Controles Gerais De Segurança

2.2 Controles Gerais de Segurança:

Antes da utilização de computadores, dados eram protegidos em papel, mas com o surgimento dos sistemas de informação eles passaram a ser controlados por meio de arquivos, acessados por grande número de pessoas inclusive grupos externos a organização, por isso a probabilidade de destruição, fraude, erro uso indevido e acesso não autorizado é maior. Quando eles não funcionam conforme deveriam, empresas perdem a função empresarial, quanto mais tempo ficarem parados mais seriam serão as consequências, ainda mais se a aplicação for para comercio eletrônico, pois se o sistema for interno até pode ser apoiado por procedimentos manuais.

Para o comércio eletrônico é essencial proteger dados de compradores e vendedores , contra alteração proposital por um intruso. Usar VANs (redes de valor agregado) seria a solução pois são seguras e confiáveis, mas são muito caras pois são privadas necessitam de alta velocidade e possuem número limitado de sites e empresas conectados, por isso empresas estão optando pela criptografia: codificação e decodificação de mensagens para impedir acesso não autorizado. Uma mensagem é criptografada através de um código formado por números, letras e símbolos chamado chave criptográfica, para ser lida deve ser decodificada com uma chave equivalente. O tipo mais comum é a criptografia de chave pública: formada por uma chave privada mantida em um diretório e uma publica mantida em segredo, onde os dados codificados por uma só podem ser decodificados pela outra. O remetente criptografia com a pública do destinatário e este usa sua chave privada para decodificar. Tem alguns recursos: Autenticação é a capacidade de assegurar que os comunicantes são verdadeiros identificando os usuários, é apoiada por Assinatura digital: usada para verificar origem e conteúdo, é um código anexado à mensagem transmitida associando ela ao remetente. Certificado Digital: arquivos que identificam as pessoas e ativos eletrônicos para proteger transações, através de uma CA (autoridade certificadora) que valida a identidade do usuário mesmo off-line, podendo ser executada dentro da empresa ou por uma empresa terceirizada Ex: validar dados de cartão de credito entre cliente e vendedor. Integridade de mensagens: não permite alteração ou cópia da mensagem que está sendo enviada. Protocolos SSL e S-http usados para garantir segurança na transferência de informações pela internet, permitem que clientes e servidores realizem criptografia durante uma sessão, utilizados por empresas que usam cartão de credito para pagamento, bancos adotaram o protocolo SET (transação eletrônica segura) usam certificados e carteiras digitais que ajudam na segurança, mas junto são necessárias políticas e procedimentos corporativos, responsabilidade de usuário etc.

Controles de Software:

Limitam e supervisionam o acesso aos programas e arquivos críticos para o sistema, que controlam o hardware do sistema computacional e protegem as aplicações existentes:

Software de sistema é o conjunto de programas projetados para operar e controlar as atividades de processamento de um equipamento computacional.

Normalmente, um software de sistema é utilizado para dar suporte e controlar uma variedade de aplicações que possam ser executadas num mesmo hardware de computador.

São exemplos de softwares de sistema:

• Sistema operacional;

• Utilitários de sistema;

• Sistemas de bibliotecas de programas;

• Software de manutenção de arquivos;

• Software de segurança;

• Sistemas de gerencia de base de dados;

Softwares de sistemas com controles ineficazes podem ser utilizados, ainda, para neutralizar controles presentes em programas aplicativos, diminuindo significativamente a confiabilidade da informação produzida pelas aplicações existentes no sistema computacional , e aumentando o risco de fraude e sabotagem.

Os controles de software são avaliados através dos seguintes elementos críticos:

• Acesso limitado ao software de sistema;

• Acesso e uso supervisionado do software de sistema;

• Controle das alterações do software de sistema;

Sem um controle apropriado, existe o risco de que características de segurança possam ser omitidas ou contornadas, intencionalmente ou não, e que processamentos ou códigos sejam introduzidos.

Controles de Hardware:

O controle de hardware visa assegurar que o hardware seja fisicamente seguro e analisa possíveis defeitos nos equipamentos que possam comprometer a segurança e disponibilidade das informações armazenadas.

Os auditores utilizam-se de Log’s que possibilitam a identificação de alterações ou manutenções dos equipamentos, estes Log’s vão ser analisados pelos auditores para a detecção de falhas operacionais ou técnicas, é realizado um estudo de todos os indicadores de uso de hardware que permitem:

• Estabelecer critérios para treinamento de profissionais e usuários;

• Conduzir a inovação tecnológica do ambiente;

• Identificar a causa do mau uso do hardware;

Manutenção do Hardware:

A manutenção tem como objetivo manter os equipamentos em boas condições de funcionamento para garantir a segurança das operações. Pode ser realizada por agentes internos ou prestadores de serviço terceirizados. A boa conservação dos equipamentos também deve ser objeto de verificação pelo auditor responsável.

A manutenção é classificada em:

• Manutenção corretiva: corrige deficiências;

• Manutenção preventiva: previna falhas;

Inspeções Periódicas: A inspeção é o serviço de manutenção mais simples consiste em verificações visuais ou por outros meios imediatos, destinadas a detectar anormalidades.

O auditor responsável pela análise examina detalhadamente todos os controle sobre as conexões não autorizadas, alguns exemplos são:

• Cabeamento

...