Apresentação do PowerPoint tecnicas de controles de acessos

Prévia do material em texto

Auditoria de Controle de Acesso 
 
Prof. Dr. Joshua Onome Imoniana 
 
Auditoria de Controle de Hardware 
 
 
Prof. Dr. Joshua Onome Imoniana 
 
Objetivo de Controle de Hardware 
i. Implementar os procedimentos de segurança física sobre 
os equipamentos, 
ii. Procedimentos do ambiente de Data Center; 
iii. Apontar como os contatos físicos dos usuários aos 
recursos são controlados; 
iv. Auxiliar o monitoramento das responsabilidades; 
v. Proteger contra riscos estrutuais; 
vi. Proteção contra riscos estruturais a vidas das pessoas; 
vii. Evitar perda de hardwares; 
viii.Protege contra a disfunção e reduz vantagens 
competitivas 
 
Taxonomia dos controles de hardware 
 
a) Controles físicos 
b) Controles automatizados 
 
Os quais podem ser: 
i. Diversidades de procedimentos que orientam o 
manuseio de equipamentos; 
ii. Controles automatizados construidos junto com 
equipamentos pelo fabricante e ajudam a 
amenizar erros no uso. 
 
Artifícios para efetividade de controle 
de hardwares 
Inventário de hardwares 
- Diagnóstico de BIOs, processadores, 
sistema operacional e linguagem, 
fabricante/modelo e séries, monitor/placas 
de modem, so, video etc; 
- Padronização dos modelos de 
equipamentos, seja HP, IBM, Toshiba, 
entre outros. 
 
Controle de Instalação física e 
instalação de cópias de softwares 
 
a) Controles físico e imobilizado; 
 
b) Controle de pirataria (exemplo 
de SekChek pela DTT) 
Objetivo de Auditoria de Controle de Hardwares 
 
Dois eixos preocupantes: 
 
1. Equipamentos são capazes de restringir acessos 
internamente dentro da organização, por conseguinte 
garantir a proteção de terminais, CPU, servidores, 
unidades de conversão de dados, fitas, vidas etc. 
 
2. Há equipamentos que restrinjam acessos físicos de 
pessoas alheias ao ambiente de processamento. 
Pessoas que têm interesse pelas informações da 
organização e que não têm permissão para acessá-las. 
 
Auditoria de Controle de Acesso 
 
Prof. Dr. Joshua Onome Imoniana 
 
TI IE RH 
Infra de TI 
Equipamentos 
de TI 
Local e 
condições 
de 
trabalho 
Pessoas 
P/F 
Parceiros 
 e 
Fornecedores 
(Transportes, 
entregas, 
Segurança 
patrimonial, 
Carro Forte, 
... ) 
Processos 
Segurança 
Riscos 
Planos de Continuidade de Negócios 
Elaboração de Normas e Procedimentos 
Segurança Física 
Segurança Lógica 
Riscos de TI 
Segurança da Informação 
Processos de negócios 
Controles de acesso 
Controle de acesso 
• Habilidade de permitir ou negar a utilização de um objeto (sistema 
ou arquivo) por um usuário interno ou externo. 
 
• O processo de autenticação indica quem acessa o sistema, 
• O processo de autorização indica o que um usuário autenticado 
pode fazer e a auditoria indica o que o usuário fez. 
 
• Principais técnicas de controle de acesso: 
– Controle de acesso discricionário (DAC) 
– Controle de acesso obrigatório (MAC) 
 
 Autorização e Auditoribilidade 
 
•A autorização é o processo responsável por definir o que 
o usuário pode fazer no sistema. 
 
 
 
 
 
•A auditoria é o processo de monitoração de todas as 
ações realizadas nos sistemas, para garantir a 
segurança, aplicar as políticas de senhas. 
 
Identificar o Usuário Validar o Usuário Conceder Privilégios 
Metodologias de Autenticação 
 
 
 
 
•Login simples 
•Biometria (facial; impressão digital; Iris; voz; cheiro) 
•Certificado digitais 
•Smart Cards 
•Tokens 
•Senha de uso único 
•Dinâmica de batida de tecla 
 
 
Trusted User/ 
Customers 
Application 
Server 
Database 
Server 
Trusted Inside 
Web 
Server 
Hackers 
Only port 80 
and 443(SSL) 
are open 
Internet 
 
(or Intranet) 
Only Web 
Server has 
access to App 
Server 
Fonte: HP - 2009 
· Perdas Financeiras; 
· Transações Fraudulentas; 
· Acesso não autorizado aos dados, inclusive informações 
confidenciais; 
· Roubo ou modificação de Dados; 
· Roubo de Informações de Clientes; 
· Interrupção do Serviço; 
· Perda da confiança e lealdade dos clientes; 
· Dano à imagem da marca. 
Ameaças devido ao Acesso Indevido 
'BusinessWeek' site hacked 
Hackers have broken into BusinessWeek's online site 
….. The hackers used an increasingly common form of 
attack called SQL injection, in which a small malicious 
script is inserted into a database that feeds information to 
the BusinessWeek 
Web site. 
September 15, 2008 By Elinor Mills 
Data thieves steal credit card data from 
supermarket chain 
March 18, 2008 Robert McMillan 
Retailers Hannaford Brothers and Sweetbay admit to being the targets of a 
massive credit-card data theft disclosed Monday……. stealing an estimated 
4.2 million credit and debit card numbers………. some cases of identity 
theft had been associated with the incident 
Vulnerabilidade 
IE de TI 
Equipamentos 
de TI 
Processos 
Segurança 
Riscos 
• Verificação dos controles 
elaborados nos processos de TI 
• Normas e políticas de TI; 
• Aprovação de processos que expõe 
riscos tecnológicos e sistêmicos; 
• Participação nos projetos de TI e nos 
desenvolvimentos dos sistemas. 
• Elaboração de procedimentos de TI, 
Desenvolvimento, Service Desk,... 
• Redes de Servidores, estações, 
Firewalls, Routers, Switchs,... 
• Controle de acesso físico,Links, 
rede Elétrica, Ar-condicionado, 
Detector e extinção de incêndio,.. 
Auditor de 
sistemas 
 Principais responsabilidades 
Mapeamento dos Controles de Acesso 
 Há políticas de Segurança estabelecidas que forneçam de modo geral 
diretrizes e forma de implementação de normas de segurança? 
 Há rotinas e procedimentos estabelecidos para a atribuição ou modificação do 
nível de acesso? 
 Há um software de controle de acesso em uso ou outra restrição de acesso, na 
amplitude possível, pelo sistema operacional, para restringir acessos de usuários 
somente aos recursos computadorizados necessários para execução de suas 
funções de trabalho? 
 
- Teste das características do software, identificando as funções obrigatórias 
disponíveis: 
 
 a) Estabelecimento dos níveis de proteção. 
 b) Monitoramento do acesso aos recursos protegidos e transações. 
 c) Disponibilidade de arquivos de Log ou de comandos que 
 informem: 
 
- Senha não atribuída. 
- Senhas sem segurança. 
- Senhas muito curtas. 
- Equivalência do Supervisor. 
- Existência de Gerentes de Grupos de Trabalho. 
- Privilégios no diretório-raiz . 
- Ausência de script no Login 
- Direitos excessivos de certos diretórios. 
- Usuário que não fez Login durante certo período de tempo. 
- Detecção de utilização de senha de usuário ausente. 
• Administradores de estação 
• Permissão de acesso a sites específicos fora da 
políticas 
• Permissão temporárias nas regras no Firewall 
• Permissão de acessos a drivers móveis 
• Correções em sistemas aplicativos para adequar com 
as políticas de segurança de TI. 
Controles das exceções “justificadas“ 
Gerenciamento de Identidade 
(Identity Management) 
O gerenciamento de identidades controla de forma centralizada o ciclo de vida 
das contas de usuários e privilégios de acesso nos recursos empresariais. 
Frameworks Existentes 
Oracle Identity Management 
Sun Identity Management 
IBM Tivoli Identity ManagerIBM 
Tivoli Identity Manager 
Microsoft Lifecycle Manager 
HP – Application Security CenterObjetivos de Auditoria de Controles de Acesso 
 
Há dois aspectos importantes: 
 
a) Controle de hardware, incluindo a CPU, unidades de 
fita e disco, terminais, arquivos de dados, como discos 
e fitas. Para fins didáticos, esta parte está sendo 
abordada no capítulo referente aos controles de 
hardware; 
b) Acesso lógico: controle sobre o acesso aos recursos do 
sistema, incluindo a possibilidade de acesso a dados 
ou a processamento de programas e transações.