Você sabe o que é CIA no mundo da segurança cibernética?
Não, não estou falando da Agência Central de Inteligência dos EUA. A CIA em questão é a sigla, também em inglês, para Confidencialidade, Integridade e Disponibilidade (Confidentiality, Integrity and Availability). Esses são os três princípios fundamentais da segurança digital. Segundo a o material do treinamento Cybersecurity Essentials da Cisco, o qual participei, esses três princípios formam a tríade CIA. “Os elementos da tríade são os componentes mais críticos da segurança. Todos os profissionais de segurança digital devem se familiarizar com esses princípios fundamentais”, completa o material.
Significados da CIA
De acordo com o site DPINet, o princípio da Confidencialidade tem como objetivo garantir que as informações privadas permaneçam privadas e que só possam ser visualizadas, ou acessadas, por pessoas que precisam dessas informações para cumprir suas obrigações profissionais.
Segundo a mesma fonte, o princípio da Integridade envolve a manutenção da consistência, precisão e confiabilidade dos dados ao longo de todo o seu ciclo de vida. Os dados não devem ser alterados em trânsito e medidas devem ser tomadas para garantir que os dados não sejam alterados por pessoas não autorizadas (por exemplo, em caso de violação da confidencialidade).
Já o princípio da Disponibilidade significa que as informações devem ser consistentes e prontamente acessíveis para as partes autorizadas. Isso envolve a manutenção adequada de hardware, infraestrutura técnica e sistemas que armazenam e exibem as informações.
Como aplicar a CIA?
Um planejamento de segurança aplicado a realidade da organização e pensado a impedir invasões e vazamentos ao mesmo tempo que mantem o negócio funcionando e disponível para seus clientes. Isso é o fundamento básico para que a CIA funcione.
Logicamente, para que a CIA funcione todos os setores e não só o departamento de Tecnologia da Informação (TI) deve estar ciente das regras de segurança.
Por isso é vital que sejam elaboradas regras claras, que treinamentos sejam feitos não só com novos membros da equipe, mas atualizações constantes. As políticas de segurança precisam ser respeitadas e seguidas por mais que possam parecer desnecessárias para alguns membros da organização, serão elas a garantir que todos estejam protegidos dentro e fora da organização.
Pensando na CIA, podemos definir alguns tópicos para a proteção da segurança dos dados da organização:
– Categorizar os dados pela sensibilidade e importância e criar camadas de proteção equivalentes.
– Um sistema de informação da organização deve ser eficiente o suficiente para inibir a violação dos dados.
– A empresa deve usar mecanismos de autenticação, canais de acesso e sistema que funcionem corretamente e evitem o vazamento de dados, bem como seu acesso sem autorização.
– É preciso garantir aos usuários e membros da organização acesso fácil e imediato a seus serviços e aplicações quando for necessário para os usuários e membros da organização.
– Manter robusto sistema de segurança que vai além de softwares. Através de políticas aplicadas para todos os membros da organização (novos ou experientes). Treino para todos os novatos e semanas de reforço semestrais ou anuais para as equipes já experientes é vital para manter as regras vivas e os procedimentos fáceis de seguir.
Seguindo tudo isso estamos salvos?
Não. Infelizmente, mesmo com todo esse cuidado sempre haverá invasores dispostos a quebrar as proteções e invadir o seu negócio. Eles estarão usando as mais variadas técnicas para isso. Porém, camadas de segurança irão dificultar a vida dos invasores, forçando-os a se desgastar muito no processo. Porém, é uma mentira falar em sistema 100% seguro. Isso não existe.
Mas, não é por isso que você tem que descansar na busca por métodos e políticas de segurança. Elas ajudam demais no combate a invasões e vazamentos de dados. Por isso, aplique a CIA e desenvolva todas políticas internas de segurança possíveis.
Image by Sam Williams from Pixabay