Implementando uma política de segurança eficaz

Neste artigo tentaremos apontar alguns passos e premissas para conseguirmos implementar uma política de segurança que seja realmente eficaz e que possa cumprir de fato seu papel de prevenção de incidentes eletrônicos.

[ Hits: 53.329 ]

Por: Alan Cota em 22/02/2005


Necessidades de segurança



Qual é a real necessidade de segurança que sua empresa demanda?

Certa vez ouvi um cliente dizer que precisava de aumentar a segurança de sua empresa. Era uma empresa de 30 funcionários, com 25 estações de trabalho e que possuía um link ADSL com a internet, sem nenhum firewall proxy, autenticação, ou coisa parecida. Até então a rede não havia apresentado problemas, todas as estações possuíam antivírus com suas devidas atualizações, etc. Você deve estar se perguntando. O que esta situação tem em relação a implementação de uma política de segurança?

Bem, este cliente resolveu colocar um firewall, bloquear todos os acessos e permitir somente o acesso a internet na porta 80 (HTTP). Após isto, ele começou a criar um clima de insatisfação dentro de sua empresa, pois haviam funcionários que precisavam acessar contas POP para trabalhar e nem isto foi liberado, pois segundo nosso amigo o POP é inseguro.

É, realmente se pensarmos de forma segura, o POP3 não é um serviço dos mais agradáveis aos administradores de redes, pois não temos como filtrar o POP facilmente e talvez a maior proliferação de vírus em sua rede venha do POP, ou não.

Mas o que eu queria mostrar com esta pequena ilustração é que a necessidade de segurança para uma corporação de 3000 estações e 50 servidores não é e nem pode ser aplicada a uma empresa que tenha apenas 25 estações. Com certeza nas grandes corporações existem servidores de correio eletrônico internos, o que possibilita aos administradores um scan nas mensagens que chegam para a rede e talvez naquela rede do exemplo anterior, a melhor solução seria a adoção de um sistema de antivírus mais eficaz, que fornecesse proteção a clientes de e-mail, já que o servidor fica fora da empresa e os correios precisam ser baixados usando POP.

Por isso nesta fase do projeto é necessário levantar os pontos que geram insegurança e vulnerabilidade em nossos sistemas, mas precisamos lembrar que não podemos interferir de forma drástica na rotina dos usuários. Se nosso usuário baixa seus correios POP, precisamos de no mínimo dar um tempo de adaptação para que ele possa mudar para um tipo de e-mail diferente, como um webmail ou um servidor em Postfix.

Existem alguns pontos que poderão te ajudar a identificar quais são as áreas inseguras, ou que necessitam de mais segurança:
  1. Acesso a internet;
  2. Serviços de e-mail;
  3. Serviços de instant messenger;
  4. Utilização da rede;
  5. Autenticação;
  6. Utilização das estações de trabalho;
  7. Antivírus;
  8. Troca de senhas;
  9. Instalação de aplicativos.

Estas são apenas alguns pontos que podem ajudar você a identificar quais são as necessidades e o nível de segurança que você irá desenvolver no projeto.

Página anterior     Próxima página

Páginas do artigo
   1. Breve introdução
   2. Fases da implementação
   3. Divulgação do projeto
   4. Montando a equipe
   5. Necessidades de segurança
   6. Implementando a política
Outros artigos deste autor

Alta Disponibilidade com LVS

Autenticação no Iptables

Controlando e interagindo remotamente com Elluminate

IPCop Firewall - Uma ótima opção de proteção para sua rede ADSL

Certificações Novell para Linux

Leitura recomendada

Elaborando uma política de segurança para a empresa

Melhorias generalizadas de segurança (parte 1)

Mecanismo de firewall e seus conceitos

Mantendo a segurança no Linux

Vault: SSH com OneTimePassword

  
Comentários
[1] Comentário enviado por y2h4ck em 22/02/2005 - 10:48h

Está legal o artigo, parte de politica de segurança é algo bem interessante, não tenho nada a adicionar por agora neste comentário apenas algumas congratulações.


[]s
Anderson Luiz
www.rootsecurity.com.br - Soluções Reais para problemas Reais

[2] Comentário enviado por removido em 22/02/2005 - 13:21h

Muito bom!!!

[3] Comentário enviado por cRaYoN em 25/02/2005 - 15:09h

Muito bom !!! Quando puder, manda mais dicas!

[4] Comentário enviado por rogerio_gentil em 15/04/2009 - 09:33h

Bom artigo. Muitas empresas, principalmente as micro e pequenas, não começam pelo básico: uma política de segurança. Depois, quando expandem seus negócios e crescem, perdem tempo e dinheiro para implementar e principalmente educar seus colaboradores.

Parabéns pela iniciativa.


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner
Linux banner
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts