a onda implacável de ataques cibernéticos e a introdução de penalidades mais duras pelo Information Commissioner’s Office (ICO) estão colocando as organizações sob imensas pressões para implementar estratégias eficazes de segurança de dados. No entanto, com todo o barulho em torno das últimas violações, o crescimento de vetores de ataque e Multas mais rígidas, é fácil perder de vista o que está realmente no centro da segurança da informação.
neste artigo, nós o levamos de volta ao básico e examinamos os três principais pilares da segurança da informação: Confidencialidade, Integridade e Disponibilidade, também conhecida como tríade da CIA. Possuir uma boa compreensão da tríade da CIA é fundamental para proteger sua organização contra roubo de dados, vazamentos e perdas, pois muitas vezes são esses três elementos que são comprometidos por meio de explorações.
confidencialidade
o objetivo da “confidencialidade” é garantir a proteção dos dados, impedindo a divulgação não autorizada de informações. Somente indivíduos com a autorização legítima para acessar as informações necessárias devem ser permitidos, também conhecidos como permissões na base “necessidade de saber”. Em geral, o objetivo da confidencialidade é impedir que dados confidenciais entrem nas mãos erradas.
há uma série de medidas que podem ser tomadas para ajudar com a confidencialidade, incluindo autenticação multifator, senhas fortes, criptografia, segregação de dados e atribuição de usuários com níveis de privilégio de usuário apropriados. No entanto, antes de implementar tais medidas, é importante agrupar seus ativos de informação em diferentes classificações de acordo com quanto dano poderia ser feito se acessado por uma entidade não autorizada. Quanto maior o impacto negativo, mais fortes os controles de segurança precisam ser.
ameaças comuns contra a confidencialidade são:
- ataques por Espionagem
- Criptografia de fissuras
- Malicioso insiders
- Man-in-the-middle ataques
Integridade
Este princípio visa garantir a exatidão, veracidade e validade das informações em todo o seu ciclo de vida. A informação só tem o seu valor se for verdadeira, pelo que devem ser tomadas medidas eficazes para proibir a alteração dos dados em repouso ou em trânsito por indivíduos ou processos não autorizados.
para evitar modificações indesejadas e garantir que as informações possam ser restauradas se alteradas, a implementação de backups regulares é essencial, bem como privilégios de acesso eficazes, controles de versão e validação de entrada.
desafios que podem afetar a integridade de suas informações são:
- erro Humano
- Comprometer um servidor onde o fim para fim de criptografia não está presente
- comprometimento Físico para o dispositivo
Disponibilidade
Disponibilidade refere-se à informação a ser acessível a pessoal autorizado, como e quando for necessário. A salvaguarda da continuidade dos negócios depende fortemente da manutenção rigorosa do desempenho de Hardware, software, equipamentos e canais de comunicação usados para armazenar e processar informações.
Populares métodos utilizados para proteger as organizações de perda de disponibilidade incluem manter todos os sistemas críticos atualizado, proteção DDOS, redundância, firewall e servidores proxy, garantir a adequada larguras de banda e o uso de controles de acesso.
se o pior acontecer, e sua organização for atingida por uma violação/ataque de segurança, é crucial que você tenha um plano de resposta a incidentes adaptável para que a perda de disponibilidade possa ser limitada.
a indisponibilidade de informações pode ocorrer frequentemente devido a:
- Distribuído ataques de Negação de Serviço (DDOS)
- Perda de capacidade de processamento devido a catástrofes naturais e incêndios
- código Malicioso
- largura de banda Insuficiente
Implementação da CIA Tríade
O objetivo geral da CIA é orientar a organização de segurança da informação esforços para assegurar a protecção dos seus mais ativos críticos. Cada um dos elementos da tríade é fundamental para fortalecer sua postura de segurança. Se apenas um dos elementos da tríade falhar, ele pode fornecer uma janela de oportunidade para atores mal-intencionados invadirem sua rede.
no entanto, a forma como você prioriza a combinação entre Confidencialidade, Integridade e Disponibilidade está totalmente de acordo com os requisitos da sua organização. Há casos em que um dos pilares é mais importante que os outros, por exemplo, a disponibilidade de seus processos pode ser mais importante do que a confidencialidade das suas informações, portanto sterner medidas devem ser tomadas para garantir a disponibilidade em todos os momentos.
Commissum pode ajudar
como uma empresa de consultoria de segurança cibernética e de Informação há muito estabelecida, a Commissum está perfeitamente posicionada para fornecer aconselhamento especializado e suporte para proteger seus ativos comerciais críticos. Adotamos a abordagem holística de entender as tecnologias, atividades de processamento de dados e necessidades de força de trabalho de sua organização antes de mapear as etapas detalhadas que você precisa seguir para se tornar mais seguro. Oferecendo soluções para serviços de teste, treinamento e consultoria, podemos ajudá-lo a estabelecer um nível de segurança da Informação do qual você possa se orgulhar.
para aconselhamento especializado sobre como fortalecer sua postura de segurança da informação, entre em contato – estamos prontos para ajudar!