23 de mar. de 2010

Considerações gerais sobre segurança de redes e sistemas

A segurança de sistemas é um tema muito amplo que não poderia ser abordado em detalhes neste breve artigo, mas abordaremos de uma forma simples determinados cuidados que empresas e usuários domésticos podem tomar para manter a integridade e sigilo de suas informações. Disporemos de um modelo FAQ (perguntas e respostas) para facilitar o entendimento.

1.1 - Existe um sistema e/ou rede 100% seguro
Definitivamente não, a única rede segura é aquela que não está conectada a outras redes (ex: internet) e o sistema 100% seguro é aquele computador que além de não estar conectado a rede alguma é usado apenas por um indivíduo e que somente este tem acesso físico ao computador em questão. Portanto não acredite em "lendas urbanas" sobre redes/sistemas inespugnáveis, todo segredo que mais de um indivíduo tem conhecimento deixa de ser segredo, pode parecer irônico mas é a mais pura realidade.

1.2 - O que fazer para minimizar estes riscos?
Há uma série de procedimentos que minimizam os riscos de segurança da sua rede/sistema e ao contrário do que pregam muitos "evangelizadores de segurança" as soluções são mais uma mudança de comportamento dos usuários, do que implementações em hardware/software, pois de nada adianta eu ter um firewall robusto se um usuário ingênuo ou mal intensionado fornece a informação a outrem em uma bandeja de prata. Isso nem mesmo precisa ocorrer de forma "digital", o mero conhecimento de uma informação estratégica de uma empresa pode ser passada a sua concorrente até mesmo num papel de embrulhar pão. A forma mais eficiente de se preservar o sigilo de uma informação é o procedimento adotado por orgãos militares, e de inteligência este procedimento chama-se, compartimentação da informação ou seja, o indivíduo integrado em uma equipe de trabalho somente sabe aquilo que precisa saber para desempenhar sua função, no caso deste indivíduo inadivertidamente ou maldosamente passar esta informação a outrem, ela será apenas um fragmento de um contexto maior e será praticamente inútil. Aplicar este conceito em uma rede de computadores corporativa é relativamente simples do ponto de vista técnico no entanto não é tão simples do ponto de vista de relacionamento interpessoal não raro gerando animosidades no ambiente de trabalho. Portanto ao se estabelecer políticas de segurança em uma empresa deve-se levar isso em consideração.

1.3 - Como estabelecer uma política de compartimentação de informação em uma rede corporativa?
A primeira coisa a ser feita é dividir a rede em segmentos menores, um para cada departamento e cada departamento relacionando-se apenas com o outro departamento com que se tenha vínculo direto. Caso haja necessidade de transferência de informação entre departamentos não correlatos, esta deve ser feita da mesma forma como se trata uma informação de origem alienígena a empresa.

Ex: é comum verificar se um e-mail é hostil quando ele vem de fora da empresa, mas relaxa-se quando o e-mail vem da própria empresa.
Outro fato muito grave que ocorre em muitas empresas é aquele em que os diretores podem tudo na rede corporativa, por incrível que pareça os maiores e mais grotescos incidentes de segurança ocorrem através das estações usadas pelos dirigentes, estes por serem de fato dirigentes, pensam que podem comportar-se da mesma forma num ambiente digital. A política de segurança tem que abranger a TODOS os usuários de uma rede corporativa sem excessões. Nós mesmos temos alguns clientes que por exigência dos donos da empresa abrimos estas excessões e os resultados são sempre, eu disse SEMPRE nefastos. Claro que fazemos o que os clientes querem, mas impomos termos de responsabilidade a estes clientes, claro que isso acaba gerando um ônus para a empresa, não só do ponto de vista financeiro como de horas paradas, quedas de produtividade, comprometimento do sigilo etc.

1.4 - Utilizamos firewall, antivírus nos servidores e nas estações. Isso basta?
Definitivamente não, pelos seguintes motivos:
1.4.1 - Antivírus e firewalls somente protegem vulnerabilidades conhecidas, e todos os dias são criados novos vírus e exploits que nem mesmo se tem alguma notícia até que algum incidente ocorra.
1.4.2 - Programas antivírus e firewalls pessoais comerciais são fornecidos por empresas que na verdade tem interesse que existam tais vulnerabilidades para elas poderem vender seus produtos, última versão disso ou daquilo, updates etc. Elas alegam que seus produtos são inespugnáveis e protegem de tudo dando ao usuário uma sensação de segurança que não passa de uma sensação mesmo.
Os usuários tem que ter em mente isso quando ao confiarem seus sistemas a estes penduricalhos de segurança. Portanto confiem em seu comportamento ao usar um computador e não em programas que prometem mundos e fundos no que tange a segurança.

1.5 - O que fazer quanto segurança física dos dados? Se roubarem ou apreenderem os computadores como é que ficamos?
Em segurança de sistemas, existe uma palavra de ordem que deve ser seguida religiosamente, deve ecoar como um mantra na mente de todos os administradores de sistemas e usuários, esta palavra mágica de grande poder é BACKUP. O backup deveria ser a primeira coisa a ser ensinada em qualquer curso de informática até mesmo para as escolas de jardim da infância que tem computadores para entreter os pimpolhos.
A política de backup deve ser tão ou mais rígida que as políticas de segurança de redes, há inúmeras formas de se fazer o backup dos dados, formas automatizadas, em tempo real, locais, remotos, em um sem número de mídias cada uma delas destinada para cada necessidade e cada orçamento. Há inclusive empresas especializadas em armazenamento de dados e os serviços são relativamente baratos.
O backup resguarda a integridade de seus dados mas não o seu sigilo, quanto a isso as medidas são um pouco mais complexas, mas asseguram o sigilo de seus dados e protegem você e sua empresa de complicações sérias que vão desde assuntos de ordem pessoal até mesmo roubo de segredos industriais, passando por problemas de ordem fiscal.

Esperamos que nestas breves linhas possamos haver esclarecido um pouco sobre conceitos basicos de segurança da informação.

Nenhum comentário:

Postar um comentário