Estruturar a infraestrutura da área de TI na transição para o trabalho remoto com ferramentas open source pode ser a solução para o desafio que muitas empresas enfrentam diante da pandemia COVID-19 em 2020.
Com a transição forçada e abrupta para o trabalho remoto muitas empresas se viram precisando improvisar em seu planejamento operacional e de gestão de Segurança da Informação.
A realocação de verba muitas vezes é complicada e justificar novos investimentos também. Nesse cenário surgem as ferramentas open source como uma alternativa para manter a segurança e produtividade diante das mudanças ocasionadas pelo trabalho remoto nas empresas.
A transformação tecnológica mudou a forma como a sociedade trabalha, faz negócios, se relaciona e cuida de sua segurança digital. É também o que tem permitido às empresas manterem a continuidade de suas atividades em meio à pandemia causada pelo Coronanvírus.
A pandemia fez com que muitas empresas adotassem o estilo de trabalho home-office. Ao mesmo tempo existem uma infinidade de fabricantes oferecendo soluções variadas de ferramentas.
É possível proporcionar uma experiência ótima e sem incremento de custos no trabalho remoto com ferramentas open source. Muita gente não sabe mas existem soluções open source de VPN, colaboração, armazenamento de dados, sistemas operacionais, reuniões online e trabalho ágil.
Neste artigo você encontrará tudo o que o coração de um escritório em casa deseja tanto para produtividade como para Segurança da Informação.
Ferramentas open source para produtividade da área de negócios
Gestão de Processos e Kanban: WeKan
Para acompanhar o andamento dos projetos e atividades, é necessário ter um espaço para gestão das tarefas. Algo que qualquer pessoa possa acompanhar seu status, responsáveis e prazos
O Wekan é uma ferramenta para gerenciamento de projetos e colaboração de equipes, através da metodologia Kanban. Possui diversas funcionalidades similares ao já conhecido Trello, com o diferencial de ser open source e permitir que as informações sejam hospedadas na estrutura da empresa ou nuvem privada.
A ferramenta habilita o trabalho com equipes presenciais, remotas e mistas, viabilizando planos de ações. Seu quadro kanban é bastante visual, e permite que as atividades sejam associadas aos colaboradores, sejam adicionados anexos, definidos prazos, permite colorir o cartão da atividade (para classificação, por prioridade ou outro critério), entre outras possibilidades.
É possível organizar quadros pessoais, quadros de equipe, e quadros para projetos específicos de equipes multidisciplinares, possibilitando uma maior granularidade e organização.
A solução está disponível para diversos servidores, sistemas operacionais e containers.
Nuvem Privada All-in-one: Nextcloud
A Nextcloud é uma ferramenta de armazenamento de arquivos em nuvem privada que possibilita integração com servidores SMB, IMAP, permitindo também a edição online de documentos. Com a iminência da LGPD, permitir que os usuários guardem dados da empresa em seus computadores particulares seria um tremendo “tiro no pé” e por isso essa se torna um desejo de qualquer gestor de privacidade de dados.
O Nextcloud é uma solução 100% código aberto e fortemente em conformidade com as melhores práticas de segurança e regulamentos de privacidade.
Compartilhar e colaborar em documentos, enviar e receber e-mails, gerenciar agenda, conversar com vídeo e gerenciar quadros Kanban (ele integra com WeKan), são algumas das funcionalidades do NextCloud, mas não é só isso. Podemos também destacar as seguintes funcionalidades:
- Videoconferência (com recurso de compartilhamento de tela);
- Criação de Círculos de contatos (equipes) para facilitar as atividades dentro do NextCloud;
- Colaboração em ferramentas de escritório por meio de integração com o LibreOffice;
- Autenticação de usuários por meio de LDAP, Active Directory, serviços de SSO como SAML e KeyCloak;
- Possui aplicativos para sistemas operacionais e smartphones que permitem a sincronização de dados;
- Fornece aos administradores da plataforma painéis de monitoramento da saúde do ambiente, bem como auditar logs de atividades de usuários.
Videoconferência e reuniões online: Jitsi
O impacto desta pandemia no convívio social é um fato inegável, ouvimos isso o tempo todo. Como seriam feitas as reuniões de equipes para planejamento, execução e avaliação de projetos se não fosse por meio de videoconferência? Soluções como Meet da Google, Teams da Microsoft e o Webex da Cisco são ótimas, mas os custos e em alguns casos a usabilidade podem dificultar essa experiência. E o que dizer do Zoom que teve um boom de popularidade (e no valor da ações) da noite para o dia e sofreu com as consequências: consecutivas falhas de segurança, invasões em reuniões, violações de privacidade, etc.
O Jitsi é uma solução livre que une dois pontos importantes: segurança e facilidade. O que você acharia de realizar uma videoconferência profissional facilmente através apenas de uma URL https://meet.jit.si/, sem precisar se registrar e com hospedagem local? Veja o que essa ferramenta open source oferece:
- Link e senha exclusivos para cada reunião;
- Permite até 70 participantes;
- Áudio e o vídeo são criptografados usando o DTLS-SRTP, desde a origem até o receptor;
- Todos os usuários são moderadores das salas;
- Permite gravação das reuniões (para usuários de Dropbox).
Colaboração: LibreOffice Online
Quais são os principais produtos que te vem à cabeça quando o assunto é ferramenta de escritório com colaboração on-line? Office 365? G-Suite?
Com certeza, estas duas suítes de ferramentas são excelentes e colaboram demais para desenvolvimento de trabalho em conjunto entre equipes. Mas existe uma solução open source excelente e que pode ajudar neste momento de crise sanitária, que talvez você ainda não conheça: o LibreOffice Online.
O projeto LibreOffice possui em sua versão para desktop editores de texto (Writer), planilhas eletrônicas (Calc), apresentação eletrônica (Impress), entre outros. Recentemente a fundação desenvolveu a suíte LibreOffice Online, que permite integração com ferramentas de compartilhamento de arquivos e fornece exibição e edição visual colaborativa de uma variedade de tipos de documentos em um navegador da web.
Audioconferência: Mumble
O Mumble é um ferramenta opensource de baixa latência, alta qualidade para realização de audioconferências em organizações que têm dificuldade de largura de banda.
Inicialmente criado com a intenção de facilitar a interação entre gamers o aplicativo caiu nas graças dos administradores de rede nesse período de trabalho remoto.
Possui interface Web para adicionar e convidar novos usuários para um audiochat. A aplicação também permite encriptar o chat e controlar o acesso a uma conversa, tudo isso open source.
Aplicativo de Notas: Joplin
Essa é uma boa alternativa open source ao Evernote. Conheça o Joplin!
O Joplin é um aplicativo de tomada de notas e de tarefas, com clientes para desktop Linux, Windows, MacOS e para dispositivos móveis com Android e iOS. Principais funcionalidades:
- Permite sincronização de notas multiplataformas;
- Adiciona notas e tarefas rapidamente
- Funciona offline;
- Sincroniza notas via Nextcloud;
- Integração de gráficos e hiperlinks
- Suporte de anexo de arquivos.
Ferramentas open source para Segurança da Informação
Bom, agora você já conhece diversas ferramentas open source que podem fornecer recursos para que seus colaboradores trabalhem remotamente sem perder a produtividade, conheça algumas ferramentas que ajudam a manter o seu ambiente estável e seguro nesta nova jornada.
VPN: OpenVPN
Na prática do trabalho remoto a VPN é primordial para que os colaboradores acessem os serviços de rede e as informações sensíveis da empresa normalmente, de onde quer que estejam. A única ferramenta que precisam para isso é o seu dispositivo (notebook corporativo) e uma conexão com a Internet.
O modelo VPN Client conecta usuários remotos pontuais à rede. É o mais recomendado para o home office, pois geralmente o VPN Client é configurado no dispositivo do colaborador, permitindo acesso à rede da empresa com segurança.
O OpenVPN possui dois modos de autenticação:
- Chave estática: utiliza uma chave estática pré-compartilhada. Opção ideal para o modelo Matriz/Filial.
- TLS: utiliza certificados SSL /TLS + para autenticação e troca de chaves entre cliente e servidor.
Auditoria e Gerenciamento de Logs: Graylog
Estabelecer o monitoramento comportamental de computadores, servidores, redes, sistemas, aplicativos e outros recursos de informática é fator predominante de êxito para manter uma estrutura estável e operacional durante o trabalho remoto.
A melhor forma de entender o funcionamento de um servidor e seus serviços é através da visualização de logs. Desta maneira é possível verificar todos os eventos, erros e avisos que ocorreram em um determinado período. Esta atividade faz parte do plano de resposta a incidente de segurança e deve oferecer suporte à distância e interno 24 x 7.
O Graylog é uma ferramenta opensource que centraliza logs de uma infinidade de soluções, permitindo coletar, aprimorar, armazenar e analisar o histórico, estatísticas e comparativos. Isso contribuindo de maneira significativa para identificar e/ou antecipar problemas e necessidades. Funcionalidades principais:
- Cria facilmente dashboards customizadas para visualização de métricas e tendências;
- Permite construir consultas rápidas para busca de ameaças;
- Envio de mensagem em caso de paralisação de rede;
- Uso de extratores permite combinar fluxos de entradas de logs para criar dashboards correlacionadas;
- Permite a análise desde cargas de trabalho pequenas até dezenas de terabytes;
- Integra com soluções de mercado por meio do syslog-ng.
Scanner de vulnerabilidade: OpenVAS
Identificar, classificar, priorizar e corrigir vulnerabilidades em sistemas é uma tarefa complexa e que deve ser acompanhada diariamente pelo time de segurança da informação das organizações. Criminosos cibernéticos têm atuado massivamente neste período de pandemia em busca de brechas em servidores que permitam a efetividade de seus ataques. Empresas que não contam com um plano de gestão de vulnerabilidade, estão passando sérias dificuldades neste momento.
Nessus e Qualys são ferramentas proprietárias já bastante conhecidas e que possibilitam analisar ambientes de missão crítica, e auxiliar em todas as etapas do plano de gestão de vulnerabilidades. Contudo, o propósito deste artigo não é puxar sardinha para fabricantes. Vamos falar sobre o OpenVAS, uma solução open source completa para avaliação de segurança de sistemas.
Seus recursos incluem testes não autenticados, testes autenticados, vários protocolos alto e baixo nível, ajuste de desempenho para verificações em larga escala e uma poderosa linguagem de programação interna para implementar qualquer tipo de teste de vulnerabilidade.
O banco de dados de vulnerabilidades do OpenVAS é abastecido diariamente pela comunidade, sendo formado por mais de 50.000 testes.
Distribuições como o Kali Linux já possuem essa ferramenta instalada por padrão, que pode ser usada a partir da linha de comando (OpenVAS CLI) ou de uma interface web (Greenbone Security Assistant).
Através das interfaces é possível interagir com dois serviços: OpenVAS Manager e OpenVAS Scanner. O OpenVAS Manager, ou gerente, é o serviço que executa tarefas como filtragem ou classificação dos resultados da análise, controle dos bancos de dados que contêm a configuração ou os resultados da exploração e administração dos usuários, incluindo grupos e funções.
Por outro lado, o OpenVAS Scanner executa os chamados NVT (Network Vulnerability Tests), ou seja, os testes de vulnerabilidade de rede, compostos por rotinas que verificam a presença de um problema de segurança específico, conhecido ou potencial, nos sistemas.
Com a conclusão do scanner, os resultados das vulnerabilidades priorizadas são obtidos de acordo com o impacto nos sistemas (alto, médio ou baixo) e sua quantidade para cada categoria.
Conclusão
O trabalho remoto é uma novidade para uma boa parte das organizações. O que pode estar gerando uma grande revolução por um motivo ou outro. Este tempo de mudança, é uma grande oportunidade para alguns, e um grande desafio para outros. Você pode optar por soluções proprietárias e também conhecer melhor a cultura de softwares livres e o que o mundo opensource tem para oferecer para complementar o seu stack de tecnologias.
Se você é uma dessas pessoas que se interessa pela cultura do open source, um começo é experimentar mudar o sistema operacional. Vá de Linux e de uma chance ao pinguim!
Existem distribuições Linux excelentes, construídas para trabalho sério, permitindo o avanço das habilidades dos usuários. Pegue uma cópia do Ubuntu, Mint ou uma assinatura de subscrição do Red Hat Enterprise Linux, e experimente um SO de código aberto e gratuito. Quando você se sentir confortável com a vida remota nele, você finalmente será um profissional em Linux!
—
Sobre o autor:
Vitor Luiz é Gestor de Segurança da Informação na Saneago, sócio da UNK Digital e idealizador do podcast Papo de Hackers. Membro da Associação Nacional de Profissionais de Privacidade de Dados, possui 20 anos de experiência em infraestrutura, segurança, privacidade e proteção de dados, gestão de equipes e projetos de TI. Participou do GAT CYBER TALKS #8 sobre ferramentas open source na transição para o trabalho remoto no contexto de Gestão de Segurança da Informação. Veja abaixo essa edição:
