A segurança da informação não é um tema novo nas grandes corporações e as ameaças atuais exigem uma maior atenção das pequenas e médias empresas.

Uma reflexão para as pequenas e médias empresas

As ameaças virtuais atuais tem se espalhado em velocidades cada vez maiores e causados danos em todos os ambientes, principalmente nos menos dotados da infra-estrutura de segurança, que não contam com políticas de segurança, planos de continuidade do negocio e antivírus por exemplo.

As pequenas e médias empresas não possuem um orçamento para o setor de tecnologia que permita aos gestores a manutenção de ferramentas de alta performance para filtrar todos os dados que trafegam em suas redes ou a manutenção de programas de antivírus com assinatura anuais, o que torna importante as estratégias de política de segurança.

O primeiro passo para garantir a segurança das redes das pequenas empresas é entender de onde as ameaças surgem. A internet liberada para downloads de arquivos diversos, o uso de programas de compartilhamento de arquivos e a liberdade de instalar ou remover programas por parte dos usuários estão entre as principais fontes.

Como garantir a segurança?

O primeiro passo é criar e implementar as regras de acesso a internet em sua empresa, de preferência um documento detalhando o que é e o que não é permitido aos usuários.

Um servidor Linux com a ferramenta SQUID instalada irá propiciar um grande controle sobre as ações dos usuários, você poderá, dentre toda a gama de possibilidades, liberar o acesso a uma lista branca de sites ou proibir uma lista negra, criar usuários com acesso liberado, fazer o controle por IP ou endereço MAC da placa de rede, etc.

Um servidor com o SQUID ou outra ferramenta similar irá se aplicar em redes com um número superior a 5 computadores, em casos com menos máquinas o controle a sites pode ser feito nas próprias estações ou nos roteadores de internet, quase todos permitem criar regras como sites restritos ou portas.

A implementação de um firewall em empresas de médio porte é aconselhável e deve ser feito por pessoas qualificadas para tal. Um firewall pode ser complexo e garantirá a segurança de sua rede contra os acessos externos ou ataques de negação de serviço, por exemplo.

Uma porta de entrada de vírus e de saída de informações confidenciais que é complicada de ser monitorada é o e-mail pessoal. Não é aconselhável permitir acesso a nenhum tipo de e-mail pessoal no ambiente de trabalho, caso seja necessário, crie para seu usuário um e-mail da empresa. Monitorar e-mail pessoal do funcionário pode ser considerado crime de violação de privacidade.

Com o acesso a internet controlado a atenção se volta para o uso das estações da empresa. A liberdade dada nas estações permitindo ao usuário um acesso administrativo nas estações, o que leva a permissão de instalar e remover programas, executar scripts e modificar a configuração as estações.

Para resolver esta situação em empresas de médio porte é aconselhável o uso de softwares que restringem este acesso administrativo por agrupamentos de usuários. Caso a rede da empresa seja baseada no sistema operacional Windows, os servidores Windows Server permitem um controle gerencial bastante interessante, é o chamado Active Directory.

O Active Directory do Windows Server permite criar usuários, grupos de acesso e o mais importante, permissões de acesso. É possível criar regras que permitam ao usuário somente acessar os programas, sem acesso administrativo, restringir o uso do CD-ROM ou da USB, desativando as portas. Tudo isto é feito de maneira centralizada, garantindo a eficiência e facilitando a administração da TI.

Com esta medida de gerenciamento você diminui as portas de entrada e saída de informações da empresa e reduz o custo de manutenção de estações, visto que os usuários e programas instalados pelos mesmos são os maiores geradores de manutenção.

O Active Directory também permite, assim como o LDAP (para Linux) que todas as autenticações de usuário e senha sejam centralizadas, isto significa que o usuário possuirá somente uma senha para todas os sistemas da empresa.

Uma ação fundamental a ser analisada é o fim dos compartilhamentos nas máquinas por onde é mais comum que as ameaças se espalhem por toda a rede, é aconselhável que somente o servidor possua pastas compartilhadas e que nele esteja instalado um bom sistema antivírus.

A escolha de um sistema antivírus é um fator crucial, mas não será eficaz caso não fizermos uso das técnicas citadas acima. Caso sejam bem implementadas as técnicas acima não haverá necessidade de proteger todas as estações com softwares antivírus pagos.

Para redes de médio porte, prefira sistemas antivírus que permitam um gerenciamento central, com atualização pela rede interna, diminuindo o tráfego a internet.

É aconselhável observar as opções sem custo para pequenas empresas e para os servidores de e-mail e de arquivos, o sistema operacional Linux oferece antivírus para o servidor de e-mail com controle de SPAM.

Enfim, a segurança da informação é um assunto complexo e extenso, mas evitar as ameaças como vírus e worms pode ser simplificado e ter um custo acessível seguindo as etapas sugeridas.