Serviços de segurança

Capitulo 2

Serviços de Segurança

Confiabilidade - Confidencialidade é garantir que as informações sejam acessíveis apenas para aqueles autorizados a ter acesso, independente de onde a informação é armazenada ou como ele é acessado. Cada funcionário dentro de uma organização tem a responsabilidade de manter a confidencialidade das informações a eles confiadas para o desempenho no trabalho e essa responsabilidade deve ser reforçada através da conscientização. Um programa de treinamento de conscientização deve abordar, no mínimo, os tópicos seguintes confidencialidade para garantir um nível aceitável de conhecimento é transmitido sobre os empregados da organização.

Autenticidade - Autenticidade reflete à certeza que se pode ter de que uma ação refletida sobre alguma informação foi antes exposta à conhecimento e de que há registros do fato. Ou seja, autenticidade é quando um usuário, que por sua vez deseja manipular (à essa altura entende-se manipular por visualizar, alterar ou excluir) uma informação, antes de realizá-la, é anunciado e sobre o anúncio há uma documentação.

Integridade

Integridade diz respeito à garantia que se pode depositar na informação de que ela realmente é o que ela deveria ser. Podemos até mesmo comparar o seu conceito com a aplicação do termo às pessoas. Uma pessoa íntegra é uma pessoa de conduta, é a pessoa que realmente “é o que é destinada a ser” e que realmente “faz o que é destinada a fazer”. Assim também uma informação íntegra é aquela em que se pode confiar no que diz respeito à sua origem e a garantia de não alteração no meio por onde a mesma “transitou” quando ainda era um dado.

Disponibilidade

Uma informação confidencial e íntegra mas que não está disponível quando se vê necessário seu uso não é uma informação segura. Então o ideia de dispoibilidade diz respeito à exposição segura da informação, esteja ela íntegra ou não.

Uma informação disponível é aquela que se hospeda em um sistema à prova de falhas lógicas e físicas e sobretudo redundante. Conseguimos aplicar disponibilidade usando de “gerência de riscos” e de “planos de continuidade”, outras duas importantíssimas áreas da segurança da informação.

Controles Gerais de Segurança:

Controles de Software:

limitam e supervisionam o acesso aos programas e arquivos críticos para o sistema, que controlam o hardware do sistema computacional e protegem as aplicações existentes;

Controles de Hardware:

o hardware deve ser fisicamente seguro e que não tenha defeitos nos equipamentos que possa comprometer a segurança e disponibilidade das informações armazenadas

Controle de Operações do Computador

Os controles de operações de computador se aplicam ao trabalho do departamento de computadores e ajudam a assegurar que o procedimento programado seja consistente e corretamente aplicado ao armazenamento e ao processamento de dados.As instruções para executar os trabalhos de computador devem ser documentadas, revistas e aprovadas por um superior responsável. Controles sobre software de operações incluem operações manuais projetadas tanto para prevenir quanto para detectar erros.

Controle de Seguranças de Dados

Os controles de segurança de dados asseguram que valiosos arquivos de dados empresariais tanto em disco quanto em fita não estejam sujeitos a acessos não autorizados, mudanças ou destruição.

Quando os dados puderem ser produzidos on-line através de um terminal, a entrada não-autorizada pode ser evitada. Exemplo, uma nota de credito poderia ser alterada para se adequar a uma fatura em arquivo. Em tais situações, asegurança pode ser desenvolvida sobre vários níveis:Os terminais podem ser fisicamente restritos, de forma que estejam disponíveis somente para indivíduos autorizados.

Controles Administrativos

Os controles administrativos são padrões, regras, procedimentos e disciplinas de controle formalizado para assegurar que as aplicações de controles gerais da organização sejam executadas e impostas apropriadamente. Os controles administrativos mais importantes são

•A segregação de funções significa que as funções de trabalho devem ser projetadas para minimizar o risco de erros ou de manipulação fraudulentas dos bens da organização.

•Políticas e procedimentos escritos estabelecem padrões formais para o controle das operações dos sistemas de operação.

•A supervisão do pessoal envolvido nos procedimentos de controle assegura que os controles para um sistema de informação estejam sendo executados.

•Os usuários estão acessando sistemas aos quais não tem necessidade? Isto pode ser uma indicação de uma implementação de controle de acesso mau feita.

•Poucas pessoas têm muitos direitos de atualizações? Isto pode ser um resultado de desenvolvimento inadequado de sistemas ou atribuição de privilégios.

Diante das trilhas de auditoria de um hardware, é possível a detecção de possíveis ameaças, o auditor realiza uma análise profunda das informações obtidas, e com isso cria um possível cenário de vulnerabilidade do hardware. Neste ponto serão documentados todas os incidentes durante os testes, esta documentação será apresentada

...