DISSERTAÇÃO Wilson Flávio Rodrigues.pdf

Pós-Graduação em Ciência da Computação
WILSON FLÁVIO RODRIGUES
ANÁLISE DOS PROCEDIMENTOS DE BACKUP
DOS INSTITUTOS FEDERAIS
Universidade Federal de Pernambuco
posgraduacao@cin.ufpe.br
www.cin.ufpe.br/~posgraduacao
RECIFE
2017

Wilson Flávio Rodrigues
ANÁLISE DOS PROCEDIMENTOS DE BACKUP DOS INSTITUTOS
FEDERAIS
Dissertação apresentada como requisito
parcial para a obtenção do título de
Mestre, pelo Programa de Pós-Graduação
em Ciência da Computação do Centro de
Informática da Universidade Federal de
Pernambuco
Orientador: Fernando da Fonseca de
Souza, PhD
RECIFE
2017

Catalogação na fonte
Bibliotecária Monick Raquel Silvestre da S. Portes, CRB4-1217
R696a Rodrigues, Wilson Flávio
Análise dos procedimentos de backup dos institutos federais / Wilson Flávio
Rodrigues. – 2017.
139 f.:il, fig., tab.
Orientador: Fernando da Fonseca de Souza.
Dissertação (Mestrado) – Universidade Federal de Pernambuco. CIn,
Ciência da Computação, Recife, 2017.
Inclui referências e apêndices.
1. Banco de dados. 2. Segurança de dados. I. Souza, Fernando da
Fonseca (orientador). II. Título.
025.04 CDD (23. ed.) UFPE- MEI 2017-163

Wilson Flávio Rodrigues
Análise dos procedimentos de backup dos Institutos Federais
Dissertação apresentada ao Programa de Pós-
Graduação em Ciência da Computação da
Universidade Federal de Pernambuco, como
requisito parcial para a obtenção do título de
Mestre Profissional em 13 de junho de 2017.
Aprovado em: ___/___/______.
BANCA EXAMINADORA
__________________________________________
Prof. Fernando da Fonseca de Souza
Centro de Informática / UFPE
(Orientador)
__________________________________________
Profª. Aida Araújo Ferreira
Universidade Federal Rural de Pernambuco
__________________________________________
Profª. Maria Lencastre Pinheiro de Menezes Cruz
Universidade de Pernambuco
13 06 2017

AGRADECIMENTOS
Em primeiro lugar, agradeço a Deus, por me guiar por toda essa caminhada, me
dando forças para continuar seguindo em frente.
Agradeço à minha querida e amada esposa, Sonia e as minhas amadas filhas,
Camille e Beatriz, pela paciência e compreensão nos meses dedicados
intensamente a este trabalho.
Agradeço aos amigos, Daniel e Santini, pelo apoio e pela parceria desses vários
meses em que convivemos e dividimos o mesmo espaço em harmonia e sempre um
incentivando ao outro. Agradeço especialmente a meu orientador, Prof. Fernando da
Fonseca de Souza, pela sua paciência, sabedoria e simplicidade na forma de
conduzir este trabalho, um exemplo de pessoa e profissional.
Por fim, agradeço a todos os professores e amigos que contribuíram de alguma
forma, direta ou indiretamente, para a execução deste trabalho.

“Talvez não tenha conseguido fazer o
melhor, mas lutei para que o melhor fosse
feito. Não sou o que deveria ser, mas
Graças a Deus, não sou o que era antes”.
(Marthin Luther King)

RESUMO
A motivação para esta pesquisa surgiu justamente da observação do grande
volume de informações que as instituições de ensino armazenam e manipulam a
cada dia. Para evitar que as atividades desempenhadas nessas instituições sejam
seriamente comprometidas, se faz necessário prover meios que possam garantir que
as informações continuarão disponíveis independentemente do que venha a ocorrer.
Nesse contexto, este trabalho visa mapear na rede dos Institutos Federais os
aspectos referentes à segurança da informação com o foco nas ferramentas usadas
para fazer as cópias de segurança (backup), possibilitando identificar deficiências ou
falhas no processo de backup e restauração das informações. Por meio das
informações coletadas com o questionário respondido pelos Institutos Federais,
observou-se que 65,9% dos respondentes não realizam a documentação dos
Backups e 65,2% não documentam os testes de restauração. Desta forma, este
trabalho propõe o desenvolvimento de um sistema protótipo a fim de melhorar o
processo de documentação do backup, além de permitir verificar por meio de um
questionário acessível pelo sistema protótipo, saber em que nível o backup se
enquadra (ruim, regular, bom ou ótimo) de acordo com as recomendações da norma
ISO 27002, possibilitando, assim, melhorar o processo do backup, adequando às
boas práticas recomendadas pela norma. O sistema protótipo obteve uma boa
aceitação conforme avaliações feitas pelos usuários dos Institutos Federais de Santa
Catarina, os quais participaram dos testes e avaliação do protótipo por meio do
questionário de satisfação, mostrando-se viável sua utilização no âmbito dos
Institutos Federais.
Palavras-chaves: Segurança. Documentação. Informações. ISO 27002.
Institutos federais.

ABSTRACT
The motivation for this research came precisely from observing the great
amount of information that educational institutions store and manipulate every day. In
order to avoid that the activities carried out by such institutions be seriously
compromised, it is necessary to provide means to ensure that information may
continue available no matter what happens. In this context, this work aims at
mapping the aspects of information security in the Federal Institutes' network with a
focus on the tools used to perform backups, making it possible to identify deficiencies
or failures in the process of information backup and restoration. Through the
information collected with the questionnaire answered by the Federal Institutes, it
was observed that 65.9% of the respondents do not perform the documentation of
the backups and 65.2% do not document the restoration tests. In this way, we
propose the development of a prototype system in order to improve the backup
documentation process, in addition to verifying through a questionnaire accessible by
the prototype system, to which extent backup fits in (Bad, Regular, Good or Optimal)
in accordance with the recommendations of the ISO 27002 standard, thus making it
possible to improve the backup process, adapting such a process to the best
practices recommended by the standards. The prototype system obtained a good
acceptance according to the evaluations made by the users of the Federal Institutes
of Santa Catarina, in which they participated in the tests and evaluation of the
prototype through the questionnaire of satisfaction, highlighting its adequacy to the
Federal Institutes.
Keywords: Safety. Documentation. Information. ISO 27002. Federal institutes

LISTA DE FIGURAS
Figura 3.1 - Exemplo de backup Full.........................................................................31
Figura 3.2 – Exemplo de backup Diferencial.............................................................31
Figura 3.3 – Exemplo de backup Incremental ...........................................................32
Figura 5.1 – Institutos Federais Respondentes.........................................................48
Figura 6.1 – Ilustração do Funcionamento do Protótipo............................................57
Figura 6.2 –Diagrama sumarizado do MVC ..............................................................58
Figura 6.3 – Arquitetura Utilizada..............................................................................59
Figura 6.4 – Diagrama de Casos de Uso ..................................................................67
Figura 6.5 – Tela configuração inicial........................................................................82
Figura 6.6 – Tela de login..........................................................................................83
Figura 6.7 – Tela principal do sistema e suas divisões .............................................84
Figura 6.8 – Tela principal do sistema – Parte 1 .......................................................84
Figura 6.9 – Tela principal do sistema – Parte 2 .......................................................84
Figura 6.10 – Tela principal do sistema – Parte 3 .....................................................85
Figura 6.11 – Tela principal do sistema – Parte 4 ....................................................85
Figura 6.14 – Ordem de execução dos processos....................................................87
Figura 6.15 – Tela de cadastro do servidor Bacula...................................................87
Figura 6.16 – Tela de cadastro do acesso ao banco de dados.................................88
Figura 6.17 – Tela processo em execução ...............................................................89
Figura 6.18 – Telas cliente cadastrado e documentação gerada..............................90
Figura 6.19 – Tela relatório da documentação gerada em pdf..................................91
Figura 6.20 – Informação do armazenamento...........................................................91
Figura 6.21 – Informação do log de restauração.......................................................92
Figura 6.22 – Informação do log do backup ..............................................................92
Figura 6.23 – Tela formulário do questionário...........................................................93
Figura 6.24 – Tela formulário do questionário – parte 2............................................93
Figura 6.25 – Imagem ilustrativa do enquadramento do backup...............................96
Figura 6.26 – Tela relatório de conformidade gerado................................................96
Figura 6.27 – Tela relatório de conformidade em PDF (parte1) ................................97

Figura 6.28 - Tela relatório de conformidade em PDF (parte 2)................................97
Figura 7.1 – Campi e cargos dos respondentes......................................................101
Figura 7.2 – Resposta à Pergunta: Utiliza algum software para fazer a documentação
do backup?..............................................................................................................102
Figura 7.3 – Resposta á Pergunta: O processo de instalação do sistema foi fácil? 103
Figura 7.4 – Resposta à Pergunta: As informações da tela principal do sistema estão
expostas de forma clara e compreensível?.............................................................104
Figura 7.5 – Resposta à Pergunta: As informações apresentadas na documentação
do backup são Suficientes?.....................................................................................105
Figura 7.6 – Resposta à Pergunta: As informações exibidas pelo sistema condizem
fielmente com as informações dos clientes Bacula?...............................................106
Figura 7.7 – Resposta à Pergunta: O tempo gasto para gerar a documentação do
backup é Satisfatório?.............................................................................................107
Figura 7.8 – Resposta à Pergunta: As informações apresentadas no relatório de
conformidade gerada pelo sistema são suficientes?...............................................108
Figura 7.9 – Resposta à Pergunta: As informações do relatório de conformidade
possibilitaram melhorar o processo de backup? .....................................................108
Figura 7.10 – Resposta à Pergunta: O sistema permitiu visualizar a documentação
gerada de forma fácil?.............................................................................................109
Figura 7.11 – Resposta à Pergunta: O sistema tornou mais eficiente o processo da
documentação do backup? .....................................................................................110
Figura 7.12 – Resposta à Pergunta: Foi fácil usar o sistema? ................................111
Figura 7.13 – Resposta à Pergunta: Eu usaria o sistema e recomendaria? ...........111

LISTA DE QUADROS
Quadro 4.1 - Valor de Resposta................................................................................46
Quadro 4.2 - Comparativo entre Trabalhos Relacionados ........................................47

LISTA DE TABELAS
Tabela 6.1 - Pontuação definida...................................................................................... 94
Tabela 7.1 - Médias das pontuações das questões ...................................................... 102
Tabela 7.2 - Relação da frequência do grau de concordância ...................................... 103

LISTA DE ABREVIAÇÕES
ISO – International Organization for Standardization (Organização Internacional de
Padronização)
IEC – International Electrotechnical Commission (Comissão Eletrotécnica
Internacional)
ABNT – Associação Brasileira de Normas Técnicas
RF – Requisito Funcional
RPO – Recovery Point Object (Ponto de recuperação do objeto)
RTO – Recovery Time Object (Tempo de recuperação do objeto)
TI – Tecnologia da informação
IF – Instituto Federal
ANS – Acordos de Nível de Serviço
ANO – Acordos de Nível de Operação

SUMÁRIO
1 INTRODUÇÃO... ............................................................................................15
1.1 MOTIVAÇÕES ............................................................................................. 16
1.2 OBJETIVO GERAL ...................................................................................... 17
1.3 OBJETIVOS ESPECÍFICOS ........................................................................ 17
1.4 ORGANIZAÇÃO DA DISSERTAÇÃO .......................................................... 17
2 METODOLOGIA ADOTADA ...................................................................... 19
2.1 CONSIDERAÇÕES FINAIS DO CAPÍTULO ................................................ 22
3 SEGURANÇA DA INFORMAÇÃO............................................................... 23
3.1 O VALOR DA INFORMAÇÃO....................................................................... 23
3.2 PILARES DA SEGURANÇA DA INFORMAÇÃO.......................................... 24
3.3 AMEAÇAS ................................................................................................... 26
3.4 BACKUP DE DADOS................................................................................... 27
3.4.1 Mídias .......................................................................................................... 28
3.4.2 Estratégias e tipos de backup................................................................... 30
3.4.3 Software de backup.................................................................................... 33
3.4.4 Restore........................................................................................................ 35
3.5 NORMA ISO/IEC 27002:2013 ...................................................................... 35
4 TRABALHOS RELACIONADOS................................................................. 39
5 DEFINIÇÃO DO QUESTIONÁRIO, APLICAÇÃO E ANÁLISE DE DADO.. 48
5.1 CONSIDERAÇÕES FINAIS DO CAPÍTULO ................................................. 54
6 ESPECIFICAÇÃO E IMPLEMENTAÇÃO DO PROTÓTIPO........................ 56
6.1 DESCRIÇÃO GERAL DO SISTEMA............................................................. 56
6.2 ARQUITETURA ............................................................................................ 58

6.3 REQUISITOS DO PROTÓTIPO................................................................... 61
6.3.1 Requisitos funcionais e requisitos não funcionais................................. 62
6.4 CASOS DE USO........................................................................................... 66
6.5 UTILIZAÇÃO E FUNCIONAMENTO DO PROTÓTIPO ................................. 81
6.6 AMBIENTE DE DESENVOLVIMENTO ......................................................... 97
6.7 CONSIDERAÇÕES FINAIS DO CAPÍTULO ................................................. 99
7 AVALIAÇÃO DO PROTÓTIPO.................................................................. 100
7.1 RESULTADO DA AVALIAÇÃO ................................................................... 101
7.2 CONSIDERAÇÕES FINAIS DO CAPÍTULO ............................................... 113
8 CONCLUSÕES........................................................................................... 115
8.1 CONTRIBUIÇÕES...................................................................................... 115
8.2 LIMITAÇÕES .............................................................................................. 117
8.3 TRABALHOS FUTUROS............................................................................ 117
REFERÊNCIAS.......................................................................................... 119
APÊNDICE A - Questionário de Levantamento das Informações dos
Procedimentos de Backup dos IF................................................................. 123
APÊNDICE B - Questionário de Satisfação de Uso do Sistema
Protótipo....................................................................................................... 136
APÊNDICE C - Modelo de Dados............................................................. 139

15
1 1 INTRODUÇÃO
Desde que as pessoas, empresas e instituições passaram a utilizar mais
amplamente as tecnologias digitais para as mais variadas formas possíveis, sejam
elas, para se comunicar, realizar transações e compartilhar informações resultando
em um crescimento muito grande e acelerado dessas informações. Segundo
Sampaio, Souza e Silva (2012), atualmente o volume disponível de informação,
assim como o seu crescimento exponencial está ligado diretamente com a evolução
tecnológica e pela popularização do uso da Internet através da Web.
Independentemente de ser empresa pública ou privada, de pequeno ou grande
porte, as informações são muito importantes para o funcionamento dessas
instituições. Uma vez que, a informação é gerada com muita rapidez o que torna o
volume de dados cada vez maior, é essencial que as informações sejam
manipuladas e armazenadas de forma segura, considerando o valor que essa
informação tem para a empresa ou instituição. Perder informações importantes pode
ser o fator decisivo entre o sucesso ou fracasso do negócio.
Com a oferta de cursos disponibilizados de forma gratuita, incentivada pelo
governo federal, é fácil imaginar que o volume de dados que as instituições federais
manipulam diariamente seja cada vez maior. Até ao ano de 2002 havia 140
instituições do Instituto Federal no país. Entre 2003 e 2016 mais 500 novas unidades
foram inauguradas, totalizando 644 campi em funcionamento (MEC 2016). Isso
mostra que uma boa estratégia de segurança deve ser adotada dentro dos institutos
federais para garantir a integridade das informações, permitindo a recuperação das
mesmas em casos de perdas acidentais, propositais ou de ação da natureza.
Uma das formas mais conhecidas e utilizadas para manter seguras as
informações é o chamado backup, ou cópia de segurança. Sobretudo, existem no
mercado muitas ferramentas de software para essa finalidade. Algumas dessas
ferramentas são gratuitas e outras são pagas. Todavia, num cenário grande como é
o caso dos Institutos Federais, podem existir várias ferramentas, procedimentos,
estratégias entre outros que podem ser diferentes de um campus para outro.
Esta pesquisa visa mapear o cenário dos Institutos Federais, buscando
conhecer os procedimentos de backup utilizados nessas instituições e com base nos
resultados obtidos, identificar possíveis pontos que precisam ser melhorados, a fim

16
de tornar o procedimento de backup mais adequado e eficiente, tendo como base as
recomendações da norma ISO 27002.
1.1 MOTIVAÇÕES
Atualmente o volume de informações geradas por cada pessoa é muito
grande se comparado com o de algum tempo atrás. Isso se dá, principalmente pela
popularidade crescente da Internet e das tecnologias mais acessíveis que facilitam a
inserção das informações na rede praticamente de qualquer lugar, bastando ter uma
conexão com a Internet. A principal motivação para esta pesquisa surgiu justamente
da observação sobre o grande volume de informações que as instituições de ensino
armazenam e manipulam a cada dia. Como se sabe, as informações são muito
importantes para a continuidade das atividades das instituições, sejam elas privadas
ou públicas. Sem as informações as atividades desempenhadas dentro das
instituições estariam seriamente comprometidas, a ponto de não poderem funcionar
ou atenderem à comunidade. Desta forma, se faz necessário prover meios que
possam garantir que as informações continuarão disponíveis, independentemente do
que venha ocorrer, seja por exclusão acidental ou proposital (erro humano), ataques
maliciosos, desastres naturais, falha de hardware entre outros. A segurança da
informação trata da proteção de determinados dados, com o propósito específico de
preservar seus respectivos valores, garantindo assim que os dados estarão
acessíveis quando necessário. Um estudo divulgado pelo Centro Regional de
Estudos para o Desenvolvimento da Sociedade da Informação (Cetic.br), diz que
15% dos órgãos públicos não tem política de segurança da informação, sendo que
7% não guardam cópias dos arquivos, ou seja, não fazem backup dos dados
(TOZETTO, 2014).
Recentemente houve uma grande expansão na rede dos institutos federais de
Santa Catarina cresceu rapidamente. Em 2008 eram apenas cinco campi e
atualmente são 20 campi em todo estado, além dos pólos de educação à distância.
Numa rede com muitos campi, é bem comum ter-se procedimentos, ferramentas e
formas diferentes de tratar o mesmo assunto, ou seja, não existe um padrão de
procedimento.

17
1.2 OBJETIVO GERAL
O objetivo deste trabalho é mapear, na rede dos Institutos Federais, os
aspectos referentes à segurança da informação com o foco nas ferramentas usadas
para fazer as cópias de segurança (backup) possibilitando identificar deficiências ou
falhas no processo de backup e restauração das informações. Com bases nos
problemas encontrados será proposto uma metodologia para resolver ou melhorar o
processo de backup quanto aos pontos de deficiência encontrados, contribuindo
para a melhoria dos procedimentos nesta área.
1.3 OBJETIVOS ESPECÍFICOS
a) Definir um questionário para coletar dados referente aos procedimentos
de backup adotados por cada campus;
b) Definir métodos para analisar os dados coletados;
c) Identificar as possíveis deficiências ou falhas nos procedimentos de
backup;
d) Prototipar uma ferramenta para melhorar o procedimento de backup, com
base nas deficiências ou falhas identificadas nesse procedimento; e
e) Testar o protótipo da ferramenta.
1.4 ORGANIZAÇÃO DA DISSERTAÇÃO
Além deste capítulo, este trabalho está organizado como segue.
No Capítulo 2 é apresentada a metodologia adotada neste trabalho.
No Capítulo 3 é apresentada a fundamentação teórica sobre a segurança da
informação, backup e restore.
No Capítulo 4 são apresentados os trabalhos relacionados a esta pesquisa.
No Capítulo 5 é apresentada a definição do questionário, aplicação e análise.
No Capítulo 6 são apresentadas a especificação e implementação do
protótipo.
No Capítulo 7 é apresentada a avaliação do protótipo.

18
No Capítulo 8 são apresentadas as principais contribuições desta dissertação,
limitações e indicações para trabalhos futuros.
Por fim, são apresentados os Apêndices deste trabalho.

19
2 METODOLOGIA ADOTADA
O propósito deste capítulo é apresentar o processo metodológico utilizado
para que os objetivos propostos possam ser atingidos.
Sob o ponto de vista da abordagem do problema, esta pesquisa requer na
fase inicial o uso de recursos e técnicas estatísticas que se pode classificar como
abordagem quantitativa e na fase final, a abordagem qualitativa já que não requer o
uso de métodos e técnicas estatísticas. Segundo Prodanov e Freitas (2013), a
abordagem dependerá diretamente do interesse do autor, assim como do estudo
desenvolvido, ressaltando que ambas as abordagens -quantitativa e qualitativa-
estão interligadas e se completam.
Conforme Gil (2008), a classificação de toda e qualquer pesquisa deve seguir
algum critério. Considerando as pesquisas, é comum a classificação com base em
seus objetivos gerais e que se distingue em três grandes grupos, nos quais se pode
classificar de: Pesquisas Exploratórias, Pesquisas Descritivas e Pesquisas
Explicativas.
Quanto aos objetivos, neste trabalho, utilizou-se a pesquisa descritiva.
Segundo Gil (2008), a pesquisa descritiva tem com objetivo principal descrever
características de certa população ou fenômeno estabelecendo relação entre
variáveis, tendo como uma de suas características principais a utilização de técnica
padronizada de coleta de dados, como questionário e a observação sistemática.
Quanto aos procedimentos técnicos, classifica-se como pesquisa:
 Bibliográfica, pois possibilita ao pesquisador a cobertura muito
maior de fenômeno; e
 Levantamento (survey) pois, possibilita conhecer o
comportamento de um grupo significativo de pessoas utilizando algum tipo
de questionário acerca do problema (PRODANOV e FREITAS, 2013).
Primeiramente, utilizou-se da pesquisa bibliográfica para levantar informações
a cerca do tema segurança da informação e processo de continuidade dentro da
gestão de Tecnologia da Informação, a fim de consolidar conhecimentos necessários
para o desenvolvimento deste trabalho. O segundo passo foi levantar informações
para elaborar um questionário dirigido ao público respondente da pesquisa nos

20
Institutos Federais. Optou-se pelo questionário devido às diferenças de cenários
existentes entre os Institutos Federais, cenários esses, que podem ter necessidades,
procedimentos e formas bem diferentes de tratar um problema ou situação dentro de
suas realidades, sejam elas, locais ou regionais. Outro ponto levado em
consideração foi a grande extensão geográfica que compõe os Institutos Federais,
distribuídos em todo país. Desta forma foram elaboradas vinte e duas (22) questões
estruturadas e fechadas que procuraram cobrir todo o procedimento de backup. As
questões abrangeram desde o perfil dos usuários, ferramentas ou software de
backup, infraestrutura, definição da estratégia de backup, freqüência e níveis de
backup, documentação, freqüência de testes, falhas, recuperação e investimento em
backup.
Todas as questões foram elaboradas levando em consideração,
principalmente, a compreensão dos termos técnicos, nos quais os respondentes
estão familiarizados em virtude da área de atuação em TI, na qual estão inseridos
em suas instituições. Assim, a grande maioria dos termos já faz parte do dia a dia
desses profissionais de TI, o que pode evitar dúvidas ou interpretações erradas no
momento de responder as questões. Também se utilizou como base para as
questões as pesquisas bibliográficas, tanto na literatura impressa com na literatura
digital disponibilizada por meio da Internet assim como a norma ISO 27002 Seção
12.3 Cópias de Segurança, além da experiência empírica do autor como profissional
atuante de Tecnologia da Informação ao longo de mais de 20 anos. Utilizou-se da
ferramenta “Google Forms1” por se tratar de uma ferramenta gratuita e de fácil
manuseio que permite a criação de perguntas personalizadas, assim como a
visualização das respostas coletadas de forma organizada e automática. Após o
questionário elaborado, foi solicitado, a dois profissionais da área de TI, uma revisão
do mesmo quanto ao entendimento das questões. Configurando desta forma, um
“pré-teste”, que possibilitou fazer pequenas adequações na escrita de algumas
questões, a fim de deixar mais claro o teor da pergunta ao respondente.
Feitas as adequações necessárias na redação das questões, foi enviado um
convite por meio eletrônico (e-mail) para os respondentes, pessoas envolvidas nas
áreas de tecnologia da informação dos Institutos Federais de todo o Brasil. Os
1
https://www.google.com/forms/about/

21
convites foram enviados para três (03) listas/grupos de usuários, todos relacionados
às instituições IF:
 Fórum de Tecnologia da Informação (Forti), totalizando 46
instituições, sendo que nessa lista estão os gestores de Tecnologia da
Informação de cada instituição (Institutos Federais, Centro Federais de
Educação Tecnológica, Escolas Técnicas Vinculadas às Universidades
Federais, Universidade Tecnológica Federal do Paraná e o Colégio Pedro II);
 Grupo de Servidores Tecnologia Informação dos IF (GSTI-IF),
totalizando 941 membros de todo território brasileiro; e
 Mestrado profissional em sistemas (MPROF2014), totalizando
45 membros, que possui representantes de Institutos Federais de vários
estados brasileiros.
O principal objetivo da aplicação do questionário foi conhecer a realidade
atual de cada Instituto Federal no que tange aos procedimentos de backup,
buscando mapear os procedimentos e identificar as possíveis deficiências e/ou
falhas. Um dos objetivos específicos deste trabalho é “Prototipar ferramenta para
melhorar o procedimento de backup, com base nas deficiências e/ou falhas
identificadas”. Tendo em vista esse objetivo, utilizou-se o critério de maior incidência
que determinada questão possa apresentar em relação a uma falha ou deficiência
considerando a norma ISO 27002 ou as boas práticas citadas na literatura. Todavia
esse critério foi utilizado também para outras questões a fim de definir características
ou requisitos para o desenvolvimento da ferramenta protótipo.
Durante o desenvolvimento do protótipo foram realizados testes em ambiente
preparado para tal finalidade utilizando Vagrant2. Depois de finalizados os testes em
ambiente virtualizado, o protótipo foi submetido para avaliação em ambiente de
produção em alguns campi do IFSC (Instituto Federal de Santa Catarina) que já
utilizavam o software de backup Bacula. A escolha do IFSC para validação de uso
se deu pela facilidade de acesso e comunicação com as equipes de TI dos campi
que compõem a rede IFSC, o que possibilita maior dinâmica para resoluções de
2
Ferramenta que permite criar rapidamente ambientes virtuais para executar testes,
desenvolvimento ou provisionamento de ambientes utilizando as soluções de virtualização mais comuns como o
Virtualbox e o VMWare.

22
problemas que possam ocorrer com a implantação da ferramenta protótipo durante o
teste de avaliação.
Após a avaliação da ferramenta protótipo, foi enviado um questionário para os
campi que participaram desse processo, a fim de medir a satisfação do uso do
protótipo, bem como comprovar a melhoria no processo de backup da instituição.
Nesse questionário foi utilizado o método qualitativo que permite aos respondentes
descreverem suas experiências no uso da ferramenta protótipo com maior detalhe, e
desta forma destacar os resultados alcançados com o uso da ferramenta protótipo.
2.1 CONSIDERAÇÕES FINAIS DO CAPÍTULO
Este capítulo apresenta os procedimentos metodológicos que foram utilizados
no desenvolvimento do trabalho.
O capítulo seguinte aborda a fundamentação teórica referente à segurança da
informação, a fim de aprofundar e consolidar o conhecimento sobre o tema.

23
2 3 SEGURANÇA DA INFORMAÇÃO
Este capítulo aborda a fundamentação teórica referente à segurança da
informação. A segurança da informação tem papel fundamental para qualquer
empresa, seja ela instituição pública ou privada, tendo em vista a grande utilização
da informação que cresce rapidamente com o avanço das tecnologias e meios de
comunicações presentes atualmente. Em ambos os setores, a função da segurança
da informação é viabilizar os negócios como o governo eletrônico (e-gov) ou o
comércio eletrônico (e-business) entre outros, e evitar ou reduzir os riscos relevantes
(ABNT NBR ISO/IEC 27002, 2005).
De acordo com Sêmola (2003), a segurança da Informação pode ser definida
como uma área do conhecimento que visa proteger os ativos da informação contra
acessos não autorizados, alterações indevidas ou sua indisponibilidade.
3.1 O VALOR DA INFORMAÇÃO
No mundo globalizado e cada vez mais competitivo, a informação tem papel
fundamental para a sobrevivência das empresas. A informação tornou-se um bem
muito valioso que pode ser visto como uma vantagem competitiva e que tem um
grande valor de mercado. Segundo Fontes (2008 p.23): “A informação sempre foi um
dos bens mais importantes da organização. A diferença é que há alguns anos a
informação mais crítica para a empresa poderia ser guardada e trancada dentro de
uma gaveta.”
Atualmente, com o uso dos sistemas da informação, todo conhecimento
adquirido pelas organizações é salvo em bases de dados que estão integradas com
os sistemas da organização a fim de permitirem o acesso rápido e eficiente às
informações.
Dada a importância da informação para a organização é necessário prover
formas de proteger essas informações para que as mesmas possam estar
disponíveis quando necessário, mantendo assim a disponibilidade, integridade e
confidencialidade das informações. Segundo a NBR ISO/IEC 27002 (ABNT, 2005):
“a informação pode ser considerado um ativo cuja sua importância é essencial para

24
os negócios de uma organização, assim sendo, necessita ser protegida
adequadamente”.
3.2 PILARES DA SEGURANÇA DA INFORMAÇÃO
A segurança da informação vem sendo incentivada por meio de instrumentos
normativos que servem para promovê-la no âmbito da Administração Pública
Federal. Dentre os documentos normativos criados visando a segurança da
informação dentro dos órgãos públicos, pode-se citar:
 A Lei nº 8.159/19913;
Dispõe sobre a política nacional de arquivos públicos e privados e dá outras
providências.
 Decreto nº 3.505/20004;
Institui a política de segurança da informação nos órgãos e entidades da
administração pública federal e
 Decreto nº 7.845/20125
Regulamenta procedimentos para o credenciamento de segurança e
tratamento de informação classificada em qualquer grau de sigilo no âmbito do
Poder Executivo Federal;
A norma NBR ISO/IEC 27002 (ABNT, 2005) define segurança da
informação como sendo a preservação da:
 Confidencialidade;
 Integridade;
 Disponibilidade; e
 Adicionalmente, outras propriedades, tais como autenticidade,
responsabilidade, não repúdio e confiabilidade, podem também estar
envolvidas.
3
http://www.planalto.gov.br/ccivil_03/leis/L8159.htm
4
http://www.planalto.gov.br/ccivil_03/decreto/d3505.htm
5
https://www.planalto.gov.br/ccivil_03/_Ato2011-2014/2012/Decreto/D7845.htm#art60

25
Confidencialidade
A confidencialidade é um pilar de suma importância dentro da segurança da
informação, uma vez que a informação tem um valor estratégico dentro dos negócios
e por isso não seria prudente que pessoas não autorizadas tivessem acesso a tais
informações. Sêmola (2003 p.45) define confidencialidade como “toda informação
deve ser protegida de acordo com o grau de sigilo de seu conteúdo, visando limitar o
seu acesso e uso apenas às pessoas para quem elas são destinadas.”
No mundo dos negócios podem ocorrer vazamentos de determinadas
informações que podem trazer prejuízos consideráveis para as instituições, uma vez
que as informações podem representar algum tipo de vantagem competitiva sobre
seus concorrentes de mercado; como por exemplo: pesquisas, novas tecnologias,
patentes, cadastro de clientes entre outras.
Integridade
Além de garantir que a informação esteja disponível é necessário também
que ela esteja correta, ou seja, que tenha sua integridade preservada, pois sem tal
característica qualquer ação tomada poderia ser prejudicada, já que não haveria
como confiar na informação. A troca de informações de maneira digital entre
diferentes pessoas, empresas e instituições é algo inevitável, uma vez que boa parte
das ações são realizadas estando-se conectados à Internet. Segundo
Somasundaram e Shrinvastava (2011, p. 360): “Um ataque de modificação pode
alvejar os dados armazenados ou em trânsito. Estes ataques ameaçam a
integridade dos dados”
Disponibilidade
Garantir que a informação estará disponível sempre que for necessária, para
que possa ser usada por quem precisar, é o objetivo da “Disponibilidade”. Não
adianta nada ter a informação sem que ela possa ser acessada ou lida. Nesse caso,
o princípio da disponibilidade estaria comprometido. A troca de informações (digital)
está presente hoje na maior parte dos trabalhos ou atividades, ou seja, buscar a
informação de algum lugar ou enviar as informações para outro lugar é algo comum.
Sem a disponibilidade dessas informações poder-se-ia afirmar que muitos
processos, que necessitam delas, estariam seriamente comprometidos, podendo

26
gerar atrasos, insatisfação e até mesmo, prejuízos para as empresas ou clientes
envolvidos no processo. Conforme Fontes (2008, p.38): “Uma indisponibilidade da
informação pode levar a organização a ter um grande impacto financeiro e/ou de
imagem que, dependendo do tipo de negócio, pode inviabilizar a organização no
mercado”
3.3 AMEAÇAS
As ameaças existem, porém, deve-se estar atento para tentar neutralizá-las
antes que elas se concretizem. Conhecer as ameaças é o primeiro passo, pois,
pode-se eliminar potenciais vulnerabilidades, protegendo as informações
importantes da organização. Fontes (2008, p.100) “Definimos ameaça como a ação
de uma pessoa, ambiente, recurso ou fenômeno que seja considerado um perigo
para a organização. A ameaça existe!”.
Estudo mostra que 38% das perdas da informação são causadas por ataques
maliciosos ou criminais, sendo que as falhas de sistemas correspondem a 30% das
causas e os erros humanos a 32% (PONEMON INSTITUTE, 2015).
As ameaças podem originar-se de situações variadas. Erlich (2004) elenca
várias ameaças:
a. Catástrofes - incêndio, alagamento, vazamento, explosão, desabamento,
relâmpago;
b. Problemas ambientais - variações térmicas, umidade, poeira, radiação,
ruído, vapores, gases, fumaça, magnetismo, trepidação, falta de energia elétrica;
c. Comportamento antissocial - paralisação, greve, piquete, invasão,
alcoolismo, drogas, sabotagem, omissão, inveja, rixa entre funcionários, ação
criminosa, furtos, fraudes, terrorismo, seqüestro, espionagem industrial;
d. Eletrônica - pane nos equipamentos, pane na rede, falhas nos sistemas
operacionais, parada de sistema; e
e. Procedimento - supressão de serviços, erros de usuários, erros de backup,
uso inadequado de sistemas, manipulação errada de arquivos, dados incompletos
ou inconsistentes, violação de confidencialidade, treinamento insuficiente, ausência
e demissão de funcionários, sobrecarga de trabalho.

27
Além das ameaças elencadas por Erlich (2004) pode-se citar outras
relacionadas às já citadas: ataques internos, falta de contingência, configuração
inadequada de serviços e equipamentos, uso indevido da Internet, exploração de
vulnerabilidades conhecidas, entre outras.
A norma NBR ISO/IEC 27002 define controles para minimizar os riscos.
Algumas vezes não se pode eliminar completamente o risco, mas é possível
gerenciar, controlar e minimizar os efeitos. Um dos principais recursos utilizados
como forma de minimizar a perda de informações é o backup de dados, discutido a
seguir.
3.4 BACKUP DE DADOS
Todos os dias são gerados e manipulados uma quantidade enorme de
informações que as empresas ou instituições usam para desenvolver suas
atividades, por isso, é necessário que haja um cuidado especial com essas
informações. Uma maneira conhecida é fazer cópias de segurança ou como é
chamado, no jargão da área, “backup”. Segundo Faria (2014): “o backup consiste na
cópia de dados específicos para serem restaurados no caso da perda dos originais”.
A norma técnica ABNT NBR ISO/IEC 27002: Regulamentação de Backup, também
conhecida como antiga IEC 17799, surge para auxiliar e assegurar a qualidade do
processo que envolve o backup. A norma é focada na segurança da informação e
traz várias diretrizes necessárias para proteger os dados e informações de qualquer
empresa ou instituição.
Diferente do que muitas pessoas pensam, realizar backup não é algo tão
simples quanto parece. Guise (2008, p.97) afirma: “Escolher o que deve ser feito
backup não é tão simples como geralmente se pensava.” É necessário conhecer
bem o cenário no qual a empresa ou instituição está inserida, identificar suas
necessidades e particularidades, enfim, conhecer a empresa como um todo antes de
definir um plano de backup. Faria (2014, p.16) afirma: “Cada empresa deverá
verificar sua necessidade específica, principalmente em relação ao seu negócio,
ANS (Acordos de Nível de Serviço), ANO (Acordos de Nível de Operação) e valor
dos dados armazenados”.

28
Entende-se que se precisa fazer cópias de segurança, visto que, se a
informação é algo essencial para o negócio, a perda dela pode trazer impactos
muitas vezes irreversíveis, podendo até inviabilizar a continuidade do negócio. São
várias as causas que podem levar à perda dos dados ou informações. Moraes
(2012) lista cinco das potenciais razões mais comuns que podem provocar perda de
dados:
 Erro e/ou falha humana;
 Sistemas operacionais e/ou corporativos corrompidos, sem atualização
e/ou defeituosos;
 Furto e/ou roubo de dados;
 Pragas virtuais; e
 Quebra e/ou fadiga de hardware sem manutenção preventiva.
Partindo dessas constatações, pode-se afirmar que fazer cópias de
segurança “backup” é imprescindível para qualquer instituição que preze o valor de
suas informações.
3.4.1 Mídias
Para armazenar as cópias de segurança (backups) é necessário usar mídias
para tal propósito. Segundo Pereira (2015, p.19) as mídias são os dispositivos físicos
onde os dados serão armazenados. Boa parte dos custos de um sistema de backup
de dados são provenientes das mídias de armazenamento. No mercado existem
vários tipos de mídias, as principais utilizadas são:
1) Fitas magnéticas;
Podem ser encontradas em vários tamanhos de armazenamento e
classificadas conforme sua tecnologia. As fitas magnéticas têm a vantagem de
poderem ser transportadas e armazenadas em outros locais, o que facilita as cópias
remotas, ideal para cópias com longo prazo de retenção. A desvantagem está no
acesso aos dados gravados, já que é feito de forma seqüencial, deixando o

29
processo de leitura lento. Dependendo do volume de dados, pode demorar horas
para finalizar o processo. Alguns exemplos:
a) Digital Data Storage (DDS), baseado na tecnologia DDS-DAT
(Digital Audio Tecnology);6
b) Digital Linear Tape (DLT)7; e
c) Linear Tape-Open(LTO)8;
2) Mídia Óptica (CD, DVD);
Essas mídias dificilmente são utilizadas em ambientes corporativos de
grandes volumes de dados, tendo em vista a pequena capacidade de
armazenamento que ela oferece, salvo casos de cópias de arquivos pessoais ou
algo do gênero, nos quais o tamanho de dados não é muito grande.
3) Discos rígidos;
A tecnologia dos discos rígidos está em ampla evolução no mercado e com
capacidade de armazenamento crescente, passando da casa do terabytes. Usar
disco rígido para armazenar o backup tem se tornado uma opção com custo
aceitável para muitas empresas. A vantagem dos discos rígidos está na grande
capacidade de armazenamento aliada à velocidade de leitura e escrita, o que é
muito bom para backup de grandes volumes de dados.
A escolha da mídia irá depender da estratégia de backup e do volume de
dados a serem salvos, considerando sempre, as necessidades da organização, pois
uma escolha não acertada pode resultar em backup menos eficiente do ponto de
vista técnico e um gasto maior do ponto de vista financeiro.
6
Digital Data Storage é uma fita de 4 mm em cassete, de tecnologia helicoidal, introduzida pela
Sony e pela Hewlett-Packard, que utiliza a mesma tecnologia da fita DAT (Digital Audio Tape)
7
É um tipo de fita magnética desenvolvido pela Digital Equipment Corporation, na qual usa
uma fita linear em serpentina registrando as informações em múltiplas trilhas com o tamanho de total de 12.6
mm
8
É uma tecnologia de armazenamento de dados em fita magnética desenvolvida originalmente
na década de 1990 como uma alternativa de padrões abertos a formatos proprietários de fita magnética que
estavam disponíveis na época (DLT)

30
3.4.2 Estratégias e tipos de backup
O backup compreende duas estratégias que podem ser implementadas: a
centralizada e a descentralizada. O backup centralizado facilita o gerenciamento e
administração, tendo como vantagem a redução de custos, pois o uso de
dispositivos de armazenamento, mídia, software e base de dados ocorrem no
sistema central, possibilitando atender a vários clientes da rede. Uma desvantagem
dessa estratégia é que se alguma coisa der errados, todos os clientes associados ao
sistema centralizado também serão afetados. De acordo com Faria (2014, p.19), as
vantagens de um sistema de backup centralizado são:
 Economia de fitas na medida em que é minimizada a quantidade de
espaço subutilizado;
 Facilidade na administração, correção de erros, troca e controle de fitas;
 Economia de hardware;
 Maior agilidade; e
 Facilidade no restore9.
O backup descentralizado ou distribuído baseia-se no princípio de que cada
cliente ou sistema tenha seu próprio hardware, dispositivo de armazenamento, mídia
e software. A desvantagem dessa estratégia seria o custo adicional com hardware e
licenças caso o software seja proprietário. O backup divide-se em três principais
níveis: completo, incremental e diferencial:
a) No backup completo ou Full, geralmente são copiadas todas as
informações, independentemente delas terem sido alteradas ou não. Esse tipo de
backup costuma consumir maior tempo para concluir a cópia. Dependendo do
tamanho das informações armazenadas esse tempo pode ser um fator limitador,
quando se tem uma janela de backup10 pequena. Outro fator a ser considerado é o
espaço de armazenamento, uma vez que todos os dados são copiados, o volume de
dados tende a crescer de forma acelerada, o que pode elevar os custos com mídias
de armazenamento. A Figura 3.1 apresenta o exemplo de backup utilizando o tipo
Full.
9
Processo de recuperação dos dados
10
Janela de backup é o tempo disponível para copiar um determinado volume de dados.

31
Figura 3.1 - Exemplo de backup Full
Fonte: http://www.backup4all.com/
Conforme ilustrado na Figura 3.1, temos quatro full backups, o primeiro tem
apenas 1Gb de dados, no segundo full backup seu tamanho aumentou para 2Gb, no
terceiro para 3Gb e no quarto full backup 4Gb. Como podemos perceber o backup
full contém todas as informações, incluindo as informações anteriores e as novas ou
modificadas. Desta forma, um único backup full conterá todas as informações
necessárias para fazer um restore, caso seja necessário.
b) No backup diferencial, as cópias das informações são feitas considerando
o último backup completo. Desta forma serão copiadas todas as informações que
foram criadas ou alteradas depois do último backup completo. Esse tipo de backup
requer um volume de armazenamento menor se comparado com o completo, porém,
mesmo assim o volume de dados tende a crescer significativamente. A Figura 3.2
apresenta o exemplo de backup utilizando o tipo Diferencial.
Figura 3.2 – Exemplo de backup Diferencial
Fonte: http://www.backup4all.com
Conforme ilustrado na Figura 3.2, para o backup diferencial acontecer é
necessário que exista primeiro um backup full. O backup diferencial considera
somente as novas inclusões/modificações dos arquivos após o último backup full,
portanto o volume de dados copiados é bem menor que o backup full. Caso seja
necessário fazer um restore será preciso ter o último backup full e mais o backup
diferencial do dia que deseja restaurar os dados.

32
c) No backup incremental só serão copiadas as informações que foram
criadas ou alteradas no dia. Dessa forma, pode haver variações nos tamanhos de
arquivos a serem copiados. Nesse tipo de backup as cópias tendem a ser bem mais
rápidas e o volume de armazenamento geralmente é menor. A Figura 3.3 apresenta
o exemplo de backup utilizando o tipo Incremental.
Figura 3.3 – Exemplo de backup Incremental
Fonte: http://www.backup4all.com
Conforme ilustrado na Figura 3.3, para o backup incremental acontecer é
necessário que exista primeiro um backup full. O backup incremental considera
somente as novas inclusões/modificações dos arquivos de cada dia, portanto o
volume de dados copiados é bem menor que o backup full e o backup diferencial.
Caso seja necessário fazer um restore será preciso ter o último backup full e mais os
backups incrementais de cada dia.
É de suma importância que exista uma política de backup adequada e que
reflita a real necessidade da empresa ou instituição. Segundo Faria (2014, p.16):
“Uma política de backup consiste em um documento que deverá conter os princípios
de como ocorrerão os backups (e restores), bem como o papel das partes
interessadas, o tempo máximo para resolução das ocorrências, a estratégia de
backup...”.
Outro fator importante que deve ser considerado antes de elaborar uma
política de backup é definir o Recovery Point Objective (RPO) e Recovery Time
Objective (RTO).
Recovery Point Objective (RPO) é a quantidade máxima de dados que a
empresa ou instituição considera aceitável a ser perdida, em um determinado tempo,
no caso de um desastre. Segundo Bernad (2011), um Recovery Point Objective de
um dia pode ser perfeitamente apoiado por backups diários de até 24 horas, porém
dados podem ser perdidos dentro desse período de 24 horas.

33
Recovery Time Objective determina qual o tempo aceitável de espera até que
a recuperação dos sistemas ou arquivos os deixe novamente prontos para operar,
no caso de um desastre. Portanto, é necessário que a empresa ou instituição analise
atentamente o seu negócio, a fim de chegar a um RTO que atenda suas
necessidades. Isso implica na escolha de qual será a melhor forma de fazer as
cópias de segurança, objetivando atender aos valores definidos para os parâmetros
RPO e RTO. Baltzan (2016, p.383) afirma: “As empresas devem escolher uma
estratégia de backup e recuperação que esteja de acordo com seus objetivos e
necessidades operacionais.”
O backup é uma ferramenta importante usada para proteger as informações,
porém também está sujeito a falhas que podem inviabilizar a proteção das
informações. Segundo a análise feita por Paula e Cordeiro (2015, p.68) em uma
instituição pública, as seguintes ameaças podem comprometer os serviços
oferecidos:
 Erros humanos;
 Instalação de software não autorizado;
 Bugs no sistema acadêmico;
 Desastres naturais;
 Desastres causados por pessoas;
 Falhas em equipamentos;
 Uso de senhas frágeis;
 Falhas de fornecimento de energia elétrica; e
 Falhas no serviço de backup.
3.4.3 Software de backup
Existem muitas maneiras de se fazer backup. Pode-se utilizar ferramentas
nativas do sistema operacional, como por exemplo, no caso do Linux11, há
comandos como: cp, tar e rsync. Nesse caso, geralmente usa-se o crontab do
sistema operacional para agendar as execuções das cópias. Atualmente encontra-se
11
Linux é um termo comumente utilizado para se referir a sistemas operacionais que utilizam o
kernel Linux.

34
facilmente software para executar o backup, tanto gratuitos como pagos. São
exemplos de software de backup profissional:
 Amanda12
 Bacula13;
 Commvault - Simpana14;
 BrightStor ArcServe15;
 Dantz Restrospect16;
 EMC Legato Networker17;
 HP Data Protector18;
 IBM Tivoli;19
 NovaStor Novabackup20;
 Unix / Linux TAR, DUMP, CPIO21;
 Veritas / Symantec NetBackup22;
 Virtos SOS23; e
 Yosemite Tapeware24;
Com tantas opções de software de backup disponíveis no mercado, fica difícil
decidir qual software escolher. Cada um deles tem funcionalidades e características
diferentes e algumas bem similares, as quais devem ser avaliadas pela empresa
antes de serem adquiridas. Feiner e Weichinger (2009) afirmam: “Ferramentas de
12
http://www.amanda.org/
13
http://bacula.com
14
https://documentation.commvault.com/commvault/v10/article?p=whats_new/c_main_overview.htm
15
http://arcserve.com/
16
https://www.retrospect.com/
17
https://www.emc.com/domains/legato/index.htm
18
www8.hp.com/br/pt/software-solutions/data-protector-backup-recovery-software
19
https://pt.wikipedia.org/wiki/Tivoli_Storage_Manager
20
http://www.novastor.com/
21
https://www.safaribooksonline.com/library/view/unix-backup-and/1565926420/ch03s09.html
22
https://www.symantec.com/pt/br/netbackup/agents-options-add-ons/
23
http://www.virtos.com/
24
https://www.barracuda.com/products/yosemiteserverbackup

35
código aberto costumam oferecer a possibilidade de avaliar o software antes de
decidir por sua aquisição”.
3.4.4 Restore
Por definição restore – termo usado para restauração de dados –, segundo
Veras (2015, p.101) é o processo de recuperação de dados, de algum local de
armazenamento para seu local de origem. Para que o restore possa ser executado
com sucesso é necessário que alguns fatores sejam respeitados a fim de garantir
seu êxito, como: tempo de retenção das cópias, armazenamento correto das mídias,
testes freqüentes de mídias e recuperação de dados. O tempo que um procedimento
de restore pode levar depende do tipo de backup utilizado para fazer as cópias.
O backup completo é o mais simples de restaurar, porém o mais demorado
devido ao grande volume de dados que costuma ter. O backup diferencial necessita
que no mínimo duas cópias sejam utilizadas: o último backup completo mais a cópia
diferencial da qual se deseja obter as informações. A recuperação desse tipo de
backup também é um processo trabalhoso e demorado. Já no incremental, o
processo se torna ainda mais demorado tendo em vista que será necessário o último
backup completo e mais as cópias de cada dia. Por exemplo, se o último backup
completo ocorreu no domingo e as informações que se precisa restaurar estão no
backup incremental da sexta-feira seguinte, assim será necessário o último backup
completo (domingo) e mais as cópias dos backups incrementais de segunda, terça,
quarta, quinta e por fim o de sexta-feira. E se uma dessas cópias não puder ser
restaurada, ter-se-á um grande problema, pois somente parte dos dados poderá ser
recuperada. É por esse motivo que o monitoramento e os testes de recuperação
devem ser freqüentes a fim de minimizar esse tipo de perdas das informações.
4 3.5 Norma ISO/IEC 27002:2013
As normas são feitas e projetadas para estabelecerem padrões mínimos para
que determinadas atividades possam ser implementadas, mantidas e melhoradas.
Na área da segurança da informação isto não é diferente. De tempo em tempo as
normas passam por novas avaliações e adequações para se manterem. Atualmente

36
existe a série de normas ISO/IEC 27000 que contempla vários pontos da segurança
da informação. No ano de 2013 a norma teve algumas modificações, aumentando o
número de seções de 11 para 14, e diminuindo os controles de 133 para 114,
totalizando 35 objetivos de controle.
A série 27000 é composta pelas seguintes normas, conforme descrevem
Fernandes e Abreu (2014, pg.395):
 ISO/IEC 27000:2012 – Information technology - Security techniques –
Information security management systems – Overview an vocabulary;
 ISO/IEC 27001:2013 - Information technology - Security techniques –
Information security management systems – Requirements;
Information security management systems – Code of pratice for information
security controls.
Information security management systems – Implementation guidance;
Information security management systems – Measurement;
Information security risk management;
Requirements for bodies providing audit and cerfitication of information
security management systems; e
Guidelines for information security management systems auditing.
A Norma ISO 27002:2013 publicada em Setembro de 2013, trata da
segurança da informação com foco nas boas práticas para controle da referida
segurança e está estruturada da seguinte forma:
 Políticas de segurança da informação;
 Organização da segurança da informação;
 Segurança em recursos humanos;
 Gestão de ativos;

37
 Controle de acesso;
 Criptografia;
 Segurança física e ambiental;
 Segurança das operações;
 Segurança das comunicações;
 Aquisição, desenvolvimento e manutenção de sistemas;
 Relacionamento com fornecedores;
 Gestão dos incidentes de segurança da informação;
 Aspectos de segurança da informação da gestão da continuidade de
negócios; e
 Conformidade.
Cada seção fornece controles e diretrizes para implementação da norma,
porém ela pode ser considerada com um ponto de partida para desenvolvimento de
diretrizes específicas para a organização (ISO-27002).
A Seção 12.3 - Cópias de Segurança, trata especificamente a respeito da
proteção contra perda de dados. Nessa seção são apontados itens importantes que
devem ser levados em consideração ao se elaborar um plano de backup, como por
exemplo:
 Registro das cópias de segurança e documentação dos procedimentos de
restauração;
 Abrangência e freqüência das gerações das cópias de segurança;
 Armazenamento das cópias em distância suficiente para evitar danos ou
desastres no local principal;
 Proteção física e ambiental adequadas;
 Teste de mídias regularmente combinado com teste de restauração; e
 Uso de criptografia nos casos onde a confidencialidade seja requerida;

38
Neste capítulo foram descritos conceitos referentes à segurança da
informação, além de ressaltados o valor da informação e a importância de sua
proteção, assim como conceitos sobre backup, mídias, software de backup,
restauração e por último uma breve contextualização a respeito da norma ISO/IEC
27002 que dá suporte para implementar controles da segurança da informação com
ênfase em cópias de segurança “backup”.
A segurança da informação tem sido objeto de estudos há bastante tempo.
Isso se dá pela importância e relevância que o tema tem para as organizações.
Como visto neste capítulo, dependendo da informação ela pode ser valiosa para
empresa e, portanto, necessita ser protegida contra ameaças, sejam elas internas ou
externas.
No próximo capítulo são analisados trabalhos relacionados, nos quais a
questão da segurança da informação está presente, dada a relevância do tema.

39
4 TRABALHOS RELACIONADOS
Neste capítulo são apresentados alguns trabalhos encontrados na literatura
que tratam sobre a segurança da informação com o foco em backup. Buscou-se
trabalhos que abordassem a análise de backup ou estudos relacionados ao tema
como, por exemplo, plano de backup. Porém, sobre este último, foram encontrados
poucos trabalhos na literatura. A grande maioria dos trabalhos está relacionada a
técnicas, ferramentas ou software de backup. Todavia, os trabalhos citados
proporcionaram maior compreensão acerca do tema backup possibilitando ampliar
os conhecimentos adquiridos neste processo de pesquisa. Os seguintes parâmetros
foram definidos como critério de escolha dos trabalhos relacionados:
 Utilizar norma da segurança da informação;
 Utilizar questionário para coleta de dados; e
 Utilizar interface Web para interação com usuário.
Considerando a importância da informação, vários trabalhos já realizados têm
como foco as melhores formas de salvar as informações, assim como as técnicas
para restauração (recovery) das informações salvas. Estudos recentes de Zahead,
Rani, Saradhi e Potluri (2016) também buscam formas de reduzir a quantidade de
dados por meio de técnicas de deduplicação, eliminando assim, os dados duplicados
e dessa forma baixando o custo de armazenamento. Sem dúvidas que técnicas
como a de deduplicação 25são importantes aliadas nesse processo, já que, quanto
maior o volume de informações a serem armazenadas maior o número de mídias ou
dispositivos de armazenamento, como discos e storage26, que acabam elevando o
custo final de armazenamento dessas informações.
A dissertação de mestrado de Moraes (2007) trata do planejamento do
backup propondo etapas para torná-lo eficaz, levando em consideração o ponto de
vista da gestão de segurança da informação. Moraes (2007) utilizou questionário
dirigido aos profissionais da área de Tecnologia da Informação (TI) utilizando
métodos qualitativos e quantitativos para análise dos dados. É enfatizado que o
25
Técnica usada para remover dados redundantes durante o processo do backup.
26
Dispositivo de Armazenamento de dados.

40
backup além de ser importante para recuperação de informações em casos de
perdas também segue regulamentação governamental que obriga a guarda da
informação. A pesquisa foi aplicada em uma Universidade devido à preocupação em
guardar de maneira segura seus dados, considerando que vários serviços passaram
a ser oferecidos utilizando a rede e banco de dados como os sistemas
administrativos e o ensino a distância. Com a crescente utilização dessa massa de
dados, a universidade passou a ser mais dependente dos dados eletrônicos. O
objetivo principal desse trabalho foi propor etapas para o planejamento de backups
de dados, além de mostrar a importância de se investir em tal atividade. Dessa
forma, Moraes (2007) propõe um passo a passo de um planejamento de backup, o
qual sem dúvida facilita o trabalho de quem está pensando em elaborar um plano de
backup. Vale lembrar que a execução do que foi planejado, aliada a verificação e
testes freqüentes de integridade farão com que o plano de backup tenha ou não
bons resultados. Não adianta ter um bom plano se sua execução for deficiente. Do
mesmo modo, em relação aos testes de integridade, se não for testado com
freqüência, poderá se descobrir no momento que mais se precisar recuperar uma
informação, que o backup não serviu para nada.
O trabalho de Leão (2010) estuda a viabilidade para implantação de sistema
de backup open source27 em ambiente corporativo. Ao adotar uma ferramenta de
backup é preciso levar em consideração também as funcionalidades esperadas, as
quais podem variar dependendo da política de backup da empresa. O trabalho levou
em consideração o custo reduzido que as ferramentas open source podem oferecer
se comparado com software pago, cujas empresas que os comercializam
geralmente cobram uma grande soma por suas ferramentas.
Destacam-se ainda iniciativas de uso de software livre pelo governo, como
por exemplo, a proposta aprovada pela Comissão de Ciência e Tecnologia,
Comunicação e Informática da Câmara dos Deputados que garante a preferência
para software livre na contratação de bens e serviços de Informática pela União,
27
Software de código aberto (do inglês open source software ou OSS) é o software de
computador com o seu código fonte disponibilizado e licenciado com uma licença de código aberto no qual o
direito autoral fornece o direito de estudar, modificar e distribuir o software de graça para qualquer um e para
qualquer finalidade.

41
Estados e Distrito Federal. O estudo levantou requisitos mínimos que devem ser
considerados para uma ferramenta de backup corporativo:
 Gerenciamento centralizado;
 Automação das tarefas de gerenciamento de armazenamento e recuperação;
 Métodos de verificação dos dados na hora do armazenamento;
 Suporte a ambientes heterogêneos;
 Compressão dos dados armazenados;
 Execução de comandos ou rotinas antes e depois dos jobs;
 Suporte a bibliotecas de fitas de um simples drive até bibliotecas com
múltiplos drives e slots;
 Criptografia dos dados;
 Deduplicação de dados;
 Solução escalável;
 Documentação atualizada e disponível; e
 Suporte técnico.
Também é apresentado um comparativo técnico entre o software de backup
Bacula28 em relação a algumas ferramentas presentes no mercado. Percebe-se que
o plano de backup, e a definição de qual o software deve ser utilizado pela empresa,
a fim de cumprir o papel principal de proteger as informações, devem estar alinhados
visando atender às necessidades e critérios estabelecidos no plano de backup. Sem
levar isso em consideração, provavelmente estaria se gastando tempo, recursos e
pior, o resultado final seria um backup ineficiente.
Júnior e Almeida (2010) apresentam uma proposta de backup centralizada
utilizando software livre que atende à instituição de ensino CEFET-MG. As
informações são consideradas como um patrimônio valioso para a organização e a
responsabilidade pelo armazenamento dessas informações é atribuída à área de
Tecnologia da Informação. Para apoiar a implantação da segurança da informação,
foi utilizada a norma NBR ISO/IEC 17799:2005 que recomenda que sejam tomadas
medidas de controle para que os registros organizacionais importantes sejam
protegidos contra perda, destruição e falsificação, de acordo com os requisitos
28
http://www.bacula.com

42
regulamentares, contratuais e do negócio. As informações armazenadas da
instituição podem ser vulneráveis a vários fatores, como falhas de rede, hardware e
manipulação incorreta ou acidental pelos usuários que podem causar impacto
negativo direto na atividade da instituição.
O estudo apresenta a proposta de implementação do sistema de backup,
porém não aborda de forma específica itens importantes de como fazer um
planejamento de backup que cubra desde a fase de levantamento das informações a
serem salvas, tipos de mídias adequadas, local de armazenamento das mídias,
contingência dos dados de backup, plano de teste de restauração e documentação
do backup entre outros pontos considerados importantes para a preservação da
informação e continuidade do negócio.
Caetano, Júnior e Brito (2014) apresentam um estudo para a reestruturação
do sistema de backup em uma empresa de grande porte, com intuito de diminuir a
janela (tempo) de backup, intervenções humanas, minimizar as falhas e aumentar a
integridade das informações armazenadas pela empresa. O tempo que a informação
levará para ser recuperada também deve ser considerado no momento de definir a
estratégia de backup, pois quanto menor for o tempo gasto na restauração e maior a
quantidade de dados recuperados, maior deve ser a eficiência de backup. Nesse
estudo os autores selecionaram quatro aplicativos de backup que provavelmente
poderiam atender às necessidades da empresa: Amanda29, ARCserve30, Bacula31 e
SOS Backup32 6.5.
Friedrich (2014) propõe um sistema web para análise de gestão da segurança
da informação segundo a norma ABNT NBR ISO IEC 27002 (ABNT, 2013). Nesse
trabalho, o foco principal é mensurar o quanto a organização está adequada à
norma ABNT 27002, porém tal norma é bastante abrangente cobrindo vários
aspectos da segurança da informação. Para saber se a organização está ou não
adequada à norma é necessário responder a um questionário eletrônico (web) e
para cada item é atribuída uma pontuação que somada ao final dará o percentual de
adequação da organização. As questões elaboradas permitem que as respostas
29
http://www.amanda.org/
30
http://arcserve.com/
31
http://bacula.com
32
http://www.virtos.com/

43
sejam “Sim” ou “Não” e dependendo da resposta, outras questões podem ser
respondidas tendo como opções possíveis: Atividade Ausente, Parcialmente
Ausente, Parcialmente Presente, Presente.
Santos e Bernadinho (2014) comparam o desempenho e os recursos do
sistema de cinco ferramentas remotas de código aberto de backup incremental para
Linux: Rsync33, rdiff-backup34, Duplicity35, Areca36 e LinkBackup37. Três operações
de backup remoto são testadas nesse trabalho: backup completo, incremental,
backup e restauração de dados. Duas características são consideradas como
principais para uma ferramenta de backup: compressão de dados38 e criptografia.
Para fazer os testes das operações das ferramentas os autores criaram um conjunto
de dados de 10GB totalizando 50.000 arquivos de 200KB, simulando assim um
ambiente do mundo real. Todos os testes foram executados em três diferentes
cenários (Full backup, Incremental Backup e Restore). No experimento sem
compressão e sem criptografia, o Rsync mostrou-se mais rápido em todos os
cenários testados (Full=12Sec, Incr. 3Sec e Rest. 10Sec). No experimento, somente
com compressão, a ferramenta Duplicity foi a mais rápida com respectivamente 24,
4, 11 minutos para Full, Increment e Restore.
No experimento com compressão e encriptação, a ferramenta Duplicity
também teve o melhor desempenho nos testes. Como resultado os autores
mostraram que o Rsync é a ferramenta de backup mais eficiente para a replicação
remota de dados simples e a Duplicity é a melhor das ferramentas de backup
capazes de usar compressão e criptografia, quando considerados ambientes com
sistema operacional Linux.
A criptografia é um recurso que deve ser utilizado a fim de garantir a
confidencialidade das informações. Todavia, recomenda-se utilizá-la somente em
casos realmente necessários de tal proteção, pois o processo de encriptar requer um
processamento maior, seja de hardware ou do software, elevando assim o tempo de
33
https://rsync.samba.org/
34
http://rdiff-backup.org/
35
http://duplicity.nongnu.org/
36
http://www.areca-backup.org/
37
http://www.scottlu.com/Content/Link-Backup.html
38
Envolve a codificação da informação de modo que o arquivo ocupe menos espaço no
dispositivo.

44
cópia das informações. Da mesma forma, a compressão de dados é um recurso que
também requer um tempo maior de processamento. Ambos os recursos (criptografia
e compressão) devem ser analisados, considerando suas vantagens e
desvantagens, a fim de não comprometer a eficiência do backup.
Akbar, Husain e Suaib (2015) propõem tipos de backup de dados e um estudo
comparativo de técnicas disponíveis para tais backups com os seus prós e contras.
São apresentadas as vantagens e desvantagens dos tipos de backup (Full,
Incremental e Differential). Em seguida são abordadas as várias técnicas
comparadas no estudo (Snapshot39, Image-based backup, Mirroring strategies,
Replication e Data Deduplication40). Considerando as comparações entre as
várias técnicas citadas acima, a Data Deduplication proporciona a utilização mais
eficiente no armazenamento existente, considerando que o espaço é extremamente
importante tanto para pequenas como para grandes empresas. Se a Data
Deduplication for associada à outra técnica como a compressão, por exemplo, pode
tornar-se ainda mais eficiente.
Alkandary e Alhallaq (2016) abordam a segurança da informação e apontam
informações importantes sobre a perda de dados, como por exemplo, os tipos de
perda de dados:
- Ação intencional;
- Ação não intencional como, extravio de mídias (CD, cartões de memória),
Incapacidade de ler o formato de arquivo;
- Falha de energia, Falha de hardware, bugs, dados corrompidos;
- Desastres naturais, fogo; e
- Crime como roubo, invasão (hacker), sabotagem, vírus.
O custo da perda de dados está relacionado diretamente com o valor dos
dados e o tempo que ela é necessária. Uma recuperação bem sucedida de uma
39
Snapshot é uma expressão em inglês que significa `foto instantânea` e está relacionada com o
estado atual do sistema naquele momento.
40
Data Deduplication é o termo em inglês, que traduzido quer dizer deduplicação de dados, na
qual envolve a codificação da informação de modo que o arquivo ocupe menos espaço no dispositivo.

45
perda de dados geralmente requer implementação de uma estratégia de backup
eficaz.
Os autores Alkandary e Alhallaq (2016) citam os passos iniciais adotados no
caso da perda de dados, ou seja, o que fazer para aumentar as chances de
recuperação. Também são citadas as estratégias de segurança para manter
disponibilidade, integridade e confidencialidade atualmente contempladas pela
norma ISO IEC 27000. (ISO/IEC, 2014)
Furlan (2013) aborda as boas práticas de segurança da informação com base
na norma ABNT ISO/IEC 27002:2005. O objetivo do trabalho é a elaboração de um
questionário embasado nas seções de segurança da informação da norma ABNT
NBR ISO/IEC 27002:2005: Política de Segurança da Informação, Organizando a
Segurança da Informação, Gestão de Ativos, Segurança em Recursos Humanos,
Segurança Física e do Ambiente e Gerenciamento das Operações e Comunicações.
Foram feitas pesquisas relacionadas à segurança da informação, em especial à
norma ABNT NBR ISO/IEC 27002:2005. Para tal finalidade foi criada uma página
Web para aplicar o questionário no qual os usuários vão respondendo a fim de gerar
um feedback41 em relação ao nível de segurança da informação. Para chegar à nota
que definirá o nível de aderência à norma, o autor usou a fórmula de média
ponderada, atribuindo pesos às respostas. Os pesos foram atribuídos da seguinte
forma:
 Aplicado (peso 3);
 Parcialmente Aplicado (peso 2);
 Não Aplicado (peso 1); e
 Não se Aplica (peso 0)
Com base nesse critério os valores obtidos foram usados para dar os
feedbacks de acordo com a pontuação obtida, conforme mostrado no Quadro 4.1.
41
É uma palavra inglesa que significa realimentar ou dar resposta a um determinado pedido ou
acontecimento.

46
Quadro 4.1 - Valor de Resposta
Fonte: Adaptado de FURLAN (2013)
Como já foi dito antes, a escolha do software deve vir ao encontro do plano de
backup bem elaborado e não ser o foco principal da escolha no processo de backup.
Cada empresa ou instituição pode e terá situações diferenciadas nas quais um
software pode se encaixar perfeitamente ou não, tudo dependerá da necessidade
exigida e presente no plano de backup. Entende-se que custos formam um critério
importante, mas é necessário considerar também o valor da informação para a
empresa. Na hipótese de não haver um software gratuito ou de valor mais acessível
adequado a atender as necessidades da empresa, é preciso considerar quanto à
mesma estaria disposta a investir numa ferramenta de backup para proteger suas
informações.
Neste capítulo foram abordados trabalhos que têm relação com a segurança
da informação no tema backup. Alguns desses trabalhos consideram mais técnicas
ou estudos de viabilidade de ferramentas destinadas à prática de backup. Outros
trabalhos têm maior ênfase na norma que rege a segurança da informação,
procurando avaliar o quanto a instituição está alinhada à norma ISO 27002.

47
Dentre os trabalhos citados, os mais significativos são os trabalhos de Moraes
(2007), Furlan (2013) e Friedrich (2014). Um resumo da análise desses trabalhos é
apresentado no Quadro 4.2.
Quadro 4.2 - Comparativo entre Trabalhos Relacionados
Fonte: Elaborado pelo Autor (2017)
Os trabalhos do Quadro 4.2 serviram de fonte inspiradora para o modelo
desenvolvido neste trabalho. O trabalho de Moraes (2007) destaca-se pela área
específica de backup, como resultado a autora apresenta um guia para o
planejamento de backup aplicado no cenário de uma Universidade. Tanto o trabalho
de Friedrich (2013) como o de Furlan (2014) baseiam-se na norma ISO 27002, tendo
como resultado final um sistema WEB no qual se busca analisar e verificar o quanto
as empresas estão alinhas à norma ISO 27002. Esse trabalho utiliza-se da norma
ISO 27002 como bases, utilizando a interface WEB para facilitar a interação da
ferramenta com os usuários. Assim, nosso trabalho diferencia-se dos trabalhos
relacionados por propor melhorias no processo de backup, sendo aplicado no
cenário dos Institutos Federais, delimitando especificamente a área de
procedimentos de backup.
No próximo capítulo é apresentado como foi desenvolvida a pesquisa que
permitiu obter informações relevantes sobre os principais pontos no processo de
backup dos referidos institutos que necessitam de melhorias, sendo essas
informações usadas para o desenvolvimento de uma ferramenta que visa melhorar o
procedimento de backup atualmente em uso nessas instituições.

48
5 DEFINIÇÃO DO QUESTIONÁRIO, APLICAÇÃO E ANÁLISE DE DADOS
O questionário (Apêndice A) ficou disponível para ser respondido do mês de
maio até início de junho de 2016. Nesse período foram obtidas 62 respostas, destas
foram excluídas 06 respostas duplicadas (respondidas no mesmo campus) restando
56 respostas contabilizadas e consideradas válidas. Embora o convite para
responder ao questionário tenha sido enviado para um público potencialmente
amplo, percebeu-se uma participação pequena em relação ao grande número de IF
existentes no país. O estado com maior índice de respostas foi Santa Catarina,
totalizando 22 respostas válidas, sendo 18 respostas atribuídas ao Instituto Federal
de Santa Catarina (IFSC) e 04 para o Instituto Federal Catarinense (IFC). As demais
respostas estão distribuídas entres os IF da Bahia (5), Baiano (3), Goiás (1), Mato
Grosso (1), Minas Gerais (2), Pernambuco (2), Rondônia (1), Roraima (2), São Paulo
(1), Espírito Santo (3), Norte de Minas (2), Piauí (2), Sudeste de Minas (1), Sul de
Minas (1), Tocantins (1), Triângulo Mineiro (1), Fluminense (1), Goiano (1) e
Universidade Federal do Cariri (1).
A distribuição das respostas pode ser vistas conforme mostrado na Figura 5.1
Figura 5.1 – Institutos Federais Respondentes
Fonte: Elaborada pelo Autor (2017)

49
Com o questionário foi possível retratar o perfil do pessoal de TI que atua nos
Institutos Federais, formados na sua maioria por Analistas de Tecnologia da
Informação, representando 47,3% dos respondentes, conforme mostrado no gráfico
da Figura 5.2, sendo que 41,8% atuam há dez (10) anos ou mais na área de TI,
conforme mostrado no gráfico da Figura 5.3. No entanto, 83,6% dos respondentes
não possui nenhum curso ou capacitação na área de backup. A maioria dos
respondentes é formada por profissionais que possuem boa experiência em TI,
porém nota-se a baixa capacitação desses profissionais relacionada ao backup,
conforme demonstrado no gráfico da Figura 5.4.
Figura 5.2 – Gráfico Cargos

50
Figura 5.3 – Gráfico Tempo de Atuação
Figura 5.4 – Gráfico Capacitação
Utilizamos o critério de maior incidência nas respostas, a fim de classificar
quais problemas, falhas ou deficiências seriam levadas em consideração para
desenvolver a ferramenta protótipo, visando proporcionar melhorias no procedimento
de backup. Foram selecionadas as seguintes questões:
1. “O Backup possui Documentação?” (Figura 5.5)

51
Figura 5.5 – Gráfico Documentação do Backup
2. “Os testes feitos são documentados/registrados?” (Figura 5.6)
Figura 5.6 – Gráfico Documentação de Testes
3. Os erros/falhas são documentados/registrados? “(Figura 5.7)

52
Figura 5.7 – Gráfico Documentação Erros/Falhas
4. “Existe um plano de Recuperação de Desastre?” (Figura 5.8)
Figura 5.8 – Gráfico Plano de Recuperação

53
5. “Existe uma cópia do Backup em outro lugar, além do local de origem?”
(Figura 5.9)
Figura 5.9 – Gráfico Cópia do Backup
Das cinco (05) questões que tiveram maior incidência considerando a norma e
boas práticas, foram selecionadas para incorporar a ferramenta protótipo apenas
três (03):
 Documentação do backup;
 Documentação de testes feitos; e
 Documentação de erros/falhas.
Uma das questões “Existe um plano de Recuperação de Desastre?” que
também obteve grande incidência foi descartada considerando o seguinte motivo: a
questão apesar de ser um item de importância foi considerado um escopo maior no
qual existem vários outros pontos a considerar como: funções e responsabilidades
da equipe ou pessoas envolvidas, seqüência de passos necessários para
restabelecer o local de operação, cronograma de cada atividade a ser executa entre
outras, sendo que o backup também é parte integrante de um plano de desastre.
Portanto, esse item não foi selecionado, considerando o escopo já definido deste

54
trabalho que é o procedimento de backup. As demais questões foram descartadas
por terem um índice baixo de incidência, já que o critério usado para escolha foi o de
maior incidência. Seguindo os critérios mencionados, a ferramenta protótipo atuará
na melhoria da documentação do backup, assim como na documentação dos testes
e falhas procurando melhorar o procedimento do backup.
O software de backup que teve maior incidência quando respondida a
questão:
“Qual software ou ferramenta você utiliza para o backup?” foi o Bacula42 (Figura
5.10)
Figura 5.10 – Gráfico Software/Ferramenta Utilizada
Desta forma será utilizado o Bacula como referência para o desenvolvimento
do protótipo, já que é um dos softwares de backup mais utilizados de acordo com as
respostas obtidas.
Neste capítulo foram apresentados o questionário, sua aplicação e a análise
dos dados obtidos do questionário, destacando as questões mais relevantes como:
“O Backup possui Documentação?”, “Os testes feitos são
42
http://bacula.com

55
documentados/registrados?”, “Os erros/falhas são documentados/registrados?” e
“Qual software ou ferramenta você utiliza para o backup?”. As questões citadas
foram consideradas chave para iniciar o processo de desenvolvimento da ferramenta
protótipo. Vale ressaltar que as demais questões que não foram selecionadas para
desenvolver o protótipo, também foram importantes e contribuíram para o
entendimento e visão geral dos procedimentos de backup no cenário dos IF. Fica
evidente o quanto um tema de importância como é o caso deste, pode ter diferentes
abordagens dentro de instituições muito semelhantes, como no caso dos IF aqui
analisados.
No próximo capítulo é detalhado o desenvolvimento do protótipo com base
nas informações apresentadas neste capítulo.

56
6 ESPECIFICAÇÃO E IMPLEMENTAÇÃO DO PROTÓTIPO
Neste capítulo, serão apresentadas a especificação e implementação do
protótipo de modo que possam ser explanadas as suas funcionalidades, permitindo
uma visão global do referido protótipo. Essa apresentação será dividida em cindo
partes:
1. Descrição Geral do Sistema;
2. Arquitetura;
3. Requisitos do Protótipo;
4. Casos de Uso; e
5. Implementação, Utilização e Funcionamento do Protótipo;
6.1 DESCRIÇÃO GERAL DO SISTEMA
O sistema protótipo, aqui denominado “DocBackup”, é uma ferramenta que
visa gerar a documentação de backup de forma automatizada, extraindo as
informações dos arquivos de configurações do Bacula43 remotamente e
disponibilizando no formato PDF. Para isso o sistema usa as informações
previamente cadastradas pelo usuário, como ip, usuário e senha de conexão remota
(ssh) do servidor Bacula. Além da documentação, o sistema também permite
agrupar e filtrar as informações dos logs de restauração e backup gerados pelo
Bacula permitindo melhor visualização dessas informações pelo usuário. O
DocBackup também possibilita ao usuário verificar como está o processo de backup
(Ruim, Regular, Bom e Ótimo). Para saber como o processo de backup está
enquadrado, basta responder algumas questões e ao término do questionário, com
base nas respostas, o sistema gerará um relatório de conformidade descrevendo os
itens avaliados no questionário como atende, atende parcialmente e não atende.
Também, algumas recomendações segundo a ISO 27002 serão exibidas no
relatório, para que o usuário possa fazer as correções necessárias, adequando-se,
desta forma, às recomendações da norma. A Figura 6.1 ilustra o funcionamento do
sistema.
43
http://bacula.com

57
Figura 6.1 – Ilustração do Funcionamento do Protótipo
Conforme a Figura 6.1 ilustra, o funcionamento do sistema está representado
em sete etapas.
1. O usuário acessa o servidor web via protocolo http 44e faz uma
solicitação, no caso, gerar/visualizar a documentação ou gerar/visualizar o
relatório de conformidade;
2. Em seguida é feita uma conexão ssh entre o servidor web e o servidor
Bacula;
3. As informações dos arquivos de configurações do servidor Bacula são
lidas;
4. As informações lidas são enviadas via ssh para o servidor web;
5. Após o processamento das informações recebidas, as informações são
gravadas na base de dados mysql;
6. As solicitações são respondidas pelo sistema via protocolo http; e
44
http é um protocolo de comunicação utilizado para sistemas de informação de hipermídia,
distribuídos e colaborativos.

58
7. O usuário visualiza a documentação ou o relatório de conformidade
solicitado.
6.2 ARQUITETURA
Nesta seção será apresentada a arquitetura do sistema, na qual serão
detalhados os componentes que o compõem, assim como a implementação e as
tecnologias utilizadas no seu desenvolvimento. A arquitetura do sistema basea-se no
modelo de três (3) camadas, conforme mostrado na Figura 6.2 (apresentação,
negócio e persistência).
Figura 6.2 –Diagrama sumarizado do MVC
Fonte: Delamore (2012)
A Figura 6.3 apresenta o diagrama de componentes da arquitetura do
protótipo.

59
Figura 6.3 – Arquitetura Utilizada
A Camada de Apresentação é a camada responsável por oferecer a interface
gráfica ao usuário, permitindo a sua interação com o sistema. Abaixo são descritos
os componentes que formam essa camada:

60
form_cad_install.php - responsável por permitir realizar as configurações
iniciais da aplicação, como criar estrutura do banco de dados, usuário de acesso e
arquivo de conexão como o banco criado;
sig-in.php - responsável por permitir ao usuário informar seus dados de
acesso ao sistema;
index.php - responsável por permitir ao usuário ter acesso aos demais
componentes e funcionalidades disponíveis no sistema, como visualização das
informações da mídia de armazenamento(fita ou disco), logs de restore e backup;
form_cad_server.php - responsável por permitir ao usuário realizar o
cadastro do servidor Bacula no sistema;
form_cad_config.php - responsável por permitir ao usuário realizar o
cadastro das configurações de acesso remoto no sistema;
form_question.php - responsável por permitir ao usuário responder a
primeira parte do questionário de conformidade do backup disponível no sistema;
form_question2.php - responsável por permitir ao usuário responder a
segunda parte do questionário de conformidade do backup disponível no sistema;
show_document.php - responsável por permitir ao usuário visualizar a
documentação do backup gerado no formato PDF pelo sistema; e
resultado.php - responsável por permitir ao usuário visualizar o resultado do
relatório de conformidade do backup gerado no formato PDF pelo sistema.
A camada de Negócio é onde estão concentradas as regras de
funcionamento da aplicação, sendo desta forma, considerada como a camada lógica
da aplicação. Os componentes definidos para esta camada são:
cad_install.php - responsável por verificar e validar as pré-condições de
instalação do sistema no novo ambiente de operação, possibilitando o primeiro
acesso ao sistema ;
valida_login.php - responsável por verificar e validar as informações de
acesso fornecidas pelo usuário, possibilitando o acesso ao sistema somente para
pessoas autorizadas;
cad_server.php - responsável por verificar e validar as informações do
servidor a ser cadastrado no sistema, possibilitando testar o acesso remoto

61
utilizando usuário e senha antes de efetivamente cadastrar os servidores Bacula no
banco de dados;
cad_config.php - responsável por verificar e validar as informações de
configuração de acesso ao banco de dados remoto do servidor Bacula;
gera_doc.php - responsável por buscar e extrair remotamente as
informações dos arquivos de configurações Bacula e gravar no banco de dados local
as informações que irão compor a documentação do backup para futuras
visualizações; e
result_question.php - responsável por verificar e validar as informações das
respostas do questionário de conformidade, fazendo a contabilização dos pontos
obtidos de acordo com as respostas fornecidas, enquadrando assim o processo de
backup em ruim, regular, bom ou ótimo;
A camada de persistência de dados é responsável por receber as requisições
da camada de negócio para executar transações no banco de dados do sistema. O
componente definido para esta camada é:
db_conecta.php - componente responsável por permitir o acesso ao
banco de dados do sistema.
6.3 REQUISITOS DO PROTÓTIPO
Essa seção apresenta a descrição dos serviços e funções que o sistema
protótipo desenvolvido deve disponibilizar, bem como as suas restrições de
operação e propriedades gerais.
A Seção 6.3.1 apresenta a especificação dos requisitos funcionais e não
funcionais definindo seus objetivos e prioridades, os quais deverão ser levados em
consideração no desenvolvimento do protótipo. De acordo com Martins (2010), os
requisitos funcionais são aqueles que definem o comportamento do sistema, e
podem ser obtidos por meio de Casos de Uso, os quais documentam os processos,
entradas e saídas geradas. Já os requisitos não funcionais são compostos por
características que podem não estar associadas ao comportamento, como
usabilidade, confiabilidade, desempenho e suporte.

62
Para estabelecer a prioridade dos requisitos, foram adotadas as
denominações “essencial”, “importante” e “desejável”. Segundo Andrade (2013), a
prioridade dos requisitos é utilizada no gerenciamento do escopo das etapas do
projeto, assim como sua definição durante o desenvolvimento do sistema:
 Essencial – Requisito sem o qual o sistema não entra em funcionamento, ou
seja, são requisitos de extrema necessidade para funcionamento do sistema;
 Importante – Requisito sem o qual o sistema entra em funcionamento, mas de
maneira insatisfatória, ou seja, não impede o funcionamento do sistema que
poderá ser implantado mesmo assim sem tais requisitos, os quais devem ser
implantado posteriormente; e
 Desejável – Requisito que não compromete as funcionalidades básicas do
sistema, isto é, o sistema pode funcionar de forma satisfatória, sem que o não
atendimento de tais requisitos comprometa o funcionamento do sistema.
6.3.1 Requisitos funcionais e requisitos não funcionais
Os requisitos necessários para o protótipo aqui descritos baseiam-se nas
análises dos dados citados no Capítulo 5. Os requisitos funcionais estão descritos e
enumerados conforme as referências a seguir:
 A referência “RF” significa Requisito Funcional e o número que se
encontra após está referência significa a seqüência (ordenação) adotada.
RF001 Cadastrar servidor
Este requisito tem como finalidade o cadastro de Servidor Bacula
Prioridade: [ X ] Essencial [ ] Importante [ ] Desejável
RF002 Cadastrar configurações
Este requisito tem como finalidade o cadastro de acesso remoto entre servidor web e
servidor Bacula.

63
RF003 Gerar a documentação
Este requisito tem como finalidade gerar automaticamente a documentação do backup
com base nos arquivos de configurações do Bacula.
RF004 Cadastrar os clientes
Este requisito tem como finalidade o cadastro dos clientes Bacula com base nos arquivos
de configurações do Bacula.
RF005 Atualizar a documentação
Este requisito tem como finalidade atualizar automaticamente a documentação do
backup com base nos arquivos de configurações do Bacula.
RF006 Exibir o servidor cadastrado
Este requisito tem como finalidade exibir o servidor Bacula cadastrado e seu status (On-
line /Off-line)
Prioridade: [ ] Essencial [ X ] Importante [ ] Desejável
RF007 Exibir os clientes cadastrados
Este requisito tem como finalidade exibir os clientes Bacula cadastrado e seu status (On-
line /Off-line)
RF008 Exibir a documentação gerada

64
Este requisito tem como finalidade exibir a documentação gerada para cada cliente e
permitir selecionar a documentação desejada para visualização.
RF009 Visualizar documentação
Este requisito tem como finalidade permitir visualizar documentação no formato PDF,
individualmente ou de todos clientes.
RF010 Exibir dados do storage
Este requisito tem como finalidade exibir informações de armazenamento (storage)
dando detalhes com o espaço usado, espaço livre, ponto de montagem do dispositivo
entre outras, no caso do storage ser um disco rígido.
RF011 Exibir informações do log de Restore
Este requisito tem como finalidade exibir informações do log de Restore com opção de
filtrar por cliente ou por todos, permitindo ao usuário escolher de qual ou quais clientes
os dados serão mostrados.
RF012 Filtrar dados
Este requisito tem como finalidade filtrar informações do log de Restore por cliente ou por
todos.
RF013 Exibir informações do log do backup
Este requisito tem como finalidade exibir informações do log de Restore com opção de

65
filtrar por cliente ou por todos, permitindo ao usuário escolher de qual ou quais clientes
os dados serão mostrados.
RF014 Exibir questionário
Este requisito tem como finalidade exibir questionário para avaliar conformidade do
Backup para cada cliente Bacula, exibindo várias questões que deverão ser respondidas
pelo usuário.
RF015 Gerar relatório de conformidade
Este requisito tem como finalidade gerar o relatório de conformidade do Backup para
cada cliente Bacula.
RF016 Exibir resultado do relatório de conformidade
Este requisito tem como finalidade exibir resultado do relatório de conformidade do
backup no formato PDF.
RF017 Visualizar relatório de conformidade
Este requisito tem como finalidade permitir visualizar o relatório de conformidade no
formato PDF.
Os requisitos não funcionais estão descritos e enumerados conforme as
referências a seguir:
 A referência “RNF” significa Requisito Não Funcional e o número que se

66
RNF001 Sistema Web
O sistema deve permitir o acesso pela web
RNF002 Linguagem de programação PHP
O sistema deve ser desenvolvido na linguagem PHP.
RNF003 SGDB
O sistema deve comunicar-se com o MYSQL.
RNF004 Sistema de backup Bacula
O sistema deve comunicar-se com o sistema de backup Bacula.
6.4 CASOS DE USO
Nesta seção é apresentado o diagrama de casos de uso (Figura 6.4)
modelado para o desenvolvimento do sistema, bem como sua especificação.

67
Figura 6.4 – Diagrama de Casos de Uso
Especificação dos Casos de uso
 A referência “UC” significa Use Case (Caso de Uso) e o número que se
UC001 - Cadastrar servidor
Sumário: Este caso de uso permite fazer o cadastro dos servidores Bacula.

68
Atores: usuário.
Pré-condição: o usuário precisa ter acesso ao sistema.
Roteiro:
 O usuário acessa a área de cadastro de servidores do sistema;
 O sistema exibe a tela de cadastro;
 O usuário informa: endereço IP , usuário e senha de conexão remota (ssh) e um
nome para identificação do servidor no sistema;
 O usuário clica em Salvar Dados;
 O sistema faz a validação do acesso remoto;
 O sistema grava as informações no banco de dados.
Fluxos Alternativos:
FA01- Retornar ao menu principal.
 O usuário pode a qualquer momento sair da tela de cadastro de servidores, por
meio do ícone “Home” representado por um desenho de uma casa, localizado no
menu lateral na tela.
Exceção:
E01 – Notificação de Erro.
 No caso da validação dos dados de acesso remoto retornar erro, o sistema
apresentará uma notificação ao usuário informando o motivo encontrado.
Pós-condição:
Cadastro concluído com sucesso.
UC002 - Cadastrar configurações
Sumário: Este caso de uso permite fazer o cadastro das configurações de acesso
remoto entre o servidor web e o banco de dados do Bacula.

DISSERTAÇÃO Wilson Flávio Rodrigues.pdf

DISSERTAÇÃO Wilson Flávio Rodrigues.pdf

Recomendados

Recomendados

Mais conteúdo relacionado

Semelhante a DISSERTAÇÃO Wilson Flávio Rodrigues.pdf

Semelhante a DISSERTAÇÃO Wilson Flávio Rodrigues.pdf (20)

DISSERTAÇÃO Wilson Flávio Rodrigues.pdf