Antes de falar sobre controle de acesso, precisa-se entender o que é um incidente de segurança. Um incidente pode ser visto como um evento (fato) decorrente da ação de uma ameaça que explora uma ou mais vulnerabilidades, levando a perda de princípios da segurança da informação: confidencialidade, integridade e disponibilidade. Ele gera impactos aos processos de negócio da empresa, sendo ele o elemento a ser evitado em uma cadeia de gestão de processos e pessoas.
Um incidente ocorre porque toda organização sofre ameaças que tentam explorar as vulnerabilidades a fim de acessar as informações/dados pessoais manipulados pelos ativos que dão suporte a execução dos serviços necessários aos processos de negócio da empresa.
Para reduzir a probabilidade de um incidente ocorrer são implantados perímetros de segurança, isto é, qualquer coisa que permita implantar uma barreira, como uma parede, um portal com controle de entrada baseado em cartão ou mesmo um balcão de controle de acesso com registro manual, ou também a solicitação de identificação e autenticação de um usuário junto a um sistema. Essas barreiras podem ser chamadas de mecanismos de segurança (responsáveis efetivos pela garantia das propriedades e políticas de segurança), no qual o controle de acesso faz parte desse universo.
O que é Controle de Acesso
O controle de acesso pode ser visto como ele um mecanismo que limita o uso de recursos computacionais e manipulação (ações e operações) dos dados pessoais a usuários autorizados. Ele estabelecer a associação entre cada usuário e privilégios, indicando quem (ou o quê) pode ter acesso para manipular algum dado pessoal.
Implantar Controle de Acesso
Para se implantar controle de acesso são necessárias 3 etapas:
Definir recursos – especificar os recursos existentes no sistema computacional que os usuários podem acessar, ie, o que deseja proteger.
Determinar usuários – determinar quem pode acessar o que, ie, quais dados pessoais cada usuário poderá ter acesso.
Especificar o uso dos recursos pelos usuários – especificar o nível de acesso aos dados pessoais, quais ações que são permitidas para os usuários em cada momento.
Política de Controle de Acesso
Toda organização deve possuir uma Política de controle de acesso, no qual são especificadas as diretrizes de como os usuários são identificados e autenticados e o nível de acesso aos dados pessoais. Para isso é necessário:
1. Separação de serviços – prevenir fraudes ou erros, distribuindo privilégios em conformidade com os serviços da função a ser executada. Onde deve-se:
Especificar a importância e a criticidade de cada recurso a ser acessado.
As habilidades de disponibilidade de cada usuário em exercer a função dada.
2. Privilégio Mínimo – cada usuário ou processo não pode ter mais privilégios que os necessários para executar a sua função.
3. Need to Know – limitar ao mínimo o acesso pelo usuário ou processo ao dado pessoal, dando conhecimento somente o necessário para executar a sua função.
4. Compartimentação – consiste no processo de separar grupos de pessoas e informações tal que cada grupo é isolado dos demais e os dados pessoais não trafegam entre os grupos.
Técnicas de Controle de Acesso
Discretionary Access Control ( DAC ) – o dono determina que tem acesso aos dados e quais privilégios ele possui.
Mandatory Access Control ( MAC ) – os controles são determinados pelo sistema e baseados inicialmente na política da organização. Usado normalmente por sistemas e dados que são considerados altamente sensíveis e onde donos de sistemas não desejam que usuários não burlem ou by-pass os controles da acesso estabelecidos pela organização.
Controle de Acesso aos Dados - a forma mais comum são as ACLs (Access Control List)
Matriz de controle de acesso – é uma ACL na forma de uma tabela. Sujeitos e objetos são identificados e as permissões aplicadas a cada combinação sujeito/objeto.
Não existe proteção de dados pessoais sem controle de acesso, mecanismo fundamental para garantir a privacidade, pois não existe privacidade sem segurança.
Implementem mecanismos de controle de acesso aos dados pessoais em suas organizações. Especifiquem uma política de controle de acesso com as diretrizes de sua implantação.
A ALIX oferece serviços fundamentais para proteger seus dados e evitar problemas de TI, com planos personalizados de acordo com a sua necessidade.
Solicite AGORA o Monitoramento da ALIX e descubra como é simples e seguro manter sua infraestrutura de TI monitorada 24 horas por dia.
Comments