conceitos básicos sobre segurança parte 4

Conceitos Básicos sobre Segurança - Parte IVPor: Elias Barenboim ( 17/05/2001 )

Conceitos Básicos

O intuito desse artigo é prover as informações relativas a segurança voltadas ao administrador e não aousuário final. Em futuros artigos enfocaremos este ponto, mas nada impede a leitura deste por qualquerpessoa. Um dos mais comuns guias básicos, para se começar a fazer a segurança de uma rede, são osseguintes passos :

Identificar o que você esta tentando protegerIdentificar contra quem está se protegendoComo as ameaças se caracterizamImplementar medidas no qual protejam seus recursos através de um custo/benefício satisfatórioFazer uma revisão do processo continuamente e correções cada vez que uma vulnerabilidade fordetectada

Tudo costuma girar em torno de implementar medidas no qual protejam seus recursos através de um bomcusto/benefício, mas os outros procedimentos não devem ser esquecidos de forma alguma.

É importante salientar que é indispensável que você responda essas perguntas. Fica muito complicadodeterminar políticas e técnicas de segurança que reduzam os riscos sem essas informações(preferencialmenteisso deve ser feito antes de qualquer implementação bruta).

Existe uma idéia em relação a segurança que diz que: "O custo de proteger você, contra a ameaça, deve sermenor que o custo de recuperar caso algo realmente se concretize contra você". Custo nesse caso quer dizerdinheiro gasto com isso, reputação, confiança de terceiros, além de outros menos visíveis. Ressaltando, sem oconhecimentos dos passos posteriores fica difícil seguir alguma regra pré-determinada e obter sucesso.

Avaliação de Risco

Uma das mais importantes razões para criar uma política de segurança e análise de rendimento, é assegurarque os esforços gastos com a segurança trará benefícios efetivos a organização. Embora isso possa pareceróbvio, às vezes pode se tornar obscuro, onde o esforço é gasto em questões secundárias.

A análise de risco determina o que você precisa proteger, de quem e como. É o processo de análise de todosos riscos e classificação por grau de importância. Esse processo envolve uma análise de custo/benefício emrelação ao que você precisa proteger.

Duas coisas se tornam claramente necessárias de se fazer nesta tarefa de esboço de criação de uma políticade segurança :

Identificar os recursosIdentificar as ameaças

Cada recursos deve ser visto, com os objetivos básicos de segurança. Eles são : disponibilidade,confidenciabilidade e integridade ( caso não tenha entendido, releia artigos anteriores ).

Identificando os recursos

Como dito anteriormente, é fundamental identificar todos os recursos que devem ser protegidos. Alguns sãobastante naturais e outros nem tanto. Inicialmente devemos fazer uma lista com todos que achamosrelevantes, tanto os concretos(que se pode tocar) como as abstratos(não se pode pegar) .

É importante, posteriormente a esta fase, identificar o grau de importância do "bem". Isso é feito

http://olinux.uol.com.br/artigos/320/print_preview.html

1 de 2 06-12-2009 12:46

identificando qual será o custo caso aconteça uma perda ou danificação, seja o gasto em rendimento deprodutividade, tempo, e custo para reparar ou substituir.

Hardware: processador, placa mãe, teclado, terminal, impressora, disco, etcSoftware: programa fonte, códigoobjeto, utilitário, diagnóstico, etcDados: durante a execução, gravação online, programas, sistemas operacionais e programas decomunicaçãoPessoal: usuários, administradores e mantenedores do hardware.Documentação: dos programas, hardware, sistemas e tarefas de administração.Suprimentos: papéis, formulários, fitas e tinta

Identificando as ameaças

É também muito interessante poder identificar, para escolhido um determinado recurso, quais ameaças sãopossíveis(e quais você quer se proteger).

As ameaças então podem ser examinadas e mediante a isso, determinar qual a probabilidade de perdarealmente existe no sistema. As seguintes ameaças são as clássicas, já comentadas em artigosanteriores(dependendo de sua rede, essas ameaças podem ser diminuidas, trocadas ou acrescentadas).

Acesso não autorizados a recursos e/ou informaçõesDivulgação de informações não autorizadasNegação de Serviços(Denial of service)

Bibliografia

Vale salientar que essa bibliografia serve para um estudo mais aprofundado do que foi falado por aqui.

CERTRFC (2196)Practical Unix & Internet Security

Continuem mandando emails e utilizem nossos fóruns !

Até a próxima,

Elias Bareinboim

Copyright (C) 1999-2000 Linux Solutions

http://olinux.uol.com.br/artigos/320/print_preview.html

2 de 2 06-12-2009 12:46