A Informação é atualmente o recurso mais valioso de uma empresa e garantir a sua segurança é uma atividade crítica e essencial para alcance do sucesso nos negócios de qualquer organização. Gerir ativos, informações, recursos e usuários de forma confiável, íntegra, estruturada e sustentável é, certamente, um importante diferencial competitivo, que demonstra ao mercado a preocupação da empresa em manter a confidencialidade, integridade e disponibilidade de suas informações.

Implementar diversos mecanismos de segurança, tais como Firewall, IDS, VPN, Sistema de Monitoramento com o objetivo de proteger a sua informação de forma proativa, não apenas dificulta ao máximo atividades não-autorizadas na rede como também identifica e registra quaisquer ocorrências que violem uma política de uso aceitável. Porém a implementação por si só não é suficiente. Tem que haver um acompanhamento contínuo, um gerenciamento controlado e centralizado destes mecanismos. É necessário que haja uma auditoria periódica em seus sistemas para avaliar se eles estão funcionando como deveriam.

O documento do NIST denominado "Guideline Network Test Security" enumera alguns dos principais testes de segurança que devemos realizar em nossa infra-estrutura e até mesmo sugere um plano definido de periodicidade de cada teste.

Dentre os testes mais importantes, podemos citar:

• Varredura de Rede


• Varredura de Vulnerabilidades


• Auditoria de Senhas


• Análise de Registros(logs)


• Verificação de integridade


• Teste de redes Wirelles


• Teste de Invasão

Existem uma série de ferramentas FOSS (sigla em inglês: Free and Open Source Software), que estão disponíveis em grande quantidade e com qualidade de recursos que nos possibilitam a realização de Teste de Segurança permitindo que seja avaliado servidores e até mesmo uma rede por completo. Porém para obter os melhores resultados, é necessário que seja feito por um profissional qualificado.

Dentre os teste sugeridos o Teste de Invasão merece um maoir destaque, pois algumas normas internacionais como SoX e PCI-DSS estão exigindo estes testes em sua adequação. Além disso ele é aplicado por muitas empresas quase sempre de forma errônea, sem agregar o devido valor a organização.

Teste de invasão são simulações controladas de um ataque real a uma rede, sistema ou ferramenta, visando avaliar a segurança do mesmo. Aqui na Clavis, elaboramos uma árvore de ataque e metodologias pré-definidas para cada tipo de Teste de Invasão, sempre focando no produto final(relatório + planejamento estratégico). Seguimos os padrões internacionais de Testes de Invasão, como a prória NIST 800-42, OWASP, OSSTMM e ISSAF/PTF.

A OSSTMM - Open Source Security Testing Methodology Manual tem como objetivo esclarecer os métodos e os resultados dos testes de segurança e assim permitir uma decisão mais eficiente para qualquer modelo de negócio.Ele incide sobre os detalhes técnicos de quais itens precisam ser testado, o que fazer antes, durante e depois de cada teste. Além disso ele oferece métricas para medir os resultados.

Em suma, mais do que proteger a sua infraestrutura com a implementação de mecanismos apropriados é extremamente importante que todo o seu perímetro seja testado e auditado. Desta forma você terá noites bem melhores de sono.

Em tempo:

Após 3 dias consecutivos do curso "Proteção de Perímetro I", ocorrido durante o IV SegInfo, estou aqui para informar que o curso, apesar de intenso e puxado, foi bem proveitoso e todos os alunos sairam bem satisfeitos. Aguardo vocês então, no curso "Proteção de Perímetro II" que ocorrerá aos sábados, a partir do dia 15/08.