Confiabilidade nos Aspectos da Segurança da Informação
O que é a confiabilidade?
Confiabilidade é a qualidade de ser confiável, ou seja, de poder ser confiado.
Qualidade daquele ou daquilo que é confiável; fiabilidade. (Michaelis — Dicionário Brasileiro da Língua Portuguesa)
Conforme Antonio, a Segurança da Informação é uma disciplina, ou seja, um determinado ramo do conhecimento, que se concentra na qualidade, que entende-se como a confiabilidade, da prestação de informações e no gerenciamento da continuidade das operações.
A confiabilidade que apontamos nesse artigo, refere-se ao CID que é abreviação para confidencialidade, integridade e disponibilidade. Também conhecido como a tríade em Segurança da Informação!
A tríade em Segurança da Informação
Figura 1 — A Tríade em Segurança da Informação
Seguindo esses critérios, é possível garantir a confiabilidade das informações.
Figura 2 — A Tríade em Segurança da Informação — Atributos Importantes
Atualmente é aplicado a Segurança da Informação dois atributos importantes, a Autenticidade e o Não-repúdio/Irretratabilidade. A seguir serão apresentados esses conceitos para melhor entendimento:
Atributos da confiabilidade das informações
• Integridade: Garantir a exatidão da informação;
• Confidencialidade: Garantir somente acesso autorizado às informações;
• Disponibilidade: Garantir que a informação esteja sempre disponível;
• Autenticidade: Garantir que a informação é autentica;
• Não-repúdio ou Irretratabilidade: Garantir que o usuário não negue autoria ou alterações nas informações.
Assim sendo, todos estes atributos em conjunto e implementados em conformidade podem garantir a confiabilidade das informações.
Para estudar e trabalhar com a tríade, a princípio pode-se responder algumas questões como por exemplo:
• Confidencialidade: Os usuários que não devem ter acesso aos dados/informações acessam de alguma forma esses dados/informações?
A partir do momento que os dados/informações podem ser acessados/alterados por um usuário que não deveria ter permissão, esses dados/informações já não são mais confidenciais;
• Integridade: Os dados/informações podem ser modificados de alguma forma que não foi proposta?
Se os dados/informações em seu ciclo de vida sofrem uma alteração indeterminada por usuário sem permissão, esses dados/informações não são mais íntegros;
• Disponibilidade: Os dados/informações estão acessíveis quando e como se propõem ser?
Quando os dados/informações não podem ser acessados por motivo de falha/interrupção na rede de dados ou nos dispositivos de hardware, esses dados não são mais disponíveis.
• Autenticidade: Os usuários estão devidamente identificados (autenticados) permitindo o controle de acesso (autorização) aos dados/informações?
É possível verificar a autenticidade através de assinaturas e certificações digitais, que garante a originalidade dos dados/informações;
• Não-Repúdio (Irretratabilidade): Os usuários podem negar autoria não autorizada a dados/informações e/ou acesso a sistemas sem permissão?
O não-repúdio é a garantia de que determinado usuário não pode negar ter acessado/alterado um dado/informação sem ter permissão, não tendo essa garantia, não obtemos a confiabilidade.
Figura 3 — Confiabilidade
Ou seja, para obter confiabilidade é necessário ter conformidade com esses cinco atributos. Os dados/informações devem ser íntegros, confidenciais, disponíveis, autênticos e que garantam a não negação de autoria.
Esses conceitos não são incompreensíveis, eles são trabalhados diariamente no nosso cotidiano, mesmo que muitos não os reconheçam. É importante empregar esses conceitos de forma consciente e efetiva no dia-a-dia, para uma melhor visão e identificar onde será aplicado os esforços. Ou seja, de forma que auxilie na detecção de componentes críticos, os esforços e recursos que valem a pena investir para correção dos problemas identificados.
Por que se preocupar?
Uma violação de dados confidenciais pode causar danos financeiros, danos à reputação ou até mesmo a perda de vidas.
Todos nós somos responsáveis pela Segurança dos dados/informações no ambiente de trabalho e devemos nos preocupar com elas respeitando três fatores:
Risco: trata-se do que está sendo impedido de acontecer;
Ameaça: trata-se de como o atacante faria para agir;
Vulnerabilidade: trata-se do que permitirá a ação.
Para obtermos confiança em um ambiente de trabalho, os elementos tecnológicos, processuais e humanos precisam estar seguros.
Elo mais fraco (Fator Humano): Este precisa ser conscientizado e treinado com frequência, pessoas mal-intencionadas por meio de engenharia social aproveitam-se da vulnerabilidade humana, através de uma falsa identidade, persuadindo pessoas para obtenção de informações privilegiadas e confidenciais para fins próprios;
Segurança e a Usabilidade: A segurança não se adéqua a facilidade de uso; porque na maioria dos casos o usuário para facilitar e agilizar as suas atividades, não se preocupa ou evita o uso dos mecanismos e/ou práticas de segurança. Um exemplo simples é a utilização da mesma senha para várias contas e/ou perfis, ou deixando salvas automaticamente que atualmente é uma funcionalidade dos navegadores.
O oponente: Os atacantes (cibercriminosos) são organizados, são especialistas no que fazem e em muitos casos conseguem o que querem;
Os mecanismos de segurança: O ideal é que o ambiente de trabalho possua serviços de resposta à incidentes e abusos, registro de logs. Os mecanismos de autenticação devem ser bem definidos para o efetivo controle de acesso. Recomenda-se o uso de criptografia para dados/informações que sejam transmitidas pela internet e/ou armazenadas localmente. Backup é importante para as organizações. Ferramentas antimalware, filtros antispam e firewalls.
As atualizações são imprescindíveis para que os mecanismos de segurança funcionem corretamente, é importante que o ambiente organizacional esteja em conformidade com as políticas de segurança, normas e padrões em vigor, como por exemplo a norma ISO 27001, além de muitos outros mecanismos disponíveis;
Licenças X Cracks/Ativadores: Sistemas ou softwares desatualizados e piratas, são alvos fáceis para pessoas mal-intencionadas. Quem garante que um Crack/Ativador não tenha uma Backdoor.
As Dez Leis Imutáveis de Segurança
- Se alguém mal-intencionado puder persuadi-lo a rodar o programa dele em seu computador, esse não será mais seu computador;
- Se alguém mal-intencionado puder alterar o sistema operacional de seu computador, esse não será mais seu computador.
- Se alguém mal-intencionado tiver acesso físico irrestrito ao seu computador, esse não será mais seu computador;
- Se você permitir que alguém mal-intencionado transfira programas para seu site, esse não será mais seu site;
- Senhas fracas são mais decisivas do que segurança forte;
- Uma máquina é apenas tão segura quanto o administrador é confiável;
- Dados criptografados são apenas tão seguros quanto a chave de descriptografia;
- Um scanner de vírus desatualizado é apenas um pouco melhor do que nenhum scanner de vírus;
- O anonimato absoluto não é prático, na vida real ou na web;
- A tecnologia não é um remédio para todos os males.
Ataques comuns
Figura 4 — Principais Ataques
As principais ameaças são invisíveis e estão em toda parte.
Exemplos
Sistema para prescrições médicas.
A integridade dos dados será mais crítica. Embora seja importante evitar que outras pessoas leiam quais medicamentos o paciente usa, também é importante que o paciente possa acessar esta lista para realizar a compra dos medicamentos.
Imagine se alguém mal-intencionado pudesse mudar o conteúdo do sistema (alterando a integridade), isso poderia levar a resultados que ameaçam a vida.
Visitar outras partes do mundo.
Ao visitar algumas partes do mundo, o indivíduo pode estar em risco substancial de contrair a malária. Isso ocorre porque a ameaça dos mosquitos é muito alta em algumas áreas, e quase certamente o indivíduo não é imune à malária.
Felizmente, é possível controlar a vulnerabilidade com medicação e tentar controlar a ameaça com o uso de repelente de insetos e mosquiteiros.
Com os mecanismos de controle em funcionamento contra a ameaça e a vulnerabilidade, é possível garantir que o risco não ocorra. Obtendo dessa forma a confiabilidade em Segurança da Informação.
E você, na sua opinião, o que é necessário para obter a confiabilidade em Segurança da Informação?
Referências
ANTONIO, Adriano Martins — Três fundamentos sobre segurança da informação que todo profissional precisa saber. Disponível em: <http://www.pmgacademy.com/pt/blog/artigos/tres-fundamentos-seguranca-da-informação>. Acessado em 19 de agosto de 2017.
Rede Segura — Network. Do original Hack Proofing Your Network — 2nd Edition.Copyright © 2002 da Editora Alta Books Ltda.
CERT.br — Cartilha de Segurança — Mecanismos de Segurança. Disponível em: <https://cartilha.cert.br/mecanismos/>. Acessado em 17 de fevereiro de 2018.