Auditoria e Anlise de Segurana da Informao Segurana Fsica e Lgica

Prof. Jos Maurcio S. Pinheiro - UGB - 2009

Segurana Fsica e Segurana Lgica da Informao

Segurana Fsica
A segurana fsica tem como objetivo proteger equipamentos e informaes contra usurios no autorizados, prevenindo o acesso a esses recursos. A segurana fsica deve se basear em permetros predefinidos nas imediaes dos recursos computacionais, podendo ser explcita como uma salacofre, ou implcita, como reas de acesso restrito.

Segurana Fsica
A segurana fsica pode ser abordada sob duas formas: Segurana de acesso - trata das medidas de proteo contra o acesso fsico no autorizado; Segurana ambiental trata da preveno de danos por causas naturais.

Recomendaes para o controle do acesso fsico

Deve-se instituir formas de identificao capazes de distinguir funcionrios de visitantes e categorias diferenciadas de funcionrios, se for o caso.

Solicitar a devoluo de bens de propriedade da empresa (crachs, chaves, etc), quando o visitante se retira ou quando o funcionrio retirado de suas funes.

Recomendaes para o controle do acesso fsico

Controle de entrada e sada de materiais, equipamentos, pessoal, etc, registrando a data, horrios e responsvel. No caso de visitantes, restringir a circulao destes nas dependncias da empresa e, se necessrio, acompanh-los at o local de destino. Instalar sistemas de proteo e vigilncia 24 x 7.

Recomendaes para o controle do acesso fsico

Supervisionar a atuao de equipes terceirizadas (limpeza, manuteno predial, vigilncia, etc). No instalar em reas de acesso pblico equipamentos que permitam o acesso rede interna da corporao. Orientar os funcionrios para que no deixem ligados computadores sem a devida superviso, principalmente no horrio das refeies ou quando se ausentarem por tempo prolongado.
7

Recomendaes para o controle do acesso fsico

Utilizar mecanismos de controle de acesso fsico em salas e reas de acesso restrito (fechaduras eletrnicas, cmeras de vdeo, alarmes, etc); Proteger as linhas telefnicas internas e externas com dispositivos contra grampos Proteger fisicamente as unidades de backup e restringir o acesso a computadores e impressoras que possam conter dados confidenciais.
8

Poltica de Segurana Fsica

A poltica e o investimento no controle de acesso fsico adotada pela empresa estar diretamente ligada importncia de seus ativos, observando sempre a relao dos modelos de segurana do que apenas o uso de tecnologia.

fundamental a anlise do perfil da empresa para definir a poltica de controle de acesso fsico que se encaixe nas necessidades dos usurios.

Poltica de Segurana Fsica

Quanto maior o investimento em preveno menor ser o prejuzo em caso de Sinistro.

O investimento no se refere apenas ao uso de tecnologia avanada, mas forma como a empresa lida com a conscientizao de seus funcionrios.

10

Poltica de Segurana Fsica

Itens de avaliao para riscos: Incndios; Treinamento de pessoal; Danos pela gua; Climatizao; Eletricidade; Controle de acesso.

11

Poltica de Segurana Fsica

Soluo em nveis ou Modelo da cebola.
Mundo Externo rea nocontrolada ao redor das instalaes; Visitantes rea de espera para entrada de visitantes; Funcionrios rea de funes comerciais normais; TI Materiais e equipamentos crticos atividade comercial.

12

Segurana Lgica
A segurana lgica um processo em que um sujeito ativo deseja acessar um objeto passivo.

O sujeito um usurio ou um processo da rede e o objeto pode ser um arquivo ou outro recurso de rede (estao de trabalho, impressora, etc).

13

Segurana Lgica
A segurana lgica compreende um conjunto de medida e procedimentos, adotados pela empresa ou intrnsecos aos sistemas utilizados.

O objetivo proteger os dados, programas e sistemas contra tentativas de acessos no autorizados, feitas por usurios ou outros programas.

14

Segurana Lgica
Recursos e informaes a serem protegidos:

Aplicativos (Programas fonte e objeto); Arquivos de dados; Utilitrios e Sistema Operacional; Arquivos de senha; Arquivos de log;

15

Segurana Lgica
O controle de acesso lgico pode ser visualizado de dois modos diferentes:

A partir do recurso computacional que se pretende proteger; A partir do usurio a quem se pretende dar privilgios e acesso aos recursos.

16

Segurana Lgica
A proteo dos recursos computacionais baseia-se na necessidade de acesso de cada usurio. A identificao e autenticao do usurio feita normalmente por uma identificao (userID) e uma senha durante o processo de logon.
17

Segurana Lgica
Elementos bsicos de controle do acesso lgico: Apenas usurios autorizados devem ter acesso aos recursos computacionais; Os usurios devem ter acesso apenas aos recursos realmente necessrios para a execuo de suas tarefas; O acesso aos recursos crticos do sistema deve ser monitorado e restrito; Os usurios no podem executar transaes incompatveis com sua funo.
18