Página de Homologações

Olá!

Não é de hoje que todos nos sabemos que até mesmo as pequenas empresas precisam de uma política de segurança da informação, sabemos também que são poucas ou praticamente nenhuma delas possuem tal documento.

O texto de hoje visa facilitar a construção desse documento de forma que abranja toda a empresa sem gerar grandes impactos no dia-a-dia de todos os colaboradores da empresa.

1. Politica de senhas – Senhas como todos sabemos são a nossa primeira linha de defesa, tendo em vista que os atacantes tentam inicialmente obter acessos legitimo aos nossos sistemas e é através de ataques como força bruta e ataques de dicionário que eles tentam obter as senhas e assim conseguindo o acesso desejado. Uma boa política de senha deve garantir os seguintes pontos:
   1. Mínimo de oito caracteres;
   2. Mudança periódica das senhas (a cada trinta dias);
   3. A senha deverá conter caracteres especiais.

   Caso nenhum desses pontos seja cumprido termos senhas como as encontradas na pesquisa do grupo Splashdata que vocês podem ver na tabela abaixo:

2. Proteja todas as possíveis entradas – Sabemos que em um ambiente de redes de computadores tempos diversas portas de entrada, além de problemas com políticas de senhas que não nos dão segurança ou ainda pior a total inexistência de políticas de senhas, temos também problemas com concessão de acessos desnecessários para usuários, configuração inadequada de firewalls e antivírus (ou a inexistência de ambos) e é claro o uso indevido de mídias removíveis. Para termos um ambiente mais seguro quanto a esses aspectos devemos ter alguns cuidados:
   1. Implementar a politica da menor quantidade de acessos possíveis;
   2. Configurar o firewall com o mínimo de portas apertas possível (e é claro sempre mantê-los ativos);
   3. Utilizar antivírus de tempo real;
   4. Além do antivírus devemos utilizar também programas como anti-spam e anti-phishing;
   5. Bloquear o uso de mídias removíveis de todos os computadores (em um ambiente com servidores de arquivos não temo necessidade de transportar dados através delas).
3. Segmente a sua rede – a segmentação da rede visa proteger a sua empresa de ataques internos e externos, pois nenhuma das áreas segregadas será capaz de se comunicarem. Um exemplo de segregação da rede pode ser visto na imagem abaixo:

Como vemos na imagem acima cada grupo não tem acesso ao outro, fazendo com que dados por ataques, vírus e etc seja minimizado.

4. Defina e Promova a política de segurança – o primeiro passo a ser tomado é a definição de uma política de segurança e torná-la oficial para toda a empresa. Após ao passo da definição e oficialização da política de segurança da informação vêm a parte de promoção da polícia, durante a faze de promoção da política de segurança da informação devemos realizar os seguintes passos:
   1. Criar cartilhas para facilitar o entendimento;
   2. Promover workshops sobre segurança da informação;
   3. Divulgar constantemente a política;
   4. Sempre atualizar a política de segurança da informação.

5. Cuidado com as informações pessoais – A internet é um lugar de grande exposição e para nos ajudar temos infinitas redes sociais como o badoo, facebook, google+, instagran, linkedin, myspace, orkut, só para citar alguns sites que são e ou foram famosos em algum momento. Esses sites são como um grande aquário para indivíduos com más intenções que querem pescar suas informações pessoais para uso indevido, fazendo uso de ataque como o já citado phishing, a engenharia social e o spear phishing. Para minimiza-os os efeitos desses ataque temos que ter em mente alguns pontos:
   1.  Conscientizar os profissionais da sua empresa que algumas informações não devem ir para tais sites, incluindo os de uso pessoal, como endereço da empresa, informações sobre clientes e etc;
   2.  Ensine para os profissionais da sua empresa como os crackers agem para a criação dos ataques de engenharia social e phishing;
   3. Treine os usuários a como manter os seus dados o mais privados possível nas redes sociais;

6. Proteja os seus dados – Todos sabemos que notebooks são alvos constantes de furto e com eles informações criticas da empesa param em mãos erradas, como nunca deixaremos de ser vitimas em potencial de furtos devemos nos assegurar de que as informações dos dispositivos móveis possuam mais uma camada de proteção. Além do furto de notebooks temos também que ter em mente que as nossas informações sensíveis podem ser furtas através de outras formas como por exemplo um ponto de acesso a rede sem fio que utilize uma senha fraca ou “protegida” por WEP, uma conexão VPN que não utilize criptografia ou que use uma chave pré-compartilhada e etc. a lista a seguir demonstra forma de como evitar tais problemas:
   1. Criptografe todos os dados dos notebooks da empresa;
   2. Em dispositivos móveis utilize aplicações que permitam o rastreamento desses equipamentos;
   3. Em notebooks utilize o método duplo de autenticação;
   4. Use senhas complexas nos pontos de acesso sem fio e protegidos por WPA 2 com encriptação AES;
   5. Proteja as suas conexões VPN utilizando certificados de segurança no lugar de chaves pré-compartilhadas;
7. Mantenha a sua rede segura – Assim como nos 5S da gestão a parte mais difícil de se realizar é a de manter, pois para mantar um ambiente seguro exige uma extrema disciplina não somente da equipe de TI mas também de todos os colaboradores da empresa. Para mantermos a nossa rede segura e com o mínimo de problemas possível devemos ter em mente alguns pontos:
   1. Mantenha o seu sistema operacional sempre atualizado;
   2. Além do sistema operacional devemos também manter os programas sempre atualizados;
   3. Desinstale softwares que não são necessários para operação cotidiana dos computadores, assim conseguimos reduzir a superfície de ataque;
   4. Nunca desabilite as atualizações automáticas dos programas e sistemas operacionais que são utilizados na sua empresa;
   5. Não utilize apenas um firewall de borda, as estações também precisam ter um firewall ativo.
8. Cuidado com a nuvem – Hoje esta na moda utilizar serviços de Cloud Computing (Computação nas nuvens) porém sempre devemos ter cuidados ao utilizar esses serviços, antes de contratar um serviço de Cloud Computing devemos tomar algumas ações:
   1. Criptografar todos os dados que serão armazenados utilizando os serviços de Cloud Computing;
   2. Mesmo criptografados não enviar dados sensíveis para nuvem;
   3. Verifique a segurança do seu provedor de serviços.
9. Ninguém precisa ser administrador do seu computador – É importante se ter em mente que em ambientes estruturados nenhum usuário necessita ser administrador local do computador. Caso algum aplicativo necessite de tais credenciais devemos sempre  nos questionar o porque dessa necessidade e tentar alternativas tais como:
   1. Dar permissão nas chaves do registro da aplicação (ambiente windows);
   2. Dar permissão nos arquivos de configuração da aplicação (ambiente linux);
   3. Permissão de escrita no diretório da aplicação;
10. Traga o seu próprio dispositivo – o Bring Your On Device (BYOD) esse fenômeno a cada dia ganha mais e mais força e nos não devemos ignorá-lo, devemos também criar políticas de uso desses dispositivos que abranjam no mínimo os seguintes tópicos:
    1. Limitar o acesso à rede a dispositivos não homologados (podem acessar apenas a internet);
    2. Não permitir que armazenem dados nesses dispositivos;
    3. Caso seja necessário acessar alguma informação da empresa com esses dispositivos que seja feita através de conexão VPN utilizando criptografia.

Com esses cuidados conseguimos manter o nosso ambiente cada vez mais seguro e minimizando os riscos onde não é possível eliminá-los por completo.

Abraços e até o próximo texto.

Fonte: http://thiagoti.wordpress.com/2013/10/10/10-discas-para-manter-o-seu-ambiente-mais-seguro-parte-2/