Controles Gerais Prof.: Cheila Bombana

Controles Gerais Continuidade do Serviço; Controles de Acesso;

Controles Gerais Continuidade do Serviço: controles que garantem que, na ocorrência de eventos inesperados, as operações críticas não sejam interrompidas, ou sejam imediatamente retomadas, e os dados críticos sejam protegidos. Controles de Acesso: limitam ou detectam o acesso a recursos computacionais, protegendo esses recursos contra modificação não autorizada, perda e divulgação de informações confidenciais;

Continuidade do Serviço A perda da capacidade de processar, recuperar e proteger informações mantidas eletronicamente pode ter um impacto significativo na habilidade da organização em desempenhar sua missão. Por essa razão, as organizações precisam ter procedimentos estabelecidos para proteger recursos de informação, minimizar o risco de interrupções não planejadas e recuperar operações críticas, em caso de interrupções. O pessoal responsável por atividades de manutenção da continuidade de serviço, tais como realização de cópias de segurança de arquivos, precisa estar bem informado dos riscos da não realização dessas tarefas.

Continuidade do Serviço Os elementos críticos para a avaliação da continuidade do serviço são: Avaliação da vulnerabilidade das operações computadorizadas e identificação dos recursos que as apóiam. Adoção de medidas para prevenir e minimizar danos e interrupções potenciais. Desenvolvimento e documentação de um plano geral de contingência.

Controles de Acesso Os controles de acesso têm o propósito de oferecer uma garantia razoável de que os recursos computacionais são protegidos contra modificação ou divulgação não autorizada, perda ou dano. Eles incluem controles físicos e controles lógicos. Controles de acesso inadequados diminuem a confiabilidade dos dados processados pelo sistema e aumentam o risco de destruição ou divulgação indevida de dados.

Controles de Acesso Os objetivos de limitação do acesso visam a garantir que: os usuários tenham acesso somente aos recursos necessários para executarem suas tarefas; o acesso a recursos de alto risco, tais como softwares de segurança, seja limitado a poucos indivíduos; os funcionários estejam impedidos de executar funções incompatíveis ou além da sua responsabilidade. A implementação de controles de acesso apropriados exige primeiro a determinação do nível e tipo de proteção adequados a cada recurso e a identificação das pessoas que precisam ter acesso a esses recursos. Essas definições devem ser efetuadas pelos proprietários dos recursos. 8

Controles de Acesso Os elementos críticos para a avaliação dos controles de acesso são: Classificação dos recursos de informação de acordo com sua importância e vulnerabilidade. Manutenção de lista atualizada de usuários autorizados e seu nível de acesso. Controles lógicos e físicos para prevenção e detecção de acesso não autorizado. Supervisão do acesso, investigação de evidências de violações de segurança e adoção de medidas corretivas.

Questões 1. O que significa continuidade de serviço? 2. Quais são os elementos críticos para a avaliação da Continuidade de Serviço? 3. Quais são os objetivos da Limitação e Acesso? 4. Diferencie Acesso Físico de Acesso Lógico. 5. Quais são os pontos a serem avaliados para o primeiro elemento crítico dos Controles de Acesso?

Questões Relacione as colunas: Avaliação da vulnerabilidade das operações computadorizadas e identificação dos recursos que as apóiam. Adoção de medidas para prevenir e minimizar danos e interrupções potenciais. Desenvolvimento e documentação de um plano geral de contingência. ( ) O plano de contingência foi testado em condições que simulem um desastre. Examinar as políticas de teste e os relatórios da sua execução. ( ) Manutenções periódicas de hardware e software são programadas e executadas de acordo com as especificações dos fornecedores. ( ) Ele identifica a instalação alternativa de processamento e o local externo de armazenamento de cópias de segurança. ( ) Foi providenciada uma fonte substituta de suprimento de energia elétrica. ( ) Os recursos que dão suporte às operações críticas foram identificados e documentados.

Questões 7. Marque V (verdadeiro) F (falso). ( ) Um dos pontos para verificação dos controles de acesso lógico é a validação de senhas e logins dos usuários. ( ) Os números para discagem remota devem ser publicados em locais de fácil acesso, e todos na organização devem ter acesso a estes números. ( ) Os sistemas devem permitir várias tentativas de logon inválidas. ( ) As senhas fornecidas para o primeiro acesso dos usuários são imediatamente alteradas. ( ) O acesso aos softwares de segurança é restrito somente para gerentes de segurança. 12

Atividade em Aula Montar check list para verificação dos Controles Gerais: Continuidade de Serviço e ... Controle de Acesso Baseando-se nos objetivos de controle de cada elemento crítico. Conforme exemplo CHECK LIST PARA AUDITORIA DE SI disponível na pasta da aula.