Em uma manhã de segunda-feira, a telefonia IP cai em um site remoto por duas horas. O prestador diagnostica um switch saturado, instalado três anos antes sem documentação. Esse tipo de falha, frequentemente evitável, ilustra o quanto uma auditoria de rede de TI não se limita a marcar caixas: buscamos os pontos cegos que o cotidiano acaba por ocultar.
Shadow IT e equipamentos não inventariados: o verdadeiro ponto de partida de uma auditoria de rede
Os artigos sobre auditoria de rede geralmente começam pela definição do escopo. No campo, o escopo muda constantemente. Câmeras IP conectadas pelo serviço de manutenção, um ponto de acesso Wi-Fi adicionado em um open space, um NAS pessoal conectado à VLAN de escritório: esses equipamentos “shadow IT” escapam do inventário oficial.
Para descobrir também : Notícias e dicas essenciais para impulsionar o desenvolvimento da sua empresa
Antes mesmo de iniciar uma varredura de vulnerabilidades, economiza-se tempo fazendo uma varredura física e lógica de todas as portas ativas. Isso significa percorrer os painéis de conexão, registrar as conexões reais e, em seguida, cruzar com as tabelas ARP e os logs DHCP. A diferença entre as duas listas fornece a medida do shadow IT presente na rede.
Essa fase de descoberta é ainda mais crítica, pois os ambientes híbridos (sites físicos, nuvem, trabalho remoto) multiplicam os pontos de entrada. Desde 2023, os relatos de experiência mostram um aumento significativo dos incidentes relacionados a equipamentos IoT não inventariados. Podemos aprofundar a auditoria de rede de TI com E-novateur para estruturar essa etapa de mapeamento inicial.
Também interessante : Descubra receitas saborosas e dicas para ter sucesso na cozinha diariamente
Mapeamento dos fluxos inter-sites e multi-nuvem: uma etapa frequentemente negligenciada
A maioria das auditorias de rede documenta corretamente a LAN. Os fluxos entre sites remotos, entre o datacenter e os provedores de nuvem, ou entre dois ambientes de nuvem distintos, são muito menos frequentemente rastreados.
Mapear os fluxos inter-nuvem antes de testar a segurança evita descobrir no final da auditoria que um túnel VPN site-to-site ainda utiliza uma criptografia obsoleta, ou que um peering direto entre dois provedores de nuvem não é supervisionado por nenhuma sonda.
O que o mapeamento deve cobrir concretamente
- As conexões WAN e SD-WAN entre cada site, com as taxas reais medidas (não apenas as taxas contratuais)
- Os fluxos aplicacionais para os serviços SaaS críticos (e-mail, ERP, telefonia), identificando os caminhos de roteamento e os pontos de saída para a Internet
- As interconexões cloud-to-cloud e cloud-to-on-premise, com verificação das regras de segmentação e das políticas de filtragem aplicadas a cada gateway
Ferramentas do tipo NDR (Network Detection and Response) ou plataformas SASE permitem obter essa visibilidade. Isso depende da instalação: uma PME mono-site com um único tenant na nuvem não precisa das mesmas ferramentas que um grupo multi-sites.
Auditoria de rede e conformidade NIS2: o que a diretiva muda na prática
A diretiva europeia NIS2, cuja transposição nacional começou a partir de 2024, impõe às entidades classificadas como “essenciais” ou “importantes” a demonstração de uma supervisão regular de suas redes com rastreabilidade das auditorias. Concretamente, isso significa que uma auditoria pontual realizada uma vez a cada três anos não é mais suficiente.
A NIS2 exige planos de ação documentados após cada auditoria, com um acompanhamento das remediações. Para uma empresa que realiza sua primeira auditoria, o desafio é produzir um entregável utilizável tanto pela direção quanto pela equipe técnica.
Estruturar o relatório para atender às exigências regulatórias
O relatório de auditoria deve conter no mínimo três elementos distintos:
- Um inventário atualizado dos ativos de rede (hardware, software, configurações), datado e assinado
- Uma matriz das vulnerabilidades identificadas, classificadas por criticidade, com para cada uma a recomendação técnica associada e um prazo de correção proposto
- Um plano de remediação priorizado, validado por um responsável identificado, com marcos de acompanhamento trimestrais
Esse formalismo pode parecer pesado para uma PME. É melhor um documento curto e acionável do que um relatório de 80 páginas nunca lido. Recomendamos separar a síntese decisional (máximo de duas páginas, destinada à direção) do detalhe técnico (anexos estruturados por categoria de equipamento).
Testes de segmentação de rede: verificar o que o firewall realmente permite passar
Configurar VLANs e regras de filtragem não garante nada se ninguém verificar sua eficácia real. Regularmente, constatamos regras “any-any” deixadas em vigor após uma migração, ou exceções temporárias que se tornaram permanentes.
Testar a segmentação consiste em simular um movimento lateral de uma estação de usuário padrão para sub-redes sensíveis (servidores, administração, IoT). Se uma estação da VLAN de escritório pode acessar a interface de gerenciamento de um switch central de rede, a segmentação falhou, independentemente da política documentada.
Esse teste é feito com ferramentas simples (Nmap, Netcat) ou com soluções de pentest automatizadas. O objetivo não é produzir um relatório de centenas de portas escaneadas, mas responder a uma pergunta binária para cada área: o isolamento funciona ou não.
Priorizar as correções após os testes
Nem todas as falhas de segmentação têm o mesmo impacto. Uma comunicação aberta entre a VLAN de impressoras e a VLAN de servidores de arquivos apresenta um risco moderado. Um acesso direto do Wi-Fi convidado para a rede de administração representa uma falha crítica a ser corrigida com prioridade.
O clássico erro é querer corrigir tudo simultaneamente. Isso bloqueia fluxos legítimos e gera tickets de incidente em cascata. A sequência mais confiável: corrigir primeiro os acessos à administração da rede, depois os fluxos para dados sensíveis e, por fim, as comunicações inter-VLAN secundárias.
Uma auditoria de rede bem-sucedida não se mede pelo número de páginas do relatório, mas pelo número de correções efetivamente aplicadas três meses depois. O entregável mais útil continua sendo uma tabela de acompanhamento compartilhada entre a DSI e a direção, atualizada a cada marco, com um status claro para cada vulnerabilidade identificada.