7 de jul de 2010

Pessoas e a segurança de redes

A internet comercial iniciou no Brasil por volta de 1995[1], então podemos dizer que tudo é relativamente novo (ou velho dependendo do referencial). Como no mundo da programação, vivemos como surfando em uma onda, ora uma tecnlogia, ora outra. O ponto central, as pessoas, chegam na rede da empresa, em casa ou em ambientes wireless e querem se conectar. Não se preocupam com segurança, que existem virus, spyware, keyloggers, e outras pragas virtuais, ou ainda, que existe uma extrutura de rede, ativos como switchs, roteadores, firewalls, que existe limitanção de banda pra citar somente os itens mais comuns em uma rede.

Então um dos primeiro conceitos sobre segurança que os adminstradores de redes (Sysadmin) tentam colocar é: "Segurança não é um produto e sim um processo". E isto leva (ou deveria levar) a um questionamento pelos administradores de empresas: será que meu sistema de rede é protegido? Para isso a resposta é: "depende"! Antivírus não garantem segurança ao contrário, pode ser um cheque pré-datado  que teremos que pagar no futuro. O mesmo vale para sistemas computacionais de código fechado o qual não temos controle, mesmo que todas as normas de segurança sejam seguidas, incluindo bloqueio de autorun, leitura de pen drives, limitação do usuário quanto aos direitos administrativos etc. Isto, certamente, vai colocar as pessoas que usam os equipamentos em situação de total falta de conforto, já que nem mesmo uma proteção de tela conseguiram alterar (e como isso é doloroso para elas). Afinal, o desejo de todo usuário é usar os computadores corporativos como se fossem uma grande lan house!

Em aulas de segurança, aprendemos (ou ensinamos) que o elo mais fraco em uma política de segurança é o usuário (ou client de rede), para ele tudo tem que ser mágico, a rede não pode ter bloqueios de redes sociais durante o expediente, o comunicador instantâneo tem que ser liberado e de preferência, que ainda possa instalar uns "programinhas" pra melhorar seu desempenho profissional.

Um estudo feito pelo CETIC.Br[2], mostra que o maior uso de computadores (89%) esta destinado à comunicação, 88% à lazer, 87% busca de informações e serviços on-line, 73% treinamento e educação e 18% banking. Pelos números, podemos perceber que a parcela de pessoas que utilizam a ferramenta como trabalho e educação representa pouco em relação aos demais, e dentro disso, está acesso à sites não autorizados, cópia ilegal de programas e enfase à troca de dados peer-to-peer (troca de músicas, filmes etc).

Então pense de qual lado devem estar as decisões relacionados à segurança de uma rede de computadores?

[1] Sobre Cgi.br
[2] Sobre Cetic.br