Por que o Wi-Fi corporativo deve ser isolado do Wi-Fi de visitantes?

O isolamento evita que dispositivos não confiáveis tenham acesso à rede interna. Sem essa separação, um visitante malicioso pode explorar vulnerabilidades, lançar ataques MITM ou coletar dados sensíveis trafegando na rede.

Como a ISO/IEC 27001 ajuda na proteção das redes internas?

A norma propõe controles técnicos, físicos e administrativos, como autenticação multifator, políticas de uso e segmentação de redes. Esses controles ajudam a mitigar riscos como acesso indevido, ataques MITM e vazamento de dados.

Quais são os riscos de manter um datacenter on-premise em uma filial de e-commerce?

Os riscos incluem falhas físicas, sabotagens internas, acesso não autorizado e desastres naturais. Sem os controles adequados (como CFTV, nobreaks e trancas biométricas), a disponibilidade e a confidencialidade dos dados podem ser comprometidas.

Segurança da Informação em Ambientes Corporativos: Análise de Riscos e Controles - Hacking

🕒 Leitura: 5 min 📂 Categoria: Hacking

ACESSIBILIDADE:

Neste Artigo

Com o aumento de ameaças digitais e o crescimento do comércio eletrônico, proteger a infraestrutura de TI tornou-se uma prioridade estratégica. Neste artigo, analisamos um cenário realista de uma filial de e-commerce com Datacenter local (on-premise), utilizando conceitos da ISO/IEC 27001, princípios da segurança da informação e técnicas práticas de mitigação de riscos.

Cenário de Análise

A estrutura conta com:

Funcionários trabalhando presencialmente
Servidores internos acessados por clientes e colaboradores
Ambientes com redes Wi-Fi e cabeadas
Áreas comuns e controladas com diferentes níveis de acesso

Princípios da Segurança da Informação

Princípio	Descrição
Confidencialidade	Garante que apenas usuários autorizados possam acessar os dados.
Integridade	Assegura que as informações não sejam alteradas de forma indevida.
Disponibilidade	Garante o acesso aos dados e sistemas sempre que necessário.

A Importância da Segurança da Informação

Empresas de e-commerce manipulam grandes volumes de dados confidenciais, como informações pessoais, bancárias e de acesso. A segurança da informação protege:

A reputação da marca
A continuidade dos serviços
A confiança de clientes e parceiros
A conformidade legal e regulatória (LGPD, GDPR, etc.)

O Que é Gestão de Riscos?

É o processo de identificar, avaliar, tratar e monitorar riscos que possam comprometer os ativos da organização.

Elementos analisados:

Ativos (hardware, software, dados, pessoas)
Ameaças (ataques, falhas, desastres)
Vulnerabilidades (configurações inseguras, permissões excessivas)
Impactos (financeiros, operacionais, legais)
Probabilidades de ocorrência

Controles Segundo a ISO/IEC 27001

Controles são mecanismos aplicados para reduzir riscos. Classificam-se em:

Categoria	Exemplos
Técnicos	Firewall, criptografia, autenticação
Físicos	Controle de acesso por crachá, trancas
Administrativos	Políticas, treinamentos, auditorias

Análise Técnica de Itens e Controles

A tabela a seguir traz uma análise por setor da empresa:

Tabela de Análise

Item	Ativos Envolvidos	Riscos Identificados	Princípio da Segurança Afetado	Categoria de Controle (ISO 27001)	Propostas de Controle
2 – Escritório	Laptops com Windows 11, Wi-Fi corporativo	Acesso não autorizado à rede, senhas fracas, malware	Confidencialidade, Integridade	Técnico	Criptografia, senhas fortes, autenticação multifator, firewall local
3 – Sala de Reuniões	Wi-Fi de visitantes, Quadro branco	Exposição de dados sensíveis, acesso não autorizado	Confidencialidade	Técnico / Organizacional	Segmentação da rede, políticas de uso, auditoria de reuniões
4 – Sala de Suporte de TI	Estações Linux, Rede cabeada	Acesso físico indevido, uso indevido dos sistemas	Confidencialidade, Integridade, Disponibilidade	Físico / Técnico	Controle de acesso com crachá, logs de acesso, hardening dos sistemas
6 – Datacenter	Hardware, infraestrutura física, racks	Furto de equipamentos, falha elétrica, sabotagem	Disponibilidade, Confidencialidade	Físico	CFTV, nobreaks, tranca biométrica, acesso restrito
7 – Servidores	Sistema de Vendas (Linux), E-mail corporativo (Linux), Arquivos (Windows Server)	Exploração de serviços, vazamento, negação de serviço	Confidencialidade, Disponibilidade	Técnico	Firewall, IDS, backups regulares, controle de portas e serviços
8 – Roteador (Gateway)	Roteador com acesso à internet	Ataques MITM, acesso remoto não autorizado	Confidencialidade, Integridade	Técnico	Atualização de firmware, uso de VPN, ACLs, senhas fortes

Respostas Técnicas e Estratégicas

Item 1 – Portaria: Há risco de ataque físico?

Sim. O acesso irrestrito a visitantes permite que um atacante use engenharia social para se infiltrar, coletar dados ou até instalar dispositivos maliciosos.

Recomendações:

Zona de visitante separada
Vigilância ativa (CFTV)
Crachá com controle por tempo ou área

Item 2 – Acesso remoto dos funcionários

Risco: O protocolo TCP/IP não criptografa dados. Isso expõe o tráfego a ataques do tipo MITM (Man-In-The-Middle).

Como o MITM ocorre:

Um invasor intercepta o tráfego em redes públicas (ex: Wi-Fi de hotel)
Pode capturar credenciais, redirecionar sessões ou injetar código malicioso

Solução recomendada:

VPN corporativa
Conexões seguras com TLS/SSL
Autenticação multifator (MFA)

Item 3 – Acesso de clientes ao sistema de vendas

Protocolo usado: HTTPS (porta 443)

Como funciona:

Baseado no protocolo TLS, garante criptografia de ponta-a-ponta
O servidor apresenta um certificado digital validado
Os dados trafegam de forma sigilosa e íntegra

Item 4 – Acesso sem fio exposto

Um visitante mal-intencionado pode:

Tentar força bruta na senha do Wi-Fi
Criar um rogue access point (falso ponto de acesso)
Injetar pacotes para realizar ataque MITM

Controles recomendados:

WPA3 ativado
Ocultar SSID da rede interna
Isolamento de dispositivos por VLAN
Auditoria contínua com ferramentas como airodump-ng

Proteções para Endpoints

Local	SO	Proteções recomendadas
Escritório (Item 2)	Windows 11	BitLocker, Windows Defender ATP, política de senhas, atualizações automáticas
Suporte de TI (Item 4)	Linux	Criptografia LUKS, firewall UFW, Fail2Ban, SSH com chave pública

Roteiro de Teste de Penetração

Item	Pergunta-chave	Técnica de Teste
1 – Portaria	É possível entrar com crachá falsificado?	Teste de engenharia social e verificação do sistema de logs
5 – Access Point	A rede pode ser invadida sem autenticação?	`aircrack-ng`, `reaver` (WPS), sniffing com `Wireshark`
8 – Gateway	O roteador aceita conexões externas sem controle?	`nmap` (port scanning), tentativa de login via Telnet/SSH
9 – Acesso remoto	Os dados podem ser interceptados?	Ataque MITM com `ettercap`, verificação de VPN ou HTTPS

Conclusão

Este artigo demonstrou como a segurança da informação vai além da tecnologia – envolve pessoas, processos e políticas. Mesmo ambientes bem estruturados fisicamente podem ter graves vulnerabilidades digitais se não houver gestão de riscos e aplicação dos controles corretos.

Um sistema é tão seguro quanto seu elo mais fraco.
– Bruce Schneier

Escrito por

Daniel Felipe

Publicado em 09/06/2025 13:20

Mais Publicações

Homem idoso assiste à TV com imagem de protesto; luz vermelha o ilumina, com fumaça visível pela janela ao fundo.