Entre os conhecimentos que um profissional de segurança deve possuir o conceito mais básico corresponda à sigla CID (Confidencialidade, Integridade, Disponibilidade). Ela é o pilar de toda a área de SI, de modo que um incidente de segurança é caracterizado quando uma dessas áreas é afetada. A seguir, veremos em detalhes cada um desses itens.
| Confidencialidade | Integridade | Disponibilidade |
|---|---|---|
| É um termo diretamente ligado à privacidade de um recurso. Um recurso deve estar acessível apenas para a pessoa ou grupo que foi definido como usuário autorizado para dispor daquele acesso e nenhum outro. | Esse termo possui duas definições: a primeira com o fato da informação ter valor correto. A segunda definição está ligada à inviolabilidade da informação, ou seja, ela não pode ser alterada sem justificativa e por meio controlado. Ela não pode “sumir” ou ser simplesmente alterada. | Esse termo está relacionado ao acesso à informação, que pode ser controlada ou não, e disponível quando necessária. Um ataque de negação de serviço pode, por exemplo, evitar o acesso à informação, afetando a disponibilidade. |
É importante notar que a disponibilidade e a integridade podem ser medidas de forma simples, visto que elas são perceptíveis pelos usuários da informação.
A confidencialidade pode ser quebrada sem que se tenha conhecimento do fato, pois a simples visualização de uma informação por um usuário não autorizado não necessariamente altera essa informação. Daí a importância da auditoria, na qual são analisados os registros de acesso de determinada informação, com o objetivo de verificar se houve acesso indevido. A auditoria será tratada futuramente ainda nesta disciplina.
Observe, ainda, que existem três dimensões completamente distintas: duas delas, a confidencialidade e a integridade, são valores booleanos: ou a informação se manteve confidencial ou não; ou a informação se manteve íntegra ou não. A terceira é um número real entre 0 e 1, podendo ser calculada pela própria definição. Duas podem ser qualificadas e quantificadas: a ntegridade e a disponibilidade. Não temos como saber se um dado perdeu confidencialidade.