Introduo a Sistemas de Informao

Introduo Tecnologia da Informao

Turban, Rainer e Potter 2007, Elsevier Ltda.

Introduo a Sistemas de Informao

Captulo 3

tica, privacidade e segurana da informao

Turban, Rainer e Potter 2007, Elsevier Ltda.

Introduo a Sistemas de Informao

Esboo do captulo

3.1 Questes ticas

3.2 Ameaas segurana da informao 3.3 Protegendo recursos de informao

Turban, Rainer e Potter 2007, Elsevier Ltda.

Introduo a Sistemas de Informao

Metas de aprendizagem
Descrever as principais questes ticas relacionadas

tecnologia da informao e identificar as situaes em que elas ocorrem. Identificar as muitas ameaas segurana da informao. Entender os vrios mecanismos de defesa usados para proteger os sistemas de informao. Explicar a auditoria e o planejamento de TI para a recuperao de acidentes.

Introduo a Sistemas de Informao

3.1 Questes ticas

tica. Um ramo da filosofia que lida com o que

considerado certo e errado.

Um cdigo de tica um conjunto de princpios

destinados a guiar a tomada de decises pelos membros da organizao.

Introduo a Sistemas de Informao

As quatro categorias das questes ticas

Os aspectos de privacidade envolvem coletar, armazenar e disseminar informaes sobre pessoas.

Os aspectos de exatido envolvem a autenticidade, a fidelidade e

a correo das informaes coletadas e processadas.

Os aspectos de propriedade envolvem a propriedade e o valor

das informaes.

Os aspectos de acessibilidade envolvem quem deve ter acesso s informaes e se essas pessoas devem pagar por esse acesso.

Introduo a Sistemas de Informao

Protegendo a privacidade
Privacidade o direito de ficar em paz e de estar livre

de invases pessoais injustificveis.

As decises judiciais em muitos pases tm seguido

duas regras praticamente risca

O direito de privacidade no absoluto. A privacidade precisa ser

contrastada com as necessidades da sociedade.

O direito do pblico de saber est acima do direito de privacidade

do indivduo.

Introduo a Sistemas de Informao

Protegendo a privacidade (continuao)

Vigilncia eletrnica. Monitorar as atividades das

pessoas, on-line ou off-line, com a ajuda de computadores. Informaes pessoais em bancos de dados. As informaes sobre os indivduos esto sendo mantidas em muitos bancos de dados: bancos, companhias de eletricidade, agncias do governo etc.; os locais mais visveis so as agncias de informao de crdito.

Introduo a Sistemas de Informao

Protegendo a privacidade (continuao)

Informaes em fruns e grupos de discusso da

Internet. Discusses eletrnicas como salas de batepapo e outros sites aparecem na Internet, dentro de intranets corporativas e em blogs. Um blog (Weblog) um dirio informal, pessoal, que constantemente atualizado e serve para leitura pblica em geral.

Introduo a Sistemas de Informao

Protegendo a privacidade (continuao)

Cdigos e polticas de privacidade. As so as

diretrizes de uma organizao com respeito proteo da privacidade dos consumidores, clientes e empregados. Aspectos internacionais de privacidade. Questes de privacidade que organizaes e governos internacionais precisam enfrentar quando as informaes se espalham por pases ou jurisdies.

Introduo a Sistemas de Informao

3.2 Ameaas segurana da informao

Segurana: engloba as polticas, procedimentos e medidas tcnicas usados para impedir acesso no autorizado, alterao, roubo ou danos fsicos a sistemas de informao.

Uma ameaa a um recurso de informao qualquer perigo ao qual um sistema pode estar exposto.

A exposio de um recurso de informao diz respeito ao

prejuzo, perda ou ao dano que podem ocorrer se uma ameaa comprometer esse recurso. Vulnerabilidade de um sistema a possibilidade de ele sofrer algum dano devido a uma ameaa. Risco a probabilidade de uma ameaa ocorrer. Os controles de sistemas de informao so os procedimentos, dispositivos ou software destinados a evitar o comprometimento do sistema.

Introduo a Sistemas de Informao

Ameaas involuntrias
Erros humanos podem ocorrer no projeto do hardware

e/ou sistema de informao.

Tambm podem ocorrer na programao, no teste, na

coleta de dados, na entrada de dados, na autorizao e nos procedimentos.

Contribuem para mais de 50% dos problemas

relacionados a controle e segurana nas organizaes.

Introduo a Sistemas de Informao

Ameaas involuntrias (continuao)

Riscos ambientais incluem terremotos, furaces,

inundaes, incndios (o risco mais comum), arcondicionado defeituoso, exploses etc.

As falhas no sistema de computao podem ocorrer

como resultado de uma fabricao ruim ou do uso de materiais defeituosos.

Introduo a Sistemas de Informao

Ameaas intencionais
Normalmente, de natureza criminosa.

Cibercrimes so atividades fraudulentas cometidas com

o uso de computadores e redes de comunicao, particularmente a Internet.

Um cibercrime mdio envolve cerca de US$ 600.000,

de acordo com o FBI.

Introduo a Sistemas de Informao

Ameaas intencionais (continuao)

Hacker. Uma pessoa externa que invade um sistema

de computao, normalmente sem inteno de cometer um crime.

Cracker. Um hacker malicioso.
Engenharia social. Criminosos de computao ou

espies corporativos burlam sistemas de segurana construindo um relacionamento de confiana inapropriado com pessoal interno.

Introduo a Sistemas de Informao

Espionagem ou invaso

Quando um indivduo no-autorizado obtm acesso a

informaes que uma organizao est tentando proteger

A espionagem industrial ocorre em reas em que a pesquisa de informaes sobre os concorrentes perfeitamente legal dentro de certos limites.

Os governos em todo o mundo praticam espionagem industrial

contra empresas em outros pases.

Shoulder surfing olhar um monitor de computador ou tela de caixa eletrnico sobre os ombros de outra pessoa.

Introduo a Sistemas de Informao

Extorso de informaes
Quando um invasor ou empregado que era confivel

rouba informaes de um sistema de computao e, depois, exige uma compensao para devolv-las ou

para no revel-las.

Introduo a Sistemas de Informao

Sabotagem ou vandalismo
Um tipo comum de sabotagem on-line so as

atividades hacktivistas ou ciberativistas.

Os hacktivistas e ciberativistas usam a alta

tecnologia em nome da desobedincia civil a fim de protestar contra operaes, polticas ou aes de um indivduo, uma organizao ou um rgo governamental.

Introduo a Sistemas de Informao

Sabotagem ou vandalismo (continuao)

Ciberterrorismo um ataque premeditado e com motivao

poltica contra informaes, sistemas de computao, programas
de computador e dados, que resulta em violncia contra alvos civis por grupos subnacionais ou agentes clandestinos.

Ciberguerra. Guerra em que os sistemas de informao de um pas poderiam ser paralisados por um ataque em massa de software destrutivo.

Roubo a apropriao ilegal de algo que pertence a outra pessoa ou organizao.

Introduo a Sistemas de Informao

Roubo de identidade
Crime em que algum usa as informaes pessoais de

outros, normalmente obtidas pela Internet, para criar uma falsa identidade e depois cometer fraude.
Crime de colarinho branco que est crescendo

rapidamente.
O maior problema para a pessoa cuja identidade foi

roubada recuperar seu crdito perdido.

Introduo a Sistemas de Informao

Ataques de software
Software malicioso (malware) projetado para

danificar, destruir ou negar servio aos sistemas atingidos.

Os tipos mais comuns de ataque de software so os

vrus, worms, cavalos de Tria, bombas lgicas, backdoors, negao de servio, software invasivo, phishing e pharming.

Introduo a Sistemas de Informao

Ataques de software (continuao)

Vrus. Segmentos de cdigo de computador que realizam aes

variando do mero transtorno at a destruio.

Worms. Programas destrutivos que se duplicam sem a necessidade de qualquer outro programa para garantir um ambiente seguro para a duplicao.

Cavalos de Tria. Programas de software que se escondem

dentro de outros programas e s revelam seu comportamento

quando so ativados.

Introduo a Sistemas de Informao

Ataques de software (continuao)

Bombas lgicas. So programada para ser ativada e

realizar uma ao destrutiva em determinada hora ou data. Back doors ou trap doors. Normalmente uma senha, conhecida apenas pelo atacante, que lhe permite acessar o sistema vontade, sem precisar executar quaisquer procedimentos de segurana. Negao de servio. envia tantas requisies de informao a um sistema alvo que o sistema no consegue lidar com elas, o que pode danificar o sistema inteiro.

Introduo a Sistemas de Informao

Software invasivo
Pestware. Software clandestino que instalado no PC

atravs de canais no-confiveis.

Adware. Software projetado para ajudar a exibir

anncios pop-up na tela.

Spyware. Software que rene informaes do usurio

por meio da conexo de Internet do usurio, sem seu conhecimento (por exemplo, keylogger, captura de senha).

Introduo a Sistemas de Informao

Software invasivo (continuao)

Spamware. Elaborado para usar o computador como

uma plataforma de lanamento de spam.

Spam. E-mail no solicitado, geralmente com a

finalidade de anunciar produtos ou servios.

Cookies. Pequenas quantidades de informao que os

Web sites armazenam em seu computador, temporariamente ou mais ou menos permanentemente.

Introduo a Sistemas de Informao

Software invasivo (continuao)

Web bugs. So imagens grficas pequenas e

normalmente invisveis que so adicionadas a uma pgina da Web ou mensagem de e-mail.

Phishing. Usa o logro para adquirir informaes

pessoais valiosas, como nmeros e senhas de contas se disfarando como um e-mail de aparncia oficial.
Pharming. Adquire fraudulentamente o nome de

domnio do Website de uma empresa, e quando o endereo do site digitado, aparece o Website falso do atacante.

Introduo a Sistemas de Informao

Violaes propriedade intelectual

Propriedade intelectual. Propriedade criada por

indivduos ou organizaes que protegida por leis de segredo comercial, patente e direito autoral.
Segredo comercial. Trabalho intelectual, como um

plano de marketing, que a empresa mantm sob segredo e no baseado na informao pblica.
Patente. Documento que concede ao proprietrio

direitos exclusivos sobre uma inveno ou processo durante 20 anos.

Introduo a Sistemas de Informao

Violaes propriedade intelectual (continuao)

Direito autoral. Concesso legal que fornece aos

criadores do produto intelectual a sua propriedade pela vida do criador e mais 70 anos.
Pirataria. Cpia de um programa de software sem

fazer o pagamento ao proprietrio.

Introduo a Sistemas de Informao

3.3 Protegendo recursos de informao

Risco: Probabilidade de uma ameaa causar impacto a

um recurso de informao.
Gerenciamento de risco: identificar, controlar e

minimizar o impacto das ameaas.

Anlise de risco: processo pelo qual uma organizao

avalia o valor de cada recurso a ser protegido, estima a probabilidade de cada recurso ser comprometido e compara os custos provveis do comprometimento de cada um com os custos de proteg-lo.

Introduo a Sistemas de Informao

Protegendo recursos de informao (continuao)

Reduo de risco quando a organizao executa aes

concretas contra os riscos.

Ela tem duas funes:

1) implementar controles para prevenir a ocorrncia de

ameaas identificadas; e
2) desenvolver um meio de recuperao se a ameaa se

tornar realidade. Existem vrias estratgias de reduo de risco que as organizaes podem adotar.

Introduo a Sistemas de Informao

Estratgias de reduo de risco

Aceitao do risco: Aceitar o risco potencial, continuar

operando sem controle e absorver quaisquer danos que ocorram.

Limitao do risco: Limitar o risco por meio da

implementao de controles que minimizem o impacto da ameaa.

Transferncia do risco: Transferir o risco usando

outros meios para compensar a perda, como a contratao de seguros.

Introduo a Sistemas de Informao

Controles

Controle

de

acesso:

conjunto

de

polticas

procedimentos que uma empresa usa para evitar acesso indevido a seus sistemas por pessoas no autorizadas dentro e fora da organizao
Avaliao de controles. Problemas na segurana e

calcula os custos da implementao de medidas de controle adequadas.

Introduo a Sistemas de Informao

Controles (continuao)
Controles gerais. So para proteger o sistema

independentemente da aplicao especfica.

Controles fsicos. Proteo fsica das instalaes e

recursos de computador.
Controles de acesso. Restrio dos indivduos no

autorizados de usarem recursos do computador; usam biomtricos e controles de senha para identificao do usurio.

Introduo a Sistemas de Informao

Controles (continuao)
Autenticao: capacidade de saber se uma pessoa quem ela declara ser.
Token: dispositivo fsico, parecido com um carto de identificao, para provar a identidade do usurio. Smart card: dispositivo, parecido com um carto de crdito, que contm um chip com as permisses de acesso. Autenticao biomtrica: medio de trao fsico ou comportamental.

Introduo a Sistemas de Informao

Controles (continuao)
Controle de comunicaes (redes). Proteger o

movimento de dados atravs de redes e incluem controles de segurana de fronteira, autenticao e

autorizao.
Firewalls. Sistema que impe poltica de controle de

acesso entre duas redes.

Criptografia. Processo de converter uma mensagem

original em uma forma que no pode ser lida por ningum

exceto o destinatrio pretendido.

Introduo a Sistemas de Informao

Controles (continuao)
Todos os sistemas de criptografia utilizam uma chave.
Criptografia simtrica. O remetente e o destinatrio

usam a mesma chave.

Criptografia de chave pblica. Usa duas chaves

diferentes: uma chave pblica e uma chave privada.

Autoridade de certificao. Garante que cada

computador seja identificado com preciso e oferece as chaves pblicas para cada computador.

Introduo a Sistemas de Informao

Controles (continuao)
Redes privativas virtuais. Usa a Internet para

transportar informaes dentro de uma empresa e entre parceiros de negcios, mas com mais segurana pelo

uso de criptografia, autenticao e controle de acesso.

Controles de aplicao. Controles que protegem

aplicaes especficas e incluem: controles de entrada, processamento e sada.

Introduo a Sistemas de Informao

Controles (continuao)
Auditoria de sistemas de informao. Tarefa de

observadores independentes e imparciais para garantir que os sistemas de informao funcionem corretamente. Tipos de auditores e auditorias Internos. Realizado por auditores internos da empresa. Externos. Examina as descobertas da auditoria interna, bem como as entradas, processamento e sadas dos sistemas de informao. Auditoria. Exame de sistemas de informao, suas entradas, sadas e processamento.

Introduo a Sistemas de Informao

Procedimento de auditoria
Auditoria em torno do computador significa verificar

o processamento examinando sadas conhecidas usando entradas especficas.

Auditoria atravs do computador significa que

entradas, sadas e processamento so verificados.

Auditoria com o computador significa usar uma

combinao de dados de cliente, software de auditoria e hardware de cliente e de auditoria.

Introduo a Sistemas de Informao

Plano de recuperao de acidentes

Recuperao de acidentes. A cadeia de eventos

vinculando o planejamento proteo e recuperao, plano de recuperao de desastre.

Preveno de acidentes. Orientado para preveno,

no-break (UPS).
Hot sites. Externos para acesso a centros de dados

totalmente configurados que possuem cpias de seus dados e programas.

Introduo a Sistemas de Informao

Valor empresarial da segurana e do controle

Quando os sistemas de computadores no funcionam como previsto, as empresas que dependem fundamentalmente da informtica experimentam uma srie perda de negcios. As empresas precisam proteger no apenas os seus prprios ativos de informao, mas tambm de clientes, funcionrios e parceiros de negcios.

Introduo a Sistemas de Informao

Valor empresarial da segurana e do controle

Gerenciamento de registros eletrnicos (electronic records management ERM): consiste em polticas, procedimentos e ferramentas para gerenciar a reteno, a distribuio e o armazenamento de registros eletrnicos.
Nos EUA existem leis especficas para a rea de sade, servios financeiros e bolsa de valores.

Introduo a Sistemas de Informao

Valor empresarial da segurana e do controle

Prova eletrnica: grande parte das informaes das empresas atuais encontra-se no formato digital, por lei a empresa est obrigada a apresentar esses dados quando solicitada judicialmente. Percia forense computacional: procedimento cientfico de coleta, exame, autenticao, preservao e analise de dados mantidos (ou recuperados) em meios de armazenamento digital de forma que as informaes possam ser usadas como prova em juizo.

Introduo a Sistemas de Informao

Valor empresarial da segurana e do controle

A percia forense computacional lida com os seguintes problemas: Recuperar dados de computadores sem prejudicar seu valor probatrio; Armazenar e administrar com segurana os dados eletrnicos recuperados; Encontrar informaes significativas num grande volume e dados eletrnicos; Apresentar as informaes em juzo.

Introduo a Sistemas de Informao

Estrutura para segurana e controle

Assegurar a continuidade dos negcios: As empresas precisam tomar medidas adicionais para assegurar que seus sistemas e aplicativos estejam sempre disponveis. Downtime: termo usado para designar os perodos em que um sistema no est operante. Sistemas de computao tolerantes a falhas: incluem componentes redundantes de hardware, software e fornecimento de energia eltrica, criando um ambiente que oferece servio contnuo (backup do sistema).

Introduo a Sistemas de Informao

Estrutura para segurana e controle

Computao de alta disponibilidade: ajuda a empresa a se recuperar de um desastre. Envolve equipamentos reserva, processamento distribudo, alta capacidade de armazenamento e bons planos de recuperao de desastre e continuidade dos negcios.
Recuperao de desastres: questes preservao do funcionamento dos sistemas. tcnicas relacionadas

Continuidade dos negcios identifica os processos de negcio crticos e determina planos de ao para lidar com funes essenciais caso os sistemas saiam do ar.