Pense sobre uma casa, ou escrit\u00f3rio, com apenas um grande espa\u00e7o onde voc\u00ea pode organizar todas as suas preciosas e amadas coisas da forma que voc\u00ea acha mais apropriada. Tentador, n\u00e3o \u00e9? A flexibilidade para usar o espa\u00e7o e a facilidade de ver tudo de imediato parece ser um grande neg\u00f3cio. Agora, imagine esta casa, ou escrit\u00f3rio, sendo arrombado. E agora, como ficam suas preciosas e amadas coisas?<\/p>\n
Esta situa\u00e7\u00e3o \u00e9 muito similar a muitas implementa\u00e7\u00f5es de rede feitas em todo o mundo. Ao buscar por um gerenciamento f\u00e1cil e descomplicado, ou por falta de conhecimento, muitas organiza\u00e7\u00f5es acabam com centenas, ou milhares, de equipamentos conectados em uma \u00fanica rede gigante. Al\u00e9m de problemas de desempenho, este tipo de situa\u00e7\u00e3o pode trazer devasta\u00e7\u00e3o em caso de um ataque ou erro n\u00e3o intencional.<\/p>\n
A gest\u00e3o da seguran\u00e7a de rede, uma das principais categorias da ISO 27001<\/a>, declara como seu objetivo \u201cassegurar a prote\u00e7\u00e3o da informa\u00e7\u00e3o em redes e dos recursos de processamento da informa\u00e7\u00e3o que as apoiam\u201d. Para atingir o objetivo declarado, um dos controles propostos \u00e9 o A.13.1.3 \u2013 Segrega\u00e7\u00e3o de redes, e neste artigo revisaremos suas recomenda\u00e7\u00f5es detalhadas na ISO 27002.<\/p>\n Segrega\u00e7\u00e3o de rede \u00e9 o ato de dividir uma rede em partes menores chamadas sub redes ou segmentos de rede. \u00c9 um outro bom exemplo da aplica\u00e7\u00e3o da estrat\u00e9gia \u201cDividir e Conquistar\u201d vista no artigo Gest\u00e3o de projetos ISO 27001: Implementando controles de seguran\u00e7a complexos usando Estrutura Anal\u00edtica de Projeto (EAP)<\/a>.<\/p>\n Revendo o exemplo da casa \/ escrit\u00f3rio, voc\u00ea pode pensar na segrega\u00e7\u00e3o como c\u00f4modos tais como sala de estar, sala de jantar, sala de reuni\u00e3o, arquivo, etc. A coisa mais importante aqui e pensar sobre espa\u00e7os reservados para prop\u00f3sitos espec\u00edficos.<\/p>\n Quando voc\u00ea segrega uma rede, voc\u00ea pode atingir os seguintes benef\u00edcios:<\/p>\n Melhoria de desempenho:<\/strong> com menos equipamentos por sub rede, h\u00e1 menos tr\u00e1fego de sinaliza\u00e7\u00e3o, e mais largura de banda pode ser usada para comunica\u00e7\u00e3o de dados.<\/p>\n Melhoria da seguran\u00e7a:<\/strong> com menos tr\u00e1fego de sinaliza\u00e7\u00e3o passando por todos os segmentos de rede, \u00e9 mais dif\u00edcil para um atacante mapear a estrutura da rede, falhas em um segmento s\u00e3o menos prov\u00e1veis de se propagar, e um melhor controle de acesso<\/a>\u00a0pode ser estabelecido considerando o acesso de visitantes ou acesso a informa\u00e7\u00f5es \/ ativos sens\u00edveis.<\/p>\n Por outro lado, o esfor\u00e7o de segrega\u00e7\u00e3o requer:<\/p>\n Conhecimento especializado:<\/strong> redes podem abrigar centenas de dispositivos, com organiza\u00e7\u00f5es definindo pol\u00edticas complexas com d\u00fazias de regras, assim a equipe de rede deve ser adequadamente educada e treinada<\/a> para assegurar que a segmenta\u00e7\u00e3o de rede mantenha o neg\u00f3cio funcionando de forma segura e em conformidade.<\/p>\n Esfor\u00e7o administrativo:<\/strong> mudan\u00e7as na infraestrutura, como novas aplica\u00e7\u00f5es de neg\u00f3cio e novas tecnologias, podem multiplicar o tempo requerido para fazer mudan\u00e7as adequadas<\/a>\u00a0e assegurar a integridade dos segmentos de rede.<\/p>\n Investimentos em equipamento \/ software:<\/strong> a segrega\u00e7\u00e3o talvez requeira mais equipamentos, novos equipamentos com funcionalidades avan\u00e7adas, ou software espec\u00edfico para lidar com m\u00faltiplos segmentos, e estes requisitos deveriam ser considerados durante o planejamento do or\u00e7amento.<\/p>\n O controle A.13.1.3 \u2013 Segrega\u00e7\u00e3o de networks, declara que grupos de servi\u00e7os de informa\u00e7\u00e3o, usu\u00e1rios e sistemas de informa\u00e7\u00e3o deveriam ser segregados em redes. A ISO 27002, que prove orienta\u00e7\u00f5es para a implementa\u00e7\u00e3o dos controles da ISO 27001, faz as seguintes recomenda\u00e7\u00f5es:<\/p>\n Para atender a estas recomenda\u00e7\u00f5es, voc\u00ea pode considere o seguinte:<\/p>\n Segmenta\u00e7\u00e3o baseada em crit\u00e9rios:<\/strong> Regras pr\u00e9-definidas para estabelecer per\u00edmetros e criar novos segmentos pode reduzir futuros esfor\u00e7os administrativos. Exemplos de crit\u00e9rios s\u00e3o n\u00edvel de confian\u00e7a (ex.: segmento para o p\u00fablico externo, segmento para a equipe, segmento para bases de dados, segmento para fornecedores, etc.), unidade organizacional (ex.: RH, Vendas, Servi\u00e7o ao Cliente, etc.), e combina\u00e7\u00f5es (ex.: acesso ao p\u00fablico externo para Vendas e Servi\u00e7os ao Cliente).<\/p>\n Uso de segmenta\u00e7\u00e3o f\u00edsica e l\u00f3gica:<\/strong> Dependendo do n\u00edvel de risco indicado na avalia\u00e7\u00e3o de riscos<\/a>, pode ser necess\u00e1rio usar infraestruturas fisicamente separadas para proteger informa\u00e7\u00f5es e ativos da organiza\u00e7\u00e3o (ex.: dados ultra secretos fluindo atrav\u00e9s de fibras \u00f3ticas dedicadas a equipe de gest\u00e3o), ou voc\u00ea pode usar solu\u00e7\u00f5es baseadas em segmenta\u00e7\u00e3o l\u00f3gica como Redes Provadas Virtuais (Virtual Private Network – VPN).<\/p>\n Regras de acesso para o fluxo de tr\u00e1fego:<\/strong> O tr\u00e1fego entre segmentos, incluindo aqueles de partes externas autorizadas, deveria ser controlado de acordo com as necessidades de transmiss\u00e3o\/recep\u00e7\u00e3o de informa\u00e7\u00f5es. Pontos de acesso, como firewalls e roteadores, deveriam ser configurados com base na classifica\u00e7\u00e3o da informa\u00e7\u00e3o e avalia\u00e7\u00e3o de riscos. Um caso espec\u00edfico de controle de acesso se aplica a redes sem fio, uma vez que elas possuem uma fraca defini\u00e7\u00e3o de per\u00edmetro. A recomenda\u00e7\u00e3o \u00e9 tratar a comunica\u00e7\u00e3o sem fio como uma conex\u00e3o externa at\u00e9 que o tr\u00e1fego possa alcan\u00e7ar um ponto de acesso cabeado adequado antes de garantir acesso a segmentos da rede interna.<\/p>\n Redes \u00fanicas para neg\u00f3cios iniciando ou pequenos pode parecer um bom neg\u00f3cio, e em muitos casos, elas s\u00e3o. Elas s\u00e3o f\u00e1ceis de gerenciar e economizam dinheiro necess\u00e1rio para manter o neg\u00f3cio funcionando. Contudo, voc\u00ea deve pensar como um gestor estrat\u00e9gico, e se diferenciar de gestores medianos, pensando a frente, e estar preparado para evoluir sua rede quando ela come\u00e7ar a representar um obst\u00e1culo ao neg\u00f3cio.<\/p>\n Voc\u00ea n\u00e3o precisa implementar segrega\u00e7\u00e3o de redes no in\u00edcio do seu novo neg\u00f3cio, mas se voc\u00ea acredita que seu neg\u00f3cio ser\u00e1 um sucesso, voc\u00ea deve estar preparado.<\/p>\n Para saber mais sobre as recomenda\u00e7\u00f5es sobre o que voc\u00ea precisa considerar ao implementar ou revisar os controles de seguran\u00e7a, consulte este<\/em> ISO 27001 Lead Implementer Online Course<\/a>.<\/p>\nO que \u00e9 segrega\u00e7\u00e3o de rede?<\/h2>\n
Benef\u00edcios e necessidades na segrega\u00e7\u00e3o de redes<\/h2>\n
O controle A.13.1.3 da ISO 27001 e recomenda\u00e7\u00f5es da ISO 27002 para implementa\u00e7\u00e3o de segrega\u00e7\u00e3o de rede<\/h2>\n
\n
Uma rede para governar todas? Pense de novo.<\/h2>\n