Beruflich Dokumente
Kultur Dokumente
1. Controles de Acesso
Os controles de acesso, fsicos ou lgicos, tm como objetivo proteger
equipamentos, aplicativos e arquivos de dados contra perda, modificao ou
divulgao no autorizada. Os sistemas computacionais, bem diferentes de outros
tipos de recursos, no podem ser facilmente controlados apenas com dispositivos
fsicos, como cadeados, alarmes ou guardas de segurana.
A proteo aos recursos computacionais baseia-se nas necessidades de
acesso de cada usurio, enquanto que a identificao e autenticao do usurio
(confirmao de que o usurio realmente quem ele diz ser) so feitas normalmente
por meio de um identificador de usurio (ID) e por uma senha durante o processo de
entrada (logon) no sistema.
Entretanto, o fato de um usurio ter sido identificado e autenticado no quer
dizer que ele poder acessar qualquer informao ou aplicativo sem qualquer
restrio. Deve-se utilizar um controle especfico, restringindo o acesso dos usurios
apenas s aplicaes, arquivos e utilitrios imprescindveis para desempenhar suas
funes na organizao. Esse controle pode ser feito por menus, funes ou arquivos.
2. Nveis de Segurana
O monitoramento dos sistemas de informao feito, normalmente, pelos
registros de logs, trilhas de auditoria ou outros mecanismos capazes de detectar
invases. Esse monitoramento essencial equipe de segurana de informaes, j
que praticamente impossvel eliminar por completo todos os riscos de invaso por
meio da identificao e autenticao de usurios e ataques aos sistemas operacionais.
Os Sistemas Operacionais esto classificados, segundo o nvel de segurana,
em quatro categorias: A, B, C, D, ordenados de maneira hierrquica crescente, com a
maior diviso (A) reservada aos Sistemas que oferecem maior nvel de segurana.
Nas divises C e B existem subdivises conhecidas como classes as quais tambm
esto ordenadas hierarquicamente.
Por causa das autorizaes adicionais requeridas por C2, possvel para os
usurios terem a autoridade para executar tarefas de administrao de sistema sem o
perfil de administrador do sistema ou usurio root. Isto facilita e melhora a identificao
de quem executou as tarefas de administrao.
Este nvel atribudo aos sistemas operacionais que possuem ferramentas ou
capacidades de garantir a segurana em um nvel mdio, com alguns aspectos
complementares de segurana, onde o arquivo de senhas oculto aos usurios e
utilizam um mtodo forte de criptografia de dados. Os Sistemas desta classe reforam
o controle de acesso discricionrio, de forma mais precisa do que os sistemas da
classe C1, tornando os usurios responsveis individualmente por suas aes atravs
de procedimentos de logins, incluindo a capacidade de realizar auditoria de
segurana em eventos.
2.7. Nvel D
O Nvel D o mais baixo nvel de segurana disponvel. Aplica-se aos sistemas
operacionais que no distinguem um usurio de outro e no tem nenhum mtodo
definido de determinar quem est usando o sistema. Este tipo de sistema muito
encontrado em ambientes e plataformas monousurio.
Os sistemas no apresentam nenhum mecanismo de controle para especificar
que informao pode ser acessada dos discos rgidos. Neste nvel temos:
3. Gesto de Riscos
Negcios so suportados por processos que mantm uma relao de
dependncia de ativos fsicos, tecnolgicos e humanos, que possuem falhas de
segurana e, consequentemente, riscos. O risco definido como a expectativa de
perda expressiva ou a probabilidade de uma ameaa explorar uma falha de
segurana, causando algum resultado prejudicial.
AS falhas de segurana por sua vez, so potencialmente exploradas por
ameaas que, se so bem-sucedidas na investida, geram impactos de primeiro nvel
nos ativos, estendendo-os aos processos at que, finalmente, atingem os negcios.
Possuir uma viso integrada dos riscos fundamental para as empresas que
buscam o desenvolvimento e a continuidade do negcio, e que ainda dependem de
uma infraestrutura operacional sob risco controlado (Figura 1).
3.1.2. OCTAVE
O OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation),
desenvolvido pelo CERT (Computer Emergency Response Team) um mtodo de
avaliao de riscos auto direcionado que possui os seguintes objetivos: