Uma das 10 áreas importantes que são cobertas no CISSP é o controle de acesso (access control).
Este é a capacidade de permitir ou negar o uso de um objeto (uma entidade passiva tal como um sistema ou arquivo) a um solicitante (uma entidade ativa como uma pessoa ou um processo). O uso é normalmente definido através de regras : escrita, leitura, execução, listagem, modificação e deleção.
Tipos de controle
Os controles podem ser preventivos (redução de riscos), detectivos (identificam violações e incidentes), corretivos (que amenizam as violações e incidentes e melhoram os controles preventivos e detectivos), de dissuação (que desencorajam violações), de recuperação (que restauram sistemas e informações e de compensação (controles alternativos)
Os controles de acesso podem ser :
- administrativos
- técnicos
- físicos
* Controles administrativos
Incluem as políticas e procedimentos que uma organização implementa como parte de sua estratégia de segurança. Os controles administrativos asseguram que os controles técnicos e físicos são entendidos e corretamente implementados de acordo com a política de segurança da organização
Eles incluem:
- Políticas e procedimentos
- Treinamento de sensibilização de segurança
- Classificação e controle de bens
- Políticas e práticas de contratação
- Administração de contas
- Monitoramento de contas, logs e eventos (journal)
- Revisão de registros de auditoria
* Controles técnicos
Utilizam hardware e software para implementar o controle de acesso
Preventivos
- Criptografia
- Mecanismos de controle de acesso (biometrica, smartcard etc)
- Listas de controle de acesso
- Protocolos de autenticação remota (PAP, CHAP, RADIUS, LDAP)
Detectivos
- Reports de violação
- Logs de auditoria
- Monitoramento de rede e detecção de intrusão (IDS)
* Controles Físicos
Garantem a proteção e segurança do ambiente físico.
Preventivo
- Controles de aquecimento, ventilação e ar condicionado (HVAC)
- Perímetros de segurança (muros, grades, portas trancadas)
- Guardas e cachorros
Detectivos
- Sensores de movimentos
- Câmeras
- Sensores ambientais (detectar fumaça, calor, fogo)
Uma característica relevante quando se trata de controle de acesso é como ele se comporta quando falha. Quando um controle de acesso falha e restringe o acesso ele é chamado de fail closed. Quando um controle de acesso falha e permite o acesso ele é considerado fail open.
Serviços
Os sistemas de controle de acesso proveêm três serviços essenciais :
- Autenticação
- Autorização
- Responsabilização
Autenticação
Composto de duas etapas : identificação e autenticação determina quem pode efetuar o login.
Autorização
Define os direitos e permissões do usuário ou processo. Se dá após a autenticação e define o que o usuário pode fazer com um sistema ou recurso.
Resposibilização (Accountability)
É a capacidade de associar as ações com o usuário que as executou. Define o que o usuário fez.
Associado a responsibilização um sistema deve ser capaz de impedir a repudiação, ou seja um usuário não pode negar uma ação realizada pelo mesmo.
No próximo blog abordaremos as categorias de controle de acesso.
