O que é isso?

Talvez você pode ter ouvido especialistas em Segurança da Informação fazer referencias à CIA (Confidentiality, Integrity and Availability) ou CID (português) e geralmente não estão falando sobre a Classificação Internacional de Doenças ou Central Intelligence Agency.

O CID é um benchmark (banco de testes, avaliação de atividades) amplamente utilizado para avaliar a Segurança dos Sistemas de Informação, com foco nos três objetivos principais como a Confidencialidade, Integridade e Disponibilidade das informações.

 

Confidencialidade dos dados

A confidencialidade refere-se a limitar o acesso e a divulgação de informações aos usuários autorizados – “as pessoas certas” – e impedindo o acesso ou a divulgação a pessoas não autorizadas – “as pessoas erradas”.

Subjugar o objetivo da confidencialidade são os métodos de autenticação, como IDs de usuários e senhas, que identificam de maneira exclusiva os usuários de um sistema de dados e que suportam métodos de controle que limitam o acesso de cada usuário identificado aos recursos do sistema de dados.

Também é critico para a confidencialidade – e integridade e disponibilidade de dados – são proteções contra ataques de softwares maliciosos (malwares), spywares, spams e phishing.

Integridade dos dados

A integridade refere-se à confiabilidade dos recursos de informação.  Saiba mais aqui.

Inclui o conceito de “integridade dos dados”, ou seja, que os dados não foram alterados de forma inadequada, seja por acidente ou deliberadamente maligna. Também inclui “origem” ou “integridade da fonte”, ou seja, que os dados realmente vieram da pessoa ou entidade que você acha, e não de um impostor.

A integridade pode até incluir a noção de que a pessoa ou entidade em questão inseriu a informação certa – ou seja, que a informação refletiu as circunstâncias reais (em estatísticas, este é o conceito de “validade”) e que, nas mesmas circunstâncias, geraria Dados idênticos (o que os estatísticos chamam de “confiabilidade”).

Em uma visão mais restritiva, no entanto, a integridade de um sistema de informação inclui apenas preservação sem corrupção de qualquer coisa que seja transmitida ou entrada no sistema, certo ou errado.

Disponibilidade dos dados

A disponibilidade refere-se, sem surpresa, à disponibilidade de recursos de informação. Um sistema de informação que não está disponível quando você precisar é pelo menos tão ruim quanto nenhum. Pode ser muito pior, dependendo de quão confiável a organização se tornou em um computador operacional e infra-estrutura de comunicação.

Quase todas as organizações modernas são altamente dependentes dos sistemas de informação em funcionamento. Muitos literalmente não podiam operar sem eles.

A disponibilidade, como outros aspectos da segurança, pode ser afetada por problemas puramente técnicos (por exemplo, uma parte defeituosa de um computador ou dispositivo de comunicação), fenômenos naturais (por exemplo, vento ou água) ou causas humanas (acidentais ou deliberadas).

Embora os riscos relativos associados a essas categorias dependam do contexto particular, a regra geral é que os seres humanos são o elo mais fraco. (É por isso que a capacidade e a vontade de cada usuário de usar um sistema de dados com segurança são críticas).

Prevenção versus detecção

Os esforços de segurança para garantir a confidencialidade, integridade e disponibilidade podem ser divididos em orientados para prevenção e aqueles focados na detecção. Este último pretende descobrir e corrigir rapidamente os lapsos que não poderiam ser impedidos, ou pelo menos não.

O equilíbrio entre prevenção e detecção depende das circunstâncias e das tecnologias de segurança disponíveis. Por exemplo, muitas casas derrubaram facilmente os bloqueios de portas e janelas, mas contam com um alarme de roubo para detectar (e sinalizar a ajuda depois) intrusões através de uma janela ou porta comprometida.

A maioria dos sistemas de informação emprega uma série de métodos de prevenção de intrusão, dos quais os IDs de usuário e as senhas são apenas uma parte. Eles também empregam métodos de detecção como  trilhas de auditoria para retirar atividade suspeita que pode sinalizar uma intrusão.

Segurança no contexto

É fundamental lembrar que os níveis “adequados” ou “adequados” de confidencialidade, integridade e disponibilidade dependem do contexto, assim como o equilíbrio adequado entre prevenção e detecção.

A natureza dos esforços que os sistemas de informação suportam; Os riscos naturais, técnicos e humanos para esses empreendimentos; Governando os padrões legais, profissionais e costumeiros – tudo isso condicionará o modo como os padrões da CIA são definidos em uma situação particular.

Uma questão de segurança (literalmente) mais próxima da casa pode ser útil a este respeito: a sua residência pessoal é segura? Em algumas situações, fechaduras simples nas portas e janelas fechadas seriam suficientes para uma resposta “sim”. Em outros, seriam necessários bloqueios de travagem suplementares, janelas de alta resistência, alarmes anti-roubo, um cão vicioso e uma arma pessoal para uma resposta afirmativa.

E se a mesma pergunta fosse questionada sobre o banco em que você mantivesse suas economias? Suspeitamos que seu padrão de segurança seja diferente do que para sua casa. Então, é para segurança da informação e CIA: o contexto é (quase) tudo.

Fonte

Deixe um comentário