Introdução aos Sistemas de
Informações
Módulo 6
Segurança da TI
Por que os Controles São
Necessários
• Os controles são necessários para garantir a qualidade e
segurança dos recursos de hardware, software, redes e
dados dos sistemas de informação. Os computadores
provaram que podem processar grandes volumes de dados
e executar cálculos complexos de modo mais preciso do que
os sistemas manuais ou mecânicos.
• Entretanto, sabe-se também que:
- Ocorrem erros em sistemas computadorizados
- Os computadores têm sido utilizados para fins
fraudulentos.
- Os sistemas de computador e seus recursos de software e
dados têm sido destruídos acidental ou deliberadamente.
2
3
Casualidades
•
•
•
•
•
•
•
•
Acidentes,
Desastres naturais,
Sabotagem,
Vandalismo,
Uso não autorizado,
Espionagem industrial,
Destruição, e
Roubo de recursos
4
Tipos de Controle
• Três tipos principais de controle devem
ser desenvolvidos para garantir a
qualidade e segurança dos SI.
• Essas categorias de controle incluem:
1. Controles de sistemas de informação.
2. Controles de procedimentos.
3. Controles de instalações.
5
1. Controles de SI
• Entrada de dados
• Senhas e outros códigos
• Telas formatadas
• Sinais audíveis de erro
• Técnicas de processamento
• Controle de hardware
• Controle de software
• Métodos de armazenamento
• Criptografia
• Backup
• Saída de informações
• Relatórios
• Listas de distribuição
• Formulários pré-numerados
6
Controles de Hardware
• Circuitos de Detecção de Falhas
• Componentes Redundantes
• Microprocessadores de Finalidades
Especiais e Circuitos Associados
Controles de Software
• Rótulos de Arquivos Internos
• Pontos de Verificação
• Monitores de Segurança de Sistema
7
2. Controles das Instalações
• Segurança da rede
• Administração de segurança
– Fire Wall
– Criptografia
• Controles biométricos
• Tolerância a falhas
• Controles de proteção física
8
9
Controles de Proteção Física
•
•
•
•
•
•
Símbolos de identificação,
Fechaduras eletrônicas,
Alarmes contra roubo,
Polícia de segurança,
Circuito fechado de TV, e
Outros sistemas de detecção
10
3. Controle dos Procedimentos
•
•
•
•
Padrões de procedimento e documentação
Requisitos de Autorização
Recuperação de Desastres
Controles para a Computação pelo Usuário
Final
11
12
13
TÁTICAS USUAIS DE HACKING
• Negação de Serviço: Tornando o equipamento de um website ocupado
com muitos pedidos de informação, um atacante pode, de fato, obstruir o
sistema, reduzir seu desempenho ou mesmo travar o site.
• Scans: Extensas investigações na Internet para descobrir tipos de
computadores, serviços e conexões. Dessa forma, maus sujeitos podem
tirar vantagem de fraquezas de uma determinada fabricação de
computador ou de um programa.
• Sniffer: Programas que, de modo disfarçado, procuram pacotes
individuais de dados ao serem transmitidos pela Internet, capturando
senhas de acesso ou conteúdos completos.
• Spoofing: Disfarçar um endereço de e-mail ou página da Web para
enganar usuários, levando-os a entregar informações cruciais, como
senhas de acesso ou números de cartão de crédito.
• Cavalo de Tróia: Um programa que, ignorado pelo usuário, contém
instruções que exploram uma conhecida vulnerabilidade de alguns
softwares.
• Back Doors: Se o ponto de entrada original tiver sido detectado, ter uns
poucos caminhos escondidos nos fundos torna a reentrada simples — e
difícil de ser percebida.
14
TÁTICAS USUAIS DE HACKING
• Applets prejudiciais: programas escritos na popular linguagem Java, que
utilizam mal os recursos de seu computador, modificam arquivos no disco
rígido, enviam e-mail falso, ou roubam senhas.
• Discagem de Guerra: Programas que automaticamente discam milhares
de números de telefone buscando uma forma de fazer uma conexão com
um modem.
• Bombas lógicas: Uma instrução num programa de computador que o faz
realizar uma ação prejudicial.
• Buffer Overflow: Uma técnica para travar ou obter controle sobre um
computador enviando uma quantidade muito grande de dados ao buffer na
memória de um computador.
• Quebrador de senhas: Software que pode descobrir senhas.
• Engenharia social: Uma tática utilizada para conseguir acesso aos
sistemas de computadores por meio de conversa confiante com
funcionários da empresa sobre informações valiosas, tais como as
senhas.
• Mergulho no Depósito de Lixo: Vasculhar o lixo de uma empresa para
encontrar informações que ajudem a interromper seus computadores. Às
vezes, a informação é utilizada para tornar uma tentativa de engenharia
social mais confiável
15
16
17
18
Auditoria de SI
Auditoria em torno do computador
Envolve a verificação da precisão e propriedade de
entrada e saída do computador produzida sem avaliação
do software que processou os dados.
Vantagens deste método:
- Método simples e fácil que não exige auditores com
experiência em programação.
Desvantagens deste método:
- Não acompanha uma transação ao longo de todas as suas
etapas de processamento
- Não testa a precisão e integridade do software utilizado.
19
Auditoria de SI
Auditoria por meio do computador
Envolve verificação da precisão e integridade do software
que processa os dados, bem como das entradas e saídas
produzidos pelos sistemas e redes de computadores.
Vantagens deste método:
- Testa a precisão e integridade dos programas de
computador.
- Testa a entrada e saída do sistema de computador.
Desvantagens deste método:
- Exige conhecimento do sistema de computador, de rede e
desenvolvimento de software.
- Dispendioso para algumas aplicações de computador.
20
FIM
21
Download
  1. No category

Sistemas de Informações Gerenciais Unidade Didática 10:

AVALIAÇÃO E CONTROLE

AVALIAÇÃO E CONTROLE

Sistemas de Informações Gerenciais Unidade Didática 10:

Sistemas de Informações Gerenciais Unidade Didática 10:

Pós Calculo – Metrics

Pós Calculo – Metrics

Apresentação – Cecilia Olivieri

Apresentação – Cecilia Olivieri

Marcio Fernandes – Coordenador de Auditoria UHY

Marcio Fernandes – Coordenador de Auditoria UHY

aula 4 – controle interno

aula 4 – controle interno

A Importância do Controle Interno nas Organizações Públicas

A Importância do Controle Interno nas Organizações Públicas

Controle interno na administração pública

Controle interno na administração pública

Política

Política

segurança digital ( 1.47 MB )

segurança digital ( 1.47 MB )

Sistema de Controle Interno

Sistema de Controle Interno

Normas para Segurança da Informação

Normas para Segurança da Informação

Slides - Site Prof Miguel Damasco

Slides - Site Prof Miguel Damasco

Modelo para a formatação dos artigos a serem utilizados no

Modelo para a formatação dos artigos a serem utilizados no

Segurança, Controle e Auditoria de Dados 10 – Análise

Segurança, Controle e Auditoria de Dados 10 – Análise

GoodPriv@cy Regulamento dos Requisitos do Selo de Proteção de

GoodPriv@cy Regulamento dos Requisitos do Selo de Proteção de

Controles internos e gestão de riscos operacionais em instituições

Controles internos e gestão de riscos operacionais em instituições

A criminalização como obstáculo aos controles sociais do

A criminalização como obstáculo aos controles sociais do

Controle Interno e Gestão de Risco

Controle Interno e Gestão de Risco

Informações Qualitativas - Banco Caixa Geral

Informações Qualitativas - Banco Caixa Geral

Avaliação de riscos em Fornecedores Manual de

Avaliação de riscos em Fornecedores Manual de

universidade candido mendes pós-graduação “lato sensu” avm

universidade candido mendes pós-graduação “lato sensu” avm