Lais Almeida de Oliveira

BV3008339
Administração e Segurança de Redes de Computadores

PESQUISA SOBRE BOAS PRÁTICAS NO GERENCIAMENTO DE REDES

➢ PROTEGENDO AS TRANSAÇÕES NOS APLICATIVOS DE SERVIÇOS

(Aquisição, desenvolvimento e manutenção de sistemas)

Esse controle de segurança, que faz parte da seção “Aquisição, desenvolvimento e

manutenção de sistemas”, envolve a implementação de diversas medidas de segurança para
garantir que informações envolvidas em transações nos aplicativos de serviços sejam protegidas
de possíveis problemas, tais como transmissões incompletas, erros de roteamento, alterações não
autorizadas nas mensagens, divulgação não autorizada, duplicação ou reapresentação não
autorizada de mensagens.

Ao implementar transações nos aplicativos de serviços, é essencial considerar a segurança

da informação para garantir a integridade e a confidencialidade das transações. As diretrizes para
essa implementação devem incluir os seguintes itens:

• Utilização de assinaturas eletrônicas: É importante garantir que todas as partes envolvidas

na transação tenham assinaturas eletrônicas válidas e verificadas;
• Aspectos da transação: Todos os aspectos da transação devem ser levados em consideração
para garantir que a informação de autenticação secreta do usuário seja válida e verificada
para todas as partes, a transação permaneça confidencial e a privacidade de todas as partes
envolvidas seja mantida.
• Comunicação criptografada: O caminho de comunicação entre todas as partes envolvidas
deve ser criptografado para garantir que a informação transmitida esteja protegida.
• Protocolos seguros: Os protocolos usados para comunicações entre todas as partes
envolvidas devem ser seguros para evitar possíveis violações de segurança.
• Armazenamento seguro: Os detalhes da transação devem ser armazenados em um ambiente
seguro, como uma plataforma de armazenamento existente na intranet da organização, para
garantir que não estejam expostos em um meio de armazenamento acessível diretamente
pela Internet.
• Utilização de autoridades confiáveis: Quando uma autoridade confiável é utilizada, a
segurança deve ser integrada em todo o processo de gestão dos certificados e assinaturas
digitais para garantir a sua autenticidade e evitar possíveis fraudes.

Para garantir a segurança das transações realizadas em aplicativos de serviços, é necessário

que os controles adotados estejam em conformidade com o nível de risco associado a cada tipo de
transação. Cada transação é única e pode apresentar diferentes graus de risco, portanto, os controles
de segurança precisam ser adequados para garantir a proteção necessária.

Além disso, é importante que as transações realizadas nos aplicativos de serviços atendam
aos requisitos legais e regulatórios das jurisdições em que são geradas, processadas, finalizadas ou
armazenadas. Esses requisitos podem variar de acordo com a localização geográfica da transação
Lais Almeida de Oliveira
BV3008339
Administração e Segurança de Redes de Computadores

e é crucial que as organizações estejam cientes dessas regulamentações e adotem as medidas

necessárias para garantir a conformidade.

➢ NOTIFICANDO FRAGILIDADES DE SEGURANÇA DA INFORMAÇÃO (Gestão

de incidentes de segurança da informação)

O controle de segurança de notificar fragilidades de segurança de informação, pertencente

à seção “Gestão de incidentes de segurança da informação”, implica na necessidade de que todos
os colaboradores e outras partes externas que utilizam os sistemas e serviços de informação da
organização sejam orientados a informar e documentar quaisquer vulnerabilidades de segurança
da informação, sejam elas identificadas ou suspeitas, nos sistemas ou serviços, que possam causar
prejuízos, interrupções, maus funcionamentos, imprecisão ou vazamento de informação nos
sistemas da empresa.

Para evitar incidentes de segurança da informação, é fundamental que os funcionários e

partes externas notifiquem imediatamente qualquer fragilidade de segurança que observarem ou
suspeitarem nos sistemas ou serviços utilizados pela organização. Para isso, é importante
estabelecer um ponto de contato específico para receber essas notificações, que deve estar
disponível e acessível a todos.

➢ SEPARAÇÃO DOS AMBIENTES DE DESENVOLVIMENTO, TESTE E

PRODUÇÃO (Segurança nas operações)

Como parte da seção “Segurança nas operações”, esse controle de segurança recomenda a
separação dos ambientes de desenvolvimento, teste e produção, com o objetivo de reduzir os riscos
de acessos ou modificações não autorizadas no ambiente de produção.

É importante que esses ambientes sejam claramente distintos e que exista um controle de
acesso adequado para garantir que apenas as pessoas autorizadas possam acessar o ambiente de
produção. Além disso, é essencial que as configurações e versões de software sejam gerenciadas
de forma adequada em cada ambiente, para evitar a introdução de vulnerabilidades ou erros na
aplicação durante as mudanças de ambiente

Para prevenir problemas operacionais, é importante que o nível de separação necessário

seja identificado e implementado. Para isso, é recomendado considerar os seguintes itens:

• Definir e documentar regras para transferência de software do ambiente de

desenvolvimento para o de produção;
• Executar o software em desenvolvimento e o software em produção em sistemas ou
processadores diferentes, em diferentes domínios ou diretórios, sempre que possível;
Lais Almeida de Oliveira
BV3008339
Administração e Segurança de Redes de Computadores

• Testar as mudanças nas aplicações e nos sistemas operacionais em um ambiente de teste

ou projeto-piloto antes de aplicá-las aos sistemas operacionais;
• Não realizar testes nos sistemas operacionais, exceto em circunstâncias excepcionais;
• Não permitir acesso aos compiladores, editores e outras ferramentas de desenvolvimento
ou utilitários de sistemas aos sistemas operacionais, quando não for necessário;
• Criar diferentes perfis de usuário para sistemas em testes e em produção, e mostrar
mensagens apropriadas de identificação para reduzir o risco de erro;
• Não copiar dados sensíveis para ambientes de testes, a menos que sejam fornecidos
controles equivalentes para o sistema de teste.

É importante manter ambientes de desenvolvimento e teste separados do ambiente de

produção para evitar problemas operacionais, modificações inesperadas e acesso indevido. O
pessoal de desenvolvimento e teste pode introduzir códigos não autorizados ou alterar dados de
produção, o que pode levar a problemas operacionais e comprometer a confidencialidade das
informações. A separação dos ambientes de desenvolvimento, teste e produção reduz o risco de
modificações acidentais e acessos não autorizados aos sistemas e dados do negócio.
Lais Almeida de Oliveira
BV3008339
Administração e Segurança de Redes de Computadores

REFERÊNCIAS BIBLIOGRÁFICAS

ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC 27002: Tecnologia da

informação: Técnicas de segurança: Código de prática para controles de segurança da informação.
Rio de Janeiro, 2013. Disponível em: http://www.professordiovani.com.br/AdmRedes/NBRISO-
IEC27002.pdf.