, normas e padrões em vigor, como por exemplo a norma ISO 27001;

Licenças X Cracks/Ativadores: Sistemas ou softwares desatualizados e piratas, são alvos fáceis para pessoas mal-intencionadas. Quem garante que um Crack/Ativador não tenha uma Backdoor.

As Dez Leis Imutáveis de Segurança

N° 1 – Se alguém mal-intencionado puder persuadi-lo a rodar o programa dele em seu computador, esse não será mais seu computador;

N° 2 – Se alguém mal-intencionado puder alterar o sistema operacional de seu computador, esse não será mais seu computador.

N° 3 – Se alguém mal-intencionado tiver acesso físico irrestrito ao seu computador, esse não será mais seu computador;

N° 4 – Se você permitir que alguém mal-intencionado transfira programas para seu site, esse não será mais seu site;

N° 5 – Senhas fracas são mais decisivas do que segurança forte;

N° 6 – Uma máquina é apenas tão segura quanto o administrador é confiável;

N° 7 – Dados criptografados são apenas tão seguros quanto a chave de descriptografia;

N° 8 – Um scanner de vírus desatualizado é apenas um pouco melhor do que nenhum scanner de vírus;

N° 9 – O anonimato absoluto não é prático, na vida real ou na web;

N° 10 – A tecnologia não é um remédio para todos os males.

Ataques comuns

Figura 4 – Principais Ataques

 

As principais ameaças são invisíveis e estão em toda parte.

Estudos de Caso

Sistema para prescrições médicas.

A integridade dos dados será mais crítica. Embora seja importante evitar que outras pessoas leiam quais medicamentos o paciente usa, também é importante que o paciente possa acessar esta lista para realizar a compra dos medicamentos.

Vamos imaginar se alguém mal-intencionado pudesse mudar o conteúdo do sistema (alterando a integridade), isso poderia levar a resultados que ameaçam a vida.

Visitar outras partes do mundo.

Ao visitar algumas partes do mundo, o indivíduo pode estar em risco substancial de contrair a malária. Isso ocorre porque a ameaça dos mosquitos é muito alta em algumas áreas, e quase certamente o indivíduo não é imune à malária.

Felizmente, é possível controlar a vulnerabilidade com medicação e tentar controlar a ameaça com o uso de repelente de insetos e mosquiteiros.

Com os mecanismos de controle em funcionamento contra a ameaça e a vulnerabilidade, é possível garantir que o risco não ocorra. Obtendo dessa forma a confiabilidade.

E você, na sua opinião, o que é necessário para obter a confiabilidade?

Referências

PMG Academy – Três fundamentos sobre segurança da informação que todo profissional precisa saber. Disponível em: <http://www.pmgacademy.com/pt/blog/artigos/tres-fundamentos-seguranca-da-informação>. Acessado em 19 de agosto de 2017.

Rede Segura – Network. Do original Hack Proofing Your Network – 2nd Edition. Copyright © 2002 da Editora Alta Books Ltda.

O que é a Confidencialidade, Integridade e Disponibilidade dos Dados?

O que é isso?

Talvez você pode ter ouvido especialistas em Segurança da Informação fazer referencias à CIA (Confidentiality, Integrity and Availability) ou CID (português) e geralmente não estão falando sobre a Classificação Internacional de Doenças ou Central Intelligence Agency.

O CID é um benchmark (banco de testes, avaliação de atividades) amplamente utilizado para avaliar a Segurança dos Sistemas de Informação, com foco nos três objetivos principais como a Confidencialidade, Integridade e Disponibilidade das informações.

 

Confidencialidade dos dados

A confidencialidade refere-se a limitar o acesso e a divulgação de informações aos usuários autorizados – “as pessoas certas” – e impedindo o acesso ou a divulgação a pessoas não autorizadas – “as pessoas erradas”.

Subjugar o objetivo da confidencialidade são os métodos de autenticação, como IDs de usuários e senhas, que identificam de maneira exclusiva os usuários de um sistema de dados e que suportam métodos de controle que limitam o acesso de cada usuário identificado aos recursos do sistema de dados.

Também é critico para a confidencialidade – e integridade e disponibilidade de dados – são proteções contra ataques de softwares maliciosos (malwares), spywares, spams e phishing.

Integridade dos dados

A integridade refere-se à confiabilidade dos recursos de informação.  Saiba mais aqui.

Inclui o conceito de “integridade dos dados”, ou seja, que os dados não foram alterados de forma inadequada, seja por acidente ou deliberadamente maligna. Também inclui “origem” ou “integridade da fonte”, ou seja, que os dados realmente vieram da pessoa ou entidade que você acha, e não de um impostor.

A integridade pode até incluir a noção de que a pessoa ou entidade em questão inseriu a informação certa – ou seja, que a informação refletiu as circunstâncias reais (em estatísticas, este é o conceito de “validade”) e que, nas mesmas circunstâncias, geraria Dados idênticos (o que os estatísticos chamam de “confiabilidade”). 

Em uma visão mais restritiva, no entanto, a integridade de um sistema de informação inclui apenas preservação sem corrupção de qualquer coisa que seja transmitida ou entrada no sistema, certo ou errado.

Disponibilidade dos dados

A disponibilidade refere-se, sem surpresa, à disponibilidade de recursos de informação. Um sistema de informação que não está disponível quando você precisar é pelo menos tão ruim quanto nenhum. Pode ser muito pior, dependendo de quão confiável a organização se tornou em um computador operacional e infra-estrutura de comunicação.

Quase todas as organizações modernas são altamente dependentes dos sistemas de informação em funcionamento. Muitos literalmente não podiam operar sem eles.

A disponibilidade, como outros aspectos da segurança, pode ser afetada por problemas puramente técnicos (por exemplo, uma parte defeituosa de um computador ou dispositivo de comunicação), fenômenos naturais (por exemplo, vento ou água) ou causas humanas (acidentais ou deliberadas).

Embora os riscos relativos associados a essas categorias dependam do contexto particular, a regra geral é que os seres humanos são o elo mais fraco. (É por isso que a capacidade e a vontade de cada usuário de usar um sistema de dados com segurança são críticas).

Prevenção versus detecção

Os esforços de segurança para garantir a confidencialidade, integridade e disponibilidade podem ser divididos em orientados para prevenção e aqueles focados na detecção. Este último pretende descobrir e corrigir rapidamente os lapsos que não poderiam ser impedidos, ou pelo menos não. 

O equilíbrio entre prevenção e detecção depende das circunstâncias e das tecnologias de segurança disponíveis. Por exemplo, muitas casas derrubaram facilmente os bloqueios de portas e janelas, mas contam com um alarme de roubo para detectar (e sinalizar a ajuda depois) intrusões através de uma janela ou porta comprometida.  

A maioria dos sistemas de informação emprega uma série de métodos de prevenção de intrusão, dos quais os IDs de usuário e as senhas são apenas uma parte. Eles também empregam métodos de detecção como  trilhas de auditoria para retirar atividade suspeita que pode sinalizar uma intrusão.

Segurança no contexto

É fundamental lembrar que os níveis “adequados” ou “adequados” de confidencialidade, integridade e disponibilidade dependem do contexto, assim como o equilíbrio adequado entre prevenção e detecção.

A natureza dos esforços que os sistemas de informação suportam; Os riscos naturais, técnicos e humanos para esses empreendimentos; Governando os padrões legais, profissionais e costumeiros – tudo isso condicionará o modo como os padrões da CIA são definidos em uma situação particular.

Uma questão de segurança (literalmente) mais próxima da casa pode ser útil a este respeito: a sua residência pessoal é segura? Em algumas situações, fechaduras simples nas portas e janelas fechadas seriam suficientes para uma resposta “sim”. Em outros, seriam necessários bloqueios de travagem suplementares, janelas de alta resistência, alarmes anti-roubo, um cão vicioso e uma arma pessoal para uma resposta afirmativa.

E se a mesma pergunta fosse questionada sobre o banco em que você mantivesse suas economias? Suspeitamos que seu padrão de segurança seja diferente do que para sua casa. Então, é para segurança da informação e CIA: o contexto é (quase) tudo.

Fonte