TCC- SI SistmasRedes 20112014
46
FACULDADE PITÁGORAS SEGURANÇA DE DADOS E INFORMAÇÕES EM SISTEMAS E REDES DE COMPUTADORES: um estudo de revisão de literatura Carlos Henrique Victor Martins Welbert Barboza
-
Upload
victor-martins -
Category
Documents
-
view
213 -
download
0
description
TCC SISTEMAS
Transcript of TCC- SI SistmasRedes 20112014
Template - Documento Mestre
FACULDADE PITGORAS
Segurana de dados e informaes em sistemas e redes de computadores: um estudo de reviso de literatura
Belo Horizonte2014
Charles Ribeiro
Denlson Patrick dos SantosJonathan Horta Braga
Segurana de dados e informaes em sistemas e redes de computadores: um estudo de reviso de literatura
Monografia apresentada ao curso superior tecnolgico em Redes de Computadores da Faculdade Pitgoras de Belo Horizonte, como requisito parcial para obteno do ttulo de tecnlogo em Redes de Computadores. Orientador: Prof. Luciano Souza.
Belo Horizonte2014
RESUMO A presente monografia tratou o tema segurana da informao em sistemas e redes de computadores em organizaes. Acredita-se que todo sistema desenvolvido na atualidade, bem como, a configurao de redes de computadores em instituies devem ser norteadas por procedimentos, mtodos e condies que favoream a segurana dos dados e informaes. Nesta direo o estudo parte para identificar como sistemas e redes de computadores, com base na metodologia de reviso de literatura, esto organizados para a proteo dos dados e informaes do cliente, verificando, por meio da leitura e anlise de contedo de fontes de informao, os mtodos, tcnicas e procedimentos adotados para este fim. Ao final deste trabalho, espera-se que o leitor tenha o conhecimento necessrio para compreender a importncia da segurana da informao em redes e sistemas. Palavras-chave: Segurana da Informao. Sistema. Rede de Computadores. ABSTRACTThis thesis dealt with the topic of information security systems and computer networks in organizations. It is believed that any system designed today, as well as the configuration of computer networks in institutions must be guided by procedures, methods and conditions that favor the security of data and information. In this direction the study is to identify how systems and computer networks, based on the methodology of literature review are organized for the protection of data and customer information, verifying, through reading and content analysis of information sources, methods, techniques, and procedures used for this purpose. At the end of this paper, it is expected that the reader has the necessary knowledge to understand the importance of information security and networking systems.Keywords: Information Safety. System. Computers network. LISTA DE ABREVIATURAS
SI - Segurana da Informao
TI - Tecnologia da InformaoABNT - Associao Brasileira de Normas Tcnicas
CID - Confidencialidade, integridade e disponibilidade da informao.
SUMRIO
1 Introduo.........................................061.1 Problema.............................................061.2 Objetivos071.2.1 Objetivos Geral07
1.2.1 Objetivos Especficos071.3 Justificativa08
2 reviso da literatura092.1 Dado e Informao............................................................................................ 112.2 Sistemas e Redes de Computadores.............................................................. 122.3 Segurana da Informao................................................................................. 132.4 Segurana da Informao em sistemas e redes de computadores............. 133 Metodologia144 anlise E DISCUSSO DOS DADOS164.1 Anlise dos dados ........................................................................................... 165 ConSIDERAES FINAIS28Referncias29
1 INTRODUOEsta monografia discute os conceitos de segurana da informao, sistemas e redes de computadores, apresentando seus relacionamentos e proeminncia. Sistema neste trabalho de concluso de curso tido sinnimo de softwares, entendido como aquela aplicao tecnolgica desenvolvida por profissionais da rea de tecnologia da informao (TI) e afins a fim de atender uma dada finalidade de um usurio de informao, bem como, o hardware, computador ou conglomerado deste utilizado como suporte para entrada, armazenamento, controle, e recuperao de dados. Por rede de computadores entende-se uma teia ou conjunto de mdulos apropriados troca dados brutos na forma de compartilhamento recursos como impressora, computadores, scanner, sistemas, interligados. Segurana da informao aplicada aqui como a garantia, por parte dos sistemas e redes, das propriedades bsicas da informao, que so: integridade, disponibilidade e acesso no autorizado por uma pessoa fsica ou jurdica (KLEINSCHMIDT, 2013).
A segurana dos dados de fundamental importncia para as empresas, uma vez que a informao um dos principais ativos intangveis da organizao, sendo considerada base para tomada de deciso, assim a pesquisa visa contribuir no sentido mostrar a importncia da segurana da informao e ampliar o saber e a discusso sobre o tema aqui proposto. 1.1 ProblemaDados e informaes organizacionais so constantemente colocadas prova por diversos tipos de ameaas como fraudes eletrnicas, sabotagem, vandalismo. Sabe-se que a dependncia nos sistemas de informao torna as organizaes mais vulnerveis s ameaas, por isso a importncia dos controles, de uma boa politica de qualidade e segurana para os sistemas e redes de computadores das organizaes (KLEINSCHMIDT, 2013). Diante do exposto acima, apresentamos o seguinte questionamento: Os critrios de segurana adotados no desenvolvimento de sistemas e redes de computadores esto de acordo para assegurar a proteo dos dados e informaes? 1.2 Objetivo 1.2.1 Objetivo Geral
Conhecer como vem sendo aplicada a segurana da informao em sistemas e redes de computadores com base em resultados de pesquisas. 1.2.2 Objetivos especficos
Realizar um estudo de reviso de literatura sobre o tema segurana da informao em redes e sistemas em peridicos cientficos. Identificar aspectos bsicos, primrios, considerados fundamentais, a serem considerados no processo de desenvolvimento de softwares com base em normas e diretrizes de segurana da informao vigente.
1.3 Justificativa Espera-se por parte de organizaes e desenvolvedores de sistemas uma anlise detalhada e cuidadosa dos requisitos de segurana da informao desejveis em projetos de sistemas e softwares. Nesta perspectiva, a ISO/IEC NBR 17799/2007 trata sobre o processo de aquisio, desenvolvimento e manuteno de sistema de informao. Convm que sejam especificados os requisitos para controles de segurana nas especificaes de requisitos de negcios, para novos sistemas de informao ou melhorias em sistemas existentes (ISO/IEC NBR 17799/2007, Sesso XII).
Acredita-se que no h segurana de informao total, mas sim em um nvel de maior ou menos escala. Quanto maior o nvel de segurana de um sistema ou rede de computadores, mais credibilidade existe, maior vantagem para a organizao que esta adquirindo ou desenvolvendo o servio, uma vez que seu ativo informacional estar mais seguro, resguardado, podendo ser mais facilmente encontrado mediante uma necessidade ou emergncia. Kleinschmidt (2013), afirma no existe rede totalmente segura, pode-se falar em mais ou menos segurana; por isso, o gerenciamento de SI deve ser constante.
A segurana da informao faz parte de qualquer aspecto da tecnologia, assim como a qualidade faz parte de produtos e processos, e a satisfao um elemento bsico na relao e prestao de servio (KLEINSCHMIDT, 2013). 2 REVISO DA LITERATURA
No captulo 5, o estudo ir abordar os conceitos de dados e informao. Em seguida iremos trabalhar o tema sistema e redes de computadores. Em sequencia iremos explorar os conceitos de segurana da informao, e a segurana da informao aplicada a sistemas e redes de computadores. Na sequencia, no capitulo 6, apresentamos a metodologia da pesquisa, que consiste na realizao em um estudo de reviso de literatura. E, por fim, faremos a anlise e discusso dos dados, no captulo 7, e concluiremos o estudo, no captulo 8.
2.1 Dado e InformaoA necessidade transmitir e documentar o conhecimento vem de muito, e muitos anos. Guardar informao inerente a toda instituio ou pessoa, seja por valor histrio, emocional, probatrio ou legal. Tanto o procedimento de arquivamento quanto de transmisso de dados deve ser projetado de forma meticulosa, este processo deve, quando possvel, inclusive, fazer parte do plano de gesto estratgico da empresa, uma vez que seus dados e informaes, contidos em sistemas, banco de dados, que trafegam por redes dizem respeito a assuntos ligados a diversos setores e reas da organizao, contendo contedo de valor, muitas vezes, imensurveis.
Sentimos cada vez a necessidade de organizar as informaes em nosso dia-a-dia, bem como ter o controle de acesso, garantia de sua integridade, disponibilidade. Investir em sistemas eficientes, confiveis, ntegros que favorecem a gesto e organizao dos dados e informaes fundamental (BORGES, 2000). Segundo Le Coadic (1996) a informao um conhecimento registrado sob uma forma escrita, seja ela alfabtica ou numrica. A informao pode ser tambm oral ou audiovisual. Assim, um conjunto de palavras, com um dado significado, informao. J termo isolado como o nmero de um telefone, nome de uma pessoa, nome de uma rua ou estado, sendo ele uma instncia isolada, tende a ser chamado de dado, pois no compreende uma representao semntica por si s. Nesta direo, pode-se dizer que sistemas (softwares) e redes de computadores trabalham com dados, uma vez estes so agrupados e relacionados, na forma de um grfico ou relatrio, pode ser tratada como informao, pois pode ser utilizado para processos decisrios ou de aquisio de conhecimento, por exemplo. O sujeito que d sentido informao e estabelece com ela relao de maior ou menor entendimento. Le Coadic (1996) afirma que a informao comporta elemento de sentido, seu significado transmitido s pessoas atravs da mensagem gravada em um suporte. 2.2 Sistemas e Redes de Computadores O conceito de sistema esta associado a um conjunto inter-relacionado e conectado a fim de formar um todo. Um conjunto ordenado e coerente. O termo sistema usado em diversas reas do saber humano, como: biologia, qumica, matemtica, computao. Nossa definio estar associada ao contexto de cincia da computao, que conversa ainda com outros comps como sistemas de informao, redes de computadores. Assim, sistema ser definido como processo que permite entrada, realiza processamento e executa a sada de dados. Sistema de informao pode ser entendido como um sinnimo de software. H diferentes tipos de sistema suporte a tomada de deciso, gerencial, controle estoque, controle bibliotecas e arquivos, bancos de dados, controle jurdico e outros. Uma rede de computadores formada por um conjunto de mdulos processadores capazes de trocar informaes e compartilhar recursos, interligados por um sistema de comunicao, meios de transmisso e protocolos. (NASCIMENTO, 2011).
Devido os sistemas e redes de computadores organizacionais serem dotados dados relevantes, sigilosos, secretos, histrico, de valor legal, ou probatrio faz-se necessrio que a proteo seja aplicada de forma adequada em sistemas e redes fazendo uso assim dos conceitos, mtodos, tcnicas e procedimentos do campo da segurana da informao. A demanda por sistemas e redes de computadores que apresentam caractersticas viveis para a segurana da informao cada vez maior, uma vez que o volume de dados e informaes produzidos e recebidos em uma organizao cresce continuamente. Neste sentido, as organizaes tem a necessidade no s de armazenar seu ativo informacional, mas tambm manter o controle, segurana das informaes que devem ser recuperadas de forma dinmica e gil. Desse modo entende-se que a qualidade da segurana da informao aplicada pode contribuir significativamente.
2.3 Segurana da InformaoA informao possui valor agregado, tem valor intrnseco por isso necessita ser cuidadosamente protegida, assim tambm so os dados armazenados em bancos de dados, sistemas e redes. Assim, a segurana da informao deve ser cuidadosamente projetada para os sistemas, e para os computadores que em rede, uma vez que esta carrega dados relevantes, confiveis, de valor inestimvel para organizaes.
A Segurana da Informao o campo de conhecimento que ocupa do estudo sistemtico de mecanismos que garantam a proteo do ativo informacional, e se sua forma bruta, o dado, de uma determinada pessoa fsica ou jurdica. Sendo a informao todo e qualquer recurso que tenha valor agregado, bem como o dado, encontrado em banco de dados, e sistemas. Segurana da informao a proteo dos sistemas de informao contra a negao de servio a usurios autorizados, assim como contra a intruso, e a modificao no-autorizada de dados ou informaes, armazenados, em processamento ou em trnsito (KLEINSCHMIDT, 2013). A segurana da informao pode ser afetada por diversos fatores, como tecnolgicos e humanos, o foco do estudo ser na infraestrutura de desenvolvimento ou criao de sistemas e redes, no deixando, claro, de mencionar e apresentar, tambm, o seu lado social. Ao trabalhar o conceito de segurana da informao, a trade CIA (Confidentiality, Integrity and Availability) destacada, pois concebe os principais atributos que, atualmente, orientam a anlise, o planejamento e a implementao da segurana para um determinado grupo de informaes que se deseja proteger (ISO/IEC 17799:2007). As caractersticas CID, so:
Confidencialidade diz que a informao somente pode ser acessada por pessoas explicitamente autorizadas; a proteo de sistemas de informao para impedir que pessoas no autorizadas tenham acesso ao mesmo. Disponibilidade aponta que a informao ou sistema de computador deve estar disponvel no momento em que a mesma for necessria. Integridade propriedade que diz que a informao deve ser retornada em sua forma original no momento em que foi armazenada (KLEINSCHMIDT, 2013).
2.4 Segurana da Informao em sistemas e redes de computadoresComo j discutido, a informao um elemento que comporta sentido, seu valor inquestionvel entre os tomadores de deciso. Devido sua importncia, a mesma necessita ser corretamente protegida. Sistemas e redes de computadores, para os padres tecnolgicos atuais, devem ser comtemplados desde a sua fase de idealizao, passando pelo desenvolvimento, uso e manuteno por mtodos e procedimentos que vislumbrem proteo das propriedades CID da informao. Sistemas e redes de computadores devem ser norteados por padres, procedimentos, normas adequadas, que viabilizem de fato a preservao dos dados e informaes organizacionais. Mesmo sistemas, computadores e redes sendo constantemente utilizados no dia-a-dia das organizaes, j compondo parte da rotina de toda organizao, muitas organizaes ainda tm problema em entender qual a funo primria de um sistema, computador ou rede deles, bem como, a importncia do desenvolvimento qualitativo e operao eficaz dos recursos de tecnologia, pois o desenvolvimento ou uso no metodolgico ou de acordo com padres e normas tcnicas de segurana vigente de tecnologia pode afetar os dados e informaes.A rea de Cincia da Computao cuida do processo de automao de tarefas e softwares, neste sentido, os profissionais buscam trabalhar com padres de qualidade adequados, que garante qualidade para o servio ou produto. Entende-se que o uso de procedimentos normativos vigentes deve ser sempre empregado em projetos de softwares a fim de garantir que sistemas e redes implementados estejam conformes. No concebvel que dados sejam alterados por pessoas no autorizadas, que as informaes no sejam verdadeiras, o sistema ou rede deve ser protegido, a fim de preservar a qualidade, veracidade, completeza, e o acesso informao somente a pessoas autorizadas. A segurana da informao pode ser fsica ou lgica. O foco do presente estudo na segurana lgica de dados e informao. A segurana da informao volta-se para preservar a informao, mas atual na garantia da operao segura e correta do sistema ou computador ou rede de computador.A segurana da informao deve garantir que usurios mal intencionados no acessem ou manipulem dados e informao mantidas ou transportadas por sistemas e redes. Este um dos grandes desafios a ser enfrentado pela segurana da informao. Ademais, servios remotos devem ser meticulosamente orientados com um plano de segurana de informao eficaz, pois jamais um usurio pode ter, em si tratando de segurana da informao, a dados no autorizados. A segurana da informao deve garantir que o destinatrio e remetente lidem com mensagem de forma segura, o destinatrio deve ter sempre o acesso informao verdadeira enviada pelo remetente. Assim, a rede de computadores deve ter o nvel de segurana que garanta tal faanha, pois mensagens podem ser legtimas podem correr o risco de serem alteradas ao longo do caminho, ou seja, no transporte do remente para o destinatrio. Neste sentido, as organizaes podem lanar mo do uso da tecnologia da criptografia, codificao e decodificao de dados. e outras tcnicas e metodologia de segurana para sistemas e redes. Vrias so as leis, tcnicas, processos, regulamentos e indicaes para operao bem sucedidas de segurana da informao em sistemas e redes. Os controles citados na regulamentao legal devem ser de fato aplicados em cada projeto desenvolvido 3 METODOLOGIAO mtodo cientfico ou de pesquisa tende a afastar o aluno pesquisador da opinio, julgamento, moral ou impresso pessoal, que so por vezes formados de modo intuitivo ou subjetivo (CHAU, 2000, p.199). A metodologia de pesquisa estabelece padro e sistematizao para a pesquisa e garante a veracidade dos resultados. Alguns estudos adotam o mtodo quantitativo, outros o qualitativo. Como afirma Chau (2000) o mtodo de pesquisa tende a ser um caminho que fornece a direo para a pesquisa. No existe mtodo ou tcnica melhor que a outra, o que existe mtodos e tcnicas mais adequados para determinados estudos. O melhor mtodo aquele que mais ajuda na compreenso do fenmeno a ser estudado, pois a metodologia apenas o caminho para se entender uma dada realidade (MARTINS, 2004). Cada estudo ou pesquisa exige um mtodo e uma tcnica especfica para sua realidade/aplicao. Em redes e sistemas de informao esta realidade no diferente. Neste campo de estudo s vezes adota-se mtodos quantitativos, outrora os qualitativos, ou mesmo, um complementando o outro (POZZEBON; FREITAS, 1998). O mtodo qualitativo preocupa-se com a qualidade do que esta sendo investigado. J o mtodo quantitativo tende a ser adotado em estudo que dedica-se a coletar dados mensurveis s variveis, ele tende a buscar a frequncia da ocorrncia para medir a veracidade ou no dos fenmenos em fase de estudo. Na presente pesquisa ser adotada metodologia qualitativa uma vez que ser feita analise bsica de contedo de resultados de pesquisa de estudos ligados a rea de segurana da informao. Para responder nossos objetivos e pergunta problema partimos para uma reviso de literatura na rea. A pesquisa Bibliogrfica desenvolvida com base em material j elaborado, constitudo principalmente de livros, teses, dissertaes, anais, artigos cientficos, e atualmente, material eletrnico (GIL, 2008). A pesquisa bibliogrfica ser feita a partir do portal capes, com base no assunto do trabalho, na tentativa de responder nossa questo de pesquisa e objetivos. Incialmente, partimos para a busca de informao em canais de informao como bibliotecas, base de dados e internet, na tentativa de encontrar fontes de informao confiveis e pertinentes para a temtica aqui discutida. Nesta fase, ser dada prioridade a fontes relevantes e confiveis, como revistas cientificas, congressos, resultados de teses e dissertaes e outros. Foi feito um recorte histrico na busca informacional, partindo para a recuperao de artigos, teses e dissertaes acadmicas dos ltimos anos. Ao todo trabalhamos com uma amostra de 10 fontes de informao.
De posse das fontes de informao escolhidas, fizemos fichamentos voltados para os resultados de pesquisa em relao aos objetivos da nossa pesquisa. Desse modo, foi feito anlise de contedo nas fontes investigada.Nosso estudo parte para uma pesquisa exploratria, breve e sucinta, por desenvolver um processo de busca de conhecimento e diagnosticar como a segurana da informao vem sendo agregada em alguns projetos de sistemas hoje em dia. Para Gil (2008) a pesquisa exploratria visa proporcionar maior familiaridade com o problema em fase de investigao. Este tipo de estudo geralmente assume a forma de pesquisa bibliogrfica ou de reviso de literatura.
4 ANLISE E DISCUSSO DOS DADOS
A apresentao e anlise dos dados foram realizadas conforme metodologia proposta na presente pesquisa
Inicialmente realizamos pesquisa no portal capes, por assunto e por peridico, em base de dados de revistas da rea de Sistemas de Informao, Cincia da Informao, Cincia da Computao e Redes de Computadores.
Diante dos dez artigos selecionados o estudo fez um breve resumo da obra, para em seguida iniciar o processo de anlise de dados conforme parmetros pr-estabelecido.
Para fazer a anlise dos dados iremos seguir um esquema onde ser feita uma anlise acerca dos pontos adotados para segurana da informao com base em anlise de artigos que j estudaram o assunto, seja por meio de reviso de literatura e normativa ou estudos de casos sobre segurana da informao em sistema e organizaes. Assim, cada artigo, estudo de caso, ser avaliado conforme estes critrios.
Resumo/Quadro Geral das fontes pesquisadas: 1996 2013 2008 2009 2010 2011 2013
Fontes
Analisadas Quant. Quant. Quant. Quant. Quant. Quant. Quant.
Artigos 11 1
Tese/Dissertao11112 1
Ttulo: Quadro de fontes de informao consultadas Fonte: Dados da pesquisa
A maioria dos dados coletados vieram de teses e dissertaes, seguida de artigos. 4.1 Analise dos dados
A seguir encontra-se a anlise e discusso dos dados coletados. APRESENTAO DOS DADOS BREVE ANLISE DOS RESULTADOS
FONTE DE INFORMAORESUMO CRITRIOS DE SI ADOTADO
WAGNER, Rosana; MACHADO, Alencar. Nveis de segurana para processos de desenvolvimento de software seguro. Centro de Tecnologia. UFSM: Rio Grande do Sul, 2010.
De acordo com os estudos de Wagner e Machado (2010), as organizaes enfrentam uma srie de dificuldades para atender s exigncias previstas pelas normas e modelos de segurana de software, alm do crescimento contnuo das exigncias relacionadas segurana em sistemas. Uma srie de normas e modelos de segurana esto disponveis na literatura a fim de guiarem o desenvolvimento de software seguro, porm a aplicao destas normas gera uma srie de interferncia no desenvolvimento de software, como aumento de custos, cronograma e demais recursos. Neste sentido, este trabalho visa propor nveis de segurana a serem aplicados em sistemas, bem como a avaliao de cada empresa e o modelo de segurana a ser utilizado em cada nvel distinto. De acordo com o texto a implementao da segurana da informao no desenvolvimento de sistemas se d por meio de nveis. Sendo eles: nvel baixo, mdio e alto. Como exemplo de baixo nvel, podemos citar um sistema de biblioteca que acessado atravs de um nico computador que possui uma nica conexo a um servidor e no est ligado a Web, ou ainda, sistemas para cadastros de cliente em uma clnica de atendimento mdico ou dentrio. E, como sistema de nvel mdio podemos considerar sistemas que demandem de segurana, como sistema de cadastro de alunos, notas, cursos e todas as informaes de uma grande universidade. Como alto nvel de segurana tm-se como principal clientela sistemas bancrios, transaes web, transferncia de dados particulares de cliente como no caso do imposto de renda entre outros. Para a deciso de quais modelos devem ser utilizados em organizaes, de acordo com Wagner e Machado (2010) cada projeto deve ser criado com base num esquema que permite ao gerente de projetos em conjunto com o engenheiro de segurana uma avaliao de qual nvel deve ser utilizada, alm de dados concretos que possam demonstrar a usurios de produto final porque um determinado nvel de segurana foi escolhido.
SANTOS, Jnison Calixto dos; NASCIMENTO, Hugo A. D. do. Implantao de um Sistema de Gesto de Segurana da Informao na UFG. In: II Workshop de Tecnologia da Informao das IFES, 2008, Gramado-RS. II Workshop de Tecnologia da Informao das IFES, 2008.
Santos e Nascimento (2008) aborda a questo da implantao de um sistema de gesto de segurana da informao na Universidade Federal de Gois (CERCOMP-UFG). So mostradas as principais atividades de um grupo de segurana, desde sua criao at os procedimentos realizados no seu dia-a-dia para garantir a segurana dos recursos de TI da organizao. Tambm so mostradas as dificuldades, as exigncias, ferramentas e procedimentos que so seguidos na hora de implantar um sistema de gesto de segurana. Os principais processos e procedimentos de segurana da informao adotados no CERCOMP-UFG na implementao de sistema de informao consistiram em: Primeira etapa: segundo Santos e Nascimento (2008), a primeira etapa de um projeto de desenvolvimento de software com base na segurana deve ser a criao de um grupo gestor de segurana da informao. Segunda etapa: Composio grupo interdisciplinar para constituir o novo Grupo de Segurana e Auditoria. Esse grupo tratar no apenas de questes de segurana da rede, mas tambm, de aspectos de segurana, incidentes e auditoria de sistemas de software no CERCOMP-UFG. Elaborao da proposta inicial da Poltica de Segurana de Informao da UFG, de acordo com a norma ABNT NBR ISO/IEC 17799. Reviso e re-execuo dos procedimentos de anlise de vulnerabilidades, aplicados s redes internas da UFG. Pretende-se utilizar o kit de ferramentas BackTrack para anlise de vulnerabilidades e testes de invaso, a fim de descobrir potenciais pontos de melhoria no sistema e redes. Por fim, o CERCOMP-UFG continua investindo nos procedimentos de treinamentos constantes da equipe de segurana de redes.
PEREIRA, Samris Ramiro; PAIVA, Paulo Bandiera; TOQUETTI, Leandro Zeidan; RICCI, Delcnio; LODDI, Sueli Aparecida. Segurana na arquitetura de sistemas informatizados. khne e Lgos. Botucatu: SP, v.2, n,2, fev. 2011.
um princpio bsico da Segurana da Informao o fato de no existir sistema 100% seguro, devendo-se optar por um nvel de segurana conforme a necessidade. Porm, invivel definir um nvel de segurana em um sistema informatizado que apresente falhas decorrentes
de um processo de produo precrio ou que no atenda aos requisitos do usurio. A qualidade no funcionamento de um sistema no um objetivo da Segurana da Informao, um pr-requisito. O objetivo deste artigo ressaltar a importncia para a Segurana da Informao, da qualidade no desenvolvimento de sistemas informatizados, meta a ser atendida sem detrimento do desenvolvimento gil. Para que se possam obter informaes seguras, que garantam autenticidade e confidencialidade assegurada por lei, h a necessidade de se aliar s tecnologias de Segurana da Informao como criptologia e certificao digital, o cumprimento das metas da Engenharia de Software referentes qualidade e agilidade.
Segundo Pereira et al (2011) os sistemas devem ser bem desenvolvidos a fim de atender bem e de forma ampla as necessidades dos seus usurios. Uma aplicao eficaz fundamental. Entende-se que a que qualidade no funcionamento de um sistema no um objetivo da Segurana da Informao, um pr-requisito. Ademais, tecnologias como criptografia, e certificao digital devem ser aplicados aos sistemas a fim de ter respaldo e garantida para a segurana dos dados e informaes. Deve-se pensar em qualidade e agilidade, e ter a segurana da informao como uma aliada, sendo a qualidade e agilidade do sistema de informao a condio bsica na escolha do sistema.
Trs tpicos bsicos devem ser observados para prover a Segurana da Informao durante o desenvolvimento de softwares: bancos de dados, arquitetura em multicamadas e mtodos geis.Independente do tipo de aplicao, h necessidade de garantir a integridade das informaes que ela disponibiliza. Para tal, preciso um controle corretamente elaborado das transaes em banco de dados, assim como uma arquitetura em multicamadas para preservar a integridade dos programas na implantao e nas atualizaes de verso, evitando manutenes diretamente nas mquinas clientes.
HOLTZ, Marcelo Dias. Uma arquitetura distribuda aplicada ao tratamento de registros de segurana de rede. Dissertao de Mestrado em Engenharia Eltrica, Publicao PPGEE.DM 480/12, Departamento de Engenharia Eltrica, Universidade de Braslia: Braslia, DF, 2010, 73p.
A Internet tem se tornado um ambiente cada vez mais hostil, visto o crescimento dos ataques bem como a gravidade dos danos causados por eles. Desse modo, os sistemas de segurana como IDS e honeypot so componentes essenciais em um ambiente de rede seguro, permitindo proativamente a deteco de atividades maliciosas e ataques. O presente trabalho prope uma arquitetura de computao distribuda executada em nuvem para tratamento dos logs de segurana. A arquitetura proposta na presente pesquisa capaz de lidar eficientemente com grandes volumes de dados coletados e altas cargas de processamento, sendo facilmente escalvel, alm de apresentar capacidade de deteco de ataques complexos atravs da correlao das informaes obtidas a partir de diferentes fontes, identificando padres que no seriam aparentes atravs da captura de trfego centralizado ou da anlise de logs de um nico host.
Uso de IDS e honeypot permite proteger os sistemas de informaes de ataques, auxiliando efetivamente para proteo dos dados e informaes.
A pesquisa de Holtz (2010) prope um sistema totalmente distribudo de coleta, armazenamento e processamento de logs de segurana, sistema esse que se encontra operacional para tratamento e combate a intruses e atividades maliciosas.
Vrias abordagens foram feitas procurando a resoluo dos problemas de tratamento de grandes massas de dados, atravs do uso de agentes mveis, anlise de componentes
principais atravs de seleo de ordem do modelo, data mining, uso de FPGAs, porm todas tm suas ressalvas e no resolvem por completo os problemas em questo. A arquitetura do presente estudo consiste em se divide principalmente em trs reas, a coleta, feita por sensores, o armazenamento e processamento, realizado em computao em nuvem atravs do framework MapReduce e do sistema de arquivos distribudo HDFS e por ltimo uma interface de gerncia que ser responsvel pelo controle do ambiente e visualizao dos resultados.
MAIOR, Alexis Braga Sotto, A anlise do risco legal de segurana da informao em uma instituio pblica federal. Monografia (especializao). Universidade de Braslia. Instituto de Cincias Exatas. Departamento de Cincia da Computao, 2011.
As organizaes pblicas federais esto sujeitas as mais diversas ameaas segurana da informao, cujas consequncias vo muito alm de perdas operacionais. Com o objetivo de compreender os fatores que influenciam o risco legal de segurana da informao foi realizada a presente pesquisa, atravs de um estudo de caso em um rgo da Administrao Pblica Federal. Para isso, a anlise de risco apoiou-se nas normas ABNT NBR ISO/IEC 27002:2005 e 27005:2008 e buscou identificar ameaas, vulnerabilidades e consequncias, estimando suas probabilidades de ocorrncia e respectivo impacto na instituio. Realizao de anlise de risco apoiada na norma de segurana da informao, o estudo buscou identificar ameaas, vulnerabilidades e consequncias, estimando suas probabilidades de ocorrncia e respectivo impacto na instituio do estudo de caso da pesquisa de Maior (2011).Faz-se necessrio que exista por parte das instituies anlise dos riscos e vulnerabilidade dos sistemas e redes, com apoio direto da alta direo. Segundo Maior (2010) a ausncia de responsabilizao atravs de processo administrativo disciplinar tambm favorece a criao de um sentimento de impunidade e propicia o uso indevido de recursos computacionais. A existncia de uma Poltica de Segurana da Informao um passo importante na definio e implementao de controles e mitigao do risco, mas existe a necessidade de se editar normas complementares que tratem de assuntos especficos e que estejam de acordo com as necessidades e especificidades da instituio. Por fim, faz-se necessrio que as organizaes devem incorporar os processos de anlise e avaliao de riscos em prol de sua governana.
ALVES, Fabrcio Silva; ALVES, Andr Luiz. Aplicabilidade dos principais conceitos de Segurana no ciclo de vida de sistemas em Software houses. Especializao em Qualidade e Gesto de Softwares. Pontifcia Universidade Catlica de Gois: Goinia, 2009.
Neste artigo, apresentado uma breve introduo aos principais conceitos de segurana da informao, para serem aplicados em todo o ciclo de desenvolvimento de sistemas, para que cada vez mais, as software houses possam produzir produtos com mais qualidade e segurana. abordado tambm algumas normas que auxiliam na manuteno da segurana dos sistemas de informao, alm de citarmos alguns aspectos gerais para segurana em sistemas para web.
Segundo Alves e Alves (2009), cada dia surgem novas software houses no mercado, porm algumas preocupaes com a segurana e qualidade dos produtos esto cada vez mais longe das ideais, devido a pressa por obteno de lucros com a entrega mais rpida do produto, sem as devidas implementaes necessrias para garantir a segurana da aplicao desenvolvida para o cliente final. Faz-se necessrio que todos os sistemas sejam desenvolvidos respeitando critrios de segurana, assim, so etapas ou processos importantes: Definio de requisitos, Anlise, Projeto, Implementao, Testes, Implantao e Manuteno, que so descritas pela Engenharia de Software.Em cada fase do ciclo de desenvolvimento de um sistema deve-se buscar implementar os requisitos funcionais de segurana. Desde a fase de engenharia de requisitos, levantando junto aos usurios as polticas de acessos aos dados do sistema, e posteriormente passando pela fase de anlise e projeto, projetando rotinas mais concisas e mais seguras. J na fase de implementao, procurar seguir as boas prticas de desenvolvimento de sistemas.
AOKI, Eric Komiyama; CARVALHO Alan Henrique Pardo de. Prticas de segurana para o desenvolvimento de sistemas Web. FATEC: So Caetano do Sul, v. 1, n. 5, Out/Dez 2011, p. 56 a 66.
O artigo aborda o tema segurana da informao, com foco no contexto web. Entende se que a escalabilidade, portabilidade e fcil acesso providos pela plataforma web tm popularizado seu uso no desenvolvimento de diversas aplicaes. Porm, o crescente nmero de incidentes de segurana levanta preocupaes quanto sua seguridade. Uma parte destes incidentes decorrem da falta de considerao de segurana durante o processo de desenvolvimento. Este trabalho tem como objetivo propor prticas de segurana a serem aplicadas durante o processo de desenvolvimento de software Web que minimizem os riscos, aumentando a qualidade e confiabilidade do produto final. Nele sero apresentados: conceitos de segurana da informao, as vulnerabilidades mais comuns existentes em software Web e algumas prticas que devem ser aplicadas durante o desenvolvimento.
Segundo Aoki e Carvalho (2011) o constante aumento no nmero de incidentes de segurana e o crescente avano da informao eletrnica justifica, devido a importncia da informao, a necessidade da segurana da informao, tambm, em meio eletrnico. Porm, com as exigncias do mercado, os desenvolvedores tm priorizado outros aspectos do desenvolvimento de software em detrimento da segurana. Das dez vulnerabilidades mais crticas da Web, as citadas abaixo apresenta relao direta com o processo de desenvolvimento de sistemas voltados par web, de modo seguro:
Injeo de cdigos: insero de cdigos arbitrrios, como SQL injection, em um sistema que pode permitir a um atacante realizar operaes no autorizadas.
Cross-site scripting (XSS): insero de cdigos arbitrrios em pontos falhos de uma aplicao que so executados quando os usurios a acessam. Quebra de autenticao e gerenciamento de sesso: mau gerenciamento de sistemas de login e senha.
Referncia direta de objeto inseguro: acesso no autorizado de um objeto, uma parte do programa, restrito atravs de outro desprotegido.
Cross-site request forgery (CSRF ou XSRF): similar ao XSS, porm neste caso explora-se a confiabilidade do site no navegador e no no usurio. Falha na restrio de URL: falha em restringir o acesso a certas pginas pela insero direta da URL (Uniform Resource Locator, o mesmo que endereo) daquela pgina.
No validao de redirecionamentos: no verificao dos endereos ou m aplicao de redirecionamentos para outros sites.
Ao estabelecer boas prticas e um fluxo de execuo dentro do ciclo de vida do software para equipamentos mdicos, Rispoli (2013) prope uma metodologia para a construo de aplicaes que contempla seguramente os aspectos de segurana de software que devem ser mitigados pelas organizaes que desenvolvem equipamentos e aplicaes mdicas.
OLIVA, Rodrigo Polydoro; OLIVEIRA, Mrian. Elaborao, Implantao e Manuteno de Poltica de Segurana por Empresas no Rio Grande do Sul em relao s recomendaes da NBR/ISO17799. ENANPAD. 2003.
A tecnologia da informao e a Internet tornaram-se uma plataforma vital de transaes entre as empresas e seus funcionrios, clientes, fornecedores e parceiros comerciais. No entanto, todos os benefcios trazidos pela utilizao de sistemas de informao podem no ser alcanado devido a problemas de segurana da informao. O objetivo desta pesquisa analisar a percepo dos diretores de tecnologia, gerentes de tecnologia ou security officers sobre o processo de elaborao, implantao e manuteno da poltica de segurana comparando com as recomendaes da NBR/ISO17799.
A dissertao de Oliveira e Oliveira (2003) aborda o tema segurana da informao nas organizaes. As empresas devem privilegiar o uso da norma de segurana da informao, aplicando e gerenciando riscos e incidentes de segurana.
A pesquisa que consistiu em identificar a percepo acerca do uso e aplicao da segurana da informao em organizaes, Oliveira e Oliveira (2003) como principais resultados pode-se citar: que as empresas percebem que um incidente de segurana pode causar impacto na competitividade da organizao no mercado; a maioria das empresas que j possuem a poltica de segurana no utilizou a NBR/ISO17799, no entanto, seguiram as boas prticas no processo de elaborao, realizando uma Anlise de Risco. Como isso existe tambm ateno para aquisio de sistemas, que faz parte das boas praticas e gesto de negcio. A adoo da politica de segurana muito importante, com base nela a empresa consegue resguardar melhor o valor da informao. Para a politica eficiente de segurana da informao encontra-se uma norma especfica para este fim (NBR ISO/IEC 27001, 2006).
A implementao de um Sistema de Informaes mais do que simplesmente instalar um sistema desenvolvido e treinar usurios a utiliz-lo. Para que esta implementao tenha sucesso, necessrio, desde o incio de seu desenvolvimento at sua efetiva implementao, estudar o contexto no qual ele atuar e formar um ambiente propcio para garantir seu desenvolvimento, sua implementao, sua aceitao e uso. O enfoque de variveis utilizado combina o contexto da organizao durante o desenvolvimento e a implementao do SI, as relaes das pessoas que se envolvem com o processo e a estratgia utilizada para garantir o sucesso do projeto.
A implementao de um SI significa uma mudana, muitas vezes profunda, na organizao, que deve ser planejada e preparada para que se garanta seu sucesso. Pois, a implementao da segurana da informao em sistemas deve preceder uma anlise detalhada das informaes que iro estar exposta no sistema, delimitando acessos e nveis de segurana para os dados e informaes. Acompanhar a fase de desenvolvimento, implementao e testes fundamental, bem como, implementao e uso do sistema ou rede. A segurana da informao em sistemas pode ser estudas a partir de trs grandes variveis, mutantes e integradas, so elas: atores, cenrios e planejamento e interveno. Estas variveis devem ser bem gerenciadas para ajudar no processo de organizao no desenvolvimento de sistemas. A segurana da informao deve ser bem planejada e aplicada na organizao. Cada sistema de informao requer um estudo especifico, uma vez que ir subsidiar informaes distantes, de contextos variados.
5 CONSIDERAES FINIAS O objetivo final de um produto de informao, vindo de um sistema de informao, o uso da informao para satisfazer s necessidades dos usurios, mas para garantir tal premissa necessrio que os dados e informaes estejam integras, cofiveis e disponibilizadas. Na atualidade as informaes das empresas o seu maior patrimnio, por isso faz necessrio preservar o ativo intangvel das organizaes, pois quem trata a informao de modo correto tende a usufruir de muitos benefcios. Com base no que foi exposto, espera-se que o leitor tenha o conhecimento necessrio para compreender a importncia da segurana da informao em redes e sistemas, e que organizaes volte sua ateno para este fato, tendo a segurana da informao como uma aliada na gesto de seus ativos.
A segurana da informao um tema atual, e bastante discutido na literatura de sistemas e redes. Quanto s leituras realizadas para a presente trabalho de concluso de curso, respondendo o nosso objetivo proposto, ficou evidenciado a preocupao das organizaes com a segurana dos dados e informaes, inclusive no meio eletrnico. A preocupao das empresas, de acordo com os dados levantados, se d mais particularmente, sob a organizao e gesto das informaes, requisitos do sistema e variveis adequadas. Estes elementos devem ser bem desenvolvidos para atender a demanda de segurana de dados e informao do cliente. Assim, definir bem os objetivos do sistema, desenvolver e implementar uma politica de segurana, e ter na empresa uma governana para assuntos de segurana so aspectos essenciais no processo de desenvolvimento e aquisio de software que garantem de forma eficaz a segurana para as informaes. O uso das normas de segurana e adoo de boas prticas tambm foi bem destacado nos estudos. Aspectos relacionados a confidencialidade, integridade e disponibilidade de dados (CID), so tidos como bsico em qualquer sistema ou rede de computadores, ou seja, deve ser o mnimo a ser observado. Por fim, a identificamos que a implementao de segurana da informao em sistemas e redes deve ser norteada por normas tcnicas especializadas e boas prticas de fabricao, pois padro e qualidade so elementos essenciais para manuteno, uso e disseminao segura, eficiente e eficaz da informao. REFERNCIASABNT. Associao Brasileira de Normas Tcnicas. ISO/IEC NBR 17799: 27002. 2007, p. 120
ALBERTIN, Alberto Luiz. Aumentando as chances de sucesso no desenvolvimento e implementao de sistemas de informaes. RAE: So Paulo. v. 36, n. 3, p. 61-69 Jul./Ago./Set. 1996
ALVES, Fabrcio Silva; ALVES, Andr Luiz. Aplicabilidade dos principais conceitos de Segurana no ciclo de vida de sistemas em Software houses. Especializao em Qualidade e Gesto de Softwares. Pontifcia Universidade Catlica de Gois: Goinia, 2009.
AOKI, Eric Komiyama; CARVALHO Alan Henrique Pardo de. Prticas de segurana para o desenvolvimento de sistemas Web. FATEC: So Caetano do Sul, v. 1, n. 5, Out/Dez 2011, p. 56 a 66.
BORGES, Maria Alice Guimares. A compreenso da Sociedade da Informao. Cincia da Informao. Braslia: IBICT. V.29, N.3, p.25-32, set./dez. 2000.
CHAUI, Marilena. Convite Filosofia. Ed. tica: So Paulo, 2000.
FACULDADE PITGORAS. Sistema de Bibliotecas. Manual de normalizao da Faculdade Pitgoras. Belo Horizonte: Faculdade Pitgoras, 2012. Disponvel em: . Acesso em: 16 de Set. de 2014.
GIL, Antnio Carlos. Como elaborar projetos de pesquisa. 4. ed. So Paulo: Atlas, 2008.
HOLTZ, Marcelo Dias. Uma arquitetura distribuda aplicada ao tratamento de registros de segurana de rede. Dissertao de Mestrado em Engenharia Eltrica, Publicao PPGEE.DM 480/12, Departamento de Engenharia Eltrica, Universidade de Braslia: Braslia, DF, 73p.
KLEINSCHMIDT, Joo Henrique. Segurana da Informao: aula 01. Universidade Federal do ABC. INF-108. Santo Andr, junho de 2013. Disponvel em: http://professor.ufabc.edu.br/~joao.kleinschmidt/aulas/seg2013/aula_01_seg.pdf. Aceso em: 16 Set. 2014
LE COADIC, Yves-Franois. A cincia da informao. Braslia: Briquet de Lemos/Livros, 1996. 119p.
MAIOR, Alexis Braga Sotto, A anlise do risco legal de segurana da informao em uma instituio pblica federal. Monografia (especializao). Universidade de Braslia. Instituto de Cincias Exatas. Departamento de Cincia da Computao, 2011.
MARTINS, Heloisa Helena T. de Souza.. Metodologia qualitativa de pesquisa. Educao e pesquisa. Usp, v.30, n.2, p.289-300, mai/ago. 2004
NASCIMENTO, Edmar Jos do. Introduo as Rede de Computadores: aula 02. 2011. Universidade Federal do Vale do So Francisco. Colegiado de Engenharia Eltrica Disponvel em: http://www.univasf.edu.br/~edmar.nascimento/redes/redes_20112_aula02.pdf. Acesso em 11 Set. 2014.
NBR ISO/IEC 27001. Tecnologia da informao: Sistemas de gesto de segurana da informao. Rio de Janeiro, 2006.
OLIVA, Rodrigo Polydoro; OLIVEIRA, Mrian. Elaborao, Implantao e Manuteno de Poltica de Segurana por Empresas no Rio Grande do Sul em relao s recomendaes da NBR/ISO17799. ENANPAD. 2003.
PEREIRA, Samris Ramiro; PAIVA, Paulo Bandiera; TOQUETTI, Leandro Zeidan; RICCI, Delcnio; LODDI, Sueli Aparecida. Segurana na arquitetura de sistemas informatizados. khne e Lgos. Botucatu: SP, v.2, n,2, fev. 2011.
POZZEBON, Marlei; FREITAS, Henrique M. R. de. Pela aplicabilidade: com um maior rigor cientfico - dos estudos de caso em sistemas de informao. Revista Administrao Contempornea. 1998, vol.2, n.2, pp. 143-170. Disponvel em: http://www.scielo.br/pdf/rac/v2n2/v2n2a09.pdf. Acesso em 10 Set, 2014.
RISPOLI, Diogo de Carvalho. Boas prticas no ciclo de vida para melhoria da segurana de software para dispositivos mdicos. Programa de Ps-Graduao em Engenharia Biomdica: Distrito Federal, 2013.
SANTOS, Jnison Calixto dos; NASCIMENTO, Hugo A. D. do. Implantao de um Sistema de Gesto de Segurana da Informao na UFG. In: II Workshop de Tecnologia da Informao das IFES, 2008, Gramado-RS. II Workshop de Tecnologia da Informao das IFES, 2008.
WAGNER, Rosana; MACHADO, Alencar. Nveis de segurana para processos de desenvolvimento de software seguro. Centro de Tecnologia. UFSM: Rio Grande do Sul, 2010.
Carlos HenriqueVictor MartinsWelbert Barboza
