Baixe o app para aproveitar ainda mais
Prévia do material em texto
UNIP EAD Projeto Integrado Multidisciplinar Cursos Superiores de Tecnologia Projeto Integrado Multidisciplinar VII Polo Suzano SP 2020 UNIP EAD Projeto Integrado Multidisciplinar Cursos Superiores de Tecnologia Projeto Integrado Multidisciplinar VII Aluno: Yan Carlos Rodrigues de Souza RA: 1950469 Curso: Suporte Técnico em Redes de Computadores Semestre: 4º Polo Suzano SP 2020 Resumo O Projeto a seguir abrange os principais temas tratados nas matérias estudadas no bimestre, sendo elas Segurança Física e Lógica, Gestão da qualidade e Empreendedorismo. Os conhecimentos são utilizados para fazer um projeto de um ambiente de rede seguro para um sistema que envolve diferentes informações de diversas empresas, para que o cliente tenha segurança, estabilidade e possa realizar suas operações sem interrupções ou dificuldades. Para a realização deste objetivo o projeto tratará sobre diferentes tecnologias utilizadas para garantir eficiência e boa estruturação na rede responsável por armazenar os dados. Palavras Chave: Segurança, informações, estabilidade, eficiência e dados. Abstract The following Project encompasses the main themes dealt with in the materials studied in the two months, namely Physical and Logical Security, Quality Management and Entrepreneurship. The knowledge is used to design a secure network environment for a system that involves different information from different companies, so that the customer has security, stability and can carry out their operations without interruptions or difficulties. To achieve this objective, the project will deal with different technologies used to ensure efficiency and good structuring in the network responsible for storing data. Key Words: Security, information, stability, efficiency, structuring and data. Sumário 1. Análise da situação atual. ............................................................................................ 7 2. Dispositivos ................................................................................................................. 7 3. Sistemas de Segurança ................................................................................................ 8 3.1. IDS e IPS ................................................................................................................... 8 3.2. Antivírus .................................................................................................................. 8 3.3. Sistemas de Autenticação ........................................................................................ 9 3.4. DMZ ....................................................................................................................... 10 3.5. Firewall, Nat e Proxy .............................................................................................. 10 3.6. Bastion Host ........................................................................................................... 12 3.7. VPN ........................................................................................................................ 12 3.8. VLAN ...................................................................................................................... 13 3.9. Certificado digital ................................................................................................... 13 3.10. Auditoria ................................................................................................................ 14 4. Políticas de Segurança ............................................................................................... 14 5. Endereçamento ......................................................................................................... 15 6. Segurança Física ........................................................................................................ 16 7. Plano de Continuidade de Negócio ............................................................................ 17 8. Teste de Invasão ........................................................................................................ 18 9. Experiência do Cliente ................................................................................................ 18 Conclusão ......................................................................................................................... 20 Referências ....................................................................................................................... 21 6 INTRODUÇÃO Inovações e soluções tecnológicas trazem consigo riscos de segurança, algo que não pode simplesmente ser ignorado, e sim reduzido ao máximo. A única maneira de se abster totalmente dos riscos seria se desconectar totalmente de todas as formas possíveis de trocar dados, o que não seria útil, por isso medidas são tomadas e novas soluções são criadas para que os riscos possam ser diminuídos e as redes se tornem cada vez mais seguras. Tendo isso em vista foi proposto a criação de um projeto de uma infraestrutura proprietária segura, redundante e eficiente para a startup “Acesso Fácil”, essa infraestrutura será usada para o serviço “Experiência do Cliente” onde o cliente irá fazer todo o planejamento de sua viajem. Através de APIs empresas parceiras de negócio serão representadas, sendo conectadas aos clientes por este serviço. Um ponto importante a se destacar é que as medidas tomadas devem ser bem selecionadas para que não ocorra problemas de qualidade, por conta disso será necessário uma boa gestão no processo de planejamento e implementação desta rede, visando não só um requisito da rede, mas todos os pontos necessários para que esse serviço esteja disponível sem interrupções para acesso tanto interno (colaboradores da organização) quanto externo (clientes). 7 1. Análise da situação atual. Foi proposto que o representante da startup “Acesso Fácil” desenvolvesse uma infraestrutura de segurança Física e Lógica para a solução “Experiência do Cliente”. Essa terá o objetivo de proporcionar aos clientes um ambiente seguro e completo para que possam comprar online toda sua trajetória de Viagem representando as empresas parceiras através de tecnologias como APIs. O projeto deverá abordar aspectos como desenvolver um ambiente redundante, seguro e proprietário implementando medidas e políticas de segurança. Também será apresentado a topologia física e lógica do ambiente de maneira que a estrutura seja bem consolidada. O principal objetivo é proporcionar ao cliente um lugar único para que ele possa agendar e adquirir, do início ao fim, sua próxima viagem. 2. Dispositivos Utilizaremos equipamentos que reduzirão a quantidade de entradas na rede e através de um bom plano de administração iremos tomar as melhores medidas para que a rede opere de forma eficiente, como por exemplo optar pela utilização de tecnologias Firewall e VLAN. Como dispositivo de borda utilizaremos um Modem Roteador, que também será o endereço de gateway (conexão com a internet), por ser a primeira linha de defesa contra ameaças externas ele precisa ser estar bem definido, porém como normalmente ele é configurado e padronizado por empresas prestadoras de serviço não será utilizado como dispositivo de proteção. O Firewall será utilizando dentro e fora da rede restrita mas com regras diferentes. Dentro da área restrita utilizaremos um firewall com inspeção de estados, classificado como firewall de nível de rede (bloqueia o tráfego de acordo com o estado, porta e protocolo) seguindo a filosofiaproibitiva, ou seja qualquer tipo de conexão não permitida pelo administrador de rede é proibida. Na área onde podem ser encontrados o website e os serviços proporcionados pela empresa será implementado um firewall com regras menos rigorosas para que assim clientes possam ter acesso aos dados dispostos ao público e ainda sim manter o alto desempenho. O Administrador da rede deverá definir as regras estabelecendo os únicos protocolos/serviços que poderão trafegar dados, e observar o fluxo de tráfego, para assim identificar anormalidades e tomar medidas preventivas. O Bastion Host estará na rede pública e servirá como ponte para a rede restrita ou um segmento dela, dessa forma as empresas parceiras poderão se conectar diretamente com a rede interna proporcionando assim uma alternativa a VPNs que normalmente são muito caras e complexas. É importante citar que o Bastion Host deverá passar por um rigoroso processo de hardering diminuindo ao máximo as vulnerabilidades e tomando ações preventivas como desativar serviços desnecessários, já que qualquer vulnerabilidade pode comprometer toda a rede interna, por conta disso é necessário não economizar esforços para tornar esse dispositivo seguro. Dispositivos Switches com banda Gigabit devem ser implementados para a conexão dos dispositivos, sendo que eles precisam suportar a função de VLAN, tecnologia que irá segmentar a rede proporcionando assim ambientes isolados para cada departamento ou divisão de departamento. Cada VLAN receberá sua própria faixa de endereços IP e os switches se encarregarão de conectar o dispositivo a rede apropriada. 8 Os Servidores sejam FTP, Web, Backup e outros devem estar equipados com todas as medidas de segurança necessárias, sistemas de detecção, sistemas de reação e também devem ser constantemente atualizados, para isso será necessário um bom planejamento do administrador de rede que deverá se atentar para manter todos os equipamentos constantemente operantes e eficientes. É importante mencionar que o plano deve ter em vista priorizar também o desempenho para não sobrecarregar os servidores com softwares de segurança já que os recursos deles são extremamente necessários para as operações dos clientes e o funcionamento da organização. 3. Sistemas de Segurança 3.1. IDS e IPS Os Sistemas automáticos dentro da rede restrita serão implementados de duas formas: junto ao Firewall interno (permitindo assim o afunilamento de informações obrigando todo o tráfego interno e externo a passar pela análise por essa ferramenta) e em Hosts . O IPS no Firewall terá ação ativa, podendo bloquear as atividades suspeitas, enquanto o IDS que será instalado Hosts será responsável por coletar dados e notificar o administrador de rede sobre qualquer mudança de comportamento suspeita. O IPS será instalado no Firewall para atuar na rede(NIPS) deverá ser baseado em conhecimento, para isso ele deverá ter um banco de dados extenso e atualizado com as principais atitudes suspeitas, assim evitando que crackers possam explorar a rede e tirar vantagem das possíveis falhas encontradas ou que funcionários maliciosos vazem dados ou criem Backdoors (porta dos fundos). Caso o sistema identifique ações não permitidas, ou insistência em realizar operações sem permissão ele poderá encerrar o serviço ou suspender suas operações até que o administrador de rede ao verificar o aviso (que deverá receber caso uma eventualidade ocorra) decida bloquear ou permitir a execução da operação. O IDS será baseado em Máquina (HIDS), instalado individualmente em todas as máquinas, este tem a função de monitorar o comportamento dos dispositivos e notificar quando algo suspeito acontecer, como por exemplo aumento de tráfego, uso de serviços não registrado, ou uso portas que não são essenciais. Caso uma eventualidade ocorra o sistema notificará o administrador de rede, para que medidas sejam tomadas com base na experiência (em caso de ser apenas um engano) ou nas políticas da empresa. O IDS não poderá tomar nenhuma atitude além de avisar o administrador, assim é evitado os “falsos positivos” que poderiam causar problemas nas operações da organização. Na DMZ acontecerá de maneira parecida, mas o Bastion Host deverá possuir IPS instalado diretamente no Host (HIPS) para que em caso de quebra das políticas estabelecidas a conexão seja encerrada e o relatoria seja enviado ao administrador de rede juntamente com o endereço IP do dispositivo que estava conectado. 3.2. Antivírus É necessário implementar medidas como antivírus que verificam a integridade dos arquivos pois mesmo com políticas abrangentes que possuem regras relacionadas a downloads e a utilização de sites com certificação é possível que por descuido dos 9 funcionários softwares maliciosos se propaguem na rede causando vazamento de dados, problemas de desempenho, alteração de dados ou até mesmo paralização nos serviços prestados. Por conta disso cada um dos Hosts da rede deverá ter instalado um software antivírus com escaneamento configurado para ser realizado periodicamente. Por possuir muitas ferramentas excelentes que tratam diversos tipos de casos diferentes, o GravityZone Advanced Business Security (da Bitdefender) é recomendado para ser implementado em cada uma das máquinas já que ele pode funcionar em sistemas Android, Linux, Windows, Mac etc. Algumas das suas funções irão facilitar a execução das políticas e normas da empresa, como a analise de JavaScript que notifica quais sites poderiam roubar dados e assim possibilitar o bloqueio deste. Como todas as funções são centralizadas em um único software é possível padronizar todos os sistemas internos dos colaboradores e instalar algumas funções com base na função do servidor como por exemplo segurança para AWS. 3.3. Sistemas de Autenticação Os terminais de acesso precisam ter sistemas de identificação para evitar acesso indevido e o escalonamento de privilégios, para isso será utilizado dois tipos de sistemas de autenticação: “por algo que você sabe” e “algo que você possui”. Na tela inicial de terminais de acesso será necessário inserir os dados de usuário, todas as operações realizadas após o login do funcionário devem registrados no log, arquivo que será enviado para o servidor responsável por armazenar os dados da auditoria. Todas as senhas devem ser submedidas a aprovação com base nos protocolos de segurança da empresa, que deve visar utilização de senhas fortes com caracteres maiúsculos e minúsculos (não utilizar nome ou palavras do dicionário), números e símbolos. Uma boa alternativa é a utilização de um programa de implementação de senhas criptografadas, segmentos de caracteres não previsíveis, já que isso dificulta a violação por boot force. Funcionários com nível de autoridade superior como o administrador de rede ou a diretoria utilizarão, além da identificação de usuário e senha, chaves de acesso USB da FIDO Allience (Suportadas pelo Windows e Linux). A encriptação utilizada pelo U2F dificulta a clonagem e alteração dos dados tornando esse método de segurança o mais recomendado. As imagens a seguir mostram o fluxo do processo de login utilizando U2F: Figura 01 – U2F em um dispositivo móvel. Autor: yubico.com (2020). 10 Figura 02 – U2F como USB. Autor: yubico.com (2020). 3.4. DMZ Os Servidores Web por poderem ser acessados pelos usuários, devem estar em redes com menos critérios de segurança, assim evitando falsos positivos e permitindo clientes a acessarem seus dados, mas isso não significa que a rede estará insegura, ainda sim será usado firewall, antivírus e sistema IDS. O IDS utilizado apenas notificará o administrador de rede dos eventos incomuns acontecendo e lhe apresentará o endereço do dispositivo fazendo a conexão, ficando na responsabilidade do administrador da rede a tomada de atitudes. A topologia da rede pública do plano de continuidade de negócios (ativo/backup) seguiráa mesma da topologia do sistema principal: Figura 03: Topologia DMZ. Fonte: O próprio autor (2020). 3.5. Firewall, Nat e Proxy O Firewall NG (opera desde a camada 3 até a camada 7 do modelo OSI) estará instalado já no começo da rede, dentro da DMZ e também na rede 11 restrita protegendo toda a rede de tráfego suspeito e não permitido. Sua principal função será de filtrar os dados que passam na rede, fazer com que todos os dados transmitidos para dentro da rede pela internet sejam sujeitos a uma análise de segurança bloqueando protocolos e portas não utilizadas. Eles operam por regras determinadas previamente pelo administrador de rede, assim todos os dados que entrarem na rede precisam passar por uma checagem que verificará se todos os parâmetros das regras estão sendo atendidos nesta transmissão. Mesmo sendo possível que listas de regras possam ser baixadas pela internet o administrador deve analisar quais serviços serão usados pela organização e garantir que estes possam operar sem problemas, enquanto os que não são próprios da organização sejam bloqueados. O equipamento firewall também terá instalado a função NAT que irá reescrever o endereço IP dos dispositivos ao se conectar na internet, desta maneira os dispositivos têm seus endereços protegidos e não acessíveis aos servidores com quem estão se comunicando. Alguns comandos básicos estão escritos a seguir para exemplificar como as listas de acesso devem ser configuradas: Os comandos que serão usados para criar um objeto acess list e definir o endereço de host de um dispositivo do grupo são os seguintes: “(config)#object network inside-net”. “(config-network-object)#host 128.0.0.3”. “(config-network-object)#host 128.0.0.3 128.0.0.40”. O comando para configurar o NAT no firewall será (o comando deve ser digitado dentro do objeto): “#nat (input, output) interface dynamic”. Ou: “#nat (input,output) interface static 128.0.1.99”. Para permitir os protocolos e serviços que serão utilizados nas operações os comandos a seguir devem ser utilizados: “(config)#acess-list tpcservice extended permit tcp any host 128.0.0.3 eq www” “(config)#acess-group tcpservice in interface outside” Para proibir o acesso a um endereço será utilizado o comando a seguir: “hostname(config)#acessl-list webtype deny url https://www.siteilegal.com” A rede também deve ter um grupo para os administradores de rede, que pode ser definido como no código a seguir: “(config)#object-group network admins” “(config-protocol)#network-object host 128.0.5.33” 12 O proxy irá proteger a rede de sites maliciosos ao bloquear sites listados como sites mal intencionados e sites falsos para que haja segurança no uso da internet. Como todo o tráfego terá de passar por ele, é vantajoso que esteja presente no mesmo dispositivo que o firewall, assim todos os dados que entram na rede passam por um filtro completo que protegerá a rede interna da organização. 3.6. Bastion Host Para que as empresas parceiras possam se conectar a rede interna o Bastion Host estará posicionado na rede pública para permitir o acesso autorizado. Ele também estará disponível para o contrário, conectar um computador interno no bastion host de uma empresa parceira, assim reduzindo a necessidade de configurações ao proporcionar maior simplicidade em processos como implementação de sistemas home office onde os funcionários devem conseguir acesso a partir de suas residências. Hardering, ou blindagem, deve ser realizado em todos os computadores da empresa mas o bastion host precisa ser muito bem preparado e também “blindado” com excelência já que uma falha encontrada pode comprometer toda a segurança da rede interna, por isso todos os serviços desnecessários devem ser completamente desativados tornando o bastion host exatamente o que ele é, um vigia/ponte para a rede interna. Após toda a preparação e configuração ele deverá passar pelo processo de benchmark profundo visando assim eliminar todas as falhas possíveis. 3.7. VPN Mesmo utilizando Bastion Host pode se necessário usar VPNs para comunicação externa, como por exemplo a conexão com uma nova empresa parceira que segue outros padrões e por conta disso a conexão necessite de uma rede virtual privada, também pode ser útil caso a organização tenha um número alto de funcionários trabalhando por Home Office, o que poderia sobrecarregar o Bastion Host e causar uma falha de segurança. Então estará como alternativa a utilização de VPNs nas conexões “empresa x empresa” ou “empresa x colaborador”. Uma outra vantagem é que em casos onde o viaja constantemente, sendo ele operacional ou administrativo, ainda sim a conexão se mantém segura quando utilizada em redes públicas, como em uma cafeteria ou aeroporto. Isso faz total diferença já que pode ser necessário viajar para contatar ou estabelecer parcerias com empresas internacionais. A Criptografia a ser implementada deverá ter em vista Integridade, Autenticação, Confidencialidade e estar protegido contra interceptação de dados, por isso usaremos VPN com IPSec protegendo os dados transmitidos sem sobrecarregar o tráfego de dados, afinal o desempenho não pode ser comprometido. A autenticação não pode ser deixada de fora, ela deve ser permitida pelo administrador da rede previamente, uma ótima opção é autenticação de dois fatores, usando por exemplo, usuário/senha + Token disponibilizado pela empresa, esse Token deve ser atualizado constantemente (possuir validade) e pode ser acessado através de e-mail ou APP específico. 13 3.8. VLAN A VLAN para uso externo (DMZ) disponibilizará os recursos que os usuários utilizam, como cadastro, consulta de dados, contato com suporte, etc. Para que os usuários tenham acesso apenas aos dados pertinentes a eles, a rede será segregada em partes, a primeira dela será a pública, nela estarão disponíveis o servidor web (HTTP, HTTPS), bastion host e firewall. Em seguida vem a rede interna que também estará segmentada em partes por departamento: Financeiro, Executivo, Marketing, Jurídico, administração, Recursos Humanos,Segurança e T.I. Uma das maiores vantagens na utilização de VLANs é a facilidade para gerenciar, já que ações feitas dentro da rede podem ter efeito isolado, somente dela e por ser uma rede menor as mudanças podem ser implementadas com maior facilidade, a performance também fica muito melhor, por exemplo para mandar uma mensagem para um departamento específico é só direcionar para o broadcast daquela rede. Como tipo de VLAN será utilizado por endereço IP, assim dispositivos específicos estarão apenas conectados naquela rede até que o administrador os mude de rede, assim evita que dispositivos possam se conectar a redes que não tem autoridade, provocando problemas de segurança e autenticação. Este tipo de segregação facilita a administração da rede, já que a faixa de endereçamento usada para um departamento, será usada para todos os dispositivos encontrados nesta rede. 3.9. Certificado digital Para garantir a identificação das partes na comunicação cliente-servidor serão usados certificados digitais, que nada mais é que uma entidade que confirma a identidade do proprietário da chave de encriptação, ou seja, confirma que aqueles que começaram a comunicação são os mesmo que estão mantendo a comunicação, evitando diversos problemas de segurança como alteração de dados. Um outro benefício é que quando um usuário acessa um site certificado ele se sente mais seguro, afinal, todos os dados transmitidos durante a conexão serão criptografados e autenticados, tornando desnecessária a preocupação que normalmente afeta os usuários da internet: “ a privacidade” e “a segurança dos seus dados pessoais”. A Validação Estendida do Certificado SSL é o mais recomendado para esta situação, afinal além de certificar o domínio (exibe “HTTPS” no endereço do site), certifica a organização(Confirmando sua existência física e sua idoneidade) também é considerada a certificação com maior nível de segurança e confiança. Por meio do certificado SSL multidomínios todos os domínios da organização estarão identificados com o mesmo certificado, assim todos os serviços oferecidos pela organização ficam protegidos de maneira que os clientes possam ficar tranquilos durante a navegação nos sites. Embora a forma como o endereço do domínio apareça para o cliente possa parecer algo fútil, é importante que a organização mantenha uma boa reputação, já que entrar na blacklist (lista negra) de sistemas de segurança por conta de vazamentos ocorridos anteriormente pode causar grandes perdas financeiras na organização. Por isso é importante além de manter o sistema seguro mostrar que ele está certificado e protegido, dizendo ao cliente que a organização é séria, confiável e sabe o que está 14 fazendo. A Google sempre vem mostrando sua preocupação com a segurança nos sites, e revelou que ao utilizar certificados no site melhora o seu SEO fazendo com que ele seja mais visto e consequentemente melhorando os negócios da empresa. 3.10. Auditoria Cada ação, como modificação de arquivo, feita no sistema precisa ser registrada, assim em caso de ocorrências como alteração indevida ou tentativa de escalonamento de permissão, possa ser facilmente descoberto o usuário que tentou executar essa ação. A transparência nas operações de T.I. são essenciais para verificar se todas as políticas, normas e regras de segurança estão sendo utilizadas durante os processos da empresa, desta maneira caso alguma ação esteja ocorrendo fora do padrão, o funcionário responsável pela ação pode ser encontrado e instruído para o completo funcionamento das políticas organizacionais. Também é útil quando está sendo feita a análise das operações, ao buscar por problemas de desempenho, para isso os arquivos logs registram todas as modificações e operações feitas. 4. Políticas de Segurança As Políticas determinam o que deve ser feito durante a utilização das redes da empresa e dos equipamentos, também podem se referir ao uso das informações, contratos de sigilo e de confidencialidade. Seu objetivo principal é ser um programa de proteção aos ativos de informação da empresa. A filosofia implementada será de caráter proibitivo, ou seja, o que não é expressamente permitido é proibido. A Política deve visar os requisitos legais, de negócio e a análise de riscos, ou seja, analisar a empresa de forma geral, vendo seus principais pontos a partir de um ponto de vista estratégico. As Normas definem o que deve ser feito no nível tático, ou seja, trata de aspectos como definir as regras dos administradores de rede, o que se pode fazer dentro da rede da organização, regras sobre acesso remoto, controle de acesso, etc. Procedimentos tratam a parte mais baixa, as operações feitas, o processo necessário para executar as funções da organização, trata do “como fazer”. As políticas de segurança devem ser bem elaboradas e abordar todos os temas necessários, como forma de atuação durante o período de jornada de trabalho, ou durante um procedimento padrão, alguns exemplos de políticas que devem ser implementados: só permitir a leitura de periféricos conectados nos terminais de acesso mas não a troca de dados para impedir roubos e movimentação não registrada dos dados da organização; Funcionários de determinado departamento devem ter acesso somente aos dados da sua função, nada além disso (controle de acesso); Troca de informação com endereços de e-mails pessoais deve ser proibida (exceto departamento de marketing que precisa de um tratamento diferente sobre este tema), também impedindo roubo de dados, para isso deve se deixar evidente ao colaborador que os e-mails passam por um processo de validação; Uso dos equipamentos ou da rede da organização para fins pessoais também deve ser proibido; A Classificação das informações deve ser feita por aquele que a gerou mas também pode se ter um filtro por departamento, por exemplo, todos os dados gerados pelo departamento de marketing são classificados entre nível 3 e nível 6 de criticidade; Todos os dados devem estar organizados e seguindo padrões, já que esses dados afetam toda a organização e não somente o 15 colaborador que o gerou; Deve se ter um espaço isolado para armazenamento dos servidores com temperatura controlada, preservando o funcionamento de qualidade dos equipamento. 5. Endereçamento A rede será de classe B com 22 bits dedicados a rede com a máscara de rede 255.255.252.0, permitindo a criação de 64 sub-redes. Como os dispositivos switches terão a função de dividir as VLANs por IP é necessário que o endereçamento da rede seja feito devidamente, para isso a tabela a seguir mostra a faixa de endereçamento de cada sub -rede por departamento ou função. Sub Rede Gateway Broadcast DMZ 128.0.0.1 128.0.3.255 Suporte TI 128.0.4.1 128.0.7.255 Financeiro 128.0.8.1 128.0.11.255 Marketing 128.0.12.1 128.0.15.255 Desenvolvimento 128.0.16.1 128.0.19.255 Administração 128.0.20.1 128.0.23.255 Jurídico 128.0.24.1 128.0.27.255 Segurança 128.0.28.1 128.0.31.255 Testes de Segurança 128.0.32.1 128.0.35.255 Os dispositivos serão conectados em formato estrela, sendo os dispositivos switches o centro. As imagens a seguir mostram a topologia lógica da rede pública e da rede interna (respectivamente): Figura 04 – Topologia Lógica rede pública. Fonte: O próprio autor (2020). Figura 05 – Topologia Lógica rede privada 16 Fonte: O próprio autor (2020). 6. Segurança Física Para garantir a segurança dos ativos da empresa a segurança física deve ser uma das principais prioridades na empresa, já que sem ela, não faz sentido proteger a rede de forma lógica. As medidas devem ser feitas visando a proteção não só dos ativos mas dos colaboradores por isso ela não deve focar somente proteger dos riscos de fora mas também dos possíveis riscos internos e desastres naturais. Medidas que podem ser tomadas: As portas do edifício devem possuir leitores de cartões (token com hierarquia) para garantir que somente funcionários autorizados possam entrar no prédio e nas salas de operação, de servidores, e outros, todos os acessos devem ser guardados como arquivos de auditoria. Extintores de incêndio são uma das principais defesas contra curto circuitos e falhas de equipamentos, por isso precisam estar posicionados estrategicamente em todos os andares e escadas do edifício. Sensores de fumaça e alarmes de segurança devem estar distribuídos no teto para que em emergências todos possam ficar cientes de que uma eventualidade ocorreu e em caso de ser necessário o uso das saídas de emergência todos possam seguir o padrão de evacuação determinado pela segurança. 17 Várias outras medidas podem ser tomadas para a proteção da empresa como câmeras, planejamento para emergências, iluminação fluorescente (em caso de falta de energia), utilização de catracas, e outros. Por isso deve se atentar para as possíveis necessidades e tomar medidas preventivas de segurança, sempre observando se essa ação irá auxiliar/reforçar a segurança ou facilitar a ocorrência de uma eventualidade. 7. Plano de Continuidade de Negócio Em casos de desastres naturais ou problemas como queda de energia, é necessário ter um plano de continuidade de negócios, já que a ausência dos serviços podem causar impactos enormes na renda da empresa, ou no relacionamento com outras empresas o que poderia até mesmo influenciar na perda de parceria, por conta disso é necessário ter um ótimo plano de continuidade de negócios, bem fundamentado e organizado. Esse plano precisará abordar equipamento necessário para que o sistema continue operante (como No-Breaks) e backup de dados importantes. O Plano será elaborado e estruturado visando Análise de Riscos (O que pode acontecer?/ Ameaças), Análise de Impacto (Qual oresultado desse acontecimento?) e o Planejamento Estratégico (Se isso acontecer o que será preciso ter para reagir?). Assim a equipe responsável tem uma estrutura do que analisar, desde incapacitação total do sistema devido a desastres naturais até a interrupção de um serviço por conta da queima de um servidor que deverá ser substituído imediatamente por um outro mantendo todos os serviços operantes. As principais características que este plano deve ter são: ser eficaz, redundante, eficiente e bem estruturado. Se o plano tiver estas características e atender as necessidades principais da organização, for testado e aprovado, então teremos um bom programa de reação a incidentes. O Backup deverá ser realizado periodicamente, atualizando os dados já registrados ou registrando novos. Para que o desempenho não seja afetado eles devem feitos durante a noite, quando há uma menor quantidade de funcionários e clientes usando os sistemas. Como o plano de continuidade de negócio será ativo/backup os dados serão copiados para um ambiente externo em outro local, deixando tudo pronto para necessidades como ter de usar o local alternativo como ambiente principal. Esse local alternativo também deve estar extremamente protegido já que pode acabar se tornando alvo de crackers que desejam roubar dados. A Segurança física dos equipamentos também é prioridade, por conta disso ao escolher o local para a instalação do segundo ambiente diversos fatores devem ser levados em conta, como muros, entrada apenas para funcionários autorizados, equipe de segurança, etc. A Gestão do programa de continuidade de negócios deve ser sempre atualizada, assim novos equipamentos ou políticas implementadas no sistema principal, sejam também instaladas no sistema de emergência. Atualizações constantes devem ser feitas para que vulnerabilidades não possam ser encontradas, evitando situações como por exemplo invasão de crackers que se aproveitam de problemas já existentes nos sistemas utilizados. Ao fim da crise é importante ter um plano de Recuperação de Desastres (PRD), onde a empresa tornará ao padrão normal de operação, o ambiente principal será utilizado novamente como principal e o ambiente de emergência se tornará novamente um local de backup dos dados, caso alguma ação seja necessária para que a situação não ocorra novamente é nesta fase em que essas ações são realizadas, tornando o sistema cada vez mais blindado contra incidentes. 18 8. Teste de Invasão Após a instalação dos sistemas de segurança é necessário testar o sistema de diversas formas para a realização de relatórios sobre as fraquezas ou pontos que necessitam de melhorias na segurança da organização. Entre as formas de testar o sistema deve se pensar o que um cracker ou um funcionário mal intencionado poderia fazer, assim testando as defesas da empresa contra ataques internos e externos. O primeiro teste deve ser feito profundamente e os seguintes feitos periodicamente para manter a rede sempre blindada contra os ataques inimigos. A rede além de estar protegida de maneira em caso de ataque interno o escalamento de privilégios não ocorra e dados importantes não sejam furtados. Áreas com dados mais sigilosos precisam ser testadas de todas as formas possíveis já que o custo da perda desses dados pode causar perdas consideráveis a organização. Algumas etapas podem ser seguidas para realizar o teste por exemplo: Análise de vulnerabilidades: Brechas e vulnerabilidades são encontradas a partir de técnicas, scanners ou uma combinação dos dois. Revisão e Teste dos códigos usados: Os códigos feitos pela organização precisam passar por um teste de segurança antes de serem utilizados, assim evita-se problemas futuros. Teste de Intrusão (Pentest): O teste deve ser feito tanto blackbox (simulando um ataque real de um cracker usando poucos dados e informações sobre a organização) quanto whitebox (simulando um ataque com muitos dados, como um ex-funcionário querendo se aproveitar dos conhecimento a cerca da organização) seguindo as normas do PTES para garantir que a segurança dos ativos de rede foi realmente avaliada de forma eficiente. Análise do Red Team: Teste realizado usando engenharia social e informações coletadas da empresa para invadir a organização burlando sistemas de segurança e aproveitando vulnerabilidades. 9. Experiência do Cliente Visando melhorar a experiência do cliente e proporcionar maior conforto será adicionado no fluxo da compra a opção de contatar um motorista de aplicativo que irá na hora marcada levar o cliente ao aeroporto de maneira que sobre tempo para fazer Check-in e entregar a bagagem. O motorista será contatado bem antes da busca e deve ter um carro que possa levar a bagagem dos passageiros, evitando assim problemas que poderiam ocorrer ao ter necessidade de chamar outro motorista. A pontualidade deve se ser um dos principais pontos a se considerar, por isso o cliente deverá informar no momento da compra ou até 24 horas antes da hora do embarque o local em que ele deseja se encontrar com seu motorista (a alteração ou inserção do local pode poderá ser feita por site ou APP). Também deve escolher o local em que ele deseja ser levado após o desembarque, seja o hotel selecionado durante o momento da compra ou outro endereço, assim o motorista poderá aguarda-lo na saída mais próxima. O valor do transporte será incluído com o valor da compra facilitando toda a viajem e trazendo comodidade ao cliente já que não será necessário nenhum gasto além do já pago anteriormente. Ao se adotar este fluxo o processo longo e cansativos de usar vários aplicativos para verificar se algum motorista de aplicativo está próximo ou não são evitados, economizando tempo e fazendo com que o passageiro possa chegar ao seu destino com 19 maior conforto, o que traz uma visão melhor do serviço e consequentemente uma maior vantagem competitiva em relação as empresas do mesmo ramo de negócio. O novo fluxo de experiência do cliente está apresentado na imagem a seguir: Figura 06 – Novo fluxo de experiência do cliente Fonte: O próprio autor(2020). 20 Conclusão Quando um serviço é disponibilizado fica a cargo do órgão responsável o armazenamento e a proteção dos dados, sejam próprios ou do cliente, sejam cruciais ou não, o prejuízo que uma informação retirada de um dado pode ser fatal e extremamente prejudicial, por conta disso são implementadas diversas tecnologias e técnicas para proteção de redes. Através da matéria Segurança Lógica e Física foi possível compreender mais a cerca da importância da implementação de medidas de segurança sejam físicas ou lógicas para proteção da rede e dos dados, também foi possível aprender mais a cerca do planejamento estratégico priorizando dados sigilosos (sendo classificados pelo prejuízo que seria caso eles fossem roubados). Com a Matéria Empreendedorismo foi possível ter uma visão mais ampla sobre a vantagem competitiva, observando o que a empresa pode oferecer por seus clientes que a diferenciaria das empresas concorrentes, a importância do planejamento estratégico utilizando boas práticas de gestão também são necessários para que a corporação possa se manter como uma empresa consolidada e apta para o mercado de trabalho. A tomada de decisão administrativas e as melhores escolhas críticas para diferentes situações foi abordada pela matéria Gestão da Qualidade, que orientou a sobre o impacto das decisões gerenciais. O Projeto Integrado Multidisciplinar VII mostrou uma situação onde as três matérias devem se unir para resolver um problema usando soluções tecnológicas, de forma a suprir todas as necessidades apresentadas seguindo todos os parâmetros definidos no manual como por exemplo redundância, eficiência, estabilidade e segurança. Concluiu-se que o trabalho gerou muito conhecimento teórico e prático sobre a implementação de redes e planejamento proporcionandomaior aprofundamento nos conhecimentos passados através das apostilas. 21 Referências LIVRO TEXTO – Empreendedorismo. Autor: Prof. Antônio Palmeira de Araújo Neto. Colaboradores: Prof. Roberto Macias e Profa. Elisângela Mônaco de Moraes. Disponível – UNIP Interativa/Blackboard. LIVRO TEXTO – Gestão da Qualidade. Autora: Profa. Andréa Martins Cristóvão. Colaboradores: Prof. Roberto Macias, Profa. Elisângela Mônaco de Moraes e Profa. Rachel Niza Brandão. Disponível – UNIP Interativa/Blackboard. LIVRO TEXTO – Segurança Física e Lógica. Autor: Prof. Ricardo Sewaybriker. Colaboradores: Profa. Elisângela Mônaco de Moraes e Profa. Iza Melão. Disponível – UNIP Interativa/Blackboard. Cisco – Produtos e Segurança. Disponível: www.cisco.com OSTEC – Segurança Digital e Resultados. Disponível: www.ostec.blog VENKI – Soluções para Gerenciamento de Negócios. Disponível: www.venki.com.br HostGator – Serviços de Hospedagem de Sites. Disponível: www.hostgator.com.br San – Serviços Cloud. Disponível: blog.saninternet.com IDWALL – Pensando em tecnologia confiável . Disponível: blog.idwall.co
Compartilhar