PIM V JORGE Pronto

Prévia do material em texto

UNIVERSIDADE PAULISTA-EAD 
 PROJETO INTEGRADO MULTIDICIPLINAR 
 CURSOS SUPERIORES DE TECNOLOGIA 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
Projeto – Gestão de Acesso para Acesso Remoto –VPN em Home Office 
Sob o Prisma da Segurança da informação- UNIP- PIM V 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
UNIP Araçatuba polo Planalto 
2021 
 
 
 
 
UNIP EaD 
Projeto Integrado Multidisciplinar 
Cursos Superiores de Tecnologia 
 
 
 
 
 
 
 
 
 
 
 
 
 
Projeto - Gestão de Acesso para Acesso Remoto – VPN em Home 
Office sob o Prisma da Segurança da Informação- UNIP- PIM V 
 
 
 
 
 
 
 
 
 
 
Nome(s) Jorge Cury Sayeg 
RA(s): 0593420 
Curso: Segurança da Informação. 
Semestre: 1º semestre de 2021. 
 
 
 
 
 
 
 
 
 
 
 
 
UNIP Araçatuba polo Planalto 
2021 
UNIP EaD 
Projeto Integrado Multidisciplinar 
Cursos Superiores de Tecnologia 
 
 
 
 
 
 
 
 
Projeto - Gestão de Acesso para Acesso Remoto – VPN em Home 
Office sob o Prisma da Segurança da Informação- UNIP- PIM V 
 
 
 
Trabalho de desenvolvimento e aplicação dos 
conhecimentos adquiridos com as disciplinas de 
Criptografia e Certificação Digital, Segurança 
em Redes de Computadores, Economia e 
Mercado e Leis, Políticas e Normas de 
Segurança da Informação. 
 
 
BANCA EXAMINADORA 
 
______________/__/___ 
 
Prof. Universidade Paulista – 
 
UNIP BANCA EXAMINADORA 
 
______________/__/___ 
 
Prof. 
 
Universidade Paulista - UNIP 
 
BANCA EXAMINADORA 
 
______________/__/___ 
 
Prof. 
 
Universidade Paulista - UNIP 
 
UNIP Araçatuba polo Planalto 
2021 
 
RESUMO 
 
Devido à Pandemia do Covid-19, as empresas tiveram que adotar de forma 
imediata o trabalho remoto – home office para a maioria dos seus funcionários. Devido 
à urgência do projeto, a segurança da informação ficou em segundo plano, mesmo 
sendo fundamental, com isso o número de ataques a esse formato de acesso se 
multiplicou exponencialmente. Dessa forma, como profissionais de segurança das 
informações, aplicar os requisitos de segurança que estamos estudando nesse 
bimestre é fundamental para garantir a segurança, mesmo nesse cenário e em 
momentos de crise de uma forma geral aplicando os conhecimentos adquiridos nas 
disciplinas de Criptografia e Certificação Digital, Segurança em Redes de 
Computadores, Economia e Mercado e Leis, Políticas e Normas de Segurança da 
Informação, o grupo do PIM deverá analisar e propor um processo de duplo fator de 
autenticação para melhorar a segurança e a gestão de acessos em uma arquitetura 
de acesso remoto por VPN – Virtual Private Network. Pesquisar e propor uma 
arquitetura de rede segura para acesso VPN – Virtual Private Network. Desenhar um 
fluxo de duplo fator para acesso à VPN, identificando e propondo um modelo, 
lembrando que são considerados fatores de autenticação “o que você sabe”, “o que 
você tem” ou “o que você é”; no caso da VPN são indicados o que você sabe como 
“login e senha” e o que você tem como “certificado ou token1”. Apresentar e escolher 
entre as alternativas de duplo fator e justificar a escolha. Objetivos Específicos do PIM 
V. Desenvolver uma política de segurança da informação para uso VPN em Acesso 
Remoto – Home Office. Pesquisar sobre o impacto social e econômico do isolamento 
social causado pela pandemia do Covid-19. 
 
 
 
 
 
Palavras-Chave: Pandemia do Covid-19, Acesso Remoto por VPN, Home 
Office, segurança da informação. 
 
1 Dispositivo eletrônico gerador de senhas. 
 
ABSTRACT 
 
Due to the Covid-19 Pandemic, companies had to immediately adopt remote 
work - home office for most of their employees. Due to the urgency of the project, 
information security was in the background, even though it is fundamental, with this 
the number of attacks on this access format has multiplied exponentially. Thus, as 
information security professionals, applying the security requirements that we are 
studying in this two-month period is fundamental to guarantee security, even in this 
scenario and in times of crisis in general, applying the knowledge acquired in the 
Cryptography and Digital Certification disciplines. , Security in Computer Networks, 
Economy and Market and Laws, Policies and Norms of Information Security, the PIM 
group should analyze and propose a double factor authentication process to improve 
security and access management in an access architecture remote by VPN - Virtual 
Private Network. Search and propose a secure network architecture for VPN - Virtual 
Private Network access. Design a two-factor flow for accessing the VPN, identifying 
and proposing a model, remembering that “what you know”, “what you have” or “what 
you are” authentication factors; in the case of VPN, what you know as "login and 
password" and what you have as "certificate or token" are indicated. Present and 
choose between the two-factor alternatives and justify the choice. Specific Objectives 
of PIM V. Develop an information security policy for VPN use in Remote Access - Home 
Office. Research on the social and economic impact of social isolation caused by the 
Covid-19 pandemic.2 
 
 
 
 
 
Keywords: Federal Government Single Registry, database, fraud, information security. 
 
 
Sumário 
RESUMO..................................................................................................................... 4 
ABSTRACT ................................................................................................................. 5 
INTRODUÇÃO ............................................................................................................ 7 
1. TRABALHO REMOTO DURANTE CRISE DE IMPÁCTO .......................................7 
2. A ORIGEM DO TRABALHO REMOTO .................... Erro! Indicador não definido. 
3. HOME OFFICE X TRABALHO REMOTO ............................................................... 8 
4. VANTAGENS DO TRABALHO REMOTO PARA AS EMPRESAS ........................ 10 
5. DESVANTAGENS DO TRABALHO REMOTO ....... Erro! Indicador não definido.1 
6. POLÍTICAS DE SEGURANÇA DA INFORMAÇÃO ............................................... 11 
7. TRABALHO REMOTO E A SEGURANÇA DA INFORMAÇÃO ............................. 14 
8. A CIBERSEGURANÇA NO TRABALHO REMOTO .............................................. 14 
8.1 O QUE É UMA VPN.............................................................................................16 
9. IMPÁCTOS DO TRABALHO REMOTO DURANTE A COVID 19 ......................... 15 
10. TRANSFORMAÇÃO DIGITAL EM TEMPOS DE TRABALHO REMOTO- 
SEGURANÇA DA EMPRESA ................................................................................... 16 
11. VULNERABILIDADES DE REDES CORPORATIVAS NO TRABALHO REMOTO
 .................................................................................................................................. 17 
12. MELHORES PRÁTICAS DE PROTEÇÃO PARA REDES CORPORATIVAS E 
DATACENTERS ........................................................................................................ 20 
CONCLUSÃO ............................................................................................................ 28 
REFERÊNCIAS ......................................................................................................... 29 
 
 
 
 
7 
 
INTRODUÇÃO 
 
 
Devido à Pandemia do Covid-19, as empresas tiveram que adotar de 
forma imediata o trabalho remoto – home office, para a maioria dos seus 
funcionários. 
Devido à urgência do projeto, a segurança da informação ficou em 
segundo plano mesmo sendo fundamental e, com isso, o número de ataques a 
esse formato de acesso se multiplicou exponencialmente. Se o trabalho 
remoto precisa ser seguro, como garantir a segurança da informação? Existem 
uma série de características para tornar o home office seguro, 
são compliances3 que podem partir da própria empresa, assim como medidasque funcionam para a maioria dos casos. 
O trabalho remoto não é uma nova modalidade de trabalho, diversas 
empresas e profissões já operam dessa maneira pelos mais variados motivos: 
economia em estrutura, contratação de mão de obra qualificada ou o modelo de 
negócios. Para a segurança da informação, a praticidade de poder trabalhar de 
qualquer lugar do mundo vem com diversas responsabilidades que tentam 
encontrar o equilíbrio para que não ocorra nenhuma perda de produtividade. 
 
1.TRABALHO REMOTO DURANTE CRISES DE IMPACTO 
ORGANIZACIONAL 
 
Se para muitas empresas o processo de implementação de um sistema 
planejado e seguro para o trabalho remoto ocorre de maneira orgânica, existem 
casos em que a segurança da informação demanda decisões aceleradas. 
Organizações podem necessitar, por exemplo, de reformas emergenciais ou até 
mesmo sofrer por uma simples queda de energia ou internet que demande o 
trabalho externo dos funcionários, mesmo que por um curto período. 
Para muitas empresas, as medidas emergenciais não serão tão simples 
pela falta de preparo: não existe um sistema de acesso remoto seguro, 
funcionários não possuem estrutura adequada em casa, dentre outras 
 
3 Conjunto de disciplinas a fim de cumprir a normas legais e regulamentares. 
8 
 
possibilidades. Mas as empresas de tecnologia não deveriam esperar pela 
primeira crise para começar a pensar sobre o assunto. Foi necessária uma crise 
mundial para que empresas dos mais variados segmentos começassem a refletir 
sobre seu modelo de trabalho. 
De fato, muitas organizações possuem um modelo de trabalho tão 
distantes da alternativa do trabalho remoto que podem não sobreviver a 
momentos como esse. O covid-19, popularmente conhecido como corona vírus 
causou enorme impacto na maneira como pessoas se relacionamento no dia a 
dia, afetando também as relações interacionais. Como resultado a isso, o 
trabalho remoto nunca ganhou tanto destaque no mercado de trabalho, sendo a 
primeira experiência para muitos profissionais e muitas organizações que 
acreditavam que seu modelo fosse unicamente presencial. Mas, o trabalho 
remoto, de fato, não é algo novo. 
 
 
2.A ORIGEM DO TRABALHO REMOTO 
 
 
Mas antes disso, já era possível identificar o modelo de trabalho na idade 
média, quando o estabelecimento ficava em um andar e a casa em outro – ou 
em um local diferente, o que funcionou até a Revolução Industrial. Apesar de 
não possuir uma origem exata, acredita-se que o conceito de trabalho remoto 
tenha nascido no século XVI ao longo da transição no sistema econômico, 
político e social americano para o capitalismo. 
Muitos dos trabalhadores foram para a indústria, mesmo com as péssimas 
condições de trabalho. E, isso ocorreu até os anos 2000, quando o trabalhador 
passou a simplificar novamente suas alternativas de trabalho, enxergando a 
oportunidade de trabalhar mais próximos de casa, na área comercial. Até então, 
o trabalho remoto passou havia passado por dois grandes momentos: O ano de 
1857, quando J. Edgard Thompson utilizou o sistema de telégrafos para 
gerenciar divisões remotas de sua estrada de ferro, Penn. E 1962, na Inglaterra, 
quando Stephane Shirley criou um dos primeiros programas de freelancer4, 
 
4 Funcionário autônomo que se auto emprega em diferentes Empresas. 
9 
 
gerenciado a partir de casa. É possível dizer que até então, o trabalho remoto 
era apenas um luxo e uma verdadeira vantagem ao trabalhador, pois a verdade 
é que problemas contemporâneos, como o trânsito, ainda não eram um 
problema. Pelo uso dos telégrafos, durante muito tempo os trabalhadores deste 
formato foram conhecidos como tele trabalhadores, mas com a chegada de 
novas tecnologias o termo foi perdendo sua potência. 
 
3.HOME OFFICE X TRABALHO REMOTO 
 
Home Office é um dos termos mais populares do momento, mas será que 
ele se aplica somente ao trabalho realizado em casa? Ao pesquisar sobre 
trabalho remoto, não é incomum se deparar com o termo home office ou até 
mesmo sua sigla oficial SOHO (Small Office/Home Office), mas ao contrário do 
que podemos pensar, não podemos traduzir o termo ao pé da letra. 
Sendo assim, "trabalho em casa" – a tradução literal de home office, não 
significa necessariamente um trabalho realizado à partir de casa, pelo contrário, 
assim como trabalho remoto pode ser realizado a partir de qualquer lugar. O 
termo trabalho remoto, portanto, é a versão nacional do termo e de maneira 
alguma retrata o assunto de maneira equivocada. 
E não há diferenças entre as duas coisas. Entende-se por trabalho remoto 
toda atividade profissional realizada fora da empresa. Isso significa que até 
mesmo aquele café ou evento de networking podem ser taxados de tal maneira, 
afinal, é parte do trabalho e está sendo realizado fora da empresa. Embora seja 
um conceito de trabalho mais popular em atividades informais, como nas 
atividades de freelancers5 e autônomos, existe uma tendência crescente de 
várias empresas tradicionais implementando o formato em sua rotina. Um 
formato muito utilizado ocorre quando funcionários têm sua rotina parcialmente 
remota ao possuir dias específicos para realizar suas tarefas na empresa, por 
exemplo. 
 
 
 
5 Funcionários autônomo que se auto empregam em diferentes Empresas. 
 
10 
 
 
 
 
 
4.QUAIS AS VANTAGENS DO TRABALHO REMOTO PARA AS EMPRESAS 
 
 
As empresas podem se beneficiar de diversas maneiras do trabalho 
remoto, isso porque quando pessoas que não precisam estar presencialmente 
em um lugar específico são contratadas e ainda assim conseguem entregar seu 
trabalho, elas economizam. 
Em países como a Holanda e Suécia, mais pessoas trabalham 
remotamente do que dentro das empresas. Reduzindo a rotatividade de 
funcionários. Muitos funcionários são obrigados à desligarem-se de uma 
empresa pois necessitam mudar-se de endereço ou até mesmo profissionalizar-
se ao estudar em um país diferente. Com o trabalho remoto, no entanto, isso 
deixa de ser um problema para tornar-se um plus no currículo do funcionário e, 
no portfólio da própria empresa, podendo ser algo incentivado com a retenção e 
investimento nos melhores talentos. Já faz um bom tempo que o trabalho remoto 
deixou de ser um extra na avaliação de oportunidades para tornar-se algo muito 
procurado no mundo todo. Se você quer profissionais competitivos em sua linha 
organizacional, considere o trabalho remoto. 
Aumento na escalabilidade de negócios. Se a sua empresa tem a 
oportunidade de contratar profissionais específicos para determinadas funções 
mas deixa de fazê-lo por uma limitação no espaço físico, isso deixa de ser um 
problema com a contratação no modelo de trabalho remoto. Isso também vale 
para momentos em que uma equipe maior é necessária, por exemplo, uma 
empresa no setor de varejo pode ter uma maior demanda de mão de obra 
durante datas comemorativas. 
Redução de Custos - empresas podem negociar benefícios diferenciados 
ao contratar funcionários para o trabalho remoto, além disso, algumas das 
características mais importantes no trabalho presencial, tais como estrutura e 
localização estratégia, deixam de ser protagonistas. 
11 
 
A redução de custos ocorre a partir do momento que a organização pode 
oferecer flexibilidade nos contratos, mais em benefícios e menos em suas 
instalações internas – incluindo as contas de consumo essenciais como água e 
luz. 
Flexibilidade de Horários - quando as empresas dão a liberdade do 
trabalho remoto para o funcionário, elas também diminuem a carga de 
responsabilidades por horários, quando isso não é algo extremamente 
necessário para realização de certas entregas. Isso também permite que exista 
maior flexibilidade quando a empresa necessite de ajuda em horários 
específicos, o que torna a relação profissionalmais saudável. Vantagens do 
trabalho remoto para os profissionais: Se para empresas o trabalho remoto é 
uma opção extremamente vantajosa, como isso funciona para os profissionais? 
Menos tempo no trânsito, mais tempo produzindo. Em cidades como São Paulo, 
o trânsito ou transporte público são grandes responsáveis pelo crescimento de 
sensações como ansiedade e depressão. 
Ao trabalhar remotamente, especialmente quando a função pode ser 
exercida da própria casa do funcionário, muitos profissionais tornam-se mais 
produtivos e menos estressados em seu dia a dia, o que é uma grande vantagem 
para a saúde mental. Mais tempo com a família: embora o trabalho remoto não 
represente folga ou menos trabalho, estar presente em mais momentos 
familiares também contribui para a saúde mental e consequentemente no 
rendimento profissional. Com a conscientização correta, empresas podem 
beneficiar-se dessa maior proximidade entre funcionários e suas famílias. Mais 
economia: Quando o trabalho é realizado a partir da própria residência, muitos 
funcionários acabam economizando pois, em geral, isso representa menos 
tempo na rua, comendo em restaurantes ou passando por lojas que possam 
incentivar o consumo. 
 
5.DESVANTAGENS DO TRABALHO REMOTO 
 
Será que com tantas vantagens é possível encontrar pontos negativos no 
Trabalho Remoto? Nem tudo é uma maravilha para quem trabalha de casa. É 
12 
 
importante entender que nem todos possuem o perfil necessário para trabalhar 
longe de um escritório. 
Seja por gosto ou pela simples personalidade. É provável que ao menos 
neste momento, o trabalho remoto não seja a sua melhor opção. Mas além disso, 
o trabalho remoto possui suas próprias desvantagens: falsa sensação de tempo 
é o principal. Para algumas pessoas, trabalhar de casa pode significar a perda 
de noção de timing para algumas atividades e, é pela causa dessa distração que 
a modalidade pode não ser favorável sempre. Trabalho sempre está em casa. 
Caso você trabalhe da própria casa, pode ser difícil separar sua rotina 
profissional da pessoal, e isso pode resultar em mais trabalho do que você 
normalmente teria se estivesse em um escritório. Falta de rotina, se no escritório 
da firma você acaba criando rotinas, como hora e local de almoço, lugares que 
gosta de visitar nos intervalos, etc., talvez em sua casa as coisas sejam um 
pouco diferentes. 
A informalidade pode dificultar a criação de rotinas com as quais você 
possa se acostumar e, isso pode ou não ser um ponto negativo, tudo depende 
de sua personalidade. Falta de socialização, embora o excesso de socialização 
não seja algo positivo também; a falta é ainda mais problemática. Imagine que 
algumas habilidades, como a de se apresentar diante de um grupo de pessoas, 
é muitas vezes desenvolvida graças aos contatos sociais que temos todos os 
dias no ambiente corporativo. Ao trabalhar de casa deixamos de usufruir do 
aprendizado orgânico de algumas soft skills6 e caso sejamos naturalmente 
menos sociais no dia a dia, isso pode também contribuir para problemas 
psicológicos como a depressão. Como pode ver, não existem apenas vantagens 
no trabalho remoto, e por isso sua oferta deve ser avaliada, pois existem muitos 
fatores que podem ou não, trazer sentido a ela para o momento da empresa e 
dos profissionais que nela atuam. 
 
6.POLÍTICAS DE SEGURANÇA DA INFORMAÇÃO 
 
De maneira resumida, a política de segurança da informação 
organizacional é o posicionamento da empresa sobre as práticas que devem ser 
 
6 Características comportamentais, de caráter subjetivo, que impactam a rotina de trabalho. 
13 
 
exercidas pelos funcionários para garantir a proteção de dados, assim como 
também seus recursos de hardware e software. As políticas de uma empresa 
para outra podem ser bem diferentes e englobarem elementos isolados ou a área 
de TI como um todo. Mas uma boa estratégia deve abranger os principais pontos 
da segurança da informação: confidencialidade. É preciso considerar que todos 
os dados sensíveis devem ser protegidos, tanto da empresa e seus funcionários 
quanto de seus clientes. 
Em se tratando de integridade, os dados precisam ser verdadeiros e não 
podem sofrer alterações por parte de terceiros, de modo a manipular as 
informações. Assim como qualquer estrutura de rede tecnológica, as 
informações armazenadas precisam estar disponíveis para acesso quando 
necessário. Segundo a norma SO 27001, uma das que estabelece diretrizes para 
tal prática, a segurança da informação é o ato de proteger os dados da empresa 
contra as ameaças. 
Para a maioria das empresas esse posicionamento é opcional, mas 
existem setores específicos que possuem obrigações legais de compliance de 
políticas e segurança da informação a serem seguidos, como é o caso por 
exemplo das empresas bancárias. Independente do fator obrigatório ou não, o 
documento é recomendado para todas as empresas, pois através dele é possível 
traçar as melhores ações no cotidiano organizacional e possibilita a avaliação do 
que está sendo feito. Com o crescimento acelerado das demandas por trabalho 
remoto e outros modelos de trabalho, padronizar as políticas de TI tornaram-se 
a melhor resposta para diversas ameaças, como as de engenharia social. 
Para construir uma política de segurança da informação é possível 
analisar todos os fatores que giram em torno da empresa, além de envolver todas 
as pessoas que terão sua rotina afetada por ela. Durante o processo de 
planejamento do plano, alguns fatores devem ser considerados: É de extrema 
importância definir o tipo de dados que percorre pelos servidores de uma 
empresa antes de definir sua estratégia de proteção. Esses dados podem ser 
categorizados como públicos, internos, confidenciais ou secretos, e devido a isso 
suas demandas de proteção são muito diferentes. Por exemplo, dados como o 
balanço financeiro da empresa podem ser categorizados como confidenciais, 
dependendo da modalidade do CNPJ, já informações como número de 
funcionários podem ser públicas ou confidenciais, tudo vai depender da 
14 
 
estratégia da organização. Com isso definido é possível entender quem terá 
acesso a determinados dados e qual será o procedimento para definir seu fluxo 
de acessos ou necessidade de proteção. 
Processos e ferramentas: com os dados devidamente categorizados, 
chega o momento de definir os processos e ferramentas que deverão ser 
adotados para seu devido tratamento. Dentre as perguntas a serem feitas 
durante a etapa, estão: Quando e qual a frequência de backups será 
necessária? Que tipo de senha poderá ser utilizada e qual sua validade? 
Quando e como os softwares serão atualizados? Quem e por onde poderá 
acessar determinadas informações? Em momentos de crise, qual o 
procedimento de contingência? Essas e muitas outras perguntas podem ser 
realizadas para traçar as práticas principais dentro do plano de PSI. 
Tempo e processo de implementação: para empresas que já operam de 
maneira diferente, talvez o processo de aplicação de uma nova política de 
proteção de dados não seja tão fácil. Mas é um erro pensa que somente a parte 
tecnológica importa no processo, pois se as práticas afetam a rotina de 
funcionários, eles também precisam enxergar seus benefícios e a importância. 
Qual o perfil da empresa? Processos muito complexos para uma empresa menos 
tradicional pode não funcionar tão bem, por isso uma das principais partes da 
etapa de implementação de políticas de segurança da informação é analisar o 
perfil da organização para trabalhar em ações personalizadas. O momento 
também o ideal para mapear todas as perguntas que devem ser respondidas: 
qual a finalidade de implementação, quem são os responsáveis, a quem recorrer 
em situações emergenciais, o que deve ser protegido e em quanto tempo tudo 
estará implementado, o que é permitido e proibido para que as políticas sejamcumpridas? Regras para o uso de softwares e equipamentos, bloqueio de sites 
e aplicativos são algumas das normas que podem ser necessárias para a 
aplicação da PSI. 
Treinamento, disponibilidade e compromisso: se os processos irão mudar, 
os funcionários precisam ser instruídos para aplicar as novas diretrizes, e 
dependendo da intensidade da mudança, treinamentos específicos podem ser 
necessários. Após todos os processos serem ensinados, é interessante que os 
participantes se comprometam formalmente a cumprir o que foi aprendido. E 
para garantir que não restem dúvidas, além de pontuar as pessoas que podem 
15 
 
auxiliar no esclarecimento, é interessante criar um canal para que todos possam 
revisar os itens sempre que necessário. 
Planos de contingência: mesmo com a política de segurança da 
informação algum dado for comprometido? E se o usuário tiver problemas e 
ninguém próximo para auxiliar? É preciso definir planos de contingência para 
que todos possam tomar decisões rápidas e assertivas nos momentos críticos, 
uma estratégia que depende exclusivamente de uma pessoa ou local único para 
acesso, está fadada ao erro, pois imprevistos sempre podem acontecer. 
Alinhamentos internos: durante a criação do PSI é também importante 
manter todos os diferentes setores da organização alinhados para que seja 
possível compreender como isso afetaria cada uma das áreas. Além disso, o RH 
precisa estar muito presente durante o processo, pois eles terão papel 
fundamental no planejamento instrutivo das medidas apresentadas. 
Avaliação e atualizações com o plano aplicado, é preciso analisar 
periodicamente os impactos causados por ele. Paralelo a isso, independente do 
sucesso da estratégia principal, é preciso estar informado sobre práticas e novas 
tecnologias que possam tornar as coisas cada dia melhores e mais efetivas. E 
talvez o mais importante, a descrição das políticas deve ser breve e objetiva. 
 
7.TRABALHO REMOTO E A SEGURANÇA DA INFORMAÇÃO 
 
Sua melhor forma opera a partir de 4 pilares: confidencialidade, 
integridade, disponibilidade, e autenticidade. Sendo assim, todas as suas 
medidas preventivas possuem esses cuidados como princípio. E o trabalho 
remoto, em sua essência, é capaz de incorporar todos os pilares da segurança 
da informação. O que não significa que será um processo fácil, afinal, cada um 
dos pilares representa algo que depende de uma série de fatores para funcionar. 
Não é possível, por exemplo, garantir disponibilidade quando o funcionário 
decide acessar os arquivos corporativos a partir de um dispositivo não 
configurado, ou ainda, a confidencialidade quando a empresa não pode saber 
com quem ele falou sobre o tema ou quem tem acesso aos seus documentos 
armazenados. Os últimos anos têm sido um aprendizado para muitas empresas 
que não acreditavam que a segurança de suas redes eram tão importantes. 
16 
 
 
8. A CIBERSEGURANÇA NO TRABALHO REMOTO 
 
Em ambientes corporativos deve existir um planejamento amplo para 
proteger todos os dados transferidos e armazenados dentro da organização, 
mas no que o trabalho remoto pode se beneficiar com isso? Quando uma 
empresa possui funcionários trabalhando de diversos lugares, ela deve pensar 
em uma estratégia que englobe todos os seus endpoints, assim como os 
servidores e modo de acesso (VPN, Cloud, etc.). Talvez o maior benefício no 
processo seja o cuidado fortalecido envolvendo ainda mais variáveis na 
estratégia de segurança da informação, mais camadas de proteção e diferentes 
dispositivos passam a ser protegidos. 
 
 8.1. O QUE É UMA VPN 
 
Existem muitas maneiras de se definir o que é uma VPN; descrever uma 
VPN baseando-se em seus componentes pode ser muito difícil, uma vez que 
esta pode ser criada de diversas formas. Uma VPN é constituída de 
equipamentos, software, protocolos de comunicação e algoritmos de criptografia, 
integridade e autenticação. Também é constituída de conexões, usuários e 
políticas de segurança, para realizar a tarefa de criar uma comunicação segura 
sobre uma rede pública. Talvez a melhor forma de descrever uma VPN seja 
defini-la a partir de sua função: estabelecer uma rede privada e confiável de 
dados entre dois ou mais pontos, sobre uma rede pública não confiável, de baixo 
custo operacional. 
17 
 
Home 
Office
Home 
Office
Home 
Office
Firewall 
concentrado
r VPN
Túnel VPN-Canal 
Virtual seguro-
INTERNET Firewall 
concentrador 
VPN
Servidor de 
Aplicativos 
ou Banco de 
Dados
 
 
 
9.IMPACTOS DO TRABALHO REMOTO DURANTE O COVID 19 
 
O corona vírus causou um impacto na economia mundial e, como toda 
crise, tornou-se também uma oportunidade para os mais diversos tipos de 
ataque. Para começar, a alta demanda por informações e soluções rápidas para 
um problema que desde seu primeiro caso nunca foi algo simples, abriu espaço 
para diversos tipos de phishing e outros ataques de engenharia social. Os cyber 
criminosos se aproveitam dos meios rápidos de comunicação para causar 
viralidade antes mesmo das pessoas pesquisarem sobre o tema, e por isso 
famosos e gratuitos serviços de comunicação, como o WhatsApp, ganharam 
destaque no Brasil. 
Além dos impactos financeiros, softwares da área de tecnologia já estão 
sentindo os efeitos de um problema que foge das responsabilidades básicas da 
população. Uma das empresas já atacadas ao longo deste período, foi o Zoom – 
empresa do segmento de comunicadores online, com um sistema que permite 
chamadas em tempo real por vídeo. O fato de a ferramenta ser tão utilizada hoje 
para fins profissionais tornou-a um alvo justamente pelos possíveis dados que 
18 
 
seus datacenters armazenam sobre seus usuários. O grande problema em seu 
funcionamento é o fato de suas reuniões serem públicas (sem necessidade de 
nenhuma senha para acesso) por padrão, o que permite a entrada de pessoas 
aleatórias nas salas. 
Ao longo do tempo houveram casos de racismo, compartilhamento de 
links maliciosos nos chats e até mesmo imagens com conteúdo obsceno. Tal 
vulnerabilidade ficou conhecida como "zoombombing" e mostra como de fato 
nem mesmo uma grande plataforma é capaz de conter abordagens maliciosas. 
Os trabalhadores remoto tornam-se grandes alvos da Engenharia Social no 
distanciamento de seus escritórios, mas uma empresa com uma cultura de 
conscientização não deve temer isso. O surto do coronavirus teve um impacto 
social muito grande, a própria comunidade de cyber criminosos pode ter sido 
afetada com isso. 
Se por um lado abriram novas oportunidades, diante de tal fragilidade nos 
meios de comunicação, por outro todos – até mesmo os hackers, podem ter suas 
saúdes prejudicadas. A Organização Mundial de Saúde (OMS) sofreu diversas 
tentativas de ataque, sendo que um funcionário declarou que o aumento foi de 
mais de duas vezes que o habitual. Seu principal ataque consistia na instalação 
de um vírus "de resgate" que desorganiza todos os dados de um sistema, 
deixando-os inoperantes. Mas devido a pandemia, foi concluído que neste 
momento isso serviria apenas para atrasar uma possível cura e colocar a vida 
de ainda mais pessoas em risco, o que não é a intenção do grupo. Bondade ou 
não, mais um indício de como é importante mantermos uma relação saudável 
com nossos dispositivos e conscientizar colegas de trabalho a fazerem o mesmo. 
Para muitas empresas, o surto do corona vírus – que apesar de ocorrer mundo 
afora desde o fim de 2019, só tornou-se alarmante no país em 2020, foi um 
despertar para que fosse pensado em como, nos momentos de crise e até 
mesmo na rotina empresarial como um todo, seria possível manter a segurança 
com a mesma produtividade. O mundo está passando por uma contínua fase de 
transformação digital, há quem diga que vivemos um momento de transformação 
digital acelerada. Há a necessidade de criar soluções para criar maneiras de nos 
protegermos contra eles. É preciso compreender que todo novodispositivo 
acaba tornando-se uma nova possível porta de entrada para novas 
19 
 
vulnerabilidades, e indo além, isso vale também para softwares, aplicativos e 
redes sociais. 
 
10.TRANSFORMAÇÃO DIGITAL EM TEMPOS DE TRABALHO REMOTO –
SEGURANÇA DA EMPRESA 
 
Para tentar nos levar ainda mais longe nessa relação de tecnologia e 
vulnerabilidades, é preciso que a gente compreenda o conceito de 
transformação digital, você sabe o que isso significa? Transformação Digital é 
um processo pelo qual uma empresa passa na tentativa de se beneficiar de 
novas tecnologias. 
Dentre as novidades que são interessantes a nível corporativo estão todos 
os recursos que podem melhorar e em resumo, fazer a empresa faturar cada vez 
mais, com menos. Que tal um exemplo? É possível enxergarmos os efeitos da 
transformação digital em grandes empresas como a Netflix que, ao invés de 
tornar-se mais um número nas redes de locadora que estavam cada vez menos 
populosas, investiu em novas tecnologias para seguir seu negócio. 
Se uma empresa precisa expandir o quadro de funcionários, mas seu 
espaço físico não pode mais suportar a quantidade de colaboradores, investir 
em tecnologias para proporcionar o trabalho remoto pode tornar-se uma 
alternativa. Esses são dois casos simples que exemplificam muito bem como 
tecnologias simples podem causar impactos gigantes em uma organização. Mas 
assim como no nascimento de novas tecnologias, a aplicação da transformação 
digital também abre novas brechas de segurança. A instalação do servidor ao 
local de realização de trabalho, qualquer característica física pode servir como 
vulnerabilidade. 
Desastres naturais: chuva demais, sol demais, queda de energia – quais 
são as razões pelas quais você poderia tornar-se menos produtivo ou 
simplesmente não ter condições de trabalhar? Fatores naturais exercem extrema 
influência em nossa rotina. O equipamento adequado, as ferramentas corretas, 
tudo isso pode influenciar na maneira como iremos executar nossas tarefas 
durante o trabalho remoto. Softwares adequados para trabalhar, sistema 
funcionando corretamente e na velocidade esperada, conexão rápida com a 
internet e essas são apenas condições básicas para o trabalho remoto, 
20 
 
considerando que não há nenhum código malicioso. Mídias físicas necessárias 
para inserir qualquer dispositivo comprometido no sistema corporativo pode ser 
o suficiente para causar danos para toda rede, mas o oposto também pode 
acontecer de um sistema infectar seus dispositivos. 
Comunicação: WhatsApp, Zoom, Skype são alguns dos comunicadores 
utilizados frequentemente para atividades profissionais, e por isso, todos 
tornaram-se alvos de ataques. Atente-se as notícias para não ser a próxima 
vítima de um ataque em massa. 
 
 
11. VPN SEGURA NO TRABALHO REMOTO- 
 
Empresas tornam-se alvos fáceis para hackers de acordo com a 
relevância dos dados que são armazenados em seus data centers e trafegam 
por sua rede todos os dias. A segurança da informação de redes corporativas é 
uma das principais preocupações que uma estrutura de TI deve ter, pois são 
inúmeras as oportunidades de ataque. 
No trabalho remoto, o cenário é ainda mais preocupante, como a equipe 
de segurança corporativa pode assegurar que todos os usuários fora do 
escritório estão protegidos e também protegendo a empresa de possíveis 
danos? Dentre os principais desafios no gerenciamento de fragilidades de uma 
rede corporativa, estão: Segurança na VPN (Virtual Private Network): Uma 
conexão VPN (Virtual Private Network) ou Redes Virtuais Privadas, possibilita a 
conexão segura entre redes corporativas e as remotas, incluindo por meio de 
dispositivos remotos. 
Durante o trabalho remoto isso é possível através de uma conexão 
criptografada ou apenas sob protocolo de tunelamento entre a estrutura da 
empresa (neste cenário o servidor), e o funcionário, que irá poder usufruir de 
funções como a conexão de internet da empresa. O protocolo de tunelamento 
protege o que está sendo solicitado pelo servidor de origem e os dados que estão 
sendo enviados no processo, ele esconde as informações de maneira que 
ninguém que consiga ver isso ocorrendo até que chegue no destino final. Isso 
21 
 
significa que será mais difícil para cyber criminosos identificarem as ações do 
usuário e os arquivos com os quais ele está trabalhando. 
Encriptação: necessário que o trabalho remoto precisa ser seguro, como 
garantir a segurança da informação? Existe uma série de características para 
tornar o home office seguro, são compliances que podem partir da própria 
empresa, assim como medidas que funcionam para a maioria dos casos. O 
trabalho remoto não é uma nova modalidade de trabalho, diversas empresas e 
profissões já operam dessa maneira pelos mais variados motivos: economia em 
estrutura, contratação de mão de obra qualificada ou o modelo de negócios. 
Para a segurança da informação, a praticidade de poder trabalhar de 
qualquer lugar do mundo vem com diversas responsabilidades que tentam 
encontrar o equilíbrio para que não ocorra nenhuma perda de produtividade. O 
processo de encriptação pode ser um adicional no tunelamento, e seu 
funcionamento é baseado na codificação do que está sendo transmitido para que 
apenas a VPN possa entender os dados contidos ali. Sendo assim, mesmo se 
algum cyber criminoso for capaz de burlar o tunelamento, ainda assim ele não 
conseguirá obter os dados que gostaria. 
Como uma VPN e a Criptografia funcionam? Quando um funcionário 
realiza uma conexão remota via Redes Virtuais Privadas, todo o tráfego de sua 
conexão é trabalhado localmente na rede corporativa, enquanto sua rede local 
recebe as informações de maneira criptografada. Por exemplo, se o usuário se 
encontra em um país e se conecta, via VPN, em uma rede corporativa que está 
fisicamente em um outro país, ele terá os mesmos privilégios de conexão local 
do servidor. Isso acontece porque o dispositivo do usuário passa a ser 
reconhecido como estando no mesmo local do servidor, que age como 
intermediário, ao invés de considerar o provedor de internet local. Além disso, a 
conexão também se torna privada durante a navegação, pois o IP do dispositivo 
local é ocultado no processo, protegendo a identidade dos usuários. 
Toda a comunicação entre dispositivos e servidores é privada, os dados 
transferidos são criptografados de modo que somente podem ser lidos quando 
estão no dispositivo local e no servidor corporativo, não sendo possível 
interceptá-los. Os servidores VPN podem possuir sistemas de criptografia 
diferentes, mas todos têm o objetivo de assegurar os dados durante suas 
conexões. Criptografia, por definição, é uma série de técnicas que permitem 
22 
 
tornar um dado ininteligível para pessoas não autorizadas ou fora do contexto 
pré-definido de acesso. Sendo assim, uma conexão VPN funciona como um 
túnel para a transferência segura e anônima de dados. Uma conexão VPN 
Corporativa é um dos principais recursos para uma empresa permitir o acesso 
remoto de funcionários, sendo assim, esse é o principal tipo de conexão no meio 
corporativo. 
 As empresas podem habilitar a conexão VPN para funcionários 
acessarem, por exemplo, a rede privada da organização (intranet), através de 
uma simples configuração, que pode demandar apenas uma senha para o 
acesso ou fatores adicionais de proteção. Essa conexão pode ocorrer por meio 
de uma pré-configuração nos dispositivos ou com o uso de aplicações 
específicas para esse fim. Standalone VPN: Esse tipo de VPN é amplamente 
utilizado em pequenos e médios negócios, possibilitando a conexão através de 
uma aplicação específica. É também uma opção válida para universidades, que 
assim podem permitir o acesso a alunos credenciados aos seus servidores e 
conexão à internet. Os plugins e softwares de VPN focados em navegadores são 
especialmente voltados para o acesso a sites restritos por diversasrazões, como 
a geolocalização. 
Seu uso também pode ser atrelado a privacidade, quando o usuário quer 
ou precisa ocultar sua identidade para URLs específicas. Router VPN: Existem 
roteadores específicos que permitem a conexão e a criptografia de diversos 
dispositivos simultaneamente e sem a necessidade de configurações 
avançadas. A solução, no entanto, pode sair um pouco mais cara por envolver a 
compra desses dispositivos. Acesso remoto sem VPN: Hoje, com o acesso 
remoto via VPN, acessar um diretório remotamente parece ser uma tarefa 
simples, mas nem sempre foi assim. Antes era necessária a instalação de links 
dedicados que tornavam o recurso limitado e muito mais custoso e burocrático, 
diferente de hoje, que temos a conexão web como principal veículo para o 
tráfego de dados. 
Ainda assim, ao não usar uma VPN para o acesso remoto, nos tornamos 
vulneráveis a ofensivas como a interceptação e roubo de dados. Alguns 
servidores em nuvem e websites possuem proteção base na proteção de 
transferência de dados com seus usuários, como é o caso de sites protegidos 
por certificados SSL (aqueles que possuem um cadeado verde ao lado da URL), 
23 
 
mas uma das práticas da segurança da informação, é: Não confie sua segurança 
apenas nos recursos que acessa. Como uma conexão VPN torna-se segura: 
Diversos fatores podem implicar no nível de segurança de uma conexão VPN, 
seu nível de encriptação pode ser funcional, porém limitado para o que é exigido. 
Existem diferentes protocolos de VPN que podem ser mais adequados para 
diferentes finalidades: 
Point-to-Point Tunneling Protocol (PPTP): O protocolo mais antigo da 
internet, também o único funcional em sistemas operacionais antigos, foi criado 
pela Microsoft, hoje é somente recomendado para sistemas 
desatualizados.Layer 2 Tunneling Protocol (L2TP/IPSec): Esse tipo de protocolo 
é o mais utilizado para o acesso a VPN em redes corporativas hoje, sendo uma 
mistura entre o consolidado PPTP da Microsoft com um sistema de hardware em 
rede criado pela Cisco. O formato permite a transferência de dados por meio de 
um processo que impede o acesso aos dados antes que chegue ao destino 
definido. Embora seja um processo seguro, ele não possui a encriptação por 
padrão, sendo necessário aliá-lo ao protocolo de segurança IPSec para garantir 
o recurso. Secure Socket Tunneling Protocol (SSTP): O SSTP, criado pela 
Microsoft, é equivalente aos protocolos utilizados no acesso a websites seguros 
com SSL. Sendo assim, sua operação consiste em uma transmissão de dados 
segura entre servidor e usuário, sendo que apenas as duas partes terão a 
visibilidade das informações. Internet Key Exchange, version 2 (IKEv2): O IKEv2 
é um protocolo especialmente Seguro para dispositivos móveis. Para garantir a 
encriptação de dados, ele também pode ser associado ao IPSec. 
OpenVPN: O OpenVPN é uma tecnologia Open Source de VPN, sendo 
assim, é desenvolvida e melhorada por uma comunidade de profissionais de 
forma colaborativa, além de poder ser personalizada para fins específicos. 
Atualmente é um dos protocolos mais utilizados no mundo e considerado um dos 
mais seguros também, devido as suas possibilidades de personalização. . 
 
12.MELHORES PRÁTICAS DE PROTEÇÃO PARA REDES CORPORATIVAS 
E DATACENTERS 
 
Uma rede corporativa deve estar muito bem amparada na segurança de 
seus dados e para o acesso remoto, deve possuir um sistema de VPN. Para 
24 
 
início de aplicação, o fator humano deve ser treinado constantemente para 
reduzir as chances de geração de vulnerabilidades humanas, e junto as 
campanhas offline contra a engenharia social, outras práticas podem ser 
implementadas: 
Sendo a atenção humana falha, um bom sistema de segurança deve 
minimizar essa característica ao demandar confirmação para a realização de 
atividades que possam causar danos a rede. Pedir permissão para abrir as 
imagens de um e-mail ou para a instalação de um novo software, embora 
diminua a fluidez e praticidade do sistema devem garantir menos ações 
perigosas e automatizadas. 
Firewalls trazem camadas de segurança na execução de arquivos, 
impedindo a entrada de itens maliciosos ou com má reputação. E é por isso que 
seu uso não deve ser negligenciado em ambientes pessoais e redes 
corporativas. Durante o trabalho remoto é importante que os usuários possuam 
um bom firewall em seus dispositivos para impedir a contaminação interna e 
externa aos arquivos que tem acesso. 
 Filtro de URL: Limitando o acesso a sites maliciosos, que tenham 
potencial negativo para o servidor ou a própria experiência do usuário. Controle 
de Aplicações: Ao assumir o controle das aplicações de cada usuário é possível 
reduzir a chance de contaminação por instalações de fontes questionáveis, piora 
no desempenho do sistema operacional ou simplesmente o acesso a softwares 
que não são realmente necessários para determinadas funções. 
Softwares de proteção - além de todas as funcionalidades de segurança 
avançadas, um bom servidor e datacenter corporativo não deve dispensar o uso 
de softwares preventivos contra vírus, malwares e ransonwares. Os servidores 
também precisam estar imunes a dispositivos infectados por bots. E a mesma 
proteção deve estar aplicada no dispositivo de origem da conexão. Endpoints: 
Um endpoint é qualquer dispositivo usado para conectar-se ao servidor 
corporativo, seja para a habilitação de recursos – como uma impressora, ou um 
computador que irá acessar toda a rede de arquivos. Com a intensa 
transformação digital que vivenciamos, novos dispositivos são lançados todos os 
dias e existe a tendência global de que tudo deve estar conectado para a 
conveniência tecnológica. Se por um lado isso é benéfico, por outros abre 
espaço para vulnerabilidades conhecidas e até mesmo para ataques zero-day. 
25 
 
Ataques zero-day são incógnitas no mundo da segurança da informação, isso 
significa que o termo engloba ameaças que ainda não foram identificadas. O 
nascimento de novos dispositivos é o cenário ideal para esse tipo de ameaça, 
pois a princípio pode ser difícil levar a sério a informação de que um 
eletrodoméstico inteligente possa ser a porta de entrada pra algum ataque. Mas 
isso não só acontece como é também a falta de conscientização que potencializa 
essas novas vulnerabilidades. Uma brecha “zero-day” pode ser mantida 
escondida por anos até que seja descoberta, o problema é que isso pode ocorrer 
tanto por profissionais de segurança da informação quanto por hackers 
especialistas que podem, finalmente, criar algum tipo de ameaça para o 
endpoint. 
Sendo assim, um dispositivo pode estar comprometido a anos sem que 
nada acontença ou eventualmente ser surpreendido com algo devastador. 
Característica de um ataque zero-day: Possui esse nome “dia zero” porque é 
uma vulnerabilidade descoberta antes da existência de uma solução. Pode ser 
uma brecha ocultada por anos sem que seja descoberta ou até mesmo nunca 
ser ativada como ataque. Seu potencial é infinito, depende do dispositivo e da 
vulnerabilidade. 
Podem ser veículos para vírus, malwares, ransonwares, etc. Por se tratar 
de uma vulnerabilidade não reconhecida ainda, a maioria dos antivírus 
comerciais não são capazes de reconhecê-la, pois agem após o ataque e não 
preventivamente. Sendo assim, a segurança de endpoints é mais complexa e 
softwares comuns de antivírus não são o suficiente para impedir que isso 
aconteça. Diferenças entre Endpoint Security e Endpoint Protection: Existem 
dois conceitos quando falamos de endpoints, o conceito de segurança e o 
conceito de proteção. 
Apesar dos nomes serem muito parecidos, suas aplicações em segurança 
da informação ocorrem em campos diferentes: O endpoint security envolve 
soluções de segurança de última geração para servidores locais que se utilizam 
pouco ou nada de uma rede em nuvem para o fluxo de arquivos. Enquanto isso, 
o endpoint protection também é robustoo suficiente para proteger o ambiente 
local (offline), mas suas funcionalidades são direcionadas aos servidores em 
nuvem. Todo dispositivo que se conecta à rede para visualização ou 
26 
 
transferência de dados, precisa de proteção endpoint. Principais 
vulnerabilidades de um endpoint: 
Um endpoint desprotegido pode servir de porta de entrada para qualquer 
vulnerabilidade favorável a cibercriminosos. De ataques desconhecidos (zero-
day) a abordagens já conhecidas, uma rede corporativa pode sofrer diferentes 
de impactos se não tratar cuidadosamente de sua proteção endpoint. Zero-day 
Exploit: Se de maneira passiva os ataques zero-day podem simplesmente não 
causar nenhum prejuízo aos dispositivos alvo, por outro o cenário muda quando 
ele é explorado. É usado para referir-se ao ataque que ocorre logo após uma 
vulnerabilidade ser descoberta, tem altas chances de sucesso, pois ocorre antes 
mesmo que o fornecedor descubra que tal vulnerabilidade existe, sendo assim, 
é um dos principais perigos no cenário de endpoints. Malware: É usado para 
referir-se a softwares maliciosos (contração de software maliciosos), sendo uma 
categoria de ataques muito popular no mundo cibernético. É importante ressaltar 
que diversos tipos de vírus são variações de malware, mas nem todo malware é 
um vírus, logo trata-se de um tema mais abrangente na hierarquia. Ransonware 
é um tipo muito nocivo de malware que ao infectar o alvo pode impedir o acesso 
completo do usuário ao seu sistema operacional ou determinados serviços. 
É uma ameaça relativamente nova (em comparação com as outras), 
sendo popularmente conhecidas por envolver também uma solicitação de 
pagamento para que o sistema da vítima seja liberado novamente. Caso a 
empresa não realize o pagamento solicitado pelos cibercriminosos é possível 
que todos os dados armazenados sejam deletados por ele. Devido a sua 
complexidade e oportunidade de ataques em vulnerabilidades de endpoints, 
esse tipo de malware possui softwares específicos para seu combate, que tratam 
o assunto de maneira preventiva. Spywares, como o nome sugere, é um tipo de 
malware que espiona seu alvo para permitir a coleta de dados pessoais, 
bancários ou diferentes finalidades, é uma ameaça muito comum e mais 
explorada nos dias hoje. Assim como um spyware, os keyloggers também podem 
servir para espionagem, porém sua ação ocorre na captura do que está sendo 
digitado. Trojan (Cavalo de Troia): Assim como na mitologia grega, um cavalo de 
troia é adquirido disfarçado de uma outra coisa. Ocorre quando o usuário executa 
um software aparente legitimo, porém que no fundo foi corrompido no processo. 
A ameaça age muitas vezes de maneira silenciosa e quando dentro do sistema-
27 
 
alvo, viabiliza diversos pontos de entrada para novas ameaças Bots e Bonets 
são softwares e redes, que controlados por um cibercriminoso, executam tarefas 
para determinadas finalidades, podendo agir também de maneira silenciosa. 
A Engenharia Social é uma classe de ataques que se utiliza da fragilidade 
do fator humano para causar danos ou roubar informações. Seu principal tipo de 
ataque, o phishing, corre através de mensagens persuasivas, que podem ocorrer 
a partir de um simples e-mail. Os cyber criminosos se aproveitam da fragilidade 
momentânea para tentar diferentes tipos de golpe. No ano passado, por 
exemplo, o Brasil foi um dos principais alvos de Phishing – resultado da crise de 
empregabilidade pela qual o país passou. Os ataques de DDoS, também 
conhecidos como Negação Distribuída de Serviço, causam uma grande 
sobrecarga em um servidor despreparado para recebê-la. Isso ocorre quando o 
agente malicioso envia múltiplas solicitações para o recurso invadido, no intuito 
de exceder sua capacidade, e muitas vezes é desativado como resultado. Dada 
a instabilidade como resultado, são abertas oportunidades de acesso a arquivos 
e informações pessoais da vítima. DNS: 
Pouco se fala de servidores de nome como possíveis vetores de ataque, 
mas a verdade é que os domínios de website, conectados aos servidores de 
hospedagem podem revelar informações ou permitir acessos importantes de 
uma pessoa ou empresa. O processo de proteção endpoint funciona de maneira 
diferente das práticas anti-vírus tradicionais, que operam de maneira reativa. 
Isso quer dizer que os endpoins necessitam de uma estrutura própria, capaz de 
tratar ameaças de maneira preventiva, antes que elas tenham acesso ao sistema 
ou qualquer tipo de dado. Isso somente é possível com sistemas que misturem 
inteligência artificial – para identificar ações suspeitas, por exemplo, e também 
que sejam robustos o bastante para descobrirem novas ameaças de maneira 
contínua, sem que precisam sofrer com elas. Dada complexidade, um bom 
sistema de segurança endpoint tem as seguintes características: É pouco 
provável que uma cafeteira inteligente precise ter acesso a rede dos 
computadores da organização. 
A segmentação de redes, portanto, é um recurso para desvincular redes 
que possuem finalidades diferentes para evitar que ambientes menos 
preparados possam servir de ponte para os dados mais importantes da 
companhia. A maioria dos antivírus comerciais não são tão eficazes contra 
28 
 
malwares. Sendo uma das principais vulnerabilidades endpoints, os malwares 
devem ser tratados antes e não depois de executados. Existem também 
softwares específicos tratados como anti-ransonwares. Se o fator humano é 
suscetível a falhas, porque não restringir algumas ações reconhecidamente 
nocivas? O NAC é um recurso muito importante para a proteção de redes e 
endpoints, através do seu controle de acesso é possível controlar todos os usos 
internos que um usuário terá sobre aquele ambiente e definir delimitações, 
também permite que novos dispositivo sejam automaticamente configurados e 
que o usuário responda a algumas regras como a proibição da repetição de uso 
de senhas antigas, por exemplo. 
Restauração de arquivos: com o os endpoints envolvem o envio de 
dados para uma rede, é muito provável que alguns se percam quando 
necessitam de medidas preventivas para não serem contaminados. Pensando 
nisso, é interessante implementar um sistema para que os arquivos danificados 
possam ser futuramente recuperados (em uma versão livre de códigos 
maliciosos). O grande problema da maioria das medidas de proteção contra 
atividades hackers é a falta de informação sobre como tudo ocorreu, 
inicialmente. Um sistema de análise forense é capaz de descrever todo o 
cenário, facilitando o diagnóstico do que desencadeou o problema (para evitar 
recorrência) e encontrar as melhores soluções. Compliance Corporativa e 
Remediação Automatizada: Somente através de medidas pré-definidas pela 
própria corporação é possível configurar algumas medidas de segurança para 
garantir a padronização de comportamento para a maioria dos processos de 
proteção automatizada. 
Os dispositivos mobile fazem parte de do ecossistema de endpoints, mas 
devido a sua crescente utilização no meio corporativo, demandam cada vez mais 
cuidados específicos para melhorar segurança. Quando um usuário trabalha 
com seus próprios dispositivos não é possível garantir que ele não acesse sites 
maliciosos ou que possua os melhores softwares de segurança, e por isso a 
proteção passa a ser limitada aos recursos disponibilizados pela organização na 
rede. Outro grande problema é a maior vulnerabilidades a ataques de engenharia 
social, pois a distância pode causar ruídos na comunicação ou o usuário, durante 
um acesso pessoal em que ainda esteja conectado na rede do trabalho, pode 
cair em um desses golpes. 
29 
 
Segurança em Nuvem: Servidores em nuvem representam uma grande 
revolução no mercado corporativo devido a todas as suas possibilidades e 
redução de custos. Dentre todas as suas vantagens em relação a servidores 
físicos, também deve ser considerado: Sua agilidade de operação, Mobilidadefacilitada, Escalabilidade. Esse tipo de servidor é vantajoso para todo tipo de 
empresa, mas a verdade é que hoje é especialmente difícil imaginar um grande 
negócio que não esteja em nuvem. Diferentes tipos de serviço em nuvem são 
oferecidos hoje: Infraestrutura como serviço (IaaS). Quando não é possível 
montar localmente, empresas podem necessitar de infraestrutura remota para 
criar seus servidores em nuvem de maneira personalizada (como um site, por 
exemplo), é uma possibilidade para implementação de sistemas inteiros. 
Plataforma como serviço (PaaS). 
As plataformas funcionam nos momentos em que empresas querem 
desenvolver aplicações mas não necessitam criar uma infraestrutura do zero, 
com o serviço dispondo do que ela precisa para testar ou criar o que deseja. 
Software como serviço (SaaS): Os softwares como serviço representa um 
modelo comercial em que as empresas podem adquirir serviços específicos por 
períodos pré-determinados e pagam somente pelo que foi contratado, 
independente do uso. 
A nuvem pública é o principal formato da categoria. Ela é especialmente 
interessante na implementação de SaaS (Software as a Service) e poder ter seu 
armazenamento facilmente expandido. Seu ambiente propõe a virtualização de 
um sistema, acessível com conexão a internet, com base em recursos físicos 
que podem ser agrupados e compartilhados mas com regras bem definidas de 
um usuário para o outro. É o caso de muitos serviços de hospedagem de sites, 
por exemplo. É também o sistema mais baratos pelo fato de ter toda sua 
estruturada compartilhada. 
A nuvem privada, em contrapartida, é de uso particular. Seu ambiente é 
controlado por uma única empresa e por isso é totalmente personalizável. Pela 
infraestrutura não ser compartilhada, possui gastos maiores com a demanda de 
uma estrutura dedicada. É indicada principalmente para grandes negócios, que 
demandam grande performance e possuam necessidades maiores de 
privacidade. A nuvem hibrida, portanto, aproveita o melhor de cada uma das 
modalidades anteriores. Uma empresa pode se beneficiar da fácil e econômica 
30 
 
escalabilidade de um servidor público enquanto mantém arquivos de maior 
sensibilidade em um servidor privado. Com a chegada da LGPD cada vez mais 
próxima, é importante que empresas analisem o desempenho de cada equipe 
no processo para trabalhar em modelos assim. Após uma série de vazamento 
de dados, diversos países criaram medidas(LGPD) para que a responsabilidade 
das ocorrências seja maior para empresas de forma a aumentar sua 
responsabilidade sobre a segurança da informação. Enquanto a lei de referência 
é a europeia, conhecida como General Data Protection Regulation (GDPR), o 
Brasil trabalhou em sua própria versão, a Lei Geral de Proteção de Dados 
(LGPD), que busca regulamentar o uso de dados no meio corporativo no país. 
A LGPD regulamentará qualquer atividade offline ou online que envolva a 
utilização de dados pessoais e irá responsabilizar todas as empresas envolvidas 
no processo e o profissional responsável pelo controle desses dados, cargo 
conhecido como DPO (Data Protection Officer). A LGPD irá abranger qualquer 
informação pessoal, como por exemplo: Nome, Endereço, Nº de Documentos, 
etc. Todos os dados que possam servir para identificar alguém estão 
respaldados pela Lei. Além disso, a LGPD também menciona os dados 
sensíveis, que diferente da documentação, refere-se a questões como: Status 
de Saúde, Vida Sexual, Dados Genéticos, Dados Biométricos, Opinião Política, 
Origem Étnica, Religião. Participação em sindicatos ou organizações não 
governamentais, dentre outras informações que expõem aspectos íntimos da 
pessoa física. Quando a LGPD entrar em vigor, o não cumprimento resultará em 
processos administrativos e legais, podendo chegar a multas de até R$ 50 
milhões. 
A Lei aplica-se a todas as empresas que coletam e armazenam dados 
(offline ou online), e por isso todas precisam adequar-se a ela. O objetivo por 
trás da proposta é a transparência da operação de empresas públicas e privadas, 
solicitando a permissão e o consentimento dos usuários para que seus dados 
sejam armazenados para devidos fins. A penalidade financeira da LGPD irá 
variar de acordo com a gravidade da infração, sendo que as de não 
conformidade podem custar até 2% do faturamento da empresa limitando-se ao 
máximo de R$50 milhões. Também podem ocorrer impedimentos legais de 
funcionamento parciais ou totais, dependendo do problema causado. 
 
31 
 
CONCLUSÃO 
 
Diante de cenários de crise como o que estamos vivenciando, a 
possibilidade de adotar o regime de trabalho remoto é uma vantagem 
proporcionada pelos avanços tecnológicos que obtivemos nos últimos anos. No 
entanto, fica o alerta para empresas que durante esse regime, suas informações 
e seus colaboradores estão mais expostos as ameaças cibernéticas. Dessa 
forma, é primordial o controle de acesso e utilização do tipo: controle de senhas, 
autenticação de usuários, autoridades, que tipo de uso é aceitável e o que não 
é aceitável a autenticação multifator(MFA) para dispositivos móveis. 
 
 
REFERÊNCIAS: 
 
Trabalho Remoto Seguro: O Guia Da Segurança da Informação. 
Disponível em:<https://www.compugraf.com.br/trabalho-remoto-seguro-o-guia-da-
seguranca-da-informacao/>. Acesso em: 11 de abril de 2021. 
 
CIBERSEGURANÇA: A IMPORTÂNCIA DA VPN EM TEMPOS DE HOME 
OFFICE. DISPONÍVEL EM:<https://blog.infomach.com.br/vpn-em-tempos-de-home-
office/>. Acesso em: 11 de abril de 2021. 
 
Com o Home Office, Empresas descuidam de segurança e abrem brechas para 
Hacckers. Disponível em:https://canaltech.com.br/seguranca/com-home-office-
empresas-descuidam-de-seguranca-e-abrem-brechas-para-hackers-172280/>. Acesso 
em: 11 de abril de 2021. 
 
Dicas para trabalhar em Home Office: Saiba proteger informações 
importantes.https://www.techtudo.com.br/listas/2020/03/dicas-para-home-office-saiba-
proteger-informacoes-importantes-do-trabalho.ghtml/>. Acesso em: 11 de abril de 
2021. 
 
Coronavírus e Home Office: como compartilhar informações com segurança e 
manter a performance do funcionário. Disponível 
em:https://www.em.com.br/app/noticia/emprego/2020/03/16/interna_emprego,1129259
/coronavirus-e-home-office-como-compartilhar-informacoes-com-seguranca.shtml>. 
Acesso em: 11 de abril de 2021. 
 
Como a saúde e a tecnologia tendem a continuar caminhando juntas em 
2021.https://www.saudebusiness.com/ti-e-inovao/como-sade-e-tecnologia-tendem-
continuar-caminhando-juntas-em-2021>. Acesso em: 11 de abril de 2021. 
 
Falta até PC! Empresas penam para ter 'home office' no Brasil após covid-19... 
https://www.uol.com.br/tilt/noticias/redacao/2020/03/17/falta-ate-pc-para-alugar-
empresas-penam-para-ter-home-office-no-brasil.htm>. Acesso em: 11 de abril de 
2021. 
32 
 
Riscos de ataques cibernéticos em tempos de COVID-19 e “home office”: 
Como se prevenir? https://lefosse.com/noticias/riscos-de-ataques-ciberneticos-em-
tempos-de-covid-19-e-home-office-como-se-prevenir/>. Acesso em: 11 de abril de 
2021. 
 
Home-office: 5 razões para adotar serviços de VPN. Disponível em: 
https://cio.com.br/tendencias/home-office-5-razoes-para-adotar-servicos-de-
vpn/>. Acesso em: 11 de abril de 2021. 
 
CIBERSEGURANÇA: A IMPORTÂNCIA DA VPN EM TEMPOS DE HOME 
OFFICE. https://blog.infomach.com.br/vpn-em-tempos-de-home-office/ 
 
Coronavírus: home office aumenta a demanda por soluções de VPN 
https://brasilpaisdigital.com.br/coronavirus-home-office-aumenta-a-demanda-
por-solucoes-de-vpn/