Baixe o app para aproveitar ainda mais
Prévia do material em texto
PIM VI TECNOLOGIA DA INFORMAÇÃO EM TEMPOS DE PANDEMIA HOME OFFICE Computação avançada e segurança de rede Universidade Paulista (UniP) 29 pag. Document shared on www.docsity.com Downloaded by: ola-30 (eusoufakedobbb@gmail.com) https://www.docsity.com/?utm_source=docsity&utm_medium=document&utm_campaign=watermark RESUMO O presente Projeto tem com objetivo principal apresentar os resultados de pesquisa realizada com intuito de desenvolver e estabelecer as melhores práticas para um acesso remoto um plano de conscientização, além de treinamento para política de acesso remoto visando prevenir os principais ataques que ocorrem na web. Conjuntamente, tornou-se necessário propor configurações técnicas de segurança para os sistemas operacionais das estações de trabalho, eliminando de maneira eficaz quaisquer possíveis fontes de vulnerabilidade, identificando as principais ameaças e vulnerabilidades existentes e mais evidentes no momento atual. Através da identificação destas ameaças e vulnerabilidades, estabelecemos a exposição de configurações de segurança para os sistemas operacionais que fazem parte da composição das estações de trabalho que foram destinadas para o acesso remoto externo. Dentro deste projeto, foram aplicados os fundamentos dos conhecimentos adquiridos nas disciplinas Segurança de Sistemas Operacionais (Windows/Linux), Segurança no Ambiente Web, Gestão Estratégica de Recursos Humanos, que foram diretrizes basilares para o desenvolvimento deste Projeto. Palavras Chaves: Segurança de Sistemas Operacionais, Segurança no ambiente Web, Gestão Estratégica de Recursos Humanos, Ameaças e Vulnerabilidades na Web, Home Office. Document shared on www.docsity.com Downloaded by: ola-30 (eusoufakedobbb@gmail.com) https://www.docsity.com/?utm_source=docsity&utm_medium=document&utm_campaign=watermark SUMMARY The present Project has as main objective to present the results of research carried out in order to develop and establish the best practices for remote access, an awareness plan, in addition to training for remote access policy aimed at preventing the main attacks that occur on the web. Together, it became necessary to propose technical security configurations for the workstation's operating systems, effectively eliminating any possible sources of vulnerability, identifying the main threats and vulnerabilities that exist and are most evident at the present time. Through the identification of these threats and vulnerabilities, we established the exposure of security settings for the operating systems that are part of the composition of the workstations that were intended for external remote access. Within this project, the foundations of the knowledge acquired in the disciplines Security of Operating Systems (Windows / Linux), Security in the Web Environment, Strategic Management of Human Resources were applied, which were basic guidelines for the development of this Project. Key Words: Security of Operating Systems, Security in the Web environment, Strategic Management of Human Resources, Threats and Vulnerabilities on the Web, Home Office. Document shared on www.docsity.com Downloaded by: ola-30 (eusoufakedobbb@gmail.com) https://www.docsity.com/?utm_source=docsity&utm_medium=document&utm_campaign=watermark 1. INTRODUÇÃO No mundo corporativo, um dos grandes impactos causados pela pandemia da COVID-19 foi o fenômeno da migração em massa das empresas para o trabalho remoto e, consequentemente, o aumento de vulnerabilidades das redes corporativas. Hoje, o ambiente do home office tem um novo perfil ao se tornar a extensão da empresa. Foi necessário profissionalizá-lo a ponto de incluí-lo no planejamento estratégico dos negócios, bem como na sua segurança corporativa. Segundo dados de uma recente pesquisa da Check Point® Software Technologies Ltda. (NASDAQ: CHKP), uma fornecedora global líder em soluções de cibersegurança, com profissionais da área de tecnologia e segurança de seus clientes em todo o mundo, hoje, a prioridade é reforçar seus níveis de segurança cibernética e impedir ciberataques, já que três em cada quatro especialistas em cibersegurança (75% dos entrevistados) temem um aumento de ameaças como resultado da nova modalidade mista de trabalho presencial e remoto. Ainda segundo esses profissionais, 51% deles apontam que os ataques direcionados aos endpoints em ambientes domésticos são uma grande preocupação, seguidos por ataques contra os dispositivos móveis dos funcionários (33%). Claudio Bannwart, country manager da Check Point Brasil afirma: "A nova realidade do trabalho misto é uma situação completamente nova para o ambiente corporativo, e é por isso que estamos em uma fase de adaptação a esse novo ambiente. Em sua maioria, as empresas não estavam preparadas para esse movimento do Home Office em larga escala e da noite para o dia. Em face do 'novo normal', as prioridades das empresas não devem se concentrar apenas na implementação de ferramentas e métodos de trabalho que lhes permitam a continuidade de seus negócios, mas esses processos devem ser acompanhados por uma estratégia consolidada, por configurações corretas de serviços na nuvem e com foco em cibersegurança na acessibilidade e mobilidade dos dados.” Como consequência do novo cenário em que as empresas brasileiras também estão caminhando, os serviços de comunicação e a troca de mensagens são os principais canais a serem protegidos, não apenas no uso de aplicativos Document shared on www.docsity.com Downloaded by: ola-30 (eusoufakedobbb@gmail.com) https://www.docsity.com/?utm_source=docsity&utm_medium=document&utm_campaign=watermark de videoconferência, assim como em serviços corporativos, como o e-mail. De fato, pesquisadores da divisão Check Point Research (CPR) alertam que em 51% dos ataques que as empresas brasileiras sofreram nos últimos 30 dias, o e-mail foi o principal vetor, refletindo mais uma vez como as caixas de entrada combinadas com a falta de treinamento e a conscientização sobre cibersegurança dos funcionários em home office têm um peso muito relevante nessa equação. Os demais 49% dos ataques com arquivos maliciosos teve como vetor a Web. Em relação aos arquivos mais usados para ataques, aqueles executáveis (.exe) foram os mais aplicados no Brasil (31,2%), seguidos pelos arquivos .dll (30,7%) nos últimos 30 dias. Nos últimos seis meses, considerando o início da quarentena da COVID-19, uma empresa no Brasil foi atacada em média 517 vezes por semana versus os 476 ataques por organização em todo o mundo. O tipo de exploração de vulnerabilidade mais comum no Brasil tem sido a execução remota de código (Remote Code Execution), impactando 72% das organizações no País. De posse dos dados que foram apresentados, objetivamos através do Projeto explanar, debater e aplicar metodologia eficaz para prevenir ataques e ameaças provenientes de acesso remoto, no momento do tráfego de dados e informações envolvendo empresa e Home Office, além de implantar uma política de Acesso Remoto na Web, estabelecendo as melhores práticas para uma melhor gestão de pessoas em equipes remotas. 2. DESENVOLVIMENTO Desde março do corrente ano, após a declaração da OMS (Organização Mundial a Saúde) de que o mundo estava vivendo uma pandemia da nova formulação do coronavírus, muitos empreendedores precisaram encontrar novas soluções em curto prazo para atuar diante dessa situação de crise. E uma das maiores preocupações sempre este voltado diretamente e prioritariamente em prevenir seus colaboradores de se contaminar com esse vírus, porém sem deixar de realizar suas ações, transações comerciais, apresentações, compartilhando dados e informações de âmbito sigiloso, para com a preocupação de evitar perdas que podem prejudicar a viabilidade de qualquer empresa.A utilização de meios de trabalho como Home Office se tornou de imediato uma solução quase que unâmine Document shared on www.docsity.com Downloaded by: ola-30 (eusoufakedobbb@gmail.com) https://www.docsity.com/?utm_source=docsity&utm_medium=document&utm_campaign=watermark para diversas empresas e a utilização de uma VPN com um firewall pode ser necessário para que a empresa continue ativa nesse momento de crise. Estabelecida as diretrizes deste projeto em conformidade com o quadro atual e estabelecida a clara necessidade de se implantar um plano de conscientização: Com base na Disciplina de Segurança de Sistemas Operacionais (Windows/Linux), expor tecnicamente, em forma de guia de configuração, as principais configurações de segurança para os sistemas operacionais que irão compor as estações destinadas ao acesso remoto externo; Com base na Disciplina de Segurança no Ambiente Web, identificar as principais ameaças e vulnerabilidade que o acesso à Web pode trazer e desenvolver um plano de conscientização para os funcionários em acesso remoto; Com base nos conhecimentos adquiridos na Disciplina de Gestão Estratégica de Recursos Humanos, elaborar e desenvolver um plano de conscientização sobre Política de Acesso Remoto, com as melhores práticas no assunto, além de analisar criticamente as práticas de gestão de pessoas em equipes remotas. 3. SEGURANÇA DE SISTEMAS OPERACIONAIS Em ambientes corporativos deve existir um planejamento amplo para proteger todos os dados transferidos e armazenados dentro da organização, mas é primordial verificar profundamente em que o trabalho remoto poderá se beneficiar. Quando uma empresa possui funcionários trabalhando de diversos lugares, ela deve pensar em uma estratégia que englobe todos os seus endpoints, assim como os servidores e modo de acesso (VPN, Cloud, etc.) Talvez o maior benefício no processo seja o cuidado fortalecido envolvendo ainda mais variáveis na estratégia de segurança da informação, mais camadas de proteção e diferentes dispositivos passam a ser protegidos. Paralelo a todas as práticas de inteligência do projeto, as técnicas contra engenharia social são fundamentais ao conscientizar os usuários a repensarem na maneira como respondem a certos estímulos na internet. Document shared on www.docsity.com Downloaded by: ola-30 (eusoufakedobbb@gmail.com) https://www.docsity.com/?utm_source=docsity&utm_medium=document&utm_campaign=watermark A seguir, faremos uma apresentação técnica de configuração do Sistema de segurança operacional utilizando o Windows Server 2012 R2, pois oferece uma série de vantagens a serem analisadas: Escalonamento para executar todas workloads mais importantes com opções robustas de recuperação. Obtenção de valor mais rápida com várias opções de armazenamento de alto desempenho e baratas, além de simplificar o fornecimento de serviços de TI para múltiplos locatários. Possibilita a criação, implantação, operação e monitoramento de aplicativos tanto locais como na nuvem. Possibilita a capacitação dos usuários com acesso seguro aos recursos corporativos nos dispositivos que eles desejarem. Nos dias atuais são exigidos níveis de segurança cada vez mais sofisticados. Para muitas empresas, a identificação dos usuários somente através de um logon e de uma senha não é mais suficiente. Hoje existem vários outros recursos, que tornam a identificação mais segura, tais como o uso de Certificados Digitais, Cartões inteligentes, reconhecimento biométrico (digitais, íris, traços do rosto, etc.). O Windows Server 2012 R2 dá suporte a todas estas tecnologias. 3.1 ROTEIRO TÉCNICO DE CONFIGURAÇÃO DE UM SERVIDOR DHCP NO WINDOWS SERVER 2012. 1) Em Gerenciador do Servidor, clicar em “Adicionar funções e recursos”( Figura1) Figura 1 – Gerenciador do Servidor Document shared on www.docsity.com Downloaded by: ola-30 (eusoufakedobbb@gmail.com) https://www.docsity.com/?utm_source=docsity&utm_medium=document&utm_campaign=watermark 2) Selecione a opção “Tipo de instalação” e clique em “próximo”. Figura 2 – Tipo de instalação 3) Selecione o servidor e clique em “próximo” (Figura 3). Figura 3 – Seleção do Servidor 4) Na janela de funções marque a opção “Servidor DHCP” (Figura 4). Figura 4 – Função do Servidor 5) Clique em Adicionar Recursos (Figura 5) Document shared on www.docsity.com Downloaded by: ola-30 (eusoufakedobbb@gmail.com) https://www.docsity.com/?utm_source=docsity&utm_medium=document&utm_campaign=watermark Figura 5 – Assistente de adição de Funções e Recursos 6) Na janela de “Recursos”, clicar em “próximo (Figura 6) Figura 6 – Janela recursos 7) Clique em “próximo”. (Figura 7) Figura 7 – Confirmação de Protocolo DHCP Document shared on www.docsity.com Downloaded by: ola-30 (eusoufakedobbb@gmail.com) https://www.docsity.com/?utm_source=docsity&utm_medium=document&utm_campaign=watermark 8) Na janela de “confirmação” clique em “instalar” Figura 8 – Confirmação de seleção de instalação 3.2 CONFIGURAÇÃO DO SERVIDOR DHCP 1) Após a instalação, em Gerenciador do Servidor ícone de alerta, clicar em “Configuração de DHCP concluída”. Figura 10 – Painel Gerenciador do Servidor - DHCP 2) Clique em “Confirmar”. Figura 11 – Assistente de configuração pós-instalação de DHCP Document shared on www.docsity.com Downloaded by: ola-30 (eusoufakedobbb@gmail.com) https://www.docsity.com/?utm_source=docsity&utm_medium=document&utm_campaign=watermark 12) Clique em “fechar”. Figura 12 – Quadro resumo 13) Na janela do “Gerenciador do Servidor DHCP”, clique com botão direito do mouse e escolher a opção “Gerenciador DHCP”. Figura 14 – Gerenciador DHCP 15) Clique com o botão direito do mouse na opção IPv4 e selecione “Novo escopo”. Figura 15 – Novo escopo Document shared on www.docsity.com Downloaded by: ola-30 (eusoufakedobbb@gmail.com) https://www.docsity.com/?utm_source=docsity&utm_medium=document&utm_campaign=watermark 16) Clique em “Avançar”. Figura 16 – Assistente para novos escopos 17) Defina um nome e uma descrição para o escopo e clique em “Avançar”. Figura 17 – Nominação e Descrição para o Escopo 18) Na janela abaixo poderá definir o intervalo de endereços IPs.(Figura 18) Figura 18 – Definição dos intervalos de endereços de IPs Document shared on www.docsity.com Downloaded by: ola-30 (eusoufakedobbb@gmail.com) https://www.docsity.com/?utm_source=docsity&utm_medium=document&utm_campaign=watermark 19) Se necessário, poderá adicionar exclusão de IPs, ou seja, endereços que não serão usados no serviço DHCP. Figura 19 – Exclusões e atrasos 20) Definir o tempo de uso dos endereços e clique em “Avançar”. Figura 21 – Duração de conscessão 22) Clique em “Avançar”. Figura 23 – Configuração de opções de escopo Document shared on www.docsity.com Downloaded by: ola-30 (eusoufakedobbb@gmail.com) https://www.docsity.com/?utm_source=docsity&utm_medium=document&utm_campaign=watermark 23) Adicionar o IP que será o “Gateway padrão” e clicar em “avançar” Figura 23 – Gateway Padrão 24) Clique em “Avançar”. Figura 24 – Servidor de nomes de domínio e DNS 25) Se não existir servidores WINS para serem configurados, clique em “Avançar”. Figura 25 – Servidores Wins – se existir - ConfiguraçãoDocument shared on www.docsity.com Downloaded by: ola-30 (eusoufakedobbb@gmail.com) https://www.docsity.com/?utm_source=docsity&utm_medium=document&utm_campaign=watermark 26) Clique em “Avançar”. Figura 26 – Ativação do Escopo 27) Clique em “Concluir”. Figura 27 – Conclusão de assistente de Escopo A Política de Segurança de Acesso Remoto Externo tem como objetivo instituir diretrizes estratégicas, responsabilidades e competências, visando assegurar a disponibilidade, integridade, confidencialidade e autenticidade dos dados, informações, documentos e conhecimentos produzidos, armazenados ou transmitidos, por qualquer meio dos sistemas de informação, contra ameaças e vulnerabilidades, de modo a preservar os seus ativos, inclusive a imagem da empresa ou de âmbito institucional. Além disso, objetiva estabelecer o comprometimento de todos os colaboradores e funcionários, com vistas a prover apoio para implementação da Gestão de Segurança da Informação e Comunicações, e estabelecer um ambiente seguro, proporcionando melhor Document shared on www.docsity.com Downloaded by: ola-30 (eusoufakedobbb@gmail.com) https://www.docsity.com/?utm_source=docsity&utm_medium=document&utm_campaign=watermark qualidade nos processos de gestão e controle dos sistemas de informação e informática. 3.3 ESCOPO A Política de Segurança de Acesso Remoto Exteno é uma declaração aplicativa acerca do compromisso com a proteção das informações de sua propriedade ou estando sob sua guarda. Seu propósito é direcionar a empresa ou instituição no que diz respeito à gestão dos riscos e do tratamento dos incidentes de SIC, por meio da adoção de procedimentos e mecanismos, que visam manter os princípios básicos de segurança da informação – confidencialidade, integridade, autenticidade e disponibilidade – para garantir a continuidade dos negócios da FCRB, em conformidade com a legislação vigente, normas pertinentes, requisitos regulamentares e contratuais e valores éticos. 3.4 PRINCÍPIOS As ações de Segurança da Informação e Comunicações na FCRB são norteadas pelos seguintes princípios (sem prejuízo aos princípios da Administração Pública Federal, definidos no art. 37 da Constituição Federal): Autenticidade: Garantia de que a informação foi produzida, expedida, modificada ou destruída dentro de preceitos legais e normativos, por pessoa física, ou por sistema, órgão ou entidade vinculado a empresa ou instituição. Celeridade: As ações de SIC devem oferecer respostas a incidentes e falhas de segurança. Confidencialidade: Garantia de que a informação não esteja disponível ou revelada à pessoa física, sistema, órgão ou entidade não autorizada pela empresa ou instituição. Conhecimento: Os usuários devem conhecer e respeitar a Política de Segurança, Normas Interna e externa e demais regulamentações SIC da empresa ou instituição. Clareza: As regras de SIC, documentação e comunicações devem ser precisas, concisas e de fácil entendimento. Document shared on www.docsity.com Downloaded by: ola-30 (eusoufakedobbb@gmail.com) https://www.docsity.com/?utm_source=docsity&utm_medium=document&utm_campaign=watermark Disponibilidade: Garantia de que a informação esteja acessível e utilizável sob demanda por uma pessoa física ou determinado sistema, órgão ou entidade vinculada a empresa ou instituição. Ética: Os direitos e interesses legítimos dos usuários devem ser preservados, sem comprometimento da SIC. Integridade: Garantia de que a informação não foi modificada ou destruída de maneira não autorizada ou acidental, seja na sua origem, no trânsito e no seu destino. Legalidade: As ações de segurança devem levar em consideração as atribuições regimentais, bem como as leis, normas e políticas organizacionais, administrativas, técnicas e operacionais da empresa ou instituição. Privacidade: Garantia ao direito pessoal e coletivo, à intimidade e ao sigilo da correspondência e das comunicações individuais. Publicidade: Transparência no trato da informação, observados os critérios legais. Responsabilidade: As responsabilidades primárias e finais pela segurança dos ativos da empresa ou instituição e pelo cumprimento de processos de segurança devem ser claramente definidas. 3.5 AÇÕES NORMATIVAS PARA ACESSO REMOTO EXTERNO SEGURO Uma regulamentação ou normas só alcançam seus objetivos quando na sua praticidade tragam além de segurança de acesso, mas também o comprometimento de todos que estarão direta e indiretamente envolvidos. Algumas normas são muito comuns e de fácil aplicabilidade e exatamente por conta desta simplicidade, tornam as ações mais sincronizadas e automaticamente praticadas no seu dia a dia. Apresentaremos a seguir algumas normas simples, mas que fazem toda a diferença para os envolvidos nas ações de transmissão e compartilhamento de dados da empresa ou instituição: O acesso remoto a uma rede de dados da empresa só será permitido em caráter excepcional e somente para fins de trabalho. Deve ser formalizado junto à área de TI o pedido de acesso remoto, justificando a necessidade de acesso e período de uso. Document shared on www.docsity.com Downloaded by: ola-30 (eusoufakedobbb@gmail.com) https://www.docsity.com/?utm_source=docsity&utm_medium=document&utm_campaign=watermark A área de TI deve registrar e monitorar o acesso remoto do usuário. O acesso remoto deve ser concedido por um período de tempo pré- definido, podendo ser renovado sempre que justificado a necessidade de prorrogação do tempo adicional. Em relação ao acesso externo na rede de dados da empresa ou instituição: O acesso remoto a uma rede de dados da empresa deve ser realizado por meio de canal criptografado e solicitação de autenticação do Usuário. A área de TI deve informar aos usuários os requisitos mínimos de segurança estabelecidos para realização de acesso remoto. Os recursos de Tecnologia da Informação – TI utilizados no ambiente de trabalho remoto, tal como residências, devem conter mecanismos de proteção contra vírus, software malicioso e controle de acesso. O acesso a uma rede de dados da empesa deve ser permitido somente a partir de recursos de TI que foram previamente cadastrados e homologados pela área de TI. Quando os recursos de informática forem de propriedade de terceiros, a área de TI deve solicitar a estes que os referidos recursos atendam aos requisitos mínimos de segurança estipulados. 3.6 AMEAÇAS E VULNERABILIDADES O trabalho na modalidade "Home Office" (na tradução seria "em casa", mas na prática pode significar em qualquer outro lugar fora da empresa) foi incluído na CLT - Consolidação das Leis Trabalhistas -, nos artigos 75-A a 75-E, pela lei 13.467/17, com a finalidade de regulamentar essa nova realidade laboral - que, diga-se de passagem, já existia, mas não era regulamentada. Trata-se de uma importante medida para compatibilizar as esferas profissional e pessoal, em busca de um melhor equilíbrio geral da qualidade de vida dos trabalhadores e atualmente, excepcionalmente devido aos dias atuais, por conta da Pandemia de Corona vírus (COVID 19). Por outro lado, pode ser também medida de economia financeira para as organizações. Document shared on www.docsity.com Downloaded by: ola-30 (eusoufakedobbb@gmail.com) https://www.docsity.com/?utm_source=docsity&utm_medium=document&utm_campaign=watermark Por sua vez a LGPD (Lei Geral de Proteção de Dados) - lei 13.709/18 - é a legislação brasileira que regula as atividades de tratamento de dados pessoais, em uma realidade de maior proteção desse tipo de dado. No contexto laboral e corporativo, a LGPD se aplica à toda a equipe e é necessária especial atenção quando se trabalha em Home Office - também chamado"trabalho remoto". Se os colaboradores manipulam as informações de suas casas (ou de outros lugares onde escolham trabalhar), as empresas não têm, a princípio, um controle tão amplo sobre a segurança existente no local onde home-office é executado, o que leva a temores pela perda ou roubo de dados. O medo é lógico, pois um ambiente doméstico pode ser muito mais vulnerável que o corporativo, onde o software dos servidores oferece maiores garantias de segurança. Os riscos existentes são, na realidade, bastante variados e extensos. A perda de dados pode surgir de várias formas diferentes, como uma falha no sistema que exclui arquivos que não possuem uma cópia segura, o roubo de uma senha ou até o próprio computador. Tudo isso pode resultar no roubo de informações confidenciais da empresa. Dito isto, trabalhar em casa não precisa ser sinônimo de perigo. É necessário estabelecer um protocolo que estabeleça regras para trabalhar em casa ou fora do escritório. São importantes precauções para limitar os riscos à segurança enquanto os colaboradores trabalham em casa. Apresentaremos alguns exemplos delas: 1. Exigência que os funcionários usem uma senha não armazenada para se conectar durante cada sessão, especialmente para acesso à VPN. 2. Aplicar tempos limite razoáveis de sessão para programas ou aplicativos confidenciais. Um usuário não precisa se reconectar depois de caminhar até a cozinha para servir uma xícara de café, mas, ao mesmo tempo, você não pode confiar na segurança de uma sessão que dura o dia todo. 3. Limite o acesso ao programa/ arquivo apenas às áreas absolutamente necessárias para esse colaborador. Document shared on www.docsity.com Downloaded by: ola-30 (eusoufakedobbb@gmail.com) https://www.docsity.com/?utm_source=docsity&utm_medium=document&utm_campaign=watermark 4. Reserve o direito de encerrar o acesso dos colaboradores a qualquer momento. 5. Fornecimento de serviços para armazenamento remoto de arquivos e outras tarefas; não confie nas pessoas para usar seus programas e contas pessoais. 3.6.1 Segurança e trabalho remoto: estatísticas e cenários Neste ponto, apresentaremos e examinaremos alguns dados e cenários atuais, incluindo as principais ameaças enfrentadas por trabalhadores e organizações que adotam o trabalho remoto. 3.6.1.1 Riscos de segurança gerados às organizações pelos trabalhadores remotos Pesquisas focadas na segurança de trabalhadores remotos (home office) indicam que as organizações estão cientes dos riscos, mas têm problemas para aplicar políticas e procedimentos de segurança viáveis. Tanto as organizações quanto os trabalhadores remotos sugerem que a complexidade dos softwares utilizados complica a segurança e podem até ser uma barreira ao trabalho remoto produtivo. Explicaremos isso abaixo, mas alguns dos principais riscos de segurança que os trabalhadores remotos representam para as organizações são: Incapacidade de impor segurança Falta de comprometimento com as melhores práticas de segurança Comportamento arriscado por parte dos trabalhadores remotos Apresentaremos alguns dos números e fatos relacionados a estas questões mencionadas. 3.6.1.2 Incapacidade de impor segurança ao trabalho remoto Com base em uma pesquisa da Apricorn de 2018, 95% das empresas do Reino Unido ainda estavam lutando para se adaptarem na relação segurança/ trabalho remoto. Algumas das principais conclusões foram: 1/3 das organizações afirma ter experimentado uma perda ou violação de dados como resultado direto do trabalho remoto. Document shared on www.docsity.com Downloaded by: ola-30 (eusoufakedobbb@gmail.com) https://www.docsity.com/?utm_source=docsity&utm_medium=document&utm_campaign=watermark Mais da metade das empresas pesquisadas disse que a maior preocupação com os trabalhadores remotos é a complexidade das tecnologias e software que eles usaram e a incapacidade de protegê-los de maneira eficaz. Apenas cerca de metade das organizações impõe criptografia de dados em dispositivos de trabalhadores remotos. As regras que proíbem o uso de dispositivos removíveis (como pen drives e HDs externos) são difíceis de aplicar. 3.6.1.3 Falta de comprometimento dos colaboradores com as melhores práticas de segurança Uma pesquisa de 2018 da Imation Corp com 1.000 trabalhadores remotos no Reino Unido e na Alemanha descobriu que a grande maioria não estava preocupada em perder dados comerciais confidenciais. Aqui está o que foi descoberto: 1/3 admitiu ter perdido os dispositivos em um local público. 25% admitiram violar as políticas de segurança para trabalhar remotamente. Menos de seis em cada 10 entrevistados disseram que sua organização tinha uma política de trabalho remota. 44% dos entrevistados disseram que os dados nunca foram criptografados quando retirados do escritório. Mais de 40% sugeriram que não tinham as ferramentas certas para trabalhar remotamente. Três em cada 10 trabalhadores remotos admitiram que não protegiam seus dados com senhas. 3.6.1.4 Segurança e trabalho remoto: comportamento de risco dos colaboradores Uma pesquisa da Cisco de 2019 , conduzida pela InsightExpress , empresa de pesquisa de mercado com sede nos EUA, descobriu que trabalhadores remotos (55% dos entrevistados) eram mais negligentes em relação à segurança e menos vigilantes na prática de comportamento on-line seguro por acreditar que a Internet estava se tornando mais segura. Além disso, 56% dos empregadores estavam Document shared on www.docsity.com Downloaded by: ola-30 (eusoufakedobbb@gmail.com) https://www.docsity.com/?utm_source=docsity&utm_medium=document&utm_campaign=watermark preocupados com isso. Alguns comportamentos de risco que os trabalhadores remotos admitiram incluir: Abrir e-mails e anexos de fontes desconhecidas ou suspeitas: 27% dos trabalhadores norte-americanos relataram essa atividade. Uso de computadores e dispositivos de trabalho para questões pessoais. Essa é uma tendência crescente em todo o mundo, mesmo quando os trabalhadores admitiram que era um comportamento inaceitável. Permitir que pessoas que não são colaboradoras da empresa peguem emprestado computadores e dispositivos de trabalho para uso pessoal: 39% dos trabalhadores remotos na China reconheceram que sim. Sequestro de conexões de internet sem fio dos vizinhos: 12% dos trabalhadores remotos admitiram esse comportamento arriscado e antiético. Acesso de arquivos de trabalho com dispositivos pessoais não protegidos por TI: 76% dos trabalhadores remotos na China confessaram ter feito isso. 3.7 Riscos de segurança para trabalhadores remotos Apresentaremos neste tópico, uma descrição detalhada de como os trabalhadores remotos preocupados com a segurança em todo o mundo se dizem, apesar dos riscos à segurança que enfrentam (Fonte: Cisco) Os trabalhadores remotos geralmente não têm o mesmo suporte ou infraestrutura que os funcionários que trabalham na empresa desfrutam. Os detalhes serão especificados abaixo, mas alguns dos principais riscos de segurança para trabalhadores remotos são: 1. Vulnerabilidades online 2. Utilização de novas ferramentas 3. Vulnerabilidade de dados pessoais 4. Redes sociais e de negócios Apresentaremos a seguir, uma análise mais abrangente das questões em detalhes. 3.7.1 Vulnerabilidades online Document shared on www.docsity.com Downloaded by: ola-30 (eusoufakedobbb@gmail.com) https://www.docsity.com/?utm_source=docsity&utm_medium=document&utm_campaign=watermark O principal risco para os trabalhadores é a vulnerabilidade de seus dados ao compartilhá-los online. Em um escritório convencional, os funcionários se comunicam em reuniões no local e fazem brainstorm no bebedouro, enquanto no mundo home Office, a maioria dos contatos entre funcionários e trabalhadores éonline. Trabalhar através de wi-fi público expõe dados a espiões cibernéticos oportunistas que podem espionar dados transferidos e roubar logins e senhas particulares, entre outras coisas. 3.7.2 Utilização de novas ferramentas Os funcionários remotos usam uma variedade de software e hardware que geralmente é diferente do equipamento padronizado nas empresas em que trabalham. Isso significa que não há políticas e procedimentos definidos para proteger o equipamento de qualquer uma das partes. Isso também significa que os trabalhadores geralmente precisam usar ferramentas com as quais não estão familiarizados, diminuindo sua produtividade. 3.7.3 Vulnerabilidade de dados pessoais As pessoas que trabalham remotamente geralmente usam o mesmo software e hardware para gerenciar suas vidas pessoais e profissionais. A perda de um laptop, por exemplo, pode resultar na perda de informações confidenciais para vários clientes e para o trabalhador remoto. Além disso, as organizações podem achar difícil confiar que os funcionários remotos estejam mantendo o software atualizado. Embora a empresa possa implementar ajustes e atualizações remotamente, o trabalhador remoto pode sentir que sua privacidade e independência estão sendo ameaçadas. 3.7.4 Redes sociais e de negócios A segurança dos trabalhadores remotos pode ser facilmente comprometida nas mídias sociais. Quando um trabalhador remoto compartilha seu status de trabalho e detalhes sobre seus projetos, está pronto para ser alvo de hackers que assumem que seus computadores pessoais são mais facilmente violados do que os de uma organização. 3.7.5 Segurança e trabalho remoto – Gerenciamento de risco Document shared on www.docsity.com Downloaded by: ola-30 (eusoufakedobbb@gmail.com) https://www.docsity.com/?utm_source=docsity&utm_medium=document&utm_campaign=watermark A conscientização é o primeiro passo no gerenciamento de segurança para trabalhadores remotos. No entanto, abaixo estão algumas dicas e sugestões de práticas recomendadas. 3.7.6 Segurança para trabalhadores remotos As etapas que os trabalhadores remotos podem executar incluem o seguinte: Verifique se os dados do trabalho e as informações pessoais estão separados, de preferência em máquinas diferentes. Nunca enviar ou abrir dados confidenciais por wi-fi público. Não confie em wi-fi ou Bluetooth não seguro e desligue-os quando não estiverem em uso. Sempre se conecte a uma rede virtual privada (VPN) para que o tráfego da Internet seja criptografado, principalmente se estiver conectado a uma rede wi-fi pública. Conecte-se à VPN antes de conectar ao wi-fi - até alguns segundos necessários para acessar uma VPN é uma potencial janela de oportunidade para criminosos cibernéticos. É tentador para os trabalhadores remotos usarem as mesmas senhas e logins e marcar a caixa de seleção "Lembrar-me" de seus e-mails, armazenamento e outros aplicativos em nuvem on-line. Um dia regular de "limpeza" para alterar senhas deve ser rotineiro. Proteja senhas da mesma maneira que faria ao usar um caixa eletrônico. Use o Find My Device do iOS ou recursos semelhantes em laptops e telefones para ter a chance de recuperar um dispositivo perdido ou roubado. Salve dados usando serviços seguros baseados na nuvem, em vez de manter tudo em um laptop. Depois de concluir um projeto, verifique se os dados de um cliente foram apagados corretamente após criptografa-los e fazer backup deles em um local seguro. Nunca use dispositivos externos para armazenar dados confidenciais, a menos que sejam criptografados. Verifique se todo o software está atualizado. Document shared on www.docsity.com Downloaded by: ola-30 (eusoufakedobbb@gmail.com) https://www.docsity.com/?utm_source=docsity&utm_medium=document&utm_campaign=watermark Utilize software e ferramentas de segurança, como aplicativos antivírus, firewalls, software de filtragem da web e criptografia de dispositivo. O conhecimento geral de segurança pode ajudar a proteger seus dispositivos quando em público. Por exemplo, nunca deixe seu computador sem vigilância em uma cafeteria ou durante uma reunião com um cliente. 3.7.7 Segurança para organizações que possuem trabalhadores remotos Do ponto de vista organizacional, também existem muitas práticas recomendadas para segurança e trabalho remoto: Fornecimento aos trabalhadores de ferramentas aprovadas que sejam eficazes do ponto de vista dos trabalhadores, mas que também sejam fáceis de proteger. Incentivo aos funcionários remotos a trabalharem juntos em políticas de segurança, por exemplo, proibições de navegação pessoal na web e envio por e-mail em computadores do trabalho. Aplicação da criptografia de dados em todos os dispositivos, incluindo os de propriedade do trabalhador. Permissão apenas para dispositivos aprovados se conectem as redes da empresa. Utilização de software de monitoramento de rede para identificar possíveis ameaças e anomalias no acesso à rede. Uso uma VPN para proteger todo o tráfego da web que flui através da sua rede, criptografando-o e roteando-o através de um servidor intermediário. Manutenção do software sempre atualizado e instalação dos patches de segurança automaticamente. Criação políticas de viagem de segurança cibernética para os funcionários. Aplicação autenticação de dois fatores para controlar o acesso ao sistema da empresa. Permissão apenas para que os funcionários remotos acessem os dados de que precisam e revogar automaticamente o acesso ao concluir o trabalho. 3.7.8 Práticas recomendadas de segurança para o computador do trabalho Home Office Document shared on www.docsity.com Downloaded by: ola-30 (eusoufakedobbb@gmail.com) https://www.docsity.com/?utm_source=docsity&utm_medium=document&utm_campaign=watermark Os custos para se ter um trabalho Home Office com segurança não necessitam de valores expressivamente altos. De fato, é possível configurar um computador e outros dispositivos, como Fort Knox, pelo custo de alguns downloads. Aqui estão algumas práticas bem sucedidas para alcançar êxito para segurança de acesso remoto: Criptografar seus dispositivos: a criptografia é absolutamente essencial para dados confidenciais. Proteger o navegador: obtenção de procedimentos e manuseio do US-Cert sobre como navegar com segurança. Investir em uma VPN. Backup: investir em uma solução de backup para os dados de seus clientes. O armazenamento seguro de dados é essencial, mas, ocasionalmente, as coisas dão errado. Em 2012, a popular e geralmente confiável solução de armazenamento on-line do Dropbox foi invadida e mais de 68 milhões de endereços de e-mail e senhas dos usuários foram vazados. Usar os recursos dos clientes: Se não houver certeza de garantia da segurança dos dados confidenciais de um cliente, torna-se primordial o pedido de autorização para ter acesso aos recursos de segurança do cliente. Autenticação de dois fatores: Uso em qualquer lugar, especialmente se utilizar aplicativos online como BaseCamp ou Dropbox. Sensibilização para a segurança: Desconfiar de mídias sociais e do que se compartilha sobre seus clientes. Por exemplo, postar uma atualização sobre o que você está trabalhando e para quem pode não ser uma jogada inteligente. Um hacker pode achar interessante fazer "amigo" de você e tentar realizar um "phishing" para obter informações. Prevenir possíveis explorações: Um Firewall de Aplicativo da Web (WAF) ou um Sistema de Prevenção de Intrusões (ISP) focado na vulnerabilidade pode ajudar a identificar variantes de exploração e procurar proativamente as mesmas vulnerabilidades de rede que os invasores estão procurando. Usar proteção antivírus eficaz: Fazer download de software antivírus gratuito para Mac e Windows. Document shared on www.docsity.com Downloadedby: ola-30 (eusoufakedobbb@gmail.com) https://www.docsity.com/?utm_source=docsity&utm_medium=document&utm_campaign=watermark 4. CONSCIENTIZAÇÃO SOBRE POLÍTICA DE ACESSO REMOTO Nos últimos anos, casos de ataques cibernéticos envolvendo empresas e instituições ocorreram com mais frequência. É necessária uma atenção redobrada no que se refere à segurança da informação, pois eles estão muito mais suscetíveis aos ataques de cibercriminosos do que as empresas privadas. Isso porque ao derrubar um site ou roubar informações sigilosas traz notoriedade ao hacker perante outros criminosos. Além disso, ele pode utilizar esses dados para fazer chantagem, exigindo dinheiro para o resgate. Outro agravante ao setor privado é a disponibilização de acesso à rede de internet para visitantes e servidores por meio de celulares e tablets. Essa medida aumenta a vulnerabilidade da rede, que pode ser infectada por vírus devido aos acessos livres. É necessário lembrar que um único aparelho infectado pode transmitir malwares para os demais conectados à rede. 4.1 A IMPORTÂNCIA DA SEGURANÇA DA INFORMAÇÃO NO CENÁRIO ATUAL A tecnologia está presente no dia a dia de qualquer órgão público e, sem dúvida, facilita e agiliza todos os processos no setor. Porém, estas instituições também podem representar um alvo fácil a ataques cibernéticos. Em maio de 2017, pelo menos, 74 países foram atacados com um "ransomware" (vírus de resgate), que inutiliza o sistema, ou os dados da instituição, até que seja paga uma quantia em dinheiro. Ou seja, eles "sequestraram" o acesso aos dados e pediram uma recompensa. Segundo a Kaspersky (um grupo russo de segurança), esta quantia variava entre US$ 300 e US$ 600 em Bitcoins e o vírus se espalhou por meio de uma brecha no Windows. Quem não possuía cópias de segurança dos dados e precisava recuperar as informações, se viu obrigado a pagar o resgate. Em abril de 2018, o Sistema Eletrônico de Informações (SEI), ferramenta de gestão de documentos e processos eletrônicos para órgãos públicos, foi alvo de ataque cibernético. A ação de cibercriminosos foi realizada a partir de uma brecha de segurança, que permitiu a injeção de scripts para roubar as senhas dos usuários. Casos mais recentes no Brasil estão vinculados a uma série de invasões aos celulares de procuradores da Lava-Jato, do ex-ministro da Justiça, Sérgio Moro, de jornalistas, ministros do Supremo Tribunal Federal (STF) e parlamentares. Document shared on www.docsity.com Downloaded by: ola-30 (eusoufakedobbb@gmail.com) https://www.docsity.com/?utm_source=docsity&utm_medium=document&utm_campaign=watermark No caso dos procuradores, pelos relatos à Polícia Federal e à imprensa, ocorreu um misto de despreocupação excessiva e ausência de instrução. Uma simples ferramenta, usada no próprio aplicativo Telegram (serviço de mensagens instantâneas baseado na nuvem), por onde supostamente ocorreram os vazamentos, impediria o acesso ao conteúdo privado. A verificação em duas etapas pode ser ativada nas configurações do aplicativo e impede que o conteúdo seja acessado sem que ocorra acesso ao celular do usuário. Especialistas apontam que o Estado brasileiro colhe agora o resultado de décadas de atraso no investimento em segurança da informação e em tecnologias para coibir a ação de hackers. O Brasil é o quarto maior país em casos de ransomware, conforme dados da Symantec. O país também ocupa a quinta colocação segundo mapa de ciberameaças do Kaspersky, ficando atrás da Rússia, China e Alemanha. – informação recolhida em 14 de Outubro de 2019 De acordo com pesquisa realizada pela Verizon, 86% dos ataques é feito por desconhecidos, seguido de grupos criminosos (80%) e pessoas internas da empresa (56%). A cada dia são detectadas 86.400 novas ameaças. Órgãos como Tribunais de Justiça e Ministério Público, assim como outros órgãos públicos, armazenam informações extremamente sigilosas e delicadas sobre lavagem de dinheiro, investigações policiais, tráfico de drogas, pedofilia, decisões judiciais, dentre outras que são de imensa importância pública e que não devem, em hipótese alguma, parar em mão de pessoas capazes de adquirir, alterar, disseminar e, até mesmo, vender essas informações. Essas pessoas, com más intenções, comercializam dados públicos violando a intimidade, a vida privada, a honra e a imagem das pessoas. Oferecem serviços como a localização de bens, contas detalhadas de telefone, contas bancárias, cartões de crédito, e-mails e até conversas no WhatsApp. Para que a segurança seja reforçada, é importante adotar medidas preventivas, tais como: Definir o acesso as informações somente para pessoas autorizadas. Isso pode ser feito por meio de níveis, em que funcionários de cargos elevados têm maior acesso aos dados do que os de graus hierárquicos mais baixos. Os conteúdos também precisam ser limitados conforme as áreas a que se relacionam, como marketing, vendas, financeiro etc; Document shared on www.docsity.com Downloaded by: ola-30 (eusoufakedobbb@gmail.com) https://www.docsity.com/?utm_source=docsity&utm_medium=document&utm_campaign=watermark Atualizar os softwares sempre que possível; Capacitar e conscientizar os funcionários quanto aos métodos de segurança para prevenir ataques cibernéticos. Não devem violar regras e sim seguirem os procedimentos de segurança de modo adequado. Como por exemplo, evitando conectar dispositivos externos à rede corporativa ou não acessar ou compartilhar informações sigilosas em locais públicos ou de baixa segurança virtual; Suspeitar de e-mails, anúncios, site e aplicativos; Elaborar senhas difíceis e mudá-las com frequência; Capacitar a equipe de TI ou contratar uma equipe de TI de alta performance. Isso aumenta a eficácia operacional e coíbe o acesso a informações sigilosas. A equipe de TI também consegue emitir alertas sobre possíveis riscos e tomar decisões estratégicas para resolver problemas, contribuindo para a manutenção da credibilidade da instituição; Criar cópias de segurança através de backups em mídias externas ou sistemas de armazenamento nas nuvens; Criar uma segurança integrada. Esse conceito faz com que todas as soluções de segurança de uma organização passem a se comunicar entre si, tomando ações automáticas quando uma ameaça é detectada. Diante de tais desafios, os órgãos públicos vêm se preparando para evitar ou minimizar ataques cibernéticos às redes e sistemas de informação. Estar atento às tendências de segurança da informação é fundamental para apoiar todo o planejamento da TI e dar mais tranquilidade a gestores e usuários da organização. 5. CONCLUSÃO É fato que as tecnologias emergentes representam ameaças à medida que o número de dispositivos conectados cresce. A segurança precisa ser tratada como parte do negócio e não apenas como mais uma demanda da área de tecnologia. Gerar inteligência, captar dados para entender processos, aprender com incidentes e transformar eventos em ações é o que permitirá a pro atividade e a prevenção das ameaças de forma mais efetiva. A tendência é que os ataques se repitam em todas as esferas do poder, e se tornem cada vez mais sofisticados, criando uma sociedade onde a privacidade é Document shared on www.docsity.com Downloaded by: ola-30 (eusoufakedobbb@gmail.com) https://www.docsity.com/?utm_source=docsity&utm_medium=document&utm_campaign=watermark cada vez mais restrita. O consultor de segurança digital Leonardo Sant’Anna, especialista em cybercrime, afirma que os desafios de segurança digital avançam em um ritmo bem maior que a reação do governo brasileiro. Os conhecimentos específicos sobre o tema ainda são do domínio de poucos, assim como, os recursos financeiros são insuficientes. É fundamental que a administração pública invista em sistemas de segurança que possibilitem o acompanhamentode operações de forma integrada, unificando informações dispersas em diferentes órgãos e racionalizando a distribuição de recursos. Há muito que se fazer, tendo em vista que os recursos tecnológicos evoluem extremamente rápido, bem como o aparecimento de outras técnicas para cometimento de crimes. Assim sendo, somente a perfeita conciliação do poder legislativo, judicial e da sociedade poderá travar esta epidemia social. Ainda, há muito que ser dialogado e construído e o desafio são realmente de todos. 6. BIBLIOGRAFIA NBR ISO/IEC 27001:2006 –Tecnologia da Informação –Técnicas de segurança –Sistemas de Gestão de Segurança da Informação –Requisitos. NBR ISO/IEC 27002:2005 –Tecnologia da Informação –Técnicas de segurança –Código de prática para a Gestão da Segurança da Informação. Norma ABNT NBR ISO/IEC 27005:2008, que fornece as diretrizes para a Gestão de Riscos de Segurança da Informação e Comunicações. Norma ABNT NBR/ISO/IEC 15999:2007, que institui o código de melhores práticas para Gestão de continuidade de negócios. Norma ABNT NBR/ISO/IEC 27001:2006, que estabelece os elementos de um Sistema de Gestão de Segurança da Informação e Comunicações. Norma ABNT NBR/ISO/IEC 27002:2005, que institui o código de melhores práticas para Gestão de Segurança da Informação e Comunicações. https://support.microsoft.com/pt-br/help/3022781/dhcp-server-running- windows-server-2012-or-windows-server-2012-r2-inco visitado no dia 11 de outubro de 2020. Document shared on www.docsity.com Downloaded by: ola-30 (eusoufakedobbb@gmail.com) https://support.microsoft.com/pt-br/help/3022781/dhcp-server-running-windows-server-2012-or-windows-server-2012-r2-inco https://support.microsoft.com/pt-br/help/3022781/dhcp-server-running-windows-server-2012-or-windows-server-2012-r2-inco https://www.docsity.com/?utm_source=docsity&utm_medium=document&utm_campaign=watermark
Compartilhar