O documento discute o que é controle de acesso lógico, que permite verificar a identidade e autenticidade de usuários para proteger recursos computacionais contra acesso não autorizado. Ele explica os elementos básicos de controle de acesso, incluindo autenticação de usuários e permissões de acesso de acordo com suas funções. Também discute a importância de controles físicos e lógicos trabalharem juntos para proteger equipamentos, aplicativos e dados.
1. O que è o Controle de Acesso Lógico?
O controle de acesso lógico permite que os sistemas de tecnologia da informação verifiquem
a autenticidade e a identidade dos usuários que tentam entrar em seus sistemas ou utilizar
seus serviços.
Objetivo è proteger os recursos computacionais contra perda, danos, modificação ou
divulgação não autorizada.
Recursos e Informações a Serem Protegidos
Aplicativos – Programas fonte e objeto. O acesso não autorizado pode alterar
as funções e a Lógica dos programas.
Arquivos de dados – Bases de dados podem ser alteradas ou apagadas sem a
autorização adequada.
Utilitários e Sistema Operacional – O acesso a utilitários deve ser restrito, pois
podem provocar alterações nas configurações dos SO e nos arquivos em geral.
Arquivos de Login – Os logs registram quem acessou os recursos
computacionais, aplicativos, arquivos de dados e utilitários, quando o acesso
ocorreu e que tipo de operações foram efetuadas. Se esses arquivos não forem
devidamente protegidos, um invasor poderá alterar seus registros para
encobrir suas ações.
Elementos Básicos de Controle de Acesso Lógico
Tem dois pontos distintos de controle: o recurso computacional que se pretende
proteger e o usuário a quem se pretende conceder os privilégios e acesso aos recursos.
Os Objetivos dos controles:
Apenas usuários autorizados tenham acesso aos recursos.
Os usuários tenham acesso aos recursos necessários a execução de suas
tarefas.
O acesso a recursos críticos seja monitorado e restrito.
Os usuários sejam impedidos de executar transações incompatíveis com sua
função ou responsabilidades.
O Processo de Logon
A identificação do usuário deve ser única.
• Autenticação: a maioria dos sistemas solicita uma senha, mas já existem
sistemas utilizando cartões inteligentes ou ainda características físicas, como o
formato da mão, da retina ou do rosto, impressão digital e reconhecimento de
voz.
2. • Senhas: A política de senhas é imprescindível. Uma má administração destes
procedimentos expõe a organização a riscos. Repetição de senhas para vários
sistemas é prática comum, mas reprovável.
• Token: È um objeto que o usuário possui que o diferencia das outras pessoas e
o habilita a acessar alguma coisa. Chaves E cartões são exemplos comuns de
tokens.
Acesso Inadequado
O acesso inadequado a Aplicativos pode permitir o acesso as dados, resultando em
alterações ou mesmo em divulgação não Autorizada de informações, e assim
comprometendo a integridade do sistema.
A Falta de Controle
A falta de controle de acesso sobre meios magnéticos, impressos ou de
telecomunicações pode gerar graves Conseqüências a uma organização como a perda
de Confidencialidade, Integridade e Disponibilidade os três pilares básicos de
Segurança da Informação.
Conclusão
Concluímos que o controle de acesso físico e lógico tem como objetivo proteger
equipamentos, aplicativos e arquivos de Dados contra perda, modificação e divulgação
não autorizada em Uma Organização. Os sistemas computacionais, bem diferentes de
outros tipos de recursos, não podem ser protegidos apenas com dispositivos físicos
como uma fechadura.
Os Controles de Acesso Físico devem ser implementados em conjunto com os
Controles de Acesso Lógico. A falta de Implementação desses dois controles em
conjunto, seria o mesmo que restringir o acesso as informações através de senhas,
mas deixar os servidores desprotegidos fisicamente vulneráveis a roubo, por exemplo.