Do que se trata o artigo:

Neste artigo veremos a importância de integrar um Firewall com uma Política de Segurança da Informação. Para isso, será explicado o que é, qual a funcionalidade e a importância de cada um.


Para que serve:

Uma Política de Segurança da Informação bem definida é a base para garantir o correto uso da informação. A soma dessa política com as políticas de um Firewall serve de apoio ao responsável pela Segurança da Informação da organização junto à alta direção.

Em que situação o tema útil:

Considerando a informação como o maior ativo de uma empresa, pode-se dizer que essa integração entre Firewall e Política de Segurança da Informação serve para proteger os dados que serão acessados, impedindo que os façam de forma indevida.

Considerando o cenário globalizado atual onde os negócios são suportados cada vez mais pela tecnologia, é de extrema importância requisitos mínimos de segurança da informação, para que informações estratégicas não sejam disseminadas de forma indevida, o que pode impactar de forma significante nos negócios da organização.

Para que essa disseminação dos dados não aconteça de forma indesejada, é importante a adoção de mecanismos de segurança da informação voltados aos processos, pessoas e tecnologia. Dois deles podemos dizer que são essenciais: uma política de segurança de informação, direcionada na sua essência às pessoas e um firewall, recurso provedor de segurança no meio tecnológico, sendo configurado com base na política de segurança da informação.

Neste contexto, esse artigo tem como objetivo discutir como as políticas de segurança da informação podem ser usadas como uma parte ativa do esforço de uma organização para proteger os seus ativos de informações valiosas, juntamente com uma ferramenta importante e indispensável como o firewall.

Segurança da Informação

A Segurança da Informação tem como objetivo proteger as informações de uma determinada pessoa ou empresa, ou seja, não é uma preocupação somente corporativa. Mas à medida que as empresas geram informações, armazenam e as distribui para gerir seus negócios, aumentam os riscos a que os dados ficam expostos.

A segurança de uma determinada informação pode ser afetada por fatores comportamentais e uso de quem se utiliza dela, pelo ambiente computacional que a cerca ou por pessoas mal intencionadas que têm o objetivo de furtar, destruir ou modificar tal informação.

Garantir a proteção da informação e mitigar os riscos, não são somente desafios técnicos, de responsabilidade de analistas e engenheiros, mas desafios que envolvem a gestão como um todo.

Os princípios básicos da segurança da informação que atualmente norteiam na análise, planejamento e na implementação da segurança dos dados, são:

Confidencialidade: consiste em garantir que apenas as pessoas que estão autorizadas a ter acesso à informação são capazes de fazê-lo;

Integridade: garantia de que as informações serão protegidas contra alterações não autorizadas e mantidas a exatidão das mesmas, tal qual como foi armazenada e disponibilizada;

Disponibilidade: consiste em assegurar que os sistemas de informação e a informação estarão disponíveis e operacionais quando necessários, apoiando, assim, os processos de negócios;

Autenticidade: garantia de que a informação é verdadeira, de fonte segura e não sofreu alterações em seu percurso;

Não repúdio: garantia de que o emissor de algum dado ou informação não possa, posteriormente, negar que tenha enviado e/ou alterado alguma informação.

Os benefícios evidentes são reduzir os riscos com vazamentos, fraudes, erros, uso indevido, sabotagens, roubo de informações e diversos outros problemas que possam comprometer estes princípios básicos.

A segurança visa também aumentar a produtividade dos usuários através de um alinhamento estratégico dos controles e recursos de segurança aos requerimentos do negócio, provendo um ambiente mais organizado, onde exista um maior controle sobre os recursos de informática e finalmente, viabilizando aplicações críticas da empresa.

Uma política de segurança bem elaborada (com base no negócio), adequada gestão de risco, a implantação de uma arquitetura de sistemas segura, complementadas com o apoio dos diversos níveis da organização, são fundamentais para garantir uma proteção eficiente para organização.

Gestão de Risco: Forma de gerenciar processos de forma contínua, acompanhando os níveis de riscos, a fim de adotar controles para banir vulnerabilidades e mitigar ameaças.

Políticas de Segurança

Em poucas palavras, uma PSI – Política de Segurança da Informação seria como um documento que é criado para impor regras ou regulamentos específicos, manter uma estrutura de procedimentos e um conjunto de mecanismos através dos quais os seus objetivos de segurança da informação podem ser definidos e atingidos.

O objetivo de uma política de segurança da informação é prover uma orientação e apoio da direção para a segurança da informação, de acordo com os requisitos do negócio e com as leis e regulamentações pertinentes (ABNT, 2005).

Mais do que isso, tem como objetivo (e talvez o principal) definir padrões de acesso às informações que sejam conhecidos por todos os colaboradores da empresa, com apoio da alta administração. Através desse documento, todos têm o conhecimento das normas impostas pela organização. Quando digo “todos” quero dizer não somente os funcionários daquela empresa, mas também clientes, fornecedores e terceiros.

A política de segurança da informação deve ir além dos recursos computacionais, de forma a abranger todas as áreas de negócios da empresa. Podemos dizer, ainda, que a PSI deva ir além da informação, seja esta armazenada eletronicamente, impressa, etc. Deve-se aliar conhecimento à comunicação e integração das informações, para que o ambiente corporativo, de fato, possa manter a segurança da informação.

Uma PSI normalmente contém princípios éticos e legais a serem atendidos no âmbito da tecnologia, continuidade de negócios, punição aos que infringem a norma estabelecida pela PSI e planos de conscientização.

Uma política de segurança da informação poderá estabelecer que o uso da internet, por exemplo, seja exclusiva para contribuição do negócio, a utilização do correio eletrônico seja apenas para troca de informações de fins profissionais, as informações/documentos devam ter uma classificação quanto a sua importância, novos colaboradores deverão conhecer e assinar um termo de confidencialidade e sigilo nas informações confidenciais da empresa. Enfim, uma política de segurança da informação determina como as pessoas devem manipular e interagir com as informações da organização.

Antes que a política de segurança seja elaborada é importante definir quais as informações que serão protegidas. Para isso, é feita uma análise de riscos que identifica quais os recursos que serão protegidos pela política, ameaças às quais estes recursos estão expostos e vulnerabilidades que podem abrir “portas” para essas ameaças.

Além de uma análise para identificar o que será protegido, é importante que a PSI seja de fácil leitura e entendimento, clara e objetiva, com as responsabilidades definidas e penalidades caso a política seja desrespeitada.

A política de segurança deve ter implantação realista, e definir claramente as áreas de responsabilidade dos usuários, do pessoal de gestão de sistemas, redes e da direção. Deve também adaptar-se a alterações na organização. As políticas de segurança definem procedimentos de segurança adequados, processos de auditoria à segurança e estabelecem uma base para procedimentos legais na seqüência de ataques, refletindo sempre os controles e requisitos necessários ao negócio da empresa.

Não podemos deixar de mencionar, ainda, que cada empresa tem sua regra de negócio, seu ambiente computacional e pessoal. Esses fatores devem ser levados em conta para que a PSI seja elaborada.

Algumas normas definem aspectos que devem ser levados em consideração ao elaborar políticas de segurança. Entre essas normas estão a BS 7799 (elaborada pela British Standards Institution) e a NBR ISO/IEC 17799 (a versão brasileira desta primeira). A ISO começou a publicar a série de normas 27000, em substituição à ISO 17799 (e, por conseguinte à BS 7799), das quais a primeira, ISO 27001, foi publicada em 2005, tendo o seu foco no sistema de gestão da segurança da informação, e a ISO 27002 nos controles requeridos à manutenção desse sistema.

Um dos fatores críticos para o sucesso de uma política de segurança da informação é a conscientização dos usuários, pois através dela os usuários tomam conhecimento das diretrizes, suas responsabilidades e sanções cabíveis ao não cumprimento dos controles de segurança necessários ao negócio. A falta de uma política de segurança da informação impressa, ou publicada, é o mesmo como não tendo qualquer política. Uma publicação e distribuição amplamente da PSI impede que o assunto se distorça dentro da organização. O trabalho de conscientizar geralmente é apoiado por áreas que possuam conhecimento e capacitação para treinamento e publicidade, como os departamentos de Recursos Humanos/Treinamento e Marketing. É importante que cada área envolvida saiba, de forma clara, suas responsabilidades.

Firewall

Firewall é um dispositivo que funciona como corta-fogo, um sistema que impõe uma política de controle de acesso entre duas redes, permitindo ou denegando as transmissões de uma rede à outra. Um uso típico é situá-lo entre uma rede local e a rede Internet, como dispositivo de segurança para evitar que os intrusos possam acessar uma informação confidencial, conforme a Figura 1.

Figura 1. Exemplo de uso de firewall.

Pode-se dizer, ainda, que firewall é um componente, ou um conjunto deles, que atua entre uma ou mais redes, por onde passa todo o tráfego. Dependendo do serviço, o firewall decide se permite ou não a conexão. Além disso, o firewall examina se a comunicação está entrando ou saindo, e dependendo da sua direção, pode permiti-la ou não. Deste modo, um firewall pode permitir de uma rede local para a Internet, serviços de web, correio, FTP, etc.

O firewall é um dos elementos mais importantes e conhecidos em ambientes de computadores. Mas, por ser importante, não pode ser considerado o único responsável pela segurança de informação de uma organização, pois não são infalíveis. Não basta apenas instalá-lo como uma única fonte de defesa da rede. O firewall deve ser visto como mais uma ferramenta dentro do seu sistema de segurança da informação.

A utilização de um firewall na rede pode trazer importantes benefícios, como por exemplo, proteção a serviços, acesso controlado, privacidade aumentada, logs de acessos, cumprimento da política de segurança da informação. Esse último, não menos importante, uma vez que o firewall pode ajudar na implantação de uma PSI, sem esperar que os usuários a cumpra.

Mas tudo tem vantagens e desvantagens. No caso de um firewall não é diferente. Como desvantagens podemos citar, por exemplo, que ele não protege sua rede interna, não há proteção contra vírus, não prevê novos tipos de ataques, se o servidor ou appliance falhar, sua segurança fica comprometida (a não ser que você tenha uma política de disaster recovery para esse incidente).

Disaster recovery: Processo, política ou procedimento que tem como propósito a recuperação ou a continuação da infraestrutura tecnológica fundamental para a organização, após um desastre de origem natural ou fator humano.

Todo firewall contém regras pré-definidas que permitem:

• Autorizar a conexão (allow);

• Bloquear a conexão (deny);

• Rejeitar o pedido de conexão sem avisar o emissor (drop).

Podemos chamar o conjunto dessas regras como sendo a política do firewall, sendo conhecidos dois tipos de políticas:

Tudo o que não é expressamente permitido é proibido: nesse tipo, a política adotada é a proibitiva, onde é descrito exatamente o que é permitido acessar;

Tudo o que não é expressamente proibido é permitido: menos comum, a política permissiva permite todos os serviços por default, com exceção dos serviços que a política de acesso tenha identificado como não permitida.

O modelo de política proibitiva é mais seguro e, também, comumente adotado pelas empresas. Já o modelo permissivo certamente não se enquadra em um modelo seguro, pois o que deve ser proibido é bem maior que os itens permitidos.

Tipos de Firewall

Os firewalls podem ser divididos em quatro tipos:

• Firewall pessoal (não podemos esquecê-lo!);

• Filtro de pacotes;

• Proxy Servers;

• Gateway de Aplicação.

Detalharemos abaixo cada um desses tipos.

Firewall pessoal

Trata-se de uma camada de software inclusa no sistema operacional ou instalada, um software. Ao invés de trabalhar limitando a comunicação entre domínios de segurança, a aplicação limita a comunicação para determinados hosts.

Filtro de Pacotes

É o tipo mais antigo e comum. Ele é colocado entre uma rede confiável e outra não confiável. Opera na camada de Rede e Transporte. Toma suas decisões baseado no endereço IP e nos campos dos pacotes. Permite ou proíbe o forward do pacote usando informações contidas nos Headers dos pacotes como: Endereço IP fonte ou de destino, portas TCP/UDP de destino ou de origem, por protocolos (ICMP, TCP, UDP, SNMP, etc.), entre outros.

O filtro de pacotes pode ser dividido em três tipos:

Filtragem Estática: Implementado na maioria dos roteadores. Suas regras devem ser alteradas manualmente;

Filtragem Dinâmica: Modifica suas regras de acordo com o comportamento dos tráfegos. Por exemplo, só faz o forward de conexões ssh caso elas tenham sido iniciadas por um host dentro da rede ou ainda, só permite pacotes ICMP type 8 (echo request) a uma taxa de três pacotes por segundo, passando disso ele nega o tráfego desse protocolo;

Filtragem por Status: Muito semelhante à filtragem dinâmica, só que agrega uma profundidade maior na análise do pacote. Um exemplo desse tipo seria permitir o forward entre hosts dependendo do status da conexão, permitir conexões apenas com status de ESTABLISHED e RELATED.

Proxy Server

É um servidor que é implantado entre a aplicação de um cliente (arquitetura cliente/servidor) e a internet, como por exemplo, um navegador web. Serve como ponte de acesso para a internet ou da internet. É feita uma conexão entre o cliente e o proxy, e outra entre o proxy e o servidor desejado. Pode ser utilizado para registrar o uso da internet e também para bloquear o acesso a um site da Web.

Gateway de Aplicação

Provê o nível mais alto de segurança, atuando na camada de aplicação TCP-IP, aplicando maior segurança em aplicações específicas, como por exemplo, serviços de FTP, Telnet, SNMP, garantindo que não existam conexões entre hosts externos e hosts internos. O gateway de aplicação pode fornecer, sim, um maior grau de proteção do que o filtro de pacote, porém, apesar de eficiente, essa técnica pode degradar a performance da rede.

Integração

Firewalls são a primeira defesa de qualquer rede contra intrusos da internet ou entre redes distintas. No entanto não devem ser tratados como ponto único em um sistema de segurança da informação, mas sim, parte dele.

Não podemos esquecer o básico: um bom Sistema de Detecção de Intrusos (IDS), um Sistema de Prevenção de Intrusos (IPS), um bom antivírus e uma DMZ bem configurada. Contudo, antes de todas essas ferramentas, é importante a concepção de uma Política de Segurança da Informação bem planejada, definida, divulgada e, na medida do possível, revisada de tempos em tempos.

DMZ: Em segurança de computadores, uma DMZ, zona desmilitarizada ou ainda rede de perímetro, é uma rede física ou lógica que contém serviços (HTTP, FTP, e-mail) que possuem acesso externo, situada entre uma rede confiável e uma rede não confiável (rede local e internet).

A complexidade dos sistemas de segurança que citamos, em geral, é cada vez maior. A integração desses sistemas faz com que a empresa chegue a um “produto” final: garantir a segurança dos dados naquela organização. O trabalho em conjunto de um firewall com uma política de segurança da informação vai de encontro com esse produto.

Conclusão

O tema segurança da informação mostra-se altamente abrangente, reunindo não somente áreas da informática, mas também disciplinas como análise de riscos, treinamento, dentre outras. Alia gestão e planejamento da informação, além de mecanismos sociais e tecnológicos.

Com a complexidade e novas tecnologias surgindo a todo o momento, faz-se necessário para qualquer organização a criação de uma política de segurança formal, clara, objetiva e publicada, ou seja, a política deve estar disponível e ser de conhecimento de todos os colaboradores, para que efetivamente seja praticada no dia-a-dia corporativo. A política definida e adotada pela organização deve estar sempre ajustada com o firewall da organização, sendo esse um dos mecanismos de segurança que implementa os aspectos mais importantes da política, relacionados aos controles sistêmicos ou tecnológicos necessários à manutenção da segurança da informação.

O próprio firewall também precisa de uma política, a qual deve prever a necessidade de novas regras de filtragem. Sendo assim, a política do firewall pode simplesmente proibir a criação de novas regras, ou então exigir uma análise de segurança sobre o serviço que está sendo solicitado à liberação.

Pode-se dizer que uma política de segurança bem definida deixa o ambiente menos complexo do ponto de vista técnico, auxiliando a implementação e configuração de controles sistêmicos, como o firewall, provendo base e apoio ao administrador de segurança na tomada de decisões junto à alta direção.