No artigo anterior falamos sobre as perguntas que devemos fazer a Aplicação de identificação e autenticação.
Hoje iremos abordar as perguntas sobre autorização.
Autorização
Autorização se refere ao procedimento de determinar quais dados ou funcionalidades o usuário tem acesso. As perguntas a seguir visam à determinação dos controles relativos à determinação e manutenção das autorizações.
1 - A Aplicação requer restrições de acesso conforme a máquina de onde vem acesso?
A aplicação aceitará apenas acessos vindos de máquinas específicas, não permitindo o acesso a determinadas ou todas as funcionalidades da Aplicação.
Hoje iremos abordar as perguntas sobre autorização.
Autorização
Autorização se refere ao procedimento de determinar quais dados ou funcionalidades o usuário tem acesso. As perguntas a seguir visam à determinação dos controles relativos à determinação e manutenção das autorizações.
1 - A Aplicação requer restrições de acesso conforme a máquina de onde vem acesso?
A aplicação aceitará apenas acessos vindos de máquinas específicas, não permitindo o acesso a determinadas ou todas as funcionalidades da Aplicação.
Pode-se também perguntar se a Aplicação requer restrições de acesso conforme a sub-rede de onde vem o acesso.
Risco Mitigado: invasão externa (hacker)
________________________________________
2 - Há alguma restrição de horário para o acesso a Aplicação?
Aplicações cujo uso será apenas no ambiente de trabalho podem restringir o seu uso ao horário comercial, reduzindo assim a janela de oportunidades para uma invasão.
Risco Mitigado: invasão externa (hacker)
________________________________________
3 - O uso normal da Aplicação pode acarretar longos períodos de inatividade do usuário?
Um item que muitas se esquecem e que é muito importante em uma Aplicação segura é o Timeout.
A sessão da Aplicação, ou seja, a ligação entre o usuário logado e sua credencial de acesso a Aplicação deverá ser terminada após um tempo definido de inatividade na Aplicação.
Se não houver um Timeout na Aplicação, sempre haverá porta aberta em sua aplicação.
Risco Mitigado: reduzir o risco de ataques de captura de sessão
________________________________________
4 -O uso da Aplicação tem um prazo definido? É possível determinar quando o usuário não mais precisará do acesso a Aplicação?
Sempre que possível a Aplicação deverá validar se os usuários ainda precisam ter acesso a Aplicação e bloquear este acesso quando não mais necessário. Isto pode ser por tempo ou por outros eventos como mudança de cargo ou lotação, por exemplo.
Risco Mitigado: acesso indevido de usuários que não tem mais vínculo com os dados e/ou funcionalidades da Aplicação
5 - A Aplicação faz interface com aplicações externa?
A Aplicação deve garantir que outras Aplicações que se comuniquem automaticamente com ela sejam quem diz em ser por meio de um processo de autenticação entre elas.
Um outro ponto é a criptografia. A Aplicação é responsável por garantir que a transmissão seja feita por meio de protocolos criptografados (HTTPS, FTPF, etc...).
Se a Aplicação atual não for responsável por manter a segurança, deve-se indicar no projeto, de forma clara, qual a Aplicação ou requisito no ambiente será responsável por manter esta segurança.
Risco Mitigado: acesso indevido de usuários que não tem mais vínculo com os dados e/ou funcionalidades da Aplicação
________________________________________
5 - A Aplicação faz interface com aplicações externa?
A Aplicação deve garantir que outras Aplicações que se comuniquem automaticamente com ela sejam quem diz em ser por meio de um processo de autenticação entre elas.
Um outro ponto é a criptografia. A Aplicação é responsável por garantir que a transmissão seja feita por meio de protocolos criptografados (HTTPS, FTPF, etc...).
Se a Aplicação atual não for responsável por manter a segurança, deve-se indicar no projeto, de forma clara, qual a Aplicação ou requisito no ambiente será responsável por manter esta segurança.
________________________________________
Artigo sobre Identificação e Autenticação
Abraços e até a próxima!
________________________________________
Gostou? Compartilhe
Abraços e até a próxima!
________________________________________
Gostou? Compartilhe
Nenhum comentário:
Postar um comentário