Segurança e os Desafios Éticos da Tecnologia da informação: O objetivo deste artigo é arrazoar os controles necessários para o desempenho e segurança dos sistemas de informação, bem como as implicações éticas e impactos sociais da tecnologia da informação. Questões de Segurança e Controle em Sistemas de Informação que discute como se pode promover a qualidade e segurança dos sistemas de informação por uma diversidade de controles, procedimentos e instalações.
Os Desafios Éticos e Sociais da tecnologia da informação: Controvertem conceitos éticos fundamentais e como a Tecnologia da Informação afeta a sociedade no emprego, individualidade, condições de trabalho, privacidade, crime, saúde e soluções para problemas sociais. Identificar diversos tipos de controles de sistemas de informação, controles de procedimentos e controles de instalações e explicar como eles podem ser utilizados para garantir a qualidade e segurança dos sistemas de informação. Arrazoar maneiras de controlar o desempenho e segurança do uso da Internet pelas empresas e seus usuários finais e parceiros comerciais. Identificar diversas questões éticas no modo como a tecnologia da informação contrafeita o emprego, individualidade, condições de trabalho e privacidade. Aceitar diversas maneiras pelas quais os usuários finais gerenciais podem auxiliar a atenuar os efeitos nocivos e aumentar os efeitos benéficos da tecnologia da informação.
Questões de Segurança e Controle em Sistemas de Informação: Por que os controles são necessários: São necessários para garantir a qualidade e segurança dos recursos de hardware, software, redes e dados dos sistemas de informação. Os computadores provaram que podem processar grandes volumes de dados e executar cálculos complexos de modo mais preciso do que os sistemas manuais ou mecânicos. Entretanto, sabe-se também que: Ocorrem erros em sistemas computadorizados. Os computadores têm sido utilizados para fins fraudulentos e seus recursos de software e dados têm sido destruídos acidental ou deliberadamente.
Analisando a BuyDirect e Outras Empresas: Podemos aprender a partir deste caso sobre a ameaça de fraude em cartões de crédito e as medidas defensivas que uma empresa pode tomar em transações de comércio eletrônico. Aproveite alguns minutos para ler o caso e iremos discuti-lo:
Por que os Controles são Necessários: Os controles eficazes fornecem segurança dos sistemas de informação, ou seja: A precisão, integridade e segurança das atividades e recursos dos sistemas de informação. Os controles podem minimizar erros, fraude e destruição nos sistemas de informação interconectados que hoje ligam entre si usuários finais e organizações. Fornecem garantia de qualidade para os sistemas de informação. Ou seja, eles podem deixar um sistema de informação computadorizado mais livre de erros e fraude e capaz de fornecer produtos de informação de qualidade mais alta do que os tipos manuais de processamento da informação. Reduzem o impacto negativo potencial e aumentam o impacto positivo que a tecnologia da informação pode produzir na sobrevivência e sucesso das empresas e na qualidade de vida na sociedade.
Três tipos principais de controle devem ser desenvolvidos para garantir a qualidade e segurança dos sistemas de informação. Essas categorias de controle incluem: Controles de sistemas de informação; Controles de procedimentos; Controles de instalações. Controles dos Sistemas de Informação: São métodos e dispositivos que procuram garantir a precisão, validade e propriedade das atividades dos sistemas de informação. Devem ser desenvolvidos para garantir a forma correta de: Entrada de dados; Técnicas de processamento; Métodos de armazenamento e saída de informações. Os controles dos sistemas de informação são projetados para monitorar e manter a qualidade e segurança das atividades de entrada, processamento, saída e armazenamento de um sistema de informação.
Controles de Entrada: A expressão Garbage in, garbage out, ou entra lixo, sai lixo explica a necessidade de controles de entrada. Esses controles incluem: Senhas e outros códigos de segurança, telas formatadas para entrada de dados
sinais audíveis de erro, máscaras para as teclas de dispositivos de entrada acionados por teclas, formulários pré-gravados e pré-numerados. Sistemas de tempo real que podem registrar todas as entradas no sistema em registros de controle em fita magnética que preservam evidência de todas as entradas no sistema. Isto pode incluir a realização de checagens de razoabilidade para determinar se os dados introduzidos excedem certos limites especificados ou estão fora de ordem. Inclui o cálculo e monitoração de totais de controle contagem de registros, totais de lotes, batch totals e totais parciais de hash totals.
Controles de Processamento: Uma vez que os dados tenham sido corretamente registrados em um sistema de computador, eles devem ser corretamente processados. Os controles de processamento identificam erros em cálculos aritméticos e operações lógicas. Também são utilizados para garantir que os dados não se percam ou fiquem sem processamento. Os controles de processamento podem incluir controles de hardware e controles de software.
Controles de Hardware: Os controles de hardware são verificações especiais embutidas no hardware para verificar a precisão do processamento do computador. Exemplos de controles de hardware incluem: Circuitos de detecção de falhas: Estes são os circuitos encontrados dentro do computador utilizado para monitorar as operações, por exemplo, averiguações de paridade, inquirições pelo eco, verificações de circuitos redundantes, inquéritos de sinais aritméticos e investigações de sincronização e voltagem da CPU.
Componentes Redundantes: São dispositivos que verificam e promovem a exatidão de atividades de leitura e gravação, por exemplo, múltiplas cabeças de leitura e gravação em unidades de fita e disco magnético. Microprocessadores de finalidades especiais e circuitos associados são dispositivas como chaves que podem ser utilizados para apoiar diagnósticos e manutenção à distância. Estes permitem aos técnicos o diagnóstico e correção de alguns problemas via links de rede com o computador.
Controles de Software: Têm o objetivo de garantir que os dados corretos estão sendo processados. Exemplos de controles de software incluem: Rótulos de arquivos internos que permitem que o computador garanta que o arquivo correto de armazenamento está sendo utilizado e que os dados verdadeiros no arquivo foram processados. O estabelecimento de pontos de verificação durante o processamento de um programa. Os pontos de verificação são pontos intermediários dentro de um programa que está sendo processado, onde os resultados intermediários são gravados em fita ou disco magnético ou listados em uma impressora. Os pontos de verificação minimizam o efeito de erros de processamento e também ajudam a construir uma trilha de auditoria, que permite que as transações em processamento sejam acompanhadas ao longo de todas as etapas de processamento. Pacotes de software de sistemas especializados conhecidos como monitores de segurança de sistemas são programas que monitoram o uso de um sistema de computador e protegem seus recursos contra uso não autorizado, fraude e destruição.
Controles de Saída: São desenvolvidos para garantir que os produtos de informação estejam corretos e completos e estejam disponíveis de maneira oportuna a usuários autorizados. Exemplos de controles de saída são: Documentos e relatórios de saída que são freqüentemente registrados, identificados com revisões de rota e visualmente checados pelo pessoal de entrada/saída. Totais de controle sobre a saída que normalmente são comparados com os totais de controle gerados durante as etapas de entrada e processamento. Listagens de controle que podem ser produzidas fornecendo evidência em papel para toda saída produzida. Formulários de saída pré-numerados que podem ser usados para controlar a perda de documentos importantes. Listas de distribuição que garantem que apenas os usuários autorizados recebem saída. Acesso à egressão que pode ser controlado por códigos de segurança que identificam os usuários que podem receber saída e o tipo de saída que eles estão autorizados a receber. Usuários finais que recebem saídas que devem ser incentivados a fornecer feedback sobre a qualidade da saída.
Controles de Armazenamento: Os recursos de armazenamento de dados são uma importante consideração. As responsabilidades de controle para arquivos de programas de computador e bancos de dados organizacionais podem envolver: Atribuir às responsabilidades de controle as especialistas de centros de dados e administradores de bancos de dados; Garantir a proteção contra uso não autorizado ou acidental utilizando programas de segurança que exigem identificação apropriada antes de poderem ser utilizados; Utilizar códigos de contas, senhas e outros códigos de segurança para permitir acesso apenas a usuários autorizados. Outros controles de armazenamento que podem utilizar tecnologias de criptografia e cartão inteligente. Estabelecer um catálogo de usuários autorizados para permitir ao sistema de computador identificar usuários qualificados e determinar que tipos de informação eles estejam autorizados a receber. Ter arquivos de reserva, que são arquivos duplicados que podem ser armazenados em um local distante do centro de computação. Proteger arquivos utilizando medidas de retenção de arquivo que envolve cópias de armazenamento de arquivos mestre e arquivos de transações de períodos anteriores. Manter diversas gerações de arquivos para fins de controle.
Controles de Instalações: São métodos que protegem as instalações de computação e redes de uma organização e seu conteúdo contra a perda ou destruição. As redes e centros de computação estão sujeitos a casualidades como: Acidentes; Desastres naturais; Sabotagem; Vandalismo; Uso não autorizado; Espionagem industrial; Destruição e roubo de recursos.
Segurança de Rede: A segurança de uma rede pode ser fornecida por pacotes de software de sistemas especializados conhecidos como monitores de segurança de sistemas. Os monitores de segurança de sistemas são programas que monitoram o uso de sistemas e redes de computadores e os protegem do uso não autorizado, fraude e destruição. Esses programas fornecem: As medidas de segurança necessárias para permitir que apenas usuários autorizados acessem as redes, controlam o uso dos recursos de hardware, software e dados de um sistema de computador. Os programas de segurança monitoram o uso de redes de computadores e coletam estatísticas sobre quaisquer tentativas de uso impróprio. Em seguida, produzem relatórios para ajudar na manutenção da segurança da rede.
Criptografia: A criptografia de dados: tornou-se uma maneira importante de proteger dados e outros recursos de rede de computadores, principalmente na Internet, intranets e extranets. Características da criptografia incluem:
Senhas, mensagens, arquivos e outros dados que podem ser transmitidos de forma embaralhada e desembaralhados pelos sistemas de computadores apenas para usuários autorizados. O uso de algoritmos matemáticos especiais, ou chaves, para transformar dados digitais em um código embaralhado antes que esses dados sejam transmitidos e para decodificá-los quando forem recebidos. O método mais amplamente utilizado de criptografia que utiliza um par de chaves públicas e privadas exclusivas de cada indivíduo. Um e-mail, por exemplo, poderia ser embaralhado e codificado utilizando uma única chave pública para o destinatário, que é conhecida pelo remetente. Após a transmissão do e-mail, apenas a chave privada secreta do destinatário poderia desembaralhar a mensagem. Os programas de criptografia que são vendidos como produtos independentes ou embutidos em outro software utilizado para o processo de criptografia.
FireWall: Método importante para controle e segurança na Internet e outras redes é o uso de computadores e software. Características de computadores e software l incluem: Um firewall de rede é um sistema de computador guardião que protege as intranets e outras redes de computadores de uma empresa contra a invasão, funcionando como um filtro e ponto seguro de transferência para acesso à Internet e outras redes. Um computador de rede firewall filtra todo o tráfego de rede em busca de senhas corretas ou outros códigos de segurança e somente permite transmissões autorizadas para dentro e para fora da rede. Os firewalls se tornaram um componente essencial de organizações que se conectam com a Internet, em virtude da vulnerabilidade e falta de segurança da Internet. Os firewalls podem deter, mas não evitar inteiramente, o acesso não autorizado (hacking) às redes de computadores. Em alguns casos, um firewall pode permitir acesso apenas a partir de locais credenciados na Internet para determinados computadores dentro do firewall. Ou pode permitir que apenas informações seguras sejam transmitidas. Em alguns casos, é impossível saber se o uso de um determinado serviço de rede é seguro ou inseguro e, por isso, todos os pedidos devem ser bloqueados. O firewall pode então fornecer substitutos para alguns serviços de rede que desempenham a maioria das mesmas funções mas que são menos vulneráveis a invasão.
Controles de Proteção Física: Fornecer segurança máxima e proteção contra desastres para os recursos de computação de uma organização exige diversos tipos de controles. O acesso a centros de computação e áreas de trabalho do usuário final, por exemplo, é permitido apenas ao pessoal autorizado por técnicas como: Símbolos de identificação; Fechaduras eletrônicas; Alarmes contra roubo; Polícia de segurança; Circuito fechado de TV e outros sistemas de detecção. Os centros de computação podem ser protegidos de desastres por salvaguardas como: Sistemas de detecção e extinção de incêndio, caixas fortes de armazenamento à prova de incêndio para a proteção de arquivos, sistemas de energia elétrica de emergência, escudos eletromagnéticos, controles de temperatura, umidade e poeira.
Controles Biométricos: Os controles biométricos são medidas de segurança fornecidas por dispositivos de computador que medem características físicas que tornam cada indivíduo único. Isto inclui: Verificação de voz; Análise de digitação; Impressões digitais; Escaneamento de retina; Geometria de mão; Reconhecimento facial; Dinâmica de assinatura; Análise de padrões genéticos.
Controles de Falhas no Computador: Uma série de controles é necessária para evitar falhas de computador ou minimizar seus efeitos. Os de computadores podem falhar em virtude de: Queda de energia; Defeitos nos circuitos eletrônicos; Problemas na rede de telecomunicações; Erros de programação ocultos; Erros do operador do computador; Vandalismo eletrônico.
O departamento de serviços de informação normalmente toma medidas para evitar a falha no equipamento e minimizar seus efeitos prejudiciais. Por exemplo: Programas de manutenção preventiva de hardware e administração de atualizações de software são comuns. Utilizar computadores dotados de capacidades de manutenção automática e à distância.
Estabelecer padrões para fornecimento de energia elétrica, ar condicionado, controle de umidade e padrões de prevenção de incêndio; Obter uma capacidade de backup de um sistema de computador com organizações de recuperação de desastres. Programar e implementar principais mudanças de hardware ou software para evitar problemas. Treinamento e supervisão de operadores de computadores. Utilizar sistemas de computação tolerantes a falhas.
Tolerância a Falhas: Esses sistemas evitam a falha do computador utilizando múltiplas CPUs, periféricos e software de sistemas. Prova de Falhas: À prova de falhas se refere a sistemas de computador que continuam a operar no mesmo nível de desempenho depois de uma falha maior. Tolerante a Falhas: Tolerante a falhas se refere a sistemas de computador que continuam a operar em um nível reduzido, porém aceitável, depois de uma falha do sistema.
Controles de Procedimentos: São métodos que especificam como os recursos de computadores e redes de uma organização devem ser operados para a segurança máxima. Eles facilitam a precisão e integridade das operações dos computadores e das atividades de desenvolvimento de sistemas. Inclui: Padrões de procedimento e documentação; Requisitos de Autorização; Recuperação de Desastres; Controles para a Computação pelo Usuário Final.
Procedimentos-padrão: Normalmente, uma organização desenvolve e adota procedimentos padrões para a operação de sistemas de informação. Os procedimentos promovem a qualidade e minimizam as chances de erros e fraude. Ajudam usuários finais e especialistas de sistema de informação a saberem o que se espera deles em termos de procedimentos operacionais e qualidade de sistemas. Além disso, a documentação do projeto de software e dos sistemas e a operação do sistema devem ser desenvolvidas e mantidas atualizadas. A documentação também é inestimável na manutenção de um sistema à medida que são feitos os melhoramentos necessários.
Requisitos de Autorização: Os pedidos de desenvolvimento de sistemas, alterações de programas ou processamento de computação normalmente são submetidos a uma revisão formal pela administração antes de ser dada a autorização. A autorização minimiza os efeitos prejudiciais sobre a precisão e integridade das operações em curso de sistemas e redes.
Recuperação de Desastres: Furacões, terremotos, incêndios, enchentes, atos terroristas e criminosos e falha humana podem danificar seriamente os recursos de computação de uma organização. Muitas organizações como companhias aéreas e bancos, por exemplo, são incapacitadas até pela perda de algumas horas de poder de computação. É por isso que é importante que as organizações desenvolvam procedimentos de recuperação de desastres e os formalizem em um plano de recuperação de desastres. Esse plano especifica quais funcionários participarão na recuperação do desastre e quais serão suas obrigações; que hardware, software e instalações serão utilizados e a prioridade das aplicações que serão processadas. Acordos com outras empresas para o uso de instalações alternativas como locais de recuperação de desastres e armazenamento externo dos bancos de dados de uma organização também fazem parte de um esforço eficaz de recuperação de desastres.
Controles para a Computação pelo Usuário Final: Muitas aplicações desenvolvidas pelo usuário final estão desempenhando funções organizacionais extremamente importantes que são decisivas para o sucesso e sobrevivência da empresa. Elas podem muitas vezes ser chamadas de aplicações do usuário final críticas à empresa. Os controles envolvidos nas aplicações dos usuários finais devem ser os mesmos que aqueles que constituem prática padrão no desenvolvimento de aplicações por departamentos de profissionais.
Auditoria de Sistemas de Informação: Deve ser periodicamente examinado pelo pessoal de auditoria interna da empresa. Além disso, auditorias periódicas realizadas por auditores externos de firmas de contabilidade profissional constituem uma boa prática de negócios. Tais auditorias devem revisar e avaliar se foram desenvolvidos e implementados controles corretos e adequados dos sistemas de informação, controles de procedimento, controles de instalações e outros controles administrativos. Existem duas abordagens básicas para auditoria de sistemas de informação, ou seja, a realização de auditoria das atividades de processamento de informações dos sistemas de informação computadorizados. Essas abordagens são conhecidas como: Auditoria em torno do computador; Auditoria por meio do computador. Auditoria em torno do computador: Envolve a verificação da precisão e propriedade de entrada e saída do computador produzida sem avaliação do software que processou os dados. Vantagens: Método simples e fácil que não exige auditores com experiência em programação. Desvantagens: Não acompanha uma transação ao longo de todas as suas etapas de processamento, Não testa a precisão e integridade do software utilizado.
Auditoria por meio do computador: A auditoria por meio do computador envolve a verificação da precisão e integridade do software que processa os dados, bem como da entrada de dados e saída produzidos pelos sistemas e redes de computadores. Vantagens: Vanguarda à precisão e integridade dos programas de computador, a entrada e saída do sistema de computador. Desvantagens: Exige um conhecimento do sistema e operações de rede e desenvolvimento de software, sendo dispendioso para algumas aplicações. Um dos objetivos importantes desses procedimentos de auditoria é testar a integridade da trilha de auditoria de uma aplicação. Uma trilha pode ser definida como a presença de documentação que permite que uma transação seja rastreada ao longo de todas as etapas de seu processamento de informações. A trilha de auditoria dos sistemas de informação manuais são bastante visíveis e fáceis de rastrear, entretanto, os sistemas de informação alteraram a forma da trilha de auditoria.
Desafios Éticos e Sociais da Tecnologia da Informação - Analisando a Warroom Research e o Sun-Trust Banks: Podemos aprender a partir deste caso sobre as questões de segurança das redes e os desafios que cercam o uso da tecnologia da informação nas empresas.
A Dimensão Ética: A revolução da informação com sua tecnologia da informação ampliou drasticamente nossa capacidade para adquirir, manipular, armazenar e comunicar informações. Tornou mais fácil se comunicar, trabalhar em cooperação, compartilhar recursos e tomar decisões, tudo eletronicamente. A tecnologia da informação também tornou possível o engajamento eletrônico em práticas empresariais éticas ou antiéticas em qualquer lugar do mundo.
As dimensões éticas de controvérsia que você como administrador pode ter de encarar incluem: Deve monitorar eletronicamente as atividades de trabalho e o correio eletrônico de seus funcionários? Você deve deixar os funcionários utilizarem seus computadores de trabalho para atividades particulares ou levarem cópias de softwares para suas casas para uso pessoal? Você deve acessar eletronicamente os registros de pessoal ou as estações de trabalho de seus funcionários? Você deve vender para outras empresas informações sobre clientes extraídas dos seus sistemas de processamento de transações?
Fundamentos Éticos: Existem diversas filosofias éticas que você pode utilizar que ajudam a orientá-lo na tomada de decisões éticas: Egoísmo; Lei Natural; Utilitarismo; Respeito pelas Pessoas.
Egoísmo: O que é melhor para um determinado indivíduo é o certo. Lei natural: Os homens devem promover sua própria saúde e vida, propagar-se, buscar conhecimento do mundo e de Deus, buscar relações íntimas com outras pessoas e submeter-se à autoridade legítima. Utilitarismo: São corretas as ações que produzem o bem maior para o maior número de pessoas. Respeito pelas pessoas: As pessoas devem ser tratadas como fim e não como meio para um fim; e as ações são corretas se todos adotarem a regra moral pressuposta pela ação.
Existem modelos éticos de como os seres humanos aplicam sua filosofia ética escolhida às decisões e escolhas que precisam fazer diariamente no trabalho e em outras áreas de sua vida. Uma teoria se concentra nos processos de tomada de decisão das pessoas e enfatiza como os vários fatores ou as nossas percepções desses fatores afetam nosso processo de tomada de decisão ética. Outra, a teoria do estágio comportamental, afirma que as pessoas passam por diversos estágios de evolução moral antes de se fixarem em um nível de raciocínio ético.
Ética Empresarial: A ética empresarial pode ser subdividida em duas áreas distintas: A primeira diz respeito às práticas ilegais, antiéticas e questionáveis de gerentes ou organizações, suas causas e suas possíveis correções. A segunda diz respeito às numerosas questões éticas que os gerentes devem enfrentar como parte de suas decisões empresariais cotidianas. Os administradores utilizam diversas alternativas importantes quando confrontados com decisões éticas sobre questões de negócios. Essas alternativas incluem: Teoria do Acionista: Sustenta que os administrantes são agentes dos acionistas e sua única responsabilidade ética é aumentar os lucros da empresa sem violar a lei ou se envolver em práticas fraudulentas. Teoria do Contrato Social: Afirma que as empresas possuem responsabilidades éticas para com todos os membros da sociedade, o que permite às empresas existirem com base em um contrato social.
Teoria das partes interessadas: Os Stakeholders sustentam que os administradores possuem uma responsabilidade ética na administração de uma empresa para o benefício de todo o seu público, que são todos os indivíduos e grupos que possuem um interesse ou um direito em uma empresa.
Dimensões Éticas e Sociais da Tecnologia da Informação: O uso da Tecnologia da Informação nos negócios possui impactos importantes sobre a sociedade e, com isso, levanta sérias considerações éticas em áreas como: Privacidade; Crime; Saúde; Condições de Trabalho; Individualidade; Emprego e Busca de soluções sociais por meio da Tecnologia. Percebem que a tecnologia da informação pode produzir um efeito benéfico e também um efeito negativo em cada uma das áreas listadas acima.
Tecnologia da Informação e o Emprego: O impacto da Tecnologia da Informação sobre o emprego é uma preocupação ética importante e está diretamente relacionada ao uso de computadores para alcançar a automação. O uso da tecnologia gerou novos empregos e aumentou a produtividade. Entretanto, ela ainda tem provocado uma redução significativa em alguns tipos de oportunidades de trabalho.
Tecnologia e a Individualidade: Uma crítica freqüente à tecnologia da informação diz respeito ao seu efeito negativo sobre a individualidade das pessoas. Os sistemas computadorizados são criticados como: Sistemas impessoais que desumanizam e despersonalizam as atividades, já que eliminam as relações humanas presentes nos sistemas sem computadores. As pessoas sentem uma perda de identidade. Sistemas em que as pessoas sentem uma perda de individualidade já que alguns exigem a arregimentação do indivíduo e exigem adesão estrita a procedimentos detalhados. Os sistemas baseados em computador podem ser ergonomicamente projetados para acomodar fatores humanos que: Minimizem a despersonalização e a arregimentação; Projetem softwares que sejam personalizados e amigáveis ao usuário.
Tecnologia e as Condições de Trabalho: A TI eliminou algumas tarefas monótonas ou perversas no escritório e na fábrica que anteriormente tinham de ser executadas por pessoas. Dessa forma, pode-se dizer que eleva a qualidade do trabalho. Entretanto, muitas operações automatizadas são também criticadas por relegarem as pessoas a um papel de apoio de não fazer coisa alguma.
Monitoração pelo Computador: Uma das questões éticas mais explosivas concernentes à qualidade do trabalho é a monitoração pelo computador. Os computadores estão sendo utilizados para monitorar a produtividade e o comportamento de milhões de funcionários em seu trabalho. Segundo se supõe a monitoração por computador é feita para que os empregadores possam coletar dados de produtividade sobre seus funcionários para aumentar a eficiência e qualidade do serviço. A monitoração por computador tem sido criticada como antiética por que: É utilizada para monitorar indivíduos, não apenas o trabalho, e essa monitoração são realizados continuamente, violando assim a privacidade e liberdade pessoal dos trabalhadores. É considerada uma invasão da privacidade dos funcionários porque, em muitos casos, eles não sabem que estão sendo monitorados ou não sabem como a informação está sendo utilizada. O direito legal do funcionário de mover processo pode ser prejudicado pelo uso impróprio dos dados coletados para tomar decisões pessoais. Ela aumenta a tensão sobre os funcionários que devem trabalhar sob constante vigilância eletrônica. Tem sido responsabilizada por problemas de saúde entre os trabalhadores monitorados. Tem sido responsabilizada por roubar os trabalhadores da dignidade de seu trabalho.
Questões de Privacidade: O poder da TI de armazenar e recuperar informações pode ter um efeito negativo no direito à privacidade de cada indivíduo. Algumas importantes questões de privacidade que estão sendo debatidas nas empresas e no governo incluem as seguintes: Acessar trocas de correspondência e registros de computador privativos de indivíduos e coletar e compartilhar informações sobre indivíduos obtidas a partir de suas visitas a sites e grupos de notícias da Internet, ou seja, violação da privacidade. Saber sempre onde uma pessoa está, principalmente quando os serviços de telefonia celular e paging se tornam mais estreitamente associados com as pessoas do que com os lugares monitoração por computador. Utilizar informações de clientes para comercializar serviços adicionais o cruzamento de informação por computador. Coletar números telefônicos e outras informações pessoais para montar perfis de cada cliente (arquivos pessoais não autorizados); Utilizar equipamento automatizado seja para gerar chamadas ou para colher informações do usuário (identificação de chamadas).
Privacidade na Internet: A Internet é famosa por dar a seus usuários uma sensação de anonimato quando, na realidade, eles são altamente visíveis e estão abertos a violações de sua privacidade. Grande parte da Internet e de sua Rede Mundial de Computadores e grupos de notícias ainda constitui uma fronteira eletrônica escancarada e insegura sem quaisquer regras rígidas sobre quais informações são pessoais e privativas.
Privacidade no e-mail: As empresas possuem diferentes políticas de privacidade, principalmente quando estas se aplicam ao correio eletrônico. Algumas empresas, por exemplo, nunca monitoram as mensagens de e-mail de seus funcionários, ao passo que outras afirmam que se reservam o direito de fazê-lo. Algumas empresas monitoram constantemente e-mails, enquanto outras o fazem apenas se percebem que há uma razão para suspeitar que um funcionário o esteja utilizando para uma atividade ilegal ou não autorizada.
Cotejo de Computadores: O cotejo de computadores é o uso de computadores para exibir e equiparar dados sobre características pessoais fornecidos por uma diversidade de sistemas de informação baseados em computador e bancos de dados com o objetivo de identificar indivíduos para fins empresariais, governamentais e outros. O uso não autorizado ou equívoco no cotejo de computadores de dados pessoais pode ser uma ameaça à privacidade. O perfil pessoal de um indivíduo, por exemplo, pode ser incorretamente combinado com o de outra pessoa.
Legislação sobre Privacidade: Nos Estados Unidos, a Lei Federal de Privacidade regulamenta rigidamente a coleta e uso de dados pessoais por agências governamentais. A lei especifica que os indivíduos têm o direito de inspecionar seus registros pessoais, fazer cópias e corrigir ou eliminar informações errôneas ou confusas. A Lei Federal de Privacidade especifica que as agências federais: Devem anualmente divulgar os tipos de arquivos de dados pessoais que elas mantêm. Não podem revelar informações pessoais sobre um indivíduo a nenhum outro indivíduo ou agência exceto sob certas condições estritas. Devem informar os indivíduos sobre as razões para estarem lhes solicitando informações pessoais. Devem reter registros de dados pessoais apenas se estes forem relevantes e necessários para realizar um propósito legal da agência. Devem estabelecer salvaguardas administrativas, técnicas e físicas apropriadas para garantir a segurança e confidencialidade de registros.
O Congresso dos Estados Unidos aprovou a Lei de Privacidade nas comunicações Eletrônicas e a Lei sobre Fraude e Abuso do Computador em 1986. Essas leis de privacidade federais são uma das tentativas principais de aplicar a privacidade de arquivos e comunicações baseados em computador. Essas leis proíbem a interceptação de mensagens de comunicações de dados, roubo ou destruição de dados ou invasão dos sistemas de computadores relacionados ao governo federal.
Difamação e Censura por Computador: O lado oposto do debate da privacidade é o direito das pessoas de saberem sobre assuntos que outras podem desejar manter reservados que é a liberdade de informação, o direito das pessoas de expressarem suas opiniões sobre esses assuntos (liberdade de discurso) e o direito das pessoas de publicarem essas opiniões (liberdade de imprensa). Alguns dos maiores campos de batalha no debate são os bulletinboards, caixas de e-mail e arquivos on-line da Internet e redes públicas de informação como a Prodigy, CompuServe e America Online. As armas que estão sendo utilizadas nesta batalha incluem o flame mail, leis sobre difamação e censura. Spamming é o envio indiscriminado de e-mail não solicitado para muitos usuários da Internet. O spamming é a tática favorita dos remetentes de massas de propagandas. Flaming é a prática de enviar mensagens de e-mail extremamente críticas, detrativas e muitas vezes vulgares, ou mensagens para outros usuários na Internet ou serviços on-line. O flaming é principalmente dominante em alguns dos BBSs de grupos de discussão de interesses especiais na Internet. A Internet está muito vulnerável a abusos uma vez que perde atualmente o policiamento formal e apresenta falta de segurança.
Crime com o uso do computador: O crime com o uso do computador é a ameaça causada pelas ações criminosas ou irresponsáveis de usuários de computadores que estão tirando proveito do uso generalizado das redes de computadores em nossa sociedade. Por isso, ele constitui uma ameaça maior ao uso ético da TI. O crime informatizado apresenta sérias ameaças à integridade, segurança e qualidade da maioria dos sistemas de informação das empresas e, com isso, faz do desenvolvimento de métodos eficazes de segurança uma prioridade máxima.
Legislação sobre Crimes com o uso do computador: A Lei sobre Fraude e Abuso de Computadores dos Estados Unidos de 1986 define o crime informatizado como uma das atividades envolvendo acesso a computadores de interesse federal ou operando no comércio interestadual ou exterior: Com o intuito de fraudar; Para obter acesso a certos sistemas de computação médica; Traficar senhas de acesso a computadores também é proibido. As penalidades para violações da Lei sobre Fraude e Abuso de Computadores dos Estados Unidos incluem: Um a cinco anos de prisão para um primeiro delito; Dez anos para um segundo delito; Vinte anos para três ou mais delitos. As multas podem chegar a 250.000 dólares ou duas vezes o valor dos dados roubados. A Associação dos Profissionais de Tecnologia da Informação define o crime informatizado como: O uso, acesso, modificação e destruição não autorizadas de recursos de hardware, software, dados ou rede. A divulgação não autorizada de informações; A cópia não autorizada de softwares; A negação de acesso a um usuário final aos seus próprios recursos de hardware, software, dados ou rede; O uso ou conspiração para uso de recursos de computação para obter ilegalmente informações ou propriedade tangível.
Exemplos de Crime com o uso do computador: O crime que envolve atividades criminosas utilizando computadores. Normalmente inclui: Roubo de dinheiro, serviços, softwares e dados; Destruição de dados e softwares, principalmente por vírus de computador; Acesso malicioso ou hacking na Internet ou outras redes de computadores; Violação da privacidade; Violação da lei antitruste ou internacional.
Crime pela Internet: Os hackers conseguem monitorar e-mail, acesso a servidores da Web ou transferências de arquivo para extraírem senhas ou roubarem arquivos da rede ou inserirem dados que podem fazer com que um sistema dê acesso a intrusos. Hacker também pode utilizar serviços remotos que permitem que um computador em uma rede execute programas em outro computador para obter acesso privilegiado dentro de uma rede. A Telnet, uma ferramenta para uso interativo de computadores remotos, pode ajudar um hacker a descobrir informações para planejar outros ataques. Os hackers têm utilizado a Telnet para acessar porta de e-mail de um computador, por exemplo, para monitorar mensagens de e-mail em busca de senhas e outras informações sobre contas de usuários e recursos de rede privilegiados.
Roubo de Dinheiro: Muitos crimes com o uso do computador envolvem o roubo de dinheiro. Eles quase sempre envolvem a alteração fraudulenta de arquivos do computador para encobrir os rastros dos ladrões ou para usufruir do dinheiro de outros com base em registros falsificados.
Roubo de Serviços: O uso não autorizado de um sistema de computador é chamado de roubo de serviços. Um exemplo comum é o uso não autorizado de redes de computadores da empresa por funcionários. Isto pode ir da realização de consultas privadas ou finanças pessoais, ou jogo de vídeo games, até o uso não autorizado da Internet pelas redes da empresa. Softwares de monitoração de redes, conhecidos como sniffers, são freqüentemente utilizados para monitorar o tráfego da rede para avaliar a capacidade da rede, além de revelar evidência de uso impróprio.
Roubo de Software: Programas de computador são propriedade valiosa e por isso estão sujeitos a roubo dos sistemas de computador. A reprodução não autorizada de software, ou pirataria de software, é uma forma importante de roubo de software porque o software é propriedade intelectual protegida por lei de direitos autorais e contratos de licença com o usuário.
Alteração ou Roubo de Dados: Fazer alterações ilegais ou roubar dados é outra forma de crime informatizado. Acesso Indevido: Hacking é o uso obsessivo de computadores ou o acesso e uso não autorizados de sistemas de computação em rede. Hackers ilegais também conhecidos como crackers podem roubar ou danificar dados e programas.
Vírus de Computador: Destruição de Dados e Software: Um dos mais destrutivos exemplos de crime informatizado envolve a criação de vírus de computador ou vermes de computador. Esses vírus normalmente entram em um sistema de computação por meio de cópias de software ilegais ou emprestadas ou por meio de links de rede para outros sistemas de computador. Um vírus normalmente copia a si mesmo nos programas do sistema operacional do computador e de lá para o disco rígido e em quaisquer discos flexíveis inseridos. Programas de vacina e programas de prevenção e detecção de vírus são disponíveis, mas podem não funcionar para novos tipos de vírus. Vírus – é um código de programa que não pode funcionar sem ser inserido em outro programa. Verme – é um programa distinto que pode rodar sem assistência.
Questões de Saúde: O uso da TI no local de trabalho levanta uma série de questões de saúde. O uso intenso de computadores é tido como causador de problemas de saúde como:Estresse no trabalho; Lesões em músculos do braço e pescoço; Tensão ocular; Exposição a radiação; Morte por acidentes provocados por computador.
Ergonomia: As soluções para alguns problemas de saúde são baseadas na ciência da ergonomia, às vezes chamada de engenharia de fatores humanos. A meta da ergonomia é projetar ambientes de trabalho saudáveis que sejam seguros, confortáveis e agradáveis para as pessoas trabalharem, aumentando assim o moral e a produtividade do funcionário. A ergonomia enfatiza a concepção saudável do local de trabalho, estações de trabalho, computadores e outras máquinas e até de pacotes de software. Outras questões de saúde podem exigir soluções ergonômicas que enfatizem mais o desenho do cargo do que o desenho do local de trabalho.
Soluções Sociais: A tecnologia da informação pode produzir muitos efeitos benéficos na sociedade. A TI pode ser utilizada para solucionar problemas humanos e sociais por meio de soluções sociais como: Diagnóstico médico; Instrução auxiliada por computador; Planejamento de programas governamentais; Controle da qualidade ambiental; Aplicação das leis.
Você e a Responsabilidade Ética: Como usuário final empresarial, você tem a responsabilidade de fazer algo com relação a alguns abusos da tecnologia da informação no local de trabalho. Essas responsabilidades incluem desempenhar adequadamente seu papel como um recurso humano vital nos sistemas de informação baseados em computador que você ajuda a desenvolver e utiliza em suas organizações. O código da AITP fornece diretrizes para conduta ética no desenvolvimento e uso da tecnologia da informação. Os usuários finais e os profissionais de SI viveriam de acordo com suas responsabilidades éticas se adotassem voluntariamente essas diretrizes. Você pode ser, por exemplo, um usuário final responsável: Atuando com integridade; Melhorando sua competência profissional; Estabelecendo padrões elevados de desempenho pessoal; Assumindo responsabilidade por seu trabalho; Aprimorando a saúde, privacidade e bem-estar geral do público.
Trilha de Auditoria: Exame periódico da precisão e integridade dos sistemas de informação.
Auditoria de Sistemas de Informação: Um departamento de serviços de informação deve ser periodicamente examinado por auditoria pelo pessoal de auditoria interna. Além disso, auditorias periódicas realizadas por auditores externos de firmas de contabilidade profissional constituem uma boa prática de negócios.
Arquivos de Reserva: Arquivos de reserva são arquivos de dados ou programas duplicados. Esses arquivos podem ser armazenados fora das instalações, ou seja, em um local distante do centro de computação, às vezes em caixas fortes de armazenamento especial em locais remotos.
Controles Biométricos: Métodos de segurança baseados no computador que medem traços e características físicas tais como impressões digitais, impressões de voz, escaneamento de retina e assim por diante.
Totais de Controle: Acúmulo de totais de dados em múltiplos pontos em um sistema de informação para garantir o processamento correto de informações.
Controles para a Computação pelo Usuário Final: Os usuários finais gerenciais são responsáveis pelos controles dos sistemas de informação em suas unidades de negócios.
Recuperação de Desastres: Métodos para garantir que uma organização se recupera de desastres naturais e causados pelo homem que afetam suas operações baseadas no computador.
Criptografia: Embaralhar ou converter dados, antes da transmissão, para um código secreto que dissimula o significado dos dados para destinatários não autorizados. O mesmo que codificação.
Ergonomia: A ciência e tecnologia que enfatiza a segurança, conforto e facilidade do uso de máquinas operadas por humanos tais como computadores. A meta da ergonomia é produzir sistemas que sejam amigáveis ao usuário, ou seja, seguros, confortáveis e fáceis de utilizar. A ergonomia também é conhecida como engenharia de fatores humanos.
Segurança de Redes: A segurança de uma rede pode ser fornecida por pacotes especializados de software de sistemas conhecidos como monitores de segurança de sistemas. Esses monitores são programas que monitoram o uso dos sistemas de informação e de redes e os protegem contra o uso não autorizado, fraude e destruição.
Senhas: Uma senha é utilizada como um método de segurança que possibilita aos sistemas de computador identificarem usuários qualificados e determinarem que tipos de informações eles estão autorizados a receber.
Leis de Privacidade: Leis que regulamentam a coleção, acesso e uso de dados pessoais.
Controles de Procedimentos: Métodos que especificam como a organização dos serviços de informação deveria ser realizada para se obter segurança máxima.
Usuário Final Responsável: Usuário final que age com integridade e competência no uso da TI.
Códigos de Segurança: Senhas, códigos de identificação, códigos de contas e outros códigos que limitam o acesso e uso de recursos dos sistemas de informação baseados em computador para usuários autorizados.
Pirataria de Software: Cópia não autorizada de software.
Spamming: É o envio indiscriminado de e-mail não solicitado para muitos usuários da Internet. O spamming é a tática favorita dos remetentes de massas de propagandas não solicitadas ou junk e-mail.
Monitor de Segurança de Sistemas: Software que controla o acesso e uso de um sistema de computação.
O que pode ser feito para melhorar a segurança na Internet? Dê exemplos de hardware, software, rede e outros controles e medidas de segurança. Algumas questões podem ser mais policiamento, protocolos padrão, criptografia, acesso seguro à rede, etc.
Que problemas potenciais de segurança observam no uso crescente de intranets e extranets nos negócios? O que poderia ser feito para resolver esses problemas? Cite alguns exemplos. Com o crescente uso empresarial de intranets e extranets, não há dúvida de que o número de problemas potenciais de segurança também aumenta. Questões como hacking, alteração de dados, acesso não autorizado a dados, etc. se tornarão problemas fundamentais de segurança. Para solucionar esses problemas, as empresas devem continuar a tomar precauções em áreas como criptografia, firewalls, sites seguros da Internet, etc.
Que técnicas de inteligência artificial as empresas podem adotar para melhorar a segurança dos computadores e combater o crime com o uso do computador?
Fazer com que os sistemas utilizem controles biométricos, tais como sistemas e reconhecimento de voz, para identificação de pessoas autorizadas. Sistemas de criptografia de dados para transmissão segura de dados.
Quais os controles necessários para melhorar a segurança na computação pelo usuário final? Cite um exemplo de três controles que poderiam ser utilizados em sua faculdade ou trabalho. Métodos de teste de sistemas desenvolvidos pelo usuário para submissão às políticas e procedimentos de trabalho da empresa. Métodos de notificação de outros usuários quando há o planejamento de mudanças em sistemas desenvolvidos pelo usuário para encargos cruciais. Controle por meio da documentação dos sistemas desenvolvidos pelo usuário. Treinamento de diversas pessoas quanto à operação e manutenção de um sistema. Um processo formal para avaliação e aquisição de novo hardware e software. Procedimentos formais para backup e recuperação para todos os sistemas de usuários. Controles de segurança ao acesso para sistemas de computador de usuários e empresas, redes e bancos de dados.
Existe hoje uma crise ética nos negócios? Qual papel a tecnologia da informação desempenha nas práticas de negócios antiéticas? A TI tornou mais fácil se comunicar, trabalhar de maneira cooperativa, compartilhar recursos e tomar decisões, tudo eletronicamente. Entretanto, também tornou possível engajar-se eletronicamente em práticas éticas bem como antiéticas em qualquer parte do mundo.
Os Desafios Éticos e Sociais da tecnologia da informação: Controvertem conceitos éticos fundamentais e como a Tecnologia da Informação afeta a sociedade no emprego, individualidade, condições de trabalho, privacidade, crime, saúde e soluções para problemas sociais. Identificar diversos tipos de controles de sistemas de informação, controles de procedimentos e controles de instalações e explicar como eles podem ser utilizados para garantir a qualidade e segurança dos sistemas de informação. Arrazoar maneiras de controlar o desempenho e segurança do uso da Internet pelas empresas e seus usuários finais e parceiros comerciais. Identificar diversas questões éticas no modo como a tecnologia da informação contrafeita o emprego, individualidade, condições de trabalho e privacidade. Aceitar diversas maneiras pelas quais os usuários finais gerenciais podem auxiliar a atenuar os efeitos nocivos e aumentar os efeitos benéficos da tecnologia da informação.
Questões de Segurança e Controle em Sistemas de Informação: Por que os controles são necessários: São necessários para garantir a qualidade e segurança dos recursos de hardware, software, redes e dados dos sistemas de informação. Os computadores provaram que podem processar grandes volumes de dados e executar cálculos complexos de modo mais preciso do que os sistemas manuais ou mecânicos. Entretanto, sabe-se também que: Ocorrem erros em sistemas computadorizados. Os computadores têm sido utilizados para fins fraudulentos e seus recursos de software e dados têm sido destruídos acidental ou deliberadamente.
Analisando a BuyDirect e Outras Empresas: Podemos aprender a partir deste caso sobre a ameaça de fraude em cartões de crédito e as medidas defensivas que uma empresa pode tomar em transações de comércio eletrônico. Aproveite alguns minutos para ler o caso e iremos discuti-lo:
Por que os Controles são Necessários: Os controles eficazes fornecem segurança dos sistemas de informação, ou seja: A precisão, integridade e segurança das atividades e recursos dos sistemas de informação. Os controles podem minimizar erros, fraude e destruição nos sistemas de informação interconectados que hoje ligam entre si usuários finais e organizações. Fornecem garantia de qualidade para os sistemas de informação. Ou seja, eles podem deixar um sistema de informação computadorizado mais livre de erros e fraude e capaz de fornecer produtos de informação de qualidade mais alta do que os tipos manuais de processamento da informação. Reduzem o impacto negativo potencial e aumentam o impacto positivo que a tecnologia da informação pode produzir na sobrevivência e sucesso das empresas e na qualidade de vida na sociedade.
Três tipos principais de controle devem ser desenvolvidos para garantir a qualidade e segurança dos sistemas de informação. Essas categorias de controle incluem: Controles de sistemas de informação; Controles de procedimentos; Controles de instalações. Controles dos Sistemas de Informação: São métodos e dispositivos que procuram garantir a precisão, validade e propriedade das atividades dos sistemas de informação. Devem ser desenvolvidos para garantir a forma correta de: Entrada de dados; Técnicas de processamento; Métodos de armazenamento e saída de informações. Os controles dos sistemas de informação são projetados para monitorar e manter a qualidade e segurança das atividades de entrada, processamento, saída e armazenamento de um sistema de informação.
Controles de Entrada: A expressão Garbage in, garbage out, ou entra lixo, sai lixo explica a necessidade de controles de entrada. Esses controles incluem: Senhas e outros códigos de segurança, telas formatadas para entrada de dados
sinais audíveis de erro, máscaras para as teclas de dispositivos de entrada acionados por teclas, formulários pré-gravados e pré-numerados. Sistemas de tempo real que podem registrar todas as entradas no sistema em registros de controle em fita magnética que preservam evidência de todas as entradas no sistema. Isto pode incluir a realização de checagens de razoabilidade para determinar se os dados introduzidos excedem certos limites especificados ou estão fora de ordem. Inclui o cálculo e monitoração de totais de controle contagem de registros, totais de lotes, batch totals e totais parciais de hash totals.
Controles de Processamento: Uma vez que os dados tenham sido corretamente registrados em um sistema de computador, eles devem ser corretamente processados. Os controles de processamento identificam erros em cálculos aritméticos e operações lógicas. Também são utilizados para garantir que os dados não se percam ou fiquem sem processamento. Os controles de processamento podem incluir controles de hardware e controles de software.
Controles de Hardware: Os controles de hardware são verificações especiais embutidas no hardware para verificar a precisão do processamento do computador. Exemplos de controles de hardware incluem: Circuitos de detecção de falhas: Estes são os circuitos encontrados dentro do computador utilizado para monitorar as operações, por exemplo, averiguações de paridade, inquirições pelo eco, verificações de circuitos redundantes, inquéritos de sinais aritméticos e investigações de sincronização e voltagem da CPU.
Componentes Redundantes: São dispositivos que verificam e promovem a exatidão de atividades de leitura e gravação, por exemplo, múltiplas cabeças de leitura e gravação em unidades de fita e disco magnético. Microprocessadores de finalidades especiais e circuitos associados são dispositivas como chaves que podem ser utilizados para apoiar diagnósticos e manutenção à distância. Estes permitem aos técnicos o diagnóstico e correção de alguns problemas via links de rede com o computador.
Controles de Software: Têm o objetivo de garantir que os dados corretos estão sendo processados. Exemplos de controles de software incluem: Rótulos de arquivos internos que permitem que o computador garanta que o arquivo correto de armazenamento está sendo utilizado e que os dados verdadeiros no arquivo foram processados. O estabelecimento de pontos de verificação durante o processamento de um programa. Os pontos de verificação são pontos intermediários dentro de um programa que está sendo processado, onde os resultados intermediários são gravados em fita ou disco magnético ou listados em uma impressora. Os pontos de verificação minimizam o efeito de erros de processamento e também ajudam a construir uma trilha de auditoria, que permite que as transações em processamento sejam acompanhadas ao longo de todas as etapas de processamento. Pacotes de software de sistemas especializados conhecidos como monitores de segurança de sistemas são programas que monitoram o uso de um sistema de computador e protegem seus recursos contra uso não autorizado, fraude e destruição.
Controles de Saída: São desenvolvidos para garantir que os produtos de informação estejam corretos e completos e estejam disponíveis de maneira oportuna a usuários autorizados. Exemplos de controles de saída são: Documentos e relatórios de saída que são freqüentemente registrados, identificados com revisões de rota e visualmente checados pelo pessoal de entrada/saída. Totais de controle sobre a saída que normalmente são comparados com os totais de controle gerados durante as etapas de entrada e processamento. Listagens de controle que podem ser produzidas fornecendo evidência em papel para toda saída produzida. Formulários de saída pré-numerados que podem ser usados para controlar a perda de documentos importantes. Listas de distribuição que garantem que apenas os usuários autorizados recebem saída. Acesso à egressão que pode ser controlado por códigos de segurança que identificam os usuários que podem receber saída e o tipo de saída que eles estão autorizados a receber. Usuários finais que recebem saídas que devem ser incentivados a fornecer feedback sobre a qualidade da saída.
Controles de Armazenamento: Os recursos de armazenamento de dados são uma importante consideração. As responsabilidades de controle para arquivos de programas de computador e bancos de dados organizacionais podem envolver: Atribuir às responsabilidades de controle as especialistas de centros de dados e administradores de bancos de dados; Garantir a proteção contra uso não autorizado ou acidental utilizando programas de segurança que exigem identificação apropriada antes de poderem ser utilizados; Utilizar códigos de contas, senhas e outros códigos de segurança para permitir acesso apenas a usuários autorizados. Outros controles de armazenamento que podem utilizar tecnologias de criptografia e cartão inteligente. Estabelecer um catálogo de usuários autorizados para permitir ao sistema de computador identificar usuários qualificados e determinar que tipos de informação eles estejam autorizados a receber. Ter arquivos de reserva, que são arquivos duplicados que podem ser armazenados em um local distante do centro de computação. Proteger arquivos utilizando medidas de retenção de arquivo que envolve cópias de armazenamento de arquivos mestre e arquivos de transações de períodos anteriores. Manter diversas gerações de arquivos para fins de controle.
Controles de Instalações: São métodos que protegem as instalações de computação e redes de uma organização e seu conteúdo contra a perda ou destruição. As redes e centros de computação estão sujeitos a casualidades como: Acidentes; Desastres naturais; Sabotagem; Vandalismo; Uso não autorizado; Espionagem industrial; Destruição e roubo de recursos.
Segurança de Rede: A segurança de uma rede pode ser fornecida por pacotes de software de sistemas especializados conhecidos como monitores de segurança de sistemas. Os monitores de segurança de sistemas são programas que monitoram o uso de sistemas e redes de computadores e os protegem do uso não autorizado, fraude e destruição. Esses programas fornecem: As medidas de segurança necessárias para permitir que apenas usuários autorizados acessem as redes, controlam o uso dos recursos de hardware, software e dados de um sistema de computador. Os programas de segurança monitoram o uso de redes de computadores e coletam estatísticas sobre quaisquer tentativas de uso impróprio. Em seguida, produzem relatórios para ajudar na manutenção da segurança da rede.
Criptografia: A criptografia de dados: tornou-se uma maneira importante de proteger dados e outros recursos de rede de computadores, principalmente na Internet, intranets e extranets. Características da criptografia incluem:
Senhas, mensagens, arquivos e outros dados que podem ser transmitidos de forma embaralhada e desembaralhados pelos sistemas de computadores apenas para usuários autorizados. O uso de algoritmos matemáticos especiais, ou chaves, para transformar dados digitais em um código embaralhado antes que esses dados sejam transmitidos e para decodificá-los quando forem recebidos. O método mais amplamente utilizado de criptografia que utiliza um par de chaves públicas e privadas exclusivas de cada indivíduo. Um e-mail, por exemplo, poderia ser embaralhado e codificado utilizando uma única chave pública para o destinatário, que é conhecida pelo remetente. Após a transmissão do e-mail, apenas a chave privada secreta do destinatário poderia desembaralhar a mensagem. Os programas de criptografia que são vendidos como produtos independentes ou embutidos em outro software utilizado para o processo de criptografia.
FireWall: Método importante para controle e segurança na Internet e outras redes é o uso de computadores e software. Características de computadores e software l incluem: Um firewall de rede é um sistema de computador guardião que protege as intranets e outras redes de computadores de uma empresa contra a invasão, funcionando como um filtro e ponto seguro de transferência para acesso à Internet e outras redes. Um computador de rede firewall filtra todo o tráfego de rede em busca de senhas corretas ou outros códigos de segurança e somente permite transmissões autorizadas para dentro e para fora da rede. Os firewalls se tornaram um componente essencial de organizações que se conectam com a Internet, em virtude da vulnerabilidade e falta de segurança da Internet. Os firewalls podem deter, mas não evitar inteiramente, o acesso não autorizado (hacking) às redes de computadores. Em alguns casos, um firewall pode permitir acesso apenas a partir de locais credenciados na Internet para determinados computadores dentro do firewall. Ou pode permitir que apenas informações seguras sejam transmitidas. Em alguns casos, é impossível saber se o uso de um determinado serviço de rede é seguro ou inseguro e, por isso, todos os pedidos devem ser bloqueados. O firewall pode então fornecer substitutos para alguns serviços de rede que desempenham a maioria das mesmas funções mas que são menos vulneráveis a invasão.
Controles de Proteção Física: Fornecer segurança máxima e proteção contra desastres para os recursos de computação de uma organização exige diversos tipos de controles. O acesso a centros de computação e áreas de trabalho do usuário final, por exemplo, é permitido apenas ao pessoal autorizado por técnicas como: Símbolos de identificação; Fechaduras eletrônicas; Alarmes contra roubo; Polícia de segurança; Circuito fechado de TV e outros sistemas de detecção. Os centros de computação podem ser protegidos de desastres por salvaguardas como: Sistemas de detecção e extinção de incêndio, caixas fortes de armazenamento à prova de incêndio para a proteção de arquivos, sistemas de energia elétrica de emergência, escudos eletromagnéticos, controles de temperatura, umidade e poeira.
Controles Biométricos: Os controles biométricos são medidas de segurança fornecidas por dispositivos de computador que medem características físicas que tornam cada indivíduo único. Isto inclui: Verificação de voz; Análise de digitação; Impressões digitais; Escaneamento de retina; Geometria de mão; Reconhecimento facial; Dinâmica de assinatura; Análise de padrões genéticos.
Controles de Falhas no Computador: Uma série de controles é necessária para evitar falhas de computador ou minimizar seus efeitos. Os de computadores podem falhar em virtude de: Queda de energia; Defeitos nos circuitos eletrônicos; Problemas na rede de telecomunicações; Erros de programação ocultos; Erros do operador do computador; Vandalismo eletrônico.
O departamento de serviços de informação normalmente toma medidas para evitar a falha no equipamento e minimizar seus efeitos prejudiciais. Por exemplo: Programas de manutenção preventiva de hardware e administração de atualizações de software são comuns. Utilizar computadores dotados de capacidades de manutenção automática e à distância.
Estabelecer padrões para fornecimento de energia elétrica, ar condicionado, controle de umidade e padrões de prevenção de incêndio; Obter uma capacidade de backup de um sistema de computador com organizações de recuperação de desastres. Programar e implementar principais mudanças de hardware ou software para evitar problemas. Treinamento e supervisão de operadores de computadores. Utilizar sistemas de computação tolerantes a falhas.
Tolerância a Falhas: Esses sistemas evitam a falha do computador utilizando múltiplas CPUs, periféricos e software de sistemas. Prova de Falhas: À prova de falhas se refere a sistemas de computador que continuam a operar no mesmo nível de desempenho depois de uma falha maior. Tolerante a Falhas: Tolerante a falhas se refere a sistemas de computador que continuam a operar em um nível reduzido, porém aceitável, depois de uma falha do sistema.
Controles de Procedimentos: São métodos que especificam como os recursos de computadores e redes de uma organização devem ser operados para a segurança máxima. Eles facilitam a precisão e integridade das operações dos computadores e das atividades de desenvolvimento de sistemas. Inclui: Padrões de procedimento e documentação; Requisitos de Autorização; Recuperação de Desastres; Controles para a Computação pelo Usuário Final.
Procedimentos-padrão: Normalmente, uma organização desenvolve e adota procedimentos padrões para a operação de sistemas de informação. Os procedimentos promovem a qualidade e minimizam as chances de erros e fraude. Ajudam usuários finais e especialistas de sistema de informação a saberem o que se espera deles em termos de procedimentos operacionais e qualidade de sistemas. Além disso, a documentação do projeto de software e dos sistemas e a operação do sistema devem ser desenvolvidas e mantidas atualizadas. A documentação também é inestimável na manutenção de um sistema à medida que são feitos os melhoramentos necessários.
Requisitos de Autorização: Os pedidos de desenvolvimento de sistemas, alterações de programas ou processamento de computação normalmente são submetidos a uma revisão formal pela administração antes de ser dada a autorização. A autorização minimiza os efeitos prejudiciais sobre a precisão e integridade das operações em curso de sistemas e redes.
Recuperação de Desastres: Furacões, terremotos, incêndios, enchentes, atos terroristas e criminosos e falha humana podem danificar seriamente os recursos de computação de uma organização. Muitas organizações como companhias aéreas e bancos, por exemplo, são incapacitadas até pela perda de algumas horas de poder de computação. É por isso que é importante que as organizações desenvolvam procedimentos de recuperação de desastres e os formalizem em um plano de recuperação de desastres. Esse plano especifica quais funcionários participarão na recuperação do desastre e quais serão suas obrigações; que hardware, software e instalações serão utilizados e a prioridade das aplicações que serão processadas. Acordos com outras empresas para o uso de instalações alternativas como locais de recuperação de desastres e armazenamento externo dos bancos de dados de uma organização também fazem parte de um esforço eficaz de recuperação de desastres.
Controles para a Computação pelo Usuário Final: Muitas aplicações desenvolvidas pelo usuário final estão desempenhando funções organizacionais extremamente importantes que são decisivas para o sucesso e sobrevivência da empresa. Elas podem muitas vezes ser chamadas de aplicações do usuário final críticas à empresa. Os controles envolvidos nas aplicações dos usuários finais devem ser os mesmos que aqueles que constituem prática padrão no desenvolvimento de aplicações por departamentos de profissionais.
Auditoria de Sistemas de Informação: Deve ser periodicamente examinado pelo pessoal de auditoria interna da empresa. Além disso, auditorias periódicas realizadas por auditores externos de firmas de contabilidade profissional constituem uma boa prática de negócios. Tais auditorias devem revisar e avaliar se foram desenvolvidos e implementados controles corretos e adequados dos sistemas de informação, controles de procedimento, controles de instalações e outros controles administrativos. Existem duas abordagens básicas para auditoria de sistemas de informação, ou seja, a realização de auditoria das atividades de processamento de informações dos sistemas de informação computadorizados. Essas abordagens são conhecidas como: Auditoria em torno do computador; Auditoria por meio do computador. Auditoria em torno do computador: Envolve a verificação da precisão e propriedade de entrada e saída do computador produzida sem avaliação do software que processou os dados. Vantagens: Método simples e fácil que não exige auditores com experiência em programação. Desvantagens: Não acompanha uma transação ao longo de todas as suas etapas de processamento, Não testa a precisão e integridade do software utilizado.
Auditoria por meio do computador: A auditoria por meio do computador envolve a verificação da precisão e integridade do software que processa os dados, bem como da entrada de dados e saída produzidos pelos sistemas e redes de computadores. Vantagens: Vanguarda à precisão e integridade dos programas de computador, a entrada e saída do sistema de computador. Desvantagens: Exige um conhecimento do sistema e operações de rede e desenvolvimento de software, sendo dispendioso para algumas aplicações. Um dos objetivos importantes desses procedimentos de auditoria é testar a integridade da trilha de auditoria de uma aplicação. Uma trilha pode ser definida como a presença de documentação que permite que uma transação seja rastreada ao longo de todas as etapas de seu processamento de informações. A trilha de auditoria dos sistemas de informação manuais são bastante visíveis e fáceis de rastrear, entretanto, os sistemas de informação alteraram a forma da trilha de auditoria.
Desafios Éticos e Sociais da Tecnologia da Informação - Analisando a Warroom Research e o Sun-Trust Banks: Podemos aprender a partir deste caso sobre as questões de segurança das redes e os desafios que cercam o uso da tecnologia da informação nas empresas.
A Dimensão Ética: A revolução da informação com sua tecnologia da informação ampliou drasticamente nossa capacidade para adquirir, manipular, armazenar e comunicar informações. Tornou mais fácil se comunicar, trabalhar em cooperação, compartilhar recursos e tomar decisões, tudo eletronicamente. A tecnologia da informação também tornou possível o engajamento eletrônico em práticas empresariais éticas ou antiéticas em qualquer lugar do mundo.
As dimensões éticas de controvérsia que você como administrador pode ter de encarar incluem: Deve monitorar eletronicamente as atividades de trabalho e o correio eletrônico de seus funcionários? Você deve deixar os funcionários utilizarem seus computadores de trabalho para atividades particulares ou levarem cópias de softwares para suas casas para uso pessoal? Você deve acessar eletronicamente os registros de pessoal ou as estações de trabalho de seus funcionários? Você deve vender para outras empresas informações sobre clientes extraídas dos seus sistemas de processamento de transações?
Fundamentos Éticos: Existem diversas filosofias éticas que você pode utilizar que ajudam a orientá-lo na tomada de decisões éticas: Egoísmo; Lei Natural; Utilitarismo; Respeito pelas Pessoas.
Egoísmo: O que é melhor para um determinado indivíduo é o certo. Lei natural: Os homens devem promover sua própria saúde e vida, propagar-se, buscar conhecimento do mundo e de Deus, buscar relações íntimas com outras pessoas e submeter-se à autoridade legítima. Utilitarismo: São corretas as ações que produzem o bem maior para o maior número de pessoas. Respeito pelas pessoas: As pessoas devem ser tratadas como fim e não como meio para um fim; e as ações são corretas se todos adotarem a regra moral pressuposta pela ação.
Existem modelos éticos de como os seres humanos aplicam sua filosofia ética escolhida às decisões e escolhas que precisam fazer diariamente no trabalho e em outras áreas de sua vida. Uma teoria se concentra nos processos de tomada de decisão das pessoas e enfatiza como os vários fatores ou as nossas percepções desses fatores afetam nosso processo de tomada de decisão ética. Outra, a teoria do estágio comportamental, afirma que as pessoas passam por diversos estágios de evolução moral antes de se fixarem em um nível de raciocínio ético.
Ética Empresarial: A ética empresarial pode ser subdividida em duas áreas distintas: A primeira diz respeito às práticas ilegais, antiéticas e questionáveis de gerentes ou organizações, suas causas e suas possíveis correções. A segunda diz respeito às numerosas questões éticas que os gerentes devem enfrentar como parte de suas decisões empresariais cotidianas. Os administradores utilizam diversas alternativas importantes quando confrontados com decisões éticas sobre questões de negócios. Essas alternativas incluem: Teoria do Acionista: Sustenta que os administrantes são agentes dos acionistas e sua única responsabilidade ética é aumentar os lucros da empresa sem violar a lei ou se envolver em práticas fraudulentas. Teoria do Contrato Social: Afirma que as empresas possuem responsabilidades éticas para com todos os membros da sociedade, o que permite às empresas existirem com base em um contrato social.
Teoria das partes interessadas: Os Stakeholders sustentam que os administradores possuem uma responsabilidade ética na administração de uma empresa para o benefício de todo o seu público, que são todos os indivíduos e grupos que possuem um interesse ou um direito em uma empresa.
Dimensões Éticas e Sociais da Tecnologia da Informação: O uso da Tecnologia da Informação nos negócios possui impactos importantes sobre a sociedade e, com isso, levanta sérias considerações éticas em áreas como: Privacidade; Crime; Saúde; Condições de Trabalho; Individualidade; Emprego e Busca de soluções sociais por meio da Tecnologia. Percebem que a tecnologia da informação pode produzir um efeito benéfico e também um efeito negativo em cada uma das áreas listadas acima.
Tecnologia da Informação e o Emprego: O impacto da Tecnologia da Informação sobre o emprego é uma preocupação ética importante e está diretamente relacionada ao uso de computadores para alcançar a automação. O uso da tecnologia gerou novos empregos e aumentou a produtividade. Entretanto, ela ainda tem provocado uma redução significativa em alguns tipos de oportunidades de trabalho.
Tecnologia e a Individualidade: Uma crítica freqüente à tecnologia da informação diz respeito ao seu efeito negativo sobre a individualidade das pessoas. Os sistemas computadorizados são criticados como: Sistemas impessoais que desumanizam e despersonalizam as atividades, já que eliminam as relações humanas presentes nos sistemas sem computadores. As pessoas sentem uma perda de identidade. Sistemas em que as pessoas sentem uma perda de individualidade já que alguns exigem a arregimentação do indivíduo e exigem adesão estrita a procedimentos detalhados. Os sistemas baseados em computador podem ser ergonomicamente projetados para acomodar fatores humanos que: Minimizem a despersonalização e a arregimentação; Projetem softwares que sejam personalizados e amigáveis ao usuário.
Tecnologia e as Condições de Trabalho: A TI eliminou algumas tarefas monótonas ou perversas no escritório e na fábrica que anteriormente tinham de ser executadas por pessoas. Dessa forma, pode-se dizer que eleva a qualidade do trabalho. Entretanto, muitas operações automatizadas são também criticadas por relegarem as pessoas a um papel de apoio de não fazer coisa alguma.
Monitoração pelo Computador: Uma das questões éticas mais explosivas concernentes à qualidade do trabalho é a monitoração pelo computador. Os computadores estão sendo utilizados para monitorar a produtividade e o comportamento de milhões de funcionários em seu trabalho. Segundo se supõe a monitoração por computador é feita para que os empregadores possam coletar dados de produtividade sobre seus funcionários para aumentar a eficiência e qualidade do serviço. A monitoração por computador tem sido criticada como antiética por que: É utilizada para monitorar indivíduos, não apenas o trabalho, e essa monitoração são realizados continuamente, violando assim a privacidade e liberdade pessoal dos trabalhadores. É considerada uma invasão da privacidade dos funcionários porque, em muitos casos, eles não sabem que estão sendo monitorados ou não sabem como a informação está sendo utilizada. O direito legal do funcionário de mover processo pode ser prejudicado pelo uso impróprio dos dados coletados para tomar decisões pessoais. Ela aumenta a tensão sobre os funcionários que devem trabalhar sob constante vigilância eletrônica. Tem sido responsabilizada por problemas de saúde entre os trabalhadores monitorados. Tem sido responsabilizada por roubar os trabalhadores da dignidade de seu trabalho.
Questões de Privacidade: O poder da TI de armazenar e recuperar informações pode ter um efeito negativo no direito à privacidade de cada indivíduo. Algumas importantes questões de privacidade que estão sendo debatidas nas empresas e no governo incluem as seguintes: Acessar trocas de correspondência e registros de computador privativos de indivíduos e coletar e compartilhar informações sobre indivíduos obtidas a partir de suas visitas a sites e grupos de notícias da Internet, ou seja, violação da privacidade. Saber sempre onde uma pessoa está, principalmente quando os serviços de telefonia celular e paging se tornam mais estreitamente associados com as pessoas do que com os lugares monitoração por computador. Utilizar informações de clientes para comercializar serviços adicionais o cruzamento de informação por computador. Coletar números telefônicos e outras informações pessoais para montar perfis de cada cliente (arquivos pessoais não autorizados); Utilizar equipamento automatizado seja para gerar chamadas ou para colher informações do usuário (identificação de chamadas).
Privacidade na Internet: A Internet é famosa por dar a seus usuários uma sensação de anonimato quando, na realidade, eles são altamente visíveis e estão abertos a violações de sua privacidade. Grande parte da Internet e de sua Rede Mundial de Computadores e grupos de notícias ainda constitui uma fronteira eletrônica escancarada e insegura sem quaisquer regras rígidas sobre quais informações são pessoais e privativas.
Privacidade no e-mail: As empresas possuem diferentes políticas de privacidade, principalmente quando estas se aplicam ao correio eletrônico. Algumas empresas, por exemplo, nunca monitoram as mensagens de e-mail de seus funcionários, ao passo que outras afirmam que se reservam o direito de fazê-lo. Algumas empresas monitoram constantemente e-mails, enquanto outras o fazem apenas se percebem que há uma razão para suspeitar que um funcionário o esteja utilizando para uma atividade ilegal ou não autorizada.
Cotejo de Computadores: O cotejo de computadores é o uso de computadores para exibir e equiparar dados sobre características pessoais fornecidos por uma diversidade de sistemas de informação baseados em computador e bancos de dados com o objetivo de identificar indivíduos para fins empresariais, governamentais e outros. O uso não autorizado ou equívoco no cotejo de computadores de dados pessoais pode ser uma ameaça à privacidade. O perfil pessoal de um indivíduo, por exemplo, pode ser incorretamente combinado com o de outra pessoa.
Legislação sobre Privacidade: Nos Estados Unidos, a Lei Federal de Privacidade regulamenta rigidamente a coleta e uso de dados pessoais por agências governamentais. A lei especifica que os indivíduos têm o direito de inspecionar seus registros pessoais, fazer cópias e corrigir ou eliminar informações errôneas ou confusas. A Lei Federal de Privacidade especifica que as agências federais: Devem anualmente divulgar os tipos de arquivos de dados pessoais que elas mantêm. Não podem revelar informações pessoais sobre um indivíduo a nenhum outro indivíduo ou agência exceto sob certas condições estritas. Devem informar os indivíduos sobre as razões para estarem lhes solicitando informações pessoais. Devem reter registros de dados pessoais apenas se estes forem relevantes e necessários para realizar um propósito legal da agência. Devem estabelecer salvaguardas administrativas, técnicas e físicas apropriadas para garantir a segurança e confidencialidade de registros.
O Congresso dos Estados Unidos aprovou a Lei de Privacidade nas comunicações Eletrônicas e a Lei sobre Fraude e Abuso do Computador em 1986. Essas leis de privacidade federais são uma das tentativas principais de aplicar a privacidade de arquivos e comunicações baseados em computador. Essas leis proíbem a interceptação de mensagens de comunicações de dados, roubo ou destruição de dados ou invasão dos sistemas de computadores relacionados ao governo federal.
Difamação e Censura por Computador: O lado oposto do debate da privacidade é o direito das pessoas de saberem sobre assuntos que outras podem desejar manter reservados que é a liberdade de informação, o direito das pessoas de expressarem suas opiniões sobre esses assuntos (liberdade de discurso) e o direito das pessoas de publicarem essas opiniões (liberdade de imprensa). Alguns dos maiores campos de batalha no debate são os bulletinboards, caixas de e-mail e arquivos on-line da Internet e redes públicas de informação como a Prodigy, CompuServe e America Online. As armas que estão sendo utilizadas nesta batalha incluem o flame mail, leis sobre difamação e censura. Spamming é o envio indiscriminado de e-mail não solicitado para muitos usuários da Internet. O spamming é a tática favorita dos remetentes de massas de propagandas. Flaming é a prática de enviar mensagens de e-mail extremamente críticas, detrativas e muitas vezes vulgares, ou mensagens para outros usuários na Internet ou serviços on-line. O flaming é principalmente dominante em alguns dos BBSs de grupos de discussão de interesses especiais na Internet. A Internet está muito vulnerável a abusos uma vez que perde atualmente o policiamento formal e apresenta falta de segurança.
Crime com o uso do computador: O crime com o uso do computador é a ameaça causada pelas ações criminosas ou irresponsáveis de usuários de computadores que estão tirando proveito do uso generalizado das redes de computadores em nossa sociedade. Por isso, ele constitui uma ameaça maior ao uso ético da TI. O crime informatizado apresenta sérias ameaças à integridade, segurança e qualidade da maioria dos sistemas de informação das empresas e, com isso, faz do desenvolvimento de métodos eficazes de segurança uma prioridade máxima.
Legislação sobre Crimes com o uso do computador: A Lei sobre Fraude e Abuso de Computadores dos Estados Unidos de 1986 define o crime informatizado como uma das atividades envolvendo acesso a computadores de interesse federal ou operando no comércio interestadual ou exterior: Com o intuito de fraudar; Para obter acesso a certos sistemas de computação médica; Traficar senhas de acesso a computadores também é proibido. As penalidades para violações da Lei sobre Fraude e Abuso de Computadores dos Estados Unidos incluem: Um a cinco anos de prisão para um primeiro delito; Dez anos para um segundo delito; Vinte anos para três ou mais delitos. As multas podem chegar a 250.000 dólares ou duas vezes o valor dos dados roubados. A Associação dos Profissionais de Tecnologia da Informação define o crime informatizado como: O uso, acesso, modificação e destruição não autorizadas de recursos de hardware, software, dados ou rede. A divulgação não autorizada de informações; A cópia não autorizada de softwares; A negação de acesso a um usuário final aos seus próprios recursos de hardware, software, dados ou rede; O uso ou conspiração para uso de recursos de computação para obter ilegalmente informações ou propriedade tangível.
Exemplos de Crime com o uso do computador: O crime que envolve atividades criminosas utilizando computadores. Normalmente inclui: Roubo de dinheiro, serviços, softwares e dados; Destruição de dados e softwares, principalmente por vírus de computador; Acesso malicioso ou hacking na Internet ou outras redes de computadores; Violação da privacidade; Violação da lei antitruste ou internacional.
Crime pela Internet: Os hackers conseguem monitorar e-mail, acesso a servidores da Web ou transferências de arquivo para extraírem senhas ou roubarem arquivos da rede ou inserirem dados que podem fazer com que um sistema dê acesso a intrusos. Hacker também pode utilizar serviços remotos que permitem que um computador em uma rede execute programas em outro computador para obter acesso privilegiado dentro de uma rede. A Telnet, uma ferramenta para uso interativo de computadores remotos, pode ajudar um hacker a descobrir informações para planejar outros ataques. Os hackers têm utilizado a Telnet para acessar porta de e-mail de um computador, por exemplo, para monitorar mensagens de e-mail em busca de senhas e outras informações sobre contas de usuários e recursos de rede privilegiados.
Roubo de Dinheiro: Muitos crimes com o uso do computador envolvem o roubo de dinheiro. Eles quase sempre envolvem a alteração fraudulenta de arquivos do computador para encobrir os rastros dos ladrões ou para usufruir do dinheiro de outros com base em registros falsificados.
Roubo de Serviços: O uso não autorizado de um sistema de computador é chamado de roubo de serviços. Um exemplo comum é o uso não autorizado de redes de computadores da empresa por funcionários. Isto pode ir da realização de consultas privadas ou finanças pessoais, ou jogo de vídeo games, até o uso não autorizado da Internet pelas redes da empresa. Softwares de monitoração de redes, conhecidos como sniffers, são freqüentemente utilizados para monitorar o tráfego da rede para avaliar a capacidade da rede, além de revelar evidência de uso impróprio.
Roubo de Software: Programas de computador são propriedade valiosa e por isso estão sujeitos a roubo dos sistemas de computador. A reprodução não autorizada de software, ou pirataria de software, é uma forma importante de roubo de software porque o software é propriedade intelectual protegida por lei de direitos autorais e contratos de licença com o usuário.
Alteração ou Roubo de Dados: Fazer alterações ilegais ou roubar dados é outra forma de crime informatizado. Acesso Indevido: Hacking é o uso obsessivo de computadores ou o acesso e uso não autorizados de sistemas de computação em rede. Hackers ilegais também conhecidos como crackers podem roubar ou danificar dados e programas.
Vírus de Computador: Destruição de Dados e Software: Um dos mais destrutivos exemplos de crime informatizado envolve a criação de vírus de computador ou vermes de computador. Esses vírus normalmente entram em um sistema de computação por meio de cópias de software ilegais ou emprestadas ou por meio de links de rede para outros sistemas de computador. Um vírus normalmente copia a si mesmo nos programas do sistema operacional do computador e de lá para o disco rígido e em quaisquer discos flexíveis inseridos. Programas de vacina e programas de prevenção e detecção de vírus são disponíveis, mas podem não funcionar para novos tipos de vírus. Vírus – é um código de programa que não pode funcionar sem ser inserido em outro programa. Verme – é um programa distinto que pode rodar sem assistência.
Questões de Saúde: O uso da TI no local de trabalho levanta uma série de questões de saúde. O uso intenso de computadores é tido como causador de problemas de saúde como:Estresse no trabalho; Lesões em músculos do braço e pescoço; Tensão ocular; Exposição a radiação; Morte por acidentes provocados por computador.
Ergonomia: As soluções para alguns problemas de saúde são baseadas na ciência da ergonomia, às vezes chamada de engenharia de fatores humanos. A meta da ergonomia é projetar ambientes de trabalho saudáveis que sejam seguros, confortáveis e agradáveis para as pessoas trabalharem, aumentando assim o moral e a produtividade do funcionário. A ergonomia enfatiza a concepção saudável do local de trabalho, estações de trabalho, computadores e outras máquinas e até de pacotes de software. Outras questões de saúde podem exigir soluções ergonômicas que enfatizem mais o desenho do cargo do que o desenho do local de trabalho.
Soluções Sociais: A tecnologia da informação pode produzir muitos efeitos benéficos na sociedade. A TI pode ser utilizada para solucionar problemas humanos e sociais por meio de soluções sociais como: Diagnóstico médico; Instrução auxiliada por computador; Planejamento de programas governamentais; Controle da qualidade ambiental; Aplicação das leis.
Você e a Responsabilidade Ética: Como usuário final empresarial, você tem a responsabilidade de fazer algo com relação a alguns abusos da tecnologia da informação no local de trabalho. Essas responsabilidades incluem desempenhar adequadamente seu papel como um recurso humano vital nos sistemas de informação baseados em computador que você ajuda a desenvolver e utiliza em suas organizações. O código da AITP fornece diretrizes para conduta ética no desenvolvimento e uso da tecnologia da informação. Os usuários finais e os profissionais de SI viveriam de acordo com suas responsabilidades éticas se adotassem voluntariamente essas diretrizes. Você pode ser, por exemplo, um usuário final responsável: Atuando com integridade; Melhorando sua competência profissional; Estabelecendo padrões elevados de desempenho pessoal; Assumindo responsabilidade por seu trabalho; Aprimorando a saúde, privacidade e bem-estar geral do público.
Trilha de Auditoria: Exame periódico da precisão e integridade dos sistemas de informação.
Auditoria de Sistemas de Informação: Um departamento de serviços de informação deve ser periodicamente examinado por auditoria pelo pessoal de auditoria interna. Além disso, auditorias periódicas realizadas por auditores externos de firmas de contabilidade profissional constituem uma boa prática de negócios.
Arquivos de Reserva: Arquivos de reserva são arquivos de dados ou programas duplicados. Esses arquivos podem ser armazenados fora das instalações, ou seja, em um local distante do centro de computação, às vezes em caixas fortes de armazenamento especial em locais remotos.
Controles Biométricos: Métodos de segurança baseados no computador que medem traços e características físicas tais como impressões digitais, impressões de voz, escaneamento de retina e assim por diante.
Totais de Controle: Acúmulo de totais de dados em múltiplos pontos em um sistema de informação para garantir o processamento correto de informações.
Controles para a Computação pelo Usuário Final: Os usuários finais gerenciais são responsáveis pelos controles dos sistemas de informação em suas unidades de negócios.
Recuperação de Desastres: Métodos para garantir que uma organização se recupera de desastres naturais e causados pelo homem que afetam suas operações baseadas no computador.
Criptografia: Embaralhar ou converter dados, antes da transmissão, para um código secreto que dissimula o significado dos dados para destinatários não autorizados. O mesmo que codificação.
Ergonomia: A ciência e tecnologia que enfatiza a segurança, conforto e facilidade do uso de máquinas operadas por humanos tais como computadores. A meta da ergonomia é produzir sistemas que sejam amigáveis ao usuário, ou seja, seguros, confortáveis e fáceis de utilizar. A ergonomia também é conhecida como engenharia de fatores humanos.
Segurança de Redes: A segurança de uma rede pode ser fornecida por pacotes especializados de software de sistemas conhecidos como monitores de segurança de sistemas. Esses monitores são programas que monitoram o uso dos sistemas de informação e de redes e os protegem contra o uso não autorizado, fraude e destruição.
Senhas: Uma senha é utilizada como um método de segurança que possibilita aos sistemas de computador identificarem usuários qualificados e determinarem que tipos de informações eles estão autorizados a receber.
Leis de Privacidade: Leis que regulamentam a coleção, acesso e uso de dados pessoais.
Controles de Procedimentos: Métodos que especificam como a organização dos serviços de informação deveria ser realizada para se obter segurança máxima.
Usuário Final Responsável: Usuário final que age com integridade e competência no uso da TI.
Códigos de Segurança: Senhas, códigos de identificação, códigos de contas e outros códigos que limitam o acesso e uso de recursos dos sistemas de informação baseados em computador para usuários autorizados.
Pirataria de Software: Cópia não autorizada de software.
Spamming: É o envio indiscriminado de e-mail não solicitado para muitos usuários da Internet. O spamming é a tática favorita dos remetentes de massas de propagandas não solicitadas ou junk e-mail.
Monitor de Segurança de Sistemas: Software que controla o acesso e uso de um sistema de computação.
O que pode ser feito para melhorar a segurança na Internet? Dê exemplos de hardware, software, rede e outros controles e medidas de segurança. Algumas questões podem ser mais policiamento, protocolos padrão, criptografia, acesso seguro à rede, etc.
Que problemas potenciais de segurança observam no uso crescente de intranets e extranets nos negócios? O que poderia ser feito para resolver esses problemas? Cite alguns exemplos. Com o crescente uso empresarial de intranets e extranets, não há dúvida de que o número de problemas potenciais de segurança também aumenta. Questões como hacking, alteração de dados, acesso não autorizado a dados, etc. se tornarão problemas fundamentais de segurança. Para solucionar esses problemas, as empresas devem continuar a tomar precauções em áreas como criptografia, firewalls, sites seguros da Internet, etc.
Que técnicas de inteligência artificial as empresas podem adotar para melhorar a segurança dos computadores e combater o crime com o uso do computador?
Fazer com que os sistemas utilizem controles biométricos, tais como sistemas e reconhecimento de voz, para identificação de pessoas autorizadas. Sistemas de criptografia de dados para transmissão segura de dados.
Quais os controles necessários para melhorar a segurança na computação pelo usuário final? Cite um exemplo de três controles que poderiam ser utilizados em sua faculdade ou trabalho. Métodos de teste de sistemas desenvolvidos pelo usuário para submissão às políticas e procedimentos de trabalho da empresa. Métodos de notificação de outros usuários quando há o planejamento de mudanças em sistemas desenvolvidos pelo usuário para encargos cruciais. Controle por meio da documentação dos sistemas desenvolvidos pelo usuário. Treinamento de diversas pessoas quanto à operação e manutenção de um sistema. Um processo formal para avaliação e aquisição de novo hardware e software. Procedimentos formais para backup e recuperação para todos os sistemas de usuários. Controles de segurança ao acesso para sistemas de computador de usuários e empresas, redes e bancos de dados.
Existe hoje uma crise ética nos negócios? Qual papel a tecnologia da informação desempenha nas práticas de negócios antiéticas? A TI tornou mais fácil se comunicar, trabalhar de maneira cooperativa, compartilhar recursos e tomar decisões, tudo eletronicamente. Entretanto, também tornou possível engajar-se eletronicamente em práticas éticas bem como antiéticas em qualquer parte do mundo.