Home Page do best seller de segurança Como Blindar seu Pc
A maior universidade Virtual de Tecnologia da Informação com ênfase em Segurança do país
Visão e referências para o público interessado em Segurança da Informação
Livros, artigos e papers publicados
Colaborações de Freire com a imprensa
Retornar Página Principal Curriculum Vitae de Alexandre Freire Envie e-mail aos cuidados de Freire




Retornar

Artigo Publicado

O compromisso com a segurança de redes

Por Alexandre Freire

Dando continuidade à matéria "A Importância do resguardo do ambiente de Conectividade", publicada na semana passada, falaremos agora sobre o compromisso com a segurança de Redes.

Assim como todos os aspectos relacionados com Segurança da Informação, a segurança de redes necessita ser encarada como um compromisso. Políticas relacionadas com segurança de redes não podem ser desenvolvidas sem critério. O Security Officer necessita
trabalhar com os demais departamentos estratégicos da empresa (principalmente com o departamento financeiro), para assegurar que a previsão orçamentária seja realizada de maneira a suportar o crescimento computacional e a demanda por investimentos de tecnologia
para proteção de redes e sistemas.

O compromisso com a segurança de redes também é uma combinação de educação e gerenciamento de riscos. É de extrema importância que os profissionais de segurança das corporações estejam atualizados em relação as últimas vulnerabilidades divulgadas e que
haja um processo de comunicação para replicar a informação para os demais integrantes do staff de segurança. O chief information officer (CIO) ou gerente de TI (depedendo do tamanho da organização), necessita ser notificado de novas ameaças para que o processo de
comunicação para com o restante da corporação seja realizado pelo mesmo. Este processo de comunicação deverá ser realizado com objetivo em comunicar, de forma clara e não técnica, as possíveis consequencias de uma ameaça, ataque ou incidente de segurança reportado.

Gerenciamento de riscos

A chave para a segurança de redes é obtida através da utilização do uso apropriado de equipamentos e políticas de segurança que administrem o uso destes equipamentos. No cenário corporativo atual, as empresas necessitam proteger informações de usuários não
autorizados que estejam dentro ou fora de seus segmentos de rede.

Um dos pilares mais importantes da política de segurança é o processo de análise de riscos. O processo permite a quantificação de problemas relacionados a possibilidade de incidentes de rede permitindo melhor entendimento em relação ao ambiente e seus principais pontos de vulnerabilidade.

O processo de Gerenciamento de Riscos é o processo de identificar uma ameaça em potencial a partir de um risco de segurança. Gerenciamento de Riscos também compreende o entendimento quando o custo não é um fator. Em outras palavras, é importante lembrar que
existem algumas soluções que são tão importantes serem implementadas e que independem de qualquer custo.

O gerenciamento efetivo de riscos requer o entendimento do impacto que todas as possíveis ameaças representam a um ambiente corporativo. O completo entendimento do risco permite aos administratores a habilidade de pesar os custos reais devido a não implementação de um controle para a correção de uma vulnerabilidade.

Por exemplo, se os servidores de e-mail de uma corporação não estiverem configurados de maneira adequada com implementações de segurança específicas para recusar o envio de e-mail por domínios não autorizados, qualquer usuário poderá enviar mensagens explorando o
open relay. Existe um risco em potencial, classificado como risco alto, do servidor ser comprometido através do uso de algum exploit ou worm de e-mail. O gerenciamento de riscos, neste caso, envolve identificar os custos de aplicar (ou não) a correção no servidor de
e-mail. O custo de implementar o controle é relativamente menor do que deixar o servidor de e-mail vulnerável e exposto a possíveis vírus ou mesmo ao envio de e-mail não solicitado acarretando na inclusão do servidor de e-mail em listas de proteção (spam), impossibilitando o
envio de mensagens legítimas da corporação para clientes, parceiros de negócios e fornecedores.

Em relação a segurança de redes, o gerenciamento de riscos deve ocorrer através de auditorias periódicas nos principais ativos de conectividade e sistemas de proteção de rede que estão inseridos no contexto de um site específico. O processo de análise de riscos,
normalmente realizado por amostragem, deve cobrir o maior número possível de ativos de tecnologia. Em um parque de 100 servidores Windows 2000, por exemplo, aproximadamente 40% dos servidores seriam escolhidos para o processo de auditoria. Convém que a proporção em relação aos ativos de conectividade e proteção de rede varie entre 60% e 70%. Neste grupo de ativos estão inseridos os roteadores/switches de borda e de zonas periféricas, equipamentos de core switching, roteadores de acesso remoto, access points, sistemas de proxy, sistemas de detecção de intrusos, sistemas antivirus, inspeção de conteúdo, Firewalls e concentradores de VPN.

Retornar Página Publicações

Autorizações para reprodução:

Portal IBEST Imasters
HOME  | CURRICULUM  | DOCÊNCIA  | PUBLICAÇÔES |  LIVROS |  PALESTRAS |  IMPRENSA |  PREMIOS
Copyright (c) 2007 MagicWeb Information Provider All rights reserved.