3017-50 - PROJETO INTEGRADO MULTIDISCIPLINAR V

Prévia do material em texto

2
UNIVERSIDADE PAULISTA
Nome: Daniele Angelica Gonçalves Lemos R.A: 0579378
PIM V – GESTÃO DE ACESSO PARA ACESSO REMOTO 
– VPN EM HOME OFFICE
Barueri/SP
2023
UNIVERSIDADE PAULISTA
Nome: Daniele Angelica Gonçalves Lemos R.A: 0579378
PIM V – GESTÃO DE ACESSO PARA ACESSO REMOTO 
– VPN EM HOME OFFICE
Projeto Integrado Multidisciplinar V para obtenção do título de Tecnólogo em Segurança da Informação apresentado à Universidade Paulista – UNIP 
Orientador: Gislaine Stachissini.
Barueri/SP
2023
RESUMO
Será abordado neste trabalho diversos tópicos acerca de gestão de acesso remoto - VPN em home office, e também será proposto um modelo de acesso seguro, utilizando VPN e autenticação de duplo fator, respeitando as principais regras, normas, políticas e leis de segurança da informação, ao final do conteúdo do trabalho. Porém, antes disso será explicado, com base na disciplina de Segurança em Redes de Computadores o porquê uma VPN é considerada segura, como e porque deve-se usar VPN. Com base na disciplina Criptografia e Certificação, será explicado a respeito dos métodos disponíveis para criptografia e autenticação de duplo fator, demonstrando prós e contras dos mesmos, e também serão abordados protocolos de segurança. Com base na disciplina Leis, Políticas e Normas de Segurança da Informação, será explicado sobre leis nacionais e internacionais acerca de segurança da informação, também como padrões de normas internacionais sobre o assunto. Com base na disciplina Economia e Mercado, serão apresentados dados a respeito das mudanças (dentro do tema da disciplina) causadas pela pandemia COVID-19 no cenário da segurança da informação e internet geral.
Palavra-chave: segurança da informação, legislação, VPN, 2FA, COVID-19, criptografia, encriptação, tokens, ISO-27001, LGPD. 
ABSTRACT
Several topics about remote access management - VPN at home office will be addressed in this research, and a secure access model will also be proposed, using VPN and two-factor authentication, respecting the main rules, standards, policies, and information security laws, at the end of the research content. However, before that, it will be explained, based on the discipline of Security in Computer Networks, why a VPN is considered safe, and how and why VPN should be used. Based on the subject of Cryptography and Certification, the methods available for encryption and double-factor authentication will be explained, demonstrating their pros and cons, and security protocols will also be discussed. Based on the subject Information Security Laws, Policies and Standards, national and international laws on information security will be explained, as well as international standards on the subject. Based on the subject Economy and Market, data will be presented regarding the changes (within the topic of the subject) caused by the COVID-19 pandemic in the scenario of information security and the general internet.
Keywords: information security, legislation, VPN, 2FA, COVID-19, encryption, encryption, tokens, ISO-27001, LGPD.
Sumário
1.	INTRODUÇÃO	6
2.	SEGURANÇA EM REDES DE COMPUTADORES	7
2.1.	Quais são os principais riscos para empresa?	7
2.2.	O que são ataques cibernéticos	7
2.3.	Quais são os tipos de ataques?	7
2.4.	Quem ataca uma empresa ou indivíduo?	9
2.5.	Ferramentas disponíveis para mitigar, combater ou prevenir riscos?	10
3.	CRIPTOGRAFIA E CERTIFICAÇÃO DIGITAL	11
3.1.	Criptografia Simétrica.	11
3.2.	Criptografia Assimétrica/ PKI ou Public Key Infrastructure(Infra-estrutura de chave pública).	12
3.3.	Protocolos de segurança de Internet.	13
4.	LEIS, POLÍTICAS E NORMAS DA SEGURANÇA DA INFORMAÇÃO	14
4.1.	Princípios de Políticas de segurança da informação.	14
4.2.	Normas internacionais e Legislação Brasileira.	15
4.3.	O que é a ISO-27001?	15
4.4.	LGPD	16
5.	ECONOMIA E MERCADO	16
6.	DESIGN DE ESTRUTURA DE REDE SEGURA	18
6.1.	Regras de Segurança Geral:	18
6.2.	Mapa de Rede:	18
6.3.	Método de Autenticação de Duplo Fator(2FA).	19
6.4.	Concordância com a Norma ISO-27001, GDPR, and LGPD:	20
7.	CONCLUSÃO	21
8.	REFERÊNCIAS	22
1. INTRODUÇÃO
Este trabalho/pesquisa PIM V tem por objetivo informar o leitor a respeito dos perigos atuais que podem estar escondidos, ou bem visíveis na internet moderna tanto quanto os recursos e procedimentos disponíveis para prevenir, mitigar e resolver problemas possivelmente causados por tais ameaças.
 Em termos de conteúdo, esse trabalho/pesquisa tem como meta explicar o funcionamento da tecnologia VPN, em detalhes técnicos tanto na forma de uso, como em sua base de construção e funcionamento. Além disso, serão explicados os diversos temas acerca do tema VPN. Envolvendo regras, políticas, procedimentos, leis, mercado econômico em relação ao uso de VPN. Será também abordado o impacto da Pandemia COVID-19 sobre os temas citados.
 Apesar do objetivo principal se tratar tópicos complexos com explicações técnicas, que podem ser difíceis para o leitor leigo, em termos estruturais este trabalho/pesquisa, tem o objetivo de apresentar tais tópicos de forma concisa, consistente, com apresentação clara e objetiva e transições suaves entre tópicos para facilitar o entendimento do leitor que não possui conhecimentos técnicos nos assuntos, mas sem tornar um conteúdo desnecessário e/ou redundante para o leitor que possua conhecimentos técnicos nos temas abordados.
2. SEGURANÇA EM REDES DE COMPUTADORES 
2.1. Quais são os principais riscos para empresa?
Quando se trata de empregar a modalidade de trabalho remoto, a resposta curta seria, vazamento de informações e ataques cibernéticos, porém precisamos entender como isso pode acontecer. 
2.2. O que são ataques cibernéticos
Ataques cibernéticos são ações com intuito malicioso de reunir, roubar, modificar e usar informações para ganho próprio, de grupo ou organização, ou até suspender serviços, mas também podem ser realizadas por puro vandalismo, protesto ou até estudo para fins maliciosos. Contudo, tais ações podem ser carregadas sem nenhuma intenção ruim, como por profissionais e estudantes de segurança da informação, com objetivo de testar vulnerabilidades. Porém como tais ações geralmente são devidamente autorizadas, não podemos considerá-las como ataque, mesmo que os caminhos e as ações sejam praticamente as mesas, o intuito e as situações são completamente diferentes.
2.3. Quais são os tipos de ataques?
Hoje em dia o ataque mais nocivo é o Ransomware (sequestro de informações), porém, não é algo simples, ao contrário da maioria dos ataques, o Ransomware não se trata de um único ataque isolado na maioria das vezes, e sim o produto final de outros ataques.
Os tipos de ataques mais comuns são:
Phishing é uma das estratégias de ataque mais utilizadas que consiste em explorar as vulnerabilidades humanas com técnicas de engenharia social para obter informações chave, pavimentando o caminho para outros ataques.
Phishing e-mail consiste em enviar um e-mail para uma vítima, se passando por alguém ou alguma instituição, com objetivo de recolher informações ou credenciais. Outro objetivo de um ataque desse tipo é induzir a vítima a clicar em algum link falso que abre vulnerabilidades para outros ataques
Malware(Vírus),é um software malicioso que pode infectar o dispositivo da vítima de várias formas.
Backdoor, é um tipo de Trojan(cavalo de Tróia), um malware que pode permitir acesso remoto ao dispositivo da vítima, pavimentando o caminho para outros ataques, ou utilizando tal acesso para roubar informações diretamente.
DNS Hijacking, consiste em sabotar as configurações de DNS do dispositivo da vítima, redirecionando para outro DNS, visto que DNS é o servidor que associa domínios de site a seus servidores, isso pode fazer vítima visitar um site falso, achando que está em um site legítimo.
Ad Bomb pode ser distribuído através de Phishing, ou links independentes, e tem por objetivo lucrar anúncios exibidos contra a vontade da vítima no dispositivo da mesma.
Decoy(Isca) também pode ser distribuído atravésde Phishing, e por sites falsos. Consiste em programa aparentemente legítimo, mas contém algum tipo de malware disfarçado.
Ransomware como mencionado anteriormente, consiste em sequestro de informações, geralmente obtidas através de Phishing e, ou Malware. Após o roubo de tais informações, o “sequestrador” pede uma quantia em dinheiro, muitas vezes em criptomoeda, ou alguma outra coisa para ganho próprio ou de algum grupo.
Distributed Denial of Service(DDoS) é um tipo de ataque que geralmente tem como objetivo vandalismo de redes, consiste em usar computadores previamente invadidos como um exército, para coordenar vários pedidos de acesso a um servidor ou servidores, assim causando sobrecarga, e impossibilitando o acesso de usuários legítimos.
2.4. Quem ataca uma empresa ou indivíduo? 
Quem costuma atacar são os Hackers, mas os objetivos de cada ataque podem ser muito diferentes, e existem diversas categorias diferentes de Hackers, e não faz parte do intuito desta pesquisa falar sobre todos eles. Então focaremos nos 3 principais tipos de Hackers.
Black Hat(Chapéu Preto), antigamente conhecido também como Computer Cracker, ou Cracker, é o Hacker que age para o seu benefício próprio, ou de seu Hacking Group(Grupo de Hackers). O Black Hat age também por vandalismo, ou até prestando serviço, mas sempre com intenções maliciosas e ilegais, com objetivo final de lucro próprio ou do grupo.
White Hat(Chapéu Branco) é aquele age da mesma forma que o Black Hat, porém com intenções benignas, legais e devidamente autorizadas. White Hats podem ser pesquisadores e técnicos de segurança da informação, que na maioria das estão testando vulnerabilidades, táticas de contra-ataque e defesa cibernética. Algumas empresas usam White Hats para testar também protocolos de segurança que os funcionários devem seguir, então usam táticas de Phishing e engenharia social, sendo possível que um funcionário seja "vítima" desse tipo de “ataque” também, porém sem causar nenhum dano a empresa, ou a si mesmo.
Gray Hat(Chapéu Cinzento) é o termo mais complexo, e com certeza o tipo de Hacker mais perigoso que existe. O Gray Hat é alguém que pode ser White Hat,que trabalha no seu cargo, como pesquisador, técnico, e qualquer ramificação dentro da segurança da informação, porém também participa de atividades ilícitas na internet. O Gray Hat pode ou não ter motivos ambiciosos e egoístas como Black Hat ou ter um objetivo maior, para alguma grande organização, ou causa ativista. O que torna esse tipo de Hacker tão perigoso, é que muitas vezes ele tem acesso direto aos mecanismos e práticas de segurança de uma determinada organização.
“Cracker de computador vs. hacker
A frase antiquada cracker de computador não é mais usada. Foi originalmente proposto como antônimo, ou ao contrário, do termo hacker. O hacker inicialmente se aplicava apenas àqueles que usavam suas habilidades de computação sem intenção maliciosa - eles invadiam sistemas para identificar ou resolver problemas técnicos. Tecnólogos habilidosos com motivos altruístas eram chamados de hackers; aqueles com más intenções eram chamados de crackers de computador”
Por Sharon Shea, Editor Executivo Bem Rutkevich, Escritor Técnico., 04-2021, techtarget.com 
2.5. Ferramentas disponíveis para mitigar, combater ou prevenir riscos? 
Procedimentos de segurança, controle de acesso, monitoramento ao local físico e aos equipamentos da empresa, podem ser consideradas as ferramentas mais básicas para segurança da informação. 
Outro item crucial é a instrução e orientação ao funcionário sobre os riscos de roubo, ou vazamento de informação. Além disso, podemos contar com algumas outras ferramentas como: antivírus, criptografia digital, 2FA- Two Factor Authentication(Autenticação de duplo fator), VPNs e Cloud Computing(Computação em nuvem).
Antivírus ou Anti-Malware: É um Software que tem como intuito identificar, combater e prevenir ataques de Malware, e outros tipos de ameaças.
Criptografia digital: É uma técnica que consiste em "bagunçar" uma mensagem digital de maneira específica, criando e entregando ao destinatário uma espécie manual de instruções para leitura do conteúdo mensagem possa ser interpretado somente por quem possui esse manual(chave criptográfica).
2FA ou Two Factor Authentication(Autenticação de duplo fator): É uma forma de identificação e autenticação que consiste em adicionar mais passos para o acesso com o intuito de amplificar a segurança.
VPN ou Virtual Private Network(Conexão Virtual Privada): Tem o intuito de estabelecer uma conexão pela internet pública ou rede interna de forma segura e criptografada em tempo real. Seu objetivo principal é mascarar a identidade real (IP) do usuário, e assim dificultando ataques e roubo de informações, mas também pode ser usada para mascarar a real geolocalização do mesmo, dificultando ainda mais qualquer tentativa de identificação do usuário.
3. CRIPTOGRAFIA E CERTIFICAÇÃO DIGITAL
A criptografia é um processo que tem intuito de manter uma mensagem secreta para qualquer um que não esteja autorizado a receber, modificar ou visualizar tal mensagem. Isso feito através de uma reorganização do conteúdo da mensagem de forma específica, e também criar um “manual de instruções”, que serve como uma chave para abrir a mensagem, essa chave descreve o método usado para tal reorganização, sendo assim, se manter a acuracidade do conteúdo, porque somente quem é autorizado a saber sobre a mensagem, deve possuir tal chave.
 Quando se trata de criptografia digital esse processo é feito por operações matemáticas complexas, porém o intuito é o mesmo da criptografia convencional.
 Esse tipo de criptografia é usado como base estrutural de várias ferramentas de segurança da informação. Alguns exemplos são, páginas Web em HTTPS, que geralmente são representadas por começar com “http://” é um cadeado fechado na barra de endereços, também é usada em VPNs, em algumas formas SFA e 2FA, bancos de dados, Cloud Computing e ainda pode ser de usada de forma maliciosa em um ataque de Ransomware.(Onde a vítima tem que pagar para receber a chave privada de seus arquivos que foram interceptados ou roubados, e criptografados.)
 A criptografia digital possui duas categorias, sendo elas Simétrica e Assimétrica, e cada uma delas tem seus próprios algoritmos, e seu uso protocolos de segurança da informação.
3.1. Criptografia Simétrica.
A criptografia Simétrica é uma categoria que usa uma única chave para encriptar(criptografar) e desencriptar o conteúdo da mensagem.
 Os algoritmos usados nessa categoria, geralmente são:
TDES/3DES ou Triple Data Encryption Standard(padrão de criptografia de dados triplo).Sucessor do antigo algoritmo DES e, é essencialmente o mesmo algoritmo, porém aplicado três vezes durante o processo de encriptação.
 O DES possuía chave 56 Bits em tamanho, já o 3DES, usa três chaves do mesmo tamanho. Aplicando três vezes a encriptação, se torna muito mais difícil quebrar a criptografia da mensagem.
 3DES é usado no segmento financeiro, e em muitos sistemas de propriedade da Microsoft, porém é considerado lento, e não muito seguro, quando comparado a outros algoritmos simétricos.
AES ou Advanced Encryption Standard(Padrão de encriptação avançado). Foi criado para substituir o DES, quando o mesmo começou a se mostrar inseguro.
O AES conta com três tamanhos diferentes de chave de 128, 192 e 256 Bits. O tamanho da chave é determinado dependendo se forem usados, 10, 12 ou rodadas no processo de encriptação.
 AES foi escolhido como algoritmo pelo NIST ou National Institute of Technology(Instituto Nacional de Tecnologia) dos EUA, após ser avaliado por anos contra outros algoritmos. E também é aprovado pelo governo dos EUA para arquivos confidenciais, as chaves de 128 Bits para documentos secretos, e 192 e 256 Bits para supersecretos.
Outros exemplos de uso são: WhatsApp, WinZip, VeraCrypt, Signal, TLS e SSH.
3.2. Criptografia Assimétrica/ PKI ou Public Key Infrastructure(Infra-estrutura de chave pública).
 Criptografia/Encriptação de Chave Pública ou Assimétricaé chamada assim, porque é preciso uma para encriptação e outra para decriptação.
 Cada usuário gera uma chave pública e privada. A chave pública é compartilhada livremente, enquanto a chave privada guardada como senha. Por causa da relação matemática complexa entre as chaves, uma vez que a mensagem é encriptada com uma chave pública, só poderá ser desencriptada pela chave privada correspondente.
 Criptografia Assimétrica é lenta, e consome muitos recursos computacionais, por isso, geralmente não é usada para encriptar arquivos inteiros, e sim, chaves Simétricas.
RSA (Rivest–Shamir–Adleman) é o algoritmo padrão de criptografia Assimétrica, o mais usado, serve de padrão em geral para criptografia de vários processos e protocolos relacionados à Internet.
 O algoritmo RSA opera com base na dificuldade de detectar números primos, o que possibilita seus usuários compartilharem dados seguramente, sem ter que destruir uma chave antes, ou ter que acessar um canal seguro.
RSA é usado frequentemente em TLS, e muitos provedores e/ou protocolos de VPN usam RSA para estabelecer suas conexões seguras, e também é usado para criar assinaturas digitais, que servem para verificar a integridade de dados.
 Muitas vulnerabilidades foram encontradas no RSA, mas ainda é considerado um algoritmo seguro, com tanto que se use uma chave 2048 Bits ou maior.
3.3. Protocolos de segurança de Internet.
Protocolos de internet não necessariamente fazem parte da criptografia em si, e sim, um conjunto de regras e ferramentas com manter conexões e trocas de dados seguras.
Por não serem algoritmos de encriptação, protocolos de internet, não fazem a criptografia dos dados que precisam ser mantidos seguros por si mesmos, e sim algoritmos de encriptação para realizar esse processo.
Hoje em dia se usam dois protocolos de segurança para internet como padrão, sendo eles TLS e SSH ou Secure Shell(Shell Segura) os principais.
TLS. É o sucessor do protocolo SSL, e muitas vezes seus nomes são usados como sinônimos, mas na verdade TLS, pode ser chamado de uma evolução do TLS, contendo uma gama enorme de melhorias em segurança, comparado ao seu antecessor. TLS é o protocolo de segurança mais comum, sempre que for usado um URL iniciado com “https”, ou um cadeado fechado próximo a barra de endereços, TLS está sendo usado para estabelecer uma conexão segura até o site.
TLS é um protocolo padrão de Internet, e apesar de não realizar criptografia por si próprio, usa algoritmos como RSA, 3DES e AES, para encriptar, autenticar, e verificar a integridade de dados.
Porém, frequentemente é usado por meio de protocolos de transporte, como HTTP, para se conectar com Website, FTP para transferir dados entre cliente e servidor, ou SMTP para e-mails. Como também é usado por VPNs tanto para autenticação como para encriptação.
SSH. É outro protocolo que pode ser usado para várias funções. Sendo algumas delas, acessar seguramente um terminal remoto, como um túnel encriptado(semelhante a uma VPN) usando o proxy SOCKS, transferir arquivos seguramente, fazer encaminhamento de portas, e muito mais.
 Mesmo que o túnel SSH não seja uma VPN, pode ser usado para atingir resultados similares, pode ser o Proxy SOCKS para encriptar os dados entre cliente e o servidor SSH. Isso permite que se tenha um tráfego encriptado para cada aplicação, porém não oferece a mesma universalidade de um VPN.
4. LEIS, POLÍTICAS E NORMAS DA SEGURANÇA DA INFORMAÇÃO
4.1. Princípios de Políticas de segurança da informação.
Quando se fala de políticas de segurança em tecnologia, as bases principais devem ser consideradas:
Confidencialidade ou privacidade, diz que a revelação, uso ou modificação da informação deve ser feita apenas por quem estiver devidamente autorizado
Integridade, diz que informação deve ser devida protegida durante a transferência, a fim de manter todas suas características, de forma a não alterada ou corrompida por terceiros.
Disponibilidade, diz que a informação deve estar disponível para acesso, ou uso legítimo.
Autenticidade, que diz que o dono da informação, ou usuário legítimo deve provar sua identidade. O que pode ser feito através de métodos como certificado digital, ou alguma forma de 2FA.
Irrefutabilidade, diz que o emissor de certa mensagem, ou transação, quando comprovado sua identidade, está impossibilitado de negar sua autoria, e será responsabilizado por tal ação. 
4.2. Normas internacionais e Legislação Brasileira.
Quando se fala de normas acerca de segurança da informação em geral, principalmente no âmbito global, ou internacional, existem algumas certificações de segurança que proporcionam um nível alto de segurança e credibilidade que apesar de não serem obrigatórias em todas as situações, podem ser essenciais para a segurança e reputação de uma empresa. 
 Uma das certificações mais importantes nos dias atuais é a ISO ou International Organization for Standards ( Organização Internacional de Padrões) 27001. A ISO-27001 faz parte de grupo de certificados normativos relacionados à segurança cibernética para empresas, Série de Padrões ISO-27000(ISO-27000, 27001, 27002 entre outros). 
4.3. O que é a ISO-27001?
A norma ISO-27001 é um internacional de referência para segurança da informação, que ao longo dos anos vem continuamente sendo melhorada ao longo dos anos, essa norma se deriva da norma BS7799(British Standards - Padrões Britânicos).
 Essa tem por objetivo a adoção de um grupo de processos, controles e requisitos, a fim de mitigar,e gerenciar da melhor forma possível os riscos a uma organização ou empresa.
 Algumas organizações, requerem que seus fornecedores e parceiros possuam a certificação da norma ISO-27001, com o intuito de garantir que sejam os requisitos de segurança da informação que são exigidos. 
 Um ponto a ser destacado é que a certificação condescende com a GDPR (General Data Protection Regulation - Lei Geral de Proteção de Dados) da Europa, ou seja, possuindo certificado ISO-27001, a organização, automaticamente já está em acordo com as leis internacionais europeias.
4.4. LGPD
A LGPD (Lei Geral de Proteção de Dados) ou LEI Nº 13.709, DE 14 DE AGOSTO DE 2018, foi sancionada com a ideia de alinhar os conceitos e requerimentos internacionais de segurança da informação aos do Brasil, pode-se dizer que é uma versão brasileira da GDPR. Sendo assim, também é, quase que inteiramente condescendente com a ISO-72001.
A Lei nº 13.709, de 14 de agosto de 2018, foi promulgada com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e a livre formação da personalidade de cada indivíduo.
A LGPD fala sobre o tratamento de dados pessoais, dispostos em meio físico ou digital, feito por pessoa física ou jurídica de direito público ou privado, e engloba um amplo conjunto de operações efetuadas em meios manuais ou digitais. Publicado em 30/04/2021 17h35 Atualizado em 26/07/2022 16h28 - Ministério da Cidadania do Brasil
5. ECONOMIA E MERCADO
A pandemia COVID-19 causou um grande impacto na economia mundial, forçando a adaptação de empresas para uma nova realidade. Com o trabalho remoto se transformando em norma. A tecnologia VPN foi de enorme importância para garantir a continuidade de negócios das empresas.
 De acordo com o site businesswire.com, o mercado mundial de VPN tem a expectativa de chegar a $107.5 bilhões até 2027, e Cloud VPN sendo segmento em alto crescimento. A pandemia aumentou as tendências para trabalhos remotos, com aproximadamente 70% das empresas planejando reduzir a presença física de pessoas trabalhando em seus escritórios, colocando mais de 35% do elenco trabalhista em trabalho remoto.
Essa mudança causou um pico na adoção do uso de VPN, criando um aumento gigante na adoção dessa tecnologia no primeiro trimestre de 2020.
 No Brasil, a pandemia deixou 83.5% do mercado de trabalho em um estado de risco, com mais de 26 milhões de trabalhadores sem acesso a qualquer tipo de compensação [ncbi.nlm.nih.gov/pmc/articles/PMC7482054].
 A pandemia também realçou a importância da conectividade digital para manter o funcionamentode nossas sociedades. Já que o “tudo online, virou moda”, as empresas precisaram se adaptar à nova realidade de colaboração virtual e trabalho remoto[ITU - International Telecommunication Union]. 
 As VPNs tiveram um grande papel em permitir o acesso aos recursos das empresas de forma segura, permitindo que colaboradores o trabalho remoto, mantendo a segurança e integridade de empresárias sensíveis.
 Concluindo, a pandemia teve um enorme impacto na economia mundial, empresas tiveram que se adaptar rapidamente a novas formas de trabalho e adotar soluções digitais para dar em suas operações. VPNs se tornaram ferramentas essenciais para acesso remoto seguro aos recursos empresariais, permitindo trabalho remoto, mantendo a segurança de dados.
 No Brasil, a pandemia ampliou problemas existentes como pobreza, desigualdade e informalidade, com milhões de trabalhadores sem acesso a compensações. De fato, medidas emergenciais para compensação, proveram um certo alívio, é necessário que sejam tomadas mais medidas para assegurar uma recuperação sustentável.
6. DESIGN DE ESTRUTURA DE REDE SEGURA
Vamos explicar a estrutura básica de um mapa de rede para acesso externo em conformidade com as regras e políticas da LGPD, GDPR e norma ISO-27001.
6.1. Regras de Segurança Geral:
1. Princípio de Menor Privilégio: As permissões são concedidas aos usuários com mínimo nível necessário para executar suas tarefas.
2. Política de Senhas Fortes: Impor a troca frequente de senhas, e senhas complexas.
3. Atualizações de Segurança Frequentes: Manter todos os sistemas, dispositivos de rede e software atualizados com os patches e atualizações de segurança mais recentes.
4. Segmentação de Rede: Isolar dados e sistemas sensíveis em diferentes segmentos em redes separadas.
5. Sistemas de Detecção e Prevenção de Intrusão: Implementar sistemas IDS/IPS para prevenir e detectar tentativas de acesso não autorizado.
6. Encriptação de Dados: Protocolos fortes de encriptação deverão ser usados para descanso e trânsito.
7. Recuperação de Desastre e Backups Frequentes: Implementar um plano de recuperação em caso de desastre e estratégia de backup para minimizar a chance de perda de dados ou impacto por falhas de sistema.
6.2. Mapa de Rede:
1. Rede externa: Através desta rede os usuários irão acessar os recursos da empresa.
2. Firewall Perimetral: Atua como a primeira linha de defesa, monitorando e controlando a entrada e saída de tráfego.
3. DMZ (Zona desmilitarizada): Tem o papel de segmento isolado entre redes internas e externas, hospedando serviços publicamente acessíveis.
4. Rede Interna: Essa é a infraestrutura interna onde sistemas e dados sensíveis residem.
5. Firewall Interno: Segunda linha de defesa dentro da rede interna, restringindo acesso a dados e sistemas críticos.
6. VPN Gateway: Permite que usuários autorizados tenham acesso seguro à rede interna.
7. Servidor de Autenticação de Duplo Fator (2FA): Verifica a identidade de usuários do VPN, com implementação de 2FA.
6.3. Método de Autenticação de Duplo Fator(2FA).
 Para implementação 2FA, uma combinação de algo que o usuário sabe (senha) e algo que possui (token) pode prover uma camada de segurança com nível bem efetivo. Um método recomendado é a autenticação TOTP, normalmente utilizado com Apps mobile como Google Authenticator ou Authy.
 Motivos para usar um método de 2FA baseado em TOTP:
1. Segurança: 2FA baseado em TOTP é muito bem aceito e altamente seguro. São geradas senhas temporárias por tempo limitado, dificultando a interceptação ou replicação das mesmas.
2. Conveniência ao Usuário: 2FA baseado em TOTP não requer uma conexão de internet, facilitando o acesso para usuários em áreas com conectividade limitada.
3. Custo-Benefício: Implementar 2FA baseado em TOTP normalmente não requer investimentos altos em tokens de hardware, porque usuários podem utilizar seus Smartphones.
4. Usabilidade: 2FA baseado em TOTP tem fácil utilização para os usuários, sem complicações, com Apps Mobile a autenticação se tornou um processo muito simples.
6.4. Concordância com a Norma ISO-27001, GDPR, and LGPD:
Para assegurar a concordância com essas regulações, as seguintes medidas devem ser adotadas:
1. Privacidade Estrutural: Incorporar controles de segurança e privacidade dentro do ciclo de desenvolvimento do sistema e arquitetura da rede.
2. Proteção de Dados: Implementar medidas apropriadas para proteção de dados pessoais, incluindo controle de acesso, minimização de dados e encriptação.
3. Resposta a Incidente: Criar um plano de resposta a incidentes para imediatamente aferir, mitigar ou resolver incidentes com dados ou falhas de segurança.
4. Monitorar e Audicionar Frequentemente: Conduzir frequentes auditorias de segurança, monitoramento de rede e avaliações de vulnerabilidade para detectar e prevenir possíveis incidentes de segurança.
5. Direitos de Dados e Consentimento de Usuário: Sempre obter consentimento explícito do usuário para uso e processamento de dados, e assegurando que os direitos dos indivíduos sobre seus dados estão sendo respeitados.
7. CONCLUSÃO
Após a leitura deste trabalho/pesquisa, podemos concluir que existem várias formas de ameaças quando falamos de segurança de dados, sejam elas por eventos inesperados, como desastres naturais ou falha de equipamentos, tanto como por pessoas ou grupos mal-intencionados, fazendo com que a adoção de práticas de segurança seja imprescindível.
Dadas as informações sobre funcionamento e forma de utilização de VPN com a adição de um bom método de 2FA, fica evidente a eficácia do emprego desses tipos de tecnologias para proteção de dados, principalmente contra indivíduos mal-intencionados. Se provando necessário o uso de VPN para proteção de dados confidenciais das empresas, de seus colaboradores, parceiros e clientes. VPN juntamente com 2FA, mesmo possuindo um certo custo de implementação (dependendo do método escolhido, as vezes, até alto), protege a empresa contra prejuízos sejam eles consequência direta de roubo ou interceptação de dados, ou por danos causados à imagem e reputação da empresa, sendo assim indispensável.
Existem vários métodos de 2FA, neste trabalho, escolhemos TOTP, por oferecer o melhor balanço entre custo-benefício, usabilidade e segurança. Porém casos específicos, podem requerer métodos diferentes, opções não faltam.
Para se criar um ambiente seguro para conexões remotas em empresas, é imprescindível o respeito às leis digitais nacionais e internacionais como a LGPD e GDPR e estar em concordância com normas como a ISO-27001.
Para concluirmos o assunto VPN, foi possível entender, através dos dados fornecidos neste trabalho, que houve um aumento significativo no uso de VPN durante a pandemia COVID-19. E há expectativa de crescimento $107.5 bilhões até 2027, com aproximadamente 70% das empresas com projeção de aumento no uso dessa tecnologia.
Porém esse aumento não se resumiu a companhias utilizando VPNs para fins empresariais, como também por indivíduos buscando segurança ao acessar a internet.
8. REFERÊNCIAS
Conheça os 10 principais ataques cibernéticos da atualidade. BIT&BYTE, 2020. Disponível em:<https://blog.unyleya.edu.br/bitbyte/ataques-ciberneticos/> Acessado em: 17/03/2023
Economic impact of COVID-19 on digital infrastructure. ITU.INT, 2020. Disponível em: < https://www.itu.int/dms_pub/itu-d/opb/pref/D-PREF-EF.COV_ECO_IMPACT-2020-PDF-E.pdf> Acesso em: 18/03/2023
Hackers de chapéu preto, chapéu branco e chapéu cinzento – Definição e explicação. KASPERSKY, 2023. Disponível em: <https://www.kaspersky.com.br/resource-center/definitions/hacker-hat-types/> Acesso em:17/03/2023
IMPACT OF VPN TECHNOLOGY ON IT INDUSTRY DURING COVID-19 PANDEMIC. IJEAST, 2020. Disponível em: <https://www.ijeast.com/papers/152-157,Tesma505,IJEAST.pdf> Acesso em: 18/03/2023
Lei Geral de Proteção de Dados Pessoais (LGPD). PLANALTO, 2019. Disponível em:< http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709compilado.htm > Acesso em: 16/03/2023
NAKUTAVICIUTE, Jomile. The best VPN protocols. NORDVPN,2022. Disponível em:<https://nordvpn.com/blog/protocols/> Acessado em: 16/03/2023
O que é trabalho remoto? INDEED, 2022. Disponível em: <https://br.indeed.com/conselho-de-carreira/encontrando-emprego/o-que-e-trabalho-remoto/> Acesso em: 15/03/2023
O que é IPsec? | Como funcionam as VPNs IPsec. CLOUDFLARE. Disponível em:<https://www.cloudflare.com/learning/network-layer/what-is-ipsec/> 17/03/2023
O que é VPN? Como Funciona, Tipos de VPN. KASPERSKY, 2023. Disponível em: <https://www.kaspersky.com/resource-center/definitions/what-is-a-vpn> Acesso em: 15/03/2023
O que é LGPD? SEBRAE, 2021. Disponível em: <https://sebrae.com.br/sites/PortalSebrae/canais_adicionais/conheca_lgpd/> Acessado em: 16/03/2023
O que é ISO/IEC 27001? ISO,2022. Disponível em:<https://www.iso.org/isoiec-27001-information-security.html> Acesso em: 18/03/2023
O que é a norma ISO 27001? INTEGRITY, 2023. Disponível em: <https://www.27001.pt/index.html> Acesso em: 18/03/2023
O impacto da COVID-19 no Brasil: mercado de trabalho e respostas de proteção social. PUBMED CENTRAL, 2020.Disponível em: <ncbi.nlm.nih.gov/pmc/articles/PMC7482054/> Acesso em: 18/03/2023
Relatório Global do Mercado de Rede Privada Virtual (VPN) 2020: A adoção de VPN aumenta à medida que a pandemia de COVID-19 leva a um aumento no trabalho remoto e na cultura WFM - ResearchAndMarkets.com. BUSINESSWIRE, 2020. Disponível em: <https://www.businesswire.com/news/home/20201127005318/en/Global-Virtual-Private-Network-VPN-Market-Report-2020-VPN-Adoption-Surges-as-COVID-19-Pandemic-Leads-to-a-Rise-in-Remote-Work-and-WFM-Culture---ResearchAndMarkets.com> Acesso em: 18/03/2023
ROSENCRANCE, Linda. SSL VPN (rede privada virtual Secure Sockets Layer). TECHTARGET, 2021. Disponível em: <https://www.techtarget.com/searchsecurity/definition/SSL-VPN> Acessado em: 15/03/2023
SINGH, Vishal. Métodos técnicos para fazer a coleta de informações. ICSSINDIA.IN, 2019. Disponível em: <https://icssindia.in/blogs/infromation-gathering-process/> Acesso em: 17/03/2023
SOANES, Rúben. O que é um ataque de DNS? SECURIWISER, 2021. Disponível em:<https://www.securiwiser.com/blog/what-is-a-dns-attack/> Acesso em: 17/03/2023
SHEA, Sharon e LUTKEVICH, Bem. O que é um cracker de computador? TECHTARGET, 2021. Disponível em: <https://www.techtarget.com/searchsecurity/definition/cracker> Acessado em: 17/03/2023
SOBRAL ROCHA, Kassio Henrique. Conheça os Princípios da Segurança da Informação para a SEFAZ AL. ESTRATÉGIA, 2021. Disponível em: <https://www.estrategiaconcursos.com.br/blog/principios-seguranca-informacao> Acessado em: 16/03/2023
Um guia para tipos comuns de autenticação de dois fatores. CISCO, 2017. Disponível em: <https://venturebeat.com/security/a-guide-to-common-types-of-two-factor-authentication/> Acessado em: 16/03/2023