A prioridade dada para um dos requisitos que compõem a tríade integridade disponibilidade e confidencialidade de dados (CID) é estabelecida pelo perfil de negócio a que eles se referem.
No setor financeiro, por exemplo, é importante proteger a integridade da informação subjacente, para que todas as transações mantenham seu verdadeiro valor, enquanto que para uma empresa fornecedora de serviços de cartão de crédito a confidencialidade é primordial.
A disponibilidade de ferramentas e a amplitude dos conceitos de Big Data e internet das coisas (IoT) obrigaram as empresas a repensarem aspectos relacionados ao seu compliance, a fim de que o controle total do acesso à informação, principalmente devido ao surgimento de novos tipos de ataques e ameaças internas, seja viabilizado.
O objetivo deste artigo é apresentar esses três pilares que sustentam a segurança da informação nas organizações, ressaltando a importância de cada um deles para garantir a governança de TI e que o objetivo do negócio seja cumprido sem expor a vulnerabilidade dos dados corporativos. Confira!
Confidencialidade
Esse aspecto garante que as informações sejam acessadas apenas por pessoas autorizadas. É implementada usando mecanismos unitários ou multifatoriais de segurança, como nomes de usuário, senhas, listas de controle de acesso (ACLs) tokens e criptografia.
Também é comum que as informações sejam categorizadas de acordo com o seu nível de criticidade, ou seja, a extensão do dano que poderia ser causado, caso fossem expostas e em função das medidas de segurança que precisam ser implementadas conforme essa característica.
Além disso, a confidencialidade está relacionada ao princípio do “menor privilégio” ou hierarquização, que estabelece acesso apenas a poucas pessoas, conforme a necessidade de conhecimento e o nível de responsabilidade por ele instituído.
Sendo assim, é um princípio com forte política de classificação e cujas seguintes características conferem maior suporte:
- identificação;
- autenticação;
- autorização;
- controles de acesso;
- privacidade.
Assim, as informações subjacentes podem ser compartilhadas, mas jamais sua confidencialidade será exposta. Por exemplo, dados armazenados em USB podem ser roubados, mas a criptografia suporta a confidencialidade, uma vez que protege qualquer informação confidencial e impede sua transcrição e propagação.
Outra ação que garante a confidencialidade dos dados é o correto descarte das informações. Essa etapa não pode ser negligenciada já que se relaciona diretamente com o possível acesso indevido em locais não permitidos.
Integridade
Esse princípio garante que as informações, tanto em sistemas subjacentes quanto em bancos de dados, estejam em um formato verdadeiro e correto para seus propósitos originais. Logo, o receptor da informação detém as mesmas informações que o seu criador.
Dessa forma, a informação pode ser editada apenas por pessoas autorizadas e permanece em seu estado original quando não for acessada. Assim como a confidencialidade de dados, a integridade é implementada usando mecanismos de segurança, como criptografia e hashing.
Apesar de ela ser garantida por política de controles de acesso, as alterações nos dados também podem ocorrer como resultado de eventos não causados por humanos, como pulso eletromagnético ou falhas do servidor, sendo imprescindível manter procedimentos seguros de backup e adotar na infraestrutura de TI sistemas com configuração redundante.
Um exemplo de integridade utilizado por muitas ferramentas, é o “hash de mão única”, também conhecido como:
- Checagem de redundância cíclica;
- Função de hash universal;
- checksum criptográfico;
Nesse processo, um hash de um conjunto específico de dados é calculado antes do trânsito e enviado junto com a mensagem original. Assim, a mensagem recebida é comparada com o hash enviado. Se ambos os hashes forem diferentes, significa que a mensagem perdeu seu valor, ou seja, sua integridade foi descaracterizada.
Disponibilidade
Esse aspecto garante que as informações e os recursos estejam disponíveis para aqueles que precisam deles, 24 horas por dia, sete dias por semana. Essa função é implementada com métodos de manutenção de hardware, patch de software e otimização de rede.
Alguns processos, como redundância, failover, RAID e clusters de alta disponibilidade, podem ser usados para atenuar as consequências relacionadas aos problemas de hardware. Dispositivos de hardware dedicados podem ser usados para proteger contra inatividade e inacessibilidade de dados devido a ações mal-intencionadas, como ataques de negação de serviço distribuídos (DDoS).
Esse conceito é utilizado, principalmente, para garantir que os serviços organizacionais estejam disponíveis, mas além dos ataques de negação de serviço distribuído (DDoS) e todas as ameaças que ocasionam instabilidade aos sistemas existem as ameaças causadas por desastres naturais (terremotos, enchentes etc.).
Por isso, é imprescindível realizar periodicamente backups em nuvem, garantir todas as atualizações necessárias dos sistemas e utilizar uma largura de banda compatível com as necessidades organizacionais, de modo que a navegação na web não sofram quedas constantes.
Além disso, é importante estabelecer um plano de recuperação de desastres (RD) em que diretrizes e procedimentos são descritos detalhadamente para administrar crises, recuperar informações, mitigar riscos e manter a continuidade dos processos.
Muitas vezes, as empresas buscam desenvolver sistemas tolerantes a falhas, locais alternativos de armazenamento e réplicas de ambientes em execução, por isso toda essa tríade composta pela integridade, disponibilidade e confidencialidade de dados é igualmente importante.
Garantir a existência desses requisitos no âmbito corporativo é fundamental para que a segurança da informação tenha validade em todos os processos. Isso porque, no novo cenário organizacional, dados estratégicos são ativos valiosos para resultados positivos.
Nesse contexto, se a confidencialidade e a integridade da informação forem comprometidas, a competitividade da empresa no mercado, impulsionada pela insatisfação dos usuários, se reduz. Além disso, sem disponibilidade a empresa perde a sua capacidade de operação, o que se relaciona diretamente ao correto atendimento da demanda e escalabilidade do negócio.
Considerando-se o grande volume de dados disponibilizados pelo Big Data que circulam diariamente na internet e podem englobar vários processos organizacionais, a integridade, a disponibilidade e a confidencialidade de dados são indispensáveis para evitar ineficiência e garantir essa continuidade da empresa no mercado.
Agora, que você conhece mais a fundo tudo o que se relaciona à integridade, disponibilidade e confidencialidade de dados (CID), que tal ler um artigo que selecionamos sobre compliance, outro aspecto imprescindível para a manutenção da competitividade da sua empresa no mercado?