{"id":9956,"date":"2016-06-29T10:32:48","date_gmt":"2016-06-29T10:32:48","guid":{"rendered":"https:\/\/multiacademstg.wpengine.com\/27001academy\/?p=9956"},"modified":"2022-12-29T08:35:02","modified_gmt":"2022-12-29T08:35:02","slug":"como-gerenciar-a-seguranca-de-rede-de-acordo-com-como-controle-a-13-1-da-iso-27001","status":"publish","type":"post","link":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/blog\/2016\/06\/29\/como-gerenciar-a-seguranca-de-rede-de-acordo-com-como-controle-a-13-1-da-iso-27001\/","title":{"rendered":"Como gerenciar a seguran\u00e7a de rede de acordo com como controle A.13.1 da ISO 27001"},"content":{"rendered":"

Quanto mais e mais pessoas e organiza\u00e7\u00f5es se tornam interconectadas, mais e mais informa\u00e7\u00f5es s\u00e3o trocadas, desde as consideradas triviais e dispens\u00e1veis at\u00e9 aquelas que s\u00e3o mais sens\u00edveis e necess\u00e1rias para a vida das pessoas e sobreviv\u00eancia dos neg\u00f3cios.<\/p>\n

\u00c9 por isso que a infraestrutura de redes de hoje \u00e9 t\u00e3o importante, e t\u00e3o atrativa para malfeitores. Assim, para assegurar o desempenho da rede e para evitar ou minimizar situa\u00e7\u00f5es onde a informa\u00e7\u00e3o transportada seja comprometida, \u00e9 necess\u00e1rio adotar medidas de seguran\u00e7a.<\/p>\n

Neste artigo veremos um pouco sobre gest\u00e3o da seguran\u00e7a de rede e como os controles da\u00a0ISO 27001<\/a> e da\u00a0ISO 27002<\/a>, como seguran\u00e7a dos servi\u00e7os de rede e segrega\u00e7\u00e3o de redes, podem ajudar a aumentar a seguran\u00e7a da infraestrutura de rede e agregar valor ao seu neg\u00f3cio.<\/p>\n

O que \u00e9 gest\u00e3o de seguran\u00e7a de rede?<\/strong><\/h2>\n

Podemos definir gest\u00e3o de seguran\u00e7a de rede como o processo concebido para proteger uma rede e os dados que fluem atrav\u00e9s dela de riscos como acesso n\u00e3o autorizado, mau uso, mau funcionamento, modifica\u00e7\u00e3o, destrui\u00e7\u00e3o, ou divulga\u00e7\u00e3o impr\u00f3pria, enquanto permite aos usu\u00e1rios, computadores e aplica\u00e7\u00f5es autorizada realizarem suas atividades. E, por \u201crede\u201d, entendemos tanto as redes internas e externas (ex.: quando organiza\u00e7\u00f5es usam a infraestrutura da Internet para transferir informa\u00e7\u00f5es entre escrit\u00f3rios localizados em cidades diferentes).<\/p>\n

Atrav\u00e9s de\u00a0controles<\/a> administrativos, f\u00edsicos e tecnol\u00f3gicos, a gest\u00e3o de seguran\u00e7a de rede busca criar um ambiente seguro baseado em camadas de componentes protetores que se suportam e complementam para aumentar a seguran\u00e7a geral.<\/p>\n

Amea\u00e7as comuns em redes e dados em tr\u00e2nsito<\/strong><\/h2>\n

Por sua natureza, a infraestrutura de rede \u00e9 suscet\u00edvel a dois tipos de ataques:<\/p>\n

Ataques passivos:<\/strong> quando um atacante de rede apenas intercepta os dados trafegando atrav\u00e9s da rede. Exemplos deste tipo de ataque s\u00e3o grampos (\u201cwiretapping\u201d \u2013 intercepta\u00e7\u00e3o atrav\u00e9s do cabeamento de rede), wardriving (mapeamento de pontos de acesso se fio), e varredura de portas (\u201cport scan\u201d- busca por portas de comunica\u00e7\u00e3o abertas em servidores ou clientes). Frequentemente, ataques passivos s\u00e3o usados no in\u00edcio de ataques mais elaborados, como forma de se coletar informa\u00e7\u00f5es.<\/p>\n

Ataques ativos:<\/strong> quando um atacante de rede ativamente trabalha para mudar dados em tr\u00e2nsito ou componentes de rede. Exemplos deste tipo de ataque s\u00e3o Nega\u00e7\u00e3o de Servi\u00e7o (tentativas intencionais de negar acesso de usu\u00e1rios leg\u00edtimos), DNS spoofing (altera\u00e7\u00e3o de entradas do DNS para redirecionar o tr\u00e1fego de forma maliciosa), e man-in-the-middle (o atacante efetivamente permanece entre a comunica\u00e7\u00e3o de usu\u00e1rios leg\u00edtimos).<\/p>\n

Gest\u00e3o de rede de acordo com a ISO 27001 e ISO 27002<\/strong><\/h2>\n

Assim como qualquer Sistema de gest\u00e3o ISO, a ISO 27001 \u00e9 baseada no modelo PDCA, que se integra perfeitamente com a abordagem de gest\u00e3o de seguran\u00e7a de rede (planejamento, implementa\u00e7\u00e3o, verifica\u00e7\u00e3o e ajustes de controles de rede). Veja este artigo: O Ciclo PDCA foi removido das novas normas ISO?<\/a><\/p>\n

Com rela\u00e7\u00e3o ao planejamento de das atividades de gest\u00e3o de rede, \u00e9 necess\u00e1rio definir os objetivos de seguran\u00e7a a serem protegidos e gerenciados. Alguns exemplos s\u00e3o usabilidade, confiabilidade e integridade da rede e dos dados. Uma vez que os objetivos estejam definidos, \u00e9 necess\u00e1rio definir os controles a serem implementados, com base nos\u00a0riscos<\/a>\u00a0mais relevantes que a organiza\u00e7\u00e3o tem em seu contexto.<\/p>\n

A implementa\u00e7\u00e3o de controles de seguran\u00e7a de rede pode usar o mesmo Plano de Tratamento de Riscos<\/a>\u00a0definidos para a implementa\u00e7\u00e3o de todos os controles do SGSI. De acordo com a ISO 27002, os seguintes controles de gest\u00e3o de seguran\u00e7a de rede devem ser considerados:<\/p>\n

Controles de rede (A.13.1.1):<\/strong> Um conjunto de controles gerais deveriam ser implementados, tais como a defini\u00e7\u00e3o de responsabilidades e procedimentos para a gest\u00e3o da seguran\u00e7a de rede, segrega\u00e7\u00e3o de tarefas entre atividades de rede e de computadores, uso de solu\u00e7\u00f5es de criptografia para proteger dados em tr\u00e2nsito e sistemas interconectados (ex.: VPN), monitoramento e registro de atividades de rede realizadas (ex: pelo uso de Sistemas de Detec\u00e7\u00e3o de Intrus\u00e3o – Intrusion Detection systems – IDS), autentica\u00e7\u00e3o e outros meios de se restringir o acesso e uso de recursos de rede. Veja este artigo: Como usar firewalls na implementa\u00e7\u00e3o da ISO 27001 e ISO 27002<\/a>.<\/p>\n

Seguran\u00e7a dos servi\u00e7os de rede (A.13.1.2):<\/strong> As solu\u00e7\u00f5es de rede, de desempenho e os n\u00edveis de seguran\u00e7a esperados deveriam ser definidos e inclu\u00eddos em acordos de n\u00edvel de servi\u00e7o, assim como os meios pelos quais a organiza\u00e7\u00e3o pode verificar se os n\u00edveis de servi\u00e7o est\u00e3o sendo atendidos (ex: por an\u00e1lises de relat\u00f3rios ou auditorias). Estes acordos de servi\u00e7o deveriam ser considerados tanto para servi\u00e7os internos quanto terceirizados.<\/p>\n

Segrega\u00e7\u00e3o de redes (A.13.1.3):<\/strong> Servi\u00e7os, sistemas de informa\u00e7\u00e3o, usu\u00e1rios, esta\u00e7\u00f5es de trabalho, e servidores deveriam ser separados em redes diferentes, de acordo com crit\u00e9rios definidos tais como exposi\u00e7\u00e3o ao risco e valor de neg\u00f3cio, e um controle estrito do fluxo de dados entre estas redes deveria ser estabelecido (ex.: pelo uso de firewalls e roteadores). Veja este artigo:\u00a0Requisitos para implementar segrega\u00e7\u00e3o de rede de acordo com o controle A.13.1.3 da ISO 27001<\/a>.<\/p>\n

A gest\u00e3o de seguran\u00e7a de rede tamb\u00e9m pode fazer uso de outros controles da ISO 27002 para aumentar sua efic\u00e1cia, como a Pol\u00edtica de Controle de Acesso (9.1.1),\u00a0gest\u00e3o de mudan\u00e7a (12.1.2)<\/a>, prote\u00e7\u00e3o contra softwares maliciosas (12.2.1), e gest\u00e3o de vulnerabilidades t\u00e9cnicas (12.6.1). Veja este artigo: How to handle access control according to ISO 27001<\/a>.<\/p>\n

A verifica\u00e7\u00e3o da pertin\u00eancia, adequa\u00e7\u00e3o e efic\u00e1cia dos controles de rede pode ser feita por\u00a0auditorias<\/a>\u00a0peri\u00f3dicas e\u00a0an\u00e1lises cr\u00edticas<\/a>, que podem levar a ajustes nos controles atrav\u00e9s de a\u00e7\u00f5es corretivas<\/a>\u00a0ou planos de melhoria.<\/p>\n

Benef\u00edcios da seguran\u00e7a de rede<\/strong><\/h2>\n

Existem muitos benef\u00edcios que uma organiza\u00e7\u00e3o pode atingir ao adotar a gest\u00e3o de seguran\u00e7a de rede:<\/p>\n