Perguntas Capítulo 7

Prévia do material em texto

244 Sistemas de informac;:ao gerenciais 
potenciais. Essas ameac;:as, as probabilidades associadas a elas e seus prejuizos medios sao 
resumidos na tabela a seguir. 
Avalia~ao de risco da Mercer Paints 
Risco Probabilidade de ocorrencia (%) Prejuizo media ($) 
Ataque de rna/ware 60 75.000 
Perda de dados 12 70.000 
Desvio de dinheiro 3 30.000 
Erros de usuario 95 25.000 
Amea c;: as de hackers 95 90.000 
Uso indevido par parte de 5 5.000 
funcionarios 
Falta de energia 15 	 300.000 
• 	 Alem dos riscos enumerados, voce precisa identificar pelo menos tres outras ameac;:a5 
potenciais it Mercer Paints , atribuir-lhes probabilidades e estimar uma faixa de pre­
julzo. 
• 	 Usando software de planilha e os dados da avaliac;:ao de risco, calcule 0 prejuizo anual 
esperado para cada risco. 
• 	 Apresente suas conclus5es na forma de gnifico. Quais pontos de controle estao mais 
vulneniveis? Quais recomendac;:oes voce faria aMercer Paints? Prepare urn relat6rio 
por escrito que resuma suas conclusoes e recomendac;:oes. 
Aperfei~oando a tomada de decisao: avaliando servi~os de 
terceiriza~ao de seguran~a 
Habilidades de software: navegador Web e software de apresentac;:ao 
Habilidades empresariais: avaliaC;:30 de servic;:os de terceirizaC;:30 
Atualmente, as empresas tern a opc;:ao de terceirizar suas func;:oes de seguranc;:a ou man­
ter sua pr6pria equipe interna para esse fim. Este projeto the ajudara a desenvolver suas 
habilidades de Internet na utilizaC;:30 da rede para pesquisar e avaliar servic;:os de terceiriza­
C;:30 de seguranc;:a. 
Como especialista em sistemas de informaC;:30 de sua empresa, voce foi encarregado de 
ajudar os gerentes a decidir sobre a terceirizac;:ao da seguranc;:a ou a manutenc;:ao da func;:ao 
de seguranc;:a dentro da organizac;:30. Pesquise na Web para encontrar informac;:oes que lhe 
ajudem a decidir sobre a terceirizac;:ao da seguranc;:a e a localizar servic;:os terceirizados de 
seguranc;:a. 
• 	 Apresente urn breve resumo dos argumentos contra e a favor do outsourcing da segu­
ranc;:a em informatica. 
• 	 Selecione duas empresas que oferec;:am esse tipo de servic;:o, comparando as empresas 
e seus servic;:os. 
• 	 Prepare uma recomendac;:ao por escrito aadministraC;:30 indicando por que acredita 
que deveriam optar (ou n30) pelo outsourcing da seguranc;:a equal das duas empresas 
acha que deveriam selecionar caso decidissem terceirizar. 
Resumo 
• 
Por que os sistemas de informa~ao pre­ estao vulneraveis a destrui<;:ao, usa indevido, 
cisam de prote~ao especial contra destrui­ erro, fraude e falhas de software e hardware. 
~ao, erros e uso indevido? Dados digitais A Internet foi projetada para ser um sistema 
Capitulo 7: Seguran<;:a em sistemas de informa<;:ao 245 
aberto, por isso deixa os sistemas corporativos internos 
mais vulneraveis a ar;:6es de invasores. Hackers podem 
desencadear ataques de recusa de servir;:o (DoS) ou inva­
dir redes corporativas, causando serios prejuizos aos siste­
mas. As redes de Wi-Fi podem facilmente ser penetradas 
por invasores com programas sniffer, que obtem um ende­
rer;:o e, assim, acessam os recursos da rede. Os virus de 
computador e worms podem desabilitar sistemas e sites. 
A natureza dispersa da computar;:ao em nuvem dificulta 0 
rastreamento de atividades nao autorizadas ou a aplicar;:ao 
de controles a distElncia. Os softwares tambem apresentam 
problemas, pois as vulnerabilidades do software podem ser 
exploradas por hackers e softwares mal-intencionados. Por 
fim, os usuarios finais tambem acabam introduzindo erros. 
• . Qual 0 valor empresarial da seguran~a e do controle? 
Falta de seguranr;:a e controle solidos pode fazer com que 
as empresas que dependem de sistemas computacionais 
para as suas funr;:6es empresariais vita is percam vendas e 
produtividade. Ativos de informar;:ao - registros confiden­
ciais sobre funcionarios, segredos comerciais ou pianos 
de neg6cios, por exemplo - perdem muito de seu valor 
se forem revelados para pessoas de fora da organizar;:ao. 
Alem disso, sua revelar;:ao exp6e a empresa a riscos legais. 
Novas leis, como a Lei HIPAA, a Lei Sarbanes-Oxley e a Lei 
Gramm-Leach-Bliley, exigem que as empresas pratiquem 
uma minuciosa gestao de registros eletronicos e que ado­
tem rigidos padroes de seguranr;:a, privacidade e controle. 
A possibilidade de ar;:oes legals que exijam pericia forense 
computacional e provas eletronicas tambem obrigam as 
empresas a prestar mais atenr;:ao a seguranr;:a e a gestao 
dos registros eletronicos. 
. Quais os componentes de uma estrutura organiza­
cional para seguran~a e controle? As empresas devem 
estabelecer uma adequada estrutura gerencial e organiza­
cional para seguranr;:a e controle. Uma avaliar;:ao de risco 
analisa os ativos de informar;:ao, identifica pontos de con­
Palavras-chave 
trole e vulnerabilidades de controle e determina 0 conjunto 
de controles com a melhor relar;:ao custo-beneficio. As 
empresas tambem precisam desenvolver uma poiftica de 
seguranr;:a corporativa coerente e pianos para dar continui­
dade as suas operar;:6es na hipotese de desastres ou panes. 
A politica de seguranr;:a abrange poifticas para autoriza­
r;:ao e uso aceitavel. Uma auditoria de sistemas met6dica e 
abrangente ajuda as organizar;:6es a determinar a eficiencia 
da seguranr;:a e dos controles adotados em seus sistemas 
de informar;:ao. 
Quais as mais importantes tecnologias e ferramen­
tas disponiveis para salvaguardar recursos de infor­
ma~ao? Ouando conectados a Internet, fire walls evitam 
que usuarios nao autorizados acessem a rede privada. 
Sistemas de detecr;:ao de invasao monitoram as redes 
privadas em busca de trafego de rede suspeito ou tenta­
tivas de acessar os sistemas corporativos. Sen has, tokens, 
smart cards e autenticar;:ao biometrica sao usados para 
autenticar usuarios de sistemas. Softwares antivirus veri­
ficam se ha infecr;:oes causadas por virus e worms no sis­
tema de computador e, muitas vezes, eliminam 0 software 
mal-intencionado; softwares antispyware, por sua vez, 
combatem programas spyware danosos e invasivos. 
A criptografia - isto e, a codificar;:ao e 0 embaralhamento 
de mensagens - e uma tecnologia amplamente utilizada 
para salvaguardar as transmiss6es eletronicas realizadas por 
redes desprotegidas. Os certificados digitais, combinados 
com a criptografia de chave publica, oferecem proter;:ao 
adicional as transar;:6es eletronicas, po is autenticam a iden­
tidade do usuario. As empresas podem utilizar sistemas 
computacionais tolerantes a falhas ou criar ambientes com­
putacionais de alta disponibilidade para garantir que seus 
sistemas de informar;:ao estejam sempre disponiveis. 0 uso 
de metricas de software e testes rigorosos ajudam a melho­
rar a qualidade e a confiabilidade do software. 
Ataque de recusa de servir;:o, 221 Controle de acesso, 234 Lei Gramm-Leach-Bliley, 228 
Ataque distribuido de recusa de Controles, 215 Lei Sarbanes-Oxley, 228 
servir;:o, 221 Controles de aplicar;:ao, 229 Ma/ware, 218 
Ataques por SOL injection, 219 Controles gerais, 229 Patches, 226 
Auditoria de sistemas, 233 Crimes de informatica, 222 Pericia forense computacional, 228 
Autenticar;:ao, 234 Criptografia, 237 Pharming, 223 
Autenticar;:ao biometrica, 234 Criptografia de chave publica, 237 Phishing, 223 
Avaliar;:ao de risco, 230 Downtime, 238 Plano de continuidade dos negocios, 
Botnet, 221 Engenharia social, 226 232 
Bugs, 226 Evil twins,223 Plano de recuperar;:ao de desastres, 
Cavalo de Troia, 219 Firewalls, 234 232 
Certificados digltais, 237 Fraude do clique, 225 Politica de uso aceitavel, 231 
Cibervandalismo, 221 Hacker, 221 Politi ca de seguranr;:a, 231 
Computar;:ao de alta disponibilidade, HIPAA,227 Politicas de autorizar;:ao, 231 
238 Infraestrutura de chave publica (PKI), 238 Processamento de transar;:§o on-line, 231 
Computar;:ao orientada a Insper;:ao profunda de pacotes, 239 Provedores de servir;:os de seguranr;:a 
recuperar;:ao, 239 Key loggers, 220 gerenciada (MSSPs), 239