Baixe o app para aproveitar ainda mais
Prévia do material em texto
UNIVERSIDADE PAULISTA CLAUDIO MARCIO SCOLARI - 0592161 PIM –PROJETO INTEGRADO MULTIDICIPLINAR: SISTEMAS DE SEGURANÇA - UNIP PRESIDENTE PRUDENTE 2021 CLAUDIO MARCIO SCOLARI PIM –PROJETO INTEGRADO MULTIDICIPLINAR: SEGURANÇA DA INFORMAÇÃO - UNIP Trabalho para a conclusão do bimestre, requisito parcial na obtenção do título de graduação em segurança da Informação apresentado à Universidade Paulista – UNIP. Orientador: Prof. Ricardo Sewaybriker Presidente Prudente 2021 RESUMO Neste projeto o objetivo principal buscado é de apresentar os resultados de pesquisas realizadas para o desenvolvimento em estabelecer normas e regras para o acesso remoto em conjunto com um plano de conscientização, definindo um treinamento que padronize a política de acesso remoto na intenção de prevenir os principais ataques que ocorrem na internet. Uma vez que identificadas vulnerabilidades e também ameaças serão estabelecidos regras de configurações e de segurança para os sistemas operacionais pertencentes a todas as estações de trabalhos que integram sua respectiva rede de acesso remoto externo. No cenário proposto torna se necessário planejar configurações de segurança para sistemas operacionais em funcionamento nas estações de trabalho e desta maneira buscar eliminar de uma forma abrangente qualquer ponto de vulnerabilidade e também identificar as principais ameaças. O projeto foi desenvolvido com base em todos os fundamentos e conhecimentos adquiridos em disciplinas de Segurança de Sistemas Operacionais, Gestão Estratégica de Recursos Humanos e Segurança no Ambiente Web, sendo o alicerce no desenvolvimento do projeto. Palavras-Chaves: Home-Office, Gestão Estratégica de Recursos Humanos, Segurança de Sistemas Operacionais, Segurança em Ambiente Web, Vulnerabilidade e Ameaças. ABSTRACT In this project, the main objective sought is to present the results of research carried out for the development of establishing norms and rules for remote access together with an awareness plan, defining a training that standardizes the remote access policy in order to prevent the main attacks that occur on the internet. Once vulnerabilities and threats are identified, configuration and security rules will be established for operating systems belonging to all workstations that make up their respective external remote access network. In the proposed scenario, it becomes necessary to plan security configurations for operating systems running on workstations and thus seek to comprehensively eliminate any point of vulnerability and also identify the main threats. The project was developed based on all the fundamentals and knowledge acquired in the disciplines of Operating Systems Security, Strategic Management of Human Resources and Web Environment Security, being the foundation in the development of the project. Key Words: Home-Office, Strategic Management of Human Resources, Security of Operating Systems, Security in Web Environment, Vulnerability and Threats. SUMÁRIO 1 INTRODUÇÃO ...................................................................................................... 8 2 METODOLOGIA – Desenvolvimento do Projeto ................................................... 9 3 Sistemas Operacionais Segurança................................................................. 10 3.1 Instalação do Windows Server 2012 R2......................................................11 3.1.1 Sistema Operacional para as Estações de Trabalho...................................15 3.1.2 Proposta de Configuração Segura para Estações de Trabalho....................16 3.2 Objetivo..........................................................................................................17 3.3 Fundamentos................................................................................................. 17 3.4 Plano de Conscientização Politicas de Acesso Remoto Seguro................... 18 3.4.1 Segurança comprometida por riscos gerados pelos usuários remotos......... 18 4 Boas práticas para gestão de equipe remota...................................................... 19 5 Analise Critica Sobre as Praticas de Gestão as Equipes Remotas................... 20 6 CONCLUSÃO ........................................................................................................21 7 REFERÊNCIAS BIBLIOGRÁFICAS ...................................................................22 8 1 INTRODUÇÃO O mundo globalizado atual vive uma pandemia sem precedentes afetados pelo vírus do COVID-19 o que tem gerado grande impacto econômico e social, afetando de maneira expressiva o universo corporativo que se viu obrigado a migrar as empresa para o trabalho remoto, com o passar do tempo se nota vantagens na modalidade, porém há fatores críticos que devem ser atentados como falhas massivas de segurança e a vulnerabilidade das redes corporativas. Atualmente o cenário home-office tem um perfil inovador, pois se tornou uma extensão da empresa sendo necessário aperfeiçoa-lo a ponto de ser incluso em seu planejamento estratégico de negócios. Em uma pesquisa realizada por uma empresa de gestão de acesso privilegiado CyberArk em agosto de 2020 , revelou uma série de hábitos dos funcionários que estão trabalhando em casa que colocam em risco a segurança de dados sensíveis e sistemas corporativos críticos, como a reutilização de senhas e o uso dos dispositivos corporativos por outros membros da família. A pesquisa que tinha o objetivo de avaliar o estado atual da segurança no ambiente do trabalho remoto mostrou que 77% dos colaboradores remotos estão usando dispositivos “BYOD” inseguros e não gerenciados para acessar os sistemas corporativos. Além disso, 66% deles adotaram ferramentas de comunicação e colaboração como o Zoom e o Microsoft Teams, que recentemente tiveram uma série de vulnerabilidades de segurança divulgadas. O estudo mostrou que, especialmente no caso de quem tem filhos, os riscos corporativos se tornam maiores devido a uma tendência em privilegiar a conveniência. “Como essas pessoas subitamente tiveram que se tornar cuidadores e professores em tempo real, não é surpresa que as boas praticas de segurança não estejam sempre no topo de suas prioridades quando o assunto é trabalhar em casa”, explica Geraldo Bravo, executivo de vendas da CyberArk. Entre pais que estão trabalhando em casa, 93% disseram que reutilizam senhas em aplicações e dispositivos. Além disso, 29% admitiram que permitiram que outros membros da família usassem os dispositivos corporativos para trabalhos de escola, jogos ou compras. 9 2 Metodologia - Desenvolvimento do Projeto Tipo de pesquisa: O trabalho realizado a seguir é de natureza qualitativa e acadêmica. Dados a serem obtidos: Baseado no conhecimento adquirido na disciplina de Gestão Estratégica de Recursos Humanos, elaborando e desenvolvendo um plano de conscientização sobre a politica de acesso remoto, aplicando as melhores praticas do assunto, além da análise critica das praticas de gestão de pessoas em equipes remotas. Baseado no conhecimento adquirido na disciplina de Sistemas Operacionais (Windows/Linux), expondo de maneira técnica as configurações principais de segurança para os sistemas operacionais instalados nas estações de trabalho disponíveis ao acesso remoto externo. Baseado no conhecimento adquirido na disciplina Segurança no Ambiente Web, identificar as principais ameaças e vulnerabilidades que oacesso à internet pode fornecer sendo assim propor um plano de conscientização para os usuários que utilizam o acesso remoto. Limitações da pesquisa: Tendo em vista a realidade de a pesquisa ser apenas teórica, ou seja, não ser apresentado traços práticos, nos impede de termos os reais resultados na prática do projeto abordado. Outra limitação será o teste prático em campo, que não será realizado. Tratamento e análise dos dados: Separação por assunto, leitura e resumo dos artigos e matérias, para que seja realizado o trabalho. Forma de pesquisa: Serão realizadas pesquisas através da internet. 10 3 Sistemas Operacionais - Segurança A proteção dos dados transferidos e armazenados na organização deve ser amplamente planejada pelas empresas é crucial englobar todos os endpoints, servidores e modos de acesso, tanto as VPNs como armazenamento em nuvens. No Windows Server 2012 R2 podemos escalonar para executar as cargas de trabalho mais importantes com opções robustas de recuperação. O projeto desenvolvido para a segurança dos sistemas operacionais a opção da escolha foi o Windows Server 2012 R2 tendo em vista as vantagens a serem apresentadas abaixo Disponibiliza o recurso de capacitação ao usuário dando acesso seguro nos recursos corporativos aos dispositivos que estão disponíveis Disponibiliza implantação e criação além de operações e monitoramento de aplicações locais ou em nuvem Ganho de valor mais rápido com as diversas opções de armazenamento de baixo custo e desempenho alto, com a disponibilidade dos serviços de tecnologia de informação simplificados a múltiplos usuários. Maior compatibilidade com o usuário final, pois as estações todas são Windows 10 Dia após dia a sofisticação nos níveis de segurança tem aumentado exponencialmente, isso tem obrigado as empresas e instituições acompanharem essa evolução, pois em algumas empresas já não se aceitam apenas login e senha para identificação de usuário, como já sugerido no projeto anterior o uso de certificado digital e autenticação multifator é uma exigência crucial e tais tecnologias são todas suportadas pelo Windows 2012 R2 onde também será aplicado o uso do servidor DHCP nele contido. 11 3.1 Instalação do Windows Server 2012 R2 1- Após o BOOT por pen-drive ou DVD selecionar o idioma e teclado e clicar em next. 2- Clicar em “Install Now” 3– Nessa etapa devemos escolher a edição do Windows a ser instalada, por padrão vem selecionada a versão Standart Evaluation (Server Core), porém iremos utilizar a opção Standart Evaluation (Server with a GUI) com interface gráfica. 12 4 – A seguir selecione o box “I accept the license terms” e clicar em Next. 5 - Abaixo temos a opção de upgrade que pode ser por exemplo atualizar o Windows Server 2008 para o 2012 e a opção abaixo CUSTOM que será a utilizada para instalar o Windows Server do zero. 13 6 – Neste próximo passo selecionamos o disco e clicamos em “NEW” e depois “APPLY” após isso será criado a partição conforme print abaixo, clicar em “NEXT”. 7 – Nessa fase o Windows será instalado e é só aguardar a reinicialização 8 – Após a reinicialização o Windows Server será carregado direto do HD 14 9 – Após a finalização será necessário informar uma senha para o usuário Administrador do Windows Server seguindo os requisitos de complexidade exigidos pelo Windows o que deve conter oito dígitos dentre eles letra maiúscula, minúscula, números e pelo menos um carácter especial (!, @, #, $, %, &, * entre outros) 10 – Finalizando carregará o Server Manager na área de trabalho, ele é o console de Gerenciador de Serviços do Windows Server será através dele que faremos instalações de funções e recursos do Windows Server. 15 3.1.1 Sistema Operacional para as estações de trabalho O Windows 10 tem se mostrado uma solução bem eficaz e completa, o fato de compatibilidade com aplicações e maior facilidade de aceitação por parte dos usuários facilita muito, contendo uma ferramenta para acesso remoto “Conexão de Area de Trabalho Remota” que dispensa a utilização de ferramentas como Team Viewer ou Any Desk que acaba expondo falhas para invasões. https://support.microsoft.com/pt-br/windows/ Sendo possível acesso remoto pela equipe de suporte pelo host ou I.P. do micro onde as estações recebem o nome via servidor de domínio no Active Directory e seu numero I.P. diretamente do servidor DHCP na rede corporativa. .A seguir é informado os dados da conta do Windows Imagem: https://support.microsoft.com/pt-br/windows/ 16 3.1.2 Proposta de configuração segura para estações de trabalho Ajuste fino do Firewall As estações de trabalho podem ou não ter o firewall configurado por padrão, mesmo com ele em execução suas regras podem ou não ser muito rígidas, por esse fator, o fortalecimento do sistema operacional das estações deve agregar uma revisão geral das configurações do firewall e suas modificações, de maneira que todo o tráfego seja permitido apenas a partir dos endereços I.P. e das portas pelas quais sejam realmente necessárias. Controle de Acesso do Usuário O Windows oferece recursos de gerenciamento de usuários, grupos e contas que podem ser usados para restringir o acesso a arquivos, redes e outros recursos, porém esses recursos geralmente não são tão rígidos quanto deveriam ser por padrão, revisar tais recursos para garantir que o acesso seja concedido apenas a usuários que realmente necessitem dele é muito recomendado. Antivírus O Windows 10 conta com uma proteção muito completa e eficiente o Microsoft Defender, a estação de trabalho estará protegida ativamente desde o momento em que o Windows for inicializado, essa segurança oferecida pela Microsoft procura continuamente ameaças a segurança além de vírus e malwares, além de proteção em tempo real, as atualizações são baixadas automaticamente mantendo as estações seguras e protegidas contra qualquer possível ameaça. Atualizações de Software Na maior parte das situações, as atualizações automáticas de softwares são uma boa ideia, pois dessa maneira ajuda o sistema a se manter a frente de ameaças de segurança a medida que elas vão surgindo, em contramão podem surgir situações onde se queira evitar atualizações automáticas forçando que obrigatoriamente o suporte de T.I. as aprove, minimizando um possível risco de alguma atualização interromper qualquer tipo de serviço crítico. Isolamento de dados de carga de trabalho Para fortalecer o sistema operacional nas estações é uma excelente opção isolar dados e cargas de trabalho o máximo possível, Seja hospedando diferentes bancos de dados ou aplicativos dentro de diferentes maquinas virtuais ou restringindo o acesso a rede entre diferentes cargas de trabalho. Desativação de recursos desnecessários Altamente recomendável é a pratica de desativar qualquer recurso do sistema operacional não utilizável. 17 3.2 Objetivo Aplicados a politica de segurança de acesso remoto externo os usuários os mesmos se comprometem com os termos de compromisso com a proteção das informações de sua propriedade e mesmo as que estão sob sua responsabilidade. O propósito da empresa no que diz respeito a gestão de riscos no tratamento de incidentes internos e externos por meio de adoção de mecanismos e procedimentos que focam em manter os alicerces básicosde segurança da informação, integridade, autenticidade e confidencialidade. 3.3 Fundamentos As ações que regem a Segurança da Informação são controladas pelos seguintes princípios: Confidencialidade: Garantir que toda e qualquer informação não seja revelada ou fique disponível a qualquer órgão, sistema, entidade ou pessoa física que não esteja autorizada pela instituição ou empresa. Autenticidade: Esse conceito se refere a confirmação de que o usuário é realmente quem ele alega ser, desde que esteja emitindo a informação até quem irá recebe-la. Integridade: Tal item está ligado as condições dos dados, os quais devem ser mantidos inalterados. O usuário emissor de qualquer documento ou informação deve ser capaz de disponibilizar a um destinatário sem que haja a possibilidade de ter sido alterada acidentalmente ou propositalmente. Disponibilidade: De nada adianta ter a informação sem que a mesma seja entregue aos usuários legítimos quando assim requisitadas pelos mesmos, por esse motivo é fundamental que todos os recursos estejam sempre a disposição dos funcionários. Irretratabilidade: Ela foca na legitimidade do autor da informação, funcionando como uma maneira de rastrear todas as ações de um indivíduo dentro do sistema de maneira que não seja possível negar a autoria de uma ação. Privacidade: Garantia do direito pessoal e coletivo ao sigilo da correspondência e das comunicações individuais. 18 3.4 Plano de Conscientização Politicas de Acesso Remoto Seguro Regras e padrões têm seus objetivos alcançados apenas quando postas em prática, ambas na sua praticidade buscam além da segurança no acesso o comprometimento de todos que estão direta e indiretamente envolvidos no processo, por esse motivo são definidas as politicas de acesso remoto externo. Algumas regras são bem simples e de fácil aplicação e justamente pelo fato dessa simplicidade tornam as ações mais sincronizadas e automaticamente praticadas no seu dia a dia. Abaixo será descrito algumas normas básicas da politica de segurança, que se seguidas de maneira correta farão grande diferença a usuários envolvidos na transmissão e compartilhamento de dados da empresa. Na empresa ou instituição o acesso remoto aos seus dados será permitido apenas para fins de trabalho ou em caráter excepcional. Os responsáveis pela segurança de T.I. devem monitorar o acesso remoto dos usuários O pedido de acesso remoto pelo usuário deve ser solicitado a área de T.I. seja ela por abertura de incidente ou de outra maneira que formalize a solicitação. A permissão para o acesso remoto será liberado ao usuário por um período pré-determinado com intervalos de renovação. A área de T.I. deve homologar softwares de propriedade de terceiros para que tais recursos atendam as mínimas exigências dos requisitos estipulados. As estações de trabalho de cada usuário atuante em home-office obrigatoriamente devem conter ferramentas de proteção contra vírus e softwares maliciosos também conter controle de acesso ambos homologados e disponibilizados pela empresa ou instituição. Os responsáveis pela área de T.I. devem formalizar a cada usuário quais são os requisitos mínimos de segurança estabelecidos pela empresa para a realização do acesso remoto. 3.4.1 Segurança comprometida por riscos gerados pelos usuários remotos As empresas tem ciência dos riscos envolvidos no trabalho remoto, por isso a importância da aplicação de politicas de segurança, mas a dificuldade em aplicar tais politicas ainda é grande, pois muitos usuários podem de maneira irresponsável colocar em risco a segurança da empresa conforme abaixo: Falta de comprometimento com as politicas de segurança impostas pela empresa ou instituição A incapacidade de se adequar com algumas normas e praticas de segurança exigida pela empresa. Comportamentos de risco por parte de alguns usuários. 19 4 Boas práticas para gestão de equipe remota Uma plataforma de comunicação interna pode organizar as tarefas e rotinas diárias da equipe garantindo que todos atuem com o devido alinhamento necessário. Equipes remotas necessitam ter mais clareza em relação a metas e objetivos que seus colegas que permanecem presencialmente, e por um simples motivo, não há um gestor que está constantemente indicando a direção, logo eles devem ter absoluta clareza dos objetivos, regras e normas de conduta. Manter reuniões periódicas com a equipe para alinhar novos processos a rotinas de trabalho é uma pratica bem vinda, pois dessa maneira também se pode corrigir falhas detectadas na segurança e reforçar as orientações com todos os usuários. É muito importante que o usuário tenha em mente que o uso de redes sociais e aplicações não homologadas na estação de trabalho não é uma pratica correta, por isso deve ser disponibilizado pela empresa estações de trabalho para cada um de seus colaboradores onde os mesmos se comprometem em assumir as responsabilidades de utilização dos mesmos. A mudança para o modelo remoto não significa um horário para todos como, por exemplo, das 8h às 17h, é crucial que seja definido resultados e entregas esperadas para cada uma das funções, em um modelo remoto não se pode controlar horário de trabalho ou tempo online, mas o controle estará no sucesso da entrega dos resultados. 20 5 Analise Critica Sobre as Praticas de Gestão as Equipes Remotas Normalmente a maioria dos colaboradores tem visto o trabalho remoto como uma vantagem bem positiva, um ganho de tempo sem ter que se deslocar para o local de trabalho isso aumenta seu potencial de foco e dedicação a empresa, no entanto há um lado meio negativo não muito discutido onde se trata da qualidade, velocidade e latência da rede que o colaborador possui em sua casa. É de conhecimento de que no Brasil o acesso à banda larga de qualidade é restrita a poucos domicílios e em alguns municípios, mesmo em grandes centros urbanos as operadoras e provedoras demonstram grande dificuldade em viabilizarem uma rede de alto desempenho estável. Diante desse cenário cabe a liderança de TI monitorar toda a infraestrutura de rede externa, autorizando o trabalho remoto massivo perde se a gestão centralizada da rede e principalmente o controle a qualidade e velocidade da mesma. Não se é visto empresas assumindo a responsabilidade e o custo integral na contratação de internet de alta qualidade para os colaboradores remotos em grande escala. Muitos fatores negativos podem ser considerados no trabalho home-offie como a ergonomia, impacto em postura, tela muito próxima ao usuário entre outros, escolhas simples como a cadeira e mesa correta ou os ângulos de inclinação de teclado e mouse podem influenciar negativamente lesões por repetições dores ou desenvolvimento de dores crônicas como por exemplo tendinite. O trabalho remoto não é nada fácil para uma gestão que enfrentará novos desafios distantes dos habituais no presencial, além de todos esses aspectos que afetam diretamente os colaboradores temos fatores que podem afetar a produtividade, mas o ponto crucial e foco é manter a segurança e integridade de dados e informações trocadas pela rede corporativa, questões fora desse assunto podem e serão tratadas posteriormente. 21 6 CONCLUSÃO Conclui-se que este trabalho de nível acadêmico observa em analise o risco principal para os colaboradores e empresa ou instituição que é a vulnerabilidade e ameaças dos dados ao serem compartilhados online, o fato de que tecnologias emergentes de certa forma representam ameaças a medida que o numero de dispositivos conectados a rede cresce, a segurança da informação deve ser tratada como parte do negócio da empresa ou instituição e não somente como uma demanda na área de TI. É previsto que novos ataques se repitam em todo âmbito global e setorne cada vez mais sofisticado, porém as ferramentas e meios disponíveis a combater esse mal também evoluem a altura de combater tais ataques. Apontado as falha e riscos que podem ser comprometidos tanto por falhas tecnológicas quanto humanas, pois uma empresa que atua 100% em home-office mesmo com uma estrutura tecnológica avançada de nada é útil se os colaboradores não tiverem a conscientização do plano de politicas de acesso remoto seguro definidas pela empresa. 22 7 REFERÊNCIAS BIBLIOGRÁFICAS Pesquisa: Ameaças de segurança Home-Office: < https://thehack.com.br/nova-pesquisa-mostra-ameacas-de-seguranca-no- home-office/>. Acesso em: 22 de Maio 2021. Ficar protegido com a segurança do Windows: < https://support.microsoft.com/pt-br/windows/ficar-protegido-com-a- seguran%C3%A7a-do-windows-2ae0363d-0ada-c064-8b56-6a39afb6a963>. Acesso em: 22 de Maio 2021. <https://auditeste.com.br/quais-sao-os-principios-da-seguranca-da- informacao> Acesso em: 31 de Maio 2021 NBR ISO/IEC 27001:2006 –Tecnologia da Informação –Técnicas de segurança –Sistemas de Gestão de Segurança da Informação –Requisitos. Norma ABNT NBR ISO/IEC 27005:2008, que fornece as diretrizes para a Gestão de Riscos de Segurança da Informação e Comunicações. Norma ABNT NBR/ISO/IEC 27001:2006, que estabelece os elementos de um Sistema de Gestão de Segurança da Informação e Comunicações.
Compartilhar