Baixe o app para aproveitar ainda mais
Prévia do material em texto
Segurança de Redes I Aula 9: Noções de CIA Apresentação Vamos conhecer agora um pouco sobre a área de Segurança da Informação (SI) e os parâmetros que orientam a análise, o planejamento e a implementação da segurança em um determinado setor ou companhia. Objetivos Identi�car o papel da área de SI; De�nir CIA; Explicar as noções de con�dencialidade, integridade e disponibilidade. O papel da área de SI A Segurança da Informação, ou o chamado SI, tem um estreito e profundo relacionamento com a questão da proteção e o valor do dado. Sim, o dado vale e é esse o valor que damos às coisas na nova era, o momento do Mundo Digital, a era da informação e do conteúdo. Nesse sentido, há de se empregar esforços, dos mais variados níveis, relacionados à dotação de proteção das informações, pela consequência da necessidade da preservação do seu valor. O dado é uma fonte, de estimado valor para o indivíduo, sociedade, para as empresas, para o mundo de um modo geral. É assim que vemos a informação: o valor e a importância do conteúdo digital. Tratando-se da informação, são aspectos gerais ou propriedades básicas da Segurança da Informação: Con�dencialidade Integridade Disponibilidade Autenticidade Legalidade É importante pontuar que a Segurança da Informação não se restringe somente aos sistemas tradicionalmente computacionais, de informações de cunho eletrônico ou sistemas de dinâmica de armazenamento. O conceito é mais amplio, aplicando-se a todos e quaisquer aspectos relativos à proteção de informações e dados. Este conceito de segurança, aplicado à Informática ou a computadores, está integralmente relacionado com a chamada Segurança da Informação, o que inclui não somente a segurança dos dados/informação, mas que também abraça e se preocupa com o próprio ambiente do sistema. Essas áreas são complementares por interesse e tecnicamente. A máxima "quem vê tudo, não vê nada", do �lósofo tecnológico Mr. Bit, é uma a�rmação bastante assertiva e o termo dividir para conquistar é sempre muito atual e pragmático. Por conta desses dois pontos é que dividimos nossas áreas de competência e expertise para ganharmos o jogo da segurança e vencermos o mal que sempre se aproxima e nos ronda: O ataque cibernético. Aqui no Brasil temos a norma técnica de Segurança da Informação em vigor: ABNT NBR ISO/IEC 27002:2013. Mas todo o conceito de Segurança da Informação vem do que está contido e padronizado na norma ISO/IEC 17799:2005, in�uenciada pelo padrão inglês (British Standard) BS 7799. (Fonte: abntcatalogo). Podemos varrer a Internet e perceberemos que a de�nição sobre Segurança da Informação (SI) se repete e se sintetiza como sendo o nível de proteção contra tudo aquilo que é viável causar algum tipo de sinistro, motivado pelo que se classi�ca de uso ou acesso não autorizado ao ambiente da informação. Também contribuem para critérios de ataques e sinistros, a negação do serviço a usuários autorizados, enquanto a integridade e a con�dencialidade dessa informação são preservadas, e para evitarmos esses processos devemos nos precaver com nossas rotinas de prevenção e métodos de comportamento. É fato que o nível de proteção a que queremos chegar deve, em qualquer situação, corresponder ao valor que o nosso dado ou a nossa informação tem e aos prejuízos que poderiam ser decorrentes do uso impróprio desses dados. Atenção Devemos lembrar que a informação trafega sobre aquilo que podemos de�nir como a “Camada de Rede ou Infraestrutura de comunicação” e, esta camada também requer preocupações com sua segurança, o que nos faz frisar: É importante destacar que área de SI tem seus domínios de atuação estendidos a toda infraestrutura, o que viabiliza o uso de sua dinâmica, sobre outros domínios de utilização que compreende processos, sistemas, serviços, tecnologias etc. Percebemos, portanto, que a área de SI não se limita apenas a sistemas de computação, nem à informação em formato eletrônico. Ela se espelha, alcançando com seus níveis de aplicabilidade todos os aspectos de proteção da informação ou dos dados, em qualquer forma ou camada pela qual a informação ou os dados circulam. As informações de uma empresa são o foco da área de SI. Desse modo, os dados de �uxo de uma infraestrutura de comunicação são foco da Área de Segurança, pois, uma vez interceptado e detectado, o processo de �uxo de dados de uma rede, está propenso a sofrer um ataque. Por isso, a Segurança da Informação tem a proposta clara de resguardar os dados de infraestrutura, protegendo-os. Uma informação compreende toda e qualquer forma de conteúdo ou dado, cujo valor é imprescindível para alguma estrutura empresarial, estrutura administrativa ou organização, sendo também necessária e importante para pessoas. A informação, por consequência, pode e deve ser guardada para uso restrito ou para exposição ao público para consulta ou aquisição. Por ter um papel fundamental no suporte dos processos de negócio, a informação está exposta a três elementos fundamentais: 1 Base tecnológica ou tecnologia: à qual cabem macro obrigações, tais como armazenamento, processamento etransmissão da informação. 2 Base humana ou recurso de mão de obra: as quais criam, movimentam e utilizam a tecnologia disponível. 3 Base ou pilar dos processos: os quais são desenvolvidos em função do comportamento para sustentar com boaspráticas a manipulação da informação para manutenção dos negócios. (Fonte: Diegomacedo). (Fonte: Go2web). Veri�camos que o volume de informação em formato eletrônico tem evoluído em volumetria de modo exponencial nos últimos anos. Isto está diretamente ligado ao crescimento da economia digital que, por consequência, eleva a necessidade da proteção da informação, o que demonstra uma importância vital e de alta relevância para as bases de con�ança entre a informação e os vários manipuladores de informação, parceiros e estruturas internas às companhias. Devemos estruturar a segurança entre quatro partes, a saber: Política. Normas. Procedimentos. Evidências. As políticas, as normas e os procedimentos de Segurança da Informação devem ser aplicados a todos os funcionários internos e parceiros externos. Isso não é negociável em hipótese alguma, independentemente do nível administrativo ou técnico de cada indivíduo: É para ser desse jeito e pronto, simples assim, pois se houver aberturas, haverá comprometimento de qualquer esforço que se crie para combater níveis de fragilidades. Todas as ações traçadas para combater a insegurança de qualquer nível que seja, são plenamente utilizáveis e aplicáveis em todo e qualquer domínio informatizado, sendo estes domínios aqueles ambientes convencionais ou não, no trato da informação, no seu processo de comunicação e no seu arquivamento. Outro ponto importante dentro das preocupações a serem tomadas reside na estrutura documental e operacional, importantíssima, que objetiva a estruturação de um dado acervo documental para a criação de políticas, estatutos, normas e a�ns com o tema Segurança da Informação, cujo objetivo será contribuir para colocar o banco em sintonia com a chamadas boas práticas nesta matéria. Deve-se deixar claro que as chamadas falhas ou brechas de segurança existentes no universo da informação, são provocadas por aspectos, circunstâncias e por alguns pontos básicos: Falta de políticas para gerir riscos e ameaças. Falta de normas para guiar a criação de boas soluções. Falta de procedimentos para planejar e implementar soluções aderentes às demandas. Falta do estabelecimento ou da criação de uma cultura técnica sobre o tema segurança. Surgimento de novos padrões de vulnerabilidade devido à evolução tecnológica e com o uso de novas plataformas móveis. Equívocos e falhas decorrentes do erro humano. Escassez de processos claros desenvolvidos para que se possa melhor medir os riscos e propor correções mais adequadas e corretas. O próprio crescimento do volume de ataques. Todos esses pontos vão levar à questão das garantias que se quer dar ao conjunto da tecnologia envolvidapara sustentar a informação e seu deslocamento ao longo de toda a infraestrutura. O que é CIA Atenção! Aqui existe uma videoaula, acesso pelo conteúdo online (Fonte: Seginfoatual). Os pontos mais relevantes que, no momento, estão em foco e que tendem a dar orientação para a análise, o planejamento e a implementação dos critérios da segurança para um grupo hipotético de informações que se pretende proteger estão suportados por três argumentos ou parâmetros, a saber: Con�dencialidade Integridade Disponibilidade Saiba mais Os três parâmetros acima dão nome ao acrônimo CIA, que vem do inglês Con�dentiality, Integrity and Availability. CIA – Mecanismos de segurança Para conseguirmos implementar a Segurança e atender os requisitos mínimos e aceitáveis do que preconiza um bom planejamento e, como consequência, uma boa implementação, devemos seguir alguns parâmetros. Isso permite que tenhamos Con�dencialidade, Integridade e Disponibilidade, e também o Não-repúdio (irretratabilidade), Autenticidade, Conformidade e Privacidade. Os parâmetros necessários para um bom suporte são: Clique nos botões para ver as informações. São zonas de bloqueio que impõem delimitadores quanto à possibilidade de acessos diretos ao nível de informação ou de infraestrutura que lhe dá o devido suporte. Segue uma relação de tipos de mecanismos de segurança que apoiam os controles físicos: Portas. Trancas. Paredes. Blindagem. Guardas etc. Controles físicos São aquelas barreiras (qualquer tipo de aplicação ou equipamento que se utiliza da tecnologia) que impõem limitações quanto ao acesso à informação (documentos, dados ou qualquer tipo de informação), que por sua vez encontra-se disponibilizada em um dado contexto de ambiente controlado que, na maior parte das vezes, trata-se de um ambiente de peculiaridade eletrônica, no qual, de outra forma, �caria exposto a tudo e a todo tipo a alteração não autorizada por elemento mal-intencionado. Controles lógicos Mecanismos de apoio aos controles lógicos Clique no botão acima. Os mecanismos de segurança que apoiam os controles lógicos são: Mecanismos de cifração ou encriptação Faculta que o processo de criptogra�a da informação seja reversível, mas ininteligível a terceiros. São empregados, nesse processo, algoritmos especí�cos com uso de chave secreta. Esse mecanismo de chave secreta produzirá como resultado dados criptografados, sendo o caminho inverso conhecido como processo de decifração. Este ponto já foi visto anteriormente. (Fonte: Wikipedia). Assinatura digital Lote de dados que foram criptografados, associados a um documento eletrônico cuja função é dar a garantia necessária de que este documento é autêntico e íntegro, mas não a sua con�dencialidade. (Fonte: Cryptoid). Mecanismos de garantia da integridade da informação Baseado na utilização das chamadas funções de Hashing ou de checagem. Com esse processo, é possível garantir integridade mediante processos de comparações do resultado do teste realizado no receptor que é cruzado com o divulgado pelo autor. Este ponto já foi visto anteriormente. (Fonte: Wikimedia). Mecanismos de certi�cação Cria uma circunstância de valoração, validade e credibilidade sobre um dado documento. Este ponto já foi visto anteriormente. Honeypot Trata-se de um tipo de sistema ou também conhecido como ferramenta de software, cujo objetivo é o de criar simulações de falhas propositais e com isso iludir o invasor fazendo-o acreditar que está conseguindo explorar uma falha do sistema. No �nal, funciona como uma arapuca ou armadilha para captura de invasores. Ele não se dispõe a oferecer proteção. Protocolos seguros O emprego de protocolos cujo �m é portar argumentos e características que dotam o acesso à informação de um alto grau de segurança. Tais protocolos utilizam-se de práticas de funções já abordadas anteriormente, como por exemplo, criptogra�a como no caso do https, ssf, sftp etc. No estágio atual de desenvolvimento tecnológico aplicado à área de segurança, temos grande diversidade de soluções de ferramentas e sistemas baseadas em softwares cujo objetivo é dotar de grande capacidade de segurança os ambientes. Seguem alguns exemplos: Softwares de antivírus. Sistemas de �rewalls. Aplicações desenhadas para serem �ltros anti-spam. Sistemas baseados em softwares para cumprir a função de IDS. Softwares/Aplicativos que cumprem a função de analisadores de código etc. Mecanismos de controle de acesso Dispositivos que viabilizam controles em vários níveis, de várias formas, como por exemplo os chamados sistemas biométricos, os dispositivos denominados �rewalls e os produtos conhecidos como cartões inteligentes. (Fonte: Wikipedia). (Fonte: Wikipedia). CIA – Ameaças à segurança Esse é um tema recorrente no campo da Tecnologia da Informação, pois afeta diretamente o valor e a riqueza do maior bem da atualidade: a informação. As ameaças afetam as três principais características de uma dada informação, são elas: Atenção! Aqui existe uma videoaula, acesso pelo conteúdo online Con�dencialidade Integridade Disponibilidade Quando as ameaças se contextualizam à infraestrutura de rede ou a um dado sistema hipotético, setas podem surgir de vários pontos ou possíveis locais de origem, cujos vetores são os agentes maliciosos provocadores de sinistros conhecidos como crackers. Quando as ameaças se contextualizam à infraestrutura de rede ou a um dado sistema hipotético, setas podem surgir de vários pontos ou possíveis locais de origem, cujos vetores são os agentes maliciosos provocadores de sinistros conhecidos como crackers. Atenção Os chamados hackers não são agentes maliciosos uma vez que estes tentam ajudar a encontrar possíveis falhas. Os crackers sofrem sobre si ação de agentes motivadores, que balizam suas atitudes e os movem a fazer estas ilegalidades e, entre esses motivos, estão: Notoriedade Autoestima Vingança Enriquecimento ilícito Saiba mais Em pesquisa realizada �cou caracterizado que mais de 70% dos sinistros praticados e que se converteram em ataques foram provenientes de usuários classi�cados como legítimos, válidos e ativos de sistemas de informação. Essa realidade veri�cada faz com que a empresas invistam massivamente no campo de desenvolvimento de controles de segurança destinado a atender a grande área �m que se encontra inserida nas suas Intranets. É isso mesmo! Por incrível que pareça, a maioria dos ataques surgem de dentro das empresas sobre as próprias empresas. CIA – Perda da Con�dencialidade A perda da Con�dencialidade se dá quando ocorre ruptura do nível de sigilo da informação. Por exemplo: Uma dada senha é descoberta, fazendo com que o dado �que de certo modo exposto e descoberto de algum tipo de nível de proteção, quando este só deveria ser acessado pelo proprietário da senha. CIA – Perda da Integridade A perda da Integridade se dá quando ocorre ruptura do nível de manuseio de uma dada informação, a qual �ca exposta para que qualquer indivíduo possa alterá-la sem que a mesma seja ou tenha sido aprovada por quem de direito. Ou seja, o proprietário ou responsável perde o controle total sobre a informação. CIA – Perda da Disponibilidade A perda da Disponibilidade se dá quando ocorre ruptura do nível de acessibilidade da informação, �cando a mesma sem poder ser acessada por seu proprietário ou responsável. Isso equivale em efeito à perda de comunicação com um dado sistema de informação: pane na rede, queda do servidor, o link de acesso de um provedor está fora etc. CIA – Invasões ocorridas pela Internet Todo e qualquer tipo de sistema computacional necessita ser dotado de um sistema para proteção de seus arquivos, pois vivemos na era da informação, e este bem é alvo constante de interesses escusos. Esta proteção dada aos sistemas trata-se de um conjunto de regras e mecanismos, físicos e lógicos, que pretendem garantir que a informação não seja lida, ou modi�cada, por quem quer que seja e que não tenha permissão para esta ação. A segurança é muitas vezesutilizada como termo geral para fazer referência a um problema do tema “segurança”, mas os chamados mecanismos, estes sim, são elementos que dotam a solução de poder para dar a proteção esperada à situação, salvando, por vezes, as informações. A segurança pode ser vista e analisada por vários ângulos e aspectos. A sua falta ou falha suscita consequências graves como a perda de dados e as invasões de intrusos. A perda de dados em grande parte tem como origem as seguintes razões: 1 Os fatores de cunho natural, provocados por conta de incêndios, enchentes, terremotos, e vários outros problemas decausas naturais. 2 Os fatores de cunho tecnológico, provocados por erros de hardware ou de software devido às falhas no processamento,erros de comunicação ou bugs em programas. 3 Os fatores de erro humano sobre o qual se computa a entrada de dados incorreta, montagem errada de disco ou perdade um disco. Para que não venhamos a passar por inconvenientes e a �m de evitar a perda destes dados, é muito importante manter sempre atualizado e checado o backup, para que possa estar aderente aos padrões de con�abilidade; e para conferir as rotinas e práticas de armazenado geogra�camente distante dos dados originais. CIA – Nível de segurança O próximo passo, após ter sido identi�cado o potencial de ataque, consiste nas organizações precisarem decidir qual será o nível de segurança que deverá ser estabelecido para que uma rede ou sistema, onde os recursos físicos e lógicos encontram- se, esteja sobre condições de proteção. Deve ser feita uma contabilidade sobre os custos/prejuízos associados aos ataques ocorridos, mas refutados, pelos mecanismos de contra-ataques adquiridos, e que visam minimizar as agressões que se pode sofrer em uma infraestrutura e seus sistemas, minimizando a probabilidade de que um sinistro digital ocorra. Essa é a rotina de se dimensionar os custos denominados de CAPEX de Segurança. Clique nos botões para ver as informações. Aqui são consideradas as ameaças físicas contra a infraestrutura que suporta todo o ambiente computacional e de rede. Tais ameaças estão relacionadas a sinistros causados por fogo, água, descargas elétricas, sismos, ou seja, tudo aquilo que possa contribuir negativamente para dani�car a parte física que assegura à infraestrutura o seu nível de proteção, e que venha, de certo modo, viabilizar o processo de acesso indevido de estranhos. CIA – Nível de segurança física Aqui, deve-se dar extrema atenção aos sinistros provocados por vírus, acessos provenientes de pontos remotos à infraestrutura de rede, falhas de backup que os tornam desatualizados, violação e corrupção de senhas, sequestro de identidades de usuário etc. Todos esses itens de�agram, se negligenciados, instabilidade e fragilidade no ambiente a ser protegido, cujas informações estão sendo sustentadas pelos mesmos. Essa é a forma sobre a qual conseguimos fornecer proteção a um dado ambiente sistêmico: ao sistema operacional e às aplicações que rodam sobre ele. Em geral, este tipo de combate impõe segurança protegendo o ambiente como um todo, contra falhas não intencionais, erros, equívocos etc. CIA – Nível de segurança lógica Devemos, após a identi�cação dos riscos, dos níveis de proteção e da determinação dos re�exos que tais risco podem oferecer, partir para a execução de pontos de controle para que se possa restringir e, com isso, reduzir os riscos mapeados. Tais pontos de controle trazem ações e criações de: Práticas das políticas de Segurança da Informação. O desenvolvimento da organização da Segurança da Informação. Criação da gestão e controle de ativos. Implementação da segurança em recursos humanos. Implementação da segurança física e do ambiente. Gestão das operações e comunicações. Criação ou melhorias no controle de acessos. Aquisição, desenvolvimento e manutenção de sistemas de informação. Acertos e melhorias na gestão da continuidade do negócio. Conformidade legal. CIA – Sobre os pontos de controle de segurança CIA – Política de segurança Deve estar em conformidade com o RFC 2196 (The Site Security Handbook) e deve consistir em um grupo de regras, devidamente constituídas e formalizadas, as quais devem ser observadas e cumpridas por todos que são usuários dos recursos disponibilizados por uma organização: institucionalizada no ambiente de usuários. Essas políticas devem ser de�nidas de forma segura e, por consequência, necessitam poder ser implementadas dentro de circunstâncias realísticas. A partir delas é preciso que seja possível de�nir de maneira clara e objetiva as chamadas áreas de responsabilidade dos utilizadores, do pessoal de gestão de sistemas e redes e da direção. Outro ponto muito importante é que a implementação precisa ser �exível e moldável às alterações circunstanciais que uma organização sofre: não pode ser monolítica, engessada. As construções de políticas aplicadas à segurança têm como papel fundamental o enquadramento cuja orientação baliza a implementação de mecanismos para o mesmo �m (segurança) criando: de�nições, adequações, processos, procedimentos e parâmetros auditáveis, todos relacionados à segurança. Visam também, e além disso, estabelecer uma espécie de linha de terra para aquilo que será adotado como procedimentos legais na sequência de ataques. Atenção! Aqui existe uma videoaula, acesso pelo conteúdo online Há uma de�nição documental a respeito da política de segurança que deve ser constituída e instituída. Seu desenvolvimento e escrita não contempla os chamados aspectos técnicos do processo de implementação de uma dada solução ou mecanismo aplicado à segurança, pois dada a natureza das tecnologias, essa pode sofrer variações ao longo do tempo devido à sua evolução. Além disso, esse documento deve ter como característica ser de fácil leitura, entendimento e compreensão, fora o fato de ser bastante resumido. Aqui é bom que se diga que este deve ter um texto enxuto, simples e sem pontos obscuros. Há algumas normas que cumprem o papel de de�nir aquilo que deve ser levado em consideração no momento da elaboração das chamadas políticas de segurança, pois são documentos referenciais para este desenvolvimento. Podemos destacar as seguintes normas, a saber: BS 7799 (elaborada pela British Standards Institution). NBR ISO/IEC 17799 (a versão brasileira desta primeira). A série ISO de normas 27000 – Substitutas da ISO 17799 e BS 7799. Sabe-se que sempre, por detrás de toda e qualquer �loso�a a ser desenvolvida e aplicada à área de segurança, há duas linhas básicas e primordiais, são elas: 1 Linha proibitiva Tudo que não é expressamente permitido é proibido. 2 Linha permissiva Tudo que não é proibido é permitido. Sobre os aspectos de uma dada política de segurança, devemos ter em mente e considerar os seguintes pontos, a saber: Disponibilidade A todo momento que for necessário ao usuário impor usabilidade sobre um dado sistema, este deverá estar disponível, principalmente se esses sistemas suportam dados críticos à organização ou ao indivíduo, devendo estar disponíveis constantemente. Integridade A todo momento, seja ele qual for, um ambiente de sistema deve se apresentar íntegro e com condições de usabilidade. Con�dencialidade Toda e qualquer informação, em seu teor, somente poderá estar disponível a quem é de direito, ou seja, aos donos desses dados: indivíduo ou grupo funcional. Autenticidade Um dado sistema deve poder ser capaz de garantir que suas informações e seus usuários são o que são, sem margem de dúvida. Legalidade A informação contida e vinculada dentro de um dado processo hipotético de comunicação, deve possuir seu “valor legal”. Con�dencialidade, Integridade e Disponibilidade Clique no botão acima. Vejamos um pouco mais sobre as três principais características do CIA, as quais embasam a política e que devem ser consideradas. Con�dencialidade A con�dencialidade é uma das propriedades da informação que determinará se a mesma estará ou não disponível, divulgada a indivíduos, entidades ou processosdependendo no nível de autorização. A con�abilidade, de um outro jeito, trata-se de uma garantia dada e aplicada ao contexto da informação, seja ela qual for, dotada de con�ança, robustez e proteção contra uma dada revelação não autorizada. A con�dencialidade foi de�nida pela Organização Internacional de Normalização (ISO) na norma ISO/IEC 17799 como "garantir que a informação seja acessível apenas àqueles autorizados a ter acesso": isto é uma questão fechada. A con�dencialidade é ponto de meta em todo e qualquer tipo de projeto de sistema que envolve criptogra�a, a qual passa a ser uma realidade se há a aplicabilidade de boas práticas e processos relacionados à segurança moderna. O sigilo das informações é imperativo do ponto de vista da Segurança da Informação nos níveis atuais. O termo "bolha da privacidade", utilizado como jargão prático em muitas discussões, pretende dar uma noção de restrição ao domínio do �uxo de informações. A con�dencialidade está relacionada no domínio da segurança de informática com a proteção de dados e informações que são trocadas e mantidas entre um emissor e um ou mais destinatários, de modo a proteger a mesma contra possíveis sinistros provocados por terceiros. Esta ação, prática da con�dencialidade, tem independência daquilo que é feito a nível de segurança do sistema de comunicação empregado: um ponto de alta relevância e importância refere-se à questão da garantia que se deve dar à questão do sigilo quando utilizamos sistemas em um ambiente declaradamente inseguro e propenso a sinistros digitais como é o caso da Internet. Um sistema que se propõe a fornecer con�dencialidade, no caso da possibilidade de haver um sinistro digital de interceptação da informação quando a mesma se desloca da sua fonte para o seu destino, não permitirá que o interceptador seja capaz de extrair qualquer conteúdo inteligível: aqui vale-se de sistemas próprios de blindagem da informação, como, por exemplo, uso de criptogra�a com chaves simétricas, assimétricas, cofres de senha etc. Integridade (de dados) Integridade de dados trata de um processo de manutenção e garantia da precisão e consistência dos dados. Quando analisamos todo o período de existência de um determinado conteúdo, o seu ciclo de vida, veri�ca-se a importância da integridade como aspecto fundamental dada à informação pelos vários critérios de tratamento, a saber: a sua implementação, o seu armazenamento, o seu processamento, o seu uso e possível recuperação de dados. Esses aspectos dotam o dado de valor e qualidade. Dependendo do contexto, pode haver várias de�nições e signi�câncias, mas vejamos, com um olhar mais geral algumas preocupações decorrentes da necessidade de termos o dado íntegro. O processo de integridade, o qual se busca alcançar, é, por consequência, o lado oposto da chamada decomposição dos dados, que é uma espécie de perda de dados. Em sua forma ou intenção geral, a técnica de integridade de dados tem a mesma base comum, ou seja: A integridade dos dados visa, de maneira geral, propiciar e garantir que os mesmos sejam salvos ou gravados, cem por cento em conformidade com a intenção e, sendo logo a seguir, ao processo de recuperação, conseguir que, se assegurados, esses mesmos dados estejam íntegros sendo os mesmos que foram originalmente gravados. Em suma, a integridade dos dados visa evitar as mudanças de caráter involuntário no nível da informação e, sendo assim, é claro que não é ou não signi�ca a mesma coisa do que segurança de dados, a qual discursa sobre os aspectos da proteção de dados contra acessos não autorizados. Toda e qualquer ação de interação com o dado e sua alteração não intencional, obtida como resultado do processo de armazenamento, recuperação ou de processamento, podendo aqui, incluir uma dada ação de intenção maliciosa, uma reação inesperada de falha de hardware e até mesmo um erro humano, é vista e entendida como sendo falha na integridade destes dados. Caso as alterações tenham sido resultantes de um processo de uma ação não autorizada, elas poderão ser classi�cadas como uma espécie de falha de segurança de dados. Essas alterações, na prática, podem gerar inúmeras intensidades de prejuízo e incômodos. Disponibilidade Disponibilidade estrutura uma garantia de que a informação poderá estar disponível para acesso a toda e qualquer hora que seja necessário por parte de seu usuário, ou seja, tenha a capacidade da disponibilidade intrinsecamente inserida em seu aspecto prático. Esta característica é muito importante e vital e está diretamente ligada às questões operacionais de uma empresa ou da infraestrutura. No nosso momento atual, cerca de cem por cento de toda dinâmica de trabalho na maioria das empresas tem em si, alto grau de dependência do trato e do contato com a informação para que possa conduzir a “vida diária” nos seus ambientes, prosseguindo com suas atividades. Quando o conteúdo da informação não está à disposição, ao alcance de um acesso, os chamados processos operacionais que dela são dependentes simplesmente �cam suspensos: nossos processos diários são e dependem de níveis de informação o que funciona como uma espécie de gatilho. Havendo falta de disponibilidade de um dado conjunto de informações, uma empresa, hipotética, pode ter seus processos congelados, entrando numa espécie de colapso, sendo este status traduzido na prática como “estado de lucro cessante”, pois começa a dar prejuízo. Nossa sociedade está extremamente dependente das informações e dos conhecimentos contidos nas bases digitais. As informações são conhecidas hoje em dia como um ativo valioso e que faz a diferença em todo e qualquer negócio: o mundo digital de todos nós. Por consequência, chega-se à conclusão de que com a ausência da chamada con�dencialidade será perdida toda a vantagem competitiva. Sem a capacidade de garantir que o dado está íntegro, inicia-se a perda da lucratividade. Sem que o dado esteja disponível para garantir a dinâmica dos processos, a empresa perde capacidade líquida de operar. Logo, entende-se que sem os níveis adequados de Segurança da Informação, uma dada empresa �ca estagnada, sem poder crescer, lucrar e sobreviver; portanto Segurança da Informação é Segurança do Negócio. Atividade 1. Quais são os pontos que geram falhas nos critérios de Segurança da Informação? 2. Quais são os fatores ocasionadores da perda de dados? 3. Entre os atributos ou propriedades importantes que embasam o planejamento e a implementação da segurança e criam o que conhecemos como CIA, o que representa o critério da disponibilidade? Notas Título modal 1 Lorem Ipsum é simplesmente uma simulação de texto da indústria tipográ�ca e de impressos. Lorem Ipsum é simplesmente uma simulação de texto da indústria tipográ�ca e de impressos. Lorem Ipsum é simplesmente uma simulação de texto da indústria tipográ�ca e de impressos. Título modal 1 Lorem Ipsum é simplesmente uma simulação de texto da indústria tipográ�ca e de impressos. Lorem Ipsum é simplesmente uma simulação de texto da indústria tipográ�ca e de impressos. Lorem Ipsum é simplesmente uma simulação de texto da indústria tipográ�ca e de impressos. Referências ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC 27002:2013. Tecnologia da informação — Técnicas de segurança — Código de prática para controles de segurança da informação. Disponível em: https://www.abntcatalogo.com.br/norma.aspx?ID=306582 <> . Acesso em: 26 nov. 2019. BERTOL, Viviane. Certi�cação digital. De onde surgiu e por que ela me interessaria?. Disponível em: https://cryptoid.com.br/banco-de-noticias/26558-certi�cacao-digital/ <> . Acesso em: 03 dez. 2019. STALLINGS, William.- Criptogra�a e Segurança de Redes: Princípios e Práticas. 6 ed. PEARSON, 2014 KUROSE, Jim; ROSS, Keith. Redes de Computadores e a Internet: Uma Abordagem Top-Down. 6 ed. PEARSON, 2013 Próxima aula Protocolos usados para garantir CIA; Https; SFTP; SSH; IPSec. http://estacio.webaula.com.br/cursos/go0345/aula9.html http://estacio.webaula.com.br/cursos/go0345/aula9.htmlExplore mais Pesquise na Internet sites, vídeos e artigos relacionados ao conteúdo visto. Em caso de dúvidas, converse com seu professor on-line por meio dos recursos disponíveis no ambiente de aprendizagem.
Compartilhar