Captulo 3
Esboo do captulo
Metas de aprendizagem
Descrever as principais questes ticas relacionadas
tecnologia da informao e identificar as situaes em que elas ocorrem. Identificar as muitas ameaas segurana da informao. Entender os vrios mecanismos de defesa usados para proteger os sistemas de informao. Explicar a auditoria e o planejamento de TI para a recuperao de acidentes.
das informaes.
Os aspectos de acessibilidade envolvem quem deve ter acesso s informaes e se essas pessoas devem pagar por esse acesso.
Protegendo a privacidade
Privacidade o direito de ficar em paz e de estar livre
do indivduo.
pessoas, on-line ou off-line, com a ajuda de computadores. Informaes pessoais em bancos de dados. As informaes sobre os indivduos esto sendo mantidas em muitos bancos de dados: bancos, companhias de eletricidade, agncias do governo etc.; os locais mais visveis so as agncias de informao de crdito.
Internet. Discusses eletrnicas como salas de batepapo e outros sites aparecem na Internet, dentro de intranets corporativas e em blogs. Um blog (Weblog) um dirio informal, pessoal, que constantemente atualizado e serve para leitura pblica em geral.
diretrizes de uma organizao com respeito proteo da privacidade dos consumidores, clientes e empregados. Aspectos internacionais de privacidade. Questes de privacidade que organizaes e governos internacionais precisam enfrentar quando as informaes se espalham por pases ou jurisdies.
Segurana: engloba as polticas, procedimentos e medidas tcnicas usados para impedir acesso no autorizado, alterao, roubo ou danos fsicos a sistemas de informao.
Uma ameaa a um recurso de informao qualquer perigo ao qual um sistema pode estar exposto.
Ameaas involuntrias
Erros humanos podem ocorrer no projeto do hardware
Ameaas intencionais
Normalmente, de natureza criminosa.
espies corporativos burlam sistemas de segurana construindo um relacionamento de confiana inapropriado com pessoal interno.
Espionagem ou invaso
A espionagem industrial ocorre em reas em que a pesquisa de informaes sobre os concorrentes perfeitamente legal dentro de certos limites.
Shoulder surfing olhar um monitor de computador ou tela de caixa eletrnico sobre os ombros de outra pessoa.
Extorso de informaes
Quando um invasor ou empregado que era confivel
rouba informaes de um sistema de computao e, depois, exige uma compensao para devolv-las ou
para no revel-las.
Sabotagem ou vandalismo
Um tipo comum de sabotagem on-line so as
tecnologia em nome da desobedincia civil a fim de protestar contra operaes, polticas ou aes de um indivduo, uma organizao ou um rgo governamental.
Ciberguerra. Guerra em que os sistemas de informao de um pas poderiam ser paralisados por um ataque em massa de software destrutivo.
Roubo de identidade
Crime em que algum usa as informaes pessoais de
outros, normalmente obtidas pela Internet, para criar uma falsa identidade e depois cometer fraude.
Crime de colarinho branco que est crescendo
rapidamente.
O maior problema para a pessoa cuja identidade foi
Ataques de software
Software malicioso (malware) projetado para
vrus, worms, cavalos de Tria, bombas lgicas, backdoors, negao de servio, software invasivo, phishing e pharming.
Worms. Programas destrutivos que se duplicam sem a necessidade de qualquer outro programa para garantir um ambiente seguro para a duplicao.
realizar uma ao destrutiva em determinada hora ou data. Back doors ou trap doors. Normalmente uma senha, conhecida apenas pelo atacante, que lhe permite acessar o sistema vontade, sem precisar executar quaisquer procedimentos de segurana. Negao de servio. envia tantas requisies de informao a um sistema alvo que o sistema no consegue lidar com elas, o que pode danificar o sistema inteiro.
Software invasivo
Pestware. Software clandestino que instalado no PC
por meio da conexo de Internet do usurio, sem seu conhecimento (por exemplo, keylogger, captura de senha).
pessoais valiosas, como nmeros e senhas de contas se disfarando como um e-mail de aparncia oficial.
Pharming. Adquire fraudulentamente o nome de
domnio do Website de uma empresa, e quando o endereo do site digitado, aparece o Website falso do atacante.
indivduos ou organizaes que protegida por leis de segredo comercial, patente e direito autoral.
Segredo comercial. Trabalho intelectual, como um
plano de marketing, que a empresa mantm sob segredo e no baseado na informao pblica.
Patente. Documento que concede ao proprietrio
criadores do produto intelectual a sua propriedade pela vida do criador e mais 70 anos.
Pirataria. Cpia de um programa de software sem
um recurso de informao.
Gerenciamento de risco: identificar, controlar e
avalia o valor de cada recurso a ser protegido, estima a probabilidade de cada recurso ser comprometido e compara os custos provveis do comprometimento de cada um com os custos de proteg-lo.
ameaas identificadas; e
2) desenvolver um meio de recuperao se a ameaa se
tornar realidade. Existem vrias estratgias de reduo de risco que as organizaes podem adotar.
Controles
Controle
de
acesso:
conjunto
de
polticas
procedimentos que uma empresa usa para evitar acesso indevido a seus sistemas por pessoas no autorizadas dentro e fora da organizao
Avaliao de controles. Problemas na segurana e
Controles (continuao)
Controles gerais. So para proteger o sistema
recursos de computador.
Controles de acesso. Restrio dos indivduos no
autorizados de usarem recursos do computador; usam biomtricos e controles de senha para identificao do usurio.
Controles (continuao)
Autenticao: capacidade de saber se uma pessoa quem ela declara ser.
Token: dispositivo fsico, parecido com um carto de identificao, para provar a identidade do usurio. Smart card: dispositivo, parecido com um carto de crdito, que contm um chip com as permisses de acesso. Autenticao biomtrica: medio de trao fsico ou comportamental.
Controles (continuao)
Controle de comunicaes (redes). Proteger o
autorizao.
Firewalls. Sistema que impe poltica de controle de
Controles (continuao)
Todos os sistemas de criptografia utilizam uma chave.
Criptografia simtrica. O remetente e o destinatrio
computador seja identificado com preciso e oferece as chaves pblicas para cada computador.
Controles (continuao)
Redes privativas virtuais. Usa a Internet para
transportar informaes dentro de uma empresa e entre parceiros de negcios, mas com mais segurana pelo
Controles (continuao)
Auditoria de sistemas de informao. Tarefa de
observadores independentes e imparciais para garantir que os sistemas de informao funcionem corretamente. Tipos de auditores e auditorias Internos. Realizado por auditores internos da empresa. Externos. Examina as descobertas da auditoria interna, bem como as entradas, processamento e sadas dos sistemas de informao. Auditoria. Exame de sistemas de informao, suas entradas, sadas e processamento.
Procedimento de auditoria
Auditoria em torno do computador significa verificar
no-break (UPS).
Hot sites. Externos para acesso a centros de dados
Gerenciamento de registros eletrnicos (electronic records management ERM): consiste em polticas, procedimentos e ferramentas para gerenciar a reteno, a distribuio e o armazenamento de registros eletrnicos.
Nos EUA existem leis especficas para a rea de sade, servios financeiros e bolsa de valores.
A percia forense computacional lida com os seguintes problemas: Recuperar dados de computadores sem prejudicar seu valor probatrio; Armazenar e administrar com segurana os dados eletrnicos recuperados; Encontrar informaes significativas num grande volume e dados eletrnicos; Apresentar as informaes em juzo.
Continuidade dos negcios identifica os processos de negcio crticos e determina planos de ao para lidar com funes essenciais caso os sistemas saiam do ar.