Controles Gerais De Segurança
Artigo: Controles Gerais De Segurança. Pesquise 862.000+ trabalhos acadêmicosPor: jaquewil • 20/9/2014 • Artigo • 1.503 Palavras (7 Páginas) • 332 Visualizações
2.2 Controles Gerais de Segurança:
Antes da utilização de computadores, dados eram protegidos em papel, mas com o surgimento dos sistemas de informação eles passaram a ser controlados por meio de arquivos, acessados por grande número de pessoas inclusive grupos externos a organização, por isso a probabilidade de destruição, fraude, erro uso indevido e acesso não autorizado é maior. Quando eles não funcionam conforme deveriam, empresas perdem a função empresarial, quanto mais tempo ficarem parados mais seriam serão as consequências, ainda mais se a aplicação for para comercio eletrônico, pois se o sistema for interno até pode ser apoiado por procedimentos manuais.
Para o comércio eletrônico é essencial proteger dados de compradores e vendedores , contra alteração proposital por um intruso. Usar VANs (redes de valor agregado) seria a solução pois são seguras e confiáveis, mas são muito caras pois são privadas necessitam de alta velocidade e possuem número limitado de sites e empresas conectados, por isso empresas estão optando pela criptografia: codificação e decodificação de mensagens para impedir acesso não autorizado. Uma mensagem é criptografada através de um código formado por números, letras e símbolos chamado chave criptográfica, para ser lida deve ser decodificada com uma chave equivalente. O tipo mais comum é a criptografia de chave pública: formada por uma chave privada mantida em um diretório e uma publica mantida em segredo, onde os dados codificados por uma só podem ser decodificados pela outra. O remetente criptografia com a pública do destinatário e este usa sua chave privada para decodificar. Tem alguns recursos: Autenticação é a capacidade de assegurar que os comunicantes são verdadeiros identificando os usuários, é apoiada por Assinatura digital: usada para verificar origem e conteúdo, é um código anexado à mensagem transmitida associando ela ao remetente. Certificado Digital: arquivos que identificam as pessoas e ativos eletrônicos para proteger transações, através de uma CA (autoridade certificadora) que valida a identidade do usuário mesmo off-line, podendo ser executada dentro da empresa ou por uma empresa terceirizada Ex: validar dados de cartão de credito entre cliente e vendedor. Integridade de mensagens: não permite alteração ou cópia da mensagem que está sendo enviada. Protocolos SSL e S-http usados para garantir segurança na transferência de informações pela internet, permitem que clientes e servidores realizem criptografia durante uma sessão, utilizados por empresas que usam cartão de credito para pagamento, bancos adotaram o protocolo SET (transação eletrônica segura) usam certificados e carteiras digitais que ajudam na segurança, mas junto são necessárias políticas e procedimentos corporativos, responsabilidade de usuário etc.
Controles de Software:
Limitam e supervisionam o acesso aos programas e arquivos críticos para o sistema, que controlam o hardware do sistema computacional e protegem as aplicações existentes:
Software de sistema é o conjunto de programas projetados para operar e controlar as atividades de processamento de um equipamento computacional.
Normalmente, um software de sistema é utilizado para dar suporte e controlar uma variedade de aplicações que possam ser executadas num mesmo hardware de computador.
São exemplos de softwares de sistema:
• Sistema operacional;
• Utilitários de sistema;
• Sistemas de bibliotecas de programas;
• Software de manutenção de arquivos;
• Software de segurança;
• Sistemas de gerencia de base de dados;
Softwares de sistemas com controles ineficazes podem ser utilizados, ainda, para neutralizar controles presentes em programas aplicativos, diminuindo significativamente a confiabilidade da informação produzida pelas aplicações existentes no sistema computacional , e aumentando o risco de fraude e sabotagem.
Os controles de software são avaliados através dos seguintes elementos críticos:
• Acesso limitado ao software de sistema;
• Acesso e uso supervisionado do software de sistema;
• Controle das alterações do software de sistema;
Sem um controle apropriado, existe o risco de que características de segurança possam ser omitidas ou contornadas, intencionalmente ou não, e que processamentos ou códigos sejam introduzidos.
Controles de Hardware:
O controle de hardware visa assegurar que o hardware seja fisicamente seguro e analisa possíveis defeitos nos equipamentos que possam comprometer a segurança e disponibilidade das informações armazenadas.
Os auditores utilizam-se de Log’s que possibilitam a identificação de alterações ou manutenções dos equipamentos, estes Log’s vão ser analisados pelos auditores para a detecção de falhas operacionais ou técnicas, é realizado um estudo de todos os indicadores de uso de hardware que permitem:
• Estabelecer critérios para treinamento de profissionais e usuários;
• Conduzir a inovação tecnológica do ambiente;
• Identificar a causa do mau uso do hardware;
Manutenção do Hardware:
A manutenção tem como objetivo manter os equipamentos em boas condições de funcionamento para garantir a segurança das operações. Pode ser realizada por agentes internos ou prestadores de serviço terceirizados. A boa conservação dos equipamentos também deve ser objeto de verificação pelo auditor responsável.
A manutenção é classificada em:
• Manutenção corretiva: corrige deficiências;
• Manutenção preventiva: previna falhas;
Inspeções Periódicas: A inspeção é o serviço de manutenção mais simples consiste em verificações visuais ou por outros meios imediatos, destinadas a detectar anormalidades.
O auditor responsável pela análise examina detalhadamente todos os controle sobre as conexões não autorizadas, alguns exemplos são:
• Cabeamento
...