Segurança nas Redes

A crescente utilização da Internet e das tecnologias da WWW como meio para realizar negócios electrónicos traz, naturalmente, um conjunto de preocupações relativas à protecção de dados dos utilizadores e dos sistemas. Os principais sistemas

para protecção dos dados são nomeadamente firewalls, sistemas de detecção de intrusão e antivírus.

Firewalls

Em termos gerais, um firewall é um sistema utilizado para proteger a rede inteira de uma organização de acessos vindos do exterior. No entanto, as suas funções vão muito além de filtrar o tráfego vindo do exterior. Nem todos os computadores da rede interna poderão estar autorizados a comunicar directamente com o exterior, encarregando-se o firewall de bloquear qualquer tentativa de acesso que não tenha origem em máquinas autorizadas.

A filtragem pode ainda ser mais selectiva. Em vez de uma simples verificação do endereço de origem, o firewall pode tomar decisões com base noutros factores e desempenhar outras funções, tais como (Silva et al, 2003):

• Filtragem por endereço de destino ou combinação origem/destino;

• Filtragem por tipo de serviço, por exemplo, deixando passar tráfego de correio electrónico de e para um determinado servidor;

• Autenticação da origem dos acessos, usando mecanismos de segurança; • Protecção da confidencialidade dos dados, cifrando os pacotes.

Apesar de seguro, o firewall também está sujeito a falhas, sendo as principais (Oliveira, 2001):

• Se um utilizador interno se ligar à rede externa, criará uma porta de acesso à rede sem passar pelo firewall;

• Eficaz contra ataques externos, mas internamente não. A maioria dos incidentes é causada por pessoal interno;

• Bugs, problemas de má configuração ou falha de equipamento, podem deixar o firewall suspenso por algum tempo;

• Colisões da rede interna e externa podem evitar o acesso ao firewall por um instante. E justamente nesse instante um intruso poderá invadir a rede interna.

Detecção de Intrusão

A detecção de intrusão é a arte de descobrir e responder a ataques contra, por exemplo, redes de computadores (Magalhães e Grilo, 2006).

Tradicionalmente, os administradores de rede analisavam manualmente os registos emitidos por diversos sistemas de segurança como firewalls de modo a detectarem uma intrusão. Hoje em dia, o processo de análise do tráfego da rede para detecção de entradas não autorizadas é realizado por um sistema de detecção de intrusão IDS (Intrusion Detection System). Para tal, primeiro, o IDS examina e regista as actividades dos utilizadores da rede, os acessos aos discos rígidos, a utilização das memórias RAM (Random Access Memory) e dos processadores dos computadores, etc., na procura de padrões de tráfego suspeitos ou anomalias no conteúdo do tráfego. De seguida, compara esses registos com uma base de dados de assinaturas de ataques, isto é, um repositório que contém padrões e comportamentos de ataques conhecidos, tal como no caso dos antivírus que veremos na secção seguinte. No caso de os registos coincidirem, o IDS reconhece a intrusão e acciona um alarme para avisar o administrador de rede e/ou tenta detê-la. Assim, o IDS permite detectar ameaças e avaliar os prejuízos numa rede tal como uma câmara de vídeo de segurança numa organização.

Sotfware antivírus

A forma mais fácil e menos dispendiosa de prevenir ameaças à integridade do sistema é instalar sotfware anti-vírus.

Um tipo de sotfware similar, mas mais complexo e caro é o sistema de detecção de intrusos. Este procuram padrões de tráfego “suspeitos” ou anomalias no conteúdo dos dados, características estas que são conhecidas como indícios de ataques à segurança dos sistemas. Após a detecção de uma possível intrusão, o

sistema de detecção de intrusos pode simplesmente accionar uma série de alarmes ou pode inclusivamente tentar deter a intrusão, bloqueando o tráfego problemático.

Síntese do capítulo

O objectivo deste capítulo foi o de realizar uma revisão da literatura sobre o negócio electrónico. Com esse objectivo foram revistos conceitos fundamentais do negócio electrónico, tais como os tipos de negócio electrónico, a cadeia de valor do negócio electrónico bem como os princípios a ter em consideração para o desenvolvimento de iniciativas de negócio electrónico. Foram também abordados os vários modelos de negócio, as questões chave a ter em conta na formulação da estratégia de negócio electrónico.

Sendo a segurança um dos aspectos fundamentais para o desenvolvimento do negócio electrónico foram também abordados alguns assuntos relacionados com esta temática.

3 Modelos de Maturidade

Neste capítulo apresentar-se-ão os modelos de maturidade orientados à gestão e planeamento dos SI e os modelos de maturidade orientados ao negócio electrónico.

A adopção e utilização de SI/TI pelas organizações é um processo evolucionário porque envolve aprendizagem organizacional, devendo por isso seguir um padrão, ou conjunto de estádios bem determinados. Esse conjunto de estádios e as características a ele associadas devem ser utilizados como modelo para orientar a organização numa correcta utilização das SI/TI e para a orientar na correcta progressão através dos diversos estádios (Amaral, 1994).

Os modelos de maturidade são uns dos instrumentos disponíveis para avaliar e ao mesmo tempo orientar as organizações em direcção a melhores políticas e estratégias no que respeita à área dos SI (Rocha, 2000).

Segundo Albino et al. (2008), um modelo da maturidade é “uma estrutura para caracterizar a evolução de um sistema, de um estado menos ordenado e menos efectivo, para um estado mais ordenado e altamente eficaz”. Oliveira afirma que um Modelo de Maturidade “funciona como um guia para a organização, para que ela possa localizar o ponto em que se encontra, como está, e, em seguida, realizar um plano para que ela possa chegar a algum ponto melhor do que o actual, na busca da excelência” (Oliveira, 2006).

Os modelos de maturidade fundamentam-se na premissa de que o processo de planeamento, desenvolvimento ou adopção, uso e gestão de SI/TI pelas organizações, evolui através de um processo de aprendizagem que pode avançar através de estádios de maturidade9. Se esses estádios (e as suas características associadas) puderem ser identificados, então poderão ser usados para desenvolver um plano para o SI e fornecer linhas orientadoras de acção para a progressão ordenada ao longo de vários estádios a partir da cultura corrente da organização (Singh, 1993).

A utilidade principal destes modelos é permitirem identificar (por avaliação) a situação corrente (estádio actual de maturidade) bem como planear a progressão para o próximo estádio, assumindo-se então que uma organização se move de um estádio “X” para um estádio superior “Y”, tornando-se mais madura. Portanto, o processo de crescimento ou aperfeiçoamento descreverá as características dos estádios que podem ser usados como forma de medir a maturidade.

Em consequência do que foi dito atrás, consideram-se bons modelos de maturidade aqueles que (Rocha, 2000):

• Descrevem razoavelmente as reais fases históricas do aperfeiçoamento evolutivo das organizações em direcção a uma maturidade superior;

• Descrevem as características das organizações para cada uma das fases de evolução;

• Sugerem objectivos de aperfeiçoamento intermédios e instrumentos de avaliação do progresso;

• Tornam claro um conjunto de prioridades imediatas de aperfeiçoamento, desde que a posição da organização na estrutura de estádios de maturidade seja conhecida.

Nas secções seguintes serão apresentados os modelos de maturidade considerados importantes para a evolução/desenvolvimento dos modelos de

9 _{Estádio: corresponde ao nível de aprendizagem/capacidade de uma organização num dado momento}

num processo de planeamento, desenvolvimento/adopção, utilização ou gestão de SI/TI (Huff et al., 1998). Um Estádio de Maturidade é um patamar evolucionário bem definido em direcção à obtenção da maturidade de um determinado processo. Cada estádio compreende um conjunto de metas do processo que, quando satisfeito, estabiliza uma componente importante do processo. A obtenção de cada estádio estabelece uma componente diferente no processo, resultando num aumento da

maturidade na área da gestão e planeamento de SI e os orientados ao negócio electrónico.