Confidencialidade, integridade e disponibilidade

A segurança da informação é um dos objetivos mais importantes dentro das organizações em função do aumento do valor do ativo dos dados para os negócios. Mesmo durante a pandemia, vimos como o acesso aos dados de forma segura é importante para manter as operações de forma remota, com os funcionários em home office.

Com o “novo normal” de acesso aos dados fora do tradicional perímetro de segurança projetados pelas empresas no entorno da sua rede, a segurança da informação está se tornando ainda mais complexa e importante para as organizações. Veja mais sobre proteção de dados em Home Office no nosso post.

E quanto mais cresce a importância dos dados como um ativo e um fator de produção para as empresas, mais cresce também as ameaças orquestradas visando a sua violação, como vazamento de dados, sequestro de dados e destruição mal intencionada.

Neste post vamos tratar sobre os pilares da segurança da informação, conhecido como a tríade CID (confidencialidade, integridade e disponibilidade), que é um modelo projetado para orientar Políticas de Segurança dentro das organizações.

Análise de Risco

Para proteger o valor da informação e mantê-la confiável, deverá ser analisado os três requisitos da segurança da informação: confidencialidade, integridade e disponibilidade (CID).

O ponto de partida em uma análise de riscos é a influência que as exigências do CID têm sobre o valor da informação:

  • A importância da informação para manter os processos e a operação da organização;
  • O valor atribuído pela informação;
  • A capacidade de recuperação e reprodução da informação em todo ciclo de vida. Veja mais sobre Ciclo de Vida dos Dados.

Como referência para análise risco, pode ser utilizada a ISO 27001 [1]:

Identificação dos riscos:

1) Identificar os ativos dentro do escopo do SGSI (Sistema de Gestão da Segurança da Informação) e os proprietários destes ativos;

2) Identificar as ameaças a esses ativos;

3) Identificar as vulnerabilidades que podem ser exploradas pelas ameaças;

4) Identificar os impactos que as perdas de confidencialidade, integridade e disponibilidade podem causar aos ativos.

Requisitos de Segurança

Todos os controles e processos de segurança são implementados para atender os requisitos do CID e a medição e controle dos riscos envolvidos, ameaças identificadas e vulnerabilidades com base na capacidade potencial de comprometer a segurança dos dados.

Confidencialidade

A confidencialidade é o requisito que garante que as informações da organização e dados pessoais sensíveis sejam acessadas somente por pessoas previamente autorizadas.

Esse conceito se relaciona com o ideal de privacidade das informações, isto é, da restrição do acesso. A segurança da informação, nesse ponto, é pensada e implantada para garantir o total sigilo de dados sensíveis, evitando que ações maliciosas possam expor o seu conteúdo, causando toda sorte de prejuízos para a organização, como as sanções previstas na LGPD e também o acesso não autorizado em conteúdos restritos da organização, como dados financeiros, projetos e inovações.

São características da confidencialidade:

  • Exclusividade: Garantia de que os dados serão acessados pelos usuários autorizados;
  • Privacidade: Aplicação do conceito de exclusividade, ou seja, não permitir que os dados caiam em mãos erradas e sejam acessados por pessoas sem autorização.

Medidas para aumentar a confidencialidade das informações

A medidas de confidencialidade devem ser persistentes e prevalecer enquanto os dados estiverem nos sistemas da rede interna da empresa, na transmissão dos dados e no destino.

Sistemas de controle de acesso para limitar as ações e privilégio do usuário (ou grupos de usuários) que utiliza os sistemas de informação são fundamentais e devem ser revisadas periodicamente. Com sistemas de controle de acesso, o administrador da rede poderá garantir:

  • Autenticação;
  • Autorização;
  • Auditoria e logs.

Outra medida importante é realizar a classificação dos dados, como aquelas que são de acesso público, de uso interno, restrito ou confidencial. Assim como os recursos físicos de uma organização devem ser inventariados, as informações que trafegam pela rede e que são armazenadas localmente ou em nuvem devem ser catalogadas. É necessário olhar para a informação sob o ponto de vista do risco que a sua publicação ou mau uso representa para a empresa, seja em termos de dano à imagem, risco contratual ou prejuízo financeiro.

Em relação à infraestrutura de rede e utilização de sistemas em nuvem, é importante utilizar soluções com criptografia de dados fim a fim. A criptografia trata da codificação de informação, transformando dados em códigos que impedem a leitura por pessoas não autorizadas. Desta maneira, apenas quem envia e quem recebe tem acesso a determinado arquivo, ou apenas quem tem a “chave” pode realizar a leitura.

Para evitar roubos de identidade e acessos indevido, é importante implementar política de senha forte, além de autenticação em dois fatores ou outras opções, como verificação biométrica ou tokens.

Treinamento da equipe para evitar situações de exposição de dados, políticas de mesa limpa e controle de acesso físico em áreas restritas complementam o atendimento da confidencialidade de dados.

Integridade

 O requisito de segurança de integridade está associado à confiabilidade e consistência dos dados. O foco maior está em garantir que as informações se mantenham exatas e sem erros, livre de alterações não autorizadas, para que possam ser empregadas de maneira segura pela organização.

A integridade dos dados pode ser comprometida de várias maneiras. Cada vez que os dados são replicados ou transferidos, eles devem permanecer intactos e inalterados entre as atualizações e movimentos.

Ambientes que cumprem com esse atributo de segurança devem garantir que atacantes externos ou mesmo erros não intencionais não consigam alterar ou corromper os dados.

Medidas para aumentar a integridade das informações

A integridade refere-se à confiabilidade dos dados em todo o seu ciclo de vida.

Verificação de erros e validação, por exemplo, são métodos comuns para garantir a integridade dos dados como parte de um processo.

Controle de versão e shadow copies podem ser utilizadas para permitir que alterações incorretas ou exclusão acidentais por usuários possam ser restauradas do ponto anterior.

Como última fronteira e medida contra a perda de dados, é imprescindível realizar o backup de dados para garantir o processo de restauração. Sistemas profissionais de backup possuem validação de checksum e de CRC (Cyclic Redundancy Check) para garantir a integridade dos dados nos pontos de recuperação.

Além da integridade física dos dados, é importante contar com a integridade lógica dos dados em sistemas de gerenciamento de banco de dados. Os bancos de dados devem evitar erros de consistência com dados duplicados, garantia de que dados adicionados são precisos, formato dos dados para o campo esperado, por exemplo.

Disponibilidade

O objetivo deste requisito é de manter os dados sempre ativos, acessíveis e disponíveis para serem utilizados quando for necessário, com a performance adequada.

Como as organizações estão se valendo cada dia mais de sistemas de informação, qualquer queda na disponibilidade pode inviabilizar decisões, contratos, vendas e outras ações necessárias, além de prejudicar o relacionamento com os clientes.

As características da disponibilidade são:

  • Pontualidade: os dados estão disponíveis no tempo necessário;
  • Continuidade: as operações da empresa não são afetadas;
  • Robustez: garantir capacidade suficiente de acesso para todos os usuários previstos para acesso simultâneo.

Medidas para aumentar a disponibilidade das informações

Para evitar apagão dos sistemas de informação e interrupção das operações nas organizações, é importante contar com sistemas de storages local ou em nuvem com facilidade de crescimento e redundância de discos, como em sistemas RAID (Redundant Array of Independent Disks).

Para o acesso em sistemas em nuvem e para manter as operações da organização disponíveis, é importante também contar com links para a Internet redundantes, com a largura de banda compatível com as necessidades, principalmente para as aplicações de e-commerce.

É essencial montar um plano de Recuperação de Desastres (RD) que contenha procedimentos para se administrar crises, manter a continuidade dos negócios e recuperar dados perdidos, contando com sistemas de Backup corporativos e gerenciados.

Sistemas de backup e em especial com armazenamento off-site, fora do ambiente da empresa, são importantes também para a proteção contra perda de dados provocadas por desastres naturais (enchentes, tempestades, desmoronamentos etc.), além de outros eventos como roubos, incêndios entre outros. Uma boa dica é ler o post Aumentando a proteção dos seus dados com a regra de backup 3-2-1 para boas práticas de backup.

Para os hardwares de missão crítica, como servidores de rede, firewall etc.; é importante contar com equipamentos de reserva e contrato de garantia estendido com os fabricantes.

Artigo por Yuri Amorim, Marketing DataSafer

Referências

[1] ABNT, ABNT NBR ISO/IEC 27001:2013

#

No responses yet

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Scroll Up