Currículo
- 4 Sections
- 8 Lessons
- 12 Hours
- Noções básicas de segurança de rede para PME e a sua importância na era digital3
- Possíveis riscos e recomendações sobre a atenuação dos riscos relacionados com a segurança de rede3
- Integração dos cuidados de segurança de rede nos planos de negócio e nas estruturas3
- Leituras adicionais2
Curriculum
Fundamentos e base teórica
A seguraça de rede
A segurança de rede é uma atividade fundamental que salvaguarda a integridade e a usabilidade de uma rede e dos dados, abrangendo tecnologias de hardware e software. A segurança das redes é crucial para as PME, uma vez que dependem cada vez mais de tecnologias e plataformas online interligadas.
Implica várias camadas de defesa e a implementação de políticas e controlos para restringir o acesso aos recursos da rede e impedir que agentes mal-intencionados os explorem. Também envolve práticas, políticas e tecnologias projetadas para proteger dados, sistemas e infraestrutura contra acesso não autorizado, ataques e interrupções. Tal é particularmente importante no mundo digital de hoje, onde a digitalização transformou as nossas vidas, trabalho e aprendizagem. A segurança de rede não só protege as informações, mas também protege a reputação de uma organização.
A segurança de rede corresponde à proteção contra falha, uso indevido, destruição, modificação, acesso não autorizado, etc. da infraestrutura de rede. Permite que a tomada de medidas preventivas para proteger contra tais situações. Quando carrega os seus dados na internet, pode achar que é seguro, mas os hackers podem violá-los, tirar informações confidenciais ou causar danos financeiros. Precisa, portanto, de proteger a sua rede. É uma parte importante da cibersegurança. Ajuda a proteger a sua rede e os dados nela armazenados contra violações, intrusões de software e hardware e muito mais. Pode definir-se como um conjunto de regras, regulamentos e configurações importantes com base nas ameaças, uso da rede, acessibilidade e segurança completa contra ameaças.
Tipos de topologias de rede
Existem várias maneiras pelas quais os distintos componentes de uma rede de computadores podem ser unidos uns aos outros. A estrutura e as conexões entre esses elementos são definidas pela topologia de rede. Antes de aprofundarmos a questão da segurança de rede, podem ser apresentados exemplos de topologias de rede que podem ser utilizadas nas PME. A disposição de uma rede que compreende nós e linhas de conexão via emissor e recetor é referida como topologia de rede.
As várias topologias de rede são:
- -topologia em barramento: conecta cada computador e dispositivo de rede a um único fio;
- -topologia em anel: une dispositivos que têm dois vizinhos;
- -topologia em malha: cada dispositivo é conectado a outro dispositivo, através de um canal específico;
- -topologia em estrela: todos os dispositivos são conectados a um único hub, através de um cabo;
- -topologia em árvore: o fluxo de dados é hierárquico;
- -topologia híbrida: é a combinação de todos os vários tipos de topologias descritos.
Em termos de desempenho, escalabilidade, confiabilidade e segurança, cada topologia tem prós e contras.
Uma topologia em estrela, por exemplo, é simples de configurar e manter, mas depende de um único dispositivo, que pode falhar. Embora uma topologia de malha seja forte e segura, pode ser mais dispendiosa e complexa, porque precisa de mais conexões e dispositivos. Recomenda-se, por isso, selecionar uma topologia que esteja alinhada com os objetivos e requisitos da rede. Uma topologia de rede segura usa switches, roteadores e firewalls para fortalecer o perímetro da rede, reduzindo a possibilidade de ataques cibernéticos, acesso ilegal e violações de dados.
A norma ISO/IEC 27001 é a mais conhecida para Sistemas de Gestão de Segurança da Informação (SGSI).
Define os requisitos que um SGSI deve cumprir e fornece às empresas de qualquer tamanho e de todos os setores de atividade orientações para estabelecer, implementar, manter e melhorar continuamente um SGSI. Em relação à segurança de rede, existem 14 domínios listados no Anexo A da ISO 27001. A estrutura fornecida engloba uma abordagem abrangente à segurança da informação dentro de uma organização, abarcando vários processos críticos. A estrutura abrange uma abordagem holística à segurança da informação dentro de uma organização, com processos-chave, desde a formulação de políticas de segurança da informação e da estrutura da organização até a segurança de recursos humanos e gestão de ativos. O controlo de acesso e o uso de encriptação desempenham papéis vitais na proteção de informações confidenciais, enquanto se enaltece a segurança física e ambiental. A segurança operacional é central também, garantindo que os processos do dia a dia estão alinhados com os objetivos de segurança. A estrutura estende-se à segurança das comunicações, aquisição e desenvolvimento de sistemas seguros e gestão de relações com os fornecedores. Também aborda a gestão de incidentes de segurança da informação e sua integração com a continuidade de negócios. Juntos, esses processos criam uma estratégia abrangente para melhorar a resiliência de uma organização contra potenciais ameaças à segurança.
Também é interessante mencionar que a ISO/IEC 27033-1:2015 fornece uma visão geral da segurança de rede e definições relacionadas. Define e descreve os conceitos associados à segurança de rede e fornece orientações de gestão sobre a mesma. A segurança de rede aplica-se à segurança dos dispositivos, à segurança das atividades de gestão relacionadas com os dispositivos, aplicações/serviços e utilizadores finais, para além da segurança das informações transferidas através das ligações de comunicação.
Esta norma é relevante para qualquer pessoa envolvida na propriedade, operação ou utilização de uma rede, como gestores seniores e outros ou utilizadores não técnicos, além de gestores e administradores que têm responsabilidades específicas pela segurança da informação e/ou de rede, operação de rede ou que são responsáveis pelo programa de segurança geral de uma organização e pelo desenvolvimento de políticas de segurança. Também interessa a qualquer pessoa envolvida no planeamento, projeto e implementação dos aspetos arquitetónicos da segurança de rede.
Segurança de senha forte, política de confiança mínima, encriptação e implementação de patches de sistema operacional e de aplicações devem ser assegurados para reduzir os ataques de acesso. Um número surpreendente de ataques de acesso é realizado pelo simples acesso através da violação da integridade de uma senha.
Para se defender contra isso, deve ser criada e implementada uma política de autenticação forte. O uso de senhas fortes é crucial para proteger os dispositivos de rede. Algumas diretrizes recomendadas:
- utilize uma senha com, pelo menos, 8 carateres; de preferência, com 10 ou mais, para maior segurança;
- complexifique as senhas, incorporando uma mistura de letras maiúsculas e minúsculas, números, símbolos e espaços, se possível;
- evite informações facilmente identificáveis, como palavras comuns, sequências de letras ou números, nomes de utilizadores, nomes de parentes ou animais de estimação, datas de nascimento, números de identificação, nomes de família ou outros detalhes biográficos facilmente reconhecíveis;
- escreva intencionalmente uma palavra-passe errada, por exemplo, Smith (Smyth, 5mYth), ou Security (5ecur1ty);
- altere as senhas regularmente para limitar a janela de oportunidade para os agentes de ameaças no caso de uma senha ser comprometida;
- evite escrever senhas ou deixá-las visíveis, como sendo em mesas ou em monitores;
- use a barra de espaço e forme uma palavra-passe composta por várias palavras: uma frase secreta, que muitas vezes é mais fácil de lembrar do que uma simples senha e normalmente é mais longa e mais difícil de adivinhar.
Veja o vídeo: arquitetura de cibersegurança: cinco princípios a seguir (e um a evitar) [disponível em inglês]:
Segurança do website
A segurança dos websites é mais importante do que nunca, num contexto em que as empresas se estão a digitalizar. Os servidores, que hospedam os dados e outros conteúdos disponíveis para seus clientes na internet, são geralmente os componentes mais visados e atacados da rede de uma empresa. Os criminosos estão constantemente à procura de sites indevidamente protegidos para atacar, enquanto muitos clientes dizem precisamente que a segurança do site é uma das principais considerações quando escolhem fazer compras online. Como resultado, é essencial proteger os servidores e a infraestrutura de rede que os suporta. As consequências de uma violação de segurança são grandes: perda de receitas, danos à credibilidade, responsabilidade legal e perda de confiança do cliente.
As PME podem tomar várias medidas para melhorar a segurança do seu website e salvaguardar informações sensíveis. Em primeiro lugar, é essencial implementar medidas de cibersegurança robustas e atualizadas, como firewalls e sistemas de deteção de intrusão. A atualização e correção regular de software e aplicações dos sites ajuda a resolver vulnerabilidades e possíveis explorações. A utilização de conexões seguras e encriptadas (HTTPS) é crucial para proteger os dados durante a sua transmissão. Além disso, a imposição de mecanismos de autenticação forte, incluindo a autenticação multifator, adiciona uma camada extra de defesa contra o acesso não autorizado. A realização regular de auditorias de segurança e avaliações de vulnerabilidade, ajuda a identificar e mitigar ameaças potenciais. Formar os trabalhadores sobre as boas práticas de cibersegurança e promover uma cultura de consciencialização de segurança dentro da organização também é vital. Finalmente, estabelecer um plano de contingência para resposta a incidentes e fazer backup regular dos dados do site garante uma recuperação rápida no caso de uma violação de segurança. Ao adotar uma abordagem abrangente à segurança dos websites, as PME podem reduzir significativamente o risco de ciberameaças e reforçar a sua presença online.