This post is also available in: Português Español
Existe um ditado que diz “não coloque todos os ovos na mesma cesta”, fazendo referência à segurança do conteúdo. Afinal, se houver algum dano à cesta, o conteúdo inteiro pode ser comprometido.
Mas e se houver subdivisões dentro do recipiente? As perdas tendem a ser menores, pois somente a área atingida sofre estragos, sem estender os danos ao restante da cesta. É uma lógica seguida também por grandes navios de carga, com suas comportas dentro do casco.
Esse pensamento também foi aplicado na segurança digital, e se chama segmentação de redes. A ideia é a seguinte: no ambiente de uma empresa, por exemplo, cria-se vários segmentos em sua rede interna, como se fossem compartimentos. No caso de uma invasão por vírus, por exemplo, ele não conseguirá afetar a empresa toda, pois ficará restrito ao segmento da rede no qual entrou.
Assim, a capacidade de propagação do malware é reduzida. Então, uma quantidade menor de dados é exposta à ação criminosa, diminuindo o impacto da invasão.
Primeiros passos
O conceito é bastante eficiente, mas demanda muita organização na hora de implantar e disciplina para manter. Em primeiro lugar, é preciso classificar todo o fluxo de informações entre os setores da empresa, e entre os membros de cada setor. Até porque o computador que fica na recepção não precisa “enxergar” o PC de um dos diretores, por exemplo, e também não deve ser capaz de trocar de segmento com extrema facilidade.
Assim, é preciso definir políticas de acesso dentro do organograma da empresa. Afinal, uma abordagem adequada de segmentação permite estabelecer diretrizes que habilitem somente aos funcionários responsáveis o acesso a certas informações e aplicações, servidores e recursos de rede específicos.
Nesse contexto, a correta segmentação de rede pode fazer com que seja muito mais difícil a um cibercriminoso acessar informações valiosas de toda a empresa. Em muitos casos, quando um ataque está em andamento, essa política pode ser utilizada para fornecer controles dinâmicos na contenção da invasão, mitigando possíveis danos. Pode, também, auxiliar na identificação do ataque através de alertas de acesso não autorizado – informando onde o mesmo começou.
Benefícios e desafios
A pandemia que surgiu por conta da COVID-19 enalteceu uma das vantagens da segmentação de rede: isolar funcionários em home office na área de rede necessária. Sem a correta segmentação, o acesso de suas casas à empresa pode gerar vulnerabilidades que fragilizam as defesas da rede. Como esse modo de trabalho tende a se manter em alguns cargos mesmo após o fim do isolamento social, a segmentação de rede ganha ainda mais importância.
Entre outros benefícios de destaque desse sistema está o fato de fornecer um nível reforçado de proteção para servidores e aplicativos críticos. Além disso, simplifica o gerenciamento de rede, incluindo monitoramento de eventos e respostas a incidentes – e também minimiza o esforço exigido pelas auditorias de segurança.
Apesar das vantagens, não é um mar de rosas. Há pontos de atenção que precisam de cuidados extras. Um deles é a questão de players externos que precisam de acesso, como fornecedores. Alguns podem complicar o processo de segmentação do acesso, pois demandam diferentes níveis de acesso à rede interna. Eles precisam ser incluídos e considerados na hora de planejar a segmentação de rede, estudando uma maneira segura de atuar em conjunto. Por isso, não devem ser descartados treinamentos com os funcionários dessas empresas parceiras.
Outro ponto a ficar atento é o tipo de rede utilizado. As VLANs costumam ser muito usadas nesse processo, mas pode haver a possibilidade de usuários saírem de um segmento e acessarem outro – e fazem isso ignorando as restrições de acesso, a partir do endereçamento de IP. Além disso, podem trazer dificuldades em conectar ambientes em cloud computing.
Nesse contexto, um desafio que a segmentação de redes pode trazer é na hora de executar varreduras de vulnerabilidade de segurança. Em muitos casos, acaba sendo necessário mover o scanner fisicamente ou logicamente de segmento para segmento por meio do controle de acesso e regras de firewall. Tal quesito não deve ser ignorado nos estudos de implementação, pois pode originar uma morosidade indesejada – e incompatível com a natureza do negócio da empresa.
Apesar dos pesares, a segmentação de rede é bastante positiva no que se refere à proteção de dados em uma empresa. Após a implementação, deve fazer parte da rotina dos colaboradores, como parte de um comportamento que zele pelos dados acessados – tanto os da companhia quanto os dos clientes. Assim, deve engajar todos os colaboradores em prol de um objetivo: trabalhar pela segurança digital.
This post is also available in: Português Español
