Princípios da Segurança da Informação

Mas afinal, o que é segurança da informação? No que consiste? Do que se trata?

Nesse post mostrarei quais os princípios em que a segurança (e a falta dela) se baseiam…

Definição

Segurança da informação faz referência à proteção da mesma, no que diz respeito a todas as formas em que tal pode ser apresentada. Tem como objetivo a garantia de continuidade dos negócios protegendo os ativos, de forma à minimizar ao máximo os riscos possíveis e tornar maior (na medida do possível) o retorno em relação ao investimento.

Abaixo uma figura que ilustra o ciclo de vida da informação.

Fundamentos da Segurança da Informação

Quando falamos sobre segurança da informação, não podemos esquecer da chamada “tríade CID”. Esta é a base de todo o conceito e prática relacionados à garantia de segurança sobre qualquer informação. Trata-se de confidencialidade, integridade e disponibilidade. Estas três formam os pilares onde, se usados em conjunto, nos remetem à segurança da informação no seu mais completo conceito.

Abaixo uma figura que exemplifica o que foi, até então, abordado nesse tópico:

Explicaremos abaixo os itens da tríade abordada na figura 1.

Confidencialidade

A ideia de uma informação ser confidencial é de que somente o destinatário à receber a mensagem – único e exclusivamente – é quem de fato vai ter acesso à tal mensagem. Contudo, uma informação confidencial não é necessariamente uma informação em segurança. Em poucas palavras podemos definir confidencialidade da seguinte forma: Uma informação com garantia de proteção contra revelação não autorizada, seja revelação ler ou escrever na mensagem (também pode ser dada como exibição ou alteração).

Integridade

Integridade diz respeito à garantia que se pode depositar na informação de que ela realmente é o que ela deveria ser. Podemos até mesmo comparar o seu conceito com a aplicação do termo às pessoas. Uma pessoa íntegra é uma pessoa de conduta, é a pessoa que realmente “é o que é destinada a ser” e que realmente “faz o que é destinada a fazer”. Assim também uma informação íntegra é aquela em que se pode confiar no que diz respeito à sua origem e a garantia de não alteração no meio por onde a mesma “transitou” quando ainda era um dado.

Disponibilidade

Uma informação confidencial e íntegra mas que não está disponível quando se vê necessário seu uso não é uma informação segura. Então o ideia de dispoibilidade diz respeito à exposição segura da informação, esteja ela íntegra ou não.

Uma informação disponível é aquela que se hospeda em um sistema à prova de falhas lógicas e físicas e sobretudo redundante. Conseguimos aplicar disponibilidade usando de “gerência de riscos” e de “planos de continuidade”, outras duas importantíssimas áreas da segurança da informação.

Autenticidade

Autenticidade reflete à certeza que se pode ter de que uma ação refletida sobre alguma informação foi antes exposta à conhecimento e de que há registros do fato. Ou seja, autenticidade é quando um usuário, que por sua vez deseja manipular (à essa altura entende-se manipular por visualizar, alterar ou excluir) uma informação, antes de realizá-la, é anunciado e sobre o anúncio há uma documentação.

Um exemplo do que foi dito acima seria aplicado no cenário abaixo:

Como exposto, vamos agora à explicação. No cenário acima temos uma arquitetura cliente/servidor. Podemos implementar autenticidade nesse cenário da seguinte maneira, seguindo a numeração da figura:

1 – O cliente solicita acesso a alguma informação do servidor por meio de uma rede.

2 – A solicitação chega ao servidor que solicita autenticação. Dados como usuário/senha são enviados e o cliente autentica.

3 – No momento da autenticação o servidor dispara uma notificação (por exemplo um e-mail) ao administrador do servidor.

4 – A notificação chega pela rede ao administrador que por sua vez está ciente do acesso e tem tudo documentado, seja nos logs do servidor ou na caixa de entrada do seu e-mail (obviamente no caso de alerta via e-mail)

Não repúdio

Podemos definir “não repúdio” como a garantia de que o emissor de algum dado ou informação ou o autor de alguma ação sobre a informação não possa posteriormente negar que tenha enviado o dado/informação ou que tenha alterado alguma informação. Em poucas palavras trata-se de garantir que quando for necessário provar que “alguém fez algo” tenhamos provas.

Conceitos de insegurança:

Vulnerabilidade

 

Têm-se por “vulnerável” um ambiente que não fornece a garantia adequada à informação no que diz respeito à sua segurança. Levando para a área de servidores, a vulnerabilidade de tal está estritamente ligado à vulnerabilidade dos softwares que estão em execução no mesmo, inclusive o próprio sistema operacional

Segundo o Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil, o CERT, vulnerabilidade é uma falha em software ou sistema operacional que reflete na violação da segurança quando explorada por um atacante

Ameaça

Define-se ameaça por qualquer fato que possa ir contra os princípios da tríade CID (confidencialidade, integridade e disponibilidade) em um sistema de informação. Podemos caracterizar ameaça em duas formas distintas descritas abaixo:

1 – Ameaças acidentais;

2 – Ameaças propositais;

Ameaças acidentais;

 

Pode-se definir uma ameaça como do tipo “acidental” caso ela se enquadre em uma das seguintes ameaças: forças da natureza, falhas de software, hardware ou operação, erros humanos ou erros de infra-estrutura.

Ameaças propositais;

Ameaça denominada “proposital” deve se enquadrar nos seguintes tipos: espionagem, ações humanas propositais ou ataques.

Risco

 

A ideia de risco está diretamente associada à definição de ameaça. Risco é a possibilidade de determinada ameaça se concretizar em algo que comprometa a informação por meio de uma vulnerabilidade. Podemos até mesmo transformar a definição de risco em uma “equação” matemática:

Risco = Probabilidade x Impacto

Ou seja, um risco existe somente se a probabilidade de uma vulnerabilidade ser explorada resultar no impacto sobre a segurança da informação. Devido à isso, um risco é classificado de acordo com os três seguintes fatores: grau de importância da vulnerabilidade, probabilidade de exploração dessa vulnerabilidade e o impacto causado devido aos dois outros fatores.

Incidente

 

Incidente é qualquer fato inesperado, quer seja ela confirmado ou sob suspeita que possa oferecer ameaça à segurança da informação.

Podemos utilizar como exemplo também a figura 3 (vide tópico 2.2.4). Suponhamos que a autenticação tenha sido realizado por um elemento com más intenções cujos dados de login/senha foram obtidos por engenharia social ou ataque de força bruta. Esse elemento quer obter dessa forma acesso a alguns arquivos da base de dados do servidor, contrariando a política de segurança da informação ali proposta pelo analista de segurança jo que diz respeito aos acessos no servidor. Esse fato – o acesso não autorizado – é um incidente em segurança da informação.

Anúncios

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s