CST SEGURANÇA DA INFORMAÇÃO PROJETO INTEGRADO MULTIDISCIPLINAR V

Prévia do material em texto

UNIP EAD
PIM
Curso Superior de Tecnologia
PROJETO INTEGRADO MULTIDISCIPLINAR V
GESTÃO DE ACESSOS PARA ACESSOS REMOTO E VPN EM HOME OFFICE
Barueri – SP
2023
UNIP EAD
PIM
Curso Superior de Tecnologia
PROJETO INTEGRADO MULTIDISCIPLINAR V
GESTÃO DE ACESSO PARA ACESSO REMOTO E VPN EM HOME OFFICE
Nome completo do aluno: Joabe Miskaim da Silva Costa
RA: 2271152
Curso: Segurança da Informação 
Semestre: 3° semestre
Barueri – SP
2023
RESUMO
O presente trabalho, tem como objetivo desenvolver um relatório abrangendo as disciplinas estudadas durante o primeiro bimestre do terceiro semestre, sendo elas criptografia e certificação digital, segurança em redes de computadores, economia e mercado, e leis, políticas e normas de segurança da informação.
Com o início repentino da pandemia global do Covid-19, todas as empresas tiveram que se adequar os trabalhos no modelo de home-office, de forma imediata, não seguido todas as diretrizes adequadas de um modelo seguro para as normas de segurança da informação, dessa forma, ficando com seus sistemas vulneráveis para possíveis fragilidades e ataques externos.
O objetivo é mostrar a importância para elaborar um modelo seguro e confiável de trabalho no modelo de home-office, uma vez que, vem sendo o mais utilizado nos dias de hoje, desde o estouro da pandemia, com isso, vamos mostrar um modelo seguro de VPN - Virtual Private Network, suas vantagens e possíveis vulnerabilidades na ausência de uma, também será mostrado, a importância da Criptografia e Certificação Digital, sendo necessário definir um modelo de duplo fator de autenticação, garantindo uma melhor segurança aos ambientes da companhia, tantos para os colaboradores que trabalham presencialmente, quanto aos que está trabalhando no modelo de home-office. 
Devido o trabalho de home-office, ser algo mencionado acima, será mostrado uma política de Segurança da Informação para se adequar ao modo de trabalho de home, utilizando sempre acesso a VPN, além disso, será mostrado uma pesquisa do impacto social causado devido o isolamento que foi motivado perante a pandemia do Covid-19. 
	
Palavras-Chaves: Covid-19, Home-Office, VPN – Virtual Private Network, Segurança da Informação.
ABSTRACT
This work aims to develop a report covering the disciplines studied during the first two months of the third semester, namely cryptography and digital certification, security in computer networks, economy and market, and laws, policies and information security standards.
With the sudden onset of the Covid-19 global pandemic, all companies had to adapt their work to the home-office model, immediately, not following all the appropriate guidelines of a safe model for information security standards, thus, leaving your systems vulnerable to possible weaknesses and external attacks.
The objective is to show the importance of elaborating a safe and reliable work model in the home-office model, since it has been the most used one these days, since the outbreak of the pandemic, with this, we will show a safe model of VPN - Virtual Private Network, its advantages and possible vulnerabilities in the absence of one, will also be shown, the importance of Encryption and Digital Certification, being necessary to define a model of double authentication factor, guaranteeing a better security to the company's environments, so many for employees who work in person, as well as those who are working in the home-office model.
Due to home-office work being something mentioned above, an Information Security policy will be shown to adapt to the home-work mode, always using VPN access, in addition, a survey of the social impact caused due to the isolation that was motivated due to the Covid-19 pandemic.
Keywords: Covid-19, Home-Office, VPN – Virtual Private Network, Information Security.
SUMÁRIO
RESUMO	3
ABSTRACT	4
INTRODUÇÃO	6
1. O que seria VPN?	7
1.1. Duplo Fator de Autenticação 	7
1.2. FERRAMENTA VPN – FortiClient	8
1.3. VULNERABILIDADE NA AUSÊNCIA DA VPN	9
1.4. Gestão de Acesso	9
2. Política de Segurança da Informação	10
2.1. O que é uma Política de Segurança da Informação?	10
2.2. Confidencialidade: o que é?	10
2.3. Integridade: o que é?	10
2.4. Disponibilidade: o que é?	11
2.5. Para quem se aplica a Política de Segurança da Informação:	11
3. Plano de Conscientização	11
4. Impactos Sociais e Econômicos devido à Convid-19	11
4.1. O que é Covid-19?	11
4.2. Quais são os programas sociais do Governo Federal?	11
5. Conclusão	15
Referências	16
INTRODUÇÃO
	Com o início da pandemia do Covid-19, muitas empresas, foram forçadas a colocar os seus colaboradores internos e externos para o modelo de trabalho home-office, com isso, muitos pilares importantes de segurança da informação não foram levados em consideração na adequação do modelo, fazendo muitas empresas sofrer ataques de forma duplicada em seus sistemas, com isso, será mostrado a importância e o motivo dos protocolos de Segurança da Informação serem importantes de modo fundamental para o trabalho no modelo de trabalho home-office.
	A ideia é mostrar um modelo de trabalho mais seguro para a companhia e seus colaboradores, utilizando o método home-office, ficando livre de tantas vulnerabilidades e possíveis ataques, mostrando alguns exemplos de fragilidades encontradas na ausência de uma VPN e um modelo de duplo fator definido. Além disso, vamos mostrar os impactos que a pandemia trouxe no isolamento social, mostrando isso na economia e mercado nacional. 
	Será mostrado também, uma política de segurança da informação para trabalho remoto, abrangendo as leis, normas e políticas para um bom funcionamento e utilização do modelo de trabalho, que não é novo, sendo visto inúmeros casos de empresas que já utilizavam o modo de trabalho remoto, até mesmo antes da pandemia, sendo um benefício para a companhia na parte de economia. 
	Vale ressaltar o quanto o trabalho remoto, mudou a rotina dos trabalhadores, tendo que adaptar seus ambientes para suprir a necessidade do trabalho remoto. 
1. O que seria VPN?
VPN é a sigla em inglês para Virtual Private Network ou Rede privada virtual. Ela é basicamente uma conexão segura e criptografada entre o cliente e um servidor que permite navegar pela internet de forma mais protegida. Nessa conexão é criada um túnel entre o destino e o remetente. 
Fonte: https://pt.wikipedia.org/wiki/Rede_privada_virtual
1.1. Duplo Fator de Autenticação
Um dos pontos mais importantes a ser estabelecido após a implementação de uma VPN, será o duplo fator de autenticação, onde será solicitado ao tentar se conectar à rede da empresa/companhia, onde o intuito é verificar se o acesso é realmente devido e seguro para o sistema, visando detectar possíveis acessos indevidos.
É disponibilizada na própria admissão do colaborar uma credencial de acesso, sendo login e senha de rede, com isso ao tentar conectar na VPN será solicitado ambas as credenciais, ao serem digitadas, será solicitado um código de autenticação que será enviado para o número do colaborador via SMS, onde foi informado o número no seu cadastro na hora da solicitação do acesso a VPN/Número que foi informado na admissão. 
Fonte: https://tecnoblog.net/responde/como-usar-autenticacao-duas-etapas-authy/
	O intuito do acesso remoto através de uma VPN é oferecer uma total segurança para o colaborar e para a companhia, através da navegação pelos sistemas e rede corporativas, assegurando que o notebook e desktop utilizado está limpo de possíveis fragilidades dentro da internet das coisas (IoT).
	Vale ressaltar que a ideia é criar senhas difíceis de serem quebradas por possível hacker, então alguns pontos importantes na hora de escolher sua senha: 
· USE, como regra geral, no mínimo oito caracteres. É de grande importância o tamanho da senha. Quanto maior, melhor! Mais difícil será de adivinhar.
· USE letras maiúsculas e minúsculas, números e, pelo menos, um caractere especial (Exemplo: @,#!$&*.). Evitando sempre repetição de caracteres. Isso complica maisainda a vida de quem quer quebrar a senha.
USE palavras curtas, concatenadas e modificadas, contendo também números, ligadas por sinais de pontuação. Também torna mais fácil lembrar da senha.
1.2. FERRAMENTA VPN – FortiClient
	A ferramenta sugerida trata-se da FortiClient, muita utilizada dentro do meio corporativo por se tratar de um fácil acesso para seus colaboradores, assegurando total segurança para ambos os lados, sendo compatível com todos os sistemas operacionais, “FortiClient é uma solução de software baseada em cliente que oferece uma gama de recursos de segurança para desktops e laptops. Quando usado em conexão com appliances FortiGate, FortiClient oferece IPsec e criptografia SSL, otimização de WAN, a conformidade de endpoint, e autenticação de dois fatores.”
	Muito importante ressaltar alguns dos benefícios que o recurso oferece para seus usuários: 
Características e Benefícios
· Melhora a proteção de endpoint pela ampliação das políticas de segurança corporativa para usuários remotos.
· Segurança ponta a ponta com controle integrado de terminais, a aplicação de políticas, gerenciamento centralizado e monitoramento.
· Segurança de endpoint integrado agrupados em um único agente, de fácil gestão para redução do custo total.
· FortiClient oferece SSL e IPSec VPN, firewall de aplicativos, antivírus/antispyware, filtro web, varredura de vulnerabilidades, otimização de WAN e mais.
· Integrado com o FortiGate e FortiAnalyzer para gerenciamento central e registro/notificação.
Será utilizado o duplo fator de autenticação já mencionado acima, no presente relatório, onde será de fácil acesso para colaboradores internos e externos da companhia, onde a ferramenta FortiClient disponibiliza essa opção de duplo fator sendo possível acessar digitando o código de autenticação que será enviado para o número do colaborador. 
1.3. VULNERABILIDADE NA AUSÊNCIA DA VPN 
De acordo com dados, empresas sem uma ferramenta de VPN tornam-se alvos fáceis para ataques de hackers externos, tendo seus ativos expostos para possíveis vazamentos de informações, tendo em vista que a segurança da informação de redes é uma das principais preocupações que uma estrutura de TI deve ter devido existirem diversos métodos e oportunidades de ataques. 
Com o crescimento da utilização do método de trabalho remoto, vem sendo cada vez mais necessário que seja estabelecido um recurso de VPN pela empresa, para reduzir ou até mesmo tentar acabar com as possíveis fragilidades que podem ser encontradas por hackers.
Sem um recurso que junte todos os usuários em uma única conexão, como seria possível que o time de Segurança da Informação soubesse que todos estão totalmente seguros? 
Com isso se vê necessário a utilização obrigatória da ferramenta, assim sendo possível o rastreamento por parte do time de Segurança da Informação, e até mesmo sendo possível detectação de vírus e fragilidades.
Com a utilização da VPN durante o trabalho remoto é possível através de uma conexão criptografada, o usuário poderá utilizar os recursos da companhia da mesma forma como se estivesse presencialmente na sede da empresa, não sendo restringido nenhum de seus acessos, exceto o de comunicação pessoal, sendo restringido a comunicação online. 
Para a Segurança da Informação, a técnica de trabalho remoto traz uma praticidade de poder trabalhar de qualquer lugar do mundo, junto a ela, vem diversas responsabilidades, tendo como uma das mais populares, a não perda de produtividade. 
1.4. Gestão de Acesso
A gestão de identidade e de acesso, muito conhecida por alguns pelas siglas de “GRC” faz parte da área de segurança da informação e permite, além da diminuição dos riscos cibernéticos, um melhor aproveitamento da nuvem. Embora os processos para implementar a IAM, sigla em inglês de Identity and Access Management, muitas vezes sejam complexos, são extremamente necessários.
	“Em segurança, especialmente segurança física, o termo controle de acesso ou controlo de acesso é uma referência à prática de permitir o acesso a uma propriedade, prédio, ou sala, apenas para pessoas autorizadas.”
	Já na área da Tecnologia, não é muito diferente, porém os controles de acessos são realizados através de soluções utilizando hardware e software afim de gerenciar o acesso a sistemas e redes, essas soluções baseadas em tecnologia incluem ferramentas e protocolos que os sistemas de computador usam para identificação, autenticação, autorização e auditoria.
2. Política de Segurança da Informação
2.1. O que é uma Política de Segurança da Informação? 
Trata-se de um documento formal, onde é pré-estabelecido regras pelas quais é fornecido acesso a recurso e ativos de uma empresa, tendo como principal objetivo possibilitar o gerenciamento da segurança da informação em uma organização, com regras e padrões para proteção de informações, em poucas palavras, o que deve ter em uma política de segurança da informação? 
· Padrões de comportamento dos colaboradores ao lidar com as informações;
· Orientações sobre o uso de tecnologias de segurança da informação;
· Definição dos níveis de acesso;
· Monitoramento e controle das ações dos colaboradores;
· Equipamentos e softwares necessários para proteger os dados.
Tendo conhecimento que a política de segurança da Informação é de responsabilidade do departamento de TI criação, porém é da responsabilidade de todos os pontos da organização seguir os termos e regras estabelecidos no mesmo. 
Entrando em alguns dos pontos importantes, vale a pena falar um pouco sobre confidencialidade, integridade e disponibilidade: 
2.2. Confidencialidade: o que é?
A confidencialidade tem a ver com a privacidade dos dados da organização. Esse conceito se relaciona às ações tomadas para assegurar que informações confidenciais e críticas não sejam roubadas dos sistemas organizacionais por meio de ciberataques, espionagem, entre outras práticas.
2.3. Integridade: o que é?
Integridade corresponde à preservação da precisão, consistência e confiabilidade das informações e sistemas pela empresa ao longo dos processos ou de seu ciclo de vida. 
É importante que os dados circulem ou sejam armazenados do mesmo modo como foram criados, sem que haja interferência externa para corrompê-los, comprometê-los ou danificá-los.
2.4. Disponibilidade: o que é?
A disponibilidade está relacionada ao tempo e à acessibilidade que se tem dos dados e sistemas da empresa, ou seja, se eles podem ser consultados a qualquer momento pelos colaboradores.
2.5. Para quem se aplica a Política de Segurança da Informação: 
Aplica-se a todos os administradores, funcionários, estagiários, prestadores de serviços, sistemas e serviços, incluindo trabalhos executados externamente ou por terceiros, que utilizem o ambiente de processamento, ou com acesso a informações que pertençam a organização ou a seus clientes.
3. Plano de Conscientização
A equipe de Segurança da informação por meio do canal de e -mail da Comunicação Interna da companhia deverá distribuir a todos os usuários a cada 30 dias, textos diversificados e atualizados relacionados aos itens descritos. Estas notificações também devem estar disponíveis na intranet para consulta, por conta de eventuais exclusões ou perdas dos e-mails por parte dos usuários.
Além disso, é disponibilizado treinamentos internos para novos colaboradores na parte de treinamento após a admissão deles, e para funcionários já admitidos a cada 1 ano. 
4. Impactos Sociais e Econômicos devido à Convid-19
4.1. O que é Covid-19?
Antes de entramos no assunto do impacto social e econômico, vale ressaltar um breve resumo do que se trata Covid-19, e como isso mudou consideravelmente na vida da população. 
“A Covid-19 é uma infecção respiratória aguda causada pelo coronavírus SARS-CoV-2, potencialmente grave, de elevada transmissibilidade e de distribuição global.”
Os efeitos da COVID-19 no aumento das desigualdades existentes foram já documentados, por exemplo, com aqueles em empregos não especializados, menor acesso à tecnologia e quem tradicionalmente suportam o maior pesodo trabalho doméstico, experimentando as maiores perdas.
"Infelizmente, a pandemia atingiu mais aqueles que já eram vulneráveis.”
Números de casos e mortes, aumentam diariamente desde o início em 2019, onde vem diminuindo os casos no último ano, porém não podendo deixar de ter cuidados, os impactos forem maiores em famílias de baixa renda, onde a vacinação começou apenas quando já tinha sido registrado diversos casos e diversas perdas. 
Todos os países com o intuito de diminuir os casos, fecharam suas fronteiras e destruiu auxílio emergencial para a população, sendo um valor para muitos que não ajudou muito, para outros que foi de grande ajuda, cada país com seu valor específico liberado pelo governo. 
Com o fechamento de todo os comércios, a grande alta foi nas compras online, além dos comércios, muitas vias e tráfegos foram proibidas.
Fonte: https://www.cnnbrasil.com.br/saude/600-mil-mortes-o-custo-da-pandemia-para-o-brasil/
Importante ressaltar que o isolamento social nos fez mudar totalmente a forma de pensar, até mesmo de nos relacionarmos com outras pessoas, impactando até mesmo psicologicamente, mexendo com a forma de pensar de muitas pessoas, e fazendo agir diferente em diversas situações, sendo ruim para alguns e para outros um crescimento no sentido pessoal. Mas tendo em vista que o maior número é considerado negativo, isso trouxe um resultado mundialmente para a economia e mercado considerável ruim. 
Outro fator bastante importante de ressaltar, tratando-se da economia e mercado foi o aumento exagerado de valores dos insumos importantes para combater à covid, como por exemplo álcool, máscaras e alimentos, já que estavam saindo em um nível considerável, comerciantes de pequenos comércios superfaturaram seus produtos, desde comida à limpeza.
Já o home-office, forçou a todos a aprenderem e se adaptar a novos métodos de trabalhar e se comunicar entre si, sendo na vida profissional e pessoal, quando se trata de falar com familiares e companheiros de trabalho. 
Com o início da pandemia, iniciou de maneira consideravelmente forçada por muitos o método de trabalho home-office, com isso foi visto a necessidade de treinamentos internos pelas companhias para seus colaboradores, com isso foi visto o custo-benefício e mesmo após a pandemia (Que ainda não acabou), foi adotado por muitas empresas o método para seus princípios. 
Porém vale ressaltar que uma das preocupações das empresas que adotaram esse método, trata-se da queda de qualidade e rendimento de seus colaboradores, com isso, sendo disponibilizado treinamentos internos e palestras online de conscientização. 
Com a pandemia o número de desempregados no brasil cresceu consideravelmente, colocando muitas pais e mães de famílias em casa, dependendo apenas do auxílio emergencial disponibilizado pelo governo. 
O número de desempregados no Brasil como reflexo da pandemia na realidade chegou a ultrapassar as 15 milhões de pessoas, a maior taxa de desemprego já registrada foi de 14,9% (e não de 14,7%), mas o contingente de trabalhadores ocupados desde 2020 foi maior que o estimado anteriormente.
	
Fonte: https://g1.globo.com/economia/noticia/2016/11/numero-de-desempregados-cresce-38-em-2015-maior-alta-da-historia.html
Segundo o IBGE, o Nordeste respondeu por 81% das demissões na agricultura (700 mil), enquanto o Sudeste registou mais da metade das demissões na indústria (531 mil).
4.2. Quais são os programas sociais do Governo Federal?
· Auxílio Brasil. O Auxílio Brasil é um programa de transferência de renda às famílias em situação de pobreza e extrema pobreza. ...
· Auxílio Emergencial. ...
· Bolsa Família. ...
· Benefício de Prestação Continuada (BPC) ...
· Programa de Erradicação do Trabalho Infantil (PETI) ...
· Garantia-Safra. ...
· Seguro Defeso (ou Pescador Artesanal)
Uma das principais política que foi adotado por diversos governos, trata-se do isolamento, é o isolamento principalmente de pessoas já infectadas pelo coronavírus, ou até mesmo de regiões inteiras com grandes casos de infecção do vírus. 
Foi de estrema importância a conscientização de mante a distância e uso de máscaras, para não transmissão do vírus. 
5. Conclusão
Conforme mostrado no presente projeto, vimos que VPN trata-se do método mais seguro para usuários e companhias, interagirem entre redes, respeitando sempre as diretrizes/regras estabelecidas, com isso é muito importante estabelecer um bom recurso de VPN, e um bom método de dupla autenticação, para que as credencias não sejam quebradas com facilidades por um suposto ou possível hacker externo mal intencionado, principalmente com o método de home-office que ganhou cada vez mais espaço nos meios corporativos com a pandeia. 
Vale lembrar, que com a pandemia foi onde praticamente todas as empresas se adaptaram ao método home-office, porém não foi ali que de fato o método foi criado, o mesmo já existia muito antes, mas devido as circunstâncias, houve a grande necessidade de implementar para que os colaboradores continuassem suas devidas atividades de forma segura, sendo assim necessário a criação de uma boa politica de segurança da informação para trabalhadores home-office com acesso a VPN, além disso, vale lembrar que trata-se da TI, mais especificamente da área de segurança da Informação criar a politica e implementar a ferramenta de VPN, porém, é de responsabilidade de todos seguir as regras e procedimentos estabelecidos pela companhia. 
Como relatado, para muitos teve seus benefícios quando a pandemia afetou a sociedade, exemplo disso é a grande crescente nas compras pela internet, porém com o aumento das vendas, também foi crescente os números de doenças psicológicas, não tem como colocar na balança. Além disso, vimos o grande número de desemprego que viralizou devido aos crescentes casos de infectados do coronavírus no brasil, deixando diversas famílias dependentes de auxílio do governo.
REFERÊNCIAS
Tecnoblog: Disponível em: https://tecnoblog.net/responde/como-usar-autenticacao-duas-etapas-authy/. Acesso em 25 de março de 2023.
Danresa: Disponível em: https://www.danresa.com.br/fortinet/FortiClient.html#:~:text=FortiClient%20%C3%A9%20uma%20solu%C3%A7%C3%A3o%20de,e%20autentica%C3%A7%C3%A3o%20de%20dois%20fatores. Acesso em 25 de março de 2023.
Wikipedia: Disponível em: https://pt.wikipedia.org/wiki/Rede_privada_virtual. Acesso em 27 de março de 2023.
Escola Superior de Redes: Disponível em: https://esr.rnp.br/seguranca/gestao-de-identidade-e-de-acesso/#:~:text=A%20gest%C3%A3o%20de%20identidade%20e,sejam%20complexos%2C%20s%C3%A3o%20extremamente%20necess%C3%A1rios. Acesso em 27 de março de 2023.
Telium: Disponível em: https://www.telium.com.br/blog/confidencialidade-integridade-e-disponibilidade-os-tres-pilares-da-seguranca-da-informacao. Acesso em 27 de março de 2023.
Gov.br: Disponível em: https://www.gov.br/saude/pt-br/coronavirus/o-que-e-o-coronavirus. Acesso em 27 de março de 2023.
The Word Bank: Disponível em: https://www.worldbank.org/pt/country/brazil/brief/impactos-da-covid19-no-brasil-evidencias-sobre-pessoas-com-deficiencia-durante-a-pandemia#:~:text=Os%20efeitos%20da%20COVID%2D19,dom%C3%A9stico%2C%20experimentando%20as%20maiores%20perdas. Acesso em 27 de março de 2023.
Valor Investe: Disponível em: https://valorinveste.globo.com/mercados/brasil-e-politica/noticia/2021/11/30/numero-de-desempregados-chegou-a-passar-de-15-milhoes-com-a-pandemia-diz-ibge.ghtml. Acesso em 27 de março de 2023.
G1.Globo: Disponível em: https://g1.globo.com/economia/noticia/2016/11/numero-de-desempregados-cresce-38-em-2015-maior-alta-da-historia.html. Acesso em 27 de março de 2023.