Baixe o app para aproveitar ainda mais
Prévia do material em texto
UNIP Projeto Integrado Multidisciplinar Curso Superior de Tecnologia PROJETO INTEGRADO MULTIDISCIPLINAR VII - PIM VII STARTUP ACESSO FÁCIL Novo Hamburgo 2019 UNIP Projeto Integrado Multidisciplinar Curso Superior de Tecnologia PIM VII Autor: Emerson Luis De Paula RA-1878073 Curso: Superior Tecnologia em Redes de Computadores. Semestre: 3º Polo Novo Hamburgo/RS 2019 RESUMO Este trabalho tem como objetivo apresentar uma solução em TI que integre, do início ao fim, a experiência de uma compra online no ramo de pacotes de viagens, interligando os sistemas distintos que existem em cada etapa do processo. Através da análise de mercado, foi possível elaborar o plano de negócio do empreendimento com a finalidade de definir toda a infraestrutura de segurança física e lógica do projeto, abordando conceitos das disciplinas de empreendedorismo, gestão da qualidade e segurança física e lógica. Ao final, foi possível demonstrar como a utilização de API’s podem ser grandes aliadas na integração de diversas ferramentas distintas em um mercado cada vez mais competitivo. Palavras chave: API, Segurança física e lógica, Gestão, Empreendedorismo ABSTRACT This paper aims to present a solution, it will integrate, from the beginning to the end, the experience of online shopping in the field of vacation packages, by connecting the separate systems which exist in each and every step of the way. Through the analysis of the market, it has been possible to draw up the business plan of the enterprise for the purpose of defining all of the infrastructure, physical and logical security of the project, covering the concepts from the disciplines of business, quality management, safety and security, physical and logical. In the end, it was possible to demonstrate that the use of the API's can be a great ally in the integration of a variety of different tools in an increasingly competitive global marketplace. Keywords: API, the physical and logical Security, Management, and Entrepreneurship LISTA DE ILUSTRAÇÕES FIGURA 1 – Fluxograma de processos..........................................................................9 FIGURA 2 – Topologia da rede WAN.........................................................................10 FIGURA 3 – Topologia modelo hierárquico................................................................11 FIGURA 4 – Cisco ASA 5505......................................................................................12 FIGURA 5 – Snort com ferramenta Snorby..................................................................13 SUMÁRIO 1. INTRODUÇÃO.....................................................................................................................5 2. IDENTIFICAÇÃO DE OPORTUNIDADES.....................................................................6 3. PLANO DE NEGÓCIO........................................................................................................6 3.1. Análise de Mercado............................................................................................................7 4. GERENCIAMENTO DA QUALIDADE............................................................................8 4.1. NBR ISO 9000....................................................................................................................8 4.2. Ferramentas da Qualidade...............................................................................................9 5. SEGURANÇA FÍSICA E LÓGICA..................................................................................10 5.1. Topologia da rede.............................................................................................................10 5.2. Firewall.............................................................................................................................11 5.3. Sistemas IDS e IPS...........................................................................................................12 5.3.1. Snort...............................................................................................................................12 5.4. Controle de acesso............................................................................................................13 5.5. VPN – Virtual Private Network......................................................................................14 6. POLÍTICA DE SEGURANÇA DA INFORMAÇÃO......................................................14 7. CONSIDERAÇÕES FINAIS.............................................................................................17 REFERÊNCIAS......................................................................................................................18 5 1. INTRODUÇÃO Vivenciamos, atualmente, uma era onde o empreendedorismo está cada vez mais evidente na sociedade, tornando-se um dos pilares que move a economia, transformando e produzindo novas ideias, criando novos negócios e novos empreendedores, impulsionado pela globalização. Isso fez com que as organizações buscassem constantemente formas e ferramentas de se manterem atualizadas em seu ramo de negócio, tendo como principal objetivo permanecerem competitivas no mercado, oferecendo bens e serviços de melhor qualidade para seus clientes. Assim, a tecnologia da informação chegou para agregar valor as empresas, tornando- se um fator de extrema importância nos planejamentos de negócio das organizações, que buscam uma estrutura consistente para que seus empreendimentos sejam bem-sucedidos. O presente trabalho tem por finalidade, apresentar como a evolução do mercado desenvolveu novas metodologias e novas abordagens para atender as necessidades de seus clientes, através da globalização, dos conceitos de empreendedorismo e qualidade, e da tecnologia da informação. A startup Acesso Fácil, especializada no desenvolvimento de soluções integradas, foi responsável por elaborar uma plataforma que proporcione ao cliente um lugar único de compra online, onde ele possa adquirir e agendar todas as etapas da sua próxima viagem em um ambiente só. Nesse projeto são abordados os conhecimentos adquiridos nas disciplinas de Empreendedorismo, Gestão da Qualidade e Segurança Física e Lógica. 6 2. IDENTIFICAÇÃO DE OPORTUNIDADES Para Fabrete(2019), uma oportunidade de negócio nada mais é do que a identificação de algo que possa ser útil ou interessante e que supra alguma necessidade ou desejo do cliente. Essas características permitem que o empreendedor identifique lacunas que o auxiliem no desenvolvimento do seu negócio garantindo-lhe, assim, uma vantagem competitiva. As organizações perceberam que com o avanço da tecnologia, a comercialização de bens e serviços deixou de ser realizada somente em locais físicos e passou a ser negociada também em canais virtuais. Essa diversificação criou um relacionamento com o consumidor baseado no uso simultâneo e interligado de diferentes canais de comunicação, aprimorando sua experiência como cliente. Tendo isso em mente, a Startup Acesso Fácil, aproveitando uma tendência demercado, identificou uma oportunidade na área de compras online voltadas para viagens. Assim, a Startup realizou diversas parcerias com empresas de diferentes áreas, a fim de oferecer um produto que centralize todas as necessidades do cliente no planejamento e aquisição de pacotes de viagens. As parceiras de negócio foram: a agência de turismo SoViagemTur, a companhia aérea Manvam, a operadora de cartões de crédito TemCard, a rede de hotéis MeuLugar e o Banco FinaCred do Brasil. Para interligar os sistemas distintos, a Acesso Fácil desenvolveu APIs com seus parceiros de negócio. A sigla API (Application Programming Interface) é um conjunto de rotinas e padrões de programação para acesso a um aplicativo de software ou plataforma baseado na WEB. 3. PLANO DE NEGÓCIO De acordo com Chiavenato (2012) Para ser bem-sucedido, o empreendedor precisa planejar o seu negócio. Improvisar jamais.[...] Planejar significa estudar antecipadamente a ação que será realizada ou colocada em prática e quais os objetivos que se pretende alcançar.[...] O planejamento produz um resultado imediato: o plano. Todos os planos tem um propósito comum: a previsão, a programação e a coordenação de uma sequência lógica de eventos[...]. Com base nisso, o empreendedor deve direcionar o seu plano de negócio a fim de 7 atingir o seu objetivo principal, seja ele a captação de investidores, a reestruturação de suas operações ou a introdução de um novo produto no mercado. Cada objetivo possui um foco diferente no momento da elaboração do plano de negócio. Sabendo disso, o plano de negócio da Acesso Fácil foi voltado a análise de mercado e plano de marketing. 3.1 Análise de Mercado A análise de mercado se torna necessária, pois permite enxergar se tal empreendimento é viável ou inviável. Ela leva em consideração diversos fatores, como situação econômica, legislações, diferenciais competitivos, o grau de comprometimento, análise SWOT, entre outros, os quais se não forem observados poderão causar o fechamento precoce do negócio. Biagio (2013), conforme citado por Fabrete (2019), apresenta alguns fatores importantes que podem fazer o empreendimento ir à falência ou consolidar-se no mercado: Quadro 1 – Fatores associados à análise de mercado Fonte: Fabrete (2019, p.62) Com base nesses fatores, a empresa pôde avaliar quais eram seus pontos fortes, suas fraquezas, as oportunidades e as ameaças que, por ventura, poderiam impactar nesse empreendimento, tanto em seu ambiente interno, quanto no ambiente externo. Fator Maior risco de extinção Maior chance de sucesso Experiência prévia Sem experiência Com experiência Tempo de estudo antes da abertura Período curto Período longo Planejamento Falta de planejamento prévio ou adequado Busca por informações Administração do negócio Ineficiência na administração do fluxo de caixa, atualizações do produto e atendimento ao cliente Eficiência na administração do fluxo de caixa, atualizações do produto e atendimento ao cliente Dedicação ao negócio Parcial Exclusiva Uso da assessoria Não utiliza Utiliza Disponibilidade de capital Baixa Alta Idade da empresa Antes de um ano Mais de um ano Porte da empresa Pequeno Média/grande 8 4. GERENCIAMENTO DA QUALIDADE A preocupação com a qualidade passou a ser foco das organizações somente entre meados do século XIX e XX, onde se tornou um dos principais itens estratégicos para as empresas. De lá para cá, o conceito de qualidade teve uma clara evolução passando por quatro eras, sendo elas: era da inspeção, era do controle estatístico, era da garantia da qualidade até chegar na era da gestão da qualidade total (Lélis 2012). A gestão da qualidade total, em inglês total quality management (TQM), trouxe uma abordagem inovadora, saindo da visão de prevenção de defeitos e diminuição de perdas e passando a focar nos processos de gestão e na satisfação do cliente. Passou a implementar a qualidade em todos os setores envolvidos na organização, desde o operário até os sócios que tomam decisões. Assim, diversas normatizações foram criadas com o intuito de fornecer os conceitos e regras padrões para as organizações que buscam o constante aprimoramento de seus processos, melhorando sua qualidade e seus resultados no seu mercado atuante. As normas mais conhecidas são da família ISO, criadas pela Organização Internacional de Padronização. 4.1 NBR ISO 9000 No Brasil, quem traduz e edita as normas da ISO é a Associação Brasileira de Normas Técnicas (ABNT), passando a ter o nome de ABNT NBR ISO. As primeiras normas referentes a gestão da qualidade, lançadas pela ISO, foram as da família 9000, que possuem os seguintes temas: • ABNT NBR ISO 9000: Sistema de Gestão da Qualidade (Fundamentos e Vocabulário) – documento que contém todos os termos utilizados no sistema; • ABNT NBR ISO 9001: Sistema de Gestão da Qualidade (Requisitos) – explica os requisitos para obter a certificação; • ABNT NBR ISO 9004: Gestão para o sucesso sustentado de uma organização – Uma abordagem da gestão da qualidade Todo o projeto elaborado pela empresa Acesso Fácil foi norteado através dos oito princípios da gestão da qualidade, apresentados pela ABNT NBR ISO 9000, que serviu como alicerce para a construção do seu sistema de qualidade. São eles: foco no cliente, liderança, envolvimento de pessoas, abordagem de processo, abordagem sistêmica para a gestão, 9 melhoria contínua, abordagem factual para a tomada de decisão e benefício mútuo nas relações com fornecedores. 4.2 Ferramentas da Qualidade O controle da qualidade é parte fundamental nas organizações que almejam garantir aos seus clientes, produtos e serviços dentro dos padrões desejados. Dentro desse contexto, existem diversas ferramentas da qualidade, cada uma com suas especificidades e objetivos, como o gráfico de Pareto, digrama de Ishikawa, histograma, digrama de causa-efeito, fluxograma, entre outros. Lélis (2012) cita que qualquer atividade que propomos a fazer exige uma série de processos e que, em uma empresa por exemplo, é preciso ter um cuidado maior com o controle dos processos. Por conta da sua versatilidade, o fluxograma é uma das ferramentas mais utilizadas pelas organizações, pois ela permite visualizar e mapear cada etapa que compõem uma determinada atividade na empresa, sendo uma excelente ferramenta na busca de não-conformidades. Ela possibilita, também, padronizar procedimentos que possam ser considerados de grande relevância e impacto pelas organizações. A fim de detalhar todas as etapas do projeto, a empresa Acesso Fácil elaborou o fluxograma de processos apresentando passo a passo todas as atividades que serão executadas, conforme pode visto a seguir: Figura 1 – Fluxograma de processos Fonte: Próprio Autor. 10 5. SEGURANÇA FÍSICA E LÓGICA A segurança física e lógica nas organizações fazem parte de um conjunto de medidas e práticas de segurança da informação organizacional, que tem por finalidade garantir a disponibilidade, confidencialidade e integridade das informações institucionais contra qualquer tipo de ameaça. Entende-se por segurança física, a proteção de todo o ambiente físico da organização, desde seus equipamentos, conhecidos também como ativos, até suas instalações físicas (internas e externas), como áreas de acesso restrito. Enquanto isso, a parte de segurança lógica consiste em proteger os dados, programas e sistemas contra tentativas de acessos não autorizados, que podem ser realizadas por usuários ou outros programas. 5.1 Topologia darede A topologia de rede define o meio como computadores e outros componentes de rede, como Switches e roteadores, serão conectados entre si. Ela pode ser descrita física ou logicamente. Na topologia física é apresentando como será a aparência ou layout de rede, enquanto que a topologia lógica descreve o fluxo dos dados através da rede. Para definir a o layout de rede da organização junto aos seus parceiros, foi utilizado a topologia híbrida para a rede WAN, pois ela permite a combinação de outros tipos de redes em sua estrutura, tornando a rede mais flexível e expansível. Figura 2 – Topologia da rede WAN Fonte: Próprio Autor 11 Por ser a centralizadora das operações, a topologia usada na empresa Acesso Fácil foi baseada no modelo hierárquico, tendo em vista ela possuir benefícios como escalabilidade, redundância, desempenho, segurança e gerenciamento, facilitando, assim, a solução de problemas futuros. Figura 3 – Topologia modelo hierárquico Fonte: Próprio Autor 5.2 Firewall A forma com que o mercado se desenvolveu em relação aos métodos em que os negócios são realizados, principalmente com o advento da internet e das ferramentas tecnológicas, fez com que medidas e soluções fossem criadas, com o intuito de prover segurança no ambiente digital das organizações. Uma das soluções adotadas foi o Firewall, um ativo de segurança amplamente utilizado nas empresas, com o objetivo de oferecer recursos de segurança e rede, gerenciando todo o tráfego que passa através dele. Existem diversas formas de implementar esse tipo de ferramenta, cada uma com suas especificidades, desde softwares open sources a hardwares dedicados. Para a segurança do perímetro de rede da organização Acesso Fácil o sistema utilizado foi o Firewall Appliance, um dispositivo de hardware e software desenvolvido para entregar maior performance e confiabilidade, se comparado com os outros modelos de firewalls existentes. 12 O dispositivo implementado no projeto foi o modelo Cisco ASA 5505, que possui recursos de IPS (Intrusion Prevention System), além de oferecer serviços VPN SSL e IPsec. Figura 4 – Cisco ASA 5505 Fonte: https://www.cisco.com (2019). 5.3 Sistemas IDS e IPS Implementar somente um Firewall para proteger a rede da organização não é o mais adequado, pois ele consiste basicamente em bloquear tráfego de dados indesejado e liberar acessos autorizados, baseada nas políticas empregadas pelo administrador da rede. Assim, se faz necessário empregar sistemas que auxiliem na detecção e na prevenção de acessos não autorizados à rede da organização, chamados de IDS - Intrusion Detection System (Sistema de Detecção de Intrusão) e IPS - Intrusion Prevention System (Sistema de Prevenção de Intrusão). O IDS é uma excelente ferramenta utilizada para o monitorar o tráfego da rede, detectar e alertar sobre ataques e tentativas de acessos indevidos. Esse sistema não interfere no fluxo de tráfego da rede e é considerada uma solução passiva de segurança. Já o sistema IPS é considerado uma solução ativa de segurança, pois ele pode detectar e bloquear ataques automaticamente. Normalmente, esses equipamentos ficam conectados aos segmentos críticos da rede e são capazes de fornecer segurança em todos os níveis de sistemas, desde o núcleo do sistema operacional até os pacotes de dados da rede. Para suprir a necessidade de um Sistema de Prevenção de Intruso foi utilizado o Firewall Appliance da Cisco ASA 5505, que já possui esse recurso em seu dispositivo. 5.3.1 Snort O sistema IDS implementado no projeto foi o Snort, a ferramenta mais utilizada neste segmento atualmente, devido ao fato de ser leve, seguro, seu código ser open source e 13 por ser portável, podendo rodar em sistemas Windows, Linux e MacOS. Para que seja possível monitor e gerenciar de forma gráfica o tráfego da rede foi necessário a integração do Snort com a ferramenta Snorby. Essa plataforma permite organizar os dados e mostrar em gráficos e níveis de ameaça cada pacote que passa pela rede. Figura 5 – Snort com ferramenta Snorby Fonte: Google images, 2019. 5.4 Controle de acesso Sistemas de controle de acesso são recursos cada vez mais importantes dentro das organizações, pois as técnicas para burlar suas defesas e adquirir informações sensíveis estão evoluindo ao passar do tempo. Assim, a elaboração de uma Política de Segurança, baseada nas necessidades da empresa, se torna fundamental para sua sobrevivência. Para o controle de acesso lógico, os sistemas de autenticação foram baseados em três elementos, denominados de triple A: autenticação, autorização e auditoria. Esse método oferece uma forma para autenticação de usuários, além de controlar seu nível de acesso para os recursos desejados como também prover ferramentas para sua auditoria. 14 Em conjunto com o método triple A foi utilizado o protocolo TACACS+(Terminal Access Controller Access Control System) que provê basicamente os mesmos serviços que o protocolo RADIUS (Remote Authentication Dial-In User Service), porém com os diferenciais de permitir a possibilidade de uso de um segundo fator de autenticação, utilizar o protocolo TCP para o transporte de dados, garantindo maior segurança na comunicação cliente/servidor. 5.5 VPN – Virtual Private Network As VPN’s, ou Redes Virtuais Privadas, ganharam grande relevância com a difusão da internet por permitir que empresas de diferentes locais pudessem se comunicar de forma muito mais econômica e segura, tendo em vista que esse tipo de tecnologia utiliza mecanismos de criptografia nos seus pacotes de dados garantindo, assim, que as informações fiquem protegidas ao trafegarem em uma rede desprotegida. Existem diversas maneiras de implementar uma VPN, pois ela possui diferentes protocolos e pode trabalhar em diferentes camadas do modelo OSI (Open System Interconnection), conforme demonstrado a seguir: • Camada 2 (camada de enlace): PPTP (point-to-point tunneling protocol), L2F (layer 2 Forwarding), L2TP (layer 2 tunneling protocol), frame relay e ATM (asynchronous transfer mode). • Camada 3 (camada de rede): MPLS (multiprotocol lael switching) e IPSec. • Camada 4-7 (camada de transporte à de aplicação): SSL/TLS (secure socket layer/transport layer security) e SSH (secure schell) Para estruturar o acesso entre as redes dos seus parceiros, a empresa Acesso Fácil optou, dentre os diversos tipos de VPN’s, por implementar uma rede baseada no protocolo MPLS. Esse tipo de tecnologia possui diversos benefícios como alta flexibilidade, velocidade, escalabilidade, gerenciamento da qualidade dos serviços e a possibilidade de realizar engenharia de tráfego. 6. POLÍTICA DE SEGURANÇA DA INFORMAÇÃO A política de segurança da informação é um documento que tem a finalidade de orientar e estabelecer as diretrizes para proteção dos ativos de informação e a prevenção de 15 responsabilidade legal para todos os usuários da organização. Assim, ela deve ser cumprida e aplicada em todas as esferas da empresa. A elaboração da política de segurança da informação da startup Acesso Fácil foi baseada nas recomendações propostas pela norma ABNT NBR ISO 27002, que tem o principal objetivo de estabelecer diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma instituição. Dessa forma, os principais tópicos abordados na política de segurança da informação da Acesso Fácil foram: • Organizaçãoda segurança da informação: consiste em gerenciar a segurança da informação dentro da organização. • Gestão de ativos: consiste em alcançar e manter a proteção adequada dos ativos da organização, identificando e mantendo um inventário de todos os ativos importantes. • Segurança em recursos humanos: consiste em assegurar que os funcionários, fornecedores e terceiros entendam suas responsabilidades e estejam de acordo com os seus papéis, e reduzir o risco de furto ou roubo, fraude ou mau uso de recursos. • Segurança física e do ambiente: consiste em prevenir o acesso físico não autorizado, danos e interferências com as instalações e informações da organização. • Segurança das operações e comunicações: consiste em garantir a operação segura e correta dos recursos de processamento da informação. • Controle de acesso: consiste em controlar o acesso à informação, definindo claramente as regras de acesso e direitos de cada usuário ou grupo de usuário. • Aquisição, desenvolvimento e manutenção de sistemas: consiste em garantir que segurança é parte integrante de sistemas de informação. • Gestão de incidentes de segurança da informação: consiste em assegurar que fragilidades e eventos de segurança da informação associados com sistemas de 16 informação sejam comunicados, permitindo a tomada de ação corretiva em tempo hábil. • Gestão da continuidade do negócio: consiste em não permitir a interrupção das atividades do negócio e proteger os processos críticos contra efeitos de falhas ou desastres significativos, e assegurar a sua retomada em tempo hábil. • Conformidade: consiste em evitar violações de quaisquer obrigações legais, estatutárias, regulamentares ou contratuais, e de quaisquer requisitos de segurança da informação. 17 7. CONSIDERAÇÕES FINAIS O presente projeto, elaborado pela Startup Acesso Fácil, proporcionou o desenvolvimento de uma solução de infraestrutura de segurança física e lógica completa para a chamada “Experiência de Viagem”, possibilitando que o cliente realizasse todo o processo de compra de um pacote de viagem, em um único local e sem a necessidade de sair de casa. Para que isso fosse possível, a implementação de API’s (Application Programming Interface) foram fundamentais, pois elas foram responsáveis por realizar toda a integração dos diversos sistemas distintos que os parceiros do projeto possuem. A aplicação dessa metodologia, atrelada aos conceitos de segurança da informação como criptografia, utilização de VPN’s, Firewall, sistemas IDS e IPS, garantiu que as informações sensíveis dos usuários ficassem protegidas contra as ameaças existentes na rede. No entanto, é fato que as ameaças que rondam a área da tecnologia estão sempre evoluindo e achando maneiras de causar prejuízos aos usuários e organizações, seja através de roubo de informações até tentativas de deixar sistemas e serviços inoperantes. Assim, cabe ao administrador de rede a busca constante pelo conhecimento a fim de se manter atualizado nessa era tão tecnológica. 18 REFERÊNCIAS BIAGIO, L. Plano de negócios: estratégia para micro e pequenas empresas. Barueri: Manole, 2005. CHIAVENATO, I. Empreendedorismo: dando asas ao espírito empreendedor. 4ª ed. Barueri, SP: Manole, 2012. FABRETE, T. C. L. Empreendedorismo. 2ª ed. São Paulo: Pearson Education do Brasil, 2019. OLIVEIRA, J. M.; LINS, R. D.; MENDONÇA, R. Redes MPLS – Fundamentos e Aplicações. 1ª ed. [S.l.]: Brasport, 2012. ABNT - Associação Brasileira De Normas Técnicas. NBR ISSO/IEC 27002/2005 – Tecnologia da informática – Técnica de segurança – Código de prática para a gestão da segurança da informação. Rio de Janeiro, ABNT, 2005. CANALTECH. O que é API? Disponível em: < https://canaltech.com.br/software/o-que-e- api/> Acesso em: 01 out. 2019. PORTAL GSTI. IDS x IPS. Disponível em: <https://www.portalgsti.com.br/2017/07/ids- ips.html> Acesso em: 05 out. 2019. MALECKI, F. Triple-A é um modelo viável para projetos de segurança. Disponível em: <https://ipnews.com.br/artigo-triple-a-e-um-modelo-viavel-para-projetos-de-seguranca/> Acesso em: 05 out.2019. LEITE, T. Protocolo AAA. Disponível em: <https://blog.thiagofmleite.com/2019/05/28/protocolos-aaa/> Acesso em: 05 out. 2019. DEVMEDIA. Detectando e prevenindo intrusos com Snort - Revista Infra Magazine 6. Disponível em: <https://www.devmedia.com.br/detectando-e-prevenindo-intrusos-com-snort- revista-infra-magazine-6/24820> Acesso em: 05 out. 2019. OSTEC BLOG. ISO 27002: Boas práticas para gestão de segurança da informação. Disponível em: <https://ostec.blog/padronizacao-seguranca/iso-27002-boas-praticas-gsi> Acesso em: 06 out. 2019.
Compartilhar