Entenda os 4 Princípios Fundamentais da Segurança da Informação | Dias de Dev

vamos falar de segurança da informação hoje eu vou te apresentar os quatro princípios dessa área de estudo e aí pessoal eu sou o Vinícius dias sejam bem-vindos ao canal dias de Dev e eu quero falar para com vocês hoje sobre segurança da informação que é uma área tão Ampla e tão importante pra gente estudar mas eu reparei que embora eu já tenha uma playlist sobre o assunto eu ainda não falei o princípio mais básico a a ideia mais básica da área que é conhecer Quais são os quatro conceitos ou quatro princípios da segurança da informação

Então vamos direto para para entender o que do que se trata vamos direto para uma apresentaçãoinspiração tem um sistema mais seguro é muito importante acho que em todos os vídeos de segurança que eu já fiz é muito importante deixar claro que nós não temos um sistema Seguro ou inseguro é uma régua um sistema é mais seguro ou menos seguro ele é mais propenso a falhas ou ataques ou menos propenso a falhas e ataques Então nesse caso nós vamos buscar atingir esses quatro objetivos seguir esses quatro princípios Então nós vamos sempre tentar nos aproximar deles é

impossível você garantir 100% de qualquer coisa quando o assunto é segurança da informação mas vamos falar então desses quatro princípios e o primeiro deles é confidencialidade essa palavra um pouco difícil de falar é basicamente o princípio que diz que os dados que são meus devem ser acessados somente por mim e os dados que são seus acessados somente por você então as pessoas que eh possuem informações sigilosas em algum sistema precisa elas precisam ter a garantia elas precisam ter a certeza e a segurança de que os seus dados não serão expostos de que outras pessoas sejam

mal intencionadas ou não terão acesso a esses dados então a confidencialidade é basicamente a a certeza que a gente dá de que o nosso sistema vai guardar segredo de qualquer coisa que você contar para nosso sistema Então essa é a ideia da confidencialidade e como que a gente atinge quais técnicas a gente pode utilizar principalmente em Sistemas web para atingir esse objetivo aqui para aplicar esse prin princípio de confidencialidade de novo em Sistemas web a gente pode utilizar por exemplo controle de acesso que é feito através de práticas de autorização já falei sobre isso importante

dizer no final desse vídeo eu vou deixar a Playlist de segurança da informação lá na tela final porque vários dos temas que eu vou citar aqui já tem vídeo no canal então para eu não ficar colocando um monte de card aqui eu vou deixar a playlist no final beleza Mas voltando aqui a gente pode ter controle de acesso através da autorização isso garante por exemplo se estou tentando acessar uma compra os detalhes de uma compra Eu Só Vou permitir acesso a esses detalhes de compra se o usuário que estiver tentando acessar for o dono daquela

compra for for Quem realizou a compra Então essa técnica bastante simples e comumente aplicada em Sistemas web é uma das formas da gente atingir a confidencialidade dos dados outra prática que a gente pode aplicar é a encriptação de dados sensíveis por exemplo se você precisa armazenar algum token se você precisa armazenar documentos de usuários você vai encriptar esses dados e armazená-los encriptados de novo Tem vídeos falando sobre encriptação aqui no canal então a ideia da confidencialidade é garantir que os dados sejam confidenciais que os dados não sejam acessados por quem não deveria Esse é um

dos princípios bem tranquilo de entender o próximo princípio é o de integridade que basicamente garante que após uma mensagem enviada para uma outra pessoa ela não vai ser alterada por exemplo depois que eu criei meus dados de cadastro ninguém pode acessar esses meus dados e alterar alguma coisa então a integridade garante que determinada informação ela não é alterada por alguém que não é Ou que não deve alterar essa informação ela garante que a informação se mantenha íntegra ou seja se mantenha com o seu conteúdo original a menos que seja necessário e autorizado alterar esse conteúdo

então algumas das práticas que a gente pode utilizar de novo focando em Sistemas web para chegar no princípio da integridade é de novo pedir acesso indevido aos dados seja através de controle de acesso que a gente já falou na parte de confidencialidade ou então com prevenção de ataques de injeção por exemplo SQL injection xss que é é Cross site scripting então injeção de código tem vários ataques de injeção que poderiam alterar os dados seja em transporte alterar uma mensagem que eu tô enviando para alguém ou em repouso alterar um dado que eu tenha salvo no

banco de dados então a gente precisa se e se prevenir para esse tipo de ataque outro outro detalhe Muito importante se a gente vai armazenar por exemplo arquivos que sejam e sigilosos confidenciais ou que sejam e críticos que sejam muito necessários para realizar algumas tarefas é interessante que a gente e realize rest desse arquivo então por exemplo eu tenho uma chave de acesso a algum lugar que eu preciso armazenar por algum motivo então eu guardo o hash desse arquivo porque se alguém for lá e alterar o arquivo alterar a chave por exemplo o arquivo que

contém essa chave o hash vai ser alterado então eu posso eu posso comparar esses dois e saber que o arquivo foi alterado então ele não é mais seguro não posso utilizar então algoritmos de hash nos permitem verificar a integridade de uma informação isso é muito utilizado Quando você baixa grandes arquivos por exemplo se você vai baixar uma ISO de uma distribuição Linux é muito comum que o site que tá te disponibilizando essa ISO te dê o hash daquela ISO o hash do arquivo para você garantir que ao baixar o arquivo como é um arquivo muito

grande pode ter instabilidade na rede nada foi corrompido Então você utiliza algoritmos de hash para verificar a integridade E se a gente tá falando de trocas de mensagem para garantir que esse conteúdo não foi alterado no meio do caminho a assinatura de mensagens pode nos ajudar com a integridade por quando eu assino uma mensagem e envio ela mesmo que outra pessoa eh intercepte essa mensagem que eu tô transmitindo e consiga encriptar utilizando a chave pública ela não vai conseguir assinar com eh com a mesma assinatura que a pessoa que deveria estar enviando para mim então

se ela altera o conteúdo eu sei que esse esse conteúdo foi alterado então eu garanto também a integridade além de um outro princípio enfim a integridade garante que a informação está em seu estado ideal seja no estado original ou pelo menos no estado válido só tendo sido alterado por quem deveria alterar um outro princípio é o de disponibilidade isso quando eu tava lá na faculdade eu demorei a entender o porque isso seria uma um conceito de segurança e não somente de negócio por exemplo mas imagina eh a disponibilidade é basicamente você garantir que seu sistema

que sua aplicação ele está disponível para que usuários possam acessar e realizar o que a sua aplicação fornece Então imagina um cenário onde eu tenho o compras um e-commerce então eu fiz uma compra E aí eu recebi um ataque de negação de serviço meu sistema saiu do ar eu como usuário Eu quero acessar minhas compras para cancelar eu tive por exemplo o meu cartão de crédito clonado ou então a minha conta minha senha vazou alguém comprou no meu nome Então existe um um problema de segurança se eu não consigo acessar a aplicação Outro ponto é

se eu deixei informações sensíveis na aplicação porque eu por um descuido ou coisa do tipo eu quero acessar a aplicação para remover esses dados de lá a aplicação precisa estar disponível então a disponibilidade que é basicamente o princípio que garante que a aplicação está acessível está disponível para acesso ela também é uma preocupação na área da segurança e a gente eh utiliza de técnicas para atingir Esse princípio impedindo ataques de negação de serviço como eu já falei os famosos dos ou ddos que é ataque de indagação de serviço distribuído E para isso a gente pode

utilizar cdns que já tem vídeo aqui no canal Firewall que já tem vídeo aqui no canal a gente pode utilizar redundância de servidores por exemplo se um servidor web meu cair a minha aplicação não pode ficar fora do ar por isso eu preciso ter outros servidores com balanceador de carga tem vídeo sobre isso no canal também a gente precisa ter backup aconteceu alguma coisa o disco do meu banco de dados corrompeu eu preciso ter esses dados é em backup para conseguir restaurar o meu banco então a gente precisa garantir a disponibilidade e esse é sim

um assunto relacionado a segurança então eu já falei de três princípios eu acho que vale o like até aqui e por último mas não menos importante a autenticidade que basicamente é o princípio que garante que o é quem originou uma mensagem é quem é quem ele diz ser então por exemplo se eu tô te mandando uma mensagem no WhatsApp eu não quero que você receba uma mensagem e não saiba se sou eu ou um golpista um golpista pode te mandar uma mensagem se passando por mim então a gente eh busca atingir o princípio de autenticidade

para garantir que o autor de uma mensagem é quem ele diz ser ou o autor de uma informação o autor dos dados é quem ele diz ser e pra gente eh atingir Esse princípio de novo focando em aplicações web a gente pode garantir a identificação correta dos usuários Ou seja a autenticação a gente falou de autorização em alguns slides atrás mas aqui a gente tá falando de autenticação ou seja realizar um login de forma segura utilizando tokens tem vídeo aqui no canal utilizando eh autenticação de múltiplos fatores seja de duplo eh autenticação de duplo fator

ou de múltiplos fatores então a gente precisa garantir que uma pessoa consiga se identificar em nosso sistema para que caso ela envie mensagem armazene uma informação ou Execute qualquer ação a gente Garanta que essa pessoa é quem ela diz ser nós precisamos garantir que quem está realizando aquela ação é quem essa pessoa diz ser nós conseguimos identificar cala até para em cenários um pouco mais caóticos vamos dizer assim a gente consigue identificar culpados por problemas causados de forma intencional então a autenticidade é muito importante por vários motivos e quando a gente tá falando de transmissão

de mensagens a assinatura das mensagens cifradas que é um assunto que eu já falei também eh nos slides anteriores ela principalmente importante quando a gente fala de autenticidade porque de novo se eu vou te enviar uma mensagem cifrada e eu assino essa mensagem quando você receber e conseguir decifrar essa mensagem você vai verificar a assinatura e tem certeza que fui eu que te enviei a gente garante que ninguém alterou essa mensagem no meio do caminho modificando o seu conteúdo ou e se passando por mim dizendo que essa pessoa que tá mandando essa mensagem ou algo

do tipo então a gente garante que se eu te mando uma mensagem você sabe que sou eu e eu tenho a certeza de que você vai receber a mensagem e com essa certeza garantindo que o emissor foi a pessoa correta então esses são os quatro princípios da segurança da informação repara que tem várias técnicas e práticas que a gente pode utilizar para atingir esses princípios e quanto mais próximo a gente chega de atingir esses objetivos de seguir esses princípios mais segura a nossa aplicação vai estar e se você quer receber mais vídeos como esse não

se esquece de se inscrever aqui no canal