Blog GetTI

Segurança de dados: confidencialidade, integridade e disponibilidade (CID)

A prioridade dada para um dos requisitos que compõem a tríade integridade disponibilidade e confidencialidade de dados (CID) é estabelecida pelo perfil de negócio a que eles se referem.

No setor financeiro, por exemplo, é importante proteger a integridade da informação subjacente, para que todas as transações mantenham seu verdadeiro valor, enquanto que para uma empresa fornecedora de serviços de cartão de crédito a confidencialidade é primordial.

A disponibilidade de ferramentas e a amplitude dos conceitos de Big Data e internet das coisas (IoT) obrigaram as empresas a repensarem aspectos relacionados ao seu compliance, a fim de que o controle total do acesso à informação, principalmente devido ao surgimento de novos tipos de ataques e ameaças internas, seja viabilizado.

O objetivo deste artigo é apresentar esses três pilares que sustentam a segurança da informação nas organizações, ressaltando a importância de cada um deles para garantir a governança de TI e que o objetivo do negócio seja cumprido sem expor a vulnerabilidade dos dados corporativos. Confira!

Confidencialidade

Esse aspecto garante que as informações sejam acessadas apenas por pessoas autorizadas. É implementada usando mecanismos unitários ou multifatoriais de segurança, como nomes de usuário, senhas, listas de controle de acesso (ACLs) tokens e criptografia.

Também é comum que as informações sejam categorizadas de acordo com o seu nível de criticidade, ou seja, a extensão do dano que poderia ser causado, caso fossem expostas e em função das medidas de segurança que precisam ser implementadas conforme essa característica.

Além disso, a confidencialidade está relacionada ao princípio do “menor privilégio” ou hierarquização, que estabelece acesso apenas a poucas pessoas, conforme a necessidade de conhecimento e o nível de responsabilidade por ele instituído.

Sendo assim, é um princípio com forte política de classificação e cujas seguintes características conferem maior suporte:

  • identificação;
  • autenticação;
  • autorização;
  • controles de acesso;
  • privacidade.

Assim, as informações subjacentes podem ser compartilhadas, mas jamais sua confidencialidade será exposta. Por exemplo, dados armazenados em USB podem ser roubados, mas a criptografia suporta a confidencialidade, uma vez que protege qualquer informação confidencial e impede sua transcrição e propagação.

Outra ação que garante a confidencialidade dos dados é o correto descarte das informações. Essa etapa não pode ser negligenciada já que se relaciona diretamente com o possível acesso indevido em locais não permitidos.

Integridade

Esse princípio garante que as informações, tanto em sistemas subjacentes quanto em bancos de dados, estejam em um formato verdadeiro e correto para seus propósitos originais. Logo, o receptor da informação detém as mesmas informações que o seu criador.

Dessa forma, a informação pode ser editada apenas por pessoas autorizadas e permanece em seu estado original quando não for acessada. Assim como a confidencialidade de dados, a integridade é implementada usando mecanismos de segurança, como criptografia e hashing.

Apesar de ela ser garantida por política de controles de acesso, as alterações nos dados também podem ocorrer como resultado de eventos não causados ​​por humanos, como pulso eletromagnético ou falhas do servidor, sendo imprescindível manter procedimentos seguros de backup e adotar na infraestrutura de TI sistemas com configuração redundante.

Um exemplo de integridade utilizado por muitas ferramentas, é o “hash de mão única”, também conhecido como:

  • Checagem de redundância cíclica;
  • Função de hash universal;
  • checksum criptográfico;

Nesse processo, um hash de um conjunto específico de dados é calculado antes do trânsito e enviado junto com a mensagem original. Assim, a mensagem recebida é comparada com o hash enviado. Se ambos os hashes forem diferentes, significa que a mensagem perdeu seu valor, ou seja, sua integridade foi descaracterizada.

Disponibilidade

Esse aspecto garante que as informações e os recursos estejam disponíveis para aqueles que precisam deles, 24 horas por dia, sete dias por semana. Essa função é implementada com métodos de manutenção de hardware, patch de software e otimização de rede.

Alguns processos, como redundância, failover, RAID e clusters de alta disponibilidade, podem ser usados ​​para atenuar as consequências relacionadas aos problemas de hardware. Dispositivos de hardware dedicados podem ser usados ​​para proteger contra inatividade e inacessibilidade de dados devido a ações mal-intencionadas, como ataques de negação de serviço distribuídos (DDoS).

Esse conceito é utilizado, principalmente, para garantir que os serviços organizacionais estejam disponíveis, mas além dos ataques de negação de serviço distribuído (DDoS) e todas as ameaças que ocasionam instabilidade aos sistemas existem as ameaças causadas por desastres naturais (terremotos, enchentes etc.).

Por isso, é imprescindível realizar periodicamente backups em nuvem, garantir todas as atualizações necessárias dos sistemas e utilizar uma largura de banda compatível com as necessidades organizacionais, de modo que a navegação na web não sofram quedas constantes.

Além disso, é importante estabelecer um plano de recuperação de desastres (RD) em que diretrizes e procedimentos são descritos detalhadamente para administrar crises, recuperar informações, mitigar riscos e manter a continuidade dos processos.

Muitas vezes, as empresas buscam desenvolver sistemas tolerantes a falhas, locais alternativos de armazenamento e réplicas de ambientes em execução, por isso toda essa tríade composta pela integridade, disponibilidade e confidencialidade de dados é igualmente importante.

Garantir a existência desses requisitos no âmbito corporativo é fundamental para que a segurança da informação tenha validade em todos os processos. Isso porque, no novo cenário organizacional, dados estratégicos são ativos valiosos para resultados positivos.

Nesse contexto, se a confidencialidade e a integridade da informação forem comprometidas, a competitividade da empresa no mercado, impulsionada pela insatisfação dos usuários, se reduz. Além disso, sem disponibilidade a empresa perde a sua capacidade de operação, o que se relaciona diretamente ao correto atendimento da demanda e escalabilidade do negócio.

Considerando-se o grande volume de dados disponibilizados pelo Big Data que circulam diariamente na internet e podem englobar vários processos organizacionais, a integridade, a disponibilidade e a confidencialidade de dados são indispensáveis para evitar ineficiência e garantir essa continuidade da empresa no mercado.

Agora, que você conhece mais a fundo tudo o que se relaciona à integridade, disponibilidade e confidencialidade de dados (CID), que tal ler um artigo que selecionamos sobre compliance, outro aspecto imprescindível para a manutenção da competitividade da sua empresa no mercado?