Cada vez mais no mundo da TI, surgem questões sobre segurança da informação. De fato, a World Wide Web tornou-se uma plataforma global para o intercâmbio e armazenamento de informações, e a palavra Internet é familiar para todos. No mundo moderno, é difícil encontrar uma empresa que não usaria tecnologias da Internet: todos os tipos de aplicativos, gadgets, dispositivos IOT - tudo isso está em risco. Portanto, falaremos sobre os conceitos básicos de segurança da informação, a saber, controle de acesso.
Eu gostaria de discutir alguns aspectos aparentemente óbvios da segurança da informação. Ironicamente, muitos subestimam a importância da segurança ou consideram suas medidas suficientes. Vale lembrar
o efeito Dunning-Krueger, cuja essência é que pessoas com baixa qualificação em alguma área tiram conclusões errôneas. Daí as decisões malsucedidas nos negócios que elas não são capazes de realizar.
Segurança da informação - essa é uma área em que não é permitido assumir nada e agir segundo o princípio de "apenas fazer pelas espécies". A segurança das informações deve ser o objetivo final, uma alavanca nos negócios que minimiza perdas e despesas e protege seus dados. O maior perigo para a empresa é o fator humano. De fato, graças à manipulação inteligente de um funcionário, um invasor pode comprometer seu sistema. Infelizmente, existe um equívoco de que, se você tiver uma forte proteção técnica (todos os tipos de IDS, sistemas antifraude, antivírus, DLP, firewalls), seus negócios estarão seguros, mas não é assim. Nossa psicologia é previsível e, na maioria dos casos, nossos impulsos são desencadeados por ações de medo e imprudência. Tomemos, por exemplo, ataques banais pelo correio: o funcionário recebeu uma carta informando que algum sistema em que está registrado está comprometido. Essa notícia certamente o assustará e, com uma maior probabilidade, ele seguirá o link, fornecendo seus dados aos atacantes. Portanto, é importante configurar o acesso corretamente e melhorar as habilidades dos funcionários em segurança da informação. Toda uma "ciência" é dedicada a esse tópico - engenharia social, mas sobre isso na próxima vez, e hoje falaremos sobre a organização do controle de acesso.
Qualquer tarefa é melhor visualizada de um ângulo diferente, isso também se aplica ao controle de acesso: instalar antivírus e outros meios de proteção não é suficiente. Do raciocínio lógico, como opção, surge a seguinte fórmula:
Um bom sistema de controle de acesso = medidas administrativas + medidas técnicas + proteção física.O que está incluído nas medidas administrativas? Sim, tudo é muito simples! Essa é a organização correta da documentação no sistema de gerenciamento de segurança da informação. Uma boa política de segurança, metodologias de avaliação de riscos, auditorias internas, procedimentos, treinamento de pessoal - tudo isso contribui para a organização adequada da segurança nos negócios.
Na Política de Segurança, é mais importante refletir os objetivos da empresa e o escopo (que unidades são abrangidas por essa política) e também levar em conta os requisitos dos negócios, parceiros e clientes. A empresa deve identificar ativos de informação, e os ativos que requerem manuseio mais cuidadoso devem ser classificados por significância e valor. Para determinar quem tem acesso aos ativos e é responsável pela implementação das medidas de segurança da informação, você pode usar a tabela de funções (a tabela indica as funções e quem é responsável pelo que está alocado). Outro estágio importante é o treinamento: convide especialistas ou contrate quem contará a seus funcionários as regras de segurança da rede (por exemplo: o que é phishing, como reconhecê-lo, como quebrar um engenheiro social e qual site é seguro). Esses são aspectos muito importantes, porque é o fator humano que é o elo mais vulnerável. As auditorias internas ajudarão você a identificar as deficiências do seu sistema de gerenciamento de segurança da informação, determinar quais departamentos estão vulneráveis e quais precisam de treinamento avançado e entender se os requisitos especificados na Política estão sendo seguidos. É importante escolher um auditor competente que verifique cuidadosamente as condições do seu sistema quanto à conformidade com as regras. Graças à metodologia de avaliação de riscos, você pode calcular a probabilidade de certas ameaças, bem como detectar as existentes e escolher outras ações em relação aos riscos.
Por hardware, atribuímos vários softwares e hardwares, serviços de segurança da informação. Podem ser sistemas de senha, firewalls, scanners de segurança, protocolos seguros, sistemas operacionais e assim por diante. Com muito cuidado, você precisa estar com os sistemas de senha. Como eles estão sempre sob o escrutínio dos atacantes, eles correm maior risco. Ao me comunicar com um grande número de pessoas, notei como são fáceis e negligentes na proteção por senha (eles criam senhas simples, armazenam-nas em locais acessíveis), sem perceber que um invasor pode quebrá-las facilmente. Por exemplo, considere um tipo de ataque como força bruta (que significa senhas de força bruta). Suponha que você não tenha realmente fantasiado sobre sua senha e adotado um hacker comum. Enquanto isso, conhecendo seu e-mail, o uso de vários dicionários encontrará uma correspondência e comprometerá seu sistema. Tudo é simples! Também vale lembrar e lembrar os funcionários sobre e-mails de phishing: não abra links e digite uma senha, respire fundo e descubra.
Bem, a terceira é a proteção física: bloqueios, proteção especial, câmeras de vídeo, sistemas de acesso e assim por diante.
Eu também quero me concentrar em três métodos de controle de acesso. Se seu trabalho estiver conectado a dados e informações confidenciais, segredos de estado, você deve prestar atenção ao método de controle de acesso obrigatório. A peculiaridade desse método está em sua hierarquia, uma vez que os funcionários e objetos (arquivos, documentos etc.) recebem um certo nível hierárquico de segurança. O nível de segurança de um objeto caracteriza seu valor e, de acordo com o nível, um rótulo de segurança é atribuído a ele.
O nível de segurança caracteriza o grau de confiança no funcionário, bem como sua responsabilidade por essas informações. O sistema operacional atribui certos atributos ao funcionário, graças aos quais o funcionário recebe acesso dentro da estrutura de seus poderes oficiais. Considere o seguinte exemplo, digamos que temos vários níveis de acesso:
- Informações extremamente secretas (acesso negado);
- Informação secreta;
- Informações de acesso restrito;
- Informações de acesso gratuito.
Também temos usuários com diferentes níveis de acesso às informações acima:
- Usuário 1 - trabalha com informações classificadas;
- Usuário 2 - trabalha com informações de acesso limitado;
- Usuário 3 - trabalha com informações de acesso gratuito.
Vamos imaginar a estrutura do nosso sistema na forma do diagrama a seguir, onde RW - permissões de leitura e gravação, R - permissões de leitura, W - permissões de gravação:
A partir do diagrama, segue-se que:
O usuário 1 tem o direito de ler e escrever objetos destinados ao trabalho com informações classificadas, bem como o direito de ler objetos com informações limitadas e gratuitas.
O usuário 2 tem o direito de ler e gravar objetos pertencentes às informações de acesso restrito e também o direito de ler objetos com informações de acesso livre e o direito de escrever objetos com informações secretas.
Usuário 3: tem o direito de ler e gravar objetos com informações de acesso gratuito, bem como o direito de escrever objetos com acesso limitado e informações secretas.
Mas todos os usuários têm acesso negado a objetos com informações extremamente secretas.
O método mais simples é considerado discricionário, o que é considerado bastante comum. A essência do acesso é simples: o proprietário do objeto decide a quem conceder acesso e de que forma (leitura, escrita, etc.). O método pode ser implementado usando listas de acesso ou uma matriz de acesso, mas é necessário considerar que um funcionário com certos direitos pode transferir seu objeto para outro para uso sem notificá-lo. Portanto, se você estiver trabalhando com informações importantes, deve ter cuidado com esse método.
Em seguida, vamos falar sobre o método de controle de acesso baseado em função. A essência desse método é simples: entre os usuários do sistema e seus privilégios, aparecem entidades intermediárias, chamadas de funções. O método pressupõe que para cada usuário várias funções possam ser atribuídas, fornecendo acesso às informações necessárias. Este método elimina o abuso de direitos, porque implementa o princípio do menor privilégio.
Ele fornece apenas o nível de acesso a um funcionário que se enquadra em sua área de responsabilidade. Além disso, esse método implementa o princípio da separação de tarefas, que simplifica o gerenciamento de ativos de informação. A desvantagem desse método é que é difícil de implementar quando há um grande número de usuários e funções, pois é caro.
Existem outros métodos, mas falamos sobre o mais importante. Todos os métodos acima para organizar o acesso são um passo importante na segurança da sua empresa e, portanto, vale a pena prestar muita atenção a eles.