SlideShare uma empresa Scribd logo
Capítulo 7


Segurança em sistemas de informação
Objetivos de estudo


• Por que sistemas de informação estão vulneráveis a destruição, erros e
  uso indevido?
• Qual o valor empresarial da segurança e do controle?
• Quais os componentes de uma estrutura organizacional para segurança
  e controle?
• Quais são as mais importantes tecnologias e ferramentas disponíveis
  para salvaguardar recursos de informação?
Boston Celtics marca pontos
importantes contra spyware


• Problema: a frequência de uso de dispositivos sem fio expunha os
  sistemas proprietários do Celtics a spyware.

• Soluções: lançar um sistema avançado de segurança para identificar
  ameaças e reduzir as tentativas de invasão.
Boston Celtics marca pontos
importantes contra spyware



• A aplicação de segurança Mi5 Networks’ Webgate se posiciona entre o
  firewall e a rede do Celtics, impede que o spyware entre na rede e evita
  que as máquinas já infectadas se conectem a ela.

• Demonstra o papel da TI no combate e na manutenção da segurança
  dos computadores.

• Ilustra o papel da tecnologia digital na manutenção da segurança na
  Web.
Boston Celtics marca pontos
importantes contra spyware
Vulnerabilidade dos sistemas e
uso indevido


• Um computador desprotegido conectado à Internet pode ser desativado
  em segundos

• Segurança:

   • Políticas, procedimentos e medidas técnicas usadas para prevenir
     acesso não autorizado, roubo ou danos físicos aos sistemas de
     informação.

• Controles:

   • Métodos, políticas e procedimentos organizacionais que garantem a
     segurança dos ativos da organização, a precisão e a confiabilidade
     de seus registros contábeis e a adesão operacional aos padrões
     administrativos.
Vulnerabilidade dos sistemas e
uso indevido

               Por que os sistemas são vulneráveis
• Problemas de hardware
    • Avarias, erros de configuração, danos causados pelo uso impróprio
      ou por crimes.
• Problemas de software
    • Erros de programação, erros de instalação, mudanças não
      autorizadas.
• Desastres
    • Quedas de energia, enchentes, incêndios etc.
• Uso de redes e computadores fora dos limites e do controle da
  empresa
    • Exemplo: uso por fornecedores nacionais ou estrangeiros.
Vulnerabilidade dos sistemas e
  uso indevido

     Vulnerabilidades e desafios de segurança contemporâneos




Normalmente, a arquitetura de uma aplicação baseada na Web inclui um cliente, um servidor e
sistemas de informação corporativos conectados a bancos de dados. Cada um desses
componentes apresenta vulnerabilidades e desafios de segurança. Enchentes, incêndios, quedas
de energia e outros problemas técnicos podem causar interrupções em qualquer ponto da rede.
Vulnerabilidade dos sistemas e
  uso indevido

• Vulnerabilidades da Internet

    • Rede aberta a qualquer usuário

    • O tamanho da Internet propicia que os abusos tenham um alto impacto

    • Uso de endereços de Internet fixos com conexões permanentes à rede
      mundial facilita a identificação por hackers

    • Anexos de e-mail

    • E-mails usados para transmissão de segredos de negócios

    • Mensagens instantâneas não são seguras e podem ser facilmente
      interceptadas
Vulnerabilidade dos sistemas e
uso indevido

• Desafios da segurança sem fio
    • Bandas de rádiofrequência são fáceis de serem escaneadas
    • Identificadores de conjunto de serviços (SSIDs)
         • Identificar pontos de acesso
         • Transmitidos várias vezes
    • War driving
         • Espião dirige um carro entre edifícios ou estaciona do lado de fora e
           tenta interceptar o tráfego por redes sem fio
         • Quando os hackers obtêm acesso ao SSID, conseguem acessar os
           recursos da rede
    • WEP (Wired Equivalent Privacy)
         • Padrão de segurança para 802.11
         • Especificações básicas compartilham a mesma senha tanto para
           usuários quanto para os pontos de acesso
         • Usuários não fazem uso de recursos de segurança
Vulnerabilidade dos sistemas e
uso indevido

              Desafios de segurança em ambientes Wi-Fi


Muitas redes Wi-Fi
podem ser facilmente
invadidas por intrusos.
Eles usam programas
sniffers para obter um
endereço e, assim,
acessar sem
autorização os
recursos da rede.




                          Figura 7.2
Vulnerabilidade dos sistemas e
uso indevido

 Software mal-intencionado: vírus, worms, cavalos de Troia e
                         spywares

• Malware
   • Vírus
       • Programa de software espúrio que se anexa a outros programas de
         software ou arquivos de dados a fim de ser executado
   • Worms
       • Programas de computador independentes que copiam a si mesmos de
         um computador para outro por meio de uma rede
   • Cavalos de Troia
       • Software que parece benigno, mas depois faz algo diferente do
         esperado
Vulnerabilidade dos sistemas e
uso indevido

 Software mal-intencionado: vírus, worms, cavalos de Troia e
                         spywares

• Malware (continuação)
   • Spyware
       • Pequenos programas que se instalam sorrateiramente nos
         computadores para monitorar a atividade do internauta e usar as
         informações para fins de marketing.
   • Key loggers
       • Registram cada tecla pressionada em um computador para
         roubar números seriais de softwares, senhas, deflagrar ataques
         na Internet.
Vulnerabilidade dos sistemas e
uso indevido

                      Hackers e cibervandalismo

• Hackers versus crackers
• Atividades incluídas:
 • invasão de sistemas;
 • danos a sistemas; e
 • cibervandalismo.
   • Interrupção, a alteração da aparência ou até mesmo a destruição
     intencional de um site ou sistema de informação corporativo.
Vulnerabilidade dos sistemas e
  uso indevido

                       Hackers e cibervandalismo
• Spoofing
    • Apresentar-se de maneira disfarçada, usando endereços de e-mail falsos
      ou fingindo ser outra pessoa.
    • Redirecionamento de um link para um endereço diferente do desejado,
      estando o site espúrio “disfarçado” como o destino pretendido.
• Sniffer
    • Programa espião que monitora as informações transmitidas por uma
      rede.
    • Permitem que os hackers roubem informações de qualquer parte da
      rede, inclusive mensagens de e-mail, arquivos da empresa e relatórios
      confidenciais.
Vulnerabilidade dos sistemas e
uso indevido

                    Hackers e cibervandalismo


• Ataque de recusa de serviço (DoS)
   • Sobrecarregar o servidor com centenas de requisições falsas, a fim
     de inutilizar a rede
• Ataque distribuído de recusa de serviço (DDoS)
   • Uso de inúmeros computadores para iniciar um DoS
   • Botnets
       • Redes de PCs “zumbis” infiltradas por um malware robô
Vulnerabilidade dos sistemas e
 uso indevido

                     Hackers e cibervandalismo
• Crimes de informática
   • Definidos como “quaisquer violações da legislação criminal que envolvam
     conhecimento de tecnologia da informática em sua perpetração,
     investigação ou instauração de processo”
   • Computadores podem ser alvo de crimes:
       • Violar a confidencialidade de dados computadorizados protegidos
       • Acessar um sistema de computador sem autorização
   • Computadores podem ser instrumentos de crimes:
       • Roubo de segredos comerciais
       • Usar e-mail para ameaças ou assédio
Vulnerabilidade dos sistemas e
  uso indevido

                       Hackers e cibervandalismo
• Roubo de identidade
    • Roubo de informações pessoais (número de identificação da Previdência
      Social, número da carteira de motorista ou número do cartão de crédito)
      para se fazer passar por outra pessoa.
• Phishing
    • Montar sites falsos ou enviar mensagens de e-mail parecidas com as
      enviadas por empresas legítimas, a fim de pedir aos usuários dados
      pessoais confidenciais.
• Evil twins
    • Redes sem fio que fingem oferecer conexões Wi-Fi confiáveis à Internet.
Vulnerabilidade dos sistemas e
uso indevido

                     Hackers e cibervandalismo

• Pharming
   • Redireciona os usuários a uma página da Web falsa, mesmo quando
     a pessoa digita o endereço correto da página da Web no seu
     navegador.
• Fraude do clique
   • Ocorre quando um indivíduo ou programa de computador clica
     fraudulentamente em um anúncio on-line sem qualquer intenção de
     descobrir mais sobre o anunciante ou realizar uma compra.
Vulnerabilidade dos sistemas e
uso indevido

                  Seção interativa: Organizações
                 O pior roubo de dados da História

• Leia a Seção interativa e responda às seguintes perguntas:
   • Liste e descreva as fragilidades do controle de segurança da
     Hannaford Bros. e das empresas TJX. Que fatores humanos,
     organizacionais e tecnológicos contribuíram para esses problemas?
   • Qual foi o impacto empresarial das perdas de dados da TJX e da
     Hannaford sobre essas empresas e seus consumidores?
   • As soluções adotadas pela TJX e pela Hannaford foram eficientes?
     Justifique.
Vulnerabilidade dos sistemas e
 uso indevido

                   Ameaças internas: funcionários

• Ameaças à segurança costumam ter origem na empresa
   • Conhecimento interno
   • Procedimentos de segurança frouxos
       • Falta de conhecimento do usuário
   • Engenharia social:
       • Intrusos mal-intencionados em busca de acesso ao sistema podem
         enganar os funcionários fingindo ser membros legítimos da empresa;
         assim, conseguem fazer com que revelem sua senha
Vulnerabilidade dos sistemas e
 uso indevido

                       Vulnerabilidade do software
• Softwares comerciais contém falhas que criam vulnerabilidades na
  segurança
   • Bugs escondidos (defeitos no código do programa).
       •    A taxa zero de defeitos não pode ser alcançada porque teste
            completo simplesmente não é possível nos grandes programas.
   • As falhas podem tornar a rede vulnerável aos invasores.
• Patches
   • Os fornecedores distribuem pequenos programas que corrigem as falhas.
   • Entretanto, a infinidade de softwares em uso pode fazer com que os
     malwares sejam criados mais rapidamente do que os patches.
Valor empresarial da
segurança e do controle


• Sistemas computacionais com problemas podem levar a uma perda
  substancial, senão total, das funções empresariais.
• Atualmente, as empresas estão mais vulneráveis do que nunca.
• Uma falha de segurança pode diminuir o valor de mercado da empresa
  quase que imediatamente.
• Controle e segurança inadequados também podem criar sérios riscos
  legais.
Valor empresarial da
    segurança e do controle

      Requisitos legais e regulatórios para a gestão de registros
                              eletrônicos
•    As empresas enfrentam novas obrigações legais no que diz respeito à
     retenção de documentos e à gestão de registros eletrônicos, bem
     como à proteção da privacidade
     • HIPAA: regras e procedimentos quanto à privacidade e à segurança
       médicas
     • Lei Gramm-Leach-Bliley: exige que as instituições financeiras
       assegurem a segurança e a confidencialidade dos dados do cliente
     • Lei Sarbanes-Oxley: cabe às empresas e a seus administradores
       salvaguardar a precisão e a integridade das informações financeiras
       utilizadas internamente e publicadas externamente
Valor empresarial da
 segurança e do controle

          Prova eletrônica e perícia forense computacional

• As evidências para os crimes de colarinho branco costumam ser encontradas
  em formato digital.
    • Dados armazenados em dispositivos computacionais, e-mails,
      mensagens instantâneas, transações de e-commerce .
• O controle apropriado dos dados pode economizar tempo e dinheiro no
  atendimento às solicitações de produção de provas.
• Perícia forense computacional:
    • Procedimento científico de coleta, exame, autenticação, preservação e
      análise de dados mantidos em meios de armazenamento digital, de tal
      maneira que as informações possam ser usadas como prova em juízo.
    • Inclui a recuperação de dados ambientes ou ocultos.
Como estabelecer uma estrutura
para segurança e controle


• Controles de sistemas de informação
   •   Controles gerais
       •   Controlam projeto, segurança e uso de programas de
           computadores e a segurança de arquivos de dados em geral
           em toda a infraestrutura de TI da empresa.
       •   Aplicam-se a todas as aplicações computadorizadas.
       •   Combinação de hardware, software e procedimentos manuais
           que criam um ambiente global de controle.
Como estabelecer uma estrutura
para segurança e controle


• Tipos de controles gerais
   • Controles de software
   • Controles de hardware
   • Controles de operações de computador
   • Controles de segurança de dados
   • Controles de implementação
   • Controles administrativos
Como estabelecer uma estrutura
para segurança e controle


• Controles de aplicação
   • Controles específicos exclusivos a cada aplicação
     computadorizada, como processamento de folha de pagamento ou
     pedidos.
   • Incluem tanto procedimentos manuais quanto automatizados.
   • Garantem que somente dados autorizados sejam completa e
     precisamente processados pelas aplicações.
   • Incluem controles de entrada, controles de processamento e
     controles de saída.
Como estabelecer uma estrutura
para segurança e controle

• Avaliação de risco
   • Determina o nível de risco para a empresa caso uma atividade ou um
     processo específico não sejam controlados adequadamente
      • Tipos de ameaças
      • Probabilidade de sua ocorrência ao longo do ano
      • Perdas potenciais, valor da ameaça
      • Prejuízo anual esperado
Como estabelecer uma estrutura
para segurança e controle

• Política de segurança
   • Estabelece hierarquia aos riscos de informação e identifica metas
     de segurança aceitáveis, assim como os mecanismos para atingi-
     las.
   • Dá origem a outras políticas:
       • Política de uso aceitável (acceptable use policy — AUP)
           • Define os usos aceitáveis dos recursos de informação e do
             equipamento de informática da empresa.
       • Políticas de autorização
           • Determinam diferentes níveis de acesso aos ativos de
             informação para diferentes níveis de usuários.
Como estabelecer uma estrutura
para segurança e controle


• Sistemas de gestão de autorização
   • Estabelecem onde e quando um usuário terá permissão para acessar
     determinadas partes de um site ou de um banco de dados
     corporativo.
   • Permitem que cada usuário acesse somente as partes do sistema
     nas quais tem permissão de entrar, com base nas informações
     estabelecidas por um conjunto de regras de acesso.
Vulnerabilidade dos sistemas
  e uso indevido

            Perfis de segurança para um sistema de pessoal
Estes dois exemplos
representam dois perfis
de segurança ou
modelos de segurança
de dados que podem ser
encontrados em um
sistema de pessoal.
Dependendo do perfil de
segurança, um usuário
teria certas restrições de
acesso a vários
sistemas, localizações
ou dados da
organização.
Como estabelecer uma estrutura
 para segurança e controle

           Plano de recuperação de desastres e plano de
                    continuidade dos negócios
• Plano de recuperação de desastres: organiza planos para restauração de
  serviços que tenham sofrido interrupção
• Plano de continuidade dos negócios: concentra-se na restauração das
  operações de negócios após um desastre
   • Ambos os planos devem:
       • Identificar os sistemas mais importantes da empresa.
       • Realizar uma análise de impacto nos negócios, a fim de identificar o
         impacto de uma suspensão em seu funcionamento.
   • A administração precisa determinar quais sistemas serão restaurados
     primeiro.
Como estabelecer uma estrutura
para segurança e controle

                          O papel da auditoria
• Auditoria de sistemas
   • Avalia o sistema geral de segurança da empresa e identifica todos os
     controles que governam sistemas individuais de informação.
   • Revê tecnologias, procedimentos, documentação, treinamento e
     recursos humanos .
   • Pode até mesmo simular um ataque ou desastre para verificar como
     os recursos tecnológicos, a equipe de sistemas de informação e os
     funcionários da empresa reagem.
   • Lista e classifica todos os pontos fracos do controle e estima a
     probabilidade de ocorrerem erros nesses pontos.
   • Avalia o impacto financeiro e organizacional de cada ameaça.
Vulnerabilidade dos sistemas
  e uso indevido
    Exemplo de listagem feita por um auditor para deficiências de
                              controle
Este diagrama representa
uma página da lista de
deficiências de controle que
um auditor poderia encontrar
em um sistema de
empréstimos de um banco
comercial. Além de ajudar o
auditor a registrar e avaliar as
deficiências de controle, o
formulário mostra os
resultados das discussões
dessas deficiências com a
administração, bem como
quaisquer medidas corretivas
tomadas por ela.
Tecnologias e ferramentas
para garantir a segurança dos
recursos de informação

                        Controle de acesso
• Políticas e procedimentos que uma empresa usa para evitar acesso
  indevido a seus sistemas por pessoas não autorizadas dentro e fora da
  organização
   • Autorização
   • Autenticação
       • Senhas de sistemas
       • Tokens
       • Smart cards
       • Autenticação biométrica
Tecnologias e ferramentas
para garantir a segurança dos
recursos de informação

        Firewalls, sistemas de detecção de invasão e
                      softwares antivírus

• Firewall:
   • Combinação de hardware e software que impede que usuários não
     autorizados acessem redes privadas
   • As tecnologias incluem:
      • Filtragem de pacotes estáticos
      • Network address translation (Tradução de Endereços IP)
      • Filtragem de aplicação proxy
Tecnologias e ferramentas
para garantir a segurança dos
recursos de informação

                      Um firewall corporativo
O firewall é
colocado entre a
Internet pública ou
outra rede pouco
confiável e a rede
privada da
empresa, com a
intenção de
proteger esta
contra tráfego não
autorizado.
Tecnologias e ferramentas
 para garantir a segurança dos
 recursos de informação

           Firewalls, sistemas de detecção de invasão e
                         softwares antivírus

• Sistemas de detecção de invasão:
    • Monitoram os pontos mais vulneráveis de redes corporativas, a fim de
      detectar e inibir invasores.
    • Examinam os eventos em tempo real, em busca de ataques à segurança
      em curso.
• Softwares antivírus e anti-spyware:
    • Verificam os computadores a fim de detectar a presença de vírus e,
      muitas vezes, eliminá-los da área infectada.
    • Requerem atualização contínua.
Tecnologias e ferramentas
 para garantir a segurança dos
 recursos de informação

                     Segurança em redes sem fio

• O protocolo WEP oferece alguma margem de segurança se os usuários:
   • Lembrarem-se de ativá-lo.
   • Atribuírem um nome único ao SSID de sua rede.
   • Utilizarem a tecnologia de rede privada virtual (VPN).
• A Wi-Fi Alliance finalizou a especificação 802.11i, que substitui o WEP
  por padrões de segurança mais sólidos
   • Mudança contínua de chaves.
   • Sistema de autenticação criptografado com um servidor.
Tecnologias e ferramentas
para garantir a segurança dos
recursos de informação

        Criptografia e infraestrutura de chave pública

• Criptografia:
   • Transforma textos comuns ou dados em um texto cifrado, que não
     possa ser lido por ninguém a não ser o remetente e o destinatário
     desejados.
   • Dois métodos para criptografar o tráfego de rede:
        • Secure Sockets Layer (SSL) e o seu sucessor, Transport Layer
          Security (TLS).
        • Secure Hypertext Transfer Protocol (S-HTTP).
Tecnologias e ferramentas
para garantir a segurança dos
recursos de informação

        Criptografia e infraestrutura de chave pública

• Dois outros métodos de criptografia:
   • Criptografia de chave simétrica
       • Remetente e destinatário usam e compartilham uma única
         chave.
   • Criptografia de chave pública
       • Usa duas chaves matematicamente relacionadas: uma pública e
         outra privada.
       • O remetente criptografa a mensagem com a chave pública do
         destinatário.
       • O destinatário descriptografa utilizando a chave privada.
Tecnologias e ferramentas
para garantir a segurança dos
recursos de informação

                     Criptografia de chave pública




                                  Figura 7.6

Um sistema de criptografia de chave pública pode ser visto como uma série de
chaves públicas e privadas que “trancam” os dados quando são transmitidos e os
“destrancam” quando são recebidos. O remetente localiza a chave pública do
destinatário em um diretório e a utiliza para criptografar uma mensagem. A
mensagem é enviada sob forma criptografada pela Internet ou por uma rede
privada. Quando ela chega, o destinatário usa sua chave privada para
descriptografar os dados e ler o conteúdo.
Tecnologias e ferramentas
para garantir a segurança dos
recursos de informação

           Criptografia e infraestrutura de chave pública
• Certificado digital:
     • Arquivos de dados usados para determinar a identidade de pessoas
       e ativos eletrônicos, a fim de proteger transações on-line
     • Usa uma terceira parte fidedigna, conhecida como autoridade
       certificadora (Certificate Authority — CA), para validar a identidade de
       um usuário
     • A CA verifica off-line a identidade do usuário e, em seguida, passa a
       informação para um servidor da CA, que gera um certificado digital
       criptografado contendo a identificação do proprietário e uma cópia de
       sua chave pública
• Infraestrutura de chave pública (PKI)
     • Uso da criptografia de chave pública em conjunto com uma CA
     • Amplamente utilizada no comércio eletrônico
Tecnologias e ferramentas
para garantir a segurança dos
recursos de informação

                     Certificados digitais
Os certificados
digitais podem
ser usados para
determinar a
identidade de
pessoas ou
ativos
eletrônicos.
Protegem
transações on-
line ao oferecer
comunicação on-
line segura e
criptografada.
Tecnologias e ferramentas
 para garantir a segurança dos
 recursos de informação

            Como assegurar a disponibilidade do sistema
• O processamento on-line de transações requer 100% de disponibilidade e
  total tolerância a falhas.
• Sistemas de computação tolerantes a falhas:
   • Oferecem serviço contínuo. Exemplo: Bolsa de Valores.
   • Incluem componentes redundantes de hardware, software e
     fornecimento de energia elétrica, criando um ambiente que oferece
     serviço contínuo, ininterrupto.
• Computação de alta disponibilidade:
   • Ajuda na recuperação rápida de uma parada de sistema.
   • Minimiza, mas não elimina, o downtime.
Tecnologias e ferramentas
para garantir a segurança dos
recursos de informação

          Como assegurar a disponibilidade do sistema

• Computação orientada à recuperação
   • Projeto de sistemas que se restabeleçam de forma rápida, com a
     implantação de recursos que ajudem os operadores a descobrir as
     fontes de falhas em sistemas compostos por múltiplos componentes
• Controle do tráfego de rede
   • Inspeção profunda de pacotes (deep packet inspection — DPI)
     (bloqueio de vídeo e música)
• Outsourcing da segurança
   • Provedores de serviços de segurança gerenciada (MSSPs)
Tecnologias e ferramentas
para garantir a segurança dos
recursos de informação

             Garantia da qualidade de software
• Métricas de software: premissas objetivas do sistema na forma de
  medidas quantificadas
   • número de transações;
   • tempo de resposta on-line;
   • número de contracheques impressos por hora; e
   • erros conhecidos por cento de linhas de código.
• Teste inicial regular e completo
• Acompanhamento: revisão de uma especificação, ou documento de
  projeto, realizada por pequeno grupo de pessoas
• Depuração: processo através do qual os erros são eliminados
Tecnologias e ferramentas
para garantir a segurança dos
recursos de informação

                   Seção interativa: Tecnologia
                    Quão segura é a nuvem?
• Leia a Seção interativa e responda às seguintes perguntas:


    • Que problemas de segurança e controle são descritos nesse caso?
      Que fatores pessoais, organizacionais e tecnológicos contribuem
      para esse problema?
    • Quão segura é a computação em nuvem? Explique.
    • Se você fosse responsável pelo departamento de sistemas de
      informação de uma empresa, quais pontos gostaria de esclarecer
      com os possíveis fornecedores?

Mais conteúdo relacionado

Mais procurados

Segurança em IoT - conceitos e iniciativas de padronização
Segurança em IoT - conceitos e iniciativas de padronizaçãoSegurança em IoT - conceitos e iniciativas de padronização
Segurança em IoT - conceitos e iniciativas de padronização
José Reynaldo Formigoni Filho, MSc
 
Desenvolvimento Seguro- 2011
Desenvolvimento Seguro- 2011Desenvolvimento Seguro- 2011
Desenvolvimento Seguro- 2011
Kleitor Franklint Correa Araujo
 
Engenharia Social
Engenharia SocialEngenharia Social
Engenharia Social
Luis Guilherme Rodrigues
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informação
Samantha Nunes
 
Internet das Coisas e o Futuro da Internet
Internet das Coisas e o Futuro da InternetInternet das Coisas e o Futuro da Internet
Internet das Coisas e o Futuro da Internet
Andre Peres
 
Teste de Software Introdução à Qualidade
Teste de Software Introdução à Qualidade Teste de Software Introdução à Qualidade
Teste de Software Introdução à Qualidade
Camilo Ribeiro
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informação
imsp2000
 
Comercio eletronico
Comercio eletronico Comercio eletronico
Comercio eletronico
Rafael Souza
 
Boas Práticas em Segurança da Informação
Boas Práticas em Segurança da InformaçãoBoas Práticas em Segurança da Informação
Boas Práticas em Segurança da Informação
Rodrigo Bueno Santa Maria, BS, MBA
 
Economia compartilhada v1.01
Economia compartilhada v1.01Economia compartilhada v1.01
Economia compartilhada v1.01
Pedro Griese
 
Segurança da Informação - Aula 9 - Introdução a Auditoria de Sistemas
Segurança da Informação - Aula 9 - Introdução a Auditoria de SistemasSegurança da Informação - Aula 9 - Introdução a Auditoria de Sistemas
Segurança da Informação - Aula 9 - Introdução a Auditoria de Sistemas
Cleber Fonseca
 
PDTI - Plano Diretor de Tecnologia da Informação (modelo)
PDTI - Plano Diretor de Tecnologia da Informação (modelo)PDTI - Plano Diretor de Tecnologia da Informação (modelo)
PDTI - Plano Diretor de Tecnologia da Informação (modelo)
Fernando Palma
 
Internet das Coisas - Conceitos, tecnologias e aplicações
Internet das Coisas - Conceitos, tecnologias e aplicaçõesInternet das Coisas - Conceitos, tecnologias e aplicações
Internet das Coisas - Conceitos, tecnologias e aplicações
Fabio Souza
 
Aula 2 - Tarefas e ambiente de marketing
Aula 2 - Tarefas e ambiente de marketingAula 2 - Tarefas e ambiente de marketing
Aula 2 - Tarefas e ambiente de marketing
Kesia Rozzett Oliveira
 
Seguranca de rede
Seguranca de redeSeguranca de rede
Cultura Netflix - Português
Cultura Netflix - PortuguêsCultura Netflix - Português
Cultura Netflix - Português
Diogo Maul
 
Ameacas ataques e Cyberseguranca básica.pdf
Ameacas ataques e Cyberseguranca básica.pdfAmeacas ataques e Cyberseguranca básica.pdf
Ameacas ataques e Cyberseguranca básica.pdf
Edkallenn Lima
 
Extreme programming (xp) - Resumo
Extreme programming (xp) - ResumoExtreme programming (xp) - Resumo
Extreme programming (xp) - Resumo
Daniel Brandão
 
TDD - Test Driven Development
TDD - Test Driven DevelopmentTDD - Test Driven Development
TDD - Test Driven Development
Elias Nogueira
 
Projeto em Seguranca da Informação
Projeto em Seguranca da InformaçãoProjeto em Seguranca da Informação
Projeto em Seguranca da Informação
Fernando Palma
 

Mais procurados (20)

Segurança em IoT - conceitos e iniciativas de padronização
Segurança em IoT - conceitos e iniciativas de padronizaçãoSegurança em IoT - conceitos e iniciativas de padronização
Segurança em IoT - conceitos e iniciativas de padronização
 
Desenvolvimento Seguro- 2011
Desenvolvimento Seguro- 2011Desenvolvimento Seguro- 2011
Desenvolvimento Seguro- 2011
 
Engenharia Social
Engenharia SocialEngenharia Social
Engenharia Social
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informação
 
Internet das Coisas e o Futuro da Internet
Internet das Coisas e o Futuro da InternetInternet das Coisas e o Futuro da Internet
Internet das Coisas e o Futuro da Internet
 
Teste de Software Introdução à Qualidade
Teste de Software Introdução à Qualidade Teste de Software Introdução à Qualidade
Teste de Software Introdução à Qualidade
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informação
 
Comercio eletronico
Comercio eletronico Comercio eletronico
Comercio eletronico
 
Boas Práticas em Segurança da Informação
Boas Práticas em Segurança da InformaçãoBoas Práticas em Segurança da Informação
Boas Práticas em Segurança da Informação
 
Economia compartilhada v1.01
Economia compartilhada v1.01Economia compartilhada v1.01
Economia compartilhada v1.01
 
Segurança da Informação - Aula 9 - Introdução a Auditoria de Sistemas
Segurança da Informação - Aula 9 - Introdução a Auditoria de SistemasSegurança da Informação - Aula 9 - Introdução a Auditoria de Sistemas
Segurança da Informação - Aula 9 - Introdução a Auditoria de Sistemas
 
PDTI - Plano Diretor de Tecnologia da Informação (modelo)
PDTI - Plano Diretor de Tecnologia da Informação (modelo)PDTI - Plano Diretor de Tecnologia da Informação (modelo)
PDTI - Plano Diretor de Tecnologia da Informação (modelo)
 
Internet das Coisas - Conceitos, tecnologias e aplicações
Internet das Coisas - Conceitos, tecnologias e aplicaçõesInternet das Coisas - Conceitos, tecnologias e aplicações
Internet das Coisas - Conceitos, tecnologias e aplicações
 
Aula 2 - Tarefas e ambiente de marketing
Aula 2 - Tarefas e ambiente de marketingAula 2 - Tarefas e ambiente de marketing
Aula 2 - Tarefas e ambiente de marketing
 
Seguranca de rede
Seguranca de redeSeguranca de rede
Seguranca de rede
 
Cultura Netflix - Português
Cultura Netflix - PortuguêsCultura Netflix - Português
Cultura Netflix - Português
 
Ameacas ataques e Cyberseguranca básica.pdf
Ameacas ataques e Cyberseguranca básica.pdfAmeacas ataques e Cyberseguranca básica.pdf
Ameacas ataques e Cyberseguranca básica.pdf
 
Extreme programming (xp) - Resumo
Extreme programming (xp) - ResumoExtreme programming (xp) - Resumo
Extreme programming (xp) - Resumo
 
TDD - Test Driven Development
TDD - Test Driven DevelopmentTDD - Test Driven Development
TDD - Test Driven Development
 
Projeto em Seguranca da Informação
Projeto em Seguranca da InformaçãoProjeto em Seguranca da Informação
Projeto em Seguranca da Informação
 

Destaque

Segurança em sistemas de informação
Segurança em sistemas de informaçãoSegurança em sistemas de informação
Segurança em sistemas de informação
Clausia Antoneli
 
Desenvolvimento de Sistemas de Informação
Desenvolvimento de Sistemas de InformaçãoDesenvolvimento de Sistemas de Informação
Desenvolvimento de Sistemas de Informação
Antonio Dias de Figueiredo
 
Capítulo 12 - Questões éticas e sociais em sistemas de informação
Capítulo 12 - Questões éticas e sociais em sistemas de informaçãoCapítulo 12 - Questões éticas e sociais em sistemas de informação
Capítulo 12 - Questões éticas e sociais em sistemas de informação
Everton Souza
 
Sistemas de Informações Gerenciais - Aula5
Sistemas de Informações Gerenciais - Aula5Sistemas de Informações Gerenciais - Aula5
Sistemas de Informações Gerenciais - Aula5
Leandro Rezende
 
Tipos de Sistema de Informação
Tipos de Sistema de InformaçãoTipos de Sistema de Informação
Tipos de Sistema de Informação
Robson Santos
 
Capítulo 04 - Infraestrutura de tecnologia da informação
Capítulo 04 - Infraestrutura de tecnologia da informaçãoCapítulo 04 - Infraestrutura de tecnologia da informação
Capítulo 04 - Infraestrutura de tecnologia da informação
Everton Souza
 
Sistema de Informação na Empresa
Sistema de Informação na EmpresaSistema de Informação na Empresa
Sistema de Informação na Empresa
Adeildo Telles
 
A sintaxe em mattoso camara jr
A sintaxe em mattoso camara jrA sintaxe em mattoso camara jr
A sintaxe em mattoso camara jr
Josiinha Pereira
 
Administração de sistemas de informação
Administração de sistemas de informaçãoAdministração de sistemas de informação
Administração de sistemas de informação
Tarciso Ferreira
 
Capítulo 11 - Como desenvolver sistemas de informação e gerenciar projetos
Capítulo 11 - Como desenvolver sistemas de informação e gerenciar projetosCapítulo 11 - Como desenvolver sistemas de informação e gerenciar projetos
Capítulo 11 - Como desenvolver sistemas de informação e gerenciar projetos
Everton Souza
 
Capitulo 02 - E-Business global e colaboração
Capitulo 02 - E-Business global e colaboraçãoCapitulo 02 - E-Business global e colaboração
Capitulo 02 - E-Business global e colaboração
Everton Souza
 
Sistemas de Informação como Sistemas de Controle
Sistemas de Informação como Sistemas de ControleSistemas de Informação como Sistemas de Controle
Sistemas de Informação como Sistemas de Controle
Fee Kosta
 
Capítulo 06 - Telecomunicações, Internet e tecnologia sem fio
Capítulo 06 - Telecomunicações, Internet e tecnologia  sem fioCapítulo 06 - Telecomunicações, Internet e tecnologia  sem fio
Capítulo 06 - Telecomunicações, Internet e tecnologia sem fio
Everton Souza
 
Capítulo 03 - Conquistando vantagem competitiva com os sistemas de informação
Capítulo 03 - Conquistando vantagem competitiva com os sistemas de informaçãoCapítulo 03 - Conquistando vantagem competitiva com os sistemas de informação
Capítulo 03 - Conquistando vantagem competitiva com os sistemas de informação
Everton Souza
 
Aula 4 - Plano de Continuidade de Negócios (PCN)
Aula 4 - Plano de Continuidade de Negócios (PCN)Aula 4 - Plano de Continuidade de Negócios (PCN)
Aula 4 - Plano de Continuidade de Negócios (PCN)
Carlos Henrique Martins da Silva
 
Morfossintaxe
MorfossintaxeMorfossintaxe
Segurança, ética e privacidade da informação
Segurança, ética e privacidade da informaçãoSegurança, ética e privacidade da informação
Segurança, ética e privacidade da informação
Daiana de Ávila
 
Testes de segurança
Testes de segurançaTestes de segurança
Testes de segurança
Qualister
 
A História da Segurança da Informação
A História da Segurança da InformaçãoA História da Segurança da Informação
A História da Segurança da Informação
André Santos
 
Capitulo 01 - Os sistemas de informação empresariais na sua carreira
Capitulo 01 - Os sistemas de informação empresariais na sua carreiraCapitulo 01 - Os sistemas de informação empresariais na sua carreira
Capitulo 01 - Os sistemas de informação empresariais na sua carreira
Everton Souza
 

Destaque (20)

Segurança em sistemas de informação
Segurança em sistemas de informaçãoSegurança em sistemas de informação
Segurança em sistemas de informação
 
Desenvolvimento de Sistemas de Informação
Desenvolvimento de Sistemas de InformaçãoDesenvolvimento de Sistemas de Informação
Desenvolvimento de Sistemas de Informação
 
Capítulo 12 - Questões éticas e sociais em sistemas de informação
Capítulo 12 - Questões éticas e sociais em sistemas de informaçãoCapítulo 12 - Questões éticas e sociais em sistemas de informação
Capítulo 12 - Questões éticas e sociais em sistemas de informação
 
Sistemas de Informações Gerenciais - Aula5
Sistemas de Informações Gerenciais - Aula5Sistemas de Informações Gerenciais - Aula5
Sistemas de Informações Gerenciais - Aula5
 
Tipos de Sistema de Informação
Tipos de Sistema de InformaçãoTipos de Sistema de Informação
Tipos de Sistema de Informação
 
Capítulo 04 - Infraestrutura de tecnologia da informação
Capítulo 04 - Infraestrutura de tecnologia da informaçãoCapítulo 04 - Infraestrutura de tecnologia da informação
Capítulo 04 - Infraestrutura de tecnologia da informação
 
Sistema de Informação na Empresa
Sistema de Informação na EmpresaSistema de Informação na Empresa
Sistema de Informação na Empresa
 
A sintaxe em mattoso camara jr
A sintaxe em mattoso camara jrA sintaxe em mattoso camara jr
A sintaxe em mattoso camara jr
 
Administração de sistemas de informação
Administração de sistemas de informaçãoAdministração de sistemas de informação
Administração de sistemas de informação
 
Capítulo 11 - Como desenvolver sistemas de informação e gerenciar projetos
Capítulo 11 - Como desenvolver sistemas de informação e gerenciar projetosCapítulo 11 - Como desenvolver sistemas de informação e gerenciar projetos
Capítulo 11 - Como desenvolver sistemas de informação e gerenciar projetos
 
Capitulo 02 - E-Business global e colaboração
Capitulo 02 - E-Business global e colaboraçãoCapitulo 02 - E-Business global e colaboração
Capitulo 02 - E-Business global e colaboração
 
Sistemas de Informação como Sistemas de Controle
Sistemas de Informação como Sistemas de ControleSistemas de Informação como Sistemas de Controle
Sistemas de Informação como Sistemas de Controle
 
Capítulo 06 - Telecomunicações, Internet e tecnologia sem fio
Capítulo 06 - Telecomunicações, Internet e tecnologia  sem fioCapítulo 06 - Telecomunicações, Internet e tecnologia  sem fio
Capítulo 06 - Telecomunicações, Internet e tecnologia sem fio
 
Capítulo 03 - Conquistando vantagem competitiva com os sistemas de informação
Capítulo 03 - Conquistando vantagem competitiva com os sistemas de informaçãoCapítulo 03 - Conquistando vantagem competitiva com os sistemas de informação
Capítulo 03 - Conquistando vantagem competitiva com os sistemas de informação
 
Aula 4 - Plano de Continuidade de Negócios (PCN)
Aula 4 - Plano de Continuidade de Negócios (PCN)Aula 4 - Plano de Continuidade de Negócios (PCN)
Aula 4 - Plano de Continuidade de Negócios (PCN)
 
Morfossintaxe
MorfossintaxeMorfossintaxe
Morfossintaxe
 
Segurança, ética e privacidade da informação
Segurança, ética e privacidade da informaçãoSegurança, ética e privacidade da informação
Segurança, ética e privacidade da informação
 
Testes de segurança
Testes de segurançaTestes de segurança
Testes de segurança
 
A História da Segurança da Informação
A História da Segurança da InformaçãoA História da Segurança da Informação
A História da Segurança da Informação
 
Capitulo 01 - Os sistemas de informação empresariais na sua carreira
Capitulo 01 - Os sistemas de informação empresariais na sua carreiraCapitulo 01 - Os sistemas de informação empresariais na sua carreira
Capitulo 01 - Os sistemas de informação empresariais na sua carreira
 

Semelhante a Capítulo 07 - Segurança em sistemas de informação

Palestra Segurança da Informação e Servidores
Palestra Segurança da Informação e ServidoresPalestra Segurança da Informação e Servidores
Palestra Segurança da Informação e Servidores
Cesar Augusto Pinheiro Vitor
 
Palestra - Visão geral da norma ANSI/ISA 99, Status da Norma e Tendências.
Palestra - Visão geral da norma ANSI/ISA 99, Status da Norma e Tendências.Palestra - Visão geral da norma ANSI/ISA 99, Status da Norma e Tendências.
Palestra - Visão geral da norma ANSI/ISA 99, Status da Norma e Tendências.
TI Safe
 
Tema 05 segurança, gerenciamento de dados e ética nos s i
Tema 05   segurança, gerenciamento de dados e ética nos s iTema 05   segurança, gerenciamento de dados e ética nos s i
Tema 05 segurança, gerenciamento de dados e ética nos s i
acmartins9
 
Tema 05 segurança, gerenciamento de dados e ética nos s i
Tema 05   segurança, gerenciamento de dados e ética nos s iTema 05   segurança, gerenciamento de dados e ética nos s i
Tema 05 segurança, gerenciamento de dados e ética nos s i
acmartins9
 
Ataques na internet
Ataques na internetAtaques na internet
Ataques na internet
Ana Júlia Damião
 
Aula03 – Códigos Maliciosos e Tipos de Ataques
Aula03 – Códigos Maliciosos e Tipos de AtaquesAula03 – Códigos Maliciosos e Tipos de Ataques
Aula03 – Códigos Maliciosos e Tipos de Ataques
Carlos Veiga
 
Conceitos de Segurança da Informação.pptx
Conceitos de Segurança da Informação.pptxConceitos de Segurança da Informação.pptx
Conceitos de Segurança da Informação.pptx
HenriqueMonteiro74
 
GTI/ERP 07/12 Segurança da Informação e Legislação
GTI/ERP 07/12 Segurança da Informação e LegislaçãoGTI/ERP 07/12 Segurança da Informação e Legislação
GTI/ERP 07/12 Segurança da Informação e Legislação
Felipe Pereira
 
Segurança da informação - Forense Computacional
Segurança da informação - Forense ComputacionalSegurança da informação - Forense Computacional
Segurança da informação - Forense Computacional
Jefferson Costa
 
Como funcionam as ameaças da internet e o cybercrime
Como funcionam as ameaças da internet e o cybercrimeComo funcionam as ameaças da internet e o cybercrime
Como funcionam as ameaças da internet e o cybercrime
Clavis Segurança da Informação
 
Aps power point
Aps power pointAps power point
Aps power point
Eliane Oliveira
 
segurança em redes.pptx
segurança em redes.pptxsegurança em redes.pptx
segurança em redes.pptx
casa46
 
Fundamentos de Segurança da Informação
Fundamentos de Segurança da InformaçãoFundamentos de Segurança da Informação
Fundamentos de Segurança da Informação
Escola de Governança da Internet no Brasil
 
Faculdade: Trabalho sobre Seguranca Digital ( Versão em Slides )
Faculdade: Trabalho sobre Seguranca Digital ( Versão em Slides )Faculdade: Trabalho sobre Seguranca Digital ( Versão em Slides )
Faculdade: Trabalho sobre Seguranca Digital ( Versão em Slides )
Rafael Biriba
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informação
2015s
 
Sophos Endpoint - Apresentação completa
Sophos Endpoint - Apresentação completaSophos Endpoint - Apresentação completa
Sophos Endpoint - Apresentação completa
DeServ - Tecnologia e Servços
 
O que é a seguranca e os dispositivos que
O que é a seguranca e os dispositivos  queO que é a seguranca e os dispositivos  que
O que é a seguranca e os dispositivos que
GuilhermeVolpini3
 
Sistema de segurança_web
Sistema de segurança_webSistema de segurança_web
Sistema de segurança_web
Favsro Fot
 
Apresentação internet
Apresentação internetApresentação internet
Apresentação internet
ketllenaline14
 
Seguranca De Redes
Seguranca De RedesSeguranca De Redes
Seguranca De Redes
Campus Party Brasil
 

Semelhante a Capítulo 07 - Segurança em sistemas de informação (20)

Palestra Segurança da Informação e Servidores
Palestra Segurança da Informação e ServidoresPalestra Segurança da Informação e Servidores
Palestra Segurança da Informação e Servidores
 
Palestra - Visão geral da norma ANSI/ISA 99, Status da Norma e Tendências.
Palestra - Visão geral da norma ANSI/ISA 99, Status da Norma e Tendências.Palestra - Visão geral da norma ANSI/ISA 99, Status da Norma e Tendências.
Palestra - Visão geral da norma ANSI/ISA 99, Status da Norma e Tendências.
 
Tema 05 segurança, gerenciamento de dados e ética nos s i
Tema 05   segurança, gerenciamento de dados e ética nos s iTema 05   segurança, gerenciamento de dados e ética nos s i
Tema 05 segurança, gerenciamento de dados e ética nos s i
 
Tema 05 segurança, gerenciamento de dados e ética nos s i
Tema 05   segurança, gerenciamento de dados e ética nos s iTema 05   segurança, gerenciamento de dados e ética nos s i
Tema 05 segurança, gerenciamento de dados e ética nos s i
 
Ataques na internet
Ataques na internetAtaques na internet
Ataques na internet
 
Aula03 – Códigos Maliciosos e Tipos de Ataques
Aula03 – Códigos Maliciosos e Tipos de AtaquesAula03 – Códigos Maliciosos e Tipos de Ataques
Aula03 – Códigos Maliciosos e Tipos de Ataques
 
Conceitos de Segurança da Informação.pptx
Conceitos de Segurança da Informação.pptxConceitos de Segurança da Informação.pptx
Conceitos de Segurança da Informação.pptx
 
GTI/ERP 07/12 Segurança da Informação e Legislação
GTI/ERP 07/12 Segurança da Informação e LegislaçãoGTI/ERP 07/12 Segurança da Informação e Legislação
GTI/ERP 07/12 Segurança da Informação e Legislação
 
Segurança da informação - Forense Computacional
Segurança da informação - Forense ComputacionalSegurança da informação - Forense Computacional
Segurança da informação - Forense Computacional
 
Como funcionam as ameaças da internet e o cybercrime
Como funcionam as ameaças da internet e o cybercrimeComo funcionam as ameaças da internet e o cybercrime
Como funcionam as ameaças da internet e o cybercrime
 
Aps power point
Aps power pointAps power point
Aps power point
 
segurança em redes.pptx
segurança em redes.pptxsegurança em redes.pptx
segurança em redes.pptx
 
Fundamentos de Segurança da Informação
Fundamentos de Segurança da InformaçãoFundamentos de Segurança da Informação
Fundamentos de Segurança da Informação
 
Faculdade: Trabalho sobre Seguranca Digital ( Versão em Slides )
Faculdade: Trabalho sobre Seguranca Digital ( Versão em Slides )Faculdade: Trabalho sobre Seguranca Digital ( Versão em Slides )
Faculdade: Trabalho sobre Seguranca Digital ( Versão em Slides )
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informação
 
Sophos Endpoint - Apresentação completa
Sophos Endpoint - Apresentação completaSophos Endpoint - Apresentação completa
Sophos Endpoint - Apresentação completa
 
O que é a seguranca e os dispositivos que
O que é a seguranca e os dispositivos  queO que é a seguranca e os dispositivos  que
O que é a seguranca e os dispositivos que
 
Sistema de segurança_web
Sistema de segurança_webSistema de segurança_web
Sistema de segurança_web
 
Apresentação internet
Apresentação internetApresentação internet
Apresentação internet
 
Seguranca De Redes
Seguranca De RedesSeguranca De Redes
Seguranca De Redes
 

Mais de Everton Souza

Desenvolvimento de Aplicações baseadas em EEG para integração com sensores.
Desenvolvimento de Aplicações baseadas em EEG para integração com sensores. Desenvolvimento de Aplicações baseadas em EEG para integração com sensores.
Desenvolvimento de Aplicações baseadas em EEG para integração com sensores.
Everton Souza
 
Apresenta v3
Apresenta v3Apresenta v3
Apresenta v3
Everton Souza
 
Capítulo 10 - Como melhorar a tomada de decisão e a gestão do conhecimento
Capítulo 10 - Como melhorar a tomada de decisão e a gestão do conhecimentoCapítulo 10 - Como melhorar a tomada de decisão e a gestão do conhecimento
Capítulo 10 - Como melhorar a tomada de decisão e a gestão do conhecimento
Everton Souza
 
Capítulo 09 - Comércio eletrônico: mercados digitais, mercadorias digitais
Capítulo 09 - Comércio eletrônico: mercados digitais, mercadorias digitaisCapítulo 09 - Comércio eletrônico: mercados digitais, mercadorias digitais
Capítulo 09 - Comércio eletrônico: mercados digitais, mercadorias digitais
Everton Souza
 
Capítulo 08 - Conquistando excelência operacional e intimidade com o cliente:...
Capítulo 08 - Conquistando excelência operacional e intimidade com o cliente:...Capítulo 08 - Conquistando excelência operacional e intimidade com o cliente:...
Capítulo 08 - Conquistando excelência operacional e intimidade com o cliente:...
Everton Souza
 
Capítulo 05 - Fundamentos da inteligência de negócios: gestão da informação e...
Capítulo 05 - Fundamentos da inteligência de negócios: gestão da informação e...Capítulo 05 - Fundamentos da inteligência de negócios: gestão da informação e...
Capítulo 05 - Fundamentos da inteligência de negócios: gestão da informação e...
Everton Souza
 

Mais de Everton Souza (6)

Desenvolvimento de Aplicações baseadas em EEG para integração com sensores.
Desenvolvimento de Aplicações baseadas em EEG para integração com sensores. Desenvolvimento de Aplicações baseadas em EEG para integração com sensores.
Desenvolvimento de Aplicações baseadas em EEG para integração com sensores.
 
Apresenta v3
Apresenta v3Apresenta v3
Apresenta v3
 
Capítulo 10 - Como melhorar a tomada de decisão e a gestão do conhecimento
Capítulo 10 - Como melhorar a tomada de decisão e a gestão do conhecimentoCapítulo 10 - Como melhorar a tomada de decisão e a gestão do conhecimento
Capítulo 10 - Como melhorar a tomada de decisão e a gestão do conhecimento
 
Capítulo 09 - Comércio eletrônico: mercados digitais, mercadorias digitais
Capítulo 09 - Comércio eletrônico: mercados digitais, mercadorias digitaisCapítulo 09 - Comércio eletrônico: mercados digitais, mercadorias digitais
Capítulo 09 - Comércio eletrônico: mercados digitais, mercadorias digitais
 
Capítulo 08 - Conquistando excelência operacional e intimidade com o cliente:...
Capítulo 08 - Conquistando excelência operacional e intimidade com o cliente:...Capítulo 08 - Conquistando excelência operacional e intimidade com o cliente:...
Capítulo 08 - Conquistando excelência operacional e intimidade com o cliente:...
 
Capítulo 05 - Fundamentos da inteligência de negócios: gestão da informação e...
Capítulo 05 - Fundamentos da inteligência de negócios: gestão da informação e...Capítulo 05 - Fundamentos da inteligência de negócios: gestão da informação e...
Capítulo 05 - Fundamentos da inteligência de negócios: gestão da informação e...
 

Último

AVALIAÇÃO PRESENCIAL 8º período pedagogia
AVALIAÇÃO PRESENCIAL 8º período  pedagogiaAVALIAÇÃO PRESENCIAL 8º período  pedagogia
AVALIAÇÃO PRESENCIAL 8º período pedagogia
KarollayneRodriguesV1
 
Telepsiquismo Utilize seu poder extrassensorial para atrair prosperidade (Jos...
Telepsiquismo Utilize seu poder extrassensorial para atrair prosperidade (Jos...Telepsiquismo Utilize seu poder extrassensorial para atrair prosperidade (Jos...
Telepsiquismo Utilize seu poder extrassensorial para atrair prosperidade (Jos...
fran0410
 
Roteiro para análise do Livro Didático.pptx
Roteiro para análise do Livro Didático.pptxRoteiro para análise do Livro Didático.pptx
Roteiro para análise do Livro Didático.pptx
pamellaaraujo10
 
UFCD_4667_Preparação e confeção de molhos e fundos de cozinha_índice.pdf
UFCD_4667_Preparação e confeção de molhos e fundos de cozinha_índice.pdfUFCD_4667_Preparação e confeção de molhos e fundos de cozinha_índice.pdf
UFCD_4667_Preparação e confeção de molhos e fundos de cozinha_índice.pdf
Manuais Formação
 
Aula 02 - Introducao a Algoritmos.pptx.pdf
Aula 02 - Introducao a Algoritmos.pptx.pdfAula 02 - Introducao a Algoritmos.pptx.pdf
Aula 02 - Introducao a Algoritmos.pptx.pdf
AntonioAngeloNeves
 
UFCD_10789_Metodologias de desenvolvimento de software_índice.pdf
UFCD_10789_Metodologias de desenvolvimento de software_índice.pdfUFCD_10789_Metodologias de desenvolvimento de software_índice.pdf
UFCD_10789_Metodologias de desenvolvimento de software_índice.pdf
Manuais Formação
 
SLIDE LIÇÃO 10 - DESENVOLVENDO UMA CONSCIÊNCIA DE SANTIDADE - TEXTO ÁUREO...
SLIDE LIÇÃO 10 - DESENVOLVENDO UMA CONSCIÊNCIA DE SANTIDADE - TEXTO ÁUREO...SLIDE LIÇÃO 10 - DESENVOLVENDO UMA CONSCIÊNCIA DE SANTIDADE - TEXTO ÁUREO...
SLIDE LIÇÃO 10 - DESENVOLVENDO UMA CONSCIÊNCIA DE SANTIDADE - TEXTO ÁUREO...
y6zh7bvphf
 
Psicologia e Sociologia - Módulo 2 – Sociedade e indivíduo.pptx
Psicologia e Sociologia - Módulo 2 – Sociedade e indivíduo.pptxPsicologia e Sociologia - Módulo 2 – Sociedade e indivíduo.pptx
Psicologia e Sociologia - Módulo 2 – Sociedade e indivíduo.pptx
TiagoLouro8
 
Cartinhas de solidariedade e esperança.pptx
Cartinhas de solidariedade e esperança.pptxCartinhas de solidariedade e esperança.pptx
Cartinhas de solidariedade e esperança.pptx
Zenir Carmen Bez Trombeta
 
Atividade Bio evolução e especiação .docx
Atividade Bio evolução e especiação .docxAtividade Bio evolução e especiação .docx
Atividade Bio evolução e especiação .docx
MARCELARUBIAGAVA
 
Norma de Gênero - Mulheres Heterossexuais, Homossexuais e Bissexuais.pdf
Norma de Gênero - Mulheres Heterossexuais, Homossexuais e Bissexuais.pdfNorma de Gênero - Mulheres Heterossexuais, Homossexuais e Bissexuais.pdf
Norma de Gênero - Mulheres Heterossexuais, Homossexuais e Bissexuais.pdf
Pastor Robson Colaço
 
Resumo de Química 10º ano Estudo exames nacionais
Resumo de Química 10º ano Estudo exames nacionaisResumo de Química 10º ano Estudo exames nacionais
Resumo de Química 10º ano Estudo exames nacionais
beatrizsilva525654
 
CD_B2_C_Criar e Editar Conteúdos Digitais_índice.pdf
CD_B2_C_Criar e Editar Conteúdos Digitais_índice.pdfCD_B2_C_Criar e Editar Conteúdos Digitais_índice.pdf
CD_B2_C_Criar e Editar Conteúdos Digitais_índice.pdf
Manuais Formação
 
Infografia | Resultados das Eleições Europeias 2024-2029
Infografia | Resultados das Eleições Europeias 2024-2029Infografia | Resultados das Eleições Europeias 2024-2029
Infografia | Resultados das Eleições Europeias 2024-2029
Centro Jacques Delors
 
Vivendo a Arquitetura Salesforce - 01.pptx
Vivendo a Arquitetura Salesforce - 01.pptxVivendo a Arquitetura Salesforce - 01.pptx
Vivendo a Arquitetura Salesforce - 01.pptx
Mauricio Alexandre Silva
 
Como montar o mapa conceitual editado.pdf
Como montar o mapa conceitual editado.pdfComo montar o mapa conceitual editado.pdf
Como montar o mapa conceitual editado.pdf
AlineOliveira625820
 
Slides Lição 12, CPAD, A Bendita Esperança, A Marca do Cristão, 2Tr24.pptx
Slides Lição 12, CPAD, A Bendita Esperança, A Marca do Cristão, 2Tr24.pptxSlides Lição 12, CPAD, A Bendita Esperança, A Marca do Cristão, 2Tr24.pptx
Slides Lição 12, CPAD, A Bendita Esperança, A Marca do Cristão, 2Tr24.pptx
LuizHenriquedeAlmeid6
 
O Profeta Jeremias - A Biografia de Jeremias.pptx4
O Profeta Jeremias - A Biografia de Jeremias.pptx4O Profeta Jeremias - A Biografia de Jeremias.pptx4
O Profeta Jeremias - A Biografia de Jeremias.pptx4
DouglasMoraes54
 
CLASSIFICAÇÃO DAS ORAÇÕES SUBORDINADAS SUBSTANTIVAS 9º ANO.pptx
CLASSIFICAÇÃO DAS ORAÇÕES SUBORDINADAS SUBSTANTIVAS 9º ANO.pptxCLASSIFICAÇÃO DAS ORAÇÕES SUBORDINADAS SUBSTANTIVAS 9º ANO.pptx
CLASSIFICAÇÃO DAS ORAÇÕES SUBORDINADAS SUBSTANTIVAS 9º ANO.pptx
Deiciane Chaves
 
Aula 1 - Ordem Mundial Aula de Geografia
Aula 1 - Ordem Mundial Aula de GeografiaAula 1 - Ordem Mundial Aula de Geografia
Aula 1 - Ordem Mundial Aula de Geografia
WELTONROBERTOFREITAS
 

Último (20)

AVALIAÇÃO PRESENCIAL 8º período pedagogia
AVALIAÇÃO PRESENCIAL 8º período  pedagogiaAVALIAÇÃO PRESENCIAL 8º período  pedagogia
AVALIAÇÃO PRESENCIAL 8º período pedagogia
 
Telepsiquismo Utilize seu poder extrassensorial para atrair prosperidade (Jos...
Telepsiquismo Utilize seu poder extrassensorial para atrair prosperidade (Jos...Telepsiquismo Utilize seu poder extrassensorial para atrair prosperidade (Jos...
Telepsiquismo Utilize seu poder extrassensorial para atrair prosperidade (Jos...
 
Roteiro para análise do Livro Didático.pptx
Roteiro para análise do Livro Didático.pptxRoteiro para análise do Livro Didático.pptx
Roteiro para análise do Livro Didático.pptx
 
UFCD_4667_Preparação e confeção de molhos e fundos de cozinha_índice.pdf
UFCD_4667_Preparação e confeção de molhos e fundos de cozinha_índice.pdfUFCD_4667_Preparação e confeção de molhos e fundos de cozinha_índice.pdf
UFCD_4667_Preparação e confeção de molhos e fundos de cozinha_índice.pdf
 
Aula 02 - Introducao a Algoritmos.pptx.pdf
Aula 02 - Introducao a Algoritmos.pptx.pdfAula 02 - Introducao a Algoritmos.pptx.pdf
Aula 02 - Introducao a Algoritmos.pptx.pdf
 
UFCD_10789_Metodologias de desenvolvimento de software_índice.pdf
UFCD_10789_Metodologias de desenvolvimento de software_índice.pdfUFCD_10789_Metodologias de desenvolvimento de software_índice.pdf
UFCD_10789_Metodologias de desenvolvimento de software_índice.pdf
 
SLIDE LIÇÃO 10 - DESENVOLVENDO UMA CONSCIÊNCIA DE SANTIDADE - TEXTO ÁUREO...
SLIDE LIÇÃO 10 - DESENVOLVENDO UMA CONSCIÊNCIA DE SANTIDADE - TEXTO ÁUREO...SLIDE LIÇÃO 10 - DESENVOLVENDO UMA CONSCIÊNCIA DE SANTIDADE - TEXTO ÁUREO...
SLIDE LIÇÃO 10 - DESENVOLVENDO UMA CONSCIÊNCIA DE SANTIDADE - TEXTO ÁUREO...
 
Psicologia e Sociologia - Módulo 2 – Sociedade e indivíduo.pptx
Psicologia e Sociologia - Módulo 2 – Sociedade e indivíduo.pptxPsicologia e Sociologia - Módulo 2 – Sociedade e indivíduo.pptx
Psicologia e Sociologia - Módulo 2 – Sociedade e indivíduo.pptx
 
Cartinhas de solidariedade e esperança.pptx
Cartinhas de solidariedade e esperança.pptxCartinhas de solidariedade e esperança.pptx
Cartinhas de solidariedade e esperança.pptx
 
Atividade Bio evolução e especiação .docx
Atividade Bio evolução e especiação .docxAtividade Bio evolução e especiação .docx
Atividade Bio evolução e especiação .docx
 
Norma de Gênero - Mulheres Heterossexuais, Homossexuais e Bissexuais.pdf
Norma de Gênero - Mulheres Heterossexuais, Homossexuais e Bissexuais.pdfNorma de Gênero - Mulheres Heterossexuais, Homossexuais e Bissexuais.pdf
Norma de Gênero - Mulheres Heterossexuais, Homossexuais e Bissexuais.pdf
 
Resumo de Química 10º ano Estudo exames nacionais
Resumo de Química 10º ano Estudo exames nacionaisResumo de Química 10º ano Estudo exames nacionais
Resumo de Química 10º ano Estudo exames nacionais
 
CD_B2_C_Criar e Editar Conteúdos Digitais_índice.pdf
CD_B2_C_Criar e Editar Conteúdos Digitais_índice.pdfCD_B2_C_Criar e Editar Conteúdos Digitais_índice.pdf
CD_B2_C_Criar e Editar Conteúdos Digitais_índice.pdf
 
Infografia | Resultados das Eleições Europeias 2024-2029
Infografia | Resultados das Eleições Europeias 2024-2029Infografia | Resultados das Eleições Europeias 2024-2029
Infografia | Resultados das Eleições Europeias 2024-2029
 
Vivendo a Arquitetura Salesforce - 01.pptx
Vivendo a Arquitetura Salesforce - 01.pptxVivendo a Arquitetura Salesforce - 01.pptx
Vivendo a Arquitetura Salesforce - 01.pptx
 
Como montar o mapa conceitual editado.pdf
Como montar o mapa conceitual editado.pdfComo montar o mapa conceitual editado.pdf
Como montar o mapa conceitual editado.pdf
 
Slides Lição 12, CPAD, A Bendita Esperança, A Marca do Cristão, 2Tr24.pptx
Slides Lição 12, CPAD, A Bendita Esperança, A Marca do Cristão, 2Tr24.pptxSlides Lição 12, CPAD, A Bendita Esperança, A Marca do Cristão, 2Tr24.pptx
Slides Lição 12, CPAD, A Bendita Esperança, A Marca do Cristão, 2Tr24.pptx
 
O Profeta Jeremias - A Biografia de Jeremias.pptx4
O Profeta Jeremias - A Biografia de Jeremias.pptx4O Profeta Jeremias - A Biografia de Jeremias.pptx4
O Profeta Jeremias - A Biografia de Jeremias.pptx4
 
CLASSIFICAÇÃO DAS ORAÇÕES SUBORDINADAS SUBSTANTIVAS 9º ANO.pptx
CLASSIFICAÇÃO DAS ORAÇÕES SUBORDINADAS SUBSTANTIVAS 9º ANO.pptxCLASSIFICAÇÃO DAS ORAÇÕES SUBORDINADAS SUBSTANTIVAS 9º ANO.pptx
CLASSIFICAÇÃO DAS ORAÇÕES SUBORDINADAS SUBSTANTIVAS 9º ANO.pptx
 
Aula 1 - Ordem Mundial Aula de Geografia
Aula 1 - Ordem Mundial Aula de GeografiaAula 1 - Ordem Mundial Aula de Geografia
Aula 1 - Ordem Mundial Aula de Geografia
 

Capítulo 07 - Segurança em sistemas de informação

  • 1. Capítulo 7 Segurança em sistemas de informação
  • 2. Objetivos de estudo • Por que sistemas de informação estão vulneráveis a destruição, erros e uso indevido? • Qual o valor empresarial da segurança e do controle? • Quais os componentes de uma estrutura organizacional para segurança e controle? • Quais são as mais importantes tecnologias e ferramentas disponíveis para salvaguardar recursos de informação?
  • 3. Boston Celtics marca pontos importantes contra spyware • Problema: a frequência de uso de dispositivos sem fio expunha os sistemas proprietários do Celtics a spyware. • Soluções: lançar um sistema avançado de segurança para identificar ameaças e reduzir as tentativas de invasão.
  • 4. Boston Celtics marca pontos importantes contra spyware • A aplicação de segurança Mi5 Networks’ Webgate se posiciona entre o firewall e a rede do Celtics, impede que o spyware entre na rede e evita que as máquinas já infectadas se conectem a ela. • Demonstra o papel da TI no combate e na manutenção da segurança dos computadores. • Ilustra o papel da tecnologia digital na manutenção da segurança na Web.
  • 5. Boston Celtics marca pontos importantes contra spyware
  • 6. Vulnerabilidade dos sistemas e uso indevido • Um computador desprotegido conectado à Internet pode ser desativado em segundos • Segurança: • Políticas, procedimentos e medidas técnicas usadas para prevenir acesso não autorizado, roubo ou danos físicos aos sistemas de informação. • Controles: • Métodos, políticas e procedimentos organizacionais que garantem a segurança dos ativos da organização, a precisão e a confiabilidade de seus registros contábeis e a adesão operacional aos padrões administrativos.
  • 7. Vulnerabilidade dos sistemas e uso indevido Por que os sistemas são vulneráveis • Problemas de hardware • Avarias, erros de configuração, danos causados pelo uso impróprio ou por crimes. • Problemas de software • Erros de programação, erros de instalação, mudanças não autorizadas. • Desastres • Quedas de energia, enchentes, incêndios etc. • Uso de redes e computadores fora dos limites e do controle da empresa • Exemplo: uso por fornecedores nacionais ou estrangeiros.
  • 8. Vulnerabilidade dos sistemas e uso indevido Vulnerabilidades e desafios de segurança contemporâneos Normalmente, a arquitetura de uma aplicação baseada na Web inclui um cliente, um servidor e sistemas de informação corporativos conectados a bancos de dados. Cada um desses componentes apresenta vulnerabilidades e desafios de segurança. Enchentes, incêndios, quedas de energia e outros problemas técnicos podem causar interrupções em qualquer ponto da rede.
  • 9. Vulnerabilidade dos sistemas e uso indevido • Vulnerabilidades da Internet • Rede aberta a qualquer usuário • O tamanho da Internet propicia que os abusos tenham um alto impacto • Uso de endereços de Internet fixos com conexões permanentes à rede mundial facilita a identificação por hackers • Anexos de e-mail • E-mails usados para transmissão de segredos de negócios • Mensagens instantâneas não são seguras e podem ser facilmente interceptadas
  • 10. Vulnerabilidade dos sistemas e uso indevido • Desafios da segurança sem fio • Bandas de rádiofrequência são fáceis de serem escaneadas • Identificadores de conjunto de serviços (SSIDs) • Identificar pontos de acesso • Transmitidos várias vezes • War driving • Espião dirige um carro entre edifícios ou estaciona do lado de fora e tenta interceptar o tráfego por redes sem fio • Quando os hackers obtêm acesso ao SSID, conseguem acessar os recursos da rede • WEP (Wired Equivalent Privacy) • Padrão de segurança para 802.11 • Especificações básicas compartilham a mesma senha tanto para usuários quanto para os pontos de acesso • Usuários não fazem uso de recursos de segurança
  • 11. Vulnerabilidade dos sistemas e uso indevido Desafios de segurança em ambientes Wi-Fi Muitas redes Wi-Fi podem ser facilmente invadidas por intrusos. Eles usam programas sniffers para obter um endereço e, assim, acessar sem autorização os recursos da rede. Figura 7.2
  • 12. Vulnerabilidade dos sistemas e uso indevido Software mal-intencionado: vírus, worms, cavalos de Troia e spywares • Malware • Vírus • Programa de software espúrio que se anexa a outros programas de software ou arquivos de dados a fim de ser executado • Worms • Programas de computador independentes que copiam a si mesmos de um computador para outro por meio de uma rede • Cavalos de Troia • Software que parece benigno, mas depois faz algo diferente do esperado
  • 13. Vulnerabilidade dos sistemas e uso indevido Software mal-intencionado: vírus, worms, cavalos de Troia e spywares • Malware (continuação) • Spyware • Pequenos programas que se instalam sorrateiramente nos computadores para monitorar a atividade do internauta e usar as informações para fins de marketing. • Key loggers • Registram cada tecla pressionada em um computador para roubar números seriais de softwares, senhas, deflagrar ataques na Internet.
  • 14. Vulnerabilidade dos sistemas e uso indevido Hackers e cibervandalismo • Hackers versus crackers • Atividades incluídas: • invasão de sistemas; • danos a sistemas; e • cibervandalismo. • Interrupção, a alteração da aparência ou até mesmo a destruição intencional de um site ou sistema de informação corporativo.
  • 15. Vulnerabilidade dos sistemas e uso indevido Hackers e cibervandalismo • Spoofing • Apresentar-se de maneira disfarçada, usando endereços de e-mail falsos ou fingindo ser outra pessoa. • Redirecionamento de um link para um endereço diferente do desejado, estando o site espúrio “disfarçado” como o destino pretendido. • Sniffer • Programa espião que monitora as informações transmitidas por uma rede. • Permitem que os hackers roubem informações de qualquer parte da rede, inclusive mensagens de e-mail, arquivos da empresa e relatórios confidenciais.
  • 16. Vulnerabilidade dos sistemas e uso indevido Hackers e cibervandalismo • Ataque de recusa de serviço (DoS) • Sobrecarregar o servidor com centenas de requisições falsas, a fim de inutilizar a rede • Ataque distribuído de recusa de serviço (DDoS) • Uso de inúmeros computadores para iniciar um DoS • Botnets • Redes de PCs “zumbis” infiltradas por um malware robô
  • 17. Vulnerabilidade dos sistemas e uso indevido Hackers e cibervandalismo • Crimes de informática • Definidos como “quaisquer violações da legislação criminal que envolvam conhecimento de tecnologia da informática em sua perpetração, investigação ou instauração de processo” • Computadores podem ser alvo de crimes: • Violar a confidencialidade de dados computadorizados protegidos • Acessar um sistema de computador sem autorização • Computadores podem ser instrumentos de crimes: • Roubo de segredos comerciais • Usar e-mail para ameaças ou assédio
  • 18. Vulnerabilidade dos sistemas e uso indevido Hackers e cibervandalismo • Roubo de identidade • Roubo de informações pessoais (número de identificação da Previdência Social, número da carteira de motorista ou número do cartão de crédito) para se fazer passar por outra pessoa. • Phishing • Montar sites falsos ou enviar mensagens de e-mail parecidas com as enviadas por empresas legítimas, a fim de pedir aos usuários dados pessoais confidenciais. • Evil twins • Redes sem fio que fingem oferecer conexões Wi-Fi confiáveis à Internet.
  • 19. Vulnerabilidade dos sistemas e uso indevido Hackers e cibervandalismo • Pharming • Redireciona os usuários a uma página da Web falsa, mesmo quando a pessoa digita o endereço correto da página da Web no seu navegador. • Fraude do clique • Ocorre quando um indivíduo ou programa de computador clica fraudulentamente em um anúncio on-line sem qualquer intenção de descobrir mais sobre o anunciante ou realizar uma compra.
  • 20. Vulnerabilidade dos sistemas e uso indevido Seção interativa: Organizações O pior roubo de dados da História • Leia a Seção interativa e responda às seguintes perguntas: • Liste e descreva as fragilidades do controle de segurança da Hannaford Bros. e das empresas TJX. Que fatores humanos, organizacionais e tecnológicos contribuíram para esses problemas? • Qual foi o impacto empresarial das perdas de dados da TJX e da Hannaford sobre essas empresas e seus consumidores? • As soluções adotadas pela TJX e pela Hannaford foram eficientes? Justifique.
  • 21. Vulnerabilidade dos sistemas e uso indevido Ameaças internas: funcionários • Ameaças à segurança costumam ter origem na empresa • Conhecimento interno • Procedimentos de segurança frouxos • Falta de conhecimento do usuário • Engenharia social: • Intrusos mal-intencionados em busca de acesso ao sistema podem enganar os funcionários fingindo ser membros legítimos da empresa; assim, conseguem fazer com que revelem sua senha
  • 22. Vulnerabilidade dos sistemas e uso indevido Vulnerabilidade do software • Softwares comerciais contém falhas que criam vulnerabilidades na segurança • Bugs escondidos (defeitos no código do programa). • A taxa zero de defeitos não pode ser alcançada porque teste completo simplesmente não é possível nos grandes programas. • As falhas podem tornar a rede vulnerável aos invasores. • Patches • Os fornecedores distribuem pequenos programas que corrigem as falhas. • Entretanto, a infinidade de softwares em uso pode fazer com que os malwares sejam criados mais rapidamente do que os patches.
  • 23. Valor empresarial da segurança e do controle • Sistemas computacionais com problemas podem levar a uma perda substancial, senão total, das funções empresariais. • Atualmente, as empresas estão mais vulneráveis do que nunca. • Uma falha de segurança pode diminuir o valor de mercado da empresa quase que imediatamente. • Controle e segurança inadequados também podem criar sérios riscos legais.
  • 24. Valor empresarial da segurança e do controle Requisitos legais e regulatórios para a gestão de registros eletrônicos • As empresas enfrentam novas obrigações legais no que diz respeito à retenção de documentos e à gestão de registros eletrônicos, bem como à proteção da privacidade • HIPAA: regras e procedimentos quanto à privacidade e à segurança médicas • Lei Gramm-Leach-Bliley: exige que as instituições financeiras assegurem a segurança e a confidencialidade dos dados do cliente • Lei Sarbanes-Oxley: cabe às empresas e a seus administradores salvaguardar a precisão e a integridade das informações financeiras utilizadas internamente e publicadas externamente
  • 25. Valor empresarial da segurança e do controle Prova eletrônica e perícia forense computacional • As evidências para os crimes de colarinho branco costumam ser encontradas em formato digital. • Dados armazenados em dispositivos computacionais, e-mails, mensagens instantâneas, transações de e-commerce . • O controle apropriado dos dados pode economizar tempo e dinheiro no atendimento às solicitações de produção de provas. • Perícia forense computacional: • Procedimento científico de coleta, exame, autenticação, preservação e análise de dados mantidos em meios de armazenamento digital, de tal maneira que as informações possam ser usadas como prova em juízo. • Inclui a recuperação de dados ambientes ou ocultos.
  • 26. Como estabelecer uma estrutura para segurança e controle • Controles de sistemas de informação • Controles gerais • Controlam projeto, segurança e uso de programas de computadores e a segurança de arquivos de dados em geral em toda a infraestrutura de TI da empresa. • Aplicam-se a todas as aplicações computadorizadas. • Combinação de hardware, software e procedimentos manuais que criam um ambiente global de controle.
  • 27. Como estabelecer uma estrutura para segurança e controle • Tipos de controles gerais • Controles de software • Controles de hardware • Controles de operações de computador • Controles de segurança de dados • Controles de implementação • Controles administrativos
  • 28. Como estabelecer uma estrutura para segurança e controle • Controles de aplicação • Controles específicos exclusivos a cada aplicação computadorizada, como processamento de folha de pagamento ou pedidos. • Incluem tanto procedimentos manuais quanto automatizados. • Garantem que somente dados autorizados sejam completa e precisamente processados pelas aplicações. • Incluem controles de entrada, controles de processamento e controles de saída.
  • 29. Como estabelecer uma estrutura para segurança e controle • Avaliação de risco • Determina o nível de risco para a empresa caso uma atividade ou um processo específico não sejam controlados adequadamente • Tipos de ameaças • Probabilidade de sua ocorrência ao longo do ano • Perdas potenciais, valor da ameaça • Prejuízo anual esperado
  • 30. Como estabelecer uma estrutura para segurança e controle • Política de segurança • Estabelece hierarquia aos riscos de informação e identifica metas de segurança aceitáveis, assim como os mecanismos para atingi- las. • Dá origem a outras políticas: • Política de uso aceitável (acceptable use policy — AUP) • Define os usos aceitáveis dos recursos de informação e do equipamento de informática da empresa. • Políticas de autorização • Determinam diferentes níveis de acesso aos ativos de informação para diferentes níveis de usuários.
  • 31. Como estabelecer uma estrutura para segurança e controle • Sistemas de gestão de autorização • Estabelecem onde e quando um usuário terá permissão para acessar determinadas partes de um site ou de um banco de dados corporativo. • Permitem que cada usuário acesse somente as partes do sistema nas quais tem permissão de entrar, com base nas informações estabelecidas por um conjunto de regras de acesso.
  • 32. Vulnerabilidade dos sistemas e uso indevido Perfis de segurança para um sistema de pessoal Estes dois exemplos representam dois perfis de segurança ou modelos de segurança de dados que podem ser encontrados em um sistema de pessoal. Dependendo do perfil de segurança, um usuário teria certas restrições de acesso a vários sistemas, localizações ou dados da organização.
  • 33. Como estabelecer uma estrutura para segurança e controle Plano de recuperação de desastres e plano de continuidade dos negócios • Plano de recuperação de desastres: organiza planos para restauração de serviços que tenham sofrido interrupção • Plano de continuidade dos negócios: concentra-se na restauração das operações de negócios após um desastre • Ambos os planos devem: • Identificar os sistemas mais importantes da empresa. • Realizar uma análise de impacto nos negócios, a fim de identificar o impacto de uma suspensão em seu funcionamento. • A administração precisa determinar quais sistemas serão restaurados primeiro.
  • 34. Como estabelecer uma estrutura para segurança e controle O papel da auditoria • Auditoria de sistemas • Avalia o sistema geral de segurança da empresa e identifica todos os controles que governam sistemas individuais de informação. • Revê tecnologias, procedimentos, documentação, treinamento e recursos humanos . • Pode até mesmo simular um ataque ou desastre para verificar como os recursos tecnológicos, a equipe de sistemas de informação e os funcionários da empresa reagem. • Lista e classifica todos os pontos fracos do controle e estima a probabilidade de ocorrerem erros nesses pontos. • Avalia o impacto financeiro e organizacional de cada ameaça.
  • 35. Vulnerabilidade dos sistemas e uso indevido Exemplo de listagem feita por um auditor para deficiências de controle Este diagrama representa uma página da lista de deficiências de controle que um auditor poderia encontrar em um sistema de empréstimos de um banco comercial. Além de ajudar o auditor a registrar e avaliar as deficiências de controle, o formulário mostra os resultados das discussões dessas deficiências com a administração, bem como quaisquer medidas corretivas tomadas por ela.
  • 36. Tecnologias e ferramentas para garantir a segurança dos recursos de informação Controle de acesso • Políticas e procedimentos que uma empresa usa para evitar acesso indevido a seus sistemas por pessoas não autorizadas dentro e fora da organização • Autorização • Autenticação • Senhas de sistemas • Tokens • Smart cards • Autenticação biométrica
  • 37. Tecnologias e ferramentas para garantir a segurança dos recursos de informação Firewalls, sistemas de detecção de invasão e softwares antivírus • Firewall: • Combinação de hardware e software que impede que usuários não autorizados acessem redes privadas • As tecnologias incluem: • Filtragem de pacotes estáticos • Network address translation (Tradução de Endereços IP) • Filtragem de aplicação proxy
  • 38. Tecnologias e ferramentas para garantir a segurança dos recursos de informação Um firewall corporativo O firewall é colocado entre a Internet pública ou outra rede pouco confiável e a rede privada da empresa, com a intenção de proteger esta contra tráfego não autorizado.
  • 39. Tecnologias e ferramentas para garantir a segurança dos recursos de informação Firewalls, sistemas de detecção de invasão e softwares antivírus • Sistemas de detecção de invasão: • Monitoram os pontos mais vulneráveis de redes corporativas, a fim de detectar e inibir invasores. • Examinam os eventos em tempo real, em busca de ataques à segurança em curso. • Softwares antivírus e anti-spyware: • Verificam os computadores a fim de detectar a presença de vírus e, muitas vezes, eliminá-los da área infectada. • Requerem atualização contínua.
  • 40. Tecnologias e ferramentas para garantir a segurança dos recursos de informação Segurança em redes sem fio • O protocolo WEP oferece alguma margem de segurança se os usuários: • Lembrarem-se de ativá-lo. • Atribuírem um nome único ao SSID de sua rede. • Utilizarem a tecnologia de rede privada virtual (VPN). • A Wi-Fi Alliance finalizou a especificação 802.11i, que substitui o WEP por padrões de segurança mais sólidos • Mudança contínua de chaves. • Sistema de autenticação criptografado com um servidor.
  • 41. Tecnologias e ferramentas para garantir a segurança dos recursos de informação Criptografia e infraestrutura de chave pública • Criptografia: • Transforma textos comuns ou dados em um texto cifrado, que não possa ser lido por ninguém a não ser o remetente e o destinatário desejados. • Dois métodos para criptografar o tráfego de rede: • Secure Sockets Layer (SSL) e o seu sucessor, Transport Layer Security (TLS). • Secure Hypertext Transfer Protocol (S-HTTP).
  • 42. Tecnologias e ferramentas para garantir a segurança dos recursos de informação Criptografia e infraestrutura de chave pública • Dois outros métodos de criptografia: • Criptografia de chave simétrica • Remetente e destinatário usam e compartilham uma única chave. • Criptografia de chave pública • Usa duas chaves matematicamente relacionadas: uma pública e outra privada. • O remetente criptografa a mensagem com a chave pública do destinatário. • O destinatário descriptografa utilizando a chave privada.
  • 43. Tecnologias e ferramentas para garantir a segurança dos recursos de informação Criptografia de chave pública Figura 7.6 Um sistema de criptografia de chave pública pode ser visto como uma série de chaves públicas e privadas que “trancam” os dados quando são transmitidos e os “destrancam” quando são recebidos. O remetente localiza a chave pública do destinatário em um diretório e a utiliza para criptografar uma mensagem. A mensagem é enviada sob forma criptografada pela Internet ou por uma rede privada. Quando ela chega, o destinatário usa sua chave privada para descriptografar os dados e ler o conteúdo.
  • 44. Tecnologias e ferramentas para garantir a segurança dos recursos de informação Criptografia e infraestrutura de chave pública • Certificado digital: • Arquivos de dados usados para determinar a identidade de pessoas e ativos eletrônicos, a fim de proteger transações on-line • Usa uma terceira parte fidedigna, conhecida como autoridade certificadora (Certificate Authority — CA), para validar a identidade de um usuário • A CA verifica off-line a identidade do usuário e, em seguida, passa a informação para um servidor da CA, que gera um certificado digital criptografado contendo a identificação do proprietário e uma cópia de sua chave pública • Infraestrutura de chave pública (PKI) • Uso da criptografia de chave pública em conjunto com uma CA • Amplamente utilizada no comércio eletrônico
  • 45. Tecnologias e ferramentas para garantir a segurança dos recursos de informação Certificados digitais Os certificados digitais podem ser usados para determinar a identidade de pessoas ou ativos eletrônicos. Protegem transações on- line ao oferecer comunicação on- line segura e criptografada.
  • 46. Tecnologias e ferramentas para garantir a segurança dos recursos de informação Como assegurar a disponibilidade do sistema • O processamento on-line de transações requer 100% de disponibilidade e total tolerância a falhas. • Sistemas de computação tolerantes a falhas: • Oferecem serviço contínuo. Exemplo: Bolsa de Valores. • Incluem componentes redundantes de hardware, software e fornecimento de energia elétrica, criando um ambiente que oferece serviço contínuo, ininterrupto. • Computação de alta disponibilidade: • Ajuda na recuperação rápida de uma parada de sistema. • Minimiza, mas não elimina, o downtime.
  • 47. Tecnologias e ferramentas para garantir a segurança dos recursos de informação Como assegurar a disponibilidade do sistema • Computação orientada à recuperação • Projeto de sistemas que se restabeleçam de forma rápida, com a implantação de recursos que ajudem os operadores a descobrir as fontes de falhas em sistemas compostos por múltiplos componentes • Controle do tráfego de rede • Inspeção profunda de pacotes (deep packet inspection — DPI) (bloqueio de vídeo e música) • Outsourcing da segurança • Provedores de serviços de segurança gerenciada (MSSPs)
  • 48. Tecnologias e ferramentas para garantir a segurança dos recursos de informação Garantia da qualidade de software • Métricas de software: premissas objetivas do sistema na forma de medidas quantificadas • número de transações; • tempo de resposta on-line; • número de contracheques impressos por hora; e • erros conhecidos por cento de linhas de código. • Teste inicial regular e completo • Acompanhamento: revisão de uma especificação, ou documento de projeto, realizada por pequeno grupo de pessoas • Depuração: processo através do qual os erros são eliminados
  • 49. Tecnologias e ferramentas para garantir a segurança dos recursos de informação Seção interativa: Tecnologia Quão segura é a nuvem? • Leia a Seção interativa e responda às seguintes perguntas: • Que problemas de segurança e controle são descritos nesse caso? Que fatores pessoais, organizacionais e tecnológicos contribuem para esse problema? • Quão segura é a computação em nuvem? Explique. • Se você fosse responsável pelo departamento de sistemas de informação de uma empresa, quais pontos gostaria de esclarecer com os possíveis fornecedores?

Notas do Editor

  1. Este capítulo discute a necessidade de segurança para proteger os sistemas de informação e os dados, bem como as tecnologias utilizadas para manter a segurança. A segurança na Internet, ou a falta dela, vai continuar a ser um tema essencial nas organizações e nos países. Pergunte aos alunos por que a imprensa dá tanto valor às questões de segurança na Internet.
  2. Pergunte aos alunos sobre sua experiência com spam , malware e questões de segurança.
  3. Este slide apresenta tanto a necessidade de segurança quanto a de controle nas empresas atuais de modo a salvaguardar os sistemas de informação. Peça aos alunos que deem um exemplo de controle que pode ser utilizado nos negócios.
  4. Este slide discute as principais categorias de ameaças para os sistemas de informação. Observe que quando grandes volumes de dados são armazenados digitalmente — em computadores, servidores e bancos de dados —, ficam vulneráveis a um número muito maior de ameaças do que quando armazenados de forma manual, em papéis guardados em pastas e arquivos. Quando os dados estão disponíveis em uma rede, existem ainda mais vulnerabilidades. Pergunte aos alunos se já perderam dados de seu computador. Qual foi a razão (hardware, software, desastre, outras pessoas etc.)?
  5. Esta figura ilustra os tipos de ameaças aos sistemas de segurança e os pontos da rede nos quais essas ameaças são predominantes. Alguns problemas ocorrem no computador do cliente, outros através das linhas de rede, nos servidores, no hardware ou no software corporativos.
  6. Este slide discute os tipos de ameaças que as grandes redes públicas, como a Internet, enfrentam devido ao fato de estarem abertas a quase todo o mundo. Observe que a Internet é tão grande que, quando os abusos ocorrem, podem causar um impacto gigantesco. Quando a Internet se torna parte da rede corporativa, os sistemas de informação da empresa se tornam ainda mais vulneráveis a ações externas. Peça aos alunos que reflitam sobre falhas recentes em grandes redes públicas. Como elas ocorreram? Foi por falta de segurança ou alguma outra causa?
  7. Este slide discute ameaças à segurança relacionadas às redes sem fio. As LANs que utilizem o padrão 802.11 podem ser facilmente invadidas por pessoas externas equipadas com laptops, rede sem fio, antenas externas e software para invasão. Os hackers utilizam essas ferramentas para localizar redes desprotegidas, monitorar o tráfego da rede e, em alguns casos, obter acesso à Internet ou às redes corporativas. Pergunte aos alunos se já se conectaram à Internet através de uma rede sem fio desprotegida criada por uma pessoa ou empresa.
  8. Esta figura mostra por que as redes sem fio são vulneráveis — os SSIDs que identificam os pontos de acesso em uma rede sem fio são transmitidos múltiplas vezes (conforme ilustrado no círculo da imagem) e podem ser captados com certa facilidade por programas invasores farejadores ( sniffers ).
  9. Este slide identifica os diferentes tipos de malware que ameaçam os sistemas de informação e os computadores. Pergunte aos alunos se já tiveram problemas com vírus. Eles sabem como foram infectados? Observe que existem mais de 200 tipos de vírus e worms criados para danificar telefones celulares e aplicações da Web 2.0, como MySpace. Os blogs são novos canais para malware e spyware . O malware é um problema sério — ao longo da última década, worms e vírus causaram danos que representaram perdas de bilhões de dólares a redes corporativas, sistemas de e-mail e dados.
  10. Este slide analisa as pessoas que cometem cibercrimes e discute diferentes tipos de crimes relacionados a computadores. Pergunte aos alunos qual a diferença entre hackers e crackers e se concordam com as diferenças. Algum aluno já foi vítima de algum cibercrime ou de invasão de privacidade?
  11. Este slide continua a discussão sobre os diferentes tipos de cibercrimes. Pergunte aos alunos qual o objetivo do spoofing e do sniffer . Ressalte que existem usos legítimos para o sniffer — ele pode ajudar a identificar pontos de problemas na rede ou detectar atividade criminal na mesma. Qual o resultado de um ataque DoS? O texto ressalta que nos primeiros seis meses de 2007, a empresa Symantec, fornecedora de produtos de segurança, detectou mais de 5 bilhões de computadores infectados. Botnets são uma ameaça séria, pois podem ser utilizados para iniciar grandes ataques utilizando diferentes técnicas.
  12. Este slide discute a definição legal para crimes de informática e identifica duas maneiras de os computadores serem envolvidos em crimes. O texto inclui uma série de outros exemplos para computadores como alvos ou como instrumentos do crime. Peça outros exemplos aos alunos. De acordo com uma pesquisa realizada em 522 empresas sobre segurança e crimes de informática, conduzida pelo CSI em 2008, a perda anual dos participantes ocasionada por crimes de informática e ataques à segurança estava próxima de 500 mil dólares (Richardson, 2008). Entretanto, muitas empresas relutam em registrar esse tipo de crime. Por quê? Quais os tipos de crime de informática mais danosos do ponto de vista financeiro? (ataques DoS, introdução de vírus, roubo de serviços e interrupção de sistemas de computador)
  13. Este slide continua a discussão sobre crimes de informática. Algum aluno já vivenciou algum tipo desses crimes? O Congresso norte-americano reagiu à ameaça dos crimes de informática em 1986 com a Lei de Uso Indevido e Fraude de Informática. Essa lei torna ilegal o acesso a um sistema de computador sem autorização. O texto cita outras regulamentações, como a Lei Nacional de Proteção à Infraestrutura de Informação, de 1996, transformando a distribuição de vírus e ataques de hackers contra sites em crimes federais.
  14. Este slide continua a discussão sobre crimes de informática. Observe que não existem fronteiras para as atividades cibercriminais: a natureza global da Internet viabiliza a operação de cibercriminosos em qualquer parte do mundo. Pergunte aos alunos se deveria existir uma lei que proibisse a fraude do clique.
  15. Até recentemente, esse incidente representa a maior quebra de segurança em um sistema civil. Milhões de pessoas foram ameaçadas pela perda de informações relacionadas a cartões de crédito.
  16. Este slide avalia outra fonte de problemas de segurança: as pessoas de dentro da empresa com acesso ao sistema. Pergunte aos alunos se já trabalharam em algum local no qual o sistema de senhas era vulnerável. Eles já revelaram a alguém suas senhas?
  17. Este slide analisa a segurança e outras vulnerabilidade causadas por erros de software que abrem a rede para os invasores. O texto cita o exemplo de uma atualização de software que falhou e desativou o serviço de e-mail de Blackberries nos Estados Unidos por 12 horas. Para a economia norte-americana, os custos das falhas de software chegam a quase 60 bilhões de dólares por ano. Pergunte aos alunos por que o teste exaustivo não é possível em grandes programas. O texto cita o exemplo das atualizações de service pack distribuídas pela Microsoft para seus sistemas operacionais. O service pack 1, para o Vista, incluiu melhorias na segurança contra malware e hackers .
  18. Peça aos alunos que deem exemplos de como a segurança e os controles inadequados podem representar um problema sério de responsabilidade fiscal. O texto dá o exemplo da BJ’s Wholesale Club, que foi processada pela Comissão Federal de Comércio por permitir que hackers acessassem seus sistemas e roubassem dados relacionados a cartões de crédito e débito para compras fraudulentas.
  19. Este slide continua a analisar o valor empresarial da segurança e do controle, avaliando os requisitos legais para gestão de registros eletrônicos. Observe que a Lei Sarbanes-Oxley foi criada para proteger investidores depois dos escândalos na Enron, na WorldCom e em outras empresas. Essa lei trata, principalmente, da garantia de que os controles internos para criação e documentação de informações em declarações financeiras estão implantados. Como a gestão desses dados envolve os sistemas de informação, esses sistemas devem implementar controles de modo a garantir que essas informações sejam precisas e reforçar integridade, confidencialidade e precisão.
  20. Este slide continua a discussão sobre o valor empresarial da segurança e do controle. Atualmente, segurança, controle e gestão de registros eletrônicos são essenciais para que possa responder a ações legais. Pergunte aos alunos qual a forma mais comum de evidência eletrônica (e-mail). Observe que, em uma ação legal, a empresa é obrigada a responder a um pedido de produção de provas, tendo de dar acesso a informações usadas como garantia. Como a empresa está obrigada por lei a apresentar esses dados, o custo pode ser enorme se tiver problemas para reuni-los, ou se forem corrompidos ou destruídos. Atualmente, os tribunais impõem severas penalidades financeiras e até mesmo criminais no caso de destruição indevida de documentos eletrônicos. Pergunte aos alunos o que são dados ambientes e peça que deem exemplos. Dadas as exigências legais de registros eletrônicos, é importante incluir uma visão geral de perícia computacional forense no processo de planejamento de contingência da empresa.
  21. Para aprimorar a segurança dos sistemas de informação de uma empresa, é importante criar uma estrutura que dê suporte à segurança. Isso inclui a criação de controles de sistemas de informação, a compreensão dos riscos. Será necessário saber onde sua empresa corre riscos e de quais controles precisa para proteger seus sistemas de informação. Também será preciso desenvolver uma política de segurança e planos apropriados à empresa. Lembre-se de que os controles são métodos, políticas e procedimentos organizacionais que garantem a segurança dos ativos da empresa; a precisão e a confiabilidade de seus registros contábeis; e a aderência operacional aos padrões de gestão. Existem dois tipos principais de controle: controles gerais e controles de aplicação. Os controles gerais se aplicam a todas as aplicações computadorizadas. Uma lista dos tipos de controles gerais aparece no próximo slide. Pergunte aos alunos qual a função dos diferentes tipos de controles gerais.
  22. Este slide examina o segundo tipo de controles de sistemas de informação, os controles de aplicação. Pergunte aos alunos o que cada tipo de controle de aplicação faz. (Os controles de entrada verificam a precisão e a completude dos dados que chegam ao sistema. Existem controles de entrada específicos para autorização, conversão de dados, edição e tratamento de erros. Os controles de processamento decidem se os dados estão completos e se são precisos durante a atualização. Os controles de saída garantem que o resultado do processamento computacional é preciso, completo e apropriadamente distribuído.)
  23. Este slide analisa outro fator importante na criação de uma estrutura adequada para segurança e controle: a avaliação de riscos. Embora nem todos os riscos possam ser antecipados e mensurados, a maioria das empresas deve conseguir identificar grande parte dos riscos que enfrenta. A tabela ilustra amostras de resultados de uma avaliação de riscos para um sistema de processamento de pedidos on-line que processa 30 mil solicitações por dia. A probabilidade de cada exposição ocorrer ao longo do período de um ano é expressa como percentual. O prejuízo anual esperado é o resultado da multiplicação da probabilidade de ocorrência pela faixa de prejuízo média. Peça aos alunos que classifiquem os três riscos listados aqui em ordem de importância.
  24. Este slide avalia a necessidade de uma empresa estabelecer uma política de segurança para proteção de seus ativos, bem como as outras políticas criadas a partir da política de segurança, e como os sistemas de informação lhes oferecem suporte. O texto oferece o exemplo da política de segurança na Unilever, uma empresa multinacional de bens de consumo que exige que cada empregado que possua um laptop ou um computador móvel utilize um dispositivo aprovado e uma senha ou outro método de identificação quando se conectar à rede corporativa. Pergunte aos alunos quais os tipos de problemas tratados sob uma política de uso aceitável. (A política deve deixar clara a posição da empresa no que diz respeito à privacidade, à responsabilidade do usuário e as consequências do não cumprimento das obrigações.)
  25. Esta figura mostra a segurança permitida a dois grupos de usuários de um banco de dados pessoal que contém informações sensíveis, tais como salário dos funcionários e históricos médicos. Os gerentes de divisão não podem atualizar o sistema, mas podem consultar todos os dados dos funcionários de sua divisão, inclusive históricos médicos e salários. Os outros funcionários do departamento de pessoal, que informam os dados dos empregados, conseguem atualizar o sistema, mas não conseguem consultar ou atualizar dados sensíveis. Esses perfis de segurança baseiam-se nas regras de acesso fornecidas por grupos de negócios da empresa.
  26. Este slide continua a discussão sobre as atividades essenciais executadas por uma empresa para maximizar a segurança e o controle, dessa vez observando o planejamento das atividades caso um desastre ocorra (por exemplo, uma enchente, um terremoto ou uma falta de energia). Observe que os planos de recuperação de desastres foca primeiramente nas questões técnicas envolvidas na manutenção dos sistemas em funcionamento, tais como a definição de quais arquivos devem possuir cópias de segurança e a manutenção dos sistemas de backup ou dos serviços de recuperação de desastres. O texto oferece o exemplo da MasterCard, que mantém um centro de dados duplicado em Kansas City, Missouri, para servir como backup de emergência para o centro principal em St. Louis. Pergunte aos alunos por que é importante que tanto os gerentes quanto os especialistas em sistemas de informação trabalhem juntos nesses planos.
  27. Este slide avalia o papel da auditoria. Uma auditoria de sistemas permite que a empresa determine se as medidas de segurança e os controles existentes são eficientes.
  28. Esta figura apresenta um exemplo de listagem feita por um auditor para deficiências de controle em um sistema de empréstimos. Ela inclui uma seção para notificação dessas deficiências à administração e outra para a resposta da administração. Espera-se que a gerência organize um plano para corrigir as deficiências dos controles.
  29. Este slide inicia a avaliação das tecnologias e ferramentas que uma empresa pode utilizar na segurança de sistemas e de dados, na garantia da disponibilidade do sistema e da qualidade dos dados. Aqui são listadas as técnicas para prevenção de acesso não autorizado. Pergunte aos alunos qual a diferença entre autenticação e autorização. Algum aluno já utilizou métodos de autenticação diferentes de senhas para acessar um sistema ?
  30. Este slide aborda dois métodos de prevenção contra o acesso a redes privadas por parte de invasores. Para criar um firewall robusto, o administrador deve manter regras internas detalhadas para identificação de pessoas, aplicações ou endereços permitidos ou proibidos. Os firewalls conseguem deter, mas não impedir totalmente, a entrada de estranhos na rede e, portanto, devem ser considerados como um elemento que faz parte do plano geral de segurança. Peça aos alunos que listem as diferenças entre as tecnologias de varredura listadas. Observe que elas são sempre usadas em conjunto. Pergunte se utilizam software de firewall em seus próprios computadores.
  31. Esta figura ilustra o uso de firewalls em uma rede corporativa. Observe que, aqui, um segundo firewall interno protege o servidor Web do acesso através da rede interna.
  32. Este slide avalia as ferramentas adicionais para prevenir que pessoas ou programas indesejados acessem a rede. Pergunte aos alunos quais ferramentas antivírus e anti-spyware utilizam. Pergunte por que essas ferramentas demandam atualização contínua. Pergunte por que os pacotes UTM incluem software anti-spam .
  33. Este slide avalia as ferramentas e tecnologias usada na garantia da segurança nas redes sem fio. Pergunte aos alunos que possuem laptops quais tipos de segurança de rede sem fio eles mantêm.
  34. Este slide discute o uso da criptografia na garantia de que os dados trafegando pelas redes não podem ser lidos por usuários não autorizados. Peça que os alunos expliquem a diferença entre a criptografia de chave simétrica e a criptografia de chave pública. (Na criptografia de chave simétrica, remetente e destinatário estabelecem uma sessão segura de Internet através da criação de uma chave única de criptografia e do envio da mesma para o destinatário, de modo que ambos compartilhem da mesma chave.) A criptografia de chave pública utiliza duas chaves: uma compartilhada (ou pública) e outra totalmente privada. As chaves são matematicamente relacionadas para que os dados criptografados somente possa ser descriptografados utilizando-se a outra chave. Para enviar e receber mensagens, os comunicadores primeiro criam pares separados de chaves privadas e públicas. A chave pública é mantida em um diretório e a chave privada deve ser mantida em segredo. O remetente criptografa a mensagem com a chave pública do destinatário. Ao receber a mensagem, este, por sua vez, utiliza sua chave privada para descriptografá-la. Pergunte aos alunos por que a criptografia de chave pública é mais forte do que a criptografia de chave simétrica. Observe que o poder de uma chave de criptografia é medido por seu tamanho. Atualmente, uma chave típica terá 128 bits de comprimento (uma cadeia de caracteres de 128 dígitos binários).
  35. Esta figura apresenta as etapas da criptografia de chave pública. O remetente criptografa os dados utilizando a chave pública do destinatário; os dados criptografados com essa chave somente podem ser descriptografados com a chave privada do destinatário.
  36. Este slide avalia o uso de certificados digitais como uma ferramenta para ajudar a proteger as transações on-line. Os certificados digitais são utilizados em conjunto com a criptografia de chave pública para validar a identidade de ambas as partes em uma transação antes que os dados sejam trocados entre elas.
  37. Esta figura apresenta o processo de utilização de certificados digitais. Pela Internet, a empresa ou o indivíduo solicita um certificado a uma autoridade certificadora (CA). O certificado recebido pela CA pode, então, ser utilizado para validar uma transação on-line com um fornecedor ou cliente.
  38. Este slide e o próximo discutem as tecnologias e ferramentas utilizadas para garantir a disponibilidade do sistema. Pergunte aos alunos por que o processamento de transações demanda uma disponibilidade de 100%. Observe que as empresa com alto volume de processamento on-line ou empresas que dependem de redes digitais para suas operações internas demandam um nível mínimo de disponibilidade computacional. Para tal, elas utilizam ferramentas como servidores de backup , distribuição de processamento entre muitos servidores, alta capacidade de armazenamento e bons planos de recuperação de desastres e continuidade dos negócios.
  39. Este slide continua a discussão sobre as técnicas para minimizar o downtime e, assim, melhorar o desempenho da rede. A inspeção profunda de pacotes permite que a rede organize os pacotes segundo sua prioridade de modo a melhorar o desempenho durante a comunicação crítica. Pergunte aos alunos que tipo de tráfego de rede seria adequado para atribuição de baixa prioridade em uma configuração empresarial.
  40. Este slide trata da garantia de qualidade de software como forma de melhorar a qualidade e a confiabilidade dos sistemas através do emprego de métricas de software e testes rigorosos. O uso contínuo de métricas permite que o departamento de sistemas de informação e os usuários finais avaliem em conjunto o desempenho do sistema e identifiquem os problemas à medida que eles ocorrerem.
  41. Como administradores, os alunos confiariam seus sistemas corporativos a um provedor de computação em nuvem? O quanto a resposta depende do tipo de negócio que estão gerenciando?