CONCEITOS DE SEGURANÇA DA INFORMAÇÃO
Segurança da informação não é um conceito único, ela é composta por uma serie de aspectos. Esses aspectos são denominados de Serviços de Segurança. Eles são introduzidos ao sistema de acordo com cada caso, por vezes será mais necessários um, por vezes outro.
Para que seja possível tratar segurança da informação no desenvolvimento de sistemas, é necessário conhecer os principais Serviços de Segurança e quais seus conceitos. Vejamos agora alguns desses serviços que são considerados pelares da Segurança da Informação.
Confidencialidade
De acordo com a ISO 27000, Confidencialidade é a “propriedade da informação que não está disponível ou revelada para entidades ou processos não autorizados”. Logo, Confidencialidade se diz a respeito de ver uma informação. Se um individuo viu uma informação que não deveria, seja ela armazenada ou transmitida via rede ou não, o pilar de confidencialidade foi quebrado.
O fato da informação poder ser vista por um/uns individuo(s) e outros não, acaba trazendo uma informação adicional ligada a ela. Ou seja, além da informação em si, irá existir também um conjunto de informações e dados que ditam quem poderá ver a informação principal. Essas informações são chamadas de informações de segurança. Exemplos de informações de segurança são Listas de Controle de Acesso, Listas de Acesso do Usuário e Listas de Negação.
Percebe-se que para manter informações sobre confidencialidade é necessário um alto grau de controle e demanda muito esforço. Portanto, o ideal é que as informações sejam consideradas confidenciais o mínimo possível. Ou seja, se uma informação não precisa ser confidencial, ela não deve ser confidencial.
Mas, então por que uma informação se torna confidencial? Em geral, as informações se tornam confidenciais por requisitos legais, sejam por meio de leis, normas, diretrizes ou politicas de privacidade. Por outro lado, uma informação pode também se tornar confidencial quando o valor da informação é alto. Exemplo: propriedade intelectual e informações comerciais.
Integridade
Estabelecida pela ISO 27000 Integridade da informação é “Propriedade da informação que é exata e completa” ela “Refere-se a informação que se mantém exata e consistente durante o ciclo de vida da informação” - J. Boritz. Isto é, a garantia da informação se manter integra e correta, só quem é autorizado pode alterar a informação.
É importante saber que a quebra da integridade, não necessariamente leva a quebra da confidencialidade. Podemos ver que em uma ação man in the middle, um individuo pode acessar um dado criptografado que não deveria, conseguir alterar esse dado, entretanto, se a criptografia não foi quebrada, a confidencialidade prevaleceu.
Além de pessoas, eventos externos também podem quebrar a Integridade. Ou seja, qualquer evento que de alguma forma modifique, prejudique, corrompa ou delete a informação é uma ação contra esse serviço. Um exemplo é o caso de um incêndio, esse evento pode destruir uma informação causando a quebra de Integridade.
Normalmente para garantir a integridade dos dados, faz-se a utilização de monitoramentos, controle de acessos e hash’s. Com hash é possível reduzir um arquivo ou elemento de dados a uma sequência curta de números. Feito corretamente, este resumo de mensagens é exclusivo da informação que está sendo cortada, portanto, qualquer alteração nos dados produzirá um resumo completamente diferente.
Disponibilidade
De acordo com a ISO 27001 a disponibilidade é “Propriedade da informação que está disponível para o uso quando demandado por uma entidade autorizada”. Ou seja, é a garantia de que o usuário não seja impedido indevidamente de acessar informações e recursos que um sistema oferece.
A disponibilidade pode ser verificada através do acesso, caso um usuário tente acessar uma informação, caso ela não esteja disponível este serviço foi quebrado. Mas, além disso, é possível medir o grau de disponibilidade de um sistema, basta dividir quantas vezes um usuário conseguiu acessar a informação por quantas vezes ele tentou, multiplicando por 100, é obtido a porcentagem de disponibilidade de um sistema.
Existe um outro serviço que está ligado diretamente com a Disponibilidade, este é a Confiabilidade. A Confiabilidade “é a probabilidade de um sistema estar operacional no tempo t dado que está operacional agora” - Conceito da engenharia de confiabilidade. Basicamente este serviço está ligado a quanto o servidor pode cair.
Normalmente os sistemas só requerem de alta disponibilidade, ou seja, o servidor pode cair varias vezes, mas se quando ele cai volta rápido, não afetará a disponibilidade mesmo tendo um baixa confiabilidade. Porém, existem alguns sistemas que possuem a necessidade de uma alta Confiabilidade por exemplo: um sistema de navegação de voo que auxilia o pouso de um avião na pista. Se esse sistema no momento do pouso tiver algum tipo de interrupção, vidas podem ser perdidas, por isso a confiabilidade nesse sistema é muito importante.
Em geral, para Garantir ao usuário à disponibilidade e confiabilidade do serviço, usa-se redundância para nível de sistema. Assim dizendo, deve existir sistemas em paralelo de modo que, caso exista alguma interrupção no servidor, outro assumirá para garantir o acesso do usuário ao sistema e, consequentemente a informação.
Privacidade
Privacidade é o “direito à reserva de informações pessoais e da própria vida pessoal” - L Brandeis, S. Warren. Ou seja, o indivíduo como detentor de suas informações deve ser o owner dessas informações. Esse indivíduo e, somente esse indivíduo, pode estabelecer quem pode ter acesso a essas informações. Vale salientar que este conceito é estabelecido não só para os meios digitais, mas também para as informações fora da internet.
No contexto da internet, privacidade diz-se a respeito de realizar ações na internet de forma a não revelar detalhes dessas ações à terceiros de forma indesejada. Além disso, refere-se à privacidade pessoal o direito de quando exibir, armazenar e fornecer informações sobre si na internet. Isto pode incluir informações de identificação pessoal, como cpf, nome, e-mail.. e informações de não identificação pessoal, cookies, tokens de acesso e comportamento em um site.
Mas por que existe a necessidade da privacidade? A privacidade é um meio de proteção do usuário contra ataques pelo sistema. Sem privacidade, o indivíduo está sujeito a que suas atividades e informações sejam coletadas e analisadas através de trakers, vendidas para empresas interessadas a fim de, utilizar das informações para rastrear o comportamento dos usuários, traçar perfil comportamental e psicológico e então direcionar anúncios abusivos a um determinado usuário.
Além disso, protege os usuários contra cibercriminosos que podem utilizar dessas informações para fins não éticos e, também, comunidades de países que possuem regimes de governos ditatoriais que, poderiam utilizar dessas informações para monitorar a população e utilizar de opressão contra os indivíduos que tendem a se opor ao governo.
Rastreabilidade
A Rastreabilidade é a “Propriedade de um sistema capaz de verificar o histórico de uma informação com base em registrados” - ASME Glossary. Melhor dizendo, é a capacidade de ligar a alteração, criação ou remoção de uma informação ao usuário que a realizou. Ela pode ser dada por motivos de necessidade, precaução ou por motivos legais.
Existem algumas aplicações que são obrigadas por lei a manterem registros das alterações de dados para a realização de auditorias. É importante perceber que Rastreabilidade é antagônica a Privacidade, pois ao implementar um alto nível de Rastreabilidade, torna-se possível ligar um usuário a uma atividade no sistema.
Para realizar a implementação da rastreabilidade, usa arquivos de log que, em geral, registram o identificador do usuário, a atividade e o momento em que foi realizada.
Autenticidade
A Autenticidade é a “Propriedade de uma entidade ou processo que é quem diz ser” - ISO 27000. Isto é, é a forma de garantir que um usuário é quem diz ser quem é. Por exemplo, em um login, o usuário informa o login, o usuário informa que é alguém, e, em seguida, a senha, o usuário está comprovando que ele é quem diz ser.
Existem algumas maneiras de comprovar a Autenticidade, por meio de algo que só ele sabe, como uma senha, por meio de algo que só ele tem como um certificado digital ou um cartão, ou até mesmo com características físicas como impressão digital, íris ocular, retina, reconhecimento facial entre outras.
No desenvolvimento é importante garantir a Autenticidade das atividade e informações que necessitam de Confidencialidade, Integridade e rastreabilidade. Exemplo: Para a edição dos dados de um usuário "A", o sistema só deve permitir a edição se, somente se, a solicitação dessa edição fora executada pelo usuário A, Se não, o sistema não deve permitir a edição.
É importante notar que Autenticidade, assim como os outros serviços, não é exclusivo do meio digital. A assinatura no papel, é um meio utilizado para a Autenticação a séculos. A apresentação de um documento com foto para a realização de alguma atividade é a combinação de autenticação de características físicas e sua assinatura, algo que, teoricamente, só ele sabe fazer, apesar desses métodos sejam meios de autenticação extremamente fracos.
Irretratabilidade
Estabelecida pela ISO 27000 a Irretratabilidade é a “Propriedade de um sistema capaz de provar a ocorrência de um evento ou ação e quais entidade os originaram”. Melhor dizendo, é a garantia que o usuário que executou uma ação, não tenha como negar que foi ele que executou aquela ação (Há como provar para um terceiro a origem dos dados).
Este serviço é bastante parecido com a Autenticidade, mas se a Autenticidade busca assegurar a veracidade e a legitimidade do “autor” da informação, o pilar da irretratabilidade (ou não repúdio) atua para que um indivíduo ou entidade não negue a autoria de uma ação específica (criar ou assinar um arquivo/documento, por exemplo).
Uma prática que algumas empresas usam como Irretratabilidade é o cartão de crédito com senha. Se houver uma fraude de um cartão sem a utilização da senha, é instaurado uma investigação para averiguar o ocorrido e verificar se a fraude é legitima, mas se caso houve a utilização da senha, as empresas usam da Irretratabilidade para negar a fraude. Ou seja, é subentendido que a utilização da senha que, em teoria só o dono deveria saber, confirma que de fato foi o dono do cartão que o utilizou.
Os serviços mais importante tratado pela comunidade da segurança da informação são a Confidencialidade, Integridade e a Disponibilidade, tripé da área e mais conhecido como CID, porém os outros pilares não deixam de ter sua importância e cada serviço deve ser implementado de acordo com a necessidade do sistema. Além disso, é importante mencionar que a outros pilares que não foram mencionados neste resumo e que tem suas importâncias em caso mais específicos.
UNIVESP - segurança da informação