Segurança pode ser contabilizada?

Muitos de nos, consultores, sempre usamos do medo para implantar um novo serviço em um cliente novo ou até mesmo antigo. Alguns desses dizem que isso é bom para manter o bom serviço do cliente, mas outros se entregam a dizer que é apenas mais uma forma de obter recurso ou mesmo o cliente novo.

O que é fato é:

A segurança de certo modo não pode ser contabilizada com somente um caso isolado, pois nem todo incidente de segurança pode levar alguém a falência. Tal como um mercado que tem um sistema de frente e fundo de caixa informatizado, se algum problema parar o serviço, um serviço manual resolverá o problema até o técnico chegar e colocar tudo “nos eixos”.

O que quero dizer não é que a segurança é dispensável, pelo contrário, estou ingressando nessa área como profissional, pois acho que é muito importante para os serviços de administração de rede que já desempenho.

Então, o que digo são as “falsas verdades” que é muito dita sobre os meninos gênios que nada tem o que fazer senão invadir pequenas redes para então roubar todos os dados e cobrar uma fortuna por eles. Não que isso seja impossível, mas vamos olhar de uma forma mais aberta, isso é muito improvável, mas como não trabalhos dessa forma devemos oferecer o melhor, mas sem exageros, por favor.

Nesse mesmo mercado a segurança é muito importante, ainda mais se existe alguma integração dos dados cadastrais do cliente trafegando nessa rede. Além de “sujar” o nome da empresa, poderá ocasionar em alguns processos judiciais.

Em ultimo ponto o que muito é passado, mas pouco pensado é:

Um Firewall/Proxy não é a solução dos problemas, sem uma política de segurança interna, perigos de dentro da rede podem levar por rio abaixo TODO seu investimento.

Então agora entra o X da questão, como contabilizar isso? Como saber o que devo fazer dentro da empresa e saber que deve ou não acessar tal informações?

Temos duas vertentes:

Tudo que não é expressamente liberado é proibido. – Parece um pouco rígido, mas acredite funciona muito bem em empresas com grandes riscos internos e pouco tempo para organização do mesmo.

Tudo que não é expressamente proibido é liberado. – Um pouco mais brando, mas é também uma ótima solução, muito bem difundida nas empreas, pois não há muito confronto com as idéias já existentes, mas se essas proibições não forem avaliadas com cuidado a organização pode nunca funcionar de verdade, pois como os problemas mudam a equipe deve se manter sempre atualizada.

Exemplos

Se uma empresa de vendas de sapatos solicita a informatização de todas suas filiais para centro único de dados da empresas com sistema de backup diário e site hospedado em sua própria rede com compras online!?

“De cara” visualizamos os serviços a serem usados. Servidor de Banco de Dados, Servidor Web, se não houver link de dados entre as filiais um servidor de VPN, Servidor de Backup, Firewall e Proxy.

No meu caso, em ordem ficaria – Mysqld, Apache, Openvpn, Amanda, Iptables, Squid+Mysar (Emissor de relatórios do squid).

Tudo certo não é? Mas e as recomendações de segurança? Lá vamos nos…

Nesse caso seria:

Os acessos a internet seriam restritos a sites corporativos tendo como exceção horário do almoço para alguns sites de noticias, lazer e afins, mas nunca de E-mails externos, pois além de serem uma porta aberta para vírus ainda sim ter o fato dos dados confidenciais serem tirados da empresa por algum empregado descontente ou mesmo desonesto. Os e-mails enviados pelos funcionários devem ser controlados e adicionados a um bom anti-spam.

Não somente os acessos a internet seriam controlados e também aos dados internos. Se for o caso de precisar de arquivos serem compartilhados entre maquinas de trabalho seria adicionado o serviço de Servidor de Arquivos a lista acima, o samba faria um ótimo trabalho. E assim os funcionários estariam logando em suas estações, que nesse caso poderia ser tanto Linux quanto Windows.

Alguns detalhes também seriam tratados, tais como portas usb, drivers de cdrom e modens dial-up. Todos uma GRANDE porta aberta tendo de entrada como de saída de dados, pois não só o fator confidencial está envolvido nesse problema e sim também a pirataria de software. Uma vez que é encontrado dentro de uma empresa um software pirata, a empresa é responsabilizada pelo mesmo. Então nesse caso o OCS Reports seria uma boa alternativa para detectar tais dispositivos nas maquinas clientes da rede.

Por fim, será isso tudo mesmo necessário para uma empresa de vendas de sapatos? Sim, pois estamos falando de um custo de no mínimo R$ 2.500 somente com o serviço de instalação e pequeno treinamento na manipulação dos serviços.

Falamos aqui de serviços e valores, mas que tamanho é essa empresa? Será mesmo que ele precisa trocar arquivos fora do processo normal do seu aplicativo de venda com seu banco? Será mesmo que uma retirada de TODOS os periféricos problemáticos e maquinas trancadas não resolveria? Tudo depende do que a empresa deseja utilizar, pois muitas empresas fazem acima do que pode e acabam pagando caro mais a frente, seja na utilização de recursos sem segurança ou no uso da segurança em excesso.

Cuidado, muito cuidado. Tais indicações devem ser devidamente analisadas.

5 respostas para Segurança pode ser contabilizada?

  1. Kleydson Muniz disse:

    Muito bem meu caro, você está se tornando um especialistaem segurança da informação, um ramo interessante por sinal. A propósito, sobre a política de segurança, acho que alterar o firewall para permitir que seu ip acesse o msn na empresa não é algo que está incluso nas regras de segurança, kkkkk.

    Valeu, linux boy.

  2. Rafael Gomes disse:

    Hum… Interessante, mas o msn é um caso um tanto incomum, tem que ser tratado com cuidado, pois ele é amplamente utilizado para meio de comunicação da própria empresa. Com o bloqueio da camada 7 (aplicação) pelo iptables (sim! O Iptables pode fazer isso, mas com alguns ajustes.) o msn pode ser bloqueado sem problemas para aqueles que não deverão ser usados.

    Isso é uma questão de ponto de vista. Obrigado amigo.

  3. Fernanda Barbosa disse:

    Achei muito interessante seu artigo!

    Ainda um pouco complexo para mim, que não entendo nada sobre isso!!!rsrsrs

    Mas, é isso aí… o tema é bastante importante para a implantação de um sistema de segurança.

    Vc abordou os prós e os contras!Agora é só pesar e escolher. Ah…e convocá-lo para providenciar tudo isso, EXPERT!

  4. Sua visão é interessante. Como falou no final do artigo, um fator que o profissional deve estar atento é o porte da empresa.

    Em seu primeiro exemplo você citou: “Tal como um mercado que tem um sistema de frente e fundo de caixa informatizado, se algum problema parar o serviço, um serviço manual resolverá o problema até o técnico chegar e colocar tudo “nos eixos”.”

    Acontece que em um ‘Hiper BomPreço’ da vida essa solução seria improvável. Por outro lado, um mercado de bairro, com até 3 checkouts, poderia suportar o registro das vendas de forma manual por algumas horas.

    Assim, uma empresa de maior porte necessita, obviamente, de uma segurança maior – para garantir disponibilidade dos seus sistemas de informação. Pois, uma falha de alguns minutos poderia representar uma catástrofe.

    PS: Várias empresas estão aderindo ao uso de redes wi-fi. Inclusive, já existem vários provedores wireless em Salvador. E o que tenho percebido é que um percentual muito grande dessas empresas não tomam cuidado com a segurança dessas redes. Assim, empresas conectadas atraves de uma rede wireless não segura pode estar expondo inocentemente dados senciveis.

  5. Rafael Gomes disse:

    Isso mesmo !

    Para soluções wireless temos como forma, a criação de uma vpn para cada estação! Assim estaríamos livre de um monte de problemas…

    Tudo livre com Openvpn.

Deixe uma resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s

%d blogueiros gostam disto: