A tríade CIA é um modelo de segurança da informação que é levado em consideração ao longo da criação de uma política de segurança. Este modelo tem um vasto background desde a sua utilização em 1998.
Esse histórico ocorre porque a segurança da informação (segurança da informação) não começa e/ou termina com a segurança cibernética, mas, em vez disso, se aplica a cenários como arquivamento, armazenamento de registros, etc.
Composto por três seções: Confidencialidade, Integridade e Disponibilidade (CIA), este modelo tornou-se rapidamente um padrão da indústria atualmente. Este modelo deve ajudar a determinar o valor dos dados aos quais se aplica e, por sua vez, a atenção que necessita da empresa.
A tríade CIA é diferente de um modelo tradicional onde existem seções individuais; em vez disso, é um ciclo contínuo. Embora os três elementos da tríade CIA possam, sem dúvida, sobrepor-se, se apenas um elemento não for satisfeito, os outros dois tornam-se inúteis. Se uma política de segurança não responder a estas três seções, raramente será uma política de segurança eficaz.
Embora os três elementos da tríade CIA sejam indiscutivelmente autoexplicativos, vamos explorá-los e contextualizá-los na segurança cibernética.
Confidencialidade
Este elemento é a proteção dos dados contra acesso não autorizado e uso indevido. As organizações sempre terão algum tipo de dados confidenciais armazenados em seus sistemas. Fornecer confidencialidade é proteger esses dados de partes às quais não se destinam.
Existem muitos exemplos reais disso, por exemplo, registros de funcionários e documentos contábeis serão considerados confidenciais. A confidencialidade será fornecida no sentido de que apenas os administradores de RH terão acesso aos registos dos funcionários, onde existem verificações e controlos de acesso rigorosos. Os registos contabilísticos são menos valiosos (e, portanto, menos sensíveis), pelo que não existiriam controlos de acesso rigorosos para estes documentos. Ou, por exemplo, governos que utilizam um sistema de classificação de sensibilidade (ultrassecreto, classificado, não classificado)
Integridade
O elemento da tríade de integridade da CIA é a condição em que as informações são mantidas precisas e consistentes, a menos que sejam feitas alterações autorizadas. É possível que as informações sejam alteradas devido a acesso e uso descuidados, erros no sistema de informação ou acesso e uso não autorizados. Na tríade CIA, a integridade é mantida quando a informação permanece inalterada durante o armazenamento, transmissão e utilização, sem envolver modificação da informação. Devem ser tomadas medidas para garantir que os dados não possam ser alterados por pessoas não autorizadas (por exemplo, numa quebra de confidencialidade).
Muitas defesas para garantir a integridade podem ser implementadas. O controle de acesso e a autenticação rigorosa podem ajudar a impedir que usuários autorizados façam alterações não autorizadas. As verificações de hash e as assinaturas digitais podem ajudar a garantir que as transações sejam autênticas e que os arquivos não tenham sido modificados ou corrompidos.
Disponibilidade
Para que os dados sejam úteis, eles devem estar disponíveis e acessíveis ao usuário.
A principal preocupação da tríade CIA é que a informação esteja disponível quando utilizadores autorizados necessitarem de aceder à mesma.
A disponibilidade é muitas vezes uma referência fundamental para uma organização. Por exemplo, ter 99,99% de tempo de atividade em seus sites ou sistemas (isso está estabelecido em Acordos de Nível de Serviço). Quando um sistema não está disponível, muitas vezes resulta em danos à reputação de uma organização e perda de finanças. A disponibilidade é alcançada através de uma combinação de muitos elementos, incluindo:
- Ter hardware confiável e bem testado para seus servidores de tecnologia da informação (ou seja, servidores confiáveis).
- Ter tecnologia e serviços redundantes em caso de falha do primário.
- Implementar protocolos de segurança bem versados para proteger tecnologia e serviços contra ataques.
Princípios de Privilégios
É vital administrar e definir corretamente os vários níveis de acesso a um sistema de tecnologia da informação exigido pelos indivíduos.
Os níveis de acesso concedidos aos indivíduos são determinados por dois fatores principais:
- O papel/função do indivíduo dentro da organização
- A sensibilidade das informações armazenadas no sistema
Dois conceitos-chave são usados para atribuir e gerenciar os direitos de acesso de indivíduos:
- Privileged Identity Management (PIM) e
- Privileged Access Management (ou PAM, abreviadamente).
Inicialmente, estes dois conceitos podem parecer sobrepostos; no entanto, eles são diferentes um do outro.
- O PIM é usado para traduzir a função de um usuário dentro de uma organização em uma função de acesso em um sistema.
- PAM é o gerenciamento dos privilégios que a função de acesso de um sistema possui, entre outras coisas.
O que é essencial quando se discute privilégios e controles de acesso é o princípio do menor privilégio. Simplesmente, os usuários devem receber o mínimo de privilégios e apenas aqueles que são absolutamente necessários para que desempenhem suas funções. Outras pessoas devem ser capazes de confiar no que as pessoas escrevem.
Como mencionamos anteriormente, o PAM incorpora mais do que apenas atribuir acesso. Também abrange a aplicação de políticas de segurança, como gerenciamento de senhas, políticas de auditoria e redução da superfície de ataque que um sistema enfrenta.
Antes de continuar a discutir os modelos de segurança, recordemos os três elementos da tríade da CIA: Confidencialidade, Integridade e Disponibilidade. Descrevemos anteriormente quais são esses elementos e sua importância. No entanto, existe uma maneira formal de conseguir isso.
De acordo com um modelo de segurança, qualquer sistema ou tecnologia que armazene informações é chamado de sistema de informação, e é assim que referenciaremos sistemas e dispositivos nesta tarefa.
Vamos explorar alguns modelos de segurança populares e eficazes usados para alcançar os três elementos da tríade da CIA.
O modelo Bell-La Padula
O modelo Bell-La Padula é usado para obter confidencialidade. Este modelo tem alguns pressupostos, como a estrutura hierárquica da organização em que é utilizado, onde as responsabilidades/funções de todos são bem definidas.
O modelo funciona concedendo acesso a dados (chamados objetos) com base na estrita necessidade de conhecimento. Este modelo usa a regra “no write down, no read up”.
Vantagens
As políticas neste modelo podem ser replicadas para hierarquias de organizações da vida real (e vice-versa)
Simples de implementar e entender, e sucesso comprovado.
Desvantagens
Mesmo que um usuário não tenha acesso a um objeto, ele saberá de sua existência – portanto, não é confidencial nesse aspecto.
O modelo depende de uma grande confiança dentro da organização.
O modelo Bell LaPadula é popular em organizações governamentais e militares. Isso ocorre porque se presume que os membros das organizações já passaram por um processo denominado verificação. A verificação é um processo de triagem em que os antecedentes do candidato são examinados para estabelecer o risco que representam para a organização. Portanto, os candidatos que são avaliados com sucesso são considerados confiáveis – e é aí que este modelo se encaixa.
Modelo Biba
O modelo Biba é indiscutivelmente equivalente ao modelo Bell-La Padula, mas no que diz respeito à integridade da tríade da CIA.
Este modelo aplica a regra a objetos (dados) e sujeitos (usuários) que podem ser resumidos como “no write up, no read down”. Esta regra significa que os sujeitos podem criar ou escrever conteúdo em objetos no seu nível ou abaixo dele, mas só podem ler o conteúdo de objetos acima do nível do sujeito.
Vamos comparar algumas vantagens e desvantagens deste modelo na tabela abaixo:
Vantagens
Este modelo é simples de implementar.
Resolve as limitações do modelo Bell-La Padula, abordando tanto a confidencialidade quanto a integridade dos dados.
Desvantagens
Haverá muitos níveis de acesso e objetos. As coisas podem ser facilmente ignoradas ao aplicar controles de segurança.
Muitas vezes resulta em atrasos dentro de uma empresa. Por exemplo, um médico não conseguiria ler as anotações feitas por uma enfermeira em um hospital com este modelo.
O modelo Biba é utilizado em organizações ou situações onde a integridade é mais importante que a confidencialidade. Por exemplo, no desenvolvimento de software, os desenvolvedores podem ter acesso apenas ao código necessário para o seu trabalho. Eles podem não precisar de acesso a informações críticas, como bancos de dados, etc.
Você já ouviu falar do cubo de segurança digital? Ele fornece uma maneira útil de refletir sobre a proteção de dados. O cubo nos lembra o que a tarefa de proteger dados envolve, incluindo os três dimensões da segurança da informação.
Role para baixo para explorar cada uma delas.
A primeira dimensão do cubo de segurança cibernética identifica os objetivos para proteger o espaço cibernético. Os princípios fundamentais de confidencialidade, integridade e disponibilidade de dados fornecem um foco que permite que o especialista em segurança cibernética priorize ações ao proteger qualquer sistema em rede.
A confidencialidade dos dados impede a divulgação de informações a pessoas, recursos ou processos não autorizados.
A integridade dos dados refere-se à precisão, consistência e confiabilidade dos dados.
A disponibilidade de dados garante que as informações sejam acessíveis por usuários autorizados quando necessário.
Use o acrônimo CIA para se lembrar desses três princípios.
O domínio do ciberespaço contém uma quantidade considerável de dados extremamente importantes. Mas em que estado? A segunda dimensão do cubo de segurança digital representa os três estados de dados possíveis:
- Dados em trânsito.
- Dados inativos ou em armazenamento.
- Dados no processo.
A segurança digital eficaz exige a proteção de dados nos três estados. Não podemos nos concentrar apenas na proteção dos dados que estão sendo processados, nem apenas nos dados do armazenamento.
A terceira dimensão do cubo de segurança digital define os pilares nos quais precisamos basear nossas defesas de segurança digital para proteger dados e infraestrutura na região digital.
São tecnologia, políticas e práticas, e melhoram a educação, o treinamento e a conscientização das pessoas.
Os profissionais de segurança cibernética devem usar uma variedade de diferentes qualificações profissionais e disciplinas disponíveis a eles, ao proteger os dados no espaço cibernético.
Histórico/Cenário
O cubo de McCumber foi desenvolvido por John McCumber em 1992. É uma estrutura usada para estabelecer e avaliar a segurança da informação e dos sistemas de informação. A estrutura depende do profissional de segurança cibernética para identificar ativos de informação com foco nos princípios fundamentais da segurança cibernética: confidencialidade, integridade e disponibilidade. O modelo se baseia em três dimensões e cada uma delas possui três elementos.
Dimensão Um: Princípios de Segurança Cibernética CIA
- Confidencialidade: garante que informações confidenciais não são divulgadas intencionalmente ou acidentalmente a indivíduos não autorizados
- Integridade: garante que a informação não é modificada intencional ou acidentalmente de forma a pôr em causa a sua fiabilidade ou fiabilidade
- Disponibilidade: garante que os indivíduos autorizados tenham acesso oportuno e confiável à informação e aos sistemas de informação
Dimensão Dois: Estados de Informações (dados)
- Armazenamento: Dados inativos (armazenados na memória, em uma unidade ou pen-drive USB)
- Transmissão: transfere de dados entre sistemas
- Processamento: realiza operações em dados como modificação, backup, correções
Dimensão Três: Contramedidas de Segurança ou Safeguards
- Política e práticas: controles administrativos, como políticas de segurança da informação, procedimentos, diretrizes e diretrizes de gestão
- Fatores humanos: garantir que os usuários dos sistemas de informação estejam cientes de seus papéis e responsabilidades. Requer programas de conscientização e educação.
- Tecnologia: soluções baseadas em software e hardware projetadas para proteger sistemas de informação, como antivírus, firewalls e sistemas IDS/IPS.
Nenhum comentário:
Postar um comentário