A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

Auditoria e Segurança de Sistemas – Cód

PublicouCecília Ribeiro Alterado mais de 9 anos atrás

Apresentações semelhantes

Apresentação em tema: "Auditoria e Segurança de Sistemas – Cód"— Transcrição da apresentação:

1 Auditoria e Segurança de Sistemas – Cód. 30135
Prof. MSc. Ronnison Reges Vidal

2 SEGURANÇA DAS INFORMAÇÕES – AULA 9
Controles de Acesso Lógico

3 Sumário Controles de Acesso Lógico Introdução
Recursos e Informações a serem protegidos Elementos Básicos de Controle de Acesso Lògico Processo de logon Riscos Inerentes a Controles inadequados Lista de Verificações Sumário

4 Controles de acesso lógicos
Introdução, Recursos e Informações a serem protegido, Elementos Básicos de Controle de Acesso Lógico, Processo de logon, Riscos Inerentes a Controles inadequado, Lista de Verificações

5 Introdução Controles de acesso físicos ou lógicos
Proteger recursos computacionais Equipamentos, softwares, aplicativos, arquivos e dados Perda, danos, modificações ou divulgação não autorizada Sistemas computacionais são bem diferentes de outros recursos computacionais Principalmente quando conectados a redes locais ou de maior abrangência Introdução

6 Introdução O acesso lógico é Controle de acesso lógico é:
Nada mais do que um processo em que um sujeito ativo deseja acessar um objeto passivo Sujeito: usuário ou processo Objeto: arquivo, ou outro recurso como memória ou impressora Controle de acesso lógico é: Um conjunto de medidas e procedimentos, adotados pela organização ou intrínsecos aos softwares utilizados, cujo objetivo é proteger dados, programas e sistemas contra tentativas de acesso não autorizadas feitas por usuários ou outros programas Introdução

7 Introdução Para todo e qualquer controle de acesso lógico
Seu ponto fraco será sempre o usuário Razões: Compartilhamento de senhas, descuido na proteção das informações confidenciais, ou a escolha de senhas facilmente descobertas A melhor forma de proteção fundamental é: A conscientização do usuário Tornando a estratégia de controle de acesso eficaz Introdução

8 Introdução Por conta da:
Variedade e complexidade dos sistemas Processamento centralizado ou distribuído Diversas plataformas de hardware e software O trabalho de segurança e auditoria não é fácil Introdução

9 Controles de acesso lógicos
Introdução, Recursos e Informações a serem protegido, Elementos Básicos de Controle de Acesso Lógico, Processo de logon, Riscos Inerentes a Controles inadequado, Lista de Verificações

10 Recursos e informações a serem protegidos
O primeiro passo, quando se trata de controles de acesso, é determinar o que pretende-se proteger Recursos e informações sujeitos a controles lógicos Recursos e informações a serem protegidos

11 Recursos e informações a serem protegidos
Aplicativos (Programas fonte e objeto) O acesso ao código fonte dos aplicativos pode ser usado para alterar suas funções e a lógica do programa Arquivos de dados Bases de dados, arquivos ou transações de bancos de dados devem ser protegidos para evitar que os dados sejam apagados sem autorização adequada Recursos e informações a serem protegidos

12 Recursos e informações a serem protegidos
Utilitários e Sistema Operacional O acesso as programas utilitários, tais como, editores de texto, compiladores, softwares de manutenção, podem ser usadas para alterar arquivos de dados, aplicativos e arquivos de configuração do sistema E o sistema operacional é sempre um alvo bastante visado pois sua configuração é o ponto chave de todo o esquema de segurança Recursos e informações a serem protegidos

13 Recursos e informações a serem protegidos
Arquivos de Senhas A falta de proteção adequada a arquivos de senhas pode comprometer todo o sistema, pois uma pessoa não autorizada, poderia intencionalmente causar danos ao sistema e dificilmente ser barrado por qualquer controle de segurança instalado Arquivos de Logs Como os arquivos de logs registram toda e qualquer ação dos usuários no sistema, se estes não forem devidamente protegidos, um invasor poderá alterar seus registros para encobrir ações por ele executadas Recursos e informações a serem protegidos

14 Controles de acesso lógicos
Introdução, Recursos e Informações a serem protegido, Elementos Básicos de Controle de Acesso Lógico, Processo de logon, Riscos Inerentes a Controles inadequado, Lista de Verificações

15 Elementos Básicos de Controle de Acesso Lógico
O controle de acesso lógico pode ser visualizado de dois pontos de vista Do recursos computacional a ser protegido E do usuário a quem se pretende dar certos privilégios e acessos aos recursos A proteção aos recursos baseia-se nas necessidades de acesso de cada usuário Enquanto que a identificação e autenticação do usuário é feita por um processo de logon Elementos Básicos de Controle de Acesso Lógico

16 Elementos Básicos de Controle de Acesso Lógico
Objetivos dos controles de acesso: Garantir que apenas usuários autorizados tenham acesso aos recursos Os usuários tenham acesso apenas aos recursos realmente necessários para a execução de suas tarefas O acesso a recursos críticos seja bem monitorados e restrito a poucas pessoas Os usuários sejam impedidos de executar transações incompatíveis com sua função ou além de suas responsabilidades Elementos Básicos de Controle de Acesso Lógico

17 Elementos Básicos de Controle de Acesso Lógico
Os controles de acesso são traduzidos em termos de funções de identificação e autorização Alocação, gerência e monitoramento de privilégios Limitação, monitoramento e desabilitação de acessos Prevenção de acessos não privilegiados Elementos Básicos de Controle de Acesso Lógico

18 Controles de acesso lógicos
Introdução, Recursos e Informações a serem protegido, Elementos Básicos de Controle de Acesso Lógico, Processo de logon, Riscos Inerentes a Controles inadequado, Lista de Verificações

19 Processo usado para obter acesso aos dados em um sistema computacional
Esse processo envolve: Entrada de um userid E uma senha Identificação: define para o computador quem é o usuário Autenticação: é a comprovação ao computador que o usuário é realmente quem diz ser Processo de Logon

20 É aconselhável que o gerente de segurança evite orientar o usuário durante o processo de logon
Os usuários autorizados devem conhecer de antemão seu userid e o formato da senha Uma forma de dificultar a ocorrência de invasões pode-se recorrer a um número limitado de tentativas frustradas de logon Bloqueando a conta Desfazendo a conexão Processo de Logon

21 O usuário pode auxiliar no controle de acesso à sua própria conta
Após o logon ter sido efetivado com sucesso pode-se apresentar data e hora do último logon e detalhe sobre tentativas frustradas Para o reporte do ocorrido à gerência de segurança Processo de Logon

22 Processo de Logon Identificação
Cada usuário deve ter sua própria identificação Userid Código de caracteres Cartão inteligente Ou qualquer outro meio de identificação No caso de código de caracteres é necessário estabelecer Regras de composição: quantidade mínima e máxima de caracteres, mistura de letras, números, e símbolos Processo de Logon

23 Processo de Logon Autenticação do Usuário
Os sistemas de autenticação são uma combinação de hardware, software e procedimentos que permitem o acesso de usuários aos recursos computacionais O usuário apresenta algo que ele sabe ou possui, podendo até envolver a verificação de características físicas pessoais A maioria dos sistemas solicitam uma senha, mas sistemas mais modernos utilizam: Cartões inteligentes Características físicas: formato da mão, retina, do rosto, impressão digital e reconhecimento de voz Processo de Logon

24 Processo de Logon Senhas Para o funcionamento adequado É recomendável
Os usuário devem ter pleno conhecimento das políticas de senha da organização E devem ser orientados a segui-las fielmente É recomendável Evitar escolher senhas ou muito curtas ou muito longas Evitar a utilização da mesma senha em sistemas distintos Evitar senhas com certos elementos Processo de Logon

25 Processo de Logon Senhas Nome
Sua conta, mesmo que os caracteres estejam embaralhados Nomes de membros da família ou amigos íntimos Nomes de pessoas ou lugares Nome do sistema operacional ou da máquina sendo utilizada Datas Números de telefone, de cartão de crédito, de carteira de identidade ou de outros documentos pessoais Placas ou marcas de carro Processo de Logon

26 Processo de Logon Senhas Palavras de dicionários de diversos idiomas
Nomes próprios Letras ou números repetidos Letras seguidas do teclado Objetos ou locais que podem ser vistos a partir da mesa do usuário Qualquer senha com menos de 6 caracteres Processo de Logon

27 Processo de Logon Senhas
Software especializados podem identificar senhas frágeis Bases de dados de nomes Sequencias de caracteres mais comuns Bloquear a escolha dessas senhas por parte do usuário Sistemas de geração de senhas únicas Onde a senha é alterada de forma aleatória cada vez que é utilizada Processo de Logon

28 Processo de Logon Senhas Sistemas de controle de senha
Devem ser configurados para proteger as senhas armazenadas de uso não autorizado Não apresenta-as na tela do computador Mantendo-as em arquivos criptografados Estipula datas de expiração Mantém um histórico para evitar o uso repetido Processo de Logon

29 Processo de Logon Senhas O gerente de segurança é responsável por:
Desabilitar contas Inativas Sem senhas Com senhas padronizadas Senhas iniciais do usuário Deve ser gerada de forma que já entre expirada no sistema Bloquear contas após um determinado número de tentativas falhas de acesso Processo de Logon

30 Processo de Logon Tokens
Objeto que o usuário possui, que o diferencie das outras pessoas e o habilita a acessar algum objeto Desvantagem Por serem um objeto, podem ser perdidos, roubados ou reproduzidos com maior facilidade Chaves ou cartão com tarja magnética Cartões magnéticos carregam informações pessoais Processo de Logon

31 Processo de Logon Tokens Como um dispositivo a mais de segurança
Cartões magnéticos incorporam hologramas em sua confecção Cartões inteligentes Microprocessadores Capacidade de memória maior Clonagem mais difícil Aplicações de cartões inteligentes Cartões bancários, telefônicos e de crédito Dinheiro eletrônico Segurança de acesso Carteiras de identidade Processo de Logon

32 Processo de Logon Sistemas Biométricos
Senhas: podem ser reveladas ou descobertas Tokens: podem ser roubados ou perdidos Aumento de pesquisas na área de: Verificação automática de identidade baseado nas características físicas Sistemas biométricos automáticos são considerados uma evolução natural Análise grafológica de assinaturas Análise de impressões digirais Reconhecimento de voz Análise da conformação dos vasos sanguíneos da retina Processo de Logon

33 Processo de Logon Sistemas Biométricos Problemas enfrentados
Alta taxa de erros Devido a mudança de características de uma pessoa Problemas de saúde ou nervosismo Tolerância a erros Deve ser estabelecida com precisão De forma a não admitir impostores Nem a ponto de negar acessos aos usuários legítimos Processo de Logon

34 Processo de Logon Sistemas Biométricos
Impressões digitais: armazena de 40 a 60 pontos para verificar uma identidade Voz: não são confiáveis em função a ruídos do ambiente ou problemas de garganta Geometria da mão: características podem afetadas pelo aumento ou diminuição de peso ou mesmo doenças como artrite Configuração da íris e da retina: são sistemas invasivos, mas com identificação mais confiável Processo de Logon

35 Processo de Logon Sistemas Biométricos
Reconhecimento facial por meio de termograma: Imagem tirada por um câmera infravermelho Apresenta padrões térmicos da face Utiliza algoritmos sofisticados de comparação Níveis de temperatura distribuído pela face Técnica não invasiva Confiável Não é alterada por alteração de saúde, idade ou temperatura do corpo Distingue gêmeos idênticos Armazena até pontos de identificação Processo de Logon

36 Controles de acesso lógicos
Introdução, Recursos e Informações a serem protegido, Elementos Básicos de Controle de Acesso Lógico, Processo de logon, Riscos Inerentes a Controles inadequado, Lista de Verificações

37 Riscos Inerentes a Controles de Acesso Lógicos Inadequados
Principais impactos Divulgação não autorizada de informações Alteração não autorizada de dados e aplicativos Comprometimento da integridade do sistema Maiores impactos sobre aplicativos Manipulam dados confidenciais Registros financeiros da organização Comprometem principalmente Integridade Confiabilidade Riscos Inerentes a Controles de Acesso Lógicos Inadequados

38 Riscos Inerentes a Controles de Acesso Lógicos Inadequados
Exemplos de mudanças não autorizadas Alteração do número da conta de um pagamento Desvio de dinheiro para terceiro Alteração do inventário da empresa Ocultar um furto cometido Aumento de salário na folha de pagamento Obter informações confidenciais a respeito de transações ou indivíduos Visando extorsão ou chantagem Riscos Inerentes a Controles de Acesso Lógicos Inadequados

39 Riscos Inerentes a Controles de Acesso Lógicos Inadequados
Consequências Perda financeiras, decorrentes de fraudes Extorsões ou custos de restauração ao estado inicial de programas e dados Perda de credibilidade Perda de fatias de mercado para a concorrência Inviabilidade de continuidade de seus negócios Processos judiciais Riscos Inerentes a Controles de Acesso Lógicos Inadequados

40 Controles de acesso lógicos
Introdução, Recursos e Informações a serem protegido, Elementos Básicos de Controle de Acesso Lógico, Processo de logon, Riscos Inerentes a Controles inadequado, Lista de Verificações

41 Conceder acesso, aos usuários, apenas aos recursos realmente necessários para a execução de suas tarefas Restringir e monitorar o acesso a recursos críticos Utilizar softwares de controle de acesso lógico Utilizar criptografia Revisar periodicamente as lista de controle de acesso Evitar dar orientações ao usuário durante o processo de logon Bloquear a conta do usuário após um certo número de tentativas frustradas de logon Restringir acesso a determinados periféricos Fornecer contas apenas a pessoas autorizadas Lista de Verificação

42 Não fornecer a mesma conta para mais de um usuário
Ao conceder a conta ao usuário, informá-lo sobre as políticas de senha da organização Bloquear, se possível, a escolha de senhas consideradas frágeis e orientar o usuário na escolha de senhas mais seguras Orientar os usuários para não armazenarem senhas em arquivos ou enviá-los por Armazenar as senhas no sistema sob a forma criptografada Lista de Verificação

43 Prevenir o uso frequente de senhas já utilizadas pelo mesmo usuário anteriormente
Estabelecer um prazo máximo de utilização de uma mesma senha Informar os usuários quanto aos perigos de divulgação de senhas Impedir que os usuários sejam capazes de ler os arquivos de senha, identificar e trocar senhas de outros usuários Desabilitar contas inativas, sem senhas ou com senha padronizadas Desabilitar as senhas de ex-funcionários Lista de Verificação

44 Lista de Verificação Não armazenar senhas em logs
Manter e analisar trilhas de auditoria e logs Limitar o número de sessões concorrentes e o horário de uso dos recursos computacionais configurar time-out automático Revisar e incorporar as listas de verificações porpostas na política de segurança e nos outro tópicos de carácter específico, de acordo com a área ou plataforma a ser auditada Lista de Verificação

Carregar ppt "Auditoria e Segurança de Sistemas – Cód"

Apresentações semelhantes

Controles Gerais Prof.: Cheila Bombana. Controles Gerais Prof.: Cheila Bombana.

Controles Gerais Prof.: Cheila Bombana. Controles Gerais Prof.: Cheila Bombana.
Sistemas Distribuídos

Sistemas Distribuídos
INTRODUÇÃO À CIÊNCIA DA COMPUTAÇÃO Prof. Diogo Souza.

INTRODUÇÃO À CIÊNCIA DA COMPUTAÇÃO Prof. Diogo Souza.
Nome da Apresentação Clique para adicionar um subtítulo.

Nome da Apresentação Clique para adicionar um subtítulo.
Noções de Sistemas Operacionais

Noções de Sistemas Operacionais
Sistemas operacionais

Sistemas operacionais
Biometria, do ponto de vista da tecnologia da informação, é a técnica utilizada para medir e se obter determinadas informações físicas sobre um indivíduo.

Biometria, do ponto de vista da tecnologia da informação, é a técnica utilizada para medir e se obter determinadas informações físicas sobre um indivíduo.
Auditoria de Sistemas ● Introdução

Auditoria de Sistemas ● Introdução
SAD - SISTEMA DE APOIO À DECISÃO Prof. Wagner Andrade

SAD - SISTEMA DE APOIO À DECISÃO Prof. Wagner Andrade
SEGURANÇA E AUDITORIA DE SISTEMAS

SEGURANÇA E AUDITORIA DE SISTEMAS
1 Autarquia Educacional do Vale do São Francisco – AEVSF Faculdade de Ciências Sociais e Aplicadas de Petrolina – FACAPE Curso de Ciências da Computação.

1 Autarquia Educacional do Vale do São Francisco – AEVSF Faculdade de Ciências Sociais e Aplicadas de Petrolina – FACAPE Curso de Ciências da Computação.
Mecanismo de Proteção (Prevenção e Detecção)

Mecanismo de Proteção (Prevenção e Detecção)
1 Segurança em Redes Elmar Melcher Universidade Federal de Campina Grande

1 Segurança em Redes Elmar Melcher Universidade Federal de Campina Grande
Criptografia e Segurança em Rede Capítulo 1

Criptografia e Segurança em Rede Capítulo 1
Conceitos Básicos Dado: fato do mundo real que está registrado e possui um significado implícito no contexto de um domínio de aplicação Exemplos: endereço,

Conceitos Básicos Dado: fato do mundo real que está registrado e possui um significado implícito no contexto de um domínio de aplicação Exemplos: endereço,
Softwares.

Softwares.
Login na Rede ********* Nome do Usuário Senha

Login na Rede ********* Nome do Usuário Senha
Professor Victor Sotero

Professor Victor Sotero
GERENCIAMENTO DE REDES

GERENCIAMENTO DE REDES
Curso Técnico em Manutenção e Suporte em Informática

Curso Técnico em Manutenção e Suporte em Informática

Apresentações semelhantes

Anúncios Google