3 Ferramentas e Medidas Importantes para Controlar a Vulnerabilidade dos Recursos de TI
Algumas das ferramentas e medidas importantes para controlar a vulnerabilidade dos recursos de TI são fornecidas abaixo:
A natureza do dano é diferente em diferentes níveis de infraestrutura de TI. O dano à informação pode ser em termos de alteração ou exclusão de valores, ou perda de sua privacidade. Os serviços e a rede são geralmente danificados por acidente causado por falha de hardware ou software ou ambos.
Imagem Cortesia: ipa.go.jp/files/000013242.png
Como a informação é gerada e armazenada com a ajuda de serviços e redes, a exposição à informação decorre de falhas de hardware ou software. Como os três elementos estão inter-relacionados, qualquer dano aos serviços ou à rede obstrui o funcionamento do sistema e os danos à informação tornam os serviços e a rede menos úteis. Portanto, uma abordagem integrada à segurança da infraestrutura de TI é garantida.
É possível controlar a vulnerabilidade dos recursos de TI usando várias ferramentas e medidas de controle. Estes são classificados como:
(a) Ferramentas básicas de controle
b) Medidas gerais de controlo
(c) Medidas de Controle de Aplicação
1. Ferramentas Básicas de Controle:
A seguir estão algumas das ferramentas básicas de controle que são comumente usadas para controlar a vulnerabilidade dos recursos de TI:
(um backup:
Uma ferramenta fundamental para a proteção de informações é manter cópia de segurança de todos os dados. Ele serve ao duplo propósito de recuperação de desastres e detecção de abuso. O sistema de manter um backup dos arquivos de dados e programas pode diferir de um aplicativo para outro, mas um sistema sistemático e regular de backup de arquivos é considerado absolutamente essencial em todas as infraestruturas de TI.
As rotinas de backup devem ser seguidas religiosamente para que o sistema de backup falhe quando foi mais necessário. A maioria dos sistemas de gerenciamento de banco de dados agora incorpora recursos de backup automático de dados. Além disso, os arquivos de programa precisam ter seu backup feito após cada alteração. Os dados e programas críticos devem ser regularmente verificados quanto à precisão.
(b) Dividir e governar:
Essa regra de segurança testada pelo tempo também pode ser aplicada à segurança de dados. Fornecer acesso limitado a cada usuário é essencial para garantir que ninguém prejudique todo o sistema. O abuso em um local é detectado em outro local durante o funcionamento normal do sistema de informação.
O acesso aos recursos de TI deve ser definido de tal forma que eles sejam compatíveis com as necessidades de computação para o cumprimento das responsabilidades do usuário; Não menos e não mais do que o essencial. Assim, a permissão de acesso pode ser limitada a qualquer uma das operações como ler, escrever, alterar e executar.
A permissão de acesso pode ser definida para cada elemento de dados nos bancos de dados. Da mesma forma, as permissões de acesso precisam ser definidas para cada módulo no software do aplicativo e em cada parte do hardware do computador. A identificação e validação de usuários por meio de senhas e outras técnicas são essenciais para regular o acesso à infraestrutura de TI.
c) Autorização de acesso:
O acesso à informação pode ser restrito com a ajuda de ferramentas de autorização. Essas ferramentas permitem o acesso a informações somente após a identificação adequada dos usuários. Cada usuário tem acesso limitado às informações. A verificação da identidade do usuário pode ser feita com senhas. As instalações modernas de computadores têm ferramentas de verificação de identidade mais avançadas baseadas em voz ou outros atributos físicos, como impressões digitais dos usuários.
(d) Criptografia:
A criptografia é um processo de transformar as informações em uma grande quantidade de combinação de símbolos embaralhados e sem sentido, que pode ser descriptografada para converter os dados no formato original. Essa transformação de dados ocorre no uso de hardware e software especiais.
A criptografia e descriptografia são baseadas no código especificado pelo usuário. Esse código é a reserva do usuário autorizado de dados e o uso de qualquer outro código não transformaria as informações. As ferramentas de criptografia são bastante comuns quando as informações são transmitidas para locais distantes usando portadoras comuns de dados, como linhas telefônicas.
e) Comparações:
A comparação é uma das ferramentas importantes para detectar abusos. A comparação regular de dados com documentos de origem, arquivos de programas atuais com cópias mestras de arquivos de programas, valores de termos anteriores com valores de termos atuais atuam como uma ferramenta útil para detecção oportuna de abuso. Essas comparações devem ser feitas por pessoas que não estão diretamente envolvidas na criação e uso dos recursos de TI.
f) Responsabilidade:
Assegurar a conformidade com o procedimento de segurança é bastante difícil, porque na ausência de detecção de um abuso maior, a complacência começa a se infiltrar. É, portanto, necessário determinar a responsabilidade pela conformidade com os procedimentos de segurança.
(g) Log do usuário:
Acompanhar as atividades dos usuários da infraestrutura de TI serve como um importante impedimento no abuso de computadores. A manutenção e o exame periódico da listagem detalhada das operações realizadas por cada usuário colocam grandes pressões sobre os usuários para que sigam as normas de segurança e também garantem a detecção precoce de abuso. As trilhas de auditoria são necessárias para reconstruir o processamento e corrigir a responsabilidade pelo abuso.
h) Orientação:
Muitas vezes, os abusos são possíveis devido a treinamento inadequado no tratamento de medidas de segurança. Um sistema de ajuda on-line para todos os usuários na forma de orientação e assistência na compreensão da ameaça à segurança deve ser desenvolvido. Esse sistema ajuda muito a desenvolver a confiança dos usuários na força do sistema de segurança e ajuda na detecção precoce de ameaças e abusos.
(i) Auditoria:
A auditoria do sistema de informação é outra ferramenta importante para garantir que o sistema de informação desempenhe suas funções designadas corretamente. A Associação de Controle e Auditoria do Sistema de Informação (ISACA) é uma organização com sede nos EUA que visa desenvolver padrões para auditoria de sistemas de informação para treinar e credenciar profissionais para essa finalidade.
As pequenas empresas que não podem arcar com os procedimentos internos de auditoria do sistema de informações podem contratar os serviços de informações práticas, auditores de sistemas para esse fim. Essa auditoria detecta e desencoraja a supervisão e mantém o alerta de segurança.
O uso específico dessas ferramentas e a natureza exata dos procedimentos de controle dependeriam da natureza do recurso e da gravidade da ameaça.
2. Medidas Gerais de Controle:
Essas medidas de controle são aplicáveis a todos os recursos de aplicativos e dados. Eles consistem em controles físicos e de software que podem ser exercidos na infraestrutura de TI.
a) Controles organizacionais:
O veículo mais importante de controle sobre os sistemas de informação é a estrutura organizacional e as responsabilidades das pessoas na organização. Duas formas básicas de controle da organização estão relacionadas à segregação de funções em um único trabalho.
Por exemplo, o registro de uma transação pode ser separado da autorização de transações. O desenvolvimento de software e o teste de software podem ser separados para garantir que a colisão seja necessária por abuso. Rotação de trabalho e licença compulsória são outros controles organizacionais de natureza geral que foram encontrados bastante úteis na detecção de abuso.
(b) Controles de desenvolvimento e implementação do sistema:
Eles abrangem controles como a autorização adequada da especificação do sistema (assinatura das especificações), teste e aprovação de alterações no sistema existente, etc. Controles sobre cópias mestras de software, incluindo código-fonte, documentação e outros ativos relacionados são partes essenciais do desenvolvimento do sistema e controles de implementação. A fixação de padrões para o sistema de informação e sua implementação são importantes do ponto de vista da segurança.
c) Controles físicos:
Esses controles incluem proteger os locais de hardware e software contra incêndio, inundações, roubo, tumultos, etc. usando várias ferramentas de segurança, como detectores de fumaça, guardas de segurança, travas individuais, câmeras de circuito fechado, sistemas de identificação, etc. afastando a ameaça à vida física da infraestrutura de TI. Esses controles são paralelos ao controle sobre outros ativos físicos, como dinheiro, ações, etc.
d) Controlos de recuperação de desastres:
As medidas de controle de recuperação de desastres se tornam muito importantes no caso de aplicações críticas e danos em grande escala nos sistemas de informação. É necessário construir uma configuração alternativa para garantir que a recuperação do desastre seja possível com custo mínimo e com perda mínima de tempo e oportunidade.
Isso, em alguns casos, é obtido pela manutenção da infraestrutura paralela de TI a ser usada em caso de desastre. Em caso de falha do sistema de negociação da bolsa de valores ou do sistema de reservas de viagens, o custo de atraso na recuperação ou falha em fazê-lo pode ser extremamente alto.
Nesses casos, a infraestrutura de TI paralela é considerada absolutamente essencial. No entanto, sistemas alternativos de recuperação de desastres também estão disponíveis. Alguns fornecedores especializados em recuperação de dados em caso de acidentes, como falhas no disco rígido, ataques de vírus, etc.
(e) Controles baseados em software:
As medidas de controle baseadas em software normalmente estão relacionadas ao controle sobre o acesso a dados e a validação de dados no momento da entrada de dados. Pode-se notar que a maioria dos abusos de computadores é por meio da introdução de dados. Os caminhos de acesso no software podem ser executados em várias camadas e os utilitários confidenciais e os dados podem ser protegidos adequadamente por meio de controles de software.
Esses controles, geralmente, estão relacionados à autenticação do usuário, definição de função para cada usuário e criação de registro inalterável de sequência de operações realizadas em um determinado terminal (trilha de auditoria).
Isso é feito para descobrir a sequência de eventos que levam a um abuso em particular. O acesso não autorizado deve resultar em avisos e tentativas repetidas de acesso não autorizado devem ser tomadas como uma tentativa séria de romper o sistema de segurança. Assim, tentativas repetidas de acesso não autorizado podem ser destinadas a resultar no término do processamento, no encerramento do terminal e no registro da trilha de auditoria para análise posterior.
(f) controles de comunicação de dados:
Esses controles estão se tornando mais importantes porque o tráfego de dados está aumentando em proporções geométricas, juntamente com o aumento da distância entre o remetente e o destinatário. Ambos resultam em maior exposição dos dados ao risco de escutas. Existem muitos métodos usados para proteger os dados em seu caminho para o terminal de destino.
Em termos gerais, as ameaças aos dados na transmissão podem ser de três tipos: (a) ameaça de acesso não autorizado, (b) ameaça à exatidão e integridade dos dados e (c) ameaça o download de dados em tempo hábil.
(i) Acesso não autorizado aos dados:
Redes com fio rígido (usando cabos coaxiais ou mídia de fibra ótica) são menos propensas a derivações no caminho do que os canais eletrônicos. Os modems de segurança também estão ganhando popularidade nas redes usando linhas telefônicas. Outro método chamado sistema de call-back automático está sendo usado para verificar a autenticidade do usuário. Nesse sistema, o chamador de informações disca e aguarda.
O remetente verifica a autenticidade, registra a senha usada pelo chamador de informações e disca de volta para o chamador. Esse tipo de verificação dupla na identidade e localização do chamador é muito útil na detecção de escutas telefônicas. O sistema de logout automático também é um sistema de controle muito popular.
Com a crescente pressão das responsabilidades do executivo, há toda a possibilidade de o executivo esquecer de fazer o logout corretamente ou fazer logout. Tais sistemas garantem que, se o terminal não for usado por um período de tempo especificado, o terminal fará o logout automático do servidor. Mais acesso à informação só é possível quando o procedimento para login é repetido. Esse tipo de controle minimiza a possibilidade de representação.
(ii) controles de integridade de dados:
A precisão dos dados e os controles de integridade são essenciais para garantir a integridade dos dados transmitidos. Erros na transmissão de dados podem ser causados por perturbação no canal de transmissão de dados ou por alguma falha no hardware de comutação de dados.
Para verificar se os dados chegaram ao destino com precisão e completamente, os bits de paridade podem ser usados. Outro método popular é o de dividir a mensagem em pacotes com cabeçalhos e rodapés (trailers) e verificar sua existência no final do receptor.
g) Controlos de operação do computador:
O controle sobre a operação de sistemas e terminais de computadores pode desempenhar um papel importante para evitar o abuso de computadores. Vale a pena planejar o cronograma de operação do computador para usuários regulares, mais especificamente, nos níveis mais baixos da hierarquia gerencial, onde os requisitos operacionais são previsíveis e podem ser agendados adequadamente. Qualquer desvio das operações agendadas pode ser examinado para desencorajar a operação do sistema do computador para funções diferentes das especificadas para o dia.
O controle sobre a operação de sistemas de computadores torna-se mais difícil no caso de terminais compartilhados e aqueles que envolvem comunicação interativa. No entanto, se a identificação e as senhas não forem compartilhadas, a maioria dos problemas de controle sobre terminais compartilhados poderá ser cuidada.
h) Controlos de hardware:
Controles de hardware de computador são as verificações incorporadas pelos fabricantes de hardware de computador para verificar o mau funcionamento do sistema e emitir avisos em caso de falhas. Estes incluem as famosas verificações de paridade nos dispositivos de armazenamento, as verificações de validade e as verificações de leitura dupla para verificação. Esses controles são muito úteis no armazenamento e recuperação de dados e na execução de funções aritméticas em dados.
Os controles gerais precisam ser revisados quanto à sua eficácia. Esses controles constituem o núcleo da medida de segurança para o sistema de informação como um todo.
3. Controles de Aplicação:
Para aplicações específicas, é imperativo exercer controles especiais em vista de seus requisitos peculiares e percepções de risco. Tais controles visam garantir precisão, validade e integridade de insumos e manutenção de estoques de informações. Eles incluem controles automáticos e manuais.
(a) Controles de entrada:
Os controles de entrada garantem que a entrada esteja devidamente autorizada e registrada de acordo com o documento de origem. Os documentos de origem são numerados em série e a entrada é verificada em lotes antes de influenciar o banco de dados. Totais de controle de lote e rotinas de edição são usados para garantir que os dados de entrada sejam precisos e completos, e entradas duplicadas sejam eliminadas.
Prompts de entrada de tela e menus de tela são usados para ajudar a garantir a exatidão e integridade da entrada de dados. Os controles de verificação de dados são usados para garantir tipos de dados válidos, tamanho do campo, identificação da transação e verificação da razoabilidade dos valores numéricos na entrada.
(b) controles de processamento:
Esses controles visam garantir a execução adequada dos procedimentos que devem ser executados na entrada. Executar totais de controle, correspondência computadorizada de registros mestre com elementos de dados selecionados em transações, verificações de razoabilidade, verificações de formato, verificações de dependência, verificação visual etc. são algumas das verificações comuns usadas para garantir que o processamento da entrada foi feito corretamente .
c) Controles de saída:
Esses controles destinam-se a garantir que a saída de uma execução de aplicativo seja precisa e completa. Esses controles incluem o balanceamento dos totais de saída com totais de entrada e processamento, auditoria de relatórios de saída e procedimento para entrega de relatórios de saída a destinatários autorizados.
