Programas de Segurança para Redes Corporativas

Estabelecer procedimentos em transações corporativas, operar por meio de regras de acesso e restrições, criar hierarquias de responsabilidades, métodos de reação a eventuais falhas ou vulnerabilidades e, acima de tudo, ter um padrão no que se refere à segurança da companhia, entre outras, são estas as razões que levam a criação de programas de segurança para redes corporativas.

Princípios dos Programas de Segurança
Um Programa de Segurança bem estruturado deve prever o combate a ameaças que possam afetar os sistemas de informação da empresa, entre elas podemos citar as ameaças do ambiente (fogo, enchente, etc.), erros humanos, fraudes, indisponibilidade, falhas em sistemas ou nos diversos ambientes computacionais, etc. Para cumprir esses objetivos, um Programa de Segurança da Informação deve seguir quatro paradigmas básicos:

Integridade: garante que as informações ou os recursos da informação estão protegidos contra modificações não autorizadas;

Confidencialidade: informações não podem ser disponibilizadas ou divulgadas sem autorização prévia do seu dono;

Disponibilidade: possibilidade de acesso por aqueles que necessitam das informações para o desempenho de suas atividades;

Legalidade: estado legal da informação, ou seja, em conformidade com os preceitos da legislação em vigor.

O que proteger
Antes de tratar da infra-estrutura de tecnologias que compreendem uma rede corporativa, é necessário que se avalie, detalhadamente, a amplitude daquilo que se pretende proteger. O primeiro passo consiste em realizar um levantamento e a classificação dos ativos da empresa. É preciso avaliar o grau de risco e de vulnerabilidade destes ativos, testar suas falhas e definir o que pode ser feito para aperfeiçoar sua segurança.

O segundo passo diz respeito a uma política de segurança que basicamente estabelece a elaboração de normas e procedimentos dentro da organização. Este trabalho normalmente é monitorado por um grupo especialmente criado para esse fim. A infra-estrutura de tecnologias é a terceira fase deste planejamento, envolvendo desde aquisição de ferramentas, até configuração e instalação de soluções, criação de projetos específicos e recomendações de uso.

Ao delimitar estes processos, o profissional de tecnologia de redes deve partir para a fase de gerenciamento, passando pela análise de infra-estrutura da empresa, auditoria de processos, testes regulares de ataques a vulnerabilidades, revisões e acompanhamento de políticas e tratamento de incidentes.

Redes sem fio
O tráfego de informações através de redes sem fio ainda é objeto de estudo de quanto às soluções de segurança da informação. A facilidade de se trafegar dados dispensando a necessidade de conexão a qualquer tipo de rede de cabos tem atraído cada vez mais usuários em todas as partes do mundo. Entretanto, o fato é que, em termos práticos, este meio de comunicação ainda não está totalmente protegido de invasões e fraudes, realidade que está diretamente relacionada ao desenvolvimento dos padrões de comunicação dessas redes.

Um exemplo simples é o padrão WEP (Wired Equivalent Privacy) que predomina nas redes IEEE 802.11b, mas já demonstrou falhas graves de segurança. Recentemente especialistas descobriram meios de acessar a chave utilizada em sua criptografia (o padrão utiliza a implementação do protocolo RC4 para realizar a criptografia dos dados), quebrando a segurança do padrão e, logo em seguida, apresentaram diversas ferramentas disponíveis na Internet e capazes de romper a segurança do WEP.

Em uma abordagem técnica, nota-se que as redes sem fio possuem vulnerabilidades que têm origem em concepção de padrão. É por esta razão que os atuais fornecedores de produtos trabalham na atualização desses sistemas de transmissão de dados.

Classificando as informações
Um aspecto importante que deve ser considerado na elaboração de um Programa de Segurança é a classificação das informações. É preciso que a informação seja claramente classificada para que seja possível controlar o acesso aos dados, evitando, dessa forma, que pessoas não autorizadas tenham acesso a ela. Para tanto, é preciso classificar todas as informações segundo grau de importância e teor crítico.

Informações Confidenciais: são aquelas que devem ser disseminadas somente para indivíduos previamente definidos;

Informações Corporativas: devem ser disseminadas somente dentro da empresa;

Informações Públicas: podem ser divulgadas dentro e fora da empresa.

Aplicações
Algumas aplicações já fazem parte da rotina das empresas. Dentre elas destacam-se:

Antivírus: faz a varredura de arquivos maliciosos disseminados pela Internet ou correio eletrônico. Basicamente, sua função está atrelada à ponta do processo, isto é, ao usuário que envia e recebe dados. Uma das últimas tendências deste tipo de ameaça são os chamados "vírus polimórficos", que possuem a capacidade de mudar constantemente para driblar a vítima e dificultar sua remoção;

Balanceamento de carga: as ferramentas de balanceamento estão relacionadas à capacidade de operar de cada servidor da empresa. Elas permitem que, em horários de grande utilização da rede, se determine a hierarquia do que trafega, bem como o equilíbrio da carga disseminada entre os servidores;

Firewall: cumprem a função de controlar os acessos. São soluções que, uma vez estabelecidas suas regras, passam a gerenciar tudo o que deve entrar e sair da rede corporativa. Muitas vezes, recomenda-se a adoção do firewall para separar a intranet da companhia de seus clientes externos ou de servidores e serviços públicos. Basicamente, o firewall é um software, mas também pode incorporar um hardware especializado;

Autenticações: cartões, senhas numéricas e randômicas, recursos de identificação como biometria, RFID, etc. Trata-se do recurso utilizado para validar um acesso, identificando de acordo com normas estipuladas pela empresa;

Detector de Intrusão (IDS): estas ferramentas têm a função de monitorar o tráfego contínuo da rede, identificando ataques que estejam em execução. Como complemento do firewall, o IDS (Intrusion Detection System) se baseia em dados dinâmicos para realizar sua varredura, como por exemplo, pacotes de dados com comportamento suspeito, códigos de ataque e outros;

Varredura de vulnerabilidades: produtos que permitem realizar verificações regulares em determinados componentes de rede como servidores e roteadores. O objetivo destas ferramentas é encontrar brechas de sistemas ou configurações;

Rede Privada Virtual (VPN): uma das alternativas mais adotadas pelas empresas na atualidade, as VPN’s são canais que utilizam túneis para trafegar dados criptografados entre divisões de uma mesma companhia, parceiros de negócios etc;

Criptografia: é utilizada para garantir a confidencialidade das informações. Trata-se de uma codificação que usa um processo de decifração para restaurar os dados ao seu formato original. As chaves criptográficas podem ser simétricas (privada) ou assimétricas (pública);

Autenticação: são processos de identificação para disponibilizar acesso. A autenticação e conseqüente autorização de manipulação dos dados se baseiam em algo que o indivíduo sabe (uma senha, por exemplo), algo que ele tem (dispositivos como tokens, cartões inteligentes, etc) e o que ele é (leitura de íris, linhas das mãos, etc);

Integradores: permite centralizar o gerenciamento de diferentes tecnologias que protegem as operações da rede. Mais que uma solução, trata-se de um conceito.

 

Conclusão
Elaborar um Programa de Segurança é uma tarefa complexa. Seus custos são aparentemente elevados, ele precisa ser constantemente monitorado, revisado e atualizado e seus resultados só poderão ser notados a médio e longo prazo.

Pela complexidade de cada uma das etapas que compreende um projeto de segurança, os especialistas recomendam que a empresa desenvolva a implementação baseada em projetos independentes. Análise de logs das ferramentas, backup de base de dados, auditoria, manutenção e atualização constante das ferramentas são os passos seguintes. Uma vez que se tenha completado este ciclo, entende-se que a rede estará pronta para ser gerenciada adequadamente e colocada em funcionamento com um grau maior de segurança.

Fonte: José Mauricio Santos Pinheiro

Anúncios

Tags:,

About Desmonta&CIA

Somos um blog que busca informar aos apaixonados por tecnologia tudo sobre o mundo de TI.

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s

%d blogueiros gostam disto: