prof. dr.jean miler scatena. qualidade de si dimensões da qualidade da informação a...
TRANSCRIPT
Prof. Dr.Jean Miler Scatena
Qualidade de Si Dimensões da qualidade da informação A necessidade de gerir a qualidade da informação
A INFORMAÇÃO NAS ORGANIZAÇÕES As fábricas de informação Detecção e correção de erros Analise do processo Metadados da qualidade dos dados Qualidade total
UM MODELO PARA A GARANTIA DA QUALIDADE DA INFORMAÇÃO A gestão da função qualidade da informação Atividades da função qualidade
Conclusões
Os problemas com a qualidade da informação são sentidos de forma rotineira por todas as organizações, com diferentes níveis de gravidade e de prejuízo.
O impacto negativo traduz-se em custos desnecessários, em processos de decisão afetados ou na perda de confiança dos clientes.
Evidências apontam que o problema da qualidade dos dados deve ser tratado com formalismo e deve seguir o caminho que a qualidade já tomou na indústria.
Ao encarar a informação como um produto, estamos considerando a existência de uma economia da informação, na qual consumidores, fornecedores e produtores de informação desempenham um papel no processo de criação de valor.
Um sistema de informação não é mais do que um processo de transformação de informação, algo semelhante a uma fábrica, cujo sucesso depende do grau de satisfação dos consumidores dessa informação.
A informação como um RecursoA informação é hoje encarada como um
recurso essencial para as organizações que reconheceu a sua importância estratégica.
O seu reconhecimento como um recurso significa que será necessária a existência de uma estrutura capaz de assegurar que a informação esteja disponível no momento, na forma e na quantidade desejável para os seus consumidores, ou seja, que tenha qualidade.
Dimensões da Qualidade da InformaçãoTodas as decisões que se tomam são
baseadas num conjunto de informação que está disponível no processo de tomada de decisão, algo que faz depender a decisão final das características da informação que lhe serviu de input.
Informação com insuficiente qualidade não produzirá uma decisão adequada que, quando aplicada, produza os resultados esperados.
Dimensões da QualidadeA qualidade da informação só pode ser
avaliada por quem a consome, e só terá qualidade se quem a consome a considerar como apropriada para as necessidades em causa.
Naturalmente, quando se fala em qualidade da informação, o termo “correção” é o primeiro a surgir, associando qualidade à ausência de erros na informação, embora até seja discutível o significado de “erro”.
A informação para os executivos deverá ser correta, relevante e atual.
Dimensões de QualidadeAs características da qualidade da informação
vão para além da correção, ao considerarem aspectos como a apresentação, o acesso e a relevância como componentes importantes.
Um conjunto de dados pode estar correto, mas a sua apresentação dificultar a sua compreensão ou não foi disponibilizado em tempo útil.
Estes aspectos diminuem a qualidade da informação junto do consumidor.
Dimensões de QualidadeDimensões Características
Intrínseca Correção, objetividade, reputação e veracidade
Contextual Valor acrescentado, relevância, disponibilidade, completae volume apropriado
Representacional Interpretabilidade, compreensão, consistência e concisa
Acessibilidade Acessibilidade e segurança
Intrínseca Características intrínsecas dos dados,
independentes da sua aplicação Contextual
Características dependentes do contexto de utilização dos dados
Representacional Características derivadas da forma como a
informação é apresentada Acessibilidade
Aspectos relativos ao acesso e à segurança dos dados
É normal chamar de dados, o conhecimento no seu estado primário e independente da utilização desse conhecimento.
Informação serão esses dados tratados, por um qualquer processo, para serem consumidos por alguém.
Conhecimento significa que alguém pode interpretar a informação, utilizá-la nos seus processos de decisão e identificar a informação que será útil para essa decisão.
A necessidade de gerir a qualidade da informação Toda e qualquer organização tem no resultado do seu
exercício o indicador do seu sucesso, e, de entre alguns fatores que contribuem para esse exercício, a qualidade ocupa um lugar de destaque.
A aplicação prática do conceito da qualidade se traduz em aumentos nas vendas e redução de custos.
A não-qualidade se traduz invariavelmente o contrário, na redução das vendas e no aumento dos custos.
Várias evidências apontam para os custos diretos ou indiretos derivados da insuficiente qualidade dos dados.
As conseqüências da falta de qualidade na informação são várias: custos acrescidos devido ao impacto que
causam custos de reparação, a perda da confiança dos clientes, processos de tomada de decisão afetados, motivação das equipas diminuída
A Qualidade da informação não é mais um problema de tecnologia mas sim um problema de gestão.
A tendência de considerar a informação como algo que está na base de dado, e por conseguinte da responsabilidade de um hipotético departamento de informática, terá que dar lugar ao reconhecimento da informação como um recurso e a este atribuir uma gestão adequada, com uma missão, um plano e recursos para a sua execução.
Um SI pode ser considerado como o conjunto gerido de recursos humanos e materiais,destinados a realizar as atividades de adquirir, armazenar, processar e difundir informação, quer estejam ou não envolvidos computadores.
A sua missão é a de fornecer informação com qualidade a quem dela necessita.
O fato da informação não ser um recurso tradicional, com dimensões físicas, levanta um conjunto de questões.
Pelo fato de não ter dimensões, é difícil avaliar o seu volume ou conseguir identificar a quantidade de informação adequada.
A informação não se consome com o uso, é um recurso que não se esgota, pois pode ser utilizado indefinidamente, o que levanta problemas no controlo da sua utilização.
A própria analogia entre os sistemas de informação e uma fábrica falha no fato da utilização da informação não ser determinística.
Detecção e Correção de erros Consiste em analisar os dados presentes numa
base de dados e detectar incorreções, como valores nulos, informação duplicada ou errada.
No entanto, a informação só estará correta se refletir a realidade, mas comparar com a realidade milhões de registros é impraticável.
Por isso é necessário recorrer à recolha de amostras para posteriormente comparar essas amostras com os valores reais.
Detecção e Correção de ErrosEsta comparação fornecerá indicadores sobre
a qualidade dos dados presentes na base de dados.
A operação de limpeza consiste na correção da informação errada encontrada.
A origem das incorreções dos dados pode estar localizada na recolha da informação ou na introdução dos dados no sistema.
Detecção e Correção de ErrosAlguns erros podem ser evitados com o
recurso às restrições de domínio e de integridade presentes na maioria dos sistemas de gestão de bases de dados, mas mesmo a identificação destas restrições não será nunca completa para um dado contexto.
Por outro lado, sistemas de recolha automática de informação reduzem em muito os erros de digitação.
Análise de ProcessoCorrigir os erros contidos numa base de dados
não é suficiente para assegurar a médio e longo prazo uma base de dados isenta de deficiências.
Uma limpeza a uma base de dados não impede que surjam mais tarde mais erros e que esta não volte ao seu estado anterior.
A razão disto prende-se com o fato de que o processo responsável pela recolha e introdução dos dados não sofreu qualquer alteração.
Análise de ProcessoÉ necessário analisar o processo e detectar os
pontos nos quais os erros são introduzidos.
É a resposta à atuação de inspeção da abordagem anterior, com a ênfase a ser agora colocado na prevenção dos erros.
No sistema de “data tracking” que marca certos registros de dados no momento de sua recolha e observá-los ao longo do seu percurso.
Análise de Processo Esta técnica permite observar as alterações que
os dados sofrem ao longo do ciclo de vida, para desta forma detectar os pontos nos quais são introduzidos erros ou distorções.
Técnicas comuns na área da qualidade são utilizadas para visualizar a evolução dos defeitos encontrados na análise de tabelas, registros ou mesmo campos.
Não só visualizar, mas também monitorar a evolução das ocorrências.
Qualidade TotalO “total quality management” (TQM)
representa a abordagem mais organizacional ao problema da gestão da qualidade.
É uma filosofia ou atitude baseada no princípio da melhoria contínua, na crença de que é sempre possível fazer mais e melhor.
É uma abordagem disciplinada que integra técnicas de gestão com ferramentas da qualidade.
Qualidade TotalAo designar a informação como um recurso e
ao atribui os recursos necessários para que a informação consumida tenha as características adequadas à sua utilização, ou seja, tenha qualidade, estamos criando um sistema de garantia da qualidade da informação.
Tal sistema deverá assegurar que a função qualidade está alinhada com a estratégia da empresa, está instalada e que obtém os resultados pretendidos.
Qualidade TotalA gestão da qualidade dos dados “envolve a
especificação de políticas, a identificação de técnicas e a utilização de procedimentos para assegurar que os dados da organização possuem o nível de qualidade adequado para a sua utilização atual e futura”
Conceitos
Ameaças
Vulnerabilidades
Tipos de Invasão
A segurança é necessária em qualquer computador que esteja ou não acessando uma rede externa.
A necessidade se explica pelo dependência da organização para com a estrutura de tecnologia da informação.
Com o aumento do uso das telecomunicações e redes para as atividades empresariais, a segurança tornou-se o segundo maior projeto das organizações.
A segurança é imposta para:Minimizar os prejuízos da organização por
paralisações não esperadas;Garantir a qualidade dos dados inseridos
e das informações geradas;Assegurar o roubo ou a alteração dos
dados sem a autorização;Preocupação de ataque externo pela rede
extranet / internet
Bem/recurso/ativo Corresponde a entidade objeto da função segurança
Vulnerabilidade Característica de fraqueza de um bem
Ameaças Ação, atitude ou situação em que a vulnerabilidade
de um bem possa acontecer Agente agressor
Entidade responsável, potencial ou concreta, pela realização da ameaça
Risco Mensuração da intensidade, possível ou real da
ocorrência de uma ameaça Medida de Segurança
Ação/atitude/providência operacionalizada para evitar as causas de ameaças
Perímetro de Proteção Ambiente ou linha imaginária em que uma ameaça
possa atingir um bem Plano de Segurança
Conjunto de medidas de segurança adotadas para a diminuição da intensidade do risco
Catástrofe Supressão de Serviços Comportamento anti-social Ação criminosa
Momentos de intensa e descontrolada destruição
Desabamento total ou parcial
Explosão proposital ou acidental
Incêndio espontâneo, provocado ou acidental
Inundação natural ou em situações ambientais específicas
Momentos em que a infra-estrutura operacional falha ou deixa de existir
Falta de energiaQueda de comunicaçõesFalha de equipamentosInterrupção no abastecimento de águaProblemas no abastecimento de esgotos
Agressões por profissionais do ambiente interno ou externo Paralisações
Greves, sabotagem, displicência ou má vontade de funcionários
Motins populares e distúrbios Potencial agressão ao patrimônio físico e intelectual da
organização Invasão
Por entidades, pessoas físicas e jurídicas, via atuação física como ações de roubo ou furto
Piquetes Atuação de funcionários ou elementos de sindicato no sentido
de conturbar as atividades organizacionais
Ação com características de interesse direto de pessoa física, no sentido de fazer prevalecer seus interesses
Terrorismo Ação de agressão ao patrimônio empresarial com a utilização de
violência extrema Seqüestros
Ação de intimidação física concretizada contra pessoas físicas ou bens de extrema importância
Roubos e furtos Supressão de bens materiais
Fraudes Ações de modificação, com conseqüente obtenção de vantagem
pelo agente agressor Sabotagens
Modificação de máquinas, equipamentos, instalações das organizações
Espionagem industrial Captação não autorizada de ativos intangíveis organizacionais
Erros de software Falta de pacotes de correção Erros de configuração Má utilização do software/hardware Erros humanos Subutilização de serviços Metas não aplicadas
Redes de comunicação Sistemas operacionais dos
equipamentos Bancos de dados e aplicações Servidores Acesso a internet
HackersHackers;Lammers;Crakers;Phreakers;Carders
Funcionários descontentes Usuários mal treinados Vírus de computador
Maiores causas de problemas digitais
%
Funcionários autorizados 58%
Funcionários não autorizados 24%
Ex-funcionários 13%
Hackers e terroristas cibernéticos 13%
Concorrente 3%
Controle de acesso; Autenticação de usuário; Criptografia;
Utiliza dispositivos de hardware e software que permite o que pode ou não passar no perímetro interno de comunicação da organização.Roteadores;Firewalls;
Obrigatoriedade de identificação de usuário, que permite ou não a utilização de um computador ou sistema;
Uma senha (password) , devido ao seu caráter pessoal e intransferível, serve para autenticar o usuário, ou seja, é utilizada no processo de verificação da identidade do usuário.
Uma boa senha deve ter pelo menos oito caracteres (letras, números e símbolos), deve ser simples de digitar e, o mais importante, deve ser fácil de lembrar.
Normalmente os sistemas diferenciam letras maiúsculas das minúsculas.EX. “pAraleLepiPedo” e “paRalElePipEdo” são senhas diferentes.
Procure misturar letras maiúsculas, minúsculas, números e sinais de pontuação.
Por exemplo, usando a frase “batatinha quando nasce se esparrama pelo chão” podemos gerar a senha “!BqnsepC”
Criptografia é a ciência e arte de escrever mensagens em forma cifrada ou em código. É parte de um campo de estudos que trata das comunicações secretas, usadas, dentre outras finalidades, para:autenticar a identidade de usuários;
autenticar e proteger o sigilo de comunicações pessoais e de transações comerciais e bancárias;
proteger a integridade de transferências eletrônicas de fundos.
Uma mensagem codificada por um método de criptografia deve ser privada, ou seja, somente aquele que enviou
e aquele que recebeu devem ter acesso ao conteúdo da mensagem.
Além disso, uma mensagem deve poder
ser assinada, ou seja, a pessoa que a recebeu deve poder verificar se o remetente é mesmo a pessoa que diz ser e ter a capacidade de identificar se uma mensagem pode ter sido modificada.
A criptografia de chave única utiliza a mesma chave tanto para codificar quanto para decodificar mensagens.
Este método é muito eficiente em relação ao tempo de processamento, ou seja, o tempo gasto para codificar e decodificar mensagens,
Tem como principal desvantagem a necessidade de utilização de um meio seguro para que a chave possa ser compartilhada entre pessoas ou entidades que desejem trocar informações criptografadas.
A criptografia de chaves pública e privada utiliza duas chaves distintas, uma para codificar e outra para decodificar mensagens.
Neste método cada pessoa ou entidade mantém duas chaves: uma pública, que pode ser divulgada livremente, e outra privada, que deve ser mantida em segredo pelo seu dono.
As mensagens codificadas com a chave pública só podem ser decodificadas com a chave privada correspondente.
O protocolo SSL provê a privacidade e a integridade de dados entre duas aplicações que estejam se comunicando pela Internet.
Isto ocorre através da autenticação das partes envolvidas e da criptografia dos dados transmitidos entre as partes.
Esse protocolo ajuda a prevenir que intermediários entre as duas pontas da comunicação tenham acesso indevido ou falsifiquem os dados sendo transmitidos.
É um método de segurança das transações efetuadas via Internet.
O standard SSL foi criado pela Netscape, em colaboração com Mastercard, Bank of América, MCI e Silicon Graphics.
Utiliza um método de criptografia por chave pública a fim de garantir a segurança da transmissão de dados na Internet. O seu princípio consiste a estabelecer um canal de comunicação protegido (calculado) entre duas máquinas (um cliente e um servidor) após uma etapa de autenticação.
O sistema SSL é independente do protocolo utilizado, que significa que pode igualmente proteger transações feitas sobre o Web pelo protocolo HTTP que conexões via o protocolo FTP, POP ou IMAP.
O protocolo TLS (Transport Layer Security) é um protocolo de segurança de rede usado para criptografar e transmitir dados HTTP e IPP (Internet Printing Protocol) por uma rede TCP/IP.
Ele é baseado e similar ao protocolo SSL (Secure Sockets Layer) desenvolvido pela Netscape.
Trata-se de um protocolo que permite um cliente (um utilizador ou mesmo uma máquina) abrir uma sessão interativa sobre uma máquina distante (servidor) a fim de enviar pacotes ou arquivos de maneira protegida:
Os dados que circulam entre o cliente e o servidor são calculados, que garante a sua confidencialidade
PGP (tm) utiliza a encriptação de chave pública para proteger e-mail e arquivos de dados.
Pretty Good Privacy (PGP) é uma aplicação do software criptográfico de alta segurança para MS-DOS, Unix, VAX / VMS, e outros computadores.
PGP permite que as pessoas para trocar arquivos ou mensagens com privacidade, autenticação e conveniência.
O padrão SET (Secure Eletronic Transactions) surgiu da iniciativa de um consórcio de empresas formado pela Visa, MasterCard, Netscape, IBM, Microsoft, GTE, SAIC, Terisa Systems e Verisign como uma alternativa para resolver os principais problemas relacionados ao comércio eletrônico.
O SET é um protocolo de segurança desenvolvido para garantir a transmissão segura de informações financeiras em redes públicas.
O Certificado Digital funciona como uma carteira de identidade virtual. Um documento eletrônico que contém dados do titular como nome,
e-mail, CPF, dois números denominados chave pública e privada, além do nome e da assinatura da AC (Autoridade Certificadora) que o emitiu
ACs são órgãos autorizados a emitir Certificados Digitais. Serpro (Serviço Federal de Processamento de Dados); CertiSign, empresa privada especializada em certificação digital; Serasa; IMESP (Imprensa Oficial do Estado de São Paulo); PRODEMG, empresa de tecnologia de informação do Governo de
Minas Gerais; Caixa Econômica Federal SINCOR (Sindicato dos Corretores de Seguros do Estado de São
Paulo).
Engenharia SocialNos ataques de engenharia social,
normalmente, o atacante se faz passar por outra pessoa e utiliza meios, como uma ligação telefônica ou e-mail, para persuadir o usuário a fornecer informações ou realizar determinadas ações. Exemplos destas ações são: executar um programa, acessar uma página falsa de comércio eletrônico ou Internet Banking através de um link em um e-mail ou em uma página, etc.
Cavalo de TróiaO cavalo-de-tróia, ou trojan-horse, é um
programa disfarçado que executa alguma tarefa maligna. Um exemplo: o usuário roda um jogo que conseguiu na Internet. O jogo secretamente instala o cavalo de tróia, que abre uma porta TCP do micro para invasão. Alguns trojans populares são NetBus, Back Orifice e SubSeven. Há também cavalos-de-tróias dedicados a roubar senhas e outros dados sigilosos.
Quebra de SenhaO quebrador, ou cracker, de senha é um
programa usado pelo hacker para descobrir uma senha do sistema. O método mais comum consiste em testar sucessivamente as palavras de um dicionário até encontrar a senha correta.
Denial Of Service (DOS)Ataque que consiste em sobrecarregar um
servidor com uma quantidade excessiva de solicitações de serviços.
É uma tentativa em tornar os recursos de um sistema indisponíveis para seus utilizadores. Alvos típicos são servidores web, e o ataque tenta tornar as páginas hospedadas indisponíveis na WWW.
Não se trata de uma invasão do sistema, mas sim da sua invalidação por sobrecarga.
Mail BombÉ a técnica de inundar um computador com
mensagens eletrônicas. Em geral, o agressor usa um script para gerar um fluxo contínuo de mensagens e abarrotar a caixa postal de alguém. A sobrecarga tende a provocar negação de serviço no servidor de e-mail.
PhreakingÉ o uso indevido de linhas telefônicas, fixas
ou celulares. No passado, os phreakers empregavam gravadores de fita e outros dispositivos para produzir sinais de controle e enganar o sistema de telefonia.
Scanners de PortasOs scanners de portas são programas que
buscam portas TCP abertas por onde pode ser feita uma invasão. Para que a varredura não seja percebida pela vítima, alguns scanners testam as portas de um computador durante muitos dias, em horários aleatórios.
SpoofingÉ a técnica de se fazer passar por outro
computador da rede para conseguir acesso a um sistema. Há muitas variantes, como o spoofing de IP. Para executá-lo, o invasor usa um programa que altera o cabeçalho dos pacotes IP de modo que pareçam estar vindo de outra máquina.
SmurfO Smurf é outro tipo de ataque de
negação de serviço. O agressor envia uma rápida seqüência de solicitações de Ping (um teste para verificar se um servidor da Internet está acessível) para um endereço de broadcast.
Usando spoofing, o cracker faz com que o servidor de broadcast encaminhe as respostas não para o seu endereço, mas para o da vítima. Assim, o computador-alvo é inundado pelo Ping.
SniffingO sniffer é um programa ou dispositivo que
analisa o tráfego da rede. Sniffers são úteis para gerenciamento de redes.
Nas nas mãos de hackers, permitem roubar senhas e outras informações sigilosas.
PhishingÉ uma forma de fraude eletrônica,
caracterizada por tentativas de adquirir informações sensíveis, tais como senhas e números de cartão de crédito, ao se fazer passar como uma pessoa confiável ou uma empresa enviando uma comunicação eletrônica oficial, como um correio ou uma mensagem instantânea.
Na prática do Phishing surgem artimanhas cada vez mais sofisticadas para "pescar" (do inglês fish) as informações sensíveis dos usuários.
Scamming Técnica que visa roubar senhas e números
de contas de clientes bancários enviando um e-mail falso oferecendo um serviço na página do banco.
Ataque de força brutaConsiste em tentar todas os possíveis
código, combinação, ou a senha até encontrar o caminho certo.
A dificuldade de um ataque de força bruta depende de vários fatores, tais como: Quanto tempo pode ser a chave? Quantos possíveis valores de cada componente
pode ter a chave? Quanto tempo vai demorar para tentar cada
chave? Existe um mecanismo que irá bloquear o
atacante, após uma série de tentativas fracassadas?
Ping Of DeathConsiste em se enviar um pacote IP com
tamanho maior que o máximo permitido (65535 bytes), para a máquina que se deseja atacar.
O pacote é enviado na forma de fragmentos (a razão é que nenhum tipo de rede permite o tráfego de pacotes deste tamanho) e quando a máquina destino tenta montar estes fragmentos, inúmeras situações podem ocorrer: a maioria das máquinas trava, algumas reinicializam, outras abortam e mostram mensagens no console, etc.
Ataque de replayForma particular de ataque em que parte de
uma transmissão de rede é gravada e reproduzida posteriormente.
Normalmente, esse tipo de ataque está associado a uma criptografia mal-estruturada.
Exemplo: um mecanismo de autenticação transmite pela rede uma credencial para um usuário. Se a credencial for codificada sempre da mesma
maneira, o atacante poderá gravar a sequência criptografada e incorporá-la em uma transmissão realizada por ele mesmo.
Sem saber a senha, ele seria capaz de conseguir acesso ao sistema.