Todo site, aplicativo ou servidor tem que incorporar as regras básicas de segurança virtual disponíveis tanto para comunicações quanto para autenticação ou sua infraestrutura.
Proteja as comunicações
Implemente o protocolo TLS versão 1.2 ou 1.3 (substituindo o SSL) em todos os sites e para a transmissão de dados de seus aplicativos móveis, por exemplo com LetsEncrypt, usando apenas as versões mais recentes e verificando a sua correta implementação.
Faça a utilização de TLD ser obrigatória para todas as páginas do seu site e para os aplicativos móveis.
Veja também: Blog Solere: Dicas para aumentar a segurança virtual da sua empresa
Limite as portas de comunicação àquelas estritamente necessárias ao bom funcionamento dos aplicativos instalados. Se o acesso a um servidor da Web só for possível usando o protocolo HTTPS, somente as portas 443 e 80 desse servidor deverão estar acessíveis, todas as outras devem ser bloqueadas pelo firewall.
Protejas as autenticações
Primeiramente, siga as recomendações de senhas fortes e seguras quanto ao número de caracteres mínimo e a sua composição. Lembrando que a depender da finalidade da senha, a recomendação será diferente. Também é interessante limitar o número de tentativas de acesso.
Jamais armazene senhas em plain text. O seu armazenamento deve se dar na forma de hash num banco de dados comprovados, como brypt.
Caso sejam utilizados cookies para permitir a autenticação, é recomendável:
– Forçar a utilização de HTTPS via HSTS;
– Utilizar os indicadores de segurança;
– Utilizar o parâmetro HttpOnly;
Teste a sequencias criptográficas instaladas nos sistemas e desative as sequencias obsoletas como (RC4, MD4, MD5 etc.). Prefira utilizar a AES256.
Veja também: Blog Solere: Dicas para elaborar projetos de TI de acordo com a LGPD
Adote uma política específica de senhas para os administradores. Altere as senhas sempre que um administrador saia e se houver alguma suspeita de comprometimento. Ademais, sempre que possível deve-se optar por uma autenticação forte.
Limite o acesso as ferramentas e interfaces administrativas apenas para pessoas autorizadas e incentive o uso de contas com menos privilégios nas operações normais.
O acesso da internet a interfaces administrativas deve estar sujeito a medidas de segurança reforçadas. Por exemplo, para servidores internos, a implementação de uma VPN com autenticação forte do usuário e da estação de trabalho que ele usa pode ser uma boa solução.
Proteja suas instalações/infraestrutura
Faça backups, se possível, criptografados e verificados regularmente. Isso é especialmente útil nos casos de ataques de vírus ransomware em seus sistemas, ter backups para todos os seus sistemas é a única medida que pode permitir a restauração de seus sistemas.
Veja também: Blog Solere: 10 dicas para navegar com segurança na internet
Limite o número de componentes utilizados e para cada um desses componentes:
– Instale atualizações críticas imediatamente e agende uma verificação semanal automática;
– Automatize um monitoramento de vulnerabilidades, por exemplo assinando o CERT-FR.
Utilize ferramentas de detecção de vulnerabilidades para o processamento mais crítico a fim de identificar eventuais falhas de segurança. Sistemas de detecção e prevenção de ataques em sistemas ou servidores críticos podem ser também usados. Esses testes devem ser realizados regularmente, bem como antes de produzir qualquer nova versão do software.
Restrinja ou proíba o acesso físico e lógico às portas de diagnóstico e configuração remotas. Por exemplo, liste todas as portas abertas usando a ferramenta netstat.
Proteja os bancos de dados colocados à disposição na internet. O acesso a esses dados deve ser, pelo menos, restringido ao máximo (por exemplo, com filtragem de IP) e alterando a senha padrão da conta do administrador.
Em termos de gerenciamento do banco de dados, as boas práticas são:
– Use contas nominativas para acessar banco de dados e crie contas específicas para cada aplicativo;
– Revogue os privilégios administrativos de contas nominativas ou aplicativos para impedir a modificação da estrutura do banco de dados dos aplicativos (tabelas, visualizações, procedimentos, etc.
– Implemente medidas contra ataques de injeção de SQL, scripts, etc.;
– Incentive a criptografia de dados em unidades de armazenamento e em bancos de dados.
Em conclusão, este texto procura tratar sobre as regras básicas de segurança virtual que as empresas devem adotar para minimizar riscos e vulnerabilidades. Este artigo é uma iniciativa do Solere – Data Protection Compliance para esclarecer diversos temas relacionados à dados pessoais e a proteção deles. Somos especializados em direito empresarial e somos certificados Data Protection Officer (DPO) pelo Bureau Veritas. Conheça nossos serviços e veja como podemos ajudar a sua empresa se adequar à LGPD e não sofrer penalidades.
Imagem: Revista Digital Security