Uma abordagem centrada no usuário para compartilhamento e gerenciamento de dados entre aplicações web. / A user-centric approach to data management and sharing between Web applications.

Cristina Klippel Dominicini

01 August 2012

Nos últimos anos, tornou-se muito mais fácil para os usuários criarem e disseminarem seus dados na Web. Neste contexto, uma grande quantidade de dados dos usuários é criada e utilizada de forma distribuída entre várias aplicações web. Essa distribuição de dados criou novas necessidades para o usuário, que agora precisa gerenciar dados que estão hospedados em diferentes sites e compartilhar dados entre sites de forma protegida. Entretanto, os mecanismos existentes na Web hoje não conseguem atender a essas necessidades e o usuário se vê obrigado a utilizar mecanismos que consomem muito tempo, causam replicação de dados, não são suficientemente seguros ou fornecem apenas um controle limitado sobre os seus dados. Assim, o objetivo deste trabalho é propor uma arquitetura centrada no usuário para gerenciamento de dados na Web e compartilhamento desses dados com aplicações web. A proposta dessa arquitetura é baseada em uma especificação detalhada dos requisitos do sistema usando um método específico para o ambiente Web. Para assegurar que o sistema proposto é seguro, é realizada uma análise para identificação das vulnerabilidades e das ameaças do sistema e geração um plano de mitigação. A viabilidade técnica de implementação da arquitetura proposta é mostrada por meio da implementação de um protótipo como prova de conceito. Ao final, mostra-se por meio desse protótipo que o sistema cumpre os objetivos e requisitos propostos. / In recent years, it became much easier for users to create and disseminate their data on the Web. In this context, a large amount of user data is created and used in a distributed way across multiple web applications. This data distribution has created new needs for the user, who now needs to manage data that is hosted on different sites and to securely share data between sites. However, existing mechanisms on the Web cannot meet these needs and the user is forced to use mechanisms that are time consuming, cause data replication, are not sufficiently secure or provide limited control over their data. The objective of this thesis is to propose a user-centric architecture for data management in the Web and data sharing across web applications. The proposed architecture is based on a detailed system requirements specification, which uses an appropriate method for the Web environment. To ensure system security, a threat and vulnerability analysis is performed and a mitigation plan is generated. The technical feasibility of implementing the proposed architecture is shown through the implementation of a proof of concept prototype. Finally, this prototype helps to show that the system meets the proposed objectives and requirements.

Internet

Protocolos para Web

Web

Data management and sharing

Information security

Internet

Web

Web protocols

Arquitetura de aplicativos móveis com fluxo seguro de informação. / Architecture of mobile applications with information flow control.

Oscar Zibordi de Paiva

17 May 2016

A adoção de lojas de aplicativos e Open APIs por um número crescente de empresas, muitas nem mesmo atuantes no ramo de tecnologia, revela o interesse das mesmas em exteriorizar a concepção e desenvolvimento de software corporativo. Com isso, as empresas almejam multiplicar as funcionalidades disponíveis a seus clientes, utilizando uma fração do custo e do tempo que seriam tradicionalmente gastos para fazê-lo. Ao mesmo tempo, o acesso a dados e sistemas corporativos por softwares de desenvolvedores potencialmente desconhecidos suscita preocupações de segurança, tornando-se imperativo garantir a adequação desses softwares às políticas de segurança institucionais. Entretanto, carece-se de meios automáticos capazes de garantir a mencionada adequação nas plataformas móveis, seja nos seus ambientes de execução ou em seus kits de desenvolvimento de software. Este trabalho, utilizando de ideias recentes da área de Controle de Fluxo de Informação, propõe a arquitetura de um ambiente de execução para aplicativos móveis que garante por construção a adequação dos mesmos a determinadas políticas de confidencialidade e integridade de dados, mesmo na presença de código malicioso. A praticidade de tal arquitetura é validada através da implementação de um aplicativo exemplo. Tal implementação ilustra o funcionamento dos mecanismos de segurança propostos e a compatibilidade dos mesmos a um conjunto de funcionalidades adequado ao cenário de manipulação de dados corporativos. / The adoption of application stores and Open APIs by a growing number of companies, many of them not even related to the technology business, reveals their interest in externalizing the conception and development of corporate software. By doing so, these companies expect to multiply the number of functionalities available to their customers, spending a fraction of the traditionally required time and cost. On the other hand, access to corporate data and services by software developed by potentially unknown parties raises security concerns, making it imperative to ensure the adequacy of the mentioned software to the institutional security policies. Nevertheless, there is a lack of automatic tools capable of guaranteeing the mentioned adequacy in mobile platforms, either in their runtime environments or in their software development kits. This work, using recent ideas from the Information Flow Control area, proposes the architecture of a run-time environment for mobile applications that guarantees by construction their adequacy to some confidentiality and integrity policies, even in the presence of malicious code. The practicality of this architecture is validated by the implementation of an example application. This implementation illustrates the working of the proposed security mechanisms and their compatibility to a set of functionalities relevant to the scenario of corporate data manipulation.

Aplicativos móveis

Arquitetura de informação (Segurança)

Arquitetura de software (Segurança)

Controle de fluxo de informação

Segurança da informação

Information flow control

Information security

Mobile applications

Gestão de segurança da informação - uma proposta para potencializar a efetividade da segurança da informação em ambiente de pesquisa científica / Information security management a proposal to improve the effectiveness of information security in the scientific research environment

João Carlos Soares de Alexandria

30 November 2009

O aumento crescente da interconectividade no ambiente de negócio, aliado à dependência cada vez maior dos sistemas de informação nas organizações, faz da gestão da segurança da informação uma importante ferramenta de governança corporativa. A segurança da informação tem o objetivo de salvaguardar a efetividade das transações e, por conseguinte, a própria continuidade do negócio. As ameaças à informação vão desde ataques hackers, fraudes eletrônicas, espionagem e vandalismo; a incêndio, interrupção de energia elétrica e falhas humanas. Segurança da informação é obtida a partir da implementação de um conjunto de controles, incluindo-se dentre outros, políticas, processos, procedimentos, estruturas organizacionais, software e hardware, o que exige uma gestão contínua e uma estrutura administrativa bem estabelecida para fazer frente aos seus desafios. O presente trabalho procurou investigar as razões relacionadas às dificuldades que muitas organizações enfrentam para a estruturação da segurança da informação. Muitas delas se limitam a adotarem medidas pontuais e inconsistentes com a realidade em que vivem. O mercado conta com um arcabouço legal e normativo para a implementação da segurança da informação NBR ISO/IEC 27002, Lei Americana Sarbanes-Oxley, acordo de capital da Basiléia, regulamentações das agências regulatórias (ANATEL, ANVISA e CVM). As pesquisas de mercado mostram que a implementação da segurança da informação está concentrada em instituições de grande porte e de segmentos específicos da economia como, por exemplo, bancário-financeiro e telecomunicação. Entretanto, a segurança da informação faz-se necessária em qualquer organização que utilize sistema de informação nos seus processos de trabalho, independentemente do porte ou do setor econômico de atuação. A situação da segurança da informação no setor governamental do Brasil, e dentro deste, nas instituições de pesquisas científicas é considerada preocupante, de acordo com o Tribunal de Contas da União. Este trabalho apresenta um método de diagnóstico e avaliação da segurança da informação, aplicado na forma de levantamento de dados, que tem a intenção de servir de ponto de partida para fomentar uma discussão interna visando à estruturação da segurança da informação na organização. O referido método é destinado em especial àquelas organizações que não se enquadram no perfil das empresas atingidas pelas leis e regulamentos existentes, mas que necessitam igualmente protegerem seus ativos de informação para o bom e fiel cumprimento de seus objetivos e metas de negócio. / The increase of the connectivity in the business environment, combined with the growing dependency of information systems, has become the information security management an important governance tool. Information security has as main goal to protect the business transactions in order to work normally. In this way, It will be safeguarding the business continuity. The threats of information come from hackers attacks, electronic frauds and spying, as well as fire, electrical energy interruption and humans fault. Information security is made by implementation of a set of controls, including of the others politics, processes, procedures, organizational structures, software and hardware, which require a continuous management and a well established structure to be able to face such challenges. This work tried to search the reasons why the organizations have difficulties to make a practice of information security management. Many of them just limit to adopt points measures, sometimes they are not consistent with their realities. The market counts on enough quantity of standards and regulations related to information security issues, for example, ISO/IEC 27002, American Sarbanes-Oxley act, Basel capital accord, regulations from regulatory agency (such as the Brazilians ones ANATEL, ANVISA and CVM). The market researches have showed that the information security implementation is concentrated on a well-defined group of organization mainly formed by large companies and from specifics sectors of economy, for example, financial and telecommunication. However, information security must be done by all organizations that use information systems to carry out their activities, independently of its size or economic area that it belongs. The situation of information security in the governmental sector of Brazil, and inside its research institutions, is considered worrying by the Brazilian Court of Accounts (TCU). This research work presents an assessment and diagnostic proposal of information security, applied in the form of a data survey, which intend to be a tool that can be used as a starting point to foment debates about information security concerns into organization. This can lead them to a well-structured information security implementation. The referred proposal is specially addressed to those organizations that do not have the profile that put them among those companies which are forced to follow some law or regulation. But in the same way they need to protect their information assets to reach their goals and their business objectives.

ABNT NBR ISO/IEC 27002:2005

fator humano

risco

segurança da informação

ABNT NBR ISO/IEC 27002:2005

information security

UMA ONTOLOGIA DE APLICAÇÃO PARA APOIO À TOMADA DE DECISÕES EM SITUAÇÕES DE AMEAÇA À SEGURANÇA DA INFORMAÇÃO. / AN ONTOLOGY OF INFORMATION FOR DECISION SUPPORT IN SITUATIONS OF THREAT TO INFORMATION SECURITY.

SILVA, Rayane Meneses da

24 June 2015

Submitted by Maria Aparecida (cidazen@gmail.com) on 2017-08-31T14:44:32Z No. of bitstreams: 1 Rayane.pdf: 4026589 bytes, checksum: 7e6066416420555456030ab6db3a1231 (MD5) / Made available in DSpace on 2017-08-31T14:44:32Z (GMT). No. of bitstreams: 1 Rayane.pdf: 4026589 bytes, checksum: 7e6066416420555456030ab6db3a1231 (MD5) Previous issue date: 2015-06-24 / Many security mechanisms, such as Intrusion Detection Systems (IDSs) have been developed to approach the problem of information security attacks but most of them are traditional information systems in which their threats repositories are not represented semantically. Ontologies are knowledge representation structures that enable semantic processing of information and the construction of knowledge-based systems, which provide greater effectiveness compared to traditional systems. This paper proposes an application ontology called “Application Ontology for the Development of Case-based Intrusion Detection Systems” that formally represents the concepts related to information security domain of intrusion detection systems and “Case Based Reasoning”. The “Case Based Reasoning” is an approach for problem solving in which you can reuse the knowledge of past experiences to solve new problems. The evaluation of the ontology was performed by the development of an Intrusion Detection System that can detect attacks on computer networks and recommend solutions to these attacks. The ontology was specified using the “Ontology Web Language” and the Protégé ontology editor and. It was also mapped to a cases base in Prolog using the “Thea” tool. The results have shown that the developed Intrusion Detection System presented a good effectiveness in detecting attacks that the proposed ontology conceptualizes adequately the domain concepts and tasks. / Muitos mecanismos de segurança, como os Sistemas de Detecção de Intrusão têm sido desenvolvidos para abordar o problema de ataques à Segurança da Informação. Porém, a maioria deles são sistemas de informação tradicionais nos quais seus repositórios de ameaças não são representados semanticamente. As ontologias são estruturas de representação do conhecimento que permitem o processamento semântico das informações bem como a construção dos sistemas baseados em conhecimento, os quais fornecem uma maior efetividade em relação aos sistemas tradicionais. Neste trabalho propõe-se uma ontologia de aplicação denominada “Application Ontology for the Development of Case-based Intrusion Detection Systems” que representa formalmente os conceitos relacionados ao domínio de Segurança da Informação, dos sistemas de detecção de intrusão e do “Case-Based Reasoning”. O “Case-Based Reasoning” é uma abordagem para resolução de problemas nos quais é possível reutilizar conhecimentos de experiências passadas para resolver novos problemas. A avaliação da ontologia foi realizada por meio do desenvolvimento de um Sistema de Detecção de Intrusão que permite detectar ataques a redes de computadores e recomendar soluções a esses ataques. A ontologia foi especificada na linguagem “Ontology Web Language” utilizando o editor de ontologias Protegé e, logo após, mapeada a uma base de casos em Prolog utilizando o ferramenta “Thea”. Os resultados mostraram que o Sistema de Detecção de Intrusão desenvolvido apresentou boa efetividade na detecção de ataques e portanto, conclui-se que a ontologia proposta conceitualiza de forma adequada os conceitos de domínio e tarefa abordados.

Sistemas de Informação

Panorama do acesso à informação nos portais web de legislação dos municípios do Rio Grande do Sul

Louzada, Suzanna do Carmo

January 2018

O objetivo da pesquisa é avaliar o acesso à informação legislativa digital dos municípios do estado do Rio Grande do Sul. Em revisão de literatura, aborda a importância da informação legislativa no que concerne ao ordenamento jurídico como um todo, à segurança jurídica, ao acesso à informação e à inflação legislativa. Para realizar a avaliação, estabelece checklist e, posteriormente, aplica o instrumento aos portais de legislação das Câmaras de Vereadores e Prefeituras Municipais dos municípios selecionados por amostragem aleatória simples estratificada e na capital do Estado. O checklist é fundamentado em literatura acerca da avaliação de portais da web e da avaliação de portais de legislação em específico, sendo composto por 26 requisitos básicos desejáveis para os portais de legislação, divididos em 5 parâmetros: Usabilidade, Cobertura, Acessibilidade, Relacionamentos e Ferramentas Ao todo, analisa 62 portais de Prefeituras Municipais e 62 portais de Câmaras de Vereadores. Os resultados demonstram falta de planejamento e de profissionalismo na concepção e manutenção dos portais. Demonstram, ainda, não haver grande preocupação por parte dos gestores dos portais de legislação em garantir a completude do portal, a acessibilidade das normas, disponibilizar o texto atualizado (alterado e consolidado), facilitar o acesso à informação concernente à normas relacionadas, fonte, projeto de origem e ADIN, prover espaço com conteúdo de ajuda, bem como em gerar confiança a partir da disponibilização de informações sobre a responsabilidade do portal. Conclui que o acesso à informação legislativa dos municípios do Rio Grande do Sul é precário. / This research aims to evaluate the access to digital legislative information in municipalities of Rio Grande do Sul. The literature review explains the importance of legislative information to the legal order as a whole, to the legal certainty, access to information and legislative inflation. To concrete the evaluation, it establishs a checklist and applies the instrument to the Câmara de Vereadores’s and Prefeituras Municipais’s legislation websites selected by simple stratified random sampling and state’s capital. The checklist is based on literature about general websites and legislative websites evaluation, consisting on 26 basic requirements of legislative websites, sectioned in 5 parameters: usability, coverage, accessibility, relationships and features. In total, it analise 62 Prefeituras Municipais’s websites and 62 Câmaras de Vereadores’s websites. The results demonstrate lack of planning and professionalism in the design and maintenance of the websites. They also demonstrate that the site’s managers show no great concern in ensuring the completeness of the website, the accessibility to law, in making available the updated text (modified and consolidated), in facilitating access to related law, source, draft project and ADIN, in providing help content, as well as generating confidence from the availability of information on the responsibility of the website. It concludes that the access to legislative information of the municipalities of Rio Grande do Sul is precarious.

Informação jurídica

Acesso à informação

Portal : Avaliação

Segurança da informação

Legislative information

Legal certainty

Information access

Legislation databases

Legislation websites

Uma arquiteturaparalela baseada na codificação de huffman para otimizaçãode memória em hardware especializado para detecção de intrusão em redes

Freire, Eder Santana

13 March 2014

Submitted by Marcio Filho (marcio.kleber@ufba.br) on 2017-06-02T13:48:59Z No. of bitstreams: 1 Dissertação - Eder Santana Freire - Revisão Final.pdf: 2884218 bytes, checksum: 8fe133e4eb9b646336edaa01f6baba6a (MD5) / Approved for entry into archive by Vanessa Reis (vanessa.jamile@ufba.br) on 2017-06-08T11:16:24Z (GMT) No. of bitstreams: 1 Dissertação - Eder Santana Freire - Revisão Final.pdf: 2884218 bytes, checksum: 8fe133e4eb9b646336edaa01f6baba6a (MD5) / Made available in DSpace on 2017-06-08T11:16:24Z (GMT). No. of bitstreams: 1 Dissertação - Eder Santana Freire - Revisão Final.pdf: 2884218 bytes, checksum: 8fe133e4eb9b646336edaa01f6baba6a (MD5) / O projeto de hardware especializado para detecção de intrusão em redes de computadores tem sido objeto de intensa pesquisa ao longo da última década, devido ao seu desempenho consideravelmente maior, comparado às implementações em software. Nesse contexto, um dos fatores limitantes é a quantidade finita de recursos de memória embarcada, em contraste com o crescente número de padrões de ameaças a serem analisados. Este trabalho propõe uma arquitetura baseada no algoritmo de Huffman para codificação, armazenamento e decodificação paralela de tais padrões, a fim de reduzir o consumo de memória embarcada em projetos de hardware destinado à detecção de intrusão em redes. Experimentos foram realizados através de simulação e síntese em FPGA de conjuntos de regras atuais do sistema de detecção de intrusão Snort, e os resultados indicaram uma economia de até 73% dos recursos de memória embarcada do chip. Adicionalmente, a utilização de uma estrutura paralelizada apresentou ganhos de desempenho significantes durante o processo de decodificação das regras.

Sistemas Computacionais

Segurança da Informação

Arquitetura paralela

Detecção de intrusão em redes

Field-Programmable Gate Arrays

Otimização de memória

Codificação de Huffman

Panorama do acesso à informação nos portais web de legislação dos municípios do Rio Grande do Sul

Louzada, Suzanna do Carmo

January 2018

O objetivo da pesquisa é avaliar o acesso à informação legislativa digital dos municípios do estado do Rio Grande do Sul. Em revisão de literatura, aborda a importância da informação legislativa no que concerne ao ordenamento jurídico como um todo, à segurança jurídica, ao acesso à informação e à inflação legislativa. Para realizar a avaliação, estabelece checklist e, posteriormente, aplica o instrumento aos portais de legislação das Câmaras de Vereadores e Prefeituras Municipais dos municípios selecionados por amostragem aleatória simples estratificada e na capital do Estado. O checklist é fundamentado em literatura acerca da avaliação de portais da web e da avaliação de portais de legislação em específico, sendo composto por 26 requisitos básicos desejáveis para os portais de legislação, divididos em 5 parâmetros: Usabilidade, Cobertura, Acessibilidade, Relacionamentos e Ferramentas Ao todo, analisa 62 portais de Prefeituras Municipais e 62 portais de Câmaras de Vereadores. Os resultados demonstram falta de planejamento e de profissionalismo na concepção e manutenção dos portais. Demonstram, ainda, não haver grande preocupação por parte dos gestores dos portais de legislação em garantir a completude do portal, a acessibilidade das normas, disponibilizar o texto atualizado (alterado e consolidado), facilitar o acesso à informação concernente à normas relacionadas, fonte, projeto de origem e ADIN, prover espaço com conteúdo de ajuda, bem como em gerar confiança a partir da disponibilização de informações sobre a responsabilidade do portal. Conclui que o acesso à informação legislativa dos municípios do Rio Grande do Sul é precário. / This research aims to evaluate the access to digital legislative information in municipalities of Rio Grande do Sul. The literature review explains the importance of legislative information to the legal order as a whole, to the legal certainty, access to information and legislative inflation. To concrete the evaluation, it establishs a checklist and applies the instrument to the Câmara de Vereadores’s and Prefeituras Municipais’s legislation websites selected by simple stratified random sampling and state’s capital. The checklist is based on literature about general websites and legislative websites evaluation, consisting on 26 basic requirements of legislative websites, sectioned in 5 parameters: usability, coverage, accessibility, relationships and features. In total, it analise 62 Prefeituras Municipais’s websites and 62 Câmaras de Vereadores’s websites. The results demonstrate lack of planning and professionalism in the design and maintenance of the websites. They also demonstrate that the site’s managers show no great concern in ensuring the completeness of the website, the accessibility to law, in making available the updated text (modified and consolidated), in facilitating access to related law, source, draft project and ADIN, in providing help content, as well as generating confidence from the availability of information on the responsibility of the website. It concludes that the access to legislative information of the municipalities of Rio Grande do Sul is precarious.

Informação jurídica

Acesso à informação

Portal : Avaliação

Segurança da informação

Legislative information

Legal certainty

Information access

Legislation databases

Legislation websites

Analysis of the cryptography security and steganography in images sequences / Análise de segurança em criptografia e esteganografia em sequências de imagens

Fábio Borges de Oliveira

14 February 2007

Information security is being considered of great importance to the private and governamental institutions. For this reason, we opted to conduct a study of security in this dissertation. We started with an introduction to the information theory, and then we proposed a new kind of Perfect Secrecy cryptographic and finally made a study of steganography in an image sequence, in which we suggest a more aggressive steganography in coefficients of the discrete cosine transform. / A segurança da informação vem sendo considerada de grande importância para as instituições privadas e governamentais. Por este motivo, optamos em realizar um estudo sobre segurança nesta dissertação. Iniciamos com uma introdução à teoria da informação, partimos para métodos de criptografia onde propomos um novo tipo de Segredo Perfeito e finalmente fazemos um estudo de esteganografia em uma sequência de imagens, onde propomos uma esteganografia mais agressiva nos coeficientes da transformada discreta de cosseno.

COMPUTABILIDADE E MODELOS DE COMPUTACAO

Compressão de dados

Processamento de imagens

Esteganografia

Segurança da Informação

Criptografia

Data Security

Criptography

Steganography

Image processing

COMPUTABILIDADE E MODELOS DE COMPUTACAO

O IMPACTO DA UTILIZAÇÃO DE TÉCNICAS DE ENDOMARKETING NA EFETIVIDADE DAS POLÍTICAS DE SEGURANÇA DA INFORMAÇÃO / THE IMPACT OF THE INTERNAL MARKETING ON INFORMATION SECURITY POLICY EFECTIVENESS

Ellwanger, Cristiane

12 June 2009

Protecting the information resources has been a big challenge to organizations. The constitution of an information security policy PSI can solve part of problems related to security but it can t solve them completely, because of the human resources, present in the internal environment of organizations, they can seriously compromise the effectiveness of an PSI. Since the endomarketing (internal marketing) is an instrument that can contribute to obtain or even to rescue the users commitment with the PSI, this present dissertation shows impact of endomarketing techniques in the policy effectiveness using the experimental research. Performed in the Intensive Cardiology Unit (UCI) and Intensive Care Adult (UTI) at Santa Maria University Hospital (HUSM), the experiment was constituted in an experimentation group (UCI), under the endomarketing directed different techniques and a control group (UTI) which it served as a basis to observation. In order to find the effectiveness of PSI on the referred units it was performed internal audits where the procedures, defined by the PSI were classified under the percentage way following the criteria: Non-Run Procedures (PNEs), Partially Implemented Procedures (PPEs) and Fully Implemented Procedures (PTEs).The experiment results show that both the control group as the experimentation group after the initial application of endomarketing techniques joined to implanted PSI on the respective units. However, after discontinuing the application of these techniques on the control group, it was observed a gradual decrease of percentages of PTEs by the components of this group that it decreased from 14,6% to 4,1% which it shows a decrease of 71,92% in the support to PSI in this group, if considered the PTEs. Already the continuous application of endomarketing techniques in the experimentation group did with that the procedures described in PSI were always presents in the users' mind, what generated a gradual increase in the percentage of PTEs. The percentage increased from 8,3% to 41,7% what reflects an improvement of 402,4% in the support to PSI in this group, if considered to PTEs. If considered the PNEs procedures, the continued application of endomarketing techniques in the experimentation group enabled a decrease of 88% against a increase of 12,6% in the control group and a high concentration of percentages on the partially or totally run procedures that added they reach 93,7% in the final evaluation. It is concluded then that the continuous application of endomarketing techniques improves the PSI effectiveness. / Proteger os recursos de informação tem sido um grande desafio às organizações. O estabelecimento de uma Política de Segurança da Informação (PSI) pode resolver parte dos problemas relacionados à segurança, mas não pode resolvê-los integralmente, pois os recursos humanos, presentes no ambiente interno das organizações, podem comprometer seriamente a efetividade de uma PSI. O endomarketig (marketing interno) é um instrumento que pode contribuir para se obter ou até mesmo resgatar o comprometimento dos usuários para com a PSI. A presente dissertação investiga o impacto da utilização de técnicas de endomarketing na efetividade da PSI, utilizando-se para tanto da pesquisa experimental. Realizado junto às Unidades de Cardiologia Intensiva (UCI) e Terapia Intensiva-Adulto (UTI) do Hospital Universitário de Santa Maria HUSM, o experimento foi constituído de um grupo de experimentação (UCI), sob o qual foram aplicadas diferentes técnicas de endomarketing e um grupo de controle (UTI), o qual recebeu apenas um nivelamento inicial. Para constatar a efetividade da PSI foram realizadas auditorias internas, nas quais os procedimentos definidos na PSI foram testados e classificados como: Procedimentos Não-Executados (PNEs); Procedimentos Parcialmente Executados (PPEs) e Procedimentos Totalmente Executados (PTEs). Os resultados do experimento demonstram que tanto o grupo de controle (UTI) quanto o grupo de experimentação (UCI) aderiram à PSI após a aplicação inicial de técnicas de endomarketing (nivelamento). Entretanto, após descontinuar a aplicação dessas técnicas no grupo de controle, observou-se uma diminuição gradativa dos percentuais de PTE pelos componentes deste grupo, que caiu de 14,6% para 4,1%, o que demonstra uma queda de 71,92% na adesão à PSI neste grupo, se considerado os PTE. Já a aplicação continuada de técnicas de endomarketing no grupo de experimentação fez com que os procedimentos descritos na PSI estivessem sempre presentes na mente dos usuários, o que gerou um aumento gradativo nos percentuais de PTEs. O percentual subiu de 8,3% para 41,7%, o que reflete uma melhora de 402,4% na adesão à PSI neste grupo, se considerado os PTEs. Se considerado os procedimentos PNEs, a aplicação contínuada de técnicas de endomarketing no grupo de experimentação possibilitou uma redução de 88%, contra um aumento de 12,6% no grupo de controle, e uma alta concentração de percentuais nos procedimentos parcialmente ou totalmente executados, que somados chegam a 93,7% na avaliação final. Conclui-se então que a aplicação contínua de técnicas de endomarketing melhora a efetividade da PSI.

Política de segurança da informação

Endomarketing

Recursos humanos

Segurança

Information security policy

Endomarketing

Human resources

Security

Portais de governo eletrônico em Municípios do Estado da Paraíba: análise sob a óptica da segurança da informação

Sena, Alnio Suamy de

02 August 2017

Submitted by Fernando Souza (fernando@biblioteca.ufpb.br) on 2017-10-04T11:56:00Z No. of bitstreams: 1 arquivototal.pdf: 3127385 bytes, checksum: 642b4f5b14587b1f9a6e45fb220f1cec (MD5) / Made available in DSpace on 2017-10-04T11:56:00Z (GMT). No. of bitstreams: 1 arquivototal.pdf: 3127385 bytes, checksum: 642b4f5b14587b1f9a6e45fb220f1cec (MD5) Previous issue date: 2017-08-02 / Electronic government can be characterized as the use of Information and Communication Technologies by public administration as support for internal government processes and the delivery of government products and services to citizens and industry in a fast and efficient way. It is essential that e-government prevents unauthorized access to ensure that Integrity, Availability and Confidentiality, basic principles of information security, are protected from electronic threats on the Internet. These threats place information assets at constant risk by taking advantage of the various vulnerabilities in the virtual environment where e-government is inserted. Thus, this research aimed to analyze the possible vulnerabilities in egovernment portals of the municipalities of Paraíba State. The 50 municipalities that represent the largest share of the Gross Domestic Product (GDP) of the state of Paraíba were considered as the research population. From these, it was possible to analyze the portals of 40. This research was characterized as a descriptive research, with a Quantitative approach. In order to collect data, we used Nestparker software, a vulnerability scanner whose function is to track and identify vulnerabilities in Web applications. As a result, 822 vulnerabilities were found, of which 15% are Critical and 15% High Criticality. In addition, 10% of the vulnerabilities were classified as Medium Criticality, which, in addition to other vulnerabilities with higher impacts, represents a scenario with more than 40% vulnerabilities found in the portals of the municipalities analyzed. Such vulnerabilities have the potential to allow malicious elements to negatively impact the continuity of the service. In addition to identifying the vulnerabilities of electronic security in e-government portals in the State of Paraíba, this research indicated how to correct the identified problems, which allows public managers to take actions that aim to minimize security breaches and the adoption of security strategies as well as the implementation of an information security policy. / O governo eletrônico pode ser caracterizado como a utilização das Tecnologias de Informação e Comunicação, pela administração pública, como apoio aos processos internos do governo e a entrega de produtos e serviços governamentais aos cidadãos e à indústria de forma célere e eficiente. É fundamental que o governo eletrônico se previna de acessos indevidos a fim de garantir que a Integridade, a Disponibilidade e a Confidencialidade, princípios basilares da segurança da informação, sejam protegidas de ameaças eletrônicas presentes na Internet. Essas ameaças colocam os ativos de informação em constante risco ao se aproveitarem das diversas vulnerabilidades existentes no ambiente virtual onde está inserido o governo eletrônico. Dessa forma, essa pesquisa analisa as possíveis vulnerabilidades existentes em portais de governo eletrônico em municípios do Estado da Paraíba. A população da pesquisa foram os 50 municípios que representam maior participação para a composição do Produto Interno Bruto (PIB) do Estado da Paraíba, sendo possível analisar os portais de 40 municípios. Esta pesquisa caracterizou-se como uma pesquisa descritiva, com abordagem quantitativa. Para a coleta dos dados utilizou-se o software Nestparker, um scanner de vulnerabilidades que tem como função rastrear e identificar vulnerabilidades em aplicações Web. Como resultado, foram encontradas 822 vulnerabilidades, das quais 15% são Críticas e 15% de Alta Criticidade. Além disso, 10% das vulnerabilidades foram classificadas como de Média Criticidade, o que, somada às outras vulnerabilidades de maiores impactos, representa um cenário com mais de 40% de vulnerabilidades encontradas nos portais dos municípios analisados. Tais vulnerabilidades tem o potencial de permitir que elementos mal-intencionados causem impactos negativos relevantes à continuidade do serviço. Essa pesquisa indicou, também, como corrigir os problemas identificados, o que pode permitir aos gestores públicos efetuarem ações que visem minimizar falhas de segurança e a adoção de estratégias de segurança, bem como a implantação de uma política de segurança da informação.

Governo Eletrônico

Gestão da segurança da informação

Scanner de vulnerabilidades

Electronic Government

Information security management

Vulnerability scanner

CIENCIAS HUMANAS::EDUCACAO