Os sistemas de informação tornaram muitas empresas bem-sucedidas hoje. Algumas empresas como Google, Facebook, EBay, etc. não existiriam sem a tecnologia da informação. No entanto, o uso impróprio da tecnologia da informação pode criar problemas para a organização e os funcionários.
Os criminosos que obtêm acesso às informações do cartão de crédito podem levar a perdas financeiras para os proprietários dos cartões ou instituições financeiras. Usar sistemas de informação da organização, ou seja, postar conteúdo impróprio no Facebook ou Twitter usando uma conta corporativa, pode levar a processos judiciais e perda de negócios.
Este tutorial abordará os desafios impostos pelos sistemas de informação e o que pode ser feito para minimizar ou eliminar os riscos.
Neste tutorial, você aprenderá -
- Cibercrime
- Segurança do sistema de informação
- Ética do sistema de informação
- Política de Tecnologia da Informação e Comunicação (TIC)
Cibercrime
O crime cibernético se refere ao uso de tecnologia da informação para cometer crimes. Os crimes cibernéticos podem variar de usuários de computador simplesmente irritantes a enormes perdas financeiras e até mesmo a perda de vidas humanas. O crescimento de smartphones e outros dispositivos móveis de última geração que têm acesso à internet também contribuíram para o crescimento do crime cibernético.
Tipos de crime cibernético
Roubo de identidade
O roubo de identidade ocorre quando um cibercriminoso se faz passar pela identidade de outra pessoa para praticar um mau funcionamento. Isso geralmente é feito acessando detalhes pessoais de outra pessoa. Os detalhes usados em tais crimes incluem números de segurança social, data de nascimento, números de cartão de crédito e débito, números de passaporte, etc.
Uma vez que as informações tenham sido adquiridas pelo cibercriminoso, elas podem ser usadas para fazer compras online enquanto se faz passar por outra pessoa. Uma das formas que os cibercriminosos usam para obter esses detalhes pessoais é o phishing. O phishing envolve a criação de sites falsos que parecem sites comerciais ou e-mails legítimos .
Por exemplo, um e-mail que parece vir de YAHOO pode pedir ao usuário para confirmar seus dados pessoais, incluindo números de contato e senha de e-mail. Se o usuário cair no truque e atualizar os detalhes e fornecer a senha, o invasor terá acesso aos dados pessoais e ao e-mail da vítima.
Se a vítima usa serviços como o PayPal, o invasor pode usar a conta para fazer compras online ou transferir fundos.
Outras técnicas de phishing envolvem o uso de pontos de acesso Wi-Fi falsos que parecem legítimos. Isso é comum em locais públicos, como restaurantes e aeroportos. Se um usuário desavisado fizer login na rede, os crimes cibernéticos podem tentar obter acesso a informações confidenciais, como nomes de usuário, senhas, números de cartão de crédito, etc.
De acordo com o Departamento de Justiça dos Estados Unidos, um ex-funcionário do departamento de estado usou phishing de e-mail para obter acesso a contas de e-mail e mídia social de centenas de mulheres e acessou fotos explícitas. Ele conseguiu usar as fotos para extorquir as mulheres e ameaçou tornar as fotos públicas se elas não cedessem às suas exigências.
Violação de direitos autorais
A pirataria é um dos maiores problemas dos produtos digitais. Sites como o pirate bay são usados para distribuir materiais protegidos por direitos autorais, como áudio, vídeo, software, etc. A violação de direitos autorais se refere ao uso não autorizado de materiais protegidos por direitos autorais.
O acesso rápido à Internet e a redução dos custos de armazenamento também contribuíram para o crescimento dos crimes de violação de direitos autorais.
Fraude de clique
Empresas de publicidade como o Google AdSense oferecem serviços de publicidade paga por clique. A fraude de cliques ocorre quando uma pessoa clica em um link sem intenção de saber mais sobre o clique, mas para ganhar mais dinheiro. Isso também pode ser feito usando um software automatizado que faz os cliques.
Fraude de taxa antecipada
Um e-mail é enviado à vítima alvo prometendo muito dinheiro a favor de ajudá-la a reivindicar o dinheiro da herança.
Nesses casos, o criminoso geralmente finge ser um parente próximo de uma pessoa muito rica e conhecida que morreu. Ele / ela afirma ter herdado a riqueza de um rico falecido e precisa de ajuda para reclamar a herança. Ele / ela pedirá ajuda financeira e promete recompensar mais tarde. Se a vítima enviar o dinheiro para o golpista, o golpista desaparece e a vítima perde o dinheiro.
Hacking
Hacking é usado para contornar os controles de segurança para obter acesso não autorizado a um sistema. Depois que o invasor obtém acesso ao sistema, ele pode fazer o que quiser. Algumas das atividades comuns feitas quando o sistema é hackeado são;
- Instale programas que permitem que os invasores espionem o usuário ou controlem seu sistema remotamente
- Deface sites
- Roube informações confidenciais. Isso pode ser feito usando técnicas como SQL Injection, explorando vulnerabilidades no software de banco de dados para obter acesso, técnicas de engenharia social que enganam os usuários para que enviem ids e senhas, etc.
Vírus de computador
Os vírus são programas não autorizados que podem incomodar os usuários, roubar dados confidenciais ou ser usados para controlar equipamentos controlados por computadores.
Segurança do sistema de informação
A segurança do MIS refere-se a medidas implementadas para proteger os recursos do sistema de informações contra acesso não autorizado ou comprometimento. Vulnerabilidades de segurança são pontos fracos em um sistema de computador, software ou hardware que podem ser explorados pelo invasor para obter acesso não autorizado ou comprometer um sistema.
Pessoas como parte dos componentes do sistema de informação também podem ser exploradas usando técnicas de engenharia social. O objetivo da engenharia social é ganhar a confiança dos usuários do sistema.
Vejamos agora algumas das ameaças que o sistema de informação enfrenta e o que pode ser feito para eliminar ou minimizar os danos se a ameaça se materializar.
Vírus de computador - são programas maliciosos, conforme descrito na seção acima. As ameaças representadas por vírus podem ser eliminadas ou o impacto minimizado usando um software antivírus e seguindo as práticas recomendadas de segurança estabelecidas por uma organização.
Acesso não autorizado - a convenção padrão é usar uma combinação de um nome de usuário e uma senha. Os hackers aprenderam como contornar esses controles se o usuário não seguir as práticas recomendadas de segurança. A maioria das organizações adicionou o uso de dispositivos móveis, como telefones, para fornecer uma camada extra de segurança.
Vamos tomar o Gmail como exemplo, se o Google suspeitar do login em uma conta, eles vão pedir à pessoa prestes a fazer login para confirmar sua identidade usando seus dispositivos móveis com Android ou enviar um SMS com um número PIN que deve complementar o nome de usuário e senha.
Se a empresa não tiver recursos suficientes para implementar segurança extra como o Google, eles podem usar outras técnicas. Essas técnicas podem incluir fazer perguntas aos usuários durante a inscrição, como em que cidade eles cresceram, o nome de seu primeiro animal de estimação, etc. Se a pessoa fornecer respostas precisas a essas perguntas, o acesso será concedido ao sistema.
Perda de dados - se o data center pegar fogo ou for inundado, o hardware com os dados pode ser danificado e os dados contidos nele serão perdidos. Como prática recomendada de segurança padrão, a maioria das organizações mantém backups dos dados em locais remotos. Os backups são feitos periodicamente e geralmente são colocados em mais de uma área remota.
Identificação biométrica - agora está se tornando muito comum, especialmente com dispositivos móveis como smartphones. O telefone pode registrar a impressão digital do usuário e usá-la para fins de autenticação. Isso torna mais difícil para os invasores obterem acesso não autorizado ao dispositivo móvel. Essa tecnologia também pode ser usada para impedir que pessoas não autorizadas acessem seus dispositivos.
Ética do sistema de informação
A ética se refere às regras de certo e errado que as pessoas usam para fazer escolhas que orientam seus comportamentos. A ética na MIS busca proteger e salvaguardar os indivíduos e a sociedade usando sistemas de informação de forma responsável. A maioria das profissões geralmente definiu um código de ética ou diretrizes de código de conduta que todos os profissionais afiliados à profissão devem aderir.
Em suma, um código de ética torna os indivíduos agindo de livre vontade responsáveis e responsáveis por suas ações. Um exemplo de Código de Ética para profissionais da MIS pode ser encontrado no site da British Computer Society (BCS).
Política de Tecnologia da Informação e Comunicação (TIC)
Uma política de TIC é um conjunto de diretrizes que define como uma organização deve usar a tecnologia da informação e os sistemas de informação com responsabilidade. As políticas de TIC geralmente incluem diretrizes sobre;
- Compra e uso de equipamentos de hardware e como descartá-los com segurança
- Uso apenas de software licenciado e garantia de que todo o software esteja atualizado com os patches mais recentes por motivos de segurança
- Regras sobre como criar senhas (aplicação de complexidade), alteração de senhas, etc.
- Uso aceitável de tecnologia da informação e sistemas de informação
- Treinamento de todos os usuários envolvidos no uso de TIC e MIS
Resumo:
Com grandes poderes vem grandes responsabilidades. Os sistemas de informação trazem novas oportunidades e vantagens para a forma como fazemos negócios, mas também introduzem questões que podem afetar negativamente a sociedade (crimes cibernéticos). Uma organização precisa abordar esses problemas e apresentar uma estrutura (segurança MIS, política de TIC, etc.) que os trate.