Segurança de Redes I

Aula 9: Noções de CIA

Apresentação
Vamos conhecer agora um pouco sobre a área de Segurança da Informação (SI) e os parâmetros
que orientam a análise, o planejamento e a implementação da segurança em um determinado
setor ou companhia.
 Objetivos
Identificar o papel da área de SI;

Definir CIA;

Explicar as noções de confidencialidade, integridade e disponibilidade.

O papel da área de SI
A Segurança da Informação, ou o chamado SI, tem um estreito e profundo relacionamento com a
questão da proteção e o valor do dado. Sim, o dado vale e é esse o valor que damos às coisas na
nova era, o momento do Mundo Digital, a era da informação e do conteúdo.

Nesse sentido, há de se empregar esforços, dos mais variados níveis, relacionados à dotação de
proteção das informações, pela consequência da necessidade da preservação do seu valor.

O dado é uma fonte, de estimado valor para o indivíduo, sociedade, para as

empresas, para o mundo de um modo geral. É assim que vemos a
informação: o valor e a importância do conteúdo digital.

Tratando-se da informação, são aspectos gerais ou propriedades básicas da Segurança da

Informação:

Confidencialidade Integridade Disponibilidade

Autenticidade Legalidade

É importante pontuar que a Segurança da Informação não se restringe somente aos sistemas
tradicionalmente computacionais, de informações de cunho eletrônico ou sistemas de dinâmica de
armazenamento. O conceito é mais amplio, aplicando-se a todos e quaisquer aspectos relativos à
 proteção de informações e dados. Este conceito de segurança, aplicado à Informática ou a
computadores, está integralmente relacionado com a chamada Segurança da Informação, o que
inclui não somente a segurança dos dados/informação, mas que também abraça e se preocupa com
o próprio ambiente do sistema. Essas áreas são complementares por interesse e tecnicamente.

A máxima "quem vê tudo, não vê nada", do filósofo tecnológico Mr. Bit, é uma afirmação bastante
assertiva e o termo dividir para conquistar é sempre muito atual e pragmático. Por conta desses dois
pontos é que dividimos nossas áreas de competência e expertise para ganharmos o jogo da
segurança e vencermos o mal que sempre se aproxima e nos ronda: O ataque cibernético.

Aqui no Brasil temos a norma técnica de Segurança da Informação em vigor: ABNT NBR ISO/IEC
27002:2013. Mas todo o conceito de Segurança da Informação vem do que está contido e
padronizado na norma ISO/IEC 17799:2005, influenciada pelo padrão inglês (British Standard) BS
7799.

 (Fonte: abntcatalogo).

Podemos varrer a Internet e perceberemos que a definição sobre Segurança da Informação (SI) se
repete e se sintetiza como sendo o nível de proteção contra tudo aquilo que é viável causar algum tipo
de sinistro, motivado pelo que se classifica de uso ou acesso não autorizado ao ambiente da
informação. Também contribuem para critérios de ataques e sinistros, a negação do serviço a
usuários autorizados, enquanto a integridade e a confidencialidade dessa informação são
preservadas, e para evitarmos esses processos devemos nos precaver com nossas rotinas de
prevenção e métodos de comportamento.

É fato que o nível de proteção a que queremos chegar deve, em qualquer situação, corresponder ao
valor que o nosso dado ou a nossa informação tem e aos prejuízos que poderiam ser decorrentes do
uso impróprio desses dados.
Atenção
Devemos lembrar que a informação trafega sobre aquilo que podemos definir como a “Camada de Rede
ou Infraestrutura de comunicação” e, esta camada também requer preocupações com sua segurança, o
que nos faz frisar: É importante destacar que área de SI tem seus domínios de atuação estendidos a
toda infraestrutura, o que viabiliza o uso de sua dinâmica, sobre outros domínios de utilização que
compreende processos, sistemas, serviços, tecnologias etc.

Percebemos, portanto, que a área de SI não se limita apenas a sistemas de computação, nem à
informação em formato eletrônico. Ela se espelha, alcançando com seus níveis de aplicabilidade
todos os aspectos de proteção da informação ou dos dados, em qualquer forma ou camada pela qual
a informação ou os dados circulam.

As informações de uma empresa são o foco da área de SI. Desse modo, os dados de fluxo de uma
infraestrutura de comunicação são foco da Área de Segurança, pois, uma vez interceptado e
detectado, o processo de fluxo de dados de uma rede, está propenso a sofrer um ataque. Por isso, a
Segurança da Informação tem a proposta clara de resguardar os dados de infraestrutura, protegendo-
os.

Uma informação compreende toda e qualquer forma de

conteúdo ou dado, cujo valor é imprescindível para
alguma estrutura empresarial, estrutura administrativa
ou organização, sendo também necessária e importante
para pessoas. A informação, por consequência, pode e
deve ser guardada para uso restrito ou para exposição
ao público para consulta ou aquisição.

Por ter um papel fundamental no suporte dos processos de negócio, a informação está exposta a três
elementos fundamentais:
 Base tecnológica ou tecnologia: à qual cabem macro obrigações, tais como armazenamento,
1 processamento e transmissão da informação.

Base humana ou recurso de mão de obra: as quais criam, movimentam e utilizam a tecnologia
2 disponível.

Base ou pilar dos processos: os quais são desenvolvidos em função do comportamento para
3
sustentar com boas práticas a manipulação da informação para manutenção dos negócios.
 (Fonte: Diegomacedo).

Verificamos que o volume de informação em

formato eletrônico tem evoluído em volumetria
de modo exponencial nos últimos anos. Isto
está diretamente ligado ao crescimento da
economia digital que, por consequência, eleva a
necessidade da proteção da informação, o que
demonstra uma importância vital e de alta
relevância para as bases de confiança entre a
informação e os vários manipuladores de
informação, parceiros e estruturas internas às
companhias.

Devemos estruturar a segurança entre quatro

partes, a saber:

 (Fonte: Go2web). Política.

Normas.
Procedimentos.
Evidências.
 As políticas, as normas e os procedimentos de Segurança da Informação
devem ser aplicados a todos os funcionários internos e parceiros externos.
Isso não é negociável em hipótese alguma, independentemente do nível
administrativo ou técnico de cada indivíduo: É para ser desse jeito e pronto,
simples assim, pois se houver aberturas, haverá comprometimento de
qualquer esforço que se crie para combater níveis de fragilidades.

Todas as ações traçadas para combater a insegurança de qualquer nível que seja, são plenamente
utilizáveis e aplicáveis em todo e qualquer domínio informatizado, sendo estes domínios aqueles
ambientes convencionais ou não, no trato da informação, no seu processo de comunicação e no seu
arquivamento.

Outro ponto importante dentro das preocupações a serem tomadas reside na estrutura documental e
operacional, importantíssima, que objetiva a estruturação de um dado acervo documental para a
criação de políticas, estatutos, normas e afins com o tema Segurança da Informação, cujo objetivo
será contribuir para colocar o banco em sintonia com a chamadas boas práticas nesta matéria.

Deve-se deixar claro que as chamadas falhas ou brechas de segurança existentes no universo da
informação, são provocadas por aspectos, circunstâncias e por alguns pontos básicos:

Falta de políticas para gerir riscos e ameaças.

Falta de normas para guiar a criação de boas soluções.

Falta de procedimentos para planejar e implementar soluções aderentes às demandas.

Falta do estabelecimento ou da criação de uma cultura técnica sobre o tema segurança.

Surgimento de novos padrões de vulnerabilidade devido à evolução tecnológica e com o uso de

novas plataformas móveis.

Equívocos e falhas decorrentes do erro humano.

Escassez de processos claros desenvolvidos para que se possa melhor medir os riscos e propor
correções mais adequadas e corretas.

O próprio crescimento do volume de ataques.

Todos esses pontos vão levar à questão das garantias que se quer dar ao conjunto da tecnologia
envolvida para sustentar a informação e seu deslocamento ao longo de toda a infraestrutura.
 O que é CIA

Atenção! Aqui existe uma videoaula, acesso pelo conteúdo online

 (Fonte: Seginfoatual).

Os pontos mais relevantes que, no momento, estão em foco e que tendem a dar orientação para a
análise, o planejamento e a implementação dos critérios da segurança para um grupo hipotético de
informações que se pretende proteger estão suportados por três argumentos ou parâmetros, a saber:
 Confidencialidade

Integridade

Disponibilidade

Saiba mais
Os três parâmetros acima dão nome ao acrônimo CIA, que vem do inglês Confidentiality, Integrity and
Availability.

CIA – Mecanismos de segurança

Para conseguirmos implementar a Segurança e atender os requisitos mínimos e aceitáveis do que
preconiza um bom planejamento e, como consequência, uma boa implementação, devemos seguir
alguns parâmetros. Isso permite que tenhamos Confidencialidade, Integridade e Disponibilidade, e
também o Não-repúdio (irretratabilidade), Autenticidade, Conformidade e Privacidade.

Os parâmetros necessários para um bom suporte são:

Clique nos botões para ver as informações.

Controles físicos 

São zonas de bloqueio que impõem delimitadores quanto à possibilidade de acessos diretos ao
nível de informação ou de infraestrutura que lhe dá o devido suporte.
Segue uma relação de tipos de mecanismos de segurança que apoiam os controles físicos:
Portas.
Trancas.
Paredes.
Blindagem.
Guardas etc.

Controles lógicos 

São aquelas barreiras (qualquer tipo de aplicação ou equipamento que se utiliza da tecnologia)
que impõem limitações quanto ao acesso à informação (documentos, dados ou qualquer tipo de
informação), que por sua vez encontra-se disponibilizada em um dado contexto de ambiente
controlado que, na maior parte das vezes, trata-se de um ambiente de peculiaridade eletrônica,
no qual, de outra forma, ficaria exposto a tudo e a todo tipo a alteração não autorizada por
elemento mal-intencionado.

 Mecanismos de apoio aos controles lógicos

 Clique no botão acima.

 Os mecanismos de segurança que apoiam os controles lógicos são:

Mecanismos de cifração ou encriptação

Faculta que o processo de criptografia da informação seja reversível, mas ininteligível a terceiros. São
empregados, nesse processo, algoritmos específicos com uso de chave secreta. Esse mecanismo de
chave secreta produzirá como resultado dados criptografados, sendo o caminho inverso conhecido
como processo de decifração. Este ponto já foi visto anteriormente.

 (Fonte: Wikipedia).

Assinatura digital
Lote de dados que foram criptografados, associados a um documento eletrônico cuja função é dar a
garantia necessária de que este documento é autêntico e íntegro, mas não a sua confidencialidade.
 (Fonte: Cryptoid).

Mecanismos de garantia da integridade da informação

Baseado na utilização das chamadas funções de Hashing ou de checagem. Com esse processo, é
possível garantir integridade mediante processos de comparações do resultado do teste realizado no
receptor que é cruzado com o divulgado pelo autor. Este ponto já foi visto anteriormente.
 (Fonte: Wikimedia).

Mecanismos de certificação
Cria uma circunstância de valoração, validade e credibilidade sobre um dado documento. Este ponto
já foi visto anteriormente.

Honeypot

Trata-se de um tipo de sistema ou também conhecido como ferramenta de software, cujo objetivo é
o de criar simulações de falhas propositais e com isso iludir o invasor fazendo-o acreditar que está
conseguindo explorar uma falha do sistema. No final, funciona como uma arapuca ou armadilha para
captura de invasores. Ele não se dispõe a oferecer proteção.

Protocolos seguros

O emprego de protocolos cujo fim é portar argumentos e características que dotam o acesso à
informação de um alto grau de segurança. Tais protocolos utilizam-se de práticas de funções já
abordadas anteriormente, como por exemplo, criptografia como no caso do https, ssf, sftp etc.

No estágio atual de desenvolvimento tecnológico aplicado à área de segurança, temos grande

diversidade de soluções de ferramentas e sistemas baseadas em softwares cujo objetivo é dotar de
grande capacidade de segurança os ambientes. Seguem alguns exemplos:

Softwares de antivírus.
 Sistemas de firewalls.

Aplicações desenhadas para serem filtros anti-spam.

Sistemas baseados em softwares para cumprir a função de IDS.

Softwares/Aplicativos que cumprem a função de analisadores de código etc.

Mecanismos de controle de acesso

Dispositivos que viabilizam controles em vários níveis, de várias formas, como por exemplo os
chamados sistemas biométricos, os dispositivos denominados firewalls e os produtos conhecidos
como cartões inteligentes.

 (Fonte: Wikipedia).  (Fonte: Wikipedia).

CIA – Ameaças à segurança

Atenção! Aqui existe uma videoaula, acesso pelo conteúdo online

Esse é um tema recorrente no campo da Tecnologia da Informação, pois afeta diretamente o valor e a
riqueza do maior bem da atualidade: a informação. As ameaças afetam as três principais
características de uma dada informação, são elas:

Confidencialidade
 Integridade

Disponibilidade

Quando as ameaças se contextualizam à infraestrutura de rede ou a um dado sistema hipotético,

setas podem surgir de vários pontos ou possíveis locais de origem, cujos vetores são os agentes
maliciosos provocadores de sinistros conhecidos como crackers. Quando as ameaças se
contextualizam à infraestrutura de rede ou a um dado sistema hipotético, setas podem surgir de
vários pontos ou possíveis locais de origem, cujos vetores são os agentes maliciosos provocadores
de sinistros conhecidos como crackers.

Atenção

Os chamados hackers não são agentes maliciosos uma vez que estes tentam ajudar a encontrar
possíveis falhas.

Os crackers sofrem sobre si ação de agentes motivadores, que balizam suas atitudes e os movem a
fazer estas ilegalidades e, entre esses motivos, estão:

Notoriedade

Autoestima

Vingança

Enriquecimento ilícito

Saiba mais
Em pesquisa realizada ficou caracterizado que mais de 70% dos sinistros praticados e que se
converteram em ataques foram provenientes de usuários classificados como legítimos, válidos e ativos
de sistemas de informação. Essa realidade verificada faz com que a empresas invistam massivamente
no campo de desenvolvimento de controles de segurança destinado a atender a grande área fim que se
encontra inserida nas suas Intranets. É isso mesmo! Por incrível que pareça, a maioria dos ataques
surgem de dentro das empresas sobre as próprias empresas.

CIA – Perda da Confidencialidade

A perda da Confidencialidade se dá quando ocorre ruptura do nível de sigilo da informação. Por
exemplo: Uma dada senha é descoberta, fazendo com que o dado fique de certo modo exposto e
descoberto de algum tipo de nível de proteção, quando este só deveria ser acessado pelo proprietário
da senha.

CIA – Perda da Integridade

A perda da Integridade se dá quando ocorre ruptura do nível de manuseio de uma dada informação, a
qual fica exposta para que qualquer indivíduo possa alterá-la sem que a mesma seja ou tenha sido
aprovada por quem de direito. Ou seja, o proprietário ou responsável perde o controle total sobre a
informação.

CIA – Perda da Disponibilidade

A perda da Disponibilidade se dá quando ocorre ruptura do nível de acessibilidade da informação,
ficando a mesma sem poder ser acessada por seu proprietário ou responsável. Isso equivale em
efeito à perda de comunicação com um dado sistema de informação: pane na rede, queda do
servidor, o link de acesso de um provedor está fora etc.

CIA – Invasões ocorridas pela Internet

Todo e qualquer tipo de sistema computacional necessita ser dotado de um sistema para proteção de
seus arquivos, pois vivemos na era da informação, e este bem é alvo constante de interesses
escusos.

Esta proteção dada aos sistemas trata-se de um conjunto de regras e

mecanismos, físicos e lógicos, que pretendem garantir que a informação
não seja lida, ou modificada, por quem quer que seja e que não tenha
permissão para esta ação.

A segurança é muitas vezes utilizada como termo geral para fazer referência a um problema do tema
“segurança”, mas os chamados mecanismos, estes sim, são elementos que dotam a solução de
poder para dar a proteção esperada à situação, salvando, por vezes, as informações.

A segurança pode ser vista e analisada por vários ângulos e aspectos. A sua falta ou falha suscita
consequências graves como a perda de dados e as invasões de intrusos.

A perda de dados em grande parte tem como origem as seguintes razões:

Os fatores de cunho natural, provocados por conta de incêndios, enchentes, terremotos, e vários
1
outros problemas de causas naturais.

Os fatores de cunho tecnológico, provocados por erros de hardware ou de software devido às

2 falhas no processamento, erros de comunicação ou bugs em programas.
 Os fatores de erro humano sobre o qual se computa a entrada de dados incorreta, montagem
3 errada de disco ou perda de um disco.

Para que não venhamos a passar por inconvenientes e a fim de evitar a perda destes dados, é muito
importante manter sempre atualizado e checado o backup, para que possa estar aderente aos
padrões de confiabilidade; e para conferir as rotinas e práticas de armazenado geograficamente
distante dos dados originais.

CIA – Nível de segurança

O próximo passo, após ter sido identificado o potencial de ataque, consiste nas organizações
precisarem decidir qual será o nível de segurança que deverá ser estabelecido para que uma rede ou
sistema, onde os recursos físicos e lógicos encontram-se, esteja sobre condições de proteção.

Deve ser feita uma contabilidade sobre os custos/prejuízos associados aos ataques ocorridos, mas
refutados, pelos mecanismos de contra-ataques adquiridos, e que visam minimizar as agressões que
se pode sofrer em uma infraestrutura e seus sistemas, minimizando a probabilidade de que um
sinistro digital ocorra. Essa é a rotina de se dimensionar os custos denominados de CAPEX de
Segurança.

Clique nos botões para ver as informações.

CIA – Nível de segurança física 

Aqui são consideradas as ameaças físicas contra a infraestrutura que suporta todo o ambiente
computacional e de rede. Tais ameaças estão relacionadas a sinistros causados por fogo, água,
descargas elétricas, sismos, ou seja, tudo aquilo que possa contribuir negativamente para
danificar a parte física que assegura à infraestrutura o seu nível de proteção, e que venha, de
certo modo, viabilizar o processo de acesso indevido de estranhos.
 CIA – Nível de segurança lógica 

Aqui, deve-se dar extrema atenção aos sinistros provocados por vírus, acessos provenientes de
pontos remotos à infraestrutura de rede, falhas de backup que os tornam desatualizados,
violação e corrupção de senhas, sequestro de identidades de usuário etc. Todos esses itens
deflagram, se negligenciados, instabilidade e fragilidade no ambiente a ser protegido, cujas
informações estão sendo sustentadas pelos mesmos.
Essa é a forma sobre a qual conseguimos fornecer proteção a um dado ambiente sistêmico: ao
sistema operacional e às aplicações que rodam sobre ele. Em geral, este tipo de combate impõe
segurança protegendo o ambiente como um todo, contra falhas não intencionais, erros,
equívocos etc.

CIA – Sobre os pontos de controle de segurança 

Devemos, após a identificação dos riscos, dos níveis de proteção e da determinação dos reflexos
que tais risco podem oferecer, partir para a execução de pontos de controle para que se possa
restringir e, com isso, reduzir os riscos mapeados. Tais pontos de controle trazem ações e
criações de:
Práticas das políticas de Segurança da Informação.
O desenvolvimento da organização da Segurança da Informação.
Criação da gestão e controle de ativos.
Implementação da segurança em recursos humanos.
Implementação da segurança física e do ambiente.
Gestão das operações e comunicações.
Criação ou melhorias no controle de acessos.
Aquisição, desenvolvimento e manutenção de sistemas de informação.
Acertos e melhorias na gestão da continuidade do negócio.
Conformidade legal.

CIA – Política de segurança

Atenção! Aqui existe uma videoaula, acesso pelo conteúdo online

Deve estar em conformidade com o RFC 2196 (The Site Security Handbook) e deve consistir em um
grupo de regras, devidamente constituídas e formalizadas, as quais devem ser observadas e
cumpridas por todos que são usuários dos recursos disponibilizados por uma organização:
institucionalizada no ambiente de usuários.
 Essas políticas devem ser definidas de forma segura e, por consequência, necessitam poder ser
implementadas dentro de circunstâncias realísticas. A partir delas é preciso que seja possível definir
de maneira clara e objetiva as chamadas áreas de responsabilidade dos utilizadores, do pessoal de
gestão de sistemas e redes e da direção.

Outro ponto muito importante é que a implementação precisa ser flexível e moldável às alterações
circunstanciais que uma organização sofre: não pode ser monolítica, engessada. As construções de
políticas aplicadas à segurança têm como papel fundamental o enquadramento cuja orientação
baliza a implementação de mecanismos para o mesmo fim (segurança) criando: definições,
adequações, processos, procedimentos e parâmetros auditáveis, todos relacionados à segurança.
Visam também, e além disso, estabelecer uma espécie de linha de terra para aquilo que será adotado
como procedimentos legais na sequência de ataques.

Há uma definição documental a respeito da política de

segurança que deve ser constituída e instituída. Seu
desenvolvimento e escrita não contempla os chamados
aspectos técnicos do processo de implementação de
uma dada solução ou mecanismo aplicado à segurança,
pois dada a natureza das tecnologias, essa pode sofrer
variações ao longo do tempo devido à sua evolução.
Além disso, esse documento deve ter como
característica ser de fácil leitura, entendimento e
compreensão, fora o fato de ser bastante resumido.
Aqui é bom que se diga que este deve ter um texto
enxuto, simples e sem pontos obscuros.

Há algumas normas que cumprem o papel de definir aquilo que deve ser levado em consideração no
momento da elaboração das chamadas políticas de segurança, pois são documentos referenciais
para este desenvolvimento. Podemos destacar as seguintes normas, a saber:

BS 7799 (elaborada pela British Standards Institution).

NBR ISO/IEC 17799 (a versão brasileira desta primeira).

 A série ISO de normas 27000 – Substitutas da ISO 17799 e BS 7799.

Sabe-se que sempre, por detrás de toda e qualquer filosofia a ser desenvolvida e aplicada à área de
segurança, há duas linhas básicas e primordiais, são elas:

1 2

Linha proibitiva Linha permissiva

Tudo que não é expressamente permitido é Tudo que não é proibido é permitido.
proibido.

Sobre os aspectos de uma dada política de segurança, devemos ter em mente e considerar os
seguintes pontos, a saber:
 Disponibilidade

A todo momento que for necessário ao usuário impor usabilidade sobre um dado sistema, este
deverá estar disponível, principalmente se esses sistemas suportam dados críticos à organização
ou ao indivíduo, devendo estar disponíveis constantemente.

Integridade

A todo momento, seja ele qual for, um ambiente de sistema deve se apresentar íntegro e com
condições de usabilidade.

Confidencialidade

Toda e qualquer informação, em seu teor, somente poderá estar disponível a quem é de direito, ou
seja, aos donos desses dados: indivíduo ou grupo funcional.

Autenticidade

Um dado sistema deve poder ser capaz de garantir que suas informações e seus usuários são o
que são, sem margem de dúvida.

Legalidade

A informação contida e vinculada dentro de um dado processo hipotético de comunicação, deve

possuir seu “valor legal”.

 Confidencialidade, Integridade e Disponibilidade

 Clique no botão acima.

Vejamos um pouco mais sobre as três principais características do CIA, as quais embasam a política
e que devem ser consideradas.

Confidencialidade
A confidencialidade é uma das propriedades da informação que determinará se a mesma estará ou
não disponível, divulgada a indivíduos, entidades ou processos dependendo no nível de autorização.
A confiabilidade, de um outro jeito, trata-se de uma garantia dada e aplicada ao contexto da
informação, seja ela qual for, dotada de confiança, robustez e proteção contra uma dada revelação
não autorizada.

A confidencialidade foi definida pela Organização Internacional de Normalização (ISO) na norma

ISO/IEC 17799 como "garantir que a informação seja acessível apenas àqueles autorizados a ter
acesso": isto é uma questão fechada. A confidencialidade é ponto de meta em todo e qualquer tipo
de projeto de sistema que envolve criptografia, a qual passa a ser uma realidade se há a
aplicabilidade de boas práticas e processos relacionados à segurança moderna.

O sigilo das informações é imperativo do ponto de vista da Segurança da Informação nos níveis
atuais. O termo "bolha da privacidade", utilizado como jargão prático em muitas discussões, pretende
dar uma noção de restrição ao domínio do fluxo de informações.

A confidencialidade está relacionada no domínio da segurança de informática com a proteção de

dados e informações que são trocadas e mantidas entre um emissor e um ou mais destinatários, de
modo a proteger a mesma contra possíveis sinistros provocados por terceiros.

Esta ação, prática da confidencialidade, tem independência daquilo que é feito a nível de segurança
do sistema de comunicação empregado: um ponto de alta relevância e importância refere-se à
questão da garantia que se deve dar à questão do sigilo quando utilizamos sistemas em um
ambiente declaradamente inseguro e propenso a sinistros digitais como é o caso da Internet.

Um sistema que se propõe a fornecer confidencialidade, no caso da possibilidade de haver um

sinistro digital de interceptação da informação quando a mesma se desloca da sua fonte para o seu
destino, não permitirá que o interceptador seja capaz de extrair qualquer conteúdo inteligível: aqui
vale-se de sistemas próprios de blindagem da informação, como, por exemplo, uso de criptografia
com chaves simétricas, assimétricas, cofres de senha etc.

Integridade (de dados)

Integridade de dados trata de um processo de manutenção e garantia da precisão e consistência dos
dados. Quando analisamos todo o período de existência de um determinado conteúdo, o seu ciclo de
vida, verifica-se a importância da integridade como aspecto fundamental dada à informação pelos
vários critérios de tratamento, a saber: a sua implementação, o seu armazenamento, o seu
processamento, o seu uso e possível recuperação de dados. Esses aspectos dotam o dado de valor e
qualidade.

Dependendo do contexto, pode haver várias definições e significâncias, mas vejamos, com um olhar
mais geral algumas preocupações decorrentes da necessidade de termos o dado íntegro.
O processo de integridade, o qual se busca alcançar, é, por consequência, o lado oposto da chamada
decomposição dos dados, que é uma espécie de perda de dados. Em sua forma ou intenção geral, a
técnica de integridade de dados tem a mesma base comum, ou seja:

A integridade dos dados visa, de maneira geral, propiciar e garantir que os mesmos sejam salvos
ou gravados, cem por cento em conformidade com a intenção e, sendo logo a seguir, ao processo
de recuperação, conseguir que, se assegurados, esses mesmos dados estejam íntegros sendo os
mesmos que foram originalmente gravados. Em suma, a integridade dos dados visa evitar as
mudanças de caráter involuntário no nível da informação e, sendo assim, é claro que não é ou não
significa a mesma coisa do que segurança de dados, a qual discursa sobre os aspectos da
proteção de dados contra acessos não autorizados.

Toda e qualquer ação de interação com o dado e sua alteração não intencional, obtida como
resultado do processo de armazenamento, recuperação ou de processamento, podendo aqui, incluir
uma dada ação de intenção maliciosa, uma reação inesperada de falha de hardware e até mesmo
um erro humano, é vista e entendida como sendo falha na integridade destes dados.

Caso as alterações tenham sido resultantes de um processo de uma ação não autorizada, elas
poderão ser classificadas como uma espécie de falha de segurança de dados. Essas alterações, na
prática, podem gerar inúmeras intensidades de prejuízo e incômodos.

Disponibilidade
Disponibilidade estrutura uma garantia de que a informação poderá estar disponível para acesso a
toda e qualquer hora que seja necessário por parte de seu usuário, ou seja, tenha a capacidade da
disponibilidade intrinsecamente inserida em seu aspecto prático. Esta característica é muito
importante e vital e está diretamente ligada às questões operacionais de uma empresa ou da
infraestrutura.

No nosso momento atual, cerca de cem por cento de toda dinâmica de trabalho na maioria das
empresas tem em si, alto grau de dependência do trato e do contato com a informação para que
possa conduzir a “vida diária” nos seus ambientes, prosseguindo com suas atividades.

Quando o conteúdo da informação não está à disposição, ao alcance de um acesso, os chamados

processos operacionais que dela são dependentes simplesmente ficam suspensos: nossos
processos diários são e dependem de níveis de informação o que funciona como uma espécie de
gatilho. Havendo falta de disponibilidade de um dado conjunto de informações, uma empresa,
hipotética, pode ter seus processos congelados, entrando numa espécie de colapso, sendo este
status traduzido na prática como “estado de lucro cessante”, pois começa a dar prejuízo.

Nossa sociedade está extremamente dependente das informações e dos conhecimentos contidos
nas bases digitais. As informações são conhecidas hoje em dia como um ativo valioso e que faz a
diferença em todo e qualquer negócio: o mundo digital de todos nós.
 Por consequência, chega-se à conclusão de que com a ausência da chamada confidencialidade será
perdida toda a vantagem competitiva. Sem a capacidade de garantir que o dado está íntegro, inicia-
se a perda da lucratividade. Sem que o dado esteja disponível para garantir a dinâmica dos
processos, a empresa perde capacidade líquida de operar. Logo, entende-se que sem os níveis
adequados de Segurança da Informação, uma dada empresa fica estagnada, sem poder crescer,
lucrar e sobreviver; portanto Segurança da Informação é Segurança do Negócio.

Atividade
1. Quais são os pontos que geram falhas nos critérios de Segurança da Informação?

2. Quais são os fatores ocasionadores da perda de dados?

3. Entre os atributos ou propriedades importantes que embasam o planejamento e a implementação

da segurança e criam o que conhecemos como CIA, o que representa o critério da disponibilidade?

Notas

Título modal 1

Lorem Ipsum é simplesmente uma simulação de texto da indústria tipográfica e de impressos. Lorem
Ipsum é simplesmente uma simulação de texto da indústria tipográfica e de impressos. Lorem Ipsum
é simplesmente uma simulação de texto da indústria tipográfica e de impressos.

Título modal 1
 Lorem Ipsum é simplesmente uma simulação de texto da indústria tipográfica e de impressos. Lorem
Ipsum é simplesmente uma simulação de texto da indústria tipográfica e de impressos. Lorem Ipsum
é simplesmente uma simulação de texto da indústria tipográfica e de impressos.
Referências

ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC 27002:2013. Tecnologia da

informação — Técnicas de segurança — Código de prática para controles de segurança da
informação. Disponível em: [Link] <> . Acesso
em: 26 nov. 2019.

BERTOL, Viviane. Certificação digital. De onde surgiu e por que ela me interessaria?. Disponível em:
[Link] <> . Acesso em: 03 dez. 2019.

STALLINGS, William.- Criptografia e Segurança de Redes: Princípios e Práticas. 6 ed. PEARSON, 2014

KUROSE, Jim; ROSS, Keith. Redes de Computadores e a Internet: Uma Abordagem Top-Down. 6 ed.
PEARSON, 2013

Próxima aula

Protocolos usados para garantir CIA;

Https;

SFTP;

SSH;

IPSec.

Explore mais

Pesquise na Internet sites, vídeos e artigos relacionados ao conteúdo visto. Em caso de dúvidas,
converse com seu professor on-line por meio dos recursos disponíveis no ambiente de
aprendizagem.