Páginas

fevereiro 23, 2009

[Segurança] 10 passos para se proteger contra uma Guerra Cibernética

Sei-lá-porque, acabei caindo na página de um artigo de 2007 da NetworkWorld chamado "10 steps to prepare for cyberwar", que foi escrito na época do ataque DDoS de grupos russos a Estônia, que levantou uma discussão generalizada sobre a possibilidade efetiva de uma guerra cibernética (ou Guerra 3.0, como eles chamaram). Eu achei este artigo bem interessante pois ele simplifica 10 dicas bem genéricas sobre como as empresas devem encarar a segurança e a necessidade de resposta a incidentes.

Abaixo eu reproduzo emas, com alguns comentários adicionais meus, para complementar o artigo:
  • Manter um inventário de rede: de fato, esse deve ser o primeiro passo para tudo. Antes de mais nada, a empresa tem que saber que ativos possui. Quais equipamentos, qual a configuração e qual o uso. Depois vamos pensar em segurança. A única vez que vi isso acontecer foi na época dao Bug do Milênio, que as empresas relacionaram todos os seus ativos e testaram tudo para garantir que não teriam problema (ou para consertarem os problemas antes de ocorrerem). Foi um trabalho que, certamente, muitas empresas jogaram fora depois da virada de ano. Duvido que muitas empresas tenham mantido esse levantamento atualizado até hoje.
  • Mantenha a rede privada separada da Internet, logicamente e fisicamente: Só forneça acesso a Inernet para quem realmente precise disso. Muitos servidores são para uso interno e não precisam ter acesso a Internet.
  • Seja vigilante, mantenha um time de monitoramento de rede ativo constantemente, 24x7, com conhecimento sobre a sua rede, seus equipamentos e com ferramentas para monitorar o ambiente.
  • Eduque seus profissionais sobre as práticas de segurança em TI. Todos os profissionais, incluindo os usuários e o seu time de TI (analistas de suporte, de redes, de servidores, além de BDAs e desenvolvedores) devem ter conhecimentos básicos sobre as necessidades e ameaças de segurança e, principalmente, devem ser orientados sobre como realizar suas atividades de forma segura. Muitas empresas estão acostumadas a desenvolver campanhas de conscientização para seus usuários, mas nem todas se preocupam em orientar o seu time de TI sobre como realizar o trabalho deles seguindo boas práticas de segurança - este é um conhecimento mais especializado que poucos possuem, embora esteja disponível facilmente na Internet e em vários livros.
  • Tenha políticas e planos de segurança e os teste periodicamente. Sem comentários... A Política de Segurança deve exitir e ser a base para todas as atividades da empresa.
  • Saiba como contactar o seu ISP em caso de emergência. O provedor de acesso (ISP) desempenha um papel fundamental para ajudar as empresas que estejam sofrendo um ataque. Eles podem auxiliar na identificação da fonte do ataque, podem ajudar com orientações e com sua experiência. Muitos ataques podem ser barrados pelo ISP antes de chegarem a afetar o link de comunicação e os servidores da empresa.
  • Tenha um plano de backup. Nenhuma empresa deveria funcionar sem ter um Plano de Continuidade de Negócios (PCN) que a oriente como agir em caso de um problema em sua infraestrutura (por exemplo, o que fazer se o sistema de faturamento parar) ou em caso de um incidente de maior proporção (por exemplo, se a empresa deve ter um datacenter backup ou não, e como agir). Muitas empresas sequer tem uma política de backup de dados consistente, o que pode ser trágico para os negócios. Hoje a capacidade de criar, manter e proteger a informação é crucial para todas as empresas.
  • Reduza sua exposição. O artigo chamou este ítem de "Reduce your profile" e incluiu uma dica de aumentar a segurança física das instalações da empresa, mas eu interpreto aqui como sendo a necessidade de diminuir as informações sobre a empresa que são mantidas publicamente ou que são divulgadas (intencionalmente ou não). O objetivo é evitar que um atacante descubra informações que facilitem seu ataque, como saber aonde fica o local da empresa, os nomes dos executivos, os telefones de contato, etc. Evite divulgar qualquer informação sobre a empresa, sobre seus equipamentos e sobre seus profissionais (por exemplo, divulgar qual é a infra de TI em um artigo para uma revista especializada ou um funcionário que fale "mais do que devia" em uma lista de discussão). Ah, e não esqueça da segurança física. Vejo muitos profissonais de Segurança da Informação se preocupando com os aspecto tecnológicos e relevando, ou não dando a devida atenção, para a segurança física do ambiente.
  • Cuidado com o usuário interno. Essa é uma dica que falamos constantemente: os piores ataques e fraudes são causados por funcionários internos, que possuem acesso a sistemas e, repentinamente, os utilizam para fins malignos.
  • Finalmente, mantenha um plano de resposta a incidentes. Isto deve fazer parte da sua política de segurança (dica 5) e estar relacionado também ao seu PCN (dica 7). O plano de resposta a incidentes define quem é responsável por agir em caso de um ataque cibernético e orienta estas pessoas a como e quando agir. Este time deve ser treinado e deve realizar simulações periodicamente, pois devem estar aptos a responder a um ataque a qualquer momento. Responder a um ataque, no caso, corresponde a saber identificar um ataque, isolar sua origem e seu destino, saber como barrar este ataque e como realizar uma análise forense dele (se necessário).

Como disse anteriormente, este artigo é bem interessante e estas dicas se aplicam a qualquer empresa e a qualquer tipo de incidente de segurança, e não apenas no caso de uma guerra cibernética (como o título leva a crer). Boa leitura :)

Um comentário: