Qual é a real necessidade de segurança que sua empresa demanda?
Certa vez ouvi um cliente dizer que precisava de aumentar a
segurança de sua empresa. Era uma empresa de 30 funcionários, com
25 estações de trabalho e que possuía um link ADSL com a internet,
sem nenhum firewall proxy, autenticação, ou coisa parecida. Até então
a rede não havia apresentado problemas, todas as estações possuíam
antivírus com suas devidas atualizações, etc. Você deve estar se
perguntando. O que esta situação tem em relação a implementação de
uma política de segurança?
Bem, este cliente resolveu colocar um firewall, bloquear
todos os acessos e permitir somente o acesso a internet na porta
80 (HTTP). Após isto, ele começou a criar um clima de insatisfação
dentro de sua empresa, pois haviam funcionários que precisavam
acessar contas POP para trabalhar e nem isto foi liberado, pois
segundo nosso amigo o POP é inseguro.
É, realmente se pensarmos de forma segura, o POP3 não é um serviço
dos mais agradáveis aos administradores de redes, pois não temos como
filtrar o POP facilmente e talvez a maior proliferação de vírus em
sua rede venha do POP, ou não.
Mas o que eu queria mostrar com esta pequena ilustração é que a
necessidade de segurança para uma corporação de 3000 estações e 50
servidores não é e nem pode ser aplicada a uma empresa que tenha
apenas 25 estações. Com certeza nas grandes corporações existem
servidores de correio eletrônico internos, o que possibilita aos
administradores um scan nas mensagens que chegam para a rede e talvez
naquela rede do exemplo anterior, a melhor solução seria a adoção
de um sistema de antivírus mais eficaz, que fornecesse proteção
a clientes de e-mail, já que o servidor fica fora da empresa e os
correios precisam ser baixados usando POP.
Por isso nesta fase do projeto é necessário levantar os pontos que
geram insegurança e vulnerabilidade em nossos sistemas, mas precisamos
lembrar que não podemos interferir de forma drástica na rotina
dos usuários. Se nosso usuário baixa seus correios POP, precisamos
de no mínimo dar um tempo de adaptação para que ele possa mudar
para um tipo de e-mail diferente, como um webmail ou um servidor em Postfix.
Existem alguns pontos que poderão te ajudar a identificar quais
são as áreas inseguras, ou que necessitam de mais segurança:
- Acesso a internet;
- Serviços de e-mail;
- Serviços de instant messenger;
- Utilização da rede;
- Autenticação;
- Utilização das estações de trabalho;
- Antivírus;
- Troca de senhas;
- Instalação de aplicativos.
Estas são apenas alguns pontos que podem ajudar você a identificar quais são as necessidades e o nível de segurança que você irá desenvolver no projeto.