Sistemas de segurança da informação na era do conhecimento [1 ed.] 8559723021, 9788559723021

Citation preview

CZbE7g4BK75nGo32dh4yYjq8pla!b0016kH8Bdk9bc$c0n5vj8B632&klgcplll4v#nljc0t8bnFSewalapjSHga 8bf$gj j6gk7gjkDg%3bkfgGZDF Jdd010kGB864C4gk&5DahO8b&cg j&gj * jf 0 1 0PL@F3bW2o7YYB5gjNOj S j A991 *h89DSfxl00q24uvb5#cxzQnkGdsarOuyrHg54110cX$23ckçkSsa8FkLpyS%s{ hha4mj3Habk93vd%gK$v31 110001011010010010010101100011100101101000010101011000100100100010010001( 10110000101010001000100111010010100011101010100100100011101001001001000K k/K6Hde%F K93 111 qHGR 3 KB * LG64VB4VK6Hde%F K93 001 9nm zH 5 b j G%g h 3 78GnDd ih69 n 0 0 0 gWq 1 oi&I 33hddkGnxy! 77 100 F@JHMV%BFKF65 *BHj33hddkGnxy ! 77 001 k 37bn$ 3B98vknS * gf mH Fxa REO 1 0 0 bf343vk7i jGdlnl86ns64110 nk8jv4d44d#mGkGDjGdlnl86ns64 000 zwPIny%32876aF4v#anlDjcf4xz3 0 11 ffdj7jsçl >78 j 7KAm8d$010 q k n x z mop 3 ba a nO gAd j s a gH n 110 PL^F3bo75XzSYNL3f9643iiapxhd4 110 aq24ny%: 99Fdbcvdxzm2011 7 5V8nksn$7 8jddzaE4d7KAm8d$101f 348bmwlf o8h$2 35 9BgjN094$ 1 n gczl32a2l *NGDF5GhlGH3 111 m85BgdKlhdsWbghyEwkhb5B436#V 110 6523H6vG$daK9hhf 5 D *MvzaaPAal7 0 10 hf 3DwPb< h4yYjq8pla !bl01j7^^-r'r'JM«D *NGdDF5fGhlGH3 110 8fGKn7$blo9wHkPPMBC4Xz@pp9h 0 01 4v#n jc0tí 3bkfgGZDF3dd11 «^s4yYjq8pla! b 010 643bhH6vdLpywbcdy ibacdg3 x 0 11 L3fg5Sddi *h89DSf K$v31 • ^bkf gGZDF 3 110 3nTd5Vj7hd *kgs#vlh3gjkbsWblH i 0 i jg%f 3d jk’ 00000101' 110010110100001010100100010010010001001000K 1011000 1 0100011101010100100100011101001001001000K ’j7aar *NGDF5GhlGHl '10D 1 0gWq lo&bk5#a$ j i378Gnih6rV MVXBFKh vzaaf mHFxaREO© 0 lcxz7bjd7n$31Ssf oS8Rh$B9F 4v#anlD_icf4xz31 A 198HG4ckckSsa8FkLSoA *gfmSF ^i; * m8k8

Sistemas de «« segurança da informação

Armando Kolbe Júnior

HgC) .1 /Y ojA991 B dksarOu> 4010u . * xçkSs _. .. -pySXsf 1110 •101010. d00010u.v0100010010001( lc 101010100100000 011101001001001000K 00016 na era do conhecimento ZFK9o 15$32KhhklDC%gh378GnDdi00khjd6hk! j8gbsy3 5 Xr48nh 0014nkdn&5998vknS gf * mHFxaREO i 0 i jas7bFGV( hndh28b j& i86njvs& 010zwPIny%32876aF4v#anlDjcf4xz3 0 0 1 sG7g6bMg; jdb38nakobs. gAdjsagHn 101XzSYNL3f964HDX3iiapxhd4000 AaAdkbd8> ndks3zmLovfDa6$7 8j7KAm8d$1012 3yS%sgX4 5DahOf 8b&c 2 ! k9 b0 1 0gcz@132y%328761aW2S8zL3f | *1b45 v j%bkm6$7d7n$31 SBnV99 F 111 c $c 2n TR bk f n m8 7f 3 K p0Hd swT0 0 ickç kSsa38nak8FkLpA gf * mSI d7n$31SsfDwPbcX$23yS%sg32A8761011nVcxs4c6432986gHe@jobfghDxzAl 10Fxaq24nD aF4v#anlDjcf4xz * 4v#nl jc0tf d nQweQWoS8Rh$B9R 1116 k H 8 B d 5vjf8B632&klgc p0 1 ibv#$238bf4f j kls jY544v#nl; 98HG4c k ç k4 V s B4VK6Hd e%K9 3000kGB86 4C4g k&g j&g j k su Iu * j f 1 0 02S8zL3f K9hhf 5 Mg5SX$glxj; *

QUER SEP MAIS LIVRE? Aprenda a Pesquisar e Fazer Ebooks | Armazene arquivos de forma segura

APRENDA A FAZER EBOOKS

HTTPS://ODYSEE.COM

Seja a partir de Livro ou PDF escaneado Construa PDF pesquisável ou Epub Qualidade Profissional

Plataforma descentralizada para Reprodução e Hospedagem de arquivos Garantida por BlockChain

Rápido e Eficiente

Prática como Youtube Descentralizada e resiliente como torrent Facilitadora de transações financeiras como Bitcoin

t.me/AnonLivros

Acervo em Português Mais de 70 mil ebooks no Telegram t.me/PolemicBooks Mais de 2 mil cursos em vídeo t.me/oAcervoCursos

HTTPS://LIBGEN.IS HTTPSy/Z-LIB.ORG Portais de Ebooks e artigos científicos Mais de 2 milhões de documentos

Cursos via streaming no Telegram t.me/LivreSaber

CONTRA A PROPRIEDADE INTELECTUAL A fundamentação Teórica em favor do Conhecimento Livre https://www.mises.org.br/Ebook.aspx?id=29

t.me/AnonLivros

Sistemas de segurança da informação na era do conhecimento

Sistemas de segurança da informação...

DIALOGIC A

O selo DIALÓGICA da Editora InterSaberes faz referência às publicações que privilegiam

uma linguagem na qual o autor dialoga com o leitor por meio de recursos textuais e visuais, o que toma o conteúdo muito mais dinâmico. Sào livros que criam um ambiente

de interação com o leitor - seu universo cultural, social e de elaboração de conhecimen­

tos -, possibilitando um real processo de interlocução para que a comunicação se efetive.

...na era do conhecimento

Armando Kolbe Júnior

EDITORA

intersaberes

Rua Clara Vendraimn, 58_Mossunguê

EDITORA

CEP 81200-170_Curitiba_PR_Brasil Fone: (41) 2106-4170 www.intersaberes.com

intersaberes

[email protected]

conselho editonal_Dr. Ivojosé Both (presidente) *_Dr Elena Godoy _Dr. Nelson Luís Dias _Dr. Neri dos Santos _Dr. Ulf Gregor Baranow

editor-chefe_Lindsay Azambuja editor assistente.Ariadne Nunes Wenger

capa.Laís Galvão dos Santos prqeco gráfico.Raphael Bernadelli

diagramação.Sincronia Design iconografia.Regina Claudia Cruz Prestes

Dados Internacionais de Catalogação na Publicação (CIP) (Câmara Brasileira do Livro, SP, Brasd)

KolbeJúnior, Armando Sistemas de segurança da mformação na era do conhe­ cimento | livro eletrônico)/Armando Kolbe Júnior. Cuntiba:

InterSaberes, 2017. 2 Mb; ePDF Bibliografia. ISBN 978 85 5972 303 8

1. Conhecímento 2. Organizações 3. Sistema de informação gerencial 4. Sistemas de informação gerencial - Medidas de segurança 5. Tecnologia da «formação I. Titulo.

17 01128

CDD 658.403

índices para catálogo sistemático: 1. Sistemas de informação gerencial: Administração 658.4038011

* edição, 2017. 1 Foi feito o depósito legal.

Informamos que é de inteira responsabilidade do autor a emissão de conceitos.

Nenhuma parte desta publicação poderá ser reproduzida por qualquer meio ou forma sem a

prévia autorização da Editora InterSaberes. A violação dos direitos autorais é crime estabelecido na Lei n. 9.610/1998 e punido pelo

art. 184 do Código Penal.

apresentação = 7 como_aproveitar_ao_máximo_este_livro = 13

0000_0001 = I = sistemas de informação na sociedade do conhecimento = 18

0000_0010 = II = sistemas e segurança da informação na sociedade do conhecimento = 68

0000_0011 = IH = banco de dados e Security Office - 96

0000_0100 = IV = segurança corporativa e evolução dos sistemas de informação = 120

0000_0101 = V = sistemas de apoio à decisão e medidas de segurança para a informação = 146

0000_0110 = VI = a norma ISO e a segurança da informação = 168

para_conduir... = 195 referências = 197

respostas = 203

sobre_o_autor =213

apresentação

No contexto da sociedade atual, as pessoas desen­ volveram uma relação extensiva com a tecnologia da

informação e comunicação (TIC). O mesmo acon­ tece nas empresas, que, diante desse quadro, depa­ ram-se com o desafio de preservar a confiabilidade e a disponibilidade das informações que são captadas,

transformadas e disseminadas por seus sistemas de informação gerencial (SIGs). O fenômeno big data,

o surgimento e evolução da chamada internet das coisas {IOT - Internet ofthing?) e a efetivação uma caminhada

célere em direção à implantação da web 4.0, levam a uma captação de elevados volumes de dados {data

mining). Estes são transformados em informações estratégicas (que direcionam as ações), armazena­

dos em séries históricas e em grandes repositórios de informações {datawarehouse). Consequentemente,

cria-se um elevado volume de informações circulantes

que estão colocados em extensas redes locais ou na

nuvem. Essa conjuntura provoca mudanças extensi­ vas no comportamento, tanto das pessoas quanto das empresas.

Responsáveis pelo manuseio deste elevado volume de dados, os SIGs sào, assim, elevados de meros coadju­ vantes a protagonistas de uma configuração alta­

mente dinâmica, que é responsável pela evolução nos

níveis de produtividade e aquisição de competitivi­ dade em um mercado altamente complexo e autofágico. São criadas situações que podem provocar diferentes níveis de sobrecarga laborai, psicológica

e cognitiva. As atividades de inteligência competitiva,

estabelecidas como uma nova forma de efetivação da espionagem industrial, colocam novos desafios

para esses sistemas. A onipresença da internet, adotada como a estrada

da informação, pela qual circulam todas as informa­

ções criadas pelo ser humano, provoca mudanças

significativas no cotidiano das pessoas e das empre­

sas. Ela deixa de ser um mero instrumento de comu­ nicação e passa a integrar o dia-a-dia das empresas, antes receosas de disponibilizar informações estraté­ gicas nas grandes redes internas e na grande nuvem.

Tal mudança de atitide é uma consequência direta da evolução das atividades de inteligência empresa­ rial (Business Intelligence).

8

Como consequência, sào criados novos modelos de

negócios e surgem novos nichos de mercado antes inexplorados. Ocorre a habilitação da concorrên­ cia de pequenas empresas, que passam a concorrer

no mesmo nível de posse de novos conhecimentos e informações que é apresentado pelas grandes empre­

sas. O surgimento de pequenas empresas (startup

entreprises) apresenta-se como uma nova realidade a ser enfrentada, uma situação não prevista, e ainda

não totalmente aceita por grande parte das empresas.

É possível constatar que o volume de negócios na

grande rede cresce de maneira desproporcional ao

preparo apresentado pelas empresas para o enfren-

tamento das novas exigências do mercado.

Captação e armazenamento de dados, criação de novas informações a partir de extensivas atividades de análise de dados (data analysis), novas profissões

em evolução no mercado digital e disseminação via pesquisas seletivas são fatores que aumentam ainda

mais a importância da disponibilidade da informa­ ção por diferentes critérios de seleção, de acordo

com visões diferenciadas por parte dos usuários, as quais, quando identificadas, podem dar um novo

9

direcionamento para as ações das empresas, de

forma que estas se voltem a um empenho por ino­

vação que supere a simples melhoria do que está

disponível, e que tenha como resultado a criação de novas formas de trabalho.

Frente a um contexto com essas características, é necessário que as empresas criem salvaguardas que,

para além do uso eficiente dos SIGs, garantam a pre­ servação e a integridade das informações. Na atuali­

dade, o uso de cuidados diferenciados com relação à segurança adquire destaque e a literatura ainda

se mostra incipiente em termos de estudos qualita­

tivos que superem uma visão apoiada em detalhes técnicos e na apresentação de soluções em termos de novos sistemas e aplicativos. Saber o que dissemi­

nar, e como disseminar e ao mesmo tempo prevenir

a interferência de atividades de inteligência competi­ tiva são conhecimentos que abrem uma nova frente de trabalho, a qual vem se estabelecendo e adqui­

rindo destaque. Compreendera necessidade de formação dos cola­

boradores das empresas e orientá-los para evi­

tar vazamentos, sejam eles mal-intencionados ou

10

decorrentes de falhas, e impedir o acesso nào auto­

rizado às informações confidenciais que cada um

deles manuseia apresenta-se como um campo ainda não totalmente explorado em termos de análise qua­

litativa. Fornecer orientações para que as empresas adotem medidas nesse sentido é a proposta deste material de estudo, o qual é resultante de exten­

sas pesquisas sobre os contextos interno e externo da disponibilizaçào de informações pelas empre­

sas. Por meio dessa visão, é possível atingir o obje­ tivo proposto: preservar e garantir a integridade das informações estratégicas das empresas. Como obje­

tivo secundário a ser atingido, este conteúdo contri­ buirá para confirmar a hipótese de que a formação dos colaboradores internos deve ganhar destaque

no contexto atual, sem que rotinas e aplicativos que devem estar ativos e funcionais sejam esquecidos. Seguindo essa proposta, o livro apresenta estraté­

gias organizacionais que podem permitira preserva­ ção e a integridade das informações geradas, além de oferecer suporte para a adoção de medidas con­

tra ataques de pessoas ou grupos mal-intenciona­

dos. Os temas tratados incluem: a apresentação

11

das características da sociedade da informação; as diferenças entre dados e informações; as medi­

das a serem tomadas para garantir a preservação e manutenção da integridade dos dados; a apresenta­

ção das características das grandes bases de dados

criadas para o tratamento dos dados e sua trans­ formação em informações de valor para a tomada de decisões; a função e as características do perfil

profissional do ChiefSecurity Officer (CSO)', o trata­

mento a ser dado para a segurança corporativa; todos abordados em conjunto com os sistemas de conhecimento e o e-commerce. Como complemento ao material de estudo, é apresentada a norma ISO

relativa à segurança da informação, também acom­

panhado de algumas dicas de boas práticas para manter os dados seguros. Este livro destina-se a estudantes e pesquisadores

das áreas de administração, tecnologia e segurança da informação. Com ele, nossa finalidade é eviden­

ciar a importância da informação para as empresas e seu respectivo valor e os cuidados com segurança e privacidade, em ambientes nos quais a perda da

privacidade e a efetivação da inteligência competitiva

são realidades. Desejamos a você uma boa leitura.

12

como_aproveitar_ao máximo_este_livro

Este livro traz alguns recursos que visam enriquecer

seu aprendizado, facilitar a compreensão dos conteúdos e tornar a leitura mais dinâmica. São ferramentas projetadas de acordo com a natureza

dos temas que vamos examinar. Veja a seguir como

esses recursos se encontram distribuídos no decorrer

desta obra.

Conteúdos do capítulo

Logo na abertura do capítulo, você fica conhecendo os conteúdos que nele Conteúdo» do capitulo

serão abordados.

Apo» o e»tudo dote capftUo. «vcê »e»â capiz de

Após o estudo deste capítulo, você

será capaz de:

Você também é informado a respeito

das competências que irá desenvolver e dos conhecimentos que irá adquirir com

o estudo do capítulo.

(. Acesso em: 13 mar. 2017.

198

DAVENPORT, T.; PRUSAK, L. Conhecimento empresarial: como as orga­ nizações gerenciam o seu capital intelectual. Rio de Janeiro: Campus, 1999.

DRUCKER, P. F. Beyond the Information Revolution. The Atlantic, Oct. 1999. Disponível em: . Acesso em: 17 jan. 2017. ____ . O gerente eficaz. Rio de Janeiro: Zahar, 1972.

ELEUTÉRIO, M. A. M. Sistemas de informações gerenciais na atualidade Curitiba: InterSaberes, 2016. FIGUEIREDO, I. L. Tipos de sistemas de informação na empresa 7 fev. 2008. Disponível em: . Acesso em: 17 out. 2016.

FRICKÉ, M. The Knowledge Pyramid: a Critique of the DIKW Hierarchy. Journal of Information Science. United Kingdon, v. 35, n. 2, p. 1-12, Nov. 2008. Disponível em: . Acesso em: 21 ago. 2016. GATES, B. A estrada do futuro. São Paulo: Companhia das Letras, 1995.

GONTIJO, A. C.; MAIA, C. S. C. Tomada de decisão, do modelo racional ao comportamental: uma síntese teórica. Caderno de Pesquisas em Administração, São Paulo, v. 11, n. 4, p. 13-30, out./dez. 2004. GOULART, J. Teletrabalho: a alternativa de trabalho flexível. Sào Paulo: Ed. Senac, 2009. HAMANN, R. Do bit ao Yottabyte conheça os tamanhos dos arquivos digitais [infográfico]. 19 maio 2011. Disponível em: . Acesso em: 24 out. 2016. HARRIS, R Introduction to Decision Making July 1998. Disponível em: . Acesso em: 17 out. 2016. IBM. System/360 Announcement. Disponível em: . Acesso em: 24 out. 2016.

IEEE - Institute of Electrical and Electronics Engineers. Disponível em: . Acesso em: 24 out. 2016. INMON, W. H. et al. Data warehousing: como transformar informações em oportunidades de negócios. Sào Paulo: Berkeley, 2001.

JAIRO, S. et al. Valorização do capital humano como fator de retenção de talentos. Negócios em Projeção, v. 2, n. 1, p. 27-41, abr. 2011. Disponível em: . Acesso em: 17 out. 2016.

199

LAUDON, K.; LAUDON, J. Sistemas de informação gerenciais. 11. ed. São Paulo: Pearson Prentice Hall, 2014. LESCA, H.; ALMEIDA, F.C. Administração estratégica da informação. Revista de Administração. São Paulo, v. 29, n. 3, p. 66-75, jul./set. 1994.

UNS, N.; AMORIM, J. Guia prático de como gerar negócios através das mídias sociais. São Paulo: Ebook Kindle, 2015.

LOENERT, M. A.; XAVIER, L. P O comércio eletrônico: uma análise dos sites de compras coletivas e a relação de consumo. 12jul. 2016. Disponível em: . Acesso em: 14 mar. 2017. MARKETING & MEDIA. O que é um Business Plan? Disponível em: . Acesso em: 24 out. 2016. MEDEIROS, L. F. Banco de dados princípios e prática. Curitiba: Ibpex, 2007.

MORESI, E. A. D. Delineando o valor do sistema de informação de uma organização. Ciência da Informação. Brasília, v. 29, n. 1, p. 14-24. jan./ abr. 2000. NEGROPONTE, N. A vida digital São Paulo: Companhia das Letras, 1995. O’BRIEN, J. A. Sistemas de informação e as decisões gerenciais na era da internet 2. ed. São Paulo: Saraiva, 2004.

OLHAR DIGITAL. CEO, CFO, CIO: afinal, o que estas siglas signifi­ cam? 17 out. 2012. Disponível em: . Acesso em: 24 out. 2016.

OLIVEIRA, D. de P. R. de. Sistemas, organizações e métodos: uma abordagem gerencial. 13. ed. São Paulo: Atlas, 2002. OLIVEIRA, J. P. O que é hardware, software e peopleware 20 dez. 2012. Disponível em: . Acesso em: 24 out. 2016.

OSBORNE, D.; GAEBLER, T. Reinventing government: how the entrepreneurial spirit is transforming the public sector. New York: Addison-Wesley, 1992. PMI - Project Management Institute. O que é o PMI? Disponível em: . Acesso em: 24 out. 2016.

200

PRESSMAN, R. S. Engenharia de software. Sào Paulo: Makron Books, 1995.

QUANTO vale um petabyte? Superinteressante. 31 out. 2016. Disponível em: . Acesso em: 18 jan. 2017. RADACK, S. Protecting Information Systems with Firewalls: Revised Guidelines on Firewall Technologies and Policies. Disponível em: . Acesso em: 24 out. 2016.

REZENDE, D. A. Engenharia de software e sistemas de informação. Rio de Janeiro: Brasport. 1999. ___ Planejamento de sistemas de informação e informática: guia prá­ tico para planejar a tecnologia da informação integrada ao planejamento estratégico das organizações. Sào Paulo: Atlas, 2003.

RITTO, A. Organizações caórdicas: modelagem de organizações inova­ doras. Rio de Janeiro: Ciência Moderna, 2005.

ROCHA, R Des mis tificando o ROI na comunicação. 19 abr. 2013. Disponível em: . Acesso em: 24 out. 2016. RODRIGUES, M. V. C Ações para a qualidade GEIQ, gestào integrada para a qualidade: padrão seis sigma - classe mundial. Rio de Janeiro: Qualitymark, 2004. ROI - O que é e como calcular o retorno sobre investimento. 23 abr. 2014. Disponível em: . Acesso em: 24 out. 2016.

SANTOS, D. L. R.; SILVA, R. M. S. Segurança da informação a Norma ISO/IEC 27000 e ISO/IEC 27001. 25 fls. Monografia (Mestrado em Segurança de Informação) - Faculdade de Engenharia, Universidade do Porto, Porto, 2012. Disponível em: . Acesso em: 17 out. 2016.

SARAVIA, E. J. Administração pública e administração de empresas: quem inspira a quem? ADM.MADE, ano 10, v.14, n. 3, p.1-8, out./dez., 2010. SAUER, F Estudo de caso. Niterói, |s.d.]. 7 fls. Estudo de Caso (Disciplina de Gestão da Segurança da Informação) - MBAem Gestão Empresarial, Universidade Federal Fluminense. Disponível em: . Acesso em 15 nov. 2016.

SEARS, A.; JACKO, J. A. Human-Computer Interaction Fundamentals. New York: CRC Press, 2007.

201

SÊMOLA, M. Gestão da segurança da informação: uma visão executiva. 2. ed. Rio de Janeiro: Elsevier, 2014. SENGE, P. M. et al. A quinta disciplina: caderno de campo - estra­ tégias para construir uma organização que aprende. Rio de Janeiro: Qualitymark, 1994. SIMON, H. Comportamento administrativo: estudo dos processosdecisóríos nas organizações administrativas. Rio de Janeiro. Ed. da FGV, 1979.

SIMON, H. A. Why public administration? Journal of Public Administration Research and Theory, Oxford, v. 8, n. 1, p. 1-11, 1998. STAIR, M. R. Princípios de sistemas de informação uma abordagem gerencial. Rio de Janeiro: LTC, 2004. STEWART, J.; RANSON, S. Management in the public domain Public Money and Management, London, v. 8, n. 1-2, p. 13-19, Spring/ Summer, 1988.

TAURION, C Big data. Rio de Janeiro: Brasport, 2013.

____ . Cloud Computing: computação em nuvem - transformando o mundo da tecnologia da informação. Rio de Janeiro: Brasport, 2009.

TERRA, J. C. C. Gestão do Conhecimento: o grande desafio empresarial. 3. ed. São Paulo: Negócio, 2001. TOFFLER, A. A terceira onda Rio de Janeiro: Record, 1980.

TORRES, G Redes de computadores. Rio de Janeiro: Nova Terra, 2014. TURBAN. E.; RAINER JUNIOR, R. K.; POTTER, R. E. Administração de tecnologia da informação: teoria e prática. Rio de Janeiro: Campus, 2005.

VALENTIM, M. L. P. Gestão documental em ambientes empresariais. In:____ . (Org.). Estudos avançados em arquivologia. Marilia: Oficina Universitária; Sào Paulo: Cultura Acadêmica, 2012. p. 11 -25.

VILAS, T Segurança da Informação 10 dicas de boas práticas para manter seus dados seguros. 10 maio 2012. Disponível em: . Acesso em: 24 out. 2016.

202

respostas

Capítulo 1

Questões para revisão

1. d

2. Obsolescência

Os equipamentos, mesmo os

programada

novos, já saem de fábrica com

um prazo de término já definido. Gerenciar os impactos que a

obsolescência programada pro­

voca é um grande desafio.

Atualização

A atualização dos softwares,

permanente

tanto para a adequação de

equipamentos como por ques­ tões de segurança, torna neces­

sária a criação de uma agenda de atualização. 3. a 4. d

5. No nível operacional, as informações utilizadas em situações do dia

a dia sào previsíveis e de efeito imediato. Trata-se, por exemplo, de situações em que um gerente de produção necessita substituir um

equipamento que apresenta muitas falhas. No nível tático, as infor­

mações exigem um tratamento mais detalhado, de forma analítica. Elas sào provenientes de diversas fontes e seus efeitos sào mais amplos.

Um exemplo é o lançamento de uma campanha de marketing de deter­ minado produto ou serviço. Há situações mais complexas, de difí­

cil solução, e que ocorrem principalmente em nível estratégico, pois dependem de decisões que envolvem incerteza, como a inserção da empresa em um novo mercado. Questões para reflexão

1. Sugestão: Sem comunicação, o problema se estenderá aos telefones,

que ficarão mudos. Como comunicar-se com seus clientes e fornece­

dores quando a internet e os telefones não estão funcionando seria a grande questão a ser resolvida. Poderiam ser utilizados rádios para

comunicação ou até mesmo correspondência via Correios. Um plano de contingência importante seria também manter relatórios impres­

sos à disposição e formulários para preenchimento de dados, até o problema ser resolvido.

2. O planejamento é essencial, pois fará com que se encontre o melhor caminho nas duas situações, poupando-se recursos. Para analisar o

grau de confiança de uma informação, deve-se, primeiramente, avaliar

sua fonte e, na sequência, compará-la com as informações existentes ou com pesquisas em outras fontes, além de adotar outras ações. Para conscientizar os colaboradores, o primeiro passo é capacitá-los para

que entendam a importância da segurança da informação. Quanto mais colaboradores estiverem conscientes desse papel, mais atentos

a ataques eles ficarão. Como consequência, estarão mais dispostos a participar das capacitações, buscando novos conhecimentos por conta própria e até propondo novas medidas de segurança.

Capítulo 2

Questões para revisão

1. c

2. b 3. Em geral, firewall é um conjunto de dispositivos ou programas que aju­

dam as organizações a proteger suas redes e Sls, além de permitirem que usuários protejam seus computadores de ataques hostis, tenta­

tivas de invasão e softwares maliciosos. O termo significa “parede de

fogo”, em uma alusão ao que esse tipo de providência para a segu­ rança faz para proteger as informações da empresa. 4. b 5. Contextualizaçào: identificar para que esses dados serão utilizados,

isto é, qual é sua finalidade. Por exemplo: contextualizar dados con­ tidos em uma planilha para atender às necessidades de uma área ou setor específico. Categorização: classificar os dados essenciais. Por exemplo: categorizar os pedidos realizados em determinadas

regiões. Cálculo: interpretar os dados de forma matemática ou uti­ lizando a estatística. Por exemplo: calcular possíveis diferenças de

vendas realizadas em determinado exercício. Correção: tornar os dados mais confiáveis, sem erros. Por exemplo: verificar se ocorre­

ram erros nos lançamentos dos dados e providenciar a respectiva correção. Condensação: resumir os dados para uma visão mais ampla da informação. Por exemplo: condensar os dados dos dias

em meses ou dos meses em anos. Questões para reflexão

1. É muito difícil afirmar isso, mas algumas técnicas e ferramentas de

segurança da informação são fundamentadas na ciência da compu­ tação, permitindo que as informações circulem até seus destinos sem

perder suas características originais de autenticidade, integridade e 205

confiabilidade. Os mecanismos de proteção asseguram às informa­

ções confidencialidade e disponibilidade, para que possam ser aces­ sadas pelas pessoas certas na hora certa.

2. Não é possível saber de onde a ameaça pode vir. O plano de contin­

gência, também conhecido como plano de recuperação de desastre, deve descrever as medidas a serem tomadas pelo administrador ou por toda

a organização, no intuito de proporcionar o restabelecimento dos pro­

cessos afetados por algum tipo de desastre. Deve ser um documento escrito de forma simples, especialmente desenvolvido com a finali­

dade de treinar, organizar, orientar, facilitar e agilizar esse plano. Deve padronizar as respectivas ações para obter respostas de controle e

combate às ocorrências anormais prontamente. O documento deve contemplar os possíveis riscos, os pontos críticos, o tempo de dura­

ção, os custos dessas falhas, a probabilidade dessas ocorrências e as atitudes que deverão ser tomadas nessas situações. A execução do plano deve ser feita de forma rápida, por isso deve conter as defini­

ções de quem desenvolverá as ações e de como e quando cada ação deverá ser efetuada, bem como deve contemplar uma estimativa de

quanto tempo cada falha pode persistir. Capítulo 3

Questões para revisão

1. e

2. DWs sào um conjunto de dados granulares integrados, que armazenam e gerenciam os dados em certo período e que podem ser resumidos ou agregados para a criação de novas formas de dados. 3. O Security Office é um departamento que atua como um eixo central,

com a função de coordenar a logística de SI. E desse departamento a responsabilidade de obter sucesso com o modelo escolhido, ou seja,

ele arca com toda a pressão sobre resultados e cumpre a exigência de 206

adequar os níveis de controle e de segurança para atender às deman­ das de segurança e privacidade dos dados.

4. d 5. d Questões para reflexão

1. Uma proposta seria a criação de um BD que contemplasse o cadastro

das diversas características encontradas para posterior comparação desses dados e sua futura classificação.

2. De acordo com o conteúdo abordado, hoje em dia, as organizações podem compartilhar os dados com suas filiais e seus parceiros a par­

tir de um único local físico, por meio de seus servidores. Logicamente,

com a disponibilidade desses dados, faz-se necessário que os SGDBs sejam cada vez mais seguros e confiáveis, pois as páginas na web que disponibilizam os dados, podem ser acessadas por qualquer pessoa.

Após a criação do DOS e o estabelecimento da função de CSO, é importante analisar questões relacionadas com organização e méto­ dos (O&M) exigidos pela função. Dessa forma, são iniciados os pro­

cedimentos para implantação do setor, que exige alguns documentos: _

formulário para mapeamento de vulnerabilidades;

_

formulário para mapeamento de processos de negócios críticos;

_

formulário para orientação na condução de entrevistas de nego­ ciação de autorizações para usuários;

_

planilha para identificação de ativos físicos, tecnológicos e huma­

nos que serão envolvidos com a segurança da informação;

_

planilha para estudo de sensibilidades à quebra de segurança;

_

instrumento para mapeamento topológico da rede com assinala-

mento dos pontos concentradores, no caso da existência de equi­ pamentos para proteção em vez de proteção individual por software;

_

matriz de criticidade para priorização das ações;

_

matriz de tolerância à paralisação.

207

Esses documentos integram um PMI (Project Management Institute), que já deve estar desenvolvido com a exigência dessa documentação

complementar. Capítulo 4

Questões para revisão

1.

b

2. A arquitetura cliente-servidor prevê a composição de um software em três camadas: apresentação (parte do sistema em interação com o

usuário), aplicação (contém os processos e procedimentos de fun­ cionamento e as regras de negócio) e a base de dados (mais interna

e responsável pelo gerenciamento dos dados). 3. d

4. B2C (comércio eletrônico empresa-consumidor): envolve a venda de produtos e serviços no varejo; B2B (comércio eletrônico

empresa-empresa): envolve a venda de bens e serviços entre organi­ zações; C2C (comércio eletrônico consumidor-consumidor): envolve

a venda de bens e serviços diretamente entre consumidores. 5. c Questões para reflexão

1. (a) Criar sinergia entre os cenários atual e desejado, além da sintonia

de expectativas entre os executivos, a fim de ganhar comprometimento e apoio explícito às medidas previstas no plano de ação; (b) organi­

zar os Comitês Interdepartamentais; (c) especificar responsabilida­

des, posicionamento e escopo de atuação; (d) oficializar seu papel diante de ações locais em sintonia com ações globais coordenadas

pelo Comitê Corporativo de Segurança da Informação; (e) iniciar ações preliminares de capacitação dos executivos e técnicos, a fim

208

de melhor norteá-los quanto aos desafios; (f) envolver os responsá­ veis nos resultados e compartilhar com eles a responsabilidade pelo

sucesso do modelo de gestão; (g) elaborar uma Política de Segurança da Informação sólida; (h) considerar com extrema particularização e

detalhamento, as características de cada processo de negócio, períme­

tro e infraestrutura; (i) materializara proposta por meio de Diretrizes,

Normas, Procedimentos e Instruções que irão oficializar o posiciona­ mento da empresa ao redor do tema e, ainda, apontar as melhores práticas para o manuseio, armazenamento, transporte e descarte de

informações na faixa de risco apontada como ideal; (j) realizar ações

corretivas emergenciais em função do risco iminente percebido nas etapas de mapeamento e, atualmente, na elaboração dos critérios definidos na Política de Segurança.

2. Uma proposta para a utilização da mineração de dados, nesse caso, seria a de utilizar o banco de dados da organização em busca de clien­

tes que utilizam créditos, procurando descobrir quais são os valores utilizados e qual é a correspondência desses valores com a quantidade

de clientes relacionados. Os resultados podem auxiliar a organização a abrir novas linhas de crédito e também a atrair novos clientes, uti­

lizando-se de estratégias agressivas de marketing. Capítulo 5

Questões para revisão

1. e

2. d 3. Naturais: têm a natureza como fator determinante. Por exemplo: ter­

remotos, enchentes, aquecimento, poluição etc.; involuntárias: cau­

sadas frequentemente por falta de conhecimento, ocorrem de forma inconsciente e imprevisível. Por exemplo: acidentes, falta de energia,

209

greves; voluntárias: são causadas proposicalmente, por agentes huma­

nos. Por exemplo: funcionários insatisfeitos, hackers, incendiários. 4. Os data marts são subconjuntos de um DW nos quais existe uma por­ ção resumida ou bem focalizada dos dados da empresa, em um banco

de dados separado. Normalmente, são destinados a um grupo especí­

fico de pessoas nas organizações. Por exemplo, data marts específicos

para a área de vendas e marketing podem ser gerados para análise de informações sobre compras dos clientes. 5. a Questões para reflexão

1. Para iniciar, devem ocorrer mudanças gerenciais, que impliquem o abandono da postura de espera por benefícios. Não se pode ficar

esperando os possíveis ganhos que o projeto tenha a trazer. Costuma haver uma opinião natural de que tudo está de acordo e que basta aceitar o projeto e separar profissionais para trabalhar nele de forma

dedicada. Para melhores resultados, porém, os gestores precisam assu­

mir a responsabilidade, desenvolvendo, modelando e, posteriormente, implementando processos mais eficientes com o auxílio do BI, pois o

sucesso será das organizações que proporcionarem oportunidades na

carreira. Pesquisas mostram que as empresas que são mais propensas a motivar são mais produtivas, perdem menos talentos. Os colabo­ radores necessitam estar engajados, sentindo que de alguma forma contribuem para o sucesso da organização.

2. Uma campanha de conscientização sobre segurança da informação

deve contar com o envolvimento de todos os departamentos organi­

zacionais, e a auditoria interna deve participar de processos de moni­

toração que possam identificar os possíveis desvios na política e nas

210

normas de segurança da informação, fornecendo informações para que haja um processo de melhoria contínua. Capítulo 6

Questões para revisão

1.

É nesses ativos que a proteção da informação deverá ser baseada, em razão do valor que eles têm para o negócio da empresa e do fato de que

eles são os detentores de toda a informação presente na organização. 2. Criptografia: é definida como o ato de tornar ilegíveis as mensagens para terceiros. Nada mais é do que codificar mensagens, tornando-as incompreensíveis para alguns, porém de modo que o destinatário con­ siga decifrá-los. Isso tudo é feito por meio de técnicas tradicionais de

dissimulação. Assinatura digital: assegura as mesmas características

de segurança que aquela tomada quando assinamos um documento de papel com caneta. É uma forma de ter garantias de que, em meio virtual, a autoria da assinatura é realmente autêntica. Isso pode ser

feito por meio de operações criptografadas, aplicadas a determina­

dos arquivos virtuais. É claro que são impostas algumas exigências,

tais como credenciamentos e certificações. 3. b 4. c 5. e Questões para reflexão

1. Não se pode ter o controle sobre as ameaças que se originam de

agentes internos e externos; portanto, é essencial a redução das vul­

nerabilidades existentes para minimizar os riscos. Há diversas medi­

das de segurança que podem vir a ser adotadas pelas organizações no intuito de proteger suas informações. As políticas de segurança da

informação nortearão os colaboradores sobre como agir com base

em procedimentos preestabelecidos. 211

2. O relatório deve contemplar a gestão dos riscos, que é um dos aspectos-chave da norma IEC/ISO 27001 e uma de suas exigências.

Como resultado da avaliação de riscos, deve ser feita uma lista dos possíveis riscos identificados, classificando-os em ordem de gravi­ dade para que, posteriormente, sejam tomadas as referidas medidas.

212

sobre_o_autor

Armando Kolbe Júnior é mestre em Tecnologias

pelo Programa de Pós-graduaçào em Tecnologia e

sociedade da Universidade Tecnológica Federal do Paraná - UTFPR(2016), especialista em Formação de Docentes e Orientadores Acadêmicos em Educação a Distância pelo Centro Universitário Internacional

Uninter (2012), graduado em Administração de Empresas com Habilitação em Análise de Sistemas

pela Faculdade Internacional de Curitiba (2010). Atualmente, é professor do ensino superior e de

pós-graduação do Uninter, nas disciplinas de

Sistemas de Informação Gerencial, Inteligência

Artificial e Designer Instrucional, atuando nos mode­ los presencial e a distância. No período de 2005

a 2015, trabalhou como supervisor de design Gráfico no Uninter, onde implantou, em conjunto com

suas equipes de trabalho, o Learning Management

System (LMS) da instituição, o Uninter-Claroline.

Também nesse período, implementou equipes de design, desenvolvimento e transmissão de vídeos,

que culminaram nos setores que hoje compõem o

Centro de Criação e Desenvolvimento Dialógico e

Transmissão do Uninter. Além disso, desenvolveu o

Ambiente Colaborativo, muito utilizado para defe­ sas de monografias a distância da instituição, e tam­ bém implementou o Hyper-i-Book, livro digital inte­

rativo, composto de textos e diversas mídias. Tem experiência nas áreas de sistemas e segurança da

informação, programação, design gráfico e geren­

ciamento de equipes, atuando, principalmente, nos seguintes temas: tecnologia da informação, tecnolo­

gia educacional, sistemas tutorials inteligentes, sis­

temas e segurança da informação gerencial, bancos de dados, análise de sistemas, processamento de

imagens e computação gráfica.

214

*h89DSfxl00q24uvb5#cxzQnkGdsarOuyrHg54110cX$23ckçkSsa8FkLpyS%sg Tha4mj3Habk93vd%gK$v31 1100010110100100100101011000111001011010000101010110001001001000100100010 1011000010101000100010011101001010001110101010010010001110100100100100010 0015$32KhhklDC%ghJ78GnDc000gWqloi&b fK6Hde%FK93111 BhddkGnxy 177100 gf * 0014nkdn&5998vknS mHFxaREOi 0 0bf343vk7n 000 zwPIny%32876aF4v#anlDjcf4xz3 0 1 íffd j7 jsçk jGdlnl86ns64110 110 X z S YN L 1 f 9 64H DX3 i i a px h d4 11 0a q 24ny%3 >78j7KAm8d$010 101 ksbh&f slfo8h$23 59BgjN094$i 1 igczl32a2L )9Fdbcvdxzm2011 110 ksh&5vs j8nf LHkPPMBC4Xzgpp9h 0 1 0 h f 3 DwP bc )*NGDF5GhlGH3 111 intersaberes 110ywbcdyibacdg0dbhga5448dbJx0 0 i4v#njc0t8 i4yYjq8pla! b101 010 3 nTd 5 V j nd 783b Fkf d%34h 7hd 0 11 L3f g5Sddr >bkfgGZDF3dd111 gs#vlh3gjkFaBqHjl3bsWblHi * 110h 01jg%f3djk * *h89DSfx í$v31 100 >010101000100010001110010010100011101010100100100011101001001001000101010] 11101001001001010100000111001011010000010101000000100100100010010001010101 >0101010001000100111001001010001110100101001001000111010010010010001010101 >1101001001001010100000111001011010000010101000000100100100010010001010101 >0101010001000100111001001010001110101001001001000111010010010010001010101

$

Nas últimas décadas, a intensificação da adesão à internet fez com que as atividades e as relações humanas fossem profundamente transformadas, especialmente no mundo dos

negócios - o que resultou no surgimento de novas formas

de comércio e novos modelos de mercado. Com isso, as organizações precisaram adotar processos capazes de garantir a segurança e a privacidade das informações com as quais trabalham, reduzindo assim o

risco de que estas sejam extraviadas ou roubadas.

Veja aqui como você pode contribuir para que a Segurança da Informação da empresa em que trabalha seja usada de

forma estratégica e eficiente.

>0101010001000100011100100101000111010101001001000111010010010010001010101 11101001001001010100000111001011010000010101000000100100100010010001010101 >010101000100010011100100101000111010010100100100011101001001001000101010] >1101001001001010100000111001011010000010101000000100100100010010001010101 >010101000100010011100100101000111010100100100100011101001001001000101010] 9hhf 5 MvWzaafmHFxaRE * 01119 nm zH 5 b j G%gh 3 7 8G nDd i h69n0 0 0gWqlo&bk5#a$ ji378Gnih6n4 # V j 7 a a s D B d M0 D * a F 4 v # a n 1100k 3 7bn$3B98 vknS gf * mHFxaRE01 0 0cxz7b jd7n$31Ssf oS8Rh$B9F f4xz30 1 198HG4ckçkSsa8FkLpA gf * mSH 3 2 87 61 j cX$2 3yS FSS a4 v#n 1 j 110zwPIn; ISBN 978-85-5972-503-8 HdswTl 1 0 Fxaq24ny%328761jFSa4v#nlj gCZ0132y%328761aW2S8zL3fg010bv#$2 jklswl 1 lgcz0132a2S8zL3fg5SX$glxja gfmSH0011nVcx * ckçkSsa38nak8FkLpA hDxzA0 10hf3DwPbcX$2 3yS%sg3 2A87C aF4v#anlDjcf4xz * Fxaq24nD 31019865$ iklgcpl 1 i4v#nljc0t8bnFSewalapjSHgc> bv#$238bf4fjklsjY544v#nlj0016kH8B jf * gj 0 1 0PL@F3bW2o7YYB5gjNOjsjA99< 2S8zL3fK9hhf5* Mg5SX$glx ja010kGB86 h f 3D wP b%s gy % 32 87 6 1 j 3S% sgl00q24uvb5#cxzQnkGdsarOuyrHg5411 0c X$ 23 c k ç kS s a 8 F k L py S%sj 110001011010010010010101100011100101101000010101011000100100100010010001E 10110000101010001000100111010010100011101010100100100011101001001001000ie /K6Hde%FK9 3111 BnV9 9Fd bc vb jG%gh 3 78GnDd 001qHGR3KB *LG64VB4VK6Hde%FK93000gWqloi&t BhddkGnxy!77 100 32986gbn$3B98vknS *gf mHFxhdhd 001 F@3HMV%BFKF65 *Bj33hddkGnxy !77 1 0 0 bf 343vk7r jGdlnl86ns64110 js jsg *bsn36KA8Hbs j@jobfd%3f o 000nk8 jv4d44d#mGkGDjGdlnl86ns64 011ffdj7jsçF £78 j 7KAm8d$010 bv#$238bf xX42 ! DDbnf 3Kp0HdswT 110m8kd7n$31Sdks3zm6$78 j7KAm8d$ 11 0 a q 24ny )9 Fdbc vdxzm2 0111 jnd j&bdm34slDCAde@jobf ghDdd 10 lMb45vj%bkGKmiBnV99Fdbcvdxzm2 lllgczl32a2L )*NGDF5GhlGH3111kdj89bs%gk&5DahOC8b&cgj&gjss5 1105B436#Vj7aasDBd0D *NGDF5GhlGH3 0 10 hf 3DwPbc )4yYjq8pla ! bl01q24uvb5#cxz j s9S55kd9&sFF4 110CZbE7g4BK75nGo32dh4yYjq8pla! b© 0 1 4v#njc0tí Jbkf gGZDF3dd 111 nshd67VAG *6G8NkBsg7B856j * jgd 0108bf $gj j6gk7gjkDg%3bkfgGZDF3dd 0 11 L3fg5Sddr CÉv31 *h89DSf x 100 i s 1 s87BvtHD9KALSC0YU00634X 110hha4mi3Habk93vd%2Ív31 *h89DSf x1 01