Prevenção para ataques de engenharia social : um estudo sobre a confiança em segurança da informação em uma ótica objetiva, social, estrutural e interdisciplinar utilizando fontes de dados abertos

Souza, Raul Carvalho de

07 August 2015

Dissertação (mestrado)—Universidade de Brasília, Faculdade de Ciência da Informação, Programa de Pós-Graduação em Ciência da Informação, 2015. / Submitted by Raquel Viana (raquelviana@bce.unb.br) on 2015-11-10T16:00:31Z No. of bitstreams: 1 2015_RaulCarvalhodeSouza.pdf: 7798011 bytes, checksum: 4b25bdb86972a16ca6cc0d3c3e811502 (MD5) / Approved for entry into archive by Patrícia Nunes da Silva(patricia@bce.unb.br) on 2015-12-04T14:02:18Z (GMT) No. of bitstreams: 1 2015_RaulCarvalhodeSouza.pdf: 7798011 bytes, checksum: 4b25bdb86972a16ca6cc0d3c3e811502 (MD5) / Made available in DSpace on 2015-12-04T14:02:18Z (GMT). No. of bitstreams: 1 2015_RaulCarvalhodeSouza.pdf: 7798011 bytes, checksum: 4b25bdb86972a16ca6cc0d3c3e811502 (MD5) / Há um embate sobre os aspectos objetivos e os aspectos subjetivos no estabelecimento da confiança interpessoal organizacional. Na contemporaneidade, esse embate gera riscos na segurança da informação (SI) e na segurança cibernética. Este estudo procura demonstrar que o espaço informacional está constantemente ameaçado, em risco de violação das propriedades básicas da segurança da informação. Trata também do abuso da confiança como plausível causa do fracasso de algum projeto organizacional, ou mesmo do malogro da organização por completo, devido à violação das propriedades básicas da segurança da informação. Ao mesmo tempo, a pesquisa investiga definições práticas a respeito da confiança e do risco e foi feita com o auxílio da análise de redes sociais (ARS) e da computação, em uma abordagem interdisciplinar da Ciência da Informação (CI) e métodos para análise de vulnerabilidades em engenharia social. Aqui se defende que os profissionais da segurança da informação da atualidade devem formar-se na área da CI, pois poderiam, com esse conhecimento interdisciplinar, utilizando a ARS, estudar modelos de comportamento informacional nas organizações e nas empresas. Assim, poderiam ser identificados e analisados os fluxos de informações e as comunicações. Desse modo, seria possível a identificação de alguns aspectos objetivos em estruturas sociais por meio da observação, de modo exploratório, de uma nova inteligência, necessária para os assuntos de segurança. A engenharia social é considerada uma das grandes ameaças a serem enfrentadas na segurança da informação, principalmente por que é focada no fator humano. O fator humano pode ser o elemento mais resiliente da segurança, mas pode ser explorado tendo-se em vista suas carências e necessidades. A engenharia social alavanca a confiança nos relacionamentos interpessoais para obter vantagens indevidas. Dessa forma, esta dissertação tenta responder à seguinte questão: como podem ser identificados alvos para ataques de engenharia social no que se refere ao abuso de confiança se utilizando como ferramenta a ARS aplicada em dados abertos? ______________________________________________________________________________________________ ABSTRACT / This work demonstrates that there is a challenge on the objective and subjective aspects in establishing the organizational interpersonal trust. This conjectural collision generates risks in information security (IS) and cyber security, nowadays. This study seeks to demonstrate that the information space is constantly threatened, at risk of violation of the basic information security properties. Shows the abuse of trust as plausible cause of the failure of some organizational project, or even the failure of the organization altogether, for breach of the basic information security properties. Investigates objective definitions regarding trust and risk. Research, with the help of social network analysis (SNA), with the help of computing, in an interdisciplinary approach of Information Science (ISc) methods for analysis of vulnerabilities in Social Engineering. Argues that today's information security professionals should be formed in the area of ISc. This security professionals may use this interdisciplinary knowledge to study, with SNA, this information's behavior's models of organizations and businesses. So, may identificaty and analyses communication and information flows. Thus, it would be possible to identify some objective aspects in social structures, through observation, in a exploratory way, in a new intelligence necessary for security issues. Social engineering is considered one of the greatest threats to be faced in information security, mainly because it is focused on the human factor. The human factor can be the most resilient element of security, but it can be explored from your wants and needs. The Social Engineering lever the interpersonal relationships trust for undue advantage. Thus, this dissertation attempts to answer the question of how may be identified as social engineering's targets attack, in regard to trust abuse, with SNA as a tool applied in open data.

Segurança da informação

Segurança cibernética

Redes sociais - análise

Comportamento informacional

IMPLANTAÇÃO DE UMA GESTÃO DA SEGURANÇA DA INFORMAÇÃO ATRAVÉS DA ABORDAGEM SEIS SIGMA

Oliveira, Maria Angélica Figueiredo

03 March 2009

Coordenação de Aperfeiçoamento de Pessoal de Nível Superior / A segurança, atualmente, é o elemento chave para garantir um dado confiável, integro e disponível, no entanto ela precisa ser vista de forma abrangente na organização e não somente um problema que se refere a área de TI. Pesquisas atuais apontam para uma nova preocupação, o da sustentação da segurança da informação, principalmente por que para minimizar os riscos e controlar as melhorias é necessário que a organização esteja apoiada em uma base sólida que gere esta sustentação. O Seis Sigma é visto como uma das soluções que direcionam a essa sustentação por ser considerado uma abordagem que promove a qualidade através do princípio de melhoria contínua, sendo as pessoas o principal agente para esta promoção. Embora haja estudos que recomendem o Seis Sigma, nenhum deles define como a abordagem poderia ser utilizada ou de que forma as ferramentas da qualidade poderiam ser aplicadas no contexto da segurança. Deste modo, atendendo a esta lacuna, a proposta de implantação apresentada nesta dissertação traz o planejamento de todas as fases de implantação de uma gestão de segurança da informação, estruturadas através do método DMAIC, base operacional do Seis Sigma, conjuntamente com a definição de ferramentas da qualidade e procedimentos que podem ser utilizados em cada uma das fases. O Planejamento de todas as fazes detiveram o foco no cliente interno ou usuário, portanto, as ferramentas e procedimentos propostos tiveram como intento atender a este objetivo, gerando uma gestão baseada em dados, imprimindo com mais veracidade, a realidade e os anseios da organização. A implantação da proposta teve como cenário de aplicação as Unidades de Cardiologia Intensiva e Terapia Intensiva do Hospital Universitário de Santa Maria - HUSM. O resultado da implantação contribuiu para o aumento de 43,8% da qualidade da segurança da informação percebida pelos usuários, o que refletiu também no entendimento sobre o tema, onde atingiu um aumento de 47,3%. Este aumento obtido no entendimento é de vital importância, pois favorece a disseminação do tema nas unidades, proporcionando a formação de uma cultura voltada a segurança da informação, visando a sustentabilidade desejada.

Gestão da segurança da informação

Seis sigma

DMAIC

A dimensão humana no processo de gestão da segurança da informação: um estudo aplicado à Pró-Reitoria de Gestão de Pessoas da Universidade Federal da Paraíba

Araujo, Sueny Gomes Leda

21 March 2016

Submitted by Viviane Lima da Cunha (viviane@biblioteca.ufpb.br) on 2017-04-26T12:11:40Z No. of bitstreams: 1 arquivototal.pdf: 4891600 bytes, checksum: e47187dc1816954c4d1cf20a19490124 (MD5) / Made available in DSpace on 2017-04-26T12:11:40Z (GMT). No. of bitstreams: 1 arquivototal.pdf: 4891600 bytes, checksum: e47187dc1816954c4d1cf20a19490124 (MD5) Previous issue date: 2016-03-21 / The information is presented as an important asset for institutions and needs to be protected adequately against undue destruction, temporary unavailability, adulteration or unauthorized disclosure. Various forms of physical, virtual and human threats jeopardize the security of information. Although the technology is responsible for providing part of the solution to these problems, many of the vulnerabilities of information systems can be attributed to man's actions. In this sense, it is salutary to study the human dimension in these processes. Concerned about the security of information in Federal Public Institutions the government published a series of laws, decrees, rules and reports that guides the implementation of information security management actions in public institutions. Thus, this study aimed to analyze the human dimension in the information security management process in the Dean of Personnel Management (Progep) of the Federal University of Paraíba (UFPB) from the perspective of the rules of the federal government. This research is characterized as descriptive research with qualitative and quantitative approach and case study as the method of investigation. Therefore, the documentary research was used, participant observation and interview as data collection techniques. From the triangulation of the three collection methods for data analysis was applied to content analysis. The sample was made up of nine directors who compose the Dean of Personnel Management. The results allowed identifying the need of UFPB on elaborate a policy of information classification, since its absence turns impossible the management of information security. As for information security awareness, it was noted the absence of actions that could contribute in the awareness of the public employee process, such as information security mentioned at the time of entry / ownership of public employees and collaborators; preparation of the responsibility and confidentiality term; formal disciplinary proceedings for breach of information security; and actions as informative manuals, campaigns, lectures and meetings. In the use of information security controls, there were initiatives of implementation of certain controls, however, the procedures were eventually made in error, without compliance of the regulatory guidelines. Based on the above, the results of this research can help minimize the impact of threats to information security in Progep /UFPB and, as well, contribute to the creation of a safety culture in federal institutions. / A informação apresenta-se como um importante ativo para as instituições, necessitando ser protegida de forma adequada contra destruição indevida, indisponibilidade temporária, adulteração ou divulgação não autorizada. Várias formas de ameaças físicas, virtuais e humanas, comprometem a segurança das informações. Apesar de a tecnologia ser responsável por fornecer parte da solução para esses problemas, muitas das vulnerabilidades dos sistemas de informação podem ser atribuídas às ações do homem. Nesse sentido, torna-se salutar estudar a dimensão humana nesses processos. Preocupado com a segurança da informação nas Instituições Públicas Federais, o governo publicou uma série de leis, decretos, normas e relatórios que orientam a implementação de ações de gestão de segurança da informação nas instituições públicas. Assim, o presente estudo teve por objetivo analisar a dimensão humana no processo de gestão de segurança da informação na Pró-Reitoria de Gestão de Pessoas (Progep) da Universidade Federal da Paraíba (UFPB) sob a ótica das normas do governo federal. Esta pesquisa caracteriza-se como pesquisa descritiva, com abordagem quali-quantitativa e, quanto ao método de investigação, estudo de caso. Para tanto, foi utilizada a pesquisa documental, observação participante e entrevista, como instrumentos de coleta de dados. A partir da triangulação dos três instrumentos de coleta, para a análise dos dados, foi aplicada a análise de conteúdo. A amostra desta pesquisa foi constituída pelos nove diretores que compõem a Pró-Reitoria de Gestão de Pessoas. Os resultados possibilitaram identificar a necessidade da UFPB em elaborar uma política de classificação da informação, uma vez que sua inexistência impossibilita a gestão da segurança da informação. Quanto à conscientização em segurança da informação, observou-se a inexistência de ações que poderiam contribuir no processo de conscientização dos servidores, como: menção à segurança da informação no momento de ingresso/posse de colaboradores e servidores; elaboração do termo de responsabilidade e confidencialidade; processo disciplinar formal para a violação da segurança da informação; e ações como manuais informativos, campanhas, palestras e reuniões. Na utilização dos controles de segurança da informação, observaram-se iniciativas de implantação de determinados controles, entretanto, os procedimentos acabaram sendo realizados de forma equivocada, sem a observância das orientações normativas. Com base no exposto, os resultados desta pesquisa podem auxiliar a minimizar a incidência de ameaças à segurança da informação na Progep/UFPB, bem como contribuir com a criação de uma cultura de segurança em instituições federais.

Segurança da Informação

Política de Segurança da Informação

Normas de Segurança da Informação

Information Security

Information Security Policy

Standards of Information Security

Ameaças, controle, esforço e descontentamento do usuário no comportamento seguro em relação à segurança da informação

Klein, Rodrigo Hickmann

January 2014

Made available in DSpace on 2014-04-25T02:01:53Z (GMT). No. of bitstreams: 1 000456919-Texto+Completo-0.pdf: 1594074 bytes, checksum: be6f174f587aa5ab3eb11944de5f19a5 (MD5) Previous issue date: 2014 / The popularization of softwares intended to mitigate the threats to Information Security ended up producing an incorrect notion that such artifacts can protect organizations from attack and overcome any threat. This mistaken notion may be caused by obtaining partial information on the subject or the lack of adequate awareness, being a human factor that can cause increased vulnerability, because induce a reckless behavior of users in relation to Information Systems. However, only the misconception regarding the perception of the threat and its severity does not justify the in Information Security breaches caused by human factors. Another important insight is the perceived exertion of performing actions that lead to responsible behavior in relation to Information Security, which added to aspects such as indifference to the rules of information security and human error can also be inducing factors of vulnerability and breaches in Information Security. In the present study we opted for the grounding in theories on Information Security through a behavioral approach to the user. The combination of the key concepts of these theories, previously validated in their research and applied to the present study approach, was used in order to understand the extent to which human perception of threat, stress, and disgruntlement control can induce responsible behavior before the Information Security and how that human behavior can generate vulnerability and potential breaches in Information Security. The results showed that there is an influence of Information Security orientation, provided by organizations in the perception and severity of the threat. Furthermore, by applying the linear regression technique, it was verified the relationship between disgruntlement and in relation to Information Security Safe Behaviour. Based on these findings contributions to the academic and practioneer knowledge were developed. / A popularização de softwares que visam mitigar as ameaças à Segurança da Informação acabou produzindo uma noção exacerbada nos usuários a respeito da plena eficácia desses softwares na proteção das organizações e na supressão de qualquer ameaça. Essa noção equivocada pode ser originada pela obtenção de informações parciais sobre o assunto, ou pela falta da conscientização adequada, e é um fator humano que pode provocar acréscimo de vulnerabilidade, pois ocasiona um comportamento imprudente dos usuários em relação aos Sistemas de Informação. Entretanto, somente o equívoco em relação à percepção da ameaça e a sua severidade não explica as brechas na Segurança da Informação provocadas por fatores humanos. Outra percepção importante é o esforço percebido no cumprimento de ações que conduzem a um comportamento responsável em relação à Segurança da Informação, que somados aos aspectos como a indiferença às orientações da Segurança da Informação e o erro humano, também podem ser fatores indutores de vulnerabilidade e brechas na Segurança da Informação. Na presente pesquisa optou-se pelo embasamento em teorias que tratam da Segurança da Informação através de uma abordagem comportamental do usuário. A combinação dos principais conceitos dessas teorias, previamente validados em suas respectivas pesquisas e aplicáveis à abordagem da presente pesquisa, foi utilizada buscando compreender até que ponto a percepção humana sobre ameaça, esforço, controle e o descontentamento podem induzir a um comportamento responsável perante a Segurança da Informação e como esse comportamento humano pode gerar vulnerabilidade e possíveis violações na Segurança da Informação. Os resultados demonstraram que há influência da orientação em Segurança da informação, fornecida pelas organizações, na percepção e severidade da ameaça. Além disso, através da aplicação da técnica de regressão linear, foi verificada a relação entre o descontentamento e o Comportamento Seguro em relação à Segurança da Informação. Com base nesses resultados foram elaboradas contribuições para o conhecimento acadêmico e gerencial.

ADMINISTRAÇÃO

SEGURANÇA DA INFORMAÇÃO

GESTÃO DA INFORMAÇÃO

COMPORTAMENTO

VULNERABILIDADE SOCIAL

USUÁRIOS - TREINAMENTO

Segurança da informação baseada no valor da informação e nos pilares tecnologia, pessoas e processos

Côrte, Kelson

06 June 2014

Tese (doutorado)—Universidade de Brasília, Faculdade de Ciência da Informação, Programa de Pós-Graduação em Ciência da Informação, 2014. / Submitted by Albânia Cézar de Melo (albania@bce.unb.br) on 2014-10-21T13:32:45Z No. of bitstreams: 1 2014_KelsonCorte.pdf: 3678309 bytes, checksum: cc7c69e07dff25f7b5ae7e2fa7954759 (MD5) / Approved for entry into archive by Raquel Viana(raquelviana@bce.unb.br) on 2014-11-04T18:22:54Z (GMT) No. of bitstreams: 1 2014_KelsonCorte.pdf: 3678309 bytes, checksum: cc7c69e07dff25f7b5ae7e2fa7954759 (MD5) / Made available in DSpace on 2014-11-04T18:22:54Z (GMT). No. of bitstreams: 1 2014_KelsonCorte.pdf: 3678309 bytes, checksum: cc7c69e07dff25f7b5ae7e2fa7954759 (MD5) / A informação tem se tornado algo cada vez mais importante para as organizações. Da mesma maneira que um ativo valioso demanda proteção, a informação deve ser protegida, principalmente contra as ameaças que afetam a sua integridade, a sua disponibilidade e a sua confidencialidade. Mesmo quando há preocupação com a segurança, em geral, os resultados obtidos não têm sido satisfatórios, acarretando prejuízos para organizações públicas e privadas, para cidadãos e, até mesmo, para nações. Assim, este estudo propõe um método de avaliação da segurança da informação baseado no valor da informação e nos pilares tecnologia, pessoas e processos. É proposta também, uma metodologia para a mensuração de cada um dos pilares, de tal forma que o possível desbalanceamento existente entre eles seja videnciado. A pesquisa está dividida em três etapas: I. Revisão de literatura sobre os aspectos que envolvem a segurança da informação, com vistas a situá-los no âmbito da ciência da informação e estabelecer a fundamentação teórica; II. Apresentação das proposições do autor; e, III. Compilação e análise dos resultados da aplicação da metodologia proposta, realizada com os bancos estaduais: Banrisul, Banestes, BRB, Banese e Banpará. Durante a pesquisa, pôde-se verificar de que maneira os gestores estimam o valor da informação e, se utilizam esse valor como subsídio para definirem os requisitos de sua proteção. Verificou-se, também, o equilíbrio entre os pilares que sustentam a segurança da informação em cada instituição pesquisada. Concluiu-se que o valor da informação contribui significativamente para a definição dos requisitos de segurança da informação e, que a informação tende a estar mais bem protegida quando os pilares tecnologia, pessoas e processos estão em equilíbrio. ______________________________________________________________________________ ABSTRACT / The information has become something increasingly important for organizations. Like a valuable asset demand protection, the information must be protected, particularly against the threats to its integrity, availability and confidentiality. Even when there is concern about security, in general, the results have not been satisfactory, causing damage to public and private organizations, to citizens and even nations. Thus, this study proposes a method of assessment of information security based on the information value and on the pillars technology, people and processes. It also proposed a methodology for the measurement of each pillar, such that the possible imbalance existing between them can be demonstrated. The research is divided into three steps: I. Review of literature on aspects that involve the information security, in order to situate them in the context of information science and to establish the theoretical ground II. Presentation the author propositions, and III. Compilation and analysis of survey results with state banks: Banrisul Banestes, BRB, Banese and Banpará. During the research, it could be checked how the managers estimate the value of information and if they use this value as an input to define the requirements to protect it. It also could be checked the balance between the pillars that support the information security at each research institution. It was concluded that the value of information contributes significantly to defining the information security requirements and that the information tends to be better protected when the pillars technology, people and processes are in equilibrium.

Segurança da informação

Serviços de informação

Proposta de adaptação do modelo Balanced Scorecard : BSC para a gestão de segurança da informação em órgãos da administração pública

Silva, Rozelito Felix da

14 September 2010

Dissertação (mestrado)—Universidade de Brasília, Faculdade de Tecnologia, Departamento de Engenharia Elétrica, 2010. / Submitted by Allan Wanick Motta (allan_wanick@hotmail.com) on 2011-01-24T17:25:27Z No. of bitstreams: 1 2010_ElisaPereiraBruziguessi.pdf: 16151752 bytes, checksum: 6f9efc25c648a472968b20d7bfaa37bd (MD5) / Approved for entry into archive by Luanna Maia(luanna@bce.unb.br) on 2011-01-30T17:19:43Z (GMT) No. of bitstreams: 1 2010_ElisaPereiraBruziguessi.pdf: 16151752 bytes, checksum: 6f9efc25c648a472968b20d7bfaa37bd (MD5) / Made available in DSpace on 2011-01-30T17:19:43Z (GMT). No. of bitstreams: 1 2010_ElisaPereiraBruziguessi.pdf: 16151752 bytes, checksum: 6f9efc25c648a472968b20d7bfaa37bd (MD5) / O estudo aborda uma proposta de modelo para a gestão de segurança da informação no Departamento de Segurança da Informação e Comunicações (DSIC), adaptado a partir das perspectivas do Balanced Scorecard (BSC), para ser utilizado pelos órgãos da Administração Pública Federal – APF; tal modelo mantém um alinhamento estratégico organizacional com o planejamento estratégico do DSIC. Considera-se na pesquisa a situação atual da gestão estratégica na prática da segurança da informação a partir da identificação dos objetivos estratégicos, metas, indicadores e ações, referentes às perspectivas do BSC, o que permitirá o equilíbrio entre os indicadores de eficiência no acompanhamento das metas de cada órgão da APF, colaborando para uma gestão estratégica integrada, que venha a modernizar a gestão pública, agilizando as tomadas de decisões e a troca de informações. Neste contexto, este trabalho faz uma análise do BSC, verificando as relações de interdependência entre as perspectivas, detectando as limitações para sua implementação no setor público, adaptando e agregando novas perspectivas e finalmente elaborando um modelo de gestão estratégica de segurança da informação, denominado como Balanced Scorecard.Gov (BSC.Gov). Além disso, apresenta uma solução tecnológica para uma sala de situação estratégica que permite a integração com o modelo apresentado, para fins de acompanhamento dos indicadores, os quais irão oferecer informações estratégicas alinhadas às diretrizes estabelecidas pelo Gabinete de Segurança Institucional da Presidência da República (GSI/PR). _______________________________________________________________________________ ABSTRACT / The study addresses a proposed model for the management of information security, applied (adapted) from the perspective of Balanced Scorecard (BSC) in Departament of Information Security and Comunication (DSIC), to be used by the bodies of Federal Public Administration; this model maintains a strategic organizational alignment with the strategic planning of the DSIC. It is considered in this research, the current practice of strategic management of information security through the identification of strategic objectives, goals, indicators and actions, concerning the perspectives of the BSC, this will allow a balance between the performance indicators in monitoring the objectives of the Federal Public Administration, contributing to an integrated strategic management, that will modernize the public administration, streamlining decision making and information exchange. In this context, this paper makes an analysis of BSC, checking the interdependence between the perspectives, identifying the constraints to its implementation in the public sector, adapting and adding new perspectives and ultimately developing a model of strategic management of information security termed as Balanced Scorecard.Gov – BSC.Gov. Beyond that, presents a technical solution for a strategic situation room that enables integration with the shown model, for purposes of monitoring indicators, which will offer strategic information aligned to the guidelines established by the Information Security Cabinet of the Presidency of Republic (GSI/PR).

Balanced scorecard

Segurança da informação

Corinda: heurísticas concorrentes para quebra de senhas / Corinda: concurrent heuristics for password cracking

Rodrigues, Bernardo Araujo

27 August 2018

Submitted by Luciana Ferreira (lucgeral@gmail.com) on 2018-10-01T15:53:01Z No. of bitstreams: 2 Dissertação - Bernardo Araujo Rodrigues - 2018.pdf: 3067186 bytes, checksum: 3e1e3581eaee095c176a4e930796f9cd (MD5) license_rdf: 0 bytes, checksum: d41d8cd98f00b204e9800998ecf8427e (MD5) / Approved for entry into archive by Luciana Ferreira (lucgeral@gmail.com) on 2018-10-02T11:43:06Z (GMT) No. of bitstreams: 2 Dissertação - Bernardo Araujo Rodrigues - 2018.pdf: 3067186 bytes, checksum: 3e1e3581eaee095c176a4e930796f9cd (MD5) license_rdf: 0 bytes, checksum: d41d8cd98f00b204e9800998ecf8427e (MD5) / Made available in DSpace on 2018-10-02T11:43:06Z (GMT). No. of bitstreams: 2 Dissertação - Bernardo Araujo Rodrigues - 2018.pdf: 3067186 bytes, checksum: 3e1e3581eaee095c176a4e930796f9cd (MD5) license_rdf: 0 bytes, checksum: d41d8cd98f00b204e9800998ecf8427e (MD5) Previous issue date: 2018-08-27 / Coordenação de Aperfeiçoamento de Pessoal de Nível Superior - CAPES / This work proposes the development of a software with the purpose of cracking passwords based on concurrent heuristic algorithms, first order model theory and statistical inference. The proposed methodology is developed on the Go programming language, with focus on communicating sequential processes. The software uses concurrent heuristic algorithms based on statistical patterns derived from sample sets to perform password cracking. Distinct statistical distributions are detected on sample sets. The software is able to crack significant portions of three diferente password sets in short periods of time. It is concluded that concurrent heuristic algorithms are a viable alternative to perform Central Processing Unit password cracking and can be used to raise awareness amonsgt users about the importance of high entropy passwords and digital privacy. / Propõe-se neste trabalho o desenvolvimento de software para quebra de senhas baseado em algoritmos heurísticos concorrentes, teoria dos modelos de primeira ordem e inferência estatística. A metodologia proposta é desenvolvida na linguagem de programação Go, que possui foco em processos sequenciais comunicantes. O software utiliza algoritmos heurísticos concorrentes criados a partir de padrões estatísticos identificados em conjuntos de amostras para realizar quebra de senhas. O software é capaz de quebrar porções significativas de três diferentes conjuntos de senhas em curto período de tempo. Conclui-se que heurísticas concorrentes são alternativa viável para realizar a quebra de senhas em Unidades Centrais de Processamento, podendo ser utilizada para conscientizar usuários sobre a importância de senhas de alta entropia e privacidade digital.

Senhas

Segurança da informação

Passwords

Information security

Proposta de um modelo de segurança da informação: o caso de uma aplicação no Colégio Pedro II

Oliveira, Cezar Bastos de

08 December 2016

Submitted by Joana Azevedo (joanad@id.uff.br) on 2017-06-29T19:38:42Z No. of bitstreams: 1 Dissert Cezar Bastos de Oliveira.pdf: 2047343 bytes, checksum: 76544dd64d3e9ae36ffb755cf285fdbd (MD5) / Approved for entry into archive by Biblioteca da Escola de Engenharia (bee@ndc.uff.br) on 2017-07-10T14:35:58Z (GMT) No. of bitstreams: 1 Dissert Cezar Bastos de Oliveira.pdf: 2047343 bytes, checksum: 76544dd64d3e9ae36ffb755cf285fdbd (MD5) / Made available in DSpace on 2017-07-10T14:35:58Z (GMT). No. of bitstreams: 1 Dissert Cezar Bastos de Oliveira.pdf: 2047343 bytes, checksum: 76544dd64d3e9ae36ffb755cf285fdbd (MD5) Previous issue date: 2016-12-08 / O estudo da Ciência da Informação é um campo interdisciplinar muito importante para a sociedade, em todos os ramos do conhecimento. Nas instituições, principalmente as públicas, é importante uma boa Gestão da Informação a fim de reduzir ao mínimo os riscos dela advindos. Após os eventos de 11 de setembro de 2001 nos Estados Unidos, a necessidade de sistemas que preservem com mais segurança as informações tem sido uma preocupação constante. Assim é que se estabelecem várias regras de boas práticas para a Segurança da Informação. O presente trabalho tem o objetivo de realizar uma revisão bibliográfica e um estudo documental sobre os conceitos relacionados à Informação, Segurança da Informação, Gestão de Riscos, normas, legislação e melhores práticas existentes, utilizando a Norma NBR ISO 17799 como referência assim como modelos encontrados na literatura e de outras Instituições similares. A partir deste estudo, propor um modelo de política de segurança da informação, baseado no caso de aplicação do Colégio Pedro II, mas bem abrangente, que contemple ao máximo as especificidades das Instituições de Ensino e que possa servir de modelo para que as Instituições similares possam desenvolver, a partir dele, sua Política de Segurança. Nele apresentam-se os princípios, diretrizes básicas e responsabilidades de uma Política de Segurança, utilizando os conceitos estudados na revisão bibliográfica. / The study of Information Science is a very important interdisciplinary field for society, in all branches of knowledge. In institutions, especially public institutions, good information management is important in order to minimize the risks that arise from it. Following the events of September 11, 2001 in the United States, the need for more secure information systems has been a constant concern. This is how a number of good practice rules for information security are established. The present work has the objective of carrying out a bibliographic review and a documentary study on the concepts related to Information, Information Security, Risk Management, norms, legislation and existing best practices, using the Standard NBR ISO 17799 as reference as well as models found In literature and other similar institutions. From this study, to propose a model of information security policy, based on the case of application of the Pedro II College, but very comprehensive, that contemplates to the maximum the specificities of the Teaching Institutions and that can serve as a model so that similar Institutions To develop, from it, its Security Policy. It presents the principles, basic guidelines and responsibilities of a Security Policy, using the concepts studied in the bibliographic review.

Informação

Segurança da informação

Medidas de segurança

Política de segurança

Informação

Segurança da informação

Medida de segurança

Information

Security of the information

Measures of security

Security policies

Modelo de suporte a políticas e gestão de riscos de segurança voltado à terceirização de TIC, computação em nuvem e mobilidade. / Support framework for security policies and risk management focused on ITC outsourcing, cloud computing and mobility.

Leandro José Aguilar Andrijic Malandrin

05 April 2013

O cenário tecnológico é um fator importante a ser considerado ao se trabalhar com Sistemas de Gestão de Segurança da Informação (SGSI). No entanto, nos últimos anos esse cenário se alterou profundamente, aumentando em complexidade de maneira até antes não vista. Caracterizado principalmente por tendências tecnológicas como a terceirização de infraestrutura de TIC, a computação em nuvem e a mobilidade, o cenário externo atual gera grandes novos desafios de segurança. A abordagem típica para tratar com mudanças de cenário em SGSIs é uma revisão da análise de riscos e a implantação de novos controles de segurança. No entanto, frente a um cenário tão disruptivo, riscos podem passar despercebidos, devido à falta de conhecimento sobre os novos elementos introduzidos por esse cenário. Por causa disso, adaptações mais profundas, durante o próprio planejamento do SGSI, são necessárias. Usando a norma de segurança ISO/IEC 27001 como referência, esse trabalho introduz um modelo de suporte que permite a identificação dessas adaptações. Para construir esse modelo, foram inicialmente levantados os riscos referentes a cada uma das três tendências tecnológicas listadas. Esses riscos foram compilados e analisados em conjunto, buscando a identificação de temas de preocupação recorrentes entre eles. Para endereçar cada um dos temas dentro do modelo de suporte, foram levantadas adaptações do SGSI sugeridas na literatura e na prática de segurança. Essas adaptações foram transformadas em pontos de checagem a serem observados durante a execução das duas atividades principais da fase de Planejamento do SGSI da ISO/IEC 27001: definição de políticas de segurança e gestão de riscos. A contribuição principal do trabalho é um modelo de suporte de segurança com o qual as organizações podem adaptar o seu SGSI e assim melhor protegerem suas informações frente ao cenário tecnológico externo descrito. Como contribuição secundária está a sugestão de uma análise unificada com foco em segurança das tendências tecnológicas desse cenário. / The technological scenario is an important factor to be considered while working with Information Security Management Systems (ISMS). However, in the latter years this scenario has changed deeply, increasing in complexity in a way not seen so far. Characterized mainly by the heavy use of ITC infrastructure outsourcing, cloud computing and mobility, the current external scenario creates big new security challenges. The typical approach to handle changes of scenarios in ISMSs is a risk assessment review and deployment of new security controls. However, when considering such a disruptive scenario, some risks may go unnoticed, due to the lack of knowledge of the elements introduced by this scenario. Because of that, deeper adaptations are needed, during the actual ISMS planning. Using the ISO/IEC 27001 as a reference, this research introduces a framework for the identification of these adaptations. To build this framework, risks related to each of the three technological trends mentioned were identified. These risks were compiled and analyzed together, searching for recurring themes of concern among them. To address each of these themes in the framework, ISMS adaptations suggested in the security literature and practice were identified. These adaptations were transformed in checkpoints to be verified during the execution of the two main activities of the ISO/IEC 27001 ISMS Plan phase: security policies definition and risk management. The main contribution of this research is a framework which can help organizations adapt their ISMSs and better protect their information in the technological scenario described. As a secondary contribution is the proposal of a unified security analysis of the distinct security trends of the external scenario.

Computação em nuvem

Gestão de riscos

Gestão de segurança da informação

Mobilidade

Políticas de segurança

Segurança da informação

Terceirização

Cloud computing

Information security

Information security management

Mobility

Outsourcing

Risk analysis

Security policies

Modelo de suporte a políticas e gestão de riscos de segurança voltado à terceirização de TIC, computação em nuvem e mobilidade. / Support framework for security policies and risk management focused on ITC outsourcing, cloud computing and mobility.

Malandrin, Leandro José Aguilar Andrijic

05 April 2013

O cenário tecnológico é um fator importante a ser considerado ao se trabalhar com Sistemas de Gestão de Segurança da Informação (SGSI). No entanto, nos últimos anos esse cenário se alterou profundamente, aumentando em complexidade de maneira até antes não vista. Caracterizado principalmente por tendências tecnológicas como a terceirização de infraestrutura de TIC, a computação em nuvem e a mobilidade, o cenário externo atual gera grandes novos desafios de segurança. A abordagem típica para tratar com mudanças de cenário em SGSIs é uma revisão da análise de riscos e a implantação de novos controles de segurança. No entanto, frente a um cenário tão disruptivo, riscos podem passar despercebidos, devido à falta de conhecimento sobre os novos elementos introduzidos por esse cenário. Por causa disso, adaptações mais profundas, durante o próprio planejamento do SGSI, são necessárias. Usando a norma de segurança ISO/IEC 27001 como referência, esse trabalho introduz um modelo de suporte que permite a identificação dessas adaptações. Para construir esse modelo, foram inicialmente levantados os riscos referentes a cada uma das três tendências tecnológicas listadas. Esses riscos foram compilados e analisados em conjunto, buscando a identificação de temas de preocupação recorrentes entre eles. Para endereçar cada um dos temas dentro do modelo de suporte, foram levantadas adaptações do SGSI sugeridas na literatura e na prática de segurança. Essas adaptações foram transformadas em pontos de checagem a serem observados durante a execução das duas atividades principais da fase de Planejamento do SGSI da ISO/IEC 27001: definição de políticas de segurança e gestão de riscos. A contribuição principal do trabalho é um modelo de suporte de segurança com o qual as organizações podem adaptar o seu SGSI e assim melhor protegerem suas informações frente ao cenário tecnológico externo descrito. Como contribuição secundária está a sugestão de uma análise unificada com foco em segurança das tendências tecnológicas desse cenário. / The technological scenario is an important factor to be considered while working with Information Security Management Systems (ISMS). However, in the latter years this scenario has changed deeply, increasing in complexity in a way not seen so far. Characterized mainly by the heavy use of ITC infrastructure outsourcing, cloud computing and mobility, the current external scenario creates big new security challenges. The typical approach to handle changes of scenarios in ISMSs is a risk assessment review and deployment of new security controls. However, when considering such a disruptive scenario, some risks may go unnoticed, due to the lack of knowledge of the elements introduced by this scenario. Because of that, deeper adaptations are needed, during the actual ISMS planning. Using the ISO/IEC 27001 as a reference, this research introduces a framework for the identification of these adaptations. To build this framework, risks related to each of the three technological trends mentioned were identified. These risks were compiled and analyzed together, searching for recurring themes of concern among them. To address each of these themes in the framework, ISMS adaptations suggested in the security literature and practice were identified. These adaptations were transformed in checkpoints to be verified during the execution of the two main activities of the ISO/IEC 27001 ISMS Plan phase: security policies definition and risk management. The main contribution of this research is a framework which can help organizations adapt their ISMSs and better protect their information in the technological scenario described. As a secondary contribution is the proposal of a unified security analysis of the distinct security trends of the external scenario.

Cloud computing

Computação em nuvem

Gestão de riscos

Gestão de segurança da informação

Information security

Information security management

Mobilidade

Mobility

Outsourcing

Políticas de segurança

Risk analysis

Security policies

Segurança da informação

Terceirização