Por Joaquim Pereira em 9 de Abril de 2014

A segurança da rede é um dos maiores desafios, nos dias de hoje, para os administradores de TI e para os Gestores de Segurança da Informação. São muitas as ferramentas, as tecnologias, as abordagens e os fornecedores de serviços de TI tentando definir um “padrão” de como fazer a gestão da segurança da rede.

A Gestão de Segurança da Rede é uma das muitas preocupações dos CISO, CTO e dos Gestores de Segurança da Informação. Alguns seleccionam as soluções técnicas que os fornecedores de hardware e software desejam vender e que, segundo eles, são as melhores. Outros fornecedores, os “peixes graúdos”, fornecem mesmo alguma orientação e, recentemente começam a incluir algumas das melhores práticas nas suas ferramentas, fornecendo assim um valor acrescentado aos seus clientes.

Qualquer que seja a ferramenta, ou técnica ou fornecedor que seleccionar, a maior preocupação sobre a gestão da segurança da rede não deve ser tanto se está a usar a melhor ferramenta, mas sim se está a usar a melhor ou mais reconhecida abordagem e orientação, que lhe permita obter as orientações necessárias para garantir uma gestão eficaz e eficiente da segurança da sua rede.

Uma vez mais, a ISO/IEC 27001, com o apoio da ISO/IEC 27002 e suportada pelas várias partes da norma ISO 27033, fornece-lhe a orientação necessária para gerenciar a segurança da rede, de acordo com as melhores práticas internacionais.

No Anexo A da ISO/IEC 27001, a cláusula A13 Rede de Gestão de Segurança, tem como objectivo o de garantir a protecção da informação em redes e nas suas instalações de suporte ao processamento de informação. Com base na ISO/IEC 27001, podem ser utilizados os controlos, A.13.1.1 Controlos de redes; A.13.1.2 Segurança de serviços de rede; e A.13.1.3 Segregação de redes.

Ciente da necessidade de existir um suporte adicional, para além das orientações já existentes na norma ISO 27002, a ISO publicou a primeira parte da norma ISO/IEC 27033-1, em 2009 – Information technology — Security techniques — Network security — Part 1: Overview and concepts. Actualmente, esta parte da norma encontra-se em processo de revisão de modo a que possa ser alinhada com a recente actualização da norma ISO/IEC 27001:2013.

Toda a família é suportada por cinco partes,

  • ISO/IEC 27033-1:2009 — Network security — Part 1: Overview and concepts
  • ISO/IEC 27033-2:2012 — Network security — Part 2: Guidelines for the design and implementation of network security
  • ISO/IEC 27033-3:2010 — Network security — Part 3: Reference networking scenarios — Threats, design techniques and control issues
  • ISO/IEC 27033-4:2014 — Network security — Part 4: Securing communications between networks using security gateways
  • ISO/IEC 27033-5:2013 — Network security — Part 5: Securing communications across networks using Virtual Private Networks (VPNs)
  • E, em desenvolvimento, a ISO/IEC CD 27033-6 — Network security — Part 6: Securing wireless IP network access

Agora, já tem ao dispor uma família completa que lhe fornece as boas práticas sobre a gestão de segurança na rede e que pode ser utilizada para suportar a implementação do seu SGSI ISO/IEC 27001, ou mesmo utilizada como uma referência independente.

Bom Trabalho ISO!

Posted in: Segurança.
Last Modified: Março 1, 2016