Os pilares da Segurança da Informação - Confidencialidade, Integridade e Disponibilidade

Olá pessoal, espero que estejam safe!

Vou falar hoje sobre os pilares de segurança. Os pilares de segurança basicamente são três: confidencialidade, integridade e disponibilidade, sendo que essa é a convenção mais uniformizada e conhecida mundialmente. Muito por conta da série ISO 27000 que aglutinou e criou o que chamamos de série de padronização internacional ISO/IEC 27000 para segurança da informação.

Temos também por convenção, um outro conjunto de palavras que se somam às três mencionadas anteriormente.

São elas: autenticidade ou autenticação, legalidade, controle de acesso e irretratabilidade (que também vou abordar mais adiante).

O serviço de segurança da autenticação serve para tratar basicamente dois aspectos. Primeiro, dentro do pilar de autenticidade, autenticação, busca identificar uma entidade de tal modo que se possa ter um certo grau de confiança sobre a sua identidade. O segundo aspecto da autenticidade trata da origem dos dados e existem mecanismos específicos de criptografia que são utilizados para garantir a autenticidade da origem dos dados.  

Neste aspecto, estamos tratando e estamos preocupados que somente entidades previamente autenticadas/autorizadas possam ter acesso a determinados tipos de informações, que lhe competem. Assim, somente as entidades que deveriam ter acesso àquela informação realmente terão. Podemos citar por exemplo a confidencialidade no canal de comunicação, pois somente as entidades envolvidas, deveriam ter acesso às informações trafegantes. Podemos ter também confidencialidade de todos os blocos de dados ou somente parcial, como por exemplo: você vai até uma loja, seus dados são solicitados. Você topa dizer o seu nome mas não quer dizer seu telefone. Isso seria um exemplo de dados parciais.

As cifras simétricas de criptografia, por exemplo, são os mecanismos que adotamos para garantir confidencialidade dos dados, seja na conexão, transporte ou repouso dos mesmos.

Quanto ao termo entidade, podemos citar os seguintes exemplos: pessoas, equipamentos, sistemas, mecanismos, enfim, qualquer coisa que manipule uma informação.

Sobre controle de acesso, podemos adotar a definição de que o mesmo é um mecanismo responsável por garantir as condições de acesso a determinadas informações e sistemas. Garante que somente as entidades autorizadas e autenticadas da forma prevista, terão acesso às informações sobre as condições pré-determinadas pelo controle de acesso, ou seja, o controle de acesso define o que, o como, e quando as entidades terão acesso a determinada informação.

Por exemplo, se um determinado colaborador trabalha de segunda a sexta-feira, das 9 horas às 18 horas, por que deixar o diretório dele montado fora desse horário? Existe um padrão conhecido como 802.1X que trata tudo que o é necessário para autenticação de entidades no meio computacional.

O pilar da integridade, tem por objetivo, garantir que caso uma informação seja alterada, tal alteração possa ser detectada. Perceba que a integridade não endereça confidencialidade e autenticidade dos dados, preocupa-se apenas em garantir que a informação se encontra no seu estado original, tal qual ela foi gerada. O principal exemplo de mecanismo de segurança que se preocupa com a integridade são os algoritmos hash ou misturadores. Os algoritmos hash serão mais bem explicados em oportunidade vindoura.

O pilar da disponibilidade tem por objetivo garantir que as informações estejam disponíveis e acessíveis para todas as entidades que precisam ter esse acesso enquanto a necessidade de acesso perdurar, ou seja, toda vez que a entidade legítima precisa acessar determinada informação, deverá ser possível. Essa é uma tarefa muito difícil para todas as empresas pois, manter níveis altos de disponibilidade faz necessário investimento altíssimo. Manter a disponibilidade dos dados é uma tarefa que é feita em conjunto, por toda a empresa.

Tanto a RFC 2828 quanto o padrão x-800 (ITU-T) determinam, com propriedade, que faz parte da disponibilidade a entrega de desempenho esperado para o sistema, de acordo com sua especificação de performance.

O pilar irretratabilidade, que também era chamado de não repúdio e agora ganha força com o termo responsabilização, é tratado como parte do pilar da integridade, com o auxílio da autenticidade. Ou seja, determinada informação gerada por determinada entidade não pode ser contestada ou negada no futuro. Vejamos um exemplo prático: se você assinar um documento na presença de autoridade cartorária, passando seu veículo para outra pessoa, e as assinaturas das entidades forem coletadas mediante verificação de documento de identificação nacional, as entidades envolvidas não poderão de forma legal dizer que não foram elas mesmas que assinaram tal documento, já que a autoridade cartorária goza do que chamamos, fé pública. 

Ok, entendi. Mas como que uso isso na computação? Com algoritmos de assinatura digital. A assinatura digital é composta por processos que registram a integridade de uma informação mediante o uso de algoritmos de hashs e depois aplicam processo criptográfico com chaves  assimétricas, mais especificamente a chave privada da entidade, para garantir a autenticidade e autenticação dessa entidade. 

O pilar da legalidade não é menos importante, mas eu o deixei para o final de propósito, pois, ele abarca todos os demais pilares e serviços de segurança que citei anteriormente. Não podemos adotar nenhum tipo de medida que vá contra a legislação a qual a entidade envolvida está submetida. Todos os demais itens devem obrigatoriamente observar todos os dispostos na legislação a qual estão submetidos.

Espero que você tenha gostado deste pequeno artigo. Grande abraço para vocês @ArleiOliveira