Criptografia

Criptografia pode ser vista como um conjunto técnicas para que a informação seja transformada de sua forma original uma forma ilegível.

Hein?! Mas, por que deixar a informação ilegível?! 😯

Sim, muitas vezes, durante uma comunicação, a informação deve ser “protegida” para que se garanta a segurança na troca entre as mensagens.

Por exemplo, no envio de usuário/senhas em um formulário de login, enviar a senha em “texto plano” e legível do remetente (usuário) ao destinatário (servidor web), seria uma boa prática de segurança? – Com certeza, não. A criptografia vem com o intuito de “embaralhar” essa senha para que terceiros não consigam “interceptar” essa senha antes da chegada ao destinatário. 😎

Antes de mais nada precisamos entender alguns conceitos…

Existem dois tipos de chaves criptográficas: simétricas e assimétricas.

Iremos entendê-las melhor logo adiante…

Toda informação que é enviada em texto plano (plaintext) é considerada uma informação não cifrada.

“Essa mensagem não está cifrada”. Eis um exemplo de uma mensagem em texto plano, não cifrada. 😛

Já o processo de transformar texto plano em código “cifrado” é chamado de Cifragem, o processo inverso, de transformar o código cifrado em texto plano é chamado de Decifragem.

“Essa mensagem é um exemplo” – Informação
“3b9cef82d44dbf2942b106a19625d6f5” – Mensagem cifrado (usando algoritmo de criptografia md5)
“Essa mensagem é um exemplo” – Mensagem descriptografada. 😎

A criptografia tem 4 propriedades (objetivos básicos):

  • Confidencialidade – deve haver sigilo entre as partes (privacidade)
  • Integridade – a informação não pode ser alterada
  • Autenticação – provar que o remetente é autorizado
  • Não-repudio – o remetente não pode negar que é o autor da mensagem

 

Alguns conceitos relacionados a criptografia:

 

A esteganografia é o estudo das técnicas para esconder mensagens dentro de outra. É um ramo da criptografia que “camufla” as mensagens com o objetivo de mascarar o verdadeiro sentido.

Fonte: https://slideplayer.com.br/slide/1749245/

Também é possível utilizar esteganografia em arquivos de mídia, como imagens, áudios, etc. Um exemplo de site para “esconder mensagens” dentro de imagens é o:  https://stylesuxx.github.io/steganography/ 
Faça o teste e divirta-se! 🙂

Cifra de César é uma outra forma de criptografia, se baseia no deslocamento dos caracteres do alfabeto.

Cripoanálise: É responsável por traduzir para texto claro.

É basicamente a “arte” de obter textos claros a partir de textos criptografados. Muitas vezes utilizando até amostras de textos claros e textos cifrados para realizar 

Ataque de Força Bruta:  Neste tipo de ataque, um atacante experimenta vários tipos de chaves possíveis até conseguir uma tradução para um texto cifrado.

Algoritmos de Criptografia 

Os algoritmos de criptografia são responsáveis pela utilização de chaves criptográficas para as operações de cifragem e decifragem.

As chaves criptográficas representam um “segredo” que é compartilhado entre duas ou mais partes para manter um canal confidencial e seguro de comunicação.

Algoritmos de Chave Simétrica

Os algoritmos de chave simétrica utilizam chaves “relacionadas” tanto para a cifragem quanto para a “decifragem” das informação. É um modelo de algoritmo mais simples, pois existe uma única chave para realizar as operações.

Em poucas palavras, a mesma chave é usada para criptografar e descriptografar as mensagens.

Fonte: http://www.macoratti.net/Cursos/Cripto/net_cripto4.htm

Algoritmos de Chave Assimétrica

Já os algoritmos de chave assimétrica trabalham com chaves diferentes para a cifragem e decifragem. Essas chaves distintas são chamadas de chave pública e chave privada.  Neste tipo de algoritmo, a chave pública do destinatário da mensagem é usada pela remetente para cifrar a mensagem, quando o remetente recebe essa mensagem cifrada ele se utiliza da sua própria chave privada para decifrar a mensagem recebida.

Vamos simular a seguinte situação: Joãozinho e Maria querem trocar mensagens na internet por meio de um algoritmo de criptografia assimétrica. Joãozinho prepara a seguinte mensagem: “Bom dia, Maria!”, mas antes de enviá-la, Joãozinho utiliza a chave pública de Maria para “cifrar” essa mensagem, depois disso envia a mensagem para Maria.
Ops, Maria acaba de receber uma mensagem “cifrada” do Joãozinho, mas como Joãozinho utilizou a chave pública de Maria ela será capaz de decifrar esta mensagem utilizando a sua própria chave privada. Depois de decifrar, Maria poderá ver a seguinte, mensagem: “Bom dia, Maria!”.
Se Maria desejar responder ao Joãozinho, o mesmo processo será refeito.

Neste sentido fica claro compreender que a única chave que deve ser divulgada é a chave pública. Joãozinho e Maria não podem divulgar as suas chaves privadas. Imagine se um “interceptor” obtivesse a chave privada de Maria… Ele poderia “decifrar” a mensagem de Joãozinho antes mesmo do que a própria Maria. 

Fonte: https://www.gta.ufrj.br/grad/04_1/tcpa/Page9.html

 

Cobit 5 (Resumo)

Antes de entender o COBIT 5 precisamos primeiro entender o que é Governança de TI:

A governança de TI tem como principal objetivo alinhar a TI aos requisitos de negócios, ou seja, quando pensamos em Governança de TI, pensamos no planejamento estratégico de uma organização para a área de TI. (Como alcançar lucros e gerar valor aos clientes por meio da TI? 🙂 )

COBIT 5:

– É um framework  (guia de boas práticas) voltado para a Governança e Gerenciamento de TI na organização;
– Ajuda as empresas a criar valor por meio da Tecnologia da Informação.;
– Foi desenvolvido pela ISACA (Information System Audit and Control Association);
– O framework é gratuito e está disponível no site da ISACA, os itens complementares para o COBIT5 é que são pagos, os chamados Enabling Processes;

Governança x Gerenciamento

Um dos pontos do COBIT5 é a distinção entre a função da Governança e do Gerenciamento em uma organização.

Para o COBIT5:

Governança: As necessidades e condições e opções das partes interessadas (Stakeholders) são avaliadas para determinar e alcançar os objetivos empresariais. As responsabilidades da Governança cabe a alta direção da empresa, na maioria das vezes.

Gerenciamento: “Sabe as determinações e objetivos empresariais determinados pela Governança?! – São executadas no Gerenciamento! ”
O gerenciamento (ou gestão) planeja, executa e monitora as atividades estabelecidas e alinhadas com a Governança. As responsabilidades do gerenciamento cabem a gerência executiva, com a liderança do CEO da organização.

Princípios do COBIT5

O Cobit5 é composto por 5 princípios básicos.

1. Atendendo as necessidades dos stakeholders (Meeting Stakeholders Needs);
2. Compreender

toda a empresa / Cobrindo a empresa de ponta-a-ponta (Covering the Enterprise End-to-End)
3. Implantar / Aplicar um framework único e integrado (Applying a Single Integrated Framework)
4. Permitir uma abordagem holística (Enabling a Holistic Approach)
5. Separar a Governança da Gestão/Gerenciamento (Separating Governance from Management)

Imagem relacionada

Vamos entender cada um dos 5 princípios?! Vamos lá…

1. Atendendo as necessidades dos stakeholders:

Neste primeiro princípio, o COBIT diz que um dos objetivos da Governança é a criação de valor para os stakeholders

Imagem relacionada
Fonte: COBIT 5
Ficheiro:Objetivos Corporativos COBIT5.jpg
Objetivos Coorporativo. Fonte: COBIT 5

Os stakeholders da organização podem enxergar o valor de diferentes formas. Com isso, o COBIT 5 introduz a cascata de metas (COBIT 5 Goals Cascade), que diz respeito as necessidades dos stakeholders no que se refere às metas do negócio e da própria TI.

Objetivos de TI. Fonte: COBIT 5

2. Cobrindo a empresa de ponta-a-ponta.

Neste segundo princípio o COBIT 5 aborda a governança e a gestão de TI de ponta-a-ponta na organização, para isso é necessário que aconteça a integração da governança de TI com a governança corporativa e que aconteça a a cobertura e tratamento de todos os serviços de TI  e processos de negócios internos e externos.

Governança de Ponta-a-Ponta. Fonte: COBIT 5

Até os próximos dias será finalizado o resumo dos outros princípios, combinado?! 🙂

ITIL v3 (Resumo – Parte I)

O que é a ITIL?

Sigla para Information Tecnology Infrastructure Library (Biblioteca de Infraestrutura de TI). Administrada pela OGC (Inglesa).

Tá… Mas, qual é o objetivo da ITIL?

OPERAÇÃO e GESTÃO  da infraestrutura de TI da organização. ENTREGAR VALOR AO CLIENTE ATRAVÉS DOS SERVIÇOS DE TI.

A ITIL reúne as melhores práticas de Gerenciamento de Serviços de TI.. “Qual é a melhor maneira de gerenciar os serviços de TI de uma empresa?” – Seguindo as práticas presentes na ITIL.

Como a ITIL é dividida?

A ITIL é dividida em 5 livros: Estratégia de Serviço, Desenho de Serviço, Transição de Serviço, Operação de Serviço e Melhoria de Serviço Continuada.

Resultado de imagem para itil divisão

Mais sobre a ITIL

  • A abordagem da ITIL está dividida em um ciclo de vida; Você paga para ter os livros da ITIL,  mas não precisa pagar para IMPLANTAR a ITIL na organização;

  • A ITIL não é uma metodologia. ITIL fiz o que fazer, não como fazer.

  • A ITIL está alinhada com a ISO/IEC 20000 (que trata do gerenciamento de qualidade de serviços de TI

 

Alguns termos importantes:

  • Serviços de Ti: meio para entregar valor aos clientes através de resultados em Tecnologia da Informação. Assegurar resultados por meio de serviços.

  • Gerenciamento de Serviços de TI: conjunto de habilidades para fornecedor a entrega de valor aos clientes através dos serviços de TI

  • Provedor de Serviço de TI: fornecer serviços de TI para clientes do negócio. Pode ser interno (de dentro da organização, funcionários) ou externo (de fora da organização. ex: provedor de internet, terceirizada de manutenção de computadores)

  • Função: conjunto de pessoas e recursos que realizam um ou mais processos / atividades.

  • Processo: conjunto de atividades que produzem uma saída para gerar valor aos clientes. Os processos irão compor o ciclo de vida do produto.

  • Ativo: qualquer recurso ou habilidade de um provedor de serviço que contribui em um serviço. (software, informações, conhecimentos, gerência, processo)

E agora… O mais importante, o Ciclo de Vida do serviço

Como é possível ver os estágios de um serviço? – Através do Ciclo de Vida de um serviço é possível ver os detalhes desde a concepção até o encerramento de um serviço.

Os estágios do ciclo de vida de um serviço, segundo a ITIL, são: Estratégia do Serviço, Desenho de Serviço, Transição de Serviço, Operação de Serviço e Melhoria Contínua de Serviço.

PMBOK 5 (Resumo – Parte I)

É um guia que possui boas práticas para o gerenciamento de projetos.

Quero criar um projeto… Qual guia eu consulto? – O pmbok 🙂

O que é um projeto?

  • Um projeto precisa lançar um produto/serviço/resultado EXCLUSIVO/ÚNICO (esforço temporário).
  • Projeto tem data de inicio e fim bem definidas  (PROJETO TEM DATA PARA ACABAR E COMEÇAR!!! DIFERENTE DAS OPERAÇÕES CONTINUADAS)
  • É diferente das operações contínuas

    Mas, como gerenciar um projeto?
    Eu preciso aplicar: Conhecimentos, habilidades, ferramentas e técnicas nas atividades de um projeto.

    Sim, mas quem é a figura do gerenciamento de projetos?

– O GERENTE DE PROJETOS
ele precisa ter algumas competências: CONHECIMENTO, DESEMPENHO, PESSOAL

Beleza, porém além da gerência de projetos temos a GERÊNCIA DE PROGRAMAS.

Um PROGRAMA pode ser definido como um CONJUNTO DE PROJETOS para que esses projetos não sejam gerenciados individualmente.

O PMBOK também traz o GERENCIAMENTO DE PORTFÓLIOS

Portfólios são CONJUNTOS DE PROJETOS E/OU PROGRAMAS para FACILITAR o gerenciamento eficaz! TUDO VISANDO OS OBJETIVOS ESTRATÉGICOS DO NEGÓCIO!!

Certo, professor… Mas em qual local de uma empresa serão gerenciados os projetos? – PMO

O local será o ESCRITÓRIO DE PROJETOS, ou PMO, local que vai dar “apoio” e será um “centro de expertise” do gerente e da equipe do projeto.  NÃO SE PREOCUPA COM SÓ UM PROJETO, PROCURA ESTAR SEMPRE EVOLUINDO PARA OS NOVOS PROJETOS!
Tipos de PMO:
 – de suporte (apenas para atender dúvidas);
– de controle (além de dar suporte, pode cobrar);
– diretivo (assume o controle total do projeto).

Peraí! E quem são os Stakeholders?!

É qualquer pessoa envolvida com o projeto (clientes, usuários, patrocinador, gerentes, escritório, etc).
obs: CONCORRENTES NÃO FAZEM PARTE 

E o que seria o VALOR DO NEGÓCIO?

É o valor total do negócio, em relação a tudo mesmo… Em outros termos seria a soma dos elementos tangíveis e intangíveis. (Ativos, patrimônio, reputação e reconhecimento)

E os tais do Ciclo de Vida do Produto e do Projeto?!

O ciclo de vida do projeto traz as fases, sequenciais, e que as vezes podem se sobrepor uma sobre a outra. Nome e número das fases são determinadas pelas necessidades da organização.
(INICIAR -> ORGANIZAR -> EXECUTAR -> ENCERRAR PROJETO).

Os custos no ciclo de vida podem ir mudando, geralmente pequeno no início, aumentando durante e diminuindo novamente no fim.

Os riscos no projeto podem ser maiores no início e ir diminuindo. 

O custo para mudar quase no fim do projeto é bem maior! “Imagine mudar o projeto quase no fim do mesmo!” hehehe, agora é tarde!

NEM TODO PROJETO RESULTA NO DESENVOLVIMENTO DE UM PRODUTO!! PODE SER APENAS PARA A ATULIZAÇÃO DE PRODUTO, ENTRE OUTROS.