___________________________________________Artigo Científico de

Revisão
Curso de Rede de Computadores

QUAIS AS CONSEQUÊNCIAS DE NÃO INVESTIR

ADEQUADAMENTE EM SEGURANÇA

Gabriel Marques Ferreira1

Pedro dos Santos Borges 2

RESUMO

Vivemos em uma era onde a informação é considerada o ativo mais valioso da nossa
civilização, e as empresas ao se darem conta desse status quo investem cada vez
mais em segurança da informação, pois sabem que um vazamento de dados além de
ocasionar prejuízos financeiros, também acarreta em perca de reputação por parte da
empresa. De fato, a segurança digital tornou-se um aspecto não só de informática,
mas também para a estratégia dos negócios. O artigo se trata de uma revisão
bibliográfica, que tem como principal objetivo apontar a importância de investimentos
em segurança da informação, e as consequências de não se investir; tem como
outros objetivos mais específicos apontar principais técnicas de segurança
cibernética, descrever seus funcionamentos, e apontar possíveis soluções para
aumento de segurança em rede de computadores.

********************************************************************************************
***********************************************************************

Palavra-chave: criptografia, firewall, segurança, vpn, ipsec, antivirus.

1
Discente do curso de rede de computadores 3º semestre (gabriel.ferreira@email.com)
 INTRODUÇÃO

Não importa a área de atuação, tamanho, ou modelo, as empresas

precisam se preocupar com a segurança cibernética. A medida que o tempo
avança, surge uma maior necessidade da “digitalização” das empresas, onde
cada vez mais informação deixa de ser física e torna-se digitais. A TI que antes
era vista como um setor de suporte a empresa, agora se torna um setor
estratégico para a mesma, onde a tecnologia se alinha com os objetivos de
negócios da empresa. Porém nem tudo são flores, e os riscos tornam-se cada vez
maiores, o que sugere uma reflexão a respeito do quão vantajoso essa
dependência pode ser.
Que a computação agiliza processos e tarefas que antes eram feitas pelo
ser humano isso é um fato. Sistemas de gerenciamento de bancos de dados
gerenciam, e armazenam informações que seria tecnicamente impossível
armazenar fisicamente sem qualquer perca; tomam decisões precisas, produzem
relatórios em um período de tempo que seria humanamente impossível, e muito
mais. Porém é preciso se atentar a um fato: A migração para ambiente digital
significa aumentar a exposição da empresa a ataques por parte de hackers cada
vez mais sofisticados, que por sua vez acarretam em prejuízos que vão além do
financeiro.
Um ataque bem sucedido feito por um hacker pode prejudicar uma
empresa em três principais âmbitos: Financeiro, judicial e reputacional. Apesar de
muitas pessoas se atentarem apenas ao fator financeiro, talvez ele não seja o
mais grave quando analisado a situação com outros olhos: No fator financeiro a
empresa pode adotar medidas de minimização de danos, acionar um seguro,
cortar custos ou se desfazer de algum ativo e se reestabelecer com o tempo, o
seu retorno é praticamente certo se for bem administrado pela gerencia, mas
quando se trata de reputação a história é bem diferente. Os clientes da empresa
simplesmente podem cortar as relações por medo de um futuro vazamento de
dados, isso ocasiona em quebra de contratos e em casos piores pode gerar
processos, afinal dependendo do segmento da empresa, a proteção de dados dos
usuários e/ou clientes pode ser algo assegurado por contrato, o que entra no
âmbito judicial, se a empresa cumpriu as normas de segurança obrigatórias por
leis, e etc. Mas voltando ao fator reputacional, uma quebra de confiança pode
gerar além da perca dos clientes, uma eventual queda na aquisição de novos
clientes, isso diminui a renda e dificulta a recuperação financeira, que pode
ocasionar em falência no pior dos casos, ou pode forçar que a empresa se
desfaça de diversos ativos, cortes de funcionários e outras medidas bem drásticas
para se recuperarem financeiramente até que a reputação seja reestabelecida no
mercado.
O investimento em técnicas de segurança como criptografia para garantir
o sigilo das informações em caso de acesso não autorizado, firewall para controlar
os pacotes que trafegam na rede e requisições de acesso, VPN para acesso
remoto de forma segura pela internet, software antivírus atualizados, e
treinamento de funcionários para boas práticas de segurança podem mitigar muito
desses riscos, e evitar eventuais problemas. Adotar medidas de segurança como
essas apesar de passar uma boa confiança não é suficiente para se sentir
realmente seguro, nenhum sistema está imune a falhas, e por isso faz-se
necessário medidas como pentest, onde um profissional especializado em testes
de penetração vai testar a segurança da rede, e sistemas da empresa afim de
encontrar falhas, e indicar medidas de correção ou de mitigação de
vulnerabilidades.
DESENVOLVIMENTO

Criptografia

A criptografia é uma das ferramentas mais importantes na era da

informação digital, afinal ela é uma das formas de garantir que apenas pessoas
autorizadas possam ter acesso a uma determinada informação. Criptografar se
refere ao ato de converter uma informação legível em algo inteligível, também
conhecida como informação cifrada; e isso é feito através de complexos
algoritmos matemáticos. A criptografia pode ser do tipo simétrica, onde apenas
uma chave é usada para criptografar e descriptografar uma informação, ou pode
ser do tipo assimétrica onde uma chave é usada para criptografar e uma outra
para descriptografar, e vale também uma menção honrosa a função de hash que
apesar de não criptografar dados, é usada para verificar a integridade de pacotes,
mensagens e outros dados.
O método de criptografia mais convencional é a simétrica, também
conhecido como cifração de chave única. Seu funcionamento consiste na
utilização de uma única chave que é usada para cifrar e decifrar a mesma
informação. Ele era o único método de criptografia existente até o final da década
de 1970, quando foi publicado o primeiro método de criptografia assimétrica.
Algoritmos que usam criptografia simétrica tendem a ser mais rápidos que os que
utilizam a cifração assimétrica, porém são menos seguros já que a utilização da
mesma chave pode gerar brechas de segurança. Se você usa uma mesma chave
para cifrar e decifrar uma informação, como compartilha essa chave de maneira
segura com outra pessoa pela internet para que ela possa decifrar a informação
que você enviou de forma cifrada? É algo que deve ser levado em consideração.
O método de criptografia simétrica tem cinco componentes: informação legível,
algoritmo de criptografia, senha/chave-secreta, texto criptografado e algoritmo
que de descriptografia que é essencialmente o inverso do algoritmo responsável
pela criptografia. Alguns algoritmos de criptografia simétrica bem conhecidos são:
DES, 3DES3, AES e RC4.
Tão importante quanto a criptografia simétrica, é a criptografia
assimétrica que também é conhecida como criptografia de chave pública.
Proposta pela primeira em 1976 por Diffie e Hellman, é considerado o verdadeiro
primeiro avanço para criptografia em milhares de anos; já que apesar da
criptografia ser usada quase que exclusivamente na computação, a sua criação
remonta períodos onde termos como internet, TI sequer eram cogitados. Seu
funcionamento se dá por duas chaves: Uma pública e uma privada; a chave
pública é usada para criptografar a informação e a privada é usada para
descriptografar a mesma informação. Esse modelo de criptografia é considerado
bem mais seguro que o modo convencional, ela permite que a chave responsável
por cifrar a informação seja compartilhada sem absolutamente nenhum receio,
enquanto que a chave privada fica sob domínio da pessoa responsável por abrir a
mensagem, porém, ela tem um custo computacional mais elevado que deve ser
levado em consideração. O modelo assimétrico contém seis componentes:
informação legível, algoritmo de criptografia, chave pública, chave privada,
informação criptografada, e o algoritmo de descriptografia. Seu algoritmo mais
conhecido e utilizado é o RSA, porém vale uma menção ao DSS.
A função de hash é uma boa ferramenta para complementar a
criptografia, uma vez que as ferramentas de criptografia é uma forma de
assegurar a confidencialidade das informações, a função de hash garante a
integridade dos dados, é através dela que o receptor poderá checar se a
informação de alguma forma foi violada no trajeto. Ela é considerada um tipo de
“criptografia de via única”, já que é teoricamente impossível através de uma
função de hash obter o arquivo original que a gerou. Seu funcionamento se dá
por em um mapeamento de uma determinada informação, e como resultado ele
vai gerar um arquivo único de tamanho fixo, que é uma espécie de resumo do
arquivo, uma “impressão digital”, já que também em teoria cada arquivo deveria
gerar um arquivo de hash único. É executado a função de hash antes da emissão
do arquivo, e outra função é gerada na recepção, compara-se os dois resultados
e se forem idênticos significa que em teoria os arquivos são os mesmos, em caso
de diferença o recomendável é que o receptor requisite um novo envio. Alguns
algoritmos conhecidos são: MD4, MD5, SHA-1, WHIRPOOL.
 Como dito anteriormente, a criptografia é uma das ferramentas mais
importantes na era da informação digital, porém existem aspectos diferentes nos
métodos de cifrar e decifrar informações, com seus pontos positivos e negativos
que devem ser bastantes pensados antes de sua implementação.

Firewall

É impossível pensar em uma empresa que não esteja conectada à

internet nos dias de hoje, as vantagens são inúmeras para você se dar ao luxo de
não estar conectado. Falando um pouco sobre a internet, apesar de ser uma rede
que supera os limites geográficos, ela é considerada uma rede insegura, por tanto
nesse tipo de cenário onde você precisa expor sua rede local a internet, se faz
necessário a implementação de um firewall, que irá analisar todo o trafego de
rede, filtrar e garantir uma maior segurança.
Um Firewall é uma ferramenta que pode ser implementada através de
software e/ou hardware, cada uma com suas diferenças em preços e
funcionalidades. Você pode imaginar o firewall como uma barreira entre duas
redes, que intercepta todo tráfego e só permite passar os pacotes que estejam de
acordo com as regras estabelecidas por quem o implementou ou o gerencia; em
um modo mais restritivo um firewall é capaz de isolar completamente uma rede.
Atualmente existem três tipos de firewalls, e apesar das diferenças entre os eles,
seu funcionamento básico se resume em duas ações: Manter fora da rede e
manter dentro da rede. Ele pode realizar essas ações agindo como um filtro de
pacotes, como um filtro positivo que permite a passagem de trafego que estejam
de acordo com as permissões, ou como um filtro negativo que rejeita tudo que
esteja de acordo com certos critérios considerados nocivos a rede.
A implementação do firewall por filtro de pacotes funciona do seguinte
modo: a cada pacote IP é aplicado um conjunto de regras visando o cabeçalho de
cada pacote, que contém informações como origem e destino, seu tipo, e ao final
da analise duas decisões podem ser tomadas: descartar ou transmitir. Já o
firewall de controle de estado, considerados uma solução mais sofisticada que a
anterior, já que enquanto o anterior toma decisões analisando pacotes individuais
sem levar em consideração qualquer contexto de camada superior; uma vez
estabelecida a conexão entre dois hosts, o firewall de controle de estado vai
verificar toda a conexão do início ao fim, monitorando seu comportamento, para
garantir que nenhuma anomalia ocorra durante o trafego entre os dois hosts, se
as informações estiverem corretas então o trafego é permitido, porém se algum
pacote que não foi requisitado tentar trafegar ele é automaticamente bloqueado.
Uma outra solução bastante comum é o firewall de aplicação, eles vão além da
análise de cabeçalho de pacotes e analisam os dados reais, seu funcionamento
se baseia em compreender o tipo de dado que esta trafegando, para descartar ou
transferir baseado em um conjunto de regras específicas.
Em suma o firewall é uma importante ferramenta em um mundo onde
redes com informações sensíveis precisam estar em contato com uma rede
insegura, e o firewall pode cumprir o papel de garantir a segurança nesses casos.
Sua implementação pode ser por meio de software, seja em um computador de
uso local, em um dispositivo de rede como um roteador, rodando em um servidor
servindo como gateway entre duas redes e impedindo o contato “direto” entre
elas, ou até mesmo como uma solução de hardware específico. Vale ressaltar
que muitas empresas utilizam mais de uma solução de firewall devido a
sensibilidade de suas informações; poderíamos tomar uma instituição como um
banco por exemplo.

VPN

A internet nos permite realizar tarefas que anteriormente seriam

impensáveis, e uma delas é a possibilidade de conectar remotamente um
dispositivo externo, ou até mesmo uma outra rede a sua rede local. É importante
ressaltar que a internet é considerada uma rede insegura, então conectar sua
rede local a ela sem nenhuma medida de segurança pode ocasionar em um
vazamento das informações trafegadas, e é nesse cenário que surge a VPN, sigla
para Virtual Private Network, que permite que essa conexão seja feita de maneira
segura, com os dados que trafegam sendo criptografados. Assim como o firewall
uma VPN pode ser implementada por software ou hardware, cada uma das
soluções com suas particularidades em funcionamento, vantagem, desvantagem
e preços.
 O tipo de VPN mais utilizado é o VPN PPTP, ela permite que usuários
remotos se conectem a sua rede, utilizando suas próprias conexões de internet;
seu funcionamento básico consiste em criar um “túnel” entre o dispositivo e a
rede local, através de um software que utiliza protocolos específicos para criar a
conexão ponto-a-ponto, e assim garantir que apenas as duas extremidades
tenham acesso a informação. A solução anterior apesar de eficiente, é simples e
com limitações, então se o objetivo é realizar uma ação mais complexa como
conectar redes diferentes, ou usar criptografia, existem soluções mais
sofisticadas, que podem utilizar desde software integrados em roteadores,
servidores com esse objetivo especifico, ou um dispositivo dedicado para essa
tarefa. O protocolo de criptografia mais conhecido em ações que envolvem VPN é
o IPsec, que é um protocolo utilizado para proteger a conexão, criptografando
cada pacote durante todo a comunicação.
Na hora de optar por um firewall é necessário analisar aspectos como a
estrutura da empresa, se o corpo de funcionários tem conhecimento para utilizar
o tipo de ferramenta, e que tipo de dados irão ser trafegados remotamente,
dependendo da sensibilidade das informações, a implementação de um firewall
de alto custo e treinamento dos funcionários para sua utilização, ou até mesmo
uma nova contratação podem valer bastante a pena, visto que os prejuízos com o
vazamento da informações podem ser mais custosos.

Soluções em medidas de seguranças

No atual estágio da tecnologia, cada vez mais empresas se dão conta que
investimentos em segurança da informação são essenciais para um melhor
funcionamento. Felizmente nos dias de hoje o que não faltam são opções nesse
ramo da TI, onde as empresas podem adquirir o melhor plano que esteja no seu
custo/benefício e proteger seus dados e/ou de seus usuários e parceiros.
Quando se pensa em investir na segurança da informação, muito se fala
em ferramentas e dispositivos para esse fim, porém pouco se fala sobre a parte
que é considerada a maior falha em um sistema de computacional: O fator
humano! Sim, exatamente. Você pode investir centenas de milhares de dólares
nos melhores softwares, hardware que o dinheiro pode comprar para construir
uma fortaleza digital para sua empresa, e vai bastar apenas um funcionário sem
noções de segurança para pôr tudo a perder, seja clicando em links maliciosos ou
baixando arquivos da internet. Ao perceber isso as empresas também investem
em treinamento de boas práticas para seus funcionários afim de conscientizar os
mesmos. Uma pratica complementar a essa seria estabelecer níveis de acesso
aos usuários, onde os mesmos teriam acesso apenas ao necessário para que
possam executar as suas funções, ficando para cargos mais altos como os da
gerencia alguns privilégios de acesso.
Um gerenciamento seguro da rede é essencial para que uma empresa
funcione de maneira segura, a adoção de um firewall para controle de trafego e o
uso de software como o DansGuardian para filtrar o conteúdo que é acessado na
rede são ótimas soluções em segurança. Medidas para proteger o acesso ao wifi
também são essenciais, e ela deve ir além de apenas senha de acesso, já que a
mesma pode acabar de alguma forma nas mãso de pessoas não autorizadas; a
implementação de um filtro de acesso poderia resolver essa questão, e ele
funcionaria da seguinte maneira: O wifi ficaria sem senha, assim que um
dispositivo fosse conectado ele ficaria isolado da rede e preso em uma tela de
autenticação que iria pedir o CPF da pessoa em questão, ao ser fornecido, a
identificação seria comparada com os CPF’s dos funcionários da empresa, e caso
fosse encontrado, o MAC do dispositivo seria associado ao cadastro do usuário e
seria fornecido para o mesmo um IP fixo e o acesso seria liberado, em caso de
um CPF incorreto o acesso seria negado até que a autenticação correta fosse
fornecida; poderia ser feito uma implementação de número máximo de tentativas
durante um período de tempo, que só aumentaria a medida que novas tentativas
incorretas fossem detectadas, podendo chegar no bloqueio do MAC do
dispositivo em questão.
Dentre as soluções “comuns” estão a instalação de software antivírus,
antispyware, e a contínua atualização dos mesmos. Aplicação de patch’s de
segurança, atualização dos sistemas para sua última versão; um gerenciamento
eficiente dos backup’s, com a opção de um backup externo para casos de
desastres dentro da empresa. Uma opção também usada hoje em dia por
empresas que não querer ter muita dor de cabeça com segurança é
simplesmente terceirizar essa função para uma empresa especializada na área,
tal como você terceiriza uma empresa para cuidar da integridade física de sua
empresa, é perfeitamente plausível você contratar outra para cuidar da
integridade digital da mesma. Essas empresas podem realizar pentest’s afim de
identificar e corrigir vulnerabilidades, monitorar e proteger seus sistemas e
armazenar seus dados de forma segura.
Como se pode observar as opções para segurança são diversas, que vão
desde a instituição assumindo essa responsabilidade até a instituição atribuindo
essa responsabilidade a uma empresa terceirizada que é especializada no
assunto, mas o ponto principal é: Uma das medidas devem ser tomadas, pois a
informação é o ativo mais valioso da nossa atual civilização.

CONSIDERAÇÕES FINAIS

Podemos constatar que a medida que os dias passam os negócios se

tornam cada vez mais dependentes dos serviços de TI, suas informações se
tornam cada vez mais digitais, e isso aumenta a exposição de tais informações a
hackers com más intenções. Também foi possível constatar que paralelo a isso,
também cresce o mercado de segurança da informação, com cada vez mais
ferramentas, profissionais e até empresas oferecendo soluções de segurança,
cabendo a empresa escolher o método que lhe convém.
Um fator que vale a pena um destaque é o aspecto humano em
um sistema de gerenciamento de segurança da informação, onde pode -
se notar que não importa o quanto se invista em software e hardware
voltado para segurança, não adianta muito se os funcionários e/ou
usuários não tiverem noções de segurança da informação, e isso pode
ser obtido com treinamento de boas práticas: O melhor firewall do
mundo pode cuidar do trafego externo que tenta invadir sua re de local,
mas não vai parar um funcionário que abre por conta própria um li nk
contendo vírus, ou que espete um pendrive contaminado em algum
computador da empresa.
Em suma o artigo pôde apontar diversas ferramentas de
segurança, elucidar suas particularidades e mais do que isso: apontar
alternativas e complementos para cada uma delas. É possível notar que
não existe uma receita secreta para a segurança, e que cada empresa
vai precisar criar sua própria formula para atingir a eficiência nesse
aspecto, isso ou contratar uma empresa terceirizada para que
desenvolva uma formula para a sua empresa. Seja qual for a decisão é
necessário escolher uma, e caso ainda não tenha escolhido corra, pois
cada segundo é muito valioso quando estamos falando da informação
na era da informação.
REFERÊNCIAS

https://www.evaltec.com.br/como-a-falta-de-investimento-em-seguranca-afeta-uma-
empresa-2/

https://fasthelp.com.br/blog/279-protecao-de-dados-consequencias.html

https://pt.wikipedia.org/wiki/Criptografia

https://canaltech.com.br/seguranca/criptografia-para-iniciantes-o-que-e-como-
funciona-e-por-que-precisamos-dela-46753/

https://pplware.sapo.pt/tutoriais/networking/criptografia-simetrica-e-assimetrica-sabe-
a-diferenca/

https://www.gta.ufrj.br/grad/07_2/delio/Criptografiasimtrica.html

https://pt.wikipedia.org/wiki/Fun%C3%A7%C3%A3o_hash

https://helpdigitalti.com.br/blog/o-que-e-firewall-conceito-tipos-e-arquiteturas/

https://www.gta.ufrj.br/grad/15_1/firewall/tiposdefirewall.html

https://blog.sucuri.net/portugues/2016/04/diferencas-entre-firewalls-de-
seguranca.html

https://olhardigital.com.br/noticia/o-que-e-e-para-que-serve-uma-vpn/37913

https://pt.vpnmentor.com/blog/diferentes-tipos-de-vpns-e-quando-usa-los/

https://www.lumiun.com/blog/11-dicas-de-seguranca-na-internet-para-pequenas-e-
medias-empresas/