Confiabilidade nos Aspectos da Segurança da Informação

O que é a confiabilidade?

Qualidade daquele ou daquilo que é confiável; fiabilidade. (Michaelis – Dicionário Brasileiro da Língua Portuguesa)

Conforme Antonio, a Segurança da Informação é uma disciplina, ou seja, um determinado ramo do conhecimento, que se concentra na qualidade, que entende-se como a confiabilidade, da prestação de informações e no gerenciamento da continuidade das operações.

A confiabilidade que apontamos nesse artigo, refere-se ao CID que é abreviação para confidencialidade, integridade e disponibilidade. Também conhecido como a tríade em Segurança da Informação!

A tríade em Segurança da Informação

Figura 1 – A Tríade em Segurança da Informação

Seguindo esses critérios, é possível garantir a confiabilidade das informações.

Figura 2 – A Tríade em Segurança da Informação – Atributos Importantes

Atualmente é aplicado a Segurança da Informação dois atributos importantes, a Autenticidade e o Não-repúdio/Irretratabilidade. A seguir serão apresentados esses conceitos para melhor entendimento:

Atributos da confiabilidade das informações

•      Integridade: Garantir a exatidão da informação;

•      Confidencialidade: Garantir somente acesso autorizado às informações;

•      Disponibilidade: Garantir que a informação esteja sempre disponível;

•      Autenticidade: Garantir que a informação é autentica;

•      Não-repúdio ou Irretratabilidade: Garantir que o usuário não negue autoria ou alterações nas informações.

Assim sendo, todos estes atributos em conjunto e implementados em conformidade podem garantir a confiabilidade das informações.

Para estudar e trabalhar com a tríade, a princípio pode-se responder algumas questões como por exemplo:

•      Confidencialidade: Os usuários que não devem ter acesso aos dados/informações acessam de alguma forma esses dados/informações?

A partir do momento que os dados/informações podem ser acessados/alterados por um usuário que não deveria ter permissão, esses dados/informações já não são mais confidenciais;

•      Integridade: Os dados/informações podem ser modificados de alguma forma que não foi proposta?

Se os dados/informações em seu ciclo de vida sofrem uma alteração indeterminada por usuário sem permissão, esses dados/informações não são mais íntegros;

•      Disponibilidade: Os dados/informações estão acessíveis quando e como se propõem ser?

Quando os dados/informações não podem ser acessados por motivo de falha/interrupção na rede de dados ou nos dispositivos de hardware, esses dados não são mais disponíveis.

•      Autenticidade: Os usuários estão devidamente identificados (autenticados) permitindo o controle de acesso (autorização) aos dados/informações?

É possível verificar a autenticidade através de assinaturas e certificações digitais, que garante a originalidade dos dados/informações;

•      Não-Repúdio (Irretratabilidade): Os usuários podem negar autoria não autorizada a dados/informações e/ou acesso a sistemas sem permissão?

O não-repúdio é a garantia de que determinado usuário não pode negar ter acessado/alterado um dado/informação sem ter permissão, não tendo essa garantia, não obtemos a confiabilidade.

Figura 3 – Confiabilidade

Ou seja, para obter confiabilidade é necessário ter conformidade com esses cinco atributos. Os dados/informações devem ser íntegros, confidenciais, disponíveis, autênticos e que garantam a não negação de autoria.

Esses conceitos não são incompreensíveis, eles são trabalhados diariamente no nosso cotidiano, mesmo que muitos não os reconheçam. É importante empregar esses conceitos de forma consciente e efetiva no dia-a-dia, para uma melhor visão e identificar onde será aplicado os esforços. Ou seja, de forma que auxilie na detecção de componentes críticos, os esforços e recursos que valem a pena investir para correção dos problemas identificados.

Por que se preocupar?

Todos nós somos responsáveis pela Segurança dos dados/informações no ambiente de trabalho e devemos nos preocupar com elas respeitando três fatores:

Risco: trata-se do que está sendo impedido de acontecer;

Ameaça: trata-se de como o atacante faria para agir;

Vulnerabilidade: trata-se do que permitirá a ação.

Para obtermos confiança em um ambiente de trabalho, os elementos tecnológicos, processuais e humanos precisam estar seguros.

Elo mais fraco (Fator Humano): Este precisa ser conscientizado e treinado com frequência, pessoas mal-intencionadas por meio de engenharia social aproveitam-se da vulnerabilidade humana, através de uma falsa identidade, persuadindo pessoas para obtenção de informações privilegiadas e confidenciais para fins próprios;

Segurança e a Usabilidade: A segurança não se adéqua a facilidade de uso; porque na maioria dos casos o usuário para facilitar e agilizar as suas atividades, não se preocupa ou evita o uso dos mecanismos e/ou práticas de segurança. Um exemplo simples é a utilização da mesma senha para várias contas e/ou perfis, ou deixando salvas automaticamente que atualmente é uma funcionalidade dos navegadores.

O oponente: Os atacantes (cibercriminosos) são organizados, são especialistas no que fazem e em muitos casos conseguem o que querem;

Os mecanismos de segurança: O ideal é que o ambiente de trabalho possua serviços de resposta à incidentes e abusos, registro de logs. Os mecanismos de autenticação devem ser bem definidos para o efetivo controle de acesso. Recomenda-se o uso de criptografia para dados/informações que sejam transmitidas pela internet e/ou armazenadas localmente. Backup é importante para as organizações. Ferramentas antimalware, filtros antispam e firewalls.

As atualizações são imprescindíveis para que os mecanismos de segurança funcionem corretamente, é importante que o ambiente organizacional esteja em conformidade com as políticas de segurança, normas e padrões em vigor, como por exemplo a norma ISO 27001, além de muitos outros mecanismos disponíveis;

Licenças X Cracks/Ativadores: Sistemas ou softwares desatualizados e piratas, são alvos fáceis para pessoas mal-intencionadas. Quem garante que um Crack/Ativador não tenha uma Backdoor.

As Dez Leis Imutáveis de Segurança

  1. Se alguém mal-intencionado puder persuadi-lo a rodar o programa dele em seu computador, esse não será mais seu computador;
  2. Se alguém mal-intencionado puder alterar o sistema operacional de seu computador, esse não será mais seu computador.
  3. Se alguém mal-intencionado tiver acesso físico irrestrito ao seu computador, esse não será mais seu computador;
  4. Se você permitir que alguém mal-intencionado transfira programas para seu site, esse não será mais seu site;
  5. Senhas fracas são mais decisivas do que segurança forte;
  6. Uma máquina é apenas tão segura quanto o administrador é confiável;
  7. Dados criptografados são apenas tão seguros quanto a chave de descriptografia;
  8. Um scanner de vírus desatualizado é apenas um pouco melhor do que nenhum scanner de vírus;
  9. O anonimato absoluto não é prático, na vida real ou na web;
  10. A tecnologia não é um remédio para todos os males.

Ataques comuns

Figura 4 – Principais Ataques

As principais ameaças são invisíveis e estão em toda parte.

Exemplos

Sistema para prescrições médicas.

A integridade dos dados será mais crítica. Embora seja importante evitar que outras pessoas leiam quais medicamentos o paciente usa, também é importante que o paciente possa acessar esta lista para realizar a compra dos medicamentos.

Imagine se alguém mal-intencionado pudesse mudar o conteúdo do sistema (alterando a integridade), isso poderia levar a resultados que ameaçam a vida.

Visitar outras partes do mundo.

Ao visitar algumas partes do mundo, o indivíduo pode estar em risco substancial de contrair a malária. Isso ocorre porque a ameaça dos mosquitos é muito alta em algumas áreas, e quase certamente o indivíduo não é imune à malária.

Felizmente, é possível controlar a vulnerabilidade com medicação e tentar controlar a ameaça com o uso de repelente de insetos e mosquiteiros.

Com os mecanismos de controle em funcionamento contra a ameaça e a vulnerabilidade, é possível garantir que o risco não ocorra. Obtendo dessa forma a confiabilidade em Segurança da Informação.

E você, na sua opinião, o que é necessário para obter a confiabilidade em Segurança da Informação?

Referências

ANTONIO, Adriano Martins – Três fundamentos sobre segurança da informação que todo profissional precisa saber. Disponível em: <http://www.pmgacademy.com/pt/blog/artigos/tres-fundamentos-seguranca-da-informação>. Acessado em 19 de agosto de 2017.

Rede Segura – Network. Do original Hack Proofing Your Network – 2nd Edition.Copyright © 2002 da Editora Alta Books Ltda.

CERT.br – Cartilha de Segurança – Mecanismos de Segurança. Disponível em: <https://cartilha.cert.br/mecanismos/>. Acessado em 17 de fevereiro de 2018.

Post no LinkedIn

Você deve estar logado para postar um comentário