3 Sistemas de Informação - Segurança física, ambiental e lógica

Prévia do material em texto

Sistemas de Informação: 
Segurança Física, 
Ambiental e Lógica
 
SST
Farias, Mônica Victor
Sistemas de Informação: Segurança física, ambiental e 
lógica / Mônica Victor Farias 
Ano: 2020
nº de p. : 12
Copyright © 2020. Delinea Tecnologia Educacional. Todos os direitos reservados.
Sistemas de Informação: 
Seguranca Física, 
Ambiental e Lógica
3
Apresentação
A segurança da informação pode ser compreendida por dois principais aspectos: 
segurança física e ambiental e segurança lógica. 
Vamos compreender melhor as características de cada um ao longo deste material.
Segurança física e ambiental e 
Segurança lógica
A Segurança física e a Segurança lógica devem ser utilizadas de forma 
complementar para garantir a segurança das informações de uma organização.
Existem algumas soluções que integram a Segurança física e a Segurança lógica, por 
exemplo:
Crachás
Acesso físico (catracas) e lógico (acesso à rede, impressão segura, VPN etc.).
Biometria 
Acesso físico, acesso a informações.
Sistema de detecção de incêndio
Alarmes físicos e lógicos.
A Segurança física é a base para proteção dos investimentos em tecnologia feitos 
pela organização. Sendo assim, todos os ativos de tecnologia devem ser protegidos 
fisicamente contra acessos não autorizados.
4
Iniciando pelas dependências da organização, qualquer acesso deve ser controlado 
e formalizado.
Sistemas de segurança devem ser implementados para garantir que o acesso às 
dependências da organização seja realizado apenas por pessoas autorizadas.
Segurança física e ambiental
Fonte: Plataforma Deduca (2020).
O local onde estão as instalações físicas que processam e armazenam as 
informações críticas de uma organização devem ter segurança reforçada, a fim de 
que as informações estejam protegidas, evitando riscos de acesso não autorizado e 
interrupção das operações do negócio. 
Essas instalações físicas devem ser mantidas em áreas seguras com controle de 
acesso adequado e barreiras físicas de segurança (portas etc.). 
Em relação à Segurança ambiental, é necessário que essas instalações físicas sejam 
protegidas contra incêndio e possíveis desastres naturais. É recomendado que se 
faça uma análise de riscos. 
A Segurança física e ambiental de acordo com a Norma ABNT NBR ISO/IEC 27002 
compreende (ABNT, 2005):
5
1. Áreas seguras
Perímetro de segurança física – devem ser utilizadas barreiras para o acesso 
às instalações físicas, como portas, paredes etc., bem como o acesso deve ser 
controlado. 
Perímetro de segurança física: consiste em estabelecer ambientes 
segmentados, a fim de garantir os níveis de proteção adequada. A 
garantia do nível de proteção adequada está diretamente ligada à 
segmentação inteligente dos ativos. O mesmo conceito deve ser 
utilizado para a Segurança lógica. 
Curiosidade
• Controle de entrada física – o acesso deve realizado somente por pessoas 
autorizadas.
• Segurança em escritórios, salas e instalações – segurança nas dependências 
da organização.
• Proteção contra ameaças externas e do meio ambiente – prevenção e com-
bate a incêndio, brigada de incêndio treinada, alarmes e outras formas de pre-
venção e combate a desastres naturais ou causados pelo homem.
• Acesso do público, áreas de entrega e de carregamento: as áreas de entrega e 
carregamento devem ser monitoradas e o acesso restrito.
A segurança dos equipamentos visa a impedir perdas e danos dos ativos de 
informação prevenindo a interrupção das atividades da organização, ou seja, garantir 
a disponibilidade e a continuidade dos negócios. A figura a seguir lista alguns 
procedimentos.
Objetivos da segurança
Elaborada pelo autor (2020).
6
• Instalação e proteção do equipamento – os equipamentos devem ser instala-
dos em locais onde os riscos de ameaças sejam minimizados.
• Proteção das instalações elétricas e cabeamento – a rede elétrica deve ser 
estabilizada e o cabeamento protegido. Para cada ativo crítico, deve ser con-
siderada fonte de energia alternativa, bem como deve ser levado em conta o 
uso de geradores de energia para situações de contingência.
• Segurança dos equipamentos fora das dependências da organização – de-
vem ser adotadas medidas de segurança adequadas para os equipamentos 
que operam fora do local das dependências da organização.
• Reutilização e alienação seguras de equipamentos – todos os equipamentos 
devem ser devidamente examinados antes do descarte, a fim de garantir que 
os dados sigilosos tenham sido excluídos.
• Remoção – os ativos (equipamentos, informações) devem ter autorização 
prévia para serem retirados do local. 
• Atualmente quando falamos em segurança de rede de computadores é essen-
cial garantir a proteção contra os ataques vindos da internet (que são cada 
vez mais frequentes).
• Com isso, as redes de computadores precisam de cada vez mais proteção 
contra o mundo externo.
• Os mecanismos de proteção envolvem tanto a Segurança física quanto a Se-
gurança lógica.
Componentes de rede na Segurança 
física 
Os principais componentes são:
• DDOS (Deny of Service) – ataque de negação de serviços.
• Phishing – roubo de informações através de envio de link contendo malware.
• Ransoware – sequestro de dados.
7
Com o crescimento dos novos modelos de negócios digitais, vem 
aumentando a preocupação com a cyber segurança, uma vez que 
com essa transformação digital as organizações também estão 
mais expostas a novos tipos de ameaças.
Atenção
Os componentes de rede fundamentais para proteção contra esses e outros ataques 
da rede mundial de computadores são:
• Firewall – equipamento que controla o tráfego entre as redes. O firewall fica 
na fronteira entre duas redes e controla quem pode acessar.
• Controle de conteúdo WEB – equipamento onde são determinados os aces-
sos e bloqueios ao conteúdo da WEB.
• Detecção de Intrusão (IDS) – ferramenta passiva que monitora e analisa os 
eventos do tráfego da rede, registrando os eventos para consulta.
• Prevenção de intrusão – ferramenta ativa que detecta os eventos e toma 
ações com o objetivo de proteger a rede.
• Antivírus – identifica e bloqueia softwares maliciosos.
• Criptografia – ferramenta utilizada para que os tráfegos trafeguem embara-
lhados. Usada nas VPNs (Virtual Private Networks).
• Web Application Firewall (WAF) – ferramenta para proteção das aplicações 
web, contra ameaças do tipo SQL Injection, sequestro de sessão, alteração de 
URL, dentre outros. 
Segundo a Pesquisa Global de Segurança da Informação da PWC 
63% (sessenta e três por cento) das organizações estão com 
suas operações de TI na nuvem (Cloud Computing - Computação 
na Nuvem) para processar e armazenar suas informações. 
Sendo assim, um poderoso sistema de segurança que garanta a 
confidencialidade, disponibilidade e integridade dos dados deve 
ser exigido das empresas prestadoras de serviços de Cloud.
Curiosidade
8
Segurança Lógica
A Segurança lógica deve ser complementar à Segurança física, e é a forma como um 
sistema é protegido, seja por softwares ou regras de restrições de acesso.
A Segurança lógica deve ser considerada para proteção contra ataques, contra erros 
não intencionais, remoção acidental de informações.
As principais ameaças à Segurança Lógica são: acessos indevidos, erros não 
intencionais resultando na perda de dados, perda de dados, falhas decorrentes de 
softwares maliciosos, fraudes e sabotagens.
Portanto, o acesso aos recursos de processamento das informações e processos de 
negócios deve ser controlado.
Uma falha na Segurança Lógica compromete os princípios da segurança da 
informação: confidencialidade, integridade e disponibilidade.
Segurança Lógica
Fonte: Plataforma Deduca (2020).
A Segurança Lógica visa a minimizar os riscos de ações fraudulentas pelo acesso 
não autorizado. Nesse sentido, há três pontos-chave para garantir que não ocorram 
acessos indevidos em aplicações e recursos da empresa, que, se mal gerenciados, 
podem causar um grande estrago: autenticação, autorização e auditoria (LYRA, 
2008).Esses três pontos compõem o processo de controle de acesso.
Mas o que são esses pontos-chave?
Autenticação = identificação (quem é?) + autenticação (como posso ter certeza que 
é você mesmo?)
9
A autenticação é o processo de identificação e validação das credenciais do usuário 
(nome do usuário e senha). Após a validação do usuário e senha, o próximo passo é 
definir quais as permissões de acesso o autenticado e identificado possui.
A autenticação básica é composta de usuário e senha, mas pode ser reforçada com 
a inclusão do conceito de multifator.
Multifator é o processo de solicitação de mais de um método de autenticação, como:
• Código dinâmico gerado na própria aplicação. 
Exemplos: token nas aplicações do Banco Itaú, códigos gerados nas aplicações 
como Facebook. 
Métodos de autenticação:
• Login simples: identificação + senha.
• Biometria: possibilita o reconhecimento e autenticação segura de determina-
da pessoa utilizando características físicas, como: impressão digital, íris e re-
conhecimento facial.
• SmartCard: são cartões com chip, que podem possuir o identificador de um 
usuário e informações complementares ou ainda certificados digitais.
• Tokens: são pequenos devices que podem ser utilizados para armazenamen-
to de certificados digitais.
• Senhas de acesso único: senhas randômicas a cada determinado intervalo de 
tempo (30 segundos), permitindo que o usuário se conecte naquele instante.
• RFID: é um dispositivo de radiofrequência que utiliza sinais de rádio. Um RFID 
é uma antena que pode se colocada em uma pessoa, animal ou produto. Es-
sas antenas possuem um grande problema, pois não têm rotina ou dispositivo 
para proteger seus dados, podendo sofrer extravio de suas informações.
Certificado digital
Fonte: Plataforma Deduca (2020).
10
O certificado digital é um instrumento para assinar eletronicamente 
uma informação. O governo brasileiro instituiu a ICP/Brasil 
(infraestrutura de chaves públicas) para emissão de certificados 
digitais para identificação virtual do cidadão. Disponível em: 
<http://www.iti.gov.br/icp-brasil>.
Atenção
Autorização – (quem pode fazer o que com qual informação?)
É o processo de controlar após autenticado o usuário, o que o usuário pode fazer 
nos sistemas, ou seja, é o conjunto de permissões dado ao usuário conforme o seu 
perfil de acesso.
Auditoria – quem fez o quê?
Para completar o processo de controle de acesso, é necessário que as principais ações 
executadas pelos usuários sejam registradas em trilhas de auditoria (LYRA, 2008).
Fechamento 
A segurança da informação é sempre garantida através do estabelecimento de 
cuidados e mecanismos em duas frentes, a física e lógica. 
Isso significa que a segurança é obtida através de um trabalho entre diferentes 
recursos para garantir que usuários indesejados tenham acesso à informação de 
forma indevida.
11
12
Referências
LYRA, M. R. Segurança e auditoria em sistemas de informação. Rio de Janeiro: 
Ciência Moderna, 2008.