Home / Blog / Conheça os principais pilares da segurança da informação

Conheça os principais pilares da segurança da informação

151106-conheca-os-principais-pilares-da-seguranca-da-informacao.jpg

O setor público e a iniciativa privada reconhecem que manter os dados seguros é uma tarefa cada vez mais complexa. Um dos motivos é o elevado nível de sofisticação de ataques hackers, que priorizam organizações de vários segmentos. O cenário atual exige um elevado conhecimento dos pilares da segurança da informação.

Se um governo ou empresa não tem uma política de tecnologia da informação (TI) e profissionais qualificados para evitar invasões e roubos de dados, maior será o risco de perder informações relevantes e de ter a imagem afetada negativamente.

Neste post, serão destacados os princípios mais importantes de segurança da informação, os procedimentos essenciais para efetivá-los, a influência das ameaças virtuais nas corporações e a postura do setor público ao administrar os dados dos cidadãos. Confira!

Valorize os pilares da segurança da informação

Uma política de segurança da informação deve ser uma referência para o segmento de TI e os demais setores de uma organização. Assim, será mais fácil eliminar vulnerabilidades, que possam provocar perdas de dados ou invasões relacionadas com a infraestrutura tecnológica.

Para as diretrizes dessa política serem seguidas corretamente, é primordial conhecer os princípios mais relevantes da segurança da informação. Pensando nisso, vamos abordá-los de maneira didática.

Confidencialidade

Essa propriedade tem como fundamento fazer com que a informação esteja disponível somente para pessoas autorizadas. A criptografia, recurso que cifra as informações e dificulta o acesso a elas por terceiros, é valiosa para garantir o respeito a esse pilar.

Muitos confundem os conceitos de confidencialidade e de confiabilidade. O primeiro tem como foco a informação de caráter confidencial, que deve estar disponível apenas para o destinatário.

O segundo se caracteriza por garantir a entrega do dado, a partir de uma relação de confiança entre as partes envolvidas na comunicação.

Integridade

A integridade engloba a capacidade de um sistema de assegurar que uma informação não seja alterada até chegar ao destinatário. Por exemplo, um funcionário envia um e-mail para um colega de trabalho.

O ideal é que o emissor tenha a convicção de que o conteúdo não foi modificado até chegar a quem deve recebê-lo. Ou seja, é necessário ter a garantia de que outra pessoa não agiu para fazer mudanças propositais na mensagem.

Disponibilidade

Consiste em fazer com que uma informação esteja disponível no momento escolhido pelos usuários. Por isso, é necessário ter muito cuidado com os ataques de “negação de serviço” (DoS — denial of service).

Essa ação faz, por exemplo, que um site tenha o funcionamento comprometido, porque o número de solicitações de acesso impede que a página continue no ar. Prevenir esse problema é muito importante para os governos e as empresas manterem uma boa prestação de serviços digitais.

Autenticidade

Destaca-se por garantir que a mensagem foi realmente encaminhada pelo emissor. Dessa forma, não existem dúvidas sobre a origem do conteúdo, o que proporciona mais segurança e transparência à comunicação entre os envolvidos.

É válido abordar que a autenticidade tem uma relação próxima com o conceito de integridade, porque abrange a certeza de que a origem e o conteúdo não foram modificados.

Não repúdio

Essa propriedade impossibilita que uma pessoa negue ter participado de uma transação ou comunicação. No mundo analógico, um bom exemplo é o Aviso de Recebimento (AR), em que o destinatário reconhece o recebimento de uma correspondência.

Em outras palavras, o emissor possui mecanismos eficientes para comprovar que a comunicação entre as partes foi devidamente realizada.

Veja procedimentos importantes para a segurança da informação

Sem dúvida, conhecer os pilares da segurança da informação contribui bastante para elaborar e executar uma política de proteção dos dados. Porém, isso apenas é viável com um trabalho direcionado para outras ações, que serão detalhadas a seguir.

Prevenção

É adotar as medidas necessárias para evitar invasões a sistemas e vazamentos de dados, por exemplo. O recomendado é investir em softwares que dificultem as ações de hackers, capacitar a equipe de TI e utilizar regras para a proteção das informações e dos equipamentos.

Detecção

A prevenção é, com certeza, um fator importante para a segurança dos dados corporativos. Porém, uma organização precisa investir em mecanismos de detecção.

O correto é adotar recursos de TI (antivírus, firewall e sistemas de monitoramento de redes) para localizar tentativas de invasão e neutralizá-las.

Recuperação

Por mais avançados que sejam os mecanismos de prevenção e detecção, o departamento de TI necessita contar com um plano de recuperação de dados.

A medida é valiosa para minimizar os efeitos quando há violações a banco de dados, senhas e unidades de armazenamento. Quanto mais rápidas forem as ações para reaver as informações, menores serão os impactos de uma invasão.

Controle de Acesso

Uma organização deve ter parâmetros claros para limitar o acesso dos funcionários a sistemas e a ambientes onde ficam os equipamentos de TI, como um data center.

Essa postura faz com que uma instituição esteja melhor estruturada para evitar incidentes de segurança da informação.

Entenda a importância da segurança da informação

É inegável que o avanço tecnológico e a expansão da internet criaram um ambiente em que as informações passaram a ter um grande valor para o setor público e as empresas.

Hoje, a indisponibilidade de um sistema pode causar um grande prejuízo de imagem para uma instituição.

Com a evolução de ataques hackers em escala mundial (WannaCry e Bad Rabbit), o risco de perder informações ou de sofrer com a indisponibilidade é muito grande.

Desde 2011, há uma transição do conceito de segurança da informação para cibersegurança. Isso aconteceu porque, no começo desta década, surgiram os ataques mais avançados como o vírus Stuxnet, utilizado contra o programa de enriquecimento de urânio do Irã.

Essas ações estão preocupando bastante os gestores de TI por envolverem grupos criminosos sofisticados e até países, como a Coreia do Norte, a China e os Estados Unidos.

Além do mais, hoje os ataques são direcionados. Corporações que detêm poder e grande volume de dados são ainda mais visadas, exigindo profissionais qualificados e investimentos constantes.

Essa conjuntura mostra que uma instituição comete um erro grave ao não apresentar uma estratégia bem definida de segurança da informação.

Pense como o setor público deve agir no cenário atual

A administração púbica tem uma grande responsabilidade ao cuidar de diversas informações dos brasileiros. O Serpro mantém a guarda de dados de vários órgãos, como a Receita Federal, responsável pela emissão de CPFs e CNPJs.

Outro exemplo é a Dataprev, que faz a segurança das informações de todos os contemplados pelo INSS. Esses dados têm caráter nacional e precisam ser corretamente administrados, para que não sejam acessados e utilizados indevidamente por hackers.

Esse cenário mostra que o setor público em todas as esferas necessita planejar investimentos no setor de segurança da informação. Também é fundamental contar com políticas de guarda de dados e capacitar os profissionais envolvidos.

Quanto mais informações e equipamentos estiverem sob a responsabilidade da administração pública, maior deve ser o investimento em segurança.

Se você considera fundamental reforçar a prática dos pilares da segurança da informação nas organizações, compartilhe este post agora mesmo nas redes sociais. Afinal, o conhecimento sobre a tecnologia merece ser disseminado!

ebook-automacao-cyberseguranca

Por Luciana Fernandes


As opiniões e conteúdos expressos neste blog são responsabilidade exclusiva de seus respectivos autores. O conteúdo é fornecido apenas para fins informativos e não representa a opinião da Suntech S.A./Verint.


Fique por dentro!

Receba informações exclusivas e aprofunde seu conhecimento.




Sociais