Segurança de redes I 9

Prévia do material em texto

Segurança de Redes I
Aula 9: Noções de CIA
Apresentação
Vamos conhecer agora um pouco sobre a área de Segurança da Informação (SI) e os parâmetros que orientam a análise,
o planejamento e a implementação da segurança em um determinado setor ou companhia.
Objetivos
Identi�car o papel da área de SI;
De�nir CIA;
Explicar as noções de con�dencialidade, integridade e disponibilidade.
O papel da área de SI
A Segurança da Informação, ou o chamado SI, tem um estreito e profundo relacionamento com a questão da proteção e o valor
do dado. Sim, o dado vale e é esse o valor que damos às coisas na nova era, o momento do Mundo Digital, a era da informação
e do conteúdo.
Nesse sentido, há de se empregar esforços, dos mais variados níveis, relacionados à dotação de proteção das informações,
pela consequência da necessidade da preservação do seu valor.
O dado é uma fonte, de estimado valor para o indivíduo, sociedade, para as
empresas, para o mundo de um modo geral. É assim que vemos a
informação: o valor e a importância do conteúdo digital.
Tratando-se da informação, são aspectos gerais ou propriedades básicas da Segurança da Informação:
Con�dencialidade Integridade Disponibilidade
Autenticidade Legalidade
É importante pontuar que a Segurança da Informação não se restringe somente aos sistemas tradicionalmente
computacionais, de informações de cunho eletrônico ou sistemas de dinâmica de armazenamento. O conceito é mais amplio,
aplicando-se a todos e quaisquer aspectos relativos à proteção de informações e dados. Este conceito de segurança, aplicado
à Informática ou a computadores, está integralmente relacionado com a chamada Segurança da Informação, o que inclui não
somente a segurança dos dados/informação, mas que também abraça e se preocupa com o próprio ambiente do sistema.
Essas áreas são complementares por interesse e tecnicamente.
A máxima "quem vê tudo, não vê nada", do �lósofo tecnológico Mr. Bit, é uma a�rmação bastante assertiva e o termo dividir
para conquistar é sempre muito atual e pragmático. Por conta desses dois pontos é que dividimos nossas áreas de
competência e expertise para ganharmos o jogo da segurança e vencermos o mal que sempre se aproxima e nos ronda: O
ataque cibernético.
Aqui no Brasil temos a norma técnica de Segurança da Informação em vigor: ABNT NBR ISO/IEC 27002:2013. Mas todo o
conceito de Segurança da Informação vem do que está contido e padronizado na norma ISO/IEC 17799:2005, in�uenciada pelo
padrão inglês (British Standard) BS 7799.
 (Fonte: abntcatalogo).
Podemos varrer a Internet e perceberemos que a de�nição sobre Segurança da Informação (SI) se repete e se sintetiza como
sendo o nível de proteção contra tudo aquilo que é viável causar algum tipo de sinistro, motivado pelo que se classi�ca de uso
ou acesso não autorizado ao ambiente da informação. Também contribuem para critérios de ataques e sinistros, a negação do
serviço a usuários autorizados, enquanto a integridade e a con�dencialidade dessa informação são preservadas, e para
evitarmos esses processos devemos nos precaver com nossas rotinas de prevenção e métodos de comportamento.
É fato que o nível de proteção a que queremos chegar deve, em qualquer situação, corresponder ao valor que o nosso dado ou
a nossa informação tem e aos prejuízos que poderiam ser decorrentes do uso impróprio desses dados.
Atenção
Devemos lembrar que a informação trafega sobre aquilo que podemos de�nir como a “Camada de Rede ou Infraestrutura de
comunicação” e, esta camada também requer preocupações com sua segurança, o que nos faz frisar: É importante destacar que
área de SI tem seus domínios de atuação estendidos a toda infraestrutura, o que viabiliza o uso de sua dinâmica, sobre outros
domínios de utilização que compreende processos, sistemas, serviços, tecnologias etc.
Percebemos, portanto, que a área de SI não se limita apenas a sistemas de computação, nem à informação em formato
eletrônico. Ela se espelha, alcançando com seus níveis de aplicabilidade todos os aspectos de proteção da informação ou dos
dados, em qualquer forma ou camada pela qual a informação ou os dados circulam.
As informações de uma empresa são o foco da área de SI. Desse modo, os dados de �uxo de uma infraestrutura de
comunicação são foco da Área de Segurança, pois, uma vez interceptado e detectado, o processo de �uxo de dados de uma
rede, está propenso a sofrer um ataque. Por isso, a Segurança da Informação tem a proposta clara de resguardar os dados de
infraestrutura, protegendo-os.
Uma informação compreende toda e qualquer forma de conteúdo ou
dado, cujo valor é imprescindível para alguma estrutura empresarial,
estrutura administrativa ou organização, sendo também necessária e
importante para pessoas. A informação, por consequência, pode e
deve ser guardada para uso restrito ou para exposição ao público
para consulta ou aquisição. 
Por ter um papel fundamental no suporte dos processos de negócio, a informação está exposta a três elementos
fundamentais:
1 Base tecnológica ou tecnologia: à qual cabem macro obrigações, tais como armazenamento, processamento etransmissão da informação.
2 Base humana ou recurso de mão de obra: as quais criam, movimentam e utilizam a tecnologia disponível.
3 Base ou pilar dos processos: os quais são desenvolvidos em função do comportamento para sustentar com boaspráticas a manipulação da informação para manutenção dos negócios.
 (Fonte: Diegomacedo).
 (Fonte: Go2web).
Veri�camos que o volume de informação em formato
eletrônico tem evoluído em volumetria de modo exponencial
nos últimos anos. Isto está diretamente ligado ao
crescimento da economia digital que, por consequência,
eleva a necessidade da proteção da informação, o que
demonstra uma importância vital e de alta relevância para
as bases de con�ança entre a informação e os vários
manipuladores de informação, parceiros e estruturas
internas às companhias.
Devemos estruturar a segurança entre quatro partes, a
saber:
Política.
Normas.
Procedimentos.
Evidências.
As políticas, as normas e os procedimentos de Segurança da Informação
devem ser aplicados a todos os funcionários internos e parceiros externos.
Isso não é negociável em hipótese alguma, independentemente do nível
administrativo ou técnico de cada indivíduo: É para ser desse jeito e pronto,
simples assim, pois se houver aberturas, haverá comprometimento de
qualquer esforço que se crie para combater níveis de fragilidades.
Todas as ações traçadas para combater a insegurança de qualquer nível que seja, são plenamente utilizáveis e aplicáveis em
todo e qualquer domínio informatizado, sendo estes domínios aqueles ambientes convencionais ou não, no trato da
informação, no seu processo de comunicação e no seu arquivamento.
Outro ponto importante dentro das preocupações a serem tomadas reside na estrutura documental e operacional,
importantíssima, que objetiva a estruturação de um dado acervo documental para a criação de políticas, estatutos, normas e
a�ns com o tema Segurança da Informação, cujo objetivo será contribuir para colocar o banco em sintonia com a chamadas
boas práticas nesta matéria.
Deve-se deixar claro que as chamadas falhas ou brechas de segurança existentes no universo da informação, são provocadas
por aspectos, circunstâncias e por alguns pontos básicos:
Falta de políticas para gerir riscos e ameaças.
Falta de normas para guiar a criação de boas soluções.
Falta de procedimentos para planejar e implementar soluções aderentes às demandas.
Falta do estabelecimento ou da criação de uma cultura técnica sobre o tema segurança.
Surgimento de novos padrões de vulnerabilidade devido à evolução tecnológica e com o uso de novas plataformas
móveis.
Equívocos e falhas decorrentes do erro humano.
Escassez de processos claros desenvolvidos para que se possa melhor medir os riscos e propor correções mais
adequadas e corretas.
O próprio crescimento do volume de ataques.
Todos esses pontos vão levar à questão das garantias que se quer dar ao conjunto da tecnologia envolvidapara sustentar a
informação e seu deslocamento ao longo de toda a infraestrutura.
O que é CIA
Atenção! Aqui existe uma videoaula, acesso pelo conteúdo online
 (Fonte: Seginfoatual).
Os pontos mais relevantes que, no momento, estão em foco e que tendem a dar orientação para a análise, o planejamento e a
implementação dos critérios da segurança para um grupo hipotético de informações que se pretende proteger estão
suportados por três argumentos ou parâmetros, a saber:
Con�dencialidade Integridade Disponibilidade
Saiba mais
Os três parâmetros acima dão nome ao acrônimo CIA, que vem do inglês Con�dentiality, Integrity and Availability.
CIA – Mecanismos de segurança
Para conseguirmos implementar a Segurança e atender os requisitos mínimos e aceitáveis do que preconiza um bom
planejamento e, como consequência, uma boa implementação, devemos seguir alguns parâmetros. Isso permite que tenhamos
Con�dencialidade, Integridade e Disponibilidade, e também o Não-repúdio (irretratabilidade), Autenticidade, Conformidade e
Privacidade.
Os parâmetros necessários para um bom suporte são: 
Clique nos botões para ver as informações.
São zonas de bloqueio que impõem delimitadores quanto à possibilidade de acessos diretos ao nível de informação ou de
infraestrutura que lhe dá o devido suporte.
Segue uma relação de tipos de mecanismos de segurança que apoiam os controles físicos:
Portas.
Trancas.
Paredes.
Blindagem.
Guardas etc.
Controles físicos  
São aquelas barreiras (qualquer tipo de aplicação ou equipamento que se utiliza da tecnologia) que impõem limitações
quanto ao acesso à informação (documentos, dados ou qualquer tipo de informação), que por sua vez encontra-se
disponibilizada em um dado contexto de ambiente controlado que, na maior parte das vezes, trata-se de um ambiente de
peculiaridade eletrônica, no qual, de outra forma, �caria exposto a tudo e a todo tipo a alteração não autorizada por
elemento mal-intencionado.
Controles lógicos  
 Mecanismos de apoio aos controles lógicos
 Clique no botão acima.
Os mecanismos de segurança que apoiam os controles lógicos são:
Mecanismos de cifração ou encriptação 
Faculta que o processo de criptogra�a da informação seja reversível, mas ininteligível a terceiros. São empregados, nesse
processo, algoritmos especí�cos com uso de chave secreta. Esse mecanismo de chave secreta produzirá como resultado
dados criptografados, sendo o caminho inverso conhecido como processo de decifração. Este ponto já foi visto
anteriormente.
 (Fonte: Wikipedia).
Assinatura digital 
Lote de dados que foram criptografados, associados a um documento eletrônico cuja função é dar a garantia necessária de
que este documento é autêntico e íntegro, mas não a sua con�dencialidade.
 (Fonte: Cryptoid).
Mecanismos de garantia da integridade da informação
Baseado na utilização das chamadas funções de Hashing ou de checagem. Com esse processo, é possível garantir
integridade mediante processos de comparações do resultado do teste realizado no receptor que é cruzado com o divulgado
pelo autor. Este ponto já foi visto anteriormente.
 (Fonte: Wikimedia).
Mecanismos de certi�cação
Cria uma circunstância de valoração, validade e credibilidade sobre um dado documento. Este ponto já foi visto anteriormente.
Honeypot
Trata-se de um tipo de sistema ou também conhecido como ferramenta de software, cujo objetivo é o de criar simulações de
falhas propositais e com isso iludir o invasor fazendo-o acreditar que está conseguindo explorar uma falha do sistema. No
�nal, funciona como uma arapuca ou armadilha para captura de invasores. Ele não se dispõe a oferecer proteção.
Protocolos seguros
O emprego de protocolos cujo �m é portar argumentos e características que dotam o acesso à informação de um alto grau de
segurança. Tais protocolos utilizam-se de práticas de funções já abordadas anteriormente, como por exemplo, criptogra�a
como no caso do https, ssf, sftp etc.
No estágio atual de desenvolvimento tecnológico aplicado à área de segurança, temos grande diversidade de soluções de
ferramentas e sistemas baseadas em softwares cujo objetivo é dotar de grande capacidade de segurança os ambientes.
Seguem alguns exemplos:
Softwares de antivírus.
Sistemas de �rewalls.
Aplicações desenhadas para serem �ltros anti-spam.
Sistemas baseados em softwares para cumprir a função de IDS.
Softwares/Aplicativos que cumprem a função de analisadores de código etc.
Mecanismos de controle de acesso
Dispositivos que viabilizam controles em vários níveis, de várias formas, como por exemplo os chamados sistemas
biométricos, os dispositivos denominados �rewalls e os produtos conhecidos como cartões inteligentes.
 (Fonte: Wikipedia).  (Fonte: Wikipedia).
CIA – Ameaças à segurança
Esse é um tema recorrente no campo da Tecnologia da Informação, pois afeta diretamente o valor e a riqueza do maior bem da
atualidade: a informação. As ameaças afetam as três principais características de uma dada informação, são elas:
Atenção! Aqui existe uma videoaula, acesso pelo conteúdo online
Con�dencialidade Integridade Disponibilidade
Quando as ameaças se contextualizam à infraestrutura de rede ou a um dado sistema hipotético, setas podem surgir de vários
pontos ou possíveis locais de origem, cujos vetores são os agentes maliciosos provocadores de sinistros conhecidos como
crackers. Quando as ameaças se contextualizam à infraestrutura de rede ou a um dado sistema hipotético, setas podem surgir
de vários pontos ou possíveis locais de origem, cujos vetores são os agentes maliciosos provocadores de sinistros conhecidos
como crackers.
Atenção
Os chamados hackers não são agentes maliciosos uma vez que estes tentam ajudar a encontrar possíveis falhas.
Os crackers sofrem sobre si ação de agentes motivadores, que balizam suas atitudes e os movem a fazer estas ilegalidades e,
entre esses motivos, estão:
Notoriedade Autoestima Vingança Enriquecimento ilícito
Saiba mais
Em pesquisa realizada �cou caracterizado que mais de 70% dos sinistros praticados e que se converteram em ataques foram
provenientes de usuários classi�cados como legítimos, válidos e ativos de sistemas de informação. Essa realidade veri�cada faz
com que a empresas invistam massivamente no campo de desenvolvimento de controles de segurança destinado a atender a
grande área �m que se encontra inserida nas suas Intranets. É isso mesmo! Por incrível que pareça, a maioria dos ataques
surgem de dentro das empresas sobre as próprias empresas.
CIA – Perda da Con�dencialidade
A perda da Con�dencialidade se dá quando ocorre ruptura do nível de sigilo da informação. Por exemplo: Uma dada senha é
descoberta, fazendo com que o dado �que de certo modo exposto e descoberto de algum tipo de nível de proteção, quando
este só deveria ser acessado pelo proprietário da senha.
CIA – Perda da Integridade
A perda da Integridade se dá quando ocorre ruptura do nível de manuseio de uma dada informação, a qual �ca exposta para
que qualquer indivíduo possa alterá-la sem que a mesma seja ou tenha sido aprovada por quem de direito. Ou seja, o
proprietário ou responsável perde o controle total sobre a informação.
CIA – Perda da Disponibilidade
A perda da Disponibilidade se dá quando ocorre ruptura do nível de acessibilidade da informação, �cando a mesma sem poder
ser acessada por seu proprietário ou responsável. Isso equivale em efeito à perda de comunicação com um dado sistema de
informação: pane na rede, queda do servidor, o link de acesso de um provedor está fora etc.
CIA – Invasões ocorridas pela Internet
Todo e qualquer tipo de sistema computacional necessita ser dotado de um sistema para proteção de seus arquivos, pois
vivemos na era da informação, e este bem é alvo constante de interesses escusos.
Esta proteção dada aos sistemas trata-se de um conjunto de regras e
mecanismos, físicos e lógicos, que pretendem garantir que a informação
não seja lida, ou modi�cada, por quem quer que seja e que não tenha
permissão para esta ação.
A segurança é muitas vezesutilizada como termo geral para fazer referência a um problema do tema “segurança”, mas os
chamados mecanismos, estes sim, são elementos que dotam a solução de poder para dar a proteção esperada à situação,
salvando, por vezes, as informações.
A segurança pode ser vista e analisada por vários ângulos e aspectos. A sua falta ou falha suscita consequências graves como
a perda de dados e as invasões de intrusos.
A perda de dados em grande parte tem como origem as seguintes razões:
1 Os fatores de cunho natural, provocados por conta de incêndios, enchentes, terremotos, e vários outros problemas decausas naturais.
2 Os fatores de cunho tecnológico, provocados por erros de hardware ou de software devido às falhas no processamento,erros de comunicação ou bugs em programas.
3 Os fatores de erro humano sobre o qual se computa a entrada de dados incorreta, montagem errada de disco ou perdade um disco.
Para que não venhamos a passar por inconvenientes e a �m de evitar a perda destes dados, é muito importante manter sempre
atualizado e checado o backup, para que possa estar aderente aos padrões de con�abilidade; e para conferir as rotinas e
práticas de armazenado geogra�camente distante dos dados originais.
CIA – Nível de segurança
O próximo passo, após ter sido identi�cado o potencial de ataque, consiste nas organizações precisarem decidir qual será o
nível de segurança que deverá ser estabelecido para que uma rede ou sistema, onde os recursos físicos e lógicos encontram-
se, esteja sobre condições de proteção.
Deve ser feita uma contabilidade sobre os custos/prejuízos associados aos ataques ocorridos, mas refutados, pelos
mecanismos de contra-ataques adquiridos, e que visam minimizar as agressões que se pode sofrer em uma infraestrutura e
seus sistemas, minimizando a probabilidade de que um sinistro digital ocorra. Essa é a rotina de se dimensionar os custos
denominados de CAPEX de Segurança.
Clique nos botões para ver as informações.
Aqui são consideradas as ameaças físicas contra a infraestrutura que suporta todo o ambiente computacional e de rede.
Tais ameaças estão relacionadas a sinistros causados por fogo, água, descargas elétricas, sismos, ou seja, tudo aquilo
que possa contribuir negativamente para dani�car a parte física que assegura à infraestrutura o seu nível de proteção, e
que venha, de certo modo, viabilizar o processo de acesso indevido de estranhos.
CIA – Nível de segurança física  
Aqui, deve-se dar extrema atenção aos sinistros provocados por vírus, acessos provenientes de pontos remotos à
infraestrutura de rede, falhas de backup que os tornam desatualizados, violação e corrupção de senhas, sequestro de
identidades de usuário etc. Todos esses itens de�agram, se negligenciados, instabilidade e fragilidade no ambiente a ser
protegido, cujas informações estão sendo sustentadas pelos mesmos.
Essa é a forma sobre a qual conseguimos fornecer proteção a um dado ambiente sistêmico: ao sistema operacional e às
aplicações que rodam sobre ele. Em geral, este tipo de combate impõe segurança protegendo o ambiente como um todo,
contra falhas não intencionais, erros, equívocos etc.
CIA – Nível de segurança lógica  
Devemos, após a identi�cação dos riscos, dos níveis de proteção e da determinação dos re�exos que tais risco podem
oferecer, partir para a execução de pontos de controle para que se possa restringir e, com isso, reduzir os riscos
mapeados. Tais pontos de controle trazem ações e criações de:
Práticas das políticas de Segurança da Informação.
O desenvolvimento da organização da Segurança da Informação.
Criação da gestão e controle de ativos.
Implementação da segurança em recursos humanos.
Implementação da segurança física e do ambiente.
Gestão das operações e comunicações.
Criação ou melhorias no controle de acessos.
Aquisição, desenvolvimento e manutenção de sistemas de informação.
Acertos e melhorias na gestão da continuidade do negócio.
Conformidade legal.  
CIA – Sobre os pontos de controle de segurança  
CIA – Política de segurança
Deve estar em conformidade com o RFC 2196 (The Site Security Handbook) e deve consistir em um grupo de regras,
devidamente constituídas e formalizadas, as quais devem ser observadas e cumpridas por todos que são usuários dos
recursos disponibilizados por uma organização: institucionalizada no ambiente de usuários.
Essas políticas devem ser de�nidas de forma segura e, por consequência, necessitam poder ser implementadas dentro de
circunstâncias realísticas. A partir delas é preciso que seja possível de�nir de maneira clara e objetiva as chamadas áreas de
responsabilidade dos utilizadores, do pessoal de gestão de sistemas e redes e da direção.
Outro ponto muito importante é que a implementação precisa ser �exível e moldável às alterações circunstanciais que uma
organização sofre: não pode ser monolítica, engessada. As construções de políticas aplicadas à segurança têm como papel
fundamental o enquadramento cuja orientação baliza a implementação de mecanismos para o mesmo �m (segurança)
criando: de�nições, adequações, processos, procedimentos e parâmetros auditáveis, todos relacionados à segurança. Visam
também, e além disso, estabelecer uma espécie de linha de terra para aquilo que será adotado como procedimentos legais na
sequência de ataques.
Atenção! Aqui existe uma videoaula, acesso pelo conteúdo online
Há uma de�nição documental a respeito da política de segurança que
deve ser constituída e instituída. Seu desenvolvimento e escrita não
contempla os chamados aspectos técnicos do processo de
implementação de uma dada solução ou mecanismo aplicado à
segurança, pois dada a natureza das tecnologias, essa pode sofrer
variações ao longo do tempo devido à sua evolução. Além disso, esse
documento deve ter como característica ser de fácil leitura,
entendimento e compreensão, fora o fato de ser bastante resumido.
Aqui é bom que se diga que este deve ter um texto enxuto, simples e
sem pontos obscuros.
Há algumas normas que cumprem o papel de de�nir aquilo que deve ser levado em consideração no momento da elaboração
das chamadas políticas de segurança, pois são documentos referenciais para este desenvolvimento. Podemos destacar as
seguintes normas, a saber:
BS 7799 (elaborada pela British Standards Institution).
NBR ISO/IEC 17799 (a versão brasileira desta primeira).
A série ISO de normas 27000 – Substitutas da ISO 17799 e BS 7799.
Sabe-se que sempre, por detrás de toda e qualquer �loso�a a ser desenvolvida e aplicada à área de segurança, há duas linhas
básicas e primordiais, são elas:
1
Linha proibitiva
Tudo que não é expressamente permitido é proibido.
2
Linha permissiva
Tudo que não é proibido é permitido.
Sobre os aspectos de uma dada política de segurança, devemos ter em mente e considerar os seguintes pontos, a saber:
Disponibilidade
A todo momento que for necessário
ao usuário impor usabilidade sobre
um dado sistema, este deverá estar
disponível, principalmente se esses
sistemas suportam dados críticos à
organização ou ao indivíduo,
devendo estar disponíveis
constantemente.
Integridade
A todo momento, seja ele qual for,
um ambiente de sistema deve se
apresentar íntegro e com condições
de usabilidade.
Con�dencialidade
Toda e qualquer informação, em seu
teor, somente poderá estar
disponível a quem é de direito, ou
seja, aos donos desses dados:
indivíduo ou grupo funcional.
Autenticidade
Um dado sistema deve poder ser
capaz de garantir que suas
informações e seus usuários são o
que são, sem margem de dúvida.
Legalidade
A informação contida e vinculada
dentro de um dado processo
hipotético de comunicação, deve
possuir seu “valor legal”.
 Con�dencialidade, Integridade e Disponibilidade
 Clique no botão acima.
Vejamos um pouco mais sobre as três principais características do CIA, as quais embasam a política e que devem ser
consideradas.
Con�dencialidade
A con�dencialidade é uma das propriedades da informação que determinará se a mesma estará ou não disponível, divulgada
a indivíduos, entidades ou processosdependendo no nível de autorização. A con�abilidade, de um outro jeito, trata-se de uma
garantia dada e aplicada ao contexto da informação, seja ela qual for, dotada de con�ança, robustez e proteção contra uma
dada revelação não autorizada.
A con�dencialidade foi de�nida pela Organização Internacional de Normalização (ISO) na norma ISO/IEC 17799 como "garantir
que a informação seja acessível apenas àqueles autorizados a ter acesso": isto é uma questão fechada. A con�dencialidade é
ponto de meta em todo e qualquer tipo de projeto de sistema que envolve criptogra�a, a qual passa a ser uma realidade se há
a aplicabilidade de boas práticas e processos relacionados à segurança moderna.
O sigilo das informações é imperativo do ponto de vista da Segurança da Informação nos níveis atuais. O termo "bolha da
privacidade", utilizado como jargão prático em muitas discussões, pretende dar uma noção de restrição ao domínio do �uxo
de informações.
A con�dencialidade está relacionada no domínio da segurança de informática com a proteção de dados e informações que
são trocadas e mantidas entre um emissor e um ou mais destinatários, de modo a proteger a mesma contra possíveis
sinistros provocados por terceiros.
Esta ação, prática da con�dencialidade, tem independência daquilo que é feito a nível de segurança do sistema de
comunicação empregado: um ponto de alta relevância e importância refere-se à questão da garantia que se deve dar à
questão do sigilo quando utilizamos sistemas em um ambiente declaradamente inseguro e propenso a sinistros digitais como
é o caso da Internet.
Um sistema que se propõe a fornecer con�dencialidade, no caso da possibilidade de haver um sinistro digital de interceptação
da informação quando a mesma se desloca da sua fonte para o seu destino, não permitirá que o interceptador seja capaz de
extrair qualquer conteúdo inteligível: aqui vale-se de sistemas próprios de blindagem da informação, como, por exemplo, uso
de criptogra�a com chaves simétricas, assimétricas, cofres de senha etc.
Integridade (de dados)
Integridade de dados trata de um processo de manutenção e garantia da precisão e consistência dos dados. Quando
analisamos todo o período de existência de um determinado conteúdo, o seu ciclo de vida, veri�ca-se a importância da
integridade como aspecto fundamental dada à informação pelos vários critérios de tratamento, a saber: a sua implementação,
o seu armazenamento, o seu processamento, o seu uso e possível recuperação de dados. Esses aspectos dotam o dado de
valor e qualidade.
Dependendo do contexto, pode haver várias de�nições e signi�câncias, mas vejamos, com um olhar mais geral algumas
preocupações decorrentes da necessidade de termos o dado íntegro.
O processo de integridade, o qual se busca alcançar, é, por consequência, o lado oposto da chamada decomposição dos
dados, que é uma espécie de perda de dados. Em sua forma ou intenção geral, a técnica de integridade de dados tem a
mesma base comum, ou seja:
A integridade dos dados visa, de maneira geral, propiciar e garantir que os mesmos sejam salvos ou gravados, cem por
cento em conformidade com a intenção e, sendo logo a seguir, ao processo de recuperação, conseguir que, se
assegurados, esses mesmos dados estejam íntegros sendo os mesmos que foram originalmente gravados. Em suma, a
integridade dos dados visa evitar as mudanças de caráter involuntário no nível da informação e, sendo assim, é claro que
não é ou não signi�ca a mesma coisa do que segurança de dados, a qual discursa sobre os aspectos da proteção de dados
contra acessos não autorizados. 
Toda e qualquer ação de interação com o dado e sua alteração não intencional, obtida como resultado do processo de
armazenamento, recuperação ou de processamento, podendo aqui, incluir uma dada ação de intenção maliciosa, uma reação
inesperada de falha de hardware e até mesmo um erro humano, é vista e entendida como sendo falha na integridade destes
dados.
Caso as alterações tenham sido resultantes de um processo de uma ação não autorizada, elas poderão ser classi�cadas
como uma espécie de falha de segurança de dados. Essas alterações, na prática, podem gerar inúmeras intensidades de
prejuízo e incômodos.
Disponibilidade
Disponibilidade estrutura uma garantia de que a informação poderá estar disponível para acesso a toda e qualquer hora que
seja necessário por parte de seu usuário, ou seja, tenha a capacidade da disponibilidade intrinsecamente inserida em seu
aspecto prático. Esta característica é muito importante e vital e está diretamente ligada às questões operacionais de uma
empresa ou da infraestrutura.
No nosso momento atual, cerca de cem por cento de toda dinâmica de trabalho na maioria das empresas tem em si, alto grau
de dependência do trato e do contato com a informação para que possa conduzir a “vida diária” nos seus ambientes,
prosseguindo com suas atividades.
Quando o conteúdo da informação não está à disposição, ao alcance de um acesso, os chamados processos operacionais
que dela são dependentes simplesmente �cam suspensos: nossos processos diários são e dependem de níveis de
informação o que funciona como uma espécie de gatilho. Havendo falta de disponibilidade de um dado conjunto de
informações, uma empresa, hipotética, pode ter seus processos congelados, entrando numa espécie de colapso, sendo este
status traduzido na prática como “estado de lucro cessante”, pois começa a dar prejuízo.
Nossa sociedade está extremamente dependente das informações e dos conhecimentos contidos nas bases digitais. As
informações são conhecidas hoje em dia como um ativo valioso e que faz a diferença em todo e qualquer negócio: o mundo
digital de todos nós.
Por consequência, chega-se à conclusão de que com a ausência da chamada con�dencialidade será perdida toda a vantagem
competitiva. Sem a capacidade de garantir que o dado está íntegro, inicia-se a perda da lucratividade. Sem que o dado esteja
disponível para garantir a dinâmica dos processos, a empresa perde capacidade líquida de operar. Logo, entende-se que sem
os níveis adequados de Segurança da Informação, uma dada empresa �ca estagnada, sem poder crescer, lucrar e sobreviver;
portanto Segurança da Informação é Segurança do Negócio.
 Atividade
1. Quais são os pontos que geram falhas nos critérios de Segurança da Informação?
2. Quais são os fatores ocasionadores da perda de dados?
3. Entre os atributos ou propriedades importantes que embasam o planejamento e a implementação da segurança e criam o
que conhecemos como CIA, o que representa o critério da disponibilidade?
Notas
Título modal 1
Lorem Ipsum é simplesmente uma simulação de texto da indústria tipográ�ca e de impressos. Lorem Ipsum é simplesmente
uma simulação de texto da indústria tipográ�ca e de impressos. Lorem Ipsum é simplesmente uma simulação de texto da
indústria tipográ�ca e de impressos.
Título modal 1
Lorem Ipsum é simplesmente uma simulação de texto da indústria tipográ�ca e de impressos. Lorem Ipsum é simplesmente
uma simulação de texto da indústria tipográ�ca e de impressos. Lorem Ipsum é simplesmente uma simulação de texto da
indústria tipográ�ca e de impressos.
Referências
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC 27002:2013. Tecnologia da informação — Técnicas de
segurança — Código de prática para controles de segurança da informação. Disponível em:
https://www.abntcatalogo.com.br/norma.aspx?ID=306582 <> . Acesso em: 26 nov. 2019. 
BERTOL, Viviane. Certi�cação digital. De onde surgiu e por que ela me interessaria?. Disponível em:
https://cryptoid.com.br/banco-de-noticias/26558-certi�cacao-digital/ <> . Acesso em: 03 dez. 2019.
STALLINGS, William.- Criptogra�a e Segurança de Redes: Princípios e Práticas. 6 ed. PEARSON, 2014
 
KUROSE, Jim; ROSS, Keith. Redes de Computadores e a Internet: Uma Abordagem Top-Down. 6 ed. PEARSON, 2013
Próxima aula
Protocolos usados para garantir CIA;
Https;
SFTP;
SSH;
IPSec.
http://estacio.webaula.com.br/cursos/go0345/aula9.html
http://estacio.webaula.com.br/cursos/go0345/aula9.htmlExplore mais
Pesquise na Internet sites, vídeos e artigos relacionados ao conteúdo visto. Em caso de dúvidas, converse com seu
professor on-line por meio dos recursos disponíveis no ambiente de aprendizagem.