Embed Size (px)
Citation preview
CAN – Controle de Acesso NacionalCAN – Controle de Acesso NacionalExposição para usuários Exposição para usuários Administração RegionalAdministração Regional
O Controle de Acesso Nacional foi desenvolvido para suprir a necessidade de maior segurança e controle da informação administrada pelos sistemas corporativos do SESC.
DESCRIÇÃO/OBJETIVOS
Podemos citar como principais objetivos:
- Garantir o acesso a informação e sua autenticidade de forma segura e confiável de acordo com o perfil de cada usuário.- Integrar as informações do RH com TI de forma a manter atualizados os direitos de acesso.-Garantir ao Regional total liberdade na definição de sua política de segurança da informação oferecendo ferramenta e treinamento adequados.-Criar uma mesma soluções para aplicações WEB e DESKTOP.
Mecanismo de segurança, controle e administração dos sistemas, o Controle de Acesso Nacional é composto por elementos internos a cada sistema, pelo CANWeb (site e aplicação) e CANDesktop (aplicação).
Foi criado um cadastro único de usuários vinculado ao CNRH de forma que ninguém em todo país tenha um login repetido, o que é necessário para sistemas que rodam na nossa Intranet. É a partir desse cadastro que são gerados os logins dos usuários no regional.
DESCRIÇÃO/OBJETIVOS
Há a possibilidade de personalização não só dos direitos de acesso a operações de um sistema como também, se necessário, aos seus registros.
O CAN foi desenvolvido não só para aplicações web como também para aplicações desktop nas quais ele substituirá o controle de acesso anterior.
RECURSOS
Senha criptografada
O CAN utiliza algoritmo de criptografia de 64 bits para dados críticos, o que garante a confidencialidade da sua senha.
Controle de sessão e de tempo de inatividade
Todo sistema tem um tempo de sessão programável que também é o tempo de inatividade máximo que o mesmo pode ter. Através da aplicação CAN é possível saber, dentre outras informações, quem está no sistema, a que horas entrou, de onde entrou, etc.
Logon protegido
Se uma senha incorreta for informada mais de 5 vezes no espaço de tempo de 1 minuto, o acesso do usuário será bloqueado tendo o mesmo que entrar em contato com a área de TI.(*)
Senha segura
Solução simples de modo a orientar o usuário na escolha da sua assinatura eletrônica. Já que estamos garantindo a confidencialidade da sua senha e promovendo uma série de recursos de segurança, precisamos nos conscientizar na definição da nossa assinatura. O mecanismo está, atualmente, implementado de forma a avisar o usuário esclarecendo-o, no entanto sem impedi-lo de definir uma senha fácil.
Comunicados por e-mail
Os administradores do CAN serão avisados quando pessoas são admitidas, demitidas e transferidas de modo a atualizar os direitos de acesso no CAN. Esse mesmo recurso de comunicados por e-mail poderá ser utilizado por qualquer sistema que deseje avisar os administradores do mesmo se um evento pré-definido ocorrer.
RECURSOS
Aplicação Controle de Acesso separada dos sistemas de informação
A administração do Controle de Acesso não é feita de dentro de cada sistema, em vez disso há uma aplicação exclusiva para esse fim e cada administrador de sistema precisará tê-la instalada em seu computador.
Login único para todo Brasil
O CAN está totalmente vinculado ao CNRH(Cadastro Nacional de Recursos Humanos) no que diz respeito a identificação dos usuários. Ou seja, não existe usuário do CAN que não tenha origem no CNRH. Para habilitar um usuário no regional é preciso obter uma chave de ativação de usuário. Essas chaves podem ser obtidas diretamente pela Intranet do SESC no CANWeb ou mesmo por telefone(caso ocorra algum problema no link da Intranet). O procedimento de importação das chaves pelo regional é bastante simples e também funciona para importação em lote.
RECURSOS
Controle de acesso a operações por grupos de usuários
Os usuários só podem ter acesso as operações do sistema que o grupo de usuário a que ele pertence permite.
Controle de acesso a registros por grupos de usuários
Os usuários só podem ter acesso aos registros que o grupo de usuário a que ele pertence permite. Esse acesso pode ser personalizado como: ler registro, alterar registro, excluir registro, alterar direitos sobre registro.
RECURSOS
Separação entre administrador do CAN e administrador de sistema de informação
O administrador do CAN é o profissional de Tecnologia da Informação(TI) responsável pela segurança das informações e é ele quem dará direito aos administradores de sistemas. Para ser administrador de sistema, não há a necessidade de ser da área de TI, e os critérios funcionais e hierárquicos é que devem ser considerados para indicação dos mesmos. Eles serão os responsáveis por determinar as operações que cada grupo de usuários do seu sistema pode executar.
RECURSOS
Interface intuitiva
O CAN para desktop, o CAN para web e o site do projeto foram desenvolvidos com a mesma concepção visual de modo a facilitar o entendimento.
ALGUMAS DIFERENÇAS
- Não há um cadastramento de usuário, gera-se um usuário a partir de uma pessoa do CNRH.
- Não é permitido nem necessário a utilização de usuários genéricos como: “admin”, “caixa”, “atendente”, contabilidade, etc...No entanto, pode-se ter usuários como pdv1-al, pdv2-al, pdv3-al, cada um associado a uma pessoa real.
- O controle e administração do sistema não é feito de dentro do próprio. Existe aplicações exclusivas para este fim:
Para aplicações WEB: http://intranet.sesc.com.br/canPara aplicações desktop: O CAN(desktop)
- Os “Perfis” agora são chamados de “Grupos de Usuários”
ALGUMAS DIFERENÇAS
Telas do antigo Controle de Acesso:
Acima temos o cadastro de classes e ao lado podemos ver a tela onde definia-se o que cada perfil podia realizar.
ALGUMAS DIFERENÇAS
Tela onde os desenvolvedores organizam as operações do sistema. Pode-se ver a classificação definida no projeto.
ALGUMAS DIFERENÇASGERENCIANDO DIREITOS DE ACESSO
O usuário acima tem acesso as operações 1, 3 e 4.
Tela com os Grupos de Usuários (perfis) de um sistema
ALGUMAS DIFERENÇASGERENCIANDO DIREITOS DE ACESSO (Desktop)
Aqui temos as operações relacionadas ao grupo de usuários (perfil)MKT-DN(Marketing de relacionamento DN)
ALGUMAS DIFERENÇASGERENCIANDO DIREITOS DE ACESSO (Desktop)
Exemplo de usuários participando do grupo MKT-DN(Marketing de relacionamento DN)
ALGUMAS DIFERENÇASGERENCIANDO DIREITOS DE ACESSO (Desktop)
ALGUMAS DIFERENÇASGERENCIANDO DIREITOS DE ACESSO (na Intranet)
Tela com os Grupos de Usuários (perfis) do CNRH no DR/AL
Definição do perfil RH-AL
ALGUMAS DIFERENÇASGERENCIANDO DIREITOS DE ACESSO (na Intranet)
Participantes do perfil RH-AL
ALGUMAS DIFERENÇASGERENCIANDO DIREITOS DE ACESSO (na Intranet)
CONTROLE DE SESSÃO
Usuários logados(sessão ativa) nos sistemas.
- Existe agora um mecanismo para checar se a senha escolhida pelo usuário é insegura. Solução simples de modo a orientar o usuário na escolha da sua assinatura eletrônica, pois já que estamos garantindo a confidencialidade da senha e promovendo uma série de recursos de segurança, precisamos conscientizar os usuários na definição da sua assinatura. O mecanismo está, atualmente, implementado de forma a avisar o usuário esclarecendo-o, no entanto sem impedi-lo de definir uma senha fácil.
SENHA – SUA ASSINATURA DIGITAL
SENHA – SUA ASSINATURA DIGITAL
Os seguintes pontos são analisados:
- Utilização de senha que tenha o login em seu conteúdo;- Utilização dos nomes que constituem o nome completo como parte da senha;- A senha precisa ter no mínimo 6 caracteres e é "case-sensitive“, ou seja: "aeiou" é diferente de "AEIOU";- Senha com menos de 3 caracteres diferentes;- Seqüências do tipo "1234", "1111", "ABCD", "AAAA" e "ABABABAB" são detectadas;- Senhas contendo palavras muito utilizadas no SESC: "TESTE", "SENHA", "SESC", "SOCIAL", "EDUCACAO", "ODONTO", "CAIXA", "LAZER", etc...
- É importante difundir a cultura de que a senha nos sistemas corporativos é a assinatura digital do usuário e assim como no papel intransferível.
