Running head: ABORDANDO PROBLEMAS DE SEGURANÇA DE REDE 1

Resolvendo problemas de segurança de rede

Através da perspectiva de um diretor de segurança

Alyssa L. Reph

Universidade Wilkes

Introdução

De acordo com Bruce Schneier, “Se você acha que a tecnologia pode resolver seus

problemas de segurança, então você não entende os problemas e não entende a tecnologia”

(“Top 10”, sd). A segurança da informação depende de mais do que apenas tecnologia; requer

pessoas inteligentes por trás dos sistemas. Numa empresa, o Chief Security Officer tem a

responsabilidade de avaliar o risco, gerir a tecnologia, implementar políticas e educar o pessoal

(Whitman & Mattord, 2014, p. 35). Embora haja uma variedade de questões de segurança, cinco

situações únicas serão abordadas através da perspectiva do Diretor de Segurança.

 ABORDANDO PROBLEMAS DE SEGURANÇA DE REDE 2

Discussão

Acessando arquivos da empresa

O Conselho de Curadores está em retirada para a Flórida e precisa acessar seus arquivos no

servidor de arquivos da empresa, que é apenas um servidor interno. A principal preocupação é

como eles podem ter acesso aos seus arquivos de maneira segura e o que isso exigirá que a

empresa faça? Para obter acesso à rede, o Diretor de Segurança utilizará uma rede privada

virtual. Este tipo de rede é “uma rede privada de dados que faz uso da infraestrutura pública de

telecomunicações, mantendo a privacidade através do uso de um protocolo de tunelamento e

procedimentos de segurança” (Whitman & Mattord, 2014, p. 347). Em outras palavras, a rede

privada virtual permitirá à empresa estender com segurança as conexões de rede para outros

locais.

Antes de ser oferecido ao Conselho de Curadores acesso a essa rede, o Diretor de Segurança

deve confirmar se a empresa possui uma política para controlar o uso. É essencial ter uma

política de segurança específica para cada questão, que detalhe o uso autorizado da rede privada

virtual e os recursos que a acompanham (Whitman & Mattord, 2014, p. 164). Já existe uma

política específica para um assunto em vigor? Em caso afirmativo, inclui a utilização de recursos

através de redes privadas virtuais? O formato da política pode ser um documento eletrônico

enviado por e-mail ao Conselho, com um breve questionário para avaliar a compreensão das

diretrizes. O Conselho de Curadores deverá ler e assinar que está de acordo com a política

(Whitman & Mattord, 2014, p. 112).

Comprando um Servidor

O departamento financeiro pretende adquirir um servidor para armazenar todos os materiais

orçamentários. Ao decidir adquirir um equipamento tão importante, vários fatores devem ser
 ABORDANDO PROBLEMAS DE SEGURANÇA DE REDE 3

considerados. Em quais softwares e servidores a empresa opera atualmente e eles são eficazes?

Se estiverem funcionando bem, o Diretor de Segurança pode decidir adquirir outro modelo

semelhante. Além disso, há espaço no orçamento para um novo servidor? O Diretor de

Segurança precisará verificar o orçamento e ter o servidor aprovado para compra. Uma vez

tomada a decisão sobre o tipo e tamanho do servidor, a proteção das informações precisa ser

levada em consideração.

Como a empresa protegerá as informações hospedadas no servidor? Como o servidor

guardará as informações financeiras, a documentação é fundamental para manter os arquivos da

empresa seguros. Um sistema de detecção e prevenção de intrusões (IDPS) deve ser configurado

para registrar dados e manter o servidor seguro (Whitman & Mattord, 2014, p. 361). O IDPS

documentará todas as atividades no servidor para que, em caso de ataque, a empresa tenha a

documentação necessária para rastrear o intruso. Junto com o IDPS, os firewalls precisarão ser

configurados. Quem será o responsável pela configuração do firewall? Haverá um funcionário

designado como administrador autorizado do firewall. Eles configurarão o firewall para proteger

o servidor contra ataques externos. A “configuração e operação de um firewall de rede”

(Whitman & Mattord, 2014, p. 168) pode ser encontrada na política de segurança específica dos

sistemas. Essa política orientará o administrador no estabelecimento do firewall de acordo com

as instruções da empresa.

Demitindo um administrador de rede

Quando um dos principais administradores da rede é demitido, procedimentos devem ser

seguidos para garantir a segurança das informações da empresa. Como a empresa pode

minimizar os riscos à sua segurança? Os riscos podem ser diminuídos se procedimentos

específicos forem seguidos “independentemente do nível de confiança que a empresa tinha no

 ABORDANDO PROBLEMAS DE SEGURANÇA DE REDE 4

funcionário” (Whitman & Mattord, 2014, p. 578). Uma entrevista de saída deve ser realizada

quer a saída seja amigável ou hostil. Quem conduzirá a entrevista de desligamento do

funcionário? O Diretor de Segurança provavelmente cuidará da entrevista de saída porque

trabalhou em estreita colaboração com o administrador da rede e construiu um bom

relacionamento. A entrevista consistirá em uma reunião com o funcionário para revisar

“obrigações contratuais, como acordos de confidencialidade, e para obter feedback sobre o

mandato do funcionário” (Whitman & Mattord, 2014, p. 577).

Quais procedimentos específicos garantirão que o funcionário não tenha mais acesso às

informações da rede? O Diretor de Segurança deve desativar o acesso do funcionário aos

sistemas de rede, proteger os discos rígidos e coletar quaisquer mídias removíveis, dispositivos

da empresa e cartões de acesso. As fechaduras dos arquivos e portas devem ser trocadas

juntamente com as senhas de nível administrativo (Whitman & Mattord, 2014, p. 578). Dado

que este funcionário tinha amplo acesso autorizado à rede, o Diretor de Segurança deveria

executar uma verificação de segurança para verificar a vulnerabilidade da rede a ataques

externos (Verry, 2008).

Quando um administrador de rede é demitido, quem deve ser notificado da mudança? Os

recursos humanos devem ser informados, pois serão responsáveis por fornecer documentos

importantes, como um contrato e um acordo de confidencialidade, ao entrevistador de saída para

revisão antes da reunião. Além disso, os recursos humanos são responsáveis por divulgar a

oportunidade de emprego. Além disso, os funcionários da empresa serão informados, pois deve

ficar claro que qualquer comunicação com o funcionário demitido deve ser reportada à

administração (Verry, 2008). Parceiros de negócios e consultores devem ser informados de que

este funcionário não trabalha mais na empresa. Esta é uma medida preventiva para que o
 ABORDANDO PROBLEMAS DE SEGURANÇA DE REDE 5

funcionário não aproveite estes contactos como forma de adquirir informações da empresa

(Verry, 2008).

Como essa demissão afetará a empresa e quem assumirá esse cargo nesse ínterim? Pela

importância da segurança da empresa, é fundamental que alguém ocupe esse cargo. Muito

provavelmente o Diretor de Segurança terá essa responsabilidade porque já obteve acesso e

conhecimento adequados da rede. Assim que alguém novo for contratado ou promovido, ele será

treinado nas políticas e procedimentos da empresa. Prevenindo um ataque de worm

Um novo worm da Internet acaba de ser relatado pelo CERT. Segundo Whitman e Mattord

(2014), o “comportamento complexo dos worms pode ser iniciado com ou sem o usuário baixar

ou executar o arquivo” (p. 84). Um worm é um tipo de software malicioso que pode se copiar

em servidores Web e “se espalhar por centenas de máquinas em questão de minutos”

(“Tratamento de Incidentes”, sd). Como a empresa pode se proteger dessa possível ameaça? A

empresa pode optar por começar verificando o sistema de proteção contra intrusos e usar

ferramentas de verificação para “avaliar a prontidão do sistema” (Whitman &

Mattord, 2014, pág. 360). Como as medidas de segurança atuais respondem às ameaças? Os

dados coletados na varredura do sistema podem ser analisados para determinar áreas de fraqueza

e encontrar maneiras de melhorar a proteção.

A empresa possui uma política de segurança específica para worms? A empresa pode ter

uma política que detalha as “configurações mínimas específicas dos computadores para defesa

contra worms e vírus” (Whitman & Mattord, 2014, p. 165). As medidas implementadas são

eficazes ou a empresa precisa de atualizar a sua política? De acordo com Whitman e Mattord

(2014), “As políticas só podem manter a sua eficácia num ambiente em mudança se forem

periodicamente revistas em termos de atualidade e precisão e depois modificadas em

 ABORDANDO PROBLEMAS DE SEGURANÇA DE REDE 6

conformidade” (p. 172). A política pode estar desatualizada ou não ter a segurança necessária

para proteger a empresa do novo worm. A política deve ser verificada quanto à revisão mais

recente e testada quanto à eficácia. Se a política não for detalhada o suficiente para proteger a

empresa de novas ameaças, ela deverá ser revisada e atualizada imediatamente.

Como a equipe será notificada sobre alterações na política e sobre a ameaça de um novo

worm? Um boletim informativo deve ser enviado para conscientizar os funcionários sobre a

possível ameaça, fornecer medidas preventivas a serem tomadas e notificá-los sobre quaisquer

alterações feitas na política. Após a revisão da política, ela será enviada eletronicamente aos

funcionários juntamente com um questionário rápido para garantir que eles a leram e

compreenderam. Os riscos podem ser minimizados quando a empresa verifica o sistema

periodicamente, atualiza as políticas e mantém a equipe informada sobre possíveis violações.

Venda de produtos on-line

A empresa vai começar a vender widgets online e a aceitar cartões de crédito. Tal como

acontece com qualquer novo empreendimento comercial, existem riscos que precisam ser

abordados antes de avançar. Como a empresa protegerá a privacidade dos consumidores?

Privacidade é definida como “o direito de indivíduos ou grupos de protegerem a si mesmos e às

suas informações contra acesso não autorizado, proporcionando confidencialidade” (Whitman &

Mattord, 2014, p. 115). Uma medida para proteger a privacidade dos consumidores é garantir

que as informações obtidas online através de compras sejam utilizadas apenas para fornecer

bens e não para marketing (Whitman & Mattord, 2014, p. 115).

Como a empresa pode manter as informações dos consumidores seguras? O site deve ser

configurado para fornecer transações eletrônicas seguras, criptografando informações de

cartão de crédito (Whitman & Mattord, 2014, p. 454). Além disso, o administrador do
 ABORDANDO PROBLEMAS DE SEGURANÇA DE REDE 7

firewall deve estabelecer um firewall para proteger as informações do cartão de crédito dos

consumidores contra hackers (Whitman & Mattord, p. 125). Para manter a segurança das

informações da empresa e dos consumidores, o Diretor de Segurança deve garantir que haja

uma política atualizada detalhando essas medidas de segurança.

Conclusão

Como Diretor de Segurança, a segurança da rede é a principal prioridade. No entanto,

podem surgir diversas situações que podem ameaçar ou danificar as medidas de segurança

em vigor. Whitman e Mattord (2014) postulam que “O gerenciamento da segurança da

informação tem mais a ver com o gerenciamento de riscos, políticas e sua aplicação do que

com a tecnologia de sua implementação” (p. 48). Os chefes de segurança desempenham um

papel vital na avaliação de riscos, delineando políticas e procedimentos e informando a

equipe para manter a segurança da rede.

Referências

Procedimento de tratamento de incidentes. (nd). Recuperado em 13 de junho de 2016, de

https://www.mtech.edu/cts/policies/policies/incident.handling.pro..pdf

As 10 principais cotações de segurança de TI. (nd). Recuperado em 14 de junho de 2016, de

http://www.itscolumn.com/2011/08/top-10-it-security-quotes/

Verry, J. (2008, 18 de dezembro). “Melhores práticas” para disparar uma rede ou segurança da
informação

administrador. Recuperado em 12 de junho de 2016, em

http://pivotpointsecurity.com/blog/best-practices-for-

disparando-uma-rede-ou-segurança-da-informação-admin/

Whitman, ME e Mattord, HJ (2014). Princípios de segurança da informação . Boston,

MA: Cengage Learning.