módulo dois
PRINCÍPIOS BÁSICOS DOS
SISTEMAS DE INFORMAÇÃO
Copyright © The McGraw-Hill Companies, Inc. Permissão para reprodução
Capítulo 4
Ética e segurança da informação
Copyright © The McGraw-Hill Companies, Inc. Permissão para reprodução
VISÃO GERAL
• SEÇÃO 4.1 – ÉTICA
 Ética
 Ética da informação
 Desenvolvimento de políticas de gerenciamento da informação
 Ética no trabalho
• SEÇÃO 4.2 – SEGURANÇA DA INFORMAÇÃO
 Proteger os ativos intelectuais
 Primeira linha de defesa – pessoas
 Segunda linha de defesa – tecnologia
Copyright © The McGraw-Hill Companies, Inc. Permissão para reprodução
FUNDAMENTOS DA ORGANIZAÇÃO –
ÉTICA E SEGURANÇA
• Ética e segurança são dois pilares fundamentais. Todas as
empresas devem apoiar seus negócios neles para serem bemsucedidas.
• Nos últimos anos, eventos como a Enron e de Martha Stewart,
junto com o 11 de setembro, lançaram uma nova luz sobre o
significado de ética e segurança.
Copyright © The McGraw-Hill Companies, Inc. Permissão para reprodução
SEÇÃO 4.1
ÉTICA
Copyright © The McGraw-Hill Companies, Inc. Permissão para reprodução
OBJETIVOS DE APRENDIZAGEM
1.
Explicar as questões éticas que envolvem a tecnologia da
informação.
2.
Identificar as diferenças entre uma política ética de uso do
computador e uma política de uso aceitável.
3.
Descrever a relação entre uma política de privacidade de e-mail
e uma política de uso da internet.
Copyright © The McGraw-Hill Companies, Inc. Permissão para reprodução
OBJETIVOS DE APRENDIZAGEM
4.
Explicar os efeitos do spam em uma organização.
5.
Resumir as diferentes tecnologias de monitoramento e explicar
a importância de uma política de monitoramento dos
empregados.
Copyright © The McGraw-Hill Companies, Inc. Permissão para reprodução
ÉTICA
• Ética – princípios e as normas que guiam o nosso comportamento
em relação a outras pessoas.
• Questões afetadas pelos avanços tecnológicos
 Propriedade intelectual
 Direitos autorais
 Doutrina do uso justo
 Software pirateado
 Software falsificado
Copyright © The McGraw-Hill Companies, Inc. Permissão para reprodução
ÉTICA
• A privacidade é um grande problema ético:
 Privacidade – direito de ser deixado sozinho quando você
quiser, de ter controle sobre seus próprios bens pessoais e não
ser observado sem o seu consentimento.
 Confidencialidade – garantia de que as mensagens e
informações estão disponíveis apenas para aqueles que estão
autorizados a vê-las.
Copyright © The McGraw-Hill Companies, Inc. Permissão para reprodução
ÉTICA
• Um dos principais ingredientes da confiança é a privacidade.
• Principais razões de as questões de privacidade reduzirem a
confiança do e-Business.
Copyright © The McGraw-Hill Companies, Inc. Permissão para reprodução
ÉTICA DA INFORMAÇÃO
• Os indivíduos formam a única parte ética do TI:
 Indivíduos copiam, utilizam e distribuem softwares.
 Pesquisam bases de dados organizacionais para obter
informações pessoais e corporativas confidenciais.
 Indivíduos criam e disseminam vírus.
 Indivíduos invadem sistemas de computadores para roubar
informações.
 Empregados destroem ou roubam informações.
Copyright © The McGraw-Hill Companies, Inc. Permissão para reprodução
A INFORMAÇÃO NÃO TEM ÉTICA
• Agir eticamente e agir legalmente nem sempre
são a mesma coisa.
Copyright © The McGraw-Hill Companies, Inc. Permissão para reprodução
A INFORMAÇÃO NÃO TEM ÉTICA
• A informação não se importa em como será usada.
• A informação não é capaz de parar, sozinha, de enviar spam, vírus
e outras informações ultrassensíveis.
• A informação não pode excluir-se ou preservar-se.
Copyright © The McGraw-Hill Companies, Inc. Permissão para reprodução
DESENVOLVIMENTO DE POLÍTICAS DE GERENCIAMENTO
DA INFORMAÇÃO
Organizações se esforçam para construir uma cultura corporativa
baseada em princípios éticos que os empregados possam entender e
implementar.
• Geralmente e-policies incluem:
 Política do uso ético de computadores
 Política de privacidade da informação
 Política de aceitação de uso
 Política de privacidade de e-mail
 Política de uso da internet
 Política anti-spam
Copyright © The McGraw-Hill Companies, Inc. Permissão para reprodução
POLÍTICA DO USO ÉTICO DE COMPUTADORES
• Política do uso ético de computadores – contém princípios éticos
gerais para orientar o comportamento do usuário.
• Política de uso ético de computadores garante que todos os usuários
sejam informados das regras e, com base nisso, ao concordarem em
utilizar o sistema, consentem no cumprimento das regras.
Copyright © The McGraw-Hill Companies, Inc. Permissão para reprodução
POLÍTICA DO USO ÉTICO DE COMPUTADORES
1.
A informação é um ativo valioso das empresas.
2.
O CIO é o administrador das informações corporativas.
3.
O CIO é responsável pelo acesso à informação.
4.
O CIO é responsável por prevenir a destruição da informação.
5.
O CIO é responsáveis ​por práticas de informação e políticas de
gestão.
6.
O CIO deve executar políticas de gerenciamento da informação
da organização.
Copyright © The McGraw-Hill Companies, Inc. Permissão para reprodução
POLÍTICA DE PRIVACIDADE DA INFORMAÇÃO
• Geralmente o uso ético da informação ocorre “sem querer” quando
ela é utilizada para novos fins.
• Política de privacidade da informação – Contendo princípios
gerais sobre a privacidade da informação.
Copyright © The McGraw-Hill Companies, Inc. Permissão para reprodução
POLÍTICA DE PRIVACIDADE DA INFORMAÇÃO
• Orientações organizacionais para a criação de uma política de
privacidade da informação:
1. Adoção e implementação de uma política de privacidade
2. Notificação e divulgação
3. Escolha e consentimento
4. Segurança da informação
5. Qualidade e acesso à informação
Copyright © The McGraw-Hill Companies, Inc. Permissão para reprodução
POLÍTICA DE USO ACEITÁVEL
• Política de uso aceitável (AUP) – política com a qual o usuário
deve concordar em seguir a fim de receber o acesso a uma rede ou
à internet.
• Uma AUP usualmente contém uma cláusula de não repúdio.
Copyright © The McGraw-Hill Companies, Inc. Permissão para reprodução
POLÍTICA DE USO ACEITÁVEL
1.
Não violarão nenhuma lei.
2.
Não quebrarão a segurança.
3.
Não postarão mensagens comerciais.
4.
Não realizarão nenhum não repúdio.
5.
Não enviarão spam.
6.
Não enviarão bomba de e-mails.
Copyright © The McGraw-Hill Companies, Inc. Permissão para reprodução
POLÍTICA DE PRIVACIDADE DE E-MAIL
• As organizações podem atenuar muitos dos riscos de
e-mails e mensagens instântaneas, ferramentas de comunicação,
mediante implementação e adoção de uma política de privacidade
de e-mail.
• Política de privacidade de e-mail – detalha em que medida as
mensagens de e-mails podem ser lidas por terceiros.
Copyright © The McGraw-Hill Companies, Inc. Permissão para reprodução
POLÍTICA DE PRIVACIDADE DE E-MAIL
Copyright © The McGraw-Hill Companies, Inc. Permissão para reprodução
POLÍTICA DE PRIVACIDADE DE E-MAIL
1.
Deve complementar o uso ético de computadores.
2.
Define quem legitimamente são os usuários de e-mail.
3.
Identifica o processo de backup.
4.
Explica motivos legítimos para a leitura das mensagens do
e-mail.
Copyright © The McGraw-Hill Companies, Inc. Permissão para reprodução
POLÍTICA DE PRIVACIDADE DE E-MAIL
5.
Controle sobre a informações de e-mail.
6.
Explica ramificações de partida.
7.
Pede que os funcionários tenham cuidado ao postar
informações organizacionais.
Copyright © The McGraw-Hill Companies, Inc. Permissão para reprodução
POLÍTICA DE USO DA INTERNET
• Política de uso da internet – contém princípios gerais para
orientar seu uso correto.
1. Descreve os serviços disponíveis na internet
2. Define o propósito e as restrições do acesso à internet
3. Complementa a política do uso ético de computadores
4. Descreve a responsabilidade
5. Expressa as consequências de violação
Copyright © The McGraw-Hill Companies, Inc. Permissão para reprodução
POLÍTICA ANTISPAM
• Spam – mensagem não solicitada.
• Spam representa de 40% a 60% do tráfego de e-mail da maioria
das empresas e custou às empresas americanas mais de
US$ 10 bilhões em 2005.
• Política antispam – simplesmente afirma que os usuários de
e-mail não enviarão mensagens não solicitadas (ou spam).
Copyright © The McGraw-Hill Companies, Inc. Permissão para reprodução
ÉTICA NO TRABALHO
• O monitoramento do ambiente de trabalho é uma preocupação
para muitos funcionários.
• As organizações podem assumir responsabilidade financeira pelas
ações dos funcionários.
• O dilema referente ao monitoramento do ambiente de trabalho é
que uma organização pode se colocar em risco se não monitorar
os funcionários, entretanto, algumas pessoas acham que o
monitoramento é antiético.
Copyright © The McGraw-Hill Companies, Inc. Permissão para reprodução
TECNOLOGIAS DE MONITORAMENTO
• Monitoramento – acompanhamento das atividades das pessoas
por meio de medidas como o número de toques, a taxa de erro, o
número de transações processadas.
• Tecnologias de monitoramento comuns incluem:
 Software Key logger ou Key trapper
 Hardware key logger
 Cookie
 Adware
 Spyware
 Web log
 Clickstream
Copyright © The McGraw-Hill Companies, Inc. Permissão para reprodução
POLÍTICAS DE MONITORAMENTO DO COLABORAR
• Políticas de monitoramento do colaborador – explicitamente declaram
como, quando e onde a empresa monitora os funcionários:
1.
Ser específico.
2.
Aplicar a política.
3.
Aplicar mesma política para todos os funcionários
4.
Comunicar os direitos de monitoramento a todos os funcionários.
Declarar quando o monitoramento será realizado.
6.
Declarar o que será monitorado.
7.
Descrever os tipos de informações coletadas.
8.
Declarar as consequências por violar a política.
9.
Declarar as disposições de atualizações da política.
10. Especificar o escopo e a forma de monitoramento.
11. Obter um recibo escrito reconhecendo as políticas.
5.
Copyright © The McGraw-Hill Companies, Inc. Permissão para reprodução
SEÇÃO 4.2
SEGURANÇA
DA INFORMAÇÃO
Copyright © The McGraw-Hill Companies, Inc. Permissão para reprodução
OBJETIVOS DE APRENDIZAGEM
6.
Descrever a relação entre políticas de segurança da informação
e um plano de segurança da informação.
7.
Resumir os cinco passos para a criação de um plano de
segurança da informação.
8.
9.
Dar um exemplo de cada uma das três áreas principais da
segurança da informação: (1) autenticação e autorização,
(2) prevenção e resistência e (3) detecção e resposta.
10.
Descrever as relações e as diferenças entre hackers e vírus.
Copyright © The McGraw-Hill Companies, Inc. Permissão para reprodução
TEMPO OCIOSO
Copyright © The McGraw-Hill Companies, Inc. Permissão para reprodução
TEMPO OCIOSO
• Quanto o tempo ocioso custará ao seu negócio?
Copyright © The McGraw-Hill Companies, Inc. Permissão para reprodução
PROTEGER OS ATIVOS INTELECTUAIS
• Informação organizacional é um capital intelectual e deve ser
protegida.
• Segurança da informação – proteção da informação contra mau
uso acidental ou intencional por pessoas dentro ou fora da
empresa.
• O e-Business automaticamente cria riscos tremendos para a
segurança da informação das organizações.
Copyright © The McGraw-Hill Companies, Inc. Permissão para reprodução
PROTEGER OS ATIVOS INTELECTUAIS
Copyright © The McGraw-Hill Companies, Inc. Permissão para reprodução
PROTEGER OS ATIVOS INTELECTUAIS
Copyright © The McGraw-Hill Companies, Inc. Permissão para reprodução
A PRIMEIRA LINHA DE DEFESA – AS PESSOAS
• Empresas devem permitir que funcionários, consumidores e
parceiros acessem as informações eletronicamente.
• O maior problema relacionado à segurança da informação não é
técnico, mas um problema de pessoas.
• 33% dos incidentes de segurança são originados dentro da
organização.
 Insiders – usuários legítimos que proposital ou acidentalmente
fazem mau uso do acesso ao ambiente e causam algum tipo de
incidente que afeta os negócios.
Copyright © The McGraw-Hill Companies, Inc. Permissão para reprodução
A PRIMEIRA LINHA DE DEFESA – AS PESSOAS
• A primeira linha de defesa que uma empresa deve seguir para
combater os problemas internos é desenvolver uma política de
segurança da informação e um plano de segurança da informação.
 Política de segurança da informação
 Plano de segurança da informação
Copyright © The McGraw-Hill Companies, Inc. Permissão para reprodução
A PRIMEIRA LINHA DE DEFESA – AS PESSOAS
• Hackers frequentemente usam “engenharia social” para obter
senhas.
 Engenharia social – usa habilidades sociais para enganar as
pessoas fazendo com que elas revelem as credenciais de
acesso ou outras informações valiosas para o hacker.
Copyright © The McGraw-Hill Companies, Inc. Permissão para reprodução
A PRIMEIRA LINHA DE DEFESA – AS PESSOAS
• Cinco passos para a criação de um plano de segurança da informação:
1.
2.
3.
4.
5.
Desenvolva as políticas de segurança da informação.
Comunique as políticas de segurança da informação.
Identifique os principais ativos e riscos associados da
informação.
Teste e reavalie os riscos.
Obtenha apoio das partes interessadas.
Copyright © The McGraw-Hill Companies, Inc. Permissão para reprodução
A SEGUNDA LINHA DE DEFESA – A TECNOLOGIA
• Há três áreas principais de segurança da informação:
1.
2.
3.
Autenticação e autorização
Prevenção e resistência
Detecção e resposta
Copyright © The McGraw-Hill Companies, Inc. Permissão para reprodução
AUTENTICAÇÃO E AUTORIZAÇÃO
• Autenticação – método para confirmar as identidades dos
usuários.
• Autorização – processo de permitir a alguém fazer ou ter algo.
• E o tipo de autenticação mais seguro envolve:
1.
2.
3.
Algo que o usuário conheça.
Algo que o usuário tenha.
Algo que é parte do usuário.
Copyright © The McGraw-Hill Companies, Inc. Permissão para reprodução
ALGO QUE O USUÁRIO CONHEÇA – ID DE USUÁRIO E SENHA
• Essa é a maneira mais comum de identificar os usuários
individualmente e, normalmente, contém um ID e uma senha.
• Essa também é a forma mais ineficaz de autenticação.
• Mais de 50% das chamadas de assistência técnica (help desk)
estão relacionadas ao uso de senha.
Copyright © The McGraw-Hill Companies, Inc. Permissão para reprodução
ALGO QUE O USUÁRIO CONHEÇA – ID DE USUÁRIO E SENHA
• Roubo de identidade – falsificação da identidade de alguém com
o intuito de cometer fraude.
• Phishing – técnica de obtenção de informações pessoais para
roubar identidades, geralmente mediante e-mail fraudulento.
Copyright © The McGraw-Hill Companies, Inc. Permissão para reprodução
ALGO QUE O USUÁRIO CONHEÇA – ID DE USUÁRIO E SENHA
• Cartões inteligentes e tokens são mais eficazes do que um ID de
usuário e uma senha.
 Tokens –pequenos dispositivos eletrônicos que alteram as
senhas do usuário automaticamente.
 Cartão inteligente –dispositivo que tem o tamanho de um
cartão de crédito, embutindo tecnologias que podem armazenar
informações e pequenas porções de software para executar
alguns processamentos limitados.
Copyright © The McGraw-Hill Companies, Inc. Permissão para reprodução
ALGO QUE É PARTE DO USUÁRIO – UMA IMPRESSÃO
DIGITAL OU ASSINATURA DE VOZ
• Esta é de longe a melhor e mais eficaz forma de gerir a
autenticação.
 Biometria – identificação de um usuário com base em uma
característica física, como uma impressão digital, a íris, a face,
a voz ou a escrita à mão.
• Infelizmente, este método pode ser dispendioso e intrusivo.
Copyright © The McGraw-Hill Companies, Inc. Permissão para reprodução
PREVENÇÃO E RESISTÊNCIA
• O tempo de inatividade pode custar para uma empresa qualquer de
US$100 a US$1 milhão por hora.
• As tecnologias disponíveis para ajudar a prevenir e criar resistência
aos ataques incluem:
1. filtragem de conteúdo
2. criptografia
3. Firewalls
Copyright © The McGraw-Hill Companies, Inc. Permissão para reprodução
FILTRAGEM DE CONTEÚDO
• Filtragem de conteúdo – evita a transmissão de e-mails que
contenham informações confidenciais e impede spam e a
disseminação de vírus.
• Perdas corporativas causadas por spam.
Copyright © The McGraw-Hill Companies, Inc. Permissão para reprodução
CRIPTOGRAFIA
• Se houver uma violação da segurança da informação, e esta estivesse
criptografada, a pessoa que a roubou não conseguiria lê-la.
 Criptografia
 Sistema de criptografia de chave pública (PKE)
Copyright © The McGraw-Hill Companies, Inc. Permissão para reprodução
CRIPTOGRAFIA
Copyright © The McGraw-Hill Companies, Inc. Permissão para reprodução
FIREWALLS
• Uma das defesas mais comuns para prevenir uma violação de
segurança é um firewall.
• Firewall – hardware e/ou software que protege uma rede privada
por meio da análise das informações que entram e saem da rede.
Copyright © The McGraw-Hill Companies, Inc. Permissão para reprodução
FIREWALLS
• Exemplo de arquitetura de firewall conectando sistemas localizados
em Chicago, Nova York e Boston.
Copyright © The McGraw-Hill Companies, Inc. Permissão para reprodução
DETECÇÃO E RESPOSTA
• Se as estratégias de prevenção e resistência falham e há uma
violação de segurança, uma empresa pode utilizar as tecnologias
de detecção e resposta para minimizar os estragos.
• Software antivírus é o tipo mais comum de tecnologia de detecção
e resposta.
Copyright © The McGraw-Hill Companies, Inc. Permissão para reprodução
DETECÇÃO E RESPOSTA
• Hacker – extremos conhecedores de computadores que usam seu
conhecimento para invadir os computadores de outras pessoas.
 White-hat hacker
 Black-hat hacker
 Hacktivistas
 Script kiddies ou script bunnies
 Cracker
 Cyberterroristas
Copyright © The McGraw-Hill Companies, Inc. Permissão para reprodução
DETECÇÃO E RESPOSTA
• Vírus – software feito com a intenção maliciosa de causar
incômodo ou prejuízo.
 Worm
 Ataque de negativa de serviço (DoS)
 Ataque distribuído de negativa de serviço (DDoS)
 Vírus cavalo de Troia
 Programas backdoor
 Vírus e worms polimórficos
Copyright © The McGraw-Hill Companies, Inc. Permissão para reprodução
DETECÇÃO E RESPOSTA
• Ameaças de segurança ao e-Business incluem:
 Elevação de privilégio
 Hoaxes
 Código malicioso
 Spoofing
 Spyware
 Sniffer
 Packet tampering
Copyright © The McGraw-Hill Companies, Inc. Permissão para reprodução