Implementando uma política de segurança eficaz

shocker

Neste artigo tentaremos apontar alguns passos e premissas para conseguirmos implementar uma política de segurança que seja realmente eficaz e que possa cumprir de fato seu papel de prevenção de incidentes eletrônicos.

[ Hits: 55.668 ]

Por: Alan Cota em 22/02/2005

0 0

Denuncie Favoritos Indicar Impressora

Implementando a política

Após todas as fases anteriores cumpridas e mapeadas, é chegado o momento de "colocar a mão na massa" e começar a dar vida a sua política de segurança.

Comece atrelando suas necessidades de segurança às tecnologias utilizadas atualmente dentro de sua empresa. Tente iniciar o documento focando em seus métodos de autenticação de usuários, como um servidor Linux, um domínio Microsoft ou Novell eDirectory. Tente mapear vulnerabilidades durante o processo de login de seus usuário.

Com o processo de login mapeado e documentado dentro da política, tente traçar boas práticas para este momento de login. Comece a se perguntar: E se acontecesse isso? Vale a pena habilitar um "intruder lockout" para bloquear a conta quando a senha estiver incorreta por mais de X vezes? O que pode gerar uma falha de segurança no momento do login? Desta forma, você pensará em todos os pontos que podem trazer vulnerabilidades dentro do seu sistema no momento do login dos usuários.

Pronto, o usuário está logado. Agora você terá que abordar cada ferramenta utilizada por ele, como Internet, serviços de e-mail, colaboração, instant messenger, etc. Aqui entram as necessidades de segurança levantadas na fase 2 da implementação da política.

Agindo desta forma você conseguirá abranger todas as tecnologias dentro da sua empresa e gerar normas e regras para utilização.

É importante existir dentro de sua política textos informando as penas para o não cumprimento dos assuntos relatados e exigidos pela política de segurança.

Após a aprovação e término de seu documento de política de segurança, será necessário realizar uma notificação dentro de sua empresa para mostrar e tornar disponível ao conhecimento de todos este valioso documento. De preferência, envie uma cópia deste documento para cada colaborador e salve-o em um diretório de rede acessível como leitura para todos os usuários.

Conclusão

Enfim, terminamos com esta breve ajuda sobre políticas de segurança. Lembrando que se você quiser, pode se basear na ISO 17799, que rege as normalizações de segurança da informação.

Página anterior

Páginas do artigo

   1. Breve introdução
   2. Fases da implementação
   3. Divulgação do projeto
   4. Montando a equipe
   5. Necessidades de segurança
   6. Implementando a política

Outros artigos deste autor

Gerenciando regras de Iptables com Firewall Builder (parte 2)

Diferenças entre o sistema de arquivos do Windows e Linux

Certificações Novell para Linux

Autenticação no Iptables

Alta Disponibilidade com LVS

Leitura recomendada

Vulnerabilidade e segurança no Linux

CouchDB - For Fun and Profit

Travando qualquer máquina Linux

Certificação CISSP

Checando vulnerabilidades com o Nikto

Comentários

[1] Comentário enviado por y2h4ck em 22/02/2005 - 10:48h

Está legal o artigo, parte de politica de segurança é algo bem interessante, não tenho nada a adicionar por agora neste comentário apenas algumas congratulações.

[]s
Anderson Luiz
www.rootsecurity.com.br - Soluções Reais para problemas Reais

0 0

[2] Comentário enviado por removido em 22/02/2005 - 13:21h

Muito bom!!!

0 0

[3] Comentário enviado por cRaYoN em 25/02/2005 - 15:09h

Muito bom !!! Quando puder, manda mais dicas!

0 0

[4] Comentário enviado por rogerio_gentil em 15/04/2009 - 09:33h

Bom artigo. Muitas empresas, principalmente as micro e pequenas, não começam pelo básico: uma política de segurança. Depois, quando expandem seus negócios e crescem, perdem tempo e dinheiro para implementar e principalmente educar seus colaboradores.

Parabéns pela iniciativa.

0 0