Difference between revisions 37069918 and 37069919 on ptwiki

Entende-se por '''autenticidade''' a [[certeza]] de que um objeto (em análise) provém das fontes anunciadas e que não foi alvo de mutações ao longo de um processo. Na [[telecomunicação]], uma mensagem será autêntica se for, de fato, recebida na íntegra, diretamente do emissor. 

Outra definição de ''Autenticidade'' seria a identificação e a segurança da origem da informação. O nível de segurança desejado, pode se consubstanciar em uma "[[#Políticas de segurança|política de segurança]]" que é seguida pela organização ou pessoa, para garantir que uma vez estabelecidos os princípios, aquele nível desejado seja perseguido e mantido.

Autenticidade é a garantia de que você é quem diz ser. Em segurança da informação um dos meios de comprovar a autenticidade é através da biometria que esta ligado diretamente com o controle de acesso que reforça a confidencialidade e é  garantida pela integridade.  

{{mínimo-informática}}

[[Categoria:Segurança da informação]]⏎
INTRODUÇÃO
Confidencialidade é a propriedade da informação pela que não estará disponível ou divulgada a indivíduos, entidades ou processos sem autorização. Em outras palavras, confidencialidade é a garantia do resguardo das informações dadas pessoalmente em confiança e proteção contra a sua revelação não autorizada.
Confidencialidade foi definida pela Organização Internacional de Normalização (ISO) na norma ISO/IEC 17799 como "garantir que a informação seja acessível apenas àqueles autorizados a ter acesso" e é uma pedra angular da segurança da informação. A confidencialidade é uma das metas do projeto para muitos sistemas de criptografia, tornada possível graças à prática de técnicas de criptografia moderna.


















DESENVOLVIMENTO
A confidencialidade também se refere a um princípio ético associado com várias profissões (por exemplo, medicina, direito, religião psicologia, profissionais e jornalismo), neste caso, falamos de confidencialidade. Na ética, e (em alguns lugares) em Direito, em especial nos juízos e outras formas de resolução de litígios, como a mediação, alguns tipos de comunicação entre uma pessoa e um desses profissionais são "privilegiados" e não podem ser discutidos ou divulgada a terceiros. Nas jurisdições em que a lei prevê a confidencialidade, geralmente há sanções em caso de sua violação.
O sigilo das informações, imposta a uma adaptação do clássico princípio militar "know-how", é a pedra angular da segurança da informação nas empresas de hoje. A chamada "bolha da privacidade" restringe o fluxo de informações, com positivas e negativas consequências.
CONFIDENCIALIDADE NA INFORMÁTICA
A confidencialidade é compreendida no domínio da segurança informática como a proteção de dados e informações trocadas entre um emissor e um ou mais destinatários contra terceiros. Isto deve ser feito independentemente da segurança do sistema de comunicação utilizado: de fato, uma questão de grande interesse é o problema de garantir o sigilo de comunicação utilizado quando o sistema é inerentemente inseguro (como a Internet).
Em um sistema que garante a confidencialidade, caso um terceiro capture informações trocadas entre o remetente e o destinatário, não será capaz de extrair qualquer conteúdo inteligível.
Para garanti-la, utilizam-se mecanismos de criptografia e de ocultação de comunicação. Digitalmente podem manter a confidencialidade de um documento com o uso de chaves assimétricas. Os mecanismos de criptografia devem garantir a confidencialidade durante o tempo necessário para a descodificação da mensagem. Por esta razão, é necessário determinar quanto tempo a mensagem deve permanecer confidencial. Não existe nenhum mecanismo de segurança absolutamente seguro.
A definição clássica de confidencialidade é a garantia do resguardo das informações dadas pessoalmente em confiança e a proteção contra a sua revelação não autorizada. Esta é a que consta no Glossário de Bioética do Instituto Kennedy de Ética. Atualmente, confidencialidade é considerada como sendo o dever de resguardar todas as informações que dizem respeito a uma pessoa, isto é, a sua privacidade. A confidencialidade é o dever que inclui a preservação das informações privadas e íntimas.
ELEMENTOS QUE FAZEM PARTE DA CONFIDENCIALIDADE
O termo é comumente usado para se referir a área de estudo de forma abrangente, como criptologia ("o estudo dos segredos"). Outros termos relacionados são: Criptoanálise, Esteganografia, Esteganálise, Código, e Criptologia. Alguns autores cunharam o termo Criptovirologia para se referir a vírus que contém e usam chaves públicas.4 O estudo das formas de esconder o significado de uma mensagem usando técnicas de cifragem tem sido acompanhado pelo estudo das formas de conseguir ler a mensagem quando não se é o destinatário; este campo de estudo é chamado criptoanálise.5
As pessoas envolvidas neste trabalho, e na criptografia em geral, são chamados criptógrafos, criptólogos ou criptoanalistas, dependendo de suas funções específicas.
A Esteganografia é o estudo das técnicas de ocultação de mensagens dentro de outras, diferentemente da Criptografia, que a altera de forma a tornar seu significado original ininteligível. A Esteganografia não é considerada parte da Criptologia, apesar de muitas vezes ser estudada em contextos semelhantes e pelos mesmos pesquisadores. A Esteganálise é o equivalente a criptoanálise com relação à Esteganografia.6
CIFRAS E CÓDIGOS
A cifra é um ou mais algoritmos que cifram e decifram um texto. A operação do algoritmo costuma ter como parâmetro uma chave criptográfica. Tal parâmetro costuma ser secreto (conhecido somente pelos comunicantes). A cifra pode ser conhecida, mas não a chave; assim como se entende o mecanismo de uma fechadura comum, mas não se pode abrir a porta sem uma chave real.
Na linguagem não-técnica, um Código secreto é o mesmo que uma cifra. Porém, na linguagem especializada os dois conceitos são distintos. Um código funciona manipulando o significado, normalmente pela substituição simples de palavras ou frases. Uma cifra, ao contrário, trabalha na representação da mensagem (letras, grupos de letras ou, atualmente, bits).
Por exemplo, um código seria substituir a frase "Atacar imediatamente" por "Mickey Mouse". Uma cifra seria substituir essa frase por "sysvst ozrfosyszrmyr". No Dia D, por exemplo, as praias de desembarque não eram conhecidas pelo seu nome próprio, mas pelos seus códigos (Omaha, Juno, etc.).
Basicamente, códigos não envolvem chave criptográfica, apenas tabelas de substituição ou mecanismos semelhantes. Códigos podem ser então encarados como cifras cuja a chave é o próprio conhecimento do mecanismo de funcionamento da cifra.
CHAVE CRIPTOGRÁFICA
Uma chave criptográfica é um valor secreto que modifica um algoritmo de encriptação. A fechadura da porta da frente da sua casa tem uma série de pinos. Cada um desses pinos possui múltiplas posições possíveis. Quando alguém põe a chave na fechadura, cada um dos pinos é movido para uma posição específica. Se as posições ditadas pela chave são as que a fechadura precisa para ser aberta, ela abre, caso contrário, não.
A segurança da informação está relacionada com proteção de um conjunto de informações, no sentido de preservar o valor que possuem para um indivíduo ou uma organização. São características básicas da segurança da informação os atributos de confidencialidade, integridade, disponibilidade e autenticidade, não estando esta segurança restrita somente a sistemas computacionais, informações eletrônicas ou sistemas de armazenamento. O conceito se aplica a todos os aspectos de proteção de informações e dados. O conceito de Segurança Informática ou Segurança de Computadores está intimamente relacionado com o de Segurança da Informação, incluindo não apenas a segurança dos dados/informação, mas também a dos sistemas em si.
Atualmente o conceito de Segurança da Informação está padronizado pela norma ISO/IEC 17799:2005, influenciada pelo padrão inglês (British Standard) BS 7799. A série de normas ISO/IEC 27000 foram reservadas para tratar de padrões de Segurança da Informação, incluindo a complementação ao trabalho original do padrão inglês. A ISO/IEC 27002:2005 continua sendo considerada formalmente como 17799:2005 para fins históricos
CONCEITOS DE SEGURANÇA
A Segurança da Informação se refere à proteção existente sobre as informações de uma determinada empresa ou pessoa, isto é, aplica-se tanto as informações corporativas quanto às pessoais. Entende-se por informação todo e qualquer conteúdo ou dado que tenha valor para alguma organização ou pessoa. Ela pode estar guardada para uso restrito ou exposta ao público para consulta ou aquisição.
Podem ser estabelecidas métricas (com o uso ou não de ferramentas) para a definição do nível de segurança existente e, com isto, serem estabelecidas as bases para análise da melhoria ou piora da situação de segurança existente. A segurança de uma determinada informação pode ser afetada por fatores comportamentais e de uso de quem se utiliza dela, pelo ambiente ou infraestrutura que a cerca ou por pessoas mal intencionadas que têm o objetivo de furtar, destruir ou modificar tal informação.
A tríade CIA (Confidentiality, Integrity and Availability) -- Confidencialidade, Integridade e Disponibilidade -- representa os principais atributos que, atualmente, orientam a análise, o planejamento e a implementação da segurança para um determinado grupo de informações que se deseja proteger. Outros atributos importantes são a irretratabilidade e a autenticidade. Com a evolução do comércio eletrônico e da sociedade da informação, a privacidade é também uma grande preocupação.
Portanto os atributos básicos, segundo os padrões internacionais (ISO/IEC 17799:2005) são os seguintes:
Confidencialidade - propriedade que limita o acesso a informação tão somente às entidades legítimas, ou seja, àquelas autorizadas pelo proprietário da informação.
Integridade - propriedade que garante que a informação manipulada mantenha todas as características originais estabelecidas pelo proprietário da informação, incluindo controle de mudanças e garantia do seu ciclo de vida (nascimento,manutenção e destruição).
Disponibilidade - propriedade que garante que a informação esteja sempre disponível para o uso legítimo, ou seja, por aqueles usuários autorizados pelo proprietário da informação.
Autenticidade - propriedade que garante que a informação é proveniente da fonte anunciada e que não foi alvo de mutações ao longo de um processo.
Irretratabilidade ou não repúdio - propriedade que garante a impossibilidade de negar a autoria em relação a uma transação anteriormente feita
Para a montagem desta política, deve-se levar em conta:
Riscos associados à falta de segurança;
Benefícios;
Custos de implementação dos mecanismos.
AUTENTICIDADE
Entende-se por autenticidade a certeza de que um objeto (em análise) provém das fontes anunciadas e que não foi alvo de mutações ao longo de um processo. Na telecomunicação, uma mensagem será autêntica se for, de fato, recebida na íntegra, diretamente do emissor.
Outra definição de Autenticidade seria a identificação e a segurança da origem da informação. O nível de segurança desejado, pode se consubstanciar em uma "política de segurança" que é seguida pela organização ou pessoa, para garantir que uma vez estabelecidos os princípios, aquele nível desejado seja perseguido e mantido.
Autenticidade é a garantia de que você é quem diz ser. Em segurança da informação um dos meios de comprovar a autenticidade é através da biometria que esta ligado diretamente com o controle de acesso que reforça a confidencialidade e é garantida pela integridade.
INTEGRIDADE
Integridade vem do latim integritate, significa a qualidade de alguém ou algo ser íntegro, de conduta reta, pessoa de honra, ética, educada, brioso, pundonoroso , cuja natureza de acção nos dá uma imagem de inocência, pureza ou castidade, o que é íntegro, é justo e perfeito, é puro de alma e de espírito.
São exemplos de integridade moral e corporal: a vida íntegra, a integridade física, dos bens sociais e individuais, integridade da honra e da fama, a integridade da intimidade pessoal, do nome, da imagem e dos sentimentos. É indiscutível a admissão da existência de determinados bens da personalidade e sua integridade, portanto, esta coaduna com o respeito, e este com a moral, e, quem tem moral, é íntegro.
Um ser humano íntegro não se vende por situações momentâneas, infrigindo as normas e leis, prejudicando alguém por um motivo fútil e incoerente. A moral de uma pessoa não tem preço e é indiscutível.
Em segurança da informação integridade significa ter a disponibilidade de informações confiáveis, correctas e dispostas em formato compatível com o de utilização, ou seja, informações íntegras, integridade é um dos itens que a caracteriza, e significa que a informação não foi alterada de forma não autorizada ou indevida. Se a informação é alterada de forma errada ou mesmo falsificada ela perde sua eficácia e confiabilidade, tornando vulneráveis decisões que a partir dela são tomadas, e tirando a credibilidade do ambiente (site ou empresa) que a forneceu.
Os outros itens que completam a integridade na segurança da informação são: disponibilidade (o tempo máximo que a informação está disponível), autenticidade (quando mais próxima do texto ou situação original mais autêntica se torna a informação prestada), e confidencialidade (a garantia que somente pessoas autorizadas terão acesso a determinada informação).
SISTEMA DE ALTA DISPONIBILIDADE
Cada vez mais é necessário garantir a disponibilidade de um serviço, mas sendo que muitos componentes dos sistemas de informação actuais contêm partes mecânicas, a fiabilidade destes é relativamente insuficiente se o serviço fôr crítico. Para garantir a ausência de interrupções de serviço é necessário, muitas vezes, dispôr de hardware redundante que entre em funcionamento automaticamente quando da falha de um dos componentes em utilização.
Quanto mais redundância existir, menores serão os SPOF (Single Point Of Failure), e menor será a probabilidade de interrupções no serviço. Até há poucos anos tais sistemas eram muito dispendiosos, e tem-se vindo a intensificar uma procura em soluções alternativas. Surgem então os sistemas construídos com hardware acessível (clusters), altamente escaláveis e de custo mínimo. A Figura 1 ilustra a configuração típica de um sistema de alta disponibilidade dual-node:
Como se pode observar, não existe um único ponto nesta arquitectura que, ao falhar, implique a indisponibilidade de outro ponto qualquer (SPOF). O facto de ambos servidores se encontram em funcionamento e ligados à rede não implica, porém, que se encontrem a desempenhar as mesmas tarefas. Esse é uma decisão por parte do administrador e que tem o nome de balanceamento de carga.
A Tabela 1 ilustra um dos termos de comparação geralmente utilizado na avaliação de soluções HA: níveis de disponibilidade segundo tempos de indisponibilidade (downtime). Excluídos desta tabela, os tempos de downtime estimados (geralmente para manutenção ou reconfiguração dos sistemas) são alheios às soluções e muito variáveis.
Geralmente, quanto maior a disponibilidade, maior a redundância e custo das soluções: tudo depende do tipo de serviço que se pretende disponibilizar. Por exemplo, um operador de telecomunicações quererá certamente o mais elevado a fim de poder garantir um elevado nível de disponibilidade, sob pena de perder os seus clientes caso o sistema sofra falhas constantemente. No entanto, uma empresa com horário de trabalho normal poderá considerar que 90% de disponibilidade serão suficientes. É de salientar que o nível de disponibilidade mensal não é o mesmo que o anual. Efectivamente, para se obter um nível de disponibilidade mensal de 97%, é necessário que o nível anual seja aproximadamente de 99,75%.
A tolerância a falhas consiste, basicamente, em ter hardware redundante que entra em funcionamento automaticamente após a detecção de falha do hardware principal. Independentemente da solução adoptada, existe sempre dois parâmetros que possibilitam mensurar o grau de tolerância a falhas que são o MTBF - Mean Time Between Failures - (tempo médio entre falhas) e o MTTR - Mean Time To Repair - (tempo médio de recuperação), que é o espaço de tempo (médio) que decorre entre a ocorrência da falha e a total recuperação do sistema ao seu estado operacional. A disponibilidade de um sistema pode ser calculada pela fórmula: