A segurança é um aspecto inerente a todos os ambientes computacionais, em maior ou menor nível, mas sempre presente e sempre importante. Controlar o nível de acesso aos recursos é necessário para manter o ambiente saudável e evitar surpresas desagradáveis.
Geralmente quando se fala em invasão de computadores, logo se pensa num jovem de vinte e poucos anos, de vida social inexistente, cheio de espinhas, usando óculos garrafais, trancado num quarto escuro, invadindo sites bancários enquanto toma outra coca-cola (mais um dos desserviços prestados pela mídia). Mas a realidade é que a grande maioria dos ataques aos computadores de uma empresa, vêm de dentro, ou seja, de funcionários insatisfeitos ou ex-funcionários que já possuem um certo nível de acesso aos sistemas e consequentemente têm a possibilidade de realizar um ataque com maior facilidade. Portanto no que tange segurança de sistemas, as empresas devem se preocupar tanto com ataques externos quanto com ataques internos, pois o risco vem de ambos os lados.
A segurança é caraterizada por 3 atributos fundamentais que dão sustentação a um ambiente controlado e seguro. Qualquer um desses três atributos que venha a falhar, colocará em risco todo o ambiente. A fórmula é bem simples:
Ambiente seguro = Políticas de Segurança + Ferramentas de Segurança + Reeducação do Usuário
Políticas de segurança: Uma política de segurança pode ser definida como o conjunto de regras sob os quais se baseam os acessos aos recursos de TI da empresa, ou seja, é o documento que vai dizer ao usuário o que ele pode e o que ele não pode fazer. Logo, é importante que um novo usuário ao ser contratado pela empresa, tenha acesso a essa política para que esteja ciente de suas liberdades e limitações ao utilizar os recursos de TI da empresa. Uma política de segurança engloba diversos aspectos da TI, que vão da política de privacidade dos e-mails corporativos, passando pela caracterização do tipo de tráfego permitido (http, ftp, ssh, etc), políticas de autenticação dos sistemas, privilégios de acesso concedidos aos usuários, até a definição dos mecanismos de segurança que vão fornecer proteção e permitir análise e auditoria das informações coletadas. As políticas geralmente estão definidas pelos 4Ps:
Promíscua: Tudo é liberado;
Permissiva: Tudo o que não é explicitamente proibido é liberado;
Prudente: Tudo o que não é explicitamente liberado, é proibido;
Paranóica: Tudo é proibido;
As empresas geralmente optam por políticas prudentes, ou seja, o que não for explicitamente permitido, é proibido. Minha opinião pessoal é que essa é sim, a melhor política a ser considerada na grande maioria dos casos. Proibe-se todas as funções e libera-se exatamente as funções necessárias para que o usuário possa realizar seu trabalho eficientemente e com segurança.
Ferramentas de segurança: As ferramentas de segurança são os dispositivos responsáveis por colocar em prática as diretrizes definidas pela política. Mecanismos como firewalls, proy servers, VPNs, criptografia de dados e de comunicação, suítes de segurança (antivírus, antispyware, antirootkit,etc...), IDS (Intrusion Detection Systems ou Sistemas de Detecção de Intrusão), entre outras, permitem que as regras definidas pela política sejam aplicadas e devidamente auditadas quando necessário. Mas é preciso notar que a implementação dessas ferramentas depende muito das regras as quais se quer aplicar. Portanto o uso de ferramentas de segurança, na falta de uma política de segurança que diga o que pode e o que não pode ser feito no ambiente computacional da empresa até pode fornecer certo nível de proteção, mas a política é quem realmente dará sentido ao uso dessas ferramentas. Caso contrário sempre que acontecer um incidente relativo a segurança, abre-se margem para argumentar que "Fulano disse que podia" ou "Ciclano liberou meu acesso a todos os sites da Internet porque preciso acessar e-mails".
Reeducação do usuário: eis o ponto mais importante, e que costuma ser o apoio de sustentação mais fraco desse tripé - o usuário. De nada adianta uma empresa investir tempo e recursos na implantação de uma política de segurança e na aquisição de ferramentas, se o usuário receber um e-mail ao qual ele não estava esperando intitulado "Veja minhas fotos nuas" e abrir o documento anexado a este e-mail. Toda a estratégia de segurança vai por água abaixo. O usuário precisa ser treinado e reeducado para executar suas tarefas com segurança, e eis o objetivo maior desse blog: REEDUCAÇÃO. O usuário de informática precisa conhecer a ferramenta que está utilizando, precisa saber dos recursos disposníveis para utilizar essas ferramentas com segurança, precisa conhecer e respeitar a política de segurança do ambiente corporativo ao qual ele está inserido, para poder evitar dores de cabeça futuras.
Sem esses três pontos chaves, a tentativa de proteger um ambiente corporativo de ataques, pragas virtuais, perda de dados, downtime, entre outras anomalias, pode estar seriamente fadada ao fracasso.
Nenhum comentário:
Postar um comentário