conceitos básicos sobre segurança parte 6
TRANSCRIPT
Conceitos Básicos sobre Segurança - Parte VIPor: Elias Barenboim ( 12/06/2001 )
Introdução
Continuaremos a falar de política de segurança, é praticamente a última aula sobre o assunto. Com certeza oassunto é meio chato e massante, só que sempre há um propósito atrás dele.
A base sempre é mais importante do que tudo, eu poderia chegar aqui e ensinar todas os procedimentospráticos em relação a segurança, e 1 semana depois vocês serem invadidos, o que adiantou? Nada. Porquenão ensinar a um robô? Técnicas são variáveis e dependem do momento, o conteúdo sólido já se adequa aqualquer mudança de conjuntura. Em nossa inteligência reside o diferencial em relação a máquina.
Com certeza falaremos de situações práticas, porém isso será dosado de forma adequada e em seu tempoideal.
Revisando
Basicamente, sabemos que uma boa Política de Segurança (chamarei de PS daqui para frente) ajuda a definiro que é relevante, o grau de importância e os passos que devem ser tomados para garantir a segurança doque se deseja proteger na organização. Também deve deixar claro quem é responsável pelo que. Ela deveprover informações para que não haja problemas futuros em termos de quem é responsável pelo que e porque área.
A PS dever ser formulada de diversas formas. Pode ser genérica, bem específica, ou algum grau intermediárioa estes. Por exemplo, pode-se escrever situações genéricas básicas e como deve ser a ação das pessoasenvolvidas. Já outra, pode descrever claramente por pessoa, por recursos ou situações o que deve ser feito.
Como caracterizamos uma boa política de segurança?
1) As regras devem ser implementadas pelo administrador do sistema, publicando-as de forma geral, queseja de aceitação de todos (já falamos dessa parte).
2) Deve ser desenvolvida com ferramentas de segurança e restrições, quando necessário. Por exemplo,quando não se pode restringir isso logicamente, ou através da PS, restringe-se o acesso ao recurso(lembre-se daquela questão de disponibilidade de recursos do sistema versus segurança)
3) As áreas com que cada um é responsável devem ser clara, cristalina. Os usuários, administradores,gerentes e todos que utilizam os recursos devem ter plena consciência de suas áreas de responsabilidade edas que utilizam. Exemplificando, mesmo se alguém não for responsável por determinada área, masutilizá-la, deve saber quem é responsável para poder reportar problemas intempestivos.
Flexibilidade é importante numa PS?
Sem dúvida alguma a resposta é SIM. Quando o desejo é possuir uma PS viável a longo prazo (em geral é oque se deseja, obviamente). É necessário visualizar que mudanças nessa PS são necessárias para aadequação as necessidades transformadas da situação. Existe uma vertente que é a favor de especificaçõesgenéricas, independente do software e hardware existente. Isso impede que mudanças nestes obriguem quese deva fazer mudanças supérfulas na PS, além de não prender esta a uma plataforma, em termos dehard/software.
Os mecanismos de atualização da PS devem ser claramente divulgados (inclui processos, pessoas envolvidase que devem ser retiradas).
Outro detalhe importante que se deve ter em mente, é que toda regra há sua exceção. Quando possível (ésempre desejável), deve-se deixar isso claramente explícito na PS.
http://olinux.uol.com.br/artigos/335/print_preview.html
1 de 2 06-12-2009 12:47
É importante salientar que a disseminação da informação é essencial. Quando as informações caem sobreuma única pessoa, por exemplo, os riscos de perda destas, críticas, aumentam vertiginosamente. Um situaçãopossível, mórbida, é se a pessoa morre, ou mesmo, fica doente, o que acontecerá ao sistema?
Lembre-se, o nível com que a informação é passada é importante. Não se pode espalhar nem guardar tudo,situação similar a uma balança. Quem deve saber o que, porque não deveria saber, porque deveria, se épertinente, quando, como, qual limitação, informação além da ação (e vice-versa).
Pontos chaves numa PS
Alguns aspectos chaves que valem a pena serem mencionados em relação a PS e segurança em geral.
* Novamente, denotar responsáveis para todo software e hardware. Esta pessoa será responsável pelamanuntenção (permissões de acesso e todo tipo de manipulação de tais) da segurança e ela que seráresponsabilizada por problemas caso ocorram em suas respectiva áreas. Muitas vezes a omissão (seria apalavra mais adequada) de alguém específico para se cobrar deixa um furo. Cria-se uma cumplicidade epassividade em relação aos fatos mediante ao fato da não responsabilização de alguém. Outro problema, émesmo quando desejado comunicar algo crítico do sistema, não a possibilidade, mediante a falta de alguém arecorrer.
* Um modo de se enfocar as coisas positivamente. Você dizer "não faça isso", "não faça aquilo" é bem maispesado do que dizer, "voce deve fazer isso", "é sua responsabilidade garantir aquilo". As pessoas em geralrespondem melhor a esse tipo de proposições.
* Lembrar que se esta lidando com "seres humanos" e não máquinas. Todos estão passíveis a erros, a PS emgeral deve levar isso em conta, erros.
* Treinamento dos usuários é imprescindível. Os usuários em geral devem ser treinados e estarem com plenoentendimento em relação a segurança da organização. Isso aumenta o grau de adesão deles ao sistema,ninguém fica feliz fazendo alguma coisa que não sabe a utilidade. E mais, uma equipe de segurança (talvezuma pessoa, caso a empresa seja pequena) dedicada a aprender as novidades, manter operacional e serponto de contato da empresa com o mundo exterior.
* Aprofundamento em múltiplos níveis da PS. Ou seja, utilize com redundância em multiplos, independentesníveis e segurança. Inclua sempre auditoria e monitoramento delas para garantir o funcionamento do todo.
* Definir qual enfoque da política, se é: "Tudo que não é explicitamente proibido é permitido" ou "Tudo quenão é explicitamente permitido é proibido". O ideal para o usuário é o primeiro, só que bem mais trabalhosopara o administrador, que tem que lidar com toda gama de opções negativas nessa situação. Já o segundo émais adequado do ponto de vista do administrador, enquanto para o usuário, ele tem o trabalho de requisitaros "serviços".
Conclusão
Um ponto chave muito importante, caso você seja o responsável pela segurança, é ter em mente que se nãotiver o poder da autoridade para criar regras e punir quem as transgrida, sua única função será carregar aresponsabilidade quando alguma coisa errada acontecer no sistema.
Por enquanto é so pessoal, terminamos esta parte inicial de política de segurança, continuem mandandoemails.
Abraços,Elias Bareinboim
Copyright (C) 1999-2000 Linux Solutions
http://olinux.uol.com.br/artigos/335/print_preview.html
2 de 2 06-12-2009 12:47