Manual sobre Segurança e Auditoria em Sistemas de Informação

Manual sobre Segurança e Auditoria em Sistemas de Informação

Capítulo 02: Controles e Política de Segurança

2.1 – Serviços de Segurança:

Cofidencialidade: Propriedade que limita o acesso a informação tão somente às entidades legítimas, ou seja, àquelas autorizadas pelo proprietário da informação.

Autenticação: A autenticação consiste em garantir a identidade de um utilizador. Um controle de acesso pode permitir (por exemplo, por meio de uma senha que deverá ser codificada) o acesso a recursos unicamente às pessoas autorizadas.

Integridade: Propriedade que garante que a informação manipulada mantenha todas as características originais estabelecidas pelo proprietário da informação, incluindo controle de mudanças e garantia do seu ciclo de vida (nascimento,manutenção e destruição).

Disponibilidade - O objetivo da disponibilidade é garantir o acesso a um serviço ou recursos, permitindo manter o bom funcionamento do sistema de informação;

2.2 - Controles Gerais de Segurança:

Controles de software: Os controles de software têm o objetivo de garantir que os dados corretos estão sendo processados. Para minimizar erros, desastres, interrupções de serviço, cibercrimes, violações de segurança, deve se incorporar no projeto um Controle, todos os procedimentos automatizados, manuais e organizacionais, todos os métodos e políticas que garantam a confiabilidade dos dados de acordo com o padrão administrativo. Antigamente eram feitos na fase de implementação, mas como as empresas estão cada vez mais dependentes dos SI, são feitos ainda no projeto. Podem ser: ambiente de controle completo, governa o projeto e toda a estrutura de TI, segurança de dados e arquivos , utilização de software, hardware e procedimentos manuais de um sistema computadorizado, projetados e mantidos pelos de desenvolvedores, devem ser supervisionados pelos usuários finais e gerentes para que aprovem se são seguros. Exemplo: controles de senha de acesso, hardware danificado. Aplicação: específicos para cada aplicação computadorizada, isto é para cada área funcional da empresa. Exemplo: folha de pagamento, processamento de pedidos. Incluem procedimentos manuais e automatizados para assegurar que somente dados autorizados podem ser processados. A forma de controle depende da natureza dos dados e da aplicação: Controles de Entrada: verifica a integridade quando entram no SI. Exemplo: tratamento de erro, permissão de entrada e conversão. Controles de Processamento: identifica se estão completos durante a atualização, ou seja, compatíveis com os existentes. Exemplo: cálculos, compatibilização e controles de Saída: garante que os dados do processamento sejam precisos, completos e corretamente distribuídos.

...