Baixe o app para aproveitar ainda mais
Prévia do material em texto
Sistemas de Informação UNIDADE 4 2 SISTEMA DA INFORMAÇÃO UNIDADE 4 PARA INÍCIO DE CONVERSA Olá querido (a) aluno (a)! Chegamos finalmente na Unidade IV de nossa disciplina. No livro-texto o conteúdo desta unidade se encontra entre as páginas 103 e 121, e está com o título “Como gerenciar e desenvolver sistemas de informação”. Neste guia de estudos, voltaremos a explorar a parte relativa à segurança em Sistemas de Informações, crimes de computador e ética, assim como sobre auditoria de sistemas de informações. Lembre-se de que na Unidade II já começamos a abordar o tema relativo à segurança em sistemas de informação. Por isso, recomendamos que você faça uma revisão do que já foi abordado anteriormente. Recomendamos que acesse a Biblioteca Virtual e consulte o livro “Fundamentos em Segurança da Informação” (organizadora - Michele da Costa Galvão), lendo a Unidade IV (Gestão da Segurança da Informação), entre as páginas 87 e 109. Pronto (a) para começar? Espero que sim! Vamos lá! CRIMES DE INFORMÁTICA Com a expansão da utilização dos computadores, e a utilização cada vez mais intensiva da INTERNET, tornam-se cada vez mais frequentes os casos nos quais as pessoas se utilizam dessas ferramentas para cometer atos que causem danos a terceiros. Os crimes cometidos, também conhecidos como crimes cibernéticos, não tem fronteiras, pois a partir de um computador situado em um país pode-se acessar um sistema e manipular seus dados, sendo que os dados oriundos da manipulação indevida podem estar em outro país. VEjA O VÍDEO! Na Unidade II falamos de vírus. Assista ao vídeo: Os Invasores - que tem aproximadamente seis minutos. Em fração de segundos um computador pode processar milhões de dados. Nessa mesma fração de tempo https://www.youtube.com/watch?v=0Zxt7kS5miQ&list=PLf80UJJXumg2NSO0WFZiQadixaXY3AQ35 3 ele também pode estar sendo utilizado para furtar milhares de reais. Os crimes cometidos com o auxílio do computador, costumam ser chamados de “crimes limpos”. Normalmente, não são fáceis de ser detectados, e muitas vezes somente são detectados bastante tempo depois de sua ocorrência. No estudo da literatura sobre esse assunto, existem diversos denominações para este tipo de crime: crimes eletrônicos, crimes de Informática, cybercrimes, crimes informáticos, crimes com computador, e-crime, entre diversas outras denominações. PRIVACIDADE DA INFORMAÇÃO Uma questão que também se discute quando falamos em segurança da informação é a questão da privacidade, que trata basicamente da coleta e inadequada utilização de dados. É comum encontrarmos situações onde dados sobre as pessoas são coletados, armazenados e distribuídos, sem o conhecimento ou o consentimento da pessoa a quem eles se referem ou a quem eles pertençam. Muitas vezes, estamos recebendo em nossas casas correspondência de empresas, ou fazendo propaganda de algum produto, ou nos “ofertando” produtos, e na grande maioria das vezes ficamos nos perguntando como tiveram acesso aos nossos dados. Hoje em dia, fornecemos muitos dados pessoais em uma quantidade enorme de transações comerciais, quando, por exemplo, é confeccionado um cadastro em um banco ou uma loja na qual estejamos fazendo uma compra. E apesar de muitas vezes, no documento no qual fornecemos os dados, contar uma declaração de que aqueles dados não serão fornecidos para ninguém, qual a garantia que temos que aqueles dados efetivamente não estão sendo fornecidos ou utilizados para uma destinação diferente daquela para a qual os fornecemos? Encontra-se na INTERNET, por exemplo, uma consulta através de site que fornece a situação do CPF das pessoas. A princípio isso deveria ser objeto apenas da Receita Federal? Muitas empresas solicitam aos funcionários que assinem, um Termo de Confidencialidade e Sigilo de Informações, juntamente com o contrato de trabalho. Veja abaixo um modelo: 4 ACORDO DE CONFIDENCIALIDADE E SIGILO DE INFORMAÇÕES Pelo presente instrumento aditivo ao contrato de trabalho firmado em ___ / ___/ ____, entre (nome da empresa) doravante denominada EMPRESA, e (nome do empregado), doravante denominado EMPREGADO, mediante as seguintes cláusulas e condições: 1. DEFINIÇÕES 1.1. “Informações Confidenciais” significam todas as informações, know-how, documentos, programas de computador e documentação, códigos fonte, relatórios, dados financeiros ou outros dados, registros, formulários, ferramentas, produtos, serviços, metodologias, pesquisa presente e futura, conhecimento técnico, planos de marketing, segredos comerciais e outros materiais tangíveis ou intangíveis, armazenados ou não, compilados ou reduzidos a termo, seja física, eletrônica ou graficamente, por escrito, ou por qualquer meio, que esteja em poder da EMPRESA, e que seja revelado ao EMPREGADO. 1.2. As Informações Confidenciais incluem, sem limitação, arquivos e informações, bem como Informações da EMPRESA: a) que contenham a especificação de propriedade exclusiva ou confidencial; b) cuja natureza confidencial tenha sido informada pela EMPRESA; c) que consistam na solução, nas inovações e aperfeiçoamento, que sejam de criação e desenvolvimento individual, ou em conjunto entre as Partes; ou d) que, em virtude de suas características e natureza, seriam consideradas confidenciais em circunstâncias semelhantes. 2. OBjETO 2.1. O EMPREGADO acorda em receber Informações das quais a EMPRESA é titular, em caráter de confidencialidade, para efeitos da prestação de serviços relativos ao Projeto (especificar), para todos os fins. 2.2. O EMPREGADO reconhece a natureza confidencial de toda Informação recebida pela EMPRESA e/ou de que tenha tomado conhecimento ou lhe tenha sido dado conhecimento durante a execução do presente Acordo, obrigando-se a guardar segredo sobre tal Informação, não podendo utilizar em seu próprio benefício, revelar, ceder, partilhar ou permitir a sua duplicação, uso ou divulgação, no todo ou em parte, a terceiros. 2.3. Nos termos do presente Acordo, o EMPREGADO compromete-se a: a) tomar todas as providências necessárias para impedir a reprodução ou revelação de Informações confidenciais da EMPRESA, pelo menos de forma equivalente às providências que toma para proteger suas próprias informações, durante a vigência deste Acordo e por um período de 5 (cinco) 5 anos após seu término ou rescisão; b) não revelar tais informações a terceiro ou a pessoa alguma que não aquelas que, em razão de suas funções, necessitem conhecê-las; c) não utilizar tais informações em proveito próprio ou de terceiros; d) deixar imediatamente de utilizar tais informações em caso de rescisão, resolução ou resilição deste Acordo e dos contratos dele decorrentes, devolvendo imediatamente a EMPRESA todas as listas, arquivos, Cds, fitas, disquetes, aplicativos, códigos fonte e demais materiais que contenham tais informações ou relativos a elas e informando todos os seus parceiros, contatos e outros envolvidos que as informações confidenciais de propriedade da EMPRESA já não poderão ser utilizadas e) não tomar qualquer medida com vistas a obter, para si ou para terceiros, os direitos de propriedade intelectual e/ou industrial relativos às informações confidenciais que venham a ser reveladas. f) na hipótese de contratação do EMPREGADO pela EMPRESA, para o desenvolvimento e/ ou aprimoramenteo de programas de computador, softwares e similares, declara desde já o EMPREGADO, não ter qualquer direito a reclamar acerca da titularidade da propriedade intelectual referente ao programa desenvolvido, na medida em que a titular deste Direito é a EMPRESA, sendo certo que esta oferecerá todos os subsidios necessários para a realização eficaz do “Projeto”, tanto no campo técnico quanto no financeiro. 2.4. As partes concordam que a violação do presente Acordo, pelo uso de qualquer informação confidencial pertencente a EMPRESA, sem sua expressa autorização, causar-lhe-á danos e prejuízos irreparáveis. Desta forma, a EMPRESA seráimediatamente considerada legítima detentora do direito a tomar todas as medidas extrajudiciais e judiciais, nas esferas cíveis e criminais, inclusive de caráter cautelar ou de antecipação de tutela jurisdicional, que julgar cabíveis à defesa de seus direitos, inclusive autorais, independentemente da tomada das medidas judiciais tendentes a obter a reparação pelo dano causado, sem qualquer limite. 3. DURAÇÃO 3.1. Este Acordo inicia-se na presente data com a duração de 5 (cinco) anos após encerrados os serviços que originaram sua assinatura. 4. FORO 4.1. Fica eleito o Foro da Comarca da cidade de Recife, com exclusão de qualquer outro, por mais especial que seja, para processar e julgar qualquer ação ou dirimir questões decorrentes ou relacionadas ao presente Acordo. E, por estarem assim justas e acertadas, as partes firmam o presente em duas vias de igual teor e forma, na presença das testemunhas abaixo. 6 Recife, ___ de ____________ de _______. ______________________________________________ EMPRESA ______________________________________________ EMPREGADO Testemunhas: PIRATARIA DE SOFTWARE No Brasil, a pirataria de software é tratada crime contra a propriedade intelectual. Assim como os livros e filmes, os programas de computador (software) são protegidos por leis de direitos autorais. A legislação que trata sobre a pirataria de software é a Lei nº 9.609/98), chamada de Lei do Software. Art. 1º - Programa de computador é a expressão de um conjunto organizado de instruções em linguagem natural ou codificada, contida em suporte físico de qualquer natureza, de emprego necessário em máquinas automáticas de tratamento da informação, dispositivos, instrumentos ou equipamentos periféricos, baseados em técnica digital ou análoga, para fazê-los funcionar de modo e para fins determinados. Normalmente, pessoas que jamais pensariam em plagiar uma obra escrita por outro autor não hesitam em usar e copiar programas pelos quais nada pagaram. As pessoas que fazem essas cópias ilegais são chamadas de “piratas”, e o ato de realizar tais cópias chama-se “pirataria de software”. Quem adquire um software recebe, somente, o direito de utilizá-lo sob certas condições, ou seja, não o possui de fato. Geralmente, essas condições permitem que seja feita uma cópia de segurança (backup) para uso no caso da ocorrência de problemas ou de destruição do programa original. Qualquer cópia além dessa é passível de sanção. Fonte: http://www.planalto.gov.br/ccivil_03/leis/L9609.htm VEjA O VÍDEO! Assista ao vídeo Pirataria de Software: um Tiro no Pé - que tem aproximadamente dois minutos. PENSE!! Qual a motivação de uma pessoa para gerar um dano em um sistema de informações? http://www.planalto.gov.br/ccivil_03/leis/L9609.htm https://www.youtube.com/watch?v=kjD143Cy6QM 7 AUDITORIA DE SISTEMAS DE INFORMAÇÃO Para uma empresa ser bem sucedida ela precisa em primeiro lugar de um bom e efetivo sistema de controle interno. E, apesar de toda a disseminação nos dias atuais, da utilização dos computadores, ainda surge o questionamento: Investir em tecnologia de informação é seguro e confiável? A função da Auditoria de Sistemas procura trazer essa posição de confiabilidade e segurança. A Auditoria de Sistemas consiste na: • Avaliação do sistema de informação utilizado, com a finalidade de conferir se este possui capacidade de suportar adequadamente às necessidades empresa; • Elaboração e monitoramento de metas; • Fiscalização do cumprimento de regulamentações e leis estabelecidas pelo serviço de TI utilizado; • Detecção de pontos críticos que possam arriscar o cumprimento de objetivos; • Identificação de necessidades, processos repetidos, custos e barreiras que atrapalhem a eficiência dos fluxos de dados; • Certificação de informações confiáveis e oportunas; • Redução dos riscos de erros e fraudes. A Auditoria de Sistemas de Informação não busca verificar a conformidade dos aspectos contábeis da organização, mas sim do próprio ambiente informatizado, garantindo a integridade dos dados manipulados pelo computador, assim como do manuseio da informação pelas partes envolvidas (funcionários, fornecedores, clientes). Desta forma, estabelece e mantém procedimentos documentados para planejamento e utilização dos recursos computacionais da empresa, verificando aspectos de segurança e qualidade. Segundo o COBIT1, as metas a serem alcançadas em uma auditoria de Sistemas de Informação se enquadrarão em algum dos itens abaixo: • Estrutura de Gerenciamento de Programa; • Estrutura de Gerenciamento de Projeto; • Abordagem de Gerenciamento de Projeto; • Comprometimento dos Participantes; • Escopo do Projeto; • Fase de Início do Projeto; • Planejamento do Projeto Integrado; • Recursos do Projeto; • Gerenciamento de Riscos do Projeto; • Planejamento do Projeto Integrado; • Recursos do Projeto; 8 • Gerenciamento de Riscos do Projeto; • Planejamento da Qualidade do Projeto; • Controle de Mudanças no Projeto; • Métodos de Planejamento de Garantia do Projeto; • Avaliação, Relatórios e Monitoramento do Desempenho do Projeto; • Conclusão do Projeto. COBIT®, do inglês, Control Objectives for Information and Related Technology, é um guia de boas práticas apresentado como framework, teste dirigido para a gestão de Tecnologia de Informação (TI). Mantido pelo ISACA (Information Systems Audit and Control Association), possui uma série de recursos que podem servir como um modelo de referência para gestão da TI, incluindo um sumário executivo, um framework, objetivos de controle, mapas de auditoria, ferramentas para a sua implementação e principalmente, um guia com técnicas de gerenciamento. Especialistas em gestão e institutos independentes recomendam o uso do COBIT® como meio para otimizar os investimentos de TI, melhorando o retorno sobre o investimento (ROI) percebido, fornecendo métricas para avaliação dos resultados (Key Performance Indicators KPI, Key Goal Indicators KGI e Critical Success Factors CSF). O COBIT® independe das plataformas adotadas nas empresas, tal como independe do tipo de negócio e do valor e participação que a tecnologia da informação tem na cadeia produtiva da empresa. (https://pt.wikipedia.org/wiki/COBIT). Governança Corporativa de TI Vamos falar um pouco sobre o conceito de governança e gestão corporativa de Tecnologia da Informação (TI). Afinal, o que vem a ser Governança Corporativa de TI? A norma ISO/IEC 38500, que estabelece um modelo para a Governança Corporativa de TI, no qual o COBIT se baseia, define Governança Corporativa de TI como: “O sistema pelo qual o uso atual e futuro da TI é dirigido e controlado. A governança corporativa de TI envolve a avaliação e a direção do uso da TI para dar suporte à organização no alcance de seus objetivos estratégicos e monitorar seu uso para realizar os planos. A governança inclui a estratégia e as políticas para o uso de TI dentro de uma organização.” A norma orienta que os gestores das organizações governem a TI por meio de três tarefas principais, conforme pode observado na Figura 1: • Avaliar o uso atual e futuro da TI; • Dirigir a preparação e a implementação de planos e políticas para garantir que o uso da TI atenda aos objetivos do negócio; • Monitorar o cumprimento das políticas e o desempenho em relação aos planos. 9 Figura 1 Fonte: ISO/IEC 38500, pág. 13 Segundo a norma, temos: • Avaliar (Evaluate): Significa que os dirigentes devem avaliar o uso atual e futuro da TI, incluindo as estratégias, propostas e arranjos de fornecimento (interno, externo ou ambos). Na avaliação do uso da TI, convém que os dirigentes considerem as pressões externas e internas que influenciam o negócio (mudanças tecnológicas, tendências econômicas e sociais e influências políticas), e levem em conta as necessidades atuais e futuras do negócio. • Dirigir (Direct): Significa que os dirigentes devem atribuir responsabilidades para a preparaçãoe implementação dos planos e políticas que estabeleçam o direcionamento dos investimentos nos projetos e operações de TI. • Monitorar (Monitor): Significa que os dirigentes devem monitorar o desempenho da TI por meio de sistemas de mensuração apropriados, garantindo que esse desempenho esteja de acordo com os planos e objetivos corporativos e que a TI esteja em conformidade com as obrigações externas e práticas internas de trabalho. Governança Corporativa de TI X Gestão de TI Existem dois conceitos que algumas vezes se confundem: Governança Corporativa de TI e Gestão de TI. A Governança Corporativa de TI não deve ser confundida com o conceito de Gestão de TI. A Governança Corporativa de TI está inserida na governança corporativa da organização, sendo dirigida por esta, e busca o direcionamento da TI para atender ao negócio; e o monitoramento para verificar a conformidade com o direcionamento tomado pela administração da organização. Em relação à Gestão de TI, conforme definido pela ISO/IEC 38500, temos: 10 “A gestão de TI implica a utilização sensata de meios (recursos, pessoas, processos, práticas) pra alcançar um objetivo. Atua no planejamento, construção, organização e controle das atividades operacionais e se alinha com a direção definida pela organização.” Portanto, a gestão controla tarefas operacionais, enquanto a governança controla a gestão. Por que utilizar a Governança Corporativa de TI Você deve estar se perguntando por que as organizações necessitam de governança corporativa de TI? As organizações existem para atender as necessidades de suas partes interessadas, ou seja, partes que se interessam ou são afetadas pela organização, tais como acionistas, funcionários, seus clientes, dentre outros. Para atender aos seus objetivos estratégicos, as organizações se esforçam para: • Manter informações de alta qualidade para apoiar decisões corporativas; • Agregar valor ao negócio a partir dos investimentos em TI, ou seja, atingir os objetivos estratégicos e obter benefícios para a organização através da utilização eficiente e inovadora de TI; • Alcançar excelência operacional por meio da aplicação confiável e eficiente da tecnologia; manter o risco de TI em um nível aceitável; • Otimizar o custo da tecnologia e dos serviços de TI; • Cumprir as leis, regulamentos, acordos contratuais e políticas pertinentes cada vez mais presentes. A Governança Corporativa de TI auxilia as organizações no alcance de seus objetivos estratégicos, por meio da geração de valor obtido pelo uso da TI, mantendo equilíbrio entre a realização de benefícios e a otimização dos níveis de risco e de utilização dos recursos. Para se obter essa geração de valor, é necessária a avaliação do uso da TI e das necessidades de investimentos nessa área; fornecer o direcionamento para que a TI atenda aos objetivos corporativos e monitorar as ações relacionadas a TI para estar em conformidade com o que foi planejado e para dar transparências às partes interessadas sobre os resultados alcançados. Organizações bem-sucedidas reconhecem que os gestores devem entender / aceitar que a TI é tão significativa para os negócios como qualquer outra parte da organização, devendo trabalhar em conjunto no sentido de garantir que a TI esteja inclusa na abordagem de governança e gestão. Paralelamente um número cada vez maior de normas, leis e regulamentos vem sendo aprovados e estabelecidos para atender a essa necessidade. 11 PALAVRAS DO PROFESSOR Estamos encerrando aqui o guia de estudos da Unidade IV. Não custa nada relembrar aqui algumas observações e sugestões que julgo importantes para o desenvolvimento de nossa disciplina: • Nos cursos de Educação a Distância, é fundamental a disciplina, o interesse e esforço de cada um, para que possamos ter sucesso em nossa empreitada. • Tente organizar seu tempo de estudo diário para o curso, distribuindo-o entre as diversas disciplinas. Recomendamos que seja elaborada uma tabela com os dias e horas da semana disponíveis para o estudo de cada disciplina. • O material de apoio (livro-texto e guias de estudo) e as leituras complementares constituem a referência básica da disciplina. • Em cada guia de estudos, indicamos também alguns vídeos. Assista cada um, faça anotações. Esses vídeos representam também material complementar para cada unidade. Para um melhor aproveitamento, é importante você estudar atentamente todo o conteúdo disponibilizado. Sempre faça anotações daquilo que não ficou claro para você. Lembre-se: sempre que surgir alguma dúvida entre em contato com o seu tutor virtual. ACESSE O AMBIENTE VIRTUAL É importante estar em dia com a entrega das atividades. A participação nas atividades virtuais (questionários e fóruns) é muito importante, porque elas garantem a interação entre o professor, tutores, o aluno e os demais colegas. Bons estudos!
Compartilhar