GEST EM SEG DA INFORMAÇÃO PROJETO INTEGRADO MULTIDISCIPLINAR VI

Prévia do material em texto

UNIP EAD
Projeto Integrado Multidisciplinar 
Cursos Superiores de Tecnologia em Segurança da Informação 
 
 
 
 
 
 
 
 
 
Gestão de Acesso para Acesso Remoto – VPN em Home Office
Universidade Paulista 
2020 
 
UNIP EAD
Projeto Integrado Multidisciplinar 
Cursos Superiores de Tecnologia em Segurança da Informação 
 
 
 
 
Gestão de Acesso para Acesso Remoto – VPN em Home Office 
 
 
 
Maria Lidiane Silva - 2006921
Cindy Karol Pires Borges - 2022343
Evam Baste Apolinário de Souza Lopes de Oliveira - 0552583 
Rodrigo Moreira Da Silva - 0554251 
 Rafael Policante Rodrigues - 2088994
 
 Curso: Segurança da Informação 
 Semestre: 3º 
 
 
 
 
Universidade Paulista
2020 
 
Resumo 
O objetivo desta pesquisa é abordar a segurança da informação em utilizarmos a VPN, informando como funciona e porque é considerada tão segura. 
De uma forma bem resumida como hoje todos são beneficiados, empresa e funcionários que tiveram que se adaptar de uma forma rápida inesperada devido a covid19.Sendo necessário agilidade, habilidade dos profissionais em desenvolver técnicas e garantir segurança das informações sigilosas da empresa em segurança. 
Assim como será abordado como o certificado digital é considerado seguro, prático e econômico, visto que por meio dele é possível ter um controle melhor de gerenciamento de documentos, sem a necessidade de papel, tendo acesso a qualquer momento em qualquer lugar. Além da redução dos custos que a empresa tem em impressão, tintas e garantia nas informações com precisão e confiança. 
 
 
Palavras chave: Segurança da Informação, VPN, criptografia, confidencialidade e tecnologias. 
 
 
Summary 
The purpose of this research is to address information security in using the VPN, informing how it works and why it is considered so secure. 
In a well summarized way how everyone is benefited today, company and employees who had to adapt in an unexpectedly fast way due to covid19. Being necessary agility, skill of professionals in developing techniques and ensuring security of the company's confidential information in security. 
Just as it will be discussed how the digital certificate is considered safe, practical and economical, since it is possible to have a better control of document management, without the need for paper, having access anytime anywhere. In addition to reducing the costs that the company has in printing, inks and guaranteeing information with precision and confidence. 
 
 
 
 
 
 
 
 
Key words: Information Security, VPN, encryption, confidentiality and technologies. 
 
 
Sumário:
 
1. Introdução 											 6
2. Quais as vantagens da VPN para as empresas? 						 7
3. Certificado digital conceito 									 8
4. Normas da capacitação										 9
5. Manual de condutas e políticas de proteção de dados.					 9
5.1 Introdução							 			 10
5.2 Objetivo 										 10
5.3 Aplicação  							 			 10
5.4 Dos usuários 										 10
5.5 Identificação - Login e senha 								 11
5.6 Email e mensagens instantâneas 							 11
5.7 Softwares piratas 								 	 11
5.8 Acesso remoto ao escritório 						 	 12
5.9 Do dever 										 12
6. Economia e Mercado										 13
7. Proposta de VPN										 15
8. Conclusão												 18
 
1. Introdução 
 
O que é a VPN - Virtual Private Network? 
 
De uma forma simples a VPN, ou rede virtual privada, circuito virtual seguro entre seu dispositivo e a Internet, baseada em criptografia, autenticação e tunelamento. 
Seu objetivo é manter as informações que trafegam de uma forma segura mesmo utilizando a internet. Mantendo assim uma segurança para seu que tanto a empresa quanto os funcionários sintam-se seguros. 
A VPN também pode funcionar como um proxy online, permitindo que você navegue de forma anônima de qualquer lugar que você quiser. 
Como funciona a VPN? 
A VPN cria um cabo virtual entre um computador e um servidor. O Cabo virtual cria um túnel que criptografa todos os dados que passam por ele. Garantindo assim confiabilidade nas informações 
Como configurar para acesso a VPN? 
· Fazer o download do arquivo que a empresa disponibiliza. 
· Conectar a internet 
· Localizar o ícone do Cisco Any Connect, conforme a figura abaixo: 
· Clicar no simbolo engrenagem de configurações: 
· Na Aba “Preferencies” - Desmarcar a caixa “Blockconnections tountrustedservers” - Fechar a janela. Em seguida digita o endereço que a empresa passa. 
· Clicar no botão “Connect anyway”. 
· Incluir seu usuário e senha, a VPN irá validar seu usuário, senha e conexão, após isso, deverá aparecer a mensagem abaixo: 
· Após conectado na VPN, ir em iniciar digitar executar e na área em branco digitar MSTSC e dar um enter. Na Caixa Conexão da Área Remota de Trabalho, Digitar o Ativo da sua Máquina e clicar em Conectar. Pronto você irá estabelecer uma conexão com seu computador. 
 
2. Quais as vantagens da VPN para as empresas? 
 
A VPN tem vantagens para as empresas visto que o investimento na infraestrutura são baixos. Ela contribui muito para o desenvolvimento de novas tecnologias garantindo assim uma segurança na utilização da internet em questão de segurança. Dificultando assim as invasões. 
Devido a pandemia que estamos enfrentando desde o ano de 2020, se tornou cada vez mais a necessidade de garantir soluções seguras e viáveis para as empresas manterem dados protegidos. 
Em todo mundo houve ajustes na forma de trabalho onde a população teve que se adaptar à nova forma de trabalho o home office. Como se trata de uma mudança significativa na rotina das pessoas, o grande desafio é garantir segurança nas informações. Devido ao aumento de mais 50% de funcionários trabalharem em casa as grandes empresas médias e pequeno porte, estão cientes que seus dados estão mais vulneráveis, cessíveis para hackers. Logo os profissionais de segurança da informação de cada empresa tem a grande responsabilidade de descobrir formas para preservar esses dados, devido à falta de visibilidade, onde não é possível garantir em casos de ataques nas informações sigilosas. Até porque em relação à LGPD, a empresa será responsabilizada nos termos da lei, tanto no trabalho presencial como remoto, caso as informações sejam comprometidas por invasão. 
Visto que o número de ataques e invasões teve um aumento de 400% segundo a indústria cibernética. 
Para garantir segurança nas informações das empresas, se faz necessário capacitar seus funcionários na questão de como usar manusear a ferramenta de maneira segura, por exemplo utilização de VPN de e-mail, atualização do equipamento. 
A empresa pode disponibilizar apenas os sistemas que de fato cada funcionários precisa de acordo com sua função. 
 
 
3. Certificado digital conceito
Assinatura eletrônica, digital que contém dados do titular, tanto como pessoa física ou jurídica. Por meio de chaves criptografadas, garantindo assim segurança e exclusividade. 
São bastante utilizadas nos casos contratos e emissão de notas fiscais. Assim temos tranquilidade na hora de declarar o imposto de renda, verificar ou efetuar consultas ou analisar situação fiscal, caso ocorra pagamentos indevidos de tributos, podemos efetuar a correção. 
Vantagens e desvantagens do certificado digital: 
Confidencialidade e autenticidade: Garantia das informações direcionada a pessoa que de fato precisa receber. Tendo assim a certeza por parte do receptor que essas vieram de uma origem já esperada. Além disso temos a integridade das informações, que são conhecida como a função de hash – transmissão das informações criptografadas que estão sendo transmitidas. Assim temos tranquilidade na hora de declarar o imposto de renda, verificar ou efetuar consultas ou analisar situação fiscal, caso ocorra pagamentos indevidos de tributos, podemos efetuar a correção. 
Pode usar em qualquerlugar que você se encontre desde que esteja conectado a internet, em questão de segundos o documento é recebido com autenticidade. Permitindo assim realizar diversos serviços sem está presente, além de redução de custos e sustentabilidade. 
Mesmo correndo o risco de serem adulteradas ou fraudadas assim como no mundo físico, as informações por meio eletrônicos certificação digital nos garante confiança nas informações. É claro que não é possível avaliarmos o caráter de cada ser humano, por meios da tecnologia, por isso podemos sempre ter riscos, lembrando que a falsificação de documentos acerta consequências jurídicas. 
Política de Capacitação Home Office para Colaboradores: 
Devido ao novo cenário mundial afetado pela Pandemia “Covid-19”, a empresa para garantir a segurança dos colaboradores veem introduzir os serviços Home Office. Introduzir-se o empoeiramento para fornecer conhecimentos as ferramentas a nova forma de trabalho com o principal objetivo tornar o colaborador capaz de desempenhar as funções com um nível alto de autonomia. 
 
4. Normas da capacitação
 
Da Empresa:
A empresa passará a fazer uso das tecnologias como softwares, aplicativos, de vídeo chamadas disponível para manter um contato mais direto com o colaborador. 
A integração entre a empresa e o colaborador é obrigatória para que ele tenha acesso a informações, ferramentas de que precisa para desempenhar suas atividades. 
Da Comunicação; 
A comunicação passará ser feita através de canais abertos com gestores de cada departamento dessa empresa tanto para fazer consultas quanto para sanar dúvidas e informar os resultados de suas atribuições. É dever de cada liderança orientar e acompanhar seus colaboradores para que ele se torne mais eficiente. O canal de comunicação servirá como maior nível de integração para planos ou decisões e interrupção das ruins antes que cause danos graves. 
 
Da capacitação:
A capacitação se dará através de orientação do seus gestores diretamente aos colaboradores ensinando a realizar as tarefas, explicando a importância de cada tarefa e o que a empresa espera alcançar nessa modalidade de trabalho. No uso integral todos passará pelo setor de T.I (gestão de tecnologia) para orientação, informações, sanar dúvidas de ferramentas, softwares, aplicativos, canais de comunicação e credencias a ser utilizados no trabalho remoto. É expressamente proibido o trato informal nos canais de comunicação da empresa, preservando a padronização, ética, moral é respeito. 
5. Manual de condutas e políticas de proteção de dados.
No que diz respeito à Lei Geral de Proteção de Dados (LGPD), permitir que as pessoas trabalhem em casa significa expandir a empresa nessas residências, exigindo cuidados extras na proteção de dados. Com a chegada do covid -19 ficou mais frequente essa modalidade de trabalho, isso porque mesmo que o trabalho seja feito em modelo de home office, ou mesmo que os profissionais que atuam em nome da empresa e não tenham vínculo empregatício, a responsabilidade da empresa pelos dados do cliente é a mesma. 
Portanto para evitar que a empresa sofra futuras sanções, a adoção do home office deve ser precedidas de medidas como a criação de um manual de condutas e políticas específicas de proteção de dados, com adequado preparo de mecanismos de segurança de dados nos softwares e recursos utilizados, implantando sistemas de monitoramento e controle dos dispositivos, respeitando a Consolidação das Leis de Trabalho. (CLT) 
 
5.1 INTRODUÇÃO 
De acordo com a NBR ISO / IEC 27.002 e a Lei nº 13709 de 14 de agosto de 2018 ("Lei Geral de Proteção de Dados" ou "LGPD"), define sua política de segurança da informação ("Política") e estabelece a continuidade dos negócios e a proteção da confidencialidade das informações. 
 
5.2 OBJETIVO 
O objetivo desta política é estabelecer boas práticas de processamento de dados, determinar as medidas de segurança, técnicas e administrativas para proteger os dados pessoais da empresa e garantir a confidencialidade e integridade e proteção das informações na modalidade de trabalho remoto (Home Office) Além disso, visa proteger os dados e informações de acesso não autorizado e destruição acidental, ilegal, perda, alteração, comunicação ou qualquer forma de tratamento impróprio. 
 
5.3 APLICAÇÃO  
Esta política se aplica a todos os indivíduos, sejam pessoas físicas ou jurídicas, funcionários, prestadores de serviços, estagiários ou autorizados a acessar o sistema em qualquer dispositivo dentro ou fora da empresa. 
5.4 DOS USUÁRIOS 
 I - Respeitar esta Política de Segurança da Informação.
II- Respeitar todas as normas da LGPD.
III- Responder pelo descumprimento dos procedimentos de tratamento de dados previsto na Política de Proteção de dados pessoais. 
IV- Responder pela guarda e proteção dos recursos computacionais colocados a sua disposição para o trabalho remoto.
V- Responder pelo uso exclusivo e intransferível de suas senhas de acesso, não deixando que terceiros que compartilham da mesma residência tenha acesso .
VI- Ativar suas senhas de proteção para correio eletrônico e sistema operacional, sob a orientação da gerência de Infraestrutura.
VIII- Comprometer-se em não auxiliar terceiro ou não provocar invasão dos computadores ou da rede de dados, conforme artigo 154-A do Código Penal Brasileiro.
 
5.5 IDENTIFICAÇÃO - LOGIN E SENHA 
 
 I - Os sistemas de login e senha protegem a identidade do usuário, evitando e prevenindo que uma pessoa se faça passar por outra. Código Penal Brasileiro art. 307 – falsa identidade 
II- Se existir login de uso compartilhado por mais de um colaborador ou terceiros a responsabilidade será dos usuários que dele se utilizarem. Se identificada solicitação do gestor para uso. 
III-  Os usuários deverão ter senha de tamanho variável, possuindo no mínimo 6 (seis) utilizando caracteres especiais (@ # $). 
IV- É de responsabilidade de cada usuário a memorização de sua própria senha, bem como a proteção e a guarda dos dispositivos de identificação que lhe forem designados 
V- Acessos externos à rede de informações fora do expediente de trabalho serão bloqueados atendendo a Lei 12.551,teletrabalho que altera o Art. 6° da CLT, exceto para cargos de confiança. 
5.6 EMAIL E MENSAGENS INSTANTÂNEAS 
 
 I - É proibido o uso de e-mails, correios eletrônicos ou mensagens instantâneas de forma contrária à lei, à moral, aos bons costumes, à ordem pública ou que infrinjam os direitos a propriedade intelectual ou industrial pertencente a terceiros 
II -  Proibido o uso de software de e-mail, mensagens instantâneas e correio interno não homologados pela gerência de. O uso dos mesmos é de responsabilidade do usuário e podem trazer riscos a segurança da informação além de dificultar o suporte técnico 
III - O uso indevido do e-mail é de inteira responsabilidade do usuário, podendo o mesmo ser responsabilizado pelos danos causados. 
 
5.7 SOFTWARES PIRATAS 
 
I- Pirataria é considerada crime e softwares piratas causam prejuízos tanto materiais como funcionais além de denegrir a imagem da Instituição. Por esta razão, estão terminantemente proibidos 
II-   instalação de softwares não autorizados (“Pirataria”) constitui crime contra a propriedade intelectual, de acordo com a Lei 9.609 de 19/02/98, e o infrator está sujeito à pena de detenção e multa. 
5.8 ACESSO REMOTO AO ESCRITÓRIO 
I- O acesso remoto às informações e dados existentes no escritório será restrito, sendo tratado como uma excepcionalidade e que somente será permitido mediante a prévia e expressa autorização da diretoria 
II- restrição ao acesso remoto ao escritório está alinhada com as boas práticas de segurança da informação adotadas pela empresa sendo uma medida para a proteção da confidencialidade dos dados aplicada em atenção à LGPD e a política de privacidade e proteção de dados pessoais. 
5.9 DO DEVER 
I- O usuário deve estar ciente e seguir as recomendações desta Política, interpretando a classificação atribuída às informações e dados, e assegurando que recebam tratamento adequado 
II- O mauuso dos recursos de tecnologia caracteriza um incidente de segurança da informação e pode resultar na aplicação de sanções legais e/ou administrativas, conforme a gravidade e impacto do incidente para a empresa 
III- As violações às disposições estabelecidas na presente política, devidamente apuradas, poderão implicar: 
· Na aplicação das sanções previstas na legislação trabalhista 
· Na aplicação das sanções previstas na LGPD 
· Na aplicação das sanções previstas em contrato aos prestadores de serviço e estagiários.  Na aplicação dos procedimentos legais cabíveis 
 
  
 
6. Economia e Mercado 
 
Mesmo antes do novo Coronavírus, o conceito de (trabalhar em casa) vem ganhando cada vez mais força. Durante a pandemia, muitas das empresas adotaram esse sistema, assim podendo dar continuidade em suas atividades 
Mas, qual é o impacto econômico provocado pela modalidade home office no mercado de trabalho? 
Segundo uma pesquisa feita pela BBC NEWS Brasil, quase 38% da força de trabalho no planeta, o equivalente a 1,25 bilhão de pessoas, está empregada em setores duramente afetados pela paralisação das atividades em diversos setores, segundo a estimativa mais recente da Organização Internacional do Trabalho (OIT), e correm o risco de ficar sem trabalho nos próximos meses. 
Muitas coisas são influenciadas devido ao home office, inclusive a parte econômica, tanto para a empresa quanto para o funcionário. 
A modalidade de trabalho remoto demanda várias situações, uma delas é o acesso seguro, navegar de forma segura, uma boa estratégia deve abranger os principais pontos da segurança da informação: 
· Confidencialidade – Todos os dados sensíveis devem ser protegidos 
· Integridade – Não pode haver alterações nos dados por terceiros 
· Disponibilidade – As informações armazenadas devem estar disponíveis para acesso 
 
Vantagens: 
Empresas teriam menos foco em estruturas físicas, reduzindo o consumo de energia, água, podendo gerar mais empregos por meios digitais. 
Podendo oferecer flexibilidade nos contratos, reduzindo a rotatividade de funcionários, aumentando a escalabilidade de negócio e flexibilidade de horários. 
Funcionários trabalhando a partir de suas residências acabam economizando mais, devido a ficar menos tempo na rua, comendo em restaurantes ou passando em lojas assim incentivando o consumo. A possibilidade em poder guardar dinheiro é uma das grandes vantagens do trabalho remoto. 
Desvantagens: 
Muitas das empresas necessitam do meio físico para manter o funcionamento, alguns dos setores mais afetados são: Comércio, restaurantes, turismo e 
prestadores de serviços. Outro fator é a qualidade das conexões em diversas localidades, onde afeta diretamente o acesso para realizar o trabalho remoto, com isso muitas empresas que não se prepararam para isso, precisou fechar suas portas. 
Outro ponto importante é, nem todos tem o perfil para realizar trabalhos remotos, algumas pessoas perdem o foco facilmente, ambientes agitados, falsa sensação de tempo, falta de rotina, etc. 
Em virtude dos fatos mencionados existe inúmeras vantagens e desvantagens referente ao trabalho remoto perante a economia, é fato que o trabalho remoto vem se tornando uma tendência mundial, haja visto que esta modalidade de trabalho tende a crescer cada vez mais devido ao avanço constante da tecnologia. 
7. Diagrama de proposta Rede VPN 
 
Tipo de VPN que será utilizada: 
A rede VPN utilizada na proposta será uma do Tipo SSL, ou cliente-to-site, com uso de Token, fazendo a combinação de fatores de autenticação como o que “você sabe” e o que “você tem”, isso permitirá que somente usuários com credenciais de acesso poderão ter possibilidade de acessar a VPN, vamos listar algumas vantagens de usar esta tecnologia para redes VPN: 
VPN SSL com segurança baseada em certificados digitais: 
Muitas soluções de VPN SSL implementam uma autoridade certificadora (CA) privada para gerenciar os acessos a comunicação através de certificados digitais. Dessa maneira, somente certificados emitidos pelo produto, são aceitos para negociar a conexão com o concentrador de VPN. 
Cada certificado pode ainda ter validades diferentes, por exemplo criar um certificado de 1 dia para acesso de um fornecedor, bem como validades maiores para colaboradores de confiança que precisam ter acesso remoto à estrutura da empresa. 
Os certificados podem ser protegidos com senha, que são pessoais e adicionam uma camada a mais de segurança em caso de roubo ou perda do certificado. Desta forma, antes de iniciar a conexão a senha é verificada. 
Integração com Active Directory 
Como trata-se de uma solução de diretório amplamente utilizada em meios corporativos, é muito comum que soluções de VPN SSL trabalhem com um backend deautenticação/validação de credenciais em uma base Active Directory. 
Neste caso, o administrador cria um certificado individual ou coletivo para os usuários da VPN, e o acesso somente é garantido depois que as credenciais de acesso são informadas e validadas pelo serviço. 
Isso confere uma facilidade muito grande de administração para o ambiente, especialmente pela possibilidade de trabalhar com grupos, onde pode-se definir que somente usuários pertencentes ao grupo VPN podem ter acesso ao recurso. 
Quando um usuário precisa fazer o acesso, o administrador libera um certificado para o mesmo, e quando o acesso não é mais necessário, não precisa necessariamente revogar o certificado, somente retirando-o do grupo de acesso fará com que não seja mais possível o ingresso. 
Controle granular de acesso 
Como a VPN permite somente a conectividade entre determinados pontos, é comum que alguns perfis de acesso, mesmo conectados, não tenham acesso a conectividade de determinados equipamentos ou redes. 
Os concentradores de VPN podem então atuar regulando o tráfego da VPN dos usuários remotos para os equipamentos e servidores dentro do segmento de rede interna, permitindo que um usuário possa ter acesso a um grupo de servidores, enquanto que outro, no mesmo serviço, somente acesse um equipamento. 
DESVANTAGENS 
Por outro lado, uma desvantagem do SSL é que o acesso do(s) aplicativo(s) é feito por meio de um navegador da web, o que significa que eles realmente funcionam apenas para aplicativos baseados na web. Isso significa que os usuários não têm acesso a recursos de rede como impressoras ou armazenamento centralizado, e não podem usar a VPN para compartilhamento ou backup de arquivos. 
 
 VPN SSL com Duplo fator de Autenticação com Token, porque ele é seguro? 
A autenticação em dois fatores não é uma técnica nova, sistemas bancários a utilizam e fornecem além da senha ao usuário ,um token com dezenas de números diferentes para fazer transações pela internet. A ideia é justamente essa ,juntar algo que você sabe, a sua senha, e algo que você possui,o token,ou algo que você é, exemplo biometria,reconhecimento facial, reconhecimento de retina,batimentos cardíacos, algumas empresas usam no seu sistema estas medidas extras de segurança para seus funcionários terem acesso ao sistema. A teoria geral por trás de dois fatores é que para efetuar login,ter acesso ao sistema, você deve saber e possir algo a mais, no caso de uma rede virtual, uma VPN, de uma senha e algo a mais. 
 
Para fazer acesso a uma rede VPN, que utiliza esta técnica, dificilmente uma empresa terá sua rede VPN violada caso haja um vazamento de dados dos usuários, como as senhas por exemplo, as contas dos usuarios estarão protegidas caso estejam usando autenticação em duas etapas. 
 
 
 
 
 
 
 
 
Conclusão
 
Todos os comportamentos que ameacem a segurança da informação serão tratados por meio de ações disciplinares, desde advertências verbais até a rescisão do contrato por motivos justificados, e os seguintes fatores devem ser considerados: o papel do funcionário, o tempo utilizado, o local de uso, o uso de horas de trabalho, e o impacto ou perdas potenciais causadas por soluções.
Referências
https://www.bbc.com/portuguese/noticias/2010/03/100315_brasil_impacto_cq 
https://www.compugraf.com.br/trabalho-remoto-seguro-o-guia-da-seguranca-da-informacao/https://inforchannel.com.br/o-desafio-de-levar-a-conectividade-do-ambiente-corporativo-para-o-home-office/ 
https://edu.gcfglobal.org/pt/informatica-basica/transferir-arquivos-e-configuracoes/1/
https://www.expressvpn.com/pt/what-is-vpn
https://www.expressvpn.com/pt/what-is-vpn
https://www.oficinadanet.com.br/seguranca/24038-o-que-e-vpn
https://www.infowester.com/assincertdigital.php 
https://www.infowester.com/assincertdigital.php
http://www1.receita.fazenda.gov.br/faq/spedcontab
http://www.certisign.com.br/
https://www.binarionet.com.br/ipsec_ssl/
https://blog.tripletech.com.br/conheca-seus-beneficios-da-vpn-ssl-para-seu-negocio/
 - Lei 13709 de 14 de agosto de 2018.
 - NBR ISO / IEC 27.002.
 - Artigo 154 -A do Código Penal.
-  Lei 12.551.
-  Art. 6° da CLT.
- Lei 9.609 de 19/02/98.
- Artigo 307 Código Penal.