Adoção de medidas de segurança da informação: a influência das subunidades na conformidade organizacional

Albuquerque Junior, Antonio Eduardo de

January 2017

Submitted by Biblioteca de Adminsitração (bibadm@ufba.br) on 2017-08-01T11:11:56Z No. of bitstreams: 1 Antonio Eduardo de Albuquerque Junior.pdf: 4217812 bytes, checksum: 5fa31634509d8e8e4336ac1a4a408f1d (MD5) / Approved for entry into archive by Maria Angela Dortas (dortas@ufba.br) on 2017-08-09T21:21:49Z (GMT) No. of bitstreams: 1 Antonio Eduardo de Albuquerque Junior.pdf: 4217812 bytes, checksum: 5fa31634509d8e8e4336ac1a4a408f1d (MD5) / Made available in DSpace on 2017-08-09T21:21:49Z (GMT). No. of bitstreams: 1 Antonio Eduardo de Albuquerque Junior.pdf: 4217812 bytes, checksum: 5fa31634509d8e8e4336ac1a4a408f1d (MD5) / A informação é considerada um ativo crítico e, para protegê-la, as organizações dispõem de uma série de medidas de Segurança da Informação previstas na literatura e recomendadas por normas, modelos e padrões utilizados por organizações de todo o mundo. A literatura sobre Segurança da Informação preconiza que as medidas devem ser adotadas com base nas necessidades identificadas para a organização, mas parte da literatura aponta que a adoção é determinada por pressões do ambiente no qual a organização está inserida. O determinismo das pressões do ambiente externo é limitado pela capacidade de a organização responder conforme seus próprios interesses e julgamentos, o que pode fazer com que fique em conformidade com os requisitos externos, mas também em não conformidade ou em uma conformidade apenas aparente. Este estudo parte do pressuposto de que a conformidade da organização com os requisitos externos de Segurança da Informação depende de como suas subunidades respondem às pressões do ambiente para investigar como essas respostas influenciam a conformidade da organização com os requisitos. Para isto, o trabalho envolveu a identificação das medidas de Segurança da Informação adotadas por uma organização, as pressões institucionais que as subunidades organizacionais sofrem, as medidas que as subunidades adotaram atendendo a essas pressões, suas respostas estratégicas e os efeitos dessas respostas sobre as medidas adotadas pela organização. A pesquisa teve abordagem qualitativa e compreendeu a análise de documentos e a realização de entrevistas semiestruturadas com gestores e profissionais de TI e Segurança da Informação da administração central e de 17 subunidades de uma organização. A análise dos dados foi realizada a partir de um elaborado com base na Teoria Institucional e na tipologia de respostas estratégicas às pressões institucionais, que permitiu sua categorização utilizando o NVivo 10. Os resultados mostram que as subunidades organizacionais respondem às pressões que recebem através de diferentes estratégias e atendendo aos seus próprios interesses e julgamentos sobre a eficiência e adequação das medidas de Segurança da Informação. A pesquisa mostrou também que as pressões para adoção de medidas formais, informais e técnicas não estão necessariamente associadas a respostas estratégicas específicas das subunidades organizacionais. Por fim, as respostas das subunidades às pressões que sofrem influenciam no nível de conformidade da organização com os requisitos de Segurança da Informação do ambiente externo. / Information is a critical asset, and organizations can use many information security measures prescribed in the literature and recommended by standards and models to protect it. Information Security literature recommends that adoption of information Security measures should be based on needs and risks identified for the organization, but part of the authors indicates that adoption is determined by pressures of the environment in which the organization is inserted. The determinism of external pressures is limited by organization‟s ability to respond to them according to its own interests and judgments. The organizational response to pressures has potential to make the organization non-comply or comply to external requirements, but compliance may be apparent. This study builds on the idea that the organization's compliance with external Information Security requirements depends on how its subunits respond to the pressures they receive. The research addresses the influence of the subunit's strategic responses on organization's compliance with the external requirements. Based on Institutional Theory, the research included the identification of the Information Security measures adopted by the organization, the institutional pressures on the organizational subunits, the Information Security measures adopted by subunits in response to these pressures, their strategic responses and the effects of these responses on the organization's Information Security measures. The research had a qualitative approach and involved the analysis of documents and semi-structured interviews with IT and Information Security managers and professionals of the organization's headquarters and 17 of its subunits. Data analysis used a framework based on the Institutional Theory and on the typology of strategic responses to institutional pressures, which allowed its categorization using NVivo 10 software. The results show that the organizational subunits respond to the pressures they receive through different strategies and attending to their own interests and judgments about the efficiency and adequacy of the Information Security measures. The research also showed that the pressures to adopt formal, informal and technical information security measures do not result in different strategic responses of the organizational subunits. Finally, the subunit responses to the institutional pressures influence the level of compliance of the organization with the Information Security requirements of the external environment.

Comportamento organizacional

Segurança da informação

Adoção

Medidas

Respostas estratégicas

Pressões institucionais

O processo de formulação de uma política de segurança de informações segundo a percepção dos gestores: um estudo em instituições hospitalares

Pinochet, Luis Hernan Contreras

18 December 2007

Made available in DSpace on 2010-04-20T20:48:16Z (GMT). No. of bitstreams: 3 71050100654.pdf.jpg: 21269 bytes, checksum: 985c90edc28543ef1b7dbab1b5b85247 (MD5) 71050100654.pdf: 2239352 bytes, checksum: a1465d154906bf4bfa4554ebb2a5ecb2 (MD5) 71050100654.pdf.txt: 756585 bytes, checksum: cb69f0e007517fbe16d94e7f3f40d9d8 (MD5) Previous issue date: 2007-12-18T00:00:00Z / O objetivo desta pesquisa foi compreender a participação dos gestores no processo de formulação de estratégias de uma política de segurança de informação identificando os elementos norteadores para a elaboração de uma estrutura de análise em organizações hospitalares. O objeto desta pesquisa foi constituído por cinco organizações hospitalares escolhidas segundo os critérios: em função da tipicidade, do seu tempo de existência e posição no mercado, e pela facilidade de acesso aos dados. Esta pesquisa utilizou um desenho de estudo de multicasos e corte longitudinal (as entrevistas foram realizadas em dois momentos distintos caracterizando duas fases de exploração dos dados), de caráter contextual e processual de cunho exploratório e descritivo com a intenção de gerar uma classificação categórica para desenvolver uma teoria fundamentada em dados. A lógica interpretativa para o tratamento de dados utilizou a abordagem qualitativa, porque a pesquisa teve como pressuposto a obtenção de dados a partir de entrevistas individuais e em grupo visando compreender os fenômenos segundo as perspectivas dos sujeitos que foram representados por uma amostra de quatorze gestores envolvidos diretamente com planos estratégicos organizacionais e com a área de tecnologia de informação. O método utilizado nesta pesquisa foi a Grounded Theory que possibilitou analisar os aspectos subjetivos como as percepções e opiniões que os gestores têm quanto ao contexto organizacional específico nas organizações hospitalares. A pesquisa conduziu o desenvolvimento de uma estrutura de análise que foi batizada com o nome de “Ciclo contínuo de acompanhamento para o desenvolvimento de uma Política de Segurança de Informações em Organizações Hospitalares”. Com esta estrutura foi possível identificar as responsabilidades em relação à segurança da informação nos diferentes níveis organizacionais, delineando responsabilidades em relação à implementação, verificação da conformidade, auditoria e avaliação, estabelecendo orientações necessárias em relação a todas as medidas de proteção que serão implementadas. Como resultado, verificou-se que as organizações hospitalares deste estudo, em suas distintas naturezas, possuíram claras deficiências para formular uma política de segurança de informação devido à necessidade de definições claras nos papéis dos diversos grupos organizacionais, e de elementos norteadores para a percepção na tomada de decisão por parte dos gestores. / The purpose of this paper was to understand the participation of managers in the process of formulating strategies for information security policy, identifying the leading elements to develop an analysis system in hospital organizations. The object of this study was formed by five hospital organizations selected according to typical characteristics, time of existence and market position, and data availability. This research was carried out in a multicase, longitudinal, contextual and procedural, exploratory and descriptive fashion. It intended to generate specific criteria to develop data-based theory. Interviews were conducted in two different moments establishing two stages of data exploration. The data interpreting system was qualitative, as the research amassed information from individual and group interviews to understand the phenomena according to the perspective of the subjects — fourteen managers involved directly with IT and organizational and strategic plans. The Grounded Theory method was used to analyze the subjective aspects such as the managers’ perceptions and opinions about the specific organizational context in hospital organizations. The study led to the development of an analysis framework named “Continuous monitoring cycle for the development of an Information Security Policy in Hospital Organizations”. With this structure, it has been possible to identify information security accountability in various organizational levels, outlining responsibilities in relation to implementation, compliance, audit and evaluation, establishing necessary guidelines for all protection measures still to be implemented. As a result, it was found that the hospital organizations in this study, in their unique nature, displayed lack of qualification to formulate a clear, formal information security policy due to the need for straight forward definitions in the role of the various organizational groups, and the leading elements to managers’ perception in decision making.

Política

Segurança da informação

Tomada de decisão

Estratégia

Policy

Security system

Information technology

Administração de empresas

Processo decisório

Tecnologia da informação

Hospitais - Administração

Modelo de gestão de risco em segurança da informação: um estudo de caso no mercado brasileiro de cartões de crédito

Hori, Andre Shigueru

07 April 2003

Made available in DSpace on 2010-04-20T20:51:15Z (GMT). No. of bitstreams: 3 74539.pdf.jpg: 16448 bytes, checksum: 917ba53985326c5a54698774dcf5caf9 (MD5) 74539.pdf: 4883407 bytes, checksum: ccc869b12fa5c3aa21e92886cf4d2c4f (MD5) 74539.pdf.txt: 329642 bytes, checksum: 1647bed57f2d4917b864283b5383769d (MD5) Previous issue date: 2003-04-07T00:00:00Z / The concerns regarding managing information security risks are already part of the Brazilian enterprise environment’s reality. The business processes' expansion towards the information systems based on technology made the number of threats grow as well as the vulnerability of the computer and communication networks. Several are the challenges regarding the security information area’s infrastructure, and also the implementation of it within a given company. This study analysis the different ways of building up a managing information security risks’ infrastructure, not only at the technology level but also at the operational level as well as on regarding the marketing concepts, establishing a clear relation to all other internal areas of the company, and also to customers and to the marketplace itself. The information security, often taken as a technology matter, is now seen as a business process; consequently, it is understood by the enterprise world as a real competitive advantage / As questões ligadas a gestão de riscos associados a segurança da informação já é uma realidade no cenário empresarial brasileiro. O crescimento das operações de negócios em direção aos sistemas de informação baseados em tecnologia fez com que os números de ameaças e de vulnerabilidades sobre as redes de computadores e comunicações aumentassem. Vários são os desafios de estruturação e implementação de uma área de segurança da informação dentro das empresas. Este trabalho analisa as diversas formas de construção de uma infra-estrutura de gestão de risco em segurança de informação, não só no âmbito tecnológico, mas também, no operacional e no mercadológico, de forma a estabelecer uma relação transparente às demais áreas internas da organização, aos clientes e a todo o mercado. A segurança da informação, vista freqüentemente como um assunto ligado a tecnologia, passa a ser entendida cada vez mais como um processo de negócio, e conseqüentemente, uma grande vantagem competitiva para o mundo empresarial.

Segurança da informação

Segurança de redes

Gerenciamento de risco

Segurança de computadores

Administração de empresas

Administração de risco

Créditos - Avaliação de riscos

Avaliação do grau de conformidade às normas e recomendações em gestão da segurança da informação digital em hospitais / Assessment of the level of conformity of hospitals to electronic information security standards and recommendations

Gottberg, Heitor Neves [UNIFESP]

28 July 2010

Made available in DSpace on 2015-07-22T20:49:35Z (GMT). No. of bitstreams: 0 Previous issue date: 2010-07-28 / CONTEXTO: A confidencialidade, integridade e disponibilidade das informações de pacientes são demandas intrínsecas aos serviços hospitalares e, atualmente, a informatização vem crescendo no dia a dia operacional destas instituições. OBJETIVO: O objetivo desta pesquisa é realizar uma avaliação exploratória sobre o grau de conformidade de um grupo de hospitais aos requisitos de gestão da segurança da informação digital a partir de normas e recomendações da literatura quando do uso dos sistemas de registro eletrônico de saúde (S-RES). MÉTODOS: A partir do estudo de normas internacionais e da resolução 1821/07 do CFM, desenvolvemos um ―padrão ouro‖ da gestão da segurança da informação e dos Sistemas de Registro Eletrônico em Saúde, elaborando um questionário disponibilizado via Internet onde cada hospital pode conseguir um grau estimado de conformidade com este padrão e identificar quais áreas estão mais (ou menos) próximas do nível desejável. RESULTADOS: A partir das respostas obtidas com um grupo de hospitais, obtivemos um grau de conformidade médio em processos de gestão de segurança da informação de 37% (em uma escala de 0% a 100%) e de 38% na conformidade dos S-RES. CONCLUSÃO: Concluímos demonstrando que o tema da segurança da informação é incipiente nas preocupações e investimentos hospitalares e que, apesar de existir material específico, os gestores ainda não implementaram as soluções que atendam às características específicas do setor de saúde. / CONTEXT: Confidentiality, integrity and availability of patient information are intrinsic to hospital services and nowadays computerization is growing in day to day operations of these institutions. OBJECTIVE: This work intends to assess the level of conformity to the standards and literature recommendations in Information Security of an exploratory group of hospitals using Electronic Health Records Systems (EHR-S). METHODS: From the study of international standards and of resolution 1821/07 of the Federal Council of Medicine (CFM), we have developed a ―gold standard‖ of information security management and electronic health record systems, elaborated a questionnaire and released it via the Internet where each hospital can achieve an ―estimated‖ degree of compliance with this standard and identify which areas are more (or less) compliant to this desirable level. RESULTS: From the replies obtained with a group of hospitals, we have seen an average a degree of compliance of 37% in information security management processes (on a scale from 0% to 100%) and 38% in compliance of EHR-S. CONCLUSION: We finalize showing that the issue of information security management (ISM) is incipient on concerns and investments of hospitals, and that even though specific knowledge and material is available, managers have not yet implemented solutions that meet the specific characteristics and information security demands of the healthcare industry. / TEDE / BV UNIFESP: Teses e dissertações

Gestão da informação

Informática em saúde

Segurança da informação de saúde

Gestão hospitalar

Sistema de informação

Health informatics

Health information security

Information management

Hospital management

Information systems

Análise de riscos: um modelo de assinatura de risco voltada para segurança da informação

Corrêa Junior, Dioraci [UNESP]

13 July 2009

Made available in DSpace on 2014-06-11T19:29:40Z (GMT). No. of bitstreams: 0 Previous issue date: 2009-07-13Bitstream added on 2014-06-13T18:48:34Z : No. of bitstreams: 1 correajunior_d_me_sjrp.pdf: 2089339 bytes, checksum: 1ee032ed654c46455b435575845711de (MD5) / A Análise de Risco incorpora a avaliação do risco e seu gerenciamento, isto é, ela combina processos sistemáticos para a identificação do risco e suas consequências, e como lidar ou tratar estes riscos. Esta dissertação apresenta o desenvolvimento de uma Assinatura de Risco, suportada pelo sistema AISF – ACME! Intrusion Signature Format [SIL, 2002], voltada estritamente à segurança da informação e adequada de acordo com os padrões das normas ISO/IEC 17799 [ISO, 2005], ISO/IEC 27001 [ISO, 2006] e ISO/IEC 27002 [ISO, 2007]. O desenvolvimento desta assinatura está ligado à frente de pesquisa sobre Análise de Risco em sistemas computacionais e representa algo inédito na literatura, uma padronização para Análise de Risco. Com isso, o processo de armazenamento e análise de informação a respeito da Análise de Risco tornar-se mais simples e padronizado. / Risk analysis includes a risk assessment and management, that is, it combines systematic procedures for risk identification and its consequences, and how to deal and mitigate these risks. This dissertation presents the Signature Risk development, supported by AISF - ACME! Intrusion Signature Format [SIL, 2002] system, dedicated strictly to information security and appropriate under the standards of ISO/IEC 17799 [ISO, 2005], ISO/IEC 27001 [ISO, 2006] and ISO/IEC 27002 [ISO, 2007]. This signature development is linked with computer systems risk analysis research and represent something unprecedented in literature, a standard for risk analysis. Therefore, the storing and analyzing process of information about risk analysis become more simple and standardized.

Avaliação de riscos

Assinaturas digitais

Sistemas de segurança

Análise de riscos

Segurança da informação

Modelo AISF

Risk analysis

Information security

Signature

Soluções para DBaaS com dados encriptados: mapeando arquiteturas

LIMA, Marcelo Ferreira de

11 August 2015

Submitted by Fabio Sobreira Campos da Costa (fabio.sobreira@ufpe.br) on 2016-04-07T12:42:11Z No. of bitstreams: 2 license_rdf: 1232 bytes, checksum: 66e71c371cc565284e70f40736c94386 (MD5) MarceloLima-MestradoCIn-2015.pdf: 2673877 bytes, checksum: 7fed7c87bd80e3d1226642662bc3f739 (MD5) / Made available in DSpace on 2016-04-07T12:42:11Z (GMT). No. of bitstreams: 2 license_rdf: 1232 bytes, checksum: 66e71c371cc565284e70f40736c94386 (MD5) MarceloLima-MestradoCIn-2015.pdf: 2673877 bytes, checksum: 7fed7c87bd80e3d1226642662bc3f739 (MD5) Previous issue date: 2015-08-11 / Com a popularização crescente do modelo de computação em nuvem oferecendo serviços em cada uma das camadas de Software-as-a-Service (SaaS), Platform-asa- Service (PaaS) e Infrastructure-as-a-Service (IaaS), começaram a surgir provedores que disponibilizam o serviço específico de Database-as-a-Service (DBaaS), cuja ideia básica é disponibilizar bancos de dados na nuvem. Entretanto, a inviabilidade de execução de operações, consultas e alterações, sobre dados encriptados em serviços DBaaS é um fator que afasta os clientes da possibilidade de levar seus dados para a nuvem. Proprietários de dados e provedores de nuvem anseiam por sistemas criptográficos completamente homomórficos como uma solução. Mas não existe qualquer perspectiva a curto ou médio prazo de que estes sistemas possam ser computacionalmente viáveis. Atualmente pesquisas buscam construir soluções que utilizam sistemas criptográficos viáveis que possibilitem a execução de operações sobre dados encriptados no provedor de DBaaS. Um estudo, precursor e destacado, baseia sua solução em uma arquitetura Proxy, modelo que não é unanimidade para este tipo de solução. Esta pesquisa, baseada em mapeamento sistemático, busca iniciar uma discussão mais profunda sobre modelos de arquitetura para DBaaS e apresenta como principais contribuições: (i) um catálogo de estudos com propostas de soluções, organizado por modelo de arquitetura, (ii) a determinação de uma tendência na escolha de arquiteturas, considerando o estado da arte, (iii) uma investigação de um direcionamento concreto, apontando vantagens e desvantagens, com base nos estudos catalogados, sobre a adoção da arquitetura Proxy em soluções encriptadas de computação em nuvem para DBaaS e (iv) apontar uma lista consistente de questões em aberto acerca das soluções para banco de dados encriptados, com base em dados extraídos dos estudos catalogados. / With the growing popularity of cloud computing model, offering services in each of the layers of Software-as-a-Service (SaaS), Platform-as-a-Service (PaaS) and Infrastructure-as-a-Service (IaaS), began to emerge providers that provide the specific service Database-as-a-Service (DBaaS), whose basic idea is to provide databases in the cloud. However, the impossibility of executing operations, queries and changes on encrypted data in DBaaS services is a factor that keeps customers the possibility to bring your data to the cloud. Owners of data and cloud providers crave fully homomorphic cryptosystems as a solution. But there is no prospect in the short or medium term that these systems can be computationally feasible. Currently research seek to build solutions using viable cryptographic systems that allow the execution of operations on encrypted data on DBaaS provider. One study, precursor and highlighted, bases its solution on a Proxy architecture model, that is no unanimity for this type of solution. This research, based on systematic mapping, search start a deeper discussion of architectural models for DBaaS and presents as main contributions: (i) a catalog of studies with proposed solutions, organized by architectural model, (ii) the determination of a tendency in choosing architectures, considering the state of the art and (iii) an investigation of a concrete direction, pointing advantages and disadvantages, based on cataloged studies, on the adoption of Proxy architecture over cloud computing encrypted solutions to DBaaS and (iv) point to a consistent list of open questions about the solutions for encrypted database, based on data extracted from cataloged studies.

Criptografia

Privacidade

Database-as-a-service

DBaaS

Computação em Nuvem

Arquitetura

Segurança da Informação

Encryption

Privacy

Database-as-a-service

DBaaS

Clouding Computing

Architecture

Information Security

Segurança da informação: um estudo sobre a percepção do usuário da informação contábil

Silva, Wagner Lima da

23 March 2012

Made available in DSpace on 2016-03-15T19:32:33Z (GMT). No. of bitstreams: 1 Wagner Lima da Silva.pdf: 533048 bytes, checksum: 307be37580f5223b6a1e8468d9b7282d (MD5) Previous issue date: 2012-03-23 / Fundo Mackenzie de Pesquisa / Information security has become an issue that reaches the organizations, once it puts at risk the continuity of the businesses. As the accounting is the responsible area for consolidating all the information of the organization, it becomes relevant evaluate the perception of users of accounting information regarding the subject. This research, on the basis of literature review identified six constructs of information security (Integrity, Availability, Confidentiality, Equipment, Policies and Procedures and People). These constructs had been used in a survey electronic questionnaire, where one sample composed by 129 users of accounting information from various Brazilian organizations provided their perceptions regarding information security. These data allowed the realization of a gap analysis which consisted in comparing the means of assessment (how the respondent evaluates information security in your organization) and importance (how much the respondent considers information security important) attributed to each construct of information security. As a result, it was evidenced the existence of statistically significant gaps for all the six constructs of information security checked, showing that the organizations are giving less importance to the matter than expected by respondents. The users of accounting information are aware of the importance of information security and had shown to be unsatisfied with the equipment, policies and procedures used to guarantee the information security in the organizations. People construct presented the largest gap of this research, suggesting that the organizations face difficulties to control the human component in information security, and people are not aware of the importance of their role in the effectiveness of information security in the organizations. The research findings suggest that managers should focus their efforts on employee awareness and implementation of security policies and procedures, aiming at the establishment of information security culture in the organization. / A segurança da informação se tornou um problema que atinge as organizações, uma vez que coloca em risco a continuidade dos negócios. Sendo a contabilidade a área responsável por consolidar todas as informações da organização, torna-se relevante avaliar a percepção dos usuários da informação contábil a respeito do tema. Esta pesquisa, com base na revisão da literatura, identificou seis construtos de segurança da informação (Integridade,Disponibilidade, Confidencialidade, Equipamentos, Políticas e Procedimentos e Pessoas).Estes construtos foram utilizados em um questionário eletrônico do tipo survey, em que uma amostra composta por 129 usuários da informação contábil de diversas organizações brasileiras forneceram a sua percepção a respeito da segurança da informação. Estes dados possibilitaram a realização de uma análise de gap que consistiu na comparação das médias de avaliação (como o respondente avalia a segurança da informação na sua organização) e importância (o quanto o respondente considera a segurança da informação importante) atribuída a cada construto de segurança da informação. Como resultado, constatou-se a existência de gaps estatisticamente significativos para todos os seis construtos de segurança da informação estudados, evidenciando que as organizações estão atribuindo menor importância ao tema do que o esperado pelos respondentes. Os usuários da informação contábil estão conscientes da importância da segurança da informação e demonstraram estarem insatisfeitos com os equipamentos, políticas e procedimentos utilizados para garantir a segurança da informação nas organizações. O construto Pessoas apresentou o maior gap desta pesquisa, sugerindo que as organizações enfrentam dificuldades para controlar o componente humano na segurança da informação, e as pessoas não estão conscientes da importância do seu papel para a eficácia da segurança da informação nas organizações. Os resultados desta pesquisa sugerem que os gestores devem direcionar seus esforços na conscientização dos funcionários e na implantação de políticas e procedimentos de segurança, objetivando a instituição da cultura de segurança da informação na organização.

segurança da informação

informação contábil

análise de gap

percepção do usuário

information security

accounting information

gap analysis

user s perception

UM MODELO PARA PROTEÇÃO DE TRILHAS DE AUDITORIA EM SISTEMAS DE IDENTIFICAÇÃO ELETRÔNICA / A MANAGEMENT MODEL FOR AUDIT TRAILS IN IDENTIFICATION ELECTRONIC SYSTEMS

Liberali, Ernâni Teixeira

21 May 2012

Coordenação de Aperfeiçoamento de Pessoal de Nível Superior / With the continuing demand for services and information in multiple places in real time, companies are dealing with increasingly sensitive information for their business and many of them are not prepared to undertake the management of these information. In information systems, audit trails, also called audit logs, are records of activities from users and administrators. Audit trails help companies to keep a historical control of changes in information, but they do not safeguard the vulnerability of improper handling of these tracks nor eliminate traces of malicious changes, such as what might happen with the use of smart cards for micro-payments in educational institutions, which is a trend. This dissertation presents a model for protection of trails (logs) that can be used as a solution to problems on treatment and protection of audit trails. The model is based on data encryption and the sharing of responsibility in the care of registry keys, giving condition to guarantee the validity of information in systems of identification and payments. It was validated in the replica database to the payment system from the restaurant at Federal University of Santa Maria. / Com a contínua demanda por disponibilidade de serviços e de informações em diversos locais e em tempo real, as empresas estão tendo que lidar com informações cada vez mais sensíveis aos negócios, onde muitas delas não estão preparadas para realizar a gestão destas informações. Nos sistemas de informação, trilhas de auditoria, também chamadas de logs de auditoria, são registros das atividades de usuários e administradores. As trilhas de auditoria auxiliam as empresas a manterem um controle histórico sobre alterações nas informações, mas não eliminam a vulnerabilidade de manipulação indevida destas trilhas para eliminar rastros de modificações maliciosas, tal como o que pode acontecer no uso de smart cards para realização de micro pagamentos em instituições do setor educacional, o que é uma tendência. Este trabalho apresenta um modelo de proteção de trilhas (logs) que pode ser utilizado como solução para o problema do tratamento e proteção das trilhas de auditoria. O modelo é baseado em criptografia dos dados e em divisão de responsabilidades na guarda das chaves do registro, possibilitando condições de se garantir a legitimidade das informações em sistemas de identificação e pagamento, e foi validado junto ao banco de dados réplica ao sistema de pagamentos do Restaurante Universitário da Universidade Federal de Santa Maria.

Gestão de segurança da informação

Proteção de trilhas de auditoria

Distribuição de chaves

Smart Cards

Information security management

Audit trails protection

Key distribution

Smart Cards

HAMSTER healthy, mobility and security-based data communication architecture for unmanned systems / HAMSTER - arquitetura de comunicação de dados voltada à verificação de saúde, mobilidade e segurança para sistemas não tripulados

Daniel Fernando Pigatto

21 March 2017

Advances in communicat ions have been unarguably essent ial to enablemodern systems and applicat ions as we know them. Ubiquity has turned into reality, allowing specialised embedded systems to eminent ly grow and spread. That is notably the case of unmanned vehicles which have been creat ively explored on applications that were not as efficient as they currently are, neither as innovative as recent ly accomplished. Therefore, towards the efficient operat ion of either unmanned vehicles and systems they integrate, in addition to communicat ion improvements, it is highly desired that we carefully observe relevant , co-related necessit ies that may lead to the full insert ion of unmanned vehicles to our everyday lives. Moreover, by addressing these demands on integrated solut ions, better resultswill likely be produced. This thesis presentsHAMSTER, theHeAlthy, Mobility and Security based data communication archiTEctuRe for unmanned vehicles, which addresses threemain types of communicat ions: machine-to-machine, machine-to-infrast ructure and internal machine communications. Four addit ional elements on co-related requirements are provided alongside with HAMSTER for more accurate approaches regarding security and safety aspects (SPHERE platform), crit icality analysis (NCI index), energy efficiency (NP plat form) and mobility-oriented ad hoc and infrast ructured communicat ions (NIMBLE platform). Furthermore, three specialised versions are provided: unmanned aerial vehicles (Flying HAMSTER), unmanned ground vehicles (Running HAMSTER) and unmanned surface/ underwater vehicles (Swimming HAMSTER). The architecture validat ion is achieved by case studies on each feature addressed, leading to guidelines on the development of vehicles more likely to meet certificat ion requirements, more efficient and secure communicat ions, assert ive approaches regarding crit icality and green approaches on internal communicat ions. Indeed, results prove the efficiency and effectiveness of HAMSTER architecture and its elements, as well as its flexibility in carrying out different experiments focused on various aspects of communication, which helps researchers and developers to achieve safe and secure communicat ions in unmanned vehicles. / Os avanços na área de comunicações foram indiscutívelmente essenciais para a obtenção de sistemas e aplicações modernos como os o atuais. A computação ubíqua se tornou realidade, permitindo que sistemas embarcados especializados ganhassem espaço e cada vez mais autonomia. Esse é notavelmente o caso de veículos não tripulados que têm sido criativamente explorados em aplicações inovadoras e avançadas. Entretanto, para o funcionamento eficiente desses veículos e sistemas não tripulados, além de melhorias de comunicação, é altamente desejável que as necessidades relevantes co-relacionadas a comunica¸cao sejam cuidadosamente observadas, levando a uma facilitação na inserção de veículos não tripulados em espaços públicos. Além disso, ao abordar essas demandas de modo integrado, as chances de produzir melhores resultados é maior. Esta tese apresenta a HAMSTER, uma arquitetura de comunicação de dados baseada em mobilidade e segurança para veículos não tripulados, que aborda três tipos principais de comunicação: máquina-para- máquina, máquina-para-infraestrutura e comunicações internas. Quatro elementos adicionais co-relacionados são fornecidos juntamente com a arquitetura HAMSTER de modo a prover abordagens mais precisas em relação a aspectos de segurança física e da informação (plataforma SPHERE), análise de criticalidade (índice NCI), eficiência energética (plataforma NP) e comunicações ad hoc e infraestruturadas orientadas a mobilidade (plataforma NIMBLE). Além disso, são fornecidas três versões especializadas: para veículos aéreos não tripulados (Flying HAMSTER), veículos terrestres não tripulados (Running HAMSTER) e veículos submarinos e de superfície não tripulados (Swimming HAMSTER). A validação da arquitetura é obtida por meio de estudos de caso sobre cada recurso abordado, levando a diretrizes sobre o desenvolvimento de veículos mais preparados para atender a requisitos de certificação, comunicação mais eficiente e segura, abordagens assertivas sobre criticidade e abordagens verdes nas comunicações internas. Por fim, os resultados comprovaram a eficiência da arquitetura HAMSTER e os elementos com ela providos, bem como a flexibilidade em realizar experimentos focados em vários aspectos de comunicação, auxiliando na obtenção de comunicações seguras em veículos autônomos.

Arquitetura de comunicação de dados

Arquitetura HAMSTER

Comunicação

Eficiência energética

Índice de criticidade

Redes de computadores

Segurança da informação

Segurança física

Verificação de saúde

Communications

Computer networks

Data communication architecture

Detecção de intrusos em redes de computadores com uso de códigos corretores de erros e medidas de informação. / Intrusion detection in computer networks using error correction codes and information measures.

LIMA, Christiane Ferreira Lemos.

13 August 2018

Submitted by Johnny Rodrigues (johnnyrodrigues@ufcg.edu.br) on 2018-08-13T19:50:34Z No. of bitstreams: 1 CHRISTIANE FERREIRA LEMOS LIMA - TESE PPGEE 2013..pdf: 5704501 bytes, checksum: da700470760daace1ac791c6514082a3 (MD5) / Made available in DSpace on 2018-08-13T19:50:34Z (GMT). No. of bitstreams: 1 CHRISTIANE FERREIRA LEMOS LIMA - TESE PPGEE 2013..pdf: 5704501 bytes, checksum: da700470760daace1ac791c6514082a3 (MD5) Previous issue date: 2013-04-19 / Capes / Este trabalho de tese tem como objetivo principal apresentar um novo esquema, direcionado à proteção de sistemas computacionais contra a ocorrência de invasões, fazendo uso de códigos corretores de erros e de medidas de informação. Para isto, considera-se que a identificação de diferentes tipos de ataques a uma rede de computadores pode ser vista como uma tarefa de classificação multiclasses, por envolver a discriminação de ataques em diversos tipos ou categorias. Com base nessa abordagem, o presente trabalho apresenta uma estratégia para classificação multiclasses, baseada nos princípios dos códigos corretores de erros, tendo em vista que para cada uma dasM classes do problema proposto é associada a um conjunto de palavras códigos de comprimento igual a N, em que N é o número de atributos, selecionados por meio de medidas de informação, e que serão monitorados por dispositivos de software, aqui chamados de detectores de rede e detectores dehost. Nesta abordagem, as palavras código que formam uma tabela são restritas a um sub-código de um código linear do tipo BCH (Bose-ChaudhuriHocquenghem), permitindo que a etapa de decodificação seja realizada, utilizando-se algoritmos de decodificação algébrica, o que não é possível para palavras código selecionadas aleatoriamente. Nesse contexto, o uso de uma variante de algoritmo genético é aplicado no projeto da tabela que será utilizada na identificação de ataques em redes de computadores. Dentre as contribuições efetivas desta tese, cujas comprovações são demonstradas em experimentos realizados por simulação computacional, tem-se a aplicação da teoria da codificação para a determinação de palavras código adequadas ao problema de detectar intrusões numa rede de computadores; a determinação dos atributos por meio do uso de árvores de decisão C4.5 baseadas nas medidas de informação de Rényi e Tsallis; a utilização de decodificação algébrica, baseado nos conceitos de decodificação tradicional e na decodificação por lista. / The thesis’s main objective is to present a scheme to protect computer networks against the occurrence of invasions by making use of error correcting codes and information measures. For this, the identification of attacks in a network is viewed as a multiclass classification task because it involves attacks discrimination into various categories. Based on this approach, this work presents strategies for multiclass problems based on the error correcting codes principles, where eachM class is associated with a codeword of lengthN, whereN is the number of selected attributes, chosen by use of information measures. These attributes are monitored by software devices, here called network detectors and detectors host. In this approach, the codewords that form a codewords table are a sub-code of a BCH-type linear code. This approach allows decoding step to be performed using algebraic decoding algorithms, what is not possible with random selected codewords. In this context, the use of a variant of genetic algorithm are applied in the table-approach design to be used in attacks identification in networks. The effective contributions of this thesis, demonstrated on the cientific experiments, are: the application of coding theory to determine the appropriate code words to network intrusion detection; the application of C4.5 decision tree based on information measurements of Rényi and Tsallis for attributes selection; the use of algebraic decoding, based on the concepts of the traditional decoding and list decoding techniques.

Engenharia Elétrica.

Detecção de intrusos - redes

Redes de computadores - intrusos

Árvore de decisão

Algoritmos genéticos

Detecção de intrusão

Decision tree

Intrusion detection

Proteção de sistemas computacionais

Segurança da informação digital

Ataques a redes de computadores

Digital information security

Security of information systems