Neste trabalho ser abordada toda a matria do 6 Semestre, dentro deste
contexto sero apresentados vrios recursos utilizados em dispositivos mveis, como a persistncia dos dados, threads e sincronia de processos. Ainda contexto dos sistemas mveis ser mostrado usabilidade de interfaces para dispositivos mveis, e podendo como isso trazer benefcios para o usurio, como a facilidade de uso, melhorando assim a forma como as pessoas interagem com estes dispositivos. Outro tema de suma importncia neste trabalho, fala sobre a gesta o e segurana no sistema de informao, onde sero descritos alguns critrios como engenharia social, vulnerabilidades, ameaas e ataques, bem como medidas de segurana e auditoria.
2 OBJETIVO Tem-se como objetivo desta produo textual o aprofundamento dos contedos estudados durante o semestre, bem como o aperfeioamento nas tcnicas e conceitos vistos no decorrer das matrias, obtendo insumos para confeco do Trabalho de Concluso de Curso.
10 habilite novamente. Com isso a CPU no far um chaveamento no momento em queo processo estiver na regio crtica, pois o chaveamento vem de uma interrupoatravs de um relgio.3.3.3 Variveis de BloqueioQuando uma vriavel "lock" estiver como 0, significa que a regiocrtica esta livre, e 1 esta ocupada. Assim, antes de entrar cada processo testa ovalor da varivel "lock", se for 0, coloca como 1 e entra na regio crtica, aps saircoloca o valor 0, se o valor j for 1, aguarda at ser 0.3.3.4 Alternncia EstritaNeste metodo, criada uma varivel "turn", com valor inicial 0, aimagem abaixo mostra dois processos 'a' e 'b' utilizando este metodo. Fonte: http://pt.wikipedia.org/wiki/Sincronia_de_processos Como "turn" esta como 0, o processo 'a' no fica "preso" no while, eassim executa a regio crtica, aps terminar, ele seta "turn" para 1 e parte para oresto do cdigo, caso ocorra um chaveamento e o processo 'b' tente executar aregio crtica antes que o processo 'a' sete "turn" como 1, ele ficara em um loop,apenas testando a variavel "turn"(espera ativa).3.3.5 Soluo de Peterson Antes do processo entrar na regio crtica ele executa oprocedimento enter_region(), com o seu nmero. E aps sair da regio crtica,executa leave_region().
11 3.3.6DeadlockDois ou mais processos ficam irreversivelmente bloqueados.3.3.7StarvationUm processo fica sempre no final na fila e no consegue seratendido, pois processos com maior prioridade "roubam" sua vez.3.4 USABILIDADE DE INTERFACES PARA DISPOSITIVOS MVEISUm questionamento comum sobre as melhores prticas de front-end/ usabilidade para dispositivos mveis o quanto elas so especficas ao contextomobile, pois muitas delas no se distinguem das diretrizes que vm sendo difundidash 20 anos. fato que grande parte das diretrizes so semelhantes, mas o quemuda a criticidade quando tratamos de mobile. Algumas recomendaes tornam-se mais graves e imperdoveis quando no so seguidas no projeto de interfacespara dispositivos mveis.Como exemplo, podemos usar a questo da densidadeinformacional. Em aplicaes que sero visualizadas em dispositivos mveis, ostextos devem ser concisos, eliminando informaes secundrias que podem ser irrelevantes. Ora, mas isso tambm vale para aplicaes visualizadas em desktop!
,voc pensa. Porm, para mobile, a conciso deve ser ainda maior e informaesque seriam aceitveis nas aplicaes web/desktop convencionais devem serremovidas de aplicaes mobile. A diretriz base a mesma: reduzir informaosecundria. O que diferencia o grau de severidade que isto representa neste outrocenrio.3.4.1 Recomendaes Crticas Para o Projeto de Interfaces MobileDesenvolver sites e aplicaes para mobile requer ateno paraalguns critrios que tem um grande impacto na forma com que as pessoasinteragem com estes dispositivos.
12 3.4.1.1 Reduzir clicksEsta parece ser uma recomendao bvia para ambiente mobile.Porm, quem j desenvolveu para mobile ou utiliza aplicaes nestes dispositivos,pense: voc j deve ter visto algum site que apresenta uma informao bem limitada na primeira tela com um link de leia mais, onde voc tem o esforo de clicar e esperar o carregamento do restante do contedo que voc necessita, que s vezespoderia ser resumido em apenas uma tela.Se em um projeto usual de interface as melhores prticas indicamque seria mais adequado disponibilizar toda a informao necessria em uma nicatela e poupar cliques do usurio, porque esta diferena em mobile? Por isso, deixaro contedo mais conciso crucial para que a informao possa ser apresentada demodo objetivo e o menos fragmentada possvel.3.4.1.2 Reduzir funcionalidadesRestringir a quantidade de funcionalidades, mantendo as que sonecessrias ao ambiente mobile, diminui a chance dos usurios se confundiremdiante de todas as possibilidades e opes oferecidas.3.4.1.3 Reduzir contedoDevido ao tamanho das telas, o contedo para mobile exige umacarga cognitiva maior e, portanto, pode ser at duas vezes mais difcil decompreender. Como a memria de curto prazo fraca, quanto mais os usuriostiverem que rolar para se lembrar de um contedo, menos eles o faro.3.4.1.4 Dar escolhas ao usurioTextos mais concisos e funcionalidades mais restritas sonecessrios. Mas importante manter um link para a verso convencional do site,caso o usurio precise acessar algum recurso que no esteja na verso mobile. Ousurio deve ter o direito de escolha sobre como ele deseja visualizar o site.
28
Planejamento do Projeto Integrado;
Recursos do Projeto;
Gerenciamento de Riscos do Projeto;
Planejamento da Qualidade do Projeto;
Controle de Mudanas no Projeto;
Mtodos de Planejamento de Garantia do Projeto;
Avaliao, Relatrios e Monitoramento do Desempenho doProjeto;
Concluso do Projeto.Por fim, importante ressaltar que a necessidade de controlar eauditar os recursos da tecnologia da informao e da comunicao nunca foi togrande. Para garantir segurana equalidadeem seus processos e servios necessrio verificao e controle constante.4.5.1 O Auditor de SistemasO auditor de sistemas verifica a eficcia dos controles eprocedimentos de segurana existentes, a eficincia dos processos em uso, acorreta utilizao dos recursos disponveis, assessorando a administrao naelaborao de planos e definio de metas, colaborando no aperfeioamento doscontroles internos, apontando deficincias e irregularidades que possamcomprometer a segurana e o desempenho organizacional.Com a larga utilizao da tecnologia para o armazenamento dasinformaes contbeis, financeiras e operacionais, o auditor de sistemas tem de seaprimorar no campo de atuao (processos) da organizao para extrair, analisarbanco de dadosenvolvidos e suportar decises das demais reas de auditoria. A necessidade global de referncias nesse assunto, para o exercciodessa profisso, promoveram a criao e desenvolvimento de melhores prticascomo COBIT, COSO, ISO 27001e ITIL. Atualmente a certificaoCISA
Certified Information Systems Auditor, oferecida pela ISACA
Information Systems and Control Association umadas mais reconhecidas e avaliadas por organismos internacionais, j que o processode seleo consta de uma prova extensa que requer conhecimentos avanados,alm de experincia profissional e a necessidade de manter-se sempre atualizado,
29 atravs de uma poltica de educao continuada (CPE) na qual o portador dacertificao deve acumular carga horria de treinamento por perodo estabelecido. A formao acadmica do auditor de sistemas pelos motivos acimaacaba sendo multidisciplinar: anlise de sistemas, cincia de computao,administrao com nfase em TI, advocacia com foco emDireito da informtica-direito digital e correlatos.
30 5 CONCLUSO Atravs da pesquisa e confeco deste trabalho foram apresentadosvrios recursos para dispositivos mveis, tais como a persistncia que acapacidade de persistir dados ou armazenar informaes, bem como, threads,sincronismo de processos, interface com os usurios e sobre o Java DB, um bancode dados 100% Java que pode ser usado no ambiente mvel.Sobre os critrios utilizados para atender a gesto e segurana dossistemas de informao, foi observado que a engenharia social um meio utilizadopara obter acesso a informaes importantes ou sigilosas em organizaes ousistemas por meio da enganao ou explorao da confiana das pessoas. Outroscritrios foram estudados como as vulnerabilidades, ameaas e ataques, as medidasde segurana e polticas de segurana e auditoria, notando-se que a segurana dossistemas informticos limita-se geralmente a garantir os direitos de acesso aosdados e recursos de um sistema implementando mecanismos de autenticao e decontrolo que permitem garantir que os utilizadores dos ditos recursos possuemunicamente os direitos que lhes foram concedidos.
Desenvolvimento de software mobile Origem: Wikipdia, a enciclopdia livre. NoFonti.svg Este artigo ou se(c)o cita uma ou mais fontes fiveis e independentes, mas ela(s) no cobre(m) todo o texto (desde dezembro de 2013). Por favor, melhore este artigo providenciando mais fontes fiveis e independentes e inserindo- as em notas de rodap ou no corpo do texto, conforme o livro de estilo. Encontre fontes: Google notcias, livros, acadmico Yahoo! Bing. Veja como referenciar e citar as fontes.
Laboratrio de desenvolvimento mobile em um colgio da Estnia
Desenvolvimento de aplicaes e sistemas para dispositivos mveis, por vezes utilizado apenas como desenvolvimento mobile toda atividades e processos acerca do desenvolvimento de software para dispositivos mveis (handheld) como computadorores de bolso, PDAs, smartphone, telefone celular, console porttil e Ultra Mobile PC combinado com tecnologias como GPS, TV porttil, touch, consoles, navegador de Internet, WAP, leitores de udio, vdeo e texto, entre outros. Estes aplicativos podem serem instalados durante a fabricao do aparelho, atravs dos sistemas operacionais de cada dispositivo ou distribuido atravs de arquivos de intalao pela web ou no. O desenvolvimento de aplicaes para mobile possui particularidades do desenvolvimento tradicional devido as limitaes tanto do processamento, tamanho de tela e rea de trabalho, alm de estar sempre bombardeado por configuraes distintas tanto do hardware quanto do software por parte do fabricantes e suas concorrncias.1
ndice
1 Ambientes de execuo 2 Definio de aplicativos mobile 3 Vantagens do uso de aplicativos mobile 4 Desvantagens do uso de Aplicativos mobile 5 Principais categorias de aplicativos mveis 6 Escolha da plataforma de desenvolvimento 7 Plataformas que suportam dispositivos de vrios fabricantes 8 Plataformas de desenvolvimento 9 Distribuio e lojas de aplicativos 9.1 Ovi Store 9.2 Android Market 9.3 App World 9.4 App Store 10 Ver tambm 11 Referncias
Ambientes de execuo
Os principais sistemas operacionais do mercado atual so o Android, iOS, BlackBerry, HP webOS, Symbian OS, Bada da Samsung, e Windows Mobile que suportam aplicaes binrias tipicas de PCs com cdigos de execuo nativas da mquina. Windows Mobile pode ser compilado at em um x86 sem a necessidade de um emulador, e tambm podem suportar aplicaes portteis desenvolvidas com as tecnologia .NET Framework, Windows Mobile, Android, HP webOS e iOS (Apple) atravs de IDE de distribuio livre. Definio de aplicativos mobile
Aplicativos mobile so softwares utilizados para funes especficas em dispositivos mveis como smartphones e tablets. Eles esto disponveis atravs de plataformas de distribuio de aplicaes que so normalmente operadas pelo proprietrio do sistema operacional mvel, como App Store, Android Market, BlackBerry App World, Ovi Store, entre outros. Alguns aplicativos so gratuitos, e outros tm um preo. Normalmente eles so baixados da plataforma para um dispositivo de destino, como um iPhone, BlackBerry, Android ou telefone, mas s vezes eles podem ser baixados para computadores menos mveis, tais como laptops ou desktops. Os aplicativos so destinados facilitar o desempenho de atividades prticas do usurio assim como para puro divertimento. Vantagens do uso de aplicativos mobile
Melhor experincia para o usurio: Aplicativos mobile possibilitam uma melhor utilizao de recursos grficos e de interface, proporcionando um uso mais rpido e agradvel para o usurio. Alm disso, possvel disponibilizar contedo para ser acessado de modo offline, ou seja, sem conexo com a internet. Menor custo de acesso: Nos aplicativos toda a parte da interface j se encontra instalada no celular, o que implica um trfego de dados muito menor para se acessar um determinado contedo da internet. Acesso a recursos nativos do celular: Os aplicativos possibilitam a utilizao de recursos nativos do celular como a cmera fotogrfica, GPS, bluetooth,agenda telefnica,entre outros. Vendas: possvel uma empresa vender bens, contedos e acessos premium dentro dos aplicativos.
Desvantagens do uso de Aplicativos mobile
Atualizao de verses: Para cada alterao na estrutura ou contedo do aplicativo, o usurio precisar efetuar uma nova instalao na nova verso disponibilizada. Plataformas distintas: A gama de fabricantes e plataformas de desenvolvimento faz com que um aplicativo no funcione em todos os aparelhos.
Principais categorias de aplicativos mveis
Servios: Aplicaes teis para resolver problemas e aumentar a produtividade em mobilidade como consultas, previses, mapas, operaes em tempo real, entre outros. Informaes: Acesso a contedos diversos em mobillidade como endereos, telefones, promoes, produtos, entre outros. Comunicao: Interao com outras pessoas atracs de e-mail e redes sociais. Entretenimento: Uso destinado diverso como os jogos por exemplo.
Escolha da plataforma de desenvolvimento
Existem vrias plataformas que um desenvolvedor pode escolher para seus aplicativos. Porm, em geral, so mutuamente incompatveis (ou seja, um aplicativo desenvolvido em uma plataforma no ir rodar em outra). Alm disso, cada dispositivo mvel suporta apenas uma plataforma em particular. Portanto, para maximizar o alcance e as receitas para as suas aplicaes, um desenvolvedor precisa decidir cuidadosamente quais plataformas ir apoiar.
Desde os primeiros computadores portteis da dcada de 1980, a popularidade dessas plataformas tem aumentado consideravelmente. Muitos modelos de celulares do final dos anos 2000 incluem a capacidade de executar o software instalado pelo usurio. Plataformas que suportam dispositivos de vrios fabricantes
Projetada desde o incio para dispositivos mveis, a plataforma Symbian um sistema operacional multitarefa especificamente projetado para funcionar bem em sistemas de recursos limitados, maximizando o desempenho e vida til da bateria e, ao mesmo tempo, minimizando o uso de memria. Plataformas de desenvolvimento
Diversas plataformas do suporte ao desenvolvimento mobile atravs de Ambiente de desenvolvimento integrado (IDEs), providas com diversas ferramentas para escrever, testar e desenvolver as aplicaes. O seguinte sumario apresenta as princiapis plataformas e IDE do mercado atual. Linguagem de programao Debugador disponvel Emulador disponvel IDE disponvel Comptabilidade de plataforma Opo de pacote para intalao Custo da ferramenta para desenvolvimento Adobe AIR Action Script, HTML, CSS, JavaScript Flash Builder, Flash Professional, IntelliJ IDEA iOS (iPhone, iPad, iPod touch), Android, BlackBerry Distribuio em formato nativo para cada uma das plataformas Flash Builder, Flash Professional, IntelliJ IDEA - Licenas comerciais disponveis2 Android Java, porm, pores de cdigo em C, C++ podem ser inserido Debugador integrado por padro. Eclipse, IntelliJ IDEA, Project Kenai Android e plugin para NetBeans Android apk Livre, IntelliJ IDEA Community Edition BlackBerry Java Debugger integrado na IDE Eclipse, BlackBerry JDE BlackBerry apenas, devido a arquitetura RIM API alx, cod Livre Java ME Java Emulador gratuto.3 , mpowerplayer Eclipse, LMA NetBeans Mobility Pack Sim, porm algumas VM necessitam de implementaes especficas para cada dispositivo instaladas separadamente Jad/JAR e arquivos PRC para Palm OS Livre Symbian C++ Vrios Compilo por alvo (target) SIS deployment Licenas commerciais e ferramentas livres Ubuntu Touch QML, C, C++, JavaScript, HTML5, CSS Linhas de comando atravs do Qt Creator, Eclipse Ubuntu desktop/Apps baseados em WEB disponvel para browsers e outras plataformas. Ubuntu OS, App store, Web Desenvolviment requer Ubuntu desktop 12.04 ou posterior, Livre webOS JavaScript, CSS, HTML, e C++ Eclipse webOS, Palm Construo e build por OTA, webOS atravs de App store, Web, Precentral, .ipk Livre Windows Mobile C, C++ Emulador livre (com cdigo fonte disponvel), tambm acoplado na IDE Visual Studio, 2010, 2008, 2005, eMbedded VC++ (free), Satellite Forms Windows Mobile, Windows FU, Windows CE OTA, arquivos CAB, ActiveSync Linhas de comando e ferramentas livres ou eMbedded VC++, or Visual Studio (Edio padro ou posterior) Windows Phone C#, Visual Basic, C, C++ Emulador disponvel, tambm acoplado na IDE Visual Studio 2012, Visual Studio 2010 Windows Phone .OTA, .XAP Distribuio e lojas de aplicativos
Para adquirir uma aplicao mobile, geralmente as empresas o fazem a partir de web stores (lojas na internet) onde garantem a distribuio atravs de licenas ou atravs de compras. A Nokia possui o Ovi, onde alm de contar com diversos servios de internet, tambm possui sua loja para os aplicativos que rodam no seus dispositivos. Ja Google possui a Google Play, que a loja online mantida pela Google para distribuio de aplicaes, jogos, filmes, msica e livros. Anteriormente a loja chamava-se Android Market. A BlackBerry World a loja para aplicativos da BlackBerry. J para aplicativos iPhone, podem ser adquiridos pela App Store (iOS). Existem outras webstores como a Amazon Appstore que so focadas principalmente para o SO Android.
A lista abaixo resume o fluxo de desenvolvimento de um aplicativo at a disponibilizao do mesmo em uma das plataformas de distribuio de aplicaes e posterior verificao de sucesso do aplicativo.
Tornar-se parceiro da loja; Desenvolver o aplicativo; Submeter o aplicativo loja; Aguardar aprovao da loja; A loja disponibiliza o aplicativo para download; Empresa divulga o aplicativo; Usurio realiza o download do aplicativo; Empresa mensura resultados.
Existem inmeras opes de aplicativos disponveis na internet para download. So oferecidos gratuitamente ou a baixo custo, podendo ser encontrados em lojas de aplicativos. Exemplos de lojas de apps para celulares: Loja Apps Downloads Usurios Plataforma Found In Ovi Store 2500 10 milhes 250 milhes Symbian S60 + Java Android Market 30000 n/d 1 milho Android App World 2000 n/d 8 milhes Blackberry OS App Store 140000 3 bilhes 75 milhes iOS Software Store (Palm) 5000 1,8 milho 150 mil WebOS Windows Marketplace for Mobile 376 n/d n/d Windows Mobile
Ovi Store
Uma loja de aplicativos para os celulares Nokia foi lanada internacionalmente em maio de 2009. Em abril de 2011 havia 50.000 apps, e em agosto de 2011, 9.000.000 downloads por dia. Em fevereiro de 2011, a Nokia informou que vai estar usando o Windows Phone 7 como seu principal sistema operacional, porm a loja Ovi ainda estar disponvel para celulares Symbian.4
Na loja virtual da Nokia, o usurio pode realizar o download de jogos, aplicativos, vdeos, imagens e toques em seus celulares. O servio oferecido pela operadora interliga os aparelhos mveis aos computadores pessoais, fcilitando o compartilhamento dos contedos criados pela Internet. O usurio indica o modelo de seu aparelho celular e todo o contedo disponvel para ele automaticamente filtrado, contendo as recomendaes de outros usurios. Os aplicativos esto divididos em classificaes bem definidas apresentando facilidade no momento de realizar download. Android Market
O Android Market uma loja de aplicativos mveis desenvolvido pelo Google para dispositivos Android. Foi inaugurado em outubro de 2008.5 Em maro de 2009, cerca de 2300 aplicativos estavam disponveis. Em maio de 2011, o Google anunciou que h 200 mil apps6 ,com 4,5 mil milhes de aplicativos baixados e instalados.7
O Android Market apresenta para todos os aparelhos compatveis com a plataforma Android uma gama de aplicativos para diversos estilos e situaes. A diviso feita basicamente por programas pagos ou gratuitos, com uma interface muito simples de compreender, incluindo links para os sites oficiais dos softwares. No prprio site tambm est disponvel o SDK para que os desenvolvedores possam criar e vender os seus aplicativos.
Em maro de 2012 o Google anunciou a mudana de nome do Android Market para Google Play Store, fazendo parte de uma central de contedo de entretenimento digital chamada Google Play.8 App World
BlackBerry App World um servio de distribuio de aplicativos pela Research In Motion (RIM) para a maioria dos dispositivos BlackBerry. O servio oferece aos usurios do BlackBerry um ambiente de navegao para fazer downloads e atualizao de aplicativos. O servio entrou no ar em 01 de abril de 2009.9 App Store Ver artigo principal: App Store (iOS)
A App Store um servio para o iPhone, iPod Touch e iPad criado pela Apple Inc., que permite aos usurios navegar e fazer download de aplicativos da iTunes Store. Dependendo da aplicao, ela pode ser grtis ou paga. As aplicaes podem ser baixadas diretamente no dispositivo, ou baixados para um computador via iTunes.
Ver tambm
JQuery Mobile HTML5
Referncias
(em ingls) Software Development Discussion Paper: An overview of mobile development in the context of current technology.. Adobe AIR SDK (command line tool) - Gratuto] Sun Java Wireless Toolkit Nokia and Microsoft Announce Plans for a Broad Strategic Partnership to Build a New Global Mobile Ecosystem Microsoft News Center. Microsoft (February 11, 2011). Pgina visitada em October 30, 2011. Chu, Eric (13 February 2009). Android Market Update Support. Lawson, Stephen (17 March 2009). Android Market Needs More Filters, T-Mobile Says PC World.. Barra, Hugo (10 May 2011). Android: momentum, mobile and more at Google I/O The Official Google Blog.. Pgina visitada em 10 May 2011. Rosenberg, Jamie (06 Mar 2012). Apresentamos o Google Play: todo seu entretenimento, onde voc estiver O blog do Google Brasil.. Pgina visitada em 08 Mar 2012. Perez, Marin (2008-10-21). RIM Announces BlackBerry App Store InformationWeek. Pgina visitada em 2009-03-09. ======================================================
Segurana da informao Origem: Wikipdia, a enciclopdia livre.
A segurana da informao est diretamente relacionada com proteo de um conjunto de informaes, no sentido de preservar o valor que possuem para um indivduo ou uma organizao. So caractersticas bsicas da segurana da informao os atributos de confidencialidade, integridade, disponibilidade e autenticidade, no estando esta segurana restrita somente a sistemas computacionais, informaes eletrnicas ou sistemas de armazenamento. O conceito se aplica a todos os aspectos de proteo de informaes e dados. O conceito de Segurana Informtica ou Segurana de Computadores est intimamente relacionado com o de Segurana da Informao, incluindo no apenas a segurana dos dados/informao, mas tambm a dos sistemas em si.
Atualmente o conceito de Segurana da Informao est padronizado pela norma ISO/IEC 17799:2005, influenciada pelo padro ingls (British Standard) BS 7799. A srie de normas ISO/IEC 27000 foram reservadas para tratar de padres de Segurana da Informao, incluindo a complementao ao trabalho original do padro ingls. A ISO/IEC 27002:2005 continua sendo considerada formalmente como 17799:2005 pra fins histricos.
ndice
1 Conceitos de segurana 2 Mecanismos de segurana 3 Ameaas segurana 4 Invases na Internet 4.1 Exemplos de Invases 5 Nvel de segurana 5.1 Segurana fsica 5.2 Segurana lgica 6 Polticas de segurana 6.1 Polticas de Senhas 7 A Gesto de Riscos unida Segurana da Informao 8 Referncias 9 Ligaes externas
Conceitos de segurana
A Segurana da Informao se refere proteo existente sobre as informaes de uma determinada empresa ou pessoa, isto , aplica-se tanto as informaes corporativas quanto s pessoais. Entende-se por informao todo e qualquer contedo ou dado que tenha valor para alguma organizao ou pessoa. Ela pode estar guardada para uso restrito ou exposta ao pblico para consulta ou aquisio.
Podem ser estabelecidas mtricas (com o uso ou no de ferramentas) para a definio do nvel de segurana existente e, com isto, serem estabelecidas as bases para anlise da melhoria ou piora da situao de segurana existente. A segurana de uma determinada informao pode ser afetada por fatores comportamentais e de uso de quem se utiliza dela, pelo ambiente ou infraestrutura que a cerca ou por pessoas mal intencionadas que tm o objetivo de furtar, destruir ou modificar tal informao.
A trade CIA (Confidentiality, Integrity and Availability) -- Confidencialidade, Integridade e Disponibilidade -- representa os principais atributos que, atualmente, orientam a anlise, o planejamento e a implementao da segurana para um determinado grupo de informaes que se deseja proteger. Outros atributos importantes so a irretratabilidade e a autenticidade. Com a evoluo do comrcio eletrnico e da sociedade da informao, a privacidade tambm uma grande preocupao.
Portanto os atributos bsicos, segundo os padres internacionais (ISO/IEC 17799:2005) so os seguintes:
Confidencialidade - propriedade que limita o acesso a informao to somente s entidades legtimas, ou seja, quelas autorizadas pelo proprietrio da informao. Integridade - propriedade que garante que a informao manipulada mantenha todas as caractersticas originais estabelecidas pelo proprietrio da informao, incluindo controle de mudanas e garantia do seu ciclo de vida (nascimento,manuteno e destruio). Disponibilidade - propriedade que garante que a informao esteja sempre disponvel para o uso legtimo, ou seja, por aqueles usurios autorizados pelo proprietrio da informao. Autenticidade - propriedade que garante que a informao proveniente da fonte anunciada e que no foi alvo de mutaes ao longo de um processo. Irretratabilidade ou no repdio - propriedade que garante a impossibilidade de negar a autoria em relao a uma transao anteriormente feita
Para a montagem desta poltica, deve-se levar em conta:
Riscos associados falta de segurana; Benefcios; Custos de implementao dos mecanismos.
Mecanismos de segurana
O suporte para as recomendaes de segurana pode ser encontrado em:
Controles fsicos: so barreiras que limitam o contato ou acesso direto a informao ou a infraestrutura (que garante a existncia da informao) que a suporta.
Existem mecanismos de segurana que apiam os controles fsicos:
Controles lgicos: so barreiras que impedem ou limitam o acesso a informao, que est em ambiente controlado, geralmente eletrnico, e que, de outro modo, ficaria exposta a alterao no autorizada por elemento mal intencionado.
Existem mecanismos de segurana que apiam os controles lgicos:
Mecanismos de cifrao ou encriptao: Permitem a transformao reversvel da informao de forma a torn-la ininteligvel a terceiros. Utiliza-se para tal, algoritmos determinados e uma chave secreta para, a partir de um conjunto de dados no criptografados, produzir uma sequncia de dados criptografados. A operao inversa a decifrao. Assinatura digital: Um conjunto de dados criptografados, associados a um documento do qual so funo, garantindo a integridade e autenticidade do documento associado, mas no a sua confidencialidade. Mecanismos de garantia da integridade da informao: Usando funes de "Hashing" ou de checagem, garantida a integridade atravs de comparao do resultado do teste local com o divulgado pelo autor. Mecanismos de controle de acesso: Palavras-chave, sistemas biomtricos, firewalls, cartes inteligentes. Mecanismos de certificao: Atesta a validade de um documento. Integridade: Medida em que um servio/informao genuno, isto , est protegido contra a personificao por intrusos. Honeypot: uma ferramenta que tem a funo de propositalmente simular falhas de segurana de um sistema e colher informaes sobre o invasor enganando-o, fazendo-o pensar que esteja de fato explorando uma vulnerabilidade daquele sistema. um espcie de armadilha para invasores. O HoneyPot no oferece nenhum tipo de proteo. Protocolos seguros: Uso de protocolos que garantem um grau de segurana e usam alguns dos mecanismos citados aqui.
Existe hoje em dia um elevado nmero de ferramentas e sistemas que pretendem fornecer segurana. Alguns exemplos so os detectores de intruses, os antivrus, firewalls, firewalls locais, filtros anti-spam, fuzzers, analisadores de cdigo etc.1 Ameaas segurana
As ameaas segurana da informao so relacionadas diretamente perda de uma de suas 3 caractersticas principais, quais sejam:
Perda de Confidencialidade: seria quando h uma quebra de sigilo de uma determinada informao (ex: a senha de um usurio ou administrador de sistema) permitindo que sejam expostas informaes restritas as quais seriam acessveis apenas por um determinado grupo de usurios. Perda de Integridade: aconteceria quando uma determinada informao fica exposta a manuseio por uma pessoa no autorizada, que efetua alteraes que no foram aprovadas e no esto sob o controle do proprietrio (corporativo ou privado) da informao. Perda de Disponibilidade: acontece quando a informao deixa de estar acessvel por quem necessita dela. Seria o caso da perda de comunicao com um sistema importante para a empresa, que aconteceu com a queda de um servidor ou de uma aplicao crtica de negcio, que apresentou uma falha devido a um erro causado por motivo interno ou externo ao equipamento ou por ao no autorizada de pessoas com ou sem m inteno.
No caso de ameaas rede de computadores ou a um sistema, estas podem vir de agentes maliciosos, muitas vezes conhecidos como crackers, (hackers no so agentes maliciosos, pois tentam ajudar a encontrar possiveis falhas). Estas pessoas so motivadas para fazer esta ilegalidade por vrios motivos. Os principais so: notoriedade, auto-estima, vingana e o dinheiro. De acordo com pesquisa elaborada pelo Computer Security Institute ([1]), mais de 70% dos ataques partem de usurios legtimos de sistemas de informao (Insiders) -- o que motiva corporaes a investir largamente em controles de segurana para seus ambientes corporativos (intranet). Invases na Internet
Todo sistema de computao necessita de um sistema para proteo de arquivos. Este sistema um conjunto de regras que garantem que a informao no seja lida, ou modificada por quem no tem permisso. A segurana usada especificamente para referncia do problema genrico do assunto, j os mecanismos de proteo so usados para salvar as informaes a serem protegidas. A segurana analisada de vrias formas, sendo os principais problemas causados com a falta dela a perda de dados e as invases de intrusos. A perda de dados na maioria das vezes causada por algumas razes: fatores naturais: incndios, enchentes, terremotos, e vrios outros problemas de causas naturais; Erros de hardware ou de software: falhas no processamento, erros de comunicao, ou bugs em programas; Erros humanos: entrada de dados incorreta, montagem errada de disco ou perda de um disco. Para evitar a perda destes dados necessrio manter um backup confivel, guardado longe destes dados originais. Exemplos de Invases
O maior acontecimento causado por uma invaso foi em 1988, quando um estudante colocou na internet um programa malicioso (worm), derrubando milhares de computadores pelo mundo, que foi identificado e removido logo aps. Mas at hoje h controvrsias de que ele no foi completamente removido da rede. Esse programa era feito em linguagem C, e no se sabe at hoje qual era o objetivo, o que se sabe que ele tentava descobrir todas as senhas que o usurio digitava. Mas esse programa se auto-copiava em todos os computadores em que o estudante invadia. Essa brincadeira no durou muito, pois o estudante foi descoberto pouco tempo depois, processado e condenado a liberdade condicional, e teve que pagar uma alta multa.
Um dos casos mais recentes de invaso por meio de vrus foi o do Vrus Conficker (ou Downup, Downadup e Kido) que tinha como objetivo afetar computadores dotados do sistema operacional Microsoft Windows, e que foi primeiramente detectado em outubro de 2008. Uma verso anterior do vrus propagou-se pela internet atravs de uma vulnerabilidade de um sistema de rede do Windows 2000, Windows XP, Windows Vista, Windows Server 2003, Windows Server 2008, Windows 7 Beta e do Windows Server 2008 R2 Beta, que tinha sido lanado anteriormente naquele ms. O vrus bloqueia o acesso a websites destinados venda, protegidos com sistemas de segurana e, portanto, possvel a qualquer usurio de internet verificar se um computador est infectado ou no, simplesmente por meio do acesso a websites destinados a venda de produtos dotados de sistemas de segurana. Em janeiro de 2009, o nmero estimado de computadores infectados variou entre 9 e 15 milhes. Em 13 de fevereiro de 2009, a Microsoft estava oferecendo 250.000 dlares americanos em recompensa para qualquer informao que levasse condenao e priso de pessoas por trs da criao e/ou distribuio do Conficker. Em 15 de outubro de 2008, a Microsoft liberou um patch de emergncia para corrigir a vulnerabilidade MS08-067, atravs da qual o vrus prevalece-se para poder se espalhar. As aplicaes da atualizao automtica se aplicam somente para o Windows XP SP2, SP3, Windows 2000 SP4 e Windows Vista; o Windows XP SP1 e verses mais antigas no so mais suportados. Os softwares antivrus no-ligados a Microsoft, tais como a BitDefender, Enigma Software, Eset,F-Secure, Symantec, Sophos, e o Kaspersky Lab liberaram atualizaes com programas de deteco em seus produtos e so capazes de remover o vrus. A McAfee e o AVG tambm so capazes de remover o vrus atravs de escaneamentos de discos rgidos e mdias removveis.
Atravs desses dados vemos que os antivrus devem estar cada vez mais atualizados, esto surgindo novos vrus rapidamente, e com a mesma velocidade deve ser lanado atualizaes para os bancos de dados dos antivrus para que os mesmos sejam identificados e excludos. Com a criao da internet essa propagao de vrus muito rpida e muito perigosa, pois se no houver a atualizao dos antivrus o computador e usurio esto vulnerveis, pois com a criao da internet vrias empresas comearo a utilizar internet como exemplo empresas mais precisamente bancos, mas como muito vulnervel esse sistema, pois existem vrus que tem a capacidade de ler o teclado (in/out), instrues privilegiadas como os keyloggers. Com esses vrus possvel ler a senha do usurio que acessa sua conta no banco, com isso mais indicado utilizar um teclado virtual para digitar as senhas ou ir diretamente ao banco. Nvel de segurana
Depois de identificado o potencial de ataque, as organizaes tm que decidir o nvel de segurana a estabelecer para uma rede ou sistema os recursos fsicos e lgicos a necessitar de proteo. No nvel de segurana devem ser quantificados os custos associados aos ataques e os associados implementao de mecanismos de proteo para minimizar a probabilidade de ocorrncia de um ataque. Segurana fsica
Considera as ameaas fsicas como incndios, desabamentos, relmpagos, alagamento, algo que possa danificar a parte fsica da segurana, acesso indevido de estranhos, forma inadequada de tratamento e manuseio do veculo. Segurana lgica
Atenta contra ameaas ocasionadas por vrus, acessos remotos rede, backup desatualizados, violao de senhas, etc.
Segurana lgica a forma como um sistema protegido no nvel de sistema operacional e de aplicao. Normalmente considerada como proteo contra ataques, mas tambm significa proteo de sistemas contra erros no intencionais, como remoo acidental de importantes arquivos de sistema ou aplicao. Polticas de segurana
De acordo com o RFC 2196 (The Site Security Handbook), uma poltica de segurana consiste num conjunto formal de regras que devem ser seguidas pelos utilizadores dos recursos de uma organizao.
As polticas de segurana devem ter implementao realista, e definir claramente as reas de responsabilidade dos utilizadores, do pessoal de gesto de sistemas e redes e da direo. Deve tambm adaptar-se a alteraes na organizao. As polticas de segurana fornecem um enquadramento para a implementao de mecanismos de segurana, definem procedimentos de segurana adequados, processos de auditoria segurana e estabelecem uma base para procedimentos legais na sequncia de ataques.
O documento que define a poltica de segurana deve deixar de fora todos os aspectos tcnicos de implementao dos mecanismos de segurana, pois essa implementao pode variar ao longo do tempo. Deve ser tambm um documento de fcil leitura e compreenso, alm de resumido.
Algumas normas definem aspectos que devem ser levados em considerao ao elaborar polticas de segurana. Entre essas normas esto a BS 7799 (elaborada pela British Standards Institution) e a NBR ISO/IEC 17799 (a verso brasileira desta primeira). A ISO comeou a publicar a srie de normas 27000, em substituio ISO 17799 (e por conseguinte BS 7799), das quais a primeira, ISO 27001, foi publicada em 2005.
Existem duas filosofias por trs de qualquer poltica de segurana: a proibitiva (tudo que no expressamente permitido proibido) e a permissiva (tudo que no proibido permitido).
Os elementos da poltica de segurana devem ser considerados:
A Disponibilidade: o sistema deve estar disponvel de forma que quando o usurio necessitar, possa usar. Dados crticos devem estar disponveis ininterruptamente. A Legalidade. A Integridade: o sistema deve estar sempre ntegro e em condies de ser usado. A Autenticidade: o sistema deve ter condies de verificar a identidade dos usurios, e este ter condies de analisar a identidade do sistema. A Confidencialidade: dados privados devem ser apresentados somente aos donos dos dados ou ao grupo por ele liberado.
Polticas de Senhas
Dentre as polticas utilizadas pelas grandes corporaes a composio da senha ou password a mais controversa. Por um lado profissionais com dificuldade de memorizar varias senhas de acesso, por outro funcionrios displicentes que anotam a senha sob o teclado no fundo das gavetas, em casos mais graves o colaborador anota a senha no monitor.
Recomenda-se a adoo das seguintes regras para minimizar o problema, mas a regra fundamental a conscientizao dos colaboradores quanto ao uso e manuteno das senhas.
Senha com data para expirao
Adota-se um padro definido onde a senha possui prazo de validade com 30 ou 45 dias, obrigando o colaborador ou usurio a renovar sua senha.
Inibir a repetio
Adota-se atravs de regras predefinidas que uma senha uma vez utilizada no poder ter mais que 60% dos caracteres repetidos, p. ex: senha anterior 123senha nova senha deve ter 60% dos caracteres diferentes como 456seuse, neste caso foram repetidos somente os caracteres s e os demais diferentes.
Obrigar a composio com nmero mnimo de caracteres numricos e alfabticos
Define-se obrigatoriedade de 4 caracteres alfabticos e 4 caracteres numricos, por exemplo:
1s4e3u2s posicional os 4 primeiros caracteres devem ser numricos e os 4 subseqentes alfabticos por exemplo: 1432seus.
Criar um conjunto com possveis senhas que no podem ser utilizadas
Monta-se uma base de dados com formatos conhecidos de senhas e probir o seu uso, como por exemplo o usurio chama-se Jose da Silva, logo sua senha no deve conter partes do nome como 1221jose ou 1212silv etc, os formatos DDMMAAAA ou 19XX, 1883emc ou I2B3M4
Recomenda-se ainda utilizar senhas com Case Sensitive e utilizao de caracteres especiais como: @ # $ % & * Proibio de senhas que combinam com o formato de datas do calendrio, placas , nmeros de telefone, ou outros nmeros comuns Proibio do uso do nome da empresa ou uma abreviatura Uma senha de Meio Ambiente, da seguinte forma: consoante, vogal, consoante, consoante, vogal, consoante, nmero, nmero (por exemplo pinray45). A desvantagem desta senha de 8 caracteres conhecida a potenciais atacantes, o nmero de possibilidades que precisam ser testados menos do que uma senha de seis caracteres de nenhuma forma.
Outros sistemas de criar a senha para os usurios ou deixar que o usurio escolha um de um nmero limitado de opes exibidas. A Gesto de Riscos unida Segurana da Informao
A Gesto de Riscos, por sua vez, fundamental para garantir o perfeito funcionamento de toda a estrutura tecnolgica da empresa, engloba a Segurana da Informao, j que hoje a quantidade de vulnerabilidades e riscos que podem comprometer as informaes da empresa cada vez maior.
Ao englobar a Gesto da Segurana da Informao, a Gesto de Riscos tem como principais desafios proteger um dos principais ativos da organizao a informao assim como a reputao e a marca da empresa, implementar e gerir controles que tenham como foco principal os objetivos do negcio, promover aes corretivas e preventivas de forma eficiente, garantir o cumprimento de regulamentaes e definir os processos de gesto da Segurana da Informao. Entre as vantagens de investir na Gesto de Riscos voltada para a Segurana da Informao esto a priorizao das aes de acordo com a necessidade e os objetivos da empresa e a utilizao de mtricas e indicadores de resultados.
Referncias
'Meu amigo foi atacado por um hacker'; sistema da Microsoft tenta evitar roubo de senhas no Hotmail, acessado em 5 de maio de 2012
Terpstra, John. Segurana para Linux. RJ: Elsevier, 2005. ISBN 85-352-1599-9 Melhorar a usabilidade de Gerenciamento de senha com polticas de senha padronizados Claudia Dias, Segurana e Auditoria da Tecnologia da Informao, 2000, Editora: Axcel Books 142, ISBN 85-7323-231-9