Segurança no ambiente de testes
Segurança na manutenção
A manutenção de um computador jamais deve ser realizada no ambiente de produção. Se isso acontecer, ela irá despertar a curiosidade dos funcionários, atrapalhando o fluxo de trabalho. Além disso, corre-se o risco de alguém ver alguma senha ou informação confidencial.
Independente se o problema seja apenas um programa que necessite de ser reinstalado ou um pente de memória que precisa ser substituído, o melhor a fazer é retirar a máquina do ambiente de produção e leva-la a um laboratório em separado para que o reparo seja feiro.
A maioria dos computadores atuais possui uma partição de recuperação a qual permite recuperar o sistema de fábrica em poucos minutos. A menos que sua empresa tenha substituído o sistema padrão, mantenha essa partição intacta, pois ela facilitará seu trabalho. Mantenha, também, um compartilhamento de rede oculto, protegido por senha, com a cópia dos discos, instaladores ou drivers que deverão ser instalados no sistema. Tenha certeza de que só o pessoal do departamento de TI tenha acesso àquele compartilhamento e, se possível, configure-o como somente leitura.
Mantenha uma ata ou relatório onde você registrará todos os computadores que precisarem de manutenção. Anote o nome do computador na rede, a data e a hora do início da manutenção, o problema apresentado, a solução tomada e a data e a hora do fim do procedimento.
Além de tudo isso, é imperativo que você disponha de uma pequena quantidade de computadores reserva e de peças sobressalentes. O motivo é simples: se um computador falhar, você poderá rapidamente substituí-lo ou consertá-lo sem ter de prejudicar o fluxo normal de trabalho porque espera o fornecedor do micro vir recolhê-lo ou o motoboy entregar aquele disco rígido.
Segurança no servidor
A maioria das pequenas empresas simplesmente conecta os computadores em um hub e compartilha a internet neles, colocando-os no mesmo grupo de trabalho. Embora esse procedimento seja o que menos necessite de manutenção, é o mais inseguro, pois como foi dito anteriormente, qualquer outro computador que entrar na rede poderá se inserir nesse grupo de trabalho, além do fato de que os arquivos importantes poderão ficar espalhados em várias máquinas.
O melhor a fazer é implementar um controlador de domínio. Esse servidor garantirá a segurança da rede ao autenticar os usuários através de uma senha e centralizará os recursos: cada usuário terá uma pasta pessoal nesse servidor que se tornará sua unidade de rede (H: ou Z:) e todos os seus arquivos produzidos ficarão em um único lugar.
É claro que essa centralização tem seu preço e uma das primeiras medidas a implementar é um servidor de backup que fará cópias dos conteúdos produzidos. É imperativo que os backups não sejam armazenados no mesmo servidor principal (basta lembrar o que ocorreu com o migre.me em Setembro de 2010 para descobrir o porquê).
Além disso, a sala onde fica o servidor deverá, necessariamente, ficar separada do ambiente de testes e - principalmente - do ambiente de produção. O acesso a esta sala deverá ser restrito ao pessoal autorizado e ela deverá (conforme os recursos financeiros assim o permitirem) ser protegida contra inundações, incêndios e choques elétricos.
Segurança na implementação de atualizações e correções
Embora seja amplamente divulgado que as atualizações de segurança corrijam erros do software, na prática elas costumam, vez que outra, causar algum transtorno. Em meados de 2006, por exemplo, uma correção lançada pela Microsoft fez com que as impressoras HP conectadas ao micro que recebesse o patch parassem de funcionar. Imagine o que teria acontecido se um desavisado administrador instalasse essa atualização em uma empresa que sobrevive praticamente de impressões, como um escritório de advocacia?
Por isso, é importante que no ambiente de testes você tenha uma réplica em miniatura da rede da sua empresa com alguns dos periféricos usados no ambiente de produção e teste se, após a aplicação de determinada atualização, tudo continuará funcionando normalmente.
Operações que envolvam mudanças em hardware ou paralisação de serviços de rede devem ser feitas preferencialmente fora do horário de expediente e, mesmo assim, você deve avisar os funcionários do procedimento que será feito para não pegar ninguém de surpresa. Por mais que adicionar um novo pente de memória no servidor principal seja uma tarefa simples, sempre há o perigo de algo sair errado. Assim, envie um e-mail ou mensagem aos funcionários um dia antes da operação explicando o que será feito e que, por causa disso, alguns serviços de rede poderão ficar indisponíveis por determinados instantes. Quando a operação terminar, envie outra mensagem explicando que a mesma foi concluída com sucesso ou que houve imprevistos indicando quando ela será realizada novamente e como isso afeta os empregados.
Segurança de Proxy
Ter um proxy de rede é praticamente obrigatório se sua rede tem algumas dezenas de computadores. Tanto o Squid quando o ISA Server, além de filtrar o conteúdo, aceleram a navegação ao criarem um cache das páginas visitadas.
É recomendável que seu proxy seja transparente, pois isso evitará a necessidade de se configurar cada estação manualmente e a possibilidade de um espertinho o desativar através das configurações do navegador utilizado.
Há duas alternativas no tocante ao proxy: você pode bloquear todos os sites e liberar apenas uma lista - o que é interessante para setores chave como a contabilidade - ou liberar tudo e bloquear uma lista, o que é mais comum e mais difícil de vigiar.
De imediato, a menos que sua empresa trabalhe com mídias sociais, você deve bloquear o acesso a sites como Twitter, Facebook e Orkut, pois, além de dispersar a atenção do empregado, este poderá vazar informações confidenciais nestas redes de forma voluntária ou involuntária. Sites como Megaupload e Rapidshare também devem estar na lista negra, assim como sites pornográficos e o MSN.
Os dois proxies citados acima permitem, também, bloquear downloads de extensões de arquivos. Nomes conhecidos como MP3, AVI e RMVB devem ir para a lista negra. Se sua rede usa Windows, bloqueie também extensões como EXE, PIF, BAT, SCR, VBS e CMD, que são as principais utilizadas pelos vírus. Não se esqueça de também bloquear o acesso aos sites de web proxy mais conhecidos, como Anonymouse e HideMyAss.
Caso você não tenha condições de implementar um servidor de proxy, o OpenDNS oferece um serviço gratuito e similar que, na prática, tem o mesmo efeito.
Segurança no desligamento de pessoal
Os desligamentos ocorrem pelas mais variadas razões, desde empregados que estão se aposentando ou mudando de emprego até aqueles que são demitidos por conduta imprópria. Seja o desligamento amigável ou não, você deve ter certeza de que todas as credenciais e logins do empregado que está deixando a firma sejam totalmente bloqueadas antes mesmo de ele sair do prédio. Um empregado demitido enfurecido é capaz de criar um desastre. De forma similar, bloqueie os acessos dos empregados que estiverem de férias ou de licença para evitar utilização indevida de suas contas durante esse período.
Assinar:
Postar comentários (Atom)
Nenhum comentário:
Postar um comentário