Apresentação Power Point para demonstrar as melhores práticas e tecnicas para realizar a gestão dos acessos nos ambientes coorporativos.
Apresentao do PowerPoint
TCNICAS DE CONTROLE DE ACESSO A SISTEMAS DE INFORMAOFaculdade
Anhanguera de Jundia
Confiabilidade e Segurana de Sistemas
Professor Rogrio Moreira
IntroduoModelos de Controles de AcessoControle de Acesso
MandatrioControle de Acesso DiscricionrioControle de Acesso Baseado
em PapisAuditoriaControlesSoftwares para Controle de
AcessosReferncias Bibliogrficas
IntroduoModelos de Controles de AcessoControle de Acesso
MandatrioControle de Acesso DiscricionrioControle de Acesso Baseado
em PapisAuditoriaControlesSoftwares para Controle de
AcessosReferncias Bibliogrficas
Controles de acesso so fundamentais para garantir
confiabilidade, integridade e disponibilidade dos acessos aos
sistemas e redes de computadores.
Confiabilidade: Garantir que uma determinada informao no ser
acessada por pessoas ou processos que no possuam autorizao.
Integridade: Garantir que uma determinada informao no ir sofrer
modificaes de maneira errnea ou fraudulenta, sendo realizada por
pessoas autorizadas ou no. Garantir a preservao da consistncia da
informao em questo.
Disponibilidade: Garantir que o usurio autorizada tenha seus
acessos informao de maneira interrupta.INTRODUO
IntroduoModelos de Controles de AcessoControle de Acesso
MandatrioControle de Acesso DiscricionrioControle de Acesso Baseado
em PapisAuditoriaControlesSoftwares para Controle de
AcessosReferncias Bibliogrficas
CONTROLE DE ACESSOS MANDATRIOO controle de acesso mandatrio
(Mandatory Access Control MAC) normalmente utilizado em sistemas
onde os dados so altamente sensveis, como sistemas militares e
governamentais.
A definio de rtulos de sensibilidade a maneira com que se
realizam as classificaes dos objetos e das pessoas que acessam.
Os militares costumam utilizar a seguinte classificao:No
classificadoConfidencialSecretoUltra Secreto
CONTROLE DE ACESSOS MANDATRIO
Documento ConfidencialDocumento SecretoDocumento Ultra
SecretoNvel de Acesso: SecretoNvel de Acesso: Ultra Secreto
IntroduoModelos de Controles de AcessoControle de Acesso
MandatrioControle de Acesso DiscricionrioControle de Acesso Baseado
em PapisAuditoriaControlesSoftwares para Controle de
AcessosReferncias Bibliogrficas
CONTROLE DE ACESSOS DISCRICIONRIOO controle de acessos
discricionrio (Discretionary Access Control DAC) um modelo de
controle de acessos onde o acesso a um determinado recurso
determinado pelo proprietrio (owner) do mesmo, por exemplo em um
arquivo defindo as pessoa que podem ler aquele determinado
arquivo.
Atualmente modelo mais popular de controle de acesso por sua
grande utilizao em sistemas operacionais como as variaes de UNIX e
Windows.
O modelo DAC possui uma fraqueza que no se pode controlar
facilmente, o fato que a informao pode ser copiada por uma pessoa
que possui acesso e disponibilizada para terceiros.
IntroduoModelos de Controles de AcessoControle de Acesso
MandatrioControle de Acesso DiscricionrioControle de Acesso Baseado
em PapisAuditoriaControlesSoftwares para Controle de
AcessosReferncias Bibliogrficas
CONTROLE DE ACESSOS BASEADO EM PAPISO controle de acessos
baseado em papeis (Role-Based Access Control RBAC) define os
direitos de acesso dos usurios baseado no papel (role) que o usurio
desempenha na organizao. O papel do usurio pode ser definido pelo
cargo ou pelas atividades que ele realiza, por exemplo.
Em empresas que existem constantes mudanas de funcionrios o
modelo RBAC auxiliar no sentido que o modelo dos acessos do novo
funcionrio j est definido.
Um prtica comum no modelo RBAC a aplicao de regras de segregao
de papis (Segregation of Duties SOD), onde o principio bsico
impedir que um mesmo usurio possa realizar tarefas de potencial
risco como comprar e pagar, por exemplo.
CONTROLE DE ACESSOS BASEADO EM PAPISManuteno de RegistrosCriao
de pedidos de compra.CustdiaEfetuar pagamentopara um
fornecedor.AutorizaoAprovao de pedidos de
compra.ReconciliaoRealizar um reconciliaobancria.Usurio Posso
confiar no usurio?
IntroduoModelos de Controles de AcessoControle de Acesso
MandatrioControle de Acesso DiscricionrioControle de Acesso Baseado
em PapisAuditoriaControlesSoftwares para Controle de
AcessosReferncias Bibliogrficas
AUDITORIAA auditoria para segurana da informao tem como objetivo
assegurar a qualidade da informao e auxiliar para garantir quanto a
problemas relacionados falhas humanas.
A auditoria busca garantir que algumas variveis importantes para
a empresa sejam levados em considerao:Proteo contra desastres
naturais (enchentes, terremotos, incndios);Falhas estruturais
(interrupo de energia eltrica, sobrecargas eltricas;Acessos no
autorizados (hackers, espionagem);Fraudes internas (desvio de
recursos, equipamentos);Erros operacionais.
AUDITORIAAtualmente as empresas esto se preocupando muito em
garantir a integridade de seus dados. Aps episdios de espionagem de
informaes secretas por parte do governo americano, o assunto
segurana tem se tornando prioridade para muitas empresas.
Atualmente no mercado, existem grandes empresas com
especialidade em auditorias de sistemas de informao como Deloitte,
KPMG, Ernst & Young e Pricewaterhouse.
Alm do servio de auditoria externo, empresas de grande porte
esto buscando criar setores de auditoria interna focados na rea de
tecnologia da informao para garantir o monitoramento contnuo.
IntroduoModelos de Controles de AcessoControle de Acesso
MandatrioControle de Acesso DiscricionrioControle de Acesso Baseado
em PapisAuditoriaControlesSoftwares para Controle de
AcessosReferncias Bibliogrficas
CONTROLESOs controles so implantados com a finalidade de mitigar
riscos e reduzir o potencial de perda para a empresa. Os mecanismos
de controles podem ser classificados de trs formas:
Preventivos: A implantao do controle feita para evitar que
ocorra algum caso de dano ou perda para empresa.
Detectivos: A implementao do controle feita para identificar
alguma ocorrncia que causou danos ou perdas para a empresa.
Corretivos: A implementao do controle feita para restaurar o
sistema j foi vitima.
CONTROLESA implantao dos controles na empresa pode ocorrer de
trs maneiras:
Administrativa: Est relacionado poltica e procedimentos,
treinamentos de segurana e realizao de checagens (check list).
Lgica: Est relacionado restrio de acessos a determinados
sistemas. A utilizao de smart cards, tokens e protocolos de
segurana so comuns nessa maneira de implantao.
Fsica: Est relacionado a segurana de ambientes, com por exemplo
trancar portas, sala dos servidores e proteger o sistema de
cabeamento.
IntroduoModelos de Controles de AcessoControle de Acesso
MandatrioControle de Acesso DiscricionrioControle de Acesso Baseado
em PapisAuditoriaControlesSoftwares para Controle de
AcessosReferncias Bibliogrficas
SOFWARES PARA CONTROLE DE ACESSOS
As grandes empresas de solues de tecnologia oferecem solues para
auxiliar e muitas vezes automatizar processos relacionado a gesto
de acessos dentro das empresas.
Empresa de grande porte investem milhes de reais para implantar
sutes de controles de fabricantes como Oracle, IBM e SAP.
Existem solues para gesto de acessos, como a ferramenta SAP
Governance Risk and Complience Access Control e solues para gesto
de identidades como as ferramentas Oracle Identity Manager e SAP
Netweaver Identity Management.
SOFWARES PARA CONTROLE DE ACESSOS
Gesto de Acessos: As ferramentas de gesto de acessos esto
focadas principalmente no compliance do controle de acessos. As
ferramentas SAP, por exemplo, controlam quais acessos os usurio
possuem, atravs dela possvel solicitar novos acessos, criar
workflows de aprovao para concesso de acessos e realizar analises
de segregao de papis (SOD).
Gesto de Identidades: As ferramentas de gesto de identidades so
ferramentas que automatizam grande parte dos processos de admisso e
demisso de empregados. A ferramenta Oracle Identity Manager, por
exemplo , permite que se crie de forma automtica acessos de rede,
e-mail e sistemas ERP no momento da contratao de um novo
colaborador.
IntroduoModelos de Controles de AcessoControle de Acesso
MandatrioControle de Acesso DiscricionrioControle de Acesso Baseado
em PapisAuditoriaControlesSoftwares para Controle de
AcessosReferncias Bibliogrficas
REFERNCIAS BIBLIOGRFICASMtodos de Controle de Acesso Disponvel
em
http://www.madeira.eng.br/wiki/index.php?page=M%C3%A9todos+de+Controle+de+Acesso
Acesso dia 21 de Novembro de 2014.
Controle de acesso Disponvel em
http://pt.wikipedia.org/wiki/Controle_de_acesso#Na_seguran.C3.A7a_da_informa.C3.A7.C3.A3o
Acesso dia 21 de Novembro de 2014.
Auditoria em segurana da informao Disponvel em
http://pt.wikipedia.org/wiki/Auditoria_em_seguran%C3%A7a_da_informa%C3%A7%C3%A3o
Acesso dia 21 de Novembro de 2014.
REFERNCIAS BIBLIOGRFICASComo realizar a reviso de Acessos de
usurios atravs do SAP GRC Access Control Disponvel em
http://www.trustsis.com/exibir-artigo.php?id=30&idioma=pt
Acesso em 21 de Novembro de 2014.
COMPONENTES DO GRUPOS
Daniel Ferraz do PradoLuis Gustavo ThomazeLuis Henrique
SantosMichael Toledo SilvaGabriel Provenali Cortezia
