Auditoria como controle de segurança dissuasivo

Existem vários controles de segurança que podemos aplicar quando estamos tratando de segurança em profundidade.

Esses tipos de controle existem com um proposito de reduzir o risco associado a determinados ativos ou recursos.

A proteção em camadas permite que diferentes tipos de controles de segurança sejam aplicados a fim de diminuir uma potencial ameaça, pois assim o atacante deverá passar por vários níveis de segurança e isso aumenta a proteção.

Existem nas camadas de proteção diversos tipos de controles que podem ser administrativos, físicos ou técnicos e entre os diversos controles de segurança podemos classificar alguns como:

  • Preventivos
  • Detectivos
  • Corretivos
  • Dissuasivos

Temos por exemplo controles preventivos que são administrativos, físicos e técnicos.

Um exemplo de controle preventivo administrativo, pode ser as politicas e procedimentos de segurança ou a classificação de dados. Como controle preventivo físico temos cercas, muros, crachás e cartões de entrada. Já como controle preventivo técnico podemos fazer o uso de firewall, aplicar listas de controle de acesso, etc.

Os controles dissuasivos são intencionalmente criados para desencorajar um potencial atacante.

Controles dissuasivos são eficientes em vários cenários, claro que sempre acompanhado de outros para que tenhamos uma proteção bem mais elaborada.

Um clássico exemplo de controle de segurança física dissuasiva é a famosa cerca de proteção e as luzes e inclusive esses foram os dois únicos exemplos citados em um livro que eu estou lendo. Foi então que eu me lembrei de duas situações reais onde podemos ver esse controle aplicado no âmbito administrativo e técnico e que podem nos ajudar a um tipo especifico de atacante. O Insider.

Mas atenção, para qualquer outro tipo de atacante esse controle somente não será eficiente.

Acima eu usei como exemplo as politicas e procedimentos de segurança como controle preventivo administrativo, e na pratica quando as politicas de segurança são expostas aos usuários, aqueles mal intencionados já pensarão duas vezes antes de executar alguma ação, pois saberão por exemplo que estarão sendo auditados e a própria auditoria que já é classificada como um controle de segurança técnico detectivo por monitorar e gerar logs, pode então ser classificada também como dissuasiva, pois um usuário legitimo talvez não queira se arriscar em acessar recursos onde será registrado o seu acesso.

Alias muitas soluções permitem aplicar notificações aos usuários que estão acessando recursos auditados como por exemplo o “Change Auditor” ou o “InTrust” da Quest Software. E isso pode ser classificado como um controle técnico também, uma vez que um determinado usuário receber uma notificação que está se aventurando por recursos protegidos e monitorados ele certamente será desencorajado de executar atos maliciosos. Ao menos é isso que esperamos.

Anúncio

Sobre Daniel Donda 549 Artigos
Olá, meu nome é Daniel Donda e sou especialista em cibersegurança, autor de livros, professor e palestrante. Saiba mais

3 Comentários

  1. Parabéns Donda! Além de uma linguagem clara, deixa cada vez mais esclarecido o desafio que temos hoje em segurança no ambiente do datacenter.

Faça um comentário

Seu e-mail não será divulgado.


*