PIM VI - Gestão de Pessoas que estão em Acesso Remoto Externo VPN em Home Office

Prévia do material em texto

<p>UNIP EAD</p><p>JOSÉ MARIA PASSAMANI JUNIOR</p><p>GESTÃO DE PESSOAS QUE ESTÃO EM ACESSO REMOTO EXTERNO</p><p>VPN EM HOME OFFICE</p><p>CURITIBA - PR</p><p>2024</p><p>UNIP EAD</p><p>Projeto Integrado Multidisciplinar</p><p>Curso Superiores de Tecnologia</p><p>GESTÃO DE PESSOAS QUE ESTÃO EM ACESSO REMOTO EXTERNO</p><p>VPN EM HOME OFFICE</p><p>Nome: José Maria Passamani Junior</p><p>RA: 2347466</p><p>Curso: Segurança da Informação</p><p>Semestre: 2º</p><p>Polo FAPAR</p><p>2024</p><p>“Ninguém conseguirá trabalhar em</p><p>equipe se não aprender a ouvir.</p><p>Ninguém aprenderá a ouvir se não</p><p>aprender a se colocar no lugar da outra</p><p>pessoa.”</p><p>Augusto Cury</p><p>https://www.pensador.com/autor/eduardo_jacob/</p><p>Resumo</p><p>Com a adoção do home office é necessário que a segurança da informação</p><p>que é aplicada dentro de uma empresa também cuide do empregado remoto. Com</p><p>isso, a gestão de estratégica de recursos humanos precisa conscientizar quem estará</p><p>nesta modalidade de trabalho sobre como executá-lo com seguindo as regras</p><p>estabelecidas pela empresa, apresentando os tópicos principais da PSI e fazendo a</p><p>gestão remota usando as melhores práticas. Ao mesmo tempo que isso é feito, o</p><p>usuário remoto precisa ter alguma noção de como os equipamentos que ele usa</p><p>podem apresentar uma ameaça a segurança da informação e para tal são</p><p>apresentadas formas de ativar a segurança em sistemas operacionais Windows e</p><p>Linux e um resumo das principais ameaças e o como elas agem para enganar suas</p><p>vítimas.</p><p>Palavras-chave: Home Office. Gestão de Pessoas. Ameaças. Windows. Linux. PSI.</p><p>Abstract</p><p>With the adoption of home office, it is necessary that the information security</p><p>that is applied within a company also takes care of remote employees. Therefore,</p><p>strategic human resources management needs to make those who will be in this type</p><p>of work aware of how to carry it out by following the rules established by the company,</p><p>presenting the main PSI topics and carrying out remote management using best</p><p>practices. At the same time that this is done, the remote user needs to have some idea</p><p>of how the equipment he uses can present a threat to information security and to this</p><p>end, ways of activating security in Windows and Linux operating systems are</p><p>presented and a summary of the main threats and how they act to deceive their victims.</p><p>Keywords: Home Office. People management. Threats. Windows. Linux. P.S.I.</p><p>Sumário</p><p>1 INTRODUÇÃO ...............................................................................................................................7</p><p>2 DESENVOLVIMENTO ..................................................................................................................8</p><p>2.1 AMEAÇAS AO HOME OFFICE .........................................................................................8</p><p>2.1.1 Engenharia Social ............................................................................................................8</p><p>2.1.2 BYOD .................................................................................................................................9</p><p>2.1.3 Shadow IT ...................................................................................................................... 10</p><p>2.1.4 Phishing .......................................................................................................................... 10</p><p>2.1.5 Ransomware ................................................................................................................. 12</p><p>2.2 AUXILIANDO NA SEGURANÇA DO HOME OFFICE ................................................ 12</p><p>2.2.1 Windows 10/11 .............................................................................................................. 13</p><p>2.2.2 Linux ............................................................................................................................... 15</p><p>2.3 GESTÃO DOS EMPREGADOS ..................................................................................... 16</p><p>2.3.1 Por que não Colaborador ou Funcionário?............................................................... 17</p><p>2.3.2 Conscientizando o empregado ................................................................................... 17</p><p>2.3.3 Gestão de equipes e empregados remotos ............................................................. 24</p><p>3 CONCLUSÃO ............................................................................................................................. 26</p><p>REFERÊNCIAS .................................................................................................................................. 27</p><p>7</p><p>1 INTRODUÇÃO</p><p>A pandemia da COVID-19 trouxe muito desafios para as empresas, que</p><p>precisaram se adequar rapidamente a formas diferentes de trabalho que não eram</p><p>costumeiras a grande maioria delas. O home office ganhou força durante a pandemia</p><p>e com isso, as empresas tiveram sua área de gestão das informações dela e de seus</p><p>clientes ampliadas, pois mesmo com o empregado trabalhando de casa, a</p><p>responsabilidade continua sendo da empresa. Uma pesquisa realizada pela Microsoft,</p><p>apontou que cerca de 26% dos empregados remotos afirmaram que já foram alvos de</p><p>um ataque cibernético. Pela diversidade de ataques, pela constante inovação dos</p><p>cibercriminosos, fica claro que a empresa precisa adotar medidas de segurança</p><p>eficazes, para proteger o trabalhador remoto. Baseado nestas informações, veremos</p><p>como a Segurança no Ambiente Web ajuda a identificar ameaças e vulnerabilidades</p><p>que o acesso web traz e como conscientizar o empregado com relação ao acesso</p><p>remoto, depois vamos ver como a Segurança de Sistemas Operacionais é importante</p><p>para manter a estação de trabalho do empregado segura, montando um curto manual</p><p>para ativação das funções de segurança do equipamento utilizado, e por último vamos</p><p>verificar como a Gestão Estratégica de Recursos Humanos pode ajudar na elaboração</p><p>de um plano para orientar os empregados com relação a Segurança da Informação</p><p>ao utilizar a VPN e as melhores práticas para gestão de pessoas e equipes remotas.</p><p>8</p><p>2 DESENVOLVIMENTO</p><p>2.1 AMEAÇAS AO HOME OFFICE</p><p>Apesar de todos os cuidados que são tomados com relação a segurança da</p><p>informação, muitas empresas continuam sofrendo com tentativas de invasão, com</p><p>ataques de engenharia social, descuidos de usuários que falham em seguir a Política</p><p>de Segurança da Informação (PSI) e todo tipo de novas ameaças que surgem todos</p><p>os dias. Com o trabalho em home office, todas essas ameaças continuam existindo e</p><p>como o usuário está sozinho, pode ser encarado como alvo mais fácil. Portanto, a</p><p>gestão de pessoas e equipes continua sempre orientando e atualizando sobre os</p><p>riscos à segurança da informação. Podemos destacar algumas ameaças:</p><p>2.1.1 Engenharia Social</p><p>Os ataques de Engenharia Social manipulam as pessoas para que elas</p><p>compartilhem dados que não deveriam compartilhar, baixar softwares que não</p><p>deveriam baixar, visitar sites que não deveriam visitar, enviar dinheiro para criminosos</p><p>ou cometer outros erros que comprometam a segurança pessoal ou organizacional.</p><p>Os cibercriminosos usam essa tática para obter dados pessoais e informações</p><p>financeiras, possibilitando o roubo de identidade e abrindo um sem-número de</p><p>possibilidades de crimes financeiros. Mas, ele pode ser a primeira fase de um</p><p>ciberataque de grande escala. Esse tipo ataque é atraente para os cibercriminosos</p><p>porque permite que acessem redes, dispositivos e contas sem terem o árduo trabalho</p><p>técnico de superar firewalls, software de antivírus e outros controles de segurança, e</p><p>sendo a razão pela qual é a principal causa de comprometimento de redes, segundo</p><p>relatório State of Cybersecurity</p><p>2022 da ISACA e segundo o relatório Cost of Data</p><p>Breach 2022 da IBM, as violações causadas por essa prática estão entre as mais</p><p>caras.</p><p>As táticas e técnicas de engenharia social são fundamentadas na ciência da</p><p>motivação humana, manipulando emoções e instintos que fazem as vítimas tomarem</p><p>atitudes que vão contra seus interesses. Essas são algumas das táticas e podem ser</p><p>usadas isoladamente ou em conjunto:</p><p>• Como uma marca confiável: usando o nome de empresas conhecidas pela</p><p>vítima, que elas confiam e até podem ter feitos negócios. Os golpistas criam</p><p>sites falsos e toda uma infraestrutura que se assemelha a da marca usada no</p><p>golpe.</p><p>• Fazer-se passar por agência governamental ou figura de autoridade:</p><p>existe um sentimento de confiança, respeito e temor com relação as</p><p>autoridades e os golpistas usam esses instintos com mensagens que parecem</p><p>ou afirmam ser de agências do governo (FBI, Polícia Federal, Receita Federal,</p><p>Interpol) ou figuras políticas e até celebridades.</p><p>9</p><p>• Induzir medo ou senso de urgência: quando estão assustadas ou</p><p>apressadas, as pessoas normalmente agem de forma precipitada. Os golpistas</p><p>vão usar diversas técnicas para causar medo ou urgência nas vítimas. Podem</p><p>afirmar que uma transação de crédito não foi aprovada, que um vírus infectou</p><p>o computador, que uma imagem usada no site viola direitos autorais, entre</p><p>muitas outras situações. Eles também podem usar o medo que as pessoas de</p><p>perder, criando um tipo de urgência diferente.</p><p>• Apelar à ganância: o golpe do Príncipe Nigeriano, um e-mail no qual alguém</p><p>que afirma ser alguém da realeza nigeriana tentando fugir de seu país oferece</p><p>uma recompensa financeira gigante em troca das informações da conta</p><p>bancária do destinatário ou de uma pequena taxa antecipada, é um dos</p><p>exemplos mais conhecidos de engenharia social que apela à ganância. Este</p><p>tipo de ataque de engenharia social também pode vir de uma suposta figura de</p><p>autoridade e cria um senso de urgência, o que é uma combinação poderosa.</p><p>Esse golpe é tão antigo quanto o próprio e-mail, mas ainda arrecadava US$</p><p>700 mil por ano em 2018.</p><p>• Apelar para utilidade ou curiosidade: Os golpistas vão mandar mensagem</p><p>como se fossem um amigo, um site de rede social oferecendo ajuda técnica,</p><p>pedir a participação em uma pesquisa, que uma postagem se tornou viral e</p><p>apresentar um link falsificado para um site falso ou para baixar um malware.</p><p>2.1.2 BYOD</p><p>É a sigla para Bring Your Owd Device ou traduzido livremente como Traga</p><p>Seu Dispositivo, e significa que o usuário usa dispositivos pessoais (Smartphone,</p><p>Tablets ou mesmo Laptops) para realizar atividades profissionais referentes a</p><p>empresa que trabalha. Como não são equipamentos da empresa, a grande maioria</p><p>das vezes não estão em conformidade com as políticas de segurança da empresa e</p><p>assim a superfície de ataque cresce. Surgiu com a estreia de smartphones iOS e</p><p>Android no final dos anos 2000, à medida que mais e mais empregados preferiam usar</p><p>seus dispositivos aos telefones fornecidos pelas empresas em que trabalhavam.</p><p>• Uso aceitável: as políticas de BYOD geralmente descrevem como e quando</p><p>os funcionários podem usar dispositivos pessoais para tarefas relacionadas ao</p><p>trabalho. Por exemplo, as diretrizes de uso aceitável podem incluir informações</p><p>sobre como se conectar com segurança a recursos corporativos por meio de</p><p>uma rede privada virtual (VPN) e uma lista de aplicativos relacionados ao</p><p>trabalho aprovados. As políticas de uso aceitável geralmente especificam como</p><p>os dados confidenciais da empresa devem ser tratados, armazenados e</p><p>transmitidos usando dispositivos de propriedade dos funcionários. Quando</p><p>aplicável, as políticas de BYOD também podem incluir políticas de segurança</p><p>e retenção de dados que estejam em conformidade com regulamentações</p><p>como a Lei de portabilidade e responsabilidade de seguros de saúde (HIPAA),</p><p>a Lei Sarbanes Oxley e o Regulamento Geral sobre a Proteção de Dados</p><p>(GDPR).</p><p>10</p><p>2.1.3 Shadow IT</p><p>É o uso de serviços, softwares e dispositivos sem aprovação e na grande</p><p>maioria das vezes sem o conhecimento da equipe de TI da empresa. Exemplo:</p><p>Compartilhar arquivos de trabalho em uma conta do One Drive ou Google Drive</p><p>pessoal, fazer reuniões via Zoom quando a empresa usa o Meeting ou Teams. A</p><p>shadow IT não inclui malware ou outros códigos maliciosos, mas refere-se ao uso de</p><p>ativos não autorizados implementados por usuários finais ao ambiente computacional</p><p>da empresa. Ela surge nas empresas porque os usuários finais não precisam esperar</p><p>a aprovação da equipe de TI ou da equipe de segurança para usar soluções que</p><p>oferecem funcionalidades que eles entendem ser melhores do que a solução fornecida</p><p>pela empresa. Isso se torna um risco, pois como a equipe de TI não tem conhecimento</p><p>da utilização de tal dispositivo ou solução, ele não estará sendo monitorado e não se</p><p>sabe das suas vulnerabilidades, tornando-se propenso à exploração por hackers. De</p><p>acordo com o relatório State of Attack Surface Management 2022 da Randori, 70%</p><p>das organizações foram comprometidas devido à shadow IT.</p><p>De acordo com a Cisco, 80% dos funcionários das empresas usam a shadow</p><p>IT. Funcionários individuais geralmente adotam a shadow IT devido à conveniência e</p><p>à produtividade, pois sentem que podem trabalhar de maneira mais eficiente ou eficaz</p><p>com seus dispositivos pessoais e softwares preferenciais, em vez de usar os recursos</p><p>de TI autorizados pela empresa. Isso só aumentou com a consumerização da TI e,</p><p>mais recentemente, com a ascensão do trabalho remoto. O software como serviço</p><p>(SaaS) permite que qualquer pessoa com um cartão de crédito e um mínimo de</p><p>conhecimento técnico implemente sistemas de TI sofisticados para colaboração,</p><p>gerenciamento de projetos, criação de conteúdo e muito mais. As políticas de BYOD</p><p>(Bring Your Own Device) das empresas permitem que os funcionários usem seus</p><p>próprios computadores e dispositivos móveis na rede corporativa. No entanto, mesmo</p><p>com um programa formal de BYOD em vigor, as equipes de TI geralmente não têm</p><p>visibilidade do software e dos serviços que os funcionários usam no hardware de</p><p>BYOD, e pode ser difícil aplicar as políticas de segurança de TI nos dispositivos</p><p>pessoais deles.</p><p>2.1.4 Phishing</p><p>É um tipo de ataque cibernético, tipo mais comum de engenharia social, que</p><p>utiliza comunicações fraudulentas para roubar informações confidenciais das vítimas.</p><p>Os ataques são feitos através de e-mails, mensagens de texto, chamadas telefônicas</p><p>ou sites que parecem verdadeiros e confiáveis, porém escondem algum tipo de</p><p>ameaça. Embora seja uma ameaça já conhecida, os cibercriminosos conseguem</p><p>identificar as melhores iscas para que suas vítimas potenciais caiam no golpe. Aqui</p><p>um criminoso se passa por uma empresa ou individuo de confiança para conseguir</p><p>informações sensíveis e valiosas da empresa ou da pessoa. De acordo com o Federal</p><p>Bureau of Investigation (FBI), e-mails de phishing são o método de ataque mais</p><p>popular usado por hackers para propagar ransomwares entre indivíduos e</p><p>https://blogs.cisco.com/cloud/the-shadow-it-dilemma</p><p>https://www.ibm.com/br-pt/topics/saas</p><p>https://www.ibm.com/br-pt/topics/saas</p><p>11</p><p>organizações, custando em 2023, US$ 4,76 milhões em média. Ele pode ser</p><p>executado das seguintes formas:</p><p>• E-mails de Phishing em massa: O phishing em massa por e-mail é o tipo mais</p><p>comum de ataque de phishing. Um golpista cria uma mensagem de e-mail que</p><p>parece vir de uma grande e bem conhecida empresa ou organização legítima</p><p>– um banco nacional ou global, um grande varejista on-line, os criadores de um</p><p>software ou aplicativo popular – e envia a mensagem para milhões de</p><p>destinatários. O phishing de e-mail em massa é um jogo de números: quanto</p><p>maior ou mais popular for o remetente pelo qual o hacker está tentando se</p><p>passar, maior a chance de alcançar destinatários que sejam clientes,</p><p>assinantes ou membros. Os cibercriminosos</p><p>fazem de tudo para fazer com que</p><p>o e-mail de phishing pareça legítimo. Em geral, eles incluem o logotipo do</p><p>remetente falso no e-mail e mascaram o endereço de e-mail "de" para incluir o</p><p>nome de domínio do remetente falso; alguns até imitam o nome de domínio do</p><p>remetente, por exemplo, usando "rnicrosoft.com" em vez de "microsoft.com",</p><p>para parecer legítimo à primeira vista. A linha de assunto aborda um tópico que</p><p>o remetente personificado pode abordar com credibilidade e que apela a</p><p>emoções fortes, como medo, ganância, curiosidade, senso de urgência ou</p><p>pressão de tempo, para chamar a atenção do destinatário. As linhas de assunto</p><p>típicas incluem "Atualize seu perfil de usuário", "Problema com seu pedido",</p><p>"Seus documentos de encerramento estão prontos para serem assinados",</p><p>"Sua fatura está anexada." O corpo do e-mail instrui o destinatário a tomar uma</p><p>medida que pareça perfeitamente razoável e consistente com o tópico, mas</p><p>resultará na divulgação de informações confidenciais do destinatário, como o</p><p>número da previdência social, números de contas bancárias, números de</p><p>cartão de crédito, credenciais de login, ou no download de um arquivo que</p><p>infecte o dispositivo ou a rede do destinatário.Por exemplo, os destinatários</p><p>podem ser direcionados a um "clique aqui para atualizar seu perfil", mas o</p><p>hiperlink subjacente os leva a um site falso que os faz inserir suas credenciais</p><p>de login reais como parte do processo de atualização do perfil. Ou eles podem</p><p>ser levados a abrir um anexo que pareça ser legítimo (por exemplo,</p><p>'invoice20.xlsx'), mas que propaga um malware ou código malicioso no</p><p>dispositivo ou rede do destinatário.</p><p>• Spear phishing: tem como alvo um individuo específico, alguém que tem</p><p>acesso privilegiado a dados confidenciais ou recursos de rede, ou autoridade</p><p>especial que o golpista pode explorar para fins fraudulentos. Esse alvo é</p><p>estudado minuciosamente para que tudo pareça o mais crível possível.</p><p>• Comprometimento do e-mail corporativo: tenta roubar grandes somas de</p><p>dinheiro ou informações extremamente valiosas, como segredos comerciais</p><p>dados de clientes, informações financeiras de organizações ou instituições.</p><p>Pode assumir várias formas diferentes, mas as duas mais comuns são: Fraude</p><p>de CEO (falsificação do e-mail de um executivo de nível de diretoria) e</p><p>Comprometimento de conta de e-mail (acesso à conta de um funcionário de</p><p>nível inferior, que tem contato com pagantes).</p><p>12</p><p>2.1.5 Ransomware</p><p>É um tipo de malware que bloqueia os dados ou dispositivos de uma vítima,</p><p>mantendo-os reféns. Só fazem o desbloqueio deles após o pagamento de resgate.</p><p>Em 2023 representaram cerca de 17% dos ciberataques e tiveram um custo de US$</p><p>5,13 milhões em média. O ransomware pode ser chamado de ransomware</p><p>criptografado ou ransomware cripto, e age conforme descrito – mantém os dados</p><p>da vítima como reféns criptografando-os e depois exige o resgate em troca da chave</p><p>da criptografia para descriptografar os dados, sendo a forma mais comum e a forma</p><p>menos comum, é chamada de ransomware não criptografado ou ransomware de</p><p>bloqueio de tela, onde o bloqueio do dispositivo é total, geralmente bloqueando o</p><p>acesso ao sistema operacional. O dispositivo exibe a tela com as exigências do</p><p>resgate. Esses dois tipos podem ser divididos nas seguintes subcategorias:</p><p>• Leakware/doxware: é um ransomware que rouba, ou exfiltra, dados</p><p>confidenciais e ameaça publicá-los. Enquanto formas anteriores de leakware</p><p>ou doxware muitas vezes roubavam dados sem criptografá-los, as variantes</p><p>atuais geralmente fazem as duas coisas.</p><p>• Ransomware móvel: inclui todos os ransomwares que afetam dispositivos</p><p>móveis. Entregue por meio de aplicativos maliciosos ou download direto, o</p><p>ransomware móvel geralmente é um ransomware não criptografado, porque os</p><p>backups automatizados de dados na nuvem, padrão em muitos dispositivos</p><p>móveis, facilitam a reversão de ataques de criptografia.</p><p>• Wipers (ransomware destrutivo): ameaça destruir os dados se o resgate não</p><p>for pago, exceto nos casos em que o ransomware destrói os dados mesmo que</p><p>o resgate seja pago. Suspeita-se que esse último tipo de wiper seja implantado</p><p>por agentes ou hacktivistas de estados-nação, em vez de cibercriminosos</p><p>comuns.</p><p>• Scareware: é exatamente o que parece, um ransomware que tenta assustar</p><p>os usuários e fazê-los pagar um resgate. O scareware pode se passar por uma</p><p>mensagem de uma agência de segurança pública, acusando a vítima de um</p><p>crime e exigindo uma multa; pode falsificar um alerta legítimo de infecção por</p><p>vírus, incentivando a vítima a comprar um software antivírus ou anti-malware.</p><p>Às vezes, o scareware é um ransomware, criptografando os dados ou</p><p>bloqueando o dispositivo; em outros casos, é o vetor do ransomware, que não</p><p>criptografa nada, mas coage a vítima a baixar o ransomware.</p><p>2.2 AUXILIANDO NA SEGURANÇA DO HOME OFFICE</p><p>Quando falamos de segurança da informação dentro da empresa, manter</p><p>equipamentos atualizados é uma tarefa trabalhosa, mas que a TI tem controle total.</p><p>Pacotes de atualização, seja do sistema operacional, sejam dos aplicativos instalados</p><p>https://www.ibm.com/br-pt/topics/scareware</p><p>13</p><p>conforme o padrão da empresa, são disponibilizados para todo ambiente de forma</p><p>automática, depois de validados.</p><p>Com o trabalho em home office, muitos usuários evitam fazer atualizações</p><p>que são solicitadas, então a empresa salienta a importância delas e disponibiliza</p><p>instruções sobre como executá-las.</p><p>2.2.1 Windows 10/11</p><p>Após clicar no botão Iniciar, será aberta a seguinte tela:</p><p>Clicar no ícone Configurações, conforme indicado pela seta vermelha.</p><p>14</p><p>Clicar em Privacidade e Segurança, conforme indicado pela seta vermelha.</p><p>Será aberta a seguinte tela:</p><p>Clicar em Segurança do Windows, conforme indicado pela seta vermelha. A</p><p>tela que abrirá em seguida, mostra como estão as configurações de segurança do</p><p>Windows.</p><p>Se todos estiverem com um visto verde (✓), significa que as configurações de</p><p>segurança estão em dia e não há nenhuma atividade adicional para ser executada.</p><p>Ao clicar em cada um dos itens listados acima, serão exibidos detalhes do que foi</p><p>feito.</p><p>15</p><p>2.2.2 Linux</p><p>O Linux se destaca, não só pela quantidade de distribuições, robustez e</p><p>flexibilidade, mas também por sua reputação no quesito segurança, fazendo com que</p><p>seja muito utilizado em ambiente de servidores para aumentar a segurança,</p><p>suportando soluções de firewall, aplicações críticas, banco de dados e muitos outros</p><p>serviços. Como sistema operacional para usuários, são poucas as empresas que o</p><p>adotam como padrão e quando o fazem, isso se deve a motivos financeiros. Mas tem</p><p>aumentado o número de usuários de Linux, pois alguns grandes fabricantes de</p><p>hardware têm vendido seus equipamentos com alguma das distribuições Linux mais</p><p>adaptadas para os usuários. Então, seguem mais informações sobre a segurança do</p><p>sistema operacional Linux.</p><p>• Compreendendo fundamentos: O Linux trabalha com o conceito de menor</p><p>privilégio, o que limita o acesso aos recursos do sistema exclusivamente</p><p>àqueles que precisam dele para realizar suas funções, tornando mais difícil que</p><p>as vulnerabilidades sejam exploradas.</p><p>• Atualizações regulares: é a medida mais crítica a ser executada. Como o</p><p>Linux tem código aberto, suas atualizações vêm da contribuição de</p><p>desenvolvedores de todo o mundo, corrigindo brechas de segurança e</p><p>aprimorando funcionalidades das plataformas (a distribuição Linux usada) e</p><p>aplicativos.</p><p>o Ferramentas recomendadas:</p><p>▪ APT – para distribuição Debian e derivados;</p><p>▪ DNF – para distribuição Fedora e derivados;</p><p>16</p><p>• Gerenciamento de permissões: Ao controlar rigorosamente quem tem</p><p>acesso ao que, é possível prevenir uma série de ataques e violações de</p><p>segurança. Como citado no item Compreendendo fundamentos, o Linux usa o</p><p>conceito de Menor Privilégio, então os usuários</p><p>têm permissão a executar</p><p>aquilo que são atividades estritamente necessárias para a operação de um</p><p>programa ou acesso. Também é importante realizar auditorias de permissão</p><p>com regularidade, garantindo que somente usuários do ambiente possuam</p><p>acesso as informações.</p><p>o Ferramenta recomenda:</p><p>▪ Auditd;</p><p>• Utilização de Firewall: esta é uma linha crítica da defesa, pois controla os</p><p>acessos não autorizados enquanto permite comunicações legítimas. No Linux,</p><p>usa-se o UFW – Uncomplicated Firewall – que é uma interface mais simples do</p><p>Iptables, tornando mais amigável o gerenciamento das regras do firewall.</p><p>• Implementação de antivírus e anti-malware: Embora seja menos visado no</p><p>mercado, o Linux não é invulnerável. Então, é vital a implementação de</p><p>soluções de antivírus e anti-malware para manter o sistema seguro.</p><p>o Ferramenta recomendada:</p><p>▪ ClamAV – antivírus de código aberto;</p><p>▪ Rkhunter e Chkrootkit – identificam e mitigam rootkits;</p><p>• Ferramentas de segurança essenciais: SELinux e AppArmor oferecem</p><p>controle de acesso obrigatório e confinam programas a um conjunto limitado</p><p>de recursos. O SELinux é conhecido por seu modelo de segurança robusto,</p><p>enquanto o AppArmor se destaca pela facilidade de uso e configuração</p><p>simplificada. O Snort é outro componente crítico, pois atua como um sistema</p><p>de prevenção de intrusão (IPS) monitorando o tráfego da rede em tempo real.</p><p>• Estratégias de backup confiáveis: independente do sistema operacional, é</p><p>essencial te backup. Em situações como a criptografia dos dados por um</p><p>ransomwares, o backup pode significar a recuperação tranquila dos dados e</p><p>falta dele a perda de informações valiosas.</p><p>o Ferramentas recomendadas:</p><p>▪ Rsync: faz cópias locais ou remotas;</p><p>▪ Duplicity: suporta criptografia de backups;</p><p>▪ Regra 3-2-1: Três cópias totais dos dados, em dois formatos</p><p>diferentes, com um armazenamento off-site.</p><p>2.3 GESTÃO DOS EMPREGADOS</p><p>Uma empresa maneja muitas informações importantes em todos os níveis da</p><p>sua estrutura. Cada empregado ou colaborador, como algumas empresas preferem</p><p>chamar atualmente, está em posse de informações vitais para sua atividade.</p><p>17</p><p>A CLT – Consolidação das Leis Trabalhistas define no seu Art. 3º, o termo empregado:</p><p>“Considera-se empregado, toda pessoa física que prestar serviços de natureza</p><p>não eventual a empregador, sob a dependência deste e mediante salário.”</p><p>2.3.1 Por que não Colaborador ou Funcionário?</p><p>O termo colaborador começou a ser utilizado nos anos 90, junto com as</p><p>multinacionais que chegaram no Brasil, virando modismo e como uma forma de</p><p>suavizar a hierarquia e a subordinação inerentes ao termo empregado, diminuindo a</p><p>percepção de exploração do empregado, também causando a ideia de que ele tem</p><p>consciência da sua importância na organização, possui uma visão sistêmica do seu</p><p>setor ou da empresa como um todo. Não é o termo recomendado para ser usado em</p><p>documentos oficiais da empresa.</p><p>Funcionário é nome dado a quem trabalha em órgãos públicos, pessoa que</p><p>prestou concurso e trabalha para o governo. É a expressão mais formal para designar</p><p>a pessoa em uma relação de trabalho, aparece em processos trabalhistas,</p><p>documentos ou notações oficiais sobre empresas e empregados, mas o correto é ser</p><p>usado apenas se estiver se referindo a funcionários públicos.</p><p>2.3.2 Conscientizando o empregado</p><p>Com a adoção do Home Office para as atividades possíveis de se trabalhar</p><p>fora das dependências da empresa, a empresa elaborou uma Política de Segurança</p><p>da Informação para VPN (PSI para VPN) e a disponibilizou para que todos os</p><p>empregados tivessem acesso ao seu conteúdo. A empresa também providenciou que</p><p>todos as terceirizadas que prestam algum tipo de serviço remoto também tivessem</p><p>acesso ao documento PSI para VPN.</p><p>O Departamento de Recursos Humanos da empresa montou uma</p><p>apresentação com os principais pontos da PSI para VPN, no intuito de conscientizar</p><p>os empregados, fazendo a apresentação utilizando o ZOOM, ferramenta para</p><p>reuniões virtuais, que se popularizou durante a pandemia. Abaixo estão os slides da</p><p>apresentação que foi feita.</p><p>18</p><p>19</p><p>20</p><p>21</p><p>22</p><p>23</p><p>24</p><p>2.3.3 Gestão de equipes e empregados remotos</p><p>Depois que houve a quebra do paradigma em relação ao trabalho formal,</p><p>possibilitado pela tecnologia e forçado pela pandemia da COVID-19, foi necessária a</p><p>adequação na gestão de pessoas e equipes remotas. Com uma boa gestão de</p><p>pessoas e equipes remotas, a empresa pode promover o envolvimento de toda a</p><p>equipe, estabelecer uma relação colaborativa entre os colegas e permitir que os</p><p>objetivos e as metas sejam alcançados. Mas, além dos benefícios, também surgem</p><p>desafios. Os mais comuns são:</p><p>• Comunicar-se de forma efetiva com todos os funcionários;</p><p>• Conseguir promover a interação e a colaboração do time;</p><p>• Identificar e resolver conflitos que possam atrapalhar a produtividade;</p><p>• Saber escolher boas técnicas de engajamento de equipes;</p><p>• Acompanhar o desempenho individual e coletivo;</p><p>• Garantir o bem-estar dos colaboradores;</p><p>• Disseminar a cultura organizacional;</p><p>• Escolher as ferramentas certas para tornar a gestão mais fluida.</p><p>Para resolver esses desafios, algumas práticas podem ser adotadas:</p><p>• Montar um plano de trabalho: orienta os empregados enquanto atuam fora</p><p>da empresa. O plano também precisa ter cronogramas para projetos, reuniões,</p><p>canais de comunicação com outros setores.</p><p>• Instigar uma boa comunicação: a prática em detalhar instruções e encorajar</p><p>questionamentos evita o surgimento de adversidades e discussões, diminuindo</p><p>as dúvidas e garantindo que as tarefas sejam entregues no prazo.</p><p>• Descentralizar a tomada de decisão: autonomia para trabalhar é a chave para</p><p>agilizar tudo. No trabalho remoto, o recomendado é confiar na capacidade</p><p>profissional do time, concedendo liberdade para desempenhar funções sem</p><p>supervisão constante.</p><p>• Alinhe expectativas e responsabilidades: é necessário que todos os</p><p>membros da equipe saibam exatamente quais são suas responsabilidades e</p><p>metas de curto e longo prazo.</p><p>https://www.feedz.com.br/blog/tecnicas-de-engajamento-de-equipes/</p><p>https://www.feedz.com.br/blog/cultura-organizacional/</p><p>25</p><p>• Realizar avaliação de desempenho: assim é possível identificar lacunas entre</p><p>o que é esperado pela empresa e o que os profissionais estão entregando,</p><p>permitindo a tomada de decisão embasada sobre o desenvolvimento e</p><p>treinamento deles.</p><p>• Reconhecer o trabalho: mantém o engajamento e a motivação do time em</p><p>alta. Isso pode ser feito através de um simples e-mail ou mensagem de</p><p>agradecimento, ou por meio de formas mais elaboradas, como um bônus</p><p>financeiro ou até uma viagem.</p><p>26</p><p>3 CONCLUSÃO</p><p>Neste PIM foi apresentado como o trabalho em home office pode ser seguro</p><p>utilizando as regras estabelecidas na Política de Segurança para VPN elaborada pela</p><p>empresa. Vimos que a gestão de empregados e equipes remotas pode ser feita com</p><p>segurança e aplicando as melhores práticas os resultados podem ser incríveis. A</p><p>constante orientação e o contato com as pessoas que estão em home office, sem tirar</p><p>a liberdade de decisão terão efeitos positivos, pois por maior que sejam as medidas</p><p>de segurança, cibercriminosos estão sempre evoluindo suas táticas e conhecê-las</p><p>ajuda a quem está mais isolado a evitá-las. Municiar todos com informações,</p><p>treinamentos de segurança e manuais simples, sempre ajudará na proteção dos</p><p>dados do empregado e da empresa.</p><p>27</p><p>REFERÊNCIAS</p><p>Trust Control. Cibersegurança no Home Office: conheça as principais ameaças</p><p>e saiba como se proteger. Trust Control, 2021, Disponível em:</p><p>https://www.trustcontrol.com.br/blog/ciberseguranca-no-home-office-conheca-as-</p><p>principais-ameacas-e-saiba-como-se-proteger/</p><p>Acesso em: 02 Junho 2024</p><p>IBM. O que é engenharia social? IBM, Disponível em: https://www.ibm.com/br-</p><p>pt/topics/social-engineering Acesso em: 01 Junho 2024</p><p>IBM. O que é BYOD (traga seu próprio dispositivo)? IBM, Disponível em:</p><p>https://www.ibm.com/br-pt/topics/byod Acesso em: 02 Junho 2024</p><p>IBM. O que é shadow IT? IBM, Disponível em: https://www.ibm.com/br-</p><p>pt/topics/shadow-it Acesso em: 02 Junho 2024</p><p>IBM. O que é phishing? IBM, Disponível em: https://abrir.link/CyhxS Acesso em: 02</p><p>Junho 2024</p><p>IBM. O que é ransomware? IBM, Disponível em: https://www.ibm.com/br-</p><p>pt/topics/ransomware Acesso em: 02 Junho 2024</p><p>Didática Tech. Segurança no Linux: como manter seu sistema seguro Didática</p><p>Tech, Disponível em: https://didatica.tech/seguranca-no-linux-como-manter-seu-</p><p>sistema-seguro/ Acesso em: 02 Junho 2024</p><p>Presidência da República. Decreto-Lei Nº 5.452, de 1º de Maio de 1943 – Aprova a</p><p>Consolidação das Leis do Trabalho Presidência da República, Disponível em:</p><p>https://www.planalto.gov.br/ccivil_03/decreto-lei/del5452.htm Acesso em: 01 Junho</p><p>2024</p><p>MACEDO, Ana Clara. Diferenças entre Empregado, Funcionário e Colaborador</p><p>Bettefly, 2022, Disponível em: https://blog.betterfly.com/pt/diferencas-empregado-</p><p>funcionario-colaborador Acesso em: 01 Junho 2024</p><p>DP Objetivo. Porque o termo correto é “Empregado” e não “Colaborador” DP</p><p>Objetivo, Maio/2021, Disponível em https://abrir.link/oszLJ Acesso em: 01 Junho</p><p>2024</p><p>LEITE, Gabriel. Gestão de equipes remotas: Boas práticas e ferramentas úteis</p><p>Feedz, 2023, Disponível em: https://www.feedz.com.br/blog/gestao-de-equipes-</p><p>remotas/#O_que_e_gestao_de_equipes_remotas Acesso em: 01 Junho 2024</p><p>Docusign. 8 práticas recomendadas para gerenciar equipes remotas Docusign,</p><p>Fevereiro/2021, Disponível em: https://www.docusign.com/pt-br/blog/praticas-para-</p><p>gerenciar-equipes-remotas Acesso em: 02 Junho 2024</p><p>https://www.trustcontrol.com.br/blog/ciberseguranca-no-home-office-conheca-as-principais-ameacas-e-saiba-como-se-proteger/</p><p>https://www.trustcontrol.com.br/blog/ciberseguranca-no-home-office-conheca-as-principais-ameacas-e-saiba-como-se-proteger/</p><p>https://www.ibm.com/br-pt/topics/byod</p><p>https://abrir.link/CyhxS</p><p>https://www.ibm.com/br-pt/topics/ransomware</p><p>https://www.ibm.com/br-pt/topics/ransomware</p><p>https://abrir.link/oszLJ</p><p>https://www.feedz.com.br/blog/gestao-de-equipes-remotas/#O_que_e_gestao_de_equipes_remotas</p><p>https://www.feedz.com.br/blog/gestao-de-equipes-remotas/#O_que_e_gestao_de_equipes_remotas</p>