Modelos de segurança: CIA, AAA, Zero Trust e SASE

Os modelos de segurança fornecem uma estrutura conceptual que orienta a implementação de políticas, mecanismos e boas práticas destinadas a proteger a informação contra acessos não autorizados, alterações indevidas ou interrupções de serviço. Conheça os principais modelos.

Entre os modelos de segurança mais reconhecidos e aplicados destacam-se o modelo CIA, que define os princípios da Confidencialidade, Integridade e Disponibilidade, o modelo AAA, que estabelece os processos de Autenticação, Autorização e Auditoria/Contabilização, e o modelo Zero Trust, uma abordagem moderna baseada no princípio de “nunca confiar, verificar sempre”.

Estes modelos, embora distintos, complementam-se na construção de uma estratégia de defesa robusta, garantindo que os ativos de informação são protegidos de forma eficaz e contínua.

Modelo CIA: Confidencialidade, Integridade e Disponibilidade

O modelo CIA é o pilar básico da segurança da informação. Cada componente representa um objetivo essencial para proteger dados e sistemas:

• Confidencialidade
  • Garante que apenas pessoas autorizadas podem aceder à informação.
  • Exemplo: utilização de palavras-passe, encriptação ou controlo de acessos.
• Integridade
  • Assegura que os dados não são alterados indevidamente — mantêm-se completos e fiéis à sua origem.
  • Exemplo: uso de assinaturas digitais, checksums, controlos de versão.
• Disponibilidade
  • Garante que os sistemas e dados estão acessíveis quando necessário pelos utilizadores autorizados.
  • Exemplo: redundância, backups, proteção contra DoS/DDoS.

Modelo AAA – Autenticação, Autorização e Auditoria

O modelo AAA é essencial para gestão de acessos e controlo de utilizadores em redes e sistemas.

• Autenticação
  • Confirma quem é o utilizador.
  • Exemplo: login com username e palavra-passe, autenticação multifator (MFA).
• Autorização
  • Define o que o utilizador pode fazer após ser autenticado. Exemplo: um utilizador pode ler um ficheiro, mas não alterá-lo.
• Auditoria
  • Regista todas as ações executadas, permitindo rastrear atividades e detetar anomalias.
  • Exemplo: logs de acessos, monitorização de sistemas.

Modelo Zero Trust – “Confiança Zero”

O modelo Zero Trust (ou modelo de confiança zero) é uma abordagem moderna à cibersegurança que parte do princípio de que nenhum utilizador ou dispositivo deve ser automaticamente confiável, mesmo dentro da rede.

Princípios principais:

• “Nunca confiar, verificar sempre”
  • Cada acesso deve ser validado continuamente.
• Autenticação e autorização contínuas
  • Mesmo utilizadores internos são verificados regularmente.
• Segmentação da rede e princípio do menor privilégio
  • Os utilizadores só têm acesso ao que é estritamente necessário.

SASE (Secure Access Service Edge)

O SASE (Secure Access Service Edge) combina serviços de rede (WAN) com serviços de segurança num único modelo baseado na nuvem. Em vez de a segurança estar concentrada no datacenter, passa a estar distribuída pela internet, próxima do utilizador.

Principais componentes:

• SD-WAN
  • otimiza e gere ligações entre locais e aplicações.
• CASB (Cloud Access Security Broker)
  • controla o uso de aplicações na nuvem.
• SWG (Secure Web Gateway)
  • protege contra ameaças na web.
• ZTNA (Zero Trust Network Access)
  • aplica o princípio do “nunca confiar, sempre verificar”.
• FWaaS (Firewall as a Service)
  • firewall na nuvem.

Os modelos de segurança são essenciais para proteger a informação e os sistemas. O CIA define os princípios básicos, o AAA assegura o controlo de acessos e o Zero Trust reforça a verificação contínua. Já o SASE leva os serviços de proteção para a cloud. Se implementados juntos, estes garantem uma defesa sólida e eficaz contra as ameaças digitais.