SEGURANÇA DA INFORMAÇÃO E
MIDIAS SOCIAIS
Aula 1 - A segurança da informação
e a análise de risco
Prof. Ivan Fontainha de Alvarenga
Política da Segurança de
Informação
O que é uma política da segurança de
informação?
- um grande livro com tudo o que é
possível de se existir sobre segurança da
informação dentro da empresa ?
- algumas poucas regras sobre segurança
da informação?
Política da Segurança de
Informação
A segurança de informação segurança da
informação deve indicar como as coisas devem
acontecer na organização no que se refere à
segurança da informação.
Política da Segurança de
Informação
A política de segurança da informação é
um conjunto de regras que determina qual
deve ser o comportamento das pessoas que se
relacionam com a organização no que se refere
ao tratamento da informação.
Política da Segurança de
Informação
Conforme a norma ISO/IEC 17799:2005:
Objetivo da política de segurança de
informação é prover uma orientação e apoio da
direção para a segurança da informação de
acordo com os requisitos de negócio e com as
leis e regulamentações relevantes.
Política da Segurança de
Informação
Conforme a norma ISO/IEC 17799:2005:
A direção deve estabelecer uma política
clara, alinhada com os objetivos do negócio e
demonstrar apoio e comprometimento com a
segurança da informação.
Esta política deve ser publicada e
mantida para toda a organização.
Política da Segurança de
Informação
Conforme o TCU (Tribunal de Contas da
União):
A política de segurança de informações é
um conjunto de princípios que norteiam a
gestão de segurança de informações e que
deve ser observado pelo corpo técnico e
gerencial e pelos usuários internos e externos .
Política da Segurança de
Informação
Conforme o TCU (Tribunal de Contas da
União):
As diretrizes estabelecidas nesta política
determinam as linhas mestras que devem ser
seguidas pela organização para que sejam
assegurados seus recursos computacionais e
suas informações.
Política da Segurança de
Informação
A política de segurança de informação
pode por exemplo:
- Estabelecer que o uso do correio
eletrônico deve ser exclusivamente para fins
profissionais.
- Definir que a sala de servidores deve
ser mantida fechada e com acesso somente a
funcionários do setor responsável.
Política da Segurança de
Informação
A política de segurança de informação
pode por exemplo:
- Determinar que a sala de arquivos
deve permanecer fechada quando não
estiverem sendo pesquisados por funcionários
que tem esta responsabilidade.
Política da Segurança de
Informação
A política de segurança de informação
pode por exemplo:
- Todos os funcionários que serão
contratados devem ter a suas vidas
pesquisadas e certificadas que os dados
passados a empresa sejam verídicos.
Política da Segurança de
Informação
É recomendável que na estrutura da
organização exista uma área responsável pela
segurança de informações, a qual deve:
- iniciar o processo de elaboração da
política de segurança de informações,
- coordenar sua implantação,
- aprová-la,
- revisá-la,
- e designar funções de segurança.
Política da Segurança de
Informação
É importante que pessoas de áreas
críticas da organização participem do processo
de elaboração da Política de Segurança de
Informação.
Pessoas da alta administração, os
diversos gerentes e também os proprietários
dos sistemas informatizados.
Política da Segurança de
Informação
É recomendável que a Política de
Segurança da Informação seja aprovada pelo
mais alto dirigente da organização, tomando
assim a importância necessária para todos da
empresa.
Política da Segurança de
Informação
A política de segurança de informações
deve extrapolar o escopo abrangido pelas áreas
de sistemas de informação e pelos recursos
computacionais.
Ela não deve ficar restrita à área de
informática e sim estar integrada à visão, à
missão, ao negócio e às metas institucionais,
bem como ao plano estratégico de informática
e às políticas da organização relativas à
segurança em geral.
Política da Segurança de
Informação
O conteúdo da política de segurança de
informação varia de organização para
organização, em função do:
- Seu estágio de maturidade,
- Grau de informatização,
- Área de atuação,
- Cultura organizacional,
- Necessidades requeridas,
- Requisitos de segurança entre outros.
Política da Segurança de
Informação
Tópicos mais comuns em uma Política da
Segurança de Informação:
- Declaração do comprometimento da
alta administração com a política de segurança
de informação, apoiando suas metas e
princípios.
- Objetivos da segurança da organização.
- Definição de responsabilidades gerais
na gestão de segurança de informações.
Política da Segurança de
Informação
Tópicos mais comuns em uma Política da
Segurança de Informação:
- Orientações sobre análise e gerência de
riscos.
- Princípios de conformidade dos
sistemas computacionais. (revelação a pessoas
não autorizadas).
- Padrões mínimos de qualidade que os
sistemas devem possuir.
Política da Segurança de
Informação
Tópicos mais comuns em uma Política da
Segurança de Informação:
-Políticas de controle de acesso a
recursos e sistemas computacionais.
- Classificação das informações (de uso
irrestrito, interno, confidenciais e secretas).
- Procedimentos de prevenção e
detecção de vírus.
Política da Segurança de
Informação
Tópicos mais comuns em uma Política da
Segurança de Informação:
-Princípios legais que devem ser
observados quanto à tecnologia da informação
(direitos de propriedade de produção
intelectual, direitos sobre software, normas
legais correlatas aos sistemas desenvolvidos,
cláusulas contratuais).
Política da Segurança de
Informação
Tópicos mais comuns em uma Política da
Segurança de Informação:
- Princípios de supervisão constante das
tentativas de violação da segurança de
informações.
- Conseqüências de violações de normas
estabelecidas na política de segurança.
Política da Segurança de
Informação
Tópicos mais comuns em uma Política da
Segurança de Informação:
- Princípios de gestão da continuidade do
negócio.
- Plano de treinamento em segurança de
informações.
Política da Segurança de
Informação
A política de segurança de informações
deve conter princípios, diretrizes e regras
genéricos e amplos, para aplicação em toda a
organização e também deve ser:
- Clara o suficiente para ser bem
compreendida pelo leitor em foco.
- Aplicável e de fácil aceitação.
A complexidade e extensão exageradas
desta política pode levar ao fracasso de sua
implementação.
Política da Segurança de
Informação
Ela pode ser relacionada a várias políticas
já existentes ou não na organização. Como por
exemplo:
- Políticas de senhas.
- Políticas de backup.
- Políticas de contratação.
- Políticas de instalação de equipamentos
de software.
Política da Segurança de Informação
Backup
Em informática, cópia de segurança (em
inglês: backup) é a cópia de dados de um dispositivo
de armazenamento a outro para que possam ser
restaurados em caso da perda dos dados originais.
Meios difundidos de cópias de segurança
incluem CD-ROM, DVD, disco rígido, disco rígido
externo (compatíveis com USB), fitas magnéticas e a
cópia de segurança externa (online).
Política da Segurança de
Informação
Fica a critério da organização relacionar
sua política de segurança de informação a
outros documentos.
Lembrando que estes documentos
(normas) são mais específicos e podem tratar
mais a fundo um processo da organização.
Política da Segurança de
Informação
A seguir temos um exemplo de uma
política de acesso a internet, que pode ser
relacionada na Política da Segurança de
Informações.
Impacto da Política da Segurança
de Informação
O processo de implantação da política de
segurança de informações deve ser formal e
tende a ser longo pois no decorrer do processo,
ela deve permanecer passível a ajustes para
melhor adaptar-se às reais necessidades da
organização.
Impacto da Política da Segurança
de Informação
As principais etapas que conduzem a
implantação bem sucedida da política de
segurança de informações são:
- Elaboração.
- Aprovação.
- Implantação.
- Divulgação.
- Manutenção.
Impacto da Política da Segurança
de Informação
É importante divulgar, pois não adianta
termos uma política de segurança de
informação se os colaboradores não a
conhecem.
Sua manutenção não pode ser deixada
de lado em momento algum, pois com certeza
esta política não ira nos atender se não
ajustarmos as mudanças da organização.
Impacto da Política da Segurança
de Informação
Podemos citar as principais fases do
processo de implantação de uma política de
segurança de informações :
- Identificação dos recursos críticos;
- Classificação das informações;
- Definição, em linhas gerais, dos
objetivos de segurança a serem atingidos;
Impacto da Política da Segurança
de Informação
Podemos citar as principais fases do
processo de implantação de uma política de
segurança de informações :
- Análise das necessidades de segurança
(identificação das possíveis ameaças, análise de
riscos e impactos);
- Elaboração de proposta de política;
- Discussões abertas com os envolvidos;
Impacto da Política da Segurança
de Informação
Podemos citar as principais fases do
processo de implantação de uma política de
segurança de informações :
- Apresentação de documento formal à
gerência superior;
- Aprovação do documento apresentado
pela gerencia superior;
- Publicação do documento para os
colaboradores da organização;
Impacto da Política da Segurança
de Informação
Podemos citar as principais fases do
processo de implantação de uma política de
segurança de informações :
- Divulgação para todos os colaboradores
da organização;
- Treinamento dos colaboradores;
- Implementação;
- Avaliação e identificação das mudanças
necessárias;
- Revisão;
Impacto da Política da Segurança
de Informação
O sucesso da política de segurança de
informação está diretamente relacionado com
o envolvimento e a atuação da alta
administração.
Quanto maior for o comprometimento
da gerência superior com os processos de
elaboração
e
implantação,
maior
a
probabilidade de ela ser efetiva e eficaz.
É
recomendado
que
este
comprometimento formal.
Impacto da Política da Segurança
de Informação
A divulgação ampla a todos os usuários
internos e externos à organização é um passo
indispensável para o sucesso da implantação.
Ela deve ser de conhecimento de todos
que interagem com a organização e que, direta
ou indiretamente, serão afetados por ela.
É importante que fique claro a todos as
conseqüências do uso inadequado dos
sistemas de informação e as medidas
preventivas e corretivas.
Impacto da Política da Segurança
de Informação
Os funcionários, devem assinar uma
declaração de ciência (treinamento) da política
da segurança da informação.
Este documento deve ser arquivado em
seus documentos na pasta do departamento
de Recursos Humanos.
A seguir um exemplo desta declaração.
Impacto da Política da Segurança
de Informação
Violação da Política da Segurança
de Informação
A própria Política de Segurança de
Informações deve prever os procedimentos a
serem adotados para cada caso de violação, de
acordo com sua severidade, amplitude e tipo
de infrator que a perpetra.
A punição pode ser desde uma simples
advertência verbal ou escrita até uma ação
judicial, isto vai depender da política adotada
pela organização.
Violação da Política da Segurança
de Informação
A Lei n.º 9.983, de 14 de julho de 2000,
que altera o Código Penal Brasileiro, já prevê
penas para os casos de violação de integridade
e quebra de sigilo de sistemas informatizados
ou banco de dados da Administração Pública.
O novo art. 313- A trata da inserção de
dados falsos em sistemas de informação,
enquanto o art. 313-B discorre sobre a
modificação ou alteração não autorizada
desses mesmos sistemas.
Violação da Política da Segurança
de Informação
É de grande importância o treinamento e
divulgação da política de segurança de
informação a todos os funcionários.
Somente podemos punir o funcionário
que tenha sido treinado e/ou que tenha
conhecimento da política da segurança de
informação da organização.
Violação da Política da Segurança
de Informação
Ao se detectar uma violação nesta
política, deve-se:
- averiguar suas causas,
- conseqüências,
- circunstancias que ocorreu.
Violação da Política da Segurança
de Informação
Esta violação deve ser avaliada se foi
causada por um simples acidente, erro ou
mesmo desconhecimento da política de
segurança, como também de negligência ou
ação deliberada e fraudulenta.
Essa averiguação é importante para que
descubra vulnerabilidades e possam ser
tratadas na próxima revisão da política de
segurança de informações.
Exemplo de uma Política da
Segurança de Informação
Cada empresa deve criar sua política
dependendo da sua necessidade e suas regras
internas.
Vejamos a seguir um modelo de política
de segurança da informação.
Exemplo de uma Política da
Segurança de Informação
- ITEM 1: AUTONOMIA DO DEPARTAMENTO DE TI .
- ITEM 2: DIRETRIZES QUANTO À UTILIZAÇÃO DA
INTERNET .
- ITEM 3: E-MAIL CORPORATIVO.
- ITEM 4: A REALIZAÇÃO DE DOWNLOAD.
- ITEM 5: EXECUÇÃO DE JOGOS E RÁDIOS ON-LINE.
- ITEM 6: SENHAS DE ACESSO.
- ITEM 7: SOFTWARES DE CONVERSAÇÃO
INSTANTÂNEA.
Exemplo de uma Política da
Segurança de Informação
- ITEM 8: A INSTALAÇÃO DE SOFTWARES.
- ITEM 9: PENALIDADES.
- ITEM 10: EQUIPE DE SEGURANÇA DA INFORMAÇÃO.
- ITEM 11: DIVULGAÇÃO E TREINAMENTO.
- ITEM 12: VIGÊNCIA E VALIDADE.
Exemplo de uma Política da
Segurança de Informação
ITEM 1: AUTONOMIA DO DEPARTAMENTO DE TI
O departamento de TI possui total autonomia
para atuar sobre os equipamentos da empresa, sem
prévio aviso, no que se refere aos seguintes tópicos:
•Realização de auditoria local ou remota;
•Definição de perfis de usuários cujos privilégios não
permitam a realização de atividades tidas como
prejudiciais ao hardware e software ou à rede como
um todo;
•A instalação e configuração de softwares de
monitoramento;
Exemplo de uma Política da
Segurança de Informação
ITEM 1: AUTONOMIA DO DEPARTAMENTO DE TI
O departamento de TI possui total
autonomia para atuar sobre os equipamentos da
empresa, sem prévio aviso, no que se refere aos
seguintes tópicos:
•A desinstalação de quaisquer softwares
considerados prejudiciais à rede;
•O credenciamento e descredenciamento de
usuários;
Exemplo de uma Política da
Segurança de Informação
ITEM 2: DIRETRIZES QUANTO À UTILIZAÇÃO
DA
INTERNET
A internet deve ser utilizada para fins
corporativos, o enriquecimento intelectual de
seus colaboradores ou como ferramenta para
busca de informações que venham contribuir
para o desenvolvimento de seus trabalhos.
Exemplo de uma Política da
Segurança de Informação
ITEM 2: DIRETRIZES QUANTO À UTILIZAÇÃO
DA INTERNET
O uso para fins pessoais, mediante o
consentimento do responsável pelo setor, fica
restrito à consulta de movimento bancário e ao
acesso ao e-mail pessoal, estando vedadas
práticas abusivas tais como a circulação de
correntes, material pornográfico entre outros.
Exemplo de uma Política da
Segurança de Informação
ITEM 3: E-MAIL CORPORATIVO.
Desconfiar de todos os e-mails com
assuntos estranhos ao ambiente de trabalho.
Não reenviar e-mails do tipo corrente,
aviso
de
vírus,
avisos
da
Microsoft/AOL/Symantec,
criança
desaparecida, entre outros.
Evitar enviar anexos acima de 10 Mbytes.
Exemplo de uma Política da
Segurança de Informação
ITEM 4: A REALIZAÇÃO DE DOWNLOAD.
A realização de downloads exige banda
de navegação do servidor e , se realizado em
demasia, congestiona o tráfego e torna a
navegação para os demais usuários mais
demorada.
Exemplo de uma Política da
Segurança de Informação
ITEM 4: A REALIZAÇÃO DE DOWNLOAD.
A realização de downloads deve ser vista com
muito cuidado e feita somente em casos de
extrema necessidade.Além disso, estará limitada
a arquivos de no máximo 1 MB (Mega Byte), pois
downloads de arquivos de tamanho superior
podem congestionar o fluxo de tráfego e
comprometer os sistemas que funcionam online.
Exemplo de uma Política da
Segurança de Informação
ITEM 5: EXECUÇÃO DE JOGOS E RÁDIOS ONLINE
É terminantemente proibida a execução
de jogos, músicas ou rádios on-line, visto que
esta prática congestiona a banda de internet,
dificultando a execução de serviços que
necessitam deste recurso.
Exemplo de uma Política da
Segurança de Informação
ITEM 6: SENHAS DE ACESSO.
Cada setor deverá, através de
comunicado
oficial,
indicar
novos
colaboradores e o perfil que devem possuir na
rede e nos sistemas da empresa.
A senha de acesso é pessoal,
intransferível, cabendo ao seu titular total
responsabilidade quanto seu sigilo.
Exemplo de uma Política da
Segurança de Informação
ITEM 6: SENHAS DE ACESSO.
O compartilhamento de senhas de acesso é
absolutamente proibido e o titular que divulgar sua
senha a outrem responderá pelas infrações por esse
cometidas, estando passível de advertência. Caso o
usuário desconfie que sua senha não seja mais segura,
poderá solicitar ao departamento de TI a alteração desta.
As senhas têm validade de 30 dias. As ultimas 5
senhas não podem ser repetidas.
Exemplo de uma Política da
Segurança de Informação
ITEM 7: SOFTWARES DE CONVERSAÇÃO INSTANTÂNEA.
É permanentemente proibido aos setores o
uso de softwares de conversação instantânea, ou de
qualquer mecanismo que venha promover serviço
semelhante, existentes ou que venham a existir.
Pode haver permissão especial a qualquer
setor para utilização de Instant Messengers, desde
que seja para fins corporativos e comprovadamente
utilizados em assuntos comerciais e/ou para suporte.
Exemplo de uma Política da
Segurança de Informação
ITEM 8: A INSTALAÇÃO DE SOFTWARES.
Qualquer software que, por necessidade do
serviço, necessitar ser instalado, deverá ser
comunicado ao departamento de TI, que procederá a
instalação caso constate a necessidade do mesmo. Fica
proibida a instalação de qualquer software sem licença
de
uso.
O departamento de TI poderá utilizar de sua
autonomia citada no Item 2 deste instrumento para
desinstalar, sem aviso prévio, todo e qualquer software
sem licença de uso, em atendimento à lei do software
(Lei 9.609/98).
Exemplo de uma Política da
Segurança de Informação
ITEM 9: PENALIDADES.
O usuário que infringir qualquer uma das
diretrizes de segurança expostas neste instrumento
estará passível das seguintes penalidades (sem prévio
aviso):
•Perda da senha de acesso aos sistemas e Internet;
•Cancelamento da caixa de e-mail;
•Advertência formal por intermédio do departamento
de RH podendo levar inclusive a demissão do
colaborador.
Exemplo de uma Política da
Segurança de Informação
ITEM 10: EQUIPE DE SEGURANÇA DA INFORMAÇÃO.
Os servidores relacionados a seguir são
diretamente responsáveis pela implantação presente
política: (deve-se colocar o nome dos funcionários e
até o e-mail)
Gestor de TI;
Analista de Sistemas;
Analista de Suporte.
Exemplo de uma Política da
Segurança de Informação
ITEM 11: DIVULGAÇÃO E TREINAMENTO.
A política deve ser divulgada por
intermédio de treinamento aos colaboradores,
clientes e fornecedores, podendo ainda ser
divulgada por e-mail, mural ou jornal interno.
Exemplo de uma Política da
Segurança de Informação
ITEM 12: VIGÊNCIA E VALIDADE.
A presente política passa a vigorar a partir da
data de sua homologação e publicação, sendo válida
por tempo indeterminado podendo ser alterada
conforme necessidades previamente detectadas.
Belo Horizonte, ___ de _______ de ______.
__________
_____________
Presidente
___________
Adm./Financeiro
Diretor Vice Presidente
_____________
Supervisor de Informática
Dúvidas e perguntas:
Controle de Acesso
Os controles de acesso, físicos ou lógicos,
têm como objetivo proteger equipamentos,
aplicativos e arquivos de dados contra perda,
modificação ou divulgação não autorizada.
Os sistemas computacionais, bem
diferentes de outros tipos de recursos, não
podem ser facilmente controlados apenas com
dispositivos físicos, como cadeados, alarmes ou
guardas de segurança.
Controle de Acesso
Este acesso as informações deve ser
controlado em algum nível, sempre de acordo
com os requisitos de segurança e contribuindo
de alguma forma com o negócio da
organização.
Para atender a esta necessidade
devemos elaborar uma política de controle de
acessos.
Controle de Acesso
Esta política deve controlar pelo menos
os seguintes temas:
• Requisitos de segurança de cada aplicativo
utilizado no negócio da organização.
• Identificação de toda informação de entrada
e de saída desses aplicativos.
• Política para a distribuição da informação,
inclusive dos níveis de acesso e das
classificações a serem aplicadas nas
informações.
Controle de Acesso
Esta política deve controlar pelo menos
os seguintes temas:
• Harmonia entre as políticas de controle de
acessos e as políticas de controle de
informações.
• Menção a qualquer legislação aplicável e
obrigações contratuais referentes ao controle
de acesso ás informações.
Controle de Acesso
Esta política deve controlar pelo menos
os seguintes temas:
• Definição de perfis de acesso de usuários
padronizados segundo as categorias de
atividades comuns.
• Gestão continua dos direitos de aceso em um
ambiente de rede.
Controle de Acesso
Para que possamos definir o controle de
acesso as informações, devemos classificá-las
em relação à confidencialidade:
• Confidencial.
• Restrita.
• Interna.
• Pública.
Controle de Acesso
Informações confidenciais:
Informações que devem ser mantidas
em confidencialidade, caso sejam divulgadas
erroneamente, afetam profundamente a
continuidade dos negócios da instituição.
Controle de Acesso
Informações restritas:
Informações cujo acesso e manuseio são
apenas para pessoas autorizadas, caso sejam
divulgadas
erroneamente,
afetam
a
continuidade de um ou mais processos de
negócio da empresa.
Controle de Acesso
Informações internas:
Informação que em princípio não é
confidencial, mas que só deve ser utilizada
internamente na empresa, não sendo de
acesso público, pois caso sejam divulgadas
erroneamente, podem denegrir a imagem da
instituição ou causar prejuízos indiretos não
desejáveis.
Controle de Acesso
Informações públicas:
Informações que podem
conhecimento público e não
restrições para divulgação.
ser de
possuem
Controle de Acesso
Para definirmos as regras de controle de
acesso, devemos tomar alguns cuidados:
• Definir as regras que sempre devem
ser cumpridas, as regras opcionais e as
regras condicionais.
• O estabelecimento das regras deve
estar baseado na idéia que “tudo esta
proibido a não ser o que esteja
explicitamente permitido” e não em
“tudo esta permitido a não ser o que
explicitamente esta proibido”.
Controle de Acesso
Para definirmos as regras de controle de acesso,
devemos tomar alguns cuidados:
• Perceber (ficar atento) as trocas de etiquetas
de informações eventualmente geradas
automaticamente por sistemas de informação
ou outros recursos da informação.
• A alteração das autorizações de usuários
realizadas automaticamente pelo sistema de
informação e aquelas realizadas por um
administrador.
Controle de Acesso
Para definirmos as regras de controle de
acesso, devemos tomar alguns cuidados:
• A distinção entre as regras que exigem
aprovação do administrador ou de
outro colaborador e as que não
precisam.
Controle de Acesso Lógico
Os controles de acesso lógico são um
conjunto de procedimentos e medidas com o
objetivo de proteger dados, programas e
sistemas contra tentativas de acesso não
autorizadas feitas por pessoas ou por outros
programas de computador.
Controle de Acesso Lógico
O controle de acesso lógico pode ser
encarado de duas formas:
• a partir do recurso computacional que se
quer proteger.
• a partir do usuário a quem serão concedidos
certos privilégios e acessos aos recursos.
Controle de Acesso Lógico
A proteção aos recursos computacionais
baseia-se nas necessidades de acesso de cada
usuário.
A identificação e autenticação de
usuários (confirmação de que o usuário
realmente é quem ele diz ser) é feita
normalmente por meio de um identificador de
usuário (ID) e por uma senha.
Estes solicitados no processo de logon no
sistema.
Controle de Acesso Lógico
A proteção de recursos computacionais
inclui desde arquivos de dados até utilitário e o
próprio sistema operacional da maquina.
Vejamos alguns recursos e os motivos
que devemos protegê-los:
• Aplicativos (programas fonte): O acesso a
códigos fonte dos aplicativos podem sem
usados para alterar suas funções e até a lógica
que ele foi desenvolvido.
Exemplo: soma de produtos.
Controle de Acesso Lógico
Vejamos alguns recursos e os motivos
que devemos protegê-los:
• Arquivo de dados: O aceso a estes arquivos
pode trazer prejuízos, pois os dados podem ser
apagados ou ate alterados evitando o
fechamento das informações.
Exemplo: dados de estoque
Controle de Acesso Lógico
Vejamos alguns recursos e os motivos
que devemos protegê-los:
• Utilitários e sistema operacional: O acesso a
utilitários, como editores, compiladores,
softwares de manutenção, monitoração e
diagnóstico deve ser restrito, já que essas
ferramentas podem ser usadas para alterar
aplicativos, arquivos de dados e de
configuração do sistema operacional.
Controle de Acesso Lógico
Vejamos alguns recursos e os motivos
que devemos protegê-los:
• Arquivo de senha: O aceso a um arquivo de
senha poderá fazer com que a pessoa que o
roubou acesse qualquer parte do sistema pois
ele poderá autenticar com o usuário que tem
permissão para isso. Este caso é difícil detectar,
pois para o sistema quem está autenticado é o
usuário com permissão.
Controle de Acesso Lógico
Vejamos alguns recursos e os motivos
que devemos protegê-los:
• Arquivo de log: Este arquivo é o local onde
tem todas as informações de qual usuário
acessou o que e qual operação foi executada
por qual usuário. Uma invasão neste arquivo
pode acarretar na perda de rastreamento, isto
é, não terá como saber qual usuário acessou
qual parte do sistema.
Identificação e Autenticação de
Usuários
Os usuários dos sistemas computacionais
são identificados e autenticados durante um
processo, chamado Logon.
Os processos de logon são usados para
conceder acesso aos dados e aplicativos em um
sistema computacional, e orientam os usuários
durante sua identificação e autenticação.
Identificação e Autenticação de
Usuários
O processo de logon envolve um nome
de usuário (que pode ser chamado de ID –
Identificação de usuário) e de uma senha
(autenticação do usuário).
O nome do usuário (ID) define para o
sistema quem é o usuário que o esta utilizando.
A senha é um autenticador, isto é, ela vai
provar para o sistema que o usuário é
realmente quem ele diz ser.
Identificação e Autenticação de
Usuários
Um processo de logon não deve mostrar
muitas informações aos usuário antes de se
autenticar, isto é, ele deve:
• Informar que aquele computador / sistema
somente deve ser acessado por pessoas
autorizadas.
• Evitar identificar o sistema ou aplicações até
que o processo de logon seja completamente
concluído.
Identificação e Autenticação de
Usuários
Um processo de logon não deve mostrar
muitas informações aos usuário antes de se
autenticar, isto é, ele deve:
• Durante o processo de logon, evitar o
fornecimento de mensagens de ajuda que
poderiam auxiliar um usuário não autorizado a
completar esse procedimento.
Identificação e Autenticação de
Usuários
Um processo de logon não deve mostrar
muitas informações aos usuário antes de se
autenticar, isto é, ele deve:
• Validar a informação de logon apenas quando
todos os dados de entrada estiverem
completos. Caso ocorra algum erro, o sistema
não deve indicar qual parte do dado de entrada
está correta ou incorreta, como, por exemplo,
ID ou senha.
Identificação e Autenticação de
Usuários
Um processo de logon não deve mostrar
muitas informações aos usuário antes de se
autenticar, isto é, ele deve:
• Limitar o número de tentativas de logon sem
sucesso (é recomendado um máximo de três
tentativas), e caso não consiga logar na
primeira tentativa, registrar as tentativas de
acesso inválidas, forçar um tempo de espera
antes de permitir nova tentativa, travar o
usuário para outras tentativas.
Identificação e Autenticação de
Usuários
Um processo de logon não deve mostrar
muitas informações aos usuário antes de se
autenticar, isto é, ele deve:
• Limitar um tempo máximo para o
procedimento de logon e caso exceda o
sistema deve encerrar o procedimento.
• Mostrar as informações de data e hora do
último logon com sucesso e detalhes de
qualquer tentativa de logon sem sucesso desde
o ultimo procedimento realizado com sucesso.
Identificação e Autenticação de
Usuários
O nome de usuário (ID) deve ser único,
isto é, não podemos ter nomes de usuário
repetidos.
Todas as pessoas autorizadas devem ter
seu nome de usuário e ele por sua vez deve ser
apenas de uma pessoa.
Através do ID que sabemos nos arquivos
de log quais processos foram executados por
qual usuário do sistema.
Identificação e Autenticação de
Usuários
Na autenticação, o usuário deve apresentar
algo que só ele saiba ou possua, podendo até
envolver a verificação de características físicas
pessoais.
A maioria dos sistemas atuais solicita uma
senha (algo que só o usuário conhece).
Já existem sistemas mais modernos utilizando
cartões inteligentes ou ainda características físicas.
Ex: impressão digital e reconhecimento de voz.
Identificação e Autenticação de
Usuários
Para que os controles de senha
funcionem, os usuários devem ter total
conhecimento de sua senha e orienta-se que
crie uma política de senha onde os usuários
sejam estimulados s seguir.
Identificação e Autenticação de
Usuários
Vejamos algumas regras que devemos
estimular os usuários a seguir:
• Manter a senhas secretas (não divulgá-las a
ninguém).
• Não registrar senhas em papel ou aparelhos
eletrônicos (celulares, pages, etc).
• Selecionar senhas de boa complexidade e
nem muito pequenas nem muito grandes
(aconselhável entre seis e oito caracteres).
Identificação e Autenticação de
Usuários
Vejamos algumas regras que devemos
estimular os usuários a seguir:
• Alterar a senha sempre que perceber
vulnerabilidade na mesma.
• Alterar a senha em intervalos de tempo
regulares.
• Evitar reutilizar as mesmas senhas.
Identificação e Autenticação de
Usuários
Vejamos algumas regras que devemos
estimular os usuários a seguir:
• Alterar as senhas temporárias de primeiro
acesso.
• Não
incluir
senhas
em
processos
automáticos, como por exemplo macros.
Identificação e Autenticação de
Usuários
Não é aconselhável a utilização da
mesma senha para vários sistemas pois se um
invasor descobre a senha de um usuário em
um sistema vulnerável ele tentará em todos os
sistemas que podem ter este usuário a mesa
senha.
Identificação e Autenticação de
Usuários
Usuários devem evitar a utilização de
senhas compostas por elementos facilmente
detectáveis por invasores como:
• Nome do usuário de acesso (ID).
• Nome de membros da família como pai, mãe,
filho, esposa ou de amigos íntimos.
• Nome de lugares em geral, como cidade onde
mora ou foi nas férias passadas.
Identificação e Autenticação de
Usuários
Usuários devem evitar a utilização de
senhas compostas por elementos facilmente
detectáveis por invasores como:
• Nome de sistema operacional ou da máquina
que esta sendo usada.
• Datas comemorativas.
• Numero de telefone, de cartão de crédito, da
identidade ou CPF.
• Placas ou marcas de carro.
Identificação e Autenticação de
Usuários
Usuários devem evitar a utilização de
senhas compostas por elementos facilmente
detectáveis por invasores como:
• Letras ou números repetidos.
• Letras seguidas do teclado (qwert, cvbnm).
• Objetos ou lugares que possam ser vistos da
mesa do usuário (nome de um livro que esta na
estante, praça vista pela janela).
Identificação e Autenticação de
Usuários
Existem softwares que podem identificar
as senhas frágeis a partir de uma base de
dados de nomes e seqüências de caracteres
mais comuns e bloquear a escolha das mesmas
pelo usuário.
Estas bases de dados fazem parte de
pacotes de segurança e podem ser usados pelo
administrador do sistema.
Identificação e Autenticação de
Usuários
Geralmente são consideradas boas
senhas aquelas que incluem, em sua
composição, letras (maiúsculas e minúsculas),
números e símbolos embaralhados, totalizando
mais de seis caracteres.
Esta senha para ser considerada boa,
tem de ser difícil de ser adivinhada por outra
pessoa mas fácil de ser memorizada pelo
usuário e também que seja de rápida digitação.
Identificação e Autenticação de
Usuários
Senhas devem ser entregues a usuários
mediante assinatura de declaração de
confiabilidade, forçando o mesmo a trocá-la
no primeiro logon e garantindo que ninguém
além dele esta recebendo sua senha.
Outros tipos de Autenticação
• Tokens: dispositivo eletrônico
gerador de senhas, geralmente
sem conexão física com o
computador, podendo também,
em
algumas
versões,
ser
conectado a uma porta USB.
Outros tipos de Autenticação
• Tokens:
O modelo OTP (One Time
Password) pode ser baseado em
tempo, gerando senhas dinâmicas
a cada fração de tempo
previamente determinada (ex. a
cada 36 segundos), ou ainda
baseado em evento (event
based), gerando senhas a cada
clique do botão.
Outros tipos de Autenticação
• Tokens:
Pode ser visto também como um
objeto que o usuário possui que o
diferencia de outras pessoas e o
habilita a acessar algo.
Sua desvantagem é que por ser
um objeto pode ser perdido.
Outros tipos de Autenticação
• Cartões
magnéticos
inteligentes: São tokens que
possuem microprocessadores ou
capacidade de memória para
armazenar dados a fim de
dificultar sua utilização por outras
pessoas
que
não
seus
proprietários legítimos.
Outros tipos de Autenticação
• Cartões
magnéticos
inteligentes:
Normalmente os usuários de
cartões inteligentes necessitam
de inserir uma senha a leitora de
cartões para que seu acesso seja
permitido e também como uma
proteção a mais contra o roubo
de cartões.
Outros tipos de Autenticação
• Sistemas Biométricos:
São sistemas automáticos de verificação de
identidade baseados em características físicas do
usuário.
Esses sistemas têm como objetivo suprir
deficiências de segurança das senhas, que podem
ser reveladas ou descobertas, e das tokens, que
podem ser perdidas ou roubadas.
Outros tipos de Autenticação
• Sistemas Biométricos:
Os sistemas automáticos são uma evolução
dos sistemas manuais já amplamente utilizados
como o de reconhecimento de assinaturas (analise
grafológica), analise de impressões digitais e de
reconhecimento de voz.
Outros tipos de Autenticação
• Sistemas Biométricos:
Alguns dos sistemas biométricos disponíveis:
Impressões digitais
Análise Facial
Reconhecimento de voz
Análise da palma da mão
Dúvidas e perguntas: