Como gerenciar a segurança de rede de acordo com como controle A.13.1 da ISO 27001

Quanto mais e mais pessoas e organizações se tornam interconectadas, mais e mais informações são trocadas, desde as consideradas triviais e dispensáveis até aquelas que são mais sensíveis e necessárias para a vida das pessoas e sobrevivência dos negócios.

É por isso que a infraestrutura de redes de hoje é tão importante, e tão atrativa para malfeitores. Assim, para assegurar o desempenho da rede e para evitar ou minimizar situações onde a informação transportada seja comprometida, é necessário adotar medidas de segurança.

Neste artigo veremos um pouco sobre gestão da segurança de rede e como os controles da ISO 27001 e da ISO 27002, como segurança dos serviços de rede e segregação de redes, podem ajudar a aumentar a segurança da infraestrutura de rede e agregar valor ao seu negócio.

O que é gestão de segurança de rede?

Podemos definir gestão de segurança de rede como o processo concebido para proteger uma rede e os dados que fluem através dela de riscos como acesso não autorizado, mau uso, mau funcionamento, modificação, destruição, ou divulgação imprópria, enquanto permite aos usuários, computadores e aplicações autorizada realizarem suas atividades. E, por “rede”, entendemos tanto as redes internas e externas (ex.: quando organizações usam a infraestrutura da Internet para transferir informações entre escritórios localizados em cidades diferentes).

Através de controles administrativos, físicos e tecnológicos, a gestão de segurança de rede busca criar um ambiente seguro baseado em camadas de componentes protetores que se suportam e complementam para aumentar a segurança geral.

Ameaças comuns em redes e dados em trânsito

Por sua natureza, a infraestrutura de rede é suscetível a dois tipos de ataques:

Ataques passivos: quando um atacante de rede apenas intercepta os dados trafegando através da rede. Exemplos deste tipo de ataque são grampos (“wiretapping” – interceptação através do cabeamento de rede), wardriving (mapeamento de pontos de acesso se fio), e varredura de portas (“port scan”- busca por portas de comunicação abertas em servidores ou clientes). Frequentemente, ataques passivos são usados no início de ataques mais elaborados, como forma de se coletar informações.

Ataques ativos: quando um atacante de rede ativamente trabalha para mudar dados em trânsito ou componentes de rede. Exemplos deste tipo de ataque são Negação de Serviço (tentativas intencionais de negar acesso de usuários legítimos), DNS spoofing (alteração de entradas do DNS para redirecionar o tráfego de forma maliciosa), e man-in-the-middle (o atacante efetivamente permanece entre a comunicação de usuários legítimos).

Gestão de rede de acordo com a ISO 27001 e ISO 27002

Assim como qualquer Sistema de gestão ISO, a ISO 27001 é baseada no modelo PDCA, que se integra perfeitamente com a abordagem de gestão de segurança de rede (planejamento, implementação, verificação e ajustes de controles de rede). Veja este artigo: O Ciclo PDCA foi removido das novas normas ISO?

Com relação ao planejamento de das atividades de gestão de rede, é necessário definir os objetivos de segurança a serem protegidos e gerenciados. Alguns exemplos são usabilidade, confiabilidade e integridade da rede e dos dados. Uma vez que os objetivos estejam definidos, é necessário definir os controles a serem implementados, com base nos riscos mais relevantes que a organização tem em seu contexto.

A implementação de controles de segurança de rede pode usar o mesmo Plano de Tratamento de Riscos definidos para a implementação de todos os controles do SGSI. De acordo com a ISO 27002, os seguintes controles de gestão de segurança de rede devem ser considerados:

Controles de rede (A.13.1.1): Um conjunto de controles gerais deveriam ser implementados, tais como a definição de responsabilidades e procedimentos para a gestão da segurança de rede, segregação de tarefas entre atividades de rede e de computadores, uso de soluções de criptografia para proteger dados em trânsito e sistemas interconectados (ex.: VPN), monitoramento e registro de atividades de rede realizadas (ex: pelo uso de Sistemas de Detecção de Intrusão – Intrusion Detection systems – IDS), autenticação e outros meios de se restringir o acesso e uso de recursos de rede. Veja este artigo: Como usar firewalls na implementação da ISO 27001 e ISO 27002.

Segurança dos serviços de rede (A.13.1.2): As soluções de rede, de desempenho e os níveis de segurança esperados deveriam ser definidos e incluídos em acordos de nível de serviço, assim como os meios pelos quais a organização pode verificar se os níveis de serviço estão sendo atendidos (ex: por análises de relatórios ou auditorias). Estes acordos de serviço deveriam ser considerados tanto para serviços internos quanto terceirizados.

Segregação de redes (A.13.1.3): Serviços, sistemas de informação, usuários, estações de trabalho, e servidores deveriam ser separados em redes diferentes, de acordo com critérios definidos tais como exposição ao risco e valor de negócio, e um controle estrito do fluxo de dados entre estas redes deveria ser estabelecido (ex.: pelo uso de firewalls e roteadores). Veja este artigo: Requisitos para implementar segregação de rede de acordo com o controle A.13.1.3 da ISO 27001.

A gestão de segurança de rede também pode fazer uso de outros controles da ISO 27002 para aumentar sua eficácia, como a Política de Controle de Acesso (9.1.1), gestão de mudança (12.1.2), proteção contra softwares maliciosas (12.2.1), e gestão de vulnerabilidades técnicas (12.6.1). Veja este artigo: How to handle access control according to ISO 27001.

A verificação da pertinência, adequação e eficácia dos controles de rede pode ser feita por auditorias periódicas e análises críticas, que podem levar a ajustes nos controles através de ações corretivas ou planos de melhoria.

Benefícios da segurança de rede

Existem muitos benefícios que uma organização pode atingir ao adotar a gestão de segurança de rede:

  • Aumento da produtividade, como um resultado de uma rede mais confiável e menos interrupções nas atividades do negócio
  • Manutenção da conformidade regulatória, porque a segurança de rede é um ponto comum em muitas regulamentações, tais como PCI, SOX, etc.
  • Redução do risco de ações legais, porque os esforços feitos para se proteger os dados dos clientes demonstram a diligência e cuidado da organização
  • Aumento da reputação do negócio, porque os esforços feitos para proteger os dados dos clientes demonstram o comprometimento da organização com a segurança

Comunicações confiáveis levam a negócios fortes

Em um mundo conectado, onde negócios podem ser feitos entre parceiros que estão localizados em qualquer parte do mundo, manter as infraestruturas de rede no ar e funcionando adequadamente não é apenas um desafio operacional, mas um ponto vital na competitividade dos negócios.

Ao adotar a abordagem de gestão de segurança de rede, alinhada com as práticas definidas pela ISO 27001 e ISO 27002, uma organização pode aumentar suas chances não apenas de planejar e alocar melhor seus recursos, mas também de se beneficiar de uma infraestrutura mais confiável e resiliente em termos de competitividade de negócio. Gestores de segurança agradecerão por obter níveis mais altos de segurança e os gerentes de negócio estarão felizes com novas possibilidades de negócio.

Caso você queira saber mais sobre controles de gestão de segurança de rede na ISO 27001, use nosso curso online gratuito  ISO 27001:2013 Foundations Course.

Advisera Rhand Leal
Autor
Rhand Leal

Rhand Leal has more than 15 years of experience in information security, and for six years he continuously maintained а certified Information Security Management System based on ISO 27001.


Rhand holds an MBA in Business Management from Fundação Getúlio Vargas. Among his certifications are ISO 27001 Lead Auditor, ISO 9001 Lead Auditor, Certified Information Security Manager (CISM), Certified Information Systems Security Professional (CISSP), and others. He is a member of the ISACA Brasília Chapter.


Tag: #ISO 27001