Confidencialidade, integridade e disponibilidade: os três pilares da segurança da informação
Autor: Telium Networks
Publicação: 14/09/2018 às 02:15
A segurança da informação é um dos temas mais importantes dentro das organizações em função do grande número de ataques virtuais orquestrados por cibercriminosos no mundo todo. Devido a isso, esse tópico se tornou um objetivo constante não só das equipes de TI, como das próprias organizações. Contudo, para que ele possa ser reforçado nas empresas, é preciso atenção aos três pilares que sustentam a segurança em TI: confidencialidade, integridade e disponibilidade.
Cada um desses itens tem vital importância para os processos de proteção de dados, sendo essenciais em qualquer política interna de Tecnologia da Informação voltada a garantir que os processos internos fluam corretamente.
Se você quer entender por que eles são essenciais para as empresas, continue lendo!
Confidencialidade: o que é?
A confidencialidade tem a ver com a privacidade dos dados da organização. Esse conceito se relaciona às ações tomadas para assegurar que informações confidenciais e críticas não sejam roubadas dos sistemas organizacionais por meio de ciberataques, espionagem, entre outras práticas.
Como reforçar a confidencialidade e qual a infraestrutura necessária para isso?
Para que ela seja reforçada, é importante adotar medidas preventivas, como definir o acesso a essas informações somente para pessoas autorizadas. Isso pode ser feito por meio de níveis, em que funcionários de cargos elevados têm maior acesso aos dados do que os de graus hierárquicos mais baixos. Os conteúdos também precisam ser limitados conforme as áreas a que se relacionam, como marketing, vendas, financeiro etc.
Uma forma de organizar essa hierarquia de acesso é categorizando os dados conforme critérios específicos, como potencial de impacto nas operações caso eles vazem ou caiam em mãos de pessoas mal intencionadas.
Dependendo do grau de confidencialidade, a empresa poderá adotar medidas mais ou menos rigorosas para proteger as informações.
Nesse sentido, é indicado treinar os colaboradores que possuem acesso e são responsáveis pelos conteúdos mais críticos para que eles manipulem esses dados com maior cuidado e tenham maior noção sobre os riscos.
É preciso também conscientizá-los a não violarem regras e seguirem os procedimentos de segurança de modo adequado. Por exemplo, evitando conectar dispositivos externos à rede corporativa e usando senhas maiores e mais seguras. Também não acessando ou compartilhando as informações sigilosas em locais públicos ou de baixa segurança virtual.
Em relação à infraestrutura, é possível implantar sistemas de criptografia de dados, autenticação de dois fatores e verificação biométrica. Vale destacar que o uso de token também é uma medida de segurança que visa garantir que somente o pessoal autorizado tenha acesso aos dados privativos da empresa.
Por que a confidencialidade é importante?
Se a gestão da segurança da informação não levar em consideração a proteção dos dados sigilosos, a empresa poderá ter problemas sérios. E por informações confidenciais não se entendem apenas os da companhia, mas os de clientes, funcionários e fornecedores.
A perda desses dados pode gerar prejuízos financeiros e até gerar processos contra a organização por aqueles que foram afetados. Isso ocorreu com a Sony, que teve conteúdos vazados por cibercriminosos em 2014 e foi processada por funcionários que tiveram informações pessoais divulgadas na web.
Os criminosos virtuais obtiveram expedientes de colaboradores da empresa, 47 mil números de identificação de segurança social, históricos médicos, entre outros dados sigilosos.
Integridade: o que é?
Integridade corresponde à preservação da precisão, consistência e confiabilidade das informações e sistemas pela empresa ao longo dos processos ou de seu ciclo de vida.
É importante que os dados circulem ou sejam armazenados do mesmo modo como foram criados, sem que haja interferência externa para corrompê-los, comprometê-los ou danificá-los.
Como reforçar a integridade e qual a infraestrutura necessária para isso?
Para reforçar a integridade nos processos de TI, é importante tomar medidas e reforçar a infraestrutura de proteção de dados. Isso pode ser feito dos seguintes modos:
-
estipulando controles de acesso para colaboradores;
-
definindo permissões de arquivos;
-
utilizando controles de versões para retornar arquivos a versões anteriores no caso de terem sido alterados de forma inapropriada ou de terem trechos excluídos de modo acidental;
-
implantando sistemas de verificação para detectar alterações nos dados que possam acontecer na rede ou por conta de eventos não ocasionados por interação humana (falhas em equipamentos, pulso eletromagnético etc.);
-
usando somas de verificação (checksum) para checar a integridade de dados enviados por canais com ruídos ou armazenados em diferentes meios por determinado período;
-
contando com backups prontos para recuperar dados alterados, entre outras medidas.
Por que a integridade é importante?
É importante manter a integridade dos dados para que os sistemas operem corretamente graças a sistemas com dados adequados. Além disso, instruções, orientações e mensagens trocadas entre departamentos e profissionais precisam chegar aos destinatários da mesma forma que foram enviados para não comprometer a comunicação interna e externa. Isso pode gerar falhas na execução de atividades, ocasionar desgastes entre equipes e outros problemas graves.
Disponibilidade: o que é?
A disponibilidade está relacionada ao tempo e à acessibilidade que se tem dos dados e sistemas da empresa, ou seja, se eles podem ser consultados a qualquer momento pelos colaboradores.
Como reforçar a disponibilidade e qual a infraestrutura necessária para isso?
A disponibilidade pode ser garantida de forma mais eficiente por meio da implantação de processos de manutenção rápida de hardwares e eliminação de conflitos de software graças à priorização de programas compatíveis. É essencial utilizar uma infraestrutura tecnológica voltada à manutenção e preservação do acesso aos dados.
Também é importante focar na realização de todas as atualizações necessárias aos sistemas de modo periódico, bem como utilizar largura de banda de comunicação compatível com as necessidades da empresa. Já um link temporário ajuda a manter a internet da empresa ativa, possibilitando que os colaboradores naveguem pela web sem transtornos, enquanto um link redundante evita quedas constantes na conexão.
É essencial montar um plano de Recuperação de Desastres (RD) que contenha procedimentos e diretrizes para se administrar crises, manter a continuidade dos negócios e recuperar dados perdidos.
Isso é importante não só para remediar ataques virtuais, como para se proteger de catástrofes naturais (enchentes, desmoronamentos de terra etc.) e eventos que podem prejudicar os equipamentos da empresa (incêndios, blecautes, entre outros.).
Lembre-se de ter um eficiente sistema de backup para recuperar dados caso não seja possível manter os hardwares ou softwares íntegros por algum motivo. Uma dica é optar por backup remoto ou na nuvem.
Por que a disponibilidade é importante?
Quando os dados da empresa se tornam indisponíveis, ela pode ter vários prejuízos graves, como interrupção de atividades que dependem deles e perda de vendas por não se ter acesso a informações comerciais. Também pode ocorrer pausa na produção por falta de sistemas operantes e nas comunicações internas e externas.
Quais as principais diferenças entre os três termos?
Os três termos, também conhecidos como CIA (confidencialidade, integridade e disponibilidade) estão interligados, porém possuem diferenças. O primeiro deles tem a ver com o sigilo dos dados da empresa, enquanto o segundo se refere à consistência deles. Por fim, o terceiro tem a ver com manter o acesso a eles de modo constante, evitando interrupções.
Como visto acima, garantir confidencialidade, integridade e disponibilidade é fundamental para garantir a segurança e a consistência dos dados corporativos. Sem o devido cuidado com esses três pontos, a empresa pode ser vítima de ataques virtuais que podem ocasionar um grande prejuízo, além de ficar à mercê de falhas que geram retrabalhos e perdas de dados estratégicos.
Quer receber mais conteúdo de TI como esse? Então siga a Telium nas redes sociais (Facebook, LinkedIn) e fique por dentro de nossos próximos posts!