Baixe o app para aproveitar ainda mais
Prévia do material em texto
Segurança da Informação: Controles de acesso II SST QUEIROZ, Z. C. L. S. Segurança da Informação: Controles de acesso II / Zan- dra Cristina Lima Silva Queiroz Ano: 2020 nº de p.: 9 páginas Copyright © 2020. Delinea Tecnologia Educacional. Todos os direitos reservados. 3 Segurança da Informação: Controles de acesso II Apresentação Os controles de acesso lógico são tão importantes quanto os físicos e fundamentais para complementar e garantir a segurança de ambientes e suas informações. Nesse sentido, ao longo desta unidade, vamos estudar o funcionamento e as características dos mecanismos de controle de acesso lógico. Controle de acesso lógico Os controles de acesso lógico visam a atender às exigências de segurança de acesso lógico, por meio de normas e procedimentos que verificam se os acessos lógicos a informações, softwares e dados estão de acordo com as políticas de segurança de informações. Normalmente, a elaboração desses controles faz parte das atribuições do administrador de segurança de informações. O autor Beal (2008, p. 90) aponta alguns recursos que devem ser protegidos por mecanismos de controle lógico de acesso, são eles: Sistemas corporativos em geral ERP e aplicativos. Programas-fonte No caso de empresas que possuem desenvolvimento de software. Arquivos de dados em geral Planilhas, documentos, imagens etc. 4 Sistema operacional e utilitários Editores de texto, editores de planilhas. Arquivos de log Arquivos que armazenam informações sobre o comportamento de um determinado programa, bem como os acessos aos programas. Para a construção de uma política de controle de acesso lógico, é necessário que a empresa já tenha realizado a classificação da informação observando os requisitos de segurança e descrição das funções e acessos autorizados. A porta de entrada é o primeiro item que o controle lógico deve observar. Assim, os procedimentos de acesso aos sistemas (log-on) devem conter itens que minimizem os riscos. Nas páginas de acesso aos sistemas protegidos, não é indicado usar mensagens de ajuda, apresentar o número máximo de tentativas de acesso inválidas, tampouco mostrar tempo máximo e mínimo para log-on, pois esses processos correspondem a informações importantes para os invasores. Atenção Após a digitação do log-in, a próxima etapa de autenticação é o uso de uma senha de acesso (meio que o usuário comprove sua identidade) para, em seguida, o sistema disponibilizar os recursos aos quais o usuário tem permissão de acesso (descritos na política de acesso). A autenticação do usuário também pode ser incrementada com o uso de tecnologias físicas de autenticação (códigos de barras, cartões com tarja magnética, cartões inteligentes e biometria) e tecnologia de softwares especializados em autenticação disponíveis no mercado, que permitem a customização de acordo com as políticas de segurança da organização. 5 Concessão de acesso A criação e concessão de senhas de acesso devem obedecer aos procedimentos estabelecidos pela política de segurança e são responsabilidade do administrador do sistema. No momento da entrega, os usuários devem ser orientados com as melhores práticas para o cadastramento de senhas fortes. É importante que as senhas iniciais sejam temporárias e que no primeiro log-in o usuário já realize a troca da senha e que o sistema possa solicitar a troca periodicamente, bem como permitir a troca quando achar necessário. Atenção A responsabilidade em resguardar a senha é exclusiva do usuário e deve estar registrada claramente no acordo de confidencialidade, que também deve orientar quanto à criação de senhas de difícil adivinhação. A seguir, veja algumas orientações quanto à criação de senhas fortes: • não utilize datas de nascimento, nomes de pessoas, nomes de times ou ou- tras informações que estejam ligadas a você ou à organização; • não utilize sequência óbvia de caracteres (12345, abcde etc.); • utilize tamanho mínimo de seis posições; • utilize letras maiúsculas e minúsculas; • utilize letras, números e caracteres especiais (@,#,$,% etc.); • utilize a primeira letra de cada palavra que forme uma frase ou uma frase que seja somente de seu conhecimento (ex.: letra de música etc.). Senha de segurança Fonte: Plataforma Deduca (2020). 6 As senhas de autenticação são utilizadas de forma intensa em todos os ambientes informatizados, porém, na atualidade, com a quantidade de sistemas disponíveis, a gestão das senhas tornou-se um problema que pode afetar a segurança, pois expõe uma fragilidade: uso de senhas iguais para todos os sistemas. Nesse caso, se uma senha for decifrada, vários sistemas estarão vulneráveis. Diante dessa dificuldade, já existem tecnologias que procuram minimizar tais efeitos e armazenam uma única senha para todos os ambientes computacionais e seus aplicativos. Gerenciamento de Autenticação A norma ISO 27002, no item 9.2.4, descreve algumas diretrizes para implementação do gerenciamento de autenticação. Veja a descrição das principais no quadro a seguir. Diretrizes para implantação do gerenciamento de autenticação Gerenciamento da informação de autenticação secreta de usuários Controle • Convém que a concessão de informação de autenticação secreta seja controlada por meio de um processo de gerenciamento formal. Diretrizes para implementação • Convém que o processo inclua os seguintes requisitos: • Solicitar aos usuários a assinatura de uma declaração, para manter a confidencialidade da informação de autenticação secreta e manter as senhas de grupos de trabalho, exclusivamente com os membros do grupo; • Garantir onde os usuários necessitam manter suas próprias informações de autenticação secreta, que lhes sejam fornecidas uma informação de autenticação secreta temporária, as quais o usuário é obrigado a alterá-la no primeiro uso; • Procedimentos devem ser estabelecidos para verificar a identidade de um usuário antes de fornecer uma informação de autenticação secreta, temporária, de substituição ou nova; • Fornecer informação de autenticação secreta temporárias aos usuários de maneira segura; o uso de mensagens de correio eletrônico de terceiros ou desprotegido (texto claro) seja evitado; • Informação de autenticação secreta temporária seja única para uma pessoa e que não seja fácil de ser adivinhada; • Os usuários acusem o recebimento da informação de autenticação secreta; • As informações de autenticações secretas padrão sejam alteradas logo após a instalação de sistemas ou software. Informações adicionais • Senhas são normalmente usadas como um tipo de informação de autenticação secreta, e é uma forma comum de verificar a identidade de um usuário. Outros tipos de informação de autenticação secreta são chaves criptográficas e outros dados armazenados em tokens (por exemplo, smartcards), que produzem códigos de autenticação. Fonte: Adaptado de ABNT (2005). 7 O controle de acesso lógico também prevê auditorias periódicas do grau de segurança das senhas. Assim, Beal (2008, p. 107) observa medidas como “bloqueio do acesso após um pequeno número de tentativas incorretas, expiração automática da senha após um período de vigência, proteção adequada dos arquivos que armazenam as senhas”. Outra técnica muito utilizada para a segurança de transação de informações em redes públicas é a criptografia, que é o ato de deixar uma mensagem ilegível, de forma que pessoas não autorizadas não tenham acesso à informação. As etapas que compõem esse processo são: elaboração do texto, cifração e decifração. Os processos de cifração e decifração utilizam chaves criptográficas que são senhas conhecidas somente por quem enviou e recebeu a mensagem e somente por meio delas é possível decifrar a mensagem recebida. Criptografia Fonte: Plataforma Deduca (2020). Existem dois modelos de criptografia de chave: chave simétrica e assimétrica. Modelo de chave simétrica A mesmachave é usada para cifrar e decifrar a mensagem. Modelo de chave assimétrica Utilizam-se duas chaves, uma chave pública para cifrar e uma chave privada para decifrar. 8 Para complementar o envio seguro de mensagens, segundo Galvão (2015, p. 43), é preciso assegurar a identidade de quem enviou a mensagem por meio do certificado digital. Esse mecanismo permite que a identidade do emissor seja certificada digitalmente por entidades certificadoras. O certificado digital funciona como uma carteira de identidade, pois armazena os dados de pessoas ou empresas que ficam registrados eletronicamente em entidades certificadoras. Fechamento Neste material, estudamos que segurança da informação é resultante da junção de controle de acessos físicos e lógicos, que evitam que incidentes ocorram e que os equipamentos, aplicações e informações sejam colocados em risco. Para isso, existem diretrizes que ajudam a garantir a segurança, como as normas ISO, que facilitam a padronização e o estabelecimento de ambientes seguros. 9 Referências ABNT – Associação Brasileira de Normas Técnicas. ISO/IEC 27002 – tecnologia da informação – técnicas de segurança – código de prática para a gestão de segurança da informação. Brasília: ABNT, 2005. BEAL, A. Segurança da informação: princípios e melhores práticas para a proteção dos ativos de informação nas organizações. São Paulo: Atlas, 2008. GALVÃO, M. C. Fundamentos em Segurança da Informação. São Paulo: Pearson, 2015.
Compartilhar