11 |
Gestão de segurança da informação : implementação da Norma BS7799-2:2002 em uma instituição financeiraLessa, Guilherme Gonçalves January 2006 (has links)
Na sociedade contemporânea, não há dúvidas sobre a importância, a relevância e o poder que a informação possui. Nas organizações, também são crescentes a sua importância estratégica e os riscos que lhe são associados, bem como a necessidade de uma boa Gestão da Informação. Certos eventos de maiores conseqüências, tais como os ocorridos em 11 de setembro de 2001, nos Estados Unidos da América, apresentaram uma nova realidade relacionada às necessidades de um sistema para a preservação adequada de informações e aos impactos da integridade destas informações sobre a continuidade dos negócios. A partir de preocupações relacionadas a este tema, foram estabelecidos os fundamentos da Segurança da Informação. A presente pesquisa identifica quais as melhores práticas atualmente existentes para uma gestão adequada da Segurança da Informação nas organizações, a partir de um estudo de caso sobre o processo de implementação de um Sistema de Gestão de Segurança de Informação em uma Instituição Financeira de pequeno porte, baseado na norma BS7799-2:2002. Ao final do presente trabalho, será apresentado o modelo genérico resultante desta pesquisa, contendo as etapas e as atividades necessárias para a implementação de um Sistema de Gestão de Segurança de Informação, os principais componentes a serem implementados e alguns dos principais fatores críticos de sucesso desta implementação. / In modern society, there is no doubt upon the importance, the relevance or the power that information possesses. Within organizations, its strategic importance and its associated risks are also growing, as well as the needs for a good Information Managing. Certain events with more significant consequences, such as the ones occurred in September 11, 2001, in the United States of America, have presented a new reality related to the necessity of an adequate system to preserve information, as well as related to this integrity impacts on business continuity. From questions concerning this subject, were established the main points of Information Security. The present research identifies the best current existing practices for an adequate Information Security Management in organizations, from a case study performed on the implementation process of a System of Information Security Management in a small size Financial Institution, based on the norm BS7799-2:2002. At the end of the present work, it will be presented the generic model that resulted from this research, containing the different steps and activities which are necessary for implementing of a System of Information Security Management, and the main components to be implemented, and some of the most critical success factors on this implementation.
|
12 |
Gestão de segurança da informação : implementação da Norma BS7799-2:2002 em uma instituição financeiraLessa, Guilherme Gonçalves January 2006 (has links)
Na sociedade contemporânea, não há dúvidas sobre a importância, a relevância e o poder que a informação possui. Nas organizações, também são crescentes a sua importância estratégica e os riscos que lhe são associados, bem como a necessidade de uma boa Gestão da Informação. Certos eventos de maiores conseqüências, tais como os ocorridos em 11 de setembro de 2001, nos Estados Unidos da América, apresentaram uma nova realidade relacionada às necessidades de um sistema para a preservação adequada de informações e aos impactos da integridade destas informações sobre a continuidade dos negócios. A partir de preocupações relacionadas a este tema, foram estabelecidos os fundamentos da Segurança da Informação. A presente pesquisa identifica quais as melhores práticas atualmente existentes para uma gestão adequada da Segurança da Informação nas organizações, a partir de um estudo de caso sobre o processo de implementação de um Sistema de Gestão de Segurança de Informação em uma Instituição Financeira de pequeno porte, baseado na norma BS7799-2:2002. Ao final do presente trabalho, será apresentado o modelo genérico resultante desta pesquisa, contendo as etapas e as atividades necessárias para a implementação de um Sistema de Gestão de Segurança de Informação, os principais componentes a serem implementados e alguns dos principais fatores críticos de sucesso desta implementação. / In modern society, there is no doubt upon the importance, the relevance or the power that information possesses. Within organizations, its strategic importance and its associated risks are also growing, as well as the needs for a good Information Managing. Certain events with more significant consequences, such as the ones occurred in September 11, 2001, in the United States of America, have presented a new reality related to the necessity of an adequate system to preserve information, as well as related to this integrity impacts on business continuity. From questions concerning this subject, were established the main points of Information Security. The present research identifies the best current existing practices for an adequate Information Security Management in organizations, from a case study performed on the implementation process of a System of Information Security Management in a small size Financial Institution, based on the norm BS7799-2:2002. At the end of the present work, it will be presented the generic model that resulted from this research, containing the different steps and activities which are necessary for implementing of a System of Information Security Management, and the main components to be implemented, and some of the most critical success factors on this implementation.
|
13 |
Utilização de dicionários probabilísticos personalizados para decifrar arquivos em análises periciais / Use of custom probabilistic dictionaries to decipher files during a forensic analysisKuppens, Luciano Lima 31 January 2012 (has links)
Dissertação (mestrado)—Universidade de Brasília, Faculdade de Tecnologia, Departamento de Engenharia Elétrica, 2012. / Submitted by Albânia Cézar de Melo (albania@bce.unb.br) on 2012-05-10T15:38:13Z
No. of bitstreams: 1
2012_LucianoLimaKuppens.pdf: 5066405 bytes, checksum: ab18cae97010a1dd52e0b70215687822 (MD5) / Approved for entry into archive by Marília Freitas(marilia@bce.unb.br) on 2012-05-11T14:38:03Z (GMT) No. of bitstreams: 1
2012_LucianoLimaKuppens.pdf: 5066405 bytes, checksum: ab18cae97010a1dd52e0b70215687822 (MD5) / Made available in DSpace on 2012-05-11T14:38:03Z (GMT). No. of bitstreams: 1
2012_LucianoLimaKuppens.pdf: 5066405 bytes, checksum: ab18cae97010a1dd52e0b70215687822 (MD5) / O objetivo do presente trabalho é determinar se senhas geradas com gramáticas probabilísticas especializadas são mais eficazes para decifrar arquivos que os métodos normalmente utilizados durante uma análise pericial. Foi realizado um extenso estudo sobre utilização de senhas e uma análise comparativa dos métodos existentes para recuperá-las. O resultado da análise de cinquenta mil senhas de usuários brasileiros foi apresentado. Com essas senhas, coletadas durante a elaboração desta obra, foi criada uma gramática probabilística especializada brasileira que se mostrou bastante eficaz em relação a outras técnicas de recuperação de senhas, como regras de alteração, cadeias de Markov e força bruta. Essa gramática recuperou senhas mais complexas e mais rapidamente que as outras técnicas. No total, utilizando todos os métodos, foram descobertas 85% das senhas do grupo de controle. Finalmente, para utilização prática durante análises periciais, foi proposto o uso de Dicionários Probabilísticos Personalizados criados a partir da gramática brasileira e de dados biográficos e palavras-chave do caso sendo analisado. ______________________________________________________________________________ ABSTRACT / The objective of this study is to determine whether passwords generated with specialized probabilistic grammars are more effective to decipher files than the methods typically used during a forensic analysis. We conducted an extensive study on the use of passwords and a comparative analysis of existing methods to retrieve them. The result of the analysis of
fifty thousand Brazilian user passwords was presented. With these passwords, collected during the preparation of this work, a Brazilian specialized probabilistic grammar was
created. It proved quite effective in relation to other password recovery techniques, such as mangling rules, Markov chains and brute force. This grammar recovered faster and more
complex passwords than the other techniques. In total, using all methods, 85% of passwords in the control group were discovered. Finally, for real application during a
forensic analysis, we proposed the use of Custom Probabilistic Dictionaries created from the Brazilian grammar, biographical data and the wordlist of the case under analysis.
|
14 |
A segurança da informação no CNPq : alinhamento à legislação e às boas práticas vigentesOliveira, Fábio Cezar de 16 December 2013 (has links)
Dissertação (mestrado)—Universidade de Brasília, Centro de Desenvolvimento Sustentável, 2014. / Submitted by Laura Conceição (laurinha.to@gmail.com) on 2014-11-20T19:47:20Z
No. of bitstreams: 1
2013_FabioCezardeOliveira.pdf: 753735 bytes, checksum: 48778dd1e568062db940762b9d1a5cef (MD5) / Approved for entry into archive by Guimaraes Jacqueline(jacqueline.guimaraes@bce.unb.br) on 2014-11-25T15:13:14Z (GMT) No. of bitstreams: 1
2013_FabioCezardeOliveira.pdf: 753735 bytes, checksum: 48778dd1e568062db940762b9d1a5cef (MD5) / Made available in DSpace on 2014-11-25T15:13:14Z (GMT). No. of bitstreams: 1
2013_FabioCezardeOliveira.pdf: 753735 bytes, checksum: 48778dd1e568062db940762b9d1a5cef (MD5) / Este trabalho tem por finalidade apresentar um estudo de conformidade das atividades de Segurança da Informação e Comunicações do CNPq com as normas vigentes relativas ao tema. Realiza a análise de um conjunto de normas baixadas pelo Governo Federal e, também, de publicações especializadas do mercado, relativas à Segurança da Informação e Comunicações, fazendo um mapeamento de todos os controles determinados e sugeridos no escopo dessas publicações ou dessas normas, e, a partir dos subsídios fornecidos pela pesquisa, propõe a criação de um instrumento de verificação periódica de conformidade. Como resultado, apresenta os percentuais de conformidade encontrados no período de estudo, em relação a cada Norma estudada e, também, relativos a cada área que compõe o universo da Segurança da Informação e Comunicações, apresentando uma série de recomendações que visam melhorar a gestão de Segurança da Informação e Comunicações no CNPq. Indica, também, que o modelo utilizado no estudo pode servir de base para a criação desse instrumento proposto de verificação de conformidade. ________________________________________________________________________________ ABSTRACT / This study has the purpose of presenting a CNPq Information and Communications Security compliance activities study, according to the current regulations on the subject. It analyzes the set of norms issued by the Federal Government. It also examines specialized market publications regarding Information and Communications Security, and maps out all the controls determined and suggested in the scope of these publications or these regulations. Based on the resources provided by this survey, it proposes the creation of an instrument for periodic compliance verification. As a result, it presents the compliance percentages encountered during the study period, pertaining to each norm studied, and also, in relation to each area that composes the world of Information and Communications Security, offering a series of suggestions, with the objective of improving the management of Information and Communications Security at CNPq. It also demonstrates that the model utilized in the study can serve as the basis for the creation of this proposed compliance verification instrument.
|
15 |
Gestão de segurança da informação : implementação da Norma BS7799-2:2002 em uma instituição financeiraLessa, Guilherme Gonçalves January 2006 (has links)
Na sociedade contemporânea, não há dúvidas sobre a importância, a relevância e o poder que a informação possui. Nas organizações, também são crescentes a sua importância estratégica e os riscos que lhe são associados, bem como a necessidade de uma boa Gestão da Informação. Certos eventos de maiores conseqüências, tais como os ocorridos em 11 de setembro de 2001, nos Estados Unidos da América, apresentaram uma nova realidade relacionada às necessidades de um sistema para a preservação adequada de informações e aos impactos da integridade destas informações sobre a continuidade dos negócios. A partir de preocupações relacionadas a este tema, foram estabelecidos os fundamentos da Segurança da Informação. A presente pesquisa identifica quais as melhores práticas atualmente existentes para uma gestão adequada da Segurança da Informação nas organizações, a partir de um estudo de caso sobre o processo de implementação de um Sistema de Gestão de Segurança de Informação em uma Instituição Financeira de pequeno porte, baseado na norma BS7799-2:2002. Ao final do presente trabalho, será apresentado o modelo genérico resultante desta pesquisa, contendo as etapas e as atividades necessárias para a implementação de um Sistema de Gestão de Segurança de Informação, os principais componentes a serem implementados e alguns dos principais fatores críticos de sucesso desta implementação. / In modern society, there is no doubt upon the importance, the relevance or the power that information possesses. Within organizations, its strategic importance and its associated risks are also growing, as well as the needs for a good Information Managing. Certain events with more significant consequences, such as the ones occurred in September 11, 2001, in the United States of America, have presented a new reality related to the necessity of an adequate system to preserve information, as well as related to this integrity impacts on business continuity. From questions concerning this subject, were established the main points of Information Security. The present research identifies the best current existing practices for an adequate Information Security Management in organizations, from a case study performed on the implementation process of a System of Information Security Management in a small size Financial Institution, based on the norm BS7799-2:2002. At the end of the present work, it will be presented the generic model that resulted from this research, containing the different steps and activities which are necessary for implementing of a System of Information Security Management, and the main components to be implemented, and some of the most critical success factors on this implementation.
|
16 |
Arquitetura de aplicativos móveis com fluxo seguro de informação. / Architecture of mobile applications with information flow control.Paiva, Oscar Zibordi de 17 May 2016 (has links)
A adoção de lojas de aplicativos e Open APIs por um número crescente de empresas, muitas nem mesmo atuantes no ramo de tecnologia, revela o interesse das mesmas em exteriorizar a concepção e desenvolvimento de software corporativo. Com isso, as empresas almejam multiplicar as funcionalidades disponíveis a seus clientes, utilizando uma fração do custo e do tempo que seriam tradicionalmente gastos para fazê-lo. Ao mesmo tempo, o acesso a dados e sistemas corporativos por softwares de desenvolvedores potencialmente desconhecidos suscita preocupações de segurança, tornando-se imperativo garantir a adequação desses softwares às políticas de segurança institucionais. Entretanto, carece-se de meios automáticos capazes de garantir a mencionada adequação nas plataformas móveis, seja nos seus ambientes de execução ou em seus kits de desenvolvimento de software. Este trabalho, utilizando de ideias recentes da área de Controle de Fluxo de Informação, propõe a arquitetura de um ambiente de execução para aplicativos móveis que garante por construção a adequação dos mesmos a determinadas políticas de confidencialidade e integridade de dados, mesmo na presença de código malicioso. A praticidade de tal arquitetura é validada através da implementação de um aplicativo exemplo. Tal implementação ilustra o funcionamento dos mecanismos de segurança propostos e a compatibilidade dos mesmos a um conjunto de funcionalidades adequado ao cenário de manipulação de dados corporativos. / The adoption of application stores and Open APIs by a growing number of companies, many of them not even related to the technology business, reveals their interest in externalizing the conception and development of corporate software. By doing so, these companies expect to multiply the number of functionalities available to their customers, spending a fraction of the traditionally required time and cost. On the other hand, access to corporate data and services by software developed by potentially unknown parties raises security concerns, making it imperative to ensure the adequacy of the mentioned software to the institutional security policies. Nevertheless, there is a lack of automatic tools capable of guaranteeing the mentioned adequacy in mobile platforms, either in their runtime environments or in their software development kits. This work, using recent ideas from the Information Flow Control area, proposes the architecture of a run-time environment for mobile applications that guarantees by construction their adequacy to some confidentiality and integrity policies, even in the presence of malicious code. The practicality of this architecture is validated by the implementation of an example application. This implementation illustrates the working of the proposed security mechanisms and their compatibility to a set of functionalities relevant to the scenario of corporate data manipulation.
|
17 |
Arquitetura de aplicativos móveis com fluxo seguro de informação. / Architecture of mobile applications with information flow control.Oscar Zibordi de Paiva 17 May 2016 (has links)
A adoção de lojas de aplicativos e Open APIs por um número crescente de empresas, muitas nem mesmo atuantes no ramo de tecnologia, revela o interesse das mesmas em exteriorizar a concepção e desenvolvimento de software corporativo. Com isso, as empresas almejam multiplicar as funcionalidades disponíveis a seus clientes, utilizando uma fração do custo e do tempo que seriam tradicionalmente gastos para fazê-lo. Ao mesmo tempo, o acesso a dados e sistemas corporativos por softwares de desenvolvedores potencialmente desconhecidos suscita preocupações de segurança, tornando-se imperativo garantir a adequação desses softwares às políticas de segurança institucionais. Entretanto, carece-se de meios automáticos capazes de garantir a mencionada adequação nas plataformas móveis, seja nos seus ambientes de execução ou em seus kits de desenvolvimento de software. Este trabalho, utilizando de ideias recentes da área de Controle de Fluxo de Informação, propõe a arquitetura de um ambiente de execução para aplicativos móveis que garante por construção a adequação dos mesmos a determinadas políticas de confidencialidade e integridade de dados, mesmo na presença de código malicioso. A praticidade de tal arquitetura é validada através da implementação de um aplicativo exemplo. Tal implementação ilustra o funcionamento dos mecanismos de segurança propostos e a compatibilidade dos mesmos a um conjunto de funcionalidades adequado ao cenário de manipulação de dados corporativos. / The adoption of application stores and Open APIs by a growing number of companies, many of them not even related to the technology business, reveals their interest in externalizing the conception and development of corporate software. By doing so, these companies expect to multiply the number of functionalities available to their customers, spending a fraction of the traditionally required time and cost. On the other hand, access to corporate data and services by software developed by potentially unknown parties raises security concerns, making it imperative to ensure the adequacy of the mentioned software to the institutional security policies. Nevertheless, there is a lack of automatic tools capable of guaranteeing the mentioned adequacy in mobile platforms, either in their runtime environments or in their software development kits. This work, using recent ideas from the Information Flow Control area, proposes the architecture of a run-time environment for mobile applications that guarantees by construction their adequacy to some confidentiality and integrity policies, even in the presence of malicious code. The practicality of this architecture is validated by the implementation of an example application. This implementation illustrates the working of the proposed security mechanisms and their compatibility to a set of functionalities relevant to the scenario of corporate data manipulation.
|
18 |
Novos ataques de canal secundário a dispositivos de entrada manual de dados confidenciais. / New side-channel attacks on devices for manual input of sensitive data.Faria, Gerson de Souza 09 December 2016 (has links)
Esta tese apresenta três novos ataques a equipamentos de pagamento eletrônico que possuem teclado mecânico, conhecidos como \"PIN pads\". Mostramos de três formas distintas como tais equipamentos possuem vulnerabilidades de segurança na camada física que permitem o vazamento do PIN (Personal Identification Number) quando o mesmo é digitado. Demonstramos experimentalmente que é possível inferir com elevada taxa de acerto (100% em um dos ataques) a senha digitada, de forma não-invasiva. Os ataques desenvolvidos são baseados na introdução de sensores nos próprios equipamentos ou em seu ambiente de operação: acelerômetros para análise de vibração, microfones para análise acústica e células de carga para medição de forças do pressionamento. Devido à massificação no uso de sensores por dispositivos de consumo, o roubo de informação por meios não convencionais é atividade crescente. Os resultados dos ataques de baixo custo realizados expõem sérias deficiências no processo de certificação de segurança de tais equipamentos. / This thesis presents three new attacks on electronic payment equipment having mechanical keypads, known as \"PIN pads\". We show in three different ways how they have security vulnerabilities at the physical layer allowing the leak of the PIN (Personal Identification Number) when it is entered. We experimentally demonstrated that it is possible to infer with high success rate (100% in one of the attacks) the password entered on the device, in a non-invasive way. The attacks are based on the placement of sensors inside the equipment itself or in its operating environment: accelerometers for doing vibration analysis, microphones for acoustic analysis and load cells for measuring the pressing force. Due to massive deployment of sensors in consumer devices, information theft by unconventional means is increasing. The results of the low-cost attacks here developed expose serious shortcomings in the process of security certification of such equipment.
|
19 |
Novos ataques de canal secundário a dispositivos de entrada manual de dados confidenciais. / New side-channel attacks on devices for manual input of sensitive data.Gerson de Souza Faria 09 December 2016 (has links)
Esta tese apresenta três novos ataques a equipamentos de pagamento eletrônico que possuem teclado mecânico, conhecidos como \"PIN pads\". Mostramos de três formas distintas como tais equipamentos possuem vulnerabilidades de segurança na camada física que permitem o vazamento do PIN (Personal Identification Number) quando o mesmo é digitado. Demonstramos experimentalmente que é possível inferir com elevada taxa de acerto (100% em um dos ataques) a senha digitada, de forma não-invasiva. Os ataques desenvolvidos são baseados na introdução de sensores nos próprios equipamentos ou em seu ambiente de operação: acelerômetros para análise de vibração, microfones para análise acústica e células de carga para medição de forças do pressionamento. Devido à massificação no uso de sensores por dispositivos de consumo, o roubo de informação por meios não convencionais é atividade crescente. Os resultados dos ataques de baixo custo realizados expõem sérias deficiências no processo de certificação de segurança de tais equipamentos. / This thesis presents three new attacks on electronic payment equipment having mechanical keypads, known as \"PIN pads\". We show in three different ways how they have security vulnerabilities at the physical layer allowing the leak of the PIN (Personal Identification Number) when it is entered. We experimentally demonstrated that it is possible to infer with high success rate (100% in one of the attacks) the password entered on the device, in a non-invasive way. The attacks are based on the placement of sensors inside the equipment itself or in its operating environment: accelerometers for doing vibration analysis, microphones for acoustic analysis and load cells for measuring the pressing force. Due to massive deployment of sensors in consumer devices, information theft by unconventional means is increasing. The results of the low-cost attacks here developed expose serious shortcomings in the process of security certification of such equipment.
|
Page generated in 0.085 seconds