Segurana da Informao para Pequenas e Mdias Empresas

Escrito por Daniel Carvalho em quarta-feira, setembro 9, 2009 Deixe um comentrio A segurana da informao no um tema novo nas grandes corporaes e as ameaas atuais exigem uma maior ateno das pequenas e mdias empresas.

Uma reflexo para as pequenas e mdias empresas

As ameaas virtuais atuais tem se espalhado em velocidades cada vez maiores e causados danos em todos os ambientes, principalmente nos menos dotados da infraestrutura de segurana, que no contam com polticas de segurana, planos de continuidade do negocio e antivrus por exemplo. As pequenas e mdias empresas no possuem um oramento para o setor de tecnologia que permita aos gestores a manuteno de ferramentas de alta performance para filtrar todos os dados que trafegam em suas redes ou a manuteno de programas de antivrus com assinatura anuais, o que torna importante as estratgias de poltica de segurana. O primeiro passo para garantir a segurana das redes das pequenas empresas entender de onde as ameaas surgem. A internet liberada para downloads de arquivos diversos, o uso de programas de compartilhamento de arquivos e a liberdade de instalar ou remover programas por parte dos usurios esto entre as principais fontes.

Como garantir a segurana?

O primeiro passo criar e implementar as regras de acesso a internet em sua empresa, de preferncia um documento detalhando o que e o que no permitido aos usurios. Um servidor Linux com a ferramenta SQUID instalada ir propiciar um grande controle sobre as aes dos usurios, voc poder, dentre toda a gama de possibilidades, liberar o acesso a uma lista branca de sites ou proibir uma lista negra, criar usurios com acesso liberado, fazer o controle por IP ou endereo MAC da placa de rede, etc. Um servidor com o SQUID ou outra ferramenta similar ir se aplicar em redes com um nmero superior a 5 computadores, em casos com menos mquinas o controle a sites pode ser feito nas prprias estaes ou nos roteadores de internet, quase todos permitem criar regras como sites restritos ou portas. A implementao de um firewall em empresas de mdio porte aconselhvel e deve ser feito por pessoas qualificadas para tal. Um firewall pode ser complexo e garantir a segurana de sua rede contra os acessos externos ou ataques de negao de servio, por exemplo. Uma porta de entrada de vrus e de sada de informaes confidenciais que complicada de ser monitorada o e-mail pessoal. No aconselhvel permitir acesso a

nenhum tipo de e-mail pessoal no ambiente de trabalho, caso seja necessrio, crie para seu usurio um e-mail da empresa. Monitorar e-mail pessoal do funcionrio pode ser considerado crime de violao de privacidade. Com o acesso a internet controlado a ateno se volta para o uso das estaes da empresa. A liberdade dada nas estaes permitindo ao usurio um acesso administrativo nas estaes, o que leva a permisso de instalar e remover programas, executar scripts e modificar a configurao as estaes. Para resolver esta situao em empresas de mdio porte aconselhvel o uso de softwares que restringem este acesso administrativo por agrupamentos de usurios. Caso a rede da empresa seja baseada no sistema operacional Windows, os servidores Windows Server permitem um controle gerencial bastante interessante, o chamado Active Directory. O Active Directory do Windows Server permite criar usurios, grupos de acesso e o mais importante, permisses de acesso. possvel criar regras que permitam ao usurio somente acessar os programas, sem acesso administrativo, restringir o uso do CD-ROM ou da USB, desativando as portas. Tudo isto feito de maneira centralizada, garantindo a eficincia e facilitando a administrao da TI. Com esta medida de gerenciamento voc diminui as portas de entrada e sada de informaes da empresa e reduz o custo de manuteno de estaes, visto que os usurios e programas instalados pelos mesmos so os maiores geradores de manuteno. O Active Directory tambm permite, assim como o LDAP (para Linux) que todas as autenticaes de usurio e senha sejam centralizadas, isto significa que o usurio possuir somente uma senha para todas os sistemas da empresa. Uma ao fundamental a ser analisada o fim dos compartilhamentos nas mquinas por onde mais comum que as ameaas se espalhem por toda a rede, aconselhvel que somente o servidor possua pastas compartilhadas e que nele esteja instalado um bom sistema antivrus. A escolha de um sistema antivrus um fator crucial, mas no ser eficaz caso no fizermos uso das tcnicas citadas acima. Caso sejam bem implementadas as tcnicas acima no haver necessidade de proteger todas as estaes com softwares antivrus pagos. Para redes de mdio porte, prefira sistemas antivrus que permitam um gerenciamento central, com atualizao pela rede interna, diminuindo o trfego a internet. aconselhvel observar as opes sem custo para pequenas empresas e para os servidores de e-mail e de arquivos, o sistema operacional Linux oferece antivrus para o servidor de e-mail com controle de SPAM. Enfim, a segurana da informao um assunto complexo e extenso, mas evitar as ameaas como vrus e worms pode ser simplificado e ter um custo acessvel seguindo as etapas sugeridas.