Subir Archivo

conceitos básicos sobre segurança parte 6

2
Conceitos Básicos sobre Segurança - Parte VI Por: Elias Barenboim ( 12/06/2001 ) Introdução Continuaremos a falar de política de segurança, é praticamente a última aula sobre o assunto. Com certeza o assunto é meio chato e massante, só que sempre há um propósito atrás dele. A base sempre é mais importante do que tudo, eu poderia chegar aqui e ensinar todas os procedimentos práticos em relação a segurança, e 1 semana depois vocês serem invadidos, o que adiantou? Nada. Porque não ensinar a um robô? Técnicas são variáveis e dependem do momento, o conteúdo sólido já se adequa a qualquer mudança de conjuntura. Em nossa inteligência reside o diferencial em relação a máquina. Com certeza falaremos de situações práticas, porém isso será dosado de forma adequada e em seu tempo ideal. Revisando Basicamente, sabemos que uma boa Política de Segurança (chamarei de PS daqui para frente) ajuda a definir o que é relevante, o grau de importância e os passos que devem ser tomados para garantir a segurança do que se deseja proteger na organização. Também deve deixar claro quem é responsável pelo que. Ela deve prover informações para que não haja problemas futuros em termos de quem é responsável pelo que e por que área. A PS dever ser formulada de diversas formas. Pode ser genérica, bem específica, ou algum grau intermediário a estes. Por exemplo, pode-se escrever situações genéricas básicas e como deve ser a ação das pessoas envolvidas. Já outra, pode descrever claramente por pessoa, por recursos ou situações o que deve ser feito. Como caracterizamos uma boa política de segurança? 1) As regras devem ser implementadas pelo administrador do sistema, publicando-as de forma geral, que seja de aceitação de todos (já falamos dessa parte). 2) Deve ser desenvolvida com ferramentas de segurança e restrições, quando necessário. Por exemplo, quando não se pode restringir isso logicamente, ou através da PS, restringe-se o acesso ao recurso (lembre-se daquela questão de disponibilidade de recursos do sistema versus segurança) 3) As áreas com que cada um é responsável devem ser clara, cristalina. Os usuários, administradores, gerentes e todos que utilizam os recursos devem ter plena consciência de suas áreas de responsabilidade e das que utilizam. Exemplificando, mesmo se alguém não for responsável por determinada área, mas utilizá-la, deve saber quem é responsável para poder reportar problemas intempestivos. Flexibilidade é importante numa PS? Sem dúvida alguma a resposta é SIM. Quando o desejo é possuir uma PS viável a longo prazo (em geral é o que se deseja, obviamente). É necessário visualizar que mudanças nessa PS são necessárias para a adequação as necessidades transformadas da situação. Existe uma vertente que é a favor de especificações genéricas, independente do software e hardware existente. Isso impede que mudanças nestes obriguem que se deva fazer mudanças supérfulas na PS, além de não prender esta a uma plataforma, em termos de hard/software. Os mecanismos de atualização da PS devem ser claramente divulgados (inclui processos, pessoas envolvidas e que devem ser retiradas). Outro detalhe importante que se deve ter em mente, é que toda regra há sua exceção. Quando possível (é sempre desejável), deve-se deixar isso claramente explícito na PS. http://olinux.uol.com.br/artigos/335/print_preview.html 1 de 2 06-12-2009 12:47

Upload: felipe-santos

Post on 09-Jul-2015

219 views

Category:

Technology


1 download

Report

TRANSCRIPT

Page 1: Conceitos BáSicos Sobre SegurançA Parte 6

Conceitos Básicos sobre Segurança - Parte VIPor: Elias Barenboim ( 12/06/2001 )

Introdução

Continuaremos a falar de política de segurança, é praticamente a última aula sobre o assunto. Com certeza oassunto é meio chato e massante, só que sempre há um propósito atrás dele.

A base sempre é mais importante do que tudo, eu poderia chegar aqui e ensinar todas os procedimentospráticos em relação a segurança, e 1 semana depois vocês serem invadidos, o que adiantou? Nada. Porquenão ensinar a um robô? Técnicas são variáveis e dependem do momento, o conteúdo sólido já se adequa aqualquer mudança de conjuntura. Em nossa inteligência reside o diferencial em relação a máquina.

Com certeza falaremos de situações práticas, porém isso será dosado de forma adequada e em seu tempoideal.

Revisando

Basicamente, sabemos que uma boa Política de Segurança (chamarei de PS daqui para frente) ajuda a definiro que é relevante, o grau de importância e os passos que devem ser tomados para garantir a segurança doque se deseja proteger na organização. Também deve deixar claro quem é responsável pelo que. Ela deveprover informações para que não haja problemas futuros em termos de quem é responsável pelo que e porque área.

A PS dever ser formulada de diversas formas. Pode ser genérica, bem específica, ou algum grau intermediárioa estes. Por exemplo, pode-se escrever situações genéricas básicas e como deve ser a ação das pessoasenvolvidas. Já outra, pode descrever claramente por pessoa, por recursos ou situações o que deve ser feito.

Como caracterizamos uma boa política de segurança?

1) As regras devem ser implementadas pelo administrador do sistema, publicando-as de forma geral, queseja de aceitação de todos (já falamos dessa parte).

2) Deve ser desenvolvida com ferramentas de segurança e restrições, quando necessário. Por exemplo,quando não se pode restringir isso logicamente, ou através da PS, restringe-se o acesso ao recurso(lembre-se daquela questão de disponibilidade de recursos do sistema versus segurança)

3) As áreas com que cada um é responsável devem ser clara, cristalina. Os usuários, administradores,gerentes e todos que utilizam os recursos devem ter plena consciência de suas áreas de responsabilidade edas que utilizam. Exemplificando, mesmo se alguém não for responsável por determinada área, masutilizá-la, deve saber quem é responsável para poder reportar problemas intempestivos.

Flexibilidade é importante numa PS?

Sem dúvida alguma a resposta é SIM. Quando o desejo é possuir uma PS viável a longo prazo (em geral é oque se deseja, obviamente). É necessário visualizar que mudanças nessa PS são necessárias para aadequação as necessidades transformadas da situação. Existe uma vertente que é a favor de especificaçõesgenéricas, independente do software e hardware existente. Isso impede que mudanças nestes obriguem quese deva fazer mudanças supérfulas na PS, além de não prender esta a uma plataforma, em termos dehard/software.

Os mecanismos de atualização da PS devem ser claramente divulgados (inclui processos, pessoas envolvidase que devem ser retiradas).

Outro detalhe importante que se deve ter em mente, é que toda regra há sua exceção. Quando possível (ésempre desejável), deve-se deixar isso claramente explícito na PS.

http://olinux.uol.com.br/artigos/335/print_preview.html

1 de 2 06-12-2009 12:47

Page 2: Conceitos BáSicos Sobre SegurançA Parte 6

É importante salientar que a disseminação da informação é essencial. Quando as informações caem sobreuma única pessoa, por exemplo, os riscos de perda destas, críticas, aumentam vertiginosamente. Um situaçãopossível, mórbida, é se a pessoa morre, ou mesmo, fica doente, o que acontecerá ao sistema?

Lembre-se, o nível com que a informação é passada é importante. Não se pode espalhar nem guardar tudo,situação similar a uma balança. Quem deve saber o que, porque não deveria saber, porque deveria, se épertinente, quando, como, qual limitação, informação além da ação (e vice-versa).

Pontos chaves numa PS

Alguns aspectos chaves que valem a pena serem mencionados em relação a PS e segurança em geral.

* Novamente, denotar responsáveis para todo software e hardware. Esta pessoa será responsável pelamanuntenção (permissões de acesso e todo tipo de manipulação de tais) da segurança e ela que seráresponsabilizada por problemas caso ocorram em suas respectiva áreas. Muitas vezes a omissão (seria apalavra mais adequada) de alguém específico para se cobrar deixa um furo. Cria-se uma cumplicidade epassividade em relação aos fatos mediante ao fato da não responsabilização de alguém. Outro problema, émesmo quando desejado comunicar algo crítico do sistema, não a possibilidade, mediante a falta de alguém arecorrer.

* Um modo de se enfocar as coisas positivamente. Você dizer "não faça isso", "não faça aquilo" é bem maispesado do que dizer, "voce deve fazer isso", "é sua responsabilidade garantir aquilo". As pessoas em geralrespondem melhor a esse tipo de proposições.

* Lembrar que se esta lidando com "seres humanos" e não máquinas. Todos estão passíveis a erros, a PS emgeral deve levar isso em conta, erros.

* Treinamento dos usuários é imprescindível. Os usuários em geral devem ser treinados e estarem com plenoentendimento em relação a segurança da organização. Isso aumenta o grau de adesão deles ao sistema,ninguém fica feliz fazendo alguma coisa que não sabe a utilidade. E mais, uma equipe de segurança (talvezuma pessoa, caso a empresa seja pequena) dedicada a aprender as novidades, manter operacional e serponto de contato da empresa com o mundo exterior.

* Aprofundamento em múltiplos níveis da PS. Ou seja, utilize com redundância em multiplos, independentesníveis e segurança. Inclua sempre auditoria e monitoramento delas para garantir o funcionamento do todo.

* Definir qual enfoque da política, se é: "Tudo que não é explicitamente proibido é permitido" ou "Tudo quenão é explicitamente permitido é proibido". O ideal para o usuário é o primeiro, só que bem mais trabalhosopara o administrador, que tem que lidar com toda gama de opções negativas nessa situação. Já o segundo émais adequado do ponto de vista do administrador, enquanto para o usuário, ele tem o trabalho de requisitaros "serviços".

Conclusão

Um ponto chave muito importante, caso você seja o responsável pela segurança, é ter em mente que se nãotiver o poder da autoridade para criar regras e punir quem as transgrida, sua única função será carregar aresponsabilidade quando alguma coisa errada acontecer no sistema.

Por enquanto é so pessoal, terminamos esta parte inicial de política de segurança, continuem mandandoemails.

Abraços,Elias Bareinboim

Copyright (C) 1999-2000 Linux Solutions

http://olinux.uol.com.br/artigos/335/print_preview.html

2 de 2 06-12-2009 12:47


Conceitos Básicos Linux

Genética – Conceitos Básicos

Segurança e Auditoria de Sistemas - Aula 01 - Conceitos básicos

1. Conceitos de Segurança. Conceitos Básicos Qual a importância da informação? O uso das informações evoluiu nas organizações?

Excel – conceitos básicos

1 Planejamento Operacional Conceitos Básicos Conceitos Básicos

Lexicografia – conceitos básicos

Segurança de Redes - Material Instrucionalfredsauer.com.br/SegRedes3.pdf · 2 . Conceitos Básicos de Segurança • Privilégio mínimo de usuários –Restrições de permissão

CBSP-IT 002-2011 - Conceitos Básicos de Segurança Contra Incêndio

Segurança e Defesa Nacionais: conceitos básicos para uma ... · 5 Artigo Segurança e Defesa Nacionais: conceitos básicos para uma análise National Security and Defense: basic

Produção – Conceitos Básicos

IT-02. Conceitos básicos de segurança contra incêndio

Conceitos Básicos - Webnode

Hidrogeologia Conceitos Básicos

CONCEITOS BÁSICOS Dieta

Conceitos Básicos

CONCEITOS BÁSICOS DE SEGURANÇA PARA GERENCIAMENTO DA SEGURANÇA

Conceitos Básicos em Segurança de Laboratório básicos Elevadas Pressões Elevadas Temperaturas Compostos perigosos (inflamáveis, tóxicos, corrosivos) Acidente: Evento não planejado

ACUPUNTURA CONCEITOS BÁSICOS

Amostragem Conceitos básicos

IPO – Conceitos básicos

NT-02/2014 – Conceitos básicos de segurança contra incêndio

1. CONCEITOS BÁSICOS

Genética Conceitos Básicos

CONCEITOS BÁSICOS

Palestra - Conceitos Básicos sobre Política de Segurança e Firewall

T2- Conceitos Básicos

Conceitos Básicos deConceitos Básicos de Estatísticacmq.esalq.usp.br/wiki/lib/exe/fetch.php?media=publico:syllabvs:lcf... · Conceitos Básicos deConceitos Básicos de Estatística

HIGIENE SAÚDE E SEGURANÇA NO TRABALHO (HSST). CONCEITOS BÁSICOS DA HIGIENE SAÚDE E SEGURANÇA NO TRABALHO (HSST)

Solidworks - conceitos básicos

Capítulo Conceitos básicos REDES DE COMPUTADORES Conceitos básicos sobre redes

1-Conceitos básicos

Segurança – conceitos básicosnoemi/sd-15/aula10-seguranca.pdf · Segurança – conceitos básicos Sistemas Distribuídos 2015 . Ameaças ... Criptografia de chave pública e

Conceitos Básicos COBOL

Verificação da Segurança de Estruturas Marítimas ...€¦ · Conceitos Básicos Introdução Conceitos Básicos Software Caso de Estudo Considerações Finais >Probabilidade de