O que é Segurança da Informação (Tríade CIA)
Segurança da informação protege dados contra acesso não autorizado, alteração indevida e indisponibilidade. Toda decisão de segurança gira em torno de três propriedades fundamentais conhecidas como tríade CIA.
Confidencialidade
Garante que a informação só é acessível por quem tem autorização.
Ameaças: interceptação de rede, credenciais vazadas, engenharia social.
Controles:
- Criptografia de dados em trânsito (TLS) e em repouso (AES-256)
- Autenticação forte (MFA)
- Controle de acesso baseado em função (RBAC)
Dado sensível → criptografado com chave → só quem tem a chave lêIntegridade
Garante que a informação não foi alterada de forma não autorizada.
Ameaças: ataque man-in-the-middle, injeção de dados, corrupção acidental.
Controles:
- Assinaturas digitais
- Hashes (SHA-256) para verificar integridade de arquivos
- Logs de auditoria imutáveis
# Verifica integridade de um arquivo
sha256sum arquivo.iso
# Compare com o hash publicado pelo fornecedorDisponibilidade
Garante que sistemas e dados estejam acessíveis quando necessários.
Ameaças: DDoS, falha de hardware, ransomware, erro humano.
Controles:
- Redundância e failover
- Backups regulares e testados
- Planos de recuperação de desastres (DRP)
Trade-off entre os pilares
Fortalecer um pilar pode enfraquecer outro. Exemplo: criptografia pesada aumenta confidencialidade, mas pode impactar disponibilidade (latência). Cada decisão exige equilíbrio consciente.
Alta segurança → mais fricção para o usuário
Alta usabilidade → superfície de ataque maiorAplicação prática
Ao avaliar um ativo, pergunte:
- Quem pode ver? (Confidencialidade)
- Quem pode alterar? (Integridade)
- Quando precisa estar disponível? (Disponibilidade)
Essas respostas guiam os controles a implementar.