Princípios Fundamentais da SI (CID - Confidencialidade, Integridade e Disponibilidade)

Prévia do material em texto

Os Princípios 
Fundamentais da 
Segurança da 
Informação
SEGURANÇA DA INFORMAÇÃO
Introdução
 Quase todo mundo concorda que as informações privadas 
devem ser seguras. Mas o que são informações seguras? 
Elas devem satisfazer três princípios fundamentais ou 
propriedades de informação
 Os três princípios são conhecidos como CID, acrônimo de:
 Confidencialidade;
 Integridade;
 Disponibilidade;
Disponibilidade
 No contexto de segurança de informação, a disponibilidade 
geralmente é expressa como a quantidade de tempo que 
um usuário pode usar um sistema, aplicativo e dados.
 É a garantia que o usuário terá acesso à informação sempre 
que necessitar.
 Se o serviço é essencial, ele deverá estar disponível durante 
todo o tempo.
Disponibilidade
 Medidas comuns de tempo de disponibilidade incluem as 
seguintes:
 Tempo de Utilização (uptime);
 Tempo de Paralisação (downtime);
 Cálculo de disponibilidade;
 Tempo médio para falha (Mean Time to Failure - MTTF);
 Tempo médio para reparo (Mean time to repair – MTTR);
 Objetivo de tempo de recuperação (Recovery Time Objective – RTO).
Disponibilidade
Tempo de utilização (uptime):
 É a quantidade de tempo total em que um sistema, 
aplicativo e/ou dados ficam acessíveis.
 Geralmente esse tempo é medido em segundos, minutos e 
horas dentro de um mês.
Disponibilidade
Tempo de paralisação (downtime):
 É a quantidade de tempo em que um sistema, aplicativo 
e/ou dados.
 Esse tempo também é medido em segundos, minutos e horas 
dentro de um mês.
 Quanto maior o tempo de paralisação menor é a qualidade 
do serviço.
Disponibilidade
Cálculo de disponibilidade:
 É obtido através de um cálculo matemático em que:
 D = (tempo de utilização total) / (tempo de utilização total + 
tempo de paralização)
Disponibilidade
Tempo médio para falha (Mean Time do Failure - MTTF):
 É o tempo médio entre a ocorrência de falhas de um sistema 
ou de componentes.
 Quanto for menor esse tempo, pior será o serviço e a sua 
qualidade.
 Aqui é considerado o tempo de vida útil de um componente 
ou de um sistema como um todo.
Disponibilidade
Tempo médio de reparo (Mean Time do Repair- MTTR):
 É a quantidade média de tempo necerrária para reparar um 
sistema, aplicativo ou componente.
 O objetivo é colocar o sistema ou o aplicativo em atividade 
novamente o mais rápido possível.
 Dependendo do tipo de serviço o reparo deve ser imediato.
Disponibilidade
Objetivo de tempo de recuperação (Recovery Time Objective -
RTO):
 É a quantidade de tempo necessária para recuperar e 
tornar um sistema, aplicativo e dados disponíveis para uso 
após uma parada.
Integridade
 Manter os dados íntegros significa que a informação deverá 
permanecer intacta sobre qualquer circunstância de erro.
 Esse princípio lida com a qualidade dos dados, sendo que 
estes são um dos bens mais preciosos de uma organização 
(exp: direitos autorais, ações, cálculos de projetos, patentes, 
banco de dados de clientes, etc.).
 Dados que não possuem integridade, ou seja, que não 
sejam precisos ou não válidos, não tem uilidade.
Integridade
 Sabotagem e corrupção de integridade de dados são sérias 
ameaças para uma organização, principalmente se os 
dados forem críticos para a operações de negócios.
Integridade
Fonte: KIM, D.; SOLOMON, M. G. 
Fundamentos de Segurança de 
Sistemas de Informação. São
Paulo: LTC, 2014.
Confidencialidade
 Significa proteger informações de todos, exceto daqueles 
que tenham direito a elas.
 Somente pessoas com autorização terão acesso à 
informação.
 Esse princípio protege o acesso das informações pessoais de 
outras pessoas sem autorização para acessá-las.
Confidencialidade
 Com o crescimento do comércio eletrônico, mais pessoas 
estão fazendo compras on-line com cartões de crédito, o 
que exige que elas insiram dados pessoais na Internet. Os 
consumidores devem ter o cuidado de proteger sua 
identidade pessoal e dados particulares.
Confidencialidade
Algumas medidas de controle de segurança que ajudam a reduzir 
riscos:
 Realizar treinamentos de conscientização de segurança para 
funcionários;
 Definir controles de segurança para TI;
 Adiocionar proteção nas diferentes camadas de uma infraestrutura 
de TI. Quanto mais camadas ou compartimentos bloquearem ou 
protegerem dados privados e propriedade intelectual, mais difícil 
será encontrá-los e roubá-los;
Confidencialidade
Algumas medidas de controle de segurança que ajudam a reduzir 
riscos:
 Realizar periódicas avaliações de segurança e testes de penetração 
em Web sites e na infraestrutura de TI. É assim que profissionais de 
segurança verificam se instalaram os controles adequadamente;
 Ativar o monitoramento de segurança nos pontos de entrada e 
saída para a Internet;
 Usar estação de trabalho automatizada, antivírus de servidor e 
proteção contra software malicioso. Esse é o modo de manter os 
vírus e software malicioso fora do seu computador;
Confidencialidade
Algumas medidas de controle de segurança que ajudam a reduzir 
riscos:
 Introduzir novas formas de autenticação, não só por senhas. Mesmo 
que seja por senha é preciso aumentar o número de digitos, 
envolvendo letras maiúsculas e minúsculas, números, caracteres 
especiais, etc;
 Atentar-se com os erros nos softwares, protegendo suas 
entradas (campos) e acessos como SQL injection e negação 
de serviço.
Confidencialidade
Proteger dados privados é o processo de garantir sua confidencia-
lidade, na qual as organizações precisam usar controles de segurança 
apropriados, específicos como:
 Criar políticas, padrões, procedimentos e diretrizes de acordo com os 
objetivos da organização para proteção e manipulação dos dados 
confidenciais;
 Classificar os dados e garantir que eles recebam tratamento por 
toda sua infraestrutura de TI;
 Adicionar criptografia no dados, permitindo que mesmo que 
haja acesso a tal informação, o conteúdo não será compreendido;
Confidencialidade
Proteger dados privados é o processo de garantir sua confidencia-
lidade, na qual as organizações precisam usar controles de segurança 
apropriados, específicos como:
 Criptografar dados que cruzem a Internet pública, bem como dados 
armazenados em bancos e dispositivos de armazenamento;
 Limitar o número de acesso a sistemas críticos.
Confidencialidade
 Enviar dados para outros computadores usando uma rede significa 
que você precisa tomar medidas especiais para impedir que 
usuários não autorizados tenham acesso a dados confidenciais.
 Criptografia é a prática de ocultar dados e mantê-los longe de 
usuários não autorizados. Encriptação é o processo de transformar 
dados de texto claro para texto cifrado.
 Dados em texto claro são aqueles que qualquer um pode ler. Texto 
cifrado são os dados misturados que resultam da encriptação de 
texto claro.
Confidencialidade
 Nunca inclua dados particulares em uma mensagem de e-mail em 
texto claro. Lembre-se de que o tráfego de e-mail é transmitido pela 
Internet em texto claro. Além disso, nunca informe dados particulares 
em um Web site, se não for um sistema confiável que possa ser 
verificado por telefone ou outros meios. Nunca informe dados 
particulares em um site ou aplicativo Web que não use criptografia.
Fonte: KIM, D.; SOLOMON, M. G. Fundamentos de Segurança de Sistemas de 
Informação. São Paulo: LTC, 2014.
Referências
 KIM, D.; SOLOMON, M. G. Fundamentos de Segurança de Sistemas 
de Informação. São Paulo: LTC, 2014.