Políticas de Segurança de Redes

Standard

Em um mundo interligado pela internet, onde a informação se transformou em uma valiosa mercadoria, ou insumo, a garantia da preservação desta informação é fundamental e pode definir o sucesso de uma instituição.

Não é possível confiar apenas nos softwares e hardwares desenvolvidos para garantir a manutenção do valor atribuído à informação. Sabe-se que boa parte dos problemas de segurança são devido a pequenas falhas humanas. Para evitar estas falhas as organizações precisam adotar politicas de segurança de redes, parte integrante e, possivelmente, fundamental, da política de segurança da informação.

Uma política de segurança de redes é um instrumento importante para proteger a sua organização contra ameaças à segurança da informação. Uma ameaça à segurança é compreendida neste contexto como a quebra de uma ou mais de suas três propriedades fundamentais (confidencialidade, integridade e disponibilidade). Definimos as três propriedades fundamentais da informação como:

  • Integridade: garantia de que a informação seja mantida em seu estado original, visando protegê-la, na guarda ou transmissão, contra alterações indevidas, intencionais ou acidentais.
  • Confidencialidade: garantia de que o acesso à informação seja obtido somente por pessoas autorizadas.
  • Disponibilidade: garantia de que os usuários autorizados obtenham acesso à informação e aos ativos correspondentes sempre que necessário.

A política de segurança não define procedimentos específicos de manipulação e proteção da informação, mas atribui direitos e responsabilidades às pessoas (usuários, administradores de redes e sistemas, funcionários, gerentes, etc.) que lidam com essa informação. Desta forma, elas sabem quais as expectativas que podem ter e quais são as suas atribuições em relação à segurança dos recursos computacionais com os quais trabalham. Além disso, a política de segurança também estipula as penalidades às quais estão sujeitos aqueles que a descumprem (CERT, 2003).

Uma política de segurança deve cobrir, entre outros, os seguintes aspectos (CERT, 2003):

  • Aspectos preliminares:
    • Abrangência e escopo de atuação da política;
    • Definições fundamentais;
    • Normas e regulamentos aos quais a política está subordinada;
    • Quem tem autoridade para sancionar, aplicar e fiscalizar o cumprimento da política;
    • Meios de distribuição da política;
    • Como e com que frequência a política é revisada.
  • Política de senhas:
    • Requisitos para formação de senhas;
    • Período de validade das senhas;
    • Normas para proteção de senhas;
    • Reuso de senhas;
    • Senhas default.
  • Direitos e responsabilidades dos usuários, tais como:
    • Utilização de contas de acesso;
    • Utilização de softwares e informações, incluindo questões de instalação, licenciamento e copyright;
    • Proteção e uso de informações (sensíveis ou não), como senhas, dados de configuração de sistemas e dados confidenciais da organização;
    • Uso aceitável de recursos como e-mail, news e páginas Web;
    • Direito à privacidade, e condições nas quais esse direito pode ser violado pelo provedor dos recursos (a organização);
    • Uso de antivírus.
  • Direitos e responsabilidades do provedor dos recursos, como:
    • Backups;
    • Diretrizes para configuração e instalação de sistemas e equipamentos de rede;
    • Autoridade para conceder e revogar autorizações de acesso, conectar e desconectar sistemas e equipamentos de rede, alocar e registrar endereços e nomes de sistemas e equipamentos;
    • Monitoramento de sistemas e equipamentos de rede;
    • Normas de segurança física.
  • Ações previstas em caso de violação da política:
    • Diretrizes para tratamento e resposta de incidentes de segurança;
    • Penalidades cabíveis.

Observe, no entanto, que a abrangência da política de segurança de redes é característica da instituição e, os tópicos listados acima, não têm a pretensão de esgotar o assunto. Sendo este um problema global, diversos órgãos como o Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil (http://www.cert.org.br) se preocupam em auxiliar na construção de uma política de segurança de redes. Órgãos internacionais como a ISO e o IEC, publicam regularmente padrões de segurança da informação que podem ser utilizados como referência para a construção de uma política de segurança de redes adequada a cada instituição.

Recomendações Internacionais de políticas de segurança

Especialistas a ABNT ISO/IEC[1] 27002 como uma excelente compilação de recomendações para melhores políticas segurança, que podem ser aplicadas por empresas, independentemente do seu porte ou setor. Ela foi criada com a intenção de ser um padrão flexível de forma a ser adaptável a qualquer tipo de instituição.

As recomendações da ABNT ISO/IEC 27002 são neutras com relação à tecnologia e não fornecem nenhuma ajuda na avaliação ou entendimento de medidas de segurança já existentes. Por exemplo, discute a necessidade de firewall, mas propositadamente, não aprofunda nos tipos de Sistemas de firewall e como devem ser usados

Esta flexibilidade e falta de profundidade são intencionais, pois é muito difícil criar um padrão que funcione para todos os variados ambientes de TI e que seja capaz de se adaptar as condições do mercado.

A norma ABNT ISO/IEC 27002 é dividida nas seguintes áreas:

  1. Política de Segurança – É necessária uma política para determinar as expectativas para segurança, e que forneça direção e suporte ao gerenciamento.
  2. Corporação da Segurança – Sugere uma estrutura de gerenciamento dentro da instituição,
  3. Classificação e Controle do Patrimônio – Exige um inventário do patrimônio de informações da empresa.
  4. Segurança dos Funcionários – Indica a necessidade de educar e informar os funcionários atuais ou potenciais sobre a sua relação com assuntos confidenciais e de segurança, e como sua função na segurança se enquadra na operação geral da empresa.
  5. Segurança Física e Ambiental – Aborda a necessidade de proteger áreas, equipamentos de segurança e controles gerais.
  6. Gerenciamento de Operações e Comunicações – Os objetivos dessa seção incluem:
  • Garantir instalações para a operação do processamento de informações;
  • Minimizar o risco de falhas dos sistemas;
  • Proteger a integridade do software e/ou das informações;
  • Manter a integridade e disponibilidade do processamento de informações e comunicações;
  • Garantir a proteção das informações em redes e da infraestrutura de suporte;
  • Evitar danos ao patrimônio e interrupções nas atividades da empresa;
  • Prevenir perdas, modificações ou uso inadequado das informações.
  1. Controle de Acesso – Identifica a importância da monitoração e controle do acesso a recursos da rede e de aplicativos,
  2. Manutenção e Desenvolvimento de Sistemas – tudo deve ser implantado e mantido com a segurança em mente, usando os controles de segurança em todas as etapas do processo.
  3. Gerenciamento da Continuidade dos Negócios – Recomenda que as empresas se preparem com maneiras de neutralizar as interrupções às atividades comerciais, e protejam os processos comerciais cruciais, no evento de uma falha ou desastre.
  4. Compatibilidade – Instrui as empresas a observar como a sua compatibilidade com o ISO/IEC 27002 se integra ou não com outros requisitos legais.

Aplicativos de segurança de redes

Infelizmente, apesar da segurança da rede depender das políticas adotadas pela instituição, precisamos de uma estrutura robusta de software e hardware para garantir a segurança da informação que circula, tanto na rede interna quanto na internet. Entre os aplicativos mais utilizados para garantir a segurança da rede estão:

Firewall: Funcionalidade de segurança cujo objetivo é filtrar todos os acessos externos a rede da instituição. Este serviço pode ser realizado por um software, um hardware específico ou ambos. Com o advento do software livre, muitos roteadores, sistemas operacionais e pontos de acesso já possuem a capacidade interna de prover este serviço.

Antivírus: Uma parte significativa dos ataques que as empresas sofrem são originados de softwares maliciosos incluídos em mensagens eletrônicas, vírus de computadores ou cavalos de Tróia. Para evitar este risco foram desenvolvidos serviços específicos de detecção e eliminação destas ameaças. Novamente estes serviços podem ser fornecidos por software e hardware de forma independente ou integrada.

Muitas instituições, optam por manter um ponto de filtragem, junto ao firewall, para filtrar eventuais vírus na entrada. No entanto, não é possível abrir mão do antivírus em cada máquina se a política de segurança permitir, por exemplo, o uso de dispositivos USB e/ou mídias removíveis.

Autenticação centralizada: Aplicativos como o OpenLdap, permitem que todos os usuários e aplicativos da instituição possam acessar um sistema comum de autenticação. Esta estrutura permite o uso de uma única senha, e rotina de autorização, que facilita a manutenção da política de segurança.

Empresas como bancos, arquivos governamentais e hospitais, que possuem informações de caráter pessoal ou sensível estão optando pelo uso de dispositivos biométricos para autenticação dos usuários. Neste caso é necessária a criação de sistemas específicos de autenticação integrados.

Proxy: Trata-se de um sistema, novamente baseado em software e/ou hardware, que funciona como um procurador entre os usuários da empresa e a internet. De forma a garantir o segurança da rede, todos os acessos à internet são realizados através do proxy. Desta forma é possível criar uma política de acesso que pode, por exemplo, evitar o acesso a sites maliciosos, técnica ou legalmente, garantindo a integridade da rede. Aqui também, graças ao software livre, a maior parte dos sistemas operacionais já possuem aplicativos capazes de fornecer este serviço.



[1] IEC International Electrotechnical Commision – Comissão Eletrotécnica Internacional, ISO International Standards Organization – Organização internacional de Padrões

Bibliografia

CERT. Práticas de Segurança para Administradores de Redes Internet. Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil, 2003. Acesso em: 2011 Outubro 2011.

CERT. Worms. Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil, 2009. Disponível em: <http://cartilha.cert.br/malware/sec6.html>. Acesso em: 1 Outubro 2011.