Baixe o app para aproveitar ainda mais
Prévia do material em texto
Auditoria de Controle de Acesso Prof. Dr. Joshua Onome Imoniana Auditoria de Controle de Hardware Prof. Dr. Joshua Onome Imoniana Objetivo de Controle de Hardware i. Implementar os procedimentos de segurança física sobre os equipamentos, ii. Procedimentos do ambiente de Data Center; iii. Apontar como os contatos físicos dos usuários aos recursos são controlados; iv. Auxiliar o monitoramento das responsabilidades; v. Proteger contra riscos estrutuais; vi. Proteção contra riscos estruturais a vidas das pessoas; vii. Evitar perda de hardwares; viii.Protege contra a disfunção e reduz vantagens competitivas Taxonomia dos controles de hardware a) Controles físicos b) Controles automatizados Os quais podem ser: i. Diversidades de procedimentos que orientam o manuseio de equipamentos; ii. Controles automatizados construidos junto com equipamentos pelo fabricante e ajudam a amenizar erros no uso. Artifícios para efetividade de controle de hardwares Inventário de hardwares - Diagnóstico de BIOs, processadores, sistema operacional e linguagem, fabricante/modelo e séries, monitor/placas de modem, so, video etc; - Padronização dos modelos de equipamentos, seja HP, IBM, Toshiba, entre outros. Controle de Instalação física e instalação de cópias de softwares a) Controles físico e imobilizado; b) Controle de pirataria (exemplo de SekChek pela DTT) Objetivo de Auditoria de Controle de Hardwares Dois eixos preocupantes: 1. Equipamentos são capazes de restringir acessos internamente dentro da organização, por conseguinte garantir a proteção de terminais, CPU, servidores, unidades de conversão de dados, fitas, vidas etc. 2. Há equipamentos que restrinjam acessos físicos de pessoas alheias ao ambiente de processamento. Pessoas que têm interesse pelas informações da organização e que não têm permissão para acessá-las. Auditoria de Controle de Acesso Prof. Dr. Joshua Onome Imoniana TI IE RH Infra de TI Equipamentos de TI Local e condições de trabalho Pessoas P/F Parceiros e Fornecedores (Transportes, entregas, Segurança patrimonial, Carro Forte, ... ) Processos Segurança Riscos Planos de Continuidade de Negócios Elaboração de Normas e Procedimentos Segurança Física Segurança Lógica Riscos de TI Segurança da Informação Processos de negócios Controles de acesso Controle de acesso • Habilidade de permitir ou negar a utilização de um objeto (sistema ou arquivo) por um usuário interno ou externo. • O processo de autenticação indica quem acessa o sistema, • O processo de autorização indica o que um usuário autenticado pode fazer e a auditoria indica o que o usuário fez. • Principais técnicas de controle de acesso: – Controle de acesso discricionário (DAC) – Controle de acesso obrigatório (MAC) Autorização e Auditoribilidade •A autorização é o processo responsável por definir o que o usuário pode fazer no sistema. •A auditoria é o processo de monitoração de todas as ações realizadas nos sistemas, para garantir a segurança, aplicar as políticas de senhas. Identificar o Usuário Validar o Usuário Conceder Privilégios Metodologias de Autenticação •Login simples •Biometria (facial; impressão digital; Iris; voz; cheiro) •Certificado digitais •Smart Cards •Tokens •Senha de uso único •Dinâmica de batida de tecla Trusted User/ Customers Application Server Database Server Trusted Inside Web Server Hackers Only port 80 and 443(SSL) are open Internet (or Intranet) Only Web Server has access to App Server Fonte: HP - 2009 · Perdas Financeiras; · Transações Fraudulentas; · Acesso não autorizado aos dados, inclusive informações confidenciais; · Roubo ou modificação de Dados; · Roubo de Informações de Clientes; · Interrupção do Serviço; · Perda da confiança e lealdade dos clientes; · Dano à imagem da marca. Ameaças devido ao Acesso Indevido 'BusinessWeek' site hacked Hackers have broken into BusinessWeek's online site ….. The hackers used an increasingly common form of attack called SQL injection, in which a small malicious script is inserted into a database that feeds information to the BusinessWeek Web site. September 15, 2008 By Elinor Mills Data thieves steal credit card data from supermarket chain March 18, 2008 Robert McMillan Retailers Hannaford Brothers and Sweetbay admit to being the targets of a massive credit-card data theft disclosed Monday……. stealing an estimated 4.2 million credit and debit card numbers………. some cases of identity theft had been associated with the incident Vulnerabilidade IE de TI Equipamentos de TI Processos Segurança Riscos • Verificação dos controles elaborados nos processos de TI • Normas e políticas de TI; • Aprovação de processos que expõe riscos tecnológicos e sistêmicos; • Participação nos projetos de TI e nos desenvolvimentos dos sistemas. • Elaboração de procedimentos de TI, Desenvolvimento, Service Desk,... • Redes de Servidores, estações, Firewalls, Routers, Switchs,... • Controle de acesso físico,Links, rede Elétrica, Ar-condicionado, Detector e extinção de incêndio,.. Auditor de sistemas Principais responsabilidades Mapeamento dos Controles de Acesso Há políticas de Segurança estabelecidas que forneçam de modo geral diretrizes e forma de implementação de normas de segurança? Há rotinas e procedimentos estabelecidos para a atribuição ou modificação do nível de acesso? Há um software de controle de acesso em uso ou outra restrição de acesso, na amplitude possível, pelo sistema operacional, para restringir acessos de usuários somente aos recursos computadorizados necessários para execução de suas funções de trabalho? - Teste das características do software, identificando as funções obrigatórias disponíveis: a) Estabelecimento dos níveis de proteção. b) Monitoramento do acesso aos recursos protegidos e transações. c) Disponibilidade de arquivos de Log ou de comandos que informem: - Senha não atribuída. - Senhas sem segurança. - Senhas muito curtas. - Equivalência do Supervisor. - Existência de Gerentes de Grupos de Trabalho. - Privilégios no diretório-raiz . - Ausência de script no Login - Direitos excessivos de certos diretórios. - Usuário que não fez Login durante certo período de tempo. - Detecção de utilização de senha de usuário ausente. • Administradores de estação • Permissão de acesso a sites específicos fora da políticas • Permissão temporárias nas regras no Firewall • Permissão de acessos a drivers móveis • Correções em sistemas aplicativos para adequar com as políticas de segurança de TI. Controles das exceções “justificadas“ Gerenciamento de Identidade (Identity Management) O gerenciamento de identidades controla de forma centralizada o ciclo de vida das contas de usuários e privilégios de acesso nos recursos empresariais. Frameworks Existentes Oracle Identity Management Sun Identity Management IBM Tivoli Identity ManagerIBM Tivoli Identity Manager Microsoft Lifecycle Manager HP – Application Security CenterObjetivos de Auditoria de Controles de Acesso Há dois aspectos importantes: a) Controle de hardware, incluindo a CPU, unidades de fita e disco, terminais, arquivos de dados, como discos e fitas. Para fins didáticos, esta parte está sendo abordada no capítulo referente aos controles de hardware; b) Acesso lógico: controle sobre o acesso aos recursos do sistema, incluindo a possibilidade de acesso a dados ou a processamento de programas e transações.
Compartilhar