Sistemas de Informação
Segurança, Privacidade em Sistemas de Informação e Questões Éticas em Sistemas de Informação e na Internet. Capítulo: 14
Quão importante é a ética na sociedade atual? Segurança Privacidade Questões Éticas Quão importante é a ética na sociedade atual? RETRATAREMOS O SIGNIFICADO DESTAS 03 PALAVRAS AO LONGO DESTA APRESENTAÇÃO.
Desperdícios e Erros por Computador INICIAREMOS FALANDO SOBRE DESPERDICIO E ERROS RELACIONADOS AO COMPUTADOR.
O que vem a ser considerado desperdício computacional? Uso inadequado de tecnologia e recursos computacionais O DESPERDÍCIO NÃO DIZ RESPEITO APENAS A HARDWARE MAS TAMBÉM A DESPERDÍCIO DE SOFTWARE. ALGUMAS COMPANHIAS DESCARTAM SOFTWARES OU SISTEMAS ANTIGOS QUE AINDA TÊM VALOR, OU CRIAM SISTEMAS TÃO COMPLEXOS QUE NUNCA SERÃO UTILIZADOS EM SUA TOTALIDADE.
VEJA UM EXEMPLO DE DESPERDÍCIO COMPUTACIONAL... TIPICAMENTE, A CAUSA DO DESPERDÍCIO É O GERENCIAMENTO INADEQUADO DE SISTEMAS E RECURSOS.
A que se referem os erros computacionais? Erros, falhas e outros problemas computacionais que tornem os resultados incorretos ou inúteis, geralmente provenientes de falha humana. QUAIS SÃO OS PRINCIPAIS MOTIVADORES DESTES ERROS?
Principais causas dos erros computacionais: Expectativas inadequadas; Falta de realimentação; Erros no programa causados pelo programador; Inserção de dados incorretos pelo usuário. POR EXEMPLO, DE QUE ME VALE UM SOFTWARE QUE CALCULA O IMC (ÍNDICE DE MASSA CORPORAL) PARA O QUAL O ÚNICO DADO INSERIDO É O PESO, QUANDO ESTE CÁLCULO DEPENDE TAMBÉM DA ALTURA DO INDIVÍDUO?
Principais tipos de erros computacionais:
Entrada de dados ou captura de erros; Erros em programas; Erros de manipulação de arquivos (formatação, sobreposição, exclusão casual); {LER}
Manipulação indevida de computadores; Planejamento e controle inadequado de defeitos em hardware; Planejamento e controle inadequado de dificuldades ambientais (elétrica, umidade, etc.) >{LER} >TODA A MÁQUINA REQUER MANUTENÇÃO E ESTA DEVE SER PROGRAMADA E CONTROLADA; >SE A REDE ELÉTRICA É INSTÁVEL, DEVEMOS USAR NO-BREAK OU UM ESTABILIZADOR. SE O AMBIENTE TEM MUITA UMIDADE, DEVEMOS GARANTIR O BOM FUNCIONAMENTO DO AR CONDICIONADO.
Prevenção de desperdícios e erros computacionais através da adoção de Políticas e Procedimentos PREVENINDO OS ERROS ATRAVÉS DE POLÍTICAS E PROCEDIMENTOS.
A prevenção através de políticas e procedimentos requer quatro passos: Estabelecer; Implementar; Monitorar; Revisar.
Estabelecer: Estabelecer políticas e procedimentos relativos à eficiência na aquisição, no uso e na dispensa de sistemas e dispositivos. >AQUISIÇÃO DE HARDWARE ADEQUADO; >PROGRAMAS DE TREINAMENTO; >MANUAIS E DOCUMENTOS MANTIDOS E USADOS; >APROVAÇÃO DOS SISTEMAS ANTES DA IMPLEMENTAÇÃO; >MANTER UM MAPA SALVO A PARTE CONTENDO OS DOCUMENTOS, DESCRIÇÃO DE APLICAÇÕES E FÓRMULAS, DESCRIÇÃO DOS ELEMENTOS DE DADOS E RELACIONAMENTOS COM A BASE DE DADOS.
Implementar: A implementação das políticas e procedimentos requer alocação de responsabilidade para precisão dos dados e treinamento adequado. “TREINAMENTO É FREQUENTEMENTE A CHAVE PARA A ACEITAÇÃO E A IMPLEMENTAÇÃO DAS POLITICAS E PROCEDIMENTOS.”
Nunca comece a implementar um projeto sem ter em mãos todos os recursos. {LER} ISSO PODE GERAR UM SÉRIO PROBLEMA!
Monitorar: Monitorar práticas rotineiras e efetuar ações corretivas se necessário. ENTENDENDO A PRÁTICA DIÁRIA PODE-SE EFETUAR AJUSTES OU CRIAR NOVOS PROCEDIMENTOS. ESSA MONITORAÇÃO PODE SER FEITA POR AUDITORIA INTERNA.
Revisar: Revisar as políticas e procedimentos afim de determinar se estes estão ou não adequados. VOCÊ ACHA QUE THOMAS EDISON INVENTOU A LAMPADA NA PRIMEIRA TENTATIVA? REVISÃO + CORREÇÃO = MELHORIA
Estudo de caso Erros de software
Quem? Banco Eurocheques Fabricante dos cartões: Gemalto Onde? Alemanha Quando? Janeiro de 2010
Em que proporção? 20 milhões de cartões de banco de débito 3,5 milhões de cartões de crédito Aproximadamente 50% dos cartões distribuídos pelos bancos da Alemanha Total emitido por esta instituição: 45 milhões de cartões de débito 8 milhões de cartões de crédito INSTITUIÇÃO: BANCO EUROCHEQUES
Erros? Bloqueados por uma falha de computador que não reconhece o ano de 2010. Efeitos? Diversos clientes não conseguiram retirar seu dinheiro do banco ou mesmo comprar com seu cartão de crédito. Prejuízos? Caso a troca dos cartões seja mesmo necessária, o prejuízo pode ultrapassar 200 milhões de euros. IMAGINEM AS PESSOAS EM FARMÁCIAS, POSTOS DE GASOLINA, AEROPORTOS ETC, SEM DINHEIRO E COM OS CARTÕES COM DEFEITO? E ISSO FOI A APENAS 06 MESES.
Ambiente de Trabalho Questões de Saúde A SAÚDE DOS USUÁRIOS É DE EXTREMA IMPORTANCIA, POIS A FALTA DELA PODE ACARRETAR EM CUSTO, TRABALHO INADEQUADO POR FALTA DE TREINAMENTO DA PESSOA SUBSTITUTA E PERCA DE TEMPO PARA ADEQUAR UMA PESSOA SEM O DEVIDO KNOW-ROW A ESTA FUNÇÃO, NUMA SOCIEDADE ONDE “TIME IS MONEY”!
O trabalho com computadores pode provocar fadiga ocupacional em algumas pessoas! E UM DOS PRIMEIROS FATORES A APARECER QUANDO DE IMPLANTAÇÃO DE ALTERAÇÕES SISTÊMICAS PODE SER A ANSIEDADE:
Alguns efeitos da ansiedade: Monitorar + Treinar + Aconselhar Insegurança quanto aos empregos; Perda de controle; Incompetência. As consequências podem ser extremas ao ponto de gerar sabotagem em sistemas e equipamentos computacionais. Solução: Monitorar + Treinar + Aconselhar AO IMPLEMENTAR SISTEMAS DE AUTOMATIZAÇÃO DE FUNÇÕES, PESSOAS QUE AS REALIZAVAM MANUALMENTE PASSAM A TER MEDO DE SER SUBSTITUIDAS PELA MÁQUINA.
O trabalho com computadores também pode afetar a saúde física!
As doenças relacionadas ao trabalho com computadores são geralmente: LER (Lesões por esforços repetitivos) Ou DORT (Distúrbio Osteomuscular Relacionado ao Trabalho) ESSAS DOENÇAS REPRESENTAM CERCA DE 60% DAS DOENÇAS OCUPACIONAIS...
Doenças mais comuns relacionadas às LER/DORT: Tendinite Tenossinovite Síndrome de De Quervain Síndrome do Túnel do Carpo AS NORMAS EXIGEM DAS EMPRESAS COM 15 FUNCIONÁRIOS OU MAIS, UM DESCANSO DE 15 MINUTOS A CADA 2 HORAS PARA QUEM UTILIZA O COMPUTADOR POR MAIS DE 4 HORAS DIÁRIAS. ENTRETANTO EXISTEM EMPRESAS QUE ADOTAM OUTROS PADRÕES (10 MIN X HORA; 5 MIN X HORA ETC)
Como Prevenir o aparecimento das doenças ocupacionais?
Eliminando os elementos de fadiga, que podem ser: Tela difícil de ler, muitos reflexos e pouco contraste; Mesas e cadeiras desconfortáveis; Teclados e telas difíceis de serem movimentadas; Movimentos repetitivos; Postura inadequada; e Fadiga ocular.
Ergonomia Estudo do projeto e posicionamentos de equipamentos computacionais para a saúde, segurança e produtividade dos funcionários.
Como deve ser nossa postura?
O OBJETIVO É ATINGIR A CHAMADA “COMPUTAÇÃO SEM DORES”.
Como NÃO deve ser nossa postura?
{PERGUNTAR AO PÚBLICO} “QUE LEVANTE A MÃO QUEM NUNCA FICOU PELO MENOS EM UMA DESSAS POSIÇÕES!” ...OU NESTA...
ISSO PREJUDICA O SEU FUTURO ENQUANTO USUÁRIO E ENQUANTO EMPRESA. PROBLEMAS COM FUNCIONÁRIOS = PROBLEMAS EMPRESARIAIS
Não deixe que a cadeia evolutiva do homem seja assim: DEVEMOS EVOLUIR E NÃO REGREDIR!
Tenha cuidado com a sua postura, ou o resultado dessa displicência pode ser... {LER}
Ambiente de Trabalho Questões Éticas ÉTICA, SEGUNDO O DICIONÁRIO AURÉLIO É: “PARTE DA FILOSOFIA QUE ESTUDA OS VALORES MORAIS E OS PRINCIPIOS IDEAIS DA CONDUTA HUMANA; CONJUNTO DE PRINCIPIOS MORAIS QUE DEVEM SER RESPEITADOS NO EXERCÍCIO DE UMA PROFISSÃO.”
As questões éticas tratam do que é em geral considerado certo ou errado. Nos EUA existem algumas associações que desenvolvem códigos de ética para SI, sendo: AITP – Association of Information Technology Professionals; ACM – Association for Computing Machinery; IEEE – Institute of Eletrical and Eletronics Engineers; CPSR – Computer Professionals for Social Responsibility. ESSAS ENTIDADES SÃO RESPONSÁVEIS POR DESENVOLVER CÓDIGOS DE ÉTICA, AFIM DE REDUZIR OS COMPORTAMENTOS NÃO ÉTICOS ATRAVÉS DE DISCUSSÕES E IMPOSIÇÕES DESSES CÓDIGOS.
As responsabilidades profissionais desenvolvidas pela ACM incluem: Atingir alta qualidade, eficácia e dignidade nos processos; Adquirir e manter competência profissional; Conhecer e respeitar as leis relativas à atividade profissional; Aceitar e oferecer revisões profissionais apropriadas; Oferecer avaliações dos sistemas e seus impactos; Análise dos riscos dos SI; Honrar contratos, acordos e responsabilidades alocadas; Melhorar o entendimento público da computação; Acessar recursos computacionais e de comunicações apenas quando autorizado. {EXEMPLO DE UMA BASE DE CÓDIGO DE CONDUTA}
Enfim, vantagem competitiva de longo prazo passa a ser resultado de uma equipe bem treinada, motivada e culta.
“Juntos podemos atingir qualquer objetivo!!!”
Crimes Digitais
Definições...
Para pensar... Quando pensamos em Crime Digital, o que vem em nossas mentes?
Hackers: a visão que temos deles
Será que esta visão está correta?
Hacker: a origem do termo na Computação
Indagação: Hackers são criminosos?
Indagação: Hackers são criminosos?
A definição original do termo São experts de computadores Elaboram e modificam softwares e hardware Desenvolvem funcionalidades novas
Hacktivismo Ataque à página oficial do ministério dos Negócios Estrangeiros da Indonésia em 1997. Ataque feito por Hackers do grupo Toxyn. "Bem-vindo ao Ministério dos Negócios Estrangeiros da República Fascista da Indonésia" Ali Alatas - ministro dos negócios estrangeiros
Os termos utilizados na segurança da informação: White Hat (chapéu branco) Gray Hat (chapéu cinza) Black Hat (chapéu preto)
White Hat Exploram a segurança de computadores ou redes através da ética
Gray Hat Seguem caminhos menos nobres em alguns casos Agem como White Hat na maioria das vezes Seguem caminhos menos nobres em alguns casos
Black Hat Não segue a ética Hacker ou a lei Invadem computadores, roubam pessoas e destroem sistemas
Cracker
Cracker Tipos de Crackers: Crackers de softwares: Programadores que fazem engenharia reversa Crackers de Criptografia: Se dedicam a quebrar códigos Desenvolvedores de programas maliciosos
Nova tática de invasão de computador Exploração do kernel do software Redireciona a requisição do Windows Altera o resultado da detecção Vírus é classificado como arquivo “limpo”
Invasões através de arquivos PDF Explora a vulnerabilidade de execução do Javascript embutido no PDF Permite acesso remoto ao computador
Script kiddie Pouco conhecimento Utilizam Scripts Prontos Cometem grandes estragos na internet
Phreaker Especializados em burlar sistemas telefônicos Alguns com acesso direto às centrais telefonicas
Phreaker John Draper (Capitão Crunch) Blue Box
Perfil dos criminosos virtuais brasileiros Alguns Dados: Representam 57% das fraudes na América Latina Bancos brasileiros são alvos de 12% de todos os cavalos de tróias criados mundialmente Porém... Conhecimento técnico intermediário Fazem uso da Engenharia Social Dmitry Bestuzhev – Pesquisador sênior da fabricante de antivírus Kaspersky Lab
Uso de ferramentas Hackers Existem diversas “receitas” prontas feitas por revistas ou na internet Em revistas são oficialmente distribuídos para explorar falhas Usados em testes de penetração São um constante lembrete para especialistas em seguranças
Invasão de sistemas, Destruição e Roubo de Dados e Informações
Invasão de sistemas Técnicas de Invasão: Spoofing Sniffers Ataque do tipo DoS - Denial of Service Ataque do tipo DDoS- Distributed of Service
Spoofing
Sniffers
DoS-Denial of Service e DDoS-Distributed of Service
Ferramentas para destruição de dados e informações Malwares: Vírus de computador Worm Cavalo de tróia Spyware
Vírus de Computador Tipos de Vírus: Vírus de Aplicação Vírus de Sistema Vírus de Macro Bomba Lógica Worm
Cavalo de Tróia
Spyware Adware Keylogger Bakdoor Ransomware
Falsificação Ato de reprodução não autorizada de documentos. Tal ato foi facilitado com os Scanners e Impressoras de alta qualidades Como a tecnologia aumentou a facilidade para criação de cópias...
Crimes Internacionais São ações ilegais que envolvem mais de uma nação, transferência de fundos adquiridos de maneira ilegal, dinheiro de drogas e etc... Todas as ações que envolvem o movimento de outras nações. O que são? Qual o impacto?
Lavagem de Dinheiro Como funciona? É utilizado para transformar o dinheiro de “origem” ilegal em legal, fazendo com que a “origem” não possa ser rastreada. Colocação Ocultação Integração
ESTÁGIOS Estágios para lavagem... É um passo a passo da metodologia, sua implementação pode ser feita por meio de diversas maneiras.
Métodos de Lavagem mercado negro de câmbio colombiano depósitos estruturados bancos internacionais sistema bancário alternativo empresas de fachada investimento em empresas legítimas compra de bilhetes sorteados Estágios para lavagem... É um passo a passo da metodologia, sua implementação pode ser feita por meio de diversas maneiras.
Espionagem Industrial Necessidade de garantia da vantagem comercial, golpe baixo... Caso Petrobras em 2008, roubos dos HD’s deixando notebooks, etc Uso dos recursos da internet e tecnológicos para captura de dados e informações valiosas dos concorrentes.
Ciberterrorismo O que é? Com o avanço tecnológico perigos atuais acabam ganhando terreno e podem aventurar-se... Ciberterrorismo somente possui essa definição quando é identificada a pessoa que realizou o ataque ou a invasão, antes disso é caracterizado como um Cibercrime “comum”. O que é?
Especialistas podem ser “contratados” Objetivos: Identificar possíveis fragilidades na estrutura; Arrecadação de fundos; Transferência para divisões menores; Facilitar a doação de recursos, entre outros. Não há necessidade de conhecimento por eles próprios, podem pagar por tais serviços....
PIRATARIA
PIRATARIA DE SOFTWARE PIRATARIA DE INTERNET GOLPES NA INTERNET
PARTE 1/3 Pirataria de Software
Pirataria de Usuário Final Falsificação Cracking Pirataria pela Internet
Pirataria de Usuário Final Nada de Cópias!!!
PARADOXO Leitores/Gravadores de CD/DVD Mídias baratas de CD/DVD Pen Drives Hd´s externos Softwares para gravação (ex. Nero)
Falsificação Nada de Imitações!!!
Cracking Nada de Quebrar Códigos!!!
Pirataria pela Internet Não adquira gato por lebre!!!
Polêmicas... Venda de software usado (jogos) é pior que pirataria? Cópia de segurança
PARTE 2/3 Pirataria de Internet
O que é piratear a internet? Como é feito o “gato”? Qual o perfil de quem usa o “gato”?
Piratear a internet
Como é feito o “gato”
Perfis de quem usa o “gato” Há aquele que usa para ser “esperto”, mesmo podendo fazer o uso legal do serviço. Há aquele que usa por falta de opção, a circunstância o força para a ilegalidade.
Para fugir da internet discada...
...é preciso buscar alternativas
Forçando a Barra
PARADOXO Empresas reclamam do acesso ilegal, mas não apresentam alternativas para atender a demanda de seus serviços
Golpes Computacionais PARTE 3/3 Golpes Computacionais
A maioria dos golpes aplicados, seja na internet ou fora dela, utiliza como ferramenta a..... ENGENHARIA SOCIAL
Enganando pessoas, explorando a confiança Engenharia social: definição Enganando pessoas, explorando a confiança
PHISHING: a principal arma da engenharia social
Phishing em salas de bate papo (chat´s) Salas de bate papo: local onde reina a verdade e a sinceridade
Phishing em salas de bate papo (chat´s) Salas de bate papo: local onde reina a verdade e a sinceridade
Como funciona o golpe? Ingenuidade Fragilidade emocional
Phishing em e-mail
Como funciona o golpe? Confiança Curiosidade Ganância
Outras modalidades de phishing: mensagens instantâneas mensagens de texto de telefones celulares (SMS) anúncios falsos tipo banner quadros de mensagens e listas de endereços sites falso de procura e ofertas de emprego
Dicas para proteção
Dicas para proteção Troque a sua senha de acesso ao internet banking periodicamente Só utilize equipamento efetivamente confiável. Não realize operações em equipamentos públicos ou que não tenham programas antivírus Exclua (delete), sem abrir, e-mails não-solicitados ou de origem desconhecida, especialmente se tiverem arquivos anexados Quando efetuar pagamentos ou realizar outras operações financeiras, certifique-se de que está no site desejado, “clicando” sobre o cadeado e/ou a chave de segurança que aparece quando se entra na área de segurança do site Acompanhe os lançamentos em sua conta corrente. Caso constate qualquer crédito ou débito irregular, entre imediatamente em contato com o banco. E, acima de tudo.....
Prevenção de crimes relacionados a computador Nelson Antunes Filho Prevenção de crimes relacionados a computador
Prevenção por agências federais/estaduais Prevenção de crimes relacionados a computador Prevenção por agências federais/estaduais
Prevenção por agências federais/estaduais Polícia Civil Delegacias especializadas em crimes cibernéticos Espírito Santo Goiás Minas Gerais Paraná Rio de Janeiro São Paulo
Prevenção por agências federais/estaduais Polícia Civil Divisão de Repressão aos Crimes de Alta Tecnologia Distrito Federal Atende à delegacias, não ao público A DICAT é uma Divisão especializada em crimes tecnológicos que tem como atribuição assessorar as demais unidades da Polícia Civil do Distrito Federal. Como Divisão, a DICAT não atende ao público, não registra ocorrências nem instaura inquéritos policiais. A finalidade da DICAT é prestar apoio às Delegacias de Polícia do DF nas investigações de crimes que envolvam o uso de alta tecnologia, como computadores e Internet, agindo sob provocação das Delegacias que necessitarem de auxílio no "universo virtual", por exemplo. Ou seja: qualquer Delegacia do Distrito Federal poderá fazer o Registro da Ocorrência, investigar, e qualquer dificuldade ou necessidade de um apoio mais técnico, solicita auxílio à DICAT. Por fim, a DICAT recebe denúncias de crimes cibernéticos (que são repassadas aos órgãos competentes) e presta esclarecimentos sobre condutas a serem adotadas por vítimas de crimes cibernéticos no DF, quando informados ou solicitados por e-mail.
Prevenção por agências federais/estaduais Polícia Federal Nunca houveram tantas operações contra crimes de alta tecnologia Nunca houveram tantas ocorrências Google X MPF A questão ‘orkut’
Prevenção por agências federais/estaduais Agência SaferNET Brasil Auxiliando o trabalho das polícias civil e federal Ampliando os meios de denúncia Cartilhas e informação. Não se torne uma vítima! A SaferNet Brasil é uma associação civil de direito privado, com atuação nacional, sem fins lucrativos ou econômicos, sem vinculação político partidária, religiosa ou racial.
Prevenção por agências federais/estaduais Agência SaferNET Brasil Parcerias NIC.br - (CGI.br) Pornografia infantil e pedofilia; Crimes de ódio; Crime contra os direitos humanos; Por meio de Termo de Cooperação com o Núcleo de Informação e Coordenação do Ponto BR (NIC.br), assinado em julho de 2008, a SaferNet assumiu o compromisso de encaminhar relatórios com informações sobre o recebimento, processamento, encaminhamento online de denúncias anônimas sobre crimes ou violações praticados pela Internet; O contrato previu a elaboração e três relatórios: Pornografia Infantil, Crimes de ódio e Crime contra os direitos humanos.
Prevenção por agências federais/estaduais Agência SaferNET Brasil Parcerias MPF Mútua Cooperação Técnica, Científica e Operacional; Os Procuradores da República têm acesso irrestrito ao banco de dados da SaferNet e o Termo de Mútua Cooperação também determina que todas as denúncias que envolvem provedores sediados em São Paulo devem ser encaminhadas, exclusivamente, à Procuradoria da República para investigação.
Prevenção por agências federais/estaduais Agência SaferNET Brasil Parcerias Google Revisão de conteúdo; Encaminhamento à SaferNET e MPF; A SaferNet assinou Termo de Cooperação com a Google no dia 2 de julho de 2008 para permitir avanços no monitoramento e triagem das denúncias de crimes de pornografia infantil no Orkut. A equipe da Google passou a revisar o conteúdo enviado pela SaferNet e a informar ao MPF e à SaferNet se existem indícios de crime em prazo máximo de 24 horas, além de preservar os dados.
Prevenção por Empresas Prevenção de crimes relacionados a computador Prevenção por Empresas No fundo, cada pessoa prioriza seus próprios interesses e algumas não hesitam em prejudicar os outros para alcançar seus objetivos. Logo, o humano não é confiável. Assim, há tempos que se faz necessário o uso de mecanismos para restringir o acesso a determinados lugares ou serviços.
Prevenção por empresas Controle de acesso Acesso à ambientes Físicos; Acesso à serviços; Troca de documentos, comprovação de identidade; Para acesso à ambientes físicos deve haver um controle regulado através de identificações como um cartão de identificação ou um leitor biométrico Já para o controle de acesso a serviços deve haver uma boa gestão de políticas de acesso.
Prevenção por empresas Acesso à ambientes Físicos Cartão de identificação; Smartcard ; RFID; Os ambientes físicos, sejam eles de uso comum ou críticos devem ter seu acesso controlado. Este controle pode ser feito através de cartões de identificação. O cartão pode ser simples, com foto e dados de identificação, pressupondo que haverá controle de acesso feito por humanos ou pode haver alguma tecnologia envolvida. O smartcard é um cartão com um chip e, quando inserido no leitor transmitirá as informações necessárias à liberação do acesso. Já o RFID tem um sistema interno, que sobre a influência de ondas de rádio numa frequência específica transmitirá as informações necessárias.
Prevenção por empresas Acesso à ambientes Físicos Biometria Impressão digital; Leitura de íris; Geometria da palma da mão; Em poucas palavras, Biometria é o uso de características biológicas em mecanismos de identificação. Entre essas características tem-se a íris (parte �colorida� do olho), a retina (membrana interna do globo ocular), a impressão digital, a voz, o formato do rosto e a geometria da mão. Há ainda algumas características físicas que poderão ser usadas no futuro, como DNA (Deoxyribonucleic Acid) e odores do corpo.
Prevenção por empresas Acesso à serviços Gerenciamento de políticas de acesso Definição de horários e regras de acesso; Desativação preventiva de contas; Desativação por desligamento; Gerenciamento de políticas de acesso deve ser feito para reduzir o risco de ataques contra a integridade da empresa. Estabelecer intervalos de horários onde o acesso será possível, reduzindo a possibilidade de algum funcionário mal intencionado ganhar acesso à rede da empresa fora do horário estipulado de trabalho. Mediante o desligamento de algum funcionário em processo desgastante, desativar ou restringir as permissões de acesso do um funcionário o quanto antes. Quando o processo de desligamento foi amigável, desabilitar o acesso assim que o funcionário não necessitar mais dele, evitando assim a utilização indevida dos dados de acesso de um ex-funcionário por terceiros.
Prevenção por empresas Troca de documentos, comprovação de identidade Criptografia de chave pública Certificado tipo A1 Certificado tipo A3 Smart card Token Comprovação de identidade e assinaturas digitais
Prevenção por empresas Associação de empresas Diversas empresas reunidas; Empenhadas em melhorar seus procedimentos de segurança;
Proteções client-side Soluções de proteção aplicadas ao usuário final Proteções client-side Explanação das soluções de proteção para o usuário
Proteções client-side Utilização de programas antivírus; Evita a contaminação dos arquivos já existentes; Verifica novos arquivos; Impede ameaças em potencial; Evita a contaminação dos arquivos já presentes no computador, bem como, verifica os novos arquivos, obtidos por meio de download ou mídias externas (Mídias de gravação óptica, flashdrives, HD externos). Protege o computador de execuções não autorizadas (arquivos autoexec instalados maliciosamente em drives externos)
Proteções client-side Utilização de programas firewall; Navegue protegido! Protege as portas lógicas contra potenciais invasores; Protege as portas lógicas abertas do computador e evita que novas portas sejam abertas sem a permissão do utilizador ou o monitoramento da aplicação.
Proteções client-side Utilização de programas firewall; Monitora os dados que entram e saem do computador através da rede; Impede o uso indevido do computador por terceiros (zombie computer); Impede que seja tomado o controle do equipamento por parte de worms, tornando-o um zombie computer. Se a aplicação maliciosa já estiver instalada no equipamento, evita que ela consiga se disseminar pela rede ou se comunicar com o server.
Proteções client-side Utilizar pacotes que ofereçam proteção integrada Internet Security Suite; Manter o sistema operacional e as definições de antivírus e firewall sempre atualizadas; Utilizar soluções que ofereçam proteção de arquivos local (antivírus) e proteção contra ameaças de internet (firewall) integradas em uma única aplicação, de forma que elas trabalhem de forma mais integrada.
Proteções client-side Mantenha as licenças atualizadas Nunca utilize cracks para tornar seu antivírus “original” Utilize uma solução paga Ou soluções gratuitas confiáveis Manter as chaves dos produtos sempre atualizadas e válidas e nunca crackear o antivirus para deixá-lo “original” Busque soluções pagas, com garantias de eficácia assegurada pelo revendedor/fabricante, ou soluções gratuitas, mas que tenham boas recomendações.
Proteções server-side Soluções de proteção aplicadas à empresas e fornecedores de serviços Proteções server-side Explanação das soluções de proteção do cliente empresarial
Proteções server-side Terceirização das operações de segurança de redes: Managed Security Service Provider; Empresa melhor qualificada para atender a demanda de segurança; Um serviço que tem ganhado destaque recentemente é a terceirização dos serviços de segurança de redes. Empresa terceira têm foco nas tarefas de segurança
Proteções server-side Managed Security Service Provider: Todas as tarefas envolvendo segurança de redes; Funcionários de T.I. podem ser alocados para outras tarefas; Segundo a Gartner Research, a maioria das empresas usa os mesmos funcionários para gerenciamento de segurança e administração geral de TI, portanto eles não dedicam à segurança o tempo que deveriam.
Proteções server-side Managed Security Service Provider: Solução dos problemas ou substituição de problemas; Empresa terceira tratará a segurança com a prioridade que ela merece? Se por um lado os funcionários da empresa, por cuidar de diversas tarefas INCLUINDO a segurança de rede, não eram a melhor opção por outro os gerentes de segurança estão divididos, argumentando que os riscos à segurança passem despercebidos porque o pessoal de fora obedecerá a um contrato mecanicamente, sem uma atenção mais criteriosa.
Sistema de classificação de conteúdo Soluções de proteção aplicadas à empresas e fornecedores de serviços Sistema de classificação de conteúdo Explanação das soluções de proteção do cliente empresarial
Sistema de classificação de conteúdo Classificação de conteúdos; Distribuição em níveis de categoria; Pornografia; Nudez; Linguagem forte; ... ICRA – Internet Content Rating Association; Classificação de conteúdos em níveis de categoria. Pronografia, linguagem forte, violência. Categorias administradas e reguladas pelo Internet Content Rating Association.
Sistema de classificação de conteúdo A partir das categorias criadas faz-se uma filtragem de conteúdo Filtragem/bloqueio no próprio navegador Cada página precisa utilizar a categorização corretamente seguir os padrões ICRA, trabalha para categorizar o conteudo da internet de forma a facilitar o trabalho das ferramentas de filtragem de conteudo
Privacidade
Questão social: “O direito de ficar só é um dos direitos mais amplos e mais valiosos para o homem civilizado”.
Em sistemas de informação Se uma organização pública ou privada consome tempo e recursos para obter dados sobre um indivíduo, essa organização é proprietária desses dados?
Privacidade e governos federais Nos EUA: Os ataques terroristas de 11 de setembro reavivaram propostas de uma carteira de identidade nacional para os EUA. Carnivore: usado pelo FBI Echelon: rede de segurança global. União Europeia: Diretiva de proteção de dados.
EPIC – centro de informações de privacidade eletrônica Processou a ChoicePoint e a Experian
Privacidade no trabalho Direitos de trabalhadores pela privacidade X Cias. que querem saber mais sobre seus funcionários. TI Monitor:
Privacidade de e-mail Ernst & Young divulgou: nas empresas brasileiras: Do ponto de vista das ameaças à segurança da informação corporativa, 41% dos participantes da pesquisa registraram aumento no número de ataques externos (phishing, invasão de sites, etc.) e 19% nas fraudes externas; além de 25% dizem que cresceram os ataques internos (abuso de privilégios de funcionários e roubo de informações) e 13%, as fraudes internas. Nos EUA: A lei federal permite às empresas monitorar as mensagens enviadas e recebidas por funcionários.
Privacidade na Internet
Verisign – certificado digital A Americanas.com faz parte do programa Internet Segura, desenvolvido pelos principais sites do Brasil, e é certificada pela VERISIGN, a maior autoridade em segurança na Internet, garantindo privacidade e segurança aos clientes para informar seus dados pessoais.
P3P Servidor que protege usuários de sites que não oferecem o nível de proteção de privacidade desejado.
Leis federais de privacidade Lei da privacidade de 1974 Questões de justiça Armazenamento em base de dados Uso de base de dados Direito de saber Conhecimento Notificação Capacidade de decidir Controle Consentimento
Outras leis... Lei Gramm-Leach-Billey Lei Patriota dos EUA
Políticas de privacidade corporativa
Esforços individuais para proteger a privacidade Descobrir o que está armazenado sobre você em bases de dados Ser proativo para proteger sua privacidade Ao adquirir algo de um site, garanta a salvaguarda de seu nº de cartão de crédito, senhas e informações pessoais.