A segurança da informação é um tema bastante importante e presente em toda a tecnologia mais atual. Sem se dar muito por ela, o conceito de segurança está inerente em toda a informação que circula na maior das redes, a Internet, na rede local mantida apenas para comunicações locais, em toda, ou quase toda a informação que nos rodeia.

Os últimos anos têm sido avassaladores ao nível da privacidade e confidencialidade da informação, inúmeros foram os leaks referentes a informações de entidades empresariais e até comunidades. Por exemplo, abaixo segue uma pequena listagem com alguns endereços referentes a fugas de informação no ano de 2016 [1].

Information security is an important subject in all technology. The concept of security is present anywhere, in the Internet, in the local network maintained only for local communications, in all, or almost all the information that surrounds us.

In the last few years we have assisted to numerous information leakage. It were devastor at level of privacy and confidentially of information. For example, below is a short list with some addresses referring to information leakage in the year 2016 [1].

As organizações precisam, portanto, de mecanismos que permitam a troca de informação de forma segura entre duas ou mais entidades na rede, muita das vezes identificada como um canal inseguro para a transmissão de informação.

Para isso foram criadas diversas normas ao longo dos anos, e também alguns princípios que atualmente definem a segurança da informação, nomeadamente: (i) Disponibilidade, (ii) Integridade, (iii) Confidencialidade e (iv) Autenticidade.

Organizations need mechanisms that allow the secure exchange of information between two or more entities in the Internet. Notice that many times this channel is identified as an insecure channel for the transmission of information.

For this, several standards have been created over the years, and there are some principles that currently define information security, namely: (i) Availability, (ii) Integrity, (iii) Confidentiality and (iv) Authenticity.

Princípio da Disponibilidade / Principle of Availability

No grosso modo, este princípio garante que a informação estará sempre disponível e o sistema vai responder com eficácia quando ocorrer um acesso.

This principle ensures that information is always available and the system will respond effectively when an access occurs.

Princípio da Integridade / Principle of Integrity

Este garante que a informação não foi violada ou manipulada durante a transmissão entre duas ou mais entidades. Um exemplo prático do uso deste princípio é quando um é efetuado o download de um ficheiro ISO e no final é calculada uma chave de hash (SHA ou MD5) do ficheiro para comparar com a chave distribuída no site do fornecedor. Quando as duas chaves são iguais então não ocorreu perda de informação durante a transmissão.

This principle ensures that the information has not been changed during the transmission proccess between two or more entities. A practical example for this principle is when an ISO file is downloaded. In the end, an hash key (SHA or MD5) is computed from the file to compare with the distributed key on the vendor’s website. When the two keys are the same then no loss of information occurred during transmission.

Princípio da Confidencialidade / Principle of Confidentiality

A informação é segura quando pessoas não autorizadas desconhecem essa mesma informação ou a sua existência. Isto é, a informação apenas pode ser acedida por pessoas previamente autorizadas. Um exemplo prático deste princípio é quando se partilha um documento na Cloud apenas para três utilizadores, Alice, Bob e Claire. Apenas eles, e somente eles, conseguem aceder à informação.

Information is secure when unauthorized persons are unaware of this information or its existence. That is, information can only be accessed by previously authorized persons. A practical example of this principle is when you share a document in the Cloud for just three users, Alice, Bob and Claire. Only they can access the information.

Princípio da Autenticidade / Principle of Authenticity

Este princípio garante que a informação é autentica, isto é, a informação foi enviada garantidamente da fonte que se propôs a enviá-la. Se a Alice envia um e-mail para o Bob, tem de existir uma maneira de garantir que esse e-mail não foi manipulado durante o processo de transmissão por terceiros. A assinatura digital é um claro exemplo disso.

Dentro do contexto da autenticidade pode incluir-se ainda um princípio secundário que é o “Não Repúdio“. O remetente não pode de forma alguma negar o envio da informação.

This principle ensures that the information is authentic, that is, the information has been sent from the authentic source. If Alice sends an email to Bob, exists a way to ensure that this email was not modified during the transmission process, namely through an digital signature.

Within the context of authenticity may also include a secondary principle: “Non Repudiation“. The sender can not in any way deny the sending of the information.

Uma forma de reter esta informação é a partir da seguinte mnemónica:

D(isponibilidade)I(ntegridade)C(onfidencialidade)A(utenticidade) > DICA

Referência:

[1] http://www.zdnet.com/pictures/biggest-hacks-security-data-breaches-2016/


One Reply to “Principles of Information Security”

Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *