5 pilares da segurança da informação

Conforme os procedimentos em segurança da informação são aperfeiçoados, novos princípios são adicionados ao conceito.

Originalmente, contudo, eram cinco os pilares que regiam as ações de proteção aos dados nas empresas.

São eles:

  • Confidencialidade: o conteúdo protegido deve estar disponível somente a pessoas autorizadas
  • Disponibilidade: é preciso garantir que os dados estejam acessíveis para uso por tais pessoas quando for necessário, ou seja, de modo permanente a elas
  • Integridade: a informação protegida deve ser íntegra, ou seja, sem sofrer qualquer alteração indevida, não importa por quem e nem em qual etapa, se no processamento ou no envio
  • Autenticidade: a ideia aqui é assegurar que a origem e autoria do conteúdo seja mesmo a anunciada
  • Irretratabilidade: também chamada de não repúdio, impõe ao responsável por assinar a transmissão das informações assumir o ato.

Em linhas gerais, portanto, são esses os pilares para a implantação em uma empresa de um sistema de gestão de segurança da informação (SGSI).

Mas há outros termos importantes com os quais um profissional da área trabalha no dia a dia.

Podemos citar a legalidade, que diz respeito à adequação do conteúdo protegido à legislação vigente.

Também a privacidade, que se refere ao controle sobre quem acessa as informações.

E tem ainda a auditoria, que permite examinar o histórico de um evento de segurança da informação, rastreando as suas etapas e os responsáveis por cada uma delas.

Vale citar também conceitos relacionados à aplicação dos pilares, os quais veremos a seguir.

Conceitos relacionados à aplicação dos pilares

  • Vulnerabilidade: pontos fracos existentes no conteúdo protegido, com potencial de prejudicar alguns dos pilares de segurança da informação, ainda que sem intenção
  • Ameaça: elemento externo que pode se aproveitar da vulnerabilidade existente para atacar a informação sensível ao negócio
  • Probabilidade: se refere à chance de uma vulnerabilidade ser explorada por uma ameaça
  • Impacto: diz respeito às consequências esperadas caso o conteúdo protegido seja exposto de forma não autorizada
  • Risco: estabelece a relação entre probabilidade e impacto, ajudando a determinar onde concentrar investimentos em segurança da informação.

    O que é não repúdio em segurança da informação?

    Agora que os principais conceitos e pilares de segurança da informação estão claros, vamos avançar no entendimento sobre cada um deles, a começar pelo não repúdio.

    Afinal, o que isso significa?

    O nome não ajuda muito, assim como o seu sinônimo: irretratabilidade.

    Mas vamos explicar de modo mais prático, trazendo o conceito à realidade atual.

    Hoje, como sabemos, a maioria das informações tem origem e movimentação eletrônica. É no meio digital que elas são criadas e manipuladas, inclusive com grande facilidade.

    É justamente essa característica que impõe um controle mais rígido sobre todo o tipo de movimento realizado sobre o conteúdo protegido.

    Se a informação foi alterada, por exemplo, é preciso garantir que o autor da modificação não negue que o tenha feito.

    Nada mais é, portanto, do que uma ação pensada para garantir a confiança do processo, permitindo provar quem fez o quê, quando e onde.

    É como uma autenticação, em geral utilizando métodos de criptografia.

    Quer um exemplo?

    Uma nota fiscal eletrônica deve ser validada pela autoridade tributária estadual, que então emite uma autorização de uso. Só que o processo depende de uma autenticação que, nesse caso, é garantida por um certificado digital.

    O seu uso, então, funciona como um não repúdio, uma prova, inviabilizando uma possível tentativa de negar a autoria ou mesmo a realização da ação.

    O que é um mecanismo de segurança?

    Um mecanismo de segurança da informação é uma ação, técnica, método ou ferramenta estabelecida com o objetivo de preservar o conteúdo sigiloso e crítico para uma empresa.

    Ele pode ser aplicado de duas formas:

    • Controle físico: é a tradicional fechadura, tranca, porta e qualquer outro meio que impeça o contato ou acesso direto à informação ou infraestrutura que dá suporte a ela
    • Controle lógico: nesse caso, estamos falando de barreiras eletrônicas, nos mais variados formatos existentes.

    Sobre o controle lógico, cabe lembrar que há diferentes maneiras de proteger e preservar uma informação digital.

    Vai desde um antivírus, firewall ou filtro antispam, o que é de grande valia para evitar infecções por e-mail ou ao navegar na internet.

    Passa por métodos de encriptação, que transformam as informações em códigos que terceiros sem autorização não conseguem decifrar.

    Há ainda a certificação e assinatura digital, sobre as quais falamos rapidamente no exemplo antes apresentado da emissão da nota fiscal eletrônica.

    Todos são tipos de mecanismos de segurança, escolhidos por profissional habilitado conforme o plano de segurança da informação da empresa e de acordo com a natureza do conteúdo sigiloso.

Fonte: https://fia.com.br/blog/seguranca-da-informacao/