Conceitos BáSicos Sobre SegurançA Parte 6

333 views

Published on

Published in: Technology, News & Politics
  • Be the first to comment

  • Be the first to like this

Conceitos BáSicos Sobre SegurançA Parte 6

  1. 1. http://olinux.uol.com.br/artigos/335/print_preview.html Conceitos Básicos sobre Segurança - Parte VI Por: Elias Barenboim ( 12/06/2001 ) Introdução Continuaremos a falar de política de segurança, é praticamente a última aula sobre o assunto. Com certeza o assunto é meio chato e massante, só que sempre há um propósito atrás dele. A base sempre é mais importante do que tudo, eu poderia chegar aqui e ensinar todas os procedimentos práticos em relação a segurança, e 1 semana depois vocês serem invadidos, o que adiantou? Nada. Porque não ensinar a um robô? Técnicas são variáveis e dependem do momento, o conteúdo sólido já se adequa a qualquer mudança de conjuntura. Em nossa inteligência reside o diferencial em relação a máquina. Com certeza falaremos de situações práticas, porém isso será dosado de forma adequada e em seu tempo ideal. Revisando Basicamente, sabemos que uma boa Política de Segurança (chamarei de PS daqui para frente) ajuda a definir o que é relevante, o grau de importância e os passos que devem ser tomados para garantir a segurança do que se deseja proteger na organização. Também deve deixar claro quem é responsável pelo que. Ela deve prover informações para que não haja problemas futuros em termos de quem é responsável pelo que e por que área. A PS dever ser formulada de diversas formas. Pode ser genérica, bem específica, ou algum grau intermediário a estes. Por exemplo, pode-se escrever situações genéricas básicas e como deve ser a ação das pessoas envolvidas. Já outra, pode descrever claramente por pessoa, por recursos ou situações o que deve ser feito. Como caracterizamos uma boa política de segurança? 1) As regras devem ser implementadas pelo administrador do sistema, publicando-as de forma geral, que seja de aceitação de todos (já falamos dessa parte). 2) Deve ser desenvolvida com ferramentas de segurança e restrições, quando necessário. Por exemplo, quando não se pode restringir isso logicamente, ou através da PS, restringe-se o acesso ao recurso (lembre-se daquela questão de disponibilidade de recursos do sistema versus segurança) 3) As áreas com que cada um é responsável devem ser clara, cristalina. Os usuários, administradores, gerentes e todos que utilizam os recursos devem ter plena consciência de suas áreas de responsabilidade e das que utilizam. Exemplificando, mesmo se alguém não for responsável por determinada área, mas utilizá-la, deve saber quem é responsável para poder reportar problemas intempestivos. Flexibilidade é importante numa PS? Sem dúvida alguma a resposta é SIM. Quando o desejo é possuir uma PS viável a longo prazo (em geral é o que se deseja, obviamente). É necessário visualizar que mudanças nessa PS são necessárias para a adequação as necessidades transformadas da situação. Existe uma vertente que é a favor de especificações genéricas, independente do software e hardware existente. Isso impede que mudanças nestes obriguem que se deva fazer mudanças supérfulas na PS, além de não prender esta a uma plataforma, em termos de hard/software. Os mecanismos de atualização da PS devem ser claramente divulgados (inclui processos, pessoas envolvidas e que devem ser retiradas). Outro detalhe importante que se deve ter em mente, é que toda regra há sua exceção. Quando possível (é sempre desejável), deve-se deixar isso claramente explícito na PS. 1 de 2 06-12-2009 12:47
  2. 2. http://olinux.uol.com.br/artigos/335/print_preview.html É importante salientar que a disseminação da informação é essencial. Quando as informações caem sobre uma única pessoa, por exemplo, os riscos de perda destas, críticas, aumentam vertiginosamente. Um situação possível, mórbida, é se a pessoa morre, ou mesmo, fica doente, o que acontecerá ao sistema? Lembre-se, o nível com que a informação é passada é importante. Não se pode espalhar nem guardar tudo, situação similar a uma balança. Quem deve saber o que, porque não deveria saber, porque deveria, se é pertinente, quando, como, qual limitação, informação além da ação (e vice-versa). Pontos chaves numa PS Alguns aspectos chaves que valem a pena serem mencionados em relação a PS e segurança em geral. * Novamente, denotar responsáveis para todo software e hardware. Esta pessoa será responsável pela manuntenção (permissões de acesso e todo tipo de manipulação de tais) da segurança e ela que será responsabilizada por problemas caso ocorram em suas respectiva áreas. Muitas vezes a omissão (seria a palavra mais adequada) de alguém específico para se cobrar deixa um furo. Cria-se uma cumplicidade e passividade em relação aos fatos mediante ao fato da não responsabilização de alguém. Outro problema, é mesmo quando desejado comunicar algo crítico do sistema, não a possibilidade, mediante a falta de alguém a recorrer. * Um modo de se enfocar as coisas positivamente. Você dizer "não faça isso", "não faça aquilo" é bem mais pesado do que dizer, "voce deve fazer isso", "é sua responsabilidade garantir aquilo". As pessoas em geral respondem melhor a esse tipo de proposições. * Lembrar que se esta lidando com "seres humanos" e não máquinas. Todos estão passíveis a erros, a PS em geral deve levar isso em conta, erros. * Treinamento dos usuários é imprescindível. Os usuários em geral devem ser treinados e estarem com pleno entendimento em relação a segurança da organização. Isso aumenta o grau de adesão deles ao sistema, ninguém fica feliz fazendo alguma coisa que não sabe a utilidade. E mais, uma equipe de segurança (talvez uma pessoa, caso a empresa seja pequena) dedicada a aprender as novidades, manter operacional e ser ponto de contato da empresa com o mundo exterior. * Aprofundamento em múltiplos níveis da PS. Ou seja, utilize com redundância em multiplos, independentes níveis e segurança. Inclua sempre auditoria e monitoramento delas para garantir o funcionamento do todo. * Definir qual enfoque da política, se é: "Tudo que não é explicitamente proibido é permitido" ou "Tudo que não é explicitamente permitido é proibido". O ideal para o usuário é o primeiro, só que bem mais trabalhoso para o administrador, que tem que lidar com toda gama de opções negativas nessa situação. Já o segundo é mais adequado do ponto de vista do administrador, enquanto para o usuário, ele tem o trabalho de requisitar os "serviços". Conclusão Um ponto chave muito importante, caso você seja o responsável pela segurança, é ter em mente que se não tiver o poder da autoridade para criar regras e punir quem as transgrida, sua única função será carregar a responsabilidade quando alguma coisa errada acontecer no sistema. Por enquanto é so pessoal, terminamos esta parte inicial de política de segurança, continuem mandando emails. Abraços, Elias Bareinboim Copyright (C) 1999-2000 Linux Solutions 2 de 2 06-12-2009 12:47

×