== Consultoria de Segurança da Informação==
Por: vH_ (ak1947@bk.ru)
http://hudson.hackernews.com.br
.::Notas do Autor::.
Enfim, resolvi escrever este documento para auxiliar pessoas interessadas em iniciar uma carreira na área de segurança da informação. Lembrando que você não se torna um consultor de segurança apenas por ler um simples documento escrito por alguém e lançado na rede, existe um processo um tanto quanto longo até que você consiga conhecimento a nível de receber o título de Consultor de Segurança da Informação. Este documento é para ajudar o mínimo na integração de profissionais de segurança no mercado, pode não ser um documento perfeito mas já encaminha você para o rumo certo. Acredito que o mercado precisa de mais profissionais de segurança da informação disponíveis e já me sinto um pouco melhor sabendo que talvez eu estou contribuindo para a integração de pessoas interessadas. Tenha uma boa leitura e boa sorte.
vH_
(Autodidata em Segurança da Informação)
.::Introdução::.
Este documento descreve um processo de Consultoria de Segurança da Informação bastante detalhado, por isso, os processos são chatos e, talvez, muitos deles, serão considerados inúteis. Qualquer tipo de informação adquirida por estes processos serão indispensavelmente úteis durante a aplicação d politicas e técnicas de segurança da informação constida na rede ou sistema em questão. Você pode utilizar este documento como quiser, não vou recomendar nada porque se você for um cabeça dura como a maioria dos pseudo-administradores de redes espalhados pelo mundo, não vai adiantar, portanto, o documento está descrevendo os processos, siga-os de acordo com sua preguiça.
.::Reunir Informações::.
Este procedimento pode ser um pouco chato, principalmente se a rede em questão for composta por um número significativo de estações. Você deverá reunir o maior número de informações referentes ao ambiente a ser aplicado regras de segurança. Você deverá reunir informações sobre Hardware, Topologia, Protocolos, Software e outras informações que julgar necessárias referentes a rede. Um exemplo de informação referente à rede é se o operador do servidor, ou administrador, é distraído e tem problemas intestinais... Seria um problema de segurança ir passar um faz e deixar o servidor com super usuário logado. Os mínutos de glória que ele passaria fora poderiam corresponder a dias de dor de cabeça se alguém aproveitasse deste momento, ou não, se o alguém fosse inteligente o bastante de se ocultar, se bem que não é preciso muita técnica pra se esconder de um administrador que esquece o servidor logado ;) .
- Hardware: Você deverá identificar
a marca, modelo , fabricante, série, idade, cor, etc., de cada estação
de trabalho, hub, roteador, e qualquer dispositivo utilizado na rede. Você
deve incluir até mesmo recursos do sistema como memória das
estações, capacidade de disco etc.
- Topologia: Recolha informações de localização
das estações e onde passa qualquwr segmnto de rede, anote tudo
o quer for possível ser alterado (reduzido ou aumentado), recolha tamb;em
qualquer informação que julgar relevante.
- Protocolos: Informações sobre os protocolos utilizados na
rede também será bastante útil. Organize as informações
por máquina pois o algumas poderão receber tratamento especial.
- Software: Os software utilizados nas estações e servidores
são, na maioria das vezes, os responsáveis por furos na segurança.
Você deverá identificar *todos* os aplicativos e sistemas utilizados
em cada estação. No caso dos servidores, identifique o serviço
também. Um acompanhamento das notas do fabricante poderá ser
necessário durante a utilização do software.
.::Serviço::.
Com as informações em mãos,
você já é capaz de apresentar um projeto de segurança
da informação decente. Você não deverá reduzir
recursos pois fazendo isso, você corre o risco de fazer um serviço
ruim onde um outro profissional de segurança poderá ocupar sua
vaga, sujando seu nome. Inclua os seguintes itens na sua lista de prioridades
do projeto:
- Software Anti-Vírus: Instalação de um anti-vírus
respeitado com uma dedicação considerável nas atualizações
de vacinas. Lembrando que um anti-vírus não serve para limpar
vírus, mas sim para evitar vírus. Não adianta colocar
grade depois que o ladrão entrou.
- Firewall de rede: Você deverá barrar os pacotes desnecessários
vindos de fora da rede para evitar constrangimentos. Se a rede não
é pública, não tem porque deixá-la disponivel
para todos.
- Serviços de Segurança de servidores: De acordo com sua(s)
especialidade(s) você deverá adicionar um serviço de dedicação
ao sistema utilizado no servidor (Macintosh, Solaris, Unix, OS/2, Lunix, Bsd,
etc. [sendo que etc não é sistema, pelo menos ate o momento]).
- Teste de penetração: Se possivel, apresente ao dono da rede
ou empresa um teste de penetração antes e depois da aplicação
das politicas e técnicas de segurança. Isso abate a lenda de
que a segurança da informação é um produto invisível.
- Avaliação de Risco: Apresente ao administrador ou responsável
uma avaliação dos riscos de furos na segurança existentes
na rede antes da aplicação de novas regras e técnicas.
- Política de segurança: Apresente a política de segurança
sugerida para a rede e discriminada por estação e seus respectivos
usuários. Lembrando que você não deverá impor regras
absurdas como indisponibilizar o note pad ou o vi.
- Detecção de invasão de rede: Utilize no projeto um
sistema de detecção de invasão de rede, caso você
seja um profissional dedicado, você não utilizará muito
este dispositivo, o que não pode ocorrer é de um furo ser explorado
e não identificado. :/
.::Custo::.
Este ponto varia de acordo com a necessidades
de cada sistema ou rede,. Vários pontos influenciam, tais como:
- Arquitetura da rede: Se a rede utiliza um padrão de aplicativos,
a manutenção da segurança poderá ser mais barata
pois a mesma política e dedicação poderá ser aplicada
para todas as estações. Se a rede dispões de vários
sistemas operacionais diferentes, você poderá não dominar
a segurança de todos, então , será necessário
a contratação de profissionais que se encarregarão de
tratar de acordo com as necessidades, as estações em qustão.
Isto, certamente, aumentará os custos do serviço.
- Confiança em soluções propietárias: Se a rede
em questão, depende de soluções incompatíveis
com a segurança que você sugere, será necessário
um custo maior na migração desta solução para
outra plataforma.
- Como as informações sobre a rede estão organizadas:
Se não existe nenhum tipo de informação sobre a rede
(conforme o descrito no início do documento), o custo será maior
pois adiquirir este tipo de informação é um processo
bastante trabalhoso e, de acordo com o tamanho da rede, bastante demorado.
Levando em conta que é importannte manter um padrão na organização
das informaões para conferir com informações detidas
pelo administrador (caso ele tenha esse tipo de informação em
mãos). Fique esperto com isso, pois pode ser que a empresa queira avaliar
seu nível de profissionalismo.
- Nota: todos os fatores descritos acima influenciarão nos custos,
e deve-se lembrar de que não existe nenhum padrão industrial
para um trabalho particular relacionado à Segurança da Informação.
.::Notas Finais::.
A utilização deste documento é de acordo com sua ética. Não vou ficar implorando para você manter os direitos autorais porque se você tem dignidade, este recado nem precisa ser transmitido. Caso tenha alguma contribuição, dúvida ou queira simplesmente reclamar alguma coisa, utilize o endereço de e-mail descrito no final deste documento. Espero que isto tenha enriquecido pelo menos qualquer porcentagem em seu conhecimento, caso não, fico feliz por meu documento ser lido por um verdadeiro profissional. Estou pensando em desenvolver um documento que trata da Autidoria de Segurança da Informação, isto ainda não é certo, vai depender do retorno que este documento causar. Caso o desenvolvimento seja finalizado, será disponibilizado no mesmo website que você conseguiu este.
vH_ (ak1947@bk.ru)
http://hudson.hackernews.com.br
Sabedoria é saber o que fazer, habilidade é saber como fazer,
virtude é fazer!