Escolar Documentos
Profissional Documentos
Cultura Documentos
Arquivos ou
Usuário ou Equipamentos
Processo
●
Controles de acesso lógico são um conjunto de medidas e
procedimentos, adotados pela organização ou intrínsecos
aos softwares utilizados, para proteger dados e sistemas
contra tentativas de acesso não autorizadas.
●
O usuário é peça importante nesse controle (senhas
fracas ou compartilhadas, descuidos na proteção de
informações, etc...)
4
Segurança de Dados
●
Utilitários e Sistema Operacional – O acesso também deve ser restrito, pois podem provocar alterações
nas configurações e nos arquivos em geral ou podem permitir a cópia dos mesmos.
●
Arquivos de Senhas – A falta de proteção a esses arquivos pode comprometer toda a segurança, já que
se forem descobertos e decifrados, a vulnerabilidade é total.
●
Arquivos de Log – Os logs são usados para registra as ações dos usuários, sendo ótimas informações
para auditorias e análise de quebras de segurança. Se não houver proteção a esses arquivos, o usuário
ou invasor pode apagar as pistas de suas ações.
5
Segurança de Dados
6
Segurança de Dados
l Processo de Logon
●
Obtenção de acesso aos aplicativos, dados e sistema
computacional.
●
Requer um userid (conta ou logon) – identificação, e uma senha - autenticação.
●
Usuários habilitados já devem conhecer o processo e o formato. Não é necessário “ajudas” toda vez que
ele for “logar”.
●
É recomendável limitar o número de tentativas frustradas de logon, bloqueando a conta do usuário e
desfazendo a conexão.
●
Identificação do usuário – deve ser única. Regras de formação também são importantes que permitem
rápida identificação.
●
Autenticação do usuário – é a confirmação do usuário perante o sistema. Pode ser por senha, cartões ou
características físicas, como o formato da mão, da retina ou do rosto, impressão digital ou
reconhecimento da voz.
7
Segurança de Dados
l Senhas
●
A política de senhas é imprescindível. Uma má
administração destes procedimentos expõe a organização
a riscos.
●
Repetição de senhas para vários sistemas é prática comum, mas reprovável.
●
Senhas com elementos facilmente identificados:
●
Nome ou nome da conta
●
Nomes de membros da família ou amigos íntimos
●
Nome do SO ou da máquina
●
Datas
●
Nº de telefone, cartão de crédito, Identidade ou docs pessoais
●
Placas ou marcas de carro
●
Nomes próprios
●
Letras ou números repetidos
●
Qualquer senha com menos de 06 caracteres
8
Segurança de Dados
l Senhas
●
Alguns softwares são capazes de quebrar senhas frágeis.
Podem ser usados também para bloquear o uso delas.
●
Como escolher uma boa senha:
●
Compostas por letras (maiúsculas e minúsculas),
números e símbolos embaralhados.
●
De fácil memorização, para não ser preciso anotar.
●
De digitação rápida.
●
Iniciais de Frases de conhecimento do usuário,
mesclando símbolos (@, #,$, %) entre os caracteres.
●
Evitar usar as mesmas senhas para vários sistemas,
pois se um deles não for protegido, o risco é grande.
●
Forçar ou criar um hábito de troca periódica.
9
Segurança de Dados
l Tokens
●
Token é um objeto que o usuário possui que o diferencia
das outras pessoas e o habilita a acessar alguma coisa.
●
Chaves, cartões, objetos especiais são exemplos comuns
de tokens.
●
A desvantagem é que podem ser perdidos, roubados ou
reproduzidos com facilidade.
●
Os cartões inteligentes estão sendo muito usados e
aperfeiçoados para uso cada vez mais abrangente.
10
Segurança de Dados
l Sistemas Biométricos
●
São sistemas de verificação de identidade baseados em
características físicas dos usuários.
●
São mais difíceis de serem burlados, mas ainda têm o
fator custo proibitivo.
●
São a evolução dos sistemas manuais de
reconhecimento, como análise grafológica e de
impressões digitais.
●
A tecnologia de medir e avaliar determinada
característica de tal forma que o indivíduo seja realmente
único.
●
Um dos problemas é ainda a taxa de erros, pois
determinada característica pode mudar em uma pessoa,
com o passar dos anos ou por outra intervenção.
11
Segurança de Dados
l Sistemas Biométricos
●
Impressões Digitais – São características únicas e
consistentes. São armazenados de 40 a 60 pontos para
verificar a identidade.
●
Voz – Sistemas de reconhecimento de voz são usados
para controle de acesso. Não são tão confiáveis em
função dos erros causados por ruídos no ambiente ou
problemas na voz do usuário.
●
Geometria da Mão – usada em sistemas de controle
acesso, porém essa característica pode ser alterada por
aumento ou diminuição do peso ou artrite.
●
Configuração da íris ou da retina – são mais confiáveis
que as de impressão digital, através de direcionamento
de feixes de luz nos olhos das pessoas.
●
Reconhecimento Facial por meio de um termograma –
Através de imagem tirada por câmera infravermelha que
mostra os padrões térmicos de uma face. 19.000 pontos
de identificação!
12
Segurança de Dados
●
O fato do usuário ter sido identificado e autenticado não
quer dizer que ele poderá acessar qualquer informação ou
aplicativo sem restrição.
●
É necessário o controle específico, restringindo o acesso
apenas às aplicações, arquivos e utilitários
imprescindíveis às suas funções.
●
Controles de menus, disponibilizando somente opções
compatíveis com o usuário.
●
Definição de perfis de cada usuário (ou grupo de
usuários).
13
Segurança de Dados
●
A segurança lógica é garantida através de dois tipos de
controle:
●
O que um sujeito pode fazer.
●
O que pode ser feito com um objeto.
●
Podemos definir individualmente os direitos de acesso
para cada sujeito ou objeto. Mais trabalhosa para grandes
quantidades.
●
Matriz de Controle de Acesso:
Relato.doc Audit.exe
Fernando - Execução
Lúcia Leitura/gravação -
Cláudio Leitura Execução
14
Segurança de Dados
l Monitoramento
●
Registros de logs, trilhas de auditoria ou outros
mecanismos de detecção de invasão são essenciais.
●
Na ocorrência de uma invasão, erro ou atividade não
autorizada, é imprescindível reunir evidências para se
tomar medidas corretivas necessárias.
●
Os logs funcionam também como trilhas de auditorias,
registrando cronologicamente as atividades do sistema.
●
Possibilitam a reconstrução, revisão ou análise dos
ambientes e atividades relativas a uma operação,
procedimento ou evento.
●
Por conterem informações essenciais para a
segurança, os arquivos de logs devem ser protegidos
contra destruição ou alteração por usuários ou
invasores.
●
O uso em excesso também pode degradar o sistema,
sendo necessário balancear a necessidade de registro
de atividades criticas e os custos em termos de
desempenhos. 15
Segurança de Dados
●
Controles são implementados pelo fabricante do SO.
●
As vezes, temos que instalar pacotes adicionais para
incrementar a segurança do SO.
●
Time-out automático.
●
Limitação de horário de utilização de recursos.
●
Evitar uso de sessões concorrentes.
●
Se usuário estiver conectado, o invasor não poderá
logar com sua identificação/autenticação.
●
Se o invasor tiver logado, o usuário terá seu acesso
negado por sua conta está sendo usada e poderá
notificar à segurança.
16
Segurança de Dados
●
Responsável por garantir controles adequados aos riscos,
previamente identificados e analisados.
●
Deve determinar que tipo de controle deve ter cada caso.
●
Deve sempre se basear nas condições estabelecidas na
política de segurança, tais como:
●
Propriedade de cada sistema e arquivos de dados
relacionados.
●
Classificação dos sistemas em termos de importância
quanto a disponibilidade, integridade e
confidencialidade.
●
Necessidade de acesso a dados e compatibilidades com
cada usuário.
●
Responsabilidade de cada usuário.
17
Segurança de Dados
●
Principais impactos: divulgação não autorizada de
informações, alteração não autorizada de dados e
aplicativos e comprometimento da integridade do
sistema.
●
Impactos maiores em aplicativos que manipulam dados
confidenciais e financeiros.
●
A inexistência de controles de acesso a arquivos de
dados permite que um indivíduo faça mudanças não
autorizadas para permitir vantagem pessoal, por
exemplo:
●
Alterar número da conta de um pagamento, desviando
dinheiro para si mesmo.
●
Alterar inventário da empresa, para esconder furtos.
●
Aumentar seu salário na folha de pagamento.
●
Obter informações confidenciais a respeito de
transações ou indivíduos, visando futura extorsão ou
chantagens. 18
Segurança de Dados
●
O acesso irrestrito a aplicativos pode permitir o acesso
aos dados, resultando nas mesmas alterações.
●
A falta de controle de acesso sobre meios magnéticos, impressos ou de
telecomunicações pode gerar os mesmos problemas.
●
Conseqüências mais graves:
●
Perdas financeiras e fraudes.
●
Extorsões.
●
Custo de restauração ao estado inicial de programas e dados.
●
Perda de credibilidade.
●
Perda de mercado para a concorrência.
●
Inviabilidade para a continuidade do negócio.
●
Processos judiciais por divulgação de informações.
19
Segurança de Dados
20
Segurança de Dados
l Controles Explícitos
●
Fechaduras ou cadeados comuns.
●
Fechaduras codificadas acopladas a mecanismo elétrico.
●
Fechaduras eletrônicas, cujas chaves são cartões
magnéticos.
●
Fechaduras biométricas, programadas para reconhecer
características físicas.
●
Câmera de vídeo e alarmes, como controle preventivo e
detectivo.
●
Guardas de segurança.
l Controles Ambientais
●
Temperatura, Umidade e Ventilação – Necessidade de
ambientes de temperatura, umidade e ventilação
controlada.
●
Temperaturas entre 10 e 32º C são recomendadas (para
os usuários também).
●
Ambientes secos demais geram eletricidade estática e
úmido demais podem provocar oxidação e condensação
nos equipamentos.
●
As canaletas de ventilação dos equipamentos devem
estar desobstruídas.
●
Manutenção e limpeza nos equipamentos de ar
condicionado.
●
Limpeza e conservação – As salas dos equipamentos
devem ser mantidas limpas, sem acúmulo de materiais de
fácil combustão.
●
Proibição de consumo de cigarros, líquidos e alimentos
próximo aos equipamentos 23
Segurança de Dados
24
Segurança de Dados
●
Dependência extrema de computadores de muitas
organizações.
●
Não deixa de ser um risco, por isso merece muita
atenção.
●
Por causa das vulnerabilidades, é necessário adotar um
plano de recuperação após desastres.
●
Instituições bancárias e financeiras são mais rígidas no
estabelecimento de planos de contingências.
●
Fatos como o “bug do milênio” fez com que as empresas
despertassem da necessidade de planos.
●
Atentados terroristas também provocaram maiores
atenções para mecanismos de reestruturação dos
ambientes computacionais.
25
Segurança de Dados
●
A grande maioria das empresas nacionais ainda não
despertou para esse fato, pensando que isso só acontece
com os outros.
●
Um plano de recuperação na área de informática deve
fazer parte de uma estratégia ou política de continuidade
de negócios mais abrangente da empresa.
●
É o conjunto de procedimentos para permitir que os
serviços continuem a operar, ou que tenham condições de
serem restabelecidos em menor tempo possível.
26
Segurança de Dados
●
Os serviços de processamento de dados devem estar
preparados para imprevistos.
●
Não é problema apenas do departamento de informática
e sim da organização.
●
As decisões são de negócios e não técnicas apenas do DI.
●
A organização vai analisar cada recurso e atividades e
definir sua importância para a continuidade dos negócios.
●
O Plano deve ter o objetivo de manter a integridade dos
dados, a disponibilidade dos serviços ou mesmo prover
serviços temporários ou com certas restrições até que os
serviços normais sejam restaurados.
27
Segurança de Dados
●
Quanto mais tempo os serviços estiverem indisponíveis,
maiores os impactos nos negócios.
●
Minimizar o tempo de parada dos sistemas para reduzir
os prejuízos.
●
Como é medida preventiva, é muita vezes colocada em
segundo plano na empresa, principalmente pelos custos
envolvidos.
●
O PLANO NÃO É PARA DAR LUCRO E SIM EVITAR
PREJUÍZOS.
28
Segurança de Dados
l Atividades preliminares
●
Comprometimento da alta gerência
●
Estudo preliminar
l Análise de Impactos
●
Tipos – diretos e indiretos
●
Identificação dos recursos, funções e
sistemas críticos
●
Definição do tempo limite para
recuperação
●
Relatório de análise de impacto 30
Segurança de Dados
31
Segurança de Dados
32
Segurança de Dados
33
Segurança de Dados
l Fases do Plano de Contingências
l Treinamento
●
Cada funcionário deve estar consciente de suas
responsabilidades em caso de emergência, sabendo
exatamente o que fazer.
●
Para isso, o treinamento teórico e prático é fundamental.
●
É necessário também revisões ou reavaliações periódicas do
grau de habilitação dos envolvidos no Plano.
l Teste
●
Assim como a organização testa seu sistema contra incêndios,
deve testar seu plano de contingências.
●
É a única maneira de garantir a eficiência do plano de
contingências.
●
Teste integral – situação próxima da realidade
●
Teste parcial – algumas partes do plano ou determinadas
atividades.
●
Teste simulado – envolve representações da situação
34
emergencial.
Segurança de Dados
l Fases do Plano de Contingências
l Atualização do plano
●
Um plano terá pouca ou nenhuma utilidade se for colocado em
uma gaveta e nunca for testado ou avaliado.
●
As mudanças de sistemas e funções são frequentes, assim
como ocorrem mudanças administrativas e do ambiente
computacional.
●
O plano tem que sempre refletir as mudanças feitas nos
negócios e sistemas.
l Lista de verificações
35