Segurança em Redes – Falhas “Humanas” (3º Parte)

O artigo anterior pode transmitir a ideia de que os colaboradores das organizações deverão ser considerados, pelos responsáveis pela protecção dos sistemas, um “bando de malfeitores”!

Não, não é esse o prisma correcto e nem sequer é este um posicionamento aceitável.

Mas todos nós já passamos pela experiência daquele vírus que entrou, através de um e-mail divertido e/ou de uma página WWW (“xxx”), provocando um “Denial of Service” no nosso “Router”.

De repente, uma “chuva” de telefonemas internos (outro “Denial of Service”) cai no departamento de TIC pois as comunicações estão paradas e o caos gerado instantaneamente! A organização está parada e nós na “crista da onda da confusão”.

Iremos abordar, assim espero, com mais detalhe algumas estratégias de protecção contra este grupo de risco mas considero que há três pontos estruturais a considerar de imediato:

- a sensibilização, a formação e a informação dos colaboradores para os riscos inerentes à utilização dos sistemas;

- um rigoroso modelo de configuração dos postos, a sua uniformização em termos de sistemas operativos e aplicações (e de versões), o acompanhamento das suas vulnerabilidades por parte da equipa de TIC e a instalação atempada das correcções, a activação de mecanismos de “Logs de Segurança” e a sua monitorização;

- a implementação de um Regulamento Interno de Segurança credível e que “obrigue” todos os colaboradores.

Este último tópico é aquele que, habitualmente, gera mais polémica e conflitos de interesses.

Pessoalmente, eu não creio ser possível manter os Sistemas de Informação suficientemente protegidos sem a participação de todos e sem existirem regras próprias associadas à sua utilização que sejam, efectivamente, cumpridas por todos.

Sei que muitos discordaram desta perspectiva pois há, na verdade, outra forma:

- restringir a um nível tal as funcionalidades dos postos que é “praticamente impossível” serem fontes de problemas.

Recordo, há uns anos atrás, ter visitado uma fábrica na qual o Administrador da Rede tinha imposto, através da AD (Active Directory), um conjunto tal de restrições aos postos que, na minha opinião e dos utilizadores, era “quase” impraticável a sua utilização.

Para agravar este cenário, era obrigado, dadas as “deficiências” dos SO Microsoft nesta área, a configurar inumeráveis excepções para que determinadas aplicações críticas da organização funcionassem. Observei, que o dia a dia dele era dedicado a responder a estas necessidades enquanto os processos produtivos estavam parados.

Teria ele uma rede realmente segura? Esta era eficiente para a organização? Na minha opinião, não!