BLOG

Dicas sobre Cibersegurança em redes empresariais

Na cibersegurança, existem muitos regulamentos. Alguns são gerais, outros sectoriais, outros de um campo específico. Todos aqueles que atingem um nível técnico incluem uma série de medidas de segurança nas suas especificações, e algumas delas são universais.

Não deixa de ser curioso que estas «medidas universais de segurança» sejam quebradas por um grande número de organizações, ou pior, mal implementadas. Pior ainda porque, nesses casos, a organização está a enganar-se. O colaborador fica tranquilo, com uma falsa sensação de segurança sem verificar se o que foi feito é realmente eficaz.

Hoje focamos este artigo no que os nossos especialistas de cibersegurança consideram o mais fácil de entender, a segmentação de rede. A priori parece puro bom senso.

Este é um conceito que aplicamos no dia-a-dia quase sem pensar, intuitivamente. Até os animais, quando têm algo de valor, escondem-no fora do alcance de outros animais.

Também não é surpresa para ninguém que, quando um banco é construído, ele seja projetado com diferentes salas separadas por portas de segurança. Para chegar a algumas é preciso passar por mais de uma porta, mais de uma divisão, porque são especialmente importantes. Por exemplo, o cofre.

Existe até um ditado universal amplamente utilizado em questões financeiras, que recomenda «não colocar todos os ovos na mesma cesta».

Na cibersegurança , essa ideia está por trás de várias recomendações típicas. Mas uma das mais importantes acaba por ser a base sobre a qual construímos o sistema de computador de uma organização. Nesse caso, as cestas são redes e os ovos são dispositivos.

Uma alta percentagem de empresas possui uma única rede, onde todos os dispositivos estão ao alcance de todos os outros com quase nenhum controlo. Isso significa que qualquer invasor que conseguir aceder à rede pode causar todos os danos que desejar. E na era da internet e das comunicações, isso não é particularmente difícil. Um exemplo são muitos dos piores ataques de Ransomware dos últimos tempos.

Algumas empresas aplicam conceitos como «DMZ» (Zona Desmilitarizada) retirados de um manual antigo ou excessivamente básico. O conceito original de DMZ está desatualizado há muito tempo e as redes atuais são muito mais complexas. Mas a ideia subjacente continua a mesma, ou seja, separar os dispositivos e serviços mais expostos dos mais críticos.

Ou seja, colocamos o que vamos expor na Internet numa rede e o restante da empresa noutra. Como também precisamos que ambas as redes se comuniquem, fazemos isso por meio de uma firewall.

Hoje o nosso nível de exposição é muito maior. Não é mais apenas a internet, também temos dispositivos pessoais de colaboradores (BYOD) e visitantes, colaboradores externos, redes sem fio, dispositivos IoT etc. Sem falar nos trabalhadores remotos, que sempre existiram mas que se multiplicaram com a chegada mais ou menos forçada do teletrabalho.

Se tivermos que projetar a rede da nossa empresa, as etapas são muito fáceis de entender. Passar da teoria à prática já é outro assunto, do qual talvez falaremos no futuro. Em qualquer caso, os benefícios superam em muito o esforço.

O esboço geral do trabalho poderia ser:

  1. Fazemos um inventário dos nossos serviços.
  2. Pesamos a criticidade de cada serviço para o negócio e as dependências entre eles.
  3. Pesamos a exposição necessária de cada serviço. O mínimo essencial.
  4. Separamos cada serviço num servidor diferente.
  5. Agrupamos os serviços em segmentos de rede, utilizando critérios mínimos de exposição e criticidade.

Feito isso, geralmente precisamos de comunicar de maneira controlada entre esses segmentos de rede. Para isso utilizaremos uma firewall, que em alguns manuais é chamada de «core». Em muitos casos, uma firewall básica funciona para nós. Em outros, beneficiaremos de recursos avançados de filtragem.

Não nos podemos esquecer ainda que as organizações não são estáticas, mas evoluem ao longo do tempo. Paralelamente, também evoluem os sistemas computacionais, como o projeto de redes. E como em qualquer processo evolutivo, se não planearmos e direcionarmos cuidadosamente os nossos passos, a tendência será o caos.

Muitas redes que foram originalmente projetadas com perfeição, incluindo critérios de segurança, foram «relaxadas» com muitas pequenas alterações ao longo dos anos. Mudanças que individualmente não pareciam importantes, ou que seriam provisórias, mas permaneceram para sempre e sem as devidas medidas de cibersegurança.