Entenda os Pilares da Segurança da Informação e algumas aplicações práticas

Todo artigo que se preze sobre Segurança da Informação terá logo no início uma abordagem sobre os Pilares da Segurança da Informação. Tal informação é requisito primordial para aqueles que querem se aventurar nesse extenso e complexo mundo da Segurança da Informação. Uma construção física (casa, apartamentos ou mesmo uma simples maquete) precisa de pilares sólidos para sustentar toda uma estrutura. Quaisquer danificações a esses pilares, às vezes até mesmo simples arranhões, comprometem toda a construção, demonstrando a importância dessas bases. No mundo cibernético não seria diferente, os pilares da Segurança da Informação precisam se manter sólidos, para que não vá ao chão todo o material, ou melhor, para que não se torne público dados que não deveriam.

Essas bases ou pilares garantem que aquilo que está sobre elas não desmorone. Novamente, seguindo uma analogia com um objeto material, se você faz um pilar de plástico não garante a mesma força do que um de metal. A forma com que a base é construída é diretamente proporcional a complexidade do restante da sua estrutura. É diferente o material e a forma de utilizá-lo para construir uma casa popular e uma empresa de grande porte. O mesmo vale para como você construirá esses pilares aplicados à segurança da informação. Considerando o sistema do mercadinho da sua vila e um Banco Nacional, embora o objetivo seja o mesmo – proteção – as formas de garanti-la são diferentes.

Mas, enfim, quais são esses pilares? O que significa cada um deles? Como enxergá-los na prática? É o que responderemos a seguir.

Para garantir a Segurança da Informação você precisará garantir que três princípios (pilares) estejam bem definidos e coerentes com aquilo que você precisa. Confidencialidade, Integridade e Disponibilidade (CID). Guarde essas três palavras. Sempre que for desenvolver alguma medida de segurança para algum sistema, pense em como você garantirá esses três pilares.

Homens sinalizando silêncio
Representação de Confidencialidade

Confidencialidade é a propriedade da informação que não estará disponível ou não será divulgada a indivíduos, entidades ou processos sem autorização. Em outras palavras, confidencialidade é a garantia do resguardo das informações dadas pessoalmente em confiança e proteção contra a sua revelação não autorizada¹. A forma mais fácil de associar confidencialidade a algo prático é em relação a senhas. Você criou a sua senha (vamos supor do Facebook e do Banco), a partir desse momento você acredita que Facebook e o Banco não permitirá que ninguém além de você descubra qual é a sua senha. Nenhum funcionário, diretor, nem sequer o presidente poderá ter acesso a essa informação, mas somente você. O mesmo é válido para informações sensíveis, se você não autorizar, ninguém poderá fazer uso delas.

¹- http://www.dicionarioinformal.com.br/confidencialidade/

Lupa verificando uma digital.
Análise de uma digital por meio de uma lupa, verificando as informações por de trás.

Integridade pode ser resumida com a aplicação de algumas virtudes – aquilo que está inteiro\ileso, que não teve nenhuma modificação/diminuição, que não foi atingido, seja fisicamente ou logicamente. Contrário à ideia de corrupção, um político corrupto não é integro, visto que ele não está mais em estado puro e aceitou perder sua essência, deixou-se afetar por alguma coisa que fez com isso interferisse em sua ação, modificando para o oposto do que deveria ser. Novamente voltamos ao exemplo das senhas, a partir do momento que você a cria, você não quer que haja nenhuma alteração. De modo que sempre que você requisitá-la de alguma forma, ela deve ser apresentada totalmente da forma que foi criada. Obviamente que quando falamos de não haver modificações, estamos falando de mudanças sem permissão, de uma corrupção de dados sem a ciência e aprovação do dono dos dados. Um sistema de armazenagem de dados deve manter esse princípio como requisito crítico. Não seria legal um cliente salvar todos seus dados, fazer uma compra e, de repente, essa fatura vai pra outro cliente, pois houve uma alteração nos dados, afetando diretamente na operação. Eu, com certeza, não gostaria.

Representa tudo o significado de Disponibilidade
Tradução – Disponivel ou Acessível

Você certamente conhece aquela bolinha verde que representa que você está online. Isso significa que seu status está marcado como disponível, ou seja, está pronto para responder qualquer chamado, ao menos em teoria. Basicamente, essa é a ideia do conceito de Disponibilidade: manter os dados sempre ativos, sempre que forem requisitados, ser prontamente entregues. Está ligada diretamente ao tempo e acessibilidade, como o ato de querer algo em tal horário, acessado de tal lugar (sendo esse acesso válido), por tal dispositivo e que a informação seja entregue. Você vai ao banco sacar dinheiro, mas o caixa não consegue reconhecer seus dados, pois o sistema não está disponível. Isso seria uma falha terrível, quebrando totalmente o pilar da Disponibilidade. Certamente, você não gosta de atrasos, né? É horrível ter que esperar o ônibus, não é? O quão isso impacta no seu dia (chegará atrasado ao serviço, terá de sair mais tarde, consequentemente, voltando mais tarde à casa, dormindo menos, etc.) O mesmo se aplica para os dados que trafegam na Internet, você não vai querer que o Facebook demore uma hora para verificar se seus dados estão corretos.

Em suma, esses são os três pilares da Segurança da Informação. Existem outros pilares por menores que podemos ver mais adiante, que também dão aparato para segurar toda uma estrutura. Lembre-se: atenção máxima à construção desses pilares e também para eventuais reparos, quando necessários, pois qualquer rachadura, significa uma grave falha em seu sistema. Cada um dos pilares possui uma peculiaridade distinta dos demais: a Confidencialidade está ligada à privacidade, a manter seus dados longe de quem não deve ter acesso, a Integridade está ligada a consistência dos seus dados, da forma que foram cedidos devem ser mantidos, e a Disponibilidade mantendo seus dados ativos e disponíveis sempre que forem necessários o acesso. As diferenças entre eles, faz com que a base estrutural seja ainda mais forte, já que os três juntam suas características para um denominador comum: a segurança.