Confidencialidade Integridade e Disponibilidade (CID)

Confidencialidade Integridade e Disponibilidade (CID)
Share on twitter
Share on facebook
Share on whatsapp
Share on email


A segurança das informações de clientes e colaboradores tem sido uma das grandes preocupações das empresas nos últimos tempos. Para garanti-la é preciso contar com três pontos: confidencialidade, integridade e disponibilidade.

Isso porque esses três termos — confidencialidade, integridade e disponibilidade — são fundamentais em qualquer política interna de TI, uma vez que garantem que seus processos internos funcionem adequadamente.

  1. O que significa Confidencialidade, Integridade e Disponibilidade?
  2. Confidencialidade
  3. Integridade
  4. Disponibilidade
  5. Qual a importância da confidencialidade, integridade e disponibilidade da informação?
  6. Como CID se relaciona com a LGPD?
  7. Resumo da CID

O que significa Confidencialidade, Integridade e Disponibilidade?

O que significa Confidencialidade, Integridade e Disponibilidade?

Confidencialidade, integridade e disponibilidade, termos conhecidos pela sigla CID, são considerados os três pilares do modelo clássico de segurança da informação, onde o objetivo final é a proteção de dados.

Esses três pilares nada mais são que os objetivos a serem atingidos por meio da segurança da informação, onde cada um aborda um aspecto diferente no tocante a essa proteção.

Esses 3 pilares da segurança da informação, portanto, constituem um conjunto de ações que procuram prevenir problemas relacionados à área, como o vazamento de dados, por exemplo.

Isso porque a constante evolução da tecnologia tem deixado clara a importância dos dados e informações que circulam no ambiente digital e fora dele.

Os dados tornaram-se um insumo relevante para as organizações e, por isso, a forma de tratamento e proteção dessas informações também têm estado cada vez mais em evidência.

Nesse cenário, as organizações viram-se pressionadas à realizar adequações para viabilizar o controle total do acesso à informação, especialmente considerando os, cada vez mais frequentes, novos tipos de ameaças no ambiente digital.

O que é segurança da informação?

A segurança da informação, também chamada de InfoSec, diz respeito a um conjunto de ações tomadas com o objetivo de proteger um grupo de dados, mantendo em segurança o valor que ele possui para um indivíduo ou organização.

Ou seja, em síntese, a segurança da informação impede que determinados dados que precisam ser mantidos seguros caiam nas mãos de pessoas não autorizadas.

Além disso, os processos de Segurança da Informação também são responsáveis por impedir que tais dados sejam destruídos acidentalmente, perdidos, roubados ou danificados

Quando nos referimos a dados, estamos falando de qualquer informação, documento ou testemunho que permita chegar ao conhecimento ou dedução de algo.

Os dados pessoais, por exemplo, são o conjunto de informações distintas que permitem a identificação de determinada pessoa.

A segurança da informação é baseada em três diferentes atributos que constituem os seus pilares:

  1. confidencialidade
  2. disponibilidade
  3. integridade

Gestão da segurança da informação

A gestão da segurança da informação, por outro lado, refere-se à prática e adoção de estratégias, métodos, ações e ferramentas que possam viabilizar a proteção dos dados.

A gestão da segurança da informação pode incluir, por exemplo, o uso de controles físicos, a fim de impedir que determinados dados sejam acessados indevidamente por meio da infraestrutura.

Portanto, os controles físicos podem incluir, entre outros:

  • blindagens;
  • CFTV;
  • profissionais da segurança;
  • sistemas de registro de pessoas ou veículos que acessam determinada área restrita.

A gestão de segurança da informação também conta com controles lógicos, isto é, mecanismos de software ou dados que impedem o acesso indevido ou qualquer incidente relacionado aos dados. Por exemplo:

  • criptografia: dados que estão em formato ilegível para quem não possui sua chave de acesso;
  • hashing: o uso de algorítimos em função hashing permite checar a integridade da informação;
  • firewalls: garantem que somente conexões autorizadas poderão acessar uma rede ou computador;
  • protocolos: padrões de comunicação em uma rede ou entre redes, como o HTTPS;
  • honeypot: ferramenta usada para enganar invasores, simulando falhas de segurança inexistente com o objetivo de coletar os dados dos invasores;
  • registros de eventos (logs): sistemas operacionais e softwares registram eventos por meio do que é conhecido por logs.

Por fim, a gestão da segurança da informação conta, ainda, com controles administrativos, isto é, práticas, políticas, recomendações e procedimentos adotados pela organização para a proteção das informações.

Os controles administrativos incluem, por exemplo, o treinamento de funcionários. Mas para entender o que, de fato, significa segurança da informação é preciso discutir e detalhar os seus pilares separadamente.

Confidencialidade

O conceito de confidencialidade se refere à proteção de informações que não devem ser acessadas por indivíduos não autorizados.

Isso significa dizer que, literalmente, determinadas informações são confidenciais e só dispõe de seu acesso aqueles que possuem autorização para tal.

Assim, esse pilar tem como principal objetivo assegurar a proteção dos sistemas de cunho confidencial e sigiloso.

Para cumprir com seu objetivo, esse aspecto da segurança da informação é implementado por diversos mecanismos, como logins, senhas, tokens, criptografia, entre outros.

Para exemplificar esse conceito, pense nos seus dados bancários. Os únicos que possuem acesso a essas informações são você e determinados responsáveis pelo banco de dados.

Portanto, essas são informações confidenciais, de forma que o simples acesso a esses dados, por si só, já retrata um quadro danoso.

Essa falha de confidencialidade, seja intencional ou acidental, não pode ser remediada, uma vez que esses dados foram revelados. Ou seja, quem teve acesso a eles não pode simplesmente esquecê-los.

Atualmente, grande parte dos casos dos incidentes de segurança se referem à quebra de confidencialidade.

Dentro da segurança da informação é comum que os dados confidenciais sejam categorizados conforme o seu nível de criticidade.

Isso quer dizer que aqueles dados que possuem maior extensão de danos, caso expostos, e os que necessitam de maiores ou mais complexas medidas de segurança, conforme essa característica, são priorizados.

Fora isso, a confidencialidade de dados também está relacionada ao princípio de hierarquização.

Esse princípio determina o acesso às informações somente às pessoas em que realmente há a necessidade de acesso e de acordo com o nível de responsabilidade por ele instituído.

Por fim, outro princípio que garante a confidencialidade das informações é o seu descarte adequado.

Integridade

Já o conceito de integridade na segurança da informação está relacionado à plenitude do armazenamento dos dados. Isto é, da mesma forma que as informações são fornecidas, elas devem ser armazenadas, sem qualquer alteração em seu conteúdo.

Portanto, o princípio de integridade garante que todas as informações estejam em seu formato original e verdadeiro, a fim de servir para os propósitos para o qual foram designadas. Ou seja, elas devem permanecer íntegras.

Para exemplificar, imagine que ao acessar um site você clique em um link esperando ser redirecionado para uma página específica, mas na verdade um invasor, entre você e o site, desvia seu acesso para outra página.

Nesse exemplo, podemos notar um quebra na integridade dos dados, uma vez que a página para qual você foi redirecionado não é a genuinamente pré-determinada para o seu acesso.

Em suma, a perda de integridade se resume a uma condição em que determinada informação fica exposta ao manuseio de um indivíduo não autorizado que, por sua vez, efetua alterações dessas informações.

Contudo, as falhas de integridade não são causadas exclusivamente pelo fator humano, alterações de informações também podem estar relacionadas a acidentes, como de falhas de servidor, por exemplo.

Assim como a confidencialidade, a segurança da informação utiliza-se de alguns mecanismos para garantir a integridade da informação. Exemplos desses mecanismos são criptografia, hashing e assinaturas digitais.

Outros mecanismos indispensáveis para a manutenção da integridade das informações incluem o uso da definição de permissões para acesso a arquivos por meio de códigos de verificação e senhas, além do uso do backup.

Disponibilidade

Por fim, o conceito de disponibilidade diz respeito ao acesso dos dados sempre que este for necessário. Isto é, significa, literalmente, a garantia da disponibilidade das informações.

Esse princípio está diretamente relacionado à eficácia do sistema e do funcionamento da rede para que, consequentemente, a informação possa ser acessada quando for necessário.

Assim, notamos que esse pilar está muito associado à parte operacional da organização. Portanto, para garantir a disponibilidade da informação é preciso que a organização tenha uma estrutura adequada.

Mecanismos usados para isso são a realização periódica de backups em nuvem, atualizações necessárias dos sistemas e o uso de banda compatível com as necessidades da empresa, a fim de evitar quedas na navegação.

Fora isso, outra ação importante para evitar as falhas de disponibilidades é a realização de um plano de recuperação de desastres.

Nesse plano devem constar, em detalhes, diretrizes cabíveis para administrar possíveis crises, recuperar dados e diminuir os riscos relacionados à falhas de disponibilidade.

Assim, a organização terá um plano de ação para o pior cenário possível e será capaz de prosseguir com seus processos.

Vale mencionar que a falha de disponibilidade também está relacionada a fatores naturais, como ameaças de desastres. Dentro de seu plano de recuperação, a organização deve levar esse fator em consideração.

Quer se tornar um especialista em LGPD certificado pela EXIN? Acesse a página de cursos do Certifiquei e confira nosso curso Privacy & Data Protection – Essentials! 

Qual a importância da confidencialidade, integridade e disponibilidade da informação?

Como vimos, esses três princípios da segurança da informação são sua garantia de eficácia, garantindo sua validade em todos os seus processos.

Esse fator é ainda mais evidente se olharmos para o cenário organizacional atual, onde os dados são valiosos e necessários para alcançar resultados positivos.

Além disso, o processo de globalização e digitalização da sociedade tem aumentado o volume de dados em circulação.

Atualmente grande parte dos nossos processos diários envolvem, de uma forma ou de outra, o uso da tecnologia. Seja nas nossas relações sociais, uso financeiro etc..

Dessa maneira, disponibilizamos nossas informações e dados com cada vez mais frequência às mais variadas organizações.

É nesse cenário que a segurança da informação tem ganhado, gradativamente, mais destaque e importância e, por sua vez, os dados têm se tornado mais valiosos.

Portanto, manter a plena aplicabilidade dos três princípios da segurança da informação é fundamental para as empresas que lidam direta ou indiretamente com dados.

Logo, se a confidencialidade ou a integridade da informação forem comprometidas, haverá graves impactos nos resultados da empresa e na sua capacidade de operação, prejudicando o correto atendimento da demanda e escalabilidade do negócio.

Isso diminuirá sua competitividade no mercado, fator provocado pela insatisfação dos seus clientes. Se o mesmo ocorrer com a disponibilidade, a organização pode perder, igualmente, a confiabilidade de seus clientes.

Assim, fica claro que sem o devido cuidado com esses três pontos a organização pode, facilmente, ser vítima se algum tipo de violação de dados que, por sua vez, pode gerar grandes prejuízos.

Portanto, visto a quantidade de vulnerabilidades que colocam em risco as informações, é preciso que, além de manter a CID, a organização também conte com uma boa gestão de riscos.

Como CID se relaciona com a LGPD?

Como CID (Confiabilidade, Integridade e Disponibilidade) se relaciona com a LGPD?

Atenta a todas as transformações que estão ocorrendo no cenário atual, a União Europeia foi o primeiro conjunto de países a se preocupar com a regulamentação do processamento de dados pessoais.

Mesmo dispondo de leis que tratassem sobre o tema, como a Diretiva Europeia de 1955, a UE aprovou em 2016 o GDPR, sigla em inglês para General Data Protection Regulation.

O regulamento europeu para a proteção e privacidade de dados pessoais entrou em vigência em 2018, trazendo diversas mudanças sobre a forma com que as organizações da Europa e de todo mundo vêem e processam informações.

Em suma, a lei versa, principalmente, sobre os direitos do titulares dos dados e institui deveres às organizações que lidam com essas informações.

Em reflexo às mudanças na Europa, no mesmo ano em que o GDPR entrou em vigor o Brasil aprovou a criação da Lei Geral de Proteção de Dados (LGPD), a primeira lei brasileira a regulamentar de forma efetiva o processamento de dados pessoais.

A lei brasileira segue os mesmos princípios da europeia, dispondo de diversas regras impostas à organizações que realizam o tratamento de dados, bem como garantindo direitos aos titulares dos dados.

De fato, as organizações sempre tiveram cuidado com a privacidade dos dados, contudo, com a entrada em vigor da Lei 13.709/2018 – LGPD, a atenção passou a ser ainda maior.

Isso porque, além de transformar os cuidados com o processamento de dados uma obrigatoriedade para todas as organizações, a lei ainda institui sanções para as empresas que descumprirem essas diretrizes.

Desse modo, procurando adequar-se à nova legislação brasileira, a implementação dos três pilares da segurança da informação se faz essencial.

Interessado em aprender mais sobre a Lei Geral de Proteção de Dados? Confira os cursos do Certifiquei e prepare-se para adequar-se às novas normas de segurança de dados.

Como posso me preparar para a LGPD?

Reforçar os mecanismos de segurança da informação da organização é essencial para garantir a confidencialidade, integridade e disponibilidade dos dados.

Contudo, isso pode não ser o suficiente para que a empresa esteja devidamente adequada à nova lei. Isso porque, além de cobrar um maior padrão de segurança, a LGPD também dispõe de outras diretrizes a serem seguidas pela empresa.

Portanto, para garantir que a organização esteja preparada e adequada à nova lei é preciso conhecer a LGPD com profundidade.

Para isso, no entanto, apenas a leitura completa do texto pode não ser suficiente, uma vez que a lei possui diversos pontos que podem parecer mais complexos e gerar dúvidas.

Assim, além de entender seus pontos, é preciso saber como esses devem ser aplicados na organização.

Uma alternativa para isso é a realização de um curso completo que possa explicar a lei e demonstrar a aplicabilidade dos seus dispositivos, além de sanar possíveis questionamentos.

Aqui no Certifiquei você pode contar com o curso Privacy & Data Protection Essentials (PDPE), que aborda os principais pontos sobre a organização da proteção e dados pessoais e as regras da LGPD.

Além disso, após a realização do curso, você estará preparado para realizar o exame EXIN Privacy & Data Protection Essentials para obter sua certificação de nível internacional.

Resumo da CID

Vamos ver se você entendeu tudo sobre os conceitos de confidencialidade, integridade e disponibilidade da informação? Aqui você vai encontrar respostas condensadas sobre os principais pontos abordados nesse artigo. Vamos lá?

O que é segurança da informação?

Segurança da informação diz respeito ao conjunto de ações usadas em prol da proteção de determinadas informações. Seus fundamentos são a confidencialidade, integridade e disponibilidade.

O que é gestão da segurança da informação?

Gestão da segurança da informação refere-se a adoção de estratégias que reforçam a segurança da informação. Engloba o uso de controles físicos, lógicos e administrativos.

Quais são os três pilares da segurança da informação?

Os três pilares da segurança da informação são a confidencialidade, integridade e disponibilidade.

O que é confidencialidade?

Confidencialidade, diz respeito à proteção de qualquer informação que não deve ser acessada por um indivíduo sem permissão.

O que é integridade?

A integridade significa manter as informações em seu formato original e verdadeiro. Ou seja, eles devem permanecer íntegros.

O que é a disponibilidade?

A disponibilidade se refere ao acesso do dados pelo seu titular sempre que for necessário.

Garantir a confidencialidade, integridade e disponibilidade dos dados é fundamental para o bom funcionamento da segurança da informação em qualquer organização.

Carla Batistella
Carla Batistella
Carla Batistella é formada em Redes de computadores e MBA em gestão de projetos pela FGV, atua há 18 anos com tecnologia da informação, sendo os últimos cinco anos com projetos de compliance de segurança da informação. Estuda Privacidade e Proteção de Dados há algum tempo e é DPO EXIN. Atua em diversos projetos, auxiliando os clientes nas adequações de empresas e seus processos e negócios à LGPD.

relacionadas