12. Segurança da informação

Confidencialidade, integridade, disponibilidade (Tríade CID), políticas de senhas fortes, autenticação (fatores, MFA/2FA), princípios de segurança (menor privilégio, defesa em profundidade).
Nível CEBRASPE – conceitos fundamentais, ameaças e boas práticas para proteção de dados.

Tríade CID Senhas e autenticação Fatores de autenticação Princípios de segurança MFA · Biometria · LGPD · Privacidade

CONFIDENCIALIDADE

Garantir que a informação seja acessível apenas por pessoas autorizadas. Medidas comuns:

Criptografia (dados em repouso e em trânsito).
Controle de acesso (permissões, ACLs).
Autenticação forte (senhas, MFA).
Políticas de "clean desk" e "tela bloqueada".

Ex.: Dados médicos só podem ser vistos pelo paciente e equipe autorizada; vazamento viola confidencialidade.

INTEGRIDADE

Garantir que a informação não seja alterada ou corrompida de forma não autorizada. Medidas:

Hash (MD5, SHA-256) para verificação de integridade.
Controles de versão e logs de alterações.
Assinatura digital (garante integridade e autenticidade).
Backups para recuperar versões íntegras.

Violação de integridade: um invasor modifica um extrato bancário ou um arquivo de configuração.

DISPONIBILIDADE

Assegurar que a informação esteja acessível e utilizável sempre que necessário. Medidas:

Redundância (RAID, servidores espelhados).
Backup e recuperação de desastres.
Proteção contra DDoS (Distributed Denial of Service).
Manutenção preventiva e monitoramento.

Ex.: Um site de banco fora do ar por ataque DDoS viola disponibilidade.

SENHAS FORTES E AUTENTICAÇÃO

Políticas de senha recomendadas:

Mínimo 8-12 caracteres, com letras maiúsculas/minúsculas, números e símbolos.
Evitar palavras do dicionário, datas, sequências (123456, senha).
Não reutilizar senhas em diferentes serviços.
Trocar periodicamente (a cada 90 dias, em ambientes críticos).
Armazenar de forma segura (hash + salt, não em texto claro).

Autenticação multifator (MFA/2FA) adiciona segunda camada: algo que você sabe (senha) + algo que você tem (token, SMS) ou algo que você é (biometria).

Fundamentos de segurança da informação – nível concurso

Pilares, princípios, políticas e ameaças

1. A Tríade CID – Confidencialidade, Integridade, Disponibilidade

É o modelo mais difundido para nortear políticas de segurança. Qualquer incidente de segurança afeta pelo menos um desses pilares. Por exemplo, um ransomware criptografa arquivos (afeta disponibilidade e integridade) e pode exigir pagamento para liberar – viola confidencialidade se dados forem exfiltrados.

Caso clássico: um ataque de ransomware que torna dados inacessíveis viola principalmente a disponibilidade; se os dados forem vazados, viola confidencialidade.

2. Fatores de autenticação e MFA

Fator 1 – Algo que você sabe: senha, PIN, resposta a pergunta de segurança.
Fator 2 – Algo que você tem: token físico (YubiKey), aplicativo autenticador (Google Authenticator), SMS com código (menos seguro).
Fator 3 – Algo que você é: biometria (impressão digital, reconhecimento facial, íris).

Autenticação multifator (MFA) exige pelo menos dois fatores de categorias diferentes. Autenticação de dois fatores (2FA) é um subconjunto da MFA (exatamente dois fatores).

Cuidado: SMS como segundo fator é vulnerável a ataques de troca de SIM (SIM swap). Prefira TOTP (Google Authenticator) ou hardware token.

3. Princípios de segurança complementares

Princípio do menor privilégio (PoLP): um usuário ou processo deve ter apenas as permissões mínimas necessárias para executar suas funções.
Defesa em profundidade: múltiplas camadas de segurança (firewall, antivírus, controle de acesso, criptografia, etc.) para que, se uma falhar, outras ainda protejam.
Segurança por obscuridade: não é considerada suficiente; manter segredo de algoritmos ou configurações não substitui boas práticas.
Não repúdio (non-repudiation): garantir que uma ação (envio de mensagem, transação) não possa ser negada pelo autor. Assinatura digital e logs audíveis são usados.

4. Política de senhas – recomendações NIST (normas atuais)

Tamanho mínimo: 8 caracteres (preferencialmente 12-15).
Não exigir troca periódica obrigatória (a menos que haja evidência de comprometimento).
Não impor composição complexa arbitrária (maiúscula, número, símbolo) se a senha for longa – frases longas são melhores (ex.: "cachorro-correndo-no-parque").
Verificar senhas contra listas de senhas comuns ou vazadas.
Bloquear após múltiplas tentativas inválidas (por exemplo, 5 tentativas).

Em provas, ainda é comum cobrar a abordagem tradicional (maiúscula/minúscula/número/símbolo). Siga o que o edital ou material de apoio sugerir.

Tabela: Ameaças e os pilares CID afetados

Ameaça/Incidente	Confidencialidade	Integridade	Disponibilidade
Vazamento de dados	✔
Ransomware (dados criptografados)		✔	✔
Ataque DDoS			✔
Alteração não autorizada (ex.: invasor altera preço de produto)		✔
Perda de laptop com dados não criptografados	✔		✔

Questões comentadas – Segurança da informação (Cebraspe)

1. (CESPE/CEBRASPE – adaptada) Disponível em: A tríade CID (confidencialidade, integridade e disponibilidade) representa os três pilares fundamentais da segurança da informação. Um ataque de negação de serviço (DoS) tem como principal impacto a violação da disponibilidade.

Gabarito: CERTO. DoS/DDoS visa tornar o serviço inacessível, atacando a disponibilidade.

2. (CESPE – adaptada) O princípio do menor privilégio determina que todos os usuários de um sistema devem ter privilégios administrativos plenos para garantir que possam executar qualquer tarefa necessária.

Gabarito: ERRADO. Exatamente o oposto: menor privilégio significa dar apenas as permissões indispensáveis, nunca privilégios excessivos.

3. (CESPE/CEBRASPE – adaptada) A autenticação multifator (MFA) aumenta a segurança porque combina dois ou mais fatores de categorias diferentes, tornando mais difícil para um atacante comprometer a conta apenas com a senha.

Gabarito: CERTO. A essência da MFA é exigir mais de um tipo de prova de identidade.

4. (CESPE – adaptada) A assinatura digital é uma técnica que garante apenas a confidencialidade do documento, mas não a integridade ou autenticidade.

Gabarito: ERRADO. A assinatura digital garante integridade (detecta alteração) e autenticidade (identifica o signatário), além de não repúdio. Não criptografa o documento (confidencialidade) a menos que combinada com criptografia.

5. (CESPE/CEBRASPE – adaptada) Em uma política de senhas forte, recomenda-se o uso de senhas curtas com muitos caracteres especiais, pois são mais fáceis de memorizar.

Gabarito: ERRADO. O recomendado é senhas longas (frases) ou combinações com variedade de caracteres. Senhas curtas são mais vulneráveis a ataques de força bruta, independentemente de caracteres especiais.

6. O hash criptográfico (ex.: SHA-256) é uma função que transforma uma mensagem em uma string de tamanho fixo, sendo útil para verificar integridade, pois qualquer alteração mínima no original resulta em hash completamente diferente.

Gabarito: CERTO. Propriedade de avalanche do hash.

Fatores de autenticação na prática

Algo que você sabe

Senha, PIN, código de desbloqueio do celular, respostas a perguntas pessoais ("nome do primeiro pet").

Algo que você tem

Token físico (YubiKey), cartão inteligente, aplicativo gerador de TOTP (Google Authenticator, Microsoft Authenticator), SMS com código, chave de segurança.

Algo que você é

Impressão digital (Touch ID), reconhecimento facial (Face ID), íris, voz, palma da mão, dinâmica de digitação.

Dica Cebraspe A banca pode perguntar: "O uso de um código enviado por SMS é considerado autenticação de dois fatores?" Sim, porque combina algo que você sabe (senha) com algo que você tem (telefone/celular). Porém, SMS tem vulnerabilidades conhecidas; aplicativos TOTP são mais seguros.

Governança e conformidade – Pinceladas sobre LGPD

Lei Geral de Proteção de Dados (Lei 13.709/2018)

Base legal: tratamento de dados pessoais só pode ocorrer com fundamento (consentimento, legítimo interesse, cumprimento de obrigação legal, etc.).
Direitos do titular: acesso, correção, eliminação, portabilidade, informações sobre compartilhamento.
Encarregado (DPO): pessoa indicada para atuar como canal de comunicação com titulares e ANPD.
Segurança: medidas técnicas e administrativas para proteger dados pessoais de acessos não autorizados e incidentes.

A LGPD está alinhada com os princípios da segurança da informação, especialmente confidencialidade e integridade. Incidentes de segurança devem ser reportados à ANPD e aos titulares, quando aplicável.

Políticas de senha – NIST SP 800-63B x abordagem tradicional

Item	Abordagem tradicional	Recomendação NIST atual (2017+)
Tamanho mínimo	8 caracteres	8 caracteres, mas recomenda 12-15 ou mais
Composição complexa	Maiúscula + minúscula + número + símbolo	Não obrigatório; frases longas são melhores
Troca periódica	A cada 30-90 dias	Apenas se houver suspeita ou evidência de comprometimento, para evitar senhas fracas incrementais
Bloqueio após tentativas	Sim, após 3-5 tentativas	Recomendado, com cuidado para não causar DoS
Verificação de vazamentos	Raramente aplicado	Deve comparar com listas de senhas comprometidas e rejeitar as presentes

Para concursos, prevalece a abordagem tradicional, a menos que o edital mencione explicitamente NIST. Fique atento ao material de referência da banca.