Auditoria e Segurança de Sistemas – Cód

Slides:



Advertisements
Apresentações semelhantes
Controles Gerais Prof.: Cheila Bombana. Controles Gerais Prof.: Cheila Bombana.
Advertisements

Sistemas Distribuídos
INTRODUÇÃO À CIÊNCIA DA COMPUTAÇÃO Prof. Diogo Souza.
Nome da Apresentação Clique para adicionar um subtítulo.
Noções de Sistemas Operacionais
Sistemas operacionais
Biometria, do ponto de vista da tecnologia da informação, é a técnica utilizada para medir e se obter determinadas informações físicas sobre um indivíduo.
Auditoria de Sistemas ● Introdução
SAD - SISTEMA DE APOIO À DECISÃO Prof. Wagner Andrade
SEGURANÇA E AUDITORIA DE SISTEMAS
1 Autarquia Educacional do Vale do São Francisco – AEVSF Faculdade de Ciências Sociais e Aplicadas de Petrolina – FACAPE Curso de Ciências da Computação.
Mecanismo de Proteção (Prevenção e Detecção)
1 Segurança em Redes Elmar Melcher Universidade Federal de Campina Grande
Criptografia e Segurança em Rede Capítulo 1
Conceitos Básicos Dado: fato do mundo real que está registrado e possui um significado implícito no contexto de um domínio de aplicação Exemplos: endereço,
Softwares.
Login na Rede ********* Nome do Usuário Senha
Professor Victor Sotero
GERENCIAMENTO DE REDES
Curso Técnico em Manutenção e Suporte em Informática
Desenvolvimento de estratégias de segurança e gerência
Transparência Total! O Software Secullum TI.Net foi desenvolvido para facilitar o gerenciamento das informações que circulam nos computadores conectados.
As brechas mais comuns em Segurança de Dados:
Sistema AUDITOR-PAF AS – Auditoria Sistemas & Representações.
Trabalho – 03/09/ FIM.
DESCRIÇÃO/OBJETIVOS O Controle de Acesso Nacional foi desenvolvido para suprir a necessidade de maior segurança e controle da informação administrada pelos.
Auditoria e Segurança de Sistemas – Cód
Computadores Tipos e estrutura interna
Políticas de Backup FATEC – Americana
Smart card e java card André, janine e ricardo Redes de Computadores I.
Segurança e auditoria de sistemas
Gerenciamento de Dados
Segurança, Controle e Auditoria de Dados
Gestão de Segurança em Comércio Eletrônico
Segurança em Computadores
CURSO TÉCNICO EM SEGURANÇA DO TRABALHO
Introdução à Informática
A abordagem de banco de dados para gerenciamento de dados
Processos.
Segurança da Informação
PROF PAULO MAXIMO, MSc
Controle de Acesso Kerberos
Tópicos Avançados em Redes de Computadores Prof. Fabiano Sabha.
Gestão de defeitos.
Objetivos do Capítulo Explicar a importância da implementação de processos e tecnologias de gerenciamento de dados numa organização. Explicar as vantagens.
Biometria – Leitores de Impressão Manual
O Valor da Segurança da Informação
Introdução a Banco de Dados Aula 04
Quando usar autenticação? Usuário deve ser responsabilizado por seus atos As informações dos usuários são confidenciais Deseja-se mecanismo de controle.
Segurança Online Entenda e aprenda a driblar os perigos de compartilhar informações pessoais online.
OLÁ SEJAM BEM-VINDOS AULA DE HOJE SEGURANÇA DA INFORMAÇÃO.
Controles Gerais Prof.: Cheila Bombana. Controles Gerais Prof.: Cheila Bombana.
INCIDENTE DE SEGURANÇA Corresponde a quaquer evento adverso relacionado á segurança; Por exemplo: Ataques de Negação de Serviços(Denial of Service - DoS);
Sistema de Gestão de Segurança da Informação
Segurança da informação
Sistemas de Informações em Recursos Humanos
Tolerância a Falhas Carlos Oberdan Rolim Ciência da Computação.
Informação É recomendável que seja sempre protegida adequadamente, seja qual for a forma apresentada: Impressa; Escrita em papel; Armazenada eletronicamente;
Conceitos de Monitoramento
SISTEMAS de INFORMAÇÃO segunda-feira, 1 de fevereiro de 2010
Segurança em dispositivos móveis
Auditoria e Segurança de Sistemas – Cód Prof. MSc. Ronnison Reges Vidal.
Sistemas Operacionais
Escola de Engenharia de Piracicaba Administração Sistema de Comunicação de Dados Aula 1 – Introdução Alberto Martins Júnior Flávio I. Callegari.
PROGRAMA DE INCLUSÃO SOCIAL E COMBATE À EVASÃO ESCOLAR Freqüência Digital.
Sistemas Operacionais IV – Gerenciamento de E/S
CONTROLE DE ACESSO Requisitos de cada aplicação Identificação de todas as informações Políticas de disseminação e autorização de informações - Saber apenas.
FATEC – Americana Diagnóstico e solução de problemas em TI
Unimed Belém TISS Unimed Belém – 7 Novembro 2007.
Controles de acesso Físico e Lógico Prof. Edjandir Corrêa Costa
Transcrição da apresentação:

Auditoria e Segurança de Sistemas – Cód. 30135 Prof. MSc. Ronnison Reges Vidal

SEGURANÇA DAS INFORMAÇÕES – AULA 9 Controles de Acesso Lógico

Sumário Controles de Acesso Lógico Introdução Recursos e Informações a serem protegidos Elementos Básicos de Controle de Acesso Lògico Processo de logon Riscos Inerentes a Controles inadequados Lista de Verificações Sumário

Controles de acesso lógicos Introdução, Recursos e Informações a serem protegido, Elementos Básicos de Controle de Acesso Lógico, Processo de logon, Riscos Inerentes a Controles inadequado, Lista de Verificações

Introdução Controles de acesso físicos ou lógicos Proteger recursos computacionais Equipamentos, softwares, aplicativos, arquivos e dados Perda, danos, modificações ou divulgação não autorizada Sistemas computacionais são bem diferentes de outros recursos computacionais Principalmente quando conectados a redes locais ou de maior abrangência Introdução

Introdução O acesso lógico é Controle de acesso lógico é: Nada mais do que um processo em que um sujeito ativo deseja acessar um objeto passivo Sujeito: usuário ou processo Objeto: arquivo, ou outro recurso como memória ou impressora Controle de acesso lógico é: Um conjunto de medidas e procedimentos, adotados pela organização ou intrínsecos aos softwares utilizados, cujo objetivo é proteger dados, programas e sistemas contra tentativas de acesso não autorizadas feitas por usuários ou outros programas Introdução

Introdução Para todo e qualquer controle de acesso lógico Seu ponto fraco será sempre o usuário Razões: Compartilhamento de senhas, descuido na proteção das informações confidenciais, ou a escolha de senhas facilmente descobertas A melhor forma de proteção fundamental é: A conscientização do usuário Tornando a estratégia de controle de acesso eficaz Introdução

Introdução Por conta da: Variedade e complexidade dos sistemas Processamento centralizado ou distribuído Diversas plataformas de hardware e software O trabalho de segurança e auditoria não é fácil Introdução

Controles de acesso lógicos Introdução, Recursos e Informações a serem protegido, Elementos Básicos de Controle de Acesso Lógico, Processo de logon, Riscos Inerentes a Controles inadequado, Lista de Verificações

Recursos e informações a serem protegidos O primeiro passo, quando se trata de controles de acesso, é determinar o que pretende-se proteger Recursos e informações sujeitos a controles lógicos Recursos e informações a serem protegidos

Recursos e informações a serem protegidos Aplicativos (Programas fonte e objeto) O acesso ao código fonte dos aplicativos pode ser usado para alterar suas funções e a lógica do programa Arquivos de dados Bases de dados, arquivos ou transações de bancos de dados devem ser protegidos para evitar que os dados sejam apagados sem autorização adequada Recursos e informações a serem protegidos

Recursos e informações a serem protegidos Utilitários e Sistema Operacional O acesso as programas utilitários, tais como, editores de texto, compiladores, softwares de manutenção, podem ser usadas para alterar arquivos de dados, aplicativos e arquivos de configuração do sistema E o sistema operacional é sempre um alvo bastante visado pois sua configuração é o ponto chave de todo o esquema de segurança Recursos e informações a serem protegidos

Recursos e informações a serem protegidos Arquivos de Senhas A falta de proteção adequada a arquivos de senhas pode comprometer todo o sistema, pois uma pessoa não autorizada, poderia intencionalmente causar danos ao sistema e dificilmente ser barrado por qualquer controle de segurança instalado Arquivos de Logs Como os arquivos de logs registram toda e qualquer ação dos usuários no sistema, se estes não forem devidamente protegidos, um invasor poderá alterar seus registros para encobrir ações por ele executadas Recursos e informações a serem protegidos

Controles de acesso lógicos Introdução, Recursos e Informações a serem protegido, Elementos Básicos de Controle de Acesso Lógico, Processo de logon, Riscos Inerentes a Controles inadequado, Lista de Verificações

Elementos Básicos de Controle de Acesso Lógico O controle de acesso lógico pode ser visualizado de dois pontos de vista Do recursos computacional a ser protegido E do usuário a quem se pretende dar certos privilégios e acessos aos recursos A proteção aos recursos baseia-se nas necessidades de acesso de cada usuário Enquanto que a identificação e autenticação do usuário é feita por um processo de logon Elementos Básicos de Controle de Acesso Lógico

Elementos Básicos de Controle de Acesso Lógico Objetivos dos controles de acesso: Garantir que apenas usuários autorizados tenham acesso aos recursos Os usuários tenham acesso apenas aos recursos realmente necessários para a execução de suas tarefas O acesso a recursos críticos seja bem monitorados e restrito a poucas pessoas Os usuários sejam impedidos de executar transações incompatíveis com sua função ou além de suas responsabilidades Elementos Básicos de Controle de Acesso Lógico

Elementos Básicos de Controle de Acesso Lógico Os controles de acesso são traduzidos em termos de funções de identificação e autorização Alocação, gerência e monitoramento de privilégios Limitação, monitoramento e desabilitação de acessos Prevenção de acessos não privilegiados Elementos Básicos de Controle de Acesso Lógico

Controles de acesso lógicos Introdução, Recursos e Informações a serem protegido, Elementos Básicos de Controle de Acesso Lógico, Processo de logon, Riscos Inerentes a Controles inadequado, Lista de Verificações

Processo usado para obter acesso aos dados em um sistema computacional Esse processo envolve: Entrada de um userid E uma senha Identificação: define para o computador quem é o usuário Autenticação: é a comprovação ao computador que o usuário é realmente quem diz ser Processo de Logon

É aconselhável que o gerente de segurança evite orientar o usuário durante o processo de logon Os usuários autorizados devem conhecer de antemão seu userid e o formato da senha Uma forma de dificultar a ocorrência de invasões pode-se recorrer a um número limitado de tentativas frustradas de logon Bloqueando a conta Desfazendo a conexão Processo de Logon

O usuário pode auxiliar no controle de acesso à sua própria conta Após o logon ter sido efetivado com sucesso pode-se apresentar data e hora do último logon e detalhe sobre tentativas frustradas Para o reporte do ocorrido à gerência de segurança Processo de Logon

Processo de Logon Identificação Cada usuário deve ter sua própria identificação Userid Código de caracteres Cartão inteligente Ou qualquer outro meio de identificação No caso de código de caracteres é necessário estabelecer Regras de composição: quantidade mínima e máxima de caracteres, mistura de letras, números, e símbolos Processo de Logon

Processo de Logon Autenticação do Usuário Os sistemas de autenticação são uma combinação de hardware, software e procedimentos que permitem o acesso de usuários aos recursos computacionais O usuário apresenta algo que ele sabe ou possui, podendo até envolver a verificação de características físicas pessoais A maioria dos sistemas solicitam uma senha, mas sistemas mais modernos utilizam: Cartões inteligentes Características físicas: formato da mão, retina, do rosto, impressão digital e reconhecimento de voz Processo de Logon

Processo de Logon Senhas Para o funcionamento adequado É recomendável Os usuário devem ter pleno conhecimento das políticas de senha da organização E devem ser orientados a segui-las fielmente É recomendável Evitar escolher senhas ou muito curtas ou muito longas Evitar a utilização da mesma senha em sistemas distintos Evitar senhas com certos elementos Processo de Logon

Processo de Logon Senhas Nome Sua conta, mesmo que os caracteres estejam embaralhados Nomes de membros da família ou amigos íntimos Nomes de pessoas ou lugares Nome do sistema operacional ou da máquina sendo utilizada Datas Números de telefone, de cartão de crédito, de carteira de identidade ou de outros documentos pessoais Placas ou marcas de carro Processo de Logon

Processo de Logon Senhas Palavras de dicionários de diversos idiomas Nomes próprios Letras ou números repetidos Letras seguidas do teclado Objetos ou locais que podem ser vistos a partir da mesa do usuário Qualquer senha com menos de 6 caracteres Processo de Logon

Processo de Logon Senhas Software especializados podem identificar senhas frágeis Bases de dados de nomes Sequencias de caracteres mais comuns Bloquear a escolha dessas senhas por parte do usuário Sistemas de geração de senhas únicas Onde a senha é alterada de forma aleatória cada vez que é utilizada Processo de Logon

Processo de Logon Senhas Sistemas de controle de senha Devem ser configurados para proteger as senhas armazenadas de uso não autorizado Não apresenta-as na tela do computador Mantendo-as em arquivos criptografados Estipula datas de expiração Mantém um histórico para evitar o uso repetido Processo de Logon

Processo de Logon Senhas O gerente de segurança é responsável por: Desabilitar contas Inativas Sem senhas Com senhas padronizadas Senhas iniciais do usuário Deve ser gerada de forma que já entre expirada no sistema Bloquear contas após um determinado número de tentativas falhas de acesso Processo de Logon

Processo de Logon Tokens Objeto que o usuário possui, que o diferencie das outras pessoas e o habilita a acessar algum objeto Desvantagem Por serem um objeto, podem ser perdidos, roubados ou reproduzidos com maior facilidade Chaves ou cartão com tarja magnética Cartões magnéticos carregam informações pessoais Processo de Logon

Processo de Logon Tokens Como um dispositivo a mais de segurança Cartões magnéticos incorporam hologramas em sua confecção Cartões inteligentes Microprocessadores Capacidade de memória maior Clonagem mais difícil Aplicações de cartões inteligentes Cartões bancários, telefônicos e de crédito Dinheiro eletrônico Segurança de acesso Carteiras de identidade Processo de Logon

Processo de Logon Sistemas Biométricos Senhas: podem ser reveladas ou descobertas Tokens: podem ser roubados ou perdidos Aumento de pesquisas na área de: Verificação automática de identidade baseado nas características físicas Sistemas biométricos automáticos são considerados uma evolução natural Análise grafológica de assinaturas Análise de impressões digirais Reconhecimento de voz Análise da conformação dos vasos sanguíneos da retina Processo de Logon

Processo de Logon Sistemas Biométricos Problemas enfrentados Alta taxa de erros Devido a mudança de características de uma pessoa Problemas de saúde ou nervosismo Tolerância a erros Deve ser estabelecida com precisão De forma a não admitir impostores Nem a ponto de negar acessos aos usuários legítimos Processo de Logon

Processo de Logon Sistemas Biométricos Impressões digitais: armazena de 40 a 60 pontos para verificar uma identidade Voz: não são confiáveis em função a ruídos do ambiente ou problemas de garganta Geometria da mão: características podem afetadas pelo aumento ou diminuição de peso ou mesmo doenças como artrite Configuração da íris e da retina: são sistemas invasivos, mas com identificação mais confiável Processo de Logon

Processo de Logon Sistemas Biométricos Reconhecimento facial por meio de termograma: Imagem tirada por um câmera infravermelho Apresenta padrões térmicos da face Utiliza algoritmos sofisticados de comparação Níveis de temperatura distribuído pela face Técnica não invasiva Confiável Não é alterada por alteração de saúde, idade ou temperatura do corpo Distingue gêmeos idênticos Armazena até 19.000 pontos de identificação Processo de Logon

Controles de acesso lógicos Introdução, Recursos e Informações a serem protegido, Elementos Básicos de Controle de Acesso Lógico, Processo de logon, Riscos Inerentes a Controles inadequado, Lista de Verificações

Riscos Inerentes a Controles de Acesso Lógicos Inadequados Principais impactos Divulgação não autorizada de informações Alteração não autorizada de dados e aplicativos Comprometimento da integridade do sistema Maiores impactos sobre aplicativos Manipulam dados confidenciais Registros financeiros da organização Comprometem principalmente Integridade Confiabilidade Riscos Inerentes a Controles de Acesso Lógicos Inadequados

Riscos Inerentes a Controles de Acesso Lógicos Inadequados Exemplos de mudanças não autorizadas Alteração do número da conta de um pagamento Desvio de dinheiro para terceiro Alteração do inventário da empresa Ocultar um furto cometido Aumento de salário na folha de pagamento Obter informações confidenciais a respeito de transações ou indivíduos Visando extorsão ou chantagem Riscos Inerentes a Controles de Acesso Lógicos Inadequados

Riscos Inerentes a Controles de Acesso Lógicos Inadequados Consequências Perda financeiras, decorrentes de fraudes Extorsões ou custos de restauração ao estado inicial de programas e dados Perda de credibilidade Perda de fatias de mercado para a concorrência Inviabilidade de continuidade de seus negócios Processos judiciais Riscos Inerentes a Controles de Acesso Lógicos Inadequados

Controles de acesso lógicos Introdução, Recursos e Informações a serem protegido, Elementos Básicos de Controle de Acesso Lógico, Processo de logon, Riscos Inerentes a Controles inadequado, Lista de Verificações

Conceder acesso, aos usuários, apenas aos recursos realmente necessários para a execução de suas tarefas Restringir e monitorar o acesso a recursos críticos Utilizar softwares de controle de acesso lógico Utilizar criptografia Revisar periodicamente as lista de controle de acesso Evitar dar orientações ao usuário durante o processo de logon Bloquear a conta do usuário após um certo número de tentativas frustradas de logon Restringir acesso a determinados periféricos Fornecer contas apenas a pessoas autorizadas Lista de Verificação

Não fornecer a mesma conta para mais de um usuário Ao conceder a conta ao usuário, informá-lo sobre as políticas de senha da organização Bloquear, se possível, a escolha de senhas consideradas frágeis e orientar o usuário na escolha de senhas mais seguras Orientar os usuários para não armazenarem senhas em arquivos ou enviá-los por e-mail Armazenar as senhas no sistema sob a forma criptografada Lista de Verificação

Prevenir o uso frequente de senhas já utilizadas pelo mesmo usuário anteriormente Estabelecer um prazo máximo de utilização de uma mesma senha Informar os usuários quanto aos perigos de divulgação de senhas Impedir que os usuários sejam capazes de ler os arquivos de senha, identificar e trocar senhas de outros usuários Desabilitar contas inativas, sem senhas ou com senha padronizadas Desabilitar as senhas de ex-funcionários Lista de Verificação

Lista de Verificação Não armazenar senhas em logs Manter e analisar trilhas de auditoria e logs Limitar o número de sessões concorrentes e o horário de uso dos recursos computacionais configurar time-out automático Revisar e incorporar as listas de verificações porpostas na política de segurança e nos outro tópicos de carácter específico, de acordo com a área ou plataforma a ser auditada Lista de Verificação

Feedback: Política de Privacidade Feedback
Sobre projeto: SlidePlayer Termos de uso

© 2024 SlidePlayer.com.br Inc. All rights reserved.