Faculdade de Engenharia
Permanent URI for this community
Browse
Browsing Faculdade de Engenharia by Field of Science and Technology (FOS) "Engenharia e Tecnologia::Engenharia Eletrotécnica, Eletrónica e Informática"
Now showing 1 - 7 of 7
Results Per Page
Sort Options
- Arquitetura de Business Intelligence para Location Based ServicesPublication . Barros, André da Silva Mendes Pedrosa de; Amaral, Paulo Cardoso do; Silva, Tito Lívio dos SantosTendo-se verificado que segundo Kargin os Location Based Services (LBS) ainda não têm o grau de aceitação desejado e que segundo Roto e Kaasinen é necessário melhorar a experiência de utilização dos mesmos pretende-se nesta dissertação dar um contributo nesse sentido (Kargin et al., 2007), (Roto & Kaasinen, 2008). Pretende-se contribuir para a melhoria da experiência de utilização dos LBS estudando a hipótese de que a arquitetura de referência de Business Intelligence (BI) possa não servir as atuais necessidades dos LBS. Faz-se nesta dissertação uma análise da adequabilidade da arquitetura de referência de BI aos LBS partindo das necessidades dos mesmos, sintetizando-as e fazendo posteriormente uma análise ponto a ponto. Tendo sido feita a análise e sido encontrados aspetos em que a arquitetura de referência de BI precisa de ser alterada para que melhor responda às necessidades dos LBS faz-se uma proposta de arquitetura de BI que dê um contributo no sentido de melhor responder às necessidades dos mesmos. A elaboração da proposta de arquitetura, parte dos aspetos identificados na análise em que a arquitetura de referência falha na resposta aos requisitos dos LBS e estabelece como meta a solução dessas falhas. No decorrer desta dissertação pôde concluir-se que a arquitetura de referência de BI tem dois aspetos em que falha na resposta às necessidades dos LBS, são eles, a gestão contextual do utilizador em tempo real e a resposta, também em tempo real, aos pedidos do utilizador dados os desafios que advêm da utilização em mobilidade deste tipo de serviço e da necessidade que surge de processar os dados de posicionamento em tempo real. Com a proposta de arquitetura desenvolvida nesta dissertação dá-se, numa solução de compromisso, através de alterações na arquitetura de referência de BI, um contributo no sentido de melhor responder às necessidades dos LBS.
- O impacto das crenças individuais dos profissionais na cultura de segurança da informação nas organizações : estudo no sector da água/saneamento em PortugalPublication . Silva, Maria Helena Ferreira da Cruz e; Silva, Tito SantosEste trabalho realizado no âmbito da finalização do mestrado em Segurança em Sistemas de Informação pela Faculdade de Engenharia da Universidade Católica Portuguesa, debruça-se sobre a temática da cultura organizacional em segurança da informação, segundo um dos pilares que é considerado de enorme relevância nas organizações – “o factor humano”, no sector empresarial das Águas e Saneamento em Portugal. Deste modo, partindo das questões de apoio “Q1-Quais as crenças individuais dos profissionais na cultura da segurança da informação?” e “Q2 – Qual o impacto das crenças individuais na cultura de Segurança da Informação?”, este estudo, de carácter exploratório e descritivo, tem como objectivos: 1. Investigar quais os Factores Motivadores (FM), Inibidores (FI), Críticos de Sucesso (FCS) e de Boas Práticas (FBP) que dão suporte à adopção/implementação de um Sistema de Gestão de Segurança da Informação (SGSI) nas organizações do sector de Águas e Saneamento em Portugal, tendo em conta a perspectiva do próprio (PP) e a perspectiva do próprio face à organização (PPO). 2. Comparar as duas perspectivas por meio do cálculo do nível médio de importância para cada elemento dos factores acima referidos. 3. Analisar os efeitos obtidos através do cruzamento do nível médio de importância dos elementos dos diferentes factores (FM, FI, FCS, FBP) com o mapeamento segundo a orientação do ISACA [1] que indica que «do ponto de vista da governação há seis principais resultados que o programa da segurança deverá trabalhar para atingir, a saber: 1) alinhamento estratégico; 2) gestão de risco; 3) entrega de valor; 4) gestão de recursos; 5) gestão de desempenho; e 6) garantia da integração de processos». A necessidade evidente da utilização da “informação” como um recurso estratégico nas organizações em geral e deste sector, em particular, bem como a imprescindibilidade de abordar a “gestão eficaz e eficiente dos recursos hídricos” de uma forma holística, tendo por base a “gestão da segurança” através de uma abordagem de avaliação de risco, em que o recurso “informação” deverá ser considerado, em paralelo com o recurso “água”, como factor de alinhamento à estratégia da organização, de forma a contribuir para a resolução de problemas, criação de valor e garantia da continuidade dos serviços em situação de contingência, coloca o “factor humano” indubitavelmente como um ponto-chave, pelo que “criar uma cultura de segurança” nas organizações torna-se num desafio para as mesmas, devendo ser um foco da atenção da governação corporativa, bem como um objectivo prioritário da governação da segurança da informação nas organizações. Assim, no presente estudo identificou-se primeiramente os Principais Conceitos-Chave que possibilitaram a realização da revisão bibliográfica sobre o Estado da Arte desta problemática, onde se procurou encontrar respostas metodológicas para a abordagem da avaliação da cultura organizacional em segurança da informação nas organizações, mas também descobrir contributos que auxiliassem na execução deste trabalho. Seguidamente, descreve-se o trabalho realizado expondo o racional, detalhando os objectivos e apresentando a abordagem efectuada, tendo por base a elaboração e divulgação de um questionário que serviu de apoio ao «Diagnóstico da Cultura em Segurança da Informação – Sector: Água e Saneamento em Portugal», cujo público-alvo foram os gestores de topo, de nível intermédio, das TI, consultores das TI, gestores/funcionários de segurança e funcionários das organizações neste sector, tais como entidades gestoras, entidades reguladoras, etc. … Depois, revela-se o detalhe do tratamento e análise dos dados obtidos, designadamente a caracterização da amostra, abordando os quatro sectores (FM, FI, FCS e FBP) segundo a PP e a PPO, assim como a análise comparativa entre as duas perspectivas e, ainda, a análise resultante do mapeamento dos elementos dos factores segundo orientação do ISACA [2], mostrando-se os respectivos resultados. Finalmente, tecem-se as conclusões e apresentam-se notas finais.
- A importância dos controlos técnicos preventivos e detetivos nas redes de dados da Administração PúblicaPublication . Oliveira, Ricardo João Duque; Silva, Tito SantosA evolução tecnológica e a constante adequação do “negócio” dos organismos públicos às Tecnologias de Informação e Comunicação trazem desafios ambiciosos. O facto de os seus processos serem, cada vez mais, suportados nas redes e nos Sistemas de Informação, abre portas a riscos que podem comprometer ativos críticos. As necessidades de interoperabilidade entre sistemas de organismos públicos, ou entre estes e sistemas de entidades externas, são também crescentes. Por outro lado, o descontentamento social generalizado tem promovido o aumento dos ataques especificamente dirigidos às entidades públicas. Todos estes fatores reforçam assim a pertinência da reflexão sobre a temática da segurança na Administração Pública. É por isso essencial existir no Estado, de forma normalizada, mecanismos de prevenção e deteção de ameaças, capazes de conter eficazmente o risco, sem que para isso se tenha que afetar consideravelmente os orçamentos dos ministérios. Após uma contextualização sobre os conceitos envolvidos, a dissertação apresentará um levantamento de ameaças atuais inerentes às redes de dados, exemplificando-as com eventos recentes. Serão reconhecidas vulnerabilidades genéricas existentes nas redes dos organismos e será resumido algum do trabalho já efetuado neste âmbito. Serão caracterizados controlos técnicos preventivos e detetivos considerados essenciais, justificando-se a sua importância e exemplificando-se a sua existência com produtos open-source. Será proposto um modelo de segurança, recomendando-se o posicionamento estratégico desses controlos em diferentes zonas de rede, consoante um conjunto de critérios. Serão apresentadas conclusões e identificadas vantagens da implementação do modelo, sugerindo-se ainda a continuidade destas melhorias em trabalhos futuros.
- Migração e segurança em plataformas cloud computingPublication . Silva, Roberto Carlos Gomes da; Silva, Tito Lívio dos SantosO paradigma cloud computing é cada vez mais uma tecnologia presente nas infraestruturas das organizações e vista por muitos como um marco no que respeita às tecnologias de informação. De facto, cloud computing representa mais uma mudança de paradigma na forma como os sistemas são implementados. Mas, de uma forma geral, cloud computing é também sinónimo de insegurança, que aos poucos se vai alterando. Ao migrar para um ambiente cloud, uma organização relega para o fornecedor do serviço o controlo sobre os seus dados e sistemas, fomentando um sentimento de insegurança pela perda de controlo inerente. As organizações têm que ter um nível muito elevado de confiança nos fornecedores cloud, antes de decidir confiar-lhes a sua informação confidencial ou regulada por normas ou leis. Neste trabalho propomos uma análise à segurança em ambientes cloud, riscos, vantagens e desvantagens, terminando com uma proposta de ferramenta de trabalho em migração para infraestruturas cloud computing, mantendo a segurança, privacidade e disponibilidade de sistemas, dados e informação.
- Planeamento de estratégias de salvaguarda e reposição de dados/informação baseado em algoritmo de optimização de requisitos multidimensionaisPublication . Fernandes, Luís Miguel Ferreira; Silva, Tito Lívio dos SantosEstudos recentes publicados em revistas da especialidade demonstraram que 50% de todas as companhias que sofreram acidentes graves e que não recuperaram no espaço de 10 dias úteis, nunca recuperaram financeiramente, e 93% das empresas sem um plano de Continuidade de Negócio e Recuperação de Desastres (Disaster Recovery/Business Continuity), ficam fora do negócio no espaço de 5 anos após um desastre (perda relevante de dados) grave. É, portanto, natural que a Continuidade de Negócio seja um tema cada vez mais presente na agenda da maioria dos decisores das organizações, independentemente da sua natureza (privadas vs. organismos públicos), dimensão e actividade. O receio generalizado relativamente à ocorrência de situações imprevistas, como catástrofes naturais ou algum tipo de ataque informático, ou outro tipo de incidências mais banais mas com uma probabilidade de ocorrência relativamente mais elevada, como avarias de equipamentos ou incêndios, faz com que assegurar a continuidade dos processos de negócio, independentemente do tipo de incidente, seja uma preocupação fundamental. Esta preocupação crescente surge como um objectivo não apenas tecnológico mas, desejável e principalmente, de negócio. Em organizações (hoje praticamente todas) centradas na informação, a chave para a sobrevivência a uma situação classificada como “desastre” é simultaneamente preventiva (proteger a informação) e reactiva (conseguir recuperá-la em tempo útil). Como corolário, temos então uma dependência de uma convergência de acções, nomeadamente: - Conhecer os principais negócios da organização e os principais factores de risco ao nível do negócio que afectam a organização, bem como o impacto ao nível das receitas - Perceber que processos de negócio proteger e de que tipo de desastres/ameaças podem estar sujeitos - Como proteger e respectivo grau de exposição ao desastre/ameaça - Validar o estado de preparação da organização para responder a uma situação de perda de informação e assim manter a capacidade de continuidade de negócio Pretende-se com este trabalho criar uma Framework que suporte superiormente as organizações com dependências desta natureza, proporcionando eficiências significativas nos esforços de salvaguarda e reposição de dados nomeadamente, na gestão das janelas temporais, na utilização de soluções tecnológicas (optimização da utilização de recursos, tarefas e operações de requisitos multidimensionais (servidores e robots, salvaguarda e reposição de informação, por exemplo) e, no limite, mitigando a necessidade destas estarem dotadas de recursos humanos especializados no tema e toda a envolvente financeira necessário. Neste trabalho obtiveram-se os seguintes resultados: - Implementação de uma bancada de ensaios (ambiente de trabalho, gerador, simulador e visualizador de Gantt) - O escalonamento automático - A eficácia e eficiência de um conjunto limitado de abordagens algorítmicas para o cenário objectivo - Elaboração de planos de salvaguarda e reposição devidamente optimizados com representação de Gantt Descreve-se de forma sumária os resultados tangíveis: - Redução de custos no recurso recorrente a especialistas de Continuidade de Negócio e Recuperação de Desastres (CN/RD) - Melhor gestão da janela global de salvaguarda e reposição - Permitir ao técnico (de salvaguarda e reposição) ter disponíveis os planos de salvaguarda e reposição mediante uma optimização de requisitos, recursos, operações e tarefas - Possibilidade de executar simulações em sistemas de reais e medição de impacto de alterações recentes nos sistemas de informação ou de suporte à salvaguarda e reposição, assim como a identificação antecipada de constrangimentos futuros - Ordenação dos melhores desempenhos com sucesso na procura de soluções através da seguinte demonstração de resultados:
- Segurança informática : vulnerabilidades aplicacionaisPublication . Silva, Tiago Miguel Brito da; Silva, Tito Lívio dos SantosCom o aparecimento dos computadores e com a atual dependência da população relativamente a estas máquinas, surge a necessidade de melhorar a segurança dos sistemas. Há alguns anos atrás que as vulnerabilidades por buffer overflow e DLL injection são consideradas críticas, pois são utilizadas muitas vezes para atacar computadores em rede. Um atacante anónimo, ao realizar um ataque deste tipo, procura obter acesso ilegal a um computador, muitos destes ataques derivam da aplicação de engenharia social. A aliança entre o acesso ilegal a um sistema por via de uma vulnerabilidade com a utilização da Engenharia Social, tem como objectivo a criação de um ataque híbrido. A fim de poder proteger um sistema, é necessário identificar as potenciais ameaças e por conseguinte conhecer e prever a maneira de proceder do possível atacante. Perante este cenário, foi necessário criar proteções que minimizem o risco de ataque muitas vezes partindo de formação dada aos utilizadores e estabelecer um conjunto de critérios que avaliem um sistema, quanto à sua confidencialidade, integridade e disponibilidade. Para provar que as novas funcionalidades de segurança dos atuais sistemas operativos são eficientes contra algumas destas vulnerabilidades, procurou-se neste trabalho construir um malware que testasse essas mesmas funcionalidades. Este programa engloba um ataque por via da injeção de uma DLL, seguido de um escalamento de privilégios, culminando com roubo de informação do utilizador. Na metodologia proposta procurou-se verificar em que condições os sistemas de proteção dos sistemas operativos cedem e permitem a instalação do malware. Através da metodologia proposta foi possível verificar os sistemas operativos que conseguem impedir o ataque. De modo a impedir e a melhorar a mais os sistemas operativos atuais é necessário novas formas de desenvolver software seguro, baseadas na aplicação das teorias existentes, como na adopção de um processo de desenvolvimento que considere os requisitos de segurança como parte integral do projeto de construção de software. Este trabalho espera-se contribuir para a melhoria dos sistemas de segurança dos sistemas operativos.
- The power of credit card numbers and enhanced CVVsPublication . Oliveira, Valentim Vieira de; Silva, Tito Lívio dos SantosO roubo de informação respeitante a cartões de crédito é uma ameaça ao comércio electrónico. Os sistemas de pagamento introduziram o conceito do CVV2 como forma de mitigar o risco baseado no princípio de que estes valores não deveriam ser armazenados uma vez completa a transação. Sistemas, comunicações e bases de dados comprometidos resultam na captura ilícita desta credencial de autenticação frustrando assim o seu propósito inicial. Este estudo propõe a criação de CVVs dinâmicos (enhanced CVVs) como forma de contrariar estes ataques. Desta forma, o compromisso de todos os elementos presentes numa ou mais transações não são suficientes para garantir o sucesso na autenticação de transações subsequentes. É essencial que qualquer novo método de pagamento tome em conta os factores determinantes para que seja aceite por todas entidades participantes. Este estudo propõe dois métodos de CVVs dinâmicos: Matriz de CVVs e CVVs Longos. Os métodos propostos baseiam-se na infraestrutura atual de pagamentos baseados em cartões, com o objectivo de mitigar as maiores ameaças atuais, tendo o cuidado de manter o delicado equilíbrio dos factores determinantes para todos os participantes. Ambos os métodos são analisados na vertente da segurança de forma a avaliar, e comparar, o nível de resistência perante situações de compromisso de transações. Questões relativas à implementação e à migração são igualmente analisadas de forma a determinar os impactos respeitantes à adoção dos métodos propostos.