Matheus Almeida

Matheus Almeida

Blog pessoal sobre Tecnologia da Informação

23 Nov 2020

Segurança da Informação

Definição

Segurança da informação é a disciplina que envolve um conjunto de medidas necessárias para garantir a preservação da confidencialidade, integridade e disponibilidade da informação através das tecnologias, processos e pessoas.

A Segurança da Informação é um meio para garantir que o negócio possa atingir seus objetivos, para isso faz se o uso de controles adequados para tratar uma série de ameaças, com o objetivo assegurar o sucesso e continuidade do negócio e minimizar as consequências dos passives incidentes.

Tríade CIA

Em inglês, a sigla CIA significa “Confidentiality”, “Integrity” e “Availability”, o que corresponde à sigla CID em português (Confidencialidade, Integridade e Disponibilidade). Esses são os principais pilares que representam os principais atributos de um sistema seguro.

Pilares da Segurança da Informação
cia

Confidencialidade

Definição: Propriedade da informação de não ser divulgada para pessoas partes não autorizadas, incluindo indivíduo, entidades ou processos. O objetivo é assegurar que os dados estejam acessíveis somente aos seus responsáveis de direito ou as pessoas às quais foram enviados.

Exemplo de ameaça: Um funcionário descontente com a empresa realiza uma cópia indevida de arquivos sigilosos de um computador pelo pen drive.

Exemplo de reforço: Revisar o acesso à informação, implantar sistemas de criptografia de dados, autenticação de dois fatores, uso de token, verificação biométrica e políticas bem definidas em relação aos privilégios de usuários.

Integridade

Definição: Propriedade da informação de ser completa e exata, ou seja, a Integridade visa impedir que as informações sejam alteradas de forma inadequada ou indesejada.

Exemplo de ameaça: Uma pessoa má intencionada modifica um arquivo exposto na rede pública da empresa sem permissão.

Exemplo de reforço: Implantar sistemas de verificação para detectar alterações nos dados que possam acontecer (hash universal, checksum criptográfico), estipular controles de acesso para colaboradores, adoção da assinatura digital.

Disponibilidade

Definição: Propriedade de segurança que garante que a informação seja acessível e utilizável por entidades autorizadas. De forma que as informações e os recursos estejam disponíveis a qualquer momento para aqueles que precisam dele, (para que possa ser obtida sempre que for necessário).

Exemplo de ameaça: Um cibercriminoso realiza um ataque de negação de serviço distribuído (DDOS), e então deixa o site da empresa fora do ar.

Exemplo de reforço: Manutenção em hardwares, assim como software atualizados, firewall bem configurado. Um plano de Recuperação de Desastres (RD) que contenha procedimentos e diretrizes para se administrar crises, sendo assim imprescindível a realização periódica de backups para recuperar dados se necessário.

Confira esses e outros atributos relacionados a Segurança da Informação de maneira resumida.

  • Confidencialidade: As informações sigilosas devem ser acessadas somente por pessoas autorizadas.
  • Integridade: Os dados não devem ser alterados ou excluídos de forma não prevista ou autorizada, ou seja, é a garantia de que os dados estarão íntegros.
  • Disponibilidade: O serviço ou o acesso às informações deve estar sempre disponível para quem possui autorização.
  • Autenticidade: É a garantia da origem da informação.
  • Irretratabilidade: É a garantia da impossibilidade de negação da origem da informação.
  • Legalidade: É a conformidade com a legislação vigente.

Importância para uma organização

A prática da segurança da informação em uma empresa é de extrema importância, embora não ajude especificamente a aumentar a receita, vai ajudar a reduzir os impactos incidentes relacionados a segurança.

Exemplo 1: Um ransomware afeta os computadores e servidores de várias empresas; seria um cenário horrível porque os arquivos seriam criptografados gerando uma interrupção de atividades que dependem desses arquivos.

Exemplo 2: Cibercriminosos invadem os servidores de uma empresa e divulgam dados cruciais de funcionários dessa empresa de maneira pública na internet.

Levando em consideração que uma empresa adota determinados controles estabelecidos na sua Politica de Segurança da Informação e que esses são seguidos de maneira adequada, dificilmente essa empresa seria afetada pelos ataques descritos acima, evitando assim prejuízos financeiros graves e de certa forma essa empresa seria mais competitiva que a concorrência.

Vale ressaltar também a Lei Geral de Proteção de Dados (LGPD) já é realidade, o que reforça ainda mais a importância da adoção de práticas de segurança da informação.

Categoria

segurança