Sig cap8 seguranca_e_desafioseticos

23/05/2011

1

Segurança e Desafios Éticos de

e-Business

Prof. Eng. Fábio Bonifácio [email protected]

08 Segurança e Desafios Éticos de e-Business

[email protected] Prof. Fábio Bonifácio

•Identificar diversos problemas éticos causados pelo uso das tecnologias de informação em e-business, tais como os relacionados ao emprego, à personalidade, às condições de trabalho, à privacidade, ao crime, à saúde e às soluções para problemas sociais.

•Identificar diversos tipos de estratégias e defesas de gerenciamento de segurança e explicar como elas podem ser utilizadas para garantir a segurança de aplicações de e-business.

Objetivos do Capítulo

23/05/2011

2



Objetivos do Capítulo (cont.)

• Propor alternativas capazes de auxiliar os gerentes e os profissionais das empresas a diminuir os efeitos nocivos e aumentar os efeitos benéficos do uso da tecnologia de informação.



Desafios Éticos e Segurança

SEGURANÇA DISPONIBILIDADE

23/05/2011

3




“O conceito de Segurança Informática ou Segurança de

Computadores está intimamente relacionado com o de

Segurança da Informação, incluindo não apenas a segurança

dos dados/informação, mas também a dos sistemas em si.”




A tríade CIA (Confidentiality, Integrity and Availability) --

Confidencialidade, Integridade e Disponibilidade --

representa os principais atributos que, atualmente, orientam a

análise, o planejamento e a implementação da segurança para

um determinado grupo de informações que se deseja proteger.

Outros atributos importantes são a irretratabilidade e a

autenticidade. Com o evoluir do comércio eletrônico e da

sociedade da informação, a privacidade é também uma grande

preocupação.

23/05/2011

4




Portanto os atributos básicos, segundo os padrões

internacionais (ISO/IEC 17799:2005) são os seguintes:

Confidencialidade - propriedade que limita o acesso a informação tão

somente às entidades legítimas, ou seja, àquelas autorizadas pelo

proprietário da informação.

Integridade - propriedade que garante que a informação manipulada

mantenha todas as características originais estabelecidas pelo proprietário

da informação, incluindo controle de mudanças e garantia do seu ciclo de

vida (nascimento, manutenção e destruição).

Disponibilidade - propriedade que garante que a informação esteja sempre

disponível para o uso legítimo, ou seja, por aqueles usuários autorizados

pelo proprietário da informação.




Em Segurança da informação, chama-se Engenharia Social

as práticas utilizadas para obter acesso a informações

importantes ou sigilosas em organizações ou sistemas por

meio da enganação ou exploração da confiança das pessoas.

Para isso, o golpista pode se passar por outra pessoa, assumir

outra personalidade, fingir que é um profissional de

determinada área, etc. É uma forma de entrar em organizações

que não necessita da força bruta ou de erros em máquinas.

Explora as falhas de segurança das próprias pessoas que,

quando não treinadas para esses ataques, podem ser

facilmente manipuladas.

23/05/2011

5




Vaidade pessoal e/ou profissional: O ser humano costuma ser mais receptivo

a avaliação positiva e favorável aos seus objetivos, aceitando basicamente

argumentos favoráveis a sua avaliação pessoal ou profissional ligada

diretamente ao benefício próprio ou coletivo de forma demonstrativa.

Autoconfiança: O ser humano busca transmitir em diálogos individuais ou

coletivos o ato de fazer algo bem, coletivamente ou individualmente, buscando

transmitir segurança, conhecimento, saber e eficiência, buscando criar uma

estrutura base para o início de uma comunicação ou ação favorável a uma

organização ou individuo.

Formação profissional: O ser humano busca valorizar sua formação e suas

habilidades adquiridas nesta faculdade, buscando o controle em uma

comunicação, execução ou apresentação seja ela profissional ou pessoal

buscando o reconhecimento pessoal inconscientemente em primeiro plano.




Vontade de ser útil : O ser humano, comumente, procura agir com

cortesia, bem como ajudar outros quando necessário.

Busca por novas amizades : O ser humano costuma se agradar e sentir-se

bem quando elogiado, ficando mais vulnerável e aberto a dar informações.

Propagação de responsabilidade : Trata-se da situação na qual o ser

humano considera que ele não é o único responsável por um conjunto de

atividades.

Persuasão : Compreende quase uma arte a capacidade de persuadir

pessoas, onde se busca obter respostas específicas. Isto é possível porque as

pessoas possuem características comportamentais que as tornam

vulneráveis a manipulação.

23/05/2011

6






Crimes com o uso do Computador

23/05/2011

7



•Negação de Serviço

•Scans

•Programas de Sniffer

•Spoofing

•Cavalos de Tróia

•Back Doors

•Applets prejudiciais

Táticas Usuais dos Invasores

•Discagem de Guerra

•(War Dialing)

•Bombas Lógicas

•Buffer Overflow

•Quebrador de Senhas

•Engenharia Social

•Mergulho no Depósito de Lixo



Administração de Segurança

23/05/2011

8



Outras Medidas de Segurança



Controle de Falhas no Computador

23/05/2011

9



Recuperação de Desastres “Plano de Contingência”



Desafios no Emprego

Problemas

de Saúde:

LER/DORT

23/05/2011

10



Fatores ERGONÔMICOS no Trabalho



• Desde a década de 70 o uso da tecnologia levantou discussões sobre: – Violação de privacidade;

– Desemprego causado pela automação de processos industriais.

• A ética é utilizada para determinar os valores que impõe as fronteiras morais no desenvolvimento e uso de sistemas que empregam a tecnologia para automatizar tarefas.

23/05/2011

11



• Ética profissional

– Conjunto de normas de conduta que deverão ser postas em prática no exercício de qualquer profissão.

• Exemplos de falta de ética quanto o trabalho usa tecnologia:

– Culpar o equipamento por trabalho não realizado;

– Uso da tecnologia para o desenvolvimento de tarefas pessoais sem vínculo com sua atividade;

– Uso da tecnologia do seu trabalho para disseminação de pornografia, MP3 e pirataria de software.



• Pontos básicos de ética na organização: – Comportamento ético deve ser iniciado pelo alto escalão

da administração;

– Definição pela empresa de seu código de conduta em relação a clientes e contratos, conteúdo do site, parceiros, patrocinadores etc.

– Treinamento ou palestras para funcionários e componentes chave do gerenciamento de atividades;

– Avaliação de novos candidatos verificando a adequação ao perfil de conduta desejado;

– Estratégias e mecanismos que permitam a correta implantação do código de conduta.

23/05/2011

12



• A popularização dos computadores e da Internet nos últimos anos não permitiu uma atualização conjunta das leis que regem um país.

• A Internet criou uma nova abordagem para as leis pela eliminação de fronteiras.

• Principais questões: – Como provar que alguém invadiu um computador alheio? – Como provar que uma proposta enviada por e-mail não

foi alterada? – Como interpretar contratos executados pela rede

(Internet)?



• Pirataria de software – Prática ilegal de reprodução e uso indevido de

programas de computador que são legalmente protegidos.

• Modalidades de pirataria: – Falsificação:

– CD-ROM pirata;

– Revendas de Hardware;

– Pirataria individual;

– Pirataria corporativa.

23/05/2011

13



• Para uma organização é importante combater a pirataria de software realizando uma auditoria e legalização dos softwares para não sofrer ações criminais.

• Opções como softwares livres e de código aberto pode ser uma grande oportunidade de legalização, mas uma relação custo x benefícios (TVO e TCO) deve ser levada em consideração pois pode representar uma grande mudança de plataforma.



• O E-commerce necessita de uma atenção especial para a criação de uma legislação específica.

• O código de defesa do consumidor possui alguns elementos de amparo a compras realizadas pela Internet, que em conjunto com o projeto de lei PL nº 1.589/99, define a validade de documentos eletrônicos e da assinatura digital.

23/05/2011

14



• Outras leis importantes: – Artigo 31 da Lei 8.078/90:

• Sobre apresentação de produtos e serviços.

– Projeto de lei PL nº 1.599/99: • Reclamação sobre garantia de produto.

• Desta forma, é importante para as organizações conhecer melhor o Código de Defesa do Consumidor e as leis que regem as transações comerciais baseadas em tecnologia, e suas mudanças, para não caírem em erros e processos.



LAUDON, K. C. e LAUDON, J. P. Sistemas de

Informações Gerenciais. São Paulo: Pearson Education

do Brasil, 2004.

O’BRIEN, J. A. Sistemas de Informação e as Decisões

Gerenciais na Era da Internet. São Paulo: Saraiva, 2006.

TURBAN, E.; WETHERBE, J.;McLEAN. Tecnologia da

Informação para Gestão: transformando os negócios na

economia digital. Porto Alegre: Bookman, 2010.

Referências

Technology

Sig cap8 seguranca_e_desafioseticos