justificando o investimento e metodos para seguranca
TRANSCRIPT
-
7/24/2019 Justificando o Investimento e Metodos Para Seguranca
1/4
Administrao de Sistemas e Segurana n.01 ( maro/99 )
Integrando segurana em seu Site
A informao tornou-se um elemento de fundamental importncia e extremamente valiosa paraos negcios de hoje. Empresas e instituies em geral esto cada vez mais utilizando recursoscomputacionais para armazenar produzir e distri!uir informaes. Assim ao mesmo tempo em
"ue tem aumentado a confiana das organizaes em informaes providas por sistemascomputacionais infelizmente tem se o!servado tam!#m um aumento "uase "ue di$rio nosurgimento de vulnera!ilidades nos diversos sistemas dispon%veis no mercado.
& indiscut%vel o ganho "ue organizaes tero com um crescente uso de computadores' acessoa redes de computadores (nternet e seus diversos recursos. )or#m # extremamente insensatoentrar neste novo *territrio* tecnolgico desprovido de regulamentao ade"uada sem entenderos riscos sem formular uma pol%tica de segurana ade"uada e sem definir procedimentos paraproteger informaes importantes de sua organizao.
+ecidir por onde comear a implementao de segurana em um sitepode ser um processodif%cil. )or um lado voc, deve primeiro entender "uais so as ameaas existentes pretendemostratar este assunto em outros artigos e como voc, pode reduzir a sua vulnera!ilidade. )or outrolado voc, deve ter consci,ncia de "uais so os recursos "ue voc, deseja proteger "uais so os
valores destes recursos e "ue n%vel de segurana # mais ade"uado dada a cultura e a filosofiade sua organizao. /enciono a"ui recurso como sendo "ual"uer coisa um !em f%sico ou no"ue tenha um valor monet$rio e0ou intelectual.
Em um processo de integrao de procedimentos de segurana em uma rede de umaorganizao # importante "ue se tenha claro "uais so os seus o!jetivos e "ual a importnciadestes novos procedimentos e das novas tecnologias a serem introduzidas na empresa. 1aaum levantamento das necessidades pro!lemas e re"uerimentos e convena a sua ger,ncia daimportncia desta integrao em seu site.
Este artigo d$ uma viso geral no t#cnica de alguns aspectos relevantes de segurana "uedevem ser levados em considerao por gerentes de sistemas de informao e executivos "uetomam decises "ue afetam a infraestrutura de segurana da empresa. A seguir tem-se alguns%tens "ue devem ser considerados.
2omo justificar investimentos em infraestruturas para segurana34 "ue uma pol%tica de segurana deveria conter3
5ue deve ser considerado em um programa de treinamento em segurana3
5uais so os pro!lemas comuns de segurana encontrados nos sites3
Comojustificar investimentos com infraestruturas para segurana3
1aa uma an$lise de riscos para identificar os recursos "ue voc, deseja proteger e paradeterminar os seus valores.
Estes recursos podem ser classificados nas seguintes categorias'
1%sico' computadores e"uipamentos de rede m%dia de armazenamento etc.
(ntelectual' cdigo de programa e documentao informaes de servidores666 informaes de !anco de dados projetos7
8alores no palp$veis' reputao da empresa privacidade de usu$riosinformaes confidenciais moral de empregados7
9ervios computacionais' alocao de 2): discos suporte t#cnico.
(dentificar valores de !ens f%sicos # uma tarefa f$cil !asta levantar o valor de reposiode um novo. A parte dif%cil # determinar "ue propriedade intelectual significante sua
http://var/www/apps/conversion/tmp/scratch_6/%5Cl%20item1%22http://var/www/apps/conversion/tmp/scratch_6/%5Cl%20item1%22http://var/www/apps/conversion/tmp/scratch_6/%5Cl%20item2%22http://var/www/apps/conversion/tmp/scratch_6/%5Cl%20item3%22http://var/www/apps/conversion/tmp/scratch_6/%5Cl%20item3%22http://var/www/apps/conversion/tmp/scratch_6/%5Cl%20item4%22http://var/www/apps/conversion/tmp/scratch_6/%5Cl%20item4%22http://var/www/apps/conversion/tmp/scratch_6/%5Cl%20item4%22http://var/www/apps/conversion/tmp/scratch_6/%5Cl%20item4%22http://var/www/apps/conversion/tmp/scratch_6/%5Cl%20item2%22http://var/www/apps/conversion/tmp/scratch_6/%5Cl%20item3%22http://var/www/apps/conversion/tmp/scratch_6/%5Cl%20item4%22http://var/www/apps/conversion/tmp/scratch_6/%5Cl%20item1%22 -
7/24/2019 Justificando o Investimento e Metodos Para Seguranca
2/4
organizao possui e "uais !ens no palp$veis so recursos-chave.
+emonstre "ue as tentativas de ata"ues so numerosas demais para serem ignoradas
(nstale programas para monitorar o tr$fego em sua rede e registre a tentativasde ata"ues7
:tilize algumas ferramentas se poss%vel de fora de seu sitecomo por exemplo9A;A< e analise seus resultados. 4!tenha o m$ximo de informao "ue voc,puder so!re as vulnera!ilidade da rede.
+iscuta os impactos potenciais na reputao e lucros de sua empresa em caso de umata"ue de negao de servio. 5ue o preju%zo teria uma empresa "ue vende seusprodutos somente via 6e! se ficasse fora de operao horas ou at# mesmo dias3
1ornea informaes de ata"ues ocorridos na (nternet e as empresas "ue foramatacadas e os danos sofridos.
O que uma poltia de seguranadeveria conter3
:m dos elementos mais cruciais de uma infraestrutura # a definio de uma pol%tica desegurana "ue atenda =s necessidade de sua organizao. Esta pol%tica deve servir como
instrumento de comunicao com usu$rios e gerentes. +ever$ inform$-los o "ue eles precisamfazer "uando tiverem "ue tomar decises "ue envolvam aspectos de segurana.
Explicaes
& importante "ue a pol%tica seja expl%cita e clara so!re o por "u, das decises "ue foramtomadas. A maioria das pessoas no segue regras a menos "ue entenda por "ue soimportantes.
>esponsa!ilidades
:ma pol%tica de segurana define expectativas e responsa!ilidades entre voc, seususu$rios e sua ger,ncia. ;odos devem sa!er o "ue se espera de cada um.
-
7/24/2019 Justificando o Investimento e Metodos Para Seguranca
3/4
5uo segura uma m$"uina deve estar antes de ser conectada = rede e antes deo!ter servios de servidores principais3
2omo sero protegidas as informaes confidenciais3
9er$ permitido acesso remoto = rede3 9e sim "uem ter$ acesso e como3
5uais servios estaro dispon%veis para acessos remotos3
>e"uerimentos de negcios t,m preced,ncia so!re segurana3 9e sim # isto"ue voc, deseja3
!ue de"e ser onsiderado emum programa de treinamento em segurana3
1ornea treinamento com regularidade para a e"uipe de suporte usu$rios gerentes enovos empregados7
:tilize diferentes meios de treinamentos' aulas 6e! v%deo etc.7
/antenha usu$rios e e"uipe de suporte informados das atuais tend,ncias em incidentesde segurana em computadores7
>evise seus procedimentos de treinamento regularmente e assegure-se "ue continuamatualizados e relevantes para o seu am!iente.
!uais so ospro!lemas comuns de segurana encontrados nos sites
Estes pro!lemas so co!ertos em algumas pu!licaes como' ?@e ?B.
>ecursos insuficientes do site
4s pro!lemas mais comuns em segurana esto relacionados a organizaes "ue nodedicam recursos suficientes para implementar n%veis ade"uados de segurana. Apesardeste pro!lema no ser mais to fre"Cente ainda hoje escutamos "ueixas deadministradores de sistemas de "ue em suas organizaes a segurana no # tida comoum tema de grande relevncia.
9uporte ou autoridade insuficiente
-
7/24/2019 Justificando o Investimento e Metodos Para Seguranca
4/4
9enhas reutilizadas no criptografadas
Alguns sitesainda utilizam sistema de autenticao sem criptografia em acessosremotos e ainda com senhas reutilizadas. Em uma conexo via ;elnet ou rlogin porexemplo senhas passam =s claras pela rede portanto facilitando a vida de "uem estivermonitorando a rede. Algumas solues so sugeridas para atacar este pro!lema como'senhas no reutiliz$veis a cada acesso um nova senha dever$ ser utilizada pelo usu$riode um lista previamente definida em seu sistema tokensum dispositivo de hardarepe"ueno Dnico para cada usu$rio para conseguir fazer uma conexo remota a sua redeo usu$rio dever$ ter o dispositivo. Algumas solues para autenticao remota comcriptografia podem ser utilizadas como uso dos pacotes' Fer!eros e 99G 9ecure 9hell.
/edidas de segurana deficientes em servios de linha discada.
9ervidores de linhas discadas vulner$veis podem servir de pontos de partida paraata"ues a este site e a sites remotos.
Acesso a!erto = rede
Acesso =s m$"uinas internas sem restries ou sem monitoramento do tr$fego da rede# um outro pro!lema cr%tico e ainda comumente encontrado. 9e voce decide no utilizarum fireall para filtrar o tr$fego entre a (nternet e sua rede interna existem outrasalternativas livremente dispon%veis na (nternet "ue permitem esta filtragem de pacotes.Estas ferramentas pelo menos iro reduzir os seus riscos.
2ontas de usu$rios criadas sem crit#rios segurana
Algumas organizaes criam contas com senhas defaulte muitas vezes estas senhasnunca so trocadas pelos usu$rios. +evem ser utilizados procedimentos "ue definemm#todos para criao de contas. 4 mesmo se aplica para permisses de diretriosar"uivos de configurao do am!iente assim como algor%tmos "ue sero utilizados paragerar a senha inicial do usu$rio.
/onitoramento e expirao de contas ineficientes
/uitos sitesno t,m uma pol%tica definida e "uando a t,m muitas vezes no # seguida.
2ontas de usu$rios "ue deixam a empresa =s vezes permanecem sem seremremovidas. Estas contas podem ser desco!ertas por intrusos ou usu$rios locais malintencionados.
9istemas novos mal configurados
Algumas m$"uinas so instaladas na rede sem nenhuma preocupao com segurana.9e a rede no tem fireall ou nenhum outro controle de acesso pelo menos um padrom%nimo de segurana deveria ser implementado.
Conlus#es
Hostaria de enfatizar "ue segurana # um "uesto = "ual se deve dar alta prioridade. Apresenteia"ui alguns %tens "ue se deve ter em mente e averiguar ao se planejar uma introduo demecanismos de segurana em uma organizao. ;am!#m # !om salientar "ue o Dnico sistemade computao totalmente seguro # a"uele "ue nunca foi ligado na corrente el#trica. 9uaorganizao deve selecionar um n%vel de segurana "ue considere apropriado avaliando oimpacto financeiro e em sua reputao no caso de um poss%vel ata"ue !em sucedido ao seusite. Este artigo pretende servir de ajuda e de incentivo na !uscar de uma infraestruturaapropriada de segurana para sua organizao.