Arquitetura de controle de acesso: uma solução para aplicações distribuídas que utilizam como meio de transmissão de dados redes de baixa velocidade.

Lúcio Oliveira Corrêa Filho

00 December 2004

Os sistemas distribuídos, devido a sua grande abrangência e ao grande número de usuários que dele podem fazer uso, necessitam de um controle efetivo de acesso, principalmente em situações onde seus usuários necessitam fazer uso remoto das suas funcionalidades. Este trabalho apresenta uma abordagem sobre a autenticação e o controle de usuário em um sistema de informações de arquitetura distribuída. O problema de autenticação discutido enfoca-se em atender aos requisitos de segurança, sem abrir mão do desempenho das aplicações, mesmo utilizando uma rede vulnerável a ataques. Inicialmente, elaborou-se o modelo a partir do estudo bibliográfico dos padrões de arquiteturas existentes. Posteriormente, para verificar a aplicação da arquitetura proposta, considerou-se a aplicação desse modelo num sistema informatizado de comando e controle da Força Aérea Brasileira. Este trabalho foi motivado pela realização da análise de uma arquitetura de software para a autenticação remota de usuários. Ele descreve uma alternativa de solução que atende aos requisitos apresentados para sistemas apoiados na técnica de Objetos Distribuídos, apresentando um novo modelo de construção de sistemas, que possibilita autenticar o usuário no seu servidor de origem, e ainda prevê atribuir um grau de confiabilidade para manter o fluxo das informações do sistema, nas situações em que a comunicação apresente falha. Considerando-se, ainda, a importância de negar o conhecimento de informações sensíveis a intrusos, os temas criptografia e assinatura digital complementam a abordagem do tema de controle de acesso. Após a elaboração, a modelagem e a implementação da proposta, o autor acredita na viabilidade de estender esta solução para qualquer tipo de aplicação distribuída lógica e fisicamente, utilizando, como meio de transmissão, uma rede de baixa velocidade.

Arquitetura (computadores)

Sistemas distribuídos

Controle de acesso

Redes de comunicação

Baixa velocidade

Transmissão de dados

Assinatura digital

Criptografia

Programas de aplicação (computadores)

Comando e controle

Computação

HAMSTER healthy, mobility and security-based data communication architecture for unmanned systems / HAMSTER - arquitetura de comunicação de dados voltada à verificação de saúde, mobilidade e segurança para sistemas não tripulados

Pigatto, Daniel Fernando

21 March 2017

Advances in communicat ions have been unarguably essent ial to enablemodern systems and applicat ions as we know them. Ubiquity has turned into reality, allowing specialised embedded systems to eminent ly grow and spread. That is notably the case of unmanned vehicles which have been creat ively explored on applications that were not as efficient as they currently are, neither as innovative as recent ly accomplished. Therefore, towards the efficient operat ion of either unmanned vehicles and systems they integrate, in addition to communicat ion improvements, it is highly desired that we carefully observe relevant , co-related necessit ies that may lead to the full insert ion of unmanned vehicles to our everyday lives. Moreover, by addressing these demands on integrated solut ions, better resultswill likely be produced. This thesis presentsHAMSTER, theHeAlthy, Mobility and Security based data communication archiTEctuRe for unmanned vehicles, which addresses threemain types of communicat ions: machine-to-machine, machine-to-infrast ructure and internal machine communications. Four addit ional elements on co-related requirements are provided alongside with HAMSTER for more accurate approaches regarding security and safety aspects (SPHERE platform), crit icality analysis (NCI index), energy efficiency (NP plat form) and mobility-oriented ad hoc and infrast ructured communicat ions (NIMBLE platform). Furthermore, three specialised versions are provided: unmanned aerial vehicles (Flying HAMSTER), unmanned ground vehicles (Running HAMSTER) and unmanned surface/ underwater vehicles (Swimming HAMSTER). The architecture validat ion is achieved by case studies on each feature addressed, leading to guidelines on the development of vehicles more likely to meet certificat ion requirements, more efficient and secure communicat ions, assert ive approaches regarding crit icality and green approaches on internal communicat ions. Indeed, results prove the efficiency and effectiveness of HAMSTER architecture and its elements, as well as its flexibility in carrying out different experiments focused on various aspects of communication, which helps researchers and developers to achieve safe and secure communicat ions in unmanned vehicles. / Os avanços na área de comunicações foram indiscutívelmente essenciais para a obtenção de sistemas e aplicações modernos como os o atuais. A computação ubíqua se tornou realidade, permitindo que sistemas embarcados especializados ganhassem espaço e cada vez mais autonomia. Esse é notavelmente o caso de veículos não tripulados que têm sido criativamente explorados em aplicações inovadoras e avançadas. Entretanto, para o funcionamento eficiente desses veículos e sistemas não tripulados, além de melhorias de comunicação, é altamente desejável que as necessidades relevantes co-relacionadas a comunica¸cao sejam cuidadosamente observadas, levando a uma facilitação na inserção de veículos não tripulados em espaços públicos. Além disso, ao abordar essas demandas de modo integrado, as chances de produzir melhores resultados é maior. Esta tese apresenta a HAMSTER, uma arquitetura de comunicação de dados baseada em mobilidade e segurança para veículos não tripulados, que aborda três tipos principais de comunicação: máquina-para- máquina, máquina-para-infraestrutura e comunicações internas. Quatro elementos adicionais co-relacionados são fornecidos juntamente com a arquitetura HAMSTER de modo a prover abordagens mais precisas em relação a aspectos de segurança física e da informação (plataforma SPHERE), análise de criticalidade (índice NCI), eficiência energética (plataforma NP) e comunicações ad hoc e infraestruturadas orientadas a mobilidade (plataforma NIMBLE). Além disso, são fornecidas três versões especializadas: para veículos aéreos não tripulados (Flying HAMSTER), veículos terrestres não tripulados (Running HAMSTER) e veículos submarinos e de superfície não tripulados (Swimming HAMSTER). A validação da arquitetura é obtida por meio de estudos de caso sobre cada recurso abordado, levando a diretrizes sobre o desenvolvimento de veículos mais preparados para atender a requisitos de certificação, comunicação mais eficiente e segura, abordagens assertivas sobre criticidade e abordagens verdes nas comunicações internas. Por fim, os resultados comprovaram a eficiência da arquitetura HAMSTER e os elementos com ela providos, bem como a flexibilidade em realizar experimentos focados em vários aspectos de comunicação, auxiliando na obtenção de comunicações seguras em veículos autônomos.

Arquitetura de comunicação de dados

Arquitetura HAMSTER

Communications

Computer networks

Comunicação

Data communication architecture

Eficiência energética

Índice de criticidade

Redes de computadores

Segurança da informação

Segurança física

Verificação de saúde

Requisitos e testes de segurança para brinquedos inteligentes / Security requirements and tests for smart toys

Luciano Gonçalves de Carvalho

18 December 2017

Os brinquedos são uma parte essencial de nossa cultura e têm evoluído ao longo do tempo. Atualmente, encontramos no mercado brinquedos dotados de circuitos eletrônicos e sensores, capazes de coletar dados do ambiente e informações pessoais dos usuários. Além disso, eles podem se conectar automaticamente a redes de comunicação por meio de protocolos de rede sem fio para acessar serviços móveis com o objetivo de personalizar a experiência de jogo para cada usuário. Conhecidos como brinquedos inteligentes, estes fazem parte de um ambiente denominado de computação para brinquedos, composto pelo brinquedo físico, um dispositivo móvel, que pode ser um tablet ou smartphone, e um aplicativo móvel (app), que pode controlar o brinquedo físico e compartilhar informações com serviços móveis. Esse novo tipo de brinquedo, que pertence a um novo tipo de ambiente e que também carrega características da Internet das Coisas, traz consigo questões relacionadas à segurança da informação que não existiam nos brinquedos convencionais. Essas questões, portanto, devem ser tratadas de forma a evitar prejuízos aos usuários dessa tecnologia. Para isso, o presente trabalho apresenta vinte e dois (22) requisitos de segurança gerais identificados por meio da utilização do processo Security Development Lifecycle (SDL) da Microsoft e da técnica de modelagem de ameaças suportada pelo modelo de ameaça STRIDE (Spoofing identity, Tampering with data, Repudiation, Information disclosure, Denial of service e Elevation of privilege). Os requisitos apresentados endereçam questões de segurança que os brinquedos inteligentes devem atender para evitar as principais ameaças existentes. As questões de segurança consideradas foram extraídas da Childrens Online Privacy Protection Act (COPPA), General Data Protection Regulation (GDPR) e Personal Information Protection and Eletronic Documents Act (PIPEDA). Além dos requisitos de segurança, um conjunto de testes de segurança gerais foram identificados com base no processo SDL para verificar o adequado atendimento a esses requisitos. Uma análise dos brinquedos inteligentes atualmente disponíveis no mercado e suas falhas de segurança relatadas publicamente dão indícios da importância de atender aos requisitos de segurança e executar os testes propostos neste trabalho para evitar problemas de segurança variados / Toys are an essential part of our culture, and they have evolved over time. Currently, we can find in the market toys equipped with electronic circuits and sensors able to collect environmental and personal data from users. They are also able to automatically connect to communication networks through wireless network protocols in order to access mobile services aiming at customizing the gaming experience for each user. Known as smart toys, these are part of a so-called toy computing environment, consisting of a physical toy, a mobile device, which can be a tablet or smartphone, and a mobile app, which can control the physical toy and share information with mobile services. This new type of toy, which belongs to a new type of environment and also present characteristics of the Internet of Things, raises issues regarding information security which did not exist in conventional toys. Such issues, hence, should be treated in a way to avoid losses to the users of this technology. Accordingly, this research project presents twenty two (22) general security requirements identified following the Microsoft Security Development Lifecycle (SDL) and the threat modeling supported by the threat model STRIDE (Spoofing identity, Tampering with data, Repudiation, Information disclosure, Denial of service e Elevation of privilege). These requirements address security issues that smart toys should meet to avoid the main existent threats. All considered issues were extracted from the Childrens Online Privacy Protection Act (COPPA), General Data Protection Regulation (GDPR) and Personal Information Protection and Electronic Documents Act (PIPEDA). Furthermore, we have also identified a general set of security tests based on the SDL process to check whether the identified security requirements have been met. A further analysis of the smart toys currently available in the market and their publicly related security flaws give evidence of the importance of meeting the proposed security requirements and executing the proposed security tests to avoid several security problems

Brinquedo inteligente

Computação para brinquedos

Internet das coisas

Requisitos de segurança

Segurança da informação

Testes de segurança

Information security

Internet of things

Security requirements

Security tests

Smart toy

Toy computing

MOS - Modelo Ontológico de Segurança para negociação de política de controle de acesso em multidomínios. / MOS - Ontological Security Model for access control policy negotiation in multi-domains.

Yeda Regina Venturini

07 July 2006

A evolução nas tecnologias de redes e o crescente número de dispositivos fixos e portáteis pertencentes a um usuário, os quais compartilham recursos entre si, introduziram novos conceitos e desafios na área de redes e segurança da informação. Esta nova realidade estimulou o desenvolvimento de um projeto para viabilizar a formação de domínios de segurança pessoais e permitir a associação segura entre estes domínios, formando um multidomínio. A formação de multidomínios introduziu novos desafios quanto à definição da política de segurança para o controle de acesso, pois é composto por ambientes administrativos distintos que precisam compartilhar seus recursos para a realização de trabalho colaborativo. Este trabalho apresenta os principais conceitos envolvidos na formação de domínio de segurança pessoal e multidomínios, e propõe um modelo de segurança para viabilizar a negociação e composição dinâmica da política de segurança para o controle de acesso nestes ambientes. O modelo proposto é chamado de Modelo Ontológico de Segurança (MOS). O MOS é um modelo de controle de acesso baseado em papéis, cujos elementos são definidos por ontologia. A ontologia define uma linguagem semântica comum e padronizada, viabilizando a interpretação da política pelos diferentes domínios. A negociação da política ocorre através da definição da política de importação e exportação de cada domínio. Estas políticas refletem as contribuições parciais de cada domínio para a formação da política do multidomínio. O uso de ontologia permite a composição dinâmica da política do multidomínio, assim como a verificação e resolução de conflitos de interesses, que refletem incompatibilidades entre as políticas de importação e exportação. O MOS foi validado através da análise de sua viabilidade de aplicação em multidomínios pessoais. A análise foi feita pela definição de um modelo concreto e pela simulação da negociação e composição da política de controle de acesso. Para simulação foi definido um multidomínio para projetos de pesquisa. Os resultados mostraram que o MOS permite a definição de um procedimento automatizável para criação da política de controle de acesso em multidomínios. / The evolution in the network technology and the growing number of portable and fixed devices belonging to a user, which shares resources, introduces new concepts and challenges in the network and information security area. This new reality has motivated the development of a project for personal security domain formation and security association between them, creating a multi-domain. The multi-domain formation introduces new challenges concerning the access control security policy, since multi-domains are composed by independent administrative domains that share resources for collaborative work. This work presents the main concept concerning the personal security domains and multi-domains, and proposes a security model to allow the dynamic security policy negotiation and composition for access control in multi-domain. The proposed model is called MOS, which is an ontological security model. The MOS is a role-based access control model, which elements are defined by an ontology. The ontology defines a semantic language, common and standardized, allowing the policy interpretation by different domains. The policy negotiation is made possible by the definition of the policy importation and exportation in each domain. These policies mean the partial contributions of each domain for the multi-domain policy formation. The use of ontology allows the dynamic multi-domain policy composition, as well as the verification and resolution of interest conflicts. These conflicts mean incompatibilities between the importation and exportation policy. The MOS was validated through the viability analysis for personal multi-domain application. The analysis was made through the definition of a factual model and the simulation of access control policy negotiation and composition. The simulation was taken place through the definition of a collaborative research projects multi-domain. The results demonstrate the MOS is feasible for implementation in automatic procedures for multi-domain access control policy creation.

Ontologia

Política de segurança

Redes de computadores ad hoc

Segurança da informação

Sistemas distribuídos

Access control

Ad hoc computer network

Distributed system

Information security

Ontology

Security policy

Identificação das teclas digitadas a partir da vibração mecânica. / Identification of pressed keys from mechanical vibrations.

Gerson de Souza Faria

28 November 2012

Este trabalho descreve um ataque que detecta as teclas pressionadas em teclados mecânicos pela análise das vibrações geradas quando as mesmas são pressionadas. Dois equipamentos foram experimentados no ataque: um teclado genérico de automação comercial e um terminal de ponto de venda (POS / PIN-pad). Acelerômetros são utilizados como sensores de vibração. Propositalmente, o equipamento necessário para a execução do ataque é de baixíssimo custo, de modo a ressaltar o risco das vulnerabilidades encontradas. Obtivemos taxas de sucesso médio de 69% no reconhecimento das teclas pressionadas para o terminal PIN-pad em repouso e 75% para o mesmo sendo segurado na mão. No caso de teclado de automação comercial, as taxas médias de acerto ficaram em torno de 99%. / This work describes an attack that identifies the sequence of keystrokes analyzing mechanical vibrations generated by the act of pressing keys. We use accelerometers as vibration sensors. The apparatus necessary for this attack is inexpensive and can be unobtrusively embedded within the target equipment. We tested the proposed attack on an ATM keypad and a PIN-pad. We achieved the key recognition rates of 99% in ATM keypad, 69% in PIN-pad resting on a hard surface and 75% in PIN-pad hold in hand.

Acelerômetros

Arduino

Ataque a canais secundários

ATM

PIN-pad

Processamento de sinais

Segurança da informação

Teclados

Tempest

Accelerometers

Arduino

ATM

Information security

Keyboards

PIN-pad

Side channel attack

Signal processing

Tempest

ABIDS-WSN: UM FRAMEWORK DE DETECÇÃO DE INTRUSÃO EM REDES DE SENSORES SEM FIO ORIENTADO POR AGENTES INTELIGENTES. / ABIDS-WSN: A Framework of Intrusion Detection in Wireless Sensor Networks Driven by Intelligent Agents.

PIRES, Higo Fellipe Silva

26 January 2017

Submitted by Maria Aparecida (cidazen@gmail.com) on 2017-08-01T14:53:33Z No. of bitstreams: 1 Higo Felipe.pdf: 3289455 bytes, checksum: 294f49f96fd41d35ca0024df16006292 (MD5) / Made available in DSpace on 2017-08-01T14:53:33Z (GMT). No. of bitstreams: 1 Higo Felipe.pdf: 3289455 bytes, checksum: 294f49f96fd41d35ca0024df16006292 (MD5) Previous issue date: 2017-01-26 / CAPES / Lately, there has been a significant advance in several technologies directly or indirectly related to Ubiquitous Computing. Among them, the technology of Wireless Sensor Networks (WSNs) can be mentioned. Having its space in the current scenario, the use of wireless sensors extends into various branches of human activity: industrial monitoring, smart houses, medical and military applications. However, several shortcomings and limitations in wireless sensors can be noted: limited hardware, energy and computational capacity are points that are always treated by those who work with such devices. As for these devices, there is, besides the factors already mentioned, an important concern regarding their safety. As with other devices, for these threats to be at least mitigated, it is necessary to create layers of security. One of these layers may be formed by Intrusion Detection Systems (IDS). However, due to the aforementioned hardware restriction of the sensors, the development of IDSs - as well as any other application - for such devices should assume such characteristics. As for IDSs, there are some aspects that need to be taken into account, especially flexibility, efficiency and adaptability to new situations. A paradigm that facilitates the implementation of such capabilities is the Intelligent Agents. Therefore, this paper describes the proposition of a framework for intrusion detection in WSNs based on intelligent agents. / Ultimamente, houve um avanço significativo em várias tecnologias direta ou indiretamente correlatas à Computação Ubíqua. Entre elas, pode-se citar a tecnologia das Redes de Sensores sem Fio (WSN s). Tendo já o seu espaço no atual cenário, o uso dos sensores sem fio se estende em vários ramos da atividade humana: monitoramento industrial, smart houses, aplicações médicas e militares. Entretanto, várias deficiências e limitações em sensores sem fio podem ser notadas: recursos limitados de hardware, energia e capacidade computacional são pontos a sempre serem tratados por quem trabalha com tais dispositivos. Quanto a esses dispositivos há, além dos fatores já citados, uma preocupação importante referente á sua segurança. Assim como em outros dispositivos, para que essas ameaças sejam, ao menos, mitigadas é necessário criar camadas de segurança. Uma dessas camadas pode ser formada pelos Sistemas de Detecção de Intrusão (IDS). No entanto, devido à já mencionada restrição de hardware dos sensores, o desenvolvimento de IDSs bem como qualquer outra aplicação para esses dispositivos deve supor tais características. No que se refere, ainda, aos IDSs, há alguns aspectos que devem ser levados em conta, sobretudo flexibilidade, a eficiência e a capacidade de adaptação a novas situações. Um paradigma que facilita a implementação de tais capacidades são os Agentes Inteligentes. Sendo assim, este trabalho descreve a proposta de um framework para detecção de intrusões em WSNs baseado em agentes inteligentes.

Engenharia de Software

Requisitos e testes de segurança para brinquedos inteligentes / Security requirements and tests for smart toys

Carvalho, Luciano Gonçalves de

18 December 2017

Os brinquedos são uma parte essencial de nossa cultura e têm evoluído ao longo do tempo. Atualmente, encontramos no mercado brinquedos dotados de circuitos eletrônicos e sensores, capazes de coletar dados do ambiente e informações pessoais dos usuários. Além disso, eles podem se conectar automaticamente a redes de comunicação por meio de protocolos de rede sem fio para acessar serviços móveis com o objetivo de personalizar a experiência de jogo para cada usuário. Conhecidos como brinquedos inteligentes, estes fazem parte de um ambiente denominado de computação para brinquedos, composto pelo brinquedo físico, um dispositivo móvel, que pode ser um tablet ou smartphone, e um aplicativo móvel (app), que pode controlar o brinquedo físico e compartilhar informações com serviços móveis. Esse novo tipo de brinquedo, que pertence a um novo tipo de ambiente e que também carrega características da Internet das Coisas, traz consigo questões relacionadas à segurança da informação que não existiam nos brinquedos convencionais. Essas questões, portanto, devem ser tratadas de forma a evitar prejuízos aos usuários dessa tecnologia. Para isso, o presente trabalho apresenta vinte e dois (22) requisitos de segurança gerais identificados por meio da utilização do processo Security Development Lifecycle (SDL) da Microsoft e da técnica de modelagem de ameaças suportada pelo modelo de ameaça STRIDE (Spoofing identity, Tampering with data, Repudiation, Information disclosure, Denial of service e Elevation of privilege). Os requisitos apresentados endereçam questões de segurança que os brinquedos inteligentes devem atender para evitar as principais ameaças existentes. As questões de segurança consideradas foram extraídas da Childrens Online Privacy Protection Act (COPPA), General Data Protection Regulation (GDPR) e Personal Information Protection and Eletronic Documents Act (PIPEDA). Além dos requisitos de segurança, um conjunto de testes de segurança gerais foram identificados com base no processo SDL para verificar o adequado atendimento a esses requisitos. Uma análise dos brinquedos inteligentes atualmente disponíveis no mercado e suas falhas de segurança relatadas publicamente dão indícios da importância de atender aos requisitos de segurança e executar os testes propostos neste trabalho para evitar problemas de segurança variados / Toys are an essential part of our culture, and they have evolved over time. Currently, we can find in the market toys equipped with electronic circuits and sensors able to collect environmental and personal data from users. They are also able to automatically connect to communication networks through wireless network protocols in order to access mobile services aiming at customizing the gaming experience for each user. Known as smart toys, these are part of a so-called toy computing environment, consisting of a physical toy, a mobile device, which can be a tablet or smartphone, and a mobile app, which can control the physical toy and share information with mobile services. This new type of toy, which belongs to a new type of environment and also present characteristics of the Internet of Things, raises issues regarding information security which did not exist in conventional toys. Such issues, hence, should be treated in a way to avoid losses to the users of this technology. Accordingly, this research project presents twenty two (22) general security requirements identified following the Microsoft Security Development Lifecycle (SDL) and the threat modeling supported by the threat model STRIDE (Spoofing identity, Tampering with data, Repudiation, Information disclosure, Denial of service e Elevation of privilege). These requirements address security issues that smart toys should meet to avoid the main existent threats. All considered issues were extracted from the Childrens Online Privacy Protection Act (COPPA), General Data Protection Regulation (GDPR) and Personal Information Protection and Electronic Documents Act (PIPEDA). Furthermore, we have also identified a general set of security tests based on the SDL process to check whether the identified security requirements have been met. A further analysis of the smart toys currently available in the market and their publicly related security flaws give evidence of the importance of meeting the proposed security requirements and executing the proposed security tests to avoid several security problems

Brinquedo inteligente

Computação para brinquedos

Information security

Internet das coisas

Internet of things

Requisitos de segurança

Security requirements

Security tests

Segurança da informação

Smart toy

Testes de segurança

Toy computing

Avaliação de processos de segurança da informação na integração das áreas de controladoria e de tecnologia da informação

Schneider, Luiz Carlos

24 April 2012

Submitted by Mariana Dornelles Vargas (marianadv) on 2015-04-27T12:59:30Z No. of bitstreams: 1 avaliacao_processos.pdf: 6505198 bytes, checksum: 5439bb28500392f2f649e556e9fb9821 (MD5) / Made available in DSpace on 2015-04-27T12:59:30Z (GMT). No. of bitstreams: 1 avaliacao_processos.pdf: 6505198 bytes, checksum: 5439bb28500392f2f649e556e9fb9821 (MD5) Previous issue date: 2012-04-24 / Nenhuma / O ambiente da informação nas organizações vem sendo afetado pela evolução continua das tecnologias e do ambiente dos negócios. A Controladoria como responsável pelos sistemas de informações que suportam a tomada de decisão nas organizações deve participar dos processos de segurança da informação. Por isto, a presente pesquisa avaliou os processos de segurança da informação integrando as áreas de Controladoria e de TI. Evidenciou-se o tipo de pesquisa metodológica como um estudo de caso exploratório de natureza aplicada. Mesmo que as análises estejam baseadas em gráficos e tabelas, o que enseja dados de natureza quantitativa, as técnicas de análise possuem predominância qualitativa realizada a partir de múltiplas fontes de coleta de dados, tais como, questionários e entrevistas, essas tratadas com o auxílio de software específico que contemplou as análises léxicas. Como resultado do estudo, foi elaborado um framework que promove a integração das áreas de Controladoria e de TI na avaliação dos processos de implementação de softwares tendo como foco os principais processos de negócio. O framework também contempla os achados da pesquisa quantos aos níveis de proteção de segurança da informação e de maturidade dos processos de TI o que possibilita a análise de eventuais riscos associados às práticas de proteção de segurança da informação e do modelo de governança de TI adotados na organização. Consequentemente, foram aprimorados os processos operacionais do trabalho conjunto dessas duas áreas e de controles do ambiente da informação. / The information environment in organizations has been affected by the continuing evolution of technology and business environment. The Controllership, as responsible for the information systems that support decision making in organizations, should participate in the information security process. Therefore, this study investigated the processes of information security through the integration the areas of Controllership and Information Technology (IT). The research methodology is demonstrated as an exploratory case study of an applied nature. Even though the analyzes were based on graphs and tables, which (may) entails quantitative data, analysis techniques have predominantly been of qualitative nature from multiple sources of data collection such as questionnaires and interviews. Such interviews were treated with the aid of specific software that included the lexical analyzer. As a result of the study, we designed a framework that promotes the integration of the Controllership and IT areas in the evaluation of software implementation processes focused on the core business processes of the Company. The framework also includes the findings from a survey on the levels of protection and the maturity of the information security of IT processes which enables the analysis of possible risks associated with the protection practices of information security and IT Governance model adopted in organization. As a consequence of this paper, the working operational processes of these two areas and the controls of the information environment of the Company were improved.

Controladoria

Tecnologia da informação

Segurança da informação

Gestão da informação

AHP

Controllership

Information technology

Information security

Information management

ANTECEDENTES DOS BENEFÍCIOS PERCEBIDOS DE COMPLIANCE ÀS POLÍTICAS DE PROTEÇÃO DE DADOS PESSOAIS NAS ORGANIZAÇÕES / Benefit antecedentes of compliance as personal data protection in organization

SANTOS, JULIANA GRACIELA DOS

23 November 2016

Submitted by Noeme Timbo (noeme.timbo@metodista.br) on 2017-01-27T14:19:22Z No. of bitstreams: 1 JulianaG.Santos.pdf: 965373 bytes, checksum: e9ac2dac85934fdcd07c615473464973 (MD5) / Made available in DSpace on 2017-01-27T14:19:22Z (GMT). No. of bitstreams: 1 JulianaG.Santos.pdf: 965373 bytes, checksum: e9ac2dac85934fdcd07c615473464973 (MD5) Previous issue date: 2016-11-23 / Personal data protect procedures are organizational tools that properly used by the employee help in the prevention and personal data protect within a safety and transparency organizational limit. This study analyzed the factors that have influenced the perception of the employees of Brazilian organizations about perceived benefits of compliance on the policies established in the prevention and protection of personal data. The research was conducted through a quantitative research approach with analysis of structural equations and the study data were collected through a survey tool to obtain a valid sample of 220 respondents. The study concluded that trust in organization and the risk of loss of personal data are stimulus that positive influence the benefits perceived of the compliance. The results also show that the employees who had your data improperly used, reduces your credibility in organizational controls and increases their perceived risk of privacy loss. The result of the study can help organizations managers to achieve greater adherence of employees with regard to personal data protection policy of organization in which they work, in addition to demonstrate the importance of credibility in internal controls and trust in the organization as predictors of perceived benefits of compliance. / Políticas de proteção de dados pessoais são ferramentas organizacionais que, se usadas de maneira adequada pelos colaboradores auxiliam na prevenção e proteção dos dados pessoais dentro de um limite de segurança e transparência organizacional. Este estudo objetiva analisar os fatores que influenciam a percepção dos empregados de organizações brasileiras quanto aos benefícios percebidos de compliance sobre as políticas estabelecidas na prevenção e proteção dos dados pessoais. A pesquisa foi conduzida através de uma abordagem de investigação quantitativa, com análise por equações estruturais e os dados do estudo foram coletados por meio de um instrumento de pesquisa com obtenção de uma amostra válida de 220 respondentes. O estudo concluiu que a Confiança na organização e a Percepção do risco de perda dos dados pessoais são estímulos que influenciam positivamente os benefícios percebidos de compliance. Os resultados também evidenciam que o empregado que teve seus dados utilizados de forma indevida reduz a sua credibilidade nos controles organizacionais e aumenta a sua Percepção do risco de perda de privacidade. O resultado do estudo pode auxiliar gestores de organizações a obter maior aderência dos empregados quanto às políticas de proteção de dados pessoais da organização em que trabalham, além de demonstrar a importância da credibilidade nos controles internos e a confiança na organização como preditores dos benefícios percebidos de compliance.

Uma arquitetura para autenticação de dispositivos móveis através de uma infra-estrutura de chave pública. / An architecture for authentication of mobile devices through a public key infrastructure.

CAMINHA, Jean.

20 August 2018

Submitted by Johnny Rodrigues (johnnyrodrigues@ufcg.edu.br) on 2018-08-20T20:19:30Z No. of bitstreams: 1 JEAN CAMINHA - DISSERTAÇÃO PPGEE 2006..pdf: 1518338 bytes, checksum: e7ba2faff350c19009f55c5eec73fc4a (MD5) / Made available in DSpace on 2018-08-20T20:19:30Z (GMT). No. of bitstreams: 1 JEAN CAMINHA - DISSERTAÇÃO PPGEE 2006..pdf: 1518338 bytes, checksum: e7ba2faff350c19009f55c5eec73fc4a (MD5) Previous issue date: 2006-12-22 / A identificação de objetos que participam de uma arquitetura de processamento de dados é uma preocupação relevante para a segurança das informações e fator decisivo para a utilização de serviços que utilizam dados sensíveis. Este trabalho propõe uma arquitetura para a autenticação de dispositivos móveis utilizando a Infra-estrutura de Chave Pública (PKI) e o Protocolo de Iniciação de Sessões (SIP) de modo a minimizar as limitações de armazenamento e processamento destes aparelhos. / The identification of objects that participates of architecture of data processing is a concern for information security and decisive factor for services that need manipulate sensible data. This work considers architecture for mobile devices authentication through in a Public Key Infrastructure and the Session Initiation Protocol (SIP) as a way to minimize storage and processing limitations of those devices.

Ciência da Computação.

Autenticação de dispositivos móveis

Chave pública

Segurança da informação

Infra-estrutura de chave pública

Information security

Public key infrastructure - PKI

Authentication