Com o surgimento das redes e aplicações cliente/servidor, foram desenvolvidos modelos e padrões com os quais fui tomando contato durante minha vida profissional e acadêmica. O Modelo OSI é bem conhecido por todos que tenham experiência e/ou conhecimento teórico de redes e protocolos de comunicação. Porém, você sabia que também existe uma Arquitetura OSI de Segurança? OSI é a sigla de "Open System Interconnection", que em português significa "Sistemas abertos de conexão", e quando utilizamos esse termo nos vem de imediato o modelo de redes e suas sete camadas. Porém o OSI faz parte da ITU (União Internacional de Telecomunicação) e faz referência a tudo quanto seja padrão para comunicação entre sistemas.

A arquitetura OSI de segurança é baseada na recomendação X.800 e na RFC 2828. A essência da arquitetura se baseia na necessidade das organizações possuírem políticas de segurança e serviços que permitam avaliar tudo o que esteja relacionado com a segurança de suas informações. Estes serviços resumem-se em:

1. Autenticação: confirma que a identidade de uma ou mais entidades conectadas à uma ou mais entidades, é verdadeira. Entende-se por entidade um usuário, processo ou sistema. De igual forma, corrobora à determinada entidade que a informação parte de uma outra entidade verdadeira.

2. Controle de acesso: protege determinada entidade contra o uso não autorizado de seus recursos. Este serviço de segurança pode aplicar-se a vários tipos de acesso, como por exemplo, o uso de meios de comunicação, leitura, alteração ou eliminação de informações e execução de processos.

3. Confidencialidade: protege determinada entidade contra a liberação deliberada ou acidental de qualquer conjunto de dados ou informações à entidades não autorizadas.

4. Integridade: assegura que os dados armazenados nos computadores e/ou transferidos em uma conexão, não foram alterados.

5. Não repúdio: esse serviços protege contra usuários que querem criar uma falsa negação de que enviaram ou receberam uma mensagem.

Baseado na RFC 2828, a arquitetura foca no que chamamos de riscos de "ameaças e ataques", onde uma ameaça é a possibilidade latente de que é possível violar o sistema de informação e um ataque é um ato inteligente e deliberado derivado propriamente de uma ameaça.