5 dicas para melhorar sua Infraestrutura de TI
Por Caique Morais*
A segurança da informação tornou-se um recurso importante para os negócios nos últimos anos. Mesmo aquelas empresas que não oferecem serviços de tecnologia precisam utilizar sistemas, redes e computadores em suas operações.
Para isso, trouxemos 5 dicas de como melhorar a infraestrutura de TI da sua empresa:
Mapeamento e controle de informações
Antes de definir regras, controles e acessos que forneçam melhorias para a segurança da informação, é necessário saber com clareza quais os itens estão no ambiente.
Para definirmos quais controles devem ser aplicados, identifique os tipos de equipamentos que há no ambiente e defina a criticidade dele em 2 aspectos:
- Impacto no ambiente: Caso esse dispositivo venha a ter algum problema, como o ambiente se comportara? Respondendo essa pergunta, você já terá uma noção da criticidade dele.
- Impacto no negócio: Se esse dispositivo for comprometido de alguma forma, como o negócio da empresa pode ser afetada? Nisso podemos incluir todos os tipos de dispositivos, até mesmo os dispositivos pessoais dos colaboradores.
Segmentação e separação de zonas
Após entender quais dispositivos temos no ambiente, devemos separá-los em grupos de acordo com suas especificações, necessidades e acessos. Por exemplo, um desktop de um usuário do setor financeiro não deve estar no mesmo segmento de rede que um desktop do setor de marketing. As informações trafegadas por cada área são diferentes e podem ser usadas como vetores de diversos ataques.
Segmentar o ambiente de acordo com a atuação de cada área é extremamente eficaz para manter o sigilo das informações geradas pelos colaboradores.
Controles de Acesso para End-Points
Quando pensamos em controles de acessos a primeira coisa que vem em nossa mente são senhas, certificados e acessos físicos. Mas também devemos levar em conta os controles de acesso onde o usuário final não está ciente que existe, como os controles de acesso pelo protocolo 802.1x que pode ser usado para fazer a identificação de dispositivos que se conectam na rede através de alguns métodos.
Controle de Acesso Administrativo
A rede como um todo é estruturada por diversos tipos de dispositivos que possuem interfaces administrativas para gerenciamento remoto desses dispositivos e dos serviços que eles prestam. Alguns dispositivos permitem que sejam implementadas regras de acessos por ACL’s (Access Control List), onde é possível especificar qual endereço IP poderá acessar a interface de administração. Esse tipo de controle é extremamente útil para ambientes que possuam serviços descentralizados, ou seja, que necessitem que uma configuração seja aplicada em vários equipamentos de forma unitária.
Com esse tipo de configuração é possível permitir que apenas os administradores de infraestrutura acessem as interfaces administrativas desses equipamentos, sem prejudicar de forma alguma os serviços que estão em execução.
Firewall e WAF
Esses dois serviços já estão muito bem consolidados no mercado, tendo diversos fabricantes, tipos, add-ons. Esse tipo de serviço permite que seja configurado ACL’s, grupos de acesso, políticas de segurança e muitas outras features. Esses serviços geralmente são usados por administradores de redes para restringir o acesso de dados vindo da internet para dentro da empresa, porém essas regras em sua maioria são apenas para controle do que vem de fora. Com esse tipo de configuração é possível impedir que certos tipos de ataques ocorram, porém não impede que conexões sejam feitas a partir da máquina de um usuário para a internet.
Durante um pentest ou até mesmo ataques reais, não conseguimos acessar diretamente um serviço interno por conta de Firewalls, então nesse momento usamos uma conexão reversa onde a máquina alvo se conectará na nossa. É possível mitigar esse tipo de falha bloqueando a saída de alguns serviços para a internet com o uso de firewalls, barrando tanto a entrada quanto a saída de serviços.
Muitas vezes é necessário delegar a responsabilidade da área para uma empresa com serviços de segurança da informação, como a AuditSafe.
(*) Caique Morais é especialista em Segurança Cibernética na AuditSafe.
