CST SEGURANÇA DA INFORMAÇÃO PROJETO INTEGRADO MULTIDISCIPLINAR VI

Prévia do material em texto

UNIP EAD
PIM
Curso Superior de Tecnologia
PROJETO INTEGRADO MULTIDISCIPLINAR VI
GESTÃO DE PESSOAS QUE ESTÃO EM ACESSO REMOTO EXTERNO – VPN, HOME OFFICE
Barueri – SP
2023
UNIP EAD
PIM
Curso Superior de Tecnologia
PROJETO INTEGRADO MULTIDISCIPLINAR VI
GESTÃO DE PESSOAS QUE ESTÃO EM ACESSO REMOTO EXTERNO – VPN, HOME OFFICE
Nome completo do aluno: Joabe Miskaim da Silva Costa
RA: 2271152
Curso: Segurança da Informação 
Semestre: 3° semestre
Barueri – SP
2023
RESUMO
Este projeto tem como objetivo elaborar um plano de conscientização sobre a política de acessos remoto, dentro das disciplinas estudadas durante o bimestre, sendo elas Segurança de Sistemas Operacionais (Windows/Linux), Segurança no Ambiente Web e Gestão Estratégica de Recursos Humanos, colocando em prática o conhecimento dos conteúdos estudados.
O intuito é abordarmos as principais configurações de segurança para sistemas operacionais, visando principalmente profissionais que atuam com o modelo de home office. Além disso, será elaborado um plano de conscientização, propondo demonstrar as principais vulnerabilidades que a rede está exposta dentro do ambiente web.
O principal foco será o fator humano, onde na segurança é estabelecido com umas das principais possíveis ameaças encontradas, onde por muitas vezes, por falta de uma melhor capacitação e treinamento e até mesmo dependendo sem um bom monitoramento, pode abrir portas para ameaças externa, a ideia do plano de conscientização, é demonstrar a real importância para que sejam seguidos os padrões de segurança, e todo conforto que isso passa para a empresa e colaboradores.
Palavras-Chave: Plano de Conscientização, Home Office e Segurança. 
ABSTRACT
This project aims to create an awareness plan about the remote access policy, within the disciplines studied during the two-month period, namely Operating Systems Security (Windows/Linux), Security in the Web Environment and Strategic Management of Human Resources, putting into practice the knowledge of the contents studied.
The aim is to address the main security settings for operating systems, aiming that the aim is to address mainly professionals who work with the home office model. In addition, an awareness plan will be developed, aiming to demonstrate the main vulnerabilities that the network is exposed within the web environment.
The main focus will be the human factor, where security is established with one of the main possible threats encountered, where many times, due to lack of better training and even depending without good monitoring, it can open doors to external threats, the idea of ​​the awareness plan is to demonstrate the real importance of following safety standards, and all the comfort that this brings to the company and employees.
Keywords: Awareness Plan, Home Office and Security.
SUMÁRIO
INTODUÇÃO	6
GESTÃO DE PESSOAS	7
2.1. PLANO DE CONCIENTIZAÇÃO	8
2.2. SENHAS SEGURAS	8
2.3. SISTEMAS OPRACIONAIS 	10
2.4. ANTIVIRUS 	10
2.5. PHISHING	11
2.6. BACKUP	12
3.	FATOR HUMANO 	13
4.	CONTROLES INTERNOS E TESTE DE APLICAÇÕES 	13
CONCLUSÃO	15
REFERÊNCIAS	16
1. INTRODUÇÃO
	Com o início da pandemia do Covid-19, muitas empresas, foram forçadas a colocar os seus colaboradores internos e externos para o modelo de trabalho home office, embora já existente, era novidade para a grande maioria das empresas, com isso, os gestores também tiveram que adaptar a forma de gerenciamento de seus subordinados, onde tiveram que começar a pensar em formas de gerenciar e conscientizar as suas equipes, no novo formato de trabalhar, onde muitas vezes, poderiam ajudar ou atrapalhar. 
	Como as empresas foram forçadas a implementar o método de trabalho home office, algumas dos princípios de segurança da informação foram deixados em segundo plano, com isso nosso principal objetivo é passar uma confiança e importância de implementar o quanto antes esses princípios deixados de lado, demostrando algumas possíveis ameaças e vulnerabilidades que podem ter sido liberadas no ambiente web. 
	Com o grande crescimento das tecnologias não é novidade para ninguém que as ameaças também crescem cada vez mais no ambiente virtual, devido a isso é de extrema importância capacitar cada vez mais os colaboradores, para que não apenas as possíveis ameaças estejam se atualizando, mas também as habilidades de seus colaboradores.
2. GESTÃO DE PESSOAS
Com a implementação do modelo de trabalho home office, diversas empresas observaram o impacto em gerenciar os seus colaboradores e passar conhecimentos, como treinamentos e conscientização, para que todos trabalhem com toda segurança no ambiente web, que vem cada vez mais crescendo e se atualizando.
	Um dos ataques mais conhecidos no meio virtual, se trata da engenharia social, onde o principal fator desse ataque é tentar abusar e coagir erros de pessoas físicas, assim aproveitando desses erros e abrindo portas para se implantar nas redes pessoais e corporativas, devido a falta de conhecimentos adequados ou até mesmo a falta de atenção no conteúdo, o ser humano está vulnerável ao erro, e sempre terá alguém ali na espreita afim de aproveitar muitas vezes dessa falta de atenção e conhecimento, além disso, pode acontecer em alguns casos de persuasão, onde o atacante vai incentivar ou influenciar tais pessoas a cair em golpes virtuais. Por isso, é sempre importante ressaltar, que em caso de dúvidas é imprescindível que entre em contato com seu superior ou com o time de segurança da informação, para saber melhor do assunto e se aquele contato que tiveram com você pode ser considerado uma engenharia social. 
Figura: 	Demonstração ilustrativa de Engenharia Social.
Fonte: Crypto ID, 2022.
Para tal conhecimento é de extrema importância a conscientização geral, ainda mais com o modelo de trabalho home office, onde os supervisores e gestores, não estão mais a todo momento presentes no dia a dia de trabalho dos seus funcionários, sendo de responsabilidade de todos a segurança no ambiente web, onde é possível com o conhecimento certo, navegar e desfrutas da internet e de seus benefícios com segurança e tranquilidade para todos os lados, empresa e colaboradores. 
2.1. PLANO DE CONCIENTIZAÇÃO
Com a crescente implementação do modelo de trabalho home office, também cresceram as possíveis ameaças e vulnerabilidades do ambiente web, com isso é importante estabelecer um plano de conscientização de acordo com a política de acesso remoto, onde é um dos principais pontos utilização de VPN (Rede privada virtual), está estabelecido uma ferramenta para conectar na rede privada da empresa, sendo de gerenciamento controlado rigorosamente, onde é disponibilizado para cada colaborador credenciais separadas e especificadas para cada um. 
· Padrões de comportamento dos colaboradores ao lidar com as informações;
· Orientações sobre o uso de tecnologias de segurança da informação;
· Definição dos níveis de acesso;
· Monitoramento e controle das ações dos colaboradores;
· Equipamentos e softwares necessários para proteger os dados.
Com o intuito de agregar conhecimentos, foi elaborado treinamentos obrigatórios online para todos os colaboradores, visando passar as principais ameaças e vulnerabilidades que são possíveis se deixarmos os princípios da segurança de lado, além disso, foi repassado apresentações mais bem dinâmicas visando a participação dos funcionários, com workshops de conscientização, onde foi feito quiz com premiações para os primeiros os melhores, com perguntas relacionadas a segurança no ambiente da rede. 
2.2. SENHAS SEGURAS
Alterar sua senha com uma certa frequência é extremamente importante, e manter um nível de dificuldade é ainda mais importante, e na hora de criar uma senha algumas perguntas podem surgir, como por exemplo a mais comum “O que é considerado uma senha segura?”, muito importante, não utilizar dados pessoais na senha, como data de aniversário, mesmo que seja de familiares, endereço ou número de documentos. É muitoimportante repassar a importância da troca de senhas, e com isso a elaboração de senhas fortes, usando sempre caracteres especiais. Esse conhecimento deve ser repassado para todos os colaboradores da empresa e amigos, através de exemplos na utilização de senhas fracas e da não atualização da senha mostrando o que pode acontecer com a reutilização de senhas antigas, atualizando sempre a política de senhas, trazendo cada vez mais a segurança, vale lembrar que cada credencial é exclusiva do colaborador, uma vez que o acesso é de responsabilidade de cada um agir diante das boas práticas, e não dividir acessos, emprestando seu usuário e senha para colegas do trabalho.
Um modelo criado para criação de senhas, é algo utilizado em criptografia, onde é a regra de pular a letra em uma ordem de números exemplo +3, digamos que a senha é Abacaxi2023@, com a regra de +3, será pular 3 letras do alfabeto de cada letra que possui na senha, com isso a senha ficaria Cdceczk2023@, sendo considerada bem mais segura do que a primeira opção de onde foi baseada, a regra pode ser adaptada para mais de 3 pulos de letras, podendo ser com quantos pulos, ou na ordem que o usuário preferir, sendo mais efetivo se for utilizado como base palavras aleatórias, mas que seja fácil lembrar.
Abaixo vamos ver uma ilustração de como criar uma senha um pouco mais segura, com outro método de exemplo:
Figura: 5 Passos para uma senha mais segura
Fonte: HostGator, 2022.
Com isso, temos também o duplo fator de autenticação para reforçar a segurança do ambiente web, mesmo que seja descoberto a senha, será cadastrado um duplo fator para autenticar se realmente a pessoa que está tentando fazer login trata-se da pessoa que é dona de tais credenciais digitadas na ferramenta ou sistema. O sistema se resume em informar as credenciais cadastradas e na sequência informar o código enviado por SMS do número cadastrado ou e-mail, além desse, existe alguns tipos de fator de autenticação conhecidos: 
· algo que o usuário saiba (por exemplo, uma senha, número de identificação pessoal (código PIN) ou resposta a uma pergunta secreta)
· algo que o usuário possui (por exemplo, um token, um telefone celular, um USB, um chaveiro)
· algo que o usuário é (por exemplo, reconhecimento de rosto ou voz, biometria comportamental, impressão digital, retina ou íris)
Como já mencionado acima, a utilização de tokens de um software pode ser a maneira mais rápida e fácil de habilitar um duplo fator de autenticação, após informar a senha cadastrada no serviço, pede-se um código único, temporário e renovado a cada 30 segundos por um software que somente o usuário tem acesso.
Um ponto importante é não anotar as senhas nos famosos post-its, principal no ambiente de casa ou empresarial, exposto para todos que passam naquele cômodo, por esse motivo é importante que a senha fácil de lembrar, mas que não perca os níveis de segurança sugeridos. Além disso, cuidado ao usar suas credenciais em outros computadores que não foram configurados pelo time de T.I, muitos podem estar infectados com códigos maliciosos. 
2.3. SISTEMAS OPRACIONAIS
O sistema operacional, falando um pouco de Software, os programas de dados e instruções, sendo Windows ou Linux, pode ser feito uma ótima interface entre usuário e a máquina, onde pode gerenciar programas do computador deixando o usuário um pouco mais confortável quanto a sua segurança, até mesmo acessando sites maliciosos, sendo porta de entrada para ameaças e vulnerabilidades que vem da web. Por isso, é também de extrema importância sempre manter o seu sistema operacional seja qual for sempre atualizado para que sempre esteja com o melhor método de segurança implementado no seu computador. 
Figura: Sistemas Operacionais
Fonte: WINCO, 2018.
Como já mencionado, é responsabilidade de todos a segurança do ambiente web, com isso, os colaboradores devem seguir todos os pontos estabelecidos na política de segurança, visando sempre sua segurança e de seus companheiros. Além da atualização do sistema operacional, é importante um cronograma de manutenção regular, visando realizar correções do sistema do computador, e seus aplicativos, tomando sempre cuidado com periféricos, principalmente tratando-se de entrada, mas sempre com uma atenção também para os de saída. 
Segundo uma pesquisa do BitDefender, os ataques de ransomware cresceram em 715,08% no ano de 2020. Ransomware é um tipo de vírus que bloqueia dados do computador e exige pagamento para reestabelecer o acesso ao usuário. A falta de atualização dos sistemas operacionais pode deixar o computador ou o dispositivo mais vulnerável para esse e outros tipos de malwares.
2.4. ANTIVIRUS
Os antivírus trata-se de programas de tecnologia desenvolvidos para prevenir, detectar e eliminar de computadores os famosos malwares, também conhecidos como vírus. A importância de manter o antivírus sempre atualizado já deve ser conhecida por todos, então o intuito é reforçar essa importância. 
O ideal é que todos os computadores fornecidos pela empresa já sejam entregues devidamente prontos para uso, com os antivírus ativos e atualizados, e com isso estabelecer atualizações recorrentes do software para sempre estar em conformidade com a políticas de segurança. Colocando esses princípios em prática, o colaborador protege o seu ambiente de trabalho e até mesmo o seu pessoal, sendo assim de extrema importância que após a entrega dos equipamentos já configurados pelo time de suporte da segurança da informação e T.I, não fique fazendo modificações não autorizadas e se caso identifique algum ato reporte ao superior. 
2.5. PHISHING
O Phishing trata-se de uma das formas mais conhecidas e mais utilizadas pelos cibercriminosos, porque é o método mais efetivo utilizado nos tempos atuais. Resume em e-mails maliciosos enviadas para destinos a fim de roubar informações pessoais e prejudicar pessoas físicas e até mesmo empresas como um todo.
Exemplos de Phishing são promoções fantásticas enviadas por e-mail, ou mensagens de textos de formas inesperadas, ou até mesmo em suas redes sociais, com a intenção de atacar o emocional e que não pensa muito antes de já ter clicado, onde ao acessar um site você vai preencher suas informações pessoais sem perceber que está caindo em um golpe.
Figura: Os exemplos mais comuns de um e-mail de phishing.
Fonte: Usecure, 2023.
Por isso é muito importante prestar atenção em detalhes e sempre reportar casos de Phishing para o suporte de T.I e equipe de segurança da informação. 	
A equipe de T.I deve instalar um certificado digital, sendo um exemplo o próprio SSL, que significa “Secure Sockets Layer”, onde a empresa rastreia sites e assim sendo possível verificar possíveis sites falsos, exigindo o site entrar no formato Https onde deixa claro que o site é seguro para navegar. 
2.6. BACKUP
Backup trata-se do ato de salvar cópias de seus dados e informações em algum lugar secundário, com o intuito de se prevenir em possíveis perdas, como arquivos corrompidos ou até mesmo perdidos, e destruídos, sendo feito o backup se acontecer algum dos possíveis riscos mencionados, será possível realizar a recuperação de todos os seus dados armazenados na última atualização de backup, evitando assim a perda total de todos os seus dados. 
Com tatas ameaças e vulnerabilidades, é muito importante estabelecer momentos regulares para fazer backups de documentos ou arquivos salvos, para não esteja sujeito de retrabalho, caso aconteça algum ataque ou até mesmo invasão de sua máquina, isso serve tanto para dispositivos moveis ou em nuvem. O prazo para realizar o backup é ditado pela própria política de backup que foi criada pela empresa.
Figura: Backup: garantindo a continuidade dos seus negócios!
Fonte: InfoMAD, 2022.
Perante a isso, vale a pena mostrarmos alguns possíveis riscos que podem vir a acontecer se deixarmos de fazer um backup com recorrência segura: 
· RANSOMWARE: Se você tiver bons backups, poderá se recuperar de um ataque de ransomware e recuperar seus dados sem precisar pagar o resgate.
· INSIDERS MALICIOSO:Um funcionário insatisfeito, que tem acesso legítimo aos dados, pode optar por fazer algo malicioso com eles. O referido funcionário pode ter sido demitido, mas o empregador não restringiu seu acesso na ordem adequada.
· ERRO DO USUÁRIO: Um funcionário pode ter clicado acidentalmente em excluir em uma pasta crucial no servidor de arquivos, sem querer.
· FALHA DO SISTEMA: Seu servidor pode travar e morrer. Ele pode ter um componente individual que falha e você pode perder dados por causa disso.
· DESASTRES NATURAIS: Um problema ambiental, como uma inundação ou incêndio, ocorreu no escritório, deixando seu hardware em ruínas.
Existem diversas formas de fazer backup dos arquivos da sua empresa, no caso da realização de um backup físico, a regra geral é ter pelo menos três cópias de seus dados (uma primária e duas de backup) arquivadas em dois tipos de mídia diferentes, com uma cópia externa para recuperação de desastres.
 Outro método de backup que está crescendo em popularidade são os backups de dados nuvem. Isso envolve a replicação dos dados em um ambiente em nuvem, com regras de backup previamente configuradas e com todos os quesitos de segurança garantidos, como criptografia, retenção de versões e controle de acessos.
3. FATOR HUMANO
Apesar de todas as ameaças e vulnerabilidades mencionados, o pior risco de segurança da informação trata-se do fator humano, devido muita das vezes a falta de informação ou o mal treinamento de funcionários. Com a crescente utilização do modelo Home office o risco do fator humano cresce cada vez mais, por falta de uma supervisão e como já mencionado treinamentos para lidar com situações sozinhos, muitas vezes ocorrem até que sem querer, sem saber. A melhor maneira para remediar são as campanhas de conscientização de segurança, junto de treinamentos internos para seus colaboradores. 
O possível vazamento de dados é uma das principais preocupações do meio tecnológico, devido diversas vulnerabilidades, podendo ser até mesmo com uma selfie que foi tirado mostrando o fundo, e sem querer acabou deixando mostrar alguns documentos, ou telas com informações confidências da empresa, ou até mesmo pessoais. Então, é sempre importante que após tirar uma foto antes de postar, verificar se nela ou no fundo da foto consta alguma informação que não deve aparecer.	
4. CONTROLES INTERNOS E TESTE DE APLICAÇÕES
Devidos todas as vulnerabilidades existentes, é visto a necessidade da criação e implementação dos controles internos, visando o intuito de identificar e remediar vulnerabilidades existes, testando a efetividade de softwares programados para proteger o ambiente web, e até mesmo a infraestrutura da empresa. 
Alguns scanners podem ajudar na identificação de vulnerabilidades e ameaças:
· Scanner de vulnerabilidades, são testes realizados para identificar as principais vulnerabilidades de um sistema ou uma rede, é um software onde é estabelecido um alvo sendo um computado, dispositivo de rede ou até mesmo outro software, onde irá analisá-lo sistematicamente com o intuito de encontrar vulnerabilidades.
· Scanner de segurança: envolve a identificação de vulnerabilidades de rede e sistema para apresentar as melhores soluções para redução de danos. Teste de Penetração (PenTest): nesse tipo de teste ocorre um ataque simulado, do mesmo nível que potencialmente ocorreria por um hacker, é normalmente utilizado para testar sistemas específicos e em menor escala.
Além desses testes e controles, é importante existir uma célula dentro da área para que tenha uma auditoria interna de controles, e se os testes realmente estão sendo feitos da forma correta, podendo até mesmo ser uma pessoa responsável por fazer uma QA (Quality Review) das atividades realizadas, o intuito é encontrar possíveis erros, e a melhoria contínua do processo e que não existam falhas em seus processos e sistemas de segurança. 
CONCLUSÃO
Como já mencionado é de responsabilidade de todos a segurança do ambiente, mantendo a segurança dos ativos, e até mesmo pessoal, é importante deixar bem claro que não seguindo os requisitos de segurança informados ele está deixando a empresa e seus dados vulneráveis para um possível roubo ou invasão de rede, sendo consequências de falhas. 
O intuito principal é conscientizar todos sobre as piores e mais conhecidas ameaças e vulnerabilidades, que podem entrar no ambiente web, quando deixamos de tomar alguns dos básicos cuidados de segurança, a ideia é treinar e preparar todos os colaboradores para que eles possam proteger o ambiente web até mesmo no modelo de home office, sem precisar daquela supervisão diária de seus superiores e gestores, sugerindo programas de treinamentos para agregar no conhecimento de todos, passando modelos seguros para criação de senhas e formas de duplo fator de autenticação, para que fique cada vez mais confortável o ambiente para se trabalhar. 
A autenticação de duplo fator, deve estar implementado para todos os processos dentro considerados críticos dentro da organização, até mesmo enviar e-mails, bancos de dados e armazenamentos de ativos, visando sempre a segurança. Falamos um pouco de sistemas operacionais, a importância de sempre mantê-lo atualizado e quais vulnerabilidades podem estar exposto com o contrário, deixando desatualizado. 
Muito importante lembrar que o fator humano, trata-se método onde as vulnerabilidades e ameaças existentes mais ganham forças, por falta de conhecimento e preparamento, com isso um dos pontos mais importantes e investir nas pessoas, além das máquinas. A política de acesso remoto tem seus requisitos que devem sempre ser seguidos. O Trabalho no modelo home office pode ser seguro da mesma forma como o trabalho presencial, os dois modelos têm seus pontos de vulnerabilidade, por esses motivos é de extrema importância seguir os requisitos com exatidão. 
REFERÊNCIAS
Crypto ID: Disponível em: https://cryptoid.com.br/criptografia-identificacao-digital-id-biometria/o-que-e-engenharia-social/. 2022. Acesso em 21 de maio de 2023. 
ENUVE: Disponível em: https://www.enuve.com.br/post/quais-s%C3%A3o-os-riscos-de-n%C3%A3o-fazer-backup-de-dados-da-sua-empresa#:~:text=Falha%20do%20sistema,corrompidos%20porque%20foram%20armazenados%20incorretamente. 2022. Acesso em 22 de maio de 2023.
InfoMAD: Disponível em: https://www.infomad.com.br/blog/backup-garantindo-a-continuidade-dos-seus-negocios. 2022. Acesso em 22 de maio 2023.
Usecure: Disponível em: https://blog.usecure.io/pt/the-most-common-examples-of-a-phishing-email. 2023. Acesso em 22 de maio de 2023.
HostGator: Disponível em: https://www.hostgator.com.br/blog/dicas-para-criar-senhas-seguras/. 2022. Acesso em 27 de maio de 2023.
OneSpan: Disponível em: https://www.onespan.com/pt-br/topics/autenticacao-de-dois-fatores. 2023. Acesso em 27 de maio de 2023.
DBACORP BLOG: Disponível em: https://blog.dbacorp.com.br/2021/06/09/atualizar-o-sistema-operacional/. 2021. Acesso em 27 de maio de 2023.
	
Este conteúdo e quaisquer informações anexadas a ele são confidenciais e destinados exclusivamente para uso do indivíduo ou pela entidade a quem estão endereçados. Se você recebeu este email por engano, notifique o administrador do sistema e exclua esta mensagem juntamente com seus anexos. | This content and any information attached thereto is confidential and intended solely for use by the individual or entity to whom it is addressed. If you have received this email in error, notify your system administrator and delete this message along with any attachments.
Este conteúdo e quaisquer informações anexadas a ele são confidenciais e destinados exclusivamente para uso do indivíduo ou pela entidade a quem estão endereçados. Se você recebeu este email por engano, notifique o administrador do sistema e exclua esta mensagem juntamente com seus anexos. | This content and any information attached thereto is confidential and intended solely for use by the individual or entity to whom it is addressed. If you have received this email in error, notify your system administratorand delete this message along with any attachments.
Este conteúdo e quaisquer informações anexadas a ele são confidenciais e destinados exclusivamente para uso do indivíduo ou pela entidade a quem estão endereçados. Se você recebeu este email por engano, notifique o administrador do sistema e exclua esta mensagem juntamente com seus anexos. | This content and any information attached thereto is confidential and intended solely for use by the individual or entity to whom it is addressed. If you have received this email in error, notify your system administrator and delete this message along with any attachments.