6 Seguranca_da_Informacao_Controles_de_acesso_II

Prévia do material em texto

Segurança da Informação: 
Controles de acesso II
 
SST
QUEIROZ, Z. C. L. S.
Segurança da Informação: Controles de acesso II / Zan-
dra Cristina Lima Silva Queiroz 
Ano: 2020
nº de p.: 9 páginas
Copyright © 2020. Delinea Tecnologia Educacional. Todos os direitos reservados.
3
Segurança da Informação: 
Controles de acesso II
Apresentação
Os controles de acesso lógico são tão importantes quanto os físicos e fundamentais 
para complementar e garantir a segurança de ambientes e suas informações. 
Nesse sentido, ao longo desta unidade, vamos estudar o funcionamento e as 
características dos mecanismos de controle de acesso lógico.
Controle de acesso lógico
Os controles de acesso lógico visam a atender às exigências de segurança de 
acesso lógico, por meio de normas e procedimentos que verificam se os acessos 
lógicos a informações, softwares e dados estão de acordo com as políticas de 
segurança de informações. Normalmente, a elaboração desses controles faz parte 
das atribuições do administrador de segurança de informações.
O autor Beal (2008, p. 90) aponta alguns recursos que devem ser protegidos por 
mecanismos de controle lógico de acesso, são eles:
Sistemas corporativos em geral
ERP e aplicativos.
Programas-fonte
No caso de empresas que possuem desenvolvimento de software.
Arquivos de dados em geral 
Planilhas, documentos, imagens etc.
4
Sistema operacional e utilitários
Editores de texto, editores de planilhas.
Arquivos de log
Arquivos que armazenam informações sobre o comportamento de um 
determinado programa, bem como os acessos aos programas.
 
Para a construção de uma política de controle de acesso lógico, é necessário que a 
empresa já tenha realizado a classificação da informação observando os requisitos 
de segurança e descrição das funções e acessos autorizados.
A porta de entrada é o primeiro item que o controle lógico deve observar. Assim, os 
procedimentos de acesso aos sistemas (log-on) devem conter itens que minimizem 
os riscos. 
Nas páginas de acesso aos sistemas protegidos, não é indicado 
usar mensagens de ajuda, apresentar o número máximo de 
tentativas de acesso inválidas, tampouco mostrar tempo máximo 
e mínimo para log-on, pois esses processos correspondem a 
informações importantes para os invasores.
Atenção
Após a digitação do log-in, a próxima etapa de autenticação é o uso de uma senha de 
acesso (meio que o usuário comprove sua identidade) para, em seguida, o sistema 
disponibilizar os recursos aos quais o usuário tem permissão de acesso (descritos na 
política de acesso). A autenticação do usuário também pode ser incrementada com 
o uso de tecnologias físicas de autenticação (códigos de barras, cartões com tarja 
magnética, cartões inteligentes e biometria) e tecnologia de softwares especializados 
em autenticação disponíveis no mercado, que permitem a customização de acordo 
com as políticas de segurança da organização.
5
Concessão de acesso
A criação e concessão de senhas de acesso devem obedecer aos procedimentos 
estabelecidos pela política de segurança e são responsabilidade do administrador 
do sistema. No momento da entrega, os usuários devem ser orientados com as 
melhores práticas para o cadastramento de senhas fortes. 
É importante que as senhas iniciais sejam temporárias e que no 
primeiro log-in o usuário já realize a troca da senha e que o sistema 
possa solicitar a troca periodicamente, bem como permitir a troca 
quando achar necessário.
Atenção
A responsabilidade em resguardar a senha é exclusiva do usuário e deve estar 
registrada claramente no acordo de confidencialidade, que também deve orientar 
quanto à criação de senhas de difícil adivinhação.
A seguir, veja algumas orientações quanto à criação de senhas fortes:
• não utilize datas de nascimento, nomes de pessoas, nomes de times ou ou-
tras informações que estejam ligadas a você ou à organização;
• não utilize sequência óbvia de caracteres (12345, abcde etc.);
• utilize tamanho mínimo de seis posições;
• utilize letras maiúsculas e minúsculas;
• utilize letras, números e caracteres especiais (@,#,$,% etc.);
• utilize a primeira letra de cada palavra que forme uma frase ou uma frase que 
seja somente de seu conhecimento (ex.: letra de música etc.).
Senha de segurança
Fonte: Plataforma Deduca (2020). 
6
As senhas de autenticação são utilizadas de forma intensa em todos os ambientes 
informatizados, porém, na atualidade, com a quantidade de sistemas disponíveis, a 
gestão das senhas tornou-se um problema que pode afetar a segurança, pois expõe 
uma fragilidade: uso de senhas iguais para todos os sistemas. Nesse caso, se uma 
senha for decifrada, vários sistemas estarão vulneráveis. Diante dessa dificuldade, 
já existem tecnologias que procuram minimizar tais efeitos e armazenam uma única 
senha para todos os ambientes computacionais e seus aplicativos.
Gerenciamento de Autenticação
A norma ISO 27002, no item 9.2.4, descreve algumas diretrizes para implementação 
do gerenciamento de autenticação. Veja a descrição das principais no quadro a 
seguir.
Diretrizes para implantação do gerenciamento de autenticação
Gerenciamento da informação de autenticação secreta de usuários
Controle
• Convém que a concessão de informação de autenticação secreta seja controlada por meio de 
um processo de gerenciamento formal.
Diretrizes para implementação
• Convém que o processo inclua os seguintes requisitos:
• Solicitar aos usuários a assinatura de uma declaração, para manter a confidencialidade da 
informação de autenticação secreta e manter as senhas de grupos de trabalho, exclusivamente 
com os membros do grupo;
• Garantir onde os usuários necessitam manter suas próprias informações de autenticação 
secreta, que lhes sejam fornecidas uma informação de autenticação secreta temporária, as 
quais o usuário é obrigado a alterá-la no primeiro uso;
• Procedimentos devem ser estabelecidos para verificar a identidade de um usuário antes de 
fornecer uma informação de autenticação secreta, temporária, de substituição ou nova;
• Fornecer informação de autenticação secreta temporárias aos usuários de maneira segura; o 
uso de mensagens de correio eletrônico de terceiros ou desprotegido (texto claro) seja evitado;
• Informação de autenticação secreta temporária seja única para uma pessoa e que não seja 
fácil de ser adivinhada;
• Os usuários acusem o recebimento da informação de autenticação secreta;
• As informações de autenticações secretas padrão sejam alteradas logo após a instalação de 
sistemas ou software.
Informações adicionais
• Senhas são normalmente usadas como um tipo de informação de autenticação secreta, e é 
uma forma comum de verificar a identidade de um usuário. Outros tipos de informação de 
autenticação secreta são chaves criptográficas e outros dados armazenados em tokens (por 
exemplo, smartcards), que produzem códigos de autenticação.
 
Fonte: Adaptado de ABNT (2005).
7
O controle de acesso lógico também prevê auditorias periódicas do grau de 
segurança das senhas. Assim, Beal (2008, p. 107) observa medidas como “bloqueio 
do acesso após um pequeno número de tentativas incorretas, expiração automática 
da senha após um período de vigência, proteção adequada dos arquivos que 
armazenam as senhas”.
Outra técnica muito utilizada para a segurança de transação de informações em 
redes públicas é a criptografia, que é o ato de deixar uma mensagem ilegível, de 
forma que pessoas não autorizadas não tenham acesso à informação.
As etapas que compõem esse processo são: elaboração do texto, cifração e 
decifração. Os processos de cifração e decifração utilizam chaves criptográficas 
que são senhas conhecidas somente por quem enviou e recebeu a mensagem e 
somente por meio delas é possível decifrar a mensagem recebida.
Criptografia
Fonte: Plataforma Deduca (2020).
Existem dois modelos de criptografia de chave: chave simétrica e assimétrica. 
Modelo de chave simétrica
A mesmachave é usada para cifrar e decifrar a mensagem.
Modelo de chave assimétrica 
Utilizam-se duas chaves, uma chave pública para cifrar e uma chave privada 
para decifrar.
8
Para complementar o envio seguro de mensagens, segundo Galvão (2015, p. 43), é 
preciso assegurar a identidade de quem enviou a mensagem por meio do certificado 
digital. Esse mecanismo permite que a identidade do emissor seja certificada 
digitalmente por entidades certificadoras. O certificado digital funciona como uma 
carteira de identidade, pois armazena os dados de pessoas ou empresas que ficam 
registrados eletronicamente em entidades certificadoras.
Fechamento
Neste material, estudamos que segurança da informação é resultante da junção de 
controle de acessos físicos e lógicos, que evitam que incidentes ocorram e que os 
equipamentos, aplicações e informações sejam colocados em risco.
Para isso, existem diretrizes que ajudam a garantir a segurança, como as normas 
ISO, que facilitam a padronização e o estabelecimento de ambientes seguros.
9
Referências
ABNT – Associação Brasileira de Normas Técnicas. ISO/IEC 27002 – tecnologia da 
informação – técnicas de segurança – código de prática para a gestão de segurança 
da informação. Brasília: ABNT, 2005.
BEAL, A. Segurança da informação: princípios e melhores práticas para a proteção 
dos ativos de informação nas organizações. São Paulo: Atlas, 2008.
GALVÃO, M. C. Fundamentos em Segurança da Informação. São Paulo: Pearson, 
2015.