Controle de Acesso na Segurança da Informação

Controle de Acesso na Segurança da Informação  Abstract.

This article aims to provide a first insight into information security and its basic principles. In order to achieve this goal, discusses information security policy with emphasis on logical access controls and physical. Covers the logical access control methods focusing on making it up, and the physical access control, presents concepts and examples, and recommendations for  their deployment.

 Resumo.  Este

artigo pretende oferecer uma primeira visão sobre segurança da informação e seus princípios básicos. Visando atingir este objetivo, discorre sobre política de segurança da informação dando destaque nos controles de acesso lógico e físico. Aborda o controle de acesso lógico  focando os métodos que o compõem, e sobre o controle de acesso físico, apresenta conceitos e exemplos, além de recomendações para a sua implantação.

1. Introdução

Na sociedade da informação, o ativo mais valioso é a informação. A informação é todo e qualquer conteúdo ou dado que tenha valor para uma organização ou pessoa. Assim, a informação é um ativo que, como qualquer outro ativo importante (documentos em papel, software , pessoas, imagem, marca, reputação da empresa, dentre outros), é essencial para os negócios de uma organização. Por serem o principal patrimônio de uma organização, as informações estão sob constante risco, e consequentemente necessitam ser adequadamente protegidas contra usos indevidos de qualquer tipo. Diante dessa realidade, a segurança da informação tornou-se uma das prioridades mais relevantes para as organizações e um ponto crucial para sua sobrevivência. 2. Segurança da informação

Segurança da informação significa proteger informações, sistemas de informação, recursos e serviços contra desastre, erro, erro , acesso não autorizado, uso, divulgação, interrupção, modificação, leitura, gravação ou destruição. Aplicada tanto para as informações corporativas quanto para as pessoais, no sentido de preservar o valor que possuem e de reduzir o impacto de incidentes de segurança. A série de normas ISO/IEC 27000 foram reservadas para tratar de padrões de Segurança da Informação. Atualmente o conceito de Segurança da Informação está padronizado pela norma NBR ISO/IEC 27002 (antiga NBR ISO/IEC 17799). “Segurança da informação é a proteção da informação de vários tipos de ameaças para garantir a continuidade do negócio, minimizar o risco ao negócio, maximizar o retorno sobre os investimentos e as oportunidades do negócio .” [ABNT NBR ISO/IEC 17799, 2005, p. ix].

“A

segurança de uma determinada informação pode ser afetada por fatores comportamentais e de uso de quem se utiliza dela, pelo ambiente ou infraestrutura que a cerca ou por pessoas mal intencionadas que têm o objetivo de furtar, destruir ou modificar tal informação.” [SEGURANÇA..., 2011]. 2.1. Princípios de segurança

Os princípios básicos para garantir a segurança da informação são a Confidencialidade, Integridade, Disponibilidade e Autenticidade das informações. Pela norma ABNT NBR ISO/IEC 17799:2005, segurança da Informação é a preservação da confidencialidade, integridade e disponibilidade da informação, adicionalmente, outras propriedades, tais como autenticidade, responsabilidade, não repúdio e confiabilidade, podem também estar envolvidas. 2.1.1. Confidencialidade

Confidencialidade é a propriedade que limita o acesso à informação tão somente às entidades legítimas, ou seja, consiste em proteger as informações contra acesso (leitura e/ou cópia) de qualquer pessoa não explicitamente autorizada pelo proprietário daquela informação. A Organização Internacional de Normalização (ISO) na norma ISO/IEC 27002 define a confidencialidade como a propriedade de que a informação não esteja disponível ou revelada a indivíduos, entidades ou processos não autorizados. É necessário, também, proteger partes da informação, não apenas a informação total, pois podem ser utilizadas para interferir sobre o todo. “A confidencialidade, na maioria das vezes, é apresentada sob enfoque de sigilo, o que não deixa de estar correto, porém existe outro aspecto a considerar que é a ética de preservar ou guardar uma informação nem sempre classificada como sigilosa. Isto significa que nem sempre a informação tenha de receber um grau de sigilo para  justificar a necessidade de medidas de proteção.” [SEGURANÇA..., 2011]. A criptográfica é uma das medidas usadas para garantir a confidencialidade. 2.1.2. Integridade “Integridade é

a propriedade que garante que a informação manipulada mantenha todas as características originais estabelecidas pelo proprietário da informação, incluindo controle de mudanças e garantia do seu ciclo de vida (nascimento, manutenção e destruição).” [SEGURANÇA..., 2011]. Manter a integridade dos dados (informação, programas, documentação, registros, fitas magnéticas, etc.) é assegurar que eles não sejam alterados ou apagados de maneira não autorizada ou acidental, sem a permissão do proprietário da informação. A integridade de dados também é um pré-requisito para outros aspectos de segurança, como a confidencialidade. “Se a integridade de um sistema de controle de acesso a um determinado sistema operacional é violada, então a confidencialidade de seus arquivos pode ser igualmente violada. Enquanto o objetivo da confidencialidade está mais voltado à leitura de dados,

a integridade preocupa-se mais com a gravação ou alteração de dados.” [Dias, 2000, p. 43]. O uso de Certificado Digital é uma das medidas tomadas para assegurar a integridade das informações. 2.1.3. Disponibilidade

Disponibilidade é a propriedade que garante que a informação esteja sempre acessível e utilizável, sob demanda, por usuários ou processos autorizados pelo proprietário da informação, sejam eles pessoa física, órgão ou sistema. O fundamento da Disponibilidade é prover acesso confiável a qualquer momento à informação, protegendo os serviços contra indisponibilidade ou degradação. Um sistema indisponível, quando um usuário autorizado necessita dele, pode ser tão ruim quanto um sistema inexistente ou destruído. “Em termos gerais, a disponibilidade pode ir além do escopo normal de segurança, incluindo até equipamentos tolerantes a falhas. ” [Dias, 2000, p. 43]. O uso de “backups”, cópias de segurança e redundância de sistemas são uma das

ações ou de boas práticas necessárias para manter a disponibilidade. “Um exemplo de ataque contra a disponibilidade é a sobrecarga provocada por 

alguns internautas ao enviar enormes quantidades de solicitação de conexão com intuito de provocar pane nos sistemas .” [Dias, 2000, p. 43]. 2.1.4. Autenticidade “Autenticidade

está dentro da Integridade. É a propriedade de que a informação foi produzida, modificada ou descartada por uma determinada pessoa física, órgão, entidade ou sistema.” [SEGURANÇA..., 2011]. A autenticação consiste em garantir a identidade de um utilizador, ou seja, garantir ao receptor que a mensagem é realmente procedente da origem informada em seu conteúdo. A verificação de autenticidade é necessária após todo processo de identificação e assegura de que você é quem diz ser, normalmente, implementado por mecanismos de senhas ou através da biometria. 2.1.5. Responsabilidade “Responsabilidade  –  Conhecer e gerenciar as pessoas que têm recursos.” [Filho, Revista Espaço Acadêmico – Nº 44, 2005].

acesso a informações e

2.1.6. Não repúdio

Não repúdio ou irretratabilidade visa garantir que o autor não negue a autenticidade da mensagem, ou seja, o usuário não pode negar uma operação ou serviço que modificou, a criação ou alteração de uma informação, ou até mesmo, o envio ou recepção de uma informação ou dado. 2.1.7. Confiabilidade

- garantir que, mesmo em condições adversas, o sistema atuará conforme o esperado. Exemplos de sistemas em que a confiabilidade é o objetivo de segurança mais importante são os sistemas de energia nuclear, de controle de tráfego aéreo e de controle de voo. Uma falha em um sistema desse tipo pode comprometer a vida de centenas de pessoas .” [Dias, 2000, p. 44]. “Confiabilidade

2.2. Implementando controles

de um conjunto de controles adequados, incluindo políticas, processos, procedimentos, estruturas organizacionais e funções de software e hardware. Estes controles precisam ser estabelecidos, implementados, monitorados, analisados criticamente e melhorados, onde necessário, para garantir que os objetivos do negócio e de segurança da organização sejam atendidos. Convém que isto seja feito em conjunto com outros processos de gestão do negócio.” [ABNT NBR ISO/IEC 17799, 2005, p. ix]. Para a montagem desta política, deve-se levar em conta os riscos associados à falta de segurança, benefícios e o custo de implementação dos mecanismos. “A segurança da informação é obtida a partir da implementação

3. Política de Segurança da Informação

A política de segurança da informação formaliza as aspirações de uma empresa quanto à proteção das informações. Deve estar integrada com as políticas institucionais, metas de negócio e ao planejamento estratégico da empresa. “A política de segurança da informação define o conjunto de normas, métodos e procedimentos utilizados para a manutenção da segurança da informação, devendo ser formalizada e divulgada a todos os usuários que fazem uso dos ativos de informação .” [Ferreira, 2008, p. 36]. Segundo Dias [2000, p. 44], antes de implementar um programa de segurança de informação, as seguintes questões devem ser respondidas: 1. O que se quer proteger? 2. Proteção contra o quê ou quem? 3. Quais são as ameaças mais prováveis? 4. Qual a importância de cada recurso? 5. Qual o grau de proteção desejado? 6. Quanto tempo, recursos financeiros e humanos se pretende gastar para atingir os objetivos de segurança desejados? 7. Quais as expectativas dos usuários e clientes em relação à segurança de informações? 8. Quais as consequências para a instituição se seus sistemas e informações forem corrompidos ou roubados? A política de segurança pode ser composta por várias políticas, e deve focar-se nos controles de acesso lógico e físico. 4. Controle de acesso

“O controle

de acesso pode ser entendido como a habilidade de permitir ou negar a utilização de um objeto (uma entidade passiva, como um sistema ou arquivo) por um sujeito (uma entidade ativa, como um indivíduo ou um processo) ” [CONTROLE..., 2011], ou seja, fornece proteção contra uso não autorizado de recursos, sistemas, equipamentos, rede, execução de programas, uso de meios de comunicação, leitura, alteração ou destruição de dados, etc. A secção 11 da norma ISO/IEC 27002 (antiga ISO/IEC 17799) é toda dedicada a esse assunto. O controle de acessos pode ser dividido em controle lógico e físico. 4.1. Controle de Acesso Lógico

O controle de acesso lógico compreende um conjunto de medidas e procedimentos que visam proteger os dados, programas e sistemas contra perda, dano, modificação, divulgação ou qualquer outra tentativa de acesso não autorizado. “Para cumprir esse objetivo, os controles de acesso lógico devem atender a procedimentos formais que contemplem todo o ciclo de vida do acesso do usuário, desde seu registro inicial, o gerenciamento dos privilégios e senhas, até sua exclusão. Estes procedimentos devem estar em conformidade com a política de disseminação da informação.” [Pinheiro, 2011]. Entre os recursos e informações a serem protegidos na modalidade de acesso lógico, temos sistemas, aplicativos (programas fonte e objeto), banco de dados, software, arquivo-fonte, utilitários, sistema operacional, arquivos de dados, senha, log, e outros. Um ponto fundamental para a eficácia da estratégia de acesso é a conscientização e educação dos usuários. O controle de acesso lógico é composto por métodos de autenticação, autorização, auditoria e monitoração. Esses métodos têm complexidades, custos e são usados de acordo com a necessidade de segurança, podendo ser usado mais de um método. 4.1.1. Identificação e autenticação

A Identificação é a função em que o usuário declara uma determinada identidade para um sistema e a Autenticação é a função responsável pela validação da declaração de identificação do usuário. Durante a identificação o usuário diz ao sistema quem ele é, em geral, são criadas “contas de usuários” com uma identificação única.

Durante a autenticação a identidade é verificada através de um ou mais métodos de autenticação (ou validação).

4.1.1.1.

Autenticação baseada no que o usuário sabe

Autenticação baseada em algum conhecimento do usuário, como, por exemplo, senha, chave criptográfica e número de identificação pessoal.

A senha é o método de autenticação mais utilizada, pois é simples de implementar, já está consolidado e os usuários familiarizados. Porém é considerado o segundo elo mais fraco da cadeia de segurança, perdendo apenas para os usuários. Logo, vem sendo substituída por métodos mais eficientes, como a biometria ou certificados digitais. As senhas podem ser quebradas de diversas maneiras: Adivinhação de senhas: descoberta da senha por tentativa de palavras ligadas ao usuário; Pesca de senhas: observar o que o usuário está digitando ou procurando papéis que possam conter senhas; Quebra do sigilo: quando o usuário compartilha sua senha ou obtidas por meio de engenharia social; Monitoramento e captura de senhas: uso de sniffers e cracker  de senhas; Acesso ao arquivo de senhas do usuário; Ataques do tipo replay : utilizado quando senhas, mesmo criptografadas, podem ser reutilizadas apenas pelo envio da senha capturada para nova autenticação; Ataques de força bruta ou ataques do dicionário; Uso de key logger : trojans que capturam o que o usuário digita e envia para o hacker o resultado. É necessário ter uma política de senhas bem definida e eficiente para minimizar os problemas de segurança e reduzir as solicitações ao suporte técnico. As melhores práticas relacionadas a este método recomendam troca periódica das senhas, identificação de senha de fácil dedução, bloqueio de acesso após certo número de tentativas sem sucesso, etc. 















4.1.1.2.

Autenticação baseada no que o usuário tem

Autenticação baseada em algum dispositivo que pertence ao usuário. É comum a associação deste método ao método do que o usuário sabe. Ele minimiza diversos problemas relacionados com senhas, mas reúne outros tipos de desvantagens. Exemplos de dispositivos que pertencem aos usuários: Dispositivos de memória (memory tokens): Apenas armazenam informações, não as processam, e são normalmente utilizados em conjunto com senhas (cartões bancários). Possuem várias desvantagens, como o custo relativamente alto, devido à necessidade de um hardware específico para leitura, dificuldade de administração, possibilidade de perda, roubo ou decodificação (clonagem) e insatisfação de alguns usuários com sua utilização. Dispositivos inteligentes (smart tokens): Armazenam informações, mas também possuem um hardware que processa algumas informações (smart cards). A vantagem é que eles resolvem os problemas presentes nas senhas comuns, seja pelo uso de criptografia ou por geração dinâmica de senhas. As desvantagens são as mesmas dos dispositivos de memória, além do custo ser mais alto. 



4.1.1.3.

Autenticação baseada no que o usuário é

Autenticação baseada nas características físicas ou comportamentais do usuário. É o método mais confiável, pois faz uso de biometria. Algumas características utilizadas na biometria: Impressão digital, características faciais, reconhecimento de voz, retina, íris dos olhos, geometria das mãos e dos dedos, padrão de escrita, padrão de digitação, poros da pele, DNA, formato da orelha, composição química do odor corporal, emissões térmicas, identificação de unha, e maneira de andar. Em geral, os sistemas que utilizam este método armazenam os dados biométricos dos usuários em base de dados criptografada e faz uso de protocolos de segurança, pois apesar de se garantir a autenticação, não há garantia durante a transmissão dos dados biométricos na rede. Após a autenticação o sistema pode (ou não) liberar acesso aos recursos do sistema ou rede. 4.1.2. Autorização

A autorização define quais direitos e permissões (modos de acesso) tem o usuário sobre certos objetos do sistema. Uma vez autenticado, o processo de autorização determina o que o usuário pode fazer no sistema. “Realizar uma administração adequada dos privilégios concedidos aos usuários dos sistemas de informação, baseada no uso de procedimentos rotineiros e formais, ajuda na implementação da segregação de funções e protege os ativos da informação contra acesso não autorizado”. [Lyra, 2008, p. 45]. 4.1.3. Auditoria

A auditoria é uma referência à coleta da informação relacionada à utilização, pelos usuários, dos recursos de um sistema, ou seja, ela provê mecanismos para acompanhar os eventos do sistema. As informações coletadas são analisadas e podem ser utilizadas para descobrir violações de segurança ou diagnosticar sua causa, para planejamento, gerenciamento, cobrança, e outros. No processo de auditoria as informações características são a identidade do usuário, a propriedade do serviço entregue, o instante em que o serviço se inicia e termina. 4.1.4. Monitoramento “É

importante que todos os sistemas possuam registro das atividades realizadas pelos seus usuários. Esses mecanismos, ou log’s, como são conhecidos, devem registrar data e hora, tipo de atividade e, preferencialmente, registro de eventuais alterações (valor antigo e valor novo) para que seja possível auditoria em caso de violação da integridade da informação”. [Lyra, 2008, p. 46]. Os dados dos logs contem informações essenciais à detecção de acesso não autorizado e com eles pode-se identificar e corrigir falhas da estratégia de segurança,

por isso, devem ser protegidos contra destruição ou alteração por usuário não autorizado. 4.2. Controle de Acesso Físico

O controle de acesso físico é um conjunto de medidas de segurança que controla o acesso das pessoas nos ambientes com o objetivo de proteger equipamentos e informações contra usuários não autorizados, prevenindo o acesso a esses recursos. Esse controle serve como barreira adicional ao acesso lógico e é realizado por restrições de acesso e registros. O controle de acesso físico pode ser assegurado por vários dispositivos ou sistemas, como chaves, crachá de identificação, alarmes, cartão com PIN ou dispositivo de senha nas portas de acesso, smartcard , monitoração por circuitos fechados de TV, biometria, etc. A biometria pode complementar ou substitui chaves, senhas, cartões ou outros tipos de tokens, pois estes estão muito aquém da necessidade de pessoas e empresas, visto que não fornecem atributos básicos como segurança, conveniência e não repúdio. A biometria oferece segurança, pois não pode ser roubada, oferece conveniência, pois não pode ser perdida e oferece não repúdio, pois a pessoa não pode negar onde sua biometria foi utilizada. O controle de acesso físico desempenha um papel tão importante quanto o controle de acesso lógico, porque é a base para a proteção de qualquer investimento feito por uma organização, ademais deve ser proporcional à importância ou criticidade do ativo a ser protegido. Quanto maior for a criticidade e confidencialidade do local, maiores serão os investimentos em recursos de segurança para serem capazes de impedir o acesso não autorizado. De acordo com Pinheiro [2011a], podemos definir três ambientes no que se refere à segurança: Ambiente Global de Segurança: área sobre a qual a organização mantém alguma forma de controle ou influência, tal como estacionamentos ou áreas vizinhas ao local da rede de computadores; Ambiente Local de Segurança: salas adjacentes ao local da rede de computadores. O controle de entrada e saída deste ambiente deve ser feito de acordo com as medidas necessárias previamente estabelecidas na política de segurança da organização. Dentro deste ambiente podem existir diferentes regiões com controles de acesso distintos; Ambiente Eletrônico de Segurança: sala onde se localiza efetivamente a instalação computacional e seus equipamentos periféricos. Os recursos a serem protegidos e que se encontram no ambiente eletrônico de segurança são servidores, impressoras, terminais, roteadores, scanners, etc. O acesso aos ambientes pode ser feito por intermédio de controles explícitos e de controles de regulamentação de acesso. Os controles explícitos são representados por fechaduras mecânicas e eletrônicas, câmeras de vídeo, alarmes e guardas de segurança. Os controles de regulamentação ao acesso são constituídos por senhas, cartões magnéticos ou sistemas biométricos. 





Pinheiro [2011b] também faz recomendações para o controle do acesso físico: Deve-se instituir formas de identificação capazes de distinguir funcionários de visitantes e categorias diferenciadas de funcionários, se for o caso. Solicitar a devolução de bens de propriedade da empresa (crachás, chaves, etc), quando o visitante se retira ou quando o funcionário é retirado de suas funções. Controle de entrada e saída de materiais, equipamentos, pessoal, etc, registrando a data, horários e responsável. No caso de visitantes, restringir a circulação destes nas dependências da empresa e, se necessário, acompanhá-los até o local de destino. Instalar sistemas de proteção e vigilância 24 x 7. Supervisionar a atuação de equipes terceirizadas (limpeza, manutenção predial, vigilância, etc.). Não instalar em áreas de acesso público equipamentos que permitam o acesso à rede interna da corporação. Orientar os funcionários para que não deixem ligados computadores sem a devida supervisão, principalmente no horário das refeições ou quando se ausentarem por tempo prolongado. Utilizar mecanismos de controle de acesso físico em salas e áreas de acesso restrito (fechaduras eletrônicas, câmeras de vídeo, alarmes, tec.). Proteger as linhas telefônicas internas e externas com dispositivos contra “grampos”. Proteger fisicamente as unidades de backup e restringir o acesso a computadores e impressoras que possam conter dados confidenciais. 





















5. Considerações finais

Levando em consideração que, atualmente, a informação é um ativo precioso para as organizações, pudemos observar como as políticas de segurança são fundamentais para garantir a segurança nos sistemas de informação, redes de computadores, e consequentemente, a continuidade do negócio. Através da aplicação das diretrizes da NBR ISO/IEC 17799:2001, garantidos os princípios da confiabilidade, integridade e disponibilidade, é possível estabelecer um ambiente seguro para as organizações, atingindo um alto nível de proteção em todo ambiente corporativo. 6. Referências

ABNT NBR ISO/IEC 17799. Tecnologia da informação  –  Técnicas de segurança  –  Código de prática para gestão da segurança da informação. Disponível em: . Acesso em: 24 de setembro 2011 CACIATO, Luciano Eduardo. Gerenciamento da Segurança de Informação em Redes de Computadores e a Aplicação da Norma ISO/IEC 17799:2001. Disponível em:

. Acesso em: 23 de setembro 2011 CHAMOVITZ , Ilan. Segurança da Informação - Conceitos Básicos: Controle de Acesso Lógico, Política de Segurança da Informação e Contingências. Disponível em: . Acesso em: 24 de setembro 2011 CONTROLE DE ACESSO. In: WIKIPÉDIA, a enciclopédia livre. Flórida: Wikimedia Foundation, 2011. Disponível em: . Acesso em: 24 de setembro 2011. DIAS, Cláudia. Segurança e Auditoria da Tecnologia da Informação. Rio de Janeiro: Axcel Books do Brasil Editora, 2000. 218 p. FERREIRA, Fernando Nocolau Freitas; ARAÚJO, Márcio Tadeu de. Política de Segurança da Informação: Guia Prático para Elaboração e Implementação. Rio de Janeiro: Editora Ciência Moderna Ltda., 2008. 259 p. FILHO, Antônio Mendes da Silva. Segurança da Informação e Disponibilidade de Serviços na Era da Internet. Revista Espaço Acadêmico, nº 44, jan., 2005. Disponível em: . Acesso em: 24 de setembro 2011 FURTADO, Vasco. Tecnologia e Gestão da Informação na Segurança Pública. Rio de Janeiro: Editora Garamond Ltda., 2002. 260 p. LAUREANO, Marcos Aurelio Pchek. Gestão de Segurança da Informação. Disponível em: . Acesso em: 23 de setembro 2011 LYRA, Maurício Rocha. Segurança e Auditoria em Sistemas de Informação. Rio de Janeiro: Editora Ciência Moderna Ltda., 2008. 253 p. NASCIMENTO, Ricardo Brito do. Segurança da Informação na Rede Interna com Certificados Digitais e seus Aspectos Legais. Disponível em: . Acesso em: 24 de setembro 2011 OLIVEIRA, Wilson José. Segurança da Informação: Técnicas e Soluções. Florianópolis: Visual Books Ltda, 2001. 181 p. PINHEIRO, José Maurício S. Aula 4  –  Introdução aos Sistemas Biométricos. Disponível em: . Acesso em: 25 de setembro 2011a

PINHEIRO, José Maurício S. Auditoria e Análise de Segurança da Informação: Segurança Física e Lógica. Disponível em: . Acesso em: 25 de setembro 2011b REZENDE, Denis Alcides e ABREU, Aline França. Tecnologia da Informação Aplicada a Sistemas de Informação Empresariais. São Paulo: Editora Atlas, 2009. 320 p. SCAICO, Alexandre. Autenticação. Disponível em: . Acesso em: 24 de setembro 2011 SEGURANÇA DA INFORMAÇÃO. In: WIKIPÉDIA, a enciclopédia livre. Flórida: Wikimedia Foundation, 2011. Disponível em: . Acesso em: 24 set. 2011. SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES. In: WIKIPÉDIA, a enciclopédia livre. Flórida: Wikimedia Foundation, 2011. Disponível em: . Acesso em: 24 set. 2011. Sistemas de Informação: Segurança e Auditoria de Sistemas. Disponível em: . Acesso em: 24 de setembro 2011