Escolar Documentos
Profissional Documentos
Cultura Documentos
1
Sumário
NOSSA HISTÓRIA .................................................................................. 2
INTRODUÇÃO ......................................................................................... 3
POLÍTICA DE ACESSO........................................................................... 7
AUDITORIA ........................................................................................... 15
TELECOMUNICAÇÕES ........................................................................ 16
REFERÊNCIAS ..................................................................................... 19
1
NOSSA HISTÓRIA
2
INTRODUÇÃO
Com tantos ataques cibernéticos em escala global ocorridos nos últimos tempos,
estabelecer o controle de acesso nas informações corporativas se tornou uma
medida inadiável, afinal os futuros ataques podem acontecer a qualquer instante
— e sua empresa, é claro, não deseja estar entre as vítimas.
3
O QUE É O CONTROLE DE ACESSO?
Antes das regras serem de fato implantadas, elas são dispostas na política de
segurança da informação da empresa, junto a uma série de melhores práticas a
ser adotada para que todos usufruam da tecnologia com responsabilidade e
segurança.
4
CONTROLES FÍSICOS E LÓGICOS
Uma solução viável para manter a seguridade das trocas de dados é utilizar
sistemas que armazenem informações em um Data Center com alto nível de
confiabilidade.
5
COMO O CONTROLE DE ACESSO FUNCIONA
Autenticação;
Autorização;
Auditoria.
A auditoria, por sua vez, consiste na coleta de informações sobre o uso dos
recursos tecnológicos envolvendo cada usuário. Os dados podem ser recolhidos
em tempo real ou por meio de gravação (batch) — para que sejam analisados
posteriormente — e utilizados em tomadas de decisão, planejamentos,
cobranças etc.
6
POLÍTICA DE ACESSO
1 – Separação de responsabilidades;
2 – Privilégios mínimos.
O fato é que sem uma política de segurança não tem como conduzir uma
auditoria para verificar a segurança das informações. Isso porque a política é o
primeiro passo para o estabelecimento de estratégias.
Portanto, caso sua organização ainda não tenha dado esse passo, sugerimos a
leitura do artigo Implementando uma política de segurança de TI em sua
empresa, no qual apresentamos um roteiro que pode com contribuir com a tarefa.
7
A IMPORTÂNCIA DO CONTROLE DE ACESSO PARA AS
INFORMAÇÕES
Os dados sigilosos são bens preciosos para a empresa, seja pela sua
essencialidade aos processos de negócio, seja pela confidencialidade que deve
ser atrelada a eles.
Todas essas situações não só podem como devem ser resolvidas. A solução,
entretanto, pode começar pela criação de mecanismos para controlar o acesso,
assegurando o uso de dispositivos de autenticação modernos e uma eficiente
política de segurança.
8
A imagem abaixo ilustra os mecanismos de controle de acesso
( Fonte: https://www.diegomacedo.com.br/mecanismos-de-controle-de-acesso/ )
Por parte do escritório, os supervisores podem ter total controle de quais pessoas
estão autorizadas a acessar determinado conjunto de informações, com
objetivos previamente definidos. Assim, garante-se a idoneidade dos processos
e a transparência na hora de fornecer feedbacks aos credores.
9
de segurança da informação levem em conta direcionamentos específicos
baseados nas necessidades práticas do negócio. Para isso, cabe estar atento a
todas as etapas dos processos, identificando falhas e pontos frágeis a serem
sanados.
Baseado em perfis
Baseado em papéis
Permissões de acesso e direitos sobre objetos são dados para qualquer grupo
ou, em adição, indivíduos. Os indivíduos podem pertencer a um ou mais grupos.
Os indivíduos podem adquirir permissões cumulativas ou desqualificado para
qualquer permissão que não faz parte de todo grupo a qual ele pertence.
Mandatório (Obrigatório)
10
(definidas pelo administrador de sistemas) e a rotulação das informações (feita
pelo gestor da informação).
11
Sistemas usando MAC podem ser implementados por meio das seguintes
técnicas:
Discricionário
Sendo assim, para que esse tipo de controle de acesso nas informações seja
implantado corretamente, é necessário que todo e qualquer objeto armazenado
no sistema tenha um proprietário e este concederá as permissões de acesso aos
devidos usuários.
12
SEGURANÇA NA ESTAÇÃO DE TRABALHO
Uma gestão de controle de acesso para uso comum é ter controle sobre qual
funcionário acessou a informação, essa medida é muito importante porque é
possível controlar o acesso a informação e o descumprimento dela implica em
que o sistema está falho, pois, qualquer funcionário pode ter acesso a ela sem
necessidade de se identificar.
Para ter controle sobre a informação deve-se colocar senhas de acessos para
que somente o usuário permitido tenha disponível essa informação. Não ter um
13
gestor de segurança da informação torna ainda mais complicada a implantação
dela, e é vital para o sucesso do processo de segurança da informação a
existência de um gestor da informação. É ele o responsável por autorizar ou
negar o acesso dos demais usuários da empresa àquela informação.
A falta de registros sobre as ações realizadas é uma falha grave, pois se deve
guardar registros para possíveis investigações de auditoria onde é preciso ter
arquivos para poder efetuar a auditoria. Esses registros devem ter seu tempo de
duração quando forem arquivados.
Uma gestão que previna uma empresa sobre possíveis erros não pode ser
deixada de lado, pois é de fundamental importância para o sucesso da
implementação da segurança na organização.
14
Se a segurança da informação está atrapalhando o funcionamento da empresa
deve ser revisto as diretrizes da segurança para não afetar o negócio.
AUDITORIA
Uma Auditoria em Segurança da Informação é uma avaliação sistemática da
segurança do sistema de informação de uma empresa. Basicamente, ela busca
medir o quanto o sistema está em conformidade com um conjunto de critérios
estabelecidos. Ou, ainda, podemos dizer que a Auditoria em Segurança da
Informação conduz uma avaliação com o objetivo de garantir que processos e
infraestrutura estejam atualizados.
Uma vez que a quantidade de informação a ser coletada pode facilmente fugir
ao controle do auditor e exceder os custos e o tempo estimados, é preciso
recorrer sempre a uma roteirização de auditoria em mãos. Embora sejam
possíveis outros tipos de auditoria para formatar uma roteirização, nos
deteremos nos três tipos já descritos: de gestão, operacional e de conformidade.
15
Para cada tipo a roteirização terá um conjunto de objetos de auditoria e seus
respectivos pontos de controle, ou seja, eventos, acontecimentos, ações,
produtos, espaços ou qualquer coisa que mereça atenção em termos de
segurança da informação e que seja de interesse auditar, dada a sua criticidade
para os negócios da organização.
( Fonte: http://www.greenconcept.com.br/gsp.html )
TELECOMUNICAÇÕES
Em telecomunicações, o termo controle de acesso tem os seguintes significados:
16
Uma técnica utilizada para definir ou restringir os direitos de indivíduos ou
aplicações de obter dados de, ou colocar dados em, um dispositivo de
armazenagem.
O processo de limitar o acesso a recursos de um sistema de auditoria
para usuários autorizados, programas, processos e outros sistemas.
A função realizada por um controlador de recursos que aloca recursos de
sistema para satisfazer requisições de usuários de telecomunicações.
17
CONSIDERAÇÕES FINAIS
No que tange segurança da informação o termo controle de acesso, pode ser
composto por autenticação ou autorização. Autenticação tem como objetivo
confirmar algo ou alguém como autêntico, ou seja, verificar sua identidade,
identificar quem acessa o sistema. Este processo faz-se necessário para
proteger informações, e será mais detalhado posteriormente.
Autorização tem como objetivo determinar o que uma entidade ativa como um
usuário autenticado ou até mesmo um determinado processo pode fazer, como
por exemplo, permitir ou negar a utilização de uma entidade passiva, como por
exemplo um sistema de arquivos, ou então permitir apenas determinadas ações
sobre esta entidade, alguns exemplos: somente leitura, leitura e gravação,
controle total entre outros.
Auditoria objetiva dizer ou apontar o que foi feito por determinado usuário
autenticado no sistema. Trata-se de logs ou registros das atividades deste
usuário, o que ele fez em uma determinada data e hora, por exemplo, se ele
realmente tinha permissão para executar determinada ação em um determinado
período.
Este processo é necessário para evitar que ações maliciosas roubem, alterem,
destruam ou até mesmo sequestrem essas informações. O processo de auditoria
de controle de acesso faz referência as informações que foram coletadas de
acordo com as atividades realizadas pelos usuários do sistema, podendo
identifica-los através do processo de autenticação.
18
REFERÊNCIAS
https://decisaosistemas.com.br/controle-de-acesso-entenda-a-importancia-de-
resguardar-informacoes/
https://www.strongsecurity.com.br/blog/controle-de-acesso-nas-informacoes-
da-empresa-por-que-fazer/
http://www.scurra.com.br/blog/auditoria-em-seguranca-da-informacao-como-
maneira-de-proteger-os-dados-da-empresa/
https://www.trf3.jus.br/documentos/rget/seguranca/CLRI/GSIC345_Auditoria_C
onformidade_Seguranca_Informacao.pdf
https://pt.wikipedia.org/wiki/Controle_de_acesso
http://intertemas.toledoprudente.edu.br/index.php/ETIC/article/viewFile/5321/50
63
19