A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

Auditoria e Segurança de Sistemas – Cód. 30135 Prof. MSc. Ronnison Reges Vidal.

Apresentações semelhantes


Apresentação em tema: "Auditoria e Segurança de Sistemas – Cód. 30135 Prof. MSc. Ronnison Reges Vidal."— Transcrição da apresentação:

1 Auditoria e Segurança de Sistemas – Cód Prof. MSc. Ronnison Reges Vidal

2 SEGURANÇA DAS INFORMAÇÕES – AULA 9 Controles de Acesso Lógico

3 Sumário Controles de Acesso Lógico Introdução Recursos e Informações a serem protegidos Elementos Básicos de Controle de Acesso Lògico Processo de logon Riscos Inerentes a Controles inadequados Lista de Verificações

4 CONTROLES DE ACESSO LÓGICOS Introdução, Recursos e Informações a serem protegido, Elementos Básicos de Controle de Acesso Lógico, Processo de logon, Riscos Inerentes a Controles inadequado, Lista de Verificações

5 Introdução Controles de acesso físicos ou lógicos Proteger recursos computacionais Equipamentos, softwares, aplicativos, arquivos e dados Perda, danos, modificações ou divulgação não autorizada Sistemas computacionais são bem diferentes de outros recursos computacionais Principalmente quando conectados a redes locais ou de maior abrangência

6 Introdução O acesso lógico é Nada mais do que um processo em que um sujeito ativo deseja acessar um objeto passivo Sujeito: usuário ou processo Objeto: arquivo, ou outro recurso como memória ou impressora Controle de acesso lógico é: Um conjunto de medidas e procedimentos, adotados pela organização ou intrínsecos aos softwares utilizados, cujo objetivo é proteger dados, programas e sistemas contra tentativas de acesso não autorizadas feitas por usuários ou outros programas

7 Introdução Para todo e qualquer controle de acesso lógico Seu ponto fraco será sempre o usuário Razões: Compartilhamento de senhas, descuido na proteção das informações confidenciais, ou a escolha de senhas facilmente descobertas A melhor forma de proteção fundamental é: A conscientização do usuário Tornando a estratégia de controle de acesso eficaz

8 Introdução Por conta da: Variedade e complexidade dos sistemas Processamento centralizado ou distribuído Diversas plataformas de hardware e software O trabalho de segurança e auditoria não é fácil

9 CONTROLES DE ACESSO LÓGICOS Introdução, Recursos e Informações a serem protegido, Elementos Básicos de Controle de Acesso Lógico, Processo de logon, Riscos Inerentes a Controles inadequado, Lista de Verificações

10 Recursos e informações a serem protegidos O primeiro passo, quando se trata de controles de acesso, é determinar o que pretende-se proteger Recursos e informações sujeitos a controles lógicos

11 Recursos e informações a serem protegidos Aplicativos (Programas fonte e objeto) O acesso ao código fonte dos aplicativos pode ser usado para alterar suas funções e a lógica do programa Arquivos de dados Bases de dados, arquivos ou transações de bancos de dados devem ser protegidos para evitar que os dados sejam apagados sem autorização adequada

12 Recursos e informações a serem protegidos Utilitários e Sistema Operacional O acesso as programas utilitários, tais como, editores de texto, compiladores, softwares de manutenção, podem ser usadas para alterar arquivos de dados, aplicativos e arquivos de configuração do sistema E o sistema operacional é sempre um alvo bastante visado pois sua configuração é o ponto chave de todo o esquema de segurança

13 Recursos e informações a serem protegidos Arquivos de Senhas A falta de proteção adequada a arquivos de senhas pode comprometer todo o sistema, pois uma pessoa não autorizada, poderia intencionalmente causar danos ao sistema e dificilmente ser barrado por qualquer controle de segurança instalado Arquivos de Logs Como os arquivos de logs registram toda e qualquer ação dos usuários no sistema, se estes não forem devidamente protegidos, um invasor poderá alterar seus registros para encobrir ações por ele executadas

14 CONTROLES DE ACESSO LÓGICOS Introdução, Recursos e Informações a serem protegido, Elementos Básicos de Controle de Acesso Lógico, Processo de logon, Riscos Inerentes a Controles inadequado, Lista de Verificações

15 Elementos Básicos de Controle de Acesso Lógico O controle de acesso lógico pode ser visualizado de dois pontos de vista Do recursos computacional a ser protegido E do usuário a quem se pretende dar certos privilégios e acessos aos recursos A proteção aos recursos baseia-se nas necessidades de acesso de cada usuário Enquanto que a identificação e autenticação do usuário é feita por um processo de logon

16 Elementos Básicos de Controle de Acesso Lógico Objetivos dos controles de acesso: Garantir que apenas usuários autorizados tenham acesso aos recursos Os usuários tenham acesso apenas aos recursos realmente necessários para a execução de suas tarefas O acesso a recursos críticos seja bem monitorados e restrito a poucas pessoas Os usuários sejam impedidos de executar transações incompatíveis com sua função ou além de suas responsabilidades

17 Elementos Básicos de Controle de Acesso Lógico Os controles de acesso são traduzidos em termos de funções de identificação e autorização Alocação, gerência e monitoramento de privilégios Limitação, monitoramento e desabilitação de acessos Prevenção de acessos não privilegiados

18 CONTROLES DE ACESSO LÓGICOS Introdução, Recursos e Informações a serem protegido, Elementos Básicos de Controle de Acesso Lógico, Processo de logon, Riscos Inerentes a Controles inadequado, Lista de Verificações

19 Processo de Logon Processo usado para obter acesso aos dados em um sistema computacional Esse processo envolve: Entrada de um userid E uma senha Identificação: define para o computador quem é o usuário Autenticação: é a comprovação ao computador que o usuário é realmente quem diz ser

20 Processo de Logon É aconselhável que o gerente de segurança evite orientar o usuário durante o processo de logon Os usuários autorizados devem conhecer de antemão seu userid e o formato da senha Uma forma de dificultar a ocorrência de invasões pode-se recorrer a um número limitado de tentativas frustradas de logon Bloqueando a conta Desfazendo a conexão

21 Processo de Logon O usuário pode auxiliar no controle de acesso à sua própria conta Após o logon ter sido efetivado com sucesso pode-se apresentar data e hora do último logon e detalhe sobre tentativas frustradas Para o reporte do ocorrido à gerência de segurança

22 Processo de Logon Identificação Cada usuário deve ter sua própria identificação Userid Código de caracteres Cartão inteligente Ou qualquer outro meio de identificação No caso de código de caracteres é necessário estabelecer Regras de composição: quantidade mínima e máxima de caracteres, mistura de letras, números, e símbolos

23 Processo de Logon Autenticação do Usuário Os sistemas de autenticação são uma combinação de hardware, software e procedimentos que permitem o acesso de usuários aos recursos computacionais O usuário apresenta algo que ele sabe ou possui, podendo até envolver a verificação de características físicas pessoais A maioria dos sistemas solicitam uma senha, mas sistemas mais modernos utilizam: Cartões inteligentes Características físicas: formato da mão, retina, do rosto, impressão digital e reconhecimento de voz

24 Processo de Logon Senhas Para o funcionamento adequado Os usuário devem ter pleno conhecimento das políticas de senha da organização E devem ser orientados a segui-las fielmente É recomendável Evitar escolher senhas ou muito curtas ou muito longas Evitar a utilização da mesma senha em sistemas distintos Evitar senhas com certos elementos

25 Processo de Logon Senhas Nome Sua conta, mesmo que os caracteres estejam embaralhados Nomes de membros da família ou amigos íntimos Nomes de pessoas ou lugares Nome do sistema operacional ou da máquina sendo utilizada Datas Números de telefone, de cartão de crédito, de carteira de identidade ou de outros documentos pessoais Placas ou marcas de carro

26 Processo de Logon Senhas Palavras de dicionários de diversos idiomas Nomes próprios Letras ou números repetidos Letras seguidas do teclado Objetos ou locais que podem ser vistos a partir da mesa do usuário Qualquer senha com menos de 6 caracteres

27 Processo de Logon Senhas Software especializados podem identificar senhas frágeis Bases de dados de nomes Sequencias de caracteres mais comuns Bloquear a escolha dessas senhas por parte do usuário Sistemas de geração de senhas únicas Onde a senha é alterada de forma aleatória cada vez que é utilizada

28 Processo de Logon Senhas Sistemas de controle de senha Devem ser configurados para proteger as senhas armazenadas de uso não autorizado Não apresenta-as na tela do computador Mantendo-as em arquivos criptografados Estipula datas de expiração Mantém um histórico para evitar o uso repetido

29 Processo de Logon Senhas O gerente de segurança é responsável por: Desabilitar contas Inativas Sem senhas Com senhas padronizadas Senhas iniciais do usuário Deve ser gerada de forma que já entre expirada no sistema Bloquear contas após um determinado número de tentativas falhas de acesso

30 Processo de Logon Tokens Objeto que o usuário possui, que o diferencie das outras pessoas e o habilita a acessar algum objeto Desvantagem Por serem um objeto, podem ser perdidos, roubados ou reproduzidos com maior facilidade Chaves ou cartão com tarja magnética Cartões magnéticos carregam informações pessoais

31 Processo de Logon Tokens Como um dispositivo a mais de segurança Cartões magnéticos incorporam hologramas em sua confecção Cartões inteligentes Microprocessadores Capacidade de memória maior Clonagem mais difícil Aplicações de cartões inteligentes Cartões bancários, telefônicos e de crédito Dinheiro eletrônico Segurança de acesso Carteiras de identidade

32 Processo de Logon Sistemas Biométricos Senhas: podem ser reveladas ou descobertas Tokens: podem ser roubados ou perdidos Aumento de pesquisas na área de: Verificação automática de identidade baseado nas características físicas Sistemas biométricos automáticos são considerados uma evolução natural Análise grafológica de assinaturas Análise de impressões digirais Reconhecimento de voz Análise da conformação dos vasos sanguíneos da retina

33 Processo de Logon Sistemas Biométricos Problemas enfrentados Alta taxa de erros Devido a mudança de características de uma pessoa Problemas de saúde ou nervosismo Tolerância a erros Deve ser estabelecida com precisão De forma a não admitir impostores Nem a ponto de negar acessos aos usuários legítimos

34 Processo de Logon Sistemas Biométricos Impressões digitais: armazena de 40 a 60 pontos para verificar uma identidade Voz: não são confiáveis em função a ruídos do ambiente ou problemas de garganta Geometria da mão: características podem afetadas pelo aumento ou diminuição de peso ou mesmo doenças como artrite Configuração da íris e da retina: são sistemas invasivos, mas com identificação mais confiável

35 Processo de Logon Sistemas Biométricos Reconhecimento facial por meio de termograma: Imagem tirada por um câmera infravermelho Apresenta padrões térmicos da face Utiliza algoritmos sofisticados de comparação Níveis de temperatura distribuído pela face Técnica não invasiva Confiável Não é alterada por alteração de saúde, idade ou temperatura do corpo Distingue gêmeos idênticos Armazena até pontos de identificação

36 CONTROLES DE ACESSO LÓGICOS Introdução, Recursos e Informações a serem protegido, Elementos Básicos de Controle de Acesso Lógico, Processo de logon, Riscos Inerentes a Controles inadequado, Lista de Verificações

37 Riscos Inerentes a Controles de Acesso Lógicos Inadequados Principais impactos Divulgação não autorizada de informações Alteração não autorizada de dados e aplicativos Comprometimento da integridade do sistema Maiores impactos sobre aplicativos Manipulam dados confidenciais Registros financeiros da organização Comprometem principalmente Integridade Confiabilidade

38 Riscos Inerentes a Controles de Acesso Lógicos Inadequados Exemplos de mudanças não autorizadas Alteração do número da conta de um pagamento Desvio de dinheiro para terceiro Alteração do inventário da empresa Ocultar um furto cometido Aumento de salário na folha de pagamento Obter informações confidenciais a respeito de transações ou indivíduos Visando extorsão ou chantagem

39 Riscos Inerentes a Controles de Acesso Lógicos Inadequados Consequências Perda financeiras, decorrentes de fraudes Extorsões ou custos de restauração ao estado inicial de programas e dados Perda de credibilidade Perda de fatias de mercado para a concorrência Inviabilidade de continuidade de seus negócios Processos judiciais

40 CONTROLES DE ACESSO LÓGICOS Introdução, Recursos e Informações a serem protegido, Elementos Básicos de Controle de Acesso Lógico, Processo de logon, Riscos Inerentes a Controles inadequado, Lista de Verificações

41 Lista de Verificação Conceder acesso, aos usuários, apenas aos recursos realmente necessários para a execução de suas tarefas Restringir e monitorar o acesso a recursos críticos Utilizar softwares de controle de acesso lógico Utilizar criptografia Revisar periodicamente as lista de controle de acesso Evitar dar orientações ao usuário durante o processo de logon Bloquear a conta do usuário após um certo número de tentativas frustradas de logon Restringir acesso a determinados periféricos Fornecer contas apenas a pessoas autorizadas

42 Lista de Verificação Não fornecer a mesma conta para mais de um usuário Ao conceder a conta ao usuário, informá-lo sobre as políticas de senha da organização Bloquear, se possível, a escolha de senhas consideradas frágeis e orientar o usuário na escolha de senhas mais seguras Orientar os usuários para não armazenarem senhas em arquivos ou enviá-los por Armazenar as senhas no sistema sob a forma criptografada

43 Lista de Verificação Prevenir o uso frequente de senhas já utilizadas pelo mesmo usuário anteriormente Estabelecer um prazo máximo de utilização de uma mesma senha Informar os usuários quanto aos perigos de divulgação de senhas Impedir que os usuários sejam capazes de ler os arquivos de senha, identificar e trocar senhas de outros usuários Desabilitar contas inativas, sem senhas ou com senha padronizadas Desabilitar as senhas de ex-funcionários

44 Lista de Verificação Não armazenar senhas em logs Manter e analisar trilhas de auditoria e logs Limitar o número de sessões concorrentes e o horário de uso dos recursos computacionais configurar time-out automático Revisar e incorporar as listas de verificações porpostas na política de segurança e nos outro tópicos de carácter específico, de acordo com a área ou plataforma a ser auditada


Carregar ppt "Auditoria e Segurança de Sistemas – Cód. 30135 Prof. MSc. Ronnison Reges Vidal."

Apresentações semelhantes


Anúncios Google