Estabelecer procedimentos
em transações corporativas, operar por meio de regras
de acesso e restrições, criar hierarquias de responsabilidades,
métodos de reação a eventuais falhas ou vulnerabilidades
e, acima de tudo, ter um padrão no que se refere à segurança
da companhia, entre outras, são estas as razões que
levam a criação de programas de segurança para redes
corporativas.
Princípios dos
Programas de Segurança
Um Programa de Segurança
bem estruturado deve prever o combate a ameaças que
possam afetar os sistemas de informação da empresa,
entre elas podemos citar as ameaças do ambiente (fogo,
enchente, etc.), erros humanos, fraudes, indisponibilidade,
falhas em sistemas ou nos diversos ambientes computacionais,
etc. Para cumprir esses objetivos, um Programa de Segurança
da Informação deve seguir quatro paradigmas básicos:
Integridade:
garante que as informações
ou os recursos da informação estão protegidos contra
modificações não autorizadas;
Confidencialidade:
informações não podem ser disponibilizadas ou divulgadas
sem autorização prévia do seu dono;
Disponibilidade:
possibilidade de acesso por aqueles que necessitam
das informações para o desempenho de suas atividades;
Legalidade:
estado legal da informação, ou seja, em conformidade
com os preceitos da legislação em vigor.
O que proteger
Antes de tratar da infra-estrutura
de tecnologias que compreendem uma rede corporativa,
é necessário que se avalie, detalhadamente, a amplitude
daquilo que se pretende proteger. O primeiro passo consiste
em realizar um levantamento e a classificação dos ativos
da empresa. É preciso avaliar o grau de risco e de vulnerabilidade
destes ativos, testar suas falhas e definir o que pode
ser feito para aperfeiçoar sua segurança.
O segundo passo diz
respeito a uma política de segurança que basicamente
estabelece a elaboração de normas e procedimentos dentro
da organização. Este trabalho normalmente é monitorado
por um grupo especialmente criado para esse fim. A infra-estrutura
de tecnologias é a terceira fase deste planejamento,
envolvendo desde aquisição de ferramentas, até configuração
e instalação de soluções, criação de projetos específicos
e recomendações de uso.
Ao delimitar estes processos,
o profissional de tecnologia de redes deve partir para
a fase de gerenciamento, passando pela análise de infra-estrutura
da empresa, auditoria de processos, testes regulares
de ataques a vulnerabilidades, revisões e acompanhamento
de políticas e tratamento de incidentes.
Redes sem fio
O tráfego de informações
através de redes sem fio ainda é objeto de estudo de
quanto às soluções de segurança da informação. A facilidade
de se trafegar dados dispensando a necessidade de conexão
a qualquer tipo de rede de cabos tem atraído cada vez
mais usuários em todas as partes do mundo. Entretanto,
o fato é que, em termos práticos, este meio de comunicação
ainda não está totalmente protegido de invasões e fraudes,
realidade que está diretamente relacionada ao desenvolvimento
dos padrões de comunicação dessas redes.
Um exemplo simples é
o padrão WEP (Wired Equivalent Privacy) que predomina
nas redes IEEE 802.11b, mas já demonstrou falhas graves
de segurança. Recentemente especialistas descobriram
meios de acessar a chave utilizada em sua criptografia
(o padrão utiliza a implementação do protocolo RC4 para
realizar a criptografia dos dados), quebrando a segurança
do padrão e, logo em seguida, apresentaram diversas
ferramentas disponíveis na Internet e capazes de romper
a segurança do WEP.
Em uma abordagem técnica,
nota-se que as redes sem fio possuem vulnerabilidades
que têm origem em concepção de padrão. É por esta razão
que os atuais fornecedores de produtos trabalham na
atualização desses sistemas de transmissão de dados.
Classificando
as informações
Um aspecto importante
que deve ser considerado na elaboração de um Programa
de Segurança é a classificação das informações. É preciso
que a informação seja claramente classificada para que
seja possível controlar o acesso aos dados, evitando,
dessa forma, que pessoas não autorizadas tenham acesso
a ela. Para tanto, é preciso classificar todas as informações
segundo grau de importância e teor crítico.
Informações
Confidenciais: são
aquelas que devem ser disseminadas somente para indivíduos
previamente definidos;
Informações
Corporativas: devem ser disseminadas somente
dentro da empresa;
Informações
Públicas: podem ser divulgadas dentro e fora
da empresa.
Aplicações
Algumas aplicações já
fazem parte da rotina das empresas. Dentre elas destacam-se:
Antivírus:
faz a varredura de arquivos maliciosos disseminados
pela Internet ou correio eletrônico. Basicamente,
sua função está atrelada à ponta do processo, isto
é, ao usuário que envia e recebe dados. Uma das últimas
tendências deste tipo de ameaça são os chamados "vírus
polimórficos", que possuem a capacidade de mudar
constantemente para driblar a vítima e dificultar
sua remoção;
Balanceamento
de carga: as ferramentas
de balanceamento estão relacionadas à capacidade de
operar de cada servidor da empresa. Elas permitem
que, em horários de grande utilização da rede, se
determine a hierarquia do que trafega, bem como o
equilíbrio da carga disseminada entre os servidores;
Firewall:
cumprem a função de controlar os acessos. São soluções
que, uma vez estabelecidas suas regras, passam a gerenciar
tudo o que deve entrar e sair da rede corporativa.
Muitas vezes, recomenda-se a adoção do firewall para
separar a intranet da companhia de seus clientes externos
ou de servidores e serviços públicos. Basicamente,
o firewall é um software, mas também pode incorporar
um hardware especializado;
Autenticações:
cartões, senhas numéricas e randômicas, recursos de
identificação como biometria, RFID, etc. Trata-se
do recurso utilizado para validar um acesso, identificando
de acordo com normas estipuladas pela empresa;
Detector de
Intrusão (IDS): estas ferramentas têm a função
de monitorar o tráfego contínuo da rede, identificando
ataques que estejam em execução. Como complemento
do firewall, o IDS (Intrusion Detection System) se
baseia em dados dinâmicos para realizar sua varredura,
como por exemplo, pacotes de dados com comportamento
suspeito, códigos de ataque e outros;
Varredura
de vulnerabilidades:
produtos que permitem realizar verificações regulares
em determinados componentes de rede como servidores
e roteadores. O objetivo destas ferramentas é encontrar
brechas de sistemas ou configurações;
Rede Privada
Virtual (VPN): uma
das alternativas mais adotadas pelas empresas na atualidade,
as VPN’s são canais que utilizam túneis para trafegar
dados criptografados entre divisões de uma mesma companhia,
parceiros de negócios etc;
Criptografia:
é utilizada para garantir a confidencialidade das
informações. Trata-se de uma codificação que usa um
processo de decifração para restaurar os dados ao
seu formato original. As chaves criptográficas podem
ser simétricas (privada) ou assimétricas (pública);
Autenticação:
são processos de identificação para disponibilizar
acesso. A autenticação e conseqüente autorização de
manipulação dos dados se baseiam em algo que o indivíduo
sabe (uma senha, por exemplo), algo que ele tem (dispositivos
como tokens, cartões inteligentes, etc) e o que ele
é (leitura de íris, linhas das mãos, etc);
Integradores:
permite centralizar o gerenciamento de diferentes
tecnologias que protegem as operações da rede. Mais
que uma solução, trata-se de um conceito.
Conclusão
Elaborar um Programa
de Segurança é uma tarefa complexa. Seus custos são
aparentemente elevados, ele precisa ser constantemente
monitorado, revisado e atualizado e seus resultados
só poderão ser notados a médio e longo prazo.
Pela complexidade de
cada uma das etapas que compreende um projeto de segurança,
os especialistas recomendam que a empresa desenvolva
a implementação baseada em projetos independentes. Análise
de logs das ferramentas, backup de base de dados, auditoria,
manutenção e atualização constante das ferramentas são
os passos seguintes. Uma vez que se tenha completado
este ciclo, entende-se que a rede estará pronta para
ser gerenciada adequadamente e colocada em funcionamento
com um grau maior de segurança. |