Como gerir a segurança dos serviços de rede de acordo com o controle A.13.1.2 da ISO 27001

Todos sabem que a informação é armazenada em sistemas de informação (estações de trabalho, laptops, smartphones, etc.), mas trocar informações via rede é necessário.

Muitos dos sistemas de informação neste mundo estão conectados a mesma rede principal – a Internet – e, sem esta rede, nossa sociedade seria bem diferente; de fato, a sociedade atua como a conhecemos não seria possível.

De qualquer forma, a Internet não é a única rede relevante para a segurança da informação. Outras redes comumente usadas são, por exemplo, redes locais (Local Area Networks LANs), redes de comunicação digital, redes de Internet das Coisas (Internet of Things – IoT), etc. Elas hospedam muitos serviços que precisam ser protegidos também.

O controle A.13.1.2 do Anexo A da ISO/IEC 27001:2013 basicamente foi desenvolvido para a segurança de serviços de rede, é o princípio básico deste controle é identificar mecanismos de segurança, níveis de serviço e requisitos de gestão relacionados a todos os serviços de rede.

Assim, o importante aqui é gerir a segurança dos serviços de rede, incluindo os casos onde o serviço é terceirizado.

Características de segurança dos serviços de rede

Bem, o que é um serviço de rede? De acordo com a ISO/IEC 27002:2013, serviços de rede são basicamente a provisão de conexões, serviços de rede privada, firewalls, e Sistemas de Detecção de Intrusão. A ISO/IEC 27002:2013 também define características de segurança dos serviços de rede, que poderiam ser:

  • Tecnologia de segurança de rede – Isto pode ser implementado através da segregação de redes, por exemplo pela configuração de VLANs com roteadores/switches, ou também se acesso remoto é usado, canais seguros (encriptados) são necessários para o acesso, etc.
  • Configuração de parâmetros técnicos – Isto pode ser implementado através de Redes Privadas Virtuais (Virtual Private Networks – VPN), usando algoritmos de criptografia fortes, e estabelecendo um procedimento seguro para autenticação (por exemple, com certificados digitais).
  • Mecanismos para restringir o acesso – Isto pode ser implementado com firewalls, que podem filtrar conexões internas/externas, e também podem filtrar o acesso a aplicações. Sistemas de detecção de Intrusão também podem ser usados aqui, referenciados especificamente pela norma ISO 27002:2013. Basicamente, Sistemas de Detecção de Intrusão (Intrusion Detection Systems – IDS) são dispositivos que podem ser baseados em hardware ou software, e eles monitoram constantemente conexões para detectar possíveis intrusões na rede da organização. Eles também podem ajudar firewalls a aceitar ou rejeitar conexões, dependendo das regras definidas. Aqui é importante notar que um IDS é um Sistema passivo, porque eles podem apenas detectar; mas, existem também Sistemas de Prevenção de Intrusão (Intrusion Prevention Systems), conhecidos como IPS, que podem prevenir intrusões. O IPS não é especificado pela norma, mas são muito úteis e também podem ajudar firewalls.

Assim, basicamente, se você quer gerir a segurança dos serviços de rede, você pode usar estes três tipos de hardware/software:

  • Roteadores/switches (por exemple, para a implementação de VLANs)
  • Firewalls ou dispositivos de segurança de perímetro (por exemple, para o estabelecimento de VPNs, canais seguros, etc.)
  • IDS/IPS (para detecção/prevenção de intrusão)

A propósito, este artigo sobre firewalls pode ser interessante para você: Como usar firewalls na implementação da ISO 27001 e ISO 27002.

Acordos de serviços de rede na 27001

Até este ponto, identificamos os serviços de rede, mas se queremos nos alinhar com a ISO 27001, precisamos ir um passo além. Isto significa que estes serviços de rede deveriam estar incluídos em acordos de serviços de rede (ou SLA, Service Level Agreements – Acordos de Nível de Serviço), sendo aplicáveis a serviços internos providos pela própria organização, e também a serviços providos por terceiros, pelo que eu quero dizer aqueles que são terceirizados.

Assim, para o desenvolvimento de um acordo de serviços de rede, basicamente você precisa considerar quais serviços de rede estão estabelecidos, como eles são oferecidos (a partir de recursos internos ou externos, etc.), níveis de serviço (24×7, resposta e tratamento de incidentes, etc.), e outros componentes chave. Se o serviço de rede é terceirizado, também é importante considerar reuniões periódicas com a organização externa, e nestas reuniões é importante rever os SLAs (seguindo o controle A.15.2 Gerenciamento da entrega do serviço do fornecedor).

Este artigo também pode ser interessante para você: Processo em 6 etapas para tratar a segurança em fornecedores de acordo com a ISO 27001.

Para os mecanismos de segurança incluídos no SLA, a seleção poderia ser baseada nos resultados da avaliação de riscos (basicamente, para os maiores riscos, os mecanismos de segurança mais fortes serão necessários), usando os controles de segurança do Anexo A da ISO 27001), ou mesmo usando contatos da organização com grupos especiais de interesse para ambientes específicos como governo, militares, etc., onde a implementação de regulamentações específicas poderia ser necessária (seguindo o controle A.6.1.4 Contato com grupos especiais de interesse).

Este artigo pode prover a você mais informações: Grupos especiais: Um recurso útil para apoiar o seu SGSI.

Sinta-se seguro na proteção de serviços de rede de sua organização

Lembre-se que todas as suas informações estão armazenadas em sistemas de informação, e eles estão conectados por redes, e a troca de informações é possível através de serviços de rede (firewalls, IDS, IPS, VPNs, VLANs, etc.). Assim, se você quer se sentir seguro em sua organização, você precisa ser cuidadoso com a rede, controlando os serviços de rede, identificando firewalls, IDS, IPS, VPNs, etc., e os incluindo em acordos de serviços de rede.

O controle A.13.1.2 da ISO 27001 é um bom recurso com o aumento dos requisitos para a segurança de redes. Ele é específico para cada caso, e isso poderia ser explorado ao máximo – significando que você pode adequar mecanismos de segurança aos seus próprios requisitos usando a tecnologia já instalada. Sua organização ganhará resultados; mas mais importante – também ganharão seus clientes e usuários. E eles sabem como apreciar ter um parceiro de negócio que vê a segurança como um tópico altamente importante.

Veja este eBook:  ISO 27001 Annex A Controls in Plain English para aprender mais sobre controles de segurança.

Nós agradecemos a Rhand Leal pela tradução para o português.

Advisera Antonio Jose Segovia
Autor
Antonio Jose Segovia
Antonio Jose Segovia is an IT engineer, and he has many professional certifications in the IT sector. He is also ISO 27001 IRCA and Lead Auditor qualified by BUREAU VERITAS in ISO 27001, ISO 20000, ISO 22301, ISO 27018, GDPR, and TISAX, as well as being an expert in information security, an ethical hacker, and a university professor in an online Master of Information Security program. With more than 10 years of experience in the IT sector, he has visited companies of all kinds in Spain, Portugal, Italy, France, United Kingdom, USA, Chile, Peru, and Costa Rica.