Segurança a da Informação Prof. Rossoni, Farias 1 Direito de acesso O direito de cada um termina no limite de sua responsabilidade. Apesar desta aula estar mais relacionada com o acesso lógico, l muitas considerações aqui levantadas aplicam-se também m ao acesso físico. f Por exemplo, o acesso a recintos que abrigam equipamentos que processam informações classificadas. Neste caso, o recinto recebe a mesma classificação que as informações. Prof. Rossoni, Farias 2 1
Associado ao acúmulo de funções e seu conseqüente ente acesso às s informações relacionadas com essas funções, aparece o direito de determinado indivíduo duo acessá-las. A fonte da autoridade deve estar claramente definida na política de segurança a da organização. As regras de controle de acesso devem levar em conta os cinco componentes da política de controle de acesso: Usuários rios: : pessoas ou funções associadas a pessoas que acessam recursos em um ambiente de informações. Recursos: : constituem o conjunto de equipamentos, informações ou ferramentas de apoio ou de execução final das tarefas que os usuários rios precisam executar. Operações ões: : o nível n de acesso permitido a cada usuário em relação aos recursos colocados à sua disposição. Cada recurso é passível de certo número n de operações e estas somente podem ser executadas por determinados usuários. Prof. Rossoni, Farias 3 Autoridade: : quem detém m o poder de decisões; essa autoridade pode ser primária, ria, decorrente da posse, ou secundária ou delegada, decorrente da transferência parcial ou total de autoridade oriunda de nível n mais elevado. O conceito de autoridade está ligado ao conceito de propriedade; em princípio pio quem tem a posse de determinado recurso pode delegar autoridade, determinar direito de guarda ou custódia ou determinar quem administra o direito de acesso em seu lugar. Domínio nio: : os limites dentro dos quais se aplica a autoridade; um domínio pode conter recursos, usuários; ou usuários e recursos. O domínio determina os limites dentro dos quais se aplica a autoridade do proprietário rio ou delegado que a exerce em seu nome. O conceito de direito de acesso e os componentes expostos acima são de fundamental importância para a definição e montagem de estrutura administrativa de segurança. a. Prof. Rossoni, Farias 4 2
Autoridade: Em organizações comerciais e industriais, a autoridade é o poder legítimo para controlar ou administrar. Existem dois tipos de autoridade: a relacionada com pessoas e a relacionada com recursos. Um administrador de segurança, a, no caso de ambientes de informações, precisa ter autoridade tanto sobre pessoas como sobre recursos, para poder conceder direitos de acesso. Deve-se separar o direito de acesso do direito de conceder acesso; o primeiro é decorrente da necessidade legítima de executar funções que façam am uso de recursos protegidos, ao passo que o segundo é decorrente da delegação de autoridade por parte do legítimo proprietário, rio, e essa delegação de autoridade não precisa necessariamente abranger o próprio prio direito de o administrador acessar o recurso que vai administrar em nome do proprietário. rio. Prof. Rossoni, Farias 5 Autoridade (continuação): A autoridade envolve dois domínio: domínio organizacional é o que define os limites dos usuários ou grupos de usuários dentro de uma organização. É para esses domínios organizacionais que os administradores de segurança a exercem seus serviços. A área de atuação dos administradores de segurança a pode abranger toda a organização ou parte dela. Um administrador de segurança a sós pode conceder direito de acesso a indivíduos duos que façam am parte do domínio nio organizacional para o qual foi autorizado. domínio de recursos é o conjunto de operações executadas por meio de recursos aos quais o administrador de segurança a tenha o direito de conceder acesso que o mesmo pode autorizar que usuários ou grupos de usuários de determinado domínio executem em função de necessidades de suas tarefas. Um administrador de segurança a sós pode conceder direito de acesso a recursos que façam am parte do domínio de recursos que administra. Prof. Rossoni, Farias 6 3
Não pode ser dado direito de acesso diretamente por um administrador ador de determinado domínio organizacional em cima de domínio de recursos sobre o qual não tenha autoridade; nem um administrador de determinado domínio de recursos pode dar diretamente direito de acesso para usuário de domínio organizacional que não o seu. Usuário 1 Domínio de usuários Usuário 2... Usuário n Interações Usuários x recursos Recurso 1 Recurso 2 Recurso n Domínio de Recursos Prof. Rossoni, Farias 7 A fonte da autoridade: A fonte da autoridade sobre ativos emana de seus proprietários. rios. O conceito de proprietário, rio, para fins de controle de acesso, está diretamente relacionado com o conceito de necessidade de uso em decorrência da função exercida. Os proprietários rios dos ativos de uma organização são seus acionistas; entretanto, na maioria das grandes organizações a propriedade de ativos está separada de sua administração, de modo que os proprietários rios delegam a autoridade para administrar em seu nome. Em um ambiente de informações o proprietário rio de um recurso é quem exerce controle sobre ele. Prof. Rossoni, Farias 8 4
A fonte da autoridade (continuação) ão): No início da era da informática, em função da complexidade das tarefas envolvendo o desenvolvimento de aplicações, surgiu o conceito de que os ativos informatizados da empresa eram de propriedade da área de informática. Assim que determinada área contratava a execução de serviços seus em computadores, ela transferia os direitos de propriedade sobre os ativos envolvidos para a área de informática. Esse conceito, além m de não ser natural, implicava um poder muito grande nas mãos dos administradores da área de informática. Atualmente, com custos cada vez mais reduzidos e ferramentas mais poderosas, e em decorrência da devolução de muitas funções para suas áreas de origem, inclusive com o pessoal de desenvolvimento alocado nas áreas afins, o conceito de propriedade tem-se se firmado como sendo da pessoa responsável pelos ativos de informações processados pelos computadores e não mais dos responsáveis pela informática. Prof. Rossoni, Farias 9 A fonte da autoridade (continuação) ão): O direito de propriedade sobre os ativos deve ser separado da responsabilidade pela manutenção da integridade dos ativos, que nem sempre compete ao seu proprietário. rio. O direito de acesso deve ser definido formalmente. Podem ser delegadas egadas três classes de direitos: Propriedade permite o controle total de um recurso. Delegar direitos permite que o possuidor desse tipo de autoridade delegue a terceiros o direito de acesso. Direito de acesso permite que o receptor execute operações específicas com o recurso. Prof. Rossoni, Farias 10 5
O direito de acesso está ligado diretamente ao nível n do direito concedido, e deve obedecer à regra do menor privilégio possível vel. Geralmente, o direito de acesso em um nível n mais amplo inclui o direito de acesso em um nível n mais restrito. As principais ferramentas de controle de acesso a ambientes de informações baseiam-se na estrutura de delegação da autoridade, separando o papel do administrador de segurança a do acesso normal e da propriedade sobre os recursos que o administrador controla. Prof. Rossoni, Farias 11 Requisitos que regulam o direito de acesso em empresas: Nas empresas são três os principais requisitos que governam o direito de acesso: 1. Proteção de ativos 2. Práticas de auditoria 3. Legislação Prof. Rossoni, Farias 12 6
Requisitos que regulam o direito de acesso em empresas: Proteção de ativos Os ativos a serem protegidos caracterizam os domínios de recursos; esses domínios de recursos incluem o acervo de informações, as ferramentas de apoio e de acesso ao domínio e sua mídia de suporte. A proteção de ativos torna-se cada vez mais necessária em função da concentração de informações em computadores. As ameaças as mais freqüentes entes aos recursos de um domínio são: danos físicos f em equipamentos usados para suportar o acervo de informações; e revelação não-autorizada, acidental ou deliberada, de informações de natureza confidencial e fraudes. Fraudes é o tipo de ameaça a que mais tem atraído as atenções. E esse risco aumenta exponencialmente à medida que as organizações abrem seus sistemas informacionais para terceiros através s de redes públicas de acesso, como a Internet. Prof. Rossoni, Farias 13 Requisitos que regulam o direito de acesso em empresas: Práticas de auditoria Surgiram a partir do crescente distanciamento dos proprietários rios dos ativos em relação ao seu controle direto em cima dos mesmos; a auditoria visa proteger os proprietários rios quanto ao seu direito de propriedade sobre ativos em relação aos quais eles não têm mais controle direto. A função da auditoria em ambientes de informações é garantir que os sistemas de informações funcionem de forma adequada, permitindo que as funções necessárias sejam executadas ao mesmo tempo que a integridade dos ativos sejam garantida. Prof. Rossoni, Farias 14 7
Requisitos que regulam o direito de acesso em empresas: Legislação Em alguns países existem leis que regulamentam claramente as responsabilidades de usuários e administradores de recursos de informações em geral, em relação à proteção aos ativos e as penalidades previstas. Mesmo em países que ainda não tenham legislação acerca do assunto, os administradores de empresas multinacionais devem estar atentos para a legislação específica (onde for o caso) dos países ses-sede sede dessas empresas. Exemplo: a legislação americana responsabiliza os administradores de suas filiais no exterior em relação à segurança a de informações; ainda que essa lei não possa ser aplicada a cidadãos de outros países que trabalhem para empresas americanas fora dos Estados Unidos, elas os afeta na medida em que a empresa impõe uma política de segurança fundamentada nessa lei, obrigando seus funcionários a cumprirem-na de forma indireta, dentro das normas internas da empresa. Prof. Rossoni, Farias 15 Controles sobre o direito de acesso: São métodos m empregados para controlar o acesso que cada usuário de determinado domínio. Esses métodos m de controle devem ser de dois tipos: Controles organizacionais São regulamentos internos que contemplam as diversas atividades da organização; não são específicos para informações nem devem basear seus princípios pios exclusivamente em legislação que cuide do assunto. Os controles operacionais em informática também m devem basear-se neles. Controles operacionais Ainda que relacionados em um item separado em relação aos controles organizacionais, na prática não passam da aplicação dos controles organizacionais ao ambiente de informações. Usam- se cada vez mais métodos m todos associados com a identificação de usuários, listas de acesso e privilégio de uso, utilizando o mecanismo de senhas somente como método m de autenticação de identidade dos usuários. Prof. Rossoni, Farias 16 8
Quem controla o controlador? Essa pergunta não apareceu com os sistemas informatizados; ela remonta r à antiguidade. A questão real é saber exatamente como controlar alguém m que detém m o direito de conceder direito de acesso a outras pessoas sem que essa mesma pessoa p acesse os recursos que controla, uma vez que ela tem poder para obter esse acesso, ainda que ilegítimo. Em princípio pio a resposta é Nada pode impedir tal tipo de ato. Entretanto os riscos podem ser minimizados pelas seguintes medidas: 1. Limitar o tamanho do risco por meio de limites à autoridade do administrador. 2. Reduzir a probabilidade de ocorrência pela segregação de funções, definindo o domínio organizacional sobre o qual um administrador de segurança a exerce controle e dando controle sobre o administrador de segurança a para outra pessoa. 3. Tornar os riscos detectáveis pelo controle sobre as atividades dos administradores de segurança a exercido por pessoas de fora de estrutura de segurança, a, em princípio pio pela equipe de auditoria. Prof. Rossoni, Farias 17 Considerações gerais sobre direito de acesso: Uma política de controle de acesso a recursos deve considerar algumas regras básicas, b de modo que as decisões baseadas na política de controle de acesso sejam coerentes e consistentes com as diretrizes da política geral de segurança a da empresa. Essas regras de política devem incluir: Controle de acesso feito em função da posição ocupada por pessoas e não em função de pessoas que eventualmente as ocupem. Controle exercido por administrador de segurança a sobre pessoas, restrito somente ao seu domínio organizacional. Controle exercido por administrador de segurança a sobre recursos, restrito somente ao seu domínio de recursos. Prof. Rossoni, Farias 18 9
Domínios organizacionais definidos por administradores que exerçam controle sobre os mesmos, podendo a autoridade, para dar direitos de acesso a esses domínios, ser delegada a um administrador de segurança. a. Domínios de recursos definidos por administradores que exerçam controle sobre os mesmos, podendo a autoridade, para dar direitos de acesso a esses domínios, ser delegada a um administrador de segurança. a. Se uma pessoa que ocupa determinada posição dentro de um domínio organizacional tiver acesso a determinado domínio de recursos, ele deve ser capaz de acessar todos os subdomínios contidos dentro do mesmo, a menos que exista regra mais específica que controle o acesso a subdomínios desse domínio. Prof. Rossoni, Farias 19 O administrador de segurança a que concede o direito de acesso a um domínio de recursos deve aplicar os controles sobre os acessos feitos pelo receptador desse direito. O administrador de segurança a deve ter o efetivo controle sobre o direito de dar acesso sobre o domínio de recursos que administra. Em domínios organizacionais estruturados de forma hierárquica, rquica, os usuários devem ser colocados em estruturas organizacionais que reflitam a estrutura organizacional da empresa. A propriedade ou a custódia de recursos deve refletir a delegação de autoridade derivada da estrutura de autoridade. Prof. Rossoni, Farias 20 10
Onde for o caso, deve definir os critérios rios de consentir direitos de acesso de um usuário para os outros; por exemplo, um usuário pode conceder a outro o direito de acesso a informações que tenha criado, mas somente neste caso. Uma lista de diretrizes de direito de acesso poderia incluir centenas de itens; entretanto, isso poderia tornar-se ineficaz devido ao grau de complexidade envolvido. Da mesma forma que a política geral de segurança, a, a política de controle de acesso deve se restringir a linhas gerais que cubram a maior parte das situações, deixando as particularidades por conta das exigências dos domínios organizacionais e de recursos que as necessitarem, desde que sigam as diretrizes de grau mais elevado. Prof. Rossoni, Farias 21 Segurança a da Informação Termino da Prof. Rossoni, Farias 22 11