**
O que é a tríade CIA?
**
No mundo de hoje a informação é algo extremamente valioso, ela também pode ser encontrada de diversas formas, online, no ato da fala ou em um livro. Seja onde for que a encontremos é dever do profissional de cibersegurança proteger essa informação.
A tríade CIA (não, não estamos falando da agência governamental estrangeira), se refere a um modelo para guiar as empresas e indivíduos em um bom sistema de segurança, fornecendo uma base para este desenvolvimento. Algumas organizações a usam sem mesmo perceber.
Vamos conhecer detalhadamente cada letra da tríade?
C - Confidentiality - Confidencialidade
O ato de deixar a informação protegida de acesso e disseminação não autorizado, mantendo o controle de quem pode ou não obter tal dado.
Se pensarmos no setor de RH de uma empresa, seria de efeito danoso se uma ameaça interna ou externa conseguir o nome, CPF, dados bancários ou saber sobre processos de recrutamento e demissão de novos, atuais e antigos funcionários. Além disso, às vezes ocorre de um erro humano vir a causar uma quebra da confidencialidade, como uma senha fraca ou o compartilhamento de credenciais.
Neste exemplo, o RH pode ser protegido com autenticação multifator, restrição de acesso ao sistemas para apenas pessoas autorizadas, em adição ao uso de criptografia para armazenar documentos sensíveis, como também categorizar dados com níveis de sensibilidades e criar níveis de permissão, é provável que mesmo um gestor não possa ver tudo.
I - Integrity - Integridade
Compete ao ato de manter a informação íntegra e autêntica, sem adulteração de forma indevida, para que ela seja confiável.
No caso de uma investigação criminal, é necessário garantir que as provas coletadas não foram modificadas. Se vier a ocorrer alguma alteração em um arquivo de log, modificação de um e-mail ou edição de uma captura de tela antes que a perícia a análise, a evidência pode ser comprometida e a defesa pode argumentar que a mesma foi adulterada. Assim tornando a comprovação inválida no tribunal e até a anulação do caso.
Neste exemplo, a prova coletada deve ser protegida por um hash criptográfico e assinaturas digitais, para impedir que um criminoso negue as suas ações. Um hash é único e muda assim que qualquer bit do arquivo for alterado, indicando que algo foi modificado. Já uma assinatura digital atesta que o documento não foi alterado depois do envio, dessa forma tornam as evidências mais fortes em processos judiciais e investigativos.
A - Availability - Disponibilidade
Finalizando a tríade, a confidencialidade e a integridade dos dados não são pertinentes se os mesmos não estão disponíveis para aqueles que eles atendem. Os recursos precisam estar disponíveis para quando um usuário legítimo precisar acessar essa informação, sendo algo primordial para um bom funcionamento de uma empresa.
Haja visto que um hospital que utiliza de um sistema digital tem esse sistema derrubado, pode ocorrer diversas situações desastrosas, como um médico ou enfermeiro estar sem acesso ao prontuário médico do paciente e não ficar ciente de alguma alergia que este doente possui, assim colocando em risco a vida dele.
Neste exemplo servidores redundantes são de grande utilidade, já que se um servidor falhar outro assumirá automaticamente. Paralelamente ter um plano de recuperação de desastre, como um gerador caso falte energia ou manter backups em tempo real, para restaurar os dados rapidamente caso haja falha.
Como usar a tríade CIA?
Diante do cenário atual de segurança cibernética, a tríade CIA traz um guia para levar a organização em um bom caminho para o entendimento de proteções e a pensar como um hacker pode vir a atacar uma empresa, ela deve ser usada em tomadas de decisões de segurança. O uso da tríade também é capaz de ser utilizada no treinamento de funcionários, parte importante para reduzir as falhas por erro humano.
Além disso é igualmente considerável que se mantenha um equilíbrio dentro da tríade, destacar muito um lado pode enfraquecer outro, o balanceamento das três partes consegue impedir futuros danos. Manter o seu uso faz com que a organização, além da segurança, transmita juntamente confiança aos seus clientes e parceiros, trazendo mais credibilidade para a marca.
Este artigo foi criado por uma estudante, os comentários estão livres para adicionar ou corrigir informações.
Saiba mais:
Tríade CID: Confiabilidade, Integridade e Disponibilidade.
https://www.fortinet.com/br/resources/cyberglossary/cia-triad
Top comments (0)