Adequando seu ambiente às normas da BS 7799

Você sabe como implementar um sistema de controle de acesso à informação que seja eficiente e não se torne um estorvo para o usuário final? Geralmente, a resposta vem em coro: “Coloque um firewall na entrada e tudo bem!”.

Frente às técnicas de intrusão e a sofisticação das atuais arquiteturas de rede e sistemas, esta regra nem sempre funciona tão bem, isoladamente. Controlar o acesso significa restringir o acesso às informações. Este é um dos primeiros pontos a serem considerados de forma ampla e estratégica pelas organizações quando elas estiverem desenvolvendo um plano para a proteção dos seus sistemas.

Neste artigo, vou descrever algumas técnicas que têm como objetivo permitir que as organizações obtenham uma estrutura de trabalho baseada nos controles de uma das mais importantes normas internacionais: a BS 7799; uma mistura entre o melhor dos aspectos teórico e prático.

Para começar, é necessário que uma política de controle de acesso seja formalizada. Esta política deve considerar alguns tópicos, tais como requisitos de segurança de aplicações do negócio, identificação da informação referente às suas aplicações, classificação da informação conforme critérios de confidencialidade, legislação aplicável, obrigações contratuais, perfil dos usuários e gerenciamento dos direitos de acesso.

Nesta política, também devem constar as regras gerais de controle de acesso, definindo a aplicação do conceito “fecha tudo e só abre quando for autorizado” ou “tudo é autorizado, exceto quando é expressamente proibido”, sendo que esta segunda regra quase nunca é aplicável. É necessário que este documento chegue a todos os usuários dos sistemas de informação.

Controle de acesso

É conveniente que seja implementado um sistema de gerenciamento que sirva para manter documentados todos os acessos lógicos e os privilégios que os usuários possuem no sistema.

Estes documentos podem ser utilizados para a concessão de acessos e privilégios, onde a área de informática ficará de posse deles para manter o controle devidamente organizado. Com isso, o departamento jurídico fica capacitado para acionar legalmente o funcionário em caso de tentativas de acesso não autorizado.

O gestor pode, periodicamente, conduzir uma análise crítica dos direitos e privilégios dos usuários, para garantir que acessos não autorizados sejam registrados nos sistemas. Esta documentação cobrirá todo o ciclo de vida de um usuário em um sistema.

O sucesso de um controle de acesso eficaz passa pela cooperação de todos que fazem parte da organização. É preciso convencê-los a seguir as boas práticas para com suas senhas, mantendo sua confidencialidade e evitando ao máximo registrá-las de modo que possam ser lidas. Esta é uma parte importantíssima do processo e requer o envolvimento de todos.

A área de informática deve proteger os serviços de rede através da implementação de controles, garantindo que usuários com acessos às redes e seus serviços não comprometam a segurança dos mesmos. Nesta etapa, é necessário implantar outra política, que deve considerar as redes às quais o acesso é permitido e também um procedimento de autorização para determinar quem pode ter acesso a quais redes e serviços.

Existem diversos controles de rede disponíveis, mas como saber qual deles se mostra mais eficiente? E onde fazer suas respectivas implementações, que devem ser baseadas em uma análise de risco previamente elaborada? Alguns controles que devem ser considerados são: rota de rede obrigatória, para controlar o caminho entre o terminal do usuário e o serviço de rede, e a autenticação para conexão de usuário externo.

Tenha muito cuidado ao defender os serviços externos. É necessário analisar se eles são necessários para o negócio, pois podem abrir as portas de seu sistema para o mundo. Se for necessário utilizar um serviço externo, deve-se usar métodos fortes de autenticação. A segregação de redes e o controle de conexões de rede podem ser feitos dividindo-os em domínios interno e externo, utilizando, para isso, o tão conhecido firewall, que filtrará o tráfego entre os domínios por meio de tabelas ou regras predefinidas.

Cuidados especiais

A proteção dos sistemas operacionais deve ser efetuada por intermédio das funcionalidades pré-existentes nos próprios sistemas, utilizadas para a restrição dos acessos não autorizados. O administrador de rede deve configurar esses sistemas para que o processo de entrada (logon) seja feito através de um método seguro. Limitar o número de tentativas sem sucesso e obrigar o uso de senhas complexas são alguns exemplos.

Tendo um sistema operacional bem protegido, é necessário tratar às aplicações do negócio. Para isso, o proprietário da aplicação, que nesse caso pode ser o DBA, junto com o administrador de rede, deve aplicar restrições para que os usuários mal-intencionados não possam utilizar métodos para alterar os dados dos sistemas.

Mas não é somente nos domínios da organização que pode ocorrer a violação de dados. Deve ser tomado um cuidado especial com a computação móvel e o trabalho remoto.

Convém que seja adotada uma política formal, levando em conta os riscos de se trabalhar com estes recursos. Esta política deve conter os requisitos para proteção física, controles de acesso, criptografia etc. e os usuários que se beneficiam deste recurso devem receber treinamento específico.

Risco sempre presente

Concluído o trabalho pesado, é necessário verificar o que está acontecendo. Para isso, os sistemas devem ser monitorados a fim de que sejam detectadas divergências entre a política de controle de acesso e os registros de eventos monitorados, fornecendo evidências no caso de incidentes de segurança.

Trilhas de auditoria devem ser configuradas para registrar eventos de segurança relevantes e mantidas por um período de tempo para auxiliar em investigações futuras. Alguns exemplos de eventos são: identificação do usuário, data e hora de entrada e saída no sistema, tentativas de acesso aceitas e rejeitadas, entre outros. Para garantir a exatidão na auditoria, os relógios dos sistemas precisam estar corretos e ajustados de acordo com algum padrão de tempo local.

Fica a pergunta: “Depois desta implementação, nenhum usuário não autorizado vai acessar o sistema?”. Ninguém pode fazer essa promessa, pois à medida que se expõe a informação, tanto interna quanto externamente, o risco vai sempre existir, por menor que seja. O que se garante é uma administração inteligente do risco.

Fonte: Charles Jacobses – TI Master 2003

Deixe uma resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s