Baixe o app para aproveitar ainda mais
Prévia do material em texto
UNIVERSIDADE PAULISTA-EAD PROJETO INTEGRADO MULTIDICIPLINAR CURSOS SUPERIORES DE TECNOLOGIA Projeto – Gestão de Acesso para Acesso Remoto –VPN em Home Office Sob o Prisma da Segurança da informação- UNIP- PIM V UNIP Araçatuba polo Planalto 2021 UNIP EaD Projeto Integrado Multidisciplinar Cursos Superiores de Tecnologia Projeto - Gestão de Acesso para Acesso Remoto – VPN em Home Office sob o Prisma da Segurança da Informação- UNIP- PIM V Nome(s) Jorge Cury Sayeg RA(s): 0593420 Curso: Segurança da Informação. Semestre: 1º semestre de 2021. UNIP Araçatuba polo Planalto 2021 UNIP EaD Projeto Integrado Multidisciplinar Cursos Superiores de Tecnologia Projeto - Gestão de Acesso para Acesso Remoto – VPN em Home Office sob o Prisma da Segurança da Informação- UNIP- PIM V Trabalho de desenvolvimento e aplicação dos conhecimentos adquiridos com as disciplinas de Criptografia e Certificação Digital, Segurança em Redes de Computadores, Economia e Mercado e Leis, Políticas e Normas de Segurança da Informação. BANCA EXAMINADORA ______________/__/___ Prof. Universidade Paulista – UNIP BANCA EXAMINADORA ______________/__/___ Prof. Universidade Paulista - UNIP BANCA EXAMINADORA ______________/__/___ Prof. Universidade Paulista - UNIP UNIP Araçatuba polo Planalto 2021 RESUMO Devido à Pandemia do Covid-19, as empresas tiveram que adotar de forma imediata o trabalho remoto – home office para a maioria dos seus funcionários. Devido à urgência do projeto, a segurança da informação ficou em segundo plano, mesmo sendo fundamental, com isso o número de ataques a esse formato de acesso se multiplicou exponencialmente. Dessa forma, como profissionais de segurança das informações, aplicar os requisitos de segurança que estamos estudando nesse bimestre é fundamental para garantir a segurança, mesmo nesse cenário e em momentos de crise de uma forma geral aplicando os conhecimentos adquiridos nas disciplinas de Criptografia e Certificação Digital, Segurança em Redes de Computadores, Economia e Mercado e Leis, Políticas e Normas de Segurança da Informação, o grupo do PIM deverá analisar e propor um processo de duplo fator de autenticação para melhorar a segurança e a gestão de acessos em uma arquitetura de acesso remoto por VPN – Virtual Private Network. Pesquisar e propor uma arquitetura de rede segura para acesso VPN – Virtual Private Network. Desenhar um fluxo de duplo fator para acesso à VPN, identificando e propondo um modelo, lembrando que são considerados fatores de autenticação “o que você sabe”, “o que você tem” ou “o que você é”; no caso da VPN são indicados o que você sabe como “login e senha” e o que você tem como “certificado ou token1”. Apresentar e escolher entre as alternativas de duplo fator e justificar a escolha. Objetivos Específicos do PIM V. Desenvolver uma política de segurança da informação para uso VPN em Acesso Remoto – Home Office. Pesquisar sobre o impacto social e econômico do isolamento social causado pela pandemia do Covid-19. Palavras-Chave: Pandemia do Covid-19, Acesso Remoto por VPN, Home Office, segurança da informação. 1 Dispositivo eletrônico gerador de senhas. ABSTRACT Due to the Covid-19 Pandemic, companies had to immediately adopt remote work - home office for most of their employees. Due to the urgency of the project, information security was in the background, even though it is fundamental, with this the number of attacks on this access format has multiplied exponentially. Thus, as information security professionals, applying the security requirements that we are studying in this two-month period is fundamental to guarantee security, even in this scenario and in times of crisis in general, applying the knowledge acquired in the Cryptography and Digital Certification disciplines. , Security in Computer Networks, Economy and Market and Laws, Policies and Norms of Information Security, the PIM group should analyze and propose a double factor authentication process to improve security and access management in an access architecture remote by VPN - Virtual Private Network. Search and propose a secure network architecture for VPN - Virtual Private Network access. Design a two-factor flow for accessing the VPN, identifying and proposing a model, remembering that “what you know”, “what you have” or “what you are” authentication factors; in the case of VPN, what you know as "login and password" and what you have as "certificate or token" are indicated. Present and choose between the two-factor alternatives and justify the choice. Specific Objectives of PIM V. Develop an information security policy for VPN use in Remote Access - Home Office. Research on the social and economic impact of social isolation caused by the Covid-19 pandemic.2 Keywords: Federal Government Single Registry, database, fraud, information security. Sumário RESUMO..................................................................................................................... 4 ABSTRACT ................................................................................................................. 5 INTRODUÇÃO ............................................................................................................ 7 1. TRABALHO REMOTO DURANTE CRISE DE IMPÁCTO .......................................7 2. A ORIGEM DO TRABALHO REMOTO .................... Erro! Indicador não definido. 3. HOME OFFICE X TRABALHO REMOTO ............................................................... 8 4. VANTAGENS DO TRABALHO REMOTO PARA AS EMPRESAS ........................ 10 5. DESVANTAGENS DO TRABALHO REMOTO ....... Erro! Indicador não definido.1 6. POLÍTICAS DE SEGURANÇA DA INFORMAÇÃO ............................................... 11 7. TRABALHO REMOTO E A SEGURANÇA DA INFORMAÇÃO ............................. 14 8. A CIBERSEGURANÇA NO TRABALHO REMOTO .............................................. 14 8.1 O QUE É UMA VPN.............................................................................................16 9. IMPÁCTOS DO TRABALHO REMOTO DURANTE A COVID 19 ......................... 15 10. TRANSFORMAÇÃO DIGITAL EM TEMPOS DE TRABALHO REMOTO- SEGURANÇA DA EMPRESA ................................................................................... 16 11. VULNERABILIDADES DE REDES CORPORATIVAS NO TRABALHO REMOTO .................................................................................................................................. 17 12. MELHORES PRÁTICAS DE PROTEÇÃO PARA REDES CORPORATIVAS E DATACENTERS ........................................................................................................ 20 CONCLUSÃO ............................................................................................................ 28 REFERÊNCIAS ......................................................................................................... 29 7 INTRODUÇÃO Devido à Pandemia do Covid-19, as empresas tiveram que adotar de forma imediata o trabalho remoto – home office, para a maioria dos seus funcionários. Devido à urgência do projeto, a segurança da informação ficou em segundo plano mesmo sendo fundamental e, com isso, o número de ataques a esse formato de acesso se multiplicou exponencialmente. Se o trabalho remoto precisa ser seguro, como garantir a segurança da informação? Existem uma série de características para tornar o home office seguro, são compliances3 que podem partir da própria empresa, assim como medidasque funcionam para a maioria dos casos. O trabalho remoto não é uma nova modalidade de trabalho, diversas empresas e profissões já operam dessa maneira pelos mais variados motivos: economia em estrutura, contratação de mão de obra qualificada ou o modelo de negócios. Para a segurança da informação, a praticidade de poder trabalhar de qualquer lugar do mundo vem com diversas responsabilidades que tentam encontrar o equilíbrio para que não ocorra nenhuma perda de produtividade. 1.TRABALHO REMOTO DURANTE CRISES DE IMPACTO ORGANIZACIONAL Se para muitas empresas o processo de implementação de um sistema planejado e seguro para o trabalho remoto ocorre de maneira orgânica, existem casos em que a segurança da informação demanda decisões aceleradas. Organizações podem necessitar, por exemplo, de reformas emergenciais ou até mesmo sofrer por uma simples queda de energia ou internet que demande o trabalho externo dos funcionários, mesmo que por um curto período. Para muitas empresas, as medidas emergenciais não serão tão simples pela falta de preparo: não existe um sistema de acesso remoto seguro, funcionários não possuem estrutura adequada em casa, dentre outras 3 Conjunto de disciplinas a fim de cumprir a normas legais e regulamentares. 8 possibilidades. Mas as empresas de tecnologia não deveriam esperar pela primeira crise para começar a pensar sobre o assunto. Foi necessária uma crise mundial para que empresas dos mais variados segmentos começassem a refletir sobre seu modelo de trabalho. De fato, muitas organizações possuem um modelo de trabalho tão distantes da alternativa do trabalho remoto que podem não sobreviver a momentos como esse. O covid-19, popularmente conhecido como corona vírus causou enorme impacto na maneira como pessoas se relacionamento no dia a dia, afetando também as relações interacionais. Como resultado a isso, o trabalho remoto nunca ganhou tanto destaque no mercado de trabalho, sendo a primeira experiência para muitos profissionais e muitas organizações que acreditavam que seu modelo fosse unicamente presencial. Mas, o trabalho remoto, de fato, não é algo novo. 2.A ORIGEM DO TRABALHO REMOTO Mas antes disso, já era possível identificar o modelo de trabalho na idade média, quando o estabelecimento ficava em um andar e a casa em outro – ou em um local diferente, o que funcionou até a Revolução Industrial. Apesar de não possuir uma origem exata, acredita-se que o conceito de trabalho remoto tenha nascido no século XVI ao longo da transição no sistema econômico, político e social americano para o capitalismo. Muitos dos trabalhadores foram para a indústria, mesmo com as péssimas condições de trabalho. E, isso ocorreu até os anos 2000, quando o trabalhador passou a simplificar novamente suas alternativas de trabalho, enxergando a oportunidade de trabalhar mais próximos de casa, na área comercial. Até então, o trabalho remoto passou havia passado por dois grandes momentos: O ano de 1857, quando J. Edgard Thompson utilizou o sistema de telégrafos para gerenciar divisões remotas de sua estrada de ferro, Penn. E 1962, na Inglaterra, quando Stephane Shirley criou um dos primeiros programas de freelancer4, 4 Funcionário autônomo que se auto emprega em diferentes Empresas. 9 gerenciado a partir de casa. É possível dizer que até então, o trabalho remoto era apenas um luxo e uma verdadeira vantagem ao trabalhador, pois a verdade é que problemas contemporâneos, como o trânsito, ainda não eram um problema. Pelo uso dos telégrafos, durante muito tempo os trabalhadores deste formato foram conhecidos como tele trabalhadores, mas com a chegada de novas tecnologias o termo foi perdendo sua potência. 3.HOME OFFICE X TRABALHO REMOTO Home Office é um dos termos mais populares do momento, mas será que ele se aplica somente ao trabalho realizado em casa? Ao pesquisar sobre trabalho remoto, não é incomum se deparar com o termo home office ou até mesmo sua sigla oficial SOHO (Small Office/Home Office), mas ao contrário do que podemos pensar, não podemos traduzir o termo ao pé da letra. Sendo assim, "trabalho em casa" – a tradução literal de home office, não significa necessariamente um trabalho realizado à partir de casa, pelo contrário, assim como trabalho remoto pode ser realizado a partir de qualquer lugar. O termo trabalho remoto, portanto, é a versão nacional do termo e de maneira alguma retrata o assunto de maneira equivocada. E não há diferenças entre as duas coisas. Entende-se por trabalho remoto toda atividade profissional realizada fora da empresa. Isso significa que até mesmo aquele café ou evento de networking podem ser taxados de tal maneira, afinal, é parte do trabalho e está sendo realizado fora da empresa. Embora seja um conceito de trabalho mais popular em atividades informais, como nas atividades de freelancers5 e autônomos, existe uma tendência crescente de várias empresas tradicionais implementando o formato em sua rotina. Um formato muito utilizado ocorre quando funcionários têm sua rotina parcialmente remota ao possuir dias específicos para realizar suas tarefas na empresa, por exemplo. 5 Funcionários autônomo que se auto empregam em diferentes Empresas. 10 4.QUAIS AS VANTAGENS DO TRABALHO REMOTO PARA AS EMPRESAS As empresas podem se beneficiar de diversas maneiras do trabalho remoto, isso porque quando pessoas que não precisam estar presencialmente em um lugar específico são contratadas e ainda assim conseguem entregar seu trabalho, elas economizam. Em países como a Holanda e Suécia, mais pessoas trabalham remotamente do que dentro das empresas. Reduzindo a rotatividade de funcionários. Muitos funcionários são obrigados à desligarem-se de uma empresa pois necessitam mudar-se de endereço ou até mesmo profissionalizar- se ao estudar em um país diferente. Com o trabalho remoto, no entanto, isso deixa de ser um problema para tornar-se um plus no currículo do funcionário e, no portfólio da própria empresa, podendo ser algo incentivado com a retenção e investimento nos melhores talentos. Já faz um bom tempo que o trabalho remoto deixou de ser um extra na avaliação de oportunidades para tornar-se algo muito procurado no mundo todo. Se você quer profissionais competitivos em sua linha organizacional, considere o trabalho remoto. Aumento na escalabilidade de negócios. Se a sua empresa tem a oportunidade de contratar profissionais específicos para determinadas funções mas deixa de fazê-lo por uma limitação no espaço físico, isso deixa de ser um problema com a contratação no modelo de trabalho remoto. Isso também vale para momentos em que uma equipe maior é necessária, por exemplo, uma empresa no setor de varejo pode ter uma maior demanda de mão de obra durante datas comemorativas. Redução de Custos - empresas podem negociar benefícios diferenciados ao contratar funcionários para o trabalho remoto, além disso, algumas das características mais importantes no trabalho presencial, tais como estrutura e localização estratégia, deixam de ser protagonistas. 11 A redução de custos ocorre a partir do momento que a organização pode oferecer flexibilidade nos contratos, mais em benefícios e menos em suas instalações internas – incluindo as contas de consumo essenciais como água e luz. Flexibilidade de Horários - quando as empresas dão a liberdade do trabalho remoto para o funcionário, elas também diminuem a carga de responsabilidades por horários, quando isso não é algo extremamente necessário para realização de certas entregas. Isso também permite que exista maior flexibilidade quando a empresa necessite de ajuda em horários específicos, o que torna a relação profissionalmais saudável. Vantagens do trabalho remoto para os profissionais: Se para empresas o trabalho remoto é uma opção extremamente vantajosa, como isso funciona para os profissionais? Menos tempo no trânsito, mais tempo produzindo. Em cidades como São Paulo, o trânsito ou transporte público são grandes responsáveis pelo crescimento de sensações como ansiedade e depressão. Ao trabalhar remotamente, especialmente quando a função pode ser exercida da própria casa do funcionário, muitos profissionais tornam-se mais produtivos e menos estressados em seu dia a dia, o que é uma grande vantagem para a saúde mental. Mais tempo com a família: embora o trabalho remoto não represente folga ou menos trabalho, estar presente em mais momentos familiares também contribui para a saúde mental e consequentemente no rendimento profissional. Com a conscientização correta, empresas podem beneficiar-se dessa maior proximidade entre funcionários e suas famílias. Mais economia: Quando o trabalho é realizado a partir da própria residência, muitos funcionários acabam economizando pois, em geral, isso representa menos tempo na rua, comendo em restaurantes ou passando por lojas que possam incentivar o consumo. 5.DESVANTAGENS DO TRABALHO REMOTO Será que com tantas vantagens é possível encontrar pontos negativos no Trabalho Remoto? Nem tudo é uma maravilha para quem trabalha de casa. É 12 importante entender que nem todos possuem o perfil necessário para trabalhar longe de um escritório. Seja por gosto ou pela simples personalidade. É provável que ao menos neste momento, o trabalho remoto não seja a sua melhor opção. Mas além disso, o trabalho remoto possui suas próprias desvantagens: falsa sensação de tempo é o principal. Para algumas pessoas, trabalhar de casa pode significar a perda de noção de timing para algumas atividades e, é pela causa dessa distração que a modalidade pode não ser favorável sempre. Trabalho sempre está em casa. Caso você trabalhe da própria casa, pode ser difícil separar sua rotina profissional da pessoal, e isso pode resultar em mais trabalho do que você normalmente teria se estivesse em um escritório. Falta de rotina, se no escritório da firma você acaba criando rotinas, como hora e local de almoço, lugares que gosta de visitar nos intervalos, etc., talvez em sua casa as coisas sejam um pouco diferentes. A informalidade pode dificultar a criação de rotinas com as quais você possa se acostumar e, isso pode ou não ser um ponto negativo, tudo depende de sua personalidade. Falta de socialização, embora o excesso de socialização não seja algo positivo também; a falta é ainda mais problemática. Imagine que algumas habilidades, como a de se apresentar diante de um grupo de pessoas, é muitas vezes desenvolvida graças aos contatos sociais que temos todos os dias no ambiente corporativo. Ao trabalhar de casa deixamos de usufruir do aprendizado orgânico de algumas soft skills6 e caso sejamos naturalmente menos sociais no dia a dia, isso pode também contribuir para problemas psicológicos como a depressão. Como pode ver, não existem apenas vantagens no trabalho remoto, e por isso sua oferta deve ser avaliada, pois existem muitos fatores que podem ou não, trazer sentido a ela para o momento da empresa e dos profissionais que nela atuam. 6.POLÍTICAS DE SEGURANÇA DA INFORMAÇÃO De maneira resumida, a política de segurança da informação organizacional é o posicionamento da empresa sobre as práticas que devem ser 6 Características comportamentais, de caráter subjetivo, que impactam a rotina de trabalho. 13 exercidas pelos funcionários para garantir a proteção de dados, assim como também seus recursos de hardware e software. As políticas de uma empresa para outra podem ser bem diferentes e englobarem elementos isolados ou a área de TI como um todo. Mas uma boa estratégia deve abranger os principais pontos da segurança da informação: confidencialidade. É preciso considerar que todos os dados sensíveis devem ser protegidos, tanto da empresa e seus funcionários quanto de seus clientes. Em se tratando de integridade, os dados precisam ser verdadeiros e não podem sofrer alterações por parte de terceiros, de modo a manipular as informações. Assim como qualquer estrutura de rede tecnológica, as informações armazenadas precisam estar disponíveis para acesso quando necessário. Segundo a norma SO 27001, uma das que estabelece diretrizes para tal prática, a segurança da informação é o ato de proteger os dados da empresa contra as ameaças. Para a maioria das empresas esse posicionamento é opcional, mas existem setores específicos que possuem obrigações legais de compliance de políticas e segurança da informação a serem seguidos, como é o caso por exemplo das empresas bancárias. Independente do fator obrigatório ou não, o documento é recomendado para todas as empresas, pois através dele é possível traçar as melhores ações no cotidiano organizacional e possibilita a avaliação do que está sendo feito. Com o crescimento acelerado das demandas por trabalho remoto e outros modelos de trabalho, padronizar as políticas de TI tornaram-se a melhor resposta para diversas ameaças, como as de engenharia social. Para construir uma política de segurança da informação é possível analisar todos os fatores que giram em torno da empresa, além de envolver todas as pessoas que terão sua rotina afetada por ela. Durante o processo de planejamento do plano, alguns fatores devem ser considerados: É de extrema importância definir o tipo de dados que percorre pelos servidores de uma empresa antes de definir sua estratégia de proteção. Esses dados podem ser categorizados como públicos, internos, confidenciais ou secretos, e devido a isso suas demandas de proteção são muito diferentes. Por exemplo, dados como o balanço financeiro da empresa podem ser categorizados como confidenciais, dependendo da modalidade do CNPJ, já informações como número de funcionários podem ser públicas ou confidenciais, tudo vai depender da 14 estratégia da organização. Com isso definido é possível entender quem terá acesso a determinados dados e qual será o procedimento para definir seu fluxo de acessos ou necessidade de proteção. Processos e ferramentas: com os dados devidamente categorizados, chega o momento de definir os processos e ferramentas que deverão ser adotados para seu devido tratamento. Dentre as perguntas a serem feitas durante a etapa, estão: Quando e qual a frequência de backups será necessária? Que tipo de senha poderá ser utilizada e qual sua validade? Quando e como os softwares serão atualizados? Quem e por onde poderá acessar determinadas informações? Em momentos de crise, qual o procedimento de contingência? Essas e muitas outras perguntas podem ser realizadas para traçar as práticas principais dentro do plano de PSI. Tempo e processo de implementação: para empresas que já operam de maneira diferente, talvez o processo de aplicação de uma nova política de proteção de dados não seja tão fácil. Mas é um erro pensa que somente a parte tecnológica importa no processo, pois se as práticas afetam a rotina de funcionários, eles também precisam enxergar seus benefícios e a importância. Qual o perfil da empresa? Processos muito complexos para uma empresa menos tradicional pode não funcionar tão bem, por isso uma das principais partes da etapa de implementação de políticas de segurança da informação é analisar o perfil da organização para trabalhar em ações personalizadas. O momento também o ideal para mapear todas as perguntas que devem ser respondidas: qual a finalidade de implementação, quem são os responsáveis, a quem recorrer em situações emergenciais, o que deve ser protegido e em quanto tempo tudo estará implementado, o que é permitido e proibido para que as políticas sejamcumpridas? Regras para o uso de softwares e equipamentos, bloqueio de sites e aplicativos são algumas das normas que podem ser necessárias para a aplicação da PSI. Treinamento, disponibilidade e compromisso: se os processos irão mudar, os funcionários precisam ser instruídos para aplicar as novas diretrizes, e dependendo da intensidade da mudança, treinamentos específicos podem ser necessários. Após todos os processos serem ensinados, é interessante que os participantes se comprometam formalmente a cumprir o que foi aprendido. E para garantir que não restem dúvidas, além de pontuar as pessoas que podem 15 auxiliar no esclarecimento, é interessante criar um canal para que todos possam revisar os itens sempre que necessário. Planos de contingência: mesmo com a política de segurança da informação algum dado for comprometido? E se o usuário tiver problemas e ninguém próximo para auxiliar? É preciso definir planos de contingência para que todos possam tomar decisões rápidas e assertivas nos momentos críticos, uma estratégia que depende exclusivamente de uma pessoa ou local único para acesso, está fadada ao erro, pois imprevistos sempre podem acontecer. Alinhamentos internos: durante a criação do PSI é também importante manter todos os diferentes setores da organização alinhados para que seja possível compreender como isso afetaria cada uma das áreas. Além disso, o RH precisa estar muito presente durante o processo, pois eles terão papel fundamental no planejamento instrutivo das medidas apresentadas. Avaliação e atualizações com o plano aplicado, é preciso analisar periodicamente os impactos causados por ele. Paralelo a isso, independente do sucesso da estratégia principal, é preciso estar informado sobre práticas e novas tecnologias que possam tornar as coisas cada dia melhores e mais efetivas. E talvez o mais importante, a descrição das políticas deve ser breve e objetiva. 7.TRABALHO REMOTO E A SEGURANÇA DA INFORMAÇÃO Sua melhor forma opera a partir de 4 pilares: confidencialidade, integridade, disponibilidade, e autenticidade. Sendo assim, todas as suas medidas preventivas possuem esses cuidados como princípio. E o trabalho remoto, em sua essência, é capaz de incorporar todos os pilares da segurança da informação. O que não significa que será um processo fácil, afinal, cada um dos pilares representa algo que depende de uma série de fatores para funcionar. Não é possível, por exemplo, garantir disponibilidade quando o funcionário decide acessar os arquivos corporativos a partir de um dispositivo não configurado, ou ainda, a confidencialidade quando a empresa não pode saber com quem ele falou sobre o tema ou quem tem acesso aos seus documentos armazenados. Os últimos anos têm sido um aprendizado para muitas empresas que não acreditavam que a segurança de suas redes eram tão importantes. 16 8. A CIBERSEGURANÇA NO TRABALHO REMOTO Em ambientes corporativos deve existir um planejamento amplo para proteger todos os dados transferidos e armazenados dentro da organização, mas no que o trabalho remoto pode se beneficiar com isso? Quando uma empresa possui funcionários trabalhando de diversos lugares, ela deve pensar em uma estratégia que englobe todos os seus endpoints, assim como os servidores e modo de acesso (VPN, Cloud, etc.). Talvez o maior benefício no processo seja o cuidado fortalecido envolvendo ainda mais variáveis na estratégia de segurança da informação, mais camadas de proteção e diferentes dispositivos passam a ser protegidos. 8.1. O QUE É UMA VPN Existem muitas maneiras de se definir o que é uma VPN; descrever uma VPN baseando-se em seus componentes pode ser muito difícil, uma vez que esta pode ser criada de diversas formas. Uma VPN é constituída de equipamentos, software, protocolos de comunicação e algoritmos de criptografia, integridade e autenticação. Também é constituída de conexões, usuários e políticas de segurança, para realizar a tarefa de criar uma comunicação segura sobre uma rede pública. Talvez a melhor forma de descrever uma VPN seja defini-la a partir de sua função: estabelecer uma rede privada e confiável de dados entre dois ou mais pontos, sobre uma rede pública não confiável, de baixo custo operacional. 17 Home Office Home Office Home Office Firewall concentrado r VPN Túnel VPN-Canal Virtual seguro- INTERNET Firewall concentrador VPN Servidor de Aplicativos ou Banco de Dados 9.IMPACTOS DO TRABALHO REMOTO DURANTE O COVID 19 O corona vírus causou um impacto na economia mundial e, como toda crise, tornou-se também uma oportunidade para os mais diversos tipos de ataque. Para começar, a alta demanda por informações e soluções rápidas para um problema que desde seu primeiro caso nunca foi algo simples, abriu espaço para diversos tipos de phishing e outros ataques de engenharia social. Os cyber criminosos se aproveitam dos meios rápidos de comunicação para causar viralidade antes mesmo das pessoas pesquisarem sobre o tema, e por isso famosos e gratuitos serviços de comunicação, como o WhatsApp, ganharam destaque no Brasil. Além dos impactos financeiros, softwares da área de tecnologia já estão sentindo os efeitos de um problema que foge das responsabilidades básicas da população. Uma das empresas já atacadas ao longo deste período, foi o Zoom – empresa do segmento de comunicadores online, com um sistema que permite chamadas em tempo real por vídeo. O fato de a ferramenta ser tão utilizada hoje para fins profissionais tornou-a um alvo justamente pelos possíveis dados que 18 seus datacenters armazenam sobre seus usuários. O grande problema em seu funcionamento é o fato de suas reuniões serem públicas (sem necessidade de nenhuma senha para acesso) por padrão, o que permite a entrada de pessoas aleatórias nas salas. Ao longo do tempo houveram casos de racismo, compartilhamento de links maliciosos nos chats e até mesmo imagens com conteúdo obsceno. Tal vulnerabilidade ficou conhecida como "zoombombing" e mostra como de fato nem mesmo uma grande plataforma é capaz de conter abordagens maliciosas. Os trabalhadores remoto tornam-se grandes alvos da Engenharia Social no distanciamento de seus escritórios, mas uma empresa com uma cultura de conscientização não deve temer isso. O surto do coronavirus teve um impacto social muito grande, a própria comunidade de cyber criminosos pode ter sido afetada com isso. Se por um lado abriram novas oportunidades, diante de tal fragilidade nos meios de comunicação, por outro todos – até mesmo os hackers, podem ter suas saúdes prejudicadas. A Organização Mundial de Saúde (OMS) sofreu diversas tentativas de ataque, sendo que um funcionário declarou que o aumento foi de mais de duas vezes que o habitual. Seu principal ataque consistia na instalação de um vírus "de resgate" que desorganiza todos os dados de um sistema, deixando-os inoperantes. Mas devido a pandemia, foi concluído que neste momento isso serviria apenas para atrasar uma possível cura e colocar a vida de ainda mais pessoas em risco, o que não é a intenção do grupo. Bondade ou não, mais um indício de como é importante mantermos uma relação saudável com nossos dispositivos e conscientizar colegas de trabalho a fazerem o mesmo. Para muitas empresas, o surto do corona vírus – que apesar de ocorrer mundo afora desde o fim de 2019, só tornou-se alarmante no país em 2020, foi um despertar para que fosse pensado em como, nos momentos de crise e até mesmo na rotina empresarial como um todo, seria possível manter a segurança com a mesma produtividade. O mundo está passando por uma contínua fase de transformação digital, há quem diga que vivemos um momento de transformação digital acelerada. Há a necessidade de criar soluções para criar maneiras de nos protegermos contra eles. É preciso compreender que todo novodispositivo acaba tornando-se uma nova possível porta de entrada para novas 19 vulnerabilidades, e indo além, isso vale também para softwares, aplicativos e redes sociais. 10.TRANSFORMAÇÃO DIGITAL EM TEMPOS DE TRABALHO REMOTO – SEGURANÇA DA EMPRESA Para tentar nos levar ainda mais longe nessa relação de tecnologia e vulnerabilidades, é preciso que a gente compreenda o conceito de transformação digital, você sabe o que isso significa? Transformação Digital é um processo pelo qual uma empresa passa na tentativa de se beneficiar de novas tecnologias. Dentre as novidades que são interessantes a nível corporativo estão todos os recursos que podem melhorar e em resumo, fazer a empresa faturar cada vez mais, com menos. Que tal um exemplo? É possível enxergarmos os efeitos da transformação digital em grandes empresas como a Netflix que, ao invés de tornar-se mais um número nas redes de locadora que estavam cada vez menos populosas, investiu em novas tecnologias para seguir seu negócio. Se uma empresa precisa expandir o quadro de funcionários, mas seu espaço físico não pode mais suportar a quantidade de colaboradores, investir em tecnologias para proporcionar o trabalho remoto pode tornar-se uma alternativa. Esses são dois casos simples que exemplificam muito bem como tecnologias simples podem causar impactos gigantes em uma organização. Mas assim como no nascimento de novas tecnologias, a aplicação da transformação digital também abre novas brechas de segurança. A instalação do servidor ao local de realização de trabalho, qualquer característica física pode servir como vulnerabilidade. Desastres naturais: chuva demais, sol demais, queda de energia – quais são as razões pelas quais você poderia tornar-se menos produtivo ou simplesmente não ter condições de trabalhar? Fatores naturais exercem extrema influência em nossa rotina. O equipamento adequado, as ferramentas corretas, tudo isso pode influenciar na maneira como iremos executar nossas tarefas durante o trabalho remoto. Softwares adequados para trabalhar, sistema funcionando corretamente e na velocidade esperada, conexão rápida com a internet e essas são apenas condições básicas para o trabalho remoto, 20 considerando que não há nenhum código malicioso. Mídias físicas necessárias para inserir qualquer dispositivo comprometido no sistema corporativo pode ser o suficiente para causar danos para toda rede, mas o oposto também pode acontecer de um sistema infectar seus dispositivos. Comunicação: WhatsApp, Zoom, Skype são alguns dos comunicadores utilizados frequentemente para atividades profissionais, e por isso, todos tornaram-se alvos de ataques. Atente-se as notícias para não ser a próxima vítima de um ataque em massa. 11. VPN SEGURA NO TRABALHO REMOTO- Empresas tornam-se alvos fáceis para hackers de acordo com a relevância dos dados que são armazenados em seus data centers e trafegam por sua rede todos os dias. A segurança da informação de redes corporativas é uma das principais preocupações que uma estrutura de TI deve ter, pois são inúmeras as oportunidades de ataque. No trabalho remoto, o cenário é ainda mais preocupante, como a equipe de segurança corporativa pode assegurar que todos os usuários fora do escritório estão protegidos e também protegendo a empresa de possíveis danos? Dentre os principais desafios no gerenciamento de fragilidades de uma rede corporativa, estão: Segurança na VPN (Virtual Private Network): Uma conexão VPN (Virtual Private Network) ou Redes Virtuais Privadas, possibilita a conexão segura entre redes corporativas e as remotas, incluindo por meio de dispositivos remotos. Durante o trabalho remoto isso é possível através de uma conexão criptografada ou apenas sob protocolo de tunelamento entre a estrutura da empresa (neste cenário o servidor), e o funcionário, que irá poder usufruir de funções como a conexão de internet da empresa. O protocolo de tunelamento protege o que está sendo solicitado pelo servidor de origem e os dados que estão sendo enviados no processo, ele esconde as informações de maneira que ninguém que consiga ver isso ocorrendo até que chegue no destino final. Isso 21 significa que será mais difícil para cyber criminosos identificarem as ações do usuário e os arquivos com os quais ele está trabalhando. Encriptação: necessário que o trabalho remoto precisa ser seguro, como garantir a segurança da informação? Existe uma série de características para tornar o home office seguro, são compliances que podem partir da própria empresa, assim como medidas que funcionam para a maioria dos casos. O trabalho remoto não é uma nova modalidade de trabalho, diversas empresas e profissões já operam dessa maneira pelos mais variados motivos: economia em estrutura, contratação de mão de obra qualificada ou o modelo de negócios. Para a segurança da informação, a praticidade de poder trabalhar de qualquer lugar do mundo vem com diversas responsabilidades que tentam encontrar o equilíbrio para que não ocorra nenhuma perda de produtividade. O processo de encriptação pode ser um adicional no tunelamento, e seu funcionamento é baseado na codificação do que está sendo transmitido para que apenas a VPN possa entender os dados contidos ali. Sendo assim, mesmo se algum cyber criminoso for capaz de burlar o tunelamento, ainda assim ele não conseguirá obter os dados que gostaria. Como uma VPN e a Criptografia funcionam? Quando um funcionário realiza uma conexão remota via Redes Virtuais Privadas, todo o tráfego de sua conexão é trabalhado localmente na rede corporativa, enquanto sua rede local recebe as informações de maneira criptografada. Por exemplo, se o usuário se encontra em um país e se conecta, via VPN, em uma rede corporativa que está fisicamente em um outro país, ele terá os mesmos privilégios de conexão local do servidor. Isso acontece porque o dispositivo do usuário passa a ser reconhecido como estando no mesmo local do servidor, que age como intermediário, ao invés de considerar o provedor de internet local. Além disso, a conexão também se torna privada durante a navegação, pois o IP do dispositivo local é ocultado no processo, protegendo a identidade dos usuários. Toda a comunicação entre dispositivos e servidores é privada, os dados transferidos são criptografados de modo que somente podem ser lidos quando estão no dispositivo local e no servidor corporativo, não sendo possível interceptá-los. Os servidores VPN podem possuir sistemas de criptografia diferentes, mas todos têm o objetivo de assegurar os dados durante suas conexões. Criptografia, por definição, é uma série de técnicas que permitem 22 tornar um dado ininteligível para pessoas não autorizadas ou fora do contexto pré-definido de acesso. Sendo assim, uma conexão VPN funciona como um túnel para a transferência segura e anônima de dados. Uma conexão VPN Corporativa é um dos principais recursos para uma empresa permitir o acesso remoto de funcionários, sendo assim, esse é o principal tipo de conexão no meio corporativo. As empresas podem habilitar a conexão VPN para funcionários acessarem, por exemplo, a rede privada da organização (intranet), através de uma simples configuração, que pode demandar apenas uma senha para o acesso ou fatores adicionais de proteção. Essa conexão pode ocorrer por meio de uma pré-configuração nos dispositivos ou com o uso de aplicações específicas para esse fim. Standalone VPN: Esse tipo de VPN é amplamente utilizado em pequenos e médios negócios, possibilitando a conexão através de uma aplicação específica. É também uma opção válida para universidades, que assim podem permitir o acesso a alunos credenciados aos seus servidores e conexão à internet. Os plugins e softwares de VPN focados em navegadores são especialmente voltados para o acesso a sites restritos por diversasrazões, como a geolocalização. Seu uso também pode ser atrelado a privacidade, quando o usuário quer ou precisa ocultar sua identidade para URLs específicas. Router VPN: Existem roteadores específicos que permitem a conexão e a criptografia de diversos dispositivos simultaneamente e sem a necessidade de configurações avançadas. A solução, no entanto, pode sair um pouco mais cara por envolver a compra desses dispositivos. Acesso remoto sem VPN: Hoje, com o acesso remoto via VPN, acessar um diretório remotamente parece ser uma tarefa simples, mas nem sempre foi assim. Antes era necessária a instalação de links dedicados que tornavam o recurso limitado e muito mais custoso e burocrático, diferente de hoje, que temos a conexão web como principal veículo para o tráfego de dados. Ainda assim, ao não usar uma VPN para o acesso remoto, nos tornamos vulneráveis a ofensivas como a interceptação e roubo de dados. Alguns servidores em nuvem e websites possuem proteção base na proteção de transferência de dados com seus usuários, como é o caso de sites protegidos por certificados SSL (aqueles que possuem um cadeado verde ao lado da URL), 23 mas uma das práticas da segurança da informação, é: Não confie sua segurança apenas nos recursos que acessa. Como uma conexão VPN torna-se segura: Diversos fatores podem implicar no nível de segurança de uma conexão VPN, seu nível de encriptação pode ser funcional, porém limitado para o que é exigido. Existem diferentes protocolos de VPN que podem ser mais adequados para diferentes finalidades: Point-to-Point Tunneling Protocol (PPTP): O protocolo mais antigo da internet, também o único funcional em sistemas operacionais antigos, foi criado pela Microsoft, hoje é somente recomendado para sistemas desatualizados.Layer 2 Tunneling Protocol (L2TP/IPSec): Esse tipo de protocolo é o mais utilizado para o acesso a VPN em redes corporativas hoje, sendo uma mistura entre o consolidado PPTP da Microsoft com um sistema de hardware em rede criado pela Cisco. O formato permite a transferência de dados por meio de um processo que impede o acesso aos dados antes que chegue ao destino definido. Embora seja um processo seguro, ele não possui a encriptação por padrão, sendo necessário aliá-lo ao protocolo de segurança IPSec para garantir o recurso. Secure Socket Tunneling Protocol (SSTP): O SSTP, criado pela Microsoft, é equivalente aos protocolos utilizados no acesso a websites seguros com SSL. Sendo assim, sua operação consiste em uma transmissão de dados segura entre servidor e usuário, sendo que apenas as duas partes terão a visibilidade das informações. Internet Key Exchange, version 2 (IKEv2): O IKEv2 é um protocolo especialmente Seguro para dispositivos móveis. Para garantir a encriptação de dados, ele também pode ser associado ao IPSec. OpenVPN: O OpenVPN é uma tecnologia Open Source de VPN, sendo assim, é desenvolvida e melhorada por uma comunidade de profissionais de forma colaborativa, além de poder ser personalizada para fins específicos. Atualmente é um dos protocolos mais utilizados no mundo e considerado um dos mais seguros também, devido as suas possibilidades de personalização. . 12.MELHORES PRÁTICAS DE PROTEÇÃO PARA REDES CORPORATIVAS E DATACENTERS Uma rede corporativa deve estar muito bem amparada na segurança de seus dados e para o acesso remoto, deve possuir um sistema de VPN. Para 24 início de aplicação, o fator humano deve ser treinado constantemente para reduzir as chances de geração de vulnerabilidades humanas, e junto as campanhas offline contra a engenharia social, outras práticas podem ser implementadas: Sendo a atenção humana falha, um bom sistema de segurança deve minimizar essa característica ao demandar confirmação para a realização de atividades que possam causar danos a rede. Pedir permissão para abrir as imagens de um e-mail ou para a instalação de um novo software, embora diminua a fluidez e praticidade do sistema devem garantir menos ações perigosas e automatizadas. Firewalls trazem camadas de segurança na execução de arquivos, impedindo a entrada de itens maliciosos ou com má reputação. E é por isso que seu uso não deve ser negligenciado em ambientes pessoais e redes corporativas. Durante o trabalho remoto é importante que os usuários possuam um bom firewall em seus dispositivos para impedir a contaminação interna e externa aos arquivos que tem acesso. Filtro de URL: Limitando o acesso a sites maliciosos, que tenham potencial negativo para o servidor ou a própria experiência do usuário. Controle de Aplicações: Ao assumir o controle das aplicações de cada usuário é possível reduzir a chance de contaminação por instalações de fontes questionáveis, piora no desempenho do sistema operacional ou simplesmente o acesso a softwares que não são realmente necessários para determinadas funções. Softwares de proteção - além de todas as funcionalidades de segurança avançadas, um bom servidor e datacenter corporativo não deve dispensar o uso de softwares preventivos contra vírus, malwares e ransonwares. Os servidores também precisam estar imunes a dispositivos infectados por bots. E a mesma proteção deve estar aplicada no dispositivo de origem da conexão. Endpoints: Um endpoint é qualquer dispositivo usado para conectar-se ao servidor corporativo, seja para a habilitação de recursos – como uma impressora, ou um computador que irá acessar toda a rede de arquivos. Com a intensa transformação digital que vivenciamos, novos dispositivos são lançados todos os dias e existe a tendência global de que tudo deve estar conectado para a conveniência tecnológica. Se por um lado isso é benéfico, por outros abre espaço para vulnerabilidades conhecidas e até mesmo para ataques zero-day. 25 Ataques zero-day são incógnitas no mundo da segurança da informação, isso significa que o termo engloba ameaças que ainda não foram identificadas. O nascimento de novos dispositivos é o cenário ideal para esse tipo de ameaça, pois a princípio pode ser difícil levar a sério a informação de que um eletrodoméstico inteligente possa ser a porta de entrada pra algum ataque. Mas isso não só acontece como é também a falta de conscientização que potencializa essas novas vulnerabilidades. Uma brecha “zero-day” pode ser mantida escondida por anos até que seja descoberta, o problema é que isso pode ocorrer tanto por profissionais de segurança da informação quanto por hackers especialistas que podem, finalmente, criar algum tipo de ameaça para o endpoint. Sendo assim, um dispositivo pode estar comprometido a anos sem que nada acontença ou eventualmente ser surpreendido com algo devastador. Característica de um ataque zero-day: Possui esse nome “dia zero” porque é uma vulnerabilidade descoberta antes da existência de uma solução. Pode ser uma brecha ocultada por anos sem que seja descoberta ou até mesmo nunca ser ativada como ataque. Seu potencial é infinito, depende do dispositivo e da vulnerabilidade. Podem ser veículos para vírus, malwares, ransonwares, etc. Por se tratar de uma vulnerabilidade não reconhecida ainda, a maioria dos antivírus comerciais não são capazes de reconhecê-la, pois agem após o ataque e não preventivamente. Sendo assim, a segurança de endpoints é mais complexa e softwares comuns de antivírus não são o suficiente para impedir que isso aconteça. Diferenças entre Endpoint Security e Endpoint Protection: Existem dois conceitos quando falamos de endpoints, o conceito de segurança e o conceito de proteção. Apesar dos nomes serem muito parecidos, suas aplicações em segurança da informação ocorrem em campos diferentes: O endpoint security envolve soluções de segurança de última geração para servidores locais que se utilizam pouco ou nada de uma rede em nuvem para o fluxo de arquivos. Enquanto isso, o endpoint protection também é robustoo suficiente para proteger o ambiente local (offline), mas suas funcionalidades são direcionadas aos servidores em nuvem. Todo dispositivo que se conecta à rede para visualização ou 26 transferência de dados, precisa de proteção endpoint. Principais vulnerabilidades de um endpoint: Um endpoint desprotegido pode servir de porta de entrada para qualquer vulnerabilidade favorável a cibercriminosos. De ataques desconhecidos (zero- day) a abordagens já conhecidas, uma rede corporativa pode sofrer diferentes de impactos se não tratar cuidadosamente de sua proteção endpoint. Zero-day Exploit: Se de maneira passiva os ataques zero-day podem simplesmente não causar nenhum prejuízo aos dispositivos alvo, por outro o cenário muda quando ele é explorado. É usado para referir-se ao ataque que ocorre logo após uma vulnerabilidade ser descoberta, tem altas chances de sucesso, pois ocorre antes mesmo que o fornecedor descubra que tal vulnerabilidade existe, sendo assim, é um dos principais perigos no cenário de endpoints. Malware: É usado para referir-se a softwares maliciosos (contração de software maliciosos), sendo uma categoria de ataques muito popular no mundo cibernético. É importante ressaltar que diversos tipos de vírus são variações de malware, mas nem todo malware é um vírus, logo trata-se de um tema mais abrangente na hierarquia. Ransonware é um tipo muito nocivo de malware que ao infectar o alvo pode impedir o acesso completo do usuário ao seu sistema operacional ou determinados serviços. É uma ameaça relativamente nova (em comparação com as outras), sendo popularmente conhecidas por envolver também uma solicitação de pagamento para que o sistema da vítima seja liberado novamente. Caso a empresa não realize o pagamento solicitado pelos cibercriminosos é possível que todos os dados armazenados sejam deletados por ele. Devido a sua complexidade e oportunidade de ataques em vulnerabilidades de endpoints, esse tipo de malware possui softwares específicos para seu combate, que tratam o assunto de maneira preventiva. Spywares, como o nome sugere, é um tipo de malware que espiona seu alvo para permitir a coleta de dados pessoais, bancários ou diferentes finalidades, é uma ameaça muito comum e mais explorada nos dias hoje. Assim como um spyware, os keyloggers também podem servir para espionagem, porém sua ação ocorre na captura do que está sendo digitado. Trojan (Cavalo de Troia): Assim como na mitologia grega, um cavalo de troia é adquirido disfarçado de uma outra coisa. Ocorre quando o usuário executa um software aparente legitimo, porém que no fundo foi corrompido no processo. A ameaça age muitas vezes de maneira silenciosa e quando dentro do sistema- 27 alvo, viabiliza diversos pontos de entrada para novas ameaças Bots e Bonets são softwares e redes, que controlados por um cibercriminoso, executam tarefas para determinadas finalidades, podendo agir também de maneira silenciosa. A Engenharia Social é uma classe de ataques que se utiliza da fragilidade do fator humano para causar danos ou roubar informações. Seu principal tipo de ataque, o phishing, corre através de mensagens persuasivas, que podem ocorrer a partir de um simples e-mail. Os cyber criminosos se aproveitam da fragilidade momentânea para tentar diferentes tipos de golpe. No ano passado, por exemplo, o Brasil foi um dos principais alvos de Phishing – resultado da crise de empregabilidade pela qual o país passou. Os ataques de DDoS, também conhecidos como Negação Distribuída de Serviço, causam uma grande sobrecarga em um servidor despreparado para recebê-la. Isso ocorre quando o agente malicioso envia múltiplas solicitações para o recurso invadido, no intuito de exceder sua capacidade, e muitas vezes é desativado como resultado. Dada a instabilidade como resultado, são abertas oportunidades de acesso a arquivos e informações pessoais da vítima. DNS: Pouco se fala de servidores de nome como possíveis vetores de ataque, mas a verdade é que os domínios de website, conectados aos servidores de hospedagem podem revelar informações ou permitir acessos importantes de uma pessoa ou empresa. O processo de proteção endpoint funciona de maneira diferente das práticas anti-vírus tradicionais, que operam de maneira reativa. Isso quer dizer que os endpoins necessitam de uma estrutura própria, capaz de tratar ameaças de maneira preventiva, antes que elas tenham acesso ao sistema ou qualquer tipo de dado. Isso somente é possível com sistemas que misturem inteligência artificial – para identificar ações suspeitas, por exemplo, e também que sejam robustos o bastante para descobrirem novas ameaças de maneira contínua, sem que precisam sofrer com elas. Dada complexidade, um bom sistema de segurança endpoint tem as seguintes características: É pouco provável que uma cafeteira inteligente precise ter acesso a rede dos computadores da organização. A segmentação de redes, portanto, é um recurso para desvincular redes que possuem finalidades diferentes para evitar que ambientes menos preparados possam servir de ponte para os dados mais importantes da companhia. A maioria dos antivírus comerciais não são tão eficazes contra 28 malwares. Sendo uma das principais vulnerabilidades endpoints, os malwares devem ser tratados antes e não depois de executados. Existem também softwares específicos tratados como anti-ransonwares. Se o fator humano é suscetível a falhas, porque não restringir algumas ações reconhecidamente nocivas? O NAC é um recurso muito importante para a proteção de redes e endpoints, através do seu controle de acesso é possível controlar todos os usos internos que um usuário terá sobre aquele ambiente e definir delimitações, também permite que novos dispositivo sejam automaticamente configurados e que o usuário responda a algumas regras como a proibição da repetição de uso de senhas antigas, por exemplo. Restauração de arquivos: com o os endpoints envolvem o envio de dados para uma rede, é muito provável que alguns se percam quando necessitam de medidas preventivas para não serem contaminados. Pensando nisso, é interessante implementar um sistema para que os arquivos danificados possam ser futuramente recuperados (em uma versão livre de códigos maliciosos). O grande problema da maioria das medidas de proteção contra atividades hackers é a falta de informação sobre como tudo ocorreu, inicialmente. Um sistema de análise forense é capaz de descrever todo o cenário, facilitando o diagnóstico do que desencadeou o problema (para evitar recorrência) e encontrar as melhores soluções. Compliance Corporativa e Remediação Automatizada: Somente através de medidas pré-definidas pela própria corporação é possível configurar algumas medidas de segurança para garantir a padronização de comportamento para a maioria dos processos de proteção automatizada. Os dispositivos mobile fazem parte de do ecossistema de endpoints, mas devido a sua crescente utilização no meio corporativo, demandam cada vez mais cuidados específicos para melhorar segurança. Quando um usuário trabalha com seus próprios dispositivos não é possível garantir que ele não acesse sites maliciosos ou que possua os melhores softwares de segurança, e por isso a proteção passa a ser limitada aos recursos disponibilizados pela organização na rede. Outro grande problema é a maior vulnerabilidades a ataques de engenharia social, pois a distância pode causar ruídos na comunicação ou o usuário, durante um acesso pessoal em que ainda esteja conectado na rede do trabalho, pode cair em um desses golpes. 29 Segurança em Nuvem: Servidores em nuvem representam uma grande revolução no mercado corporativo devido a todas as suas possibilidades e redução de custos. Dentre todas as suas vantagens em relação a servidores físicos, também deve ser considerado: Sua agilidade de operação, Mobilidadefacilitada, Escalabilidade. Esse tipo de servidor é vantajoso para todo tipo de empresa, mas a verdade é que hoje é especialmente difícil imaginar um grande negócio que não esteja em nuvem. Diferentes tipos de serviço em nuvem são oferecidos hoje: Infraestrutura como serviço (IaaS). Quando não é possível montar localmente, empresas podem necessitar de infraestrutura remota para criar seus servidores em nuvem de maneira personalizada (como um site, por exemplo), é uma possibilidade para implementação de sistemas inteiros. Plataforma como serviço (PaaS). As plataformas funcionam nos momentos em que empresas querem desenvolver aplicações mas não necessitam criar uma infraestrutura do zero, com o serviço dispondo do que ela precisa para testar ou criar o que deseja. Software como serviço (SaaS): Os softwares como serviço representa um modelo comercial em que as empresas podem adquirir serviços específicos por períodos pré-determinados e pagam somente pelo que foi contratado, independente do uso. A nuvem pública é o principal formato da categoria. Ela é especialmente interessante na implementação de SaaS (Software as a Service) e poder ter seu armazenamento facilmente expandido. Seu ambiente propõe a virtualização de um sistema, acessível com conexão a internet, com base em recursos físicos que podem ser agrupados e compartilhados mas com regras bem definidas de um usuário para o outro. É o caso de muitos serviços de hospedagem de sites, por exemplo. É também o sistema mais baratos pelo fato de ter toda sua estruturada compartilhada. A nuvem privada, em contrapartida, é de uso particular. Seu ambiente é controlado por uma única empresa e por isso é totalmente personalizável. Pela infraestrutura não ser compartilhada, possui gastos maiores com a demanda de uma estrutura dedicada. É indicada principalmente para grandes negócios, que demandam grande performance e possuam necessidades maiores de privacidade. A nuvem hibrida, portanto, aproveita o melhor de cada uma das modalidades anteriores. Uma empresa pode se beneficiar da fácil e econômica 30 escalabilidade de um servidor público enquanto mantém arquivos de maior sensibilidade em um servidor privado. Com a chegada da LGPD cada vez mais próxima, é importante que empresas analisem o desempenho de cada equipe no processo para trabalhar em modelos assim. Após uma série de vazamento de dados, diversos países criaram medidas(LGPD) para que a responsabilidade das ocorrências seja maior para empresas de forma a aumentar sua responsabilidade sobre a segurança da informação. Enquanto a lei de referência é a europeia, conhecida como General Data Protection Regulation (GDPR), o Brasil trabalhou em sua própria versão, a Lei Geral de Proteção de Dados (LGPD), que busca regulamentar o uso de dados no meio corporativo no país. A LGPD regulamentará qualquer atividade offline ou online que envolva a utilização de dados pessoais e irá responsabilizar todas as empresas envolvidas no processo e o profissional responsável pelo controle desses dados, cargo conhecido como DPO (Data Protection Officer). A LGPD irá abranger qualquer informação pessoal, como por exemplo: Nome, Endereço, Nº de Documentos, etc. Todos os dados que possam servir para identificar alguém estão respaldados pela Lei. Além disso, a LGPD também menciona os dados sensíveis, que diferente da documentação, refere-se a questões como: Status de Saúde, Vida Sexual, Dados Genéticos, Dados Biométricos, Opinião Política, Origem Étnica, Religião. Participação em sindicatos ou organizações não governamentais, dentre outras informações que expõem aspectos íntimos da pessoa física. Quando a LGPD entrar em vigor, o não cumprimento resultará em processos administrativos e legais, podendo chegar a multas de até R$ 50 milhões. A Lei aplica-se a todas as empresas que coletam e armazenam dados (offline ou online), e por isso todas precisam adequar-se a ela. O objetivo por trás da proposta é a transparência da operação de empresas públicas e privadas, solicitando a permissão e o consentimento dos usuários para que seus dados sejam armazenados para devidos fins. A penalidade financeira da LGPD irá variar de acordo com a gravidade da infração, sendo que as de não conformidade podem custar até 2% do faturamento da empresa limitando-se ao máximo de R$50 milhões. Também podem ocorrer impedimentos legais de funcionamento parciais ou totais, dependendo do problema causado. 31 CONCLUSÃO Diante de cenários de crise como o que estamos vivenciando, a possibilidade de adotar o regime de trabalho remoto é uma vantagem proporcionada pelos avanços tecnológicos que obtivemos nos últimos anos. No entanto, fica o alerta para empresas que durante esse regime, suas informações e seus colaboradores estão mais expostos as ameaças cibernéticas. Dessa forma, é primordial o controle de acesso e utilização do tipo: controle de senhas, autenticação de usuários, autoridades, que tipo de uso é aceitável e o que não é aceitável a autenticação multifator(MFA) para dispositivos móveis. REFERÊNCIAS: Trabalho Remoto Seguro: O Guia Da Segurança da Informação. Disponível em:<https://www.compugraf.com.br/trabalho-remoto-seguro-o-guia-da- seguranca-da-informacao/>. Acesso em: 11 de abril de 2021. CIBERSEGURANÇA: A IMPORTÂNCIA DA VPN EM TEMPOS DE HOME OFFICE. DISPONÍVEL EM:<https://blog.infomach.com.br/vpn-em-tempos-de-home- office/>. Acesso em: 11 de abril de 2021. Com o Home Office, Empresas descuidam de segurança e abrem brechas para Hacckers. Disponível em:https://canaltech.com.br/seguranca/com-home-office- empresas-descuidam-de-seguranca-e-abrem-brechas-para-hackers-172280/>. Acesso em: 11 de abril de 2021. Dicas para trabalhar em Home Office: Saiba proteger informações importantes.https://www.techtudo.com.br/listas/2020/03/dicas-para-home-office-saiba- proteger-informacoes-importantes-do-trabalho.ghtml/>. Acesso em: 11 de abril de 2021. Coronavírus e Home Office: como compartilhar informações com segurança e manter a performance do funcionário. Disponível em:https://www.em.com.br/app/noticia/emprego/2020/03/16/interna_emprego,1129259 /coronavirus-e-home-office-como-compartilhar-informacoes-com-seguranca.shtml>. Acesso em: 11 de abril de 2021. Como a saúde e a tecnologia tendem a continuar caminhando juntas em 2021.https://www.saudebusiness.com/ti-e-inovao/como-sade-e-tecnologia-tendem- continuar-caminhando-juntas-em-2021>. Acesso em: 11 de abril de 2021. Falta até PC! Empresas penam para ter 'home office' no Brasil após covid-19... https://www.uol.com.br/tilt/noticias/redacao/2020/03/17/falta-ate-pc-para-alugar- empresas-penam-para-ter-home-office-no-brasil.htm>. Acesso em: 11 de abril de 2021. 32 Riscos de ataques cibernéticos em tempos de COVID-19 e “home office”: Como se prevenir? https://lefosse.com/noticias/riscos-de-ataques-ciberneticos-em- tempos-de-covid-19-e-home-office-como-se-prevenir/>. Acesso em: 11 de abril de 2021. Home-office: 5 razões para adotar serviços de VPN. Disponível em: https://cio.com.br/tendencias/home-office-5-razoes-para-adotar-servicos-de- vpn/>. Acesso em: 11 de abril de 2021. CIBERSEGURANÇA: A IMPORTÂNCIA DA VPN EM TEMPOS DE HOME OFFICE. https://blog.infomach.com.br/vpn-em-tempos-de-home-office/ Coronavírus: home office aumenta a demanda por soluções de VPN https://brasilpaisdigital.com.br/coronavirus-home-office-aumenta-a-demanda- por-solucoes-de-vpn/
Compartilhar