módulo dois PRINCÍPIOS BÁSICOS DOS SISTEMAS DE INFORMAÇÃO Copyright © The McGraw-Hill Companies, Inc. Permissão para reprodução Capítulo 4 Ética e segurança da informação Copyright © The McGraw-Hill Companies, Inc. Permissão para reprodução VISÃO GERAL • SEÇÃO 4.1 – ÉTICA Ética Ética da informação Desenvolvimento de políticas de gerenciamento da informação Ética no trabalho • SEÇÃO 4.2 – SEGURANÇA DA INFORMAÇÃO Proteger os ativos intelectuais Primeira linha de defesa – pessoas Segunda linha de defesa – tecnologia Copyright © The McGraw-Hill Companies, Inc. Permissão para reprodução FUNDAMENTOS DA ORGANIZAÇÃO – ÉTICA E SEGURANÇA • Ética e segurança são dois pilares fundamentais. Todas as empresas devem apoiar seus negócios neles para serem bemsucedidas. • Nos últimos anos, eventos como a Enron e de Martha Stewart, junto com o 11 de setembro, lançaram uma nova luz sobre o significado de ética e segurança. Copyright © The McGraw-Hill Companies, Inc. Permissão para reprodução SEÇÃO 4.1 ÉTICA Copyright © The McGraw-Hill Companies, Inc. Permissão para reprodução OBJETIVOS DE APRENDIZAGEM 1. Explicar as questões éticas que envolvem a tecnologia da informação. 2. Identificar as diferenças entre uma política ética de uso do computador e uma política de uso aceitável. 3. Descrever a relação entre uma política de privacidade de e-mail e uma política de uso da internet. Copyright © The McGraw-Hill Companies, Inc. Permissão para reprodução OBJETIVOS DE APRENDIZAGEM 4. Explicar os efeitos do spam em uma organização. 5. Resumir as diferentes tecnologias de monitoramento e explicar a importância de uma política de monitoramento dos empregados. Copyright © The McGraw-Hill Companies, Inc. Permissão para reprodução ÉTICA • Ética – princípios e as normas que guiam o nosso comportamento em relação a outras pessoas. • Questões afetadas pelos avanços tecnológicos Propriedade intelectual Direitos autorais Doutrina do uso justo Software pirateado Software falsificado Copyright © The McGraw-Hill Companies, Inc. Permissão para reprodução ÉTICA • A privacidade é um grande problema ético: Privacidade – direito de ser deixado sozinho quando você quiser, de ter controle sobre seus próprios bens pessoais e não ser observado sem o seu consentimento. Confidencialidade – garantia de que as mensagens e informações estão disponíveis apenas para aqueles que estão autorizados a vê-las. Copyright © The McGraw-Hill Companies, Inc. Permissão para reprodução ÉTICA • Um dos principais ingredientes da confiança é a privacidade. • Principais razões de as questões de privacidade reduzirem a confiança do e-Business. Copyright © The McGraw-Hill Companies, Inc. Permissão para reprodução ÉTICA DA INFORMAÇÃO • Os indivíduos formam a única parte ética do TI: Indivíduos copiam, utilizam e distribuem softwares. Pesquisam bases de dados organizacionais para obter informações pessoais e corporativas confidenciais. Indivíduos criam e disseminam vírus. Indivíduos invadem sistemas de computadores para roubar informações. Empregados destroem ou roubam informações. Copyright © The McGraw-Hill Companies, Inc. Permissão para reprodução A INFORMAÇÃO NÃO TEM ÉTICA • Agir eticamente e agir legalmente nem sempre são a mesma coisa. Copyright © The McGraw-Hill Companies, Inc. Permissão para reprodução A INFORMAÇÃO NÃO TEM ÉTICA • A informação não se importa em como será usada. • A informação não é capaz de parar, sozinha, de enviar spam, vírus e outras informações ultrassensíveis. • A informação não pode excluir-se ou preservar-se. Copyright © The McGraw-Hill Companies, Inc. Permissão para reprodução DESENVOLVIMENTO DE POLÍTICAS DE GERENCIAMENTO DA INFORMAÇÃO Organizações se esforçam para construir uma cultura corporativa baseada em princípios éticos que os empregados possam entender e implementar. • Geralmente e-policies incluem: Política do uso ético de computadores Política de privacidade da informação Política de aceitação de uso Política de privacidade de e-mail Política de uso da internet Política anti-spam Copyright © The McGraw-Hill Companies, Inc. Permissão para reprodução POLÍTICA DO USO ÉTICO DE COMPUTADORES • Política do uso ético de computadores – contém princípios éticos gerais para orientar o comportamento do usuário. • Política de uso ético de computadores garante que todos os usuários sejam informados das regras e, com base nisso, ao concordarem em utilizar o sistema, consentem no cumprimento das regras. Copyright © The McGraw-Hill Companies, Inc. Permissão para reprodução POLÍTICA DO USO ÉTICO DE COMPUTADORES 1. A informação é um ativo valioso das empresas. 2. O CIO é o administrador das informações corporativas. 3. O CIO é responsável pelo acesso à informação. 4. O CIO é responsável por prevenir a destruição da informação. 5. O CIO é responsáveis por práticas de informação e políticas de gestão. 6. O CIO deve executar políticas de gerenciamento da informação da organização. Copyright © The McGraw-Hill Companies, Inc. Permissão para reprodução POLÍTICA DE PRIVACIDADE DA INFORMAÇÃO • Geralmente o uso ético da informação ocorre “sem querer” quando ela é utilizada para novos fins. • Política de privacidade da informação – Contendo princípios gerais sobre a privacidade da informação. Copyright © The McGraw-Hill Companies, Inc. Permissão para reprodução POLÍTICA DE PRIVACIDADE DA INFORMAÇÃO • Orientações organizacionais para a criação de uma política de privacidade da informação: 1. Adoção e implementação de uma política de privacidade 2. Notificação e divulgação 3. Escolha e consentimento 4. Segurança da informação 5. Qualidade e acesso à informação Copyright © The McGraw-Hill Companies, Inc. Permissão para reprodução POLÍTICA DE USO ACEITÁVEL • Política de uso aceitável (AUP) – política com a qual o usuário deve concordar em seguir a fim de receber o acesso a uma rede ou à internet. • Uma AUP usualmente contém uma cláusula de não repúdio. Copyright © The McGraw-Hill Companies, Inc. Permissão para reprodução POLÍTICA DE USO ACEITÁVEL 1. Não violarão nenhuma lei. 2. Não quebrarão a segurança. 3. Não postarão mensagens comerciais. 4. Não realizarão nenhum não repúdio. 5. Não enviarão spam. 6. Não enviarão bomba de e-mails. Copyright © The McGraw-Hill Companies, Inc. Permissão para reprodução POLÍTICA DE PRIVACIDADE DE E-MAIL • As organizações podem atenuar muitos dos riscos de e-mails e mensagens instântaneas, ferramentas de comunicação, mediante implementação e adoção de uma política de privacidade de e-mail. • Política de privacidade de e-mail – detalha em que medida as mensagens de e-mails podem ser lidas por terceiros. Copyright © The McGraw-Hill Companies, Inc. Permissão para reprodução POLÍTICA DE PRIVACIDADE DE E-MAIL Copyright © The McGraw-Hill Companies, Inc. Permissão para reprodução POLÍTICA DE PRIVACIDADE DE E-MAIL 1. Deve complementar o uso ético de computadores. 2. Define quem legitimamente são os usuários de e-mail. 3. Identifica o processo de backup. 4. Explica motivos legítimos para a leitura das mensagens do e-mail. Copyright © The McGraw-Hill Companies, Inc. Permissão para reprodução POLÍTICA DE PRIVACIDADE DE E-MAIL 5. Controle sobre a informações de e-mail. 6. Explica ramificações de partida. 7. Pede que os funcionários tenham cuidado ao postar informações organizacionais. Copyright © The McGraw-Hill Companies, Inc. Permissão para reprodução POLÍTICA DE USO DA INTERNET • Política de uso da internet – contém princípios gerais para orientar seu uso correto. 1. Descreve os serviços disponíveis na internet 2. Define o propósito e as restrições do acesso à internet 3. Complementa a política do uso ético de computadores 4. Descreve a responsabilidade 5. Expressa as consequências de violação Copyright © The McGraw-Hill Companies, Inc. Permissão para reprodução POLÍTICA ANTISPAM • Spam – mensagem não solicitada. • Spam representa de 40% a 60% do tráfego de e-mail da maioria das empresas e custou às empresas americanas mais de US$ 10 bilhões em 2005. • Política antispam – simplesmente afirma que os usuários de e-mail não enviarão mensagens não solicitadas (ou spam). Copyright © The McGraw-Hill Companies, Inc. Permissão para reprodução ÉTICA NO TRABALHO • O monitoramento do ambiente de trabalho é uma preocupação para muitos funcionários. • As organizações podem assumir responsabilidade financeira pelas ações dos funcionários. • O dilema referente ao monitoramento do ambiente de trabalho é que uma organização pode se colocar em risco se não monitorar os funcionários, entretanto, algumas pessoas acham que o monitoramento é antiético. Copyright © The McGraw-Hill Companies, Inc. Permissão para reprodução TECNOLOGIAS DE MONITORAMENTO • Monitoramento – acompanhamento das atividades das pessoas por meio de medidas como o número de toques, a taxa de erro, o número de transações processadas. • Tecnologias de monitoramento comuns incluem: Software Key logger ou Key trapper Hardware key logger Cookie Adware Spyware Web log Clickstream Copyright © The McGraw-Hill Companies, Inc. Permissão para reprodução POLÍTICAS DE MONITORAMENTO DO COLABORAR • Políticas de monitoramento do colaborador – explicitamente declaram como, quando e onde a empresa monitora os funcionários: 1. Ser específico. 2. Aplicar a política. 3. Aplicar mesma política para todos os funcionários 4. Comunicar os direitos de monitoramento a todos os funcionários. Declarar quando o monitoramento será realizado. 6. Declarar o que será monitorado. 7. Descrever os tipos de informações coletadas. 8. Declarar as consequências por violar a política. 9. Declarar as disposições de atualizações da política. 10. Especificar o escopo e a forma de monitoramento. 11. Obter um recibo escrito reconhecendo as políticas. 5. Copyright © The McGraw-Hill Companies, Inc. Permissão para reprodução SEÇÃO 4.2 SEGURANÇA DA INFORMAÇÃO Copyright © The McGraw-Hill Companies, Inc. Permissão para reprodução OBJETIVOS DE APRENDIZAGEM 6. Descrever a relação entre políticas de segurança da informação e um plano de segurança da informação. 7. Resumir os cinco passos para a criação de um plano de segurança da informação. 8. 9. Dar um exemplo de cada uma das três áreas principais da segurança da informação: (1) autenticação e autorização, (2) prevenção e resistência e (3) detecção e resposta. 10. Descrever as relações e as diferenças entre hackers e vírus. Copyright © The McGraw-Hill Companies, Inc. Permissão para reprodução TEMPO OCIOSO Copyright © The McGraw-Hill Companies, Inc. Permissão para reprodução TEMPO OCIOSO • Quanto o tempo ocioso custará ao seu negócio? Copyright © The McGraw-Hill Companies, Inc. Permissão para reprodução PROTEGER OS ATIVOS INTELECTUAIS • Informação organizacional é um capital intelectual e deve ser protegida. • Segurança da informação – proteção da informação contra mau uso acidental ou intencional por pessoas dentro ou fora da empresa. • O e-Business automaticamente cria riscos tremendos para a segurança da informação das organizações. Copyright © The McGraw-Hill Companies, Inc. Permissão para reprodução PROTEGER OS ATIVOS INTELECTUAIS Copyright © The McGraw-Hill Companies, Inc. Permissão para reprodução PROTEGER OS ATIVOS INTELECTUAIS Copyright © The McGraw-Hill Companies, Inc. Permissão para reprodução A PRIMEIRA LINHA DE DEFESA – AS PESSOAS • Empresas devem permitir que funcionários, consumidores e parceiros acessem as informações eletronicamente. • O maior problema relacionado à segurança da informação não é técnico, mas um problema de pessoas. • 33% dos incidentes de segurança são originados dentro da organização. Insiders – usuários legítimos que proposital ou acidentalmente fazem mau uso do acesso ao ambiente e causam algum tipo de incidente que afeta os negócios. Copyright © The McGraw-Hill Companies, Inc. Permissão para reprodução A PRIMEIRA LINHA DE DEFESA – AS PESSOAS • A primeira linha de defesa que uma empresa deve seguir para combater os problemas internos é desenvolver uma política de segurança da informação e um plano de segurança da informação. Política de segurança da informação Plano de segurança da informação Copyright © The McGraw-Hill Companies, Inc. Permissão para reprodução A PRIMEIRA LINHA DE DEFESA – AS PESSOAS • Hackers frequentemente usam “engenharia social” para obter senhas. Engenharia social – usa habilidades sociais para enganar as pessoas fazendo com que elas revelem as credenciais de acesso ou outras informações valiosas para o hacker. Copyright © The McGraw-Hill Companies, Inc. Permissão para reprodução A PRIMEIRA LINHA DE DEFESA – AS PESSOAS • Cinco passos para a criação de um plano de segurança da informação: 1. 2. 3. 4. 5. Desenvolva as políticas de segurança da informação. Comunique as políticas de segurança da informação. Identifique os principais ativos e riscos associados da informação. Teste e reavalie os riscos. Obtenha apoio das partes interessadas. Copyright © The McGraw-Hill Companies, Inc. Permissão para reprodução A SEGUNDA LINHA DE DEFESA – A TECNOLOGIA • Há três áreas principais de segurança da informação: 1. 2. 3. Autenticação e autorização Prevenção e resistência Detecção e resposta Copyright © The McGraw-Hill Companies, Inc. Permissão para reprodução AUTENTICAÇÃO E AUTORIZAÇÃO • Autenticação – método para confirmar as identidades dos usuários. • Autorização – processo de permitir a alguém fazer ou ter algo. • E o tipo de autenticação mais seguro envolve: 1. 2. 3. Algo que o usuário conheça. Algo que o usuário tenha. Algo que é parte do usuário. Copyright © The McGraw-Hill Companies, Inc. Permissão para reprodução ALGO QUE O USUÁRIO CONHEÇA – ID DE USUÁRIO E SENHA • Essa é a maneira mais comum de identificar os usuários individualmente e, normalmente, contém um ID e uma senha. • Essa também é a forma mais ineficaz de autenticação. • Mais de 50% das chamadas de assistência técnica (help desk) estão relacionadas ao uso de senha. Copyright © The McGraw-Hill Companies, Inc. Permissão para reprodução ALGO QUE O USUÁRIO CONHEÇA – ID DE USUÁRIO E SENHA • Roubo de identidade – falsificação da identidade de alguém com o intuito de cometer fraude. • Phishing – técnica de obtenção de informações pessoais para roubar identidades, geralmente mediante e-mail fraudulento. Copyright © The McGraw-Hill Companies, Inc. Permissão para reprodução ALGO QUE O USUÁRIO CONHEÇA – ID DE USUÁRIO E SENHA • Cartões inteligentes e tokens são mais eficazes do que um ID de usuário e uma senha. Tokens –pequenos dispositivos eletrônicos que alteram as senhas do usuário automaticamente. Cartão inteligente –dispositivo que tem o tamanho de um cartão de crédito, embutindo tecnologias que podem armazenar informações e pequenas porções de software para executar alguns processamentos limitados. Copyright © The McGraw-Hill Companies, Inc. Permissão para reprodução ALGO QUE É PARTE DO USUÁRIO – UMA IMPRESSÃO DIGITAL OU ASSINATURA DE VOZ • Esta é de longe a melhor e mais eficaz forma de gerir a autenticação. Biometria – identificação de um usuário com base em uma característica física, como uma impressão digital, a íris, a face, a voz ou a escrita à mão. • Infelizmente, este método pode ser dispendioso e intrusivo. Copyright © The McGraw-Hill Companies, Inc. Permissão para reprodução PREVENÇÃO E RESISTÊNCIA • O tempo de inatividade pode custar para uma empresa qualquer de US$100 a US$1 milhão por hora. • As tecnologias disponíveis para ajudar a prevenir e criar resistência aos ataques incluem: 1. filtragem de conteúdo 2. criptografia 3. Firewalls Copyright © The McGraw-Hill Companies, Inc. Permissão para reprodução FILTRAGEM DE CONTEÚDO • Filtragem de conteúdo – evita a transmissão de e-mails que contenham informações confidenciais e impede spam e a disseminação de vírus. • Perdas corporativas causadas por spam. Copyright © The McGraw-Hill Companies, Inc. Permissão para reprodução CRIPTOGRAFIA • Se houver uma violação da segurança da informação, e esta estivesse criptografada, a pessoa que a roubou não conseguiria lê-la. Criptografia Sistema de criptografia de chave pública (PKE) Copyright © The McGraw-Hill Companies, Inc. Permissão para reprodução CRIPTOGRAFIA Copyright © The McGraw-Hill Companies, Inc. Permissão para reprodução FIREWALLS • Uma das defesas mais comuns para prevenir uma violação de segurança é um firewall. • Firewall – hardware e/ou software que protege uma rede privada por meio da análise das informações que entram e saem da rede. Copyright © The McGraw-Hill Companies, Inc. Permissão para reprodução FIREWALLS • Exemplo de arquitetura de firewall conectando sistemas localizados em Chicago, Nova York e Boston. Copyright © The McGraw-Hill Companies, Inc. Permissão para reprodução DETECÇÃO E RESPOSTA • Se as estratégias de prevenção e resistência falham e há uma violação de segurança, uma empresa pode utilizar as tecnologias de detecção e resposta para minimizar os estragos. • Software antivírus é o tipo mais comum de tecnologia de detecção e resposta. Copyright © The McGraw-Hill Companies, Inc. Permissão para reprodução DETECÇÃO E RESPOSTA • Hacker – extremos conhecedores de computadores que usam seu conhecimento para invadir os computadores de outras pessoas. White-hat hacker Black-hat hacker Hacktivistas Script kiddies ou script bunnies Cracker Cyberterroristas Copyright © The McGraw-Hill Companies, Inc. Permissão para reprodução DETECÇÃO E RESPOSTA • Vírus – software feito com a intenção maliciosa de causar incômodo ou prejuízo. Worm Ataque de negativa de serviço (DoS) Ataque distribuído de negativa de serviço (DDoS) Vírus cavalo de Troia Programas backdoor Vírus e worms polimórficos Copyright © The McGraw-Hill Companies, Inc. Permissão para reprodução DETECÇÃO E RESPOSTA • Ameaças de segurança ao e-Business incluem: Elevação de privilégio Hoaxes Código malicioso Spoofing Spyware Sniffer Packet tampering Copyright © The McGraw-Hill Companies, Inc. Permissão para reprodução