Ações para obtenção de confiabilidade

O que é confiabilidade?

Qualidade daquele ou daquilo que é confiável; fiabilidade. (Michaelis – Dicionário Brasileiro da Língua Portuguesa)

Segurança da Informação é a disciplina que se concentra na qualidade (confiabilidade) da prestação de informações e no gerenciamento da continuidade das operações.

Qualidade nesse contexto entende-se como a confidencialidade, integridade e disponibilidade das informações.  Saiba mais aqui.

O que precisamos entender é que as ações para obtenção da confiabilidade devem estar alinhadas ao CID que é abreviação para confidencialidade, integridade e disponibilidade. Também conhecido como a tríade em Segurança da Informação!

A tríade em Segurança da Informação

Figura 1 – A Tríade em Segurança da Informação

 

Seguindo esses critérios, é possível garantir a confiabilidade das informações

Figura 2 – A Tríade em Segurança da Informação – Atributos Importantes

 

Atualmente é aplicado a Segurança da Informação dois atributos importantes: Autenticidade e Não Repúdio. Vamos entender melhor esses conceitos:

Confiabilidade

•      Integridade: Garantir a exatidão da informação;

•      Confidencialidade: Garantir somente acesso autorizado às informações;

•      Disponibilidade: Garantir que a informação esteja sempre disponível;

•      Autenticidade: Garantir que a informação é autentica;

•      Não-repúdio: Garantir que o usuário não negue autoria ou alterações nas informações.

Assim sendo, podemos dizer que todos estes atributos reunidos garantem a confiabilidade das informações

Para que possamos estudar e trabalhar com a tríade, a princípio podemos fazer algumas questões como por exemplo:

•      Confidencialidade: Os usuários que não devem ter acesso aos dados/informações acessam de alguma forma esses dados/informações?

A partir do momento que os dados/informações podem ser acessados/alterados por um usuário que não deveria ter permissão, esses dados/informações já não são mais confidenciais;

•      Integridade: Os dados/informações podem ser modificados de alguma forma que não foi proposta?

Se os dados/informações em seu ciclo de vida sofrem uma alteração indeterminada por usuário sem permissão, esses dados/informações não são mais íntegros;

•      Disponibilidade: Os dados/informações estão acessíveis quando e como se propõem ser?

Quando os dados/informações não podem ser acessados por motivo de falha/interrupção na rede de dados ou nos dispositivos de hardware, esses dados não são mais disponíveis.

•      Autenticidade: Os usuários estão devidamente identificados (autenticados) permitindo o controle de acesso (autorização) aos dados/informações?

É possível verificar a autenticidade através de assinaturas e certificações digitais, que garante a originalidade dos dados/informações;

•      Não-Repúdio (Irretratabilidade): Os usuários podem negar autoria não autorizada a dados/informações e/ou acesso a sistemas sem permissão?

O não-repúdio é a garantia de que determinado usuário não pode negar ter acessado/alterado um dado/informação sem ter permissão, não tendo essa garantia, não obtemos a confiabilidade.

Figura 3 – Confiabilidade

 

Ou seja, para obter confiabilidade é necessário ter conformidade com esses cinco atributos. Os dados/informações devem ser íntegros, confidenciais, disponíveis, autênticos e que garantam a não negação de autoria.

Esses conceitos não são complicados, eles são trabalhados diariamente no cotidiano, mesmo que muitos não os reconheçam. É importante interagir com esses conceitos de forma consciente, para uma melhor visão onde será aplicado os esforços. Ou seja, de forma que auxilie na identificação de componentes críticos, esforços e os recursos que valem a pena investir para correção dos problemas identificados.

Por que se preocupar com a confiabilidade?

Todos nós somos responsáveis pela Segurança dos dados/informações que trabalhamos e devemos nos preocupar com elas devido a três fatores:

Risco? É o que estamos tentando impedir que aconteça;

Ameaça? É como quem o faria para atacar;

Vulnerabilidade? É como o que lhes permitem fazer.

Para obtermos confiança em um ambiente, os elementos tecnológicos, processuais e humanos precisam estar seguros.

Elo mais fraco (Fator Humano): Este precisa ser conscientizado com frequência, pessoas mal-intencionadas por meio de engenharia social aproveitam-se da vulnerabilidade humana, através de uma falsa identidade, persuadindo pessoas para obtenção de informações privilegiadas e confidenciais para fins próprios; Saiba mais aqui.

Segurança X Usabilidade: A segurança não se adéqua a facilidade de uso; porque o usuário para facilitar as suas atividades, não se preocupa com segurança, por exemplo utilizando uma mesma senha para várias contas e/ou perfis, ou deixando salvas automaticamente que atualmente é uma funcionalidade dos navegadores.

O oponente: Os atacantes (cibercriminosos) são organizados, são especialistas no que fazem e em muitos casos conseguem o que querem;

Os mecanismos de segurança: As atualizações são imprescindíveis para que os mecanismos de segurança funcionem corretamente, é importante que o ambiente organizacional esteja em conformidade com as políticas de segurança, normas e padrões em vigor, como por exemplo a norma ISO 27001;

Licenças X Cracks/Ativadores: Sistemas ou softwares desatualizados e piratas, são alvos fáceis para pessoas mal-intencionadas. Quem garante que um Crack/Ativador não tenha uma Backdoor.

As Dez Leis Imutáveis de Segurança

N° 1 – Se alguém mal-intencionado puder persuadi-lo a rodar o programa dele em seu computador, esse não será mais seu computador;

N° 2 – Se alguém mal-intencionado puder alterar o sistema operacional de seu computador, esse não será mais seu computador.

N° 3 – Se alguém mal-intencionado tiver acesso físico irrestrito ao seu computador, esse não será mais seu computador;

N° 4 – Se você permitir que alguém mal-intencionado transfira programas para seu site, esse não será mais seu site;

N° 5 – Senhas fracas são mais decisivas do que segurança forte;

N° 6 – Uma máquina é apenas tão segura quanto o administrador é confiável;

N° 7 – Dados criptografados são apenas tão seguros quanto a chave de descriptografia;

N° 8 – Um scanner de vírus desatualizado é apenas um pouco melhor do que nenhum scanner de vírus;

N° 9 – O anonimato absoluto não é prático, na vida real ou na web;

N° 10 – A tecnologia não é um remédio para todos os males.

Ataques comuns

Figura 4 – Principais Ataques

 

As principais ameaças são invisíveis e estão em toda parte.

Estudos de Caso

Sistema para prescrições médicas.

A integridade dos dados será mais crítica. Embora seja importante evitar que outras pessoas leiam quais medicamentos o paciente usa, também é importante que o paciente possa acessar esta lista para realizar a compra dos medicamentos.

Vamos imaginar se alguém mal-intencionado pudesse mudar o conteúdo do sistema (alterando a integridade), isso poderia levar a resultados que ameaçam a vida.

Visitar outras partes do mundo.

Ao visitar algumas partes do mundo, o indivíduo pode estar em risco substancial de contrair a malária. Isso ocorre porque a ameaça dos mosquitos é muito alta em algumas áreas, e quase certamente o indivíduo não é imune à malária.

Felizmente, é possível controlar a vulnerabilidade com medicação e tentar controlar a ameaça com o uso de repelente de insetos e mosquiteiros.

Com os mecanismos de controle em funcionamento contra a ameaça e a vulnerabilidade, é possível garantir que o risco não ocorra. Obtendo dessa forma a confiabilidade.

E você, na sua opinião, o que é necessário para obter a confiabilidade?

Referências

PMG Academy – Três fundamentos sobre segurança da informação que todo profissional precisa saber. Disponível em: <http://www.pmgacademy.com/pt/blog/artigos/tres-fundamentos-seguranca-da-informação>. Acessado em 19 de agosto de 2017.

Rede Segura – Network. Do original Hack Proofing Your Network – 2nd Edition. Copyright © 2002 da Editora Alta Books Ltda.