2 Segurança da Informação - Princípios

Prévia do material em texto

Segurança da Informação: 
Princípios
 
SST
Schirigatti, Jackson Luis
Segurança da Informação: Princípios / Jackson Luis 
Schirigatti 
Ano: 2020
nº de p. : 12
Copyright © 2020. Delinea Tecnologia Educacional. Todos os direitos reservados.
Segurança da Informação: 
Princípios
3
Apresentação
Neste momento, compreenderemos os princípios fundamentais de segurança da 
informação e, na sequência, estudaremos em detalhes esses princípios, como a 
integridade, disponibilidade, confidencialidade e autenticidade. 
Princípios fundamentais de segurança 
da informação
A segurança da informação é um mecanismo que assegura a proteção das 
informações, visando garantir a integridade, a disponibilidade e a confidencialidade 
delas. 
Segundo Beal (2008, p. 17), os princípios fundamentais de segurança da 
informação são:
Integridade
Garante que a informação não será alterada após o seu armazenamento, 
ou seja, é a garantia da criação legítima e da consistência da informação ao 
longo do seu ciclo de vida
Disponibilidade
Garante que as informações estarão sempre disponíveis para as pessoas que 
apresentem autorização de acesso a elas; é a garantia de que a informação e 
os ativos associados estejam disponíveis para os usuários legítimos de forma 
oportuna.
4
Confidencialidade
Garante que somente as pessoas autorizadas possam acessar as 
informações, ou seja, que o acesso à informação seja restrito aos seus 
usuários legítimos.
Autenticidade
Refere-se à veracidade da alegação de origem ou autoria das informações. Por 
exemplo, uma assinatura digital pode ser usada para verificar a autoria de um 
documento digital usando a criptografia de chave pública.
A seguir, vamos aprofundar um pouco mais esses princípios.
• Integridade
É a salvaguarda da exatidão dos dados ou informações e métodos de 
processamento cujo conjunto de mecanismos, como o hardware, software e 
comunicações, deve trabalhar no processamento e na manutenção exata dessas 
informações. 
Segundo Machado (2014, p. 12), “[…] a integridade é a garantia de rigor e 
confidencialidade das informações e sistemas e de que não ocorrerão modificações 
não autorizadas de dados”. Ela está relacionada ao estado original da informação, 
ou seja, a segurança da informação deve proteger as informações contra o seu 
rompimento, falsificações, alterações indevidas ou a exclusão total ou parte dela. 
Machado (2014, p. 46) apresenta um exemplo de falta de integridade: 
[...] o valor do seu salário bruto no sistema de folha de pagamento com 
valor diferente e menor que o do mês passado. Nesse caso, ele pode ter 
sido alterado por erro de operação (manutenção indevida de dados) [...].
O princípio da integridade é quando a informação permanece no 
seu estado de armazenamento inicial, sem modificações indevidas. 
Então, podemos afirmar que toda informação incorreta sofreu 
violação de integridade?
Reflita
5
Quando são envolvidas transações financeiras nos sistemas de informações, 
inclusive quando se utiliza a conectividade pela internet, a garantia da integridade é 
de extrema relevância.
O aumento da confiança dos usuários (a credibilidade com que utilizam os 
aplicativos de compra e venda on-line) é gerada a partir desse processo de 
integridade dos dados. Isso é feito por meio de informações corretas, de um 
ambiente que ofereça suporte em caso de algum incidente não previsto e da 
disponibilidade de informação correta em tempo real.
Lembrando que os ativos de informação compreendem qualquer parte que componha 
a estrutura da organização ou que possua valor para ela. Como vimos, a informação 
é um dos ativos de maior importância e carece de uma classificação quanto aos 
requisitos de segurança de integridade, confidencialidade e disponibilidade. 
Quanto aos requisitos de integridade, a classificação deve prever o impacto para 
a organização da perda de integridade e os investimentos necessários para a 
prevenção e correção dos dados e informações, conforme o quadro:
Requisitos de integridade.
Requisitos de Integridade
Alta exigência de 
integridade
A perda integridade pode comprometer as operações ou os 
objetivos organizacionais.
Média exigência de 
integridade
A perda integridade não compromete as operações ou 
os objetivos organizacionais mas pode causar eventuais 
prejuízos.
Baixa exigência de 
integridade
A perda integridade pode ser facilmente detectada e/ou 
oferecer riscos desprezáveis para a organização.
Fonte: Beal (2008, p. 63). 
Confidencialidade e disponibilidade
• Confidencialidade
A confidencialidade está relacionada à garantia de acesso aos usuários autorizados. 
Para Machado (2014, p. 12), “[...] os ataques podem burlar os mecanismos de 
confidencialidade por meio de monitoramento de rede (chamado surf de ombro), 
engenharia social e roubar arquivos de senhas”. 
6
O “surfe de ombro” (shoulder surfing) significa é espionar a tela do 
outro. Essa técnica de espionagem é a obtenção de informações, 
como senhas de acesso, nomes de usuários ou outros dados 
confidenciais do que está exposto ou sendo digitado, por meio de 
câmeras para capturar (fotografar/filmar) a informação.
Curiosidade
A proteção de segredos do negócio e informações confidenciais deve ser tratada 
com extrema relevância. Devemos deixar claro a todos da organização quais 
dados, informações ou assuntos são sigilosos e quais procedimentos devem ser 
executados para o seu tratamento.
A autorização da transmissão de informação confidencial por meios eletrônicos deve 
ser realizada para destinatários específicos internos à organização e requer aprovação 
da diretoria. Nesse caso, a área de TI e de Segurança da Informação deve providenciar 
meio eletronicamente seguro, como senhas, criptografia e redes privadas.
Quanto aos requisitos de confidencialidade, eles são classificados em ultrassecretos, 
secretos, confidenciais e reservados, conforme o quadro:
Requisitos de Confidencialidade.
Requisitos de Confidecialidade
Ultrassecretos Aqueles cujo acesso não-autorizado possa acarretar dano excepcionalmente grave
Secretos Aqueles cujo acesso autorizado possa causar dano grave
Confidenciais Aqueles que devem ser de conhecimento restrito e cuja revelação não auorizada possa frustrar seus obejtivos ou acarretar dano à sgurança.
Reservados Aqueles cujo acesso não-autorizado possa comprometer planos, operações ou objetivos neles previstos ou referidos.
Fonte: Beal (2008, p. 63).
Como apresentado, os requisitos de confidencialidade podem ter impactos 
graves, moderados e de comprometimento nas operações de uma organização. 
Contudo, informações não sigilosas, mas importantes, merecem também certa 
confidencialidade. 
7
Machado (2014, p. 48) comenta que 
[…] nem todas as informações são sigilosas, ainda que sejam informações 
importantes, consideradas críticas. Algumas informações ou dados 
necessitam de confidencialidade ou sigilo, entre elas:
1. Dados pessoais (por exemplo, número de telefone, endereço, 
CPF e RG, senha de acesso a bancos ou outros sites comer-
ciais);
2. Dados de cartões de crédito (por exemplo, número do cartão, 
código de segurança, senha);
3. Dados de fornecedores ou de clientes de uma empresa;
4. Dados de políticas financeiras de uma organização, ou de uma 
pessoa como seu saldo bancário; e
5. Dados de marketing, ou políticas de preço de uma empresa, 
ou seus dados de rendimentos pessoais mensais, anuais etc.
• Disponibilidade
A disponibilidade está relacionada à garantia de acesso das informações 
às pessoas autorizadas nos sistemas de informação, de forma previsível 
e adequada às necessidades da empresa. Ela pode ser afetada por falhas 
de equipamentos ou de software. Por isso, toda empresa deve estar apta a 
recuperar quedas de disponibilidade de modo rápido e seguro, visando garantir a 
produtividade de suas operações.
A violação da disponibilidade da informação e dos serviços do 
negócio da organização pode ser causada por desastres naturais, 
como tempestades, inundações, incêndio, tornados, ou suas 
consequênciasindiretas, como falta de energia, comunicação 
(internet e telefônica). Deve existir um plano de contingência para 
que a disponibilidade dos serviços e das informações se recuperem 
o mais rápido possível. Esse plano está contido nas políticas de 
segurança da informação.
Atenção
8
Os requisitos de disponibilidade podem ser classificados em seis categorias de 
tempo necessárias para sua recuperação: minutos, horas, dias, semanas, meses ou 
bimestres, e sem tempo definido de recuperação para aplicações não críticas. 
O quadro a seguir apresenta as categorias de tempo necessário para a recuperação 
da disponibilidade da informação.
Requisitos de disponibilidade.
Requisitos de Disponibilidade
Categoria 1 Devem ser recuperados dentro de 'X' minutos.
Categoria 2 Devem ser recuperados dentro de 'X' horas.
Categoria 3 Devem ser recuperados dentro de 'X dias.
Categoria 4 Devem ser recuperados dentro de 'X semanas.
Categoria 5 Devem ser recuperados dentro de um prazo específico (mensal, bimestral, etc.).
Categoria 6 Aplicações não-críticas
Fonte: Beal (2008, p. 63).
Disponibilidade X Integridade X 
Confiabilidade
A disponibilidade da informação está relacionada à segurança e à confiabilidade das 
informações nos bancos de dados, por meio de dispositivos de armazenamento de 
hardware e sistema de banco de dados (software) mais confiáveis. 
Segundo Kolbe Júnior (2017, p. 104), 
[...] atualmente, as organizações podem compartilhar os dados com 
suas filiais e seus parceiros a partir de um único local físico, por meio 
de seus servidores. Logicamente, com a disponibilidade desses dados, 
faz-se necessário que os SGBDs [sistemas gerenciadores de banco de 
dados] sejam cada vez mais seguros e confiáveis, pois as páginas web 
que disponibilizam os dados podem ser acessadas por qualquer pessoa.
9
A disponibilidade da informação deve ser contínua para o usuário corporativo ou 
pessoal. Por exemplo, quando uma transação financeira, por meio de um acesso 
ao banco on-line for perdida, sua sessão deve ser retomada o quanto antes em 
uma categoria de nível 1, ou seja, a retomada da operacionalidade deve ocorrer 
em X minutos. 
A disponibilidade de informações pode ser afetada por falhas de hardware ou 
software, por isso a importância de backups para permitir a recuperação e 
a continuidade da disponibilidade das informações. (MACHADO, 2014, p. 52) 
O retorno da disponibilidade está relacionado também à integridade da informação. 
No caso da perda de uma sessão ou conexão de um banco de dados, a transação 
não pode ser afetada em hipótese alguma. No processo de uma transação em banco 
de dados, a integridade é extremamente relevante, ou seja, a transação deve ser 
desfeita caso uma falha ocorrer. 
A figura a seguir representa uma transação financeira eletrônica utilizando um caixa 
automático. Se, no momento do saque de dinheiro, ocorrer uma falha de hardware, 
software ou energia, a transação deve ser imediatamente desfeita (chamada de undo). 
No momento da falha, o dinheiro não deve ser disponibilizado e nem o débito do 
saque na conta corrente realizado. Um processamento de transação é de extrema 
importância para instituições financeiras, caixas automáticos, companhias aéreas e 
diversos sistemas que envolvem um conjunto de operações. 
Essas operações devem ser processadas como uma unidade transacional composta 
por instruções, cuja falha na transação implica que qualquer outra alteração feita no 
banco de dados será realizada. 
Transações financeiras no caixa automático.
Fonte: Plataforma Deduca (2020).
10
As transações financeiras eletrônicas em caixas automáticos são exemplos de 
sistemas de informação que utilizam o processamento de transações. Assim, ele 
deve disponibilizar informações íntegras e de confiança. 
• Autenticidade e Irrevogabilidade
Além dos princípios fundamentais, como integridade, disponibilidade e 
confiabilidade, a segurança da informação também é caracterizada e assegurada 
pelos princípios de autenticidade e irrevogabilidade. 
Para Galvão (2015), a autenticidade garante a legitimidade da transação, do 
acesso, da comunicação e da própria informação, assegurando a veracidade da 
fonte anunciada, sem qualquer alteração na informação. Verifica se a informação 
é verdadeira e provém de fontes seguras, ou a identidade de quem está enviando a 
informação.
Um dos meios de comprovar a autenticidade é pela biometria, um chip eletrônico 
de um cartão de crédito ou um código de segurança, que reforça a confiabilidade e 
integridade da informação.
Já a irrevogabilidade ou irretratabilidade (não repúdio) garante que alguém, 
realizando uma ação em um computador, não possa, falsamente, negar que ele 
realizou aquela ação.
Para Galvão (2015, p. 17), essa ação “[...] garante que o autor de uma transação feita 
anteriormente não seja capaz de negar tal autoria sobre o ato [ou de anular tal ato]”. 
Por exemplo, uma transação é realizada por um usuário operador. Esse ato ou ação é 
irrevogável, não sendo possível alterar tal autoria.
Os registros de logs de banco de dados, de servidores ou de aplicativos registram 
atos e ações executadas por usuários que informam a autenticidade de tal 
informação. Tal ato é irrevogável até que o registro de log permaneça íntegro, ou 
seja, que não seja alterado.
11
Fechamento
Chegamos ao final do estudo sobre os princípios da segurança da informação. 
Vimos que a integridade garante que a informação não será alterada após o 
seu armazenamento, a disponibilidade garante que a informação e os ativos 
associados estejam disponíveis para os usuários legítimos de forma oportuna, que 
a confidencialidade está relacionada à garantia de acesso aos usuários autorizados 
e que a autenticidade refere-se à veracidade da alegação de origem ou autoria das 
informações.
12
Referências
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS (ABNT). NBR ISO 27002: 
Tecnologia da informação: Técnicas de segurança – Código de prática para 
controles de segurança da informação. Rio de Janeiro: ABNT, 2013. 
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS (ABNT). NBR ISO/IEC 27005: 
Tecnologia da informação: Técnicas de segurança – Gestão de riscos de segurança 
da informação. Rio de Janeiro: ABNT, 2011. 
BEAL, A. Segurança da informação: princípios e melhores práticas para a proteção 
dos ativos de informação nas organizações. São Paulo: Atlas, 2008.
GALVÃO, M. C. Fundamentos em Segurança da informação. São Paulo: Pearson, 
2015.
KOLBE JÚNIOR, A. Sistemas de segurança da informação na era do conhecimento. 
Curitiba: Intersaberes, 2017.
MACHADO, F. N. R. Segurança da Informação: princípios e controles de ameaças. 
São Paulo: Érica, 2014.
THE BRITISH STANDARS INSTITUTION. BS ISO/IEC 27001:2013 Information 
technology Security techniques. Information security systems. Requirements. BSI 
Standards Limited, 2013.