O item 13.1.3 fala sobre separação de redes ou segregação. Antes de prosseguirmos é bom salientar que os controles da norma 27002 não são obrigatórios a serem aplicados. que diz o item 0.3 logo nas primeiras páginas:
Controles podem ser selecionados desta norma ou de outros conjuntos de controles, ou novos controles podem ser projetados para atender necessidades especificas, conforme apropriado.
A seleção de controles de segurança da informação depende das decisões da organização, baseadas nos critérios para aceitação de risco, nas opções para tratamento do risco e no enfoque geral da gestão de risco aplicado à organização, e convém que também esteja sujeito a todas as legislações e regulamentações nacionais e internacionais, relevantes. A seleção de controles também depende da maneira pela qual os controles interagem para prover uma proteção segura.
0.3 Seleção de controle
Então, ela não é rígida o bastante a ponto de travar e engessar uma instituição, pelo contrário, podemos pegar controles de outros locais ou ainda criar novos.
Uma Breve Introdução
Essa segregação de rede é a mesma que fala de forma resumida na 27001. Sim, caso não saiba, na 27001 tem controles da 27002 mas de forma resumida. Acho uma obrigação, para quem deseja conhecer as normas, ler a 27002.
Aqui iremos tratar sobre como proteger, isolar(segregar) a rede entre sua empresa e suas filiais. Sim, não pense em vlan!!!!! Vlan é bem vinda, mas o enfoque desse controle é tudo aquilo da sua empresa para fora. Toda conexão que você faz ou recebe de outras empresas ou filiais. Dito isso, você pode usar VPN ou outro tipo de conexão criptográfica segura para banir o acesso não autorizado à sua intranet, extranet….
Saiba que muitos serviços da sua instituição deve ser de acessível ao público, ao mundo; essa é uma segregação aberta, voltada para todos. Mas não deixa de ser uma segregação já que você deverá aplicar controles se segurança para proteger e evitar que esse público não tenha acesso a serviços em background. Podemos citar seu site, para esse exemplo.
O livro Fundamentos de Segurança da Informação ISO 27001 e 27002 , página 184, diz:
Um desafio significativo em segurança da informação é que as redes compartilhadas podem se estender para além dos limites da organização. Veja, por exemplo, a diferença entre uma intranet e uma extranet.
Intranet
Uma intranet é uma rede privada dentro de uma organização. Para o usuário, a intranet é uma versão privada da internet. O objetivo principal da intranet é o compartilhamento digital de informações dentro de uma organização. Ela também pode ser usada para teleconferências e para facilitar e estimular a colaboração digital em grupos. Através de uma rede pública, como a internet, é possível para uma organização ligar as partes da intranet que são separadas. Métodos especiais de criptografia, juntamente com outras medidas adicionais de segurança, garantem a confiabilidade dessa transferência. Quando uma organização torna parte de sua intranet acessível para clientes, parceiros, fornecedores ou outras partes de fora da organização, essa parte da rede é chamada de extranet.
Extranet
Uma extranet é um tipo de rede de computadores dentro de uma organização. A extranet está ligada à intranet. O objetivo da extranet é tornar a informação da empresa disponível, de forma segura, para clientes, parceiros e fornecedores fora da organização. Por exemplo, uma empresa permite que os clientes façam encomendas diretamente em sua rede através da extranet. Uma extranet requer o uso de medidas de proteção e privacidade.
Livro Foundations of Information Security: based on ISO 27001 and 27002
Então, não pense em vlan logo de cara!
O Item 13.1.3 da Norma
Segregação de Redes
Perceba que aqui está falando de redes grandes, mas esse sentido é de redes distantes. Podemos ver isso nas informações adicionais:
Redes estão sendo progressivamente estendidas além dos limites organizacionais tradicionais, tendo em vista as parcerias de negócio que são formadas e que podem requerer a interconexão ou compartilhamento de processamento de informação e recursos de rede. Tais extensões podem aumentar o risco de acesso não autorizado aos sistemas de informação existentes que usam a rede, e alguns dos quais podem requerer proteção de outros usuários de rede por causa da sensibilidade ou criticidade.
Outro ponto a destacar é que, logo no início do passo a passo de como implementar, está escrito redes grandes e domínios:
Um método de controlar a segurança da informação em grandes redes é dividir em diferentes domínios de redes.
Muita gente tende a pensar logo em vlan, mas aqui está falando de grandes redes. Domínio aqui vem de área protegida. Vamos ver mais um pouco para entendermos.
Os domínios podem ser escolhidos baseado no nível de confiança (por exemplo, domínio de acesso público, domínio de estação de trabalho, domínio de servidor),
Veja acima que podemos definir uma área de acesso de acordo com a confiança. Se você tem um serviço ou programa que pode ser acessado por qualquer um, então o domínio para esse serviço é público; provavelmente você criará um domínio do tipo suaempresa.com.br
Quando você configura um Active Directory, seja com samba ou o AD da Microsoft, você dará um nome a esse domínio do tipo empresa.local e esse domínio será restrito aos computadores conectados ao servidor.
Agora imagina se sua empresa cresce muito e cria outra filial em outro estado, como se conectar de forma segura? Provavelmente você criará uma VPN que segregará, separará sua empresa do mundo, só sua empresa terá acesso de forma segura via VPN.
Você separar rede wifi da rede interna cabeada é uma segregação de segurança. Assim como a vlan. Mas não se apegue somente a isso. Lembre-se que os controles podem ser retirados da 27002 ou ainda criados por nós mesmo ou ainda coletados de outro lugar. Nada de ouvir de um “consultor” de ISO que os controles são 0 ou 80, que se não fizer isso ou aquilo dará não conformidade. Os controles são flexíveis como vimos acima no item 0.3.