Política de Segurança Da In... by luiscarlos_j on Scribd
quinta-feira, 2 de julho de 2020
Opinião: Sobre Política de Segurança da Informação
▪ Qual a importância das políticas de segurança da informação nas organizações?
Como toda organização trabalha com informações faz-se necessário que a mesma adote uma política de segurança da informação com o objetivo de protegê-las. Com essa política pode-se garantir que haja confidencialidade, disponibilidade e integridade das informações mais importantes. A vantagem em adotar este tipo de controle é garantir que somente pessoas autorizadas tenham acesso, evitar perdas de informação por mau uso garantir que as informações estejam disponíveis no momento que as pessoas autorizadas precisarem. Pode-se acrescentar que a política de segurança adiciona uma proteção aos softwares, aos hardwares e toda infraestrutura responsável pelo bom funcionamento da organização.
▪ Neste contexto, você tem ou já teve acesso às políticas de segurança da informação na sua organização? Se sim, cite no mínimo três utilizadas. Se não, indique no mínimo três políticas que deveriam ser aplicadas na sua organização.
Trabalho para um órgão de justiça que segue os padrões adotados pelo Conselho Nacional de Justiça - CNJ. tenho acesso da política de segurança do CNJ (https://www.cjf.jus.br/cjf/unidades/tecnologia-da-informacao/politica-de-seguranca-da-informacao) que serve de parâmetro para o local onde trabalho. Dentre as três políticas utilizadas têm-se: política de utilização dos recursos de TI (para minimizar os risco inerentes ao mau uso dos bens da justiça); política de controle de acesso lógico (para garantir somente o acesso de pessoas autorizadas à rede, aos sistemas e às informações produzidas); e a política de backup (para garantir o armazenamento e restauração das informações importante da justiça).
Opinião: Atitudes de um Perito Criminal
Qual a atitude que o perito deve ter caso ele identifique que está se deixando levar por sentimentos conflitantes no momento da perícia? Por exemplo, deixar o sentimento de pai/mãe afetar uma perícia de crimes sexuais contra crianças.
Assim como toda profissão, a de perito não seria diferente na questão do agir com ética. Isso significa fazer o certo e não se deixar levar pela emoção pois pode atrapalhar nas investigações e sua opinião pode afetar todo o trabalho dos envolvidos. Se o perito perceber que há sentimentos conflitantes atrapalhando sua perícia, o mais certo a se fazer é relatar para seu superior e os demais envolvidos que precisa ser substituído por alguém com igual capacidade para a realizar o trabalho de forma que a razão predomine no lugar da emoção.
Qual atitude que o perito deve ter se durante a investigação possuir vínculo de parentesco ou amizade/inimizade com partes envolvidas?
O vínculo de parentesco ou amizade/inimizade do perito pode atrapalhar consideravelmente uma perícia. Todo o trabalho do perito tem que se pautar na objetividade e esses fatores citados não colabora para que o perito haja dessa forma. A subjetividade faz com que a perícia não aborde todo os fatos que devem ser importante e pode afetar negativamente o resultado final da perícia. Espera-se do perito que tenha inteligência emocional e perceba quando seu trabalho esteja sendo afetado por emoções. A atitude que se faz necessária nesse momento é a comunicação ao superior e demais colaboradores na perícia e o afastamento de casos que envolvam parentesco ou amizade/inimizade.
Qual atitude que o perito deve ter se perceber que seus conhecimentos e habilidades não são suficientes para a complexidade do caso que está investigando?
A atitude principal que destaco é a inteligência emocional. O perito precisa perceber que fatores estão afetando positivamente e negativamente no seu trabalho. Essa característica permite ao profissional separar a razão da emoção de forma que a perícia tenho um resultado final bem objetivo. O perito tem que perceber que seu trabalho pode afetar a vida de outras pessoas e agir com subjetividade pode ter consequências desastrosas. O melhor a fazer é o afastamento do caso de forma que o superior aloque alguém que seja isento para execução da perícia.
Um pouco de Ciência Forense
O mundo passou por uma grande
transformação após a computação das informações. A entrada na era digital
significa que novos meios de produção de informações são criados e a forma de
manipulá-las ocorre nos mais diversos dispositivos. Essas informações passaram
a ter valor onde são produzidas e até mesmo servem como provas e evidências nos
meios judiciais. Diante de tal fato, a ciência forense tornou-se importante na
elucidação de crimes cometidos através do mundo digital, embarcando a
descoberta e análise das informações produzidas pelos meios digitais.
A ciência forense veio permitir que os
crimes digitais fossem elucidados por especialistas que através de seus
conhecimentos especializados se utilizaram de métodos e procedimentos para
descobrir que dispositivos foram utilizados e que informações estão envolvidas
diante do ato criminoso.
É muito importante para justiça lidar
com os especialistas da ciência forense pois os criminosos do mundo digital
estão cada vez mais a frente e se aprimorando na prática de crimes. A ciência
forense conta com uma gama de ferramentas que permitem os especialistas identificarem
todos os passos que foram dados pelos criminosos e utilizar as informações
obtidas nos processos judiciais para trazer à tona todos os fatos que possam
trazer o entendimento de como os crimes digitais ocorreram.
Toda organização que preza pela
continuidade de suas atividades tem que ter um controle da segurança das
informações que são produzidas. Através de procedimentos como normas ou
políticas de segurança da informação, a organização pode ter um controle maior
sobre quem pode manipular ou não as informações assim como também o controle da
forma como essas podem ser recuperadas em casos de incidentes. Muitos crimes
podem ser cometidos dentro dessas organizações através do uso indevido das
informações. Caso isso aconteça, a ciência forense vai permitir que peritos
possam compreender essa situação, descobrir os passos das pessoas que cometeram
esse delito e as formas como as informações foram utilizadas para a prática de
uma ação ilegal.
A ciência forense pode ser usada como
resposta aos incidentes. São diversas práticas criminosas no mundo digital.
Têm-se como exemplo o IP spoofing, onde os atacantes em uma rede de
computadores usam de IPs falsificados para o cometido de um delito digital, e o
Phishing, onde os atacantes tentam roubar informações pessoais através de e-mails
falsos ou direcionamento para um site falsificado. Caso esses ataques ocorram
em uma organização, os peritos podem utilizar métodos e ferramentas para
impedir que não aconteçam mais assim como identificar as vulnerabilidades que
permitiram os ataques.
Não existe crime perfeito, ainda mais
nos meios digitais onde sempre a produção e a manipulação de informações deixam
rastros que irão permitir a análise por especialistas. Esses rastros podem ser
encontrados através de registro de logs que capturam e registram todos os
passos que foram deixados por alguém quando faz alguma ação no mundo digital. A
auditoria de dados constitui de um procedimento muito utilizado pelos peritos
para verificar o uso corretos das informações, identificar violação à políticas
de segurança e utiliza os registros de logs para verificar todo o caminho de
acesso e manipulação de informação feito por alguém no mundo digital.
Análise das vantagens e desvantagens de utilizar os padrões Limited View e Full View With Errors
A segurança da informação é um fator a ser considerado por qualquer empresa que tenha ativos importantes e gere valor. Construir aplicações sem observar parâmetros de segurança pode ser um problema na continuidade de negócios à medida que incidentes aparecem. Para isso tem-se vários padrões para uma arquitetura segura que podem limitar ações indevidas como acesso indevido de informações. Dentre eles, pode-se destacar: Simple Access Point, Secure Access Layer, Check Point, Roles, Session, Limited View e Full View With Errors.
O exemplo escolhido para verificação das vantagens e desvantagens dos padrões Limited View e Full View With Errors é o sistema acadêmico adotado por universidades ou escolas de ensino fundamental e/ou médio. Nesse sistema é importante destacar alguns papéis como diretor (a), secretário (a), professor (a), estudante. Dentre algumas funções desses papéis estaria para o diretor cadastrar horários, para a secretária gerenciar matrículas e registro de professores e estudantes, para os professores lançamento de notas e faltas e cadastro de disciplinas, e para o estudante efetuar matrícula e acessar histórico. É fundamental que o sistema responsável por todas essas funções ofereça as diferentes visões para cada papel.
Com o padrão Limited View, o sistema acadêmico oferece para cada papel apenas o que ele tem acesso de acordo com o rol de privilégios. Dessa forma, como vantagem, evita conflito de funções e inconsistência de informações no sistema. Imagine a dificuldade de gerenciamento das informações desse sistema se os estudantes tivesse erroneamente acesso ao lançamento de notas e faltas. Este padrão vem exatamente evitar este tipo de situação: mostrar as funcionalidade conforme o privilégio do usuário. A desvantagem desse padrão se reflete mais para os usuários com poucos privilégios, no sentido de vir a pensar que o sistema é limitado a realização de poucas funções.
Com o padrão Full View With Errors serve para limitar ações do usuário a um sistema de forma que não realize atividades ilegais. Na tentativa de realizar uma ação que não tenha os devidos acessos, será mostrado uma mensagem de erro. Bem útil quando o sistema acessado pelo usuário, oferece diversas funções mas que nem todas estejam disponíveis para ele realizar. Um fator importante a ser observado neste padrão é que quanto mais funções que o sistema tenha que o usuário não possa realizar, mais mensagens de erros devem ser elaboradas como forma de alerta. Dependendo da forma como isso é realizado, pode gerar conflito e desinformação para os usuários.
Assinar:
Postagens (Atom)