Baixe Segurança de Informação: Mecanismos e Ameaças e outras Trabalhos em PDF para Segurança de Informação e Linguagem de Marcação, somente na Docsity!
REPÚBLICA DE ANGOLA
MINISTÉRIO DO ENSINO SUPERIOR, CIÊNCIA, TECNOLOGIA E INOVAÇÃO
INSTITUTO SUPERIOR POLITÉCNICO DE NDALATANDO
DEPARTAMENTO DE ENSINO E INVESTIGAÇÃO DE ENGENHARIAS E
TELECOMUNICAÇÕES
Proposta de uso de Mecanismos de Defesa contra Ameaças à
Segurança da Informação para a Empresa KM-Services no
Município de Luanda, Província de Luanda
Monografia de Licenciatura em Informática de Gestão
Autor : Diakuako Diombo Paulo, 11871.
Orientador: PhD. Cristóvão João Zua
Ndalatanto, Agosto de 2022
INSTITUTO SUPERIOR POLITÉCNICO DE NDALATANDO
DEPARTAMENTO DE ENSINO E INVESTIGAÇÃO DE ENGENHARIAS E
TELECOMUNICAÇÕES
Proposta de uso de Mecanismos de Defesa contra Ameaças à
Segurança da Informação para a Empresa KM-Services no
Município de Luanda, Província de Luanda
Autor : Diakuako Diombo Paulo, 11871.
Trabalho de Monografia de Licenciatura apresentado ao Instituto Superior Politécnico de Ndalatando como parte dos requisitos para obtenção do grau académico de Licenciado em Informática de Gestão. Orientador: PhD. Cristóvão João Zua
Ndalatanto, Agosto de 2022
I
Eu, Diakuako Diombo Paulo, dedico este trabalho aos meus queridos pais que de forma incondicional, tudo fizeram para a conclusão desta etapa da minha formação e sem esquecer o apoio dado pelos colegas durante todo o processo de formação.
II
Agradecimento
Primordialmente, agradeço ao supremo criador de todas as coisas, pelo fôlego de vida e pela capacidade que me concedeu para culminar este trabalho.
Nada seria possível sem a transmissão de conhecimento por parte de algumas pessoas muito especiais na minha vida académica, que sempre deram-me conselhos que muito contribuíram para a minha formação académico, aos professores e ao orientador vai o meu estendido muito obrigado.
À toda minha família, em especial aos meus pais e a todos que não citei também vai o meu muito obrigado.
IV
Resumo
O presente trabalho tem como objectivo propor o uso de Mecanismos de Defesa contra Ameaças à Segurança da Informação para a Empresa KM-Services no Município de Luanda, Província de Luanda. A segurança da informação é fundamental para assegurar o bom funcionamento dos sistemas, bem como as redes de comunicação que os interliga, elas obtida a partir da implementação de mecanismos de segurança, que podem ser métodos, técnicas, procedimentos e ferramentas tecnológicas que ajudam a reduzir as ameaças que possam explorar vulnerabilidades de forma intencional ou acidental, para obter, danificar ou destruir as informações e os seus activos. O inquérito dirigido aos funcionários permitiu obter resultados que atestam a hipótese da investigação. Dentre os funcionários inquiridos, cerca de 72% afirmam que o uso de mecanismos de segurança na empresa KM-Services é importante. Quanto ao uso de ferramentas de criptografia dos 13 funcionários inquiridos 85% que corresponde a 11 funcionários afirmam que esta solução ajudará a reduzir a perda e a alteração não autorizada de documentos na empresa. Verificou-se também que 77% dos funcionários dizem que uso de mecanismos de segurança não dificultaria a realização das actividades de tradução e interpretação de documentos na empresa. O estudo mostrou que os mecanismos de segurança asseguram a redução e eliminação de potenciais vulnerabilidades e ameaças que podem causar danos às informações, activos de informação, desta feita, torna-se possível minimizar os danos e maximizar o retorno dos investimentos e oportunidades de negócios.
Palavras-chave: Segurança da Informação, Informação, Mecanismos de Segurança.
V
Abstrat
The present work aims to propose the use of Defense Mechanisms against Threats to Information Security for KM-Services Company in the Municipality of Luanda, Province of Luanda. Information security is essential to ensure the proper functioning of systems, as well as the communication networks that interconnect them, obtained from the implementation of security mechanisms, which can be methods, techniques, procedures and technological tools that help to reduce threats that may intentionally or accidentally exploit vulnerabilities to obtain, damage or destroy information and its assets. The survey aimed at employees allowed to obtain results that attest to the hypothesis of the investigation. Among the employees surveyed, about 72% say that the use of security mechanisms in the company KM-Services is important. Regarding the use of encryption tools by the 13 employees surveyed, 85%, which corresponds to 11 employees, say that this solution will help reduce the loss and unauthorized alteration of documents in the company. It was also verified that 77% of the employees say that the use of security mechanisms would not make it difficult to carry out the translation and interpretation of documents in the company. The study showed that security mechanisms ensure the reduction and elimination of potential vulnerabilities and threats that can cause damage to information, information assets, in this way, it becomes possible to minimize damage and maximize the return on investments and business opportunities.
Key-words: Information Security, Information, Security Mechanisms.
VII
Lista de Abreviaturas e Siglas
CD-ROM - Compact Disc Read Only Memory / Memória somente leitura de disco compacto.
CID - Confidencialidade, Integridade e Disponibilidade.
CPU - Central Processing Unit / Unidade Central de Processamento.
EFS - Encrypting File System / Sistema de Arquivos com Criptografia.
IDS - Intrusion Detection System / Sistema de Detecção de Intrusão.
ISP - Internet Service Provider / Provedor de Serviço Internet.
LAN - Local Area Network / Rede Local de Computadores.
MIREX - Ministério das Relações Exteriores.
SSL - Secure Sockets Layer / Camada de Soquete Seguro.
TI - Tecnologia de Informação.
TICs - Tecnologias de informação e comunicação.
SSD - Solid State Drives / Unidade de Estado Sólido.
VPN - Redes Privadas Virtual / Virtual Private Networks.
WAN - Wide Area Network / Rede de Longa Distância.
VIII
Lista de Gráficos
Gráfico 1 - Respostas obtidas na primeira questão dirigida aos funcionários .......................... 34
Gráfico 2 - Respostas obtidas na segunda questão dirigida aos funcionários .......................... 34
Gráfico 3 - Respostas obtidas na terceira questão dirigida aos funcionários ........................... 35
- INTRODUÇÃO
- CAPÍTULO 1. NOÇÕES GERAIS DE SEGURANÇA DA INFORMAÇÃO
- 1.1 Dados e Informação
- 1.1.1 Dados
- 1.1.2 Informação
- 1.2 Activos de Informação
- 1.3 Classificação da Informação
- 1.4 Ciclo de vida da Informação
- 1.5 Segurança da Informação
- 1.5.1 Conceitos Chaves
- 1.5.2 Segurança Física
- 1.5.3 Segurança Lógica
- 1.5.4 Ciclo da Segurança da Informação
- 1.5.5 Importância da Segurança da Informação
- 1.6 Princípios da Segurança da Informação
- 1.6.1 Confidencialidade
- 1.6.2 Integridade
- 1.6.3 Disponibilidade...................................................................................................
- 1.7 Problemas de Segurança da Informação
- 1.7.1 Vulnerabilidades
- 1.7.2 Ameaças..............................................................................................................
- 1.7.3 Riscos
- 1.8 Tipos de Malware
- CAPÍTULO 2. MECANISMOS DE SEGURANÇA
- 2.1 Conceitos
- 2.2 Medidas de Segurança
- 2.3 Mecanismos de Acesso Lógico
- 2.3.1 Autenticação
- 2.3.2 Antivírus
- 2.3.3 Anti-malware
- 2.3.4 Controlo do Acesso Lógico
- 2.3.5 Criptografia.........................................................................................................
- 2.4 Mecanismos de Gerência
- 2.4.1 Plano de Continuidade dos Negócios
- 2.4.2 Backups
- 2.4.3 Actualizações de Software..................................................................................
- 2.5 Mecanismos de Tráfego de Rede
- 2.5.1 Firewall
- 2.5.2 IDS
- 2.5.3 VPN
- 2.5.4 SSL
- CAPÍTULO 3. RESULTADOS E DISCUSSÃO
- 3.1 Caracterização da Entidade
- 3.1.1 Papel da Empresa KM-Services
- 3.1.2 Visão.......................................................................................................................
- 3.1.3 Missão
- 3.1.4 Princípios e Valores
- 3.1.5 Localização.............................................................................................................
- 3.1.6 Estrutura Orgânica..................................................................................................
- 3.1.7 Rede de Computadores da Instituição
- 3.2 Fontes e dificuldades
- 3.2.1 Fontes
- 3.2.2 Dificuldades
- 3.3 Teste de usabilidade
- 3.4 Análise e interpretação dos resultados
- 3.4.1 Questões dirigidas ao Director da Empresa
- 3.4.2 Questões dirigidas aos Funcionários da Empresa
- Conclusão
- Sugestões
- Referências Bibliográficas
- Apêndices
INTRODUÇÃO
O presente trabalho tem como tema "Proposta de uso de Mecanismos de Defesa contra Ameaças à Segurança da Informação para a Empresa KM-Services no Município de Luanda, Província de Luanda".
Segundo Carvalho (2017), algumas décadas atrás viveu-se a era da agricultura, a sociedade evoluiu para a era industrial e actualmente vivencia-se a era do conhecimento, o que aumentou o grau de importância das informações. Antes as empresas utilizavam papéis para registar as informações, os documentos eram armazenados em pastas e guardados em armários, porém, com o advento dos computadores, a tecnologia chegou nas empresas com o objectivo de melhorar os processos de trabalho.
Logo para Zanella (2017), o surgimento das tecnologias de informação e comunicação, impulsionou a evolução do processo de troca de informação de uma maneira muito rápida, por conseguinte, essa facilidade na comunicação mundial gerou um problema, o acesso indevido às informações digitais.
Diante deste facto, a segurança da informação passou a ser um assunto muito abordado nos últimos tempos e tem sido, mais do que nunca, um tema bastante pertinente para as empresas, visto que (Júnior & Santos, 2012, p. 10) “a informação é um elemento importante no processo de tomada de decisões”, por esse motivo, precisa ser devidamente protegida, pois com a expansão da tecnologia, as informações estão cada vez mais expostas a vulnerabilidades e ameaças.
A segurança da informação tem deixado de ser tratada meramente como um assunto técnico da área de informática, e vem sendo considerada uma real necessidade nas empresas, logo, o uso de mecanismos de segurança tornou-se fundamental para a redução de situações prejudiciais como o acesso e o uso indevido das informações, o que pode ser o suficiente para garantir a protecção das informações, minimizando os danos e maximizando o retorno dos investimentos e oportunidades de negócios.
Objectivos específicos
Apresentar teorias sobre a segurança da informação; Descrever os diversos tipos mecanismos de segurança existentes; Elaborar sugestões de mecanismos de segurança a serem usados pela empresa KM- Services.
Metodologia
Na presente investigação, optou-se pela utilização da metodologia de triangulação. A triangulação é o conjunto de duas metodologias, isto é, a quantitativa e a qualitativa.
Segundo Silva e Meneses (2005), a metodologia quantitativa considera que tudo pode ser quantificável, e visa traduzir em números as opiniões e informações que as pessoas de uma determinada população compartilham, para analisá-las e explicá-las através de técnicas estatísticas.
Diferente da metodologia quantitativa, a metodologia qualitativa na perspectiva de Gerhardt e Silveira (2009), “preocupa-se em entender profundamente o fenómeno em estudo de forma não quantificável e exprimir o que convém ser feito para a resolução de um determinado problema científico”.
Método
Durante a realização deste estudo foi empregue o método dedutivo, conceituado como o método que parte de uma ordem de ideias gerais, devidamente reconhecidas como verdadeiras e, a seguir, chega a conclusões particulares em virtude única da sua lógica.
Técnicas A observação é uma técnica de colecta de dados para conseguir informações e utiliza os sentidos na obtenção de determinados aspectos da realidade. Não consiste apenas em ver e ouvir, mas também em examinar factos ou fenómenos que se desejam estudar.
Podemos definir questionário como a técnica de investigação composta por um conjunto de questões submetidas às pessoas com o propósito de obter informações sobre conhecimentos, crenças, sentimentos, valores, interesses, expectativas, aspirações, temores, comportamento presente ou passado, etc.
Resultados esperados
A utilização de mecanismos de segurança da informação permitirá a KM-Services proteger as informações dos seus clientes contra o acesso não autorizado ou uso prejudicial, fazendo com que os clientes passem a ter mais confiança nos serviços que lhes são prestados, o que ajudará a empresa a construir relações de negócios mais sólidas e duradouras.
Relevância social
O estudo realizado vai incentivar a KM-Services e outras empresas que manipulam, armazenam e compartilham informações digitais, a salvaguardar a reputação e o bem-estar dos seus clientes e parceiros de negócios, de modo a proteger as suas informações contra o acesso e uso indevido por parte de pessoas descuidadas ou mal intencionadas.
Valor teórico/ metodológico
O estudo possui um elevado valor teórico e metodológico, sendo que o mesmo servirá de material de consulta para futuras investigações, o leitor vai puder conhecer as mais eficientes maneiras de proteger os activos de informação contra ameaças, quer a nível individual como a nível empresarial, contra indivíduos conhecidos ou desconhecidos, que de forma intencional ou não, tentam corromper, adquirir, recuperar ou utilizar indevidamente as informações.
Actualidade e novidade
Poucos trabalhos de fim do curso já defendidos, pertencentes ao curso Informática de Gestão, tiveram como objecto de investigação a Segurança da Informação, mesmo fazendo parte das linhas de investigação do curso em questão. Portanto, esta realidade influenciou-me a realizar uma investigação do referido objecto de investigação, pois a pretensão é incentivar os estudantes do curso de Informática de Gestão, que tencionam defender a licenciatura, a explorar outras linhas de investigação para os seus trabalhos de fim do curso e, consequentemente, diversificar as suas habilidades, no que tange as tecnologias de informação e comunicação.
Estrutura do trabalho
Este trabalho foi desenvolvido em forma de capítulos, com o intuito de torná-lo mais organizado e, assim facilitar a leitura e compreensão do tema abordado, onde:
O Capítulo 1 – Noções gerais de segurança da informação: apresenta quadro teórico, que descreve os termos e conceitos de segurança da informação, os problemas de segurança da
CAPÍTULO 1. NOÇÕES GERAIS DE SEGURANÇA DA INFORMAÇÃO
No capítulo ora exposto apresentam-se os fundamentos da segurança da informação, desde os conceitos sobre dados e informação, conceitos chaves sobre a segurança da informação, sua importância, princípios e problemas de segurança da informação, bem como os principais malware que afectam as informações.
1.1 Dados e Informação
1.1.1 Dados
Muitas vezes ocorre uma confusão entre dados e informação, e ainda são comuns os casos em que se acredita que ambos os conceitos são iguais. Ressalta-se que dados são conceitos que não levam ao alcance de uma compreensão. Cada palavra inserida num sistema é um dado, porém, os dados só fazem sentido quando são agrupados e podem ser analisados como informação, (Perini, 2011, p. 12).
Conforme Perez (2018, p. 4), “dados correspondem a um atributo, uma característica, uma propriedade de um objecto que, sozinho, sem um contexto, não tem significado”.
Pode-se entender que dados são elementos quaisquer soltos, não conectados e, que por si só, não conduzem a compreensão de um determinado facto ou situação.
1.1.2 Informação
Segundo Novo (2010, p. 27), “informação é um conjunto de dados, ao qual se atribui valor, utilidade ou interpretação, que pode representar um grande diferencial para os seus detentores”.
Na perspectiva de Perez (2018, p. 4), “informação são os dados, presentes num contexto, carregados de significados e entregues à pessoa adequada”.
Para Fontes (2006, p. 2), “informação é um recurso com valor para a organização e deve ser bem gerida e utilizada, garantindo que ela esteja a ser disponibilizada apenas para as pessoas que precisam dela para o desempenho das suas actividades profissionais”.
Podemos então dizer que a informação é um conjunto de dados, presentes num contexto e carregados de significados, que, como qualquer outro activo importante no quotidiano das pessoas e organizações, possui um valor mensurável, por isso, precisa ser protegida de forma adequada.
1.2 Activos de Informação
Qualquer coisa que tenha valor para um indivíduo ou uma organização, tal como: a informação imprensa ou digital, o hardware do computador, equipamento de rede, software, habilidade de produzir um produto ou fornecer um serviço é chamado activo.
É habitual a ideia de que apenas a informação constitui um activo, no sentido de ser bem valorizado e preservado. Entretanto, o foco deste trabalho vai mais além, não dando importância somente para as informações, mas também, para os activos de informação, que de acordo com Marciano (2006, p. 46) “compreendem o conjunto de indivíduos, componentes tecnológicos e processos envolvidos em alguma das etapas do ciclo de vida da informação”.
É comum dar-se especial atenção para as informações, considerando desprezíveis os demais activos, por serem de baixo custo ou abundante, mas quanto mais intensa for a participação de um activo no ciclo de vida da informação, maior é o grau de segurança que lhe deve ser atribuído. Deste modo, pessoas, sistemas, equipamentos e os próprios fluxos de circulação das informações, devem ser considerados importantes no processo de planificação da segurança da informação.
1.3 Classificação da Informação
A classificação da informação é uma maneira de assegurar que a informação receba tratamento e protecção adequada, aplicando-lhe um nível de protecção equivalente ao seu custo e importância que tem para a continuidade dos negócios de uma empresa.
Conforme Tsunoda (2003, p. 4) “toda categoria de documento de uma corporação, deve exibir de maneira clara, o respectivo grau de acessibilidade, ou seja, o seu grau de sigilo, o que requer classificar todas as informações segundo o seu grau de criticidade”.
De acordo com Spanceski (2004, pp. 19-20), “a classificação mais comum actualmente é aquela dividida em quatro níveis: secreta, confidencial, interna e pública”. O autor anteriormente citado, conceituou os quatro níveis da seguinte maneira:
Secreta: estas informações devem ser acessadas por um número restrito de pessoas e o controlo sobre tais informações deve ser total. São informações essenciais para a empresa, portanto, a sua integridade deve ser preservada. O acesso interno ou externo por pessoas não autorizadas a essa categoria de informação é extremamente crítico para a instituição.
