Image Image Image Image Image
Scroll to Top

Topo

Segurança

27

abr
2012

Sem Comentários

Em Blog
Segurança

Por Allison

Faça de forma simples a segurança da informação

Em 27, abr 2012 | Sem Comentários | Em Blog, Segurança | Por Allison

Fonte: Edison Fontes/IMasters

KISS – Keep it simple, stupid! => Faça simples, estúpido!

Há muito tempo, ouvi essa brincadeira, que, apesar de ser brincadeira, tem uma mensagem excelente: “faça as coisas de uma maneira simples”. E fazer as coisas de uma maneira simples exige muito conhecimento, experiência e visão prática, mesmo baseada em uma teoria complicada.

Assistindo ao telejornal, um pesquisador da EMBRAPA falou mais ou menos isto: o problema acerca da água é complexo, mas precisamos de soluções simples. Cada vez mais, estou seguindo linha de pensamento: se algo merece ser feito, merece ser bem feito e também merece ser feito de forma simples.

No assunto segurança da informação, entendo que existem várias armadilhas nas quais costumamos cair e que tornam as soluções complexas. Gostaria de compartilhar algumas:

Tratar a segurança sem escopo, limites e cenários

A segurança da informação envolve muitos aspectos – desde os mais técnicos até os relacionados à pessoa humana. Qualquer projeto ou conjunto de ações em segurança da informação precisa ser desenvolvido considerando um ambiente: escopo, limites e cenários. É necessário ficar claro que as atividades previstas e os objetivos definidos são válidos para o ambiente considerado. Na medida em que a organização aumenta sua maturidade em segurança, ela pode expandir e aumentar a complexidade desse ambiente.

Uma coisa é uma coisa, outra coisa é outra coisa

Brincadeiras à parte, somos facilmente levados a querer consertar a organização por causa do processo de segurança da informação. Um exemplo: se a organização tem um péssimo clima organizacional, evidentemente isso vai dificultar o processo de segurança, e o gestor de segurança deve estar atento. Porém, não é responsabilidade da área de segurança da informação cuidar do clima organizacional. Isso é um problema de Recursos Humanos. A gestão da organização é ruim? Que chato! E isso vai dificultar o processo de segurança da informação, mas esse é um problema organizacional, é um problema do gestor maior da organização.

O foco deve ser os objetivos da organização

A segurança da informação existe para que a organização funcione adequadamente no que diz respeito à informação e aos recursos de informação. Não se faz recuperação de energia pela recuperação da energia. Se faz a recuperação de energia porque a organização precisa acessar a informação que está em recursos de informação, que para funcionar precisam de energia elétrica. Todos, e eu digo todos, os projetos e os conjuntos de ações só devem existir para possibilitar o funcionamento da organização.

Comunicação simples

A comunicação da segurança da informação realizada por políticas, normas, procedimentos e material de conscientização precisa ser simples, direta e de fácil entendimento. Aquilo que for obrigatório tem que ser colocado como mandatório. Não podemos ter frases como: O guarda prendeu o ladrão na casa dele. Na casa do guarda, ou na casa do ladrão?

Se a Organização não quer segurança, não teremos segurança

Esta é a parte mais difícil para os gestores de segurança, que são funcionários da organização. Muitas organizações não querem levar a segurança a sério, não querem gastar recursos e passam, por exemplo, dez anos com uma cadeira de brinquedo do parque de diversão quebrada e não tomam providencia. Ou como no desastre da Estação Brasileira na Antártida: vamos ver se os pesquisadores tinham cópia de segurança nos seus notebooks. Essas empresas ou projetos não levam a segurança a sério, e essa é uma responsabilidade da gestão executiva. Para o gestor de segurança, fica uma situação muito difícil. O que você pode fazer é deixar essa organização, porque, no momento dos problemas, vão querer incriminá-lo.

Existem muitas armadilhas, cuidado! Uma das estratégias que sigo e com a qual obtenho bons resultados é fazer as coisas de forma simples, mas com muito conhecimento.

Lembre-se: KISS!

Tags | , ,

09

mar
2012

Sem Comentários

Em Blog
Segurança
Wordpress

Por Allison

Dicas para tornar o WordPress mais seguro contra Invasões

Em 09, mar 2012 | Sem Comentários | Em Blog, Segurança, Wordpress | Por Allison

Fonte: Celso Lemes/CriarSites

Todos os sites e blogs presentes na Internet estão suscetíveis a ataques hackers. Na maioria dos casos o invasor apenas desconfigura o blog ou adiciona links no template na tentativa de ganhar visitantes ou melhorar seu posicionamento no Google, o que pode levar o blog invadido a ser penalizado pelos buscadores caso o link seja suspeito. Em casos extremos o invasor pode até apagar dados, fazendo com que o blog deixe de funcionar.

Por isso é necessário realizar uma prevenção periódica de forma a manter o blog e o servidor o mais seguro possível.

Lembrando que mesmo com todas as dicas abaixo, seu blog não estará 100% seguro, portanto é essencial que você tenha em mãos cópias de seus arquivos e do banco de dados para recuperar seu blog.

1) Atualize o WordPress e Plugins

Tanto o sistema do WordPress quanto os plugins sofrem atualizações que adicionam nova funcionalidade e também fecha brechas de seguranças que poderiam ser utilizados pelos invasores para ter controle do blog. Por isso é muito importante manter o blog atualizado de forma a evitar que eles se aproveitem das vulnerabilidades.

2) Proteja a pasta plugins com um arquivo index.html limpo

Quando uma pessoa tenta acessar uma pasta no servidor e este não possui um arquivo index, dependendo do caso, ela pode visualizar todos os arquivos e pastas presentes, o que permitiria que o invasor descubra por exemplo, todos os plugins instalados no blog e que utilize uma brecha presente em algum deles.

Para resolver este problema, você pode criar um arquivo index.html em branco mesmo e publicar dentro da pasta wp-content/plugins. Isso exibirá uma página em branco para todas as pessoas que tentarem acessar a pasta de plugins de seu blog.

Se não souber como criar o arquivo index.html, clique com o botão direito aqui e salve o arquivo em seu computador.

3) Apague a tag que informa a versão do seu WordPress

Como citado anteriormente, os invasores podem explorar brechas conhecidas no WordPress para invadir um blog, mas para fazer isso é necessário que ele saiba exatamente qual a versão do WordPress instalado.

Acontece que por padrão, os templates para o WordPress informam a versão do WordPress instalado, o que facilita o trabalho dos invasores. Para contornar este problema, você pode apagar do template, a tag que exibe a versão do WordPress.

Para fazer isso, basta que você acesse o painel de controle do WordPress, clique na aba “Aparência”, em “Editor” e selecione o arquivo header.php (cabeçalho) de seu atual template. Em seguida apague a seguinte linha.

<meta content=”WordPress <?php bloginfo(’version’); ? >” name=”generator” />

4) Instale o plugin Login Lock Down

Alguns metidos a “hackers” tentam ter controle do blog na base da tentativa e erro (também chamado de força bruta),digitando logins e senhas que acreditam que podem dar certo.

Para resolver este problema, você pode utilizar o plugin Login Lock Down, que guarda o IP de quem estiver tentando acessar o blog por força bruta, bloqueando o acesso ao invasor após um número X de tentativas sem êxito.

5) Utilize um nome de usuário não sugestivo

Na maioria dos blogs com WordPress o usuário padrão é o “admin“, o que torna mais fácil a invasão por força bruta. Caso o seu usuário seja esse, eu recomendo que altere para outro usuário menos sugestivo.

Para fazer isso crie um novo usuário e dê a ele a permissão de “Administrador“. Em seguida, logue-se com este novo usuário e apague o usuário admin.

6) Utilize um senha forte

Para tornar o blog mais seguro, é recomendável que a senha seja forte, com duas ou mais palavras, números e caracteres especiais. Por exemplo Cr1@r$it3S.

7) Edite o arquivo .htaccess

Você também pode fazer pequenas alterações no arquivo .htaccess de forma a proibir o acesso a determinados arquivos importantes em seu blog. Recomendo que leia o artigo “Dicas para aumentar a segurança de seu blog“.

8) Crie cópias regulares do banco de dados e das imagens

Crie o hábito de fazer backups periódicos do banco de dados e das imagens do seu blog. Isso permitirá que você recupere seu blog para o que ele era (até a data do backup) caso uma invasão seja feita.

Tags | , , , , ,