Segurança a da Informação Aula 08. Aula 08

Documentos relacionados
Segurança a da Informação Aula 07. Aula 07

Segurança a da Informação Aula 04. Aula 04

Segurança a da Informação Aula 09. Aula 09

Segurança a da Informação Aula 10. Aula 10

Os processos de segurança da informação devem assegurar a integridade, a disponibilidade e a confidencialidade dos ativos de informação da Apex.

Segurança e Auditoria de Sistemas

ORGANIZAÇÃO DO TRABALHO

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO PÚBLICA

POLÍTICA DE SEGURANÇA CIBERNÉTICA E DA SEGURANÇA DA INFORMAÇÃO POLÍTICA DE SEGURANÇA CIBERNÉTICA E DA SEGURANÇA DA INFORMAÇÃO

DIRETRIZES DA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

Curso/Disciplina: Arquivologia Aula: Lei de Acesso à Informação Parte 4 Professor: Ana Cláudia Dias Monitora: Vanessa Alves

MÓDULO CAPITAL GESTÃO DE RECURSOS LTDA.

REGULAMENTO DOS LABORATÓRIOS DE INFORMÁTICA DA UCEFF

Política de Confidencialidade e Segurança da Informação

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

Segurança Informática em Redes e Sistemas

GERENCIAMENTO DAS AQUISIÇÕES DO PROJETO

CSI463 Segurança e Auditoria de Sistemas

Política de Privacidade do Sicon

REGULAMENTO LABORATÓRIO DE INFORMÁTICA FACULDADE UNIMED

REGULAMENTO DO LABORATÓRIO DE INFORMÁTICA.

Segurança da Informação

Segurança Informática em Redes e Sistemas

PSI Política de Segurança da Informação

3/9/2011. Segurança da Informação. Segurança da Informação. O que é Segurança e seguro? Prof. Luiz A. Nascimento Auditoria e Segurança de Sistemas

POLÍTICA CORPORATIVA Política nº 402 POLÍTICA DE USO DE TECNOLOGIA. Data da emissão inicial Data do versão atual Página. Página 1 de 6 12/98 01/04/15

INSTITUTO DE PSICOLOGIA COORDENAÇÃO DO CURSO DE GRADUAÇÃO EM PSICOLOGIA (BACHAREL - FORMAÇÃO DE PSICÓLOGO) CAMPUS NITERÓI

DECLARAÇÃO DE PROTEÇÃO DE DADOS - MARKETING DIRETO

Índice /1 Confidencialidade Página 1 de 10 Classificação da Informação: Interna (Normativo Confidencialidade)

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO DAS EMPRESAS ELETROBRAS

ARQUIVOLOGIA. Legislação Arquivística. Lei nº /11 Lei de Acesso à Informação (LAI) Parte 2. Prof. Antonio Botão

Política de Privacidade do Aplicativo Patrimônio Mobile

Política de Segurança de Informações

1 - Introdução. 2 - Regulamentação aplicável. 3 - Segregação de atividades e Informações confidenciais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO. Versa Gestora de Recursos Ltda.

Aspectos importantes como a autenticação e autorização. Tipos de ameaças: Atividade não autorizada; Downloads não autorizados; Redes: local de transmi

INTRODUÇÃO A SEGURANÇA DA INFORMAÇÃO. Prof. Dejair Priebe Ferreira da Silva

Copyright Proibida Reprodução. Prof. Éder Clementino dos Santos

Política de Privacidade do Banca da Mônica

Regulamento do. Laboratório de Informática DMAFE

Manual. Usuários. e Permissões

ADAM CAPITAL GESTÃO DE RECURSOS LTDA. POLÍTICA DE SEGURANÇA DAS INFORMAÇÕES

Política de Segurança da Informação CGEE

GIS-N-ISP-05. Norma de Classificação da Informação

Gestão de Segurança da Informação. Interpretação da norma NBR ISO/IEC 27001:2006. Curso e Learning Sistema de

Manual de regras, procedimentos e controles internos ICVM 558/15

PROJETO DE REDES Prof. José Maurício S. Pinheiro - UGB

Política de Segurança da Informação

POLÍTICA DE CONFIDENCIALIDADE E SEGURANÇA DA INFORMAÇÃO

DESENVOLVIMENTO NA CARREIRA. TÉCNICOS-ADMINISTRATIVOS EM EM EDUCAÇÃO Aula Aula 1 1

NBC TA 320 Materialidade no Planejamento e na Execução de Auditoria.

Descrição da Estrutura de Gerenciamento Risco Operacional -

Resumo da Política de Privacidade. Política de privacidade completa

ADAMCAPITAL GESTÃO DE RECURSOS LTDA. POLÍTICA DE SEGURANÇA DAS INFORMAÇÕES

Manual de Regras, Procedimentos e Controles Internos - ICVM 558

TERMO DE USO DO SISTEMA CARTÃO NACIONAL DE SAÚDE (SISTEMA CARTÃO) POR OPERADORAS DE PLANOS PRIVADOS DE SAÚDE

Segurança do Ambiente Físico Para garantir adequada segurança do ambiente físico, é necessário combinar as seguintes medidas: o De prevenção; o Detecç

SISTEMA INFORMATIZADO DE GESTÃO ARQUIVÍSTICA DE DOCUMENTOS - SIGAD

Unidade 1 Segurança em Sistemas de Informação

Política de Segurança da Informação

ARQUIVOLOGIA. Legislação Arquivística. Lei nº /11 Lei de Acesso à Informação (LAI) Prof. Antonio Botão

GERENCIAMENTO DE DADOS Exercícios

O PRESIDENTE DA REPÚBLICA, no uso da atribuição que lhe confere o art. 62º da Constituição, adota a seguinte Medida Provisória, com força de lei:

SERVIÇOS DE DIRETÓRIO

Gestão da Tecnologia da Informação

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E CIBERNÉTICA

Risco Operacional Estrutura de Gerenciamento 2016

NBC PA 290 Independência

Redes de Computadores. INF201 - Fundamentos de Sistemas Operacionais - 2º Período

Usuários: Gestores de informações: Administradores dos ativos de TI:... 3 POLÍTICA CORPORATIVA

Política de Privacidade

Segurança e Controle em Sistemas de Informação. Profa. Ellen Francine ICMC-USP

POLÍTICA DE NEGOCIAÇÃO DE VALORES MOBILIÁRIOS

POLÍTICA DE TRANSAÇÕES COM PARTES RELACIONADAS

O ACESSO À INFORMAÇÃO E A CF/88

O ACESSO À INFORMAÇÃO E A CF/88

POLÍTICA DE PRIVACIDADE

PROJETO DE LEI. O CONGRESSO NACIONAL decreta:

Política de Confidencialidade Colaboradores Venturestar

RESUMO DAS POLÍTICAS DE PROTEÇÃO DA INFORMAÇÃO E SEGURANÇA CIBERNÉTICA

Segurança da Informação

Os Dados Pessoais são coletados para os seguintes propósitos e usando os seguintes serviços: POLÍTICA DE PRIVACIDADE COMPLETA

BS2 ASSET MANAGEMENT S.A ADMINISTRADORA DE RECURSOS LTDA

Política de Controles Internos

APROVAÇÃO. Presidente do CGSIC. Número da Norma Revisão - Data Emissão Folha 01/IN01/CGSIC/IF 09-24/01/ /02/2016 1/5

POLÍTICA ORGANIZACIONAL

CB.POL a. 1 / 7

Petter Anderson Lopes Arbitragem, Desenvolvimento Seguro, Segurança Ofensiva e Forense Computacional

Transcrição:

Segurança a da Informação Prof. Rossoni, Farias 1 Direito de acesso O direito de cada um termina no limite de sua responsabilidade. Apesar desta aula estar mais relacionada com o acesso lógico, l muitas considerações aqui levantadas aplicam-se também m ao acesso físico. f Por exemplo, o acesso a recintos que abrigam equipamentos que processam informações classificadas. Neste caso, o recinto recebe a mesma classificação que as informações. Prof. Rossoni, Farias 2 1

Associado ao acúmulo de funções e seu conseqüente ente acesso às s informações relacionadas com essas funções, aparece o direito de determinado indivíduo duo acessá-las. A fonte da autoridade deve estar claramente definida na política de segurança a da organização. As regras de controle de acesso devem levar em conta os cinco componentes da política de controle de acesso: Usuários rios: : pessoas ou funções associadas a pessoas que acessam recursos em um ambiente de informações. Recursos: : constituem o conjunto de equipamentos, informações ou ferramentas de apoio ou de execução final das tarefas que os usuários rios precisam executar. Operações ões: : o nível n de acesso permitido a cada usuário em relação aos recursos colocados à sua disposição. Cada recurso é passível de certo número n de operações e estas somente podem ser executadas por determinados usuários. Prof. Rossoni, Farias 3 Autoridade: : quem detém m o poder de decisões; essa autoridade pode ser primária, ria, decorrente da posse, ou secundária ou delegada, decorrente da transferência parcial ou total de autoridade oriunda de nível n mais elevado. O conceito de autoridade está ligado ao conceito de propriedade; em princípio pio quem tem a posse de determinado recurso pode delegar autoridade, determinar direito de guarda ou custódia ou determinar quem administra o direito de acesso em seu lugar. Domínio nio: : os limites dentro dos quais se aplica a autoridade; um domínio pode conter recursos, usuários; ou usuários e recursos. O domínio determina os limites dentro dos quais se aplica a autoridade do proprietário rio ou delegado que a exerce em seu nome. O conceito de direito de acesso e os componentes expostos acima são de fundamental importância para a definição e montagem de estrutura administrativa de segurança. a. Prof. Rossoni, Farias 4 2

Autoridade: Em organizações comerciais e industriais, a autoridade é o poder legítimo para controlar ou administrar. Existem dois tipos de autoridade: a relacionada com pessoas e a relacionada com recursos. Um administrador de segurança, a, no caso de ambientes de informações, precisa ter autoridade tanto sobre pessoas como sobre recursos, para poder conceder direitos de acesso. Deve-se separar o direito de acesso do direito de conceder acesso; o primeiro é decorrente da necessidade legítima de executar funções que façam am uso de recursos protegidos, ao passo que o segundo é decorrente da delegação de autoridade por parte do legítimo proprietário, rio, e essa delegação de autoridade não precisa necessariamente abranger o próprio prio direito de o administrador acessar o recurso que vai administrar em nome do proprietário. rio. Prof. Rossoni, Farias 5 Autoridade (continuação): A autoridade envolve dois domínio: domínio organizacional é o que define os limites dos usuários ou grupos de usuários dentro de uma organização. É para esses domínios organizacionais que os administradores de segurança a exercem seus serviços. A área de atuação dos administradores de segurança a pode abranger toda a organização ou parte dela. Um administrador de segurança a sós pode conceder direito de acesso a indivíduos duos que façam am parte do domínio nio organizacional para o qual foi autorizado. domínio de recursos é o conjunto de operações executadas por meio de recursos aos quais o administrador de segurança a tenha o direito de conceder acesso que o mesmo pode autorizar que usuários ou grupos de usuários de determinado domínio executem em função de necessidades de suas tarefas. Um administrador de segurança a sós pode conceder direito de acesso a recursos que façam am parte do domínio de recursos que administra. Prof. Rossoni, Farias 6 3

Não pode ser dado direito de acesso diretamente por um administrador ador de determinado domínio organizacional em cima de domínio de recursos sobre o qual não tenha autoridade; nem um administrador de determinado domínio de recursos pode dar diretamente direito de acesso para usuário de domínio organizacional que não o seu. Usuário 1 Domínio de usuários Usuário 2... Usuário n Interações Usuários x recursos Recurso 1 Recurso 2 Recurso n Domínio de Recursos Prof. Rossoni, Farias 7 A fonte da autoridade: A fonte da autoridade sobre ativos emana de seus proprietários. rios. O conceito de proprietário, rio, para fins de controle de acesso, está diretamente relacionado com o conceito de necessidade de uso em decorrência da função exercida. Os proprietários rios dos ativos de uma organização são seus acionistas; entretanto, na maioria das grandes organizações a propriedade de ativos está separada de sua administração, de modo que os proprietários rios delegam a autoridade para administrar em seu nome. Em um ambiente de informações o proprietário rio de um recurso é quem exerce controle sobre ele. Prof. Rossoni, Farias 8 4

A fonte da autoridade (continuação) ão): No início da era da informática, em função da complexidade das tarefas envolvendo o desenvolvimento de aplicações, surgiu o conceito de que os ativos informatizados da empresa eram de propriedade da área de informática. Assim que determinada área contratava a execução de serviços seus em computadores, ela transferia os direitos de propriedade sobre os ativos envolvidos para a área de informática. Esse conceito, além m de não ser natural, implicava um poder muito grande nas mãos dos administradores da área de informática. Atualmente, com custos cada vez mais reduzidos e ferramentas mais poderosas, e em decorrência da devolução de muitas funções para suas áreas de origem, inclusive com o pessoal de desenvolvimento alocado nas áreas afins, o conceito de propriedade tem-se se firmado como sendo da pessoa responsável pelos ativos de informações processados pelos computadores e não mais dos responsáveis pela informática. Prof. Rossoni, Farias 9 A fonte da autoridade (continuação) ão): O direito de propriedade sobre os ativos deve ser separado da responsabilidade pela manutenção da integridade dos ativos, que nem sempre compete ao seu proprietário. rio. O direito de acesso deve ser definido formalmente. Podem ser delegadas egadas três classes de direitos: Propriedade permite o controle total de um recurso. Delegar direitos permite que o possuidor desse tipo de autoridade delegue a terceiros o direito de acesso. Direito de acesso permite que o receptor execute operações específicas com o recurso. Prof. Rossoni, Farias 10 5

O direito de acesso está ligado diretamente ao nível n do direito concedido, e deve obedecer à regra do menor privilégio possível vel. Geralmente, o direito de acesso em um nível n mais amplo inclui o direito de acesso em um nível n mais restrito. As principais ferramentas de controle de acesso a ambientes de informações baseiam-se na estrutura de delegação da autoridade, separando o papel do administrador de segurança a do acesso normal e da propriedade sobre os recursos que o administrador controla. Prof. Rossoni, Farias 11 Requisitos que regulam o direito de acesso em empresas: Nas empresas são três os principais requisitos que governam o direito de acesso: 1. Proteção de ativos 2. Práticas de auditoria 3. Legislação Prof. Rossoni, Farias 12 6

Requisitos que regulam o direito de acesso em empresas: Proteção de ativos Os ativos a serem protegidos caracterizam os domínios de recursos; esses domínios de recursos incluem o acervo de informações, as ferramentas de apoio e de acesso ao domínio e sua mídia de suporte. A proteção de ativos torna-se cada vez mais necessária em função da concentração de informações em computadores. As ameaças as mais freqüentes entes aos recursos de um domínio são: danos físicos f em equipamentos usados para suportar o acervo de informações; e revelação não-autorizada, acidental ou deliberada, de informações de natureza confidencial e fraudes. Fraudes é o tipo de ameaça a que mais tem atraído as atenções. E esse risco aumenta exponencialmente à medida que as organizações abrem seus sistemas informacionais para terceiros através s de redes públicas de acesso, como a Internet. Prof. Rossoni, Farias 13 Requisitos que regulam o direito de acesso em empresas: Práticas de auditoria Surgiram a partir do crescente distanciamento dos proprietários rios dos ativos em relação ao seu controle direto em cima dos mesmos; a auditoria visa proteger os proprietários rios quanto ao seu direito de propriedade sobre ativos em relação aos quais eles não têm mais controle direto. A função da auditoria em ambientes de informações é garantir que os sistemas de informações funcionem de forma adequada, permitindo que as funções necessárias sejam executadas ao mesmo tempo que a integridade dos ativos sejam garantida. Prof. Rossoni, Farias 14 7

Requisitos que regulam o direito de acesso em empresas: Legislação Em alguns países existem leis que regulamentam claramente as responsabilidades de usuários e administradores de recursos de informações em geral, em relação à proteção aos ativos e as penalidades previstas. Mesmo em países que ainda não tenham legislação acerca do assunto, os administradores de empresas multinacionais devem estar atentos para a legislação específica (onde for o caso) dos países ses-sede sede dessas empresas. Exemplo: a legislação americana responsabiliza os administradores de suas filiais no exterior em relação à segurança a de informações; ainda que essa lei não possa ser aplicada a cidadãos de outros países que trabalhem para empresas americanas fora dos Estados Unidos, elas os afeta na medida em que a empresa impõe uma política de segurança fundamentada nessa lei, obrigando seus funcionários a cumprirem-na de forma indireta, dentro das normas internas da empresa. Prof. Rossoni, Farias 15 Controles sobre o direito de acesso: São métodos m empregados para controlar o acesso que cada usuário de determinado domínio. Esses métodos m de controle devem ser de dois tipos: Controles organizacionais São regulamentos internos que contemplam as diversas atividades da organização; não são específicos para informações nem devem basear seus princípios pios exclusivamente em legislação que cuide do assunto. Os controles operacionais em informática também m devem basear-se neles. Controles operacionais Ainda que relacionados em um item separado em relação aos controles organizacionais, na prática não passam da aplicação dos controles organizacionais ao ambiente de informações. Usam- se cada vez mais métodos m todos associados com a identificação de usuários, listas de acesso e privilégio de uso, utilizando o mecanismo de senhas somente como método m de autenticação de identidade dos usuários. Prof. Rossoni, Farias 16 8

Quem controla o controlador? Essa pergunta não apareceu com os sistemas informatizados; ela remonta r à antiguidade. A questão real é saber exatamente como controlar alguém m que detém m o direito de conceder direito de acesso a outras pessoas sem que essa mesma pessoa p acesse os recursos que controla, uma vez que ela tem poder para obter esse acesso, ainda que ilegítimo. Em princípio pio a resposta é Nada pode impedir tal tipo de ato. Entretanto os riscos podem ser minimizados pelas seguintes medidas: 1. Limitar o tamanho do risco por meio de limites à autoridade do administrador. 2. Reduzir a probabilidade de ocorrência pela segregação de funções, definindo o domínio organizacional sobre o qual um administrador de segurança a exerce controle e dando controle sobre o administrador de segurança a para outra pessoa. 3. Tornar os riscos detectáveis pelo controle sobre as atividades dos administradores de segurança a exercido por pessoas de fora de estrutura de segurança, a, em princípio pio pela equipe de auditoria. Prof. Rossoni, Farias 17 Considerações gerais sobre direito de acesso: Uma política de controle de acesso a recursos deve considerar algumas regras básicas, b de modo que as decisões baseadas na política de controle de acesso sejam coerentes e consistentes com as diretrizes da política geral de segurança a da empresa. Essas regras de política devem incluir: Controle de acesso feito em função da posição ocupada por pessoas e não em função de pessoas que eventualmente as ocupem. Controle exercido por administrador de segurança a sobre pessoas, restrito somente ao seu domínio organizacional. Controle exercido por administrador de segurança a sobre recursos, restrito somente ao seu domínio de recursos. Prof. Rossoni, Farias 18 9

Domínios organizacionais definidos por administradores que exerçam controle sobre os mesmos, podendo a autoridade, para dar direitos de acesso a esses domínios, ser delegada a um administrador de segurança. a. Domínios de recursos definidos por administradores que exerçam controle sobre os mesmos, podendo a autoridade, para dar direitos de acesso a esses domínios, ser delegada a um administrador de segurança. a. Se uma pessoa que ocupa determinada posição dentro de um domínio organizacional tiver acesso a determinado domínio de recursos, ele deve ser capaz de acessar todos os subdomínios contidos dentro do mesmo, a menos que exista regra mais específica que controle o acesso a subdomínios desse domínio. Prof. Rossoni, Farias 19 O administrador de segurança a que concede o direito de acesso a um domínio de recursos deve aplicar os controles sobre os acessos feitos pelo receptador desse direito. O administrador de segurança a deve ter o efetivo controle sobre o direito de dar acesso sobre o domínio de recursos que administra. Em domínios organizacionais estruturados de forma hierárquica, rquica, os usuários devem ser colocados em estruturas organizacionais que reflitam a estrutura organizacional da empresa. A propriedade ou a custódia de recursos deve refletir a delegação de autoridade derivada da estrutura de autoridade. Prof. Rossoni, Farias 20 10

Onde for o caso, deve definir os critérios rios de consentir direitos de acesso de um usuário para os outros; por exemplo, um usuário pode conceder a outro o direito de acesso a informações que tenha criado, mas somente neste caso. Uma lista de diretrizes de direito de acesso poderia incluir centenas de itens; entretanto, isso poderia tornar-se ineficaz devido ao grau de complexidade envolvido. Da mesma forma que a política geral de segurança, a, a política de controle de acesso deve se restringir a linhas gerais que cubram a maior parte das situações, deixando as particularidades por conta das exigências dos domínios organizacionais e de recursos que as necessitarem, desde que sigam as diretrizes de grau mais elevado. Prof. Rossoni, Farias 21 Segurança a da Informação Termino da Prof. Rossoni, Farias 22 11

2024 © DocPlayer.com.br Política de Privacidade | Termos de serviço | Feedback