Your search keyword '"Queiroz, Ruy José Guerra Barretto de"' showing total 5 results

1. Proposta para implementação de melhores práticas para mitigação de riscos em incidentes de TI nos institutos federais de educação

Author

MACEDO, André and QUEIROZ, Ruy José Guerra Barretto de

Subjects

Segurança da informação, Gestão de riscos

Abstract

Essa dissertação tem como objetivo identificar dentre as melhores práticas de gestão de riscos baseados na literatura científica uma proposta de guia em gestão de riscos. Par a isso essa proposta foi concebida através de uma metodologia de pesquisa em que se utilizou a abordagem qualitativa e quantitativa, empregando procedimentos metodológicos com o uso da revisão sistemática da literatura, aplicando procedimentos bibliográficos e o levantamento de campo com aplicação de questionário de pesquisa. Com os dados obtidos através do questionário foi possível realizar o diagnóstico atual das instituições federais de educação na administração pública federal no que diz respeito à gestão de riscos com o intuito de que esse guia auxilie os gestores de TI. Por meio do Acórdão 3117/2014-TCU-Plenário, o quadro crítico em que se encontravam os órgãos da administração pública federal, em relação a uma política de gestão de riscos somente 23% das organizações declararam dispor de política corporativa formalmente instituída (11% parcialmente e 12% integralmente), ou seja, a grande maioria dos participantes não dispõe de um instrumento necessário para direcionar as ações corporativas para avaliação dos riscos associados ao alcance dos resultados organizacionais. Ao final da pesquisa percebeu-se que os gestores são responsáveis por viabilizar e garantir o adequado funcionamento da gestão de riscos, com o estabelecimento de diretrizes, criação de estruturas, se necessário, e a definição de papéis e responsabilidades. Cabe também aos gestores, estabelecer os níveis de riscos aceitáveis para subsidiar o processo de tomada de decisão, sobretudo as de nível estratégico nas instituições federais de educação. The present work aims to identify the best practices in risk management. Based on the risk management literature, a guide was proposed. This suggested guide was designed through a qualitative and quantitative research methodology. The present approach draws upon a systematic review of the literature, using bibliographic research procedures and two types of data collection, namely, field survey and questionnaire. Data derived from the field survey and the questionnaire enabled us to establish the current diagnosis of Federal Institutes of Education within the context of federal public administration regarding to risk management. From this perspective, we developed this guide, which will help the IT managers. The present guide was developed from the legal document, namely, 3117/2014-TCU- complementary law, and the guide has enabled the construction of the field research in which a questionnaire was applied. Subsequently, the critical framework was developed and applied to federal public administration institutions. Results indicate that only 23% of the organizations declared themselves to have a corporate policy of risk management (11% partially and 12% fully), that is, the vast majority of participants do not have the necessary tool to direct corporate actions to assess the risks associated with the achievement of organizational results. Our final considerations indicate that the top management is responsible for ensuring the proper functioning of risk management, establishing guidelines, creating structures, if necessary, and defining roles and responsibilities. It is also up to senior management to establish acceptable levels of risk to support the decision-making process, especially at the strategic level at federal institutions of education.

Published

2017

2. Detecção da utilização do mecanismo de Canvas Fingerprinting

Author

STELLO JUNIOR, Edgar José and QUEIROZ, Ruy José Guerra Barretto de

Subjects

Segurança da informação, Ciência da computação

Abstract

Vários sites coletam informações sobre os usuários/dispositivos, quando são acessados ou mesmo durante a navegação, muitas vezes sem o seu consentimento. Dentre as várias técnicas existentes, a que está em foco no trabalho utiliza o método de Canvas Fingerprinting para gerar uma identificação única do usuário/dispositivo, através da coleta de algumas informações e fazendo alguns processamentos disponibilizados através da linguagem HTML5. Desta forma, o usuário/dispositivo pode ser identificado nos próximos acessos e até mesmo informações sobre ele podem ser recuperadas se já foram coletadas anteriormente. Com isso, a pesquisa foi desenvolvida com o intuito de abordar uma forma de identificar e avisar ao usuário, que acessa um determinado site, se o mesmo está fazendo sua identificação utilizando o método de Canvas Fingerprinting. Nesta busca, o estudo identificou a existência da extensão para Firefox denominada Canvas Blocker que identifica e bloqueia a utilização do mecanismo de Canvas do HTML5. Devido à existência desta extensão, o trabalho a modificou para detectar a utilização específica do mecanismo de Canvas Fingerprinting e alertar o usuário sobre essa utilização. Para isso, foi utilizada uma metodologia de detectar Canvas Fingerprinting já presente na literatura e agregado a isso algumas sugestões para reduzir os falsos negativos e os falsos positivos encontrados durante os experimentos. Então, o algoritmo proposto foi aplicado em um conjunto de sites determinado, alguns dados foram coletados dessas visitas, posteriormente estes dados foram analisados e, por fim, apresentadas medições que comprovaram a eficiência da solução apresentada. Several sites collect information about users/devices, when they are accessed or even while browsing, often without consent. Among the several techniques, one that is in focus in this work uses the Canvas Fingerprinting method to generate a unique identification of the user/device, through the collection of some information and making some processing available through the HTML5 language. In this way, the user/device can be identified in the next accesses and even information about him/it can be recovered if previously collected. Thereby, the research was developed with the intention of approaching a way to identify and warn the user, who accesses a certain site, if the site is making his identification using the method of Canvas Fingerprinting. In this search, the study identified the existence of a Firefox extension called Canvas Blocker that identifies and blocks the use of the HTML5 Canvas mechanism. Because of the existence of this extension, the work modified it to detect the specific use of Canvas Fingerprinting mechanism and to alert the user about this use. For this, a methodology already present in the literature was used to detect Canvas Fingerprinting and added some suggestions to reduce the false negatives and the false positives found during the experiments. Then, the proposed algorithm was applied in a given set of sites, some data were collected from these visits, later these data were analyzed and, finally, measurements were presented that proved the efficiency of the presented solution.

Published

2017

3. A influência da Engenharia Social no fator humano das organizações

Author

HENRIQUES, Francisco de Assis Fialho, QUEIROZ, Ruy José Guerra Barretto de, and CORTES, Omar Andres Carmona

Subjects

Segurança da informação, Engenharia social

Abstract

A informação tornou-se um recurso essencial na sociedade contemporânea. As organizações estão investindo cada vez mais em tecnologia e equipamentos para fortalecer sua segurança e estão esquecendo as pessoas, o fator humano está ficando para trás. Com o crescimento das redes de computadores e o surgimento da tecnologia da informação, os ataques de Engenharia Social têm sido uma ameaça atual aos sistemas de informação em ambientes organizacionais. A fim de criar ações de contenção contra essa ameaça, é necessário entender o comportamento dos atacantes, ou seja, quais são as principais ações tomadas para alcançar os objetivos desejados. Não há nenhuma correção que você pode adquirir e aplicar às pessoas para ser livre destas formas de ataque. A solução para combater esse problema é o conhecimento. As pessoas devem entender como lidar com as formas de ataque e o que fazer para minimizar essa questão nas organizações. O presente estudo avaliou, através da aplicação de um questionário, o conhecimento dos entrevistados sobre Engenharia Social, à medida que percebem sua influência nas organizações e como estas abordam a questão da Segurança da Informação. O objetivo deste estudo é apresentar como as técnicas de Engenharia Social são aplicadas nas organizações respondendes e quanto estão preparados para enfrentar esta ameaça, sugerindo uma visão mais humana da Segurança da Informação. Information has become an essential resource in contemporary society. Organizations are increasingly investing in technology and equipment to strengthen their security and are forgetting people, the human factor is falling behind. With the growth of computer networks and the Emergence of information technology, Social Engineering attacks have been a current threat to information systems in organizational environments. In order to create containment actions against this threat, it is necessary to understand the behavior of the attackers, i.e. what are the main actions taken to achieve the desired objectives.There is no correction that you can acquire and apply to people to be free from these forms of attack. The solution to combat this problem is knowledge. People should understand how to deal with the forms of attack and what to do to minimize this question in organizations. The present study evaluated, through the application of a survey, the knowledge of the interviewees about Social Engineering, as they perceive its influence in the organizations and how they address the issue of Information Security. The aim of this study is to present how the Social Engineering techniques are applied in responding organizations and how much they are prepared to face this threat suggesting a more human vision of Information Security.

Published

2017

4. Os desafios estratégicos para a defesa e segurança cibernética: um estudo de caso na administração pública federal

Author

ROEN, Marcelo Bastos and QUEIROZ, Ruy José Guerra Barretto de

Subjects

Segurança da informação, Segurança cibernética

Abstract

O vertiginoso desenvolvimento a que foram alçadas as tecnologias da informação e comunicações nos últimos anos proporcionou a elas a capacidade de serem instantâneas, assim como dinamizou a troca de grandes volumes de dados, ampliando a velocidade, por meio de equipamentos cada vez menores, mais velozes, com maior capacidade e com um número maior de funcionalidades. Grande parte desses avanços se deve ao surgimento da rede mundial de computadores, que se convencionou chamar de Internet. Essa conexão global, com novas ferramentas e que, nem sempre é possível se saber onde as informações ficam armazenadas, trouxe benefícios e conquistas expressivos para diferentes setores da sociedade. Por outro lado, pari passu a isso, a Internet aumentou a vulnerabilidade, reduziu a privacidade e colocou em xeque a segurança individual, a partir dos chamados ataques cibernéticos, os quais são ações das mais diferentes configurações, que vão desde a transferência de um vírus, capaz de contaminar e comprometer o funcionamento de computadores pessoais ou até mesmo a invasão de rede de grandes corporações, no intuito de provocar prejuízos ou ter benefícios com fraudes cibernéticas; ou de governos, tendo a intenção de privilegiar-se de informações restritas ou, ainda, provocar danos políticos, apossando-se de dados confidenciais. Esses ataques têm se tornado cada vez mais frequentes, e mais graves, com o passar do tempo, fato que, aliado à grande dependência que se passou a ter da tecnologia, fez com que se despertasse o interesse pelo desenvolvimento de estratégias de prevenção contra esses ataques. A parte mais incipiente da estratégia abrange os softwares conhecidos como antivírus, que são “vacinas” desenvolvidas para combater os diferentes tipos de vírus que surgem todos os dias; em nível mais complexo, as corporações criam áreas especializadas na proteção do ambiente tecnológico contra invasões, tendo a responsabilidade de definir estratégias de defesa cibernética. Esse trabalho parte dessas primícias, com o objetivo de abordar a defesa e a segurança cibernética do ponto de vista dos desafios estratégicos enfrentados pelas corporações, focalizando a administração pública federal. No escopo geral, passa pelos conceitos envolvidos e esquadrinha o histórico da evolução das tecnologias pertinentes e, na abrangência mais especifica, trata do cenário brasileiro no âmbito da administração pública federal, ressalta os caminhos trilhados e os principais marcos que o governo brasileiro implantou nos últimos quinze anos. The vertiginous development of information and communications technologies in recent years has given them the ability to be instantaneous, and also streamlined the exchanging of large volumes of data, increasing speed by means of smaller and faster equipment, with greater capacity and a greater number of functionalities. Most of these advances are due to the emergence of the worldwide computer network, which has become known as the Internet. This global connection, with new tools and that it is not always possible to know where information is stored, has brought significant benefits and achievements to different sectors of society. On the other hand, the Internet has increased vulnerability, reduced privacy and put individual security at risk, from the so-called cyber-attacks, which are actions of the most different configurations, ranging from the transfer of a virus, capable of contaminating and compromising the functioning of personal computers or even the invasion of a large corporation network, in order to cause damages or benefits with cyber fraud; or of government networks, with the intention of obtaining restricted information or even causing political damage by taking confidential data. These attacks have become more and more frequent and more serious, a fact that, with the great dependence on technology, has aroused interest in the development of strategies to prevent them. The most incipient part of the strategy comprises software’s known as antivirus, which are "vaccines" designed to combat the different types of viruses that appear every day; at a more complex level, corporations create specialized areas in the protection of the technological environment against invasions, with the responsibility of defining cyber defense strategies. The objective of this paper is to discuss on cyber security and defense from the point of view of the strategic challenges faced by corporations, focusing on the federal public administration. In the general scope, it goes through the concepts involved and examines the history of the evolution of pertinent technologies and, in the most specific coverage, deals with the Brazilian scenario within the scope of the federal public administration, highlights the developments and the main milestones that the Brazilian government has implemented in the last fifteen years.

Published

2017

5. Soluções para DBaaS com dados encriptados: mapeando arquiteturas

Author

LIMA, Marcelo Ferreira de and QUEIROZ, Ruy José Guerra Barretto de

Subjects

Segurança da Informação, Database-as-a-service, Clouding Computing, Privacy, Information Security, Architecture, DBaaS, Computação em Nuvem, Encryption, Criptografia, Privacidade, Arquitetura

Abstract

Com a popularização crescente do modelo de computação em nuvem oferecendo serviços em cada uma das camadas de Software-as-a-Service (SaaS), Platform-asa- Service (PaaS) e Infrastructure-as-a-Service (IaaS), começaram a surgir provedores que disponibilizam o serviço específico de Database-as-a-Service (DBaaS), cuja ideia básica é disponibilizar bancos de dados na nuvem. Entretanto, a inviabilidade de execução de operações, consultas e alterações, sobre dados encriptados em serviços DBaaS é um fator que afasta os clientes da possibilidade de levar seus dados para a nuvem. Proprietários de dados e provedores de nuvem anseiam por sistemas criptográficos completamente homomórficos como uma solução. Mas não existe qualquer perspectiva a curto ou médio prazo de que estes sistemas possam ser computacionalmente viáveis. Atualmente pesquisas buscam construir soluções que utilizam sistemas criptográficos viáveis que possibilitem a execução de operações sobre dados encriptados no provedor de DBaaS. Um estudo, precursor e destacado, baseia sua solução em uma arquitetura Proxy, modelo que não é unanimidade para este tipo de solução. Esta pesquisa, baseada em mapeamento sistemático, busca iniciar uma discussão mais profunda sobre modelos de arquitetura para DBaaS e apresenta como principais contribuições: (i) um catálogo de estudos com propostas de soluções, organizado por modelo de arquitetura, (ii) a determinação de uma tendência na escolha de arquiteturas, considerando o estado da arte, (iii) uma investigação de um direcionamento concreto, apontando vantagens e desvantagens, com base nos estudos catalogados, sobre a adoção da arquitetura Proxy em soluções encriptadas de computação em nuvem para DBaaS e (iv) apontar uma lista consistente de questões em aberto acerca das soluções para banco de dados encriptados, com base em dados extraídos dos estudos catalogados. With the growing popularity of cloud computing model, offering services in each of the layers of Software-as-a-Service (SaaS), Platform-as-a-Service (PaaS) and Infrastructure-as-a-Service (IaaS), began to emerge providers that provide the specific service Database-as-a-Service (DBaaS), whose basic idea is to provide databases in the cloud. However, the impossibility of executing operations, queries and changes on encrypted data in DBaaS services is a factor that keeps customers the possibility to bring your data to the cloud. Owners of data and cloud providers crave fully homomorphic cryptosystems as a solution. But there is no prospect in the short or medium term that these systems can be computationally feasible. Currently research seek to build solutions using viable cryptographic systems that allow the execution of operations on encrypted data on DBaaS provider. One study, precursor and highlighted, bases its solution on a Proxy architecture model, that is no unanimity for this type of solution. This research, based on systematic mapping, search start a deeper discussion of architectural models for DBaaS and presents as main contributions: (i) a catalog of studies with proposed solutions, organized by architectural model, (ii) the determination of a tendency in choosing architectures, considering the state of the art and (iii) an investigation of a concrete direction, pointing advantages and disadvantages, based on cataloged studies, on the adoption of Proxy architecture over cloud computing encrypted solutions to DBaaS and (iv) point to a consistent list of open questions about the solutions for encrypted database, based on data extracted from cataloged studies.

Published

2015