SEGURANÇA EM REDES CORPORATIVAS

Por Rafael Cavalari Dewes

Resumo

Este artigo pretende descrever a importância da implementação de medidas de

segurança, visando proteger as informações armazenadas nos sistemas computacionais
das organizações, e demonstrar as principais ameaças que existem no ambiente
corporativo. Também descreve a necessidade de formalizar os procedimentos de
segurança através da Política de Segurança da Informação.

Introdução

Em um cenário de globalização e concorrência acirrada, as empresas utilizam e

até mesmo dependem cada vez mais de recursos tecnológicos para realizar negócios,
desenvolver novos produtos, ou simplesmente permitir que a operação diária ocorra da
forma mais eficiente possível. Esta dependência cada vez maior da informática e das
telecomunicações para o sucesso das organizações gera também, como consequência,
diversos novos problemas, principalmente com relação à segurança dos recursos e
informações que estão disponíveis nos sistemas e nas redes de computadores.

O ambiente corporativo e suas ameaças

A busca incessante de conseguir realizar os trabalhos de forma mais rápida,

fácil, eficiente e competitiva, gerando melhores resultados, faz com que múltiplas
organizações troquem informações técnicas, comerciais e financeiras através de redes
de computadores que interligam suas filiais, seus clientes, seus parceiros e seus
distribuidores.
Portanto, a segurança da informação não é mais tratada levando em consideração
somente o nível interno, onde a rede da organização funciona de forma isolada e única,
provendo acesso apenas aos seus próprios funcionários. O ambiente corporativo é
complexo, e a segurança necessária é igualmente complexa, envolvendo aspectos
tecnológicos, humanos, processuais, jurídicos e de negócios.
A segurança empregada nas redes e nos sistemas deve ser diretamente
proporcional ao valor que se esta protegendo, ou seja, qual a importância da
informação? Qual será o trabalho desempenhado para corrigir os problemas causados
pelo roubo ou destruição das informações? Qual será o impacto do descrédito que este
incidente de segurança causará na organização? Respondendo estas questões é possível
justificar os custos da implementação de medidas de segurança, em diversos níveis.
Em informática, definimos um sistema como sendo seguro, quando eliminamos
ou minimizamos suas vulnerabilidades, que são as fraquezas que podem ser exploradas
para se violar um sistema ou as informações ali armazenadas.
As principais ameaças que as organizações estão sujeitas são:

• Espionagem/roubo de informações: muitos casos são noticiados de roubo de

senhas, roubo de números de cartão de crédito, divulgação de projetos antes do
momento determinado, quebra de sigilo junto à receita federal, entre outros.
 • Destruição de informações: funcionários descontentes podem apagar arquivos da
empresa, por vingança.
• Interrupção de serviços: hackers provocam excessivo uso de sistemas a fim de
causar “congestionamento” e impossibilitar o uso correto por parte dos demais
usuários.
• Modificação de informações: sites são invadidos e modificados, a fim de
denegrir a imagem de empresas e promover descrédito.
• Engenharia social: o invasor finge sua identidade, induzindo outras pessoas a
fim de conseguir acesso ao sistema ou informações privilegiadas.
• Vírus de computador: programas maliciosos que muitas vezes são utilizados
para a execução de outros ataques, como o roubo de informações ou a
interrupção de serviços.
• Uso indevido de recursos: Funcionários utilizam a rede de computadores para
fins particulares, muitas vezes indevidos, como acesso a pornografia e outros
sites que podem tornar a rede vulnerável.

Política de Segurança da Informação

A política de segurança é o primeiro e principal passo para o desenvolvimento

da estratégia de segurança das organizações, a política de segurança é a base para todas
as questões relacionadas à proteção da informação, desempenhando importante papel
nas organizações. Deve definir todos os aspectos relativos a proteção dos recursos,
portanto, exige grande trabalho para ser desenvolvido, mas é preciso ter em mente que
sem uma política que abranja todos os aspectos da organização, a tentativa de tornar o
ambiente seguro já começa sendo falho.
É com base nesta política que procedimentos e normas de segurança serão
criados, e também que serão implementados recursos tecnológicos para prover a
proteção da rede, o desenvolvimento da política deve abranger aspectos humanos,
culturais e tecnológicos, levando também em consideração os processos de negócios,
além da legislação vigente.

Segurança da informação

Aspectos tecnológicos

Aspectos processuais Aspectos humanos

Aspectos de negócios Aspectos jurídicos

O responsável pela segurança da informação da empresa deve elaborar a política

de segurança, de acordo com os objetivos de negócios e levando em conta os aspectos
relativos à segurança, conforme citado anteriormente, e deve formalizar a política junto
ao corpo executivo da empresa, também é necessário levar em conta o fato de que
procedimentos de segurança que dificultem a execução das atividades diárias dos
usuários não terão sucesso na implementação, portanto, a aplicação dos procedimentos
deve ser transparente ao usuário, neste ponto, é importante que seja tratado aspectos do
cotidiano, como documentos confidenciais deixados em cima de mesas e documentos
jogados no lixo sem serem destruídos.
Deve ser esclarecido o melhor possível as punições e procedimentos a serem
adotados no caso de não-cumprimento da política definida, este aspecto é importante
para que o usuário tenha consciência da importância da segurança para a organização.
Alguns pontos comuns na política de segurança de qualquer organização são
citados abaixo, estes itens são genéricos e aplicáveis a qualquer empresa:

• A segurança é mais importante do que os serviços, caso não haja conciliação, a

segurança deve prevalecer, caso isto não ocorra é necessário o conhecimento dos
administradores da empresa, e que eles assumam a responsabilidade por
possíveis problemas;
• A política de segurança deve ser flexível, de forma que possa evoluir juntamente
com a estrutura da organização;
• O que não estiver expressamente permitido esta proibido, o ideal é proibir todos
os serviços e liberar apenas os necessários para o desenvolvimento das
atividades;
• Nenhuma conexão direta com a rede interna da empresa é permitida, sem que
um rígido controle de acesso seja implementado;
• Devem ser realizados testes de segurança nos serviços, a fim de garantir que
todos os objetivos sejam alcançados;
• Conexões remotas devem ter um alto nível de autenticação e criptografia;
• Arquivos existentes em computadores móveis (notebooks) devem ser
criptografados, para em caso de roubo, dificultar o acesso as informações ali
existentes;

Uso aceitável da rede e dicas de segurança

A conscientização dos usuários a respeito da importância da segurança durante a

manipulação e troca das informações é vital para a efetivação da política de segurança, é
importante que o setor de Tecnologia da Informação da empresa consiga comunicar-se
com os demais funcionários e utilizadores de forma clara, de fácil compreensão, a
respeito dos riscos e melhores práticas para evitar incidentes de segurança. É indicada a
criação de uma política de uso aceitável dos recursos computacionais, onde também
deve estar esclarecido os direitos e deveres dos usuários, incluindo dicas de segurança
importantes para o cotidiano da organização, como:

• Escolha das senhas: Evitar palavras e números fáceis de outras pessoas

adivinharem, criar senhas que combinem letras maiúsculas, minúsculas,
números e caracteres especiais, como %, # ou $.
• Não deixar senhas e informações confidenciais anotadas em locais visíveis ou de
fácil acesso a qualquer pessoa.
• Não abrir, responder, ou clicar em links de emails que venham de destinatários
desconhecidos, pois pode tratar-se de fraude e tentativa de instalação de vírus.
• Atentar para falsas mensagens que aparentam vir de bancos, receita federal,
outros órgãos públicos, pode se tratar de fraude para roubo de informações.
 • Manter sempre antivírus instalado no computador, para dificultar a infecção de
vírus.
• Não utilizar a internet para fins que não sejam de interesse da empresa, é
importante o usuário ter ciência que seu acesso a internet sempre é monitorado e
registrado.
• Não instalar programas de computador que não sejam explicitamente fornecidos
pela empresa, incluindo programas considerados “gratuitos” que são baixados da
internet e podem conter vírus do tipo espião.
• Não utilizar serviços de bate papo e mensagem instantânea se não for
explicitamente autorizado pela empresa, estas conversações também são
monitoradas e registradas.
• Verificar com o responsável pela segurança da rede de computadores qual o
local indicado para armazenar arquivos, de forma que seja feito backup, e que
seja garantido que somente pessoas autorizadas tenham acesso.

Conclusão

Os recursos e investimentos em segurança estão, obviamente, relacionados à

importância da informação e ao risco que a mesma está exposta. Informações
estratégicas podem estar em diversos locais diferentes, o uso indevido, alteração, ou
danificação destas informações muitas vezes é mais onerosa do que o equipamento
físico que o armazena, mensurar o valor da informação é extremamente difícil.
Em redes de computadores que abrangem além do uso interno, também acessos
externo e comunicação com outras redes a vulnerabilidade fica aumentada devido a
fragilidades existentes nos diversos serviços oferecidos pela tecnologia e,
principalmente, por atitudes dos usuários.
Em função destes relatos podemos assumir que mais importante que
escolhermos produtos e ferramentas que prometem níveis de segurança “X” ou “Y” é
termos políticas aplicáveis a todos ambientes operacionais multiplataformas e que estes
mesmos ambientes nos permitam ter programas segmentados que auxiliem na aplicação
e fácil operacionalização destas políticas.

Referências

NAKAMURA, Emilio Tissato; GEUS, Paulo Lício de. Segurança de Redes em

Ambientes Cooperativos.

CERT. Cartilha de Segurança para Internet. 3.1.