Você está na página 1de 27

Segurana em Sistemas

de Informao

7.1

2007 by Prentice Hall

Sistemas de Informao Gerenciais


Segurana em Sistemas de Informao
OBJETIVOS DE ESTUDO

Analisar por que sistemas de informao


precisam de proteo especial contra destruio,
erros e uso indevido
Avaliar o valor empresarial da segurana e do
controle
Projetar uma estrutura organizacional para
segurana e controle
Avaliar as mais importantes tecnologias e
ferramentas disponveis para salvaguardar
recursos de informao
7.2

2007 by Prentice Hall

Sistemas de Informao Gerenciais


Segurana em Sistemas de Informao
Phishing: um Novo e Caro Hobby da Internet

Problema: Grande nmero de usurios de servios


financeiros on-line vulnerveis, facilidade de criar sites
falsos
Solues: Implantar software antiphishing e servios e
sistema de autenticao multinvel para identificar
ameaas e reduzir tentativas de phishing
Implantar novas ferramentas, tecnologias e
procedimentos de segurana, alm de educar os
consumidores, aumenta a confiabilidade e a confiana
dos clientes
Demonstra o papel da TI no combate aos crimes de
informtica
Ilustra a tecnologia digital como parte de uma soluo
multinvel assim como suas limitaes em conquistar
consumidores desconfiados
7.3

2007 by Prentice Hall

Sistemas de Informao Gerenciais


Segurana em Sistemas de Informao
Phishing: um Novo e Caro Hobby da Internet

Sesso Interativa: Phishing


Discuta sobre e-mails suspeitos que os
participantes da classes tm recebido:
O que torna determinado e-mail suspeito?
Voc costuma abrir e-mails suspeitos? Quais so as
conseqncias dessa ao?
Voc costuma reportar e-mails suspeitos a algum?
Que medidas voc tem adotado para proteger-se do
phishing?
7.4

2007 by Prentice Hall

Sistemas de Informao Gerenciais


Segurana em Sistemas de Informao
Vulnerabilidade dos Sistemas e Uso Indevido

Um computador desprotegido conectado Internet


pode ser danificado em poucos segundos
Segurana: polticas, procedimentos e medidas
tcnicas usados para impedir acesso no
autorizado, alterao, roubo ou danos fsicos a
sistemas de informao
Controles: mtodos, polticas e procedimentos
organizacionais que garantem a segurana dos
ativos da organizao, a preciso e a
confiabilidade de seus registros contbeis e a
adeso operacional aos padres administrativos
7.5

2007 by Prentice Hall

Sistemas de Informao Gerenciais


Segurana em Sistemas de Informao
Vulnerabilidade dos Sistemas e Uso Indevido

Por que os Sistemas So Vulnerveis


Problemas de hardware (quebras, erros de
configurao, danos por uso imprprio ou crime)
Problemas de software (erros de programao,
erros de instalao, mudanas no autorizadas)
Desastres (quedas de energia, enchentes,
incndios etc.)
Vulnerabilidades da Internet
Desafios da segurana sem fio
7.6

2007 by Prentice Hall

Sistemas de Informao Gerenciais


Segurana em Sistemas de Informao
Vulnerabilidade dos Sistemas e Uso Indevido

Vulnerabilidades e Desafios de Segurana Contemporneos

Normalmente, a arquitetura de uma aplicao baseada na


Web inclui um cliente Web, um servidor e sistemas de
informao corporativos conectados a bancos de dados.
Cada um desses componentes apresenta vulnerabilidades
e desafios de segurana. Enchentes, incndios, quedas de
energia e outros problemas tcnicos podem causar
Figura
interrupes em qualquer ponto da rede.

7.7

7.1
2007 by Prentice Hall

Sistemas de Informao Gerenciais


Segurana em Sistemas de Informao
Vulnerabilidade dos Sistemas e Uso Indevido

Software Mal-intencionado: Vrus, Worms, Cavalos


de Tria e Spyware
Malware
Vrus
Worms
Cavalos de Tria
Spyware
Key loggers (registradores de teclas)

7.8

2007 by Prentice Hall

Sistemas de Informao Gerenciais


Segurana em Sistemas de Informao
Vulnerabilidade dos Sistemas e Uso Indevido

Sesso Interativa: Software Mal-intencionado


Visite o site do Panda Software em
www.pandasoftware.com
Quais so os principais vrus em termos de taxa de infeco?
Quais so as ameaas de vrus mais recentes?
Leia descries dos principais vrus e das ameaas mais
recentes
O que os downloads do Panda Software oferecem para ajudar
os usurios a proteger e a reparar seus computadores?
Compare e contraste o contedo disponvel no site do Panda
Software com as ofertas do site da Symantec em
www.symantec.com
7.9

2007 by Prentice Hall

Sistemas de Informao Gerenciais


Segurana em Sistemas de Informao
Vulnerabilidade dos Sistemas e Uso Indevido

Hackers e Cibervandalismo
Hackers versus crackers
Cibervandalismo
Spoofing
Sniffing
Ataque de recusa de servio (DoS)
Ataque Distribudo de Recusa de Servio (DDoS)
Botnets (redes de robs)
7.10

2007 by Prentice Hall

Sistemas de Informao Gerenciais


Segurana em Sistemas de Informao
Vulnerabilidade dos Sistemas e Uso Indevido

Chantagem Ciberntica e Redes de Zumbis: Novas


Ameaas dos Ataques DoS
Leia a seo Organizaes em Destaque e ento
discuta as seguintes questes:
Qual problema as empresas deste estudo de caso
enfrentaram? Como elas o detectaram? Como ele afetou
seus negcios?
Quais eram as solues disponveis para resolver o
problema?
Que outras solues poderiam ter sido consideradas?
Como as questes humanas, organizacionais e
tecnolgicas contriburam para o problema?
7.11

2007 by Prentice Hall

Sistemas de Informao Gerenciais


Segurana em Sistemas de Informao
Vulnerabilidade dos Sistemas e Uso Indevido

Crimes de Informtica e Ciberterrorismo


Crime de informtica: Quaisquer violaes da
legislao criminal que envolvam um conhecimento
de tecnologia da informtica em sua perpetrao,
investigao ou instaurao de processo
Departamento de Justia dos Estados Unidos
As empresas norte-americanas perdem 14 bilhes de
dlares por ano para o cibercrime
Roubo de identidade (phishing, evil twins, pharming,
uso indevido do computador [spamming])
Ciberterrorismo e guerra ciberntica
7.12

2007 by Prentice Hall

Sistemas de Informao Gerenciais


Segurana em Sistemas de Informao
Vulnerabilidade dos Sistemas e Uso Indevido

Prejuzo Mundial Causado por Ataques Digitais

Este grfico mostra a mdia anual


estimada dos prejuzos causados por
hacker, malware e spam no mbito
mundial, desde 1998. Os nmeros
baseiam-se em dados do mi2G e dos
autores.

7.13

Figura 7.3
2007 by Prentice Hall

Sistemas de Informao Gerenciais


Segurana em Sistemas de Informao
Vulnerabilidade dos Sistemas e Uso Indevido

Ameaas Internas: Funcionrios


Ameaas segurana freqentemente se originam
dentro da empresa
Engenharia social
Vulnerabilidades do Software
Softwares comerciais contm falhas que criam
vulnerabilidades de segurana
Patches (remendos)

7.14

2007 by Prentice Hall

Sistemas de Informao Gerenciais


Segurana em Sistemas de Informao
Valor Empresarial da Segurana e do Controle

O no funcionamento dos sistemas de computador


pode levar a perdas significativas ou totais das
funes empresariais
As empresas esto agora mais vulnerveis do que
nunca
Uma brecha de segurana pode reduzir o valor de
mercado de uma empresa quase imediatamente
Segurana e controles inadequados tambm
produzem problemas de confiabilidade
7.15

2007 by Prentice Hall

Sistemas de Informao Gerenciais


Segurana em Sistemas de Informao
Valor Empresarial da Segurana e do Controle

Requisitos Legais e Regulatrios para o


Gerenciamento de Registros Eletrnicos
Gerenciamento de registros eletrnicos (electronic
records management ERM): polticas,
procedimentos e ferramentas para gerenciar a
reteno, a distribuio e o armazenamento de
registros eletrnicos
HIPAA
Lei Gramm-Leach-Bliley
Lei Sarbanes-Oxley
7.16

2007 by Prentice Hall

Sistemas de Informao Gerenciais


Segurana em Sistemas de Informao
Valor Empresarial da Segurana e do Controle

Prova Eletrnica e Percia Forense Computacional


Grande parte das provas para aes legais so
encontradas hoje em formato digital
O controle adequado de dados pode economizar
dinheiro quando for necessrio apresentar
informaes
Percia forense computacional: procedimento
cientfico de coleta, exame, autenticao,
preservao e anlise de dados mantidos em ou
recuperados por meios de armazenamento digital,
de tal maneira que as informaes possam ser
usadas como prova em juzo
Dados ambientes
7.17

2007 by Prentice Hall

Sistemas de Informao Gerenciais


Segurana em Sistemas de Informao
Como Estabelecer uma Estrutura para Segurana e Controle

ISO 17799
Avaliao de risco
Poltica de segurana
Chief security officer (CSO)
Poltica de uso aceitvel (AUP)
Polticas de autorizao
Sistemas de gerenciamento de autorizao

7.18

2007 by Prentice Hall

Sistemas de Informao Gerenciais


Segurana em Sistemas de Informao
Como Estabelecer uma Estrutura para Segurana e Controle

Como Assegurar a Continuidade dos Negcios


Downtime
Sistemas de computao tolerantes a falhas
Computao de alta disponibilidade
Computao orientada a recuperao
Plano da recuperao de desastres
Plano de continuidade dos negcios
Outsourcing da segurana (provedores de servios
de segurana gerenciada)
7.19

2007 by Prentice Hall

Sistemas de Informao Gerenciais


Segurana em Sistemas de Informao
Como Estabelecer uma Estrutura para Segurana e Controle

O Papel da Auditoria no Processo de Controle


Auditoria de sistemas
Identifica todos os controles que governam
sistemas individuais de informao e avalia sua
efetividade.
O auditor entrevista indivduos-chave e examina
os controles de aplicao, os controles gerais
de integridade e as disciplinas de controle.

7.20

2007 by Prentice Hall

Sistemas de Informao Gerenciais


Segurana em Sistemas de Informao
Tecnologias e Ferramentas para Garantir a Segurana

Controle de Acesso

7.21

Autenticao
Tokens
Smart cards
Autenticao biomtrica

2007 by Prentice Hall

Sistemas de Informao Gerenciais


Segurana em Sistemas de Informao
Tecnologias e Ferramentas para Garantir a Segurana

Novas Solues para o Gerenciamento de Identidade


Leia a seo Tecnologia em Destaque e ento discuta
as seguintes questes:
Quais problemas a Monsanto, a Clarian e outras empresas
estavam enfrentando com o gerenciamento de identidade?
Qual era o impacto desses problemas? Como eles foram
resolvidos?
Quais eram as solues disponveis s empresas?
Quais questes humanas, organizacionais e tecnolgicas
precisaram ser abordadas no desenvolvimento das solues?
Voc acha que as solues escolhidas foram apropriadas? Por
qu?
7.22

2007 by Prentice Hall

Sistemas de Informao Gerenciais


Segurana em Sistemas de Informao
Tecnologias e Ferramentas para Garantir a Segurana

Firewalls, Sistemas de Deteco de Invaso e


Software Antivrus
Firewall: a combinao de hardware e software
que controla o fluxo de trfego que entra ou sai
da rede
Sistemas de deteco de invaso monitoram em
redes corporativas para detectar e deter intrusos
Software antivrus e antispyware software verifica
a presena de malware em computadores e
freqentemente tambm capaz de elimin-lo
7.23

2007 by Prentice Hall

Sistemas de Informao Gerenciais


Segurana em Sistemas de Informao
Tecnologias e Ferramentas para Garantir a Segurana

Um Firewall Corporativo

O firewall colocado entre a Internet


pblica ou outra rede pouco
confivel e a
rede privada da empresa, com a
inteno de proteger esta contra
trfego no autorizado.

7.24

Figura 7.6
2007 by Prentice Hall

Sistemas de Informao Gerenciais


Segurana em Sistemas de Informao
Tecnologias e Ferramentas para Garantir a Segurana

Segurana em Redes Sem Fio


A segurana WEP pode ser melhorada quando
usada com a tecnologia VPN
Especificaes Wi-Fi Alliance/Acesso Protegido
(WPA)
Protocolo de Autenticao Extensvel (EAP)
Proteo contra redes falsas

7.25

2007 by Prentice Hall

Sistemas de Informao Gerenciais


Segurana em Sistemas de Informao
Tecnologias e Ferramentas para Garantir a Segurana

Sesso Interativa: Segurana em Redes Sem Fio


Voc utiliza tecnologia sem fio?
Em caso positivo, que tipos de informao voc
transmite atravs da rede sem fio?
Que tipos de informao voc evita enviar
atravs de redes sem fio? Por que voc se
preocupa em enviar esses tipos de informao?
Se voc no tem acesso a uma rede sem fio, isso
se deve a questes de segurana?

7.26

2007 by Prentice Hall

Sistemas de Informao Gerenciais


Segurana em Sistemas de Informao
Tecnologias e Ferramentas para Garantir a Segurana

Criptografia e Infra-Estrutura de Chave Pblica


Criptografia: transformar textos comuns ou dados em
um texto cifrado, que no possa ser lido por ningum
a no ser o remetente e o destinatrio desejado

7.27

Secure Sockets Layer (SSL)


Transport Layer Security (TLS)
Secure Hypertext Transfer Protocol (S-HTTP)
Criptografia de chave pblica
Assinatura digital
Certificado digital
Intra-estrutura de chave pblica (PKI)
2007 by Prentice Hall