[Estudos]🔒Pilares da Segurança da Informação
Durante esse semestre da faculdade (4º período de ADS) cursei a disciplina de Segurança da Informação. Sintetizo aqui um pouco dos meus aprendizados sobre a base dessa área: os pilares.
Segurança da Informação
Essa é a área da tecnologia que tem por objetivo estudar e implementar medidas de segurança para proteger ativos importantes de tecnologia da informação da empresa, como dados, hardware ou conhecimento
Principais Pilares: CIDA
Chamo esses pilares de "principais" uma vez que são sempre citados em qualquer literatura. São eles:
👁 Confidencialidade
Consiste em preservar restrições de autorização ao acesso e divulgação de informações. A missão da confidencialidade é garantir que somente as pessoas autorizadas possam ter acesso a uma informação ou dado. Isso pode ser feito por meio de políticas de acesso (controle de permissões, que define quem pode acessar o quê), criptografia, tokens e outros.
É necessário deixar claro que esse pilar é responsável por proteger informações proprietárias. As informações de cunho pessoal são tratadas por outro pilar, relacionado, sim, à confidencialidade, porém, chamado de privacidade (que veremos mais à frente).
O pilar da confidencialidade é comprometido quando um indivíduo não autorizado tem acesso às informações que deveriam ser confidenciais.
🧱 Integridade
A integridade se preocupa com o estado da informação, assim esse pilar busca garantir a proteção da informação contra modificação ou destruição.
É importante definir, aliás, que a integridade dos dados é a propriedade que indica que esses não foram alterados, seja de uma forma não autorizada ou acidental.
Durante o ciclo de vida dos dados (coleta, armazenamento, processamento, transporte e deleção), esses estão suscetíveis a alterações durante o armazenamento, processamento ou transporte.
📶 Disponibilidade
A disponibilidade é o pilar que tem como missão garantir o acesso à informação sempre, ou seja, a qualquer momento, sem nenhum impeditivo ou obstrução; mas não a qualquer pessoa.
É responsabilidade desse pilar, portanto, permitir ao usuário não só acessar a informação desejada a qualquer momento, mas também garantir que o usuário a receba no formato desejado.
Principalmente após o surgimento da Computação em Nuvem - mas também antes disso - a alta disponibilidade recebeu uma nova luz e se tornou um dos principais atrativos desse modelo de negócio. Atualmente, serviços de alta competitividade buscam garantir uma disponibilidade de 5-9s (five-nines) que é equivalente à 99,999% de uptime ao ano. Esse tempo equivale em downtime (tempo offline) a aproximadamente 5,26 minutos no ano ou 864,00 milisegundos no dia.
🪪 Autenticidade
O pilar da autenticidade se preocupa em garantir que ambas as partes participantes de uma transação são quem dizem ser. Esse pilar busca garantir o que é chamado de prova de identidade.
A autenticação pode ser feita por diversos métodos: biometria (digital, facial ou de íris), autenticação de dois fatores - onde utiliza-se mais de um dispositivo -, captchas, que impedem robôs de acessar os sites, e métodos mais simples como login ou envio de tokens de autorização ao e-mail do usuário.
Outros Pilares: PNA
Esses pilares são tão relevantes quanto os de cima, porém podem ser deixados de lado em algumas literaturas que você encontrar. São eles:
🔐 Privacidade
A privacidade - como dito anteriormente - está relacionada à confidencialidade: ambos os pilares têm a missão de restringir o acesso a informações confidenciais de pessoas não autorizadas; a diferença rege o cunho dessas informações: se de origem pessoal, então a privacidade é o pilar responsável por garantir a proteção desses dados.
🖋 Não-repúdio
Esse pilar diz respeito à obrigação à responsabilidade ou autoria de algo que
alguém fez. Isto é, qualquer tipo de documentação ou dado que comprove o ocorrido, permitindo atribuir responsabilidade ao autor da ocorrência.
De maneira resumida, isso pode ser garantido através do uso da assinatura digital ou emissão de comprovantes no sistema.
📝 Auditoria
O pilar da auditoria é responsável por garantir a rastreabilidade dos eventos em
um sistema ou processo. Por meio da implementação desse pilar é possível saber o que aconteceu, como aconteceu e quando aconteceu.
Para garantir isso, existem ferramentas de registro (logs) que permitem rastrear eventos e processos.
Referências Bibliográficas
A definição de cada pilar foi feito por meio do cotejo das três obras citadas abaixo:
NIELES, Michael; DEMPSEY, Kelley; PILLITTERI, Victoria Yan. An Introduction to
Information Security. 1. ed. National Institute of Standards and Technology, 2017.
WHITMAN, Michael E.; MATTORD, Herbert J. Principles of Information Security. 4. ed.
Estados Unidos: Cengage Learning, 2002.
ALHASSAN, Mohammed Mahfouz; ADJEI-QUAYE, Alexander. Information Security in an
Organization. 1. ed. Zhejiang Normal University, China: International Journal of Computer, 2017.
Considerações: esse post não foi uma introdução à Segurança da Informação (dado o quão amplo é o tema), foi, na verdade, apenas a sintetização de um pedaço minúsculo, mas muito importante para a área: os pilares. Se achou esses conceitos interessantes aconselho se aprofundar um pouquinho mais (isso ainda te deixaria no raso, mas, se isso ainda não for suficiente, ao menos agora você tem um norte).
Algum adendo ou correção? Deixe nos comentários! Será muito bem-vindo 😁.