 | Revisitando as Leis Imutáveis da Segurança
Em novembro de 2000, Scott Culp da Microsoft redigiu o que ele chamou de
10 Leis Imutáveis da Segurança (consulte
Recursos para obter um link).
Há duas versões destas leis: uma para usuários e uma para administradores de sistema. Ao longo
dos anos, estas leis têm sido revisadas e desprezadas por pessoas no
segmento de mercado de segurança. Apesar de algumas críticas negativas,
as 10 leis para administradores podem servir como uma base excelente para
proteger qualquer sistema se aplicadas corretamente.
Primeiro, a seguinte lei é aplicável a práticas gerais de segurança:
A segurança só funciona se a maneira segura também for a maneira fácil.
Esta é a lei mais importante para qualquer administrador do sistema. Se
uma política de segurança é tão firme que as pessoas não conseguem
realizar suas tarefas, elas encontrarão maneiras de evitar a segurança
estabelecida, algumas vezes criando uma maior vulnerabilidade do que a
política que foi estabelecida para evitar. O melhor exemplo está relacionado
às senhas. Senhas fortes devem fazer parte de qualquer política de segurança,
mas algumas vezes, as políticas vão longe demais. Exigir que os usuários se
lembrem de uma senha que tenha 15 caracteres e que consista em letras maiúsculas,
letras minúsculas, números e símbolos é pedir que uma alta porcentagem de usuários
escreva sua senha em um post-it e coloque-o em seu monitor.
Quatro das leis de Culp aplicam-se diretamente ao material coberto neste
tutorial:
- Se você não se mantiver atualizado em relação às correções de
segurança, sua rede não será sua por muito tempo. Os hackers
descobrem vulnerabilidades todos os dias.
Como um administrador do sistema, você precisa ter certeza de que
o seu sistema está atualizado. Mas isto o leva até uma diferença
entre proteger um desktop e proteger um servidor. Em geral, as
atualizações para o desktop do GNU/Linux devem ser instaladas
quando elas são publicadas. Quando você está lidando com o servidor,
deve testá-lo em um ambiente de servidor de pesquisa ou desenvolvimento,
para ter certeza de que a correção não interfira nas operações do
servidor ou dos usuários.
- A vigilância eterna é o preço da segurança. Em um esforço
para ter certeza de que seu servidor GNU/Linux está seguro, você
deve verificar os logs constantemente, aplicar correções de segurança
e acompanhar alertas.
A vigilância é o que mantém seu sistema seguro.
- A segurança não está relacionada a evitar riscos; ela está
relacionada ao gerenciamento de risco. Fatos acontecem. Pode
haver uma epidemia de malware ou seu Web site pode ser atacado.
Ou pode acontecer algo completamente fora do seu controle, tal
como um desastre natural. Uma hora ou outra, a segurança do
seu sistema será testada. Certifique-se de ter feito todo o possível
para proteger seu sistema e de lidar com a ameaça de uma forma que
mantenha seu servidor e recursos disponíveis para os usuários que
contam com eles.
- A tecnologia não é um remédio capaz de curar todas as doenças.
Se há uma lei que todos aqueles que trabalham com tecnologia devem
conhecer, é esta.
Simplesmente lançar mais tecnologia no problema de segurança não o
resolverá. A vigilância por parte do administrador do sistema, a
adesão por parte do gerenciamento e a aceitação por parte dos
usuários devem ser estabelecidas para que uma política de segurança
funcione de maneira efetiva.
 |
| |
