SISTEMA DE ENSINO PRESENCIAL CONECTADO

ANLISE E DESENVOLVIMENTO DE SISTEMAS

ODAILSON NOGUEIRA CARDOSO

PRODUO TEXTUAL INTERDICIPLINAR

Castanhal,
2015

ODAILSON NOGUEIRA CARDOSO

PRODUO TEXTUAL INTERDICIPLINAR

Trabalho interdisciplinar (Tpicos Avanados em

Desenvolvimento de Sistemas, Programao Web II e
Gesto e Segurana da Informao) apresentado a
Universidade Norte do Paran - UNOPAR
Profs.:

SS

Anderson E. M. Gonalves
Veronice Freitas
Adriane Loper
Merris Mozer

Castanhal,
2015

SUMRIO
1

INTRODUO......................................................................................................3

CARACTERISTICAS DOS DISPOSITIVOS MVEIS..........................................5

2.1 O que so?........................................................................................................5
2.2 Vantagens dos dispositivos mveis...................................................................5

3 TCNICAS E RECURSOS NA CONSTRUO DE APLICATIVOS

MVEIS.......................................................................................................................7
3.1 Persistncia em Dispositivos Mveis................................................................7
3.2 Threads.............................................................................................................8
3.3 Sincronismo no Processo.................................................................................9
3.4 Interface para Dispositivos Mveis..................................................................12
3.5 Banco de Dados.............................................................................................14
4

GESTO E SEGURANA NO SISTEMA DE

INFORMAO..........................................................................................................18
4.1 Engenharia Social...........................................................................................19
4.2 Vulnerabilidades..............................................................................................22
4.3 Ameaas, Ataques e vulnerabilidades............................................................24
4.4 Medidas e Poltica de Segurana...................................................................27
4.5 Auditoria em Sistema de Informao..............................................................29
5

CONCLUSO....................................................................................................30

REFERNCIAS BIBLIOGRFICAS..................................................................33

3
1 INTRODUO
O uso de dispositivos mveis, como celulares, PDAs, Handhelds tem se
tornado cada vez maior entre pessoas e empresas que necessitam de grande
flexibilidade no acesso e troca de informaes. Junto com a popularidade desses
dispositivos surge a necessidade de implementar aplicaes cada vez mais
sofisticadas e que consigam atender de maneira satisfatria os desejos de seus
usurios (Bugrio, 2003).
Para Dias (2003, p.19) Os dispositivos mveis, em particular os
smartphones e os tablets, so os protagonistas da atual onda de mudana no
mundo das TICs (Tecnologias da Informao e da Comunicao) de uso pessoal e
profissional. Esta mudana caracterizada pelo uso de dispositivos com grande
poder de processamento e conectividade em ambientes pblicos e privados.
Para Romeiro (2005, p. 9) O desenvolvimento de aplicativos para
dispositivos mveis vem tornando-se cada vez mais frequente nas empresas
especializadas em produo de software. Contudo, esses sistemas no devem
funcionar de maneira isolada e sem a adoo das melhores prticas de segurana
de informao.
O objetivo desse trabalho tem por base a construo de um portflio
individual dissertativo, que abordem, em carter exploratrio e descritivo, as
principais caractersticas, aspectos e propriedades da temtica sobre os dispositivos
mveis e de Gesto e Segurana de Sistemas Informatizados.

Trata-se de um

trabalho curricular interdisciplinar que exibe como meta central aproximar os

discentes dos principais conceitos, propriedades, comparaes e controvrsias
sobre o universo do mundo Mobile.
Sendo assim, este portflio individual, partindo de uma pesquisa exploratria
e descritiva na literatura, abordar os seguintes tpicos: (1) caracterizao,
aplicao e mecanismo de funcionamento dos principais recursos utilizados
atualmente para os dispositivos Mveis; e, por fim, (2) descrever os critrios
utilizados por sistemas de informao e empresa para atender a gesto e segurana
da informao. Todos esses itens visam integrar assuntos de todas as disciplinas
trabalhadas, do primeiro semestre de 2015, do curso superior de tecnologia em
Anlise e Desenvolvimento de Sistemas, dentro do eixo temtico desenvolvimento
de sistemas de informao I, da Unopar.

1.2

OBJETIVOS

1.2.1 Objetivo Geral:

Este trabalho buscou atender os critrios de interatividade e regionalidade
da produo interdisciplinar em individual, do sexto semestre do superior de
Tecnologia em Anlise e Desenvolvimento de Sistemas, ano 2015, tendo como base
os assuntos no eixo temtico Projeto de Sistemas de Informao II. A finalidade
construir uma dissertao que aborde a resoluo de questes definidas no
documento de produo textual individual, envolvendo paralelamente, os conceitos
trabalhados nas seguintes disciplinas: Tpicos Avanados em Desenvolvimento de
Sistemas, Programao Web II e Gesto e Segurana da Informao.

1.2.2 Objetivos Especficos:

Caracterizar os dispositivos mveis;
Descrever os principais recursos utilizados para os dispositivos mveis,
como: persistncia, threads, sincronismo de processos, interface com
usurios, criao e manipulao de banco de dados;
Descrever os critrios para atender a gesto e segurana dos sistemas de
informao, como: engenharia social, vulnerabilidade, ameaas e ataques,
medidas de segurana, poltica de segurana e auditoria.

5
2 CARACTERISTICAS DOS DISPOSITIVOS
MVEIS

2.1
O QUE
S
O?

Mobilidade pode ser definida como a capacidade de poder se deslocar ou

ser deslocado facilmente. No contexto da computao mvel, mobilidade se refere
ao uso, pelas pessoas, de dispositivos mveis portteis, funcionalmente poderosos,
que oferecem a capacidade de realizar facilmente um conjunto de funes de
aplicao, sendo tambm capazes de se conectar, obterem dados e fornec-los a
outros usurios, aplicaes e sistemas (LEE et al, 2005).
Um dispositivo mvel deve possuir determinadas caractersticas. Por
exemplo, deve ser porttil e o usurio ser capaz de transport-lo com relativa
facilidade. Um dispositivo mvel tambm tem que ser altamente utilizvel, funcional
e permitir fcil conectividade e comunicao com outros dispositivos. Para o usurio,
quanto maior a combinao dessas caractersticas disponveis, melhor ser o
dispositivo mvel. Mas para existirem essas caractersticas nos dispositivos mveis
necessrio superar alguns desafios e dificuldades envolvidos. Nessa seo, sero
discutidas algumas dessas dificuldades encontradas no mundo da computao
mvel.

6
2.2
VANTA
GE
NS
DO
S
DIS
PO
SIT
IVO
S
M
VEI
S

Do ponto de vista empresarial, os dispositivos mveis so timos geradores

de informao, podendo ser utilizado na automatizao do processo, at nas coletas
de informaes estratgicas, pois com suas reduzidas dimenses podem ser
transportados e estar presentes em todas as situaes em que um profissional pode
atuar (Schaefer, 2004).
Algumas vantagens dos dispositivos mveis em relao aos microscomputadores so listadas a seguir:

Tamanho: bastante reduzidos e muito mais leves do que os PCs, podendo

ser transportados de forma muito mais prtica;

Fcil manuseio: os dispositivos mveis possuem uma interface grfica

simples de manusear se comparado aos computadores;

Consumo de energia: por serem menores e mais econmicos gastam menos

energia que os computadores visto que o tempo de recarga menor;

Custos operacionais: como os dispositivos mveis so mais compactos e

possuem atividades especficas, estes aparelhos no possuem alguns
perifricos internos, como discos rgidos e discos flexveis, diminuindo
consideravelmente os custos com a manuteno;

Outra caracterstica que ajuda no desenvolvimento da comunicao sem fio

o fato de que as pessoas esto cada vez mais dependentes das informaes
disponibilizadas na Internet, o que antes poderia ser feito apenas via terminal
remoto, agora pode ser acessado via dispositivo mvel. A tecnologia sem fio
disponibiliza ao usurio a possibilidade de obter informaes que lhes sejam teis, a
qualquer momento ou qualquer lugar. A mobilidade outra caracterstica que deve
ser levada em considerao. A capacidade de poder continuar uma comunicao e
manter o envio de dados constante mesmo quando em movimento pode ser
considerada uma das melhores vantagens de um dispositivo mvel.

8
1 TCNICAS

E RECURSOS NA CONSTRUO

DE APLICATIVOS PARA

DISPOSITIVOS MVEIS

O desenvolvimento de sistemas para dispositivos mveis uma tarefa

bastante complexa que precisa ter vrios cuidados. A utilizao das metodologias,
tcnicas e ferramentas de Engenharia de Software promovem a aumento da
qualidade dos sistemas, a facilidade de manuteno e o aumento da produtividade,
uma vez que fornecem notaes padronizadas e diretrizes que permitem maior
preciso no atendimento as necessidades do cliente. As linguagens de programao
orientada a objetos colaboram para o aumento da qualidade, pois a construo dos
softwares formados por unidades bsicas, como as classes, favorece a obteno
dos fatores de qualidade citados anteriormente.

2.3
Persis
tn
cia
em
apl
ica
tiv
os
pa
ra
dis
po
siti
vo
s
m
vei
s

Carvalho (2011, p. 10) destaca que O termo persistncia associado a uma

ao que consiste em manter em meio fsico recupervel, como banco de dados ou
arquivo, de modo a garantir a permanncia dos dados ou informaes . Sendo
assim, a persistncia de dados, na computao, refere-se ao armazenamento novoltil de dados, por exemplo, o armazenamento em um dispositivo fsico como um
disco rgido.
Ainda seguinte essa linha de pensamento, Webmobile (2015) destaca que a
capacidade de persistir dados ou armazenar informaes sem dvida um dos
recursos mais importantes em qualquer linguagem de programao. Armazenar

10
dados para uma posterior recuperao uma constante na maioria dos ambientes
computacionais, seja para persistncia simples de parmetros de configuraes de
algum sistema ou persistncia de informaes digitadas pelo usurio para alimentar
algum banco de dados.
No que diz respeito persistncia em ambientes computacionais, o
complicador quando esse mesmo ambiente tem recursos de armazenamento
restrito e, ainda, uma arquitetura de hardware e software bem diferente da
encontrada em desktops ou grandes servidores, como o caso dos dispositivos
mveis. Essas diferenas podem ser observadas tanto do ponto de vista do usurio
(ergonomia de hardware e software), quanto do ponto de vista do desenvolvedor
(ferramentas de software, APIs e recursos). Os telefones celulares conseguiram
alcanar uma popularidade quase to grande quanto a observada na utilizao de
computadores pessoais a partir da dcada de 80. Mas, assim como todos os
dispositivos mveis, eles tambm trazem consigo algumas dificuldades, como,
problemas relacionados ergonomia do teclado, uma interface visual simples,
porm limitada e a dependncia de baterias que requerem recarga constante.

2.4
Threa
ds

SCHEFFER (2007, p. 7) destaca que a threads consiste em um processo

com entidade prpria, com prprio contexto de escalonamento, mas que compartilha
a estrutura de dados com seu pai. Dessa forma, os threads permitem, por exemplo,
trabalhar de diferentes formas com um banco de dados. Permite que o usurio
continue a utilizar o sistema enquanto uma tarela em segundo plano se
responsabilize por efetuar grandes inseres ou atualizaes na base de dados.
Possibilitam

explorar

paralelismo

oferecido

por

maquinas

com

multiprocessadores, como os encontrados em dispositivos mveis, fazendo a diviso

de um processo em mltiplas tarefas, que podem ser processadas de forma paralela

11
em mltiplos processadores e resultam de modo geral, na otimizao do tempo de
processamento consumido por uma aplicao que utiliza esta tecnologia.
Atravs da coleta de tempo, podendo ser realizada por meio dos testes de
execuo de modelos com e sem a implementao de threads, observa-se uma
reduo com cerca de 50% no tempo necessrio para a incluso de registros na
base de dados com a utilizao de dois threads quando comparada com o modelo
sem utilidade das mesmas, dessa forma, imaginando-se uma base de dados com
milhares de registros, fica mais evidente os benefcios da aplicao desta tcnica.
As threads foram desenvolvidas quando ficou claro que o tempo de
processamento poderia ser melhor utilizado. Em outras palavras, quando se
desejava que um sistema executasse vrias aes, de forma simultnea. Um bom
exemplo desse tipo de ao a verificao de grafia enquanto est se digitando um
texto. (Delphi threads, 2015).
O processo de entrada no parado esperando pelo processo de correo.
Os dois so executados simultaneamente. Hoje muito comum mquinas com mais
de um ncleo de processamento, principalmente em dispositivos mobile; porm, sem
dvida alguma, o nmero desses processadores fsicos menor que o nmero de
threads que podem rodar em paralelo.
O uso de threads pode trazer inmeros benefcios. Os mais importantes so
os relacionados ao tempo ganho na realizao de tarefas que antes eram realizadas
sequencialmente e que podem ser executadas ao mesmo tempo. Isso garante que
sistemas crticos possam ser programados sem maiores problemas, porque o
paralelismo diminui drasticamente o tempo de processamento.

12
2.5
SINCR
ON
IS
MO
DE
PR
OC
ES
SO

Sincronizao o processo pelo qual, os dados distribudos so mantidos

atualizados, de modo que os usurios sempre pensem que esto trabalhando com
as informaes mais recentes dos dados. Essa atualizao pode ser feita a curta ou
longa

distncia

atravs

de

vrios

meios,

como

infravermelho,

satlite,

radiofrequncia, spread spectrum e de vrios protocolos de comunicao de dados,

incluindo: HTTP, WSP (Wireless Session Protocol), Bluetooth, IrDA, SMTP, TCP/IP e
protocolos proprietrios. Os processos (aplicativos ou programas) de um
computador compartilham determinados recursos da chamada regio crtica, que
so as variveis globais, as instrues de E/S, algum banco de dados, etc. Neste
compartilhamento podem ocorrer erros.( Alves e Souza, 2007)
Para Dias (2003) a sincronia de processos permite gerenciar o acesso
concorrente a recursos do sistema operacional de forma controlada por parte dos
processos, de maneira que um recurso no seja modificado em simultneo, ou que
os processos no fiquem em espera que o recurso seja libertado.
Os processos (aplicativos ou programas) de um computador compartilham
determinados recursos da chamada regio crtica, que so as variveis globais, as
instrues de E/S, algum banco de dados, etc. Neste compartilhamento podem
ocorrer erros.
Exemplo:
Uma escola est fazendo sua matrcula apenas pela internet, o nmero de
vagas 5, dois usurios esto fazendo a matrcula no exato momento, finalizam a

13
matrcula . A operao que o programa usa da regio crtica: matrcula finalizada -1.
Se os dois usurios fazem a operao ao mesmo tempo, quando a matricula
for finalizada subtrai-se 1 vaga:
Matrcula finalizada -1 (5-1)=4
Matrcula finalizada -1 (5-1)=4
Quando um terceiro usurio for fazer esta mesma matrcula,o nmero de
vagas ser expresso como 4, sendo que na verdade deveria ser 3. Isto causar
instabilidade e poder comprometer todo o sistema. A soluo para este tipo de caso
a certeza de excluso mtua, isto , apenas um processo pode acessar a regio
crtica por vez; Os mecanismos que implementam a excluso mtua utilizam um
protocolo de acesso regio crtica. Toda vez que um processo for executar sua
regio crtica, ele obrigado a passar por um controle de entrada e outro de sada.
2.5.1 Excluso Mtua Com Espera Ativa
Apenas um processo acessa a regio crtica de cada vez. Espera
ativa faz testes continuos em uma varivel, at que ela seja alterada, causando
assim um grande disperdicio de CPU. Abaixo temos solues para problemas como
o mostrado acima.
2.5.2 Desativando as Interrupes
A forma mais simples de garantir a excluso mtua fazer com que
o processo desabilite as interrupes ao entrar na regio crtica, e antes de sair as
habilite novamente. Com isso a CPU no far um chaveamento no momento em que
o processo estiver na regio crtica, pois o chaveamento vem de uma interrupo
atravs de um relgio.
2.5.3 Variveis de Bloqueio
Quando uma vriavel "lock" estiver como 0, significa que a regio
crtica esta livre, e 1 esta ocupada. Assim, antes de entrar cada processo testa o
valor da varivel "lock", se for 0, coloca como 1 e entra na regio crtica, aps sair
coloca o valor 0, se o valor j for 1, aguarda at ser 0.

14
2.5.4 Alternncia Estrita
Neste metodo, criada uma varivel "turn", com valor inicial 0, a
imagem abaixo mostra dois processos 'a' e 'b' utilizando este metodo.

Fonte: http://pt.wikipedia.org/wiki/Sincronia_de_processos

Como "turn" esta como 0, o processo 'a' no fica "preso" no while, e

assim executa a regio crtica, aps terminar, ele seta "turn" para 1 e parte para o
resto do cdigo, caso ocorra um chaveamento e o processo 'b' tente executar a
regio crtica antes que o processo 'a' sete "turn" como 1, ele ficara em um loop,
apenas testando a variavel "turn"(espera ativa).
2.5.5 Soluo de Peterson
Antes do processo entrar na regio crtica ele executa o
procedimento enter_region(), com o seu nmero. E aps sair da regio crtica,
executa leave_region().
2.5.6 Deadlock
Dois ou mais processos ficam irreversivelmente bloqueados.
2.5.7 Starvation
Um processo fica sempre no final na fila e no consegue ser
atendido, pois processos com maior prioridade "roubam" sua vez.

15

3.4

INTERFACES PARA DISPOSITIVOS MVEIS

A grande revoluo provocada pela computao mvel e a necessidade de

satisfao do usurio tm aumentado a dificuldade e a complexidade do
desenvolvimento da interface homem mquina, principalmente para computadores
de mo. Um design nunca est completamente terminado, pois dispositivos mveis
esto em grande expanso sendo lanados no mercado novos modelos
constantemente. O desenvolvimento de interfaces para neste contexto, envolve
vrios desafios, como a diversidade de aparelhos, o ambiente heterogneo,
limitaes fsicas do aparelho entre outras. A apresentao, comunicao entre
dispositivos, plataforma e contexto no qual ele ser utilizado so elementos cruciais
para o sucesso de uma aplicao mvel. At recentemente as interfaces eram
criadas para aplicaes estticas. O projetista construa as interfaces e o usurio
tinha que aprender como utiliz-las. (Dias, 2003)
Atualmente diversos estudos esto sendo realizados em busca de interfaces
mais flexveis, que ajudem o usurio a realizar suas tarefas de maneira mais
agradvel e eficiente. A flexibilidade se refere geralmente a mudanas relativas
apresentao das informaes como, mudana de cor, tamanho e posio de janela.
Existem, porm aquelas relativas ao contedo das informaes como por
exemplo, definio de quais informaes que devem ser consideradas, quanto
detalhadas elas devem ser, etc. Quando estas mudanas so diferenciadas por
usurio ou por uma situao existente, elas assumem o nome de adaptaes.
O World ide Web Consortium (W3C) tambm estabeleceu os principais
fatores que devem ser considerados para o projeto de interfaces em ambientes
mveis, descritos a seguir.
Seleo de Contedo: as pginas devem conter apenas informaes mais
importantes, pois o tempo de download nos dispositivos mveis ainda alto e
a capacidade de memria de trabalho e armazenamento pequena. O
contedo deve ser adaptado para acesso em tela pequena, de modo que o
usurio no use muito as barras de rolagem;
Janelas Independentes: as imagens grandes ou anncios em janelas
independentes congestionam as telas dos telefones;

16
Visualizao de Contedo: os contedos mais importantes devem ficar no
alto da pgina sem que o usurio precise fazer muitas rolagens de tela ou
passar por diversos links para chegar ao que procura. A barra de navegao,
por servir de referncia para a navegao, deve tambm ficar localizada no
alto;
Endereo do Site: as URLs (Universal Resource Locator) devem ser curtas e
fceis de digitar e a entrada de dados pelos usurios em formulrios
reduzidos ao mnimo necessrio, devido s limitaes dos teclados. De modo
geral, devem-se evitar entradas de dados que exijam digitao excessiva,
pois o teclado nos telefones ou as canetas em assistentes pessoais no
facilitam a escrita de textos longos;
Ttulos: os ttulos dos textos devem explicar o contedo com o mnimo de
palavras, e os textos devem ficar 50% menores do que os publicados em
papel ou na Web;
Barra de rolagem: deve-se limitar o uso da barra de rolagem em uma direo
nica, no caso dos PDAs indica-se a utilizao da rolagem vertical, pois
facilita a leitura do contedo do site. Deve-se evitar a barra horizontal devido
dificuldade de visualizao do contedo. Sugere-se criar novas pginas ao
se utilizar barra horizontal;
Cores: deve-se evitar o uso de muitas cores na mesma pgina. As telas so
pequenas e a mistura de diversas cores pode confundir o usurio;
Imagens: recomenda-se utilizar imagens pequenas, simples e sem texto.
Com o processo de reduo do tamanho, os textos podem ficar totalmente
ilegveis;
Navegao: para facilitar a navegao deve-se manter um link para o menu
principal em todas as pginas, pois caso contrrio, o usurio deve digitar
sempre o endereo do site a cada navegao, causando um trabalho
excessivo;
Tabelas: recomenda-se no utilizar tabelas maiores que o tamanho da tela
ou muito longas;
Textos: em telas pequenas, a utilizao de textos mais indicada do que
grficos em cabealhos, pois so mais fceis de adaptarem e serem

17
visualizados. Os ttulos das pginas devem ser curtos. indicado o uso de no
mximo trs tipos de letras para no poluir o layout da interface;
Usabilidade: nos dispositivos mveis, as informaes essenciais devem ser
mostradas na primeira tela, pois quanto mais rpido o usurio encontrar o que
deseja mais usabilidade ter a interface.

3.5

Banco de dados
A utilizao de banco de dados em ambientes de computao mvel torna-

se
Particularmente interessante pela possibilidade da manipulao de dados tanto sob
a forma conectada a um sistema externo, quanto sob a forma desconectada, ou
seja, local.
A mobilidade criada pelos dispositivos mveis trouxe um novo impulso na
utilizao do banco de dados. A insero de novas informaes nos dispositivos,
independentemente do local onde ele se encontre, sem a necessidade do
estabelecimento de uma conexo com a rede estacionria, abre caminho para a
criao de novas situaes e com isso novos softwares.
Bicalho (2004), destaca as seguintes arquiteturas para banco de dados
destinados a dispositivos mveis:

3.5.1 Cliente- Servidor

Arquitetura tradicional, em que uma aplicao executada no cliente, no
caso o dispositivo mvel, que emite solicitaes de dados para o servidor principal.
Para que o sistema de banco de dados mvel possa ser atendido na totalidade,
atendendo situaes como mobilidade e desconexo, necessrio que se faam
adaptaes na arquitetura. A camada servidor faz a maior parte do trabalho de
gerenciamento de dados, enquanto a camada cliente responsvel pela interface e
interao com o usurio, alm de administrar uma memria local para a solicitao e
armazenamento de resultado das consultadas.

18

Figura 1- Arquitetura Cliente- Servidor

Fonte: Bicalho (2014, p. 5)

3.5.2

Cliente- Agente Servidor- Servidor

Arquitetura cliente-servidor otimizada, onde um agente que represente o

cliente includo no servidor. O cliente pode realizar requisies e caso fica fora
antes de receber a resposta, o agente se encarrega de armazenar o resultado da
requisio e entrega-lo ao cliente quando o mesmo retornar a rede.
Este modelo mais apropriado para clientes mveis com limitado poder
computacional. Assim, diversas funes do cliente mvel, migram para o agente.
Essa arquitetura no oferece suporte para o trabalho desconectado.
Os agentes podem:
- Processar os dados da consulta e enviar somente o resultado para o cliente;
- Compactar os dados antes de enviar
- Processar as buscas e enfileirar as respostas quando o cliente estiver
desconectado;
- Alterar a ordem da transmisso de dados para os clientes, de acordo com a
prioridade.

19

Figura 2- Arquitetura Cliente- Servidor

Fonte: Bicalho (2014, p. 6)
3.5.3 Cliente Agente Cliente- Servidor
Embora pouco utilizada, essa arquitetura apresenta um agente ao lado do
cliente ao invs de mant-lo no lado servidor. De certa forma, podemos dizer que
esse agente amplia as funes do cliente, geralmente pobres em recursos
computacionais. Podemos destacar algumas atividades como:
- Administrar a memria cache disponvel no cliente.
- Disponibilizar memria progressivamente para o cliente mvel durante o trafego da
rede
(prefetching)
- Copiar parte do banco de dados para a memria local do cliente (hoarding)
- Otimizar a comunicao entre cliente e servidor.

20

Figura 3- Arquitetura Cliente- Servidor

Fonte: Bicalho (2014, p. 9)

21
3 GESTO E SEGURANA NO SISTEMA DE INFORMAO
As redes de computadores, e consequentemente a Internet, mudaram as
formas como se usam sistemas de informao. As possibilidades e oportunidades de
utilizao so muito mais amplas que em sistemas fechados, assim como os riscos
privacidade e integridade da informao. Portanto, muito importante que
mecanismos de segurana de sistemas de informao sejam projetados de maneira
a prevenir acessos no autorizados aos recursos e dados destes sistemas
(Laureano, 2004).
A segurana da informao a proteo dos sistemas de informao contra
a negao de servio a usurios autorizados, assim como contra a intruso, e a
modificao

no-autorizada

de

dados

ou

informaes,

armazenados,

em

processamento ou em trnsito, abrangendo a segurana dos recursos humanos, da

documentao e do material, das reas e instalaes das comunicaes e
computacional, assim como as destinadas a prevenir, detectar, deter e documentar
eventuais ameaas a seu desenvolvimento ( Dias, 2000; Wadlon, 2000)
Stoneburner (2001) sugere que a segurana somente obtida atravs da
relao e correta implementao de 4 princpios da segurana: confidencialidade,
integridade, disponibilidade e auditoria. A figura 4 ilustra a relao dos princpios
para a obteno da segurana da informao.

Figura 3- Princpios de Segurana da Informao

Fonte: StonerBurner (2001, p. 33)

22
A confidencialidade dependente da integridade, pois se a integridade de
um sistema for perdida, os mecanismos que controlam a confidencialidade no so
mais confiveis.
A integridade dependente da confidencialidade, pois se alguma informao
confidencial for perdida (senha de administrador do sistema, por exemplo) os
mecanismos de integridade podem ser desativados.
Auditoria

disponibilidade

so

dependentes

da

integridade

confidencialidade, pois estes mecanismos garantem a auditoria do sistema (registros

histricos) e a disponibilidade do sistema (nenhum servio ou informao vital
alterado).

3.1 ENGENHARIA SOCIAL

De acordo com FERREIRA (2009, p. 754) tm-se os seguintes significados para

Engenharia Social:
Aplicao de conhecimentos cientficos e empricos e certas
habilitaes especificam a criao de estruturas, dispositivos e
processos para converter recursos naturais em formas
adequadas ao atendimento das necessidades humanas e
Social: da sociedade ou relativo a ela, socivel.

O termo engenharia social ficou mais conhecido em 1990, atravs de um

famoso hacker chamado Kevin Mitnick. Esse termo designa para prticas utilizadas
a fim de se obter informaes sigilosas ou importantes de empresas, pessoas e
sistemas de informao, explorando a confiana das pessoas para engan-las.
Pode-se tambm definir engenharia social como a arte de manipular pessoas a fim
de contornar dispositivos de segurana ou construir mtodos e estratgias para
ludibriar pessoas, utilizando informaes cedidas por elas de maneira a ganhar a
confiana delas para obter informaes. (SILVA, E., 2008).
Engenharia social compreende a inaptido dos indivduos manterem-se

23
atualizados com diversas questes pertinentes a tecnologia da informao, alm de
no estarem conscientes do valor da informao que eles possuem e, portanto, no
terem preocupao em proteger essa informao conscientemente. importante
salientar que, a engenharia social aplicada em diversos setores da segurana da
informao independente de sistemas computacionais, software e ou plataforma
utilizada, o elemento mais vulnervel de qualquer sistema de segurana da
informao o ser humano, o qual possui traos comportamentais e psicolgicos
que o torna suscetvel a ataques de engenharia social.
Dentre essas caractersticas, pode-se destacar:

Vaidade pessoal e/ou profissional: O ser humano costuma ser mais

receptivo a avaliao positiva e favorvel aos seus objetivos, aceitando
basicamente argumentos favorveis sua avaliao pessoal ou
profissional ligada diretamente ao benefcio prprio ou coletivo de
forma demonstrativa.

Autoconfiana: O ser humano busca transmitir em dilogos individuais

ou coletivos o ato de fazer algo bem, coletivamente ou individualmente,
buscando transmitir segurana, conhecimento, saber e eficincia,
buscando criar uma estrutura base para o incio de uma comunicao
ou ao favorvel a uma organizao ou indivduo.

Formao profissional: O ser humano busca valorizar sua formao e

suas habilidades adquiridas nesta faculdade, buscando o controle em
uma comunicao, execuo ou apresentao seja, ela profissional ou
pessoal buscando o reconhecimento pessoal inconscientemente em
primeiro plano.

Vontade de ser til: O ser humano, comumente, procura agir com

cortesia, bem como ajudar outros quando necessrio.

Busca por novas amizades: O ser humano costuma se agradar e sentir-se bem
quando elogiado, ficando mais vulnervel e aberto a dar informaes.

Propagao de responsabilidade: Trata-se da situao na qual o ser humano

considera que ele no o nico responsvel por um conjunto de atividades.

Persuaso: Compreende quase uma arte a capacidade de persuadir

pessoas, onde se busca obter respostas especficas. Isto possvel
porque as pessoas possuem caractersticas comportamentais que as

24
tornam vulnerveis a manipulao.
Exemplos de ataques usando engenharia social:
Exemplo 1: Voc recebe uma mensagem de recadastramento de senhas do
e-mail institucional, mesmo sabendo que a DGTI nunca faz esse tipo de solicitao
via e-mail.
Exemplo 2: voc recebe uma mensagem e-mail, onde o remetente o
gerente ou algum em nome do departamento de suporte do seu banco. Na
mensagem ele diz que o servio de Internet Banking est apresentando algum
problema e que tal problema pode ser corrigido se voc executar o aplicativo que
est anexado mensagem. A execuo deste aplicativo apresenta uma tela anloga
quela que voc utiliza para ter acesso a conta bancria, aguardando que voc
digite sua senha. Na verdade, este aplicativo est preparado para furtar sua senha
de acesso a conta bancria e envi-la para o atacante.
Exemplo 3: voc recebe uma mensagem de e-mail, dizendo que seu
computador est infectado por um vrus. A mensagem sugere que voc instale uma
ferramenta disponvel em um site da Internet, para eliminar o vrus de seu
computador. A real funo desta ferramenta no eliminar um vrus, mas sim
permitir que algum tenha acesso ao seu computador e a todos os dados nele
armazenados.
Exemplo 4: algum desconhecido liga para a sua casa e diz ser do suporte
tcnico do seu provedor. Nesta ligao ele diz que sua conexo com a Internet est
apresentando algum problema e, ento, pede sua senha para corrigi-la. Caso voc
entregue sua senha, este suposto tcnico poder realizar uma infinidade de
atividades maliciosas, utilizando a sua conta de acesso Internet e, portanto,
relacionando tais atividades ao seu nome.
Estes casos mostram ataques tpicos de engenharia social, pois os
discursos apresentados nos exemplos procuram induzir o usurio a realizar alguma
tarefa e o sucesso do ataque depende nica e exclusivamente da deciso do
usurio em fornecer informaes sensveis ou executar programas.

25
3.1.1 Evitando a Engenharia Social

Especialistas afirmam que a medida que nossa sociedade se torna cada vez
mais dependente da informao, a engenharia social tende a crescer e constituir-se
numa das principais ameaas aos sistemas de segurana das (grandes)
organizaes. Entretanto, embora as situaes apresentadas acima sejam um tanto
indesejveis e at certo ponto assustadoras, h mecanismos atravs dos quais uma
organizao pode implementar a fim de detectar e prevenir ataques de engenharia
social. Tais medidas visam, principalmente, atenuar a participao do componente
humano. Essas medidas compreendem:

Educao e Treinamento Importante conscientizar as pessoas sobre o valor da

informao que elas dispem e manipulam, seja ela de uso pessoal ou institucional.
Informar os usurios sobre como age um engenheiro social.

Segurana Fsica Permitir o acesso a dependncias de uma organizao apenas

s pessoas devidamente autorizadas, bem como dispor de funcionrios de
segurana a fim de monitorar as entradas e sadas de locais estratgicos dentro da
organizao.

Poltica de Segurana Estabelecer procedimentos que eliminem quaisquer trocas

de senhas. Por exemplo, um administrador jamais deve solicitar a senha e/ou ser
capaz de ter acesso a senha de usurios de um sistema. Estimular o uso de senhas
de difcil descoberta, alm de remover contas de usurios que deixaram a
instituio.

Controle de Acesso Os mecanismos de controle de acesso tm o objetivo de

implementar privilgios mnimos a usurios a fim de que estes possam realizar suas
atividades. O controle de acesso pode tambm evitar que usurios sem permisso
possam criar/remover/alterar contas e instalar softwares danosos organizao.
3.2 VULNERABILIDADE
3.2.1 Anlise de Vulnerabilidades
A

Anlise

consiste

em

identificar

eliminar

sistematicamente

vulnerabilidades do sistema. As etapas para deteco, remoo e controle exigem

26
acompanhamento de profissional qualificado e ferramentas tecnolgicas. A
integrao desses processos produz maior segurana e proteo para os dados e
sistema da Organizao. Todas as aes tomadas devem ser documentadas no s
para controlar futuras aes, como tambm para consultas peridicas.
Qualquer sistema que manipule dados est sujeito a alguma vulnerabilidade.
A conexo com a Internet representa uma das principais formas de desestabilizao
e roubo de informaes para qualquer Usurio dentro de uma Organizao. Alm da
Internet, h outras possibilidades de acesso remoto que podem comprometer o
sistema e a segurana de dados, tais como bluetooth, infravermelho, etc. Toda essa
possvel exposio dos dados pode acarretar em invaso de rede e seus servidores,
expondo informaes confidenciais e violando a privacidade garantida por lei.
A cada dia novas vulnerabilidades surgem em decorrncia de brechas em
softwares, imperfeies na configurao de aplicativos e falha humana. A Anlise de
Vulnerabilidades responsvel por garantir a deteco, remoo e controle das
mesmas.
Visando sempre manter a integridade, confidencialidade e disponibilidade, a
Segurana da Informao enfrenta constantes desafios para manter usurios e
Organizaes protegidos de ameaas e falhas que possam comprometer a
normalidade das operaes. essencial a preocupao em manter dados em sigilo
e garantir o bom funcionamento de processos, acompanhando o avano e
disponibilizao de novas tecnologias.
3.2.2 A origem das Vulnerabilidades

Erros de programao Grande parte das vulnerabilidades surge do erro de

tamanho do buffer, uma regio da memria reservada para escrita e leitura dos
dados.

M configurao Aplicativos de segurana, como o firewall, devem ser

corretamente configurados, ou podem ser brechas para ataques maliciosos.

Falha humana Execuo de arquivos maliciosos manualmente.

3.2.3 Principais Objetivos da Anlise de Vulnerabilidades

Identificar e tratar falhas de softwares que possam comprometer seu desempenho,

27
funcionalidade e segurana;

Providenciar uma nova soluo de segurana como, por exemplo, o uso de um bom
antivrus, com possibilidade de update constante;

Alterar as configuraes de softwares a fim de torn-los mais eficientes e menos

suscetveis a ataques;

Utilizar mecanismos para bloquear ataques automatizados (worms, bots, entre

outros);

Implementar a melhoria constante do controle de segurana;

Documentar os nveis de segurana atingidos para fins de auditoria e Compliance

com leis, regulamentaes e polticas.
A Anlise de Vulnerabilidades torna a tomada de deciso em relao
segurana mais fcil, pois rene informaes essenciais que indicam a melhor
estratgia para se manter protegido de falhas, ataques e invases. Alm disso, uma
das facilidades obtidas atravs da implementao de polticas de segurana
descobrir e tratar vulnerabilidades com maior rapidez, possibilitando o alinhamento
s normas de compliance.

3.3 AMEAAS, ATAQUES E VULNERABILIDADES

Ameaa: Quem pode atacar qual componente, usando qual recurso, com que
objetivo em mente, quando, de onde, porque, e qual a probabilidade disso
acontecer. Podendo conter aspectos gerais da natureza do ataque, mas no
detalhes, tais como quais medidas de segurana ele deve superar e quais
vulnerabilidades explorar.

Avaliao de Ameaa (est, do ingls Thread Assessment): Tentativa de prever as

ameaas. Podendo envolver o uso de conhecimentos sobre incidentes de segurana
antigos em uma estrutura semelhante a avaliada. Criar uma segurana proativa (e
no s reativa) para ameaas que ainda no se materializaram.

Vulnerabilidade: Uma fraqueza na segurana do sistema (ou falta de medidas de

segurana) que pode ser explorada por diferentes adversrios com diferentes
interesses.

Avaliao de Vulnerabilidade (VA, do ingls Vulnerability Assessment): Tentativa de

28
descobrir (e talvez demonstrar) vulnerabilidades de segurana que poderiam ser
exploradas por um adversrio. Uma boa avaliao de vulnerabilidade normalmente
sugere contramedidas viveis ou melhorias na segurana para eliminar ou mitigar a
vulnerabilidade, tambm ajuda na recuperao aps um ataque e que no se repita.

Gesto de risco: Tentativa de minimizar as fontes de riscos de segurana decidindo

como implantar, modificar, ou reatribuir recursos de segurana. Utiliza como entrada
para as decises os resultados da TA, da VA, os ativos a serem protegidos
(informaes dos clientes, reputao do sistema, etc.), as consequncias de ataques
bem-sucedidos, e os recursos (tempo, financiamento, pessoal) disponvel para
providenciar segurana.

Ataque: Uma tentativa de causar danos a ativos valiosos, normalmente tentando

explorar uma ou mais vulnerabilidades. O dano pode incluir roubo de informaes,
sabotagem (defacement, backdoor, etc.), destruio (apagar banco de dados,
cdigos), espionagem, ou adulterao. Para mais exemplos s ver as notcias.
3.3.1 Alguns Exemplos de Ameaas e Vulnerabilidades

Ameaa: Adversrios podem instalar malware nos computadores da organizao

permitindo que eles possam roubar informaes pessoais para fingir ser outra
pessoa.
Vulnerabilidade: Os computadores da organizao no possuem as ltimas
definies do banco de dados de vrus para o software anti-malware.
Ameaa: Cyber Criminosos podem invadir o sistema e roubar o banco de dados.
Vulnerabilidade: A plataforma em que o sistema funciona permite escalar privilgios.
Ameaa: Um funcionrio mal instrudo pode revelar informaes confidenciais aos
adversrios.
Vulnerabilidade: Funcionrios no tem um bom entendimento de qual informao
sensvel/confidencial e qual no , logo eles no podem fazer um bom trabalho
protegendo-as de engenharia social.
Ameaa: Funcionrios descontentes podem sabotar o sistema.
Vulnerabilidade: A organizao carece de contramedidas efetivas para ameaas
internas como verificao do passado e mitigao de descontentamento de
funcionrios (tratamento justo de funcionrios, processos legtimos de resolver

29
reclamaes, programas de assistncia aos funcionrios, no toleramento de chefes
opressores, etc.)
Ameaa: Advanced persistent threat (APT) podem tomar o controle do ambiente
corporativo.
Vulnerabilidade: A organizao carece de uma defesa estratgica organizada com
potencial de tomar atitudes bem pensadas e nos momentos certos.
Mitigar uma vulnerabilidade pode no ser relevante para uma ameaa, pois
o adversrio pode no perceber uma vulnerabilidade. Vulnerabilidades no definem
ameaas, pois um adversrio deseja efetuar um ataque por um motivo externo.
TAs e VAs so diferentes, e ambas so necessrias para se ter uma boa
gesto de risco, e ambas so dependentes entre si at certo ponto. Hackers
procuram explorar vulnerabilidades, cuja ausncia levaria a seu fracasso. Assim
como no teria relevncia a existncia de vulnerabilidades se no existissem
ameaas. No existe uma relao de um para um entre vulnerabilidades e ameaas.
Diferentes adversrios podem explorar uma mesma vulnerabilidade para diferentes
objetivos, por exemplo, um computador desatualizado. Assim como uma ameaa
pode explorar vrias vulnerabilidades diferentes para atingir o seu objetivo.
TA envolve em sua maioria especular sobre pessoas que no esto em
nossa frente, e que podem muito bem no existir, mas que possuem motivaes
complexas, objetivos, mentalidades e recursos. Vulnerabilidades, por outro lado, so
mais concretas se formos espertos e criativos o suficiente para v-las. Elas so
descobertas atravs de uma anlise da estrutura e sua segurana, sem
especulaes sobre pessoas.
Por esse motivo, o entendimento das vulnerabilidades normalmente mais
fcil que as ameaas. Algumas pessoas afirmam que os incidentes anteriores de
segurana nos dizem tudo o que precisamos saber sobre as ameaas, mas isso
ser reativo, no proativo, e deixa escapar raros, mas catastrficos ataques.
Argumenta-se que o conhecimento das vulnerabilidades mais poderoso
que o das ameaas. Pois ao pr um razovel esforo para mitigar as
vulnerabilidades, voc provavelmente estar em boa forma para qualquer que seja a
ameaa (que muito mais fcil de errar). E ser ignorante nas vulnerabilidades
permite aos adversrios vrias formas de atingir seu objetivo.
Mas em qualquer grande e complexo sistema existe um enorme
nmero de vulnerabilidades. E encontrar vulnerabilidades exige uma anlise

30
minuciosa e imaginao/criatividade, podendo chegar a um custo altssimo. Alm de
que infelizmente entramos em situaes inevitveis em que no podemos ter
contato com o cdigo fonte de um componente do nosso sistema, nos tornando
dependentes de patchs que podem demorar a chegar.
A avaliao das ameaas, ao contrrio, normalmente carece de uma anlise
criativa sobre os problemas de segurana caracterizada pelo uso simplrio de listas
de verificao, auditorias de conformidade dos logs, diretrizes a serem seguidas,
bases de dados de incidentes de segurana passado e abordagens generalizadas.
Finalizando, no devemos confundir a inteno de uma TA ou VA. No serve
para certificar ou medir a segurana, ou como uma tcnica para descobrir se algum
no est fazendo algo direito. O objetivo de uma VA de melhorar a segurana. O
objetivo de uma TA nos ajudar a decidir (junto com a gesto de risco) o que e
quanto de segurana ns precisamos. Pois mesmo aps as avaliaes, ainda
existir ameaas e vulnerabilidades desconhecidas e no tratadas. O jeito encarar
que no poderemos ficar completamente protegidos, e utilizar as avaliaes para
atingirmos a segurana exigida.

3.4 MEDIDAS E POLTICA DE SEGURANA

A poltica de segurana um mecanismo preventivo de proteo dos dados

e processos importantes de uma organizao que define um padro de segurana a
ser seguido pelo corpo tcnico e gerencial e pelos usurios, internos ou externos.
Pode ser usada para definir as interfaces entre usurios, fornecedores e parceiros e
para medir a qualidade e a segurana dos sistemas atuais (Dias, 2000).
A poltica de segurana de informaes deve estabelecer princpios
institucionais de como a organizao ir proteger, controlar e monitorar seus
recursos

computacionais

e,

consequentemente,

as

informaes

por

eles

manipuladas. importante que a poltica estabelea ainda as responsabilidades das

funes relacionadas com a segurana e discrimine as principais ameaas, riscos e
impactos envolvidos (Dias, 2000).
a razo pela qual necessrio definir inicialmente uma poltica de
segurana, cuja implementao se faz de acordo com as quatro etapas seguintes:

31

Identificar as necessidades em termos de segurana, os riscos informticos que

pesam sobre a empresa e as suas eventuais consequncias;

Elaborar regras e procedimentos a implementar nos diferentes servios da

organizao para os riscos identificados;

Supervisionar e detectar as vulnerabilidades do sistema de informao e manter-se

informado das falhas sobre as aplicaes e materiais utilizados;

Definir as aes a empreender e as pessoas a contatar em caso de deteco de

uma ameaa.
A poltica de segurana , por conseguinte o conjunto das orientaes
seguidas por uma organizao (em sentido lato) em termos de segurana. A esse
respeito ela deve ser elaborada a nvel de direo da organizao interessada,
porque se refere a todos os utilizadores do sistema.
A esse respeito, no cabe s aos administradores informticos definir os
direitos de acesso dos utilizadores, mas aos responsveis hierrquicos destes
ltimos. O papel do administrador informtico , por conseguinte garantir que os
recursos informticos e os direitos de acesso a estes esto em coerncia com a
poltica de segurana definida pela organizao.
Alm disso, j que o nico a conhecer perfeitamente o sistema, cabe-lhe
fazer aumentar as informaes relativas segurana sua direo, eventualmente
aconselhar as instncias de deciso sobre as estratgias a aplicar, bem como ser o
ponto de entrada relativo comunicao destinada aos utilizadores sobre os
problemas e recomendaes em termos de segurana.
A segurana informtica da empresa assenta num bom conhecimento das
regras pelos empregados, graas a aes de formao e de sensibilizao junto dos
utilizadores, mas deve ir, alm disso, e nomeadamente cobrir os seguintes campos:

Um dispositivo de segurana fsico e lgico, adaptado s necessidades da empresa

e aos usos dos utilizadores;

Um procedimento de gesto das atualizaes;

Uma estratgia de salvaguarda corretamente planificada;

Um plano de retoma aps incidente;

Um sistema documentado atualizado.

32
3.4.1 As causas da Insegurana
Distinguem-se geralmente dois tipos de insegurana:

O estado ativo de insegurana, ou seja, o no conhecimento pelo utilizador das

funcionalidades do sistema, algumas das quais lhe podem ser prejudiciais (por
exemplo, o fato de no desativar servios de redes no necessrias ao utilizador);

O estado passivo de insegurana, ou seja, a ignorncia dos meios de segurana

implementados, por exemplo, quando o administrador (ou o utilizador) de um
sistema no conhece os dispositivos de segurana de que dispe.

3.5 AUDITORIA DE SISTEMAS DE INFORMAO

De maneira geral, um planejamento de auditoria deve identificar problemas

potenciais de segurana da entidade, com base na legislao vigente, atividades e
transaes da empresa de forma a propiciar o cumprimento dos servios
contratados com entidade dentro dos prazos e de forma segura, estabelecendo a
natureza, oportunidade e extenso dos exames a serem efetuados em conjunto com
os termos constantes na sua proposta de servios para a realizao do trabalho.
A auditoria de sistemas de informao visa verificar a conformidade no dos
aspectos contbeis da organizao, mas sim do prprio ambiente informatizado,
garantindo a integridade dos dados manipulados pelo computador. Assim, ela
estabelece e mantm procedimentos documentados para planejamento e utilizao
dos recursos computacionais da empresa, verificando aspectos de segurana e
qualidade. O trabalho da auditoria de sistemas acontece com o estabelecimento de
metodologias, objetivos de controle e procedimentos a serem adotados por todos
aqueles que operam ou so responsveis por equipamentos de TI e/ou sistemas
dentro da organizao.
Em uma auditoria os objetivos de controle so estabelecidos com base nas
atividades da entidade, seu tamanho, qualidade de seus sistemas e controle interno
e competncia de sua administrao. necessrio que o auditor tenha um modelo
normativo de como as atividades devem estar sendo feitas. Assim, devem-se levar
em conta as atividades das pessoas, rgos e produtos da entidade de modo que

33
tais atividades no se desviem das normas preestabelecidas pela organizao.
Objetos de controle so metas de controle a serem alcanadas ou efeitos
negativos a serem evitados traduzidos em procedimentos de auditoria. Assim os
objetivos de controle so detalhados conforme o enfoque ao qual est relacionado.
Existem diversas reas que esses objetivos podem contemplar como segurana,
atendimento

solicitaes

externas,

materialidade,

altos

custos

de

desenvolvimento, grau de envolvimento dos usurios e outsourcing.

Segundo o COBIT, as metas a serem alcanadas em uma auditoria de
Sistemas de Informao se enquadraro em algum dos itens abaixo:

Estrutura de Gerenciamento de Programa;

Estrutura de Gerenciamento de Projeto;

Abordagem de Gerenciamento de Projeto;

Comprometimento dos Participantes;

Escopo do Projeto;

Fase de Incio do Projeto;

Planejamento do Projeto Integrado;

Recursos do Projeto;

Gerenciamento de Riscos do Projeto;

Planejamento do Projeto Integrado;

Recursos do Projeto;

Gerenciamento de Riscos do Projeto;

Planejamento da Qualidade do Projeto;

Controle de Mudanas no Projeto;

Mtodos de Planejamento de Garantia do Projeto;

Avaliao, Relatrios e Monitoramento do Desempenho do Projeto;

Concluso do Projeto.
Por fim, importante ressaltar que a necessidade de controlar e auditar os
recursos da tecnologia da informao e da comunicao nunca foi to grande. Para
garantir segurana e qualidade em seus processos e servios necessrio
verificao e controle constante.

34
3.5.1 O Auditor de Sistemas

O auditor de sistemas verifica a eficcia dos controles e procedimentos de

segurana existentes, a eficincia dos processos em uso, a correta utilizao dos
recursos disponveis, assessorando a administrao na elaborao de planos e
definio de metas, colaborando no aperfeioamento dos controles internos,
apontando deficincias e irregularidades que possam comprometer a segurana e o
desempenho organizacional.
Com a larga utilizao da tecnologia para o armazenamento das
informaes contbeis, financeiras e operacionais, o auditor de sistemas tem de se
aprimorar no campo de atuao (processos) da organizao para extrair, analisar
banco de dados envolvidos e suportar decises das demais reas de auditoria.
A necessidade global de referncias nesse assunto, para o exerccio dessa
profisso, promoveu a criao e desenvolvimento de melhores prticas como
COBIT, COSO, ISO 27001 e ITIL.
Atualmente a certificao CISA Certified Information Systems Auditor,
oferecida pela ISACA Information Systems and Control Association uma das
mais reconhecidas e avaliadas por organismos internacionais, j que o processo de
seleo consta de uma prova extensa que requer conhecimentos avanados, alm
de experincia profissional e a necessidade de manter-se sempre atualizado,
atravs de uma poltica de educao continuada (CPE) na qual o portador da
certificao deve acumular carga horria de treinamento por perodo estabelecido.
A formao acadmica do auditor de sistemas pelos motivos acima acaba
sendo multidisciplinar: anlise de sistemas, cincia de computao, administrao
com nfase em TI, advocacia com foco em Direito da informtica - direito digital e
correlatos.

35
4 CONCLUSO
A partir da pesquisa bibliogrfica, foi possvel apresentar os principais
recursos encontrados nos dispositivos mveis. Pode- se, assim, elucidar os
conceitos de persistncia, threads, sincronismo de processos, interface com os
usurios e construo de banco de dados mveis.
Em relao Gesto e Segurana da informao, ficou claro a engenharia
social um meio utilizado para obter acesso a informaes importantes ou sigilosas
em organizaes ou sistemas por meio da enganao ou explorao da confiana
das pessoas. Outros critrios foram estudados como as vulnerabilidades, ameaas e
ataques, as medidas de segurana e polticas de segurana e auditoria, notando-se
que a segurana dos sistemas informticos uma tarefa complexa; mas
extremamente importante.
Para garantir, em tese, a segurana de sistemas de informao ficou claro
que cada organizao deve adotar vrias tcnicas de proteo informao. Dentre
essas tcnicas, destacou-se a adoo de mecanismos de autenticao e de
controlo; por permitirem e garantirem que os utilizadores dos ditos recursos
possuem unicamente os direitos que lhes foram concedidos.

36
6

REFERNCIAS

ALVES, R.A.; SOUZA, F.F. Um Estudo Sobre Segurana em Banco de Dados

Mveis. Trabalho de Concluso de Curso (Bacharelado em Cincias da
Computao)

Departamento

de

Computao,

Universidade

Federal

de

Pernambuco, Pernambuco, 2003.

BIGALHO. C.C. Banco de Dados em Dispositivos Mveis. Trabalho de Concluso

de Curso (Bacharelado em Cincias da Computao) Centro de Informtica,
Universidade Federal de Ouro Preto, Ouro Preto, 2014.

BURGIO, V.A.A. Desenvolvimento de Aplicaes para Dispositivos Mveis

com .NET. Trabalho de Concluso de Curso (Bacharelado em Cincias da
Computao) Centro de Informtica, Universidade Federal de Pernambuco,
Pernambuco, 2003.

CARVALHO, G.C. Sistema de Banco de Dados Orientado a Objetos. Dissertao

(Trabalho de Concluso do Curso). So Paulo: Faculdade de Tecnologia de So
Paulo, 2011.

DIAS, C. Segurana e Auditoria da Tecnologia da Informao. Axcel

Books. Rio de Janeiro, 2000.

DIAS, C.; FONTES, W. Desenvolvimento de Aplicaes para Dispositivos

Mveis
Utilizando a Plataforma J2ME. Trabalho de Concluso de Curso (Bacharelado em
Cincias da Computao) Centro de Cincias Exatas e Naturais, Universidade
Federal do Par, Belm, 2003

37

Delphi

Threads:

Utilizando

Threads

em

Delphi.

Disponvel

em:

http://www.devmedia.com.br/delphi-threads-utilizando-threads-emdelphi/31705#ixzz3Zp9tLrYF. Acesso em: 15 de fevereiro de 2015.

FERREIRA, A. B. H. Novo Dicionrio Aurlio da Lngua Portuguesa. 4. Ed.
Paran: Positivo, 2009.

LAUREANO, M. A. P. Firewall com IPTABLES no LINUX, 2002. Disponvel em:

http://www.ppgia.pucpr.br/~laureano/guias /GuiaFirewallIptables.htm. Acessado em:
24/09/2014.

LEE, VALENTINO; SCHNEIDER, HEATHER; SCHELL, ROBBIE. Aplicaes

mveis: Arquitetura, Projeto e Desenvolvimento. Pearson, Makron Books. 2005.

ROMEIRO, B. G. B.A. Desenvolvimento de Aplicativos para dispositivos mveis

na plataforma J2ME. Dissertao (Trabalho de Concluso do Curso). Escola
Politcnica de Pernambuco, Recife, 2005.

SCHAEFER, C. Prottipo de aplicativo para transmisso de dados a partir de

Dispositivos mveis aplicados a uma empresa de transporte. 53f. Trabalho de
Concluso de Curso (Bacharelado em Cincias da Computao) Centro de
Cincias Exatas e Naturais, Universidade Regional de Blumenau, Blumenau, 2004.

SCHEFFER, R. Uma viso Geral Sobre Threads. Departamento de Informtica.

Universidade Estadual de Maring. Maring, 2007.

38
SOCIAL: Saiba dos cuidados necessrios para no cair nas armadilhas dos
engenheiros sociais. [S.l.:s.n.], 2008. Disponvel em: <http:// www.baixaki.com.br
/info/1078-cuidado-coma- engenharia-social.htm>. Acesso em: 20 out. 2014

STONEBURNER,

Gary.

Underlying

Technical

Models

for

Information

Technology Security. NIST Special Publication 800-33, 2001.

WebMobile. Persistncia em aplicativos para dispositivos mveis com J2ME ,

disponvel

em:

http://www.devmedia.com.br/artigo-webmobile-3-persistencia-em-

aplicativos-para-dispositivos-moveis-com-j2me/2725#ixzz3ZloebSo1. Acesso em:12

de maro de 2015.

W3C,

tradues.

W3C

em

sete

pontos.

2014.

Disponvel

em:

http://www.amtechs .com /w3c/w3c7points.html>. Acesso em: 20 nov. 2014.

WADLOW, Thomas. Segurana de Redes. Editora Campus. Rio de Janeiro,

2000.

<2014.