A confidencialidade significa, conforme (BRAUMANN, CAVIN e SCHMID, 2011), que nenhum acesso à informação deverá ser garantido a sujeitos ou sistemas não autorizados, isto é, apenas aqueles com os direitos e privilégios necessários serão capazes de acessar a informação, esteja ela armazenada, em processamento ou em trânsito.
A violação da confidencialidade pode ocorrer por modo intencional através de ataques, captura de tráfego, engenharia social, entre outros, bem como de forma não deliberada por imperícia ou negligência.
No caso específico do VoIP, a confidencialidade preocupa-se com a não intercepção de uma conversa por uma terceira parte não autorizada, como nos ataques do tipo man-in-the-middle (MITM).
A integridade é o aspecto que se preocupa com a confiança que pode ser depositada sobre uma informação obtida. Além disto, uma informação é dita íntegra se não sofreu nenhuma alteração entre os momentos de transmissão e recepção.
Desta forma, em (BRAUMANN, CAVIN e SCHMID, 2011) são definidas duas categorias de integridade: integridade de fonte e integridade de dados. A integridade de fonte garante que uma informação realmente vem do remetente correto. A integridade dados se refere à confiabilidade da informação em si, isto é se a informação não foi comprometida (manipulada) em algum momento anterior à leitura pelo destinatário pretendido.
Adicionalmente, (STEWART, TITTEL e CHAPPLE, 2008) atribui à integridade três objetivos:
- Impedir que sujeitos não autorizados realizem modificações na informação;
- Impedir que sujeitos autorizados realizem modificações não autorizadas; e
- Garantir a legitimidade, verificabilidade e consistência da informação, esteja ela armazenada, em trânsito ou em processamento.
Em se tratando de VoIP, a integridade deve garantir que os pacotes de mídia cheguem ao destinatário sem sofrerem manipulações maliciosas.
A disponibilidade é o aspecto da segurança da informação que diz que esta deve estar disponível para ser acessada quando solicitada por um sujeito ou sistema legítimo (BRAUMANN, CAVIN e SCHMID, 2011). Isto requer que toda estrutura que permite acesso e transporte da informação deve ser protegida para que não seja degradada ou se torne indisponível.
Com relação à disponibilidade, os tipos de ataque que representam maior ameaça são DoS (Denial of Service) e DDoS (Distributed Denial of Service) , que visam danificar ou sobrecarregar sistemas.
Especificamente para o VoIP, disponibilidade significa garantir que o serviço estará operante para os usuários, evitando qualquer efeito adverso resultante de um ataque do tipo negação de serviço, cujas consequências podem ser perda total ou parcial da comunicação (BRAUMANN, CAVIN e SCHMID, 2011).