Assuntos abordados:
- Hoje, é possível uma grande empresa operar sem utilizar ferramentas de informática?
- Hoje, é possível um profissional trabalhar sem utilizar a Internet?
- A Internet é usada para obter informações?
- O que se entende da frase: "Vivemos hoje na era da informação e do conhecimento"?
- Desafios para a era do conhecimento.
- Segurança da Informação.
Hoje, é possível uma grande empresa operar sem utilizar ferramentas de informática?
Definitivamente não. A cada dia que passa, a informática vem adquirindo mais relevância na vida das pessoas e nas empresas. Sua utilização já é vista como instrumento de aprendizagem e sua ação no meio social vêm aumentando de forma rápida entre as pessoas. Nas organizações não poderia ser diferente, toda empresa necessita ser informatizada para se manter no mercado de trabalho e acompanhar as tecnologias; o computador veio para inovar e facilitar a vida das pessoas, e das empresas.
Atualmente nenhuma empresa pode ficar sem o auxílio da informática, é através dela que tudo é resolvido; a informática existe em quase tudo o que fazemos, e em quase todos os produtos que consumimos, é muito difícil pensar em mudanças, transformações e inovações em uma empresa, sem que em alguma parte do processo, a informática não esteja envolvida.
Hoje, é possível um profissional trabalhar sem utilizar a internet?
Se você quiser ser um bom e qualificado profissional, precisa atender dentre outros, a esses requisitos:- Estar bem informado: Vivemos hoje na sociedade da informação. Quem é munido de conteúdo sempre sai na frente. Nada melhor que conversar com alguém que sabe muito sobre a função que exerce, e sobre assuntos diversos.
Você deve ser o ponto de referência na empresa quando o assunto estiver relacionado à sua área. Se puder, também se informe sobre atualidades, economia, negócios e principalmente Internet.
- Facilidade com tecnologia: O computador e a Internet são hoje ferramentas fundamentais de trabalho e comunicação; quem interage bem com essas tecnologias e tem familiaridade com elas, tem grande vantagem competitiva.
- Internet e Redes Sociais: Quem navega bem na Internet e utiliza redes sociais de forma correta e prudente, e tentando sempre, de alguma forma, acrescentar algo de bom, sabe como tudo isso pode ajudar na obtenção de informação e resolução de problemas, e da mesma forma pontos á frente aos demais concorrentes.
Se estes são alguns dos pré-requisitos necessários para ser bem qualificado no mercado de trabalho atual, logo, não é possível o profissional dos dias de hoje, trabalhar sem utilizar a Internet.
A Internet é usada para obter informações?
Sim, claro, sempre. Tudo é informação. A essência da Internet é a informação que nela se encontra e a comunicação que ela torna possível entre milhões de pessoas. Esta comunicação por si só, vem a gerar mais informação.
A informação criada por uma pessoa logo é aumentada e aperfeiçoada por outros. O repositório de conhecimento que hoje é a Internet, constitui o seu maior valor.
O que se entende da frase: "Vivemos hoje na era da informação e do conhecimento"?
A era da industrialização já ficou para trás, lá no final da 2ª Guerra Mundial, isso porque logo depois o trabalhador industrial tradicional foi substituído pelo trabalhador que aliava o trabalho manual com o teórico; começava aí a era da informação. O setor de serviços começou a ganhar forças, e não mais adiantava somente ter informação e muito estudo, o mundo evoluiu numa velocidade exponencial, e hoje em dia, o que você vai fazer com essa informação é a grande questão; o quanto você sabe aplicar esse conhecimento adquirido.
E é então que chegamos aonde estamos, na era do conhecimento, onde temos a força do trabalho, temos a informação e o conhecimento, e precisamos decidir o que faremos com isso, no que transformaremos tudo isso. Se você quer ser um profissional desta era, agregue sempre e aprenda a transformar o conhecimento em competência e em algo de bom.
Desafios para a era do conhecimento
Grandes mudanças vêm ocorrendo nos mais variados segmentos da sociedade, criando expectativa, perplexidade, crise de concepções e paradigmas. No campo da educação a escola do século XXI precisa estar antenada ás mudanças, precisa planejar, precisa de dados, ter projetos, fazer sua própria reestruturação e elaboração dos parâmetros curriculares, enfim, ser cidadã.
A tecnologia contribui pouco para a emancipação dos excluídos; para que isso ocorra, ela precisa estar associada ao exercício da cidadania. Esta nova condição, exige um redimensionamento de todas as práticas mediadoras de sua realidade histórica, quais sejam, o trabalho, a sociedade e a acultura simbólica.
A tecnologia contribui pouco para a emancipação dos excluídos; para que isso ocorra, ela precisa estar associada ao exercício da cidadania. Esta nova condição, exige um redimensionamento de todas as práticas mediadoras de sua realidade histórica, quais sejam, o trabalho, a sociedade e a acultura simbólica.
Espera-se da educação, como mediadora dessas práticas, que se torne, para enfrentar o grande desafio do 3º milênio, investimento sistemático nas forças construtivas dessas práticas, de modo a contribuir mais eficazmente na construção da cidadania, tornando-se fundamentalmente, a educação do homem social. A educação, como processo pedagógico sistematizado de intervenção na dinâmica da vida social, é considerada hoje, objeto priorizado de estudos científicos, com vistas a definição de políticas estratégicas para o desenvolvimento integral das sociedades. Ela é entendida como mediação básica da vida social de todas as comunidades humanas.
A conquista da cidadania significa a passagem de súditos, para cidadãos, dentro de um contexto social que requer o envolvimento das pessoas, condicionando seu status de cidadão á qualidade da participação. Educação significa educar para a sociedade. É a socialização do patrimônio de conhecimento acumulado, o saber sobre os meios de obter o conhecimento, e as formas de convivência social. É também educar para a convivência social e a cidadania, para a tomada de consciência, e o exercício dos direitos e deveres do cidadão.
Ser cidadão é entrar num nó de relações, e independente da educação, se formal ou informal, (a cidadania) tem que ser praticada de maneira a promover o bem comum, não visando em nenhum momento a eficácia do sistema socioeconômico ou qualquer outro, o que certamente refletirá no sucesso da consolidação dos direitos e deveres do cidadão.
h) Como deve ser feita a concessão de senhas aos usuários?
A responsabilidade sobre os controles de acesso lógico pode ser tanto do gerente do ambiente operacional como dos proprietários (ou gerentes) de aplicativos. O gerente do ambiente operacional deve controlar o acesso à rede, ao sistema operacional e seus recursos e, ainda, aos aplicativos e arquivos de dados. É responsável, assim, por proteger os recursos do sistema contra invasores ou funcionários não autorizados. Enquanto isso, os proprietários dos aplicativos são responsáveis por seu controle de acesso, identificando quem pode acessar cada um dos sistemas e que tipo de operações pode executar. Por conhecerem bem o sistema aplicativo sob sua responsabilidade, os proprietários são as pessoas mais indicadas para definir privilégios de acesso de acordo com as reais necessidades dos usuários.
Segurança da Informação
1. Controles de Acesso Lógico
a) O que são controles de acesso?
Os controles de acesso, físicos ou lógicos, têm como objetivo proteger equipamentos, aplicativos e arquivos de dados contra perda, modificação ou divulgação não autorizada.
b) O que são controles de acesso lógico?
Os controles de acesso lógico são um conjunto de procedimentos e medidas com o objetivo de proteger dados, programas e sistemas contra tentativas de acesso não autorizadas feitas por pessoas ou por outros programas de computador.
c) Que recursos devem ser protegidos?
Desde aplicativos e arquivos de dados até utilitários e o próprio sistema operacional.
2. O que os controles de acesso lógico pretendem garantir em relação à segurança de
informações?
Os controles de acesso lógico são implantados com o objetivo de garantir que:
- Apenas usuários autorizados tenham acesso aos recursos;
- Os usuários tenham acesso apenas aos recursos realmente necessários para a execução de suas tarefas;
- O acesso a recursos críticos seja bem monitorado, e restrito a poucas pessoas;
- Os usuários estejam impedidos de realizar transações incompatíveis com sua função, ou além de suas responsabilidades;
Os usuários dos sistemas computacionais são identificados e autenticados durante um processo, chamado Logon. Normalmente esse processo envolve a entrada de um ID (identificação do usuário) e de uma senha (autenticação do usuário). A identificação define para o computador quem é o usuário e a senha é um autenticador, isto é, ela prova ao computador que o usuário é realmente quem ele diz ser.
b) Como deve ser projetado um processo de login para ser considerado
eficiente?
- Deve informar que o computador só deve ser acessado por pessoas autorizadas;
- Evitar identificar o sistema ou suas aplicações, até que o processo de logon esteja completamente concluído;
- Durante o processo de logon, evitar o fornecimento de mensagens de ajuda que poderiam auxiliar um usuário não autorizado a completar esse procedimento;
- Validar a informação de logon apenas quando todos os dados de entrada estiverem completos. Caso ocorra algum erro, o sistema não deve indicar qual parte do dado de entrada está correto ou incorreto;
- Limitar o número de tentativas de logon sem sucesso, e ainda registrar as tentativas de acesso inválidas, forçar um tempo de espera antes de permitir novas tentativas de entrada no sistema ou rejeitar qualquer tentativa posterior de acesso sem autorização específica, encerrar as conexões com o computador, limitar o tempo máximo para o procedimento de logon;
- Mostrar as seguintes informações, quando o procedimento de logon no sistema, finalizar com êxito:
II) detalhes de qualquer tentativa de logon sem sucesso, desde o último procedimento realizado com sucesso.
c) O que é identificação do usuário?
A identificação do usuário, ou ID, deve ser única, isto é, cada usuário deve ter uma identificação própria. Todos os usuários autorizados devem ter um ID, quer seja um código de caracteres, cartão inteligente ou qualquer outro meio de identificação. Essa unicidade de identificação permite um controle das ações praticadas pelos usuários através dos logs. No caso de identificação a partir de caracteres, é comum estabelecer certas regras de composição, como, por exemplo, quantidade mínima e máxima de caracteres, misturando letras, números e símbolos.
d) O que é autenticação do usuário?
Os sistemas de autenticação são uma combinação de hardware, software e de procedimentos que permitem o acesso de usuários aos recursos computacionais. Na autenticação, o usuário deve apresentar algo que só ele saiba ou possua, podendo até envolver a verificação de características físicas pessoais.
e) Como orientar os usuários em relação às senhas?
Todos os usuários devem ser solicitados a manter a confidencialidade das senhas, não compartilhar senhas, evitar registrar as senhas em papel, selecionar senhas de boa qualidade, evitando o uso de senhas muito curtas ou muito longas, alterar a senha sempre que existir qualquer indicação de possível comprometimento do sistema ou da própria senha, alterar a senha em intervalos regulares ou com base no número de acessos, evitar reutilizar as mesmas senhas, alterar senhas temporárias no primeiro acesso ao sistema, não incluir senhas em processos automáticos de acesso ao sistema.
f) Que tipos de senhas devem ser evitadas?
Nome de usuário; identificador do usuário (ID), mesmo que seus caracteres estejam embaralhados; nome de membros de sua família ou de amigos íntimos; nomes de pessoas ou lugares em geral; nome do sistema operacional ou da máquina que está sendo utilizada; nomes próprios; datas; números de telefone, de cartão de crédito, de carteira de identidade ou de outros documentos pessoais; placas ou marcas de carro; palavras que constam de dicionários em qualquer idioma; letras ou números repetidos; letras seguidas do teclado do computador; objetos ou locais que podem ser vistos a partir da mesa do usuário; qualquer senha com menos de seis caracteres.
g) Como escolher uma boa senha?
Para ser boa mesmo, a senha tem de ser difícil de ser adivinhada por outra pessoa, mas de
fácil memorização, para que não seja necessário anotá-la em algum lugar. Também é conveniente escolher senhas que possam ser digitadas rapidamente, dificultando que outras pessoas, a uma certa distância ou por cima de seus ombros, possam identificar a sequência de caracteres. É também recomendável não utilizar a mesma senha para vários sistemas. Adquira o hábito de trocar sua senha com frequência. Trocá-la a cada sessenta, noventa dias é considerada uma boa prática.
h) Como deve ser feita a concessão de senhas aos usuários?
A concessão de senhas deve ser feita de maneira formal, considerando os seguintes pontos:
- Solicitar aos usuários a assinatura de uma declaração, a fim de manter a confidencialidade de sua senha pessoal (isso pode estar incluso nos termos e condições do contrato de trabalho do usuário);
- Garantir, aos usuários, que estão sendo fornecidas senhas iniciais seguras e temporárias, forçando-os a alterá-las imediatamente no primeiro logon. O fornecimento das senhas temporárias, nos casos de esquecimento por parte dos usuários, deve ser efetuado somente após a identificação positiva do respectivo usuário;
- Fornecer as senhas temporárias aos usuários de forma segura. O uso de terceiros ou de mensagens de correio eletrônico desprotegidas (não criptografadas) deve ser evitado.
acesso aos seus sistemas?
O sistema de controle de senhas deve ser configurado para proteger as senhas armazenadas contra uso não autorizado, sem apresentá-las na tela do computador, mantendo-as em arquivos criptografados e estipulando datas de expiração (normalmente se recomenda a troca de senhas após 60 ou 90 dias). Alguns sistemas, além de criptografar as senhas, ainda guardam essas informações em arquivos escondidos que não podem ser vistos por usuários, dificultando, assim, a ação dos hackers. Para evitar o uso frequente das mesmas senhas, o sistema de controle de senhas deve manter um histórico das últimas senhas utilizadas por cada usuário.
Deve-se ressaltar, entretanto, que a troca muito frequente de senhas também pode confundir o usuário, que poderá passar a escrever a senha em algum lugar visível ou escolher uma senha mais fácil, comprometendo, assim, sua segurança. O gerente de segurança deve desabilitar contas inativas, sem senhas ou com senhas padronizadas. Até mesmo a senha temporária fornecida ao usuário pela gerência de segurança deve ser gerada de forma que já entre expirada no sistema, exigindo uma nova senha para os próximos logons. Portanto, deve haver um procedimento que force a troca de senha imediatamente após a primeira autenticação, quando o usuário poderá escolher a senha que será utilizada dali por diante.
Ex-funcionários devem ter suas senhas bloqueadas. Para isso, devem existir procedimentos administrativos eficientes que informem o gerente de segurança, ou o administrador dos sistemas, da ocorrência de demissões ou de desligamentos de funcionários. Esses procedimentos, na prática, nem sempre são seguidos, expondo a organização a riscos indesejáveis. Também devem ser bloqueadas contas de usuários após um determinado número de tentativas de acesso sem sucesso. Esse procedimento diminui os riscos de alguém tentar adivinhar as senhas. Atingido esse limite, só o administrador do sistema poderá desbloquear a conta do usuário, por exemplo.
j) Existem outras formas de autenticação do usuário, além do uso de
senhas?
Sim. A autenticação dos usuários pode ser feita a partir de tokens, ou ainda, de sistemas biométricos.
k) Como restringir o acesso aos recursos informacionais?
O fato de um usuário ter sido identificado e autenticado não quer dizer que ele poderá acessar qualquer informação ou aplicativo sem qualquer restrição. Deve-se implementar um controle específico, restringindo o acesso dos usuários apenas às aplicações, arquivos e utilitários imprescindíveis para desempenhar suas funções na organização. Esse controle pode ser feito por menus, funções ou arquivos.
l) O que são cartões magnéticos inteligentes?
Os cartões inteligentes são tokens que contêm microprocessadores e capacidade de memória
suficiente para armazenar dados, a fim de dificultar sua utilização por outras pessoas que não seus proprietários legítimos.
m) O que são sistemas biométricos?
Os sistemas biométricos são sistemas automáticos de verificação de identidade baseados em características físicas do usuário. Esses sistemas têm como objetivo suprir deficiências de segurança das senhas, que podem ser reveladas ou descobertas, e das tokens, que podem ser
perdidas ou roubadas.
n) Que características humanas podem ser verificadas por sistemas
biométricos?
Teoricamente, qualquer característica humana pode ser usada como base para a identificação biométrica. Na prática, entretanto, existem algumas limitações. Abaixo seguem algumas características humanas verificadas por sistemas biométricos existentes:
- Impressões digitais - são características únicas e consistentes;
- Voz - os sistemas de reconhecimento de voz são usados para controle de acesso, porém não são tão confiáveis como as impressões digitais;
- Geometria da mão - Também é usada em sistemas de controle de acesso, porém essa característica pode ser alterada por aumento ou diminuição de peso, ou pela artrite;
- Configuração da íris e da retina - os sistemas que utilizam essas características se propõem a efetuar uma identificação mais confiável do que os sistemas que verificam impressões digitais;
- Reconhecimento facial através de termogramas - o termograma facial é uma imagem captada por uma câmera infravermelha que mostra os padrões térmicos de uma face. É altamente confiável, não sendo afetada por alterações de saúde, idade ou temperatura do corpo.
O fato de um usuário ter sido identificado e autenticado não quer dizer que ele poderá acessar qualquer informação ou aplicativo sem qualquer restrição. Deve-se implementar um controle específico, restringindo o acesso dos usuários apenas às aplicações, arquivos e utilitários imprescindíveis para desempenhar suas funções na organização. Esse controle pode ser feito por menus, funções ou arquivos.
a) Para que servem os controles de menu?
Os controles de menu podem ser usados para restringir o acesso de diferentes categorias de usuários apenas àqueles aplicativos ou utilitários indispensáveis a cada categoria.
b) Para que servem os controles de funções de aplicativos?
No que diz respeito às funções internas dos aplicativos, os respectivos proprietários deverão definir quem poderá acessá-las e como, por meio de autorização para uso de funções específicas ou para restrição de acesso a funções de acordo com o usuário (menus de acesso predefinidos), horário ou tipo de recursos (impressoras, fitas backup).
c) Como proteger arquivos?
A maioria dos sistemas operacionais possui mecanismos de controle de acesso que definem as permissões e os privilégios de acesso para cada recurso ou arquivo no sistema. Quando um usuário tenta acessar um recurso, o sistema operacional verifica se as definições de acesso desse usuário e do recurso desejado conferem. O usuário só conseguirá o acesso se essa verificação for positiva. Para garantir a segurança lógica, pode-se especificar dois tipos de controle, sob óticas diferentes:
- o que um sujeito pode fazer, ou
- o que pode ser feito com um objeto.
Definir direitos de acesso individualmente para cada sujeito e objeto pode ser uma maneira um tanto trabalhosa quando estiverem envolvidas grandes quantidades de sujeitos e objetos. A forma mais comum de definição de direitos de acesso, nesse caso, é a matriz de controle de acesso. Nessa matriz pode-se fazer duas análises: uma em relação aos sujeitos; outra, em relação aos objetos. Na primeira abordagem, cada sujeito recebe uma permissão (ou capacidade) que define todos os seus direitos de acesso. As permissões de acesso são, então, atributos, associados a um sujeito ou objeto, que definem o que ele pode ou não fazer com outros objetos. Essa abordagem no entanto, é pouco utilizada, já que, na prática, com grandes quantidades de sujeitos e objetos, a visualização exata de quem tem acesso a um determinado objeto não é tão clara, comprometendo, assim, a gerência de controle de acesso.Na segunda abordagem, os direitos de acesso são armazenados com o próprio objeto formando a chamada lista de controle de acesso (Access Control List (ACL)).
e) O que são listas de controle de acesso?
As listas de controle de acesso nada mais são do que bases de dados, associadas a um objeto, que descrevem os relacionamentos entre aquele objeto e outros, constituindo-se em um mecanismo de garantia de confidencialidade e integridade de dados.
4. Como monitorar o acesso aos recursos informacionais?
O monitoramento dos sistemas de informação é feito, normalmente, pelos registros de log, trilhas de auditoria ou outros mecanismos capazes de detectar invasões. Esse monitoramento é essencial à equipe de segurança de informações, já que é praticamente impossível eliminar por completo todos os riscos de invasão por meio da identificação e autenticação de usuários.
a) O que são logs?
Os logs são registros cronológicos de atividades do sistema que possibilitam a reconstrução, revisão e análise dos ambientes e das atividades relativas a uma operação, procedimento ou evento, acompanhados do início ao fim. Os logs são utilizados como medidas de detecção e monitoramento, registrando atividades, falhas de acesso (tentativas frustradas de logon ou de acesso a recursos protegidos) ou uso do sistema operacional, utilitários e aplicativos, e detalhando o que foi acessado, por quem e quando.
b) O que deve ser registrado em logs?
Normalmente, os registros de log Incluem:
- Identificação dos usuários;
- Datas e horários de entrada (logon) e saída do sistema (logoff);
- Identificação da estação de trabalho e, quando possível, sua localização;
- Registros das tentativas de acesso (aceitas e rejeitadas) ao sistema;
- Registros das tentativas de acesso (aceitas e rejeitadas) a outros recursos e dados.
Outro recurso de proteção bastante utilizado em alguns sistemas é o time-out automático, isto é, a sessão é desativada após um determinado tempo sem qualquer atividade no terminal ou computador. Para restaurá-la, o usuário é obrigado a fornecer novamente seu ID e senha. Como controle de acesso lógico, a gerência de segurança pode ainda limitar o horário de uso dos recursos computacionais de acordo com a real necessidade de acesso aos sistemas. Pode-se, por exemplo, desabilitar o uso dos recursos nos fins de semana ou à noite.
É usual também limitar a quantidade de sessões concorrentes, impedindo que o usuário consiga entrar no sistema ou na rede a partir de mais de um terminal ou computador simultaneamente. Isso reduz os riscos de acesso ao sistema por invasores, pois se o usuário autorizado já estiver conectado, o invasor não poderá entrar no sistema. Da mesma forma, se o invasor estiver logado, o usuário autorizado, ao tentar se conectar, identificará que sua conta já está sendo usada e poderá notificar o fato à gerência de segurança.
6. Onde as regras de controle de acesso são definidas?
As regras de controle e direitos de acesso para cada usuário ou grupo devem estar claramente definidas no documento da política de controle de acesso da instituição, o qual deverá ser fornecido aos usuários e provedores de serviço para que tomem conhecimento dos requisitos de segurança estabelecidos pela gerência.
a) O que considerar na elaboração da política de controle de acesso?
A política de controle de acesso deve levar em conta:
- Os requisitos de segurança de aplicações específicas do negócio da instituição;
- A identificação de toda informação referente às aplicações do negócio;
- As políticas para autorização e distribuição de informação (por exemplo, a necessidade de conhecer os princípios e níveis de segurança, bem como a classificação da informação);
- A compatibilidade entre o controle de acesso e as políticas de classificação da informação dos diferentes sistemas e redes;
- A legislação vigente e qualquer obrigação contratual, considerando a proteção do acesso a dados ou serviços;
- O perfil do acesso padrão para categorias de usuários comuns;
- O gerenciamento dos direitos de acesso em todos os tipos de conexões disponíveis em um ambiente distribuído conectado em rede.
Ao especificar as regras de controle de acesso, devem ser considerados os seguintes aspectos:
- Diferenciar regras que sempre devem ser cumpridas das regras opcionais ou condicionais;
- Estabelecer regras baseadas na premissa "Tudo deve ser proibido a menos que seja expressamente permitido" ao invés da regra "Tudo é permitido a menos que seja expressamente proibido";
- Diferenciar as permissões de usuários que são atribuídas automaticamente por um sistema de informação daquelas atribuídas por um administrador;
- Priorizar regras que necessitam da aprovação de um administrador antes da liberação daquelas que não necessitam de tal aprovação.
O acesso aos sistemas de informação deve ser controlado por um processo formal, o qual deverá abordar, entre outros, os seguintes tópicos:
- Utilização de um identificador de usuário (ID) único, de forma que cada usuário possa ser identificado e responsabilizado por suas ações;
- Verificação se o usuário obteve autorização do proprietário do sistema de informação ou serviço para sua utilização;
- Verificação se o nível de acesso concedido ao usuário está adequado aos propósitos do negócio e consistente com a política de segurança da organização;
- Fornecimento, aos usuários, de documento escrito com seus direitos de acesso. Os usuários deverão assinar esse documento, indicando que entenderam as condições de seus direitos de acesso;
- Manutenção de um registro formal de todas as pessoas cadastradas para usar cada sistema de informações;
- Remoção imediata dos direitos de acesso de usuários que mudarem de função ou saírem da organização;
- Verificação periódica da lista de usuários, com intuito de remover usuários inexistentes e IDs em duplicidade;
- Inclusão de cláusulas nos contratos de funcionários e prestadores de serviço, que especifiquem as sanções a que estarão sujeitos em caso de tentativa de acesso não autorizado.
A responsabilidade sobre os controles de acesso lógico pode ser tanto do gerente do ambiente operacional como dos proprietários (ou gerentes) de aplicativos. O gerente do ambiente operacional deve controlar o acesso à rede, ao sistema operacional e seus recursos e, ainda, aos aplicativos e arquivos de dados. É responsável, assim, por proteger os recursos do sistema contra invasores ou funcionários não autorizados. Enquanto isso, os proprietários dos aplicativos são responsáveis por seu controle de acesso, identificando quem pode acessar cada um dos sistemas e que tipo de operações pode executar. Por conhecerem bem o sistema aplicativo sob sua responsabilidade, os proprietários são as pessoas mais indicadas para definir privilégios de acesso de acordo com as reais necessidades dos usuários.
a) Em que os usuários podem ajudar na implantação dos controles de acesso
lógico?
A cooperação dos usuários autorizados é essencial para a eficácia da segurança. Os usuários devem estar cientes de suas responsabilidades para a manutenção efetiva dos controles de acesso, considerando, particularmente, o uso de senhas e a segurança dos equipamentos de informática que costumam utilizar.
