Portal GSTI
Portal GSTI

PublicarCadastre-seLogin
Menu
foto de
Fernando Palma

CID: Confidencialidade, Integridade e Disponibilidade

Os critérios da informação pela perspetiva da segurança

Este artigo apresenta os conceitos de Confidencialidade, Integridade e Disponibilidade, de acordo com as boas práticas #ITIL e família de normas ISO 27000, de gestão da #Segurança da Informação.

Resumo


Definição
O que é CID? São os três principais critérios de segurança da informação: Confidencialidade, Integridade e Disponibilidade (CID).
ConfidencialidadeA propriedade de que a informação não esteja disponível ou revelada a indivíduos, entidades ou processos não autorizados. 
Integridade Propriedade de salvaguarda da exatidão e completeza de ativos // (ativos da informação)
DisponibilidadePropriedade de estar acessível e utilizável quando demanda por uma entidade autorizada.

O que é CID?

São os três principais critérios de Segurança da Informação(S.I.): Confidencialidade, Integridade e Disponibilidade (CID). Os conceitos são os pilares centrais, fundamentais, de forma que estudá-los é algo muito parecido com estudar a própria #Segurança da Informação

Confidencialidade

Definição

Um princípio de segurança que requer que dados devam somente ser acessados por pessoas autorizadas (ITIL,Axelos). Dito de outra forma, a propriedade de que a informação não esteja disponível ou revelada a indivíduos, entidades ou processos não autorizados. (Norma ISO 27001).

A biblioteca de gestão de serviços de TI e a Norma de segurança da informação, portanto, revelam o mesmo sentido para a palavra, mas o fazem por ângulos diferentes: a primeira expressa o sigilo da informação como um objetivo, enquanto a segunda o aborda como um resultado.

No mais, as duas perspectivas não deveriam causar qualquer tipo de desentendimento. Ao contrário, estas referências acrescentam uma a outra quando combinadas. Quer ver?

Tente misturar as duas definições apresentadas e chegará à conclusão de que a Gestão de Segurança da Informação (GSI) deve manter a confidencialidade como um dos princípios para que consiga alcançar esta mesma propriedade como resultado fim. É isso que a ITIL e a ISO 27001 nos dizem sobre confidencialidade, quando sobrepostas.*

* Você vai notar que, ainda que acidental (e eu até acredito que seja), este raciocínio combinado (suplementar?) persiste na maneira qual estas duas referências de mercado descrevem os outros dois conceitos que apreciaremos: integridade e disponibilidade.

Confidencialidade: exemplos e impactos

Veja mais alguns aspectos interessantes da confidencialidade: a paranoia da confidencialidade

Integridade

Definição

Para #ITIL, é um princípio de segurança que garante que dados e itens de configuração somente sejam modificados por pessoas e atividades autorizadas. A 27001 é mais sucinta: propriedade de salvaguarda da exatidão e completeza dos ativos*.

* A norma se refere a ativos da informação (expressão que compreende sistemas, pessoas, ambientes físicos entre outros componentes físicos e lógicos).

A mesma desigualdade de perspectivas - que citei em confidencialidade - se repete aqui e também na definição de disponibilidade: a ITIL define como diretriz e a ISO 27001 como propriedade da informação.

Como direcionador ou como propriedade, informação íntegra significa informação integral e precisa. Significa que a informação armazenada ou transferida está correta.

A integridade é um pilar essencial para os processos de negócio onde informações corrompidas geram impactos caóticos, - ou quiçá - necessidade de correção e retrabalho quando tratadas em tempo.

Outro ponto que gosto de citar em relação a integridade é que, em tese, este será um critério da informação cada vez mais difícil de administrar, já que estamos vivenciando o crescimento de fenômenos como Big Data e Internet das Coisas.

Integridade: exemplos e impactos

  • Se eu alterar uma definição da ITIL e publicá-la neste artigo a referenciando, estaria agindo de maneira incorreta, certo? Isso comprometeria a integridade da informação! (E de minha pessoa também, diga-se passagem! =) )
  • Falhas na administração de #Banco de Dados podem comprometer severamente a integridade de informações disponibilizadas por sistemas de informação. Para dar um exemplo, preciso apenas de três palavras: update sem where. 
  • Partindo para um exemplo ainda mais dramático, não são raras as noticias de pessoas que têm o membro errado amputado simplesmente porque o médico cirurgião recebeu sua ficha com a informação errada. A área de saúde denomina isto como erro de lateralidade cirúrgica. O cidadão comum denomina de "tenha medo!".*
  • Lembra dos casos em que produtos aparecem nas lojas de e-commerce com preços errados? É também um exemplo de falha integridade da informação.
  • Se um executivo de uma empresa manipula dados financeiros para simular um lucro de uma empresa acima da realidade, aquela informação perde a propriedade de integridade. Foi isso que aconteceu no decorrer de grandes escândalos corporativos em 2001, envolvendo empresas americanas envolvidas com fraudes, como por exemplo no caso da Enron.
* Há também casos de perda de vida de pacientes. Esta aqui também chama bastante atenção: UPA se engana e informa a parentes morte de paciente que estava viva.

Disponibilidade

Definição

Um princípio de segurança que requer que dados sejam acessados por pessoas autorizadas; ou propriedade de estar acessível e utilizável quando demanda por uma entidade autorizada  (ITIL e ISO 27001, respectivamente).

Confiabilidade e sustentabilidade

Informação disponível requer níveis adequados de confiabilidade e sustentabilidade. Para serviços de TI, isso significa afastar episódios de down-time e ao mesmo tempo estar preparado para recuperar rapidamente quando ocorrem. Para saber mais sobre esta consideração, recomendo dos artigos: TMEF, TMPR, TMPRS e TMEIS e 05 princípios da disponibilidade

Disponibilidade: exemplos e impactos

  • Basta lembrarmos de casos de incalculáveis prejuízos financeiros (as vezes, acima de R$ 1 bilhão) causados por conta da indisponibilidade de sistemas.
  • No decorrer de uma auditoria, a indisponibilidade de um relatório de balanço financeiro de uma empresa pode ser motivo suficiente para que esta organização seja multada ou mesmo condenada pela justiça.

Dica: disponibilidade x confidencialidade 

Para quem está estudamo para uma certificação, prova, ou para concursos públicos, alerto a seguir para os detalhes que diferenciam este conceito da confidencialidade. 

Veja como é sútil...


Definição
ConfidencialidadePrincípio de segurança que requer que dados devam somente ser acessados por pessoas autorizadas
DisponibilidadePrincípio de segurança que requer que dados devam somente ser sejam acessados por pessoas autorizadas
Continue estudando Segurança da Informação

COMPARTILHE

Fernando Palma
Fernando Palma205 Seguidores 574 Publicações Consultor de TI, CEO
Seguir
Sou fundador e CEO do Portal GSTI, Consultor, professor e instrutor em Governança de TI e Gestão TI. Graduado em SI, mestrando em administração, Certificado ITIL Expert, ITIL Manager, COBIT, OCEB, ISO 20k, e ISO 27k.

Comentários