Magic Quadrant™ para gerenciamento de acesso privilegiado 2025: Netwrix reconhecida pelo quarto ano consecutivo. Baixe o relatório.

Fale conoscoSuporteCommunity
English Español Italiano Français Deutsch Português
Plataforma
Soluções

Data Security Posture Management

Descubra e classifique dados em ambientes híbridos. Avalie, priorize e mitigue riscos aos dados sensíveis.

Directory Management

Simplifique e proteja a administração de diretórios reduzindo a complexidade, o risco e o esforço manual.

Endpoint Management

Proteja endpoints e previna a perda de dados enquanto mantém as equipes produtivas — não importa onde trabalhem.

Identity Management

Proteja cada identidade, simplifique cada processo e mantenha-se à frente da conformidade — sem adicionar complexidade.

Identity Threat Detection & Response

Mantenha-se à frente de ameaças baseadas em identidade — remediação proativa de riscos, bloqueio de ataques e garantia de recuperação rápida.

Privileged Access Management

Reduza sua superfície de ataque eliminando privilégios permanentes, protegendo credenciais e monitorando sessões privilegiadas.
Produtos em destaque Ver todos os produtos
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

A plataforma Netwrix 1Secure™

Explore
Netwrix AI Ambientes que protegemos Integrações MSPs Riscos de segurança do Active Directory Conformidade Preços
Resource Center Ver Todos
BlogAttack CatalogConformidadeHistórias de ClientesFrameworks de CibersegurançaGlossário de CibersegurançaEventsFreewareGuiasIdeas PortalNotíciasPodcastsPublicaçõesAnúncios de ProdutosPesquisaWebinars
Asset not found

História em Destaque de Cliente

A DXC Technology possibilita que clientes alcancem a conformidade com PCI DSS e se concentrem em iniciativas estratégicas
Parceiros
Programa de ParceirosTorne-se um ParceiroMSPsLocalizador de parceirosWebinars
Asset not found

História em Destaque de Cliente

AppRiver aprimora o controle sobre o Active Directory enquanto reduz significativamente o tempo de auditoria
Asset not found

História em Destaque de Cliente

MSP Ajuda Cliente a Recuperar de Ransomware em 6 Horas
Por que a Netwrix
Sobre NósLiderançaNetwrix AIHistórias de clientesReconhecimentoNoticiasCarreiras
Asset not found

História em Destaque de Cliente

Horizon Leisure Centres acelera a classificação de dados para cumprir o RGPD e economiza £80.000 por ano
Asset not found

História em Destaque de Cliente

Samsung R&D Institute garante a segurança dos dados com uso multiplataforma e implantação rápida no macOS usando Netwrix Endpoint Protector
Centro de recursosBlog
O Triângulo da CIA e Sua Aplicação no Mundo Real

O Triângulo da CIA e Sua Aplicação no Mundo Real

Mar 26, 2019

O que é a tríade CIA?

A segurança da informação gira em torno dos três princípios-chave: confidencialidade, integridade e disponibilidade (CIA). Dependendo do ambiente, aplicação, contexto ou caso de uso, um desses princípios pode ser mais importante que os outros. Por exemplo, para uma agência financeira, a confidencialidade da informação é primordial, então é provável que criptografe qualquer documento classificado que esteja sendo transferido eletronicamente para evitar que pessoas não autorizadas leiam seu conteúdo. Por outro lado, organizações como mercados na internet seriam severamente prejudicadas se sua rede ficasse fora de serviço por um período prolongado, então elas podem focar em estratégias para garantir alta disponibilidade em detrimento de preocupações com dados criptografados.

Confidencialidade

A confidencialidade está relacionada a prevenir o acesso não autorizado a informações sensíveis. O acesso pode ser intencional, como um intruso invadindo a rede e lendo as informações, ou pode ser acidental, devido à negligência ou incompetência das pessoas que manuseiam as informações. As duas principais maneiras de garantir a confidencialidade são a criptografia e o controle de acesso.

Conteúdo relacionado selecionado

Criptografia

A criptografia ajuda as organizações a atenderem à necessidade de proteger informações contra divulgação acidental e tentativas de ataque internas e externas. A eficácia de um sistema criptográfico em prevenir a descriptografia não autorizada é referida como sua força. Um sistema criptográfico forte é difícil de ser quebrado. A força também pode ser expressa como fator de trabalho, que é uma estimativa do tempo e esforço necessários para romper um sistema.

Um sistema é considerado fraco se permite chaves fracas, possui defeitos em seu design ou é facilmente decifrado. Muitos sistemas disponíveis hoje são mais do que adequados para uso comercial e pessoal, mas são inadequados para aplicações militares ou governamentais sensíveis. A criptografia possui algoritmos simétricos e assimétricos.

Algoritmos Simétricos

Algoritmos simétricos exigem que tanto o remetente quanto o receptor de uma mensagem criptografada tenham a mesma chave e algoritmos de processamento. Algoritmos simétricos geram uma chave simétrica (às vezes chamada de chave secreta ou chave privada) que deve ser protegida; se a chave for perdida ou roubada, a segurança do sistema fica comprometida. Aqui estão alguns dos padrões comuns para algoritmos simétricos:

  • Padrão de Criptografia de Dados (DES). O DES tem sido utilizado desde meados da década de 1970. Por anos, foi o padrão primário usado no governo e na indústria, mas agora é considerado inseguro devido ao seu pequeno tamanho de chave — ele gera uma chave de 64 bits, mas oito desses bits são apenas para correção de erro e apenas 56 bits são a chave real. Agora o AES é o padrão primário.
  • Triple-DES (3DES). O 3DES é uma atualização tecnológica do DES. O 3DES ainda é utilizado, mesmo que o AES seja a escolha preferida para aplicações governamentais. O 3DES é consideravelmente mais difícil de quebrar do que muitos outros sistemas e é mais seguro que o DES. Ele aumenta o comprimento da chave para 168 bits (usando três chaves DES de 56 bits).
  • Padrão Avançado de Criptografia (AES). O AES substituiu o DES como o padrão utilizado pelas agências governamentais dos EUA. Utiliza o algoritmo Rijndael, nomeado em homenagem aos seus desenvolvedores, Joan Daemen e Vincent Rijmen. O AES suporta tamanhos de chave de 128, 192 e 256 bits, sendo 128 bits o padrão.
  • Cifra de Ron ou Código de Ron (RC). RC é uma família de criptografia produzida pelos laboratórios RSA e nomeada em homenagem ao seu autor, Ron Rivest. Os níveis atuais são RC4, RC5 e RC6. O RC5 utiliza um tamanho de chave de até 2.048 bits; é considerado um sistema forte. O RC4 é popular com criptografia sem fio e WEP/WPA. É uma cifra de fluxo que trabalha com tamanhos de chave entre 40 e 2.048 bits, e é usado em SSL e TLS. Também é popular com utilitários; eles o usam para baixar arquivos torrent. Muitos provedores limitam o download desses arquivos, mas usar o RC4 para ofuscar o cabeçalho e o fluxo torna mais difícil para o provedor de serviços perceber que são arquivos torrent que estão sendo movimentados.
  • Blowfish e Twofish. Blowfish é um sistema de criptografia inventado por uma equipe liderada por Bruce Schneier que realiza uma cifra de bloco de 64 bits com velocidades muito rápidas. É uma cifra de bloco simétrica que pode usar chaves de comprimento variável (de 32 bits a 448 bits). Twofish é bastante semelhante, mas trabalha com blocos de 128 bits. Sua característica distintiva é que possui um cronograma de chave complexo.
  • Algoritmo Internacional de Criptografia de Dados (IDEA). O IDEA foi desenvolvido por um consórcio suíço e utiliza uma chave de 128 bits. Este produto é semelhante em velocidade e capacidade ao DES, mas é mais seguro. O IDEA é usado no Pretty Good Privacy (PGP), um sistema de criptografia de domínio público que muitas pessoas utilizam para e-mail.
  • Blocos de uso único. Os blocos de uso único são as únicas implementações criptográficas verdadeiramente completamente seguras. Eles são tão seguros por dois motivos. Primeiro, eles usam uma chave que é tão longa quanto a mensagem em texto simples. Isso significa que não há padrão na aplicação da chave que um atacante possa usar. Segundo, as chaves de bloco de uso único são usadas apenas uma vez e depois descartadas. Então, mesmo que você conseguisse quebrar uma cifra de bloco de uso único, a mesma chave nunca seria usada novamente, então o conhecimento da chave seria inútil.

Algoritmos Assimétricos

Algoritmos assimétricos usam duas chaves: uma chave pública e uma chave privada. O remetente usa a chave pública para criptografar uma mensagem, e o receptor usa a chave privada para descriptografá-la. A chave pública pode ser verdadeiramente pública ou pode ser um segredo entre as duas partes. A chave privada, no entanto, é mantida privada; apenas o proprietário (receptor) a conhece. Se alguém quiser enviar-lhe uma mensagem criptografada, pode usar a sua chave pública para criptografar a mensagem e depois enviá-la. Você pode usar a sua chave privada para descriptografar a mensagem. Se ambas as chaves se tornarem disponíveis para uma terceira parte, o sistema de criptografia não protegerá a privacidade da mensagem. O verdadeiro “milagre” desses sistemas é que a chave pública não pode ser usada para descriptografar uma mensagem. Se Bob envia a Alice uma mensagem criptografada com a chave pública de Alice, não importa se todos os outros no planeta têm a chave pública de Alice, já que essa chave não pode descriptografar a mensagem. Aqui estão alguns dos padrões comuns para algoritmos assimétricos:

  • RSA. O RSA recebe o nome de seus inventores, Ron Rivest, Adi Shamir e Leonard Adleman. O algoritmo RSA é um dos primeiros sistemas de criptografia de chave pública que utiliza grandes inteiros como base para o processo. É amplamente implementado e tornou-se um padrão de facto. O RSA funciona tanto com criptografia quanto com assinaturas digitais. O RSA é usado em muitos ambientes, incluindo Secure Sockets Layer (SSL), e pode ser usado para key exchange.
  • Diffie-Hellman. Whitfield Diffie e Martin Hellman são considerados os fundadores do conceito de chave pública/privada. O algoritmo Diffie-Hellman é utilizado principalmente para gerar uma chave secreta compartilhada através de redes públicas. O processo não é usado para criptografar ou descriptografar mensagens; é usado apenas para a criação de uma chave simétrica entre duas partes.
  • Criptografia de Curva Elíptica (EEC). A ECC oferece funcionalidades semelhantes ao RSA, mas utiliza tamanhos de chave menores para obter o mesmo nível de segurança. Os sistemas de criptografia ECC baseiam-se na ideia de usar pontos em uma curva combinados com um ponto no infinito e a dificuldade de resolver problemas de logaritmo discreto.

Controle de Acesso

A criptografia é uma maneira de garantir a confidencialidade; um segundo método é o controle de acesso. Existem várias abordagens para o controle de acesso que ajudam com a confidencialidade, cada uma com seus próprios pontos fortes e fracos:

  • Controle de acesso obrigatório (MAC). Em um ambiente MAC, todas as capacidades de acesso são predefinidas. Os usuários não podem compartilhar informações a menos que seus direitos de compartilhamento sejam estabelecidos pelos administradores. Consequentemente, os administradores devem fazer quaisquer alterações que precisem ser feitas a tais direitos. Esse processo impõe um modelo rígido de segurança. No entanto, também é considerado o modelo de cibersegurança mais seguro.
  • Controle de Acesso Discricionário (DAC). Em um modelo DAC, os usuários podem compartilhar informações dinamicamente com outros usuários. O método permite um ambiente mais flexível, mas aumenta o risco de divulgação não autorizada de informações. Os administradores têm mais dificuldade em garantir que apenas os usuários apropriados possam acessar os dados.
  • Controle de Acesso Baseado em Função (RBAC). O controle de acesso baseado em função implementa o controle de acesso com base na função ou responsabilidade do cargo. Cada funcionário possui uma ou mais funções que permitem acesso a informações específicas. Se uma pessoa passa de uma função para outra, o acesso da função anterior não estará mais disponível. Os modelos de RBAC oferecem mais flexibilidade do que o modelo MAC e menos flexibilidade do que o modelo DAC. No entanto, têm a vantagem de serem estritamente baseados na função do cargo em oposição às necessidades individuais.
  • Controle de Acesso Baseado em Regras (RBAC). O controle de acesso baseado em regras utiliza as configurações em políticas de segurança pré-configuradas para tomar decisões sobre o acesso. Essas regras podem ser configuradas para:
    • Negue a todos exceto àqueles que constam especificamente em uma lista (uma lista de permissão de acesso)
    • Negue apenas aqueles que aparecem especificamente na lista (uma verdadeira lista de negação de acesso)

As entradas na lista podem ser nomes de usuário, endereços IP, nomes de host ou até mesmo domínios. Modelos baseados em regras são frequentemente utilizados em conjunto com modelos baseados em funções para alcançar a melhor combinação de segurança e flexibilidade.

  • Controle de acesso baseado em atributos (ABAC). ABAC é um método relativamente novo para controle de acesso definido no NIST 800-162, Definição de Controle Baseado em Atributos e Considerações. Trata-se de uma metodologia de controle de acesso lógico onde a autorização para realizar um conjunto de operações é determinada pela avaliação de atributos associados ao sujeito, objeto, operações solicitadas e, em alguns casos, condições ambientais em contraposição a security policy, regras ou relações que descrevem as operações permitidas para um determinado conjunto de atributos.
  • Os cartões inteligentes são geralmente utilizados para controle de acesso e propósitos de segurança. O próprio cartão normalmente contém uma pequena quantidade de memória que pode ser usada para armazenar permissões e informações de acesso.
  • Um token de segurança era originalmente um dispositivo de hardware necessário para obter acesso, como um cartão-chave sem fio ou um chaveiro. Agora também existem implementações de software para tokens. Os tokens frequentemente contêm um certificado digital que é usado para autenticar o usuário.

Integridade

A integridade tem três objetivos que ajudam a alcançar a Data Security:

  • Prevenindo a modificação de informações por usuários não autorizados
  • Prevenindo a modificação não autorizada ou não intencional de informações por usuários autorizados
  • Preservando a consistência interna e externa:
    • Consistência interna — Garante que os dados sejam internamente consistentes. Por exemplo, em um banco de dados organizacional, o número total de itens pertencentes a uma organização deve ser igual à soma dos mesmos itens apresentados no banco de dados como sendo mantidos por cada elemento da organização.
    • Consistência externa — Garante que os dados armazenados no banco de dados estejam consistentes com o mundo real. Por exemplo, o número total de itens fisicamente presentes na prateleira deve corresponder ao número total de itens indicado pelo banco de dados.

Vários métodos de criptografia podem ajudar a garantir a integridade, fornecendo a certeza de que uma mensagem não foi modificada durante a transmissão. A modificação poderia tornar uma mensagem ininteligível ou, ainda pior, imprecisa. Imagine as sérias consequências se alterações em registros médicos ou prescrições de medicamentos não fossem descobertas. Se uma mensagem for adulterada, o sistema de criptografia deve ter um mecanismo para indicar que a mensagem foi corrompida ou alterada.

Hashing

A integridade também pode ser verificada usando um algoritmo de hash. Essencialmente, um hash da mensagem é gerado e anexado ao final da mensagem. A parte receptora calcula o hash da mensagem que recebeu e compara-o com o hash que recebeu. Se algo mudou durante o trânsito, os hashes não corresponderão.

A criação de hash é um método aceitável de verificação de integridade para muitas situações. No entanto, se uma parte interceptadora deseja alterar uma mensagem intencionalmente e a mensagem não estiver criptografada, então um hash é ineficaz. A parte interceptadora pode ver, por exemplo, que há um hash de 160 bits anexado à mensagem, o que sugere que foi gerado usando SHA-1 (que é discutido abaixo). Então o interceptador pode simplesmente alterar a mensagem como desejar, excluir o hash SHA-1 original e recalcular um hash a partir da mensagem alterada.

Algoritmos de Hash

Os hashes usados para armazenar dados são muito diferentes dos hashes criptográficos. Em criptografia, uma função de hash deve ter três características:

  1. Deve ser de mão única. Uma vez que você faça o hash de algo, não é possível reverter o processo.
  2. Entradas de comprimento variável produzem saídas de comprimento fixo. Seja ao fazer hash de dois caracteres ou dois milhões, o tamanho do hash é o mesmo.
  3. O algoritmo deve ter poucas ou nenhuma colisão. Fazer hash de duas entradas diferentes não deve gerar a mesma saída.

Aqui estão algoritmos de hash e conceitos relacionados com os quais você deve estar familiarizado:

  • Algoritmo de Hash Seguro (SHA). Originalmente chamado de Keccak, o SHA foi projetado por Guido Bertoni, Joan Daemen, Michaël Peeters e Gilles Van Assche. O SHA-1 é um hash unidirecional que fornece um valor de hash de 160 bits que pode ser usado com um protocolo de criptografia. Em 2016, foram descobertos problemas com o SHA-1; agora é recomendado que o SHA-2 seja usado em seu lugar. O SHA-2 pode produzir hashes de 224, 256, 334 e 512 bits. Não há problemas conhecidos com o SHA-2, por isso ele ainda é o algoritmo de hash mais utilizado e recomendado. O SHA-3 foi publicado em 2012 e é amplamente aplicável, mas não é amplamente utilizado. Isso não se deve a problemas com o SHA-3, mas sim ao fato de que o SHA-2 é perfeitamente adequado.
  • Algoritmo de Resumo de Mensagem (MD). MD é outro hash unidirecional que cria um valor de hash usado para ajudar a manter a integridade. Existem várias versões do MD; as mais comuns são MD5, MD4 e MD2. MD5 é a versão mais recente do algoritmo; ele produz um hash de 128 bits. Embora seja mais complexo que seus predecessores MD e ofereça maior segurança, ele não possui forte resistência a colisões e, portanto, não é mais recomendado para uso. SHA (2 ou 3) são as alternativas recomendadas.
  • RACE Integrity Primitives Evaluation Message Digest (RIPEMD). O RIPEMD foi baseado no MD4. Havia questões sobre sua segurança, e ele foi substituído pelo RIPEMD-160, que usa 160 bits. Existem também versões que utilizam 256 e 320 bits (RIPEMD-256 e RIPEMD-320, respectivamente).
  • GOST é uma cifra simétrica desenvolvida na antiga União Soviética que foi modificada para funcionar como uma função de hash. GOST processa uma mensagem de comprimento variável em uma saída de comprimento fixo de 256 bits.
  • Antes do lançamento do Windows NT, os sistemas operacionais da Microsoft utilizavam o protocolo LANMAN para autenticação. Embora funcionasse apenas como um protocolo de autenticação, o LANMAN usava LM Hash e duas chaves DES. Foi substituído pelo NT LAN Manager (NTLM) com o lançamento do Windows NT.
  • A Microsoft substituiu o protocolo LANMAN pelo NTLM (NT LAN Manager) com o lançamento do Windows NT. O NTLM utiliza algoritmos de hash MD4/MD5. Existem várias versões deste protocolo (NTLMv1 e NTLMv2), e ele ainda é amplamente utilizado apesar de a Microsoft ter nomeado o Kerberos como seu protocolo de autenticação preferencial. Embora o LANMAN e o NTLM ambos utilizem hash, eles são usados principalmente para fins de autenticação.
  • Um método comum de verificar a integridade envolve a adição de um código de autenticação de mensagem (MAC) à mensagem. Um MAC é calculado usando uma cifra simétrica no modo de encadeamento de blocos cifrados (CBC), com apenas o último bloco sendo produzido. Essencialmente, a saída do CBC é usada como a saída de um algoritmo de hash. No entanto, ao contrário de um algoritmo de hash, a cifra requer uma chave simétrica que é trocada entre as duas partes com antecedência.
  • HMAC (código de autenticação de mensagem baseado em hash) utiliza um algoritmo de hash juntamente com uma chave simétrica. Assim, por exemplo, duas partes concordam em usar um hash MD5. Uma vez computado o hash, ele é combinado exclusivamente por OU (XOR) com o resumo, e esse valor resultante é o HMAC.

Baseline

Estabelecer uma linha de base (configuração, linha de base, linha de base dos sistemas, linha de base de atividade) é uma estratégia importante para secure networking. Essencialmente, você encontra uma linha de base que considera segura para um determinado sistema, computador, aplicativo ou serviço. Certamente, a segurança absoluta não é possível — o objetivo é ser seguro o suficiente, com base nas necessidades de segurança da sua organização e apetite ao risco. Qualquer mudança pode ser comparada com a linha de base para ver se a mudança é segura o suficiente. Uma vez que uma linha de base é definida, o próximo passo é monitorar o sistema para garantir que ele não se desviou dessa linha de base. Este processo é definido como medição de integridade.

Disponibilidade

A disponibilidade garante que os usuários autorizados de um sistema tenham acesso oportuno e ininterrupto às informações no sistema e à rede. Aqui estão os métodos para alcançar a disponibilidade:

  • Alocação distributiva. Comumente conhecida como balanceamento de carga, a alocação distributiva permite distribuir a carga (solicitações de arquivos, roteamento de dados e assim por diante) de modo que nenhum dispositivo fique sobrecarregado.
  • Alta disponibilidade (HA). Alta disponibilidade refere-se a medidas que são utilizadas para manter serviços e sistemas de informação operacionais durante uma interrupção. O objetivo da HA é frequentemente ter serviços chave disponíveis 99,999 por cento do tempo (conhecido como disponibilidade “cinco noves”). As estratégias de HA incluem redundância e failover, que são discutidos abaixo.
  • Redundância. Redundância refere-se a sistemas que são duplicados ou que passam para outros sistemas em caso de falha. Failover é o processo de reconstrução de um sistema ou de mudança para outros sistemas quando uma falha é detectada. No caso de um servidor, este muda para um servidor redundante quando um defeito é identificado. Esta estratégia permite que o serviço continue sem interrupções até que o servidor principal possa ser restaurado. No caso de uma rede, isso significa que o processamento muda para outro caminho de rede em caso de falha na via principal.
    Os sistemas de failover podem ser caros de implementar. Em uma grande rede corporativa ou ambiente de comércio eletrônico, um failover pode implicar a transferência de todo o processamento para um local remoto até que sua instalação principal esteja operacional. O local principal e o remoto sincronizariam os dados para garantir que as informações estejam o mais atualizadas possível.
    Muitos sistemas operacionais, como Linux, Windows Server e Novell Open Enterprise Server, são capazes de agrupamento para fornecer capacidades de failover. O agrupamento envolve vários sistemas conectados juntos de forma cooperativa (o que proporciona balanceamento de carga) e interligados de tal maneira que, se algum dos sistemas falhar, os outros assumem a carga e continuam a operar. A capacidade geral do cluster de servidores pode diminuir, mas a rede ou serviço permanecerá operacional. Para apreciar a beleza do agrupamento, considere o fato de que esta é a tecnologia na qual o Google foi construído. Não só o agrupamento permite ter redundância, mas também oferece a capacidade de escalar conforme a demanda aumenta.
    A maioria dos ISPs e provedores de rede têm capacidade interna extensiva de failover para fornecer alta disponibilidade aos clientes. Clientes empresariais e funcionários que não conseguem acessar informações ou serviços tendem a perder a confiança.
    O compromisso pela confiabilidade e credibilidade, claro, é o custo: Sistemas de failover podem se tornar proibitivamente caros. Você precisará estudar suas necessidades cuidadosamente para determinar se seu sistema requer essa capacidade. Por exemplo, se seu ambiente exige um alto nível de disponibilidade, seus servidores devem ser agrupados. Isso permitirá que os outros servidores na rede assumam a carga se um dos servidores do cluster falhar.
  • Tolerância a falhas. Tolerância a falhas é a capacidade de um sistema de manter operações no evento de falha de um componente. Sistemas tolerantes a falhas podem continuar operando mesmo que um componente crítico, como um disco rígido, falhe. Essa capacidade envolve superdimensionar sistemas adicionando componentes e subsistemas redundantes para reduzir o risco de inatividade. Por exemplo, a tolerância a falhas pode ser incorporada em um servidor adicionando uma segunda fonte de alimentação, um segundo CPU e outros componentes chave. A maioria dos fabricantes (como HP, Sun e IBM) oferece servidores tolerantes a falhas; eles normalmente têm múltiplos processadores que automaticamente assumem o controle em caso de mau funcionamento.
    Existem dois componentes chave da tolerância a falhas que você nunca deve ignorar: peças de reposição e energia elétrica. Peças de reposição devem estar sempre disponíveis para reparar qualquer componente crítico do sistema em caso de falha. A estratégia de redundância “N+1” significa que você tem o número de componentes que precisa, mais um para conectar em qualquer sistema, caso seja necessário. Como os sistemas de computador não podem operar na ausência de energia elétrica, é imperativo que a tolerância a falhas seja construída em sua infraestrutura elétrica também. No mínimo, um sistema de alimentação ininterrupta (UPS) com proteção contra surtos deve acompanhar cada servidor e estação de trabalho. Esse UPS deve ser dimensionado para a carga que se espera que ele suporte em caso de falha de energia (considerando o computador, monitor e quaisquer outros dispositivos conectados a ele) e ser verificado periodicamente como parte de sua rotina de manutenção preventiva para garantir que a bateria esteja operacional. Você precisará substituir a bateria a cada poucos anos para manter o UPS operacional.
    Um UPS permitirá que você continue a funcionar na ausência de energia por apenas uma curta duração. Para tolerância a falhas em situações de duração mais longa, você precisará de um gerador de reserva. Geradores de reserva funcionam com gasolina, propano, gás natural ou diesel e geram a eletricidade necessária para fornecer energia constante. Embora alguns geradores de reserva possam ser ativados instantaneamente no evento de uma queda de energia, a maioria leva um curto tempo para aquecer antes que possam fornecer energia consistente. Portanto, você descobrirá que ainda precisa implementar UPSs em sua organização.
  • Redundant Array of Independent Disks (RAID). RAID é uma tecnologia que utiliza múltiplos discos para fornecer tolerância a falhas. Existem vários níveis de RAID: RAID 0 (discos entrelaçados), RAID 1 (discos espelhados), RAID 3 ou 4 (discos entrelaçados com paridade dedicada), RAID 5 (discos entrelaçados com paridade distribuída), RAID 6 (discos entrelaçados com dupla paridade), RAID 1+0 (ou 10) e RAID 0+1. Você pode ler mais sobre eles nesta lista de melhores práticas de segurança de dados.
  • Plano de recuperação de desastres (DR). Um plano de recuperação de desastres ajuda uma organização a responder eficazmente quando ocorre um desastre. Desastres incluem falhas de sistema, falhas de rede, falhas de infraestrutura e desastres naturais como furacões e terremotos. Um plano de DR define métodos para restaurar serviços o mais rapidamente possível e proteger a organização de perdas inaceitáveis no evento de um desastre.
    Em uma organização menor, um plano de recuperação de desastres pode ser relativamente simples e direto. Em uma organização maior, pode envolver várias instalações, planos estratégicos corporativos e departamentos inteiros.
    Um plano de recuperação de desastres deve abordar o acesso e armazenamento de informações. Seu plano de backup para dados sensíveis é uma parte integral deste processo.

Perguntas Frequentes

Quais são os componentes da tríade CIA?

  • Confidencialidade: Sistemas e dados são acessíveis apenas por usuários autorizados.
  • Integridade: Sistemas e dados são precisos e completos.
  • Disponibilidade: Sistemas e dados estão acessíveis quando são necessários.

Por que a tríade CIA é importante para a segurança dos dados?

O objetivo final da segurança de dados é garantir a confidencialidade, integridade e disponibilidade de dados críticos e sensíveis. Aplicar os princípios do triângulo CIA ajuda as organizações a criar um programa de segurança eficaz para proteger seus ativos valiosos.

Como o triângulo CIA pode ser aplicado na gestão de riscos?

Durante as avaliações de risco, as organizações medem os riscos, ameaças e vulnerabilidades que poderiam comprometer a confidencialidade, integridade e disponibilidade de seus sistemas e dados. Ao implementar controles de segurança para mitigar esses riscos, elas satisfazem um ou mais dos princípios centrais do triângulo CIA.

Como a confidencialidade dos dados pode ser comprometida?

A confidencialidade exige a prevenção do acesso não autorizado a informações sensíveis. O acesso pode ser intencional, como um intruso invadindo a rede e lendo as informações, ou pode ser não intencional, devido à negligência ou incompetência de indivíduos que manuseiam as informações.

Quais medidas podem ajudar a preservar a confidencialidade dos dados?

Uma das melhores práticas para proteger dados confidenciais é criptografar todos os dados sensíveis e regulamentados. Ninguém pode ler o conteúdo de um documento criptografado a menos que tenha a chave de descriptografia, então a criptografia protege contra comprometimentos maliciosos e acidentais da confidencialidade.

Como a integridade dos dados pode ser comprometida?

A integridade dos dados pode ser comprometida tanto por erros humanos quanto por ataques cibernéticos como malware destrutivo e ransomware.

Quais medidas podem ajudar a preservar a integridade dos dados?

Para preservar a integridade dos dados, você precisa:

  • Previna alterações nos dados por usuários não autorizados
  • Previna alterações não autorizadas ou não intencionais nos dados por usuários autorizados
  • Garanta a precisão e consistência dos dados por meio de processos como verificação de erros e validação de dados

Uma prática recomendada valiosa para garantir a precisão dos dados é o file integrity monitoring (FIM). O FIM ajuda as organizações a detectar alterações indevidas em arquivos críticos em seus sistemas por meio da auditoria de todas as tentativas de acesso ou modificação de arquivos e pastas que contêm informações sensíveis e verificando se essas ações são autorizadas.

Como a disponibilidade dos dados pode ser comprometida?

Ameaças à disponibilidade incluem falhas de infraestrutura como problemas de rede ou hardware; tempo de inatividade não planejado de software; sobrecarga de infraestrutura; interrupções de energia; e ataques cibernéticos como DDoS ou ataques de ransomware.

Quais medidas podem ajudar a preservar a disponibilidade dos dados?

É importante implementar salvaguardas contra interrupções em todos os sistemas que requerem funcionamento contínuo. As opções incluem redundância de hardware, failover, clustering e backups de rotina armazenados em um local geograficamente separado. Além disso, é crucial desenvolver e testar um plano abrangente de recuperação de desastres.

Compartilhar em

Saiba Mais

Sobre o autor

Asset Not Found

Ryan Brooks

Saiba mais sobre este assunto

Os próximos cinco minutos de conformidade: construindo segurança de dados com foco em identidade em toda a APAC

Leis de Privacidade de Dados por Estado: Abordagens Diferentes para a Proteção da Privacidade

Exemplo de Análise de Risco: Como Avaliar Riscos

O que é Gerenciamento de Registros Eletrônicos?

Análise de Risco Quantitativa: Expectativa de Perda Anual

Últimos blogs

Os próximos cinco minutos de conformidade: construindo segurança de dados com foco em identidade em toda a APAC

Gerenciamento de configuração para controle seguro de endpoint

Classificação de dados e DLP: Previna a perda de dados, comprove a conformidade

Conformidade com CMMC e o papel crítico do controle de USB estilo MDM na proteção de CUI

DSPM, ASM e ITDR: Construindo uma Estratégia de Segurança Consciente da Exposição e Orientada por Dados

De ruído a ação: transformando risco de dados em resultados mensuráveis

IA no Trabalho: Velocidade, Risco e Por Que a Simplicidade Vence

Leis de Privacidade de Dados por Estado: Abordagens Diferentes para a Proteção da Privacidade

Exemplo de Análise de Risco: Como Avaliar Riscos

O Triângulo da CIA e Sua Aplicação no Mundo Real

Nossos principais artigos

Tipos Comuns de Dispositivos de Rede e Suas Funções

Como Executar um Script do PowerShell a partir do Agendador de Tarefas

Como instalar e usar o Active Directory Users and Computers (ADUC)?

Baixe e instale o PowerShell 7

Os Maiores e Mais Notórios Ataques Cibernéticos da História

Comandos Essenciais do PowerShell: Um Guia de Consulta Rápida para Iniciantes

Uma visão geral do ataque cibernético da MGM

Extração de Hashes de Senha do arquivo Ntds.dit

Guia para Montar Compartilhamentos Unix com um Cliente NFS do Windows

Como Portas Abertas Inseguras e Vulneráveis Representam Sérios Riscos de Segurança