Sistemas

Falhas comuns de aplicações web e métodos de ataques

Vejamos alguns métodos comuns de explorar as vulnerabilidades de uma aplicação ou site hospedado em um servidor web.

Misconfiguration

É muito fácil para o administrador inexperiente, mas bem-intencionado, configurar mal ou simplesmente se perder em uma configuração, que pode ser a opção que permite um ataque.

Para evitar que a configuração incorreta se torne um problema, certifique-se de que a função do servidor está corretamente definida. Planeje e avalie a configuração para garantir que ela irá fornecer a proteção necessária. Certifique-se também de rever as melhores práticas que fornecedores como a Microsoft oferecem sobre as etapas a serem tomadas para proteger um sistema.

Outra opção é usar scanners de vulnerabilidade para verificar possíveis problemas em um site ou aplicação da Web. Os scanners de vulnerabilidade podem fornecer orientação valiosa sobre onde os esforços devem ser concentrados. (mais…)

Definição de responsabilidades dos usuários em sistemas de informação

Por Lindamir do Carmo Secchi Gadler e Roseli Rocha Moterle

O documento da política de segurança deve especificar as regras e responsabilidades dos profissionais envolvidos com a segurança da informação.
Segundo a NBR 27002 (2005, p. 10), é necessário organizar uma estrutura
de gerenciamento para iniciar e controlar a implementação da segurança da
informação. Esta norma também sugere que as atividades sejam coordenadas por diferentes partes da organização.

Importante: É importante destacar que, embora sejam definidas atribuições
específicas, portanto, colaboradores específicos, para a
implementação e manutenção do programa de segurança, a
responsabilidade pela preservação da segurança da informação e dos
recursos que as produzem é de toda a organização. Todos os usuários
são responsáveis pela informação que produzem ou manipulam. (mais…)

Três problemas ocultos de CRM e como resolvê-los

Alguns sistemas de TI são projetados e construídos sem levar em conta a estrutura organizacional na qual serão implementados. Claro que sempre há alguma atenção às necessidades e preferências de usuários, mas dificilmente leva-se em consideração o perfil das pessoas que estão à frente dos departamentos que farão uso da ferramenta.

Em muitos casos, os usuários se entendem como podem com a ferramenta e o departamento TI acaba escapando de ter mais trabalho para adaptar o sistema. Mas a realidade é diferente no caso das ferramentas de gestão do relacionamento com clientes (CRM, do inglês Costumer Relationship Management), as quais apresentam desafios singulares: precisam estar profundamente alinhadas às necessidades dos usuários e devem permitir mudanças toda vez que a companhia passa por reformulações. (mais…)

Como aumentar o ROI dos sistemas de TI

É muito comum ver nas empresas os sistemas de TI sendo subutilizados, o que faz várias pessoas contestarem os discursos de retorno do investimento (o ROI) tão debatidos pelos especialistas do mercado.

Mas, o que deve ser contestado não é o discurso dos fornecedores e sim a condução do processo de implementação, manutenção e integração dentro de casa. O esforço não se encerra no contrato de aquisição do sistema, muito pelo contrário, este é o início à fase mais importante e trabalhosa.

O baixo ROI começa pela omissão, ou baixa qualificação de fornecedores de serviços de TI, passa pelo desperdício de investimentos e chega até o pouco apoio e envolvimento da direção das empresas no processo de implementação. Isso sem contar a alta resistência de boa parte dos colaboradores que, por natureza, estão sempre contrários a mudanças. (mais…)

10 passos para aumentar o ROI dos sistemas de TI

Por Rodney Repullo

É muito comum ver nas empresas os sistemas de TI sendo subutilizados, o que faz várias pessoas contestarem os discursos de Retorno do Investimento (ROI) tão debatidos pelos especialistas do mercado.

Mas, o que deve ser contestado não é o discurso dos fornecedores e sim a condução do processo de implementação, manutenção e integração dentro de casa. O esforço não se encerra no contrato de aquisição do sistema, muito pelo contrário, este é o início à fase mais importante e trabalhosa. (mais…)

Mapeamento de Redes com nmap – ferramenta de código aberto com diversas funcionalidades

O nmap (reduzido de “Network Mapper”) é uma ferramenta livre, de código aberto, utilizada para ma­peamento de redes e inclui diversas funcionalidades como: varredura de portas, detecção de versão de ser­viços, identificação remota de sistemas operacionais (OS fingerprinting), etc. Esta ferramenta foi criada por Gordon “Fyodor” Lyon, que ainda hoje participa ativamente do desenvolvimento da mesma. O nmap é uma ferramenta versátil que é muito utilizada, entre outros, em auditorias, teste de invasão, teste em firewalls e testes de conformidade.

O nmap, em geral, opera nas camadas de rede e transporte. Entretanto, também é capaz de manipular dados da camada de enlace (endereças MAC e requi­sições ARP, por exemplo) e de interpretar dados da camada de aplicação para inferir informações interes­santes a respeito de seu alvo (versões de serviços e sistemas operacionais, por exemplo).

A versão mais nova do nmap por ser obtida atra­vés do site oficial. Informações adicionais às apresentadas neste artigo podem ser encontradas na documentação oficial ou no livro de autoria do próprio Fyodor dedicado à ferramenta (Nmap Network Scanning, Gordon “Fyodor” Lyon, Insecure.com LCC Publishings. ISBN: 978­0979958717), que inclu­sive tem uma versão traduzida em português brasileiro (Exame de Redes com NMAP, Gordon “Fyodor” Lyon, Editora Ciência Moderna. ISBN: 978­8573938654). Parte deste livro está disponível gratuitamente na Internet para leitura e consulta. (mais…)

Os sistemas de informação como fator de competitividade e aumento de produtividade

A Gestão de Sistemas de Informação é claramente um dos principais desafios que as empresas enfrentam atualmente, derivado à pressão para se atingir maiores níveis de produtividade individual e coletiva, com as consequentes otimizações de processos existentes e mudanças estruturais necessárias.

Vivemos um momento de reformulação completa na forma como as empresas competem. A globalização transformou, e continua a transformar, a forma de fazer negócios. Mesmo os setores primários e secundários estão a competir fortemente com um mercado que já não é só de uma região, de um país ou de um continente. É mesmo uma competição mundial. Isto é, já não basta ser o melhor do meu “bairro”, é preciso ser dos melhores daquele mercado específico a nível mundial, caso contrário se há uma fase onde ainda há alguma liderança local, muito rapidamente outros mais fortes virão e ocuparão esse espaço com uma rapidez avassaladora e sem qualquer misericórdia, mesmo em países que ainda são fortemente protecionistas, pois o tempo encarrega-se de “eliminar” essa fronteira. E… depois pode ser demasiado tarde. (mais…)

Sistemas de Informação Gerencial

Ao longo da historia da administração ocorreram muitas fases. Sendo que, seus princípios sempre foram semelhantes, mudando apenas o enfoque conforme a visão do pesquisador. No que se tratava de gerir processos e administrar uma empresa tornava-se cada vez mais complexos tendo em vista o acúmulo de dados e informações. Definir as decisões e planejar as estratégias do negócio exigia grande dedicação do gestor por que era necessário analisar todas as informações para chegar à conclusão. (mais…)

Mecanismos de controle de acesso

Os mecanismos de segurança da informação são responsáveis pela concretização das políticas de segurança nos sistemas computacionais. Desta forma, as políticas de segurança – e os comportamentos que recomendam, expressos através de modelos de segurança –, são implantadas por mecanismos de segurança da informação. Tais mecanismos exercem os controles (físicos e/ou lógicos) necessários para garantir que as propriedades de segurança (confidencialidade, integridade e disponibilidade) sejam mantidas em conformidade com as necessidades do negócio. (LENTO, SILVA E LUNG, 2006). (mais…)