Aula 16 - ESI18 pptx

Prévia do material em texto

CURSO DE ENGENHARIA DE PRODUÇÃO 
GESTÃO DE SISTEMAS DE INFORMAÇÃO
Prof. Dr. Júlio S. S. Bernardo
LIVRO
Esta disciplina utilizará como referência principal 
o seguinte livro, que está disponível na Biblioteca 
Virtual Pearson:
LAUDON, K.; LAUDON, J. Sistemas de Informação 
Gerenciais. 9. ed. São Paulo: Pearson, 2010. 
Fonte: Laudon e Laudon (2010)
CRIMES DE INFORMÁTICA
Exemplos de crime de informática
Fonte: Laudon e Laudon (2010)
CRIMES DE INFORMÁTICA
Exemplos de crime de informática
Fonte: Laudon e Laudon (2010)
CRIMES DE INFORMÁTICA
Pesquisa realizada em 522 empresas sobre segurança e 
crimes de informática (CSI em 2008)
Perda anual dos participantes ocasionada por crimes de 
informática e ataques à segurança estava próxima de 500 mil 
dólares (Richardson, 2008). 
Muitas empresas relutam em registrar esse tipo de crime
- Porque pode haver funcionários envolvidos.
- Porque a organização teme que, ao tornar pública a sua 
vulnerabilidade, isso manche sua reputação. 
Tipos de crime de informática mais danosos (financeiramente) 
Ataques DoS, a introdução de vírus, o roubo de serviços e a 
interrupção de sistemas de computador.
Fonte: Laudon e Laudon (2010)
ROUBO DE IDENTIDADE
Roubo de identidade: crime em que um impostor obtém 
informações pessoais importantes (no de identificação da 
Previdência Social, no da carteira de motorista, no do cartão de 
crédito) para se fazer passar por outra pessoa. 
Informações podem ser usadas para obter crédito, mercadorias 
ou serviços em nome da vítima. 
Javelin Strategy & Research: 4,7% dos norte-americanos 
foram vítimas de roubo de identidade em 2008 e sofreram 
perdas de 48 bilhões de dólares. 
Fonte: Laudon e Laudon (2010)
ROUBO DE IDENTIDADE
Prática cada vez mais popular é uma forma de spoofing 
chamada phishing.
 
Phishing: montar sites falsos ou enviar mensagens de e-mail 
parecidas com as enviadas por empresas legítimas, afim de 
pedir aos usuários dados pessoais confidenciais. 
Mensagens de e-mail instruem o destinatário a atualizar ou 
confirmar cadastros.
Principais empresas atacadas: Ebay, PayPal, Amazon, 
Walmart e bancos.
Fonte: Laudon e Laudon (2010)
ROUBO DE IDENTIDADE
NOVAS TÉCNICAS DE PHISHING
Evil twins e pharming são ainda mais difíceis de detectar. 
Evil twins (gêmeos do mal): redes sem fio que fingem 
oferecer conexões Wi-Fi confiáveis à Internet (em aeroportos, 
hotéis, cafeterias). 
Com a rede falsa, que parece idêntica a uma rede legítima, os 
fraudadores tentam capturar senhas ou números de cartão de 
crédito.
Pharming: redireciona os usuários a uma página da Web falsa, 
mesmo quando a pessoa digita o endereço correto da página 
da Web. 
Fonte: Laudon e Laudon (2010)
FRAUDE DO CLIQUE
Quando você clica em um anúncio exibido por uma máquina de 
busca, o anunciante normalmente paga uma taxa por cada 
clique.
Fraude do clique: um indivíduo ou programa de computador 
clica fraudulentamente em um anúncio on-line sem qualquer 
intenção de descobrir mais sobre o anunciante ou realizar uma 
compra. 
Algumas empresas contratam empresas terceirizadas (em 
geral de países de baixa renda) para clicar fraudulentamente 
em anúncios dos concorrentes a fim de enfraquecê-los através 
do aumento dos custos de marketing. 
Fonte: Laudon e Laudon (2010)
AMEAÇAS GLOBAIS: CIBERTERRORISMO E GUERRA CIBERNÉTICA
Atividades cibercriminais (distribuição de malware, ataques de 
recusa de serviço e phishing) não têm fronteiras. 
Sophos (empresa de segurança de computadores)
37% do malware que identificou em 2008 tinha origem nos 
EUA, enquanto 28% vinha da China, e 9% da Rússia.
A natureza global da Internet permite que cibercriminosos 
atuem em qualquer parte do mundo.
Fonte: Laudon e Laudon (2010)
VULNERABILIDADE DO SOFTWARE
Erros de software também representam uma constante 
ameaça aos sistemas de informação.
Crescente complexidade e o constante aumento de tamanho 
dos programas contribuíram para um aumento nas falhas de 
software ou vulnerabilidades. 
Ex. - Erro de programação no Depto de Habitação da Cidade de NY
(Fernandez, 2009)
• Cálculo errôneo do aluguel de centenas de famílias (entre 09/2008 e 
05/2009). 
• Famílias teriam de pagar cerca de 183 dólares a mais pelo aluguel.
Fonte: Laudon e Laudon (2010)
VULNERABILIDADE DO SOFTWARE
Um problema sério com o software é a presença de bugs 
escondidos ou defeitos no código do programa. 
É quase impossível eliminar todos os bugs dos grandes 
programas. 
Taxa zero de defeitos não pode ser alcançada nos grandes 
programas. 
- Milhares de anos seriam necessários para testar 
completamente os programas que contêm milhares de 
alternativas e milhões de caminhos. 
- Somente seria possível saber se determinado programa é 
confiável após um longo tempo de uso operacional.
Fonte: Laudon e Laudon (2010)
VULNERABILIDADE DO SOFTWARE
Softwares comerciais muitas vezes contêm falhas que geram: 
problemas de desempenho e vulnerabilidades de segurança. 
Anualmente, as empresas de segurança identificam cerca de 5 
mil vulnerabilidades de software na Internet e em programas 
para PC. 
Ex.:Em 2008, a Symantec identificou 47 vulnerabilidades no 
Microsoft Internet Explorer, 99 nos navegadores Mozilla e 40 
no Safari, da Apple. 
Para corrigir as falhas de software, os fornecedores criam 
softwares denominados patches (remendos) que consertam as 
falhas sem prejudicar o funcionamento do programa. 
Fonte: Laudon e Laudon (2010)
CASOS
Vídeo 1
http://g1.globo.com/jornal-nacional/noticia/2017/05/em-novo-gol
pe-estelionatarios-enviam-e-mails-falsos-da-receita.html
CASOS
Vídeo 2
Internet tem a maior ação de hackers da História
https://www.youtube.com/watch?v=9MfTLSuZBAI
VALOR EMPRESARIAL DA SEGURANÇA E DO CONTROLE
Empresas têm ativos de informação valiosíssimos a proteger. 
Sistemas abrigam informações confidenciais sobre impostos, 
ativos financeiros, registros médicos e desempenho 
profissional das pessoas. 
Também podem conter informações sobre operações 
corporativas, incluindo segredos de negócio, planos de 
desenvolvimento de novos produtos e estratégias de 
marketing. 
Fonte: Laudon e Laudon (2010)
VALOR EMPRESARIAL DA SEGURANÇA E DO CONTROLE
Sistemas governamentais podem armazenar informações sobre 
armamentos, operações de inteligência e alvos militares. 
Esses ativos de informação têm um valor incalculável, e a 
repercussão pode ser devastadora se forem perdidos, destruídos ou 
colocados em mãos erradas. 
Segundo estudo, se uma grande empresa tem sua segurança 
comprometida, em 2 dias a partir da falha ela perde 
aproximadamente 2,1% de seu valor de mercado, o que se traduz 
em uma perda média de 1,65 bilhão de dólares no mercado de 
ações a cada incidente (Cavusoglu, Mishra e Raghunathan, 2004).
Fonte: Laudon e Laudon (2010)
CONTROLES DE SISTEMAS DE INFORMAÇÃO
Controles de sistemas de informação podem ser manuais ou 
automatizados e são compostos tanto por controles gerais 
quanto por controles de aplicações. 
Controles gerais 
- controlam projeto, segurança, e uso de programas de 
computadores e a segurança de arquivos de dados. 
- se aplicam a todas as aplicações computadorizadas e 
consistem de uma combinação de hardware, software e 
procedimentos manuais que criam um ambiente global de 
controle.
Fonte: Laudon e Laudon (2010)
CONTROLES DE SISTEMA DE INFORMAÇÃO
Controles gerais
Fonte: Laudon e Laudon (2010)
CONTROLES DE SISTEMA DE INFORMAÇÃO
Controles de aplicação 
Controles específicos exclusivos a cada aplicação 
computadorizada, como processamento de folha de 
pagamento ou pedidos. 
Incluem procedimentos manuais e automatizados que 
garantem que somente dados autorizados sejam completa e 
precisamente processados pelas aplicações. 
Os controles de aplicação podem ser classificados como 
-controles de entrada, 
- controles de processamento e 
- controles de saída.
Fonte: Laudon e Laudon (2010)
CONTROLES DE SISTEMA DE INFORMAÇÃO
- Controles de entrada: verificam a precisãoe completude 
dos dados quando entram no sistema.
- Controles de processamento: verificam se os dados estão 
completos e precisos durante a atualização. 
- Controles de saída: garantem que os resultados do 
processamento computacional sejam precisos, completos e 
distribuídos de maneira apropriada.
Fonte: Laudon e Laudon (2010)
AVALIAÇÃO DE RISCO
Antes que a sua empresa comprometa recursos com 
segurança, ela precisa saber quais ativos exigem proteção e 
em que medida eles são vulneráveis. 
Avaliação de risco ajuda a responder a essas questões e 
determina o conjunto de controles com melhor custo-benefício 
para proteger os ativos.
Fonte: Laudon e Laudon (2010)
POLÍTICA DE SEGURANÇA
Após identificar os principais riscos para seus sistemas. 
Política de segurança: declaração que estabelece hierarquia 
aos riscos de informação e identifica metas de segurança 
aceitáveis, e mecanismos para atingi-Ias.
 - Quais os ativos de informação mais importantes da 
empresa? 
- Quem produz e controla essa informação?
 - Quais políticas de segurança já estão em curso para proteger 
essa informação? 
Fonte: Laudon e Laudon (2010)
POLÍTICA DE SEGURANÇA
- Qual nível de risco a administração está disposta a aceitar 
para cada um dos ativos? 
- Está disposta, por exemplo, a perder dados de crédito dos 
clientes uma vez a cada dez anos?
- Ou desenvolverá um sistema de segurança para dados de 
cartão de crédito capaz de enfrentar um desastre que só ocorre 
a cada cem anos? 
A administração precisa estimar ainda quanto custará atingir 
esse nível de risco aceitável.
Fonte: Laudon e Laudon (2010)
POLÍTICA DE SEGURANÇA
Política de uso aceitável: define os usos aceitáveis dos 
recursos de informação e do equipamento de informática da 
empresa, incluindo: 
- computadores de mesa e laptops; dispositivos sem fio; 
telefones; Internet. 
Política deve deixar clara a posição da empresa no que diz 
respeito à privacidade, à responsabilidade do usuário e ao uso 
pessoal do equipamento de informática e das redes. 
Ex. - Unilever: cada empregado equipado com um laptop 
portátil utiliza um dispositivo específico da empresa e usa uma 
senha ou outro método de identificação quando se conectar à 
rede corporativa. Fonte: Laudon e Laudon (2010)
POLÍTICA DE SEGURANÇA
Políticas de autorização: determinam diferentes níveis de 
acesso aos ativos de informação para diferentes níveis de 
usuários. 
Sistemas de gestão de autorização estabelecem onde e 
quando um usuário terá permissão para acessar determinadas 
partes de um site ou de um banco de dados. 
Tais sistemas permitem que cada usuário acesse somente as 
partes do sistema nas quais tem permissão de entrar.
Fonte: Laudon e Laudon (2010)
PLANO DE RECUPERAÇÃO DE DESASTRES E PLANO DE 
CONTINUIDADE DOS NEGÓCIOS
Plano de recuperação de desastres: estratégias para 
restaurar os serviços de computação e comunicação após eles 
terem sofrido uma interrupção causada por eventos como 
terremotos, inundações ou ataques terroristas. 
Questões técnicas relacionadas à preservação do 
funcionamento dos sistemas, tais como os arquivos que devem 
ter backup e a manutenção de sistemas de computador 
reservas ou de serviços de recuperação de desastres. 
Ex.: MasterCard possui um centro de informática duplicado em 
Kansas City, Missouri, que pode servir como reserva de 
emergência para seu centro de informática “oficial”, localizado 
em St. Louis.
Fonte: Laudon e Laudon (2010)
PLANO DE RECUPERAÇÃO DE DESASTRES E PLANO DE 
CONTINUIDADE DOS NEGÓCIOS
Plano de continuidade dos negócios concentra-se em como 
a empresa pode restaurar suas operações após um desastre. 
Identifica os processos de negócio críticos e determina planos 
de ação para lidar com funções essenciais caso os sistemas 
saiam do ar.
Fonte: Laudon e Laudon (2010)
O PAPEL DA AUDITORIA
Como a administração sabe que os controles de seus SIs 
são eficientes? 
Para responder a essa pergunta, ela deve realizar auditorias 
abrangentes e sistemáticas. 
Auditoria de sistemas: avalia o sistema geral de segurança 
da empresa e identifica todos os controles que governam 
sistemas individuais de informação.
Fonte: Laudon e Laudon (2010)
O PAPEL DA AUDITORIA
Exemplo de listagem feita por um auditor para deficiências de controle
Fonte: Laudon e Laudon (2010)
CONTROLE DE ACESSO
Controle de acesso: conjunto de políticas e procedimentos 
que uma empresa usa para evitar acesso indevido a seus 
sistemas por pessoas não autorizadas. 
Para obter acesso, o usuário precisa ser autorizado e 
autenticado. 
Autenticação refere-se à capacidade de saber que uma 
pessoa é quem declara ser. 
Software de controle de acesso é elaborado para garantir que, 
por meio de algum tipo de autenticação, somente usuários 
autorizados usem os sistemas.
Fonte: Laudon e Laudon (2010)
FIREWALLS
Firewalls impedem que usuários não autorizados acessem 
redes privadas. 
É uma combinação de hardware e software que controla o 
fluxo de tráfego que entra na rede ou sai dela. 
Geralmente é instalado entre as redes internas da empresa e 
as redes externas, como a Internet, embora possa também ser 
usado para proteger parte de uma rede da empresa do resto 
da rede.
Fonte: Laudon e Laudon (2010)
FIREWALLS
Um firewall corporativo
Fonte: Laudon e Laudon (2010)
FIREWALLS
Age como um porteiro que examina as credenciais de cada 
usuário antes que ele possa acessar a rede. 
Em grandes organizações, o firewall muitas vezes reside em 
um computador reservado especialmente para ele, separado 
do resto da rede, de maneira que nenhuma solicitação possa 
entrar e acessar diretamente os recursos da rede privada.
Fonte: Laudon e Laudon (2010)
SOFTWARE ANTIVÍRUS E ANTISPYWARE
Software antívírus: projetado para verificar sistemas de 
informação, a fim de detectar a presença de vírus de 
computador.
Software pode eliminar o vírus da área infectada. 
Software antivírus deve ser continuamente atualizado. 
Fornecedores de software antivírus (Avira, McAfee, Symantec 
e Trend Micro) aprimoraram seus produtos para incluir 
proteção contra spyware. 
Fonte: Laudon e Laudon (2010)
CRIPTOGRAFIA
Usada para proteger as informações digitais armazenadas, 
transferidas fisicamente ou enviadas pela Internet. 
Criptografia: processo de transformar textos comuns ou dados 
em um texto cifrado, que não possa ser lido por ninguém a não 
ser o remetente e o destinatário desejado. 
Dados são criptografados por meio de um código numérico 
secreto (chave criptográfica), que transforma dados comuns 
em texto cifrado. Para ser lida, a mensagem deve ser 
decriptografada pelo destinatário.
Fonte: Laudon e Laudon (2010)
REFERÊNCIAS
• LAUDON, K.; LAUDON, J. Sistemas de Informação 
Gerenciais. 9. ed. São Paulo: Pearson, 2010.