Segurança da Informação

Padrão

Esta postagem foi desenvolvida da seguinte forma:

1º Texto retirado do site Wikipédia Segurança da informação

2º texto retirado do site  tutomania Segurança da Informação ( comportamento do usuário )

3º Link para uma cartilha feita pelo Promon Com o tema : Segurança da informação Um diferencial determinante na competitividade das corporações

4º Um link para um artigo científico da Pontifícia Universidade Católica do Rio Grande do Sul (PUCRS), Porto Alegre, RS que para mim vale uma conferida.

5º Vídeos sobre o assunto.

Espero que aproveitem bem e bons estudos!

Aproveito para pedir que baixe meu livro A Fortaleza do Centro e fazer um comentário e caso goste divulgar para seus amigos, se possível no facebook e twitter.

 

1º Texto retirado do site Wikipédia Segurança da informação

segurança da informação está relacionada com proteção de um conjunto de dados, no sentido de preservar o valor que possuem para um indivíduo ou uma organização. São características básicas da segurança da informação os atributos deconfidencialidadeintegridadedisponibilidade e autenticidade, não estando esta segurança restrita somente a sistemas computacionais, informações eletrônicas ou sistemas de armazenamento. O conceito se aplica a todos os aspectos de proteção de informações e dados. O conceito de Segurança Informática ou Segurança de Computadores está intimamente relacionado com o de Segurança da Informação, incluindo não apenas a segurança dos dados/informação, mas também a dos sistemas em si.

Atualmente o conceito de Segurança da Informação está padronizado pela norma ISO/IEC 17799:2005, influenciada pelo padrão inglês (British StandardBS 7799. A série de normas ISO/IEC 27000 foram reservadas para tratar de padrões de Segurança da Informação, incluindo a complementação ao trabalho original do padrão inglês. A ISO/IEC 27002:2005 continua sendo considerada formalmente como 17799:2005 para fins históricos.

Conceitos de segurança

A Segurança da Informação se refere à proteção existente sobre as informações de uma determinada empresa ou pessoa, isto é, aplica-se tanto as informações corporativas quanto às pessoais. Entende-se por informação todo e qualquer conteúdo ou dado que tenha valor para alguma organização ou pessoa. Ela pode estar guardada para uso restrito ou exposta ao público para consulta ou aquisição.

Podem ser estabelecidas métricas (com o uso ou não de ferramentas) para a definição do nível de segurança existente e, com isto, serem estabelecidas as bases para análise da melhoria ou piora da situação de segurança existente. A segurança de uma determinada informação pode ser afetada por fatores comportamentais e de uso de quem se utiliza dela, pelo ambiente ou infraestrutura que a cerca ou por pessoas mal intencionadas que têm o objetivo de furtar, destruir ou modificar tal informação.

A tríade CIA (Confidentiality, Integrity and Availability) — ConfidencialidadeIntegridade e Disponibilidade — representa os principais atributos que, atualmente, orientam a análise, o planejamento e a implementação da segurança para um determinado grupo de informações que se deseja proteger. Outros atributos importantes são a irretratabilidade e a autenticidade. Com a evolução do comércio eletrônico e da sociedade da informação, a privacidade é também uma grande preocupação.

Portanto os atributos básicos, segundo os padrões internacionais (ISO/IEC 17799:2005) são os seguintes:

  • Confidencialidade – propriedade que limita o acesso a informação tão somente às entidades legítimas, ou seja, àquelas autorizadas pelo proprietário da informação.
  • Integridade – propriedade que garante que a informação manipulada mantenha todas as características originais estabelecidas pelo proprietário da informação, incluindo controle de mudanças e garantia do seu ciclo de vida (nascimento,manutenção e destruição).
  • Disponibilidade – propriedade que garante que a informação esteja sempre disponível para o uso legítimo, ou seja, por aqueles usuários autorizados pelo proprietário da informação.
  • Irretratabilidade – propriedade que garante a impossibilidade de negar a autoria em relação a uma transação anteriormente feita

Para a montagem desta política, deve-se levar em conta:

  • Riscos associados à falta de segurança;
  • Benefícios;
  • Custos de implementação dos mecanismos.

Mecanismos de segurança

O suporte para as recomendações de segurança pode ser encontrado em:

  • Controles físicos: são barreiras que limitam o contato ou acesso direto a informação ou a infraestrutura (que garante a existência da informação) que a suporta.

Existem mecanismos de segurança que apóiam os controles físicos:

Portas / trancas / paredes / blindagem / guardas / etc ..

  • Controles lógicos: são barreiras que impedem ou limitam o acesso a informação, que está em ambiente controlado, geralmente eletrônico, e que, de outro modo, ficaria exposta a alteração não autorizada por elemento mal intencionado.

Existem mecanismos de segurança que apóiam os controles lógicos:

  • Mecanismos de criptografia. Permitem a transformação reversível da informação de forma a torná-la ininteligível a terceiros. Utiliza-se para tal, algoritmos determinados e uma chave secreta para, a partir de um conjunto de dados não criptografados, produzir uma sequência de dados criptografados. A operação inversa é a decifração.
  • Assinatura digital. Um conjunto de dados criptografados, associados a um documento do qual são função, garantindo a integridade e autenticidade do documento associado, mas não a sua confidencialidade.
  • Mecanismos de garantia da integridade da informação. Usando funções de “Hashing” ou de checagem, consistindo na adição.
  • Mecanismos de controle de acesso. Palavras-chave, sistemas biométricosfirewalls, cartões inteligentes.
  • Mecanismos de certificação. Atesta a validade de um documento.
  • Integridade. Medida em que um serviço/informação é genuíno, isto é, está protegido contra a personificação por intrusos.
  • Honeypot: É o nome dado a um software, cuja função é detectar ou de impedir a ação de um cracker, de um spammer, ou de qualquer agente externo estranho ao sistema, enganando-o, fazendo-o pensar que esteja de fato explorando uma vulnerabilidade daquele sistema.
  • Protocolos seguros: uso de protocolos que garantem um grau de segurança e usam alguns dos mecanismos citados aqui

Existe hoje em dia um elevado número de ferramentas e sistemas que pretendem fornecer segurança. Alguns exemplos são os detectores de intrusões, os anti-vírus, firewalls, firewalls locais, filtros anti-spam, fuzzers, analisadores de código, etc.

Ameaças à segurança

As ameaças à segurança da informação são relacionadas diretamente à perda de uma de suas 3 características principais, quais sejam:

  • Perda de Confidencialidade: seria quando há uma quebra de sigilo de uma determinada informação (ex: a senha de um usuário ou administrador de sistema) permitindo que sejam expostas informações restritas as quais seriam acessíveis apenas por um determinado grupo de usuários.
  • Perda de Integridade: aconteceria quando uma determinada informação fica exposta a manuseio por uma pessoa não autorizada, que efetua alterações que não foram aprovadas e não estão sob o controle do proprietário (corporativo ou privado) da informação.
  • Perda de Disponibilidade: acontece quando a informação deixa de estar acessível por quem necessita dela. Seria o caso da perda de comunicação com um sistema importante para a empresa, que aconteceu com a queda de um servidor ou de uma aplicação crítica de negócio, que apresentou uma falha devido a um erro causado por motivo interno ou externo ao equipamento ou por ação não autorizada de pessoas com ou sem má intenção.

No caso de ameaças à rede de computadores ou a um sistema, estas podem vir de agentes maliciosos, muitas vezes conhecidos como crackers, (hackers não são agentes maliciosos, pois tentam ajudar a encontrar possiveis falhas). Estas pessoas são motivadas para fazer esta ilegalidade por vários motivos. Os principais são: notoriedade, auto-estima, vingança e o dinheiro. De acordo com pesquisa elaborada pelo Computer Security Institute ([1] ), mais de 70% dos ataques partem de usuários legítimos de sistemas de informação (Insiders) — o que motiva corporações a investir largamente em controles de segurança para seus ambientes corporativos (intranet).

Invasões na Internet

Todo sistema de computação necessita de um sistema para proteção de arquivos. Este sistema é um conjunto de regras que garantem que a informação não seja lida, ou modificada por quem não tem permissão. A segurança é usada especificamente para referência do problema genérico do assunto, já os mecanismos de proteção são usados para salvar as informações a serem protegidas. A segurança é analisada de várias formas, sendo os principais problemas causados com a falta dela a perda de dados e as invasões de intrusos. A perda de dados na maioria das vezes é causada por algumas razões: fatores naturais: incêndios, enchentes, terremotos, e vários outros problemas de causas naturais; Erros de hardware ou de software: falhas no processamento, erros de comunicação, ou bugs em programas; Erros humanos: entrada de dados incorreta, montagem errada de disco ou perda de um disco. Para evitar a perda destes dados é necessário manter um backup confiável, guardado longe destes dados originais.

Exemplos de Invasões

O maior acontecimento causado por uma invasão foi em 1988, quando um estudante colocou na internet um programa malicioso (worm), derrubando milhares de computadores pelo mundo. Sendo identificado e removido logo após. Mas até hoje há controvérsias de que ele não foi completamente removido da rede. Esse programa era feito em linguagem C, e não se sabe até hoje qual era o objetivo, o que se sabe é que ele tentava descobrir todas as senhas que o usuário digitava. Mas esse programa se auto-copiava em todos os computadores em que o estudante invadia. Essa “brincadeira” não durou muito, pois o estudante foi descoberto pouco tempo depois, processado e condenado a liberdade condicional, e teve que pagar uma alta multa.

Um dos casos mais recentes de invasão por meio de vírus foi o do Vírus Conficker (ou Downup, Downadup e Kido) que tinha como objetivo afetar computadores dotados do sistema operacional Microsoft Windows, e que foi primeiramente detectado em outubro de 2008. Uma versão anterior do vírus propagou-se pela internet através de uma vulnerabilidade de um sistema de rede do Windows 2000, Windows XP, Windows Vista, Windows Server 2003, Windows Server 2008, Windows 7 Beta e do Windows Server 2008 R2 Beta, que tinha sido lançado anteriormente naquele mês. O vírus bloqueia o acesso a websites destinados à venda, protegidos com sistemas de segurança e, portanto, é possível a qualquer usuário de internet verificar se um computador está infectado ou não, simplesmente por meio do acesso a websites destinados a venda de produtos dotados de sistemas de segurança. Em janeiro de 2009, o número estimado de computadores infectados variou entre 9 e 15 milhões. Em 13 de fevereiro de 2009, a Microsoft estava oferecendo 250.000 dólares americanos em recompensa para qualquer informação que levasse à condenação e à prisão de pessoas por trás da criação e/ou distribuição do Conficker. Em 15 de outubro de 2008, a Microsoft liberou um patch de emergência para corrigir a vulnerabilidade MS08-067, através da qual o vírus prevalece-se para poder se espalhar. As aplicações da atualização automática se aplicam somente para o Windows XP SP2, SP3, Windows 2000 SP4 e Windows Vista; o Windows XP SP1 e versões mais antigas não são mais suportados. Os softwares antivírus não-ligados a Microsoft, tais como a BitDefender, Enigma Software, Eset,F-Secure, Symantec, Sophos, e o Kaspersky Lab liberaram atualizações com programas de detecção em seus produtos e são capazes de remover o vírus. A McAfee e o AVG também são capazes de remover o vírus através de escaneamentos de discos rígidos e mídias removíveis.

Através desses dados vemos que os anti-vírus devem estar cada vez mais atualizados, estão surgindo novos vírus rapidamente, e com a mesma velocidade deve ser lançado atualizações para os bancos de dados dos anti-vírus para que os mesmos sejam identificados e excluídos. Com a criação da internet essa propagação de vírus é muito rápida e muito perigosa, pois se não houver a atualização dos anti-virus o computador e usuário estão vulneráveis, pois com a criação da internet várias empresas começarão a utilizar internet como exemplo empresas mais precisamente bancos, mas como é muito vulnerável esse sistema, pois existem vírus que tem a capacidade de ler o teclado (in/out), instruções privilegiadas como os keyloggers. Com esses vírus é possível ler a senha do usuário que acessa sua conta no banco, com isso é mais indicado ir diretamente ao banco e não acessar sua conta pela internet.

Nível de segurança

Depois de identificado o potencial de ataque, as organizações têm que decidir o nível de segurança a estabelecer para uma rede ou sistema os recursos físicos e lógicos a necessitar de proteção. No nível de segurança devem ser quantificados os custos associados aos ataques e os associados à implementação de mecanismos de proteção para minimizar a probabilidade de ocorrência de um ataque.

Segurança física

Considera as ameaças físicas como incêndios, desabamentos, relâmpagos, alagamento, acesso indevido de pessoas, forma inadequada de tratamento e manuseio do material.

Segurança lógica

Atenta contra ameaças ocasionadas por vírus, acessos remotos à rede, backup desatualizados, violação de senhas, etc.

Segurança lógica é a forma como um sistema é protegido no nível de sistema operacional e de aplicação. Normalmente é considerada como proteção contra ataques, mas também significa proteção de sistemas contra erros não intencionais, como remoção acidental de importantes arquivos de sistema ou aplicação.

Políticas de segurança

De acordo com o RFC 2196 (The Site Security Handbook), uma política de segurança consiste num conjunto formal de regras que devem ser seguidas pelos utilizadores dos recursos de uma organização.

As políticas de segurança devem ter implementação realista, e definir claramente as áreas de responsabilidade dos utilizadores, do pessoal de gestão de sistemas e redes e da direção. Deve também adaptar-se a alterações na organização. As políticas de segurança fornecem um enquadramento para a implementação de mecanismos de segurança, definem procedimentos de segurança adequados, processos de auditoria à segurança e estabelecem uma base para procedimentos legais na sequência de ataques.

O documento que define a política de segurança deve deixar de fora todos os aspectos técnicos de implementação dos mecanismos de segurança, pois essa implementação pode variar ao longo do tempo. Deve ser também um documento de fácil leitura e compreensão, além de resumido.

Algumas normas definem aspectos que devem ser levados em consideração ao elaborar políticas de segurança. Entre essas normas estão a BS 7799 (elaborada pela British Standards Institution) e a NBR ISO/IEC 17799 (a versão brasileira desta primeira). A ISO começou a publicar a série de normas 27000, em substituição à ISO 17799 (e por conseguinte à BS 7799), das quais a primeira, ISO 27001, foi publicada em 2005.

Existem duas filosofias por trás de qualquer política de segurança: a proibitiva (tudo que não é expressamente permitido é proibido) e a permissiva (tudo que não é proibido é permitido).

Os elementos da política de segurança devem ser considerados:

  • A Disponibilidade: o sistema deve estar disponível de forma que quando o usuário necessitar, possa usar. Dados críticos devem estar disponíveis ininterruptamente.
  • A Legalidade
  • A Integridade: o sistema deve estar sempre íntegro e em condições de ser usado.
  • A Autenticidade: o sistema deve ter condições de verificar a identidade dos usuários, e este ter condições de analisar a identidade do sistema.
  • A Confidencialidade: dados privados devem ser apresentados somente aos donos dos dados ou ao grupo por ele liberado.

Políticas de Senhas

Dentre as políticas utilizadas pelas grandes corporações a composição da senha ou password é a mais controversa. Por um lado profissionais com dificuldade de memorizar varias senhas de acesso, por outro funcionários displicentes que anotam a senha sob o teclado no fundo das gavetas, em casos mais graves o colaborador anota a senha no monitor.

Recomenda-se a adoção das seguintes regras para minimizar o problema, mas a regra fundamental é a conscientização dos colaboradores quanto ao uso e manutenção das senhas.

  • Senha com data para expiração
Adota-se um padrão definido onde a senha possui prazo de validade com 30 ou 45 dias, obrigando o colaborador ou usuário a renovar sua senha.
  • Inibir a repetição
Adota-se através de regras predefinidas que uma senha uma vez utilizada não poderá ter mais que 60% dos caracteres repetidos, p. ex: senha anterior “123senha” nova senha deve ter 60% dos caracteres diferentes como “456seuse”, neste caso foram repetidos somente os caracteres “s” “e” os demais diferentes.
  • Obrigar a composição com número mínimo de caracteres numéricos e alfabéticos
Define-se obrigatoriedade de 4 caracteres alfabéticos e 4 caracteres numéricos, por exemplo:

1s4e3u2s ou posicional os 4 primeiros caracteres devem ser numéricos e os 4 subseqüentes alfabéticos por exemplo: 1432seus.
  • Criar um conjunto com possíveis senhas que não podem ser utilizadas
Monta-se uma base de dados com formatos conhecidos de senhas e proíbir o seu uso, como por exemplo o usuário chama-se Jose da Silva, logo sua senha não deve conter partes do nome como 1221jose ou 1212silv etc, os formatos DDMMAAAA ou 19XX, 1883emc ou I2B3M4
  • Recomenda-se ainda utilizar senhas com Case Sensitive e utilização de caracteres especiais como: @ # $ % & *

2º texto retirado do site  tutomania Segurança da Informação ( comportamento do usuário )

Segurança da Informação (comportamento do usuário).

O Ser Humano frente à Segurança da Informação
A comunidade de segurança da informação recentemente deu-se conta de que o comportamento do usuário desempenha um papel importante em incidentes de segurança.

1.0    O ser humano como ‘elo’ mais fraco do sistema
Sistemas de segurança da informação são freqüentemente comparados a uma corrente com muitos elos representando os componentes envolvidos, tais como equipamento, software, protocolos de comunicação de dados, e outros, incluindo o usuário humano.
Na literatura sobre segurança da informação, o usuário humano é freqüentemente referenciado como o elo mais fraco (Sasse etal., 2001). Entretanto, além de culpar o usuário, pouco tem sido feito para identificar os fatores que levam a comportamentos potencialmente inseguros e menos ainda para tentar resolver tais problemas.

2.0    Prejuízos às organizações frente a utilização de senhas
Corporações já gastaram milhões de dólares em firewalls, encriptação e dispositivos de acesso seguro.
Recursos que talvez tenham sido desperdiçados, uma vez que os usuários desses sistemas ainda são humanos, com todas as suas limitações humanas e, portanto, ainda o elo mais fraco.
Em 2006, as fraudes virtuais custaram ao Brasil cerca de 300 milhões de reais, de acordo com o Instituto de Peritos em Tecnologias Digitais e Telecomunicações (IPDI). Muitas deles podem ter sido ocasionadas com a falta de cuidados na criação de senhas. Gastos com TI subiram de 2003 para 2004 30%, e parte destes gastos são relativos a criação de mecanismos de segurança do sistema.
Em relação a gastos com Segurança em TI, observe os argumentos utilizados por um site de consultoria em Segurança da Informação:
“A maioria das empresas ainda não considera
a segurança de suas informações um investimento
prioritário – embora, curiosamente, geralmente
dependam totalmente dela para operar e sobreviver”

“Segurança da informação não gera receita,
reduz custos ou traz inovações e para a maioria dos
projetos nessa área é simplesmente impossível
quantificar antecipadamente um ROI financeiro”

“Infelizmente, a maioria das empresas que
investem em segurança da informação gastam seu
orçamento em medidas corretivas e táticas – ao invés
de aplicá-lo em medidas preventivas e estratégicas”

3.0    Memória Humana
Há uma série de características que impactam o projeto e o uso de sistemas de senhas. Entre essas características, uma das principais é a memorabilidade. Existe uma vasta gama de pesquisas em Psicologia da memória, que poderia ser usada para auxiliar na melhor compreensão do que está acontecendo de fato na mente humana ao ter que lembrar várias senhas no dia-a-dia. Os critérios para gerar senhas fortes fazem com que seja difícil para seres humanos mantê-las na memória, especialmente quando se tem várias senhas para lembrar.
Um artigo interessante publicado no site da UFRGS – Universidade Federal do Rio Grande do Sul incluía a explicação do professor Geraldo Fernando Xavier a respeito do funcionamento da memória.

“Temos uma estrutura neurológica de complexidade extremamente elevada e, por isso, conseguimos arquivar as memórias”, afirma Geraldo Fernando Xavier, professor do Departamento de Fisiologia do Instituto de Biociências. Uma experiência marcante faz conjuntos de células de o sistema nervoso entrar em intensa atividade elétrica, o que pode desencadear reações bioquímicas e, assim, alterar a conexão entre os neurônios. Isso ocorre em vários pontos do cérebro, criando circuitos relacionados à representação da experiência original.
Existem muitas técnicas para treinar a memória. O primeiro a estudá-las foi o jesuíta italiano Mateo Ricci no século XVI. Ele se imaginava andando por um palácio que conhecia muito bem e guardando informações em lugares conhecidos, como gavetas e outros objetos. “A estratégia é manter as informações num contexto conhecido e ensaiá-las por mais tempo”, revela Xavier. Essa é a base de todos os métodos ditos modernos, métodos de associação.

4.0    O que, então, as pessoas fazem?
Há vários “maus hábitos”, amplamente difundidos, que já foram identificados (Brown etal., 2004, Yan et al., 2004). Tais maus hábitos incluem escrever as senhas em papel e armazená-los em locais óbvios, como o monitor do computador ou sob o mouse pad, ou utilizar a mesma senha repetidamente, ou ainda, escolher palavras simples ou nomes que são muito fáceis de adivinhar. Maus hábitos no uso de senhas significam que políticas de segurança, que foram cuidadosamente
elaboradas, não estão sendo observadas. Na verdade, esses maus hábitos se materializam em vulnerabilidades de sistemas de informação, tais como senhas fracas, senhas comuns ou senhas visíveis. A seguir segue uma resumida lista de dicas para criação de senhas retirado do site da O CESUP-RS que é um Centro Nacional de Supercomputação, localizado na Região Sul do Brasil, em Porto Alegre, RS.

4.1 Sugestões para a Criação e Proteção de Senhas
A senha de uma conta é um elemento crítico na segurança dos sistemas informatizados.
O CESUP-RS sugere aos seus usuários trocar periodicamente suas senhas (no máximo de 2 em 2 meses) e que estas sejam diferentes nas diversas máquinas que ele estiver autorizado a usar.
A seguir, o CESUP-RS faz algumas considerações de como manter a privacidade de uma senha, como “inventar” uma senha e outras sugestões. Estas considerações foram retiradas da literatura e divulgadas no site da Artic Region Supercomputing Center.
1) Tente memorizar sua senha e evite escrevê-la. Se necessitar escrever sua senha, lembre-se:
a.    Não a identifique como sendo uma senha;
b.    Não escreva, junto à ela, nome da conta (username) e/ou máquina que está cadastrada;
c.    Escreva-a diferente do que ela é, misturando caracteres extras, rearranjando os caracteres de forma que possa ser lembrada;
d.    Não a armazene em teclas de comando de sua máquina, macros ou “scripts”.
2) Invente um método privado de gerar senhas. Evite senhas que tenham algum significado como datas comemorativas pessoais ou não, endereços, nomes, palavras que possam ser encontradas em dicionário, etc.
3) Misture letras maiúsculas, minúsculas e caracteres especiais na senha.
4) Não passe sua conta/senha para outras pessoas. Se por alguma razão você precisar compartilhar sua conta/senha nunca envie via e-mail, mesmo se criptografada, pois alguns algoritmos são capazes de quebrar as senhas. Não use telefone celular.
5) Tenha a certeza de que ninguém esteja observando-o quando estiver digitando sua senha.
6) Não reutilize senhas antigas.
Segundo Patrick H. Wood e Stephen G. Kochan, “a melhor senha é aquela que tem, no mínimo, seis caracteres, não tem significado pessoal, e possui caracteres não alfabéticos na sua formação”.
O CESUP-RS sugere o seguinte método para criação de senhas:
1 Pense numa frase;
2 Retire as primeiras letras das palavras desta frase;
3 Misture letras maiúsculas, minúsculas e caracteres especiais.
O exemplo a seguir ilustra a criação de uma senha:
“A saudade é uma cadeira de balanço embalando sozinha.” Mário Quintana
A senha formada poderia ser: scbes.MQ

5.0 Pesquisa de Brown sobre hábitos na criação de senhas
Dentre os muito poucos estudos que têm investigado a criação e o uso de senhas, Brown e colaboradores (2004) entrevistaram 218 estudantes de graduação para avaliar a geração e o uso de senhas. Com base em um levantamento prévio, 19 itens foram incluídos no questionário, como conta bancária ou email. Para cada item, os participantes deveriam descrever o tipo de informação usada para criar ou lembrar da senha. Os resultados mostraram que dois terços das senhas foram geradas em torno de características pessoais dos usuários e a maioria das senhas restantes se relacionava à família, amigos ou relacionamentos amorosos. Nomes próprios e aniversários compunham aproximadamente metade de todas as senhas levantadas. O estudo ainda encontrou suporte empírico para os maus hábitos mencionados acima. Quase todos os entrevistados reusavam senhas e mais da metade deles mantinha uma cópia escrita de suas senhas. O estudo de Brown e colegas corroboram achados de estudos anteriores, menos abrangentes, mas que também detectaram alguns maus hábitos e onde apenas um pequeno percentual de senhas foi criado de acordo com as diretrizes de segurança. Por exemplo, Carstens e colaboradores (2004) encontraram que indivíduos com oito a onze senhas corriam maiores risco de não conseguir lembrá-las. Com a proliferação de websites que requerem autenticação, e-mails pessoais e profissionais, contas bancárias, etc., possuir múltiplas senhas não é incomum nos dias de hoje. Entretanto, fora do mundo tecnológico, pouca atenção tem sido dada a problemas especificamente relacionados ao uso de senhas.
RESUMO DA PESQUISA:
·    2/3 das senhas geradas em torno de características pessoais.
·    Maioria das senhas criadas relacionava-se com amigos, família, relacionamentos amorosos.
·    Quase todos reusavam e mantinham cópia escritas das senhas.
·    Pequeno percentual seguia as diretrizes seguras para criação de senhas.

6.0 Psicologia no auxílio da Segurança da Informação
Embora periódicos de tecnologia e administração (e.g. Ives et al., 2004; asse et al., 2001; Sieberg, 2005; Smith, 2002) tenham tratado de alguns aspectos pragmáticos da segurança de senhas, tais como maus hábitos e perdas de produtividade associadas ao esquecimento de senhas, na literatura psicológica ou da área de Interação Humano-Computador pouco foi dito sobre os aspectos cognitivos da criação, uso e esquecimento de senhas. Todos os maus hábitos mencionados acima, bem como as falhas de memória no uso de senhas, acontecem simplesmente porque, na impossibilidade de memorizar suas senhas, as pessoas desenvolvem estratégias não seguras. Os estudos da Psicologia Cognitiva, que têm estudado o funcionamento da memória, têm mostrado consistentemente que:
• guardar informações literais, ou detalhes superficiais como a exata ordem em que os caracteres aparecem em uma senha, é uma coisa difícil (Reyna e Brainerd,1995);
• as pessoas tendem a ter facilidade de lembrar de coisas que têm significado (Tulving e Craik, 2000) – o que geralmente não é o caso das senhas aleatórias ou geradas pelo sistema;
• com a falta de uso e a passagem do tempo, traços literais, como a estrutura da senha ou a fonte, tendem a se perder;
• o fato de processar informações de natureza semelhante interfere no registro mnemônico dessas informações (Teoria da Interferência, Pergher e Stein, 2003; Dempster e Brainerd, 1995), acarretando perda de parte ou de toda a informação. Assim sendo, a indústria da segurança da informação, em seus esforços para tornar a autenticação por meio de senhas um mecanismo mais viável, poderia considerar o vasto arcabouço de conhecimento que a Psicologia da memória possui.

fontes:

http://www.inf.ufrgs.br/~cabral/INF141.Cap.03A.html
http://www.usp.br/espacoaberto/arquivo/2006/espaco70ago/0comportamento.htm
http://www.cesup.ufrgs.br/Politicas/senhas.htm
http://idgnow.uol.com.br/seguranca/2007/07/13/idgnoticia.2007-07-13.8750778632/
http://www.administradores.com.br/noticias/gasto_com_seguranca_em_ti_crescera_30_em_2004/151/
http://www.faustiniconsulting.com/artigo10.htm
http://www.infowester.com/tutsenhas.php
http://www.tech-faq.com/lang/pt/bs7799.shtml

Esta matéria foi retirada do seguinte endereço: tutomania

3º Link para uma cartilha feita pelo Promon Com o tema : Segurança da informação Um diferencial determinante na competitividade das corporações

http://www.promon.com.br/portugues/noticias/download/Seguranca_4Web.pdf

4º Um link para um artigo científico da Pontifícia Universidade Católica do Rio Grande do Sul (PUCRS), Porto Alegre, RS que para mim vale uma conferida.

Caso você queira complementar mais este assunto, coloquei também este artigo científico da Pontifícia Universidade Católica do Rio Grande do Sul (PUCRS), Porto Alegre, RS que para mim vale uma conferida.

Segurança da informação: uma reflexão sobre o componente humano

Information security: a reflection on the human component

Denise Ranghetti Pilar da Silva e Lilian Milnitsky Stein

5º Vídeos sobre o assunto.


 

Se o site está te ajudando a atingir seus objetivos, que tal também nos ajudar a levar informação de qualidade para todos. Clique aí no banner abaixo, é muito simples.

Sobre Eder Sabino Carlos

Sou formado em Ciências Econômicas e desenvolvi este site para democratizar materiais de estudos de qualidade para concursos públicos e Enem. Hoje sou representante de vendas na área de material de construçãoa na cidade de Vila Velha ES. Gosto de ler livros de aventura e tenho um livro publicado em e-book com o título de A Fortaleza do Centro. Um livro de aventura infanto-juvenil, mas adultos também estão gostando. Você pode baixar o livro no site e aproveite e veja os comentários das pessoas que já o leram.

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s