81 |
Uma arquitetura distribuída aplicada ao tratamento de registros de segurança de rede / A distributed architecture for network security data analysisHoltz, Marcelo Dias 09 March 2012 (has links)
Dissertação (mestrado)—Universidade de Brasília, Faculdade de Tecnologia, Departamento de Engenharia Elétrica, 2012. / Submitted by Albânia Cézar de Melo (albania@bce.unb.br) on 2012-09-18T13:08:35Z
No. of bitstreams: 1
2012_MarceloDiasHoltz.pdf: 2280816 bytes, checksum: 4f3aabf34913db1c54e01e6e8d18aeab (MD5) / Approved for entry into archive by Leandro Silva Borges(leandroborges@bce.unb.br) on 2012-09-18T19:59:26Z (GMT) No. of bitstreams: 1
2012_MarceloDiasHoltz.pdf: 2280816 bytes, checksum: 4f3aabf34913db1c54e01e6e8d18aeab (MD5) / Made available in DSpace on 2012-09-18T19:59:26Z (GMT). No. of bitstreams: 1
2012_MarceloDiasHoltz.pdf: 2280816 bytes, checksum: 4f3aabf34913db1c54e01e6e8d18aeab (MD5) / A Internet tem se tornado um ambiente cada vez mais hostil, visto o crescimento dos ataques bem como a gravidade dos danos causados por eles. Sistemas de segurança como IDS e honeypot são componentes essenciais em um ambiente de rede seguro, permitindo
proativamente a detecção de atividades maliciosas e ataques. Através das informações fornecidas por esses sistemas é possível aplicar contramedidas e mitigar os ataques que, por outro lado, poderiam comprometer seriamente a segurança da rede. No entanto, o atual
crescimento do volume de tráfego de rede compromete a maioria das técnicas de IDS e Honeypot. Por isso, tais medidas de proteção requerem novas abordagens capazes de lidar com grandes quantidades de tráfego durante a análise, mantendo o desempenho e a escalabilidade. O presente trabalho propõe uma arquitetura de computação distribuída
executada em nuvem para tratamento dos logs de segurança. A coleta descentralizada de dados realizada por vários sensores reúne informações abrangentes em vários níveis, dando um panorama completo do sistema monitorado. Toda a informação coletada de várias fontes é armazenada, processada e correlacionada de forma distribuída, em conformidade com o paradigma de computação MapReduce. A arquitetura proposta é capaz de lidar
eficientemente com grandes volumes de dados coletados e altas cargas de processamento,
sendo facilmente escalável, além de apresentar capacidade de detecção de ataques complexos através da correlação das informações obtidas a partir de diferentes fontes, identificando padrões que não seriam aparentes através da captura de tráfego centralizado ou da análise de logs de um único host. A pesquisa resultou ainda no desenvolvimento de um sistema totalmente distribuído de coleta, armazenamento e processamento de logs de
segurança, sistema esse que se encontra operacional para tratamento e combate a intrusões e atividades maliciosas. ______________________________________________________________________________ ABSTRACT / The Internet is becoming an increasingly hostile environment as a consequence of both the growing attack volume and the resulting damage. Network security systems such as Intrusion Detection Systems (IDS) and honeypots are essential components of a secure
network environment, allowing for early detection of attacks and malicious activities. Analyzing the data provided by these systems it is possible to react quickly to malicious activities by applying the necessary countermeasures and mitigating attacks that could
seriously compromise network service integrity. However, the current growing volume of network traffic overwhelms most of current IDS and Honeypot systems, raising the need for new data analysis approaches capable of handling massive network traffic data with the
required performance and scalability. In this work we propose a distributed architecture based on the cloud computing paradigm for analyzing security related data and logs.
Building on a decentralized data collection mechanism based on network sensors distributed among different network nodes, our architecture analyses each network environment as a whole, providing a thorough view of network activity and potentially
harmful actions. All the acquired data is stored, processed and analyzed in a distributed environment through the MapReduce framework. The proposed architecture can be efficiently scaled to handle high data storage and processing requirements. Furthermore,
taking into consideration data collected from different portions and levels of the network, our architecture is capable of detecting complex distributed attacks that wouldn't be perceived by centralized network data collection approaches. This work resulted into a
totally distributed and efficient data acquisition, storage and processing system for network security related data and logs, representing a milestone in network security monitoring and countermeasures against network intrusions and malicious activities.
|
82 |
Gestão de riscos em tecnologia da informação como fator crítico de sucesso na gestão da segurança da informação dos órgãos da administração pública federal : estudo de caso da Empresa Brasileira de Correios e Telégrafos - ECTSilva, Luiz Fernando Costa Pereira da 24 May 2010 (has links)
Dissertação (mestrado)—Universidade de Brasília, Faculdade de Economia, Administração, Contabilidade e Ciência da Informação e Documentação, Departamento de Ciência da Informação e Documentação, 2010. / Submitted by Jaqueline Ferreira de Souza (jaquefs.braz@gmail.com) on 2011-04-23T20:57:38Z
No. of bitstreams: 1
2010_LuizFernandoCostaPereiradaSilva.pdf: 1548009 bytes, checksum: 4fa83b9c9b3e4f92abedbc315fe2711f (MD5) / Approved for entry into archive by Jaqueline Ferreira de Souza(jaquefs.braz@gmail.com) on 2011-04-23T21:01:29Z (GMT) No. of bitstreams: 1
2010_LuizFernandoCostaPereiradaSilva.pdf: 1548009 bytes, checksum: 4fa83b9c9b3e4f92abedbc315fe2711f (MD5) / Made available in DSpace on 2011-04-23T21:01:29Z (GMT). No. of bitstreams: 1
2010_LuizFernandoCostaPereiradaSilva.pdf: 1548009 bytes, checksum: 4fa83b9c9b3e4f92abedbc315fe2711f (MD5) / Este estudo visa investigar o contexto da segurança da informação e da gestão de riscos no ambiente da Empresa Brasileira de Correios e Telégrafos (ECT). Parte-se do pressuposto de que a ECT, ambiente empírico da pesquisa, assim como a maioria dos órgãos da Administração Pública Federal, não tem conhecimento suficiente sobre Gestão de Riscos para implementar uma Gestão de Segurança da Informação eficiente e eficaz. A empresa carece de uma orientação específica sobre "o que fazer" e "como fazer" acerca da implementação de uma Gestão de Riscos em Tecnologia da Informação que fomente a Gestão de Segurança de suas informações. O estado pouco desenvolvido em que se encontra os órgãos da Administração Pública Federal, tanto em nível de conhecimento quanto no tocante às implementações de sua Gestão de Riscos em Tecnologia da Informação, faz com que as orientações governamentais tenham que ser baseadas na mera aplicação das melhores práticas de Segurança da Informação adotadas nacional e internacionalmente. A pesquisa de caráter qualitativo e exploratório, envolvendo pesquisa bibliográfica, pesquisa documental e estudo de caso no ambiente da ECT, tem por objetivo verificar ações que tornam mais eficiente o processo de Gestão de Segurança da Informação, no âmbito da Administração Pública Federal (APF), a partir da Gestão de Riscos em Tecnologia da Informação, considerando a política, o comportamento e a cultura informacional. _________________________________________________________________________________________ ABSTRACT / Studies aimed at investigating the context of information security and of risk management in the environment of the Brazilian Agency for Post and Telegraphs (ECT). It has been assumed that the ECT, empirical environment of this research, and most organizations of the Federal Public Administration, is not aware enough about Risk Management to implement an Information Security Management efficiently and effectively. The company lacks of the one specific guidance about "what to do" and "how to do" for the implementation of Risk Management in Information Technology to promote the Security Management of your informations. The inceptive state where the organizations of the Federal Public Administration, both at the level of knowledge as regards the implementation of Risk Management in Information Technology, makes the government guidelines have to be based on application best practices of Information Security adopted nationally and internationally. The research qualitative and exploratory in nature, involving literature research, documentary research and case study in the ECT's environment aims to verify actions that make more efficient the process of Information Security Management within the Federal Public Administration (APF) from the Risk Management in Information Technology, considering the policy, behavior and culture information.
|
83 |
Aegis: Um Modelo de Proteção à Dados Sensíveis em Ambientes Client-sideSilva, Carlo Marcelo Revoredo da 28 February 2014 (has links)
Submitted by Lucelia Lucena (lucelia.lucena@ufpe.br) on 2015-03-06T18:11:32Z
No. of bitstreams: 2
DISSERTAÇÃO Carlo Marcelo Revoredo da Silva.pdf: 6190528 bytes, checksum: 89493e00cb17fc61e6c8f4e8896df740 (MD5)
license_rdf: 1232 bytes, checksum: 66e71c371cc565284e70f40736c94386 (MD5) / Made available in DSpace on 2015-03-06T18:11:32Z (GMT). No. of bitstreams: 2
DISSERTAÇÃO Carlo Marcelo Revoredo da Silva.pdf: 6190528 bytes, checksum: 89493e00cb17fc61e6c8f4e8896df740 (MD5)
license_rdf: 1232 bytes, checksum: 66e71c371cc565284e70f40736c94386 (MD5)
Previous issue date: 2014-02-28 / Os Navegadores Web, do inglês, Web Browsers, são ferramentas de extrema importância
no que diz respeito ao consumo de informações na internet, consequentemente são os
softwares dos quais os usuários utilizam a maior parte do tempo, sejam domésticos ou
corporativos. Com o passar dos anos, a forma do que estava sendo publicado na web foi
evoluindo, o que antes era estático e apenas leitura, agora se apresenta como um cenário
onde os internautas e serviços interagem, compartilhando informações em uma grande
variedade de cenários, como e-mail, redes sociais e comércio eletrônico, tornando-se
então em um ambiente dinâmico e colaborativo.
Em meio ao advento da web, foram surgindo possibilidades para prestadores de
serviços especializados, como bancos ou fontes pagadoras de transações comerciais, dos
quais através da internet encontraram oportunidades para disponibilizarem seus serviços
com alta disponibilidade, possibilitando que seus clientes consigam utilizar seus serviços
através de um browser. O resultado disso é uma série de benefícios, como redução de filas,
interatividade, foco no domínio, que podemos traduzir em uma palavra: comodidade.
Não obstante, em consequência ao seu advento, a web se apresenta como um ambiente
cada vez mais hostil, onde pessoas mal-intencionadas executam crimes cibernéticos, dos
quais visam roubar ou adulterar informações sigilosas dos usuários da web, violando
os dados do usuários. Essas atividade ilícitas muitas vezes são executadas através de
ataques que exploram fatores como Engenharia Social, Falhas nas Aplicações Web ou
Vulnerabilidades no Browser do usuário. Estes vetores de ataques apresentam-se em
diversas formas: capturando entradas dos usuários, forjando sites oficiais, injeção de
scripts maliciosos, propagação de Malwares, entre outros. Com o dinamismo da web,
o processo de controle destes vetores de ataque torna-se cada vez mais difícil, e como
a tendência da web é manter-se em constante evolução, estas ameaças tornam-se uma
preocupação contínua.
Nesta pesquisa é proposta uma ferramenta, intitulada Aegis, como modelo de proteção
para interagir diretamente no browser do usuário, buscando minimizar os ataques
mencionados através de uma solução puramente cliente-side. Para isso, foram realizados
estudos e revisão na literatura sobre o tema, buscando uma justificativa bem fundamenta
para as decisões e técnicas aplicadas. Adicionalmente, são apresentados os resultados
obtidos na avaliação da Aegis em conjunto com demais ferramentas relacionadas.
|
84 |
Estratégias para mitigação de ameaças internasNASCIMENTO, César Augusto Delmas Cordeiro do 31 January 2011 (has links)
Made available in DSpace on 2014-06-12T15:49:15Z (GMT). No. of bitstreams: 2
arquivo1179_1.pdf: 1887729 bytes, checksum: 1bee09ef22194b6022eb6c8b1dd209a2 (MD5)
license.txt: 1748 bytes, checksum: 8a4605be74aa9ea9d79846c1fba20a33 (MD5)
Previous issue date: 2011 / Coordenação de Aperfeiçoamento de Pessoal de Nível Superior / No mundo atual, globalizado e altamente competitivo, a informação é um dos mais valiosos ativos das empresas. Nesse contexto, a segurança da informação tornou-se um motivo de preocupações constantes. Para atingir níveis confiáveis de segurança, o foco de muitas empresas tem sido investir primariamente em tecnologia e processos, esquecendo-se dos recursos humanos que necessariamente trabalharão com estas tecnologias e farão funcionar os processos. Pessoas essas que poderão, também, se tornar ameaças. Pensando nesta lacuna existente, especificamente nas pessoas como ameaças internas (insiders), o presente trabalho investigou o panorama atual e tendências para a segurança da informação. Analisou, por meio da aplicação de um questionário, os aspectos de segurança da informação, focando nas ameaças internas, de empresas públicas e privadas da cidade do Recife e circunvizinhança (denominada, no presente trabalho, Grande Recife) onde foi possível constatar que, de uma forma geral, a segurança da informação tem um baixo nível de maturidade, não está alinhada ao negócio, exerce um papel simplório e visa à proteção para as ameaças externas. Neste ambiente vulnerável, percebeu-se a participação ativa das ameaças internas. Existindo uma situação mais precária no setor público. Finalizando, o trabalho propôs pontos para mitigar as ameaças internas envolvendo uma visão mais ampla da segurança da informação de forma que as pessoas sejam vistas como mais uma camada de segurança e não apenas uma vulnerabilidade
|
85 |
Estratégias para mitigação de ameaças internasDias Alencar, Gliner 31 January 2011 (has links)
Made available in DSpace on 2014-06-12T15:50:05Z (GMT). No. of bitstreams: 2
arquivo1265_1.pdf: 1887729 bytes, checksum: 1bee09ef22194b6022eb6c8b1dd209a2 (MD5)
license.txt: 1748 bytes, checksum: 8a4605be74aa9ea9d79846c1fba20a33 (MD5)
Previous issue date: 2011 / Tribunal de Justiça de Pernambuco / No mundo atual, globalizado e altamente competitivo, a informação é um dos mais valiosos ativos das empresas. Nesse contexto, a segurança da informação tornou-se um motivo de preocupações constantes. Para atingir níveis confiáveis de segurança, o foco de muitas empresas tem sido investir primariamente em tecnologia e processos, esquecendo-se dos recursos humanos que necessariamente trabalharão com estas tecnologias e farão funcionar os processos. Pessoas essas que poderão, também, se tornar ameaças. Pensando nesta lacuna existente, especificamente nas pessoas como ameaças internas (insiders), o presente trabalho investigou o panorama atual e tendências para a segurança da informação. Analisou, por meio da aplicação de um questionário, os aspectos de segurança da informação, focando nas ameaças internas, de empresas públicas e privadas da cidade do Recife e circunvizinhança (denominada, no presente trabalho, Grande Recife) onde foi possível constatar que, de uma forma geral, a segurança da informação tem um baixo nível de maturidade, não está alinhada ao negócio, exerce um papel simplório e visa à proteção para as ameaças externas. Neste ambiente vulnerável, percebeu-se a participação ativa das ameaças internas. Existindo uma situação mais precária no setor público. Finalizando, o trabalho propôs pontos para mitigar as ameaças internas envolvendo uma visão mais ampla da segurança da informação de forma que as pessoas sejam vistas como mais uma camada de segurança e não apenas uma vulnerabilidade
|
86 |
Um Data Diode com hardware criptográfico para Redes Industriais CríticasTeixeira, Gabriel Carrijo Bento, 69-99292-1505 15 December 2017 (has links)
Submitted by Divisão de Documentação/BC Biblioteca Central (ddbc@ufam.edu.br) on 2018-03-05T15:59:13Z
No. of bitstreams: 2
license_rdf: 0 bytes, checksum: d41d8cd98f00b204e9800998ecf8427e (MD5)
Dissertação_Gabriel C. B. Teixeira.pdf: 7518481 bytes, checksum: f8b49cd06f0d81fce33b270fade5aa54 (MD5) / Approved for entry into archive by Divisão de Documentação/BC Biblioteca Central (ddbc@ufam.edu.br) on 2018-03-05T15:59:25Z (GMT) No. of bitstreams: 2
license_rdf: 0 bytes, checksum: d41d8cd98f00b204e9800998ecf8427e (MD5)
Dissertação_Gabriel C. B. Teixeira.pdf: 7518481 bytes, checksum: f8b49cd06f0d81fce33b270fade5aa54 (MD5) / Made available in DSpace on 2018-03-05T15:59:25Z (GMT). No. of bitstreams: 2
license_rdf: 0 bytes, checksum: d41d8cd98f00b204e9800998ecf8427e (MD5)
Dissertação_Gabriel C. B. Teixeira.pdf: 7518481 bytes, checksum: f8b49cd06f0d81fce33b270fade5aa54 (MD5)
Previous issue date: 2017-12-15 / Industrial networks are highly sensitive environments from the point of view of
information security with a view to computer incidents can cause incalculable
damage. Over the years the connection of those networks with enterprise environments
and consequently the Internet, has brought serious concerns about the
integrity of the information and equipment involved. Several solutions have been
proposed with the aim of protecting Industrial Networks in data communications
infrastructure. However, is it really possible or feasible to ensure that the solutions
implemented are really safe? In this sense, this work presents a security
scheme able to deal with the problems encountered in the integration of critical
industrial networks with insecure corporate networks, aiming to ensure data integrity
and reliability being the devices. To this end it is proposed to use a Data
Diode in the interconnection of networks for the protection of industrial plant
and a cryptographic hardware TPM (Trusted Platform Module) to guarantee integrity
and reliability of the devices involved. In order to prove the effectiveness
of this architecture, tests were carried out to the end the work show that it is
possible to achieve better results than those existing in the literature. / Redes Industriais são ambientes altamente sensíveis do ponto de vista da Segurança
da Informação, visto que incidentes computacionais podem ocasionar
prejuízos incalculáveis. Com o passar dos anos a interligação dessas redes com
ambientes corporativos e, consequentemente a Internet, trouxe sérias preocupações
sobre a integridade das informações e equipamentos envolvidos. Diversas
soluções têm sido propostas com o objetivo de proteger infraestruturas de comunicação
de dados em Redes Industriais. Contudo, será que realmente é possível
ou factível garantir que as soluções implementadas são realmente seguras? Neste
sentido, esta dissertação apresenta um esquema de segurança capaz de tratar
os problemas encontrados na integração de redes industriais críticas com redes
corporativas inseguras, objetivando garantir integridade dos dados e confiabilidade
entre os dispositivos. Para esse fim é proposta a utilização de um Data
Diode na interligação das redes para a proteção da planta industrial e um hardware
criptográfico TPM (Trusted Platform Module) para garantia de integridade
e confiabilidade dos dispositivos envolvidos. Como forma de provar a efetividade
dessa arquitetura, foram realizados testes, que ao final no trabalho, mostram que
é possível alcançar resultados superiores aos trabalhos já existentes na literatura.
|
87 |
METADADOS PARA PRESERVAÇÃO E SEGURANÇA DO DIÁRIO DE CLASSE ELETRÔNICO DA UFSM / METADATA FOR PRESERVATION AND SECURITY OF ELECTRONIC GRADEBOOKS AT UFSMLuz, Dulce Elaine Saul da 30 September 2011 (has links)
The public education institutions are trying to follow the technological advances and aim to
search for the evolution in education that increasingly appears every day in its organizational
environment. This research aimed to investigate, evaluate and analyze the document
Gradebook at Universidade Federal de Santa Maria (UFSM) in relation to its information
management, preservation and security. The methodology used in this study was analytical
exploratory combined with the documental analysis from the information in the literature
review and, the case study technique. Therefore, we performed a bibliographical research of
the legislation and the document archiving management with a qualitative approach. The
data collection was performed through meetings, interviews, observation and diagnose with
the different users involved in the considered process, where we searched to verify the
procedures and the current conditions of the Gradebooks at the Didactic Departments. As a
result of this study we suggest a model of metadata for the Electronic Gradebooks in UFSM,
aiming to improve the production, flow, storage, access, security and preservation of the
information. The proposed model suggests a set of requirements for computerized
management of documents, specified in the standard e-ARQ-Brazil, which specifies all the
activities and technical operations of the document archiving management from production,
processing, use, archiving and final destination. This study was completed with its overall
goal reached, which is the development of the model for implementation of Electronic
Gradebooks, according to the rules and archival policies of the institution and the
government, aiming at the preservation and safety of DC UFSM for a long time through
the metadata defined for this document as model, and Brazil-ARQ, determining the best way
for their management, preservation and security. / As instituições públicas de ensino vêm buscando acompanhar os avanços tecnológicos e
visam à busca pela evolução na educação que surge de forma crescente no dia-a-dia em
seu ambiente organizacional. Esta pesquisa buscou investigar, avaliar e analisar o
documento Diário de Classe da Universidade Federal de Santa Maria (UFSM) quanto à
gestão, preservação e segurança da informação. A metodologia utilizada foi um estudo
exploratório analítico combinado com análise documental a partir de informações
encontradas na revisão de literatura, com técnica de estudo de caso. Portanto, foi realizada
uma pesquisa bibliográfica, de legislação e de modelos de gestão arquivística de
documentos, com abordagem qualitativa. A coleta dos dados foi realizada por meio de
reuniões, entrevistas, observação e diagnósticos com os diferentes usuários envolvidos no
processo em questão, através dos quais buscou-se verificar os procedimentos e as
condições atuais em que se encontram os Diários de Classe nos Departamentos Didáticos.
Como resultado, propõe-se um modelo de metadados para o Diário de Classe Eletrônico da
UFSM, visando aperfeiçoar a produção, fluxo, armazenamento, acesso, segurança e
preservação das informações. O modelo proposto sugere um conjunto de requisitos para
gestão informatizada de documentos, indicado na norma e-ARQ Brasil, que especifica todas
as atividades e operações técnicas da gestão arquivística de documentos desde a
produção, tramitação, utilização e arquivamento até a sua destinação final. Este estudo foi
finalizado com o objetivo geral alcançado que é a elaboração do modelo para
implantação do Diário de Classe Eletrônico de acordo com a legislação e as políticas
arquivísticas da Instituição e do governo, visando à preservação e segurança do DC
da UFSM, por longo tempo, através dos metadados definidos para este documento
conforme o modelo e-ARQ Brasil, determinando a melhor forma para sua gestão,
preservação e segurança.
|
88 |
Análise de risco no Sistema de Concessão de Diárias e Passagens (SCDP): estudo de caso sob a ótica da segurança da informação no Departamento Contábil da UFPBFerreira, Josivan de Oliveira 25 March 2013 (has links)
Made available in DSpace on 2015-04-16T15:23:28Z (GMT). No. of bitstreams: 1
arquivototal.pdf: 2561530 bytes, checksum: a1d41fd6bed806649d21232868b6d22e (MD5)
Previous issue date: 2013-03-25 / Coordenação de Aperfeiçoamento de Pessoal de Nível Superior - CAPES / The power of technology has generated computerized systems for implementation of various tasks with their databases linked through powerful networks. The federal government aimed at equipping public service efficiently deployed Sistema de Concessão de Diárias e Passagens (SCDP) that integrates the activities of grant, registration, monitoring, management and control of daily and passages, resulting from trips taken in the interest of administration. This environment full of content and digital interconnected spheres is subject to various types of physical or virtual threats that jeopardize the safety of its users and the information processed. The present study aims at analyzing the perspective of the management of information security, the SCDP accounting department at the Universidade Federal da Paraíba. Investigates the assurance of confidentiality, integrity and availability of information through a risk analysis of the evidence and documents that comprise the system. In the methodological aspect, the research is characterized as a case study, set up as a study of qualitative and quantitative, exploratory and descriptive. Used as instruments to collect data to structured interview that recognized actions of a Security Policy Information (PSI) through the Facilitated Risk Analysis and Assessment Process (FRAAP), and direct observation technique, performed by notes in a field journal. For organizing and analyzing the data, we used content analysis. With these results it was possible to identify aspects of SCDP as the influence on the view of users, the security features and information flow. Regarding the risk analysis carried out, it can be concluded that there are threats in the process of granting and daily tickets, but with the adoption of selected controls can mitigate risk. / O poder da tecnologia tem gerado sistemas informatizados para a execução das mais diversas tarefas, com suas bases de dados interligadas por meio de poderosas redes. O governo federal, visando instrumentalizar eficientemente o serviço público, implantou o Sistema de Concessão de Diárias e Passagens (SCDP), que integra as atividades de concessão, registro, acompanhamento, gestão e controle de diárias e passagens, decorrentes de viagens realizadas com o interesse da administração. Esse meio, repleto de conteúdos e de esferas digitais interligados, está sujeito a diversos tipos de ameaças físicas ou virtuais que comprometem a segurança dos seus usuários e das informações processadas. O presente estudo tem como objetivo geral analisar, sob a ótica da gestão da segurança da informação, o SCDP do Departamento Contábil da Universidade Federal da Paraíba. Procura investigar a garantia de confidencialidade, da integridade e da disponibilidade da informação, através de uma análise de risco nos elementos e nos documentos que integram o sistema. No aspecto metodológico, a pesquisa é caracterizada como um estudo de caso, de caráter qualitativo e quantitativo, exploratório e descritivo. Utiliza como instrumentos de coleta de dados a entrevista estruturada, que permitiu reconhecer ações de uma Política de Segurança da Informação (PSI) por meio do Facilitated Risk Analysis and Assessment Process (FRAAP), e a técnica de observação direta, realizada por meio de anotações em diário de campo. Para organizar e analisar os dados, recorreu-se à análise de conteúdo. Com os resultados obtidos, foi possível identificar aspectos do SCDP como: a influência na visão dos usuários, os elementos de segurança e o fluxo informacional. Em relação à análise de risco efetuada, concluiu-se que existem ameaças no processo de concessão de diárias e de passagens, mas, com a adoção de controles selecionados, é possível mitigar o risco.
|
89 |
Melhores práticas para implantar política de segurança da informação e comunicação em instituições federais de ensino superiorRIOS, Orlivaldo Kléber Lima 30 November 2016 (has links)
Submitted by Rafael Santana (rafael.silvasantana@ufpe.br) on 2017-08-31T19:26:08Z
No. of bitstreams: 2
license_rdf: 811 bytes, checksum: e39d27027a6cc9cb039ad269a5db8e34 (MD5)
Dissertação_Orlivaldo_Kléber_Ciência da Computação_UFPE_.pdf: 2557373 bytes, checksum: ce725c091789d262ff35ae1f87b18a37 (MD5) / Made available in DSpace on 2017-08-31T19:26:08Z (GMT). No. of bitstreams: 2
license_rdf: 811 bytes, checksum: e39d27027a6cc9cb039ad269a5db8e34 (MD5)
Dissertação_Orlivaldo_Kléber_Ciência da Computação_UFPE_.pdf: 2557373 bytes, checksum: ce725c091789d262ff35ae1f87b18a37 (MD5)
Previous issue date: 2016-11-30 / O Tribunal de Contas da União, por meio da Secretaria de Fiscalização de TI, publicou, em 2015, por meio do Acórdão 3117/2014-TCU-Plenário, o quadro crítico em que se encontravam os órgãos da Administração Pública Federal, direta e indireta, concernente aos processos de segurança da informação, onde apenas 51% daqueles órgãos utilizavam integralmente a Política de Segurança da Informação. Considerando que há recomendações e orientações do Governo Federal para a institucionalização da Política de Segurança da Informação e Comunicação em todos seus órgãos, essa pesquisa buscou identificar o cenário em que se encontram as Instituições Federais de Ensino Superior, quanto à existência e às práticas utilizadas para implantação de Política de Segurança da Informação, considerando que tais instituições estão inseridas nesse panorama de fiscalização do Tribunal de Contas da União. Como objetivo de pesquisa, buscou-se a elaboração de um guia de melhores práticas para implantação e revisão de Política de Segurança da Informação e Comunicação nas Instituições Federais de Ensino Superior. Como metodologia foram utilizadas as abordagens quantitativa e qualitativa, empregando procedimentos bibliográficos, com o uso da revisão sistemática, e o levantamento de campo com aplicação de questionário Survey. Ao final da pesquisa, percebeu-se que o fator humano é a maior criticidade para o sucesso da implantação da Política de Segurança da Informação e Comunicação, principalmente a participação da Alta Gestão, entretanto, a elaboração do guia promoverá ações estratégicas nos processos de segurança da informação das Instituições Federais de Ensino Superior, quanto à implantação e revisão de Política de Segurança da Informação e Comunicação. / The Court of Auditors of Unity, IT Supervisory Office, published in 2015, through Decision 3117/2014 - TCU-Plenary, the critical situation in which they found the agencies of the Federal Public Administration Office, both direct as indirectly, concerning the information security processes, where only 51% of those agencies fully used the Security Policy information. Whereas there are recommendations and guidelines of the Federal Government for the institutionalization of the Information and Communication Security Policy in all its agencies, this research sought to identify the scenario where the Federal Institutions of Higher Education are, regarding the existence and the practices adopted in the implementation of information security policy, considering that such institutions are inserted in this prospect of the Brazilian Federal Accountability Office surveillance. In this research we aimed to formulate the a Guide for the best practices to the implementation and revision of Information Security Policy in Federal Institutions of Higher Education. It were used both quantitative and qualitative approaches, employing, employing bibliographic procedures, with the use of a systematic review and also a field survey. At the end of this research it was realized that the human factor is the most critical aspect for the successful implementation of Security Policy information, especially the participation of the High Management. However, the formulation of a guidance will promote strategic actions in the information security processes of Federal Institutions of Higher Education, towards the implementation and revision of Information and Communication Security Policy.
|
90 |
Arquitetura de aplicativos móveis com fluxo seguro de informação. / Architecture of mobile applications with information flow control.Paiva, Oscar Zibordi de 17 May 2016 (has links)
A adoção de lojas de aplicativos e Open APIs por um número crescente de empresas, muitas nem mesmo atuantes no ramo de tecnologia, revela o interesse das mesmas em exteriorizar a concepção e desenvolvimento de software corporativo. Com isso, as empresas almejam multiplicar as funcionalidades disponíveis a seus clientes, utilizando uma fração do custo e do tempo que seriam tradicionalmente gastos para fazê-lo. Ao mesmo tempo, o acesso a dados e sistemas corporativos por softwares de desenvolvedores potencialmente desconhecidos suscita preocupações de segurança, tornando-se imperativo garantir a adequação desses softwares às políticas de segurança institucionais. Entretanto, carece-se de meios automáticos capazes de garantir a mencionada adequação nas plataformas móveis, seja nos seus ambientes de execução ou em seus kits de desenvolvimento de software. Este trabalho, utilizando de ideias recentes da área de Controle de Fluxo de Informação, propõe a arquitetura de um ambiente de execução para aplicativos móveis que garante por construção a adequação dos mesmos a determinadas políticas de confidencialidade e integridade de dados, mesmo na presença de código malicioso. A praticidade de tal arquitetura é validada através da implementação de um aplicativo exemplo. Tal implementação ilustra o funcionamento dos mecanismos de segurança propostos e a compatibilidade dos mesmos a um conjunto de funcionalidades adequado ao cenário de manipulação de dados corporativos. / The adoption of application stores and Open APIs by a growing number of companies, many of them not even related to the technology business, reveals their interest in externalizing the conception and development of corporate software. By doing so, these companies expect to multiply the number of functionalities available to their customers, spending a fraction of the traditionally required time and cost. On the other hand, access to corporate data and services by software developed by potentially unknown parties raises security concerns, making it imperative to ensure the adequacy of the mentioned software to the institutional security policies. Nevertheless, there is a lack of automatic tools capable of guaranteeing the mentioned adequacy in mobile platforms, either in their runtime environments or in their software development kits. This work, using recent ideas from the Information Flow Control area, proposes the architecture of a run-time environment for mobile applications that guarantees by construction their adequacy to some confidentiality and integrity policies, even in the presence of malicious code. The practicality of this architecture is validated by the implementation of an example application. This implementation illustrates the working of the proposed security mechanisms and their compatibility to a set of functionalities relevant to the scenario of corporate data manipulation.
|
Page generated in 0.035 seconds