Baixe o app para aproveitar ainda mais
Prévia do material em texto
Sistemas de Informação: Segurança Física, Ambiental e Lógica SST Farias, Mônica Victor Sistemas de Informação: Segurança física, ambiental e lógica / Mônica Victor Farias Ano: 2020 nº de p. : 12 Copyright © 2020. Delinea Tecnologia Educacional. Todos os direitos reservados. Sistemas de Informação: Seguranca Física, Ambiental e Lógica 3 Apresentação A segurança da informação pode ser compreendida por dois principais aspectos: segurança física e ambiental e segurança lógica. Vamos compreender melhor as características de cada um ao longo deste material. Segurança física e ambiental e Segurança lógica A Segurança física e a Segurança lógica devem ser utilizadas de forma complementar para garantir a segurança das informações de uma organização. Existem algumas soluções que integram a Segurança física e a Segurança lógica, por exemplo: Crachás Acesso físico (catracas) e lógico (acesso à rede, impressão segura, VPN etc.). Biometria Acesso físico, acesso a informações. Sistema de detecção de incêndio Alarmes físicos e lógicos. A Segurança física é a base para proteção dos investimentos em tecnologia feitos pela organização. Sendo assim, todos os ativos de tecnologia devem ser protegidos fisicamente contra acessos não autorizados. 4 Iniciando pelas dependências da organização, qualquer acesso deve ser controlado e formalizado. Sistemas de segurança devem ser implementados para garantir que o acesso às dependências da organização seja realizado apenas por pessoas autorizadas. Segurança física e ambiental Fonte: Plataforma Deduca (2020). O local onde estão as instalações físicas que processam e armazenam as informações críticas de uma organização devem ter segurança reforçada, a fim de que as informações estejam protegidas, evitando riscos de acesso não autorizado e interrupção das operações do negócio. Essas instalações físicas devem ser mantidas em áreas seguras com controle de acesso adequado e barreiras físicas de segurança (portas etc.). Em relação à Segurança ambiental, é necessário que essas instalações físicas sejam protegidas contra incêndio e possíveis desastres naturais. É recomendado que se faça uma análise de riscos. A Segurança física e ambiental de acordo com a Norma ABNT NBR ISO/IEC 27002 compreende (ABNT, 2005): 5 1. Áreas seguras Perímetro de segurança física – devem ser utilizadas barreiras para o acesso às instalações físicas, como portas, paredes etc., bem como o acesso deve ser controlado. Perímetro de segurança física: consiste em estabelecer ambientes segmentados, a fim de garantir os níveis de proteção adequada. A garantia do nível de proteção adequada está diretamente ligada à segmentação inteligente dos ativos. O mesmo conceito deve ser utilizado para a Segurança lógica. Curiosidade • Controle de entrada física – o acesso deve realizado somente por pessoas autorizadas. • Segurança em escritórios, salas e instalações – segurança nas dependências da organização. • Proteção contra ameaças externas e do meio ambiente – prevenção e com- bate a incêndio, brigada de incêndio treinada, alarmes e outras formas de pre- venção e combate a desastres naturais ou causados pelo homem. • Acesso do público, áreas de entrega e de carregamento: as áreas de entrega e carregamento devem ser monitoradas e o acesso restrito. A segurança dos equipamentos visa a impedir perdas e danos dos ativos de informação prevenindo a interrupção das atividades da organização, ou seja, garantir a disponibilidade e a continuidade dos negócios. A figura a seguir lista alguns procedimentos. Objetivos da segurança Elaborada pelo autor (2020). 6 • Instalação e proteção do equipamento – os equipamentos devem ser instala- dos em locais onde os riscos de ameaças sejam minimizados. • Proteção das instalações elétricas e cabeamento – a rede elétrica deve ser estabilizada e o cabeamento protegido. Para cada ativo crítico, deve ser con- siderada fonte de energia alternativa, bem como deve ser levado em conta o uso de geradores de energia para situações de contingência. • Segurança dos equipamentos fora das dependências da organização – de- vem ser adotadas medidas de segurança adequadas para os equipamentos que operam fora do local das dependências da organização. • Reutilização e alienação seguras de equipamentos – todos os equipamentos devem ser devidamente examinados antes do descarte, a fim de garantir que os dados sigilosos tenham sido excluídos. • Remoção – os ativos (equipamentos, informações) devem ter autorização prévia para serem retirados do local. • Atualmente quando falamos em segurança de rede de computadores é essen- cial garantir a proteção contra os ataques vindos da internet (que são cada vez mais frequentes). • Com isso, as redes de computadores precisam de cada vez mais proteção contra o mundo externo. • Os mecanismos de proteção envolvem tanto a Segurança física quanto a Se- gurança lógica. Componentes de rede na Segurança física Os principais componentes são: • DDOS (Deny of Service) – ataque de negação de serviços. • Phishing – roubo de informações através de envio de link contendo malware. • Ransoware – sequestro de dados. 7 Com o crescimento dos novos modelos de negócios digitais, vem aumentando a preocupação com a cyber segurança, uma vez que com essa transformação digital as organizações também estão mais expostas a novos tipos de ameaças. Atenção Os componentes de rede fundamentais para proteção contra esses e outros ataques da rede mundial de computadores são: • Firewall – equipamento que controla o tráfego entre as redes. O firewall fica na fronteira entre duas redes e controla quem pode acessar. • Controle de conteúdo WEB – equipamento onde são determinados os aces- sos e bloqueios ao conteúdo da WEB. • Detecção de Intrusão (IDS) – ferramenta passiva que monitora e analisa os eventos do tráfego da rede, registrando os eventos para consulta. • Prevenção de intrusão – ferramenta ativa que detecta os eventos e toma ações com o objetivo de proteger a rede. • Antivírus – identifica e bloqueia softwares maliciosos. • Criptografia – ferramenta utilizada para que os tráfegos trafeguem embara- lhados. Usada nas VPNs (Virtual Private Networks). • Web Application Firewall (WAF) – ferramenta para proteção das aplicações web, contra ameaças do tipo SQL Injection, sequestro de sessão, alteração de URL, dentre outros. Segundo a Pesquisa Global de Segurança da Informação da PWC 63% (sessenta e três por cento) das organizações estão com suas operações de TI na nuvem (Cloud Computing - Computação na Nuvem) para processar e armazenar suas informações. Sendo assim, um poderoso sistema de segurança que garanta a confidencialidade, disponibilidade e integridade dos dados deve ser exigido das empresas prestadoras de serviços de Cloud. Curiosidade 8 Segurança Lógica A Segurança lógica deve ser complementar à Segurança física, e é a forma como um sistema é protegido, seja por softwares ou regras de restrições de acesso. A Segurança lógica deve ser considerada para proteção contra ataques, contra erros não intencionais, remoção acidental de informações. As principais ameaças à Segurança Lógica são: acessos indevidos, erros não intencionais resultando na perda de dados, perda de dados, falhas decorrentes de softwares maliciosos, fraudes e sabotagens. Portanto, o acesso aos recursos de processamento das informações e processos de negócios deve ser controlado. Uma falha na Segurança Lógica compromete os princípios da segurança da informação: confidencialidade, integridade e disponibilidade. Segurança Lógica Fonte: Plataforma Deduca (2020). A Segurança Lógica visa a minimizar os riscos de ações fraudulentas pelo acesso não autorizado. Nesse sentido, há três pontos-chave para garantir que não ocorram acessos indevidos em aplicações e recursos da empresa, que, se mal gerenciados, podem causar um grande estrago: autenticação, autorização e auditoria (LYRA, 2008).Esses três pontos compõem o processo de controle de acesso. Mas o que são esses pontos-chave? Autenticação = identificação (quem é?) + autenticação (como posso ter certeza que é você mesmo?) 9 A autenticação é o processo de identificação e validação das credenciais do usuário (nome do usuário e senha). Após a validação do usuário e senha, o próximo passo é definir quais as permissões de acesso o autenticado e identificado possui. A autenticação básica é composta de usuário e senha, mas pode ser reforçada com a inclusão do conceito de multifator. Multifator é o processo de solicitação de mais de um método de autenticação, como: • Código dinâmico gerado na própria aplicação. Exemplos: token nas aplicações do Banco Itaú, códigos gerados nas aplicações como Facebook. Métodos de autenticação: • Login simples: identificação + senha. • Biometria: possibilita o reconhecimento e autenticação segura de determina- da pessoa utilizando características físicas, como: impressão digital, íris e re- conhecimento facial. • SmartCard: são cartões com chip, que podem possuir o identificador de um usuário e informações complementares ou ainda certificados digitais. • Tokens: são pequenos devices que podem ser utilizados para armazenamen- to de certificados digitais. • Senhas de acesso único: senhas randômicas a cada determinado intervalo de tempo (30 segundos), permitindo que o usuário se conecte naquele instante. • RFID: é um dispositivo de radiofrequência que utiliza sinais de rádio. Um RFID é uma antena que pode se colocada em uma pessoa, animal ou produto. Es- sas antenas possuem um grande problema, pois não têm rotina ou dispositivo para proteger seus dados, podendo sofrer extravio de suas informações. Certificado digital Fonte: Plataforma Deduca (2020). 10 O certificado digital é um instrumento para assinar eletronicamente uma informação. O governo brasileiro instituiu a ICP/Brasil (infraestrutura de chaves públicas) para emissão de certificados digitais para identificação virtual do cidadão. Disponível em: <http://www.iti.gov.br/icp-brasil>. Atenção Autorização – (quem pode fazer o que com qual informação?) É o processo de controlar após autenticado o usuário, o que o usuário pode fazer nos sistemas, ou seja, é o conjunto de permissões dado ao usuário conforme o seu perfil de acesso. Auditoria – quem fez o quê? Para completar o processo de controle de acesso, é necessário que as principais ações executadas pelos usuários sejam registradas em trilhas de auditoria (LYRA, 2008). Fechamento A segurança da informação é sempre garantida através do estabelecimento de cuidados e mecanismos em duas frentes, a física e lógica. Isso significa que a segurança é obtida através de um trabalho entre diferentes recursos para garantir que usuários indesejados tenham acesso à informação de forma indevida. 11 12 Referências LYRA, M. R. Segurança e auditoria em sistemas de informação. Rio de Janeiro: Ciência Moderna, 2008.
Compartilhar