q
1 Atentar para os fatores de risco. 1 Considerar a análise/avaliação de riscos:
2 Definir perímetros de segurança.
2 Proteger equipamentos e dispositivos de armazenamento. 2 Minimizar riscos de corrupção de sistemas operacionais. 2 Reduzir riscos de ameaças físicas.
Ca pí tu lo 5 - G es tã o d e r is co s
Ao considerar a segurança de acesso, inicialmente é relevante a preocupação com fatores de risco para o contexto, tais como as responsabilidades atribuídas a funcionários e terceiros, o valor dos ativos acessíveis e os direitos sobre o encerramento de atividades, por exemplo. Nas organizações, o nível de proteção requerido pelos diversos controles de acesso é determinado em função da análise/avaliação de riscos. Sendo assim, deve-se atentar para os resultados obtidos com tal atividade para determinar medidas adequadas de segurança com o objetivo, por exemplo, de:
1 Definir os perímetros de segurança para a segurança física e do ambiente;
1 Proteger adequadamente os equipamentos (internos ou externos às dependências da organização) contra acessos não autorizados, perdas ou danos, perigos do próprio ambiente, vazamento de informações, entre outros;
1 Avaliar se é adequado destruir determinado dispositivo que armazena informações crí- ticas ao negócio da organização, ou se é cabível enviá-lo para conserto em local autori- zado pelo fabricante do dispositivo;
1 Minimizar os riscos de corrupção de Sistemas Operacionais, como garantir que sua atuali- zação seja efetuada apenas por pessoas competentes e autorizadas para tal;
1 Reduzir os riscos de ameaças como furtos, incêndios, explosões, poeira, efeitos químicos, enchentes, falhas no fornecimento de energia elétrica etc.
1 A educação e a conscientização dos usuários é crucial para a segurança da informação, uma vez que a adequada utilização de recursos e informações, como “ferramentas” de trabalho, fortalece a cultura de segurança da organização como um todo.
q
Exemplos de riscos relacionados ao controle de acesso lógico inadequado: 1 Alteração não autorizada de dados e aplicativos.
1 Divulgação não autorizada de informações. 1 Introdução de códigos maliciosos.
Impactos:
1 Perdas financeiras decorrentes de fraudes, restaurações etc. 1 Inviabilidade de continuidade dos negócios.
Há uma série de riscos diretamente relacionados ao controle inadequado de acesso lógico aos recursos e informações. Eis alguns exemplos: divulgação não autorizada de informa- ções; modificações não autorizadas em dados e aplicativos e introdução de códigos mali- ciosos nos sistemas.
Sendo assim, a inexistência ou inadequação de controles de acesso lógico afeta diretamente os recursos e informações, aumentando os riscos. Além disso, os impactos podem ser maiores à medida que se consideram os aplicativos e informações críticas aos negócios da organização. Caso existam obrigações legais envolvidas com o controle de acesso lógico, a organização poderá sofrer ações judiciais.
q
Exemplos de tratamentos para um adequado controle de acesso lógico: 1 Restringir e monitorar o acesso a recursos críticos.
1 Utilizar criptografia.
1 Não armazenar senhas em logs.
1 Conscientizar os usuários para que não divulguem suas senhas.
G es tã o d a S eg ur an ça d a I nf or m aç ão – N BR 2 70 01 e N BR 2 70 02
Conforme visto no exemplo anterior, é importante considerar medidas de segurança ade- quadas para efetuar o controle de acesso lógico nas organizações. Nesse sentido, algumas práticas são recomendadas:
1 Restrição e monitoramento de acesso a recursos críticos da organização, tais como servi- dores, documentos etc;
1 Utilizar criptografia forte, assegurando a confidencialidade das informações;
1 Não armazenar senhas em logs, permitindo o acesso posterior por pessoas não autorizadas; 1 Conscientizar as pessoas para que não divulguem suas senhas, verbalmente ou por
e-mail, nem as armazenem em arquivos;
1 Conceder acesso às pessoas apenas aos recursos realmente necessários para a execução de suas atividades.
q
Exemplos de riscos relacionados ao controle de acesso físico inadequado: 1 Roubo de equipamentos.
1 Atos de vandalismo. Impactos:
1 Perdas financeiras.
1 Facilidades para ataques contra controles de acesso lógico.
Há vários riscos diretamente relacionados ao controle inadequado de acesso físico nas organizações. Alguns exemplos: roubo de equipamentos ou de seus componentes internos e atos de vandalismo, como cortes de cabos elétricos. Sendo assim, a inexistência ou ina- dequação de controles de acesso físico também pode facilitar a atuação de invasores que atacam diretamente os controles de acesso lógico aplicados aos recursos e informações.
q
Exemplos de tratamentos para um adequado controle de acesso físico: 1 Identificar funcionários e visitantes.
1 Controlar a entrada/saída de equipamentos.
1 Supervisionar a atuação da equipe de limpeza, manutenção e vigilância.
Conforme visto no exemplo anterior, é importante considerar medidas de segurança ade- quadas para efetuar o controle de acesso físico nas organizações. Nesse sentido, algumas práticas são recomendadas:
1 Estabelecer formas de identificação capazes de distinguir funcionários de visitantes; 1 Controlar a entrada e a saída de equipamentos, registrando, por exemplo, data, horário
e responsável;
1 Supervisionar as atividades das equipes de limpeza, manutenção e vigilância, principalmente se terceirizadas.
q
Exemplos de riscos relacionados ao controle ambiental inadequado: 1 Desastres naturais.
1 Falhas no fornecimento de energia elétrica. Impactos:
1 Danos em equipamentos. 1 Indisponibilidade de serviços. 1 Perdas financeiras.
Ca pí tu lo 5 - G es tã o d e r is co s
Há vários riscos diretamente relacionados ao controle ambiental inadequado ou inexistente. Como exemplos, considere desastres naturais e falhas no fornecimento de energia elétrica. Os impactos compreendem danos em equipamentos, perdas de dados ou indisponibilidade de serviços, por exemplo, gerando perdas financeiras e de imagem comercial.
q
Exemplos de tratamentos para um adequado controle ambiental: 1 Uso de material resistente a fogo.
1 Manutenção de número suficiente de extintores de incêndio. 1 Controle de focos de problemas com água.
1 Controle de temperatura, umidade e ventilação. 1 Manutenção da limpeza e conservação do ambiente.
Exercício de fixação 9 e
Tratamento de riscos na segurança de acesso
Que riscos na segurança de acesso você identifica dentro do seu ambiente na sua organização?
Quais medidas você vai propor para o tratamento de riscos na segurança de acesso na sua organização?