This post is also available in: Português English Español
Esta temática é um desafio constante para muitas empresas e não há uma receita definitiva a ser seguida para minimizar os impactos negativos que o mau uso da internet causam em ambientes corporativos. Isso é facilmente entendido por que cada negócio tem suas particularidades e necessidades, e por conta disso, há uma complexidade envolvida no que é ou não eficiente, para cada realidade, exigindo que o processo seja altamente personalizado.
Muitos pensam que uma política eficiente é aquela que restringe fortemente o acesso dos usuários à internet, o que em alguns casos pode ser uma premissa válida, sabemos que a restrição pode causar impactos negativos, principalmente associados a produtividade, diferente do que normalmente se pensa.
Por outro lado, deixar os acessos liberados sem qualquer controle, pode apresentar um risco alto de segurança, tanto por que permite ataques intencionados, como desvio de informações e outros, bem como aqueles oportunistas, gerados por um acesso à algum site que contém conteúdo malicioso, que posteriormente, toma o controle do equipamento podendo causar algum dano para a empresa. Além disso, acessos liberados em usuários com pouca conscientização, pode impactar negativamente na produtividade.
Colocado estes contrapontos e reflexões, servindo como introdução, ratifica-se que o tema é realmente complexo. Isso significa que não existe uma solução comum, no entanto, alguns pontos podem ser entendidos para que você possa construir uma política de proxy altamente eficiente.
Altamente eficiente significa, basicamente, defender os interesses da organização em termos de segurança, produtividade e outros itens, e garantir que os colaboradores possam maximizar suas atividades com o uso da internet, sem prejudicar a empresa. Nesta diretriz, cada segmento, cada empresa, com sua maturidade de negócio, vai conseguir estruturar uma política adequada, que respeita estes pilares básicos.
Uma política adequada para pequenos negócios
Pequenos negócios aqui são aqueles pouco informatizados ou que tem poucos computadores em sua estrutura. Muitos pensam, ainda, que esse tipo de negócio não precisa ser protegido, o que é um verdadeiro erro. Toda empresa que está conectada à internet, e que realiza processos que usam a internet, ou que armazenam sistemas internos, deve levar segurança minimamente a sério.
E para estes negócios segurança não é caro, existem soluções para todos os bolsos, o importante é se proteger. Neste sentido, uma política geralmente utilizada para pequenos negócios é uma lista global de sites que são proibidos, ou o contrário, uma lista de sites permitidos.
Se o pequeno negócio precisa de um nível de controle muito alto, prefira bloquear absolutamente tudo e liberar somente o que se conhece e está vinculado as atividades laborais, isso evita potencialmente o risco de incidentes de segurança, embora seja um pouco mais complexo de montar essa lista, isso por que muitos sites, atualmente, carregam conteúdo de outros endereços.
É natural, nestes casos, que alguns sites pareçam desconfigurados, mas uma boa empresa de segurança saberá aplicar configurações e mapear os requisitos para que o usuário consiga acessar de forma plena os sites de seu interesse.
Se a empresa tiver necessidade de granular os acessos, significa criar políticas diferentes para cada equipamento, também é possível, mas aumenta consideravelmente a complexidade de gerenciamento, que pode fugir à necessidade inicial.
Cuidado com permissões de gerencias e diretorias
Antes de continuar no post, vale uma ressalva muito importante, as políticas têm que funcionar para todos, do contrário, a empresa corre riscos. Costuma-se dizer que uma política ou arquitetura de segurança é tão forte quanto seu elo mais fraco.
Isso basicamente quer dizer que criar políticas de acesso para toda organização e manter exceções as regras por conta de cargos ou posições, é um risco altíssimo, pois o ponto de ataque ou contaminação pode vir justamente de computadores com maiores níveis de acesso.
Se a política permitir, assegure que estes equipamentos estejam devidamente isolados, fisicamente ou através de VLANs, isso evita potencialmente a escalada de acesso para outras redes, invalidando toda a política criada.
Permissões de acesso globais
Em muitas organizações é comum que alguns acessos sejam liberados e bloqueados globalmente, isso quer dizer que vale absolutamente para todos os computadores e usuários. Essa é uma medida interessante e também muito comum, pois permite que endereços conhecidos sejam classificados, sem necessidade de estarem repetidos para cada setor ou usuário, por exemplo.
Neste caso, geralmente coloca-se uma lista mínima de endereços liberados, que não oferecem riscos ou desconformidade com a política de acessos e outra com conteúdo que devem ser bloqueados, por que jamais farão sentido de serem acessados dentro do ambiente empresarial.
Se eventualmente alguém ou setor precisar acessar um determinado site que esteja nessa estrutura, então o mesmo deverá ser retirado globalmente, e replicado para os setores que precisam de tal acesso.
Permissões de acesso setoriais e individuais
Dependendo do tamanho da empresa, há uma diferenciação muito clara das necessidades dos acessos entre os setores, e até mesmo entre algumas pessoas, geralmente em cargos mais altos.
Nestes casos, é comum que existam as permissões de acesso globais, mas há um desdobramento das políticas para os setores, deixando o acesso mais personalizado e coerente com as atividades do mesmo.
Esse conceito de regras de acesso baseadas em setores ou pessoas/computadores pode também ser implantada com níveis de acesso, que independe do setor, mas está vinculada a perfis de acesso padrões que são criados.
Por exemplo, pode-se ter um Nível0 que tem acesso irrestrito a qualquer conteúdo, Nível1 que tem acesso a tudo, exceto uma lista de sites proibidos, Nível2 que não tem acesso a nada, exceto lista de sites permitidos, entre outros. Assim, ao invés de trabalhar por setor, pode-se vincular grupos ou usuários/computadores para os níveis, o que reduz consideravelmente a complexidade de gestão das políticas de acesso.
Essa granularidade é extremamente importante por que garante atender, com segurança, necessidades de acesso diferentes, baseada em setor ou em níveis de acesso.
Bases de dados de sites – categorias
Um aditivo interessante em muitas soluções de proxy é o que chama-se de categorias de sites, geralmente uma base de dados grande, que contém os sites organizados por categorias de interesse (entretenimento, notícias, jogos, etc.).
Esse recurso facilita muito a definição das políticas de acesso por interesse. Por exemplo, colaboradores do setor de marketing da empresa podem ter os acessos liberados apenas para as categorias de conteúdo relacionadas ao setor. Colaboradores do setor financeiro, podem ter acesso somente as categorias de bancos e assuntos relacionados.
Proxies que possuem categorização de sites pré-definidas, em que a base seja de qualidade, facilita muito a criação das políticas de acesso respeitando interesse da empresa e dos usuários.
Auditoria de política e relatórios de acesso do proxy server
Muitas vezes negligenciado, mas é importante auditar a política de acessos com regularidade, especialmente se houver mais de uma pessoa ou time responsável por gerenciar o proxy. Isso garantirá a conformidade da política com o que de fato está rodando no proxy. Em muitas situações as regras são criadas e alteradas, sem qualquer compliance com a política, cuide com isso!
Outro aspecto importante de sucesso para a implantação de uma política altamente eficiente é acompanhar os acessos dos usuários e validar se estão em conformidade com a política. Diversas soluções oferecem relatórios automatizados que podem ser enviados por e-mail, para gerentes de setor e similares.
Isso descentraliza do setor de tecnologia a responsabilidade de auditar os acessos, e ter uma política sem que haja auditoria ou acompanhamento dos acessos, pode ser uma visão míope de que o ambiente de fato está seguro.
Converse com os usuários
Um dos aspectos mais importantes da construção e manutenção de uma política de acessos é dialogar com os colaboradores e conscientizá-los da importância. É necessário tirar o estigma de que esse tipo de ação serve somente para restringir acessos. Participando desse processo, os usuários tomam mais consciência e conhecimento, e ajudam verdadeiramente a organização.
Existem segmentos de mercado que não podem flexibilizar suas políticas, por que tratam com informações muito sensíveis. Nestes casos, a política precisa ser mais rígida por uma natureza do negócio. No entanto, a maioria dos segmentos permitem flexibilidades sem perder o nível de segurança.
Conversar com os usuários, criar políticas internas de conscientização de segurança, são pontos fundamentais para complementar o lado técnico de qualquer solução. O lado humano é sempre um elo fraco, por conta disso é importante treiná-los.
Como relatado no início deste post, não há uma política de acessos padrão que encaixe para todos os negócios, neste post trouxemos alguns pontos de reflexão que servem para que você crie a política mais eficiente para o seu negócio.
This post is also available in: Português English Español