Baixe o app para aproveitar ainda mais
Prévia do material em texto
UNIVERSIDADE PAULISTA-EAD PROJETO INTEGRADO MULTIDICIPLINAR CURSOS SUPERIORES DE TECNOLOGIA Projeto – Plano de Auditoria de Sistemas, amparado em testes de invasão com foco específico para Organização selecionado e devidamente alinhado ao Plano de Negócios da Organização sob o prisma da Segurança da Informação- UNIP - PIMVII UNIP Araçatuba polo Planalto 2021 UNIP EaD Projeto Integrado Multidisciplinar Cursos Superiores de Tecnologia Projeto – Plano de Auditoria de Sistemas, amparado em testes de invasão com foco específico para Organização selecionado e devidamente alinhado ao Plano de Negócios da Organização sob o prisma da Segurança da Informação- UNIP - PIMVII Nome(s) Jorge Cury Sayeg RA(s): 0593420 Curso: Segurança da Informação. Semestre: 2º semestre de 2021. Prof. Ricardo Sewaybriker UNIP Araçatuba polo Planalto 2021 RESUMO O Trabalho consiste em selecionar um ramo específico de atividade (financeiro, comércio, e-commerce, entre outros), descrevendo a estrutura organizacional (de forma resumida) e seu plano de negócios (de forma resumida). Selecionar para o ramo escolhido dois sistemas críticos de negócio, descrevendo suas funcionalidades de forma simplificada. Após esses levantamentos, estabelecer e documentar planejamento, com ações e cronograma para uma auditoria de sistemas nos sistemas críticos escolhidos, que deve ter por base o modelo adotado para os testes de invasão que, por sua vez, deve priorizar a estrutura organizacional, devidamente alinhado ao Plano de Negócios da Organização. Aplicando os conhecimentos adquiridos nas disciplinas de Empreendedorismo, Gestão da Qualidade, Auditoria de Sistemas (conceito e aplicação) e Pareceres e Testes de Invasão, deverá propor um documento Plano de Auditoria de Sistemas, que deverá priorizar os sistemas críticos mapeados, ajustados ao Plano de Negócio. Palavras Chaves: Empreendedorismo, Gestão da Qualidade, Auditoria de Sistemas e Pareceres e Testes de Invasão, Sistemas Críticos. ABSTRACT The Work consists of selecting a specific branch of activity (finance, commerce, e- commerce, among others), describing the organizational structure (in a summarized form) and its business plan (in a summarized form). Select two critical business systems for the chosen branch, describing their functionalities in a simplified way. After these surveys, establish and document planning, with actions and schedule for a systems audit in the chosen critical systems, which should be based on the model adopted for the penetration tests, which, in turn, should prioritize the organizational structure, properly aligned to the Organization's Business Plan. Applying the knowledge acquired in the disciplines of Entrepreneurship, Quality Management, Systems Audit (concept and application) and Intrusion Tests and Opinions, it should propose a System Audit Plan document, which should prioritize the mapped critical systems, adjusted to the Plan of Business. Keywords: Entrepreneurship, Quality Management, Systems Audit and Opinions and Penetration Testing, Critical Systems. SUMÁRIO RESUMO..................................................................................................................... 3 ABSTRACT ................................................................................................................. 4 INTRODUÇÃO ............................................................................................................ 7 1- ESTRUTURA ORGANIZACIONAL ....................................................................... 7 1.1- TIPOS DE ESTRUTURAS ORGANIZACIONAIS .............................................. 8 2- MODELO ORGANIZACIONAL ............................................................................. 9 3- PLANO DE NEGÓCIOS ............................ ERRO! INDICADOR NÃO DEFINIDO. 4- GESTÃO DE QUALIDADE ................................................................................. 10 5- ESTRUTURA DO SISTEMA DE QUALIDADE ................................................. 122 6- MODELOS DE GESTÃO .................................................................................. 133 7- TIPOS DE GESTORES ...................................................................................... 14 8- EMPRRENDEDORISMO .................................................................................... 15 9- AUDITORIA DE SISTEMAS DE INFORMAÇÃO ................................................ 18 10- PARECERES E TESTES DE INVASÃO E SISTEMAS CRÍTICOS ................. 19 11- TIPOS DE PENTEST ...................................................................................... 20 12- PLANO DE AUDITORIA DE SISTEMAS EM UMA EMPRESA FICTÍCIA ....... 21 13- TESTE DE INTRUSÃO EXTERNO, RELATÓRIO DE ATIVIDADES E RESULTADOS E RECOMENDAÇÕES .................................................................... 24 13.1- SUMÁRIO EXECUTIVO ................................................................................... 24 13.2- DEFINIÇÃO DO ESCOPO ............................................................................... 25 13.3- ATAQUE FORÇA BRUTA ................................................................................ 25 13.4- TESTE DE INTRUSÃO EXTERNO .................................................................. 26 13.5- SISTEMA CRÍTICO DE ALTO IMPACTO ........................................................ 27 13.6- SOLUÇÃO PROPOSTA ................................................................................... 27 .14- ATAQUE NEGAÇÃO DE SERVIÇO E SEU IMPACTO ERRO! INDICADOR NÃO DEFINIDO. 14.1- SOLUÇÃO PROPOSTA....................................................................................29 CONCLUSÃO.............................................................................................................30 REFERÊNCIAS ......................................................................................................... 31 7 INTRODUÇÃO Devido ao grande volume de dados que são manipulados a cada segundo pelos sistemas de informação, surge a necessidade da proteção dos ativos corporativos com utilização de mecanismos de segurança da informação para que os valores financeiros das diversas empresas permaneçam seguros. A falta de prevenção e a indisponibilidade desses sistemas podem ocasionar uma elevada perda financeira, consequência da interrupção de processos corporativos, e que o vazamento de informações podem levar danos irreversíveis a suas imagens. O objetivo deste trabalho é identificar a importância de um processo conhecido como Auditoria Teste de Invasão, um método que realiza simulações reais de ataque aos ativos de informação das empresas que solicitam este serviço. 1- ESTRUTURA ORGANIZACIONAL A estrutura organizacional de uma empresa repercute diretamente na capacidade de trabalho e até mesmo na produção/lucratividade. A Estrutura Organizacional eficiente, bem estudada e planejada com funcionários bem treinados e com experiência na área pode render lucros bem significativos para a Empresa, podendo até um aumento de produtividade e faturamento acima de 100%. A estrutura organizacional é a forma de alocar, distribuir e organizar a mão de obra/pessoas que fazem parte da empresa, de modo a potencializar o aproveitamento e atingir o máximo do desempenho de cada uma. Alguns dos problemas enfrentados quando a estrutura organizacional está incorreta são a dificuldade em controlar os níveis de demanda, contratação de funcionários, falta de plano de carreira eficiente,baixo desempenho dos empregados, entre outros. Ambientes de negócios onde trabalham com criatividade ou inovadores, o ambiente é colaborativo, objetivando obter pró-atividade e participação espontânea dos funcionários, gerando maior motivação para o trabalho proporcionando melhores resultados. 8 1.1- TIPOS DE ESTRUTURAS ORGANIZACIONAIS - Estrutura organizacional Linear: É o formato mais antigo e simples de estrutura organizacional e, por isso, o mais comum nas empresas de pequeno porte. Ele é inspirado na estrutura dos exércitos e possui uma hierarquia clara e bem definida. A estrutura organizacional linear se caracteriza pela autoridade única e absoluta do superior em relação a seus subordinados. As linhas de comunicação são formais, e as decisões são centralizadas. -Estrutura organizacional Linear: Nesse esquema, em vez da autoridade, o que define a hierarquia é a especialização das funções. Cada setor contribui com seu maior conhecimento para o funcionamento da organização como um todo, ganhando a palavra para decidir nos temas sobre os quais domina. Em uma estrutura organizacional funcional, nenhum chefe de setor tem controle absoluto sobre seus subordinados. Além disso, cada colaborador pode ter de responder a várias chefias. - Estrutura organizacional matricial: Esse tipo de organização mantém a divisão da organização como um todo, mas cria uma forma de hierarquia paralela, por projeto. A equipe de um projeto costuma reunir elementos de diversos setores da empresa. Por exemplo, um funcionário do departamento financeiro pode ser encarregado de cuidar das finanças desse projeto específico. Esse colaborador continuará respondendo ao chefe do seu departamento. No entanto, também irá se reportar ao líder do projeto em que trabalha. - Estrutura organizacional linha-staff: é uma combinação dos modelos linear e funcional. Ela segue o esquema da estrutura linear, mas se distingue pela existência de órgãos de consulta. A consultoria pode fazer recomendações técnicas e especializadas aos escalões inferiores, mas não pode comandá-los. A função de comando continua restrita aos chefes de cada departamento. 9 Na estrutura organizacional linha-staff, portanto, a importância do conhecimento especializado é reconhecida, mas seu formato mantém a unidade de comando. 2- MODELO ORGANIZACIONAL Hoje em dia existem basicamente dois modelos organizacionais mais praticados no Brasil. - Organograma: é o modelo mais clássico, nele a empresa possui divisões em setores: financeiro, administrativo, recursos humanos, comercial, marketing, vendas, estoque e etc. É uma boa forma de organizar um negócio, mas lembre-se de estabelecer as dependências e chefes de setores; Você encontrará esta estrutura em empresas com atividades repetitivas, que buscam uma especialização dos seus funcionários para maximizar os resultados. - Projetista: é o modelo composto de núcleos interdependentes, os quais irão atuar do início ao fim para resolver as dificuldades dos clientes. Embora estes núcleos possam ter atividades específicas, o que diferencia é a autonomia que cada um possui. São vários micro grupos responsáveis por X atividades. Ao escolher o modelo organizacional que melhor se adapta a sua empresa, comece as modificações de setores, cargos, quantidade de funcionários, colaboradores, interdependências, graus de hierarquias e demais etapas. Um ponto importante em uma estrutura organizacional é a comunicação entre os setores da Empresa, para que haja um desempenho eficiente e eficaz. Empresas para organizar melhor seus departamentos usam sistema de integração de informações (ERP ou SIG), para melhorar bastante a comunicação interna da empresa, mas mesmo assim, é interessante a regra de no máximo 3 graus de hierarquia da Presidência até a linha de frente. 10 3- PLANO DE NEÇÓCIOS O plano de negócios é o ponto de partida de um novo empreendimento, uma ferramenta de gestão para o planejamento de iniciativas empresariais. Ele ajuda o empreendedor a medir se sua ideia é viável, seja ela uma nova empresa, um lançamento de um produto ou a expansão de uma companhia já existente. Na prática, o plano de negócios é como um relatório em que constam todas as informações essenciais para o empreendimento ser colocado em prática. Ele deverá indicar o percurso a ser seguido, desde a ideia até o alcance dos objetivos traçados. O plano de negócios deve mostrar tudo o que é preciso para colocar o negócio em operação, considerando todas as áreas da empresa envolvidas, como o financeiro, o marketing e o jurídico. Deve constar estudos de mercado, definição do público-alvo e das melhores estratégias de marketing para atingi-lo, as estimativas de contratações e as previsões para as receitas e despesas, por exemplo. Também é importante indicar os pontos fracos e fortes do negócio para antecipar possíveis problemas. 4- GESTÃO DE QUALIDADE O objetivo da disciplina Qualidade de Software é apresentar, definir e avaliar os conceitos e a gestão da qualidade de processos e produtos de software, mostrando de que modo a garantia da qualidade pode ser implantada nas organizações de TI, em um mercado competitivo e exigente. Deming (1982) define que qualidade é atender continuadamente às necessidades e expectativas dos clientes a um preço que eles estejam dispostos a pagar. Deming é reconhecido pelos estudiosos da qualidade como o grande líder no gerenciamento da qualidade e como fundador da terceira onda industrial (revolução da informação). Segundo Cortês e Chiossi (2001), a qualidade é um grau previsível de uniformidade e dependência, baixo custo e satisfação do mercado, ou seja, é sempre aquilo que o cliente necessita e quer, é a ausência de falhas ou defeitos. Segundo Molinari (2003), a norma internacional ISO 9126, publicada em 1991, e que na versão brasileira de agosto de 1996 recebeu o número NBR 13596, define 11 qualidade de software como sendo a totalidade de características de um produto de software que lhe confere a capacidade de satisfazer necessidades explícitas e implícitas. Necessidades explícitas são as condições e os objetivos propostos por aqueles que produzem o software. São, portanto, fatores relativos à qualidade do processo de desenvolvimento do produto e percebidos somente pelas pessoas que trabalham no seu desenvolvimento. Necessidades implícitas são subjetivas dos usuários (inclusive operadores, destinatários dos resultados do software e mantenedores do produto), e são também chamadas de fatores externos, podendo ser percebidas tanto pelos desenvolvedores quanto pelos usuários. As necessidades implícitas são ainda chamadas de qualidade em uso, e devem permitir aos usuários atingir metas com efetividade, produtividade, segurança e satisfação em um contexto de uso especificado. A qualidade de software resulta de um conjunto completo de atividades interdependentes, entre as quais a análise e os testes necessários, mas que não são suficientes. As atividades de análise e teste ocorrem ao longo do desenvolvimento e da evolução d e sistemas de software, desde o início da engenharia de requisitos até a entrega e subsequente evolução. A qualidade depende de cada parte do processo de software, não apenas da análise e do teste. Nenhuma quantidade de teste pode compensar a baixa qualidade causada por outras atividades do processo. Por outro lado, uma característica essencial dos processos de software, que geram produtos de alta qualidade, é que o teste e a análise estão profundamente integrados ao processo, e não são pensados a posteriori (PEZZÉ; YOUNG, 2008). Existem diversas certificações, tanto para as empresas quanto para os profissionais de software, como: Certificação em Teste de Software, do Instituto IBQTS, certificações das normas ISO para as empresasem processos de qualidade de software, como CMMI -DEV e MPS.BR. Gestão de Qualidade é o planejamento de uma estrutura específica, com funções e ações bem definidas. Conforme a NBR ISO 9000, o Sistema de Gestão da Qualidade objetiva a direção e o controle numa empresa no que diz respeito à qualidade. Para compreensão do sistema, é necessário o esclarecimento das palavras-chave mais utilizadas. Os Princípios de Gestão de Qualidade que são importantes para Empresa, Foco no cliente, liderança, envolvimento das pessoas, abordagem de processo, abordagem do sistema para gestão, melhora contínua, abordagem dos fatos e benefícios mútuos com fornecedores. Excelente equipe de TI treinada e em constante 12 avaliação. Além dos princípios, os Fundamentos de Sistemas de Gestão de Qualidade tem como necessário para sua sobrevivência no mercado, a Satisfação de clientes, requisitos, abordagem do sistema, abordagem de processo, política da qualidade, objetivos da qualidade, alta direção, documentação, avaliação, auditoria, análise crítica, auto avaliação, melhora contínua, técnicas estatísticas, integração com outros enfoques e relação com modelos de excelência. Gestão, organização, processo, produto, características, conformidade, documentação, exame, auditoria e garantia da qualidade de processos de medição. Improvisação não combina com Sistema de Gestão da Qualidade, pois a partir de um sistema de gestão, as atividades da empresa são consideradas processos, cujo foco principal é a satisfação do cliente. Processos: - Entradas: são os valores, as estratégias, políticas da empresa para a qualidade, diretrizes organizacionais e normas da qualidade, decisões e informações, estudos de mercado e análise do comportamento do consumidor. - Saídas: são os produtos ou serviços que respondam às exigências e satisfaçam os clientes, bem como as atitudes, comportamentos e ações que priorizem a qualidade. - Componentes: são a produção, os laboratórios, as áreas de inspeção e as demais áreas da empresa cujas atividades afetem a qualidade. - Princípios básicos de funcionamento: são os procedimentos e políticas da empresa com relação à qualidade, geralmente estão presentes no Manual da Qualidade. Princípios esses que são fundamentais para que possa ter um bom andamento desde a compra de insumos e tudo que for necessário para a produção até o produto final. - Objetivos: são na verdade os produtos ou serviços com qualidade. - Realimentação: é o acompanhamento permanente dos resultados obtidos pelo produto ou serviço no campo. Em determinadas Empresas como vendas, pode se dizer que é o pós-venda. 5- ESTRUTURA DO SISTEMA DE QUALIDADE 13 O Sistema da Qualidade deve prever um ciclo de gerenciamento semelhante ao PDCA (Plan-Do-Check-Act). Ou seja, o administrador deve planejar o que vai ser feito, redigir os procedimentos e instruções. O segundo passo é fazer conforme o planejado. Em seguida, se deve verificar o que foi feito e registrar os resultados. Finalmente, ele deve adotar ações corretivas para o caso de não conformidades. Todos os processos de qualidade têm como objetivo final impactar positivamente nas vendas. E entender a percepção do cliente é importante para se definir planos de ações focados e efetivos. Se o produto é caro, imagina-se que ele seja de boa qualidade ou vice-versa. Preço é a quantidade de dinheiro que o consumidor desembolsa para adquirir determinado produto e que a empresa recebe por ter fabricado um produto ou prestado um serviço. Mas nem sempre o mais caro pode ter a melhor qualidade. Para que a Empresa tenha lucro e bons resultados tem que avaliar o potencial da área onde será comercializado determinado produto ou serviço. Exemplo: não se vende guarda-chuvas no deserto. Penso que deve haver uma relação entre produto e preço e onde será comercializado. Preço comunica valor. Se o produto custa mais, o consumidor cria expectativa de que tem muita qualidade. Se o produto é barato, o consumidor tende a achar que a qualidade não deve ser tão boa assim. Para o cliente o valor que ele paga tem que corresponder a expectativa e criar uma satisfação a mais do que ele esperava por aquele produto. Todo preço tem como base o custo. Para competir por preço, deve-se viabilizar o custo mais baixo, pois quem fixa o preço é o mercado. O custo não pode ser ignorado, mas também não deve ser usado como única base de decisão para determinação do preço. 6- MODELOS DE GESTÃO Toda Empresa precisa seguir um modelo de Gestão e a que se adequa melhor ao ramo escolhido. Como a Empresa quer se relacionar com os colaboradores, clientes internos e externos, esse relacionamento depende muito dos gestores envolvidos 14 diretamente com os profissionais. Os relacionamentos dependem de fatores como: liderança, capacidade de se relacionar, ser um ótimo gerenciador e medidor de conflitos, ter equilíbrio emocional, ter iniciativa, criatividade com base em fundamentos da área de atuação, pro-atividade e automação, sempre seguir aprendendo, e mapeamento e retenção de talentos. - Gestão por Resultados: modelo baseado por metas à alcançar tratadas entre líderes e liderados. - Gestão por processos: baseia no desejo de atingir resultados a partir da diminuição de custos operacionais, ganhos na produtividade e da satisfação dos clientes. .A Gestão executa, monitora, controla e melhora os processos de negócio. Ela exige da organização uma cultura de busca por evolução permanente, auxilia na definição das políticas que orientam as operações da empresa, com foco na eficiência e eficácia. Baseada na Metodologia PDCA, que em português quer dizer Planejar, Fazer, Verificar e Agir. - Gestão Participativa: Todos os colaboradores participam, é um formato mais aberto, pois a tomada de decisão está na mão de todos, onde o bom relacionamento entre diretores e gestores é a chave do sucesso. Nesta gestão os colaboradores tão qualificados quanto os gestores e otimiza-se as tarefas diárias. 7- TIPOS DE GESTORES - Autoritário: Tem como base a Hierarquia, e para eles o funcionário é substituível e pouco importam, e a atenção é total nos lucros. - Paternalista: Está mais preocupado com os funcionários do que com os lucros, sendo assim, o sentimento dos funcionários são prioridades com base em direitos e responsabilidades. Acarreta prejuízo para Empresa. - Democrático: Tem como base a flexibilidade e abertura, os colaboradores expressam suas opiniões, constrói uma boa relação com todos, e grande capacidade para administrar conflitos e tarefas. 15 - Coaching- Prioriza o desenvolvimento dos colaboradores para que cresçam profissionalmente. O gestor tem que ter a capacidade de identificar talentos na equipe. - Meritocrático- exerce a cultura do merecimento, são reconhecidos conforme seu desempenho, trazendo motivação e até promoções. 8- EMPRRENDEDORISMO O objetivo da disciplina Empreendedorismo é entender os diferentes tipos de organizações envolvendo conceitos de administração, abordando questões históricas e fundamentando as principais bases das teorias administrativas. Nela, serão estudados a função e o papel da administração e do administrador no contexto das organizações para que s e adquira uma visão integrada do processo gerencial e do papel dos dirigentes. Todo negócio envolve necessariamente o ato de produzir ou vender um produto ou de prestar um serviço. Um produto é um bem concreto: algo que se pode pegar, ver e apalpar. Uma mercadoria ou um bem que pode ser destinado ao consumo (bens consumo) ou à produção de outros bens (bens d e produção); um bem ou produto é um complexo de atributos tangíveis e intangíveis, incluindo embalagem, cor, prestígio do varejista, serviços proporcionados pelo produtor ou varejista, que o comprador aceita como satisfatórios para suas necessidades e desejos. Mas um serviço é também uma atividade especializada (CHIAVENATO, 2008). Segundo Chiavenato (2008), o objetivo de um negócio é obter lucro a partir da comercialização de bens ou serviços que atendam às expectativas e desejos da sociedade. A Administração estratégica integra o planejamento estratégico e a Administração em um único processo, sendo que o primeiro torna-se uma atividade contínua em que os administradores são encorajados a pensar estrategicamente, focando na visão estratégica de longo prazo, assim como em questões táticas e operacionais em curto prazo (BATEMAN; SNELL, 1998). De acordo com Hamel e Prahalad (1995), a Administração Estratégica pode ser conceituada como sendo a Administração voltada a fortalecer as competências d a 16 organização, com vistas à obtenção da vantagem competitiva ante a concorrência. Ela é viabilizada com o envolvimento das áreas de conhecimento da organização que concebem uma empresa como um portfólio de competências, surgindo daí uma enorme gama de possíveis oportunidades. O clima organizacional é um conjunto de fatores e itens de caráter permanente que distingue uma organização da outra, influenciando o comportamento de indivíduos. A cultura organizacional é um sistema sociocultural que revela a identidade da organização a partir d e padrões de comportamento. A mudança organizacional é qualquer modificação ou transformação na forma como uma organização funciona, seja na composição dos seus membros, nos recursos utilizados ou nas tarefas executadas. O termo empreendedorismo foi empregado em todos os processos do projeto (a partir das reuniões em grupo, orientações com o professor, brainstorming, desenvolvimento do sistema e a apresentação), pois se trata de uma atividade em equipe onde se tornou possível colocar em prática tudo que aprendemos durante o curso despertando o espírito empreendedor de cada integrante do grupo. Características empreendedoras dos sócios-proprietários da Empresa O empreendedor pode possuir diversas características. De acordo com Dornelas (2008), os empreendedores de sucesso possuem as seguintes: Iniciativa: são pessoas que não ficam esperando que os outros (o governo, o empregador, o parente, o padrinho) venham resolver seus problemas. A iniciativa, enfim, é a capacidade da quele que, tendo uma adversidade qualquer, age: arregaça as mangas e parte para a solução; Persistência: por estar motivado, convicto, entusiasmado e crente nas possibilidades, o empreendedor é capaz de persistir até que as coisas comecem a funcionar adequadamente; Autoconfiança: o empreendedor tem autoconfiança, isto é, acredita em si mesmo. Se não acreditasse, seria difícil tomar a iniciativa. A crença em si mesmo faz o indivíduo arriscar mais, ousar, oferecer-se para realizar tarefas desafiadoras, enfim, torna -o mais empreendedor; Aceitação dos riscos: ainda que muitas vezes seja cauteloso e precavido, a verdade é que o empreendedor os aceita em alguma medida; Ausência de temor do fracasso e da rejeição: o empreendedor fará tudo o que for necessário para não fracassar, mas não é ator mentado pelo medo paralisante d a 17 derrota. Pessoas com grande amor próprio e receio do fracasso preferem não tentar correr o risco de não acertar – ficam, então, paralisadas; Decisão e responsabilidade: o empreendedor não fica esperando que os outros decidam por ele. Ele toma decisões e aceita a responsabilidade que elas acarretam; Energia: é necessária uma dose de energia para se lançar em novas realizações, que usualmente exigem intensos esforços iniciais. O empreendedor dispõe dessa reserva de energia, vinda provavelmente de seu entusiasmo e motivação; Automutilação e entusiasmo: pessoas empreendedoras são capazes de automotivação relacionada a desafios e tarefas em que acreditam. Não necessitam de prêmios externos, como compensação financeira. Igualmente, por sua motivação, são capazes de se entusiasmarem com suas ideias e projetos; Controle: o empreendedor acredita que sua realização depende de si mesmo, e não de forças externas sobre as quais não tem controle. Ele se vê capaz de controlar a si mesmo e de influenciar o meio de modo a poder atingir seus objetivos; Ser voltado para equipe: o empreendedor em geral não é um fazedor, no sentido obreiro da palavra. Ele cria equipe, dele, acredita nos outros e obtém resultados por meio disso; Otimismo: o empreendedor é otimista, o que não quer dizer sonhador ou iludido. Acredita nas possibilidades que o mundo oferece, na chance de solução de problemas e no potencial de desenvolvimento; Capacidade empreendedora: se uma pessoa tem capacidade empreendedora, ela tem boa probabilidade de acertar no mundo do pequeno negócio. Mas a verdade é que os negócios exigem um pouco mais do que pura e simplesmente talento empreendedor. Empreendedores de sucesso são líderes determinados e eficazes, obcecados por oportunidades, criativos, motivados, autoconfiantes e tolerantes a incertezas e riscos. A liderança é uma das mais importantes habilidades para se conseguir ser um empreendedor bem-sucedido. Na verdade, um líder reúne várias habilidades, para influenciar os outros no atingimento das metas das empresas. O grande líder é aquele que tem visão, que sabe criar e realizar visões. Ter uma visão de futuro e saber comunicá -la aos outros é hoje uma das principais funções da liderança. “Visão é uma imagem mental de um estado futuro possível e desejável para a organização. Grandes líderes imaginam um futuro ideal para suas organizações, um futuro que vai além do 18 comum e do que os outros possam ter considerado possível” (BATEMAN; SNELL, 1998, p. 336). 9- AUDITORIA DE SISTEMAS DE INFORMAÇÃO A auditoria sistemas tem como objetivo analisar se as operações e processos de determinada organização estão em conformidade com as diretrizes pré-determinadas, realizada por profissionais capacitados para o tal trabalho. A auditoria procura analisar e avaliar a eficácia dos processos, exercendo também uma função preventiva, a fim de determinar se esses são adequados e se cumprem com seus determinados objetivos ou estratégias, assim é possível estabelecer mudanças necessárias à obtenção dos objetivos. Trata-se da segurança de informação, processo que tem como principal foco, operações na área de tecnologia da informação. A auditoria não pode ser realizada de qualquer maneira. Para isso, existem organizações de normatização dedicadas ao estabelecimento de modelos de padronização de processos. A ISO, por exemplo, sigla para Organização Internacional de Padronização, é um desses órgãos. Sua função é promover a normatização de produtos e serviços, a fim de conferir qualidade aos mesmos. É extremamente importante a preparação do profissional auditor, e atualização constante do conhecimento permanente. O processo de auditoria de gestão, por exemplo, tem como referência a norma ISO 19001:2018 e a ISSO 27000. Quando as organizações determinam estratégias para garantir qualidade e competitividade aos seus produtos e serviços, ou ainda quando é preciso estabelecer salvaguardas para o atendimento de requisitos técnicos, há a necessidade de implementar um sistema de gestão. São definidos os requisitos para a implementação de um programa de auditoria, papeis, responsabilidades e o escopo do programa de auditoria. Uma organização pode passar por diferentes tipos de auditoria de sistemas, os principais são: Interna e Externa. - Auditoria Interna: é um processo realizado pela própria organização para auditar seus sistemas e procedimentos e visa garantir que seus parâmetros estejam sendo seguidos devidamente e que os resultados esperados sejam atingidos. A organização 19 toma conhecimentos dos processos que não estão em conformidade com suas diretrizes e identifica oportunidadesde melhorias. A auditoria interna não pode ser realizada por qualquer profissional. Para ser um auditor é preciso ter as competências necessárias, habilidades e experiências para executar sua função com êxito e de acordo com a ISO 19011 bem como no sistema ao qual será auditado. Esse tipo de auditoria é de suma importância para organizações que desejam medir, de forma eficaz, seu desempenho em relação às normas e diretrizes a serem seguidas. - Auditoria Externa: é realizada por um auditor independente. A auditoria externa e especializada é fundamental para averiguar se os processos estão, de fato, adequados às normas e diretrizes pré-determinadas, e por ser independente em relação a empresa, sua opinião não pode sofrer nenhum tipo de influência. Pode ser contratada pela própria empresa ou pode ser um processo determinado pelas leis relacionadas ao setor de atuação da empresa, tornando a auditoria externa obrigatória, sendo exercida normalmente por um órgão regulador. A realização constante de auditorias de sistemas dentro de uma organização é fundamental para a diminuição de falhas e fraudes que podem estar presentes nesses sistemas. A auditoria externa, em especial, também garante à organização credibilidade quanto aos seus serviços, tanto perante clientes quanto fornecedores. Os fundamentos de uma auditoria de sistemas para uma performance eficaz e segura são: Desempenho, privacidade, confiabilidade, integridade, e confidencialidade. Uma auditoria completa se resume em quatro passos básicos: Planejamento, Execução, Relatório e Plano de ação. 10- PARECERES E TESTES DE INVASÃO E SISTEMAS CRÍTICOS 20 Conhecido mundialmente como Penetration Testing (teste de penetração) ou apenas Pentest, o teste de invasão é um método que realiza testes, analisa e explora todas as possibilidades de vulnerabilidades em uma rede ou sistemas operacionais. Essa auditoria pode ser executada sobre os ativos de informação do cliente. É um processo que avalia detalhadamente o nível de segurança de um sistema ou rede usando a mesma visão de um invasor (blackhat), verifica em tempo real o nível de segurança de determinadas infraestruturas corporativas e as informações nelas contidas. Tem o objetivo de simular ataques de maneira controlada como se fosse alguém mal intencionado na tentativa de invadir um sistema. Obtendo informações do que poderá acontecer se realmente o ambiente for invadido, é extremamente importante à aplicação destes testes, pois através deles serão criados mecanismos de defesa, garantindo assim a possibilidade de prevenção sobre os riscos e impactos associados à exploração das vulnerabilidades. 11- TIPOS DE PENTEST - Black Box: O pentester, ou seja, a pessoa responsável pela execução do teste, faz a análise como se o sistema fosse uma espécie de “caixa vedada”, que protegesse informações sobre infraestrutura e sistemas da rede auditada. É feito uma análise inicial um pouco mais prolongada que no modelo White Box, onde é necessário uma pesquisa sobre a empresa e suas características, diretores, filiais, serviços prestados, softwares adotados por ela, arquitetura da rede e outros fatores que ajudem a identificar as variáveis para o teste de invasão. O intuito deste teste de invasão é simular um ataque hacker por alguém externo à empresa, ou seja, alguém que realmente não tenha um acesso fácil às informações da mesma. É um teste “às cegas” em relação aos dados fornecidos antecipadamente, mas que pode identificar as vulnerabilidades que poderiam facilitar esse tipo de invasão. - White Box: Neste caso, a pessoa que faz o teste tem conhecimento prévio de toda a infraestrutura analisada: mapeamento de rede, IPs, firewalls, roteadores e outras informações da empresa. O auditor possui um grande nível de informações para 21 analisar todos os serviços que puder e focar seus esforços em identificar e explorar vulnerabilidades, sem ter que descobrir informações básicas. Identifica vulnerabilidades que podem ser exploradas de dentro da empresa, por um colaborador ou consultor com objetivos questionáveis. A intenção é entender que tipo de informações confidenciais poderiam ser roubadas e evitar os ataques. Para que uma visão interna seja ainda mais nítida, o auditor pentester pode receber um acesso de usuário do sistema interno ou ainda uma conta de e-mail comumente usada por um colaborador da empresa. Todo esse processo começa com um planejamento e pré-acordo do que será testado escolhendo a modalidade de análise, Objetivos a serem alcançados e termo de confidencialidade. Após planejamento, a etapa do reconhecimento e avaliação que vai obter mais dados sobre o ambiente da Empresa, tipo os servidores, IPs, servidores, SOs, portas, aplicações de segurança e dados e tudo que compõe o ambiente físico e digital. A partir do que foi analisado e identificado no passo anterior, é definido o pentest mais assertivo para o momento, É possível explorar cada item de forma isolada, seja por um “exploit” que é software ou código que tem como objetivo assumir o controle de computadores ou roubar dados de rede ou um “brute force” que é um ataque onde se força a entrada em algum sistema, site, servidor, aplicativo, dependendo do ativo ou aplicação que está sendo analisada ou explorada. 12- PLANO DE AUDITORIA DE SISTEMAS EM UMA EMPRESA FICTÍCIA Em uma cidade também fictícia chamada Primorium do Sul – SP funciona uma empresa especializada em venda de veículos nacionais, denominada MUSGO VEÍCULOS. Grande parte da negociação dos veículos é realizada por meio de serviços disponibilizados em seu website (www.musgoweb.com.br) que está online há pouco mais de dois anos. A empresa vende em média dois veículos por semana com valores que variam de R$ 20.000,00 a R$ 25.000,00. Representada por vinte e seis funcionários alocados nas mais diversas funções, das quais a maioria utiliza computador para execução de suas tarefas, com um técnico de TI E um auxiliar. A estrutura organizacional composta hierarquicamente em; Sócios Proprietários 22 Presidência Diretoria Comercial Diretoria Administrativa Financeiro Marketing Vendas TI- gerente e técino Considerada uma empresa de pequeno porte, a MUSGOWEB possui uma modesta estrutura de TI composto por: 24 Desktops, 4 Servidores, 2 Switches de 24 portas e um link de internet dedicado. Os três servidores executam as seguintes funções: Hospedagem do site, serviço de DNS, E-mail e armazenamento de arquivos. Para proteção do ambiente de rede existe um Firewall. Em determinado dia de trabalho, um cliente interessado na compra de um veículo tentou acessar o site da empresa para verificar o modelo do seu interesse, ao abrir a página ele se deparou com a mensagem e que sua página foi hackeada. Imediatamente entrou em contato por telefone com a área comercial para informar o ocorrido. O questionamento foi repassado para a área de tecnologia para verificar o que aconteceu que deixou o site indisponível. A resposta do administrador de TI foi simples e categórica. “Nosso site foi invadido”. Tendo ciência da gravidade do caso, o gerente da TI verificou imediatamente se o servidor sofreu maiores danos. Após várias horas com o serviço de vendas indisponível, foi realizada uma análise nos arquivos, banco de dados, estrutura do site e logs de acesso, o mesmo constatou que o único dano causado pela invasão foi o chamado defacement (conhecido pelo ato de modificar a estrutura da aparência do site), e depois da restauração de um Backup recente, o site voltou ao normal, não havendo perda de dados críticos. Na manhã do dia seguinte, de posse das informações do fato ocorrido o diretor administrativo solicita ao departamento de T.I uma checagem completa das fragilidades possivelmente existentes na rede da sua empresa. Surge então a necessidadeda contratação de uma empresa terceirizada com especialização em teste de invasão em redes corporativas, para verificar se os controles de segurança aplicados pela equipe interna de T.I fornecem a proteção adequada ao seu ambiente. Após uma reunião com a diretoria e pesquisa de mercado 23 de uma empresa que atendesse as necessidades da MUSGOWEB, chegaram ao acordo da escolha da empresa JORGE SOLUTICON. Os trabalhos se iniciaram uma semana seguinte a invasão. Procedimentos Realizados Primeiramente a empresa contratada juntamente com a contratante reuniu-se para definir o escopo do trabalho que será realizado, onde determinaram quais equipamentos serão alvos do teste de invasão. O teste inicia-se com a identificação das informações de rede da organização, o procedimento começou com uma busca na internet dos dados públicos referente à MUSGOWEB. De posse dessas informações foram encontrados alguns servidores e respectivos endereços IP dos quais foram alvos das varreduras em busca de portas de serviços abertas. Obtendo conhecimento dos serviços disponíveis, foi possível a realização de ataques bem sucedidos a estes servidores, possibilitando exploração de suas vulnerabilidades que pode ocasionar a obtenção de dados sensíveis da empresa e provável indisponibilidade dos serviços. Detalhes técnicos de todo procedimento realizado pela consultoria JORGE SOLUTION na infraestrutura de redes de computadores da MUSGOWEB resultaram em um relatório de Auditoria teste de invasão descrito no Anexo A deste trabalho. A empresa tem como principal foco a venda online de veículos, onde a indisponibilidade dos servidores que sustenta os serviços e sistemas pode acarretar em enormes prejuízos financeiros. Com a contratação da consultoria JORGE SOLUTION a MUSGOWEB alcançou seu objetivo no que diz respeito a verificação das fragilidades dos servidores disponíveis para acesso de seus clientes. A Consultoria ajudou a contratante na conscientização da gerência administrativa e também da equipe de tecnologia dos princípios referentes a segurança da informação como aliada de seus negócios, para que as tentativas de ataques oriundas da Internet sejam devidamente bloqueadas e prevenidas com o auxilio de técnicas de proteção aplicadas em todo ambiente computacional. A execução do teste de invasão em ambiente controlado demonstrou de maneira clara para a contratante a quantidade de ferramentas que podem ser utilizadas por blackhats para exploração de vulnerabilidades que não são verificadas pela equipe interna de segurança. A importância da realização de testes periódicos auxiliam na manutenção da conformidade técnica dos controles de segurança implementados, além de reforçar a 24 ideia de que a contratante sempre deverá estar focada na melhoria dos controles e processos para proteção de Sua estrutura de TI. Portanto, a auditoria teste de invasão se tornou uma aliada da instituição na verificação e correção destes controles, proporcionando aos gestores mais confiança e segurança de que seus sistemas estarão sempre acessíveis, garantindo a disponibilidade da informação que consequentemente acarretará na saúde financeira da contratante. 13- TESTE DE INTRUSÃO EXTERNO, RELATÓRIO DE ATIVIDADES E RESULTADOS E RECOMENDAÇÕES - Cliente(Fictício): MUSGO WEB VEÍCULOS LTDA Destinatário: Sócio Majoritário Remetente(Fictício): JORGE SOLUTION Este documento contém informações privilegiadas e confidenciais, e seu acesso é autorizado apenas aos seus destinatários, descriminados acima. Fica o seu receptor notificado de qualquer disseminação, distribuição ou cópia, exceto quando expressamente autorizada por um dos destinatários acima, é estritamente proibida. Se você leu este documento indevidamente ou por engano, por favor, informe este f Este documento detalha à diretoria de forma abrangente o relatório, logo depois o escopo das atividades que serão realizadas neste trabalho de teste de intrusão. Posteriormente, existe a descrição das vulnerabilidades encontradas, bem como níveis de criticidade, impacto e as recomendações necessárias para segurança do Ambiente. 13.1- SUMÁRIO EXECUTIVO O objetivo do trabalho realizado pela JORGE SOLUTION foi alcançado, com a realização da execução dos testes de invasão demonstrados nesse relatório, na qual a empresa MUSGOWEB foi submetida a uma auditoria de segurança no dia 10 de outubro de 2021 pelo período de 08:00 às 20:00 horas, momento em que o presente trabalho foi concluído. Os resultados das análises e testes indicaram fragilidades nos controles de segurança dos servidores que disponibilizam os serviços externos, na presença das irregularidades e falhas apontadas no corpo deste relatório. 25 Percebemos que, nitidamente não houve nenhum tipo de proteção quanto à execução das atividades executadas pela JORGE SOLUTION, que os ataques direcionados ao escopo definido no neste trabalho não foram bloqueados por nenhum tipo de controle. Nesse contexto, diante do volume de apontamentos negativos no relatório, entendemos ser de fundamental importância o engajamento da área de tecnologia da informação com atuação no processo de segurança da infraestrutura computacional, para que haja um retorno do investimento realizado com a contratação da auditoria de segurança para identificação e recomendações de melhoria nos controles de proteção à segurança do ambiente tecnológico da MUSGOWEB. 13.2- DEFINIÇÃO DO ESCOPO Realização de diversos testes conhecidos como BlackBox, ou seja, sem conhecimento do ambiente a ser testado, sem fornecimento de credenciais de acesso aos sistemas da MUSGOWEB para os testes nas partes internas das aplicações em ambiente de produção. O serviço de segurança proposto para este processo realizou testes de segurança no escopo abaixo definido pela MUSGOWEB. Lista dos servidores que serão testados (são meramente fictícios para exemplo neste trabalho): 170.20.0.1/24-servidor DNS 170.20.0.3/24- Servidor WEB responsável pela hospedagem da página do site da empresa. URL: www.musgoweb.com.br 13.3- ATAQUE FORÇA BRUTA Um ataque de Força Bruta, ou Brutal Force, Consiste em gerar todas as combinações de senha possíveis em sequência para fazer acesso à um sistema. Geralmente são iniciadas com os logins padrão, como admin, administrador, root, etc. Foram realizados tipos de ataques com base nos serviços encontrados em cada endereço IP. Iniciamos pela realização de um levantamento de informações (footprint) da empresa alvo. Foi utilizado um comando chamado WHOIS que reúne informações disponíveis na internet sobre determinado domínio. 26 Exemplo: root@bt: ~# whois musgoweb.com.br > musgoweb.txt root@bt: ~# O resultado obtido no levantamento de informações foi copiado para um documento de texto com todas as informações da MUSGOWEB disponíveis na Internet: 13.4- TESTE DE INTRUSÃO EXTERNO Com posse das informações importantes e confidenciais, podemos então realizar a fase de varredura de portas nos endereços IPs dos servidores encontrados. A primeira varredura foi realizada no servidor que hospeda a página web da empresa no endereço IP 170.20.0.3/24. Utilizamos o comando nmap –sV 170.20.0.3 com a finalidade de extrair os banners dos serviços que estão rodando no servidor. Após a realização da varredura do servidor, identificamos no sistema operacional OPENSUSE duas portas abertas relacionadas a serviços SSH e HTTP. O próximo passo será a tentativa de ganho de acesso ao sistema / invasão. Primeiramente realizamos a tentativa de conexão com o serviço SSH. O SSH é um protocolo de rede desenvolvido para comunicação de dados, login remoto por linha de comando e execução remota de comandos de forma criptografada. Verificamos então se é possível se conectar ao servidor pela porta do SSH utilizando o comando ssh 170.20.0.3.Exemplo: root@:~# ssh 170.20.0.3 Password: O servidor solicita o Password (senha) para conexão. Por padrão alguns administradores costumam acessar seus servidores como root. Então usamos uma ferramenta em interface gráfica chamada xHydra que é muito utilizada para escalação de privilégios através da quebra de senhas para obtermos acesso ao servidor, e depois realizamos a descoberta da senha de root utilizando uma wordlist (lista de palavras) com senhas mais comuns. Este ataque é conhecido como ataque de dicionário ou força bruta. A ferramenta retorna a porta e o serviço atacado, o endereço IP do servidor, o login de acesso e a senha do root. O próximo passo será a tentativa de invasão com escalação de privilégio. 27 Novamente utilizamos o comando ssh 172.20.0.3, já que o sistema disponibilizava o acesso ao SSH como root, foi necessário apenas informar a senha “123456” encontrada com a ferramenta xHydra. Após a inserção da senha, obtemos o ganho de acesso como root a todos os principais diretórios do sistema operacional OPENSUSE que hospeda o website da MUSGOWEB podendo realizar qualquer tipo de operação com todos os privilégios no sistema auditado. 13.5- SISTEMA CRÍTICO DE ALTO IMPACTO Através da exploração de uma falha humana, deixando um servidor na internet com a porta 22 do serviço de SSH com a configuração de usuário e senha padrão, um atacante tem acesso ao sistema vulnerável, onde pode abusar de credencial administrativa com a qual acessa toda raiz do sistema com o máximo de privilégios, como: Criar contas no sistema, instalar softwares, mudar senhas, realizar downloads e uploads de arquivos, além de extrair e até mesmo excluir dados do servidor. 13.6- SOLUÇÃO PROPOSTA Tratar todas as senhas do sistema com configurações de senha forte, que devem ser compostas por letras maiúsculas, símbolos e números, não utilizar palavras contidas em dicionários, não disponibilizar acesso ao SSH diretamente com usuário root e alterar a numeração da porta do SSH para outra de preferência do administrador do sistema. 14- ATAQUE NEGAÇÃO DE SERVIÇO E SEU IMPACTO Um ataque de negação de serviço também é conhecido como DOS Attack, consiste na tentativa de tornar os recursos de um sistema indisponível para seus utilizadores. Este tipo de ataque não se trata de uma invasão de sistema, mais sim da sua 28 invalidação por sobrecarga. Foram realizados tipos de ataques com base nos serviços encontrados no endereço IP do servidor DNS. Novamente realizamos uma varredura com a ferramenta NMAP em cima do endereço IP do servidor DNS, que é responsável pelo sistemas de resolução de nomes da MUSGOWEB. O comando utilizado foi nmap –sV 170.20.0.1. A ferramenta novamente retorna informações importantes a respeito do Servidor que hospeda o serviço de DNS. Várias portas relacionadas a serviços conhecidos encontram–se abertas, a versão do sistema operacional é Windows Server 2003 (sistema que tem o suporte já descontinuado pela microsoft). Portanto, iremos testar uma vulnerabilidade já conhecida como MS 12-020 em cima do serviço de Desktop remoto conhecido como RDP. O ferramenta nmap nomeia este serviço como ms-wbt-server porta 3389. Utilizamos para realizar o ataque ao servidor DNS uma ferramenta conhecida como metasploit. O metasploit é um framework open source que contém programas preparados especificamente para tirarem partido de vulnerabilidades encontradas nos softwares e sistemas operativos, permitindo assim a execução de códigos maliciosos e consequentemente a invasão de maquinas. Com posse do endereço IP do servidor alvo, executamos o metasploit com o comando msfconsole para execução dos códigos de ataque ao serviço vulnerável. O próximo passo foi utilizar um exploit existente no metasploit com os comandos abaixo: use auxiliary/dos/window/rdp/ms12_020_maxchennelids set Rhost 170.20.0.1 exploit no momento da execução do comando exploit o servidor atacado fica indisponível imediatamente. Ataque de negação de serviço realizado com sucesso deixando o sistema de DNS da MUSGOWEB indisponível para acesso. 29 Através da exploração de uma falha do protocolo RDP no Windows Server 2003, possibilitando a indisponibilidade do servidor DNS com um ataque de negação de serviço na porta 3389 do serviço RPD, um atacante é capaz de deixar indisponível um serviço de extrema importância para a empresa MUSGOWEB, impossibilitando a resolução de nomes internos e externos por parte dos clientes da companhia possibilitando na perda financeira pela falta de acesso dos serviços online. 14.1- SOLUÇÃO PROPOSTA A empresa deve sempre estar alinhada com as principais atualizações de segurança de todos os sistemas operacionais, impedindo que as falhas mais comuns sejam sanadas impossibilitando a exploração das vulnerabilidades pelos crackers na Internet. Também é necessário que os sistemas operacionais rodem apenas serviços que estejam ativos no servidor, bloqueando as portas não utilizadas. 30 CONCLUSÃO A segurança da informação possui um papel fundamental para as organizações que usufruem dos benefícios da tecnologia, pois impacta diretamente e indiretamente no negócio, provendo a proteção do ambiente tecnológico minimizando os riscos e impactos. A segurança da informação visa à manutenção dos dados particulares da instituição, de forma integra, provendo a confidencialidade, integridade e disponibilidade, eliminando todo tipo de ameaça a estas informações. Portanto, realizar a proteção ofensiva na infraestrutura destas redes de computadores corporativas, por meio da auditoria teste de invasão é de extrema importância, pois a realização de testes controlados através de tentativas de ataques reais, como se fosse executado por um blackhat oriundo da internet, auxilia na identificação de possíveis fragilidades nos sistemas, como a falta de controle técnico e ausência de conformidade com as normas de segurança nacionais e internacionais, e posteriormente na orientação para correção das vulnerabilidades encontradas. Este trabalho apresentou conceitos de segurança da informação, auditoria contábil, auditoria de tecnologia da informação e teste de invasão para elucidar e conectar as informações que compõem uma auditoria teste de invasão. Apresentou também de maneira pratica através de um estudo de caso fictício em ambiente corporativo, ferramentas que podem realmente comprometer sistemas que disponibilizam serviços, tanto públicos quanto privados, através da invasão de servidores vulneráveis. A auditoria teste de invasão é um modo de detecção e correção de falhas e vulnerabilidades no sistema de informação da organização contratante deste serviço. É de grande valia a manutenção da segurança da instituição, realizando auditorias preventivas para que de maneira alguma o negócio seja afetado por conta da indisponibilidade e do vazamento de dados críticos, causando danos e perdas financeiras ao negócio da empresa. Por fim, com o conhecimento sobre segurança, auditoria e teste de invasão, o leitor tem a possibilidade de perceber com clareza os processos de uma auditoria de segurança da informação e terá a consciência da 31 importância da execução de testes sobre os controles técnicos implementados, para proteção da informação das instituições. A finalidade deste trabalho proposto foi demonstrar através de um estudo de casos os procedimentos realizados pelo teste de invasão com o objetivo de aumentar preventivamente a segurança da informação identificando e corrigindo possíveis falhas de segurança provendo a proteção do ambiente computacional das empresas. REFERÊNCIAS Fundamentos da gestão da qualidade Disponível em:<https://www.sebrae.com.br/sites/PortalSebrae/artigos/fundamentos-da-gestao-da-ualidade,527e438af1c92410VgnVCM100000b272010aRCRD>.acesso em: 28 de setembro de 2021. Empreendedorismo: o que é, vantagens e como se tornar um empreendedor Disponível em: <https://fia.com.br/blog/empreendedorismo-2/>. acesso em: 28 de setembro 2021. O que é empreendedorismo? Quais os tipos e quem pode empreender? Disponível em. <https://blog.nubank.com.br/o-que-e-empreendedorismo/> acesso em: 27 de setembro de 2021. Melhores políticas de segurança de dados para home office. Disponível em:< https://blog.runrun.it/seguranca-da-informacao-home-office/>. acesso em: 28 de maio de 2021. Estrutura Organizacional:Tudo o que você precisa saber.Disponível em: <https://blog.bomcontrole.com.br/estrutura-organizacional/> acesso em: 17 de outubro de 2021. A importância dos Tipos de Estrutura Organizacional para um negócio de sucesso.Disponivel em: <https://www.treasy.com.br/blog/tipos-de-estrutura-organizacional/> acesso em: 17 de outubro de 2021. Como fazer um plano de negócios simples, passo a passo.Disponível em: https://sambatech.com/blog/insights/plano-de-negocios/ acesso em 17 de outubro de 2021. Pentest ou Testes de Invasão: O que é e quais são as etapas? Disponível em:<https://www.softwall.com.br/blog/pentest-testes-de-invasao-o-que-e-quais- etapas/> acesso em: 17 de outubro de 2021. Quais as fases do Pentest? Disponível em:< https://blog.siteblindado.com/quais-as- 32 fases-do-pentest/> acesso em: 17 de outubro de 2021. Modelos de estrutura organizacional: conheça os principais. Disponível em: acesso em: < https://www.roberthalf.com.br/blog/dicas/modelos-de-estrutura-organizacional-conheca- principais-rc>17 de outubro de 2021.
Compartilhar