Segurança em Redes – Falhas “Humanas” (2º Parte)
Considero que há três factores principais que induzem a ocorrência deste tipo de falhas nos sistemas:
- a falta de formação dos colaboradores das organizações, que os impede de utilizarem os sistemas de forma eficaz, eficiente e segura e, em oposição, faz com que exponham os sistemas a todos os tipos de riscos possíveis e inimagináveis;
- a espantosa complexidade dos sistemas e a velocidade da sua evolução são uma garantia de que contêm fragilidades e erros de processamento suficientes para serem “naturalmente” perigosos;
- o mundo (fantástico) das comunicações globais e móveis transformou as paredes das nossas organizações em estruturas «pré-tecnológicas» de protecção e os sussurros dos gabinetes em “broadcasts” TCP/IP.
Os Técnicos das Tecnologias de Informação e Comunicações (TIC) e os Gestores das Organizações têm de, conjuntamente, investir os seus esforços na definição e implementação de estratégias de mitigação destes riscos para as suas organizações.
Este tipo de ameaças, contra os sistemas, pode ter origem em dois grupos populacionais distintos:
- os colaboradores das organizações, através de actos deliberados ou não;
- todo o universo de pessoas externas à organização, que pelas mais variadas motivações, têm acções contra esta.
Relativamente ao primeiro grupo, devemos ter uma ideia clara que o facto de:
- terem algum conhecimento da infra-estrutura,
- terem acesso as redes e privilégios naturais nelas,
- serem “colegas” e do departamento de TIC não ser uma “polícia”,
torna-os um grupo de risco elevadíssimo.
Na sua grande maioria, as técnicas de defesa de sistemas são baseadas em métodos de defesa de perímetros e, “logicamente“, eles estão no seu interior.
Colaborei num projecto no qual duas empresas distintas partilhavam serviços/servidores. Neste enquadramento, consideramos as suas redes de postos e a rede de sistemas como entidades não credíveis entre si. Na prática, interligamos três “redes públicas” na sua relação de confiança.
Este é o modelo que considero adequado para organizações com alguma dimensão, pois exige investimentos adicionais, para garantir padrões de segurança aceitáveis, pois permite implementar soluções de monitorização do tráfego interno e regras de protecção.
Alerto para o facto deste tipo de implementação ser complexa e exigir um planeamento muito cuidado e detalhado para que se garanta que as aplicações existentes funcionam sobre este modelo e que os ajustes, caso sejam necessários, nas permissões não resultem em falhas que anulem o nosso objectivo.
- a falta de formação dos colaboradores das organizações, que os impede de utilizarem os sistemas de forma eficaz, eficiente e segura e, em oposição, faz com que exponham os sistemas a todos os tipos de riscos possíveis e inimagináveis;
- a espantosa complexidade dos sistemas e a velocidade da sua evolução são uma garantia de que contêm fragilidades e erros de processamento suficientes para serem “naturalmente” perigosos;
- o mundo (fantástico) das comunicações globais e móveis transformou as paredes das nossas organizações em estruturas «pré-tecnológicas» de protecção e os sussurros dos gabinetes em “broadcasts” TCP/IP.
Os Técnicos das Tecnologias de Informação e Comunicações (TIC) e os Gestores das Organizações têm de, conjuntamente, investir os seus esforços na definição e implementação de estratégias de mitigação destes riscos para as suas organizações.
Este tipo de ameaças, contra os sistemas, pode ter origem em dois grupos populacionais distintos:
- os colaboradores das organizações, através de actos deliberados ou não;
- todo o universo de pessoas externas à organização, que pelas mais variadas motivações, têm acções contra esta.
Relativamente ao primeiro grupo, devemos ter uma ideia clara que o facto de:
- terem algum conhecimento da infra-estrutura,
- terem acesso as redes e privilégios naturais nelas,
- serem “colegas” e do departamento de TIC não ser uma “polícia”,
torna-os um grupo de risco elevadíssimo.
Na sua grande maioria, as técnicas de defesa de sistemas são baseadas em métodos de defesa de perímetros e, “logicamente“, eles estão no seu interior.
Colaborei num projecto no qual duas empresas distintas partilhavam serviços/servidores. Neste enquadramento, consideramos as suas redes de postos e a rede de sistemas como entidades não credíveis entre si. Na prática, interligamos três “redes públicas” na sua relação de confiança.
Este é o modelo que considero adequado para organizações com alguma dimensão, pois exige investimentos adicionais, para garantir padrões de segurança aceitáveis, pois permite implementar soluções de monitorização do tráfego interno e regras de protecção.
Alerto para o facto deste tipo de implementação ser complexa e exigir um planeamento muito cuidado e detalhado para que se garanta que as aplicações existentes funcionam sobre este modelo e que os ajustes, caso sejam necessários, nas permissões não resultem em falhas que anulem o nosso objectivo.
posted by João Dias de Carvalho at
09:58
0 Comments:
Enviar um comentário
<< Home