Questões de Tecnologia da Informação - Princípios da Segurança da Informação - Tribunal de Contas do Estado do Espírito Santo

Os sistemas de email global, como Hotmail e Gmail, dão sempre a garantia de disponibilidade das informações aos seus usuários e também poderiam ser utilizados para trafegar informações estratégicas.

Autenticidade, confidencialidade, não repúdio e integridade das informações trocadas podem ser atributos atingidos tecnicamente com os usuários fazendo uso de certificação digital para assinar digitalmente e cifrar as mensagens de email trocadas.

Para o envio de uma mensagem cifrada a um destinatário de email, o usuário local precisa ter conhecimento da chave privada do usuário destinatário.

A mensagem assinada digitalmente faz uso da chave pública do usuário originador da mensagem.

O atributo de não repúdio de uma mensagem enviada fica garantido pelo fato de o usuário ter conhecimento e fazer uso de sua chave pública para assinar a mensagem.

A perda da confidencialidade acontece quando a informação deixa de estar acessível por quem necessita dela.

A perda da autenticidade e a impossibilidade de não repúdio podem ser consideradas ameaças à segurança da informação.

As ameaças à segurança da informação são sempre motivadas pela questão financeira.

A perda da integridade ocorre quando há vazamento de uma determinada informação que resulta na exposição de informações restritas que deveriam ser acessadas apenas por um determinado grupo de usuários.

A perda da disponibilidade acontece quando uma determinada informação fica exposta a manuseio por uma pessoa não autorizada, possibilitando que esta efetue alterações que não foram aprovadas e não estão sob o controle do proprietário da informação.

A seleção de mecanismos e controles a serem implementados para promover a segurança da informação deve seguir critérios com base na avaliação do que se deseja proteger, dos riscos associados e do nível de segurança que se pretende atingir.

Todos os mecanismos de segurança disponíveis devem ser utilizados, tendo em vista que a segurança da informação exige sempre o grau máximo de proteção dos ativos de informação.

Controles físicos, barreiras que limitem o contato ou acesso direto a informação ou à infraestrutura para garantir a existência da informação, não são geridos pela área de segurança da informação.

Mecanismos de cifração ou encriptação que permitem a transformação reversível da informação, de forma a torná-la ininteligível a terceiros, em geral, são suficientes para apoiar uma boa estratégia de segurança da informação.

Os mais importantes mecanismos de segurança da informação incluem, necessariamente, o emprego de firewalls, detectores de intrusões, antivírus, filtros anti-spam e controle de acesso.

Os principais atributos da segurança da informação são a autenticidade, a irretratabilidade e o não repúdio.

No contexto atual do governo e das empresas brasileiras, a segurança da informação tem sido tratada de forma eficiente, não permitindo que dados dos cidadãos ou informações estratégicas sejam vazados.

A privacidade constitui uma preocupação do comércio eletrônico e da sociedade da informação, não estando inserida como atributo de segurança da informação, uma vez que é prevista no Código Penal brasileiro.

A área de segurança da informação deve preocupar-se em proteger todos os ativos de informação de uma organização, governo, indivíduo ou empresa, empregando, em todas as situações, o mesmo nível de proteção.

Entre as características básicas da segurança da informação estão a confidencialidade, a disponibilidade e a integridade.

log de chaves primárias.

trigger.

becape total.

stored procedures.

mapeamento de cardinalidades.