Confidencialidade A confidencialidade garante que o nível necessário de sigilo seja aplicado em cada momento do processamento de dados e de modo a evitar sua divulgação não autorizada. Esse nível de sigilo deve prevalecer enquanto os dados residem em sistemas e dispositivos dentro da rede, à medida que são transmitidos e quando chegam ao seu destino. Os invasores podem frustrar os mecanismos de confidencialidade monitorando a rede, surfar no ombro, roubando arquivos de senha, quebrando esquemas de criptografia e engenharia social. Esses tópicos serão abordados com mais profundidade em capítulos posteriores, mas, resumidamente, surfar no ombro é quando uma pessoa olha por cima do ombro de outra e observa as teclas digitadas ou visualiza os dados conforme aparecem na tela do computador. A engenharia social ocorre quando uma pessoa engana outra para compartilhar informações confidenciais, por exemplo, fazendo-se passar por alguém autorizado a ter acesso a essas informações. A engenharia social pode assumir muitas formas. Qualquer meio de comunicação um-para-um pode ser usado para realizar ataques de engenharia social. Os usuários podem divulgar intencionalmente ou acidentalmente informações confidenciais ao não as criptografar antes de enviá-las a outra pessoa, ao serem vítimas de um ataque de engenharia social, ao compartilhar segredos comerciais de uma empresa ou ao não tomar cuidado extra para proteger informações confidenciais ao processá-las. A confidencialidade pode ser fornecida criptografando os dados à medida que são armazenados e transmitidos, aplicando controle de acesso estrito e classificação de dados e treinando o pessoal nos procedimentos adequados de proteção de dados. Confidencialidade: • Criptografia dos dados armazenados (disco inteiro, criptografia de banco de dados) • Criptografia dos dados em trânsito (IPSec, TLS, PPTP, SSH, descritos no Capítulo 4) • Controle de acesso (físico – barreiras, crachás. e técnico – senha, níveis de acesso) HARRIS, Shon. MAYMÍ, Fernando. CISSP All-in-One Ex