Todos sabem que a informa\u00e7\u00e3o \u00e9 armazenada em sistemas de informa\u00e7\u00e3o (esta\u00e7\u00f5es de trabalho, laptops, smartphones, etc.), mas trocar informa\u00e7\u00f5es via rede \u00e9 necess\u00e1rio.<\/p>\n
Muitos dos sistemas de informa\u00e7\u00e3o neste mundo est\u00e3o conectados a mesma rede principal \u2013 a Internet \u2013 e, sem esta rede, nossa sociedade seria bem diferente; de fato, a sociedade atua como a conhecemos n\u00e3o seria poss\u00edvel.<\/p>\n
De qualquer forma, a Internet n\u00e3o \u00e9 a \u00fanica rede relevante para a seguran\u00e7a da informa\u00e7\u00e3o. Outras redes comumente usadas s\u00e3o, por exemplo, redes locais (Local Area Networks LANs), redes de comunica\u00e7\u00e3o digital, redes de Internet das Coisas (Internet of Things – IoT), etc. Elas hospedam muitos servi\u00e7os que precisam ser protegidos tamb\u00e9m.<\/p>\n
O controle A.13.1.2 do Anexo A da ISO\/IEC 27001:2013<\/a>\u00a0basicamente foi desenvolvido para a seguran\u00e7a de servi\u00e7os de rede, \u00e9 o princ\u00edpio b\u00e1sico deste controle \u00e9 identificar mecanismos de seguran\u00e7a, n\u00edveis de servi\u00e7o e requisitos de gest\u00e3o relacionados a todos os servi\u00e7os de rede.<\/p>\n Assim, o importante aqui \u00e9 gerir a seguran\u00e7a dos servi\u00e7os de rede, incluindo os casos onde o servi\u00e7o \u00e9 terceirizado.<\/p>\n Bem, o que \u00e9 um servi\u00e7o de rede? De acordo com a ISO\/IEC 27002:2013, servi\u00e7os de rede s\u00e3o basicamente a provis\u00e3o de conex\u00f5es, servi\u00e7os de rede privada, firewalls, e Sistemas de Detec\u00e7\u00e3o de Intrus\u00e3o. A ISO\/IEC 27002:2013 tamb\u00e9m define caracter\u00edsticas de seguran\u00e7a dos servi\u00e7os de rede, que poderiam ser:<\/p>\n Assim, basicamente, se voc\u00ea quer gerir a seguran\u00e7a dos servi\u00e7os de rede<\/a>, voc\u00ea pode usar estes tr\u00eas tipos de hardware\/software:<\/p>\n A prop\u00f3sito, este artigo sobre firewalls pode ser interessante para voc\u00ea: Como usar firewalls na implementa\u00e7\u00e3o da ISO 27001 e ISO 27002<\/a>.<\/p>\n At\u00e9 este ponto, identificamos os servi\u00e7os de rede, mas se queremos nos alinhar com a ISO 27001, precisamos ir um passo al\u00e9m. Isto significa que estes servi\u00e7os de rede deveriam estar inclu\u00eddos em acordos de servi\u00e7os de rede (ou SLA, Service Level Agreements \u2013 Acordos de N\u00edvel de Servi\u00e7o), sendo aplic\u00e1veis a servi\u00e7os internos providos pela pr\u00f3pria organiza\u00e7\u00e3o, e tamb\u00e9m a servi\u00e7os providos por terceiros, pelo que eu quero dizer aqueles que s\u00e3o terceirizados.<\/p>\n Assim, para o desenvolvimento de um acordo de servi\u00e7os de rede<\/a>, basicamente voc\u00ea precisa considerar quais servi\u00e7os de rede est\u00e3o estabelecidos, como eles s\u00e3o oferecidos (a partir de recursos internos ou externos, etc.), n\u00edveis de servi\u00e7o (24\u00d77, resposta e tratamento de incidentes, etc.), e outros componentes chave. Se o servi\u00e7o de rede \u00e9 terceirizado, tamb\u00e9m \u00e9 importante considerar reuni\u00f5es peri\u00f3dicas com a organiza\u00e7\u00e3o externa, e nestas reuni\u00f5es \u00e9 importante rever os SLAs (seguindo o controle A.15.2 Gerenciamento da entrega do servi\u00e7o do fornecedor).<\/p>\n Este artigo tamb\u00e9m pode ser interessante para voc\u00ea: Processo em 6 etapas para tratar a seguran\u00e7a em fornecedores de acordo com a ISO 27001<\/a>.<\/p>\n Para os mecanismos de seguran\u00e7a inclu\u00eddos no SLA, a sele\u00e7\u00e3o poderia ser baseada nos resultados da avalia\u00e7\u00e3o de riscos (basicamente, para os maiores riscos, os mecanismos de seguran\u00e7a mais fortes ser\u00e3o necess\u00e1rios), usando os controles de seguran\u00e7a do Anexo A da ISO 27001), ou mesmo usando contatos da organiza\u00e7\u00e3o com grupos especiais de interesse para ambientes espec\u00edficos como governo, militares, etc., onde a implementa\u00e7\u00e3o de regulamenta\u00e7\u00f5es espec\u00edficas poderia ser necess\u00e1ria (seguindo o controle A.6.1.4 Contato com grupos especiais de interesse).<\/p>\n Este artigo pode prover a voc\u00ea mais informa\u00e7\u00f5es: Grupos especiais: Um recurso \u00fatil para apoiar o seu SGSI<\/a>.<\/p>\n Lembre-se que todas as suas informa\u00e7\u00f5es est\u00e3o armazenadas em sistemas de informa\u00e7\u00e3o, e eles est\u00e3o conectados por redes, e a troca de informa\u00e7\u00f5es \u00e9 poss\u00edvel atrav\u00e9s de servi\u00e7os de rede (firewalls, IDS, IPS, VPNs, VLANs, etc.). Assim, se voc\u00ea quer se sentir seguro em sua organiza\u00e7\u00e3o, voc\u00ea precisa ser cuidadoso com a rede, controlando os servi\u00e7os de rede, identificando firewalls, IDS, IPS, VPNs, etc., e os incluindo em acordos de servi\u00e7os de rede.<\/p>\n O controle A.13.1.2 da ISO 27001 \u00e9 um bom recurso com o aumento dos requisitos para a seguran\u00e7a de redes. Ele \u00e9 espec\u00edfico para cada caso, e isso poderia ser explorado ao m\u00e1ximo \u2013 significando que voc\u00ea pode adequar mecanismos de seguran\u00e7a aos seus pr\u00f3prios requisitos usando a tecnologia j\u00e1 instalada. Sua organiza\u00e7\u00e3o ganhar\u00e1 resultados; mas mais importante \u2013 tamb\u00e9m ganhar\u00e3o seus clientes e usu\u00e1rios. E eles sabem como apreciar ter um parceiro de neg\u00f3cio que v\u00ea a seguran\u00e7a como um t\u00f3pico altamente importante.<\/p>\n Veja este eBook:\u00a0<\/em> ISO 27001 Annex A Controls in Plain English<\/a> para aprender mais sobre controles de seguran\u00e7a.<\/em><\/p>\nCaracter\u00edsticas de seguran\u00e7a dos servi\u00e7os de rede<\/h2>\n
\n
\n
Acordos de servi\u00e7os de rede na 27001<\/h2>\n
Sinta-se seguro na prote\u00e7\u00e3o de servi\u00e7os de rede de sua organiza\u00e7\u00e3o<\/h2>\n