Controle de acesso – tipos e serviços associados
Uma das 10 áreas importantes que são cobertas no CISSP é o controle de acesso (access control).
Este é a capacidade de permitir ou negar o uso de um objeto (uma entidade passiva tal como um sistema ou arquivo) a um solicitante (uma entidade ativa como uma pessoa ou um processo). O uso é normalmente definido através de regras : escrita, leitura, execução, listagem, modificação e deleção.
Tipos de controle
Os controles podem ser preventivos (redução de riscos), detectivos (identificam violações e incidentes), corretivos (que amenizam as violações e incidentes e melhoram os controles preventivos e detectivos), de dissuação (que desencorajam violações), de recuperação (que restauram sistemas e informações e de compensação (controles alternativos)
Os controles de acesso podem ser :
administrativos
técnicos
físicos
* Controles administrativos
Incluem as políticas e procedimentos que uma organização implementa como parte de sua estratégia de segurança. Os controles administrativos asseguram que os controles técnicos e físicos são entendidos e corretamente implementados de acordo com a política de segurança da organização
Eles incluem:
Políticas
e procedimentos
Treinamento de sensibilização de
segurança
Classificação e controle de bens
Políticas e práticas de
contratação
Administração de contas
Monitoramento de contas, logs e eventos (journal)
Revisão de registros de auditoria
* Controles técnicos
Utilizam hardware e software para implementar o controle de acesso
Preventivos
Criptografia
Mecanismos de controle de acesso (biometrica, smartcard etc)
Listas de controle de acesso
Protocolos de autenticação remota (PAP, CHAP,
RADIUS, LDAP)
Detectivos
Reports
de violação
Logs de auditoria
Monitoramento de rede e detecção de
intrusão (IDS)
* Controles Físicos
Garantem a proteção e segurança do ambiente físico.
Preventivo
Controles
de aquecimento, ventilação e ar condicionado
(HVAC)
Perímetros de segurança (muros, grades, portas
trancadas)
Guardas e cachorros
Detectivos
Sensores
de movimentos
Câmeras
Sensores ambientais (detectar fumaça, calor, fogo)
Uma característica relevante quando se trata de controle de acesso é como ele se comporta quando falha. Quando um controle de acesso falha e restringe o acesso ele é chamado de fail closed. Quando um controle de acesso falha e permite o acesso ele é considerado fail open.
Serviços
Os sistemas de controle de acesso proveêm três serviços essenciais :
Autenticação
Autorização
Responsabilização
Autenticação
Composto de duas etapas : identificação e autenticação determina quem pode efetuar o login.
Autorização
Define os direitos e permissões do usuário ou processo. Se dá após a autenticação e define o que o usuário pode fazer com um sistema ou recurso.
Resposibilização (Accountability)
É a capacidade de associar as ações com o usuário que as executou. Define o que o usuário fez.
Associado a responsibilização um sistema deve ser capaz de impedir a repudiação, ou seja um usuário não pode negar uma ação realizada pelo mesmo.