PIM V - Segurança da Informação

Palavras-Chaves: VPN, políticas de segurança da informação, covid-19. ABSTRACT The pandemic caused by covid-19 meant that many companies had to change their way of operating overnight, through remote or hybrid work. As a result, there was no time to worry about information security, but to keep the business operating. We therefore have as a general objective of the work the deepening of technical knowledge about the use of cryptography as a form of authentication in remote access, specifically in VPN - Virtual Private Network, identifying threats and proposing a two-factor authentication model. Keywords: VPN, information security policies, covid-19. REFERÊNCIAS BIBLIOGRáFICAS 20 1. introdução Segundo uma pesquisa elaborada pela Fundação Instituto de Administração (FIA) em 2020 e publicada pelo Portal CNN Brasil (2021), 46% das empresas nacionais adotaram o modelo de trabalho a distância durante a pandemia, mudança essa um tanto forçada pelos constantes lockdowns impostos por alguns estados.

Nessa presa de mudar a forma de trabalho e não paralisar as atividades, não houve tempo para planejamento da forma correta e segura de compartilhamento de dados entre as pessoas em suas casas e as empresas, o que pode ser visto pela pesquisa realizada pelo Portal We Live Security (2017), que mostrava que em já em 2017, apenas 11% das empresas na América Latina aplicavam o duplo fator de autenticação. E o que vemos nos últimos anos são os crimes envolvendo roubo de dados e credenciais aumentando, bem como os casos de ransomware e invasão de sistemas, o que mostra a importância de se planejar também a segurança das organizações que trabalham com redes VPN e o treinamento dos colaboradores para que evitem cair em golpes de phishing, contaminando suas máquinas e também vazando seus dados.

Temos então como objetivo geral do trabalho o aprofundamento no conhecimento técnico sobre o uso de criptografia como forma de autenticação no acesso remoto, especificamente em VPN – Virtual Private Network, identificando as ameaças e propondo um modelo de duplo fator de autenticação. Alguns protocolos disponíveis para tunelamento e que atuam na 2 camada do modelo OSI são: Layer to Fowarding Protocol (L2F), Point-to-Point Protocol (PPTP), Layer 2 Tunneling Protocol (L2TP), MultiProtocol Label Switching (MPLS). Eles são mais simples e confiáveis, porém menos escaláveis que o IPSec, de acordo com Tinoco et al. que é implementado na 3 camada e tem alto grau de segurança e confiabilidade. Em geral essa arquitetura é utilizada por empresas quando precisam se comunicar entre filiais ou com colaboradores que estão em outra localidade, como em casa ou em viagem em outra cidade ou país, ou para simulação de redes intranet.

Quanto as vulnerabilidades, a Security Report (2021) menciona que existem 3 principais, sendo que o dispositivo VPN usado para acessar a internet possa ter alguma vulnerabilidade, que as credenciais dos colaboradores podem estar comprometidas e a máquina usada pode estar infectada. Existe a opção de vários tipos de certificado, com diferentes tempos de duração, não existindo uma pré-configuração para seu uso, mas de sua aquisição. Um resumo das vantagens e desvantagens dos dois métodos é apresentado na Tabela 1. Vantagem Desvantagem Token Facilidade de uso. Segurança. Necessário já ter o segundo fator vinculado a conta (telefone, e-mail, entre outros). De modo geral, o uso do duplo fator de autenticação já permite tornar a conta e o acesso mais seguros, porém também é necessário que ambos não estejam no mesmo local, para que caso um seja comprometido, o outro não, ou seja, ainda é necessário seguir alguns passos básicos de segurança da informação.

Modelo Proposto Sugerimos então dois fluxos, a depender do papel que o colaborador exerce dentro da instituição e de seu nível de acesso. Ou seja, o uso de tokens para acessos mais básicos, ou seja, para colaboradores que tenham um nível de acesso mais baixo, e para os colaboradores com maior nível de acesso, o uso do certificado digital. O fluxo de conexão ficaria da seguinte forma para usuários com alto nível de acesso (pessoal de TI, gestores e diretores): 1. Usuário clica para fazer login; 2. Sistema válida com o que tem cadastrado na base de dados e envia o código de acesso; 6. Usuário digita o código de acesso; 7. Em caso de todos os dados corretos, acesso é liberado.

Tal escolha de propor dois tipos de acesso com base no nível de perfil do usuário foi feita com base no tipo de incidentes que pode ser causado por uma conta com maiores permissões ser acessada indevidamente. ALTERNATIVAS PARA DUPLO FATOR As opções de token e certificado digital, embora sejam as mais conhecidas, não são as únicas formas de autenticação de duplo fator, sendo que existem 2 categorias dessas, a 2FA e a MFA. Quanto as políticas que o setor de TI deve aplicar quanto a utilização e segurança de VPN’s temos o seguinte: • Qualquer tráfego fora da VPN deverá ser descartado; • Realizar monitoramento constante das conexões VPN, descartando as sessões fora do padrão, como por exemplo, mas não somente: sessões com grande tráfego de dados; • Revogar senhas de usuário em caso de hipótese de vazamento ou comprometimento da mesma; • Solicitar a alteração de senha dos colaboradores a cada 6 meses; • Auditar, quando necessário e com autorização do usuário, os sistemas utilizados a e a comunicação de dados para acesso, por meio de VPN a rede da empresa, a fim de verificar a aderência aos requerimentos de segurança aqui mencionados; • O setor de TI poderá suspender o serviço de VPN sem aviso prévio; • A autorização para utilização do serviço de VPN tem validade enquanto o usuário mantiver o vínculo com a empresa.

impacto social e econômico do isolamento social causado pela pandemia do Covid-19 Com o início de casos de covid-19 se alastrando por diversos países, muitos optaram por regimes de quarentena, de forma a tirar de circulação o maior número possível de pessoas, fazendo com que negócios tivessem que ser fechados e milhares de pessoas se vissem sem ter como trabalhar do dia para a noite, pois nem todos estavam preparados para migrar para o home-office ou nem todas as atividades permitiam isso. Isso também impactou no consumo das famílias, conforme demonstrado no Quadro 1, que demonstra que no início da pandemia a maior parte das pessoas passaram a comprar somente o essencial. Quadro 1: Consumo das famílias no início da pandemia (Blog FGV, 2020).

Tal medida de quarentenas foi desde o início questionada em muitos países como Itália, Brasil, Canadá, França, entre outros. No geral, o que se viu foi um grande pânico, pois as pessoas esperavam que o governo, a OMS ou alguém fizesse algo e lhes indicasse o que fazer, mas na prática o que se via era uma série de medidas questionáveis com o jargão “a economia a gente vê depois”. Assim, 2 anos após a pandemia todo o mundo vive uma alta generalizada de preços e inflação, diversos setores como o automotivo ainda não conseguiram se recuperar, pois vários dos componentes são produzidos em países que ficaram com a produção parada por muito tempo devido as constantes quarentenas, e todas essas medidas na prática não tiveram efeito sobre as populações mais carentes, e o ensino para crianças que não tem acesso a computadores ficou ainda mais comprometido.

Após 2 anos de pandemia vemos que 21 países ainda não vacinaram nem 10% de seus habitantes, segundo G1 (2022), e que a maior parte dos países, como o Brasil, já estão reduzindo por completo as medidas de quarentena, uso de máscara e distanciamento, permitindo que a vida volte ao normal e que as pessoas tentem recuperar seus negócios e a economia em geral. O Portal Word Bank (2021) informou o Brasil como um dos países mais afetados pelo covid-19, tendo uma queda de 4,1% no PIB, mostrando também que em 2021 apenas 40% das crianças estavam tendo aulas presenciais. A pesquisa levantada pela fonte também mostra que os mais atingidos foram aqueles que já eram vulneráveis, pois o país possui uma vasta extensão territorial e uma diversidade muito grande de populações e faixas de renda, e que muitos dos programas feitos durante a pandemia, como o “corona voucher” não necessariamente conseguiu atender os mais necessitados da forma devida.

G1. países não vacinaram nem 10% da população contra Covid-19, diz OMS. Disponível em <https://g1. globo. com/saude/coronavirus/vacinas/noticia/2022/04/11/21-paises-nao-vacinaram-nem-10percent-da-populacao-contra-covid-19-diz-oms. PORTAL CNN BRASIL. Após começo turbulento, empresas se adaptam ao home-office e planejam mantê-lo. Disponível em <https://www. cnnbrasil. com. Disponível em <https://www. worldbank. org/pt/country/brazil/brief/impactos-da-covid19-no-brasil-evidencias-sobre-pessoas-com-deficiencia-durante-a-pandemia>. Acessado em 04 de abril de 2022. SECURITY REPORT. Arquitetura VPN. Disponível em <https://www. gta. ufrj. br/ensino/eel879/trabalhos_vf_2015_2/Seguranca/conteudo/Redes-Privadas-Virtuais-VPN/Arquitetura-VPN.