Como usar firewalls na implementação da ISO 27001 e ISO 27002

Um firewall é basicamente um software que gerencia conexões entre redes diferentes (internas ou externas), e possui a habilidade de aceitar, rejeitar ou filtrar conexões sob certos parâmetros. Porque este é um componente chave em qualquer organização, nós podemos considerá-lo como se fosse a porta de nossa casa. Nossa casa seria mais segura se tivéssemos duas trancas e as portas fossem blindadas, não é mesmo? Para um perímetro de segurança de rede, o conceito é basicamente o mesmo.

A ISO 27001 não define os detalhes técnicos, então ela precise dos controles de segurança da ISO 27002 para reduzir riscos relacionados a perda de confidencialidade, integridade e disponibilidade. Uma organização deve realizar uma avaliação de riscos para identificar que tipo de proteção ela precisa, e definir suas próprias regras para mitigar estes riscos. É importante saber como implementar os controles que estão relacionados a firewalls, porque eles nos protegem de ameaças relacionadas a conexões e redes, e podem assim nos ajudar a reduzir riscos.

Para ver diferenças entre as normas, leia este artigo ISO 27001 vs. ISO 27002.

Políticas do firewall

Políticas do firewall estão relacionadas ao modo de operação global do firewall, e muitos deles possuem duas políticas de configuração básicas:

  • Política de aceitação: Todas as conexões são aceitas por padrão, e a equipe de TI tem que estabelecer parâmetros (ou regras) para a configuração do firewall para rejeitar conexões.
  • Política de rejeição: Todas as conexões são rejeitadas por padrão, e a equipe de TI tem que estabelecer parâmetros para aceitar apenas certas conexões.

A primeira é muito mais fácil e mais confortável, mas mais perigosa porque tudo é aceito por padrão, enquanto que a segunda é muito mais rígida e requer mais tempo de configuração, mas é muito mais segura (segurança e conforto não são compatíveis: mais segurança = mais desconforto, e menos segurança = mais conforto).

Finalmente, ambas as políticas estão relacionadas ao modo de operação do firewall, mas você pode incluí-lo como um documento (por exemple “Política de Firewall”) no Sistema de Gestão de Segurança da Informação (SGSI) que é estabelecido pela ISO 27001. Mesmo porque, a tecnologia é uma parte importante do SGSI, e firewalls estão relacionados aos controles de segurança do Anexo A da ISO 27001.

Modo de operação e registro de evento

Outra opção importante ao configurar um firewall envolve seu modo de operação. Existem duas escolhas básicas:

  • Stateless: O firewall examina cada conexão, mas não mantem a rastreabilidade da situação das conexões. Assim, podemos dizer que ele faz uma análise estática.
  • Stateful: O firewall examina cada conexão, e neste caso mantem a rastreabilidade da situação das conexões, permitindo uma análise dinâmica das conexões.

Estas opções estão disponíveis em muitos firewalls, e ajudarão você a saber as funções do firewall e ter uma configuração apropriada. Do ponto de vista da ISO 27001, você precisa reduzir os riscos relacionados à segurança da informação, e existem muitos riscos relacionados a redes, assim você provavelmente precisará de um firewall (bem configurado) para reduzir todos estes riscos relacionados a redes.

Por outro lado, é altamente recomendado sempre habilitar o registro de eventos (event logging), para manter a rastreabilidade no evento de um incidente (veja controle A.12.4.1 Registro de eventos). Geralmente, o firewall permite a você configurar o nível de detalhe do log de eventos, mas cuidado que quanto maior o detalhamento requer maior capacidade de armazenamento.

Procedimentos e regras

De volta a ISO 27001, a norma não tem controle que explicitamente indica a necessidade de se instalar um firewall na organização (o mais próximo é o A.13.1.2 Segurança dos serviços de rede), mas ele parece muito óbvio – uma vez que firewalls vem por padrão em qualquer sistema.

Quando você configure um firewall, você precisa incluir regras para cada conexão, e quando você cria uma regra, os parâmetros que geralmente tem que ser considerados são os seguintes:

  • Origem: Pode ser um IP, ou uma rede completa.
  • Destino: Pode ser um IP, ou uma rede completa.
  • Serviço/porta: Portas típicas: 80 (HTTP), 443 (HTTPS), etc.
  • Ação: As opções aqui são basicamente aceitar ou rejeitar.

Também é importante notar que a ordem das regras é muito importante: a primeira é geralmente a de maior prioridade com relação ao resto.

Tenha em mente que isto é apenas informação básica sobre a configuração de um firewall, e a ISO 27001 não especifica como configure-lo, mas novamente, é importante que você tenha um conhecimento básico para configurar firewalls e reduzir os riscos que você identificou para a sua rede.

Assim, a próxima etapa é desenvolver um procedimento que mostre como gerenciar o firewall. Embora não seja mandatório, é recomendado para organizações de médio ou grande porte. (Para aprender quais documentos são mandatórios, veja Lista de documentos obrigatórios requeridos pela ISO 27001 (revisão de 2013)). Você pode nomear este procedimento “Política do Firewall” ou “Instrução técnica do Firewall”, e ele deveria incluir como configure-lo, incluindo as políticas mencionadas acima, e também como configurar parâmetros das conexões: regras, modo de operação, etc. (O firewall trabalhará baseado nela). Este procedimento será muito útil para o pessoal de TI, mas também ajudará o SGSI, porque você pode usá-lo como uma instrução técnica.

Para terminar, sua principal conclusão deveria ser que firewalls são muito importantes em qualquer organização, porque eles são a porta digital do seu negócio, e você precisa saber informação básica sobre a configuração deles. Adicionalmente, firewalls ajudarão você a implementar controles de segurança para reduzir riscos na ISO 27001, então ambos (firewalls e ISO 27001) fazem uma boa equipe!

Leia o white paper Estudo de caso para datacenters ISO 27001 se você quer ver como a ISO 27001 pode contribuir para a segurança de um data center no qual firewalls tem um papel significativo.

Nós agradecemos a Rhand Leal pela tradução para o português.

Advisera Antonio Jose Segovia
Autor
Antonio Jose Segovia
Antonio Jose Segovia is an IT Engineer, and he has many professional certifications in the IT sector. He is also ISO 27001 IRCA and Lead Auditor qualified by BUREAU VERITAS in ISO 27001, ISO 20000, ISO 22301, ISO 27018, GDPR, and TISAX, as well as being an expert in information security, an ethical hacker, and a university professor in an online Master of Information Security program. With more than 10 years of experience in the IT sector, he has visited companies of all kinds in Spain, Portugal, Italy, France, United Kingdom, USA, Chile, Peru, and Costa Rica.
Tag: #ISO 27001