Baixe o app para aproveitar ainda mais
Prévia do material em texto
CURSO DE ENGENHARIA DE PRODUÇÃO GESTÃO DE SISTEMAS DE INFORMAÇÃO Prof. Dr. Júlio S. S. Bernardo LIVRO Esta disciplina utilizará como referência principal o seguinte livro, que está disponível na Biblioteca Virtual Pearson: LAUDON, K.; LAUDON, J. Sistemas de Informação Gerenciais. 9. ed. São Paulo: Pearson, 2010. Fonte: Laudon e Laudon (2010) CRIMES DE INFORMÁTICA Exemplos de crime de informática Fonte: Laudon e Laudon (2010) CRIMES DE INFORMÁTICA Exemplos de crime de informática Fonte: Laudon e Laudon (2010) CRIMES DE INFORMÁTICA Pesquisa realizada em 522 empresas sobre segurança e crimes de informática (CSI em 2008) Perda anual dos participantes ocasionada por crimes de informática e ataques à segurança estava próxima de 500 mil dólares (Richardson, 2008). Muitas empresas relutam em registrar esse tipo de crime - Porque pode haver funcionários envolvidos. - Porque a organização teme que, ao tornar pública a sua vulnerabilidade, isso manche sua reputação. Tipos de crime de informática mais danosos (financeiramente) Ataques DoS, a introdução de vírus, o roubo de serviços e a interrupção de sistemas de computador. Fonte: Laudon e Laudon (2010) ROUBO DE IDENTIDADE Roubo de identidade: crime em que um impostor obtém informações pessoais importantes (no de identificação da Previdência Social, no da carteira de motorista, no do cartão de crédito) para se fazer passar por outra pessoa. Informações podem ser usadas para obter crédito, mercadorias ou serviços em nome da vítima. Javelin Strategy & Research: 4,7% dos norte-americanos foram vítimas de roubo de identidade em 2008 e sofreram perdas de 48 bilhões de dólares. Fonte: Laudon e Laudon (2010) ROUBO DE IDENTIDADE Prática cada vez mais popular é uma forma de spoofing chamada phishing. Phishing: montar sites falsos ou enviar mensagens de e-mail parecidas com as enviadas por empresas legítimas, afim de pedir aos usuários dados pessoais confidenciais. Mensagens de e-mail instruem o destinatário a atualizar ou confirmar cadastros. Principais empresas atacadas: Ebay, PayPal, Amazon, Walmart e bancos. Fonte: Laudon e Laudon (2010) ROUBO DE IDENTIDADE NOVAS TÉCNICAS DE PHISHING Evil twins e pharming são ainda mais difíceis de detectar. Evil twins (gêmeos do mal): redes sem fio que fingem oferecer conexões Wi-Fi confiáveis à Internet (em aeroportos, hotéis, cafeterias). Com a rede falsa, que parece idêntica a uma rede legítima, os fraudadores tentam capturar senhas ou números de cartão de crédito. Pharming: redireciona os usuários a uma página da Web falsa, mesmo quando a pessoa digita o endereço correto da página da Web. Fonte: Laudon e Laudon (2010) FRAUDE DO CLIQUE Quando você clica em um anúncio exibido por uma máquina de busca, o anunciante normalmente paga uma taxa por cada clique. Fraude do clique: um indivíduo ou programa de computador clica fraudulentamente em um anúncio on-line sem qualquer intenção de descobrir mais sobre o anunciante ou realizar uma compra. Algumas empresas contratam empresas terceirizadas (em geral de países de baixa renda) para clicar fraudulentamente em anúncios dos concorrentes a fim de enfraquecê-los através do aumento dos custos de marketing. Fonte: Laudon e Laudon (2010) AMEAÇAS GLOBAIS: CIBERTERRORISMO E GUERRA CIBERNÉTICA Atividades cibercriminais (distribuição de malware, ataques de recusa de serviço e phishing) não têm fronteiras. Sophos (empresa de segurança de computadores) 37% do malware que identificou em 2008 tinha origem nos EUA, enquanto 28% vinha da China, e 9% da Rússia. A natureza global da Internet permite que cibercriminosos atuem em qualquer parte do mundo. Fonte: Laudon e Laudon (2010) VULNERABILIDADE DO SOFTWARE Erros de software também representam uma constante ameaça aos sistemas de informação. Crescente complexidade e o constante aumento de tamanho dos programas contribuíram para um aumento nas falhas de software ou vulnerabilidades. Ex. - Erro de programação no Depto de Habitação da Cidade de NY (Fernandez, 2009) • Cálculo errôneo do aluguel de centenas de famílias (entre 09/2008 e 05/2009). • Famílias teriam de pagar cerca de 183 dólares a mais pelo aluguel. Fonte: Laudon e Laudon (2010) VULNERABILIDADE DO SOFTWARE Um problema sério com o software é a presença de bugs escondidos ou defeitos no código do programa. É quase impossível eliminar todos os bugs dos grandes programas. Taxa zero de defeitos não pode ser alcançada nos grandes programas. - Milhares de anos seriam necessários para testar completamente os programas que contêm milhares de alternativas e milhões de caminhos. - Somente seria possível saber se determinado programa é confiável após um longo tempo de uso operacional. Fonte: Laudon e Laudon (2010) VULNERABILIDADE DO SOFTWARE Softwares comerciais muitas vezes contêm falhas que geram: problemas de desempenho e vulnerabilidades de segurança. Anualmente, as empresas de segurança identificam cerca de 5 mil vulnerabilidades de software na Internet e em programas para PC. Ex.:Em 2008, a Symantec identificou 47 vulnerabilidades no Microsoft Internet Explorer, 99 nos navegadores Mozilla e 40 no Safari, da Apple. Para corrigir as falhas de software, os fornecedores criam softwares denominados patches (remendos) que consertam as falhas sem prejudicar o funcionamento do programa. Fonte: Laudon e Laudon (2010) CASOS Vídeo 1 http://g1.globo.com/jornal-nacional/noticia/2017/05/em-novo-gol pe-estelionatarios-enviam-e-mails-falsos-da-receita.html CASOS Vídeo 2 Internet tem a maior ação de hackers da História https://www.youtube.com/watch?v=9MfTLSuZBAI VALOR EMPRESARIAL DA SEGURANÇA E DO CONTROLE Empresas têm ativos de informação valiosíssimos a proteger. Sistemas abrigam informações confidenciais sobre impostos, ativos financeiros, registros médicos e desempenho profissional das pessoas. Também podem conter informações sobre operações corporativas, incluindo segredos de negócio, planos de desenvolvimento de novos produtos e estratégias de marketing. Fonte: Laudon e Laudon (2010) VALOR EMPRESARIAL DA SEGURANÇA E DO CONTROLE Sistemas governamentais podem armazenar informações sobre armamentos, operações de inteligência e alvos militares. Esses ativos de informação têm um valor incalculável, e a repercussão pode ser devastadora se forem perdidos, destruídos ou colocados em mãos erradas. Segundo estudo, se uma grande empresa tem sua segurança comprometida, em 2 dias a partir da falha ela perde aproximadamente 2,1% de seu valor de mercado, o que se traduz em uma perda média de 1,65 bilhão de dólares no mercado de ações a cada incidente (Cavusoglu, Mishra e Raghunathan, 2004). Fonte: Laudon e Laudon (2010) CONTROLES DE SISTEMAS DE INFORMAÇÃO Controles de sistemas de informação podem ser manuais ou automatizados e são compostos tanto por controles gerais quanto por controles de aplicações. Controles gerais - controlam projeto, segurança, e uso de programas de computadores e a segurança de arquivos de dados. - se aplicam a todas as aplicações computadorizadas e consistem de uma combinação de hardware, software e procedimentos manuais que criam um ambiente global de controle. Fonte: Laudon e Laudon (2010) CONTROLES DE SISTEMA DE INFORMAÇÃO Controles gerais Fonte: Laudon e Laudon (2010) CONTROLES DE SISTEMA DE INFORMAÇÃO Controles de aplicação Controles específicos exclusivos a cada aplicação computadorizada, como processamento de folha de pagamento ou pedidos. Incluem procedimentos manuais e automatizados que garantem que somente dados autorizados sejam completa e precisamente processados pelas aplicações. Os controles de aplicação podem ser classificados como -controles de entrada, - controles de processamento e - controles de saída. Fonte: Laudon e Laudon (2010) CONTROLES DE SISTEMA DE INFORMAÇÃO - Controles de entrada: verificam a precisãoe completude dos dados quando entram no sistema. - Controles de processamento: verificam se os dados estão completos e precisos durante a atualização. - Controles de saída: garantem que os resultados do processamento computacional sejam precisos, completos e distribuídos de maneira apropriada. Fonte: Laudon e Laudon (2010) AVALIAÇÃO DE RISCO Antes que a sua empresa comprometa recursos com segurança, ela precisa saber quais ativos exigem proteção e em que medida eles são vulneráveis. Avaliação de risco ajuda a responder a essas questões e determina o conjunto de controles com melhor custo-benefício para proteger os ativos. Fonte: Laudon e Laudon (2010) POLÍTICA DE SEGURANÇA Após identificar os principais riscos para seus sistemas. Política de segurança: declaração que estabelece hierarquia aos riscos de informação e identifica metas de segurança aceitáveis, e mecanismos para atingi-Ias. - Quais os ativos de informação mais importantes da empresa? - Quem produz e controla essa informação? - Quais políticas de segurança já estão em curso para proteger essa informação? Fonte: Laudon e Laudon (2010) POLÍTICA DE SEGURANÇA - Qual nível de risco a administração está disposta a aceitar para cada um dos ativos? - Está disposta, por exemplo, a perder dados de crédito dos clientes uma vez a cada dez anos? - Ou desenvolverá um sistema de segurança para dados de cartão de crédito capaz de enfrentar um desastre que só ocorre a cada cem anos? A administração precisa estimar ainda quanto custará atingir esse nível de risco aceitável. Fonte: Laudon e Laudon (2010) POLÍTICA DE SEGURANÇA Política de uso aceitável: define os usos aceitáveis dos recursos de informação e do equipamento de informática da empresa, incluindo: - computadores de mesa e laptops; dispositivos sem fio; telefones; Internet. Política deve deixar clara a posição da empresa no que diz respeito à privacidade, à responsabilidade do usuário e ao uso pessoal do equipamento de informática e das redes. Ex. - Unilever: cada empregado equipado com um laptop portátil utiliza um dispositivo específico da empresa e usa uma senha ou outro método de identificação quando se conectar à rede corporativa. Fonte: Laudon e Laudon (2010) POLÍTICA DE SEGURANÇA Políticas de autorização: determinam diferentes níveis de acesso aos ativos de informação para diferentes níveis de usuários. Sistemas de gestão de autorização estabelecem onde e quando um usuário terá permissão para acessar determinadas partes de um site ou de um banco de dados. Tais sistemas permitem que cada usuário acesse somente as partes do sistema nas quais tem permissão de entrar. Fonte: Laudon e Laudon (2010) PLANO DE RECUPERAÇÃO DE DESASTRES E PLANO DE CONTINUIDADE DOS NEGÓCIOS Plano de recuperação de desastres: estratégias para restaurar os serviços de computação e comunicação após eles terem sofrido uma interrupção causada por eventos como terremotos, inundações ou ataques terroristas. Questões técnicas relacionadas à preservação do funcionamento dos sistemas, tais como os arquivos que devem ter backup e a manutenção de sistemas de computador reservas ou de serviços de recuperação de desastres. Ex.: MasterCard possui um centro de informática duplicado em Kansas City, Missouri, que pode servir como reserva de emergência para seu centro de informática “oficial”, localizado em St. Louis. Fonte: Laudon e Laudon (2010) PLANO DE RECUPERAÇÃO DE DESASTRES E PLANO DE CONTINUIDADE DOS NEGÓCIOS Plano de continuidade dos negócios concentra-se em como a empresa pode restaurar suas operações após um desastre. Identifica os processos de negócio críticos e determina planos de ação para lidar com funções essenciais caso os sistemas saiam do ar. Fonte: Laudon e Laudon (2010) O PAPEL DA AUDITORIA Como a administração sabe que os controles de seus SIs são eficientes? Para responder a essa pergunta, ela deve realizar auditorias abrangentes e sistemáticas. Auditoria de sistemas: avalia o sistema geral de segurança da empresa e identifica todos os controles que governam sistemas individuais de informação. Fonte: Laudon e Laudon (2010) O PAPEL DA AUDITORIA Exemplo de listagem feita por um auditor para deficiências de controle Fonte: Laudon e Laudon (2010) CONTROLE DE ACESSO Controle de acesso: conjunto de políticas e procedimentos que uma empresa usa para evitar acesso indevido a seus sistemas por pessoas não autorizadas. Para obter acesso, o usuário precisa ser autorizado e autenticado. Autenticação refere-se à capacidade de saber que uma pessoa é quem declara ser. Software de controle de acesso é elaborado para garantir que, por meio de algum tipo de autenticação, somente usuários autorizados usem os sistemas. Fonte: Laudon e Laudon (2010) FIREWALLS Firewalls impedem que usuários não autorizados acessem redes privadas. É uma combinação de hardware e software que controla o fluxo de tráfego que entra na rede ou sai dela. Geralmente é instalado entre as redes internas da empresa e as redes externas, como a Internet, embora possa também ser usado para proteger parte de uma rede da empresa do resto da rede. Fonte: Laudon e Laudon (2010) FIREWALLS Um firewall corporativo Fonte: Laudon e Laudon (2010) FIREWALLS Age como um porteiro que examina as credenciais de cada usuário antes que ele possa acessar a rede. Em grandes organizações, o firewall muitas vezes reside em um computador reservado especialmente para ele, separado do resto da rede, de maneira que nenhuma solicitação possa entrar e acessar diretamente os recursos da rede privada. Fonte: Laudon e Laudon (2010) SOFTWARE ANTIVÍRUS E ANTISPYWARE Software antívírus: projetado para verificar sistemas de informação, a fim de detectar a presença de vírus de computador. Software pode eliminar o vírus da área infectada. Software antivírus deve ser continuamente atualizado. Fornecedores de software antivírus (Avira, McAfee, Symantec e Trend Micro) aprimoraram seus produtos para incluir proteção contra spyware. Fonte: Laudon e Laudon (2010) CRIPTOGRAFIA Usada para proteger as informações digitais armazenadas, transferidas fisicamente ou enviadas pela Internet. Criptografia: processo de transformar textos comuns ou dados em um texto cifrado, que não possa ser lido por ninguém a não ser o remetente e o destinatário desejado. Dados são criptografados por meio de um código numérico secreto (chave criptográfica), que transforma dados comuns em texto cifrado. Para ser lida, a mensagem deve ser decriptografada pelo destinatário. Fonte: Laudon e Laudon (2010) REFERÊNCIAS • LAUDON, K.; LAUDON, J. Sistemas de Informação Gerenciais. 9. ed. São Paulo: Pearson, 2010.
Compartilhar