Global ETD Search

351	Gestão de segurança da informação : implementação da Norma BS7799-2:2002 em uma instituição financeira Lessa, Guilherme Gonçalves January 2006 (has links) Na sociedade contemporânea, não há dúvidas sobre a importância, a relevância e o poder que a informação possui. Nas organizações, também são crescentes a sua importância estratégica e os riscos que lhe são associados, bem como a necessidade de uma boa Gestão da Informação. Certos eventos de maiores conseqüências, tais como os ocorridos em 11 de setembro de 2001, nos Estados Unidos da América, apresentaram uma nova realidade relacionada às necessidades de um sistema para a preservação adequada de informações e aos impactos da integridade destas informações sobre a continuidade dos negócios. A partir de preocupações relacionadas a este tema, foram estabelecidos os fundamentos da Segurança da Informação. A presente pesquisa identifica quais as melhores práticas atualmente existentes para uma gestão adequada da Segurança da Informação nas organizações, a partir de um estudo de caso sobre o processo de implementação de um Sistema de Gestão de Segurança de Informação em uma Instituição Financeira de pequeno porte, baseado na norma BS7799-2:2002. Ao final do presente trabalho, será apresentado o modelo genérico resultante desta pesquisa, contendo as etapas e as atividades necessárias para a implementação de um Sistema de Gestão de Segurança de Informação, os principais componentes a serem implementados e alguns dos principais fatores críticos de sucesso desta implementação. / In modern society, there is no doubt upon the importance, the relevance or the power that information possesses. Within organizations, its strategic importance and its associated risks are also growing, as well as the needs for a good Information Managing. Certain events with more significant consequences, such as the ones occurred in September 11, 2001, in the United States of America, have presented a new reality related to the necessity of an adequate system to preserve information, as well as related to this integrity impacts on business continuity. From questions concerning this subject, were established the main points of Information Security. The present research identifies the best current existing practices for an adequate Information Security Management in organizations, from a case study performed on the implementation process of a System of Information Security Management in a small size Financial Institution, based on the norm BS7799-2:2002. At the end of the present work, it will be presented the generic model that resulted from this research, containing the different steps and activities which are necessary for implementing of a System of Information Security Management, and the main components to be implemented, and some of the most critical success factors on this implementation. Gestão da informação Informação : Segurança Tecnologia da informação Estudo de caso Information security BS7799 Risk management Information technology
352	Metodologia para detecção de incoerências entre regras em filtros de pacotes / Methodology for incoherencies identification among packet filters rules Favero, Andre Luis January 2007 (has links) Embora firewall seja um assunto bastante discutido na área de segurança da informação, existem lacunas em termos de verificação de firewalls. Verificações de firewalls têm o intuito de garantir a correta implementação dos mecanismos de filtragem e podem ser realizadas em diferentes níveis: sintaxe das regras; conformidade com a política; e relacionamento entre as regras. Os aspectos referentes a erros de sintaxe das regras são geralmente tratados pela ferramenta de filtragem em uso. O segundo nível, no entanto, depende da existência de uma política formal e documentada, algo não encontrado na maioria das organizações, e de uma metodologia eficaz que, através da entrada da política de segurança e do conjunto de regras de firewall implementado, possa comparálas e apontar as discrepâncias lógicas entre a especificação (política) e a implementação (regras). O último, verificação dos relacionamentos entre regras, não requer qualquer documentação, uma vez que somente o conjunto de regras do firewall é necessário para a identificação de incoerências entre elas.Baseado nessas considerações, este trabalho objetivou o estudo e a definição de uma metodologia para a análise de relacionamentos entre regras, apontando erros e possíveis falhas de configuração. Três metodologias já existentes foram estudadas, analisadas e utilizadas como base inicial para uma nova metodologia que atingisse os requisitos descritos neste trabalho. Para garantir a efetividade da nova metodologia, uma ferramenta protótipo foi implementada e aplicada a três estudos de caso. / Although firewalls are a well discussed issue in the information security field, there are gaps in terms of firewall verification. Firewall verification is aimed at enforce the correct filtering mecanisms implementation and can be executed in three distinct levels: rules syntax, policy compliance and rules relationship. The aspects related to rule syntax errors are usually addressed by the filtering tool in use. However, the second level depends on the existance of a formalized and documented policy, something not usual in most organizations, and on an efficient metodology that, receiving the security policy and the firewall rules set as inputs, could compare them and point logical discrepancies between the specification (policy) and the implementation (rules set). The last level, rules relationship verification, doesn't require any previous documentation, indeed only the firewall rule set is required to conduct a process of rules incoherencies identification. Based on those considerations, this work aimed at studying and defining a methodology for analysis of rules relationships, pointing errors and possible misconfigurations. Three already existent methodologies were studied, analyzed and used as a initial foundation to a new methodology that achieve the requirements described in this work. To assure the effectivity of the new methodology, a prototype tool were implemented and applied to three case studies. Redes : Comunicacao : Dados Seguranca : Redes : Computadores Filtros : Pacotes Firewall Packet filters Incoherence in rules Information security
353	Satisfação do usuário com as práticas de segurança da informação Montesdioca, Gustavo Percio Zimmermann January 2013 (has links) A segurança da informação é uma das grandes preocupações dos gestores corporativos nessas últimas décadas e responsável por grandes prejuízos as organizações. A prevenção desses problemas pode ser alcançada através da educação e da conscientização do usuário no uso da tecnologia de maneira segura, utilizando práticas que estejam de acordo com as políticas de segurança da informação das empresas. Gestores tem dificuldade de entender e decidir que tipo de ação deve ser realizada para proteger informações. A falta de conhecimento, métricas e dados sobre o assunto são os principais problemas relatados pelos gestores para tomada de decisão sobre investimentos. Diversos estudos indicam que o uso de práticas de segurança por usuários e investimentos em treinamento e conscientização são a maneira mais eficaz de evitar problemas relacionados à segurança da informação. A satisfação do usuário é uma das formas comprovadas na literatura de SI de medir a qualidade do investimento em SI e a intenção de uso do SI pelo usuário. O objetivo da pesquisa é desenvolver um instrumento para medir a satisfação do usuário com as práticas de segurança da informação. Para atingir esse objetivo, fatores sobre a satisfação do usuário com SI foram identificados na literatura. Esses fatores foram combinados para elaboração de um instrumento de pesquisa sobre satisfação do usuário com as práticas de segurança da informação. Um modelo conceitual foi elaborado e validado através de uma survey realizada com usuários de computador que utilizam sistemas de informação corporativo. Obteve-se um total de 229 respostas, com 173 questionários válidos. A análise de dados utilizou modelagem de equações estruturais baseado em covariância para avaliação do modelo conceitual e das hipóteses de pesquisa. O resultado indica satisfação com os benefícios percebidos com a segurança frente ao esforço para alcança-los, mas insatisfação do usuário com o uso do sistemas de informação com as práticas de segurança. / Information security is a major concern for management in recent decades and responsible for major losses in organizations. The prevention of these problems can be achieved through user education and awareness on using technology safely, using practices that are consistent with the information security policies on firm. Managers face difficulties to understand and decide what action should be taken to protect information systems. Lack of knowledge and metrics on the information security are the main problems reported by managers for decision on information security investments. Several studies indicate that user involvement and investment in training and awareness are the most effective way to avoid problems related to information security. User satisfaction is one of the proven ways to measure the quality of investment and use intention of information systems. The objective of this research is to develop an instrument to measure user satisfaction with information security practices. To achieve this goal, factors to measure IS user satisfaction were identified on literature. A research instrument was developed based on these factors to measure user satisfaction with information security practices. A conceptual model was developed and a survey was conducted with enterprise information systems users. There was obtained a total of 173 usable questionnaires. Structural equation modeling covariance-based was used to evaluate model and research hypotheses. The result indicates satisfaction with percept benefits from information security compared with efforts to achieve them, but user dissatisfaction over the information systems use with security practices. Segurança da informação Satisfação do usuário Sistema de informação User satisfaction Information security practice
354	Metodologia para detecção de incoerências entre regras em filtros de pacotes / Methodology for incoherencies identification among packet filters rules Favero, Andre Luis January 2007 (has links) Embora firewall seja um assunto bastante discutido na área de segurança da informação, existem lacunas em termos de verificação de firewalls. Verificações de firewalls têm o intuito de garantir a correta implementação dos mecanismos de filtragem e podem ser realizadas em diferentes níveis: sintaxe das regras; conformidade com a política; e relacionamento entre as regras. Os aspectos referentes a erros de sintaxe das regras são geralmente tratados pela ferramenta de filtragem em uso. O segundo nível, no entanto, depende da existência de uma política formal e documentada, algo não encontrado na maioria das organizações, e de uma metodologia eficaz que, através da entrada da política de segurança e do conjunto de regras de firewall implementado, possa comparálas e apontar as discrepâncias lógicas entre a especificação (política) e a implementação (regras). O último, verificação dos relacionamentos entre regras, não requer qualquer documentação, uma vez que somente o conjunto de regras do firewall é necessário para a identificação de incoerências entre elas.Baseado nessas considerações, este trabalho objetivou o estudo e a definição de uma metodologia para a análise de relacionamentos entre regras, apontando erros e possíveis falhas de configuração. Três metodologias já existentes foram estudadas, analisadas e utilizadas como base inicial para uma nova metodologia que atingisse os requisitos descritos neste trabalho. Para garantir a efetividade da nova metodologia, uma ferramenta protótipo foi implementada e aplicada a três estudos de caso. / Although firewalls are a well discussed issue in the information security field, there are gaps in terms of firewall verification. Firewall verification is aimed at enforce the correct filtering mecanisms implementation and can be executed in three distinct levels: rules syntax, policy compliance and rules relationship. The aspects related to rule syntax errors are usually addressed by the filtering tool in use. However, the second level depends on the existance of a formalized and documented policy, something not usual in most organizations, and on an efficient metodology that, receiving the security policy and the firewall rules set as inputs, could compare them and point logical discrepancies between the specification (policy) and the implementation (rules set). The last level, rules relationship verification, doesn't require any previous documentation, indeed only the firewall rule set is required to conduct a process of rules incoherencies identification. Based on those considerations, this work aimed at studying and defining a methodology for analysis of rules relationships, pointing errors and possible misconfigurations. Three already existent methodologies were studied, analyzed and used as a initial foundation to a new methodology that achieve the requirements described in this work. To assure the effectivity of the new methodology, a prototype tool were implemented and applied to three case studies. Redes : Comunicacao : Dados Seguranca : Redes : Computadores Filtros : Pacotes Firewall Packet filters Incoherence in rules Information security
355	Penetration testing for the inexperienced ethical hacker : A baseline methodology for detecting and mitigating web application vulnerabilities / Penetrationstestning för den oerfarne etiska hackaren : En gedigen grundmetodologi för detektering och mitigering av sårbarheter i webbapplikationer Ottosson, Henrik, Lindquist, Per January 2018 (has links) Having a proper method of defense against attacks is crucial for web applications to ensure the safety of both the application itself and its users. Penetration testing (or ethical hacking) has long been one of the primary methods to detect vulnerabilities against such attacks, but is costly and requires considerable ability and knowledge. As this expertise remains largely individual and undocumented, the industry remains based on expertise. A lack of comprehensive methodologies at levels that are accessible to inexperienced ethical hackers is clearly observable. While attempts at automating the process have yielded some results, automated tools are often specific to certain types of flaws, and lack contextual flexibility. A clear, simple and comprehensive methodology using automatic vulnerability scanners complemented by manual methods is therefore necessary to get a basic level of security across the entirety of a web application. This master's thesis describes the construction of such a methodology. In order to define the requirements of the methodology, a literature study was performed to identify the types of vulnerabilities most critical to web applications, and the applicability of automated tools for each of them. These tools were tested against various existing applications, both intentionally vulnerable ones, and ones that were intended to be secure. The methodology was constructed as a four-step process: Manual Review, Testing, Risk Analysis, and Reporting. Further, the testing step was defined as an iterative process in three parts: Tool/Method Selection, Vulnerability Testing, and Verification. In order to verify the sufficiency of the methodology, it was subject to Peer-review and Field experiments. / Att ha en gedigen metodologi för att försvara mot attacker är avgörande för att upprätthålla säkerheten i webbapplikationer, både vad gäller applikationen själv och dess användare. Penetrationstestning (eller etisk hacking) har länge varit en av de främsta metoderna för att upptäcka sårbarheter mot sådana attacker, men det är kostsamt och kräver stor personlig förmåga och kunskap. Eftersom denna expertis förblir i stor utsträckning individuell och odokumenterad, fortsätter industrin vara baserad på expertis. En brist på omfattande metodiker på nivåer som är tillgängliga för oerfarna etiska hackare är tydligt observerbar. Även om försök att automatisera processen har givit visst resultat är automatiserade verktyg ofta specifika för vissa typer av sårbarheter och lider av bristande flexibilitet. En tydlig, enkel och övergripande metodik som använder sig av automatiska sårbarhetsverktyg och kompletterande manuella metoder är därför nödvändig för att få till en grundläggande och heltäckande säkerhetsnivå. Denna masteruppsats beskriver konstruktionen av en sådan metodik. För att definiera metodologin genomfördes en litteraturstudie för att identifiera de typer av sårbarheter som är mest kritiska för webbapplikationer, samt tillämpligheten av automatiserade verktyg för var och en av dessa sårbarhetstyper. Verktygen i fråga testades mot olika befintliga applikationer, både mot avsiktligt sårbara, och sådana som var utvecklade med syfte att vara säkra. Metodiken konstruerades som en fyrstegsprocess: manuell granskning, sårbarhetstestning, riskanalys och rapportering. Vidare definierades sårbarhetstestningen som en iterativ process i tre delar: val av verkyg och metoder, sårbarhetsprovning och sårbarhetsverifiering. För att verifiera metodens tillräcklighet användes metoder såsom peer-review och fältexperiment. Web Applications Vulnerabilitiy Scanning Automation Ethical Hacking Penetration Testing Information Security Computer Sciences Datavetenskap (datalogi)
356	Gestão da segurança da informação em bibliotecas: elementos para elaboração de uma política de segurança da informação na Biblioteca Central da Universidade Federal da Paraíba Souza, Fernando Antonio Ferreira de 02 August 2017 (has links) Submitted by Fernando Souza (fernando@biblioteca.ufpb.br) on 2017-10-03T16:52:37Z No. of bitstreams: 1 arquivototal.pdf: 2097465 bytes, checksum: d3bdb832ed8d7ca2faa35f212ab6ca2b (MD5) / Made available in DSpace on 2017-10-03T16:52:37Z (GMT). No. of bitstreams: 1 arquivototal.pdf: 2097465 bytes, checksum: d3bdb832ed8d7ca2faa35f212ab6ca2b (MD5) Previous issue date: 2017-08-02 / The information protection has become an extremely critical factor for organizations and Government entities. This involves not only the conventional environment, but also the technological and informational networking infrastructure. This study set out to address the information security as part of a University Library context. Even though a familiar environment with the information management processes, the libraries come suffering with problems related to lack of information on security management. For this purpose, this research studies the elements of information security management that allow the elaboration of a minute of information security policy for the Central Library of the Federal University of Paraíba. As the methodological aspects, is characterized as qualitative, descriptive type. As instrument methodology of data collection, tabulation and analysis, uses the Facilitated Process of risk analysis and assessment (FRAAP), which was supplemented with quiz and analysis of content according to Bardin. The results indicat a group of fifteen threats, among which detected nine physical threats, two logical threats and four threats related to processes. Finally, it was found that the Central Library of UFPB needs to reflect on an action plan directed to information security, to guarantee the confidentiality, integrity and safeguard of the organization's critical management information. With the results, it is expected to contribute with information security in the context of the Central Library of UFPB with the proposed minute information security policy, enabling new contributions to the development of the processes of management of the University Library. / A proteção da informação tornou-se fator de extrema criticidade para as organizações e entidades de governo. Esta envolve não somente o ambiente convencional, mas a infraestrutura tecnológica e de redes informacionais. Este estudo se propôs abordar a Segurança da Informação no âmbito de uma biblioteca universitária. Mesmo sendo um ambiente familiarizado com os processos de gestão da informação, as bibliotecas vêm sofrendo com os problemas relacionados à falta de gestão da segurança da informação. Para tanto, esta pesquisa estuda os elementos de Gestão da Segurança da Informação que permitam a elaboração de uma minuta de Política de Segurança da Informação para a Biblioteca Central da Universidade Federal da Paraíba. Quanto os aspectos metodológicos, se caracteriza como qualitativa, do tipo descritiva. Como instrumento metodológico de coleta de dados, tabulação e análise, utiliza o Processo Facilitado de Análise e Avaliação de Risco (FRAAP), que foi complementado com questionário e a análise de conteúdo conforme Bardin. Os resultados apresentados indicam um grupo de quinze ameaças, dentre as quais se detectou nove ameaças físicas, duas ameaças lógicas e quatro ameaças relacionadas aos processos gerenciais. Por fim, verifica-se que a Biblioteca Central da UFPB necessita refletir sobre um plano de ação direcionado à segurança da informação, para a garantia de confidencialidade, integridade e salvaguarda das informações gerenciais críticas da organização. Com os resultados, espera-se contribuir com a Segurança da Informação no âmbito da Biblioteca Central da UFPB com uma proposta de minuta para Política de Segurança da Informação, permitindo novas contribuições para o desenvolvimento dos processos de gestão da Biblioteca Universitária. Gestão da Segurança da Informação Biblioteca Universitária Política de Segurança da Informação Information Security Management University Library CIENCIAS HUMANAS::EDUCACAO
357	Benchmarking Public and Private Blockchains and Understanding the Development of Private Blockchain Networks Tilton, Peter 01 January 2018 (has links) This thesis paper explores the developing technology blockchain by trying to understand the technology from a technical performance standpoint and also understanding the development process of blockchain networks and applications. The first half of this paper analyzes two research papers, "Bitcoing-NG: A Scalable Blockchain Protocol" and "Untangling Blockchain: A Data Processing View of Blockchain Systems," to understand and explain some of the technical differences and shortcomings of blockchain technologies. The second half of this paper then proceeds to develop a private blockchain network on the Ethereum network and deploy a smart contract on that private blockchain network. This process gives insight into the development of blockchain applications and identifies the struggles blockchain developers face. Blockchain Ethereum Smart Contract Databases and Information Systems Information Security Other Computer Sciences Systems Architecture
358	Satisfação do usuário com as práticas de segurança da informação Montesdioca, Gustavo Percio Zimmermann January 2013 (has links) A segurança da informação é uma das grandes preocupações dos gestores corporativos nessas últimas décadas e responsável por grandes prejuízos as organizações. A prevenção desses problemas pode ser alcançada através da educação e da conscientização do usuário no uso da tecnologia de maneira segura, utilizando práticas que estejam de acordo com as políticas de segurança da informação das empresas. Gestores tem dificuldade de entender e decidir que tipo de ação deve ser realizada para proteger informações. A falta de conhecimento, métricas e dados sobre o assunto são os principais problemas relatados pelos gestores para tomada de decisão sobre investimentos. Diversos estudos indicam que o uso de práticas de segurança por usuários e investimentos em treinamento e conscientização são a maneira mais eficaz de evitar problemas relacionados à segurança da informação. A satisfação do usuário é uma das formas comprovadas na literatura de SI de medir a qualidade do investimento em SI e a intenção de uso do SI pelo usuário. O objetivo da pesquisa é desenvolver um instrumento para medir a satisfação do usuário com as práticas de segurança da informação. Para atingir esse objetivo, fatores sobre a satisfação do usuário com SI foram identificados na literatura. Esses fatores foram combinados para elaboração de um instrumento de pesquisa sobre satisfação do usuário com as práticas de segurança da informação. Um modelo conceitual foi elaborado e validado através de uma survey realizada com usuários de computador que utilizam sistemas de informação corporativo. Obteve-se um total de 229 respostas, com 173 questionários válidos. A análise de dados utilizou modelagem de equações estruturais baseado em covariância para avaliação do modelo conceitual e das hipóteses de pesquisa. O resultado indica satisfação com os benefícios percebidos com a segurança frente ao esforço para alcança-los, mas insatisfação do usuário com o uso do sistemas de informação com as práticas de segurança. / Information security is a major concern for management in recent decades and responsible for major losses in organizations. The prevention of these problems can be achieved through user education and awareness on using technology safely, using practices that are consistent with the information security policies on firm. Managers face difficulties to understand and decide what action should be taken to protect information systems. Lack of knowledge and metrics on the information security are the main problems reported by managers for decision on information security investments. Several studies indicate that user involvement and investment in training and awareness are the most effective way to avoid problems related to information security. User satisfaction is one of the proven ways to measure the quality of investment and use intention of information systems. The objective of this research is to develop an instrument to measure user satisfaction with information security practices. To achieve this goal, factors to measure IS user satisfaction were identified on literature. A research instrument was developed based on these factors to measure user satisfaction with information security practices. A conceptual model was developed and a survey was conducted with enterprise information systems users. There was obtained a total of 173 usable questionnaires. Structural equation modeling covariance-based was used to evaluate model and research hypotheses. The result indicates satisfaction with percept benefits from information security compared with efforts to achieve them, but user dissatisfaction over the information systems use with security practices. Segurança da informação Satisfação do usuário Sistema de informação User satisfaction Information security practice
359	The impact of organizational culture on information security during development and management of IT systems : A comparative study between Japanese and Swedish banking industry Johansson, Elin, Elvin, Gabriella January 2017 (has links) The objective of this study is to investigate how banks are working with information security by performing a comparative study between banks in Japan and Sweden. Special focus is given to the impact of organizational culture when developing IT-systems. The material analyzed is collected through semi-structured interviews with banks in Japan and Sweden, and additional interviews with professionals within the field of information security. The findings show that banks in both Japan and Sweden take information security seriously, both from a technical and an organizational culture point of view. They have implemented technological countermeasures and try to impose a safety culture by educating their employees. Organizational culture aspects are demonstrated to have a great impact on the development of IT systems from an information security perspective. The development process of IT systems are different between the countries, the Swedish banks have started to use the agile development method, while the Japanese banks still use the more traditional waterfall method. The result also implies that in Sweden there is an open climate and a greater trust between the banks which have lead to collaboration between the major banks and the development of innovative products. In Japan it is more difficult for the banks to create trustworthy relationships and share their information security knowledge to the same extent. The findings strengthen the notion in related research that cultural aspects have influence on how information security is managed. Information security organizational culture banking Sweden Japan compliance software development cooperation Computer and Information Sciences Data- och informationsvetenskap
360	Intrusion Management Olsson, Fredrik January 2006 (has links) Information security is tasked with protecting the confidentiality, integrity, and availability of an organizations information resource. A key aspect in protecting these resources is developing an understanding of the threats, vulnerabilities, and exposures that they face by using Risk Management. The objective of Risk Management is to identify, quantify and manage information security risks to achieve organizations objectives through a number of tasks utilizing key Risk Management techniques. Risk Management is a process that ensures that the impact of threats exploiting vulnerabilities is within acceptable limits and at an acceptable cost. With the increased complexity of modern dynamic networks, traditional defence mechanisms are failing and as a result cyber crime is on the rise [FBI03]. This puts organizations and corporations at risk as the defences are ill-fitted and weak [KBM04]. No information system can be absolutely secure, especially large and complex systems. Embedded security works for isolated, dedicated systems with few users but does not offer cost effective security, and even worse does not always handle security based on a real threat (this is manly due to it inherent inflexibility). A military strategy within the field of information operations suggests a method of information superiority bases on the OODA-loop. This theses propose a method of information security protection based on a combination of risk management techniques and information operation (foremost the OODA-loop). This is in order to ensure a cost effective and a viable future for information security in large and complex systems, where the war at least at present time is lost to the “black hats”, a term often used to describe a menaced hacker. Information Security IT-Security Military strategy IDS Risk Management OODA-loop Computer Sciences Datavetenskap (datalogi)

Search results