CHQAO - GTI Unid 02.pdf

GESTÃO DA
TECNOLOGIA
DA INFORMAÇÃO
GESTÃO DE
MATERIAL E
PATRIMÔNIO
GESTÃO DE
PESSOAS NA
ADMINISTRAÇÃO
PÚBLICA
FUNDAMENTOS
DO DIREITO
PÚBLICO E PRIVADO
ADMINISTRAÇÃO
PÚBLICA BRASILEIRA
GESTÃO ORÇAMENTÁRIA
E FINANCEIRA
GESTÃO DE
QUALIDADE EM SERVIÇOS
CHQAO
Curso de Habilitação ao Quadro Auxiliar de Oficiais

Coordenação Didático-Pedagógica
Stella M. Peixoto de Azevedo Pedrosa
Redação Pedagógica
Alessandra Muylaert Archer
Frieda Marti
Tito Ricardo de Almeida Tortori
Revisão
Projeto Gráfico e Diagramação
Romulo Freitas
Coordenação de Conteudistas
Roberto Blaschek
Conteudista
Joaquim Santos Neto
Produção
Pontifícia Universidade Católica do Rio de Janeiro
Realização
EsIE – Escola de Instrução Especializada
Exército Brasileiro
Gestão da tecnologia da informação / coordenação
didático-pedagógica: Stella M. Peixoto de Azevedo Pedrosa ;
redação pedagógica: Alessandra Muylaert Archer, Frieda Marti,
Tito Ricardo de Almeida Tortori – Rio de Janeiro : PUC-Rio,
CCEAD, 2013.
3 v. : il. (color.) ; 21 cm
Inclui bibliografia
Conteúdo: unidade 2. Infraestrutura, governança e
segurança de TI / conteudista: Joaquim Santos Neto.
1. Tecnologia da informação. 2. Gestão do conhecimento.
3. Sistemas de informação gerencial. 4. Comércio eletrônico. I.
Pontifícia Universidade Católica do Rio de Janeiro.
CDD: 004

GESTÃO DA TECNOLOGIA DA INFORMAÇÃO
Unidade 2
Infraestrutura, Governança e Segurança de TI
CHQAO

O Curso de Habilitação ao Quadro de Auxiliar de Oficiais (CHQAO),
conduzido pela Escola de Instrução Especializada (EsIE), visa habilitar os
subtenentes à ocupação de cargos e ao desempenho de funções previstas
para o Quadro Auxiliar de Oficiais.
A disciplina Gestão da Tecnologia da Informação (GTI), iniciada nesta
apostila, possui carga horária total de 60 horas.
Os objetivos gerais dessa disciplina são:
• Desenvolver a capacidade de planejamento em TI.
• Construir competências para a criação e inovação de estratégias
vencedoras na área de Tecnologia da Informação.
• Conhecer os principais sistemas de TI utilizados pelo Exército Brasileiro.
Nesta apostila será apresentada a Unidade II – Infraestrutura, Governança
e Segurança de TI, cujos objetivos específicos estarão no início de cada
capítulo.
Boa leitura!

Joaquim Santos Neto é mestre em Ciência da Computação na COPPE – UFRJ,
atua desde 1999 ministrando aulas nos cursos de extensão da PUC-Rio. Pu-
blicou artigos e realizou palestras no âmbito nacional e internacional. Possui
experiência de 20 anos na área de Tecnologia da Informação, administração de
departamento de Informática (Gestão de Pessoal, PDI e Business Plan), desen-
volvimento de sistemas (Sistemas Web, Client/Server, Data Mart, Data Wa-
rehouse e Banco de Dados) e projeto de infraestrutura de redes, fornecendo à
organização vantagens competitivas através da TI.
conteudista

Índice
1. CONCEITOS BÁSICOS DE TELECOMUNICAÇÕES
1.1 TRANSMISSÃO DE DADOS
1.2 TOPOLOGIA DE REDE
2. BUREAU DE SERVIÇOS
3. INTERNET DATA CENTER
4. SEGURANÇA DA INFORMAÇÃO
4.1 PRINCÍPIOS DA SEGURANÇA DA INFORMAÇÃO
4.2 NORTI – NORMAS PARA O CONTROLE DA UTILIZAÇÃO
DOS MEIOS DE TECNOLOGIA DA INFORMAÇÃO NO EXÉRCITO
4.3 ESTRATÉGIAS FUNDAMENTAIS DE PROTEÇÃO
5. CRIPTOGRAFIA
6. SECURE SOCKETS LAYER
7. OUTSOURCING EM TI
8. GOVERNANÇA CORPORATIVA
8.1 GOVERNANÇA EM TI
9. BIBLIOGRAFIA
09
09
12
17
19
23
23
28
30
33
39
41
45
46
49

GESTÃO DATECNOLOGIA DA INFORMAÇÃO - U2
9
Objetivos específicos
• Apresentar conceitos básicos de telecomunicações.
1
Desde o início da humanidade o homem se utiliza de meios de comunicação
para trocar informações, sejam pessoais, de negócio ou vitais à sobrevivência
como, por exemplo, médicas. Com o surgimento das telecomunicações,
tais informações puderam chegar mais rápido e mais longe, proporcionando
conectividade entre as pessoas. A própria internet, rede de computadores
mundial, é um exemplo disso, sendo um meio de divulgação da informação a
nível planetário. Computadores no mundo todo trocam informações através
dessa grande rede.
Conceitos básicos
de telecomunicações
Vejamos, então, qual a nomenclatura utilizada em transmissão de dados e que
prefixos e valores são usados para representar as respectivas taxas de transmissão.
1.1 Transmissão de dados
As bandas passantes (bandwidth) determinam o volume de dados transmiti-
dos de um computador para outro por unidade de tempo. Os dados são trans-
mitidos em diversas taxas de transferência e essas taxas determinam o número
de [bits] que são transmitidos por segundo. Originalmente, as taxas de trans-
missão eram de 1.200 bps (1.200 bits por segundo) (GOLENNIEWSKI, 2006).
Bit: uma simplificação
para o termo “dígito binário”,
do inglês “binary digit”. É a
unidade usada na computação
e na teoria da informação
para armazenar ou transmitir
informação. Um bit corres-
ponde a apenas dois valores
possíveis: 0 (falso) ou 1
(verdadeiro).
Uma rede de computadores consiste na interligação de disposi-
tivos, cujo volume de dados transmitidos é um fator relevante.

10
É muito comum em telecomunicações o uso de prefixos para determinar a
taxa de transferência de uma banda passante. Entretanto, considerando que
a comunicação eletrônica usa linguagem binária (uso de algarismos 0 e 1),
os prefixos do Sistema Internacional de medidas (SI), que especifica um con-
junto de métricas para determinadas grandezas (quilo, mega , giga, etc.) não
se aplicam corretamente, pois estão formulados em base 10 (uso de algaris-
mos de 0 a 9). Isso gera um erro comum em operadoras de telecomunicação
e fabricantes de equipamentos, que é o uso de prefixos do SI na transmissão
de dados binários, representado no exemplo a seguir:
• Kbps (Kilo bps = 1.000 bits/segundo)
• Mbps (Mega bps = 1.000.000 bits/segundo)
• Gbps (Giga bps = 1.000.000.000 bits/segundo)
• Tbps (Tera bps = 1.000.000.000.000 bits/segundo)
• Pbps (Peta bps = 1.000.000.000.000.000 bits/segundo)
• Zbps (Zeta bps = 1.000.000.000.000.000.000 bits/segundo)
• Ybps (Yotta bps = 1.000.000.000.000.000.000.000 bits/segundo)
O uso de prefixos do Sistema Internacional (SI) (giga, mega e
kilo) em telecomunicações não exprime a quantidade correta
de bits que são transmitidos em uma banda passante, uma
vez que a base de numeração utilizada é binária (base 2) e não
a decimal (base 10). Sendo assim:
• 1 Kbps em telecom não é 1.000 bits por segundo e sim
1.024 bits por segundo.
• Logo, o prefixo K = 1.000 não pode ser usado, sendo subs-
tituído pelo Ki = 1.024
• 1Kibps = 1.024 bits por segundo.
Para atender à necessidade de telecomunicação sem ambiguidades, a norma
IEC 80000-13:2008 (Information Science and Technology) define os prefixos
binários apresentados no Quadro 1:

11
Nome Símbolo Potência = valor
kibi Ki 210 = 1.024
mebi Mi 220 = 1.048.576
gibi Gi 230 = 1.073.741.824
tebi Ti 240 = 1.099.511.627.776
pebi Pi 250 = 1.125.899.906.842.624
exbi Ei 260 = 1.152.921.504.606.846.976
zebi Zi 270 = 1.180.591.620.717.411.303.424
yobi Yi 280 = 1.208.925.819.614.629.174.706.176
Quadro 1 - Prefixos binários - norma IEC 80000-13 (2008)
O Quadro 2 ilustra as diversas taxas de transferência de dados, utilizando os
prefixos estabelecidos pela IEC 80000-13.
Taxa de Transferência Descrição
1.200 bps 1.200 bits por segundo
2.400 bps 2.400 bits por segundo
56 Kibps 57.344 bits por segundo
1 Mibps 1.048.576 bits por segundo
1 Gibps 1.073.741.824 bits por segundo
1 Tibps 1.099.511.627.776 bits por segundo
1 Pibps 1.125.899.906.842.624 bits por segundo
1 Eibps 1.152.921.504.606.846.976 bits por segundo
Quadro 2 – Taxas de transferência de acordo com a IEC 80000-13
As taxas de transferência Ki, Mi e Gi são amplamente utilizadas em vários
equipamentos de rede, como modem, switches, roteadores, entre outros. As
redes com taxas de transferência Tibps, Pibps e Eibps são esperadas para um
futuro próximo.

12
O aumento contínuo das taxas de transmissão advém do crescimento do uso
da computação na internet em escala global. As aplicações voltadas às neces-
sidades dos usuários requerem cada vez mais banda passante para atender os
diversos tipos de tráfego de dados. Cada tipo de tráfego tem um comporta-
mento diferenciado devido ao seu uso. Para tal, alguns requisitos essenciais,
como por exemplo a banda passante necessária, as considerações de latência
de transmissão de dados e a perda de dados, devem ser atingidos para possibi-
litar a transmissão e o seu uso correto pelas aplicações.
Os quatro tipos de tráfego mais utilizados são:
• dados
• voz
• imagem
• vídeo
Cada um exige requisitos específicos a serem atendidos. A construção de uma
rede deve levar em consideração esses aspectos e determinar a topologia mais
adequada para cada caso.
1.2 Topologia de rede
A topologia de uma rede de computadores pode ser de dois tipos:
• Topologia física;
• Topologia lógica.
1.2.1 Topologia física
A topologia física depende do cabeamento físico utilizado. O layout do
cabeamento, a localização dos nós e a sua interligação determinará o formato
da rede.
Existem oito tipos de topologias físicas de rede:
a) Topologia point-to-point
A topologia de rede point-to-point (conectividade ponto a ponto) é a mais
simples das topologias. É um modelo convencional de rede telefônica aplicada
à rede de dados.

13
As redes point-to-point podem ser:
• Permanentes: as duas extremidades estão sempre conectadas e ativas,
como ilustrado na Figura 1.
Figura 1 – Topologia
point-to-point
• Comutada (switched): Conforme ilustrado na Figura 2, a comunicação
acontece quando um nó entra em contato com outro. A rede se estabe-
lece realizando a transmissão de dados. Ao final da transmissão todos os
nós são desconectados.
Rede
Comutada
Figura 2 – Topologia
point-to-point comutada
b) Topologia bus
A topologia de rede em bus utiliza um único cabo coaxial com [conectores
BNC] (conector Bayonet Neil Concelman), em que todos os dispositivos são
conectados a ele. Em cada ponta há um terminador de 50 ohm que finaliza a
rede. Os dados caminham na rede em ambos os sentidos.
Conector BNC (Bayonet
Neil Concelman): é um
conector para cabos coaxiais
tipo RG-58 e RG-59 utilizado
para construir uma rede de
computadores.
Figura 3 – Topologia bus
Figura 4 – Cabo coaxial Figura 5 – Conectores BNC

14
c) Topologia star
A topologia de rede star (em estrela) possui um ponto central de conexão
ao qual todos os dispositivos estão conectados. Esse ponto é um equipamento
denominado hub ou switch. Todo o tráfego passa por esse equipamento para
ser transmitido entre os dispositivos da rede. Esse tipo de rede é normalmente
utilizado com cabos de pares trançados (twisted pair cables).
Figura 7 – Cabo de par trançado com conector RJ45
Figura 6 – Topologia star (em estrela)
d) Topologia ring
A topologia de rede ring (em anel) é uma topologia circular fechada. Cada
dispositivo conectado à rede é um repetidor do dispositivo conectado a sua
esquerda. O dado só circula no anel em um único sentido.
Figura 8 – Topologia em anel
e) Topologia mesh
A topologia de rede mesh se divide em dois tipos:
• Mesh Partially Connected (parcialmente conectadas): determinados dispo-
sitivos da rede estão conectados de forma ponto a ponto (point-to-point)
a mais de um dispositivo da rede, criando algumas redundâncias na rede.

15
• Mesh Fully Connected (totalmente conectada): todos os dispositivos da
rede estão conectados entre si.
Figura 9 – Mesh parcialmente conectada
Figura 10 – Mesh totalmente conectada
f) Topologia tree
A topologia de rede tree (em árvore) é baseada em hierarquia de dispositi-
vos na rede. O mais alto nível da rede é um nó simples, denominado nó raiz
(root node). Os nós (dispositivos) conectados abaixo do nó raiz são conectados
a um ou mais nós por meio de conexões point-to-point.
Figura 11 – Topologia em árvore

16
g) Topologia hybrid
A topologia de rede hybrid ou híbridas são combinações de duas das topo-
logias já apresentadas, formando uma nova rede. Nesse caso é obrigatório que
as características das duas topologias estejam presentes. Por exemplo, uma
rede em estrela que nas pontas possua rede em anel.
h) Topologia daisy chain
Daisy chain é um tipo de topologia linear, na qual um computador é ligado
após o outro. O último computador é o fim da linha e o primeiro é o início. O
tipo de topologia aplicado nesse caso é a line (em linha) ilustrada na figura 12.
1.2.2 Topologia lógica
Na topologia lógica o sentido que o dado flui determina a topologia da rede,
não importando as conexões físicas realizadas para montá-la. A mesma classi-
ficação de topologia das redes físicas é utilizada, porém o sentido de fluxo dos
dados é levado em consideração. As topologias lógicas são determinadas pelo
protocolo de transmissão utilizado na rede e pelo MAC (Media Access Control).
Para que uma rede de computadores possa prover os serviços que hoje a inter-
net realiza, mais protocolos devem ser aplicados. O modelo OSI (Open System
Interconnection – ISO/IEC 7498-1) define a arquitetura de um sistema de co-
municação e possui sete camadas, nas quais os protocolos são distribuídos. No
caso da internet, o protocolo TCP/IP é o usado. Distribuído nas sete camadas
OSI, o protocolo TCP/IP se apresenta da seguinte forma:
Camada Protocolo
5. Aplicação
HTTP, SMTP, FTP, SSH, Telnet, SIP, RDP, IRC, SNMP, NNTP,
POP3, IMAP, BitTorrent, DNS, Ping.
4. Transporte TCP, UDP, RTP, SCTP, DCCP.
3. Rede IP (IPv4, IPv6), ARP, RARP, ICMP, IPsec.
2. Enlace
Ethernet, 802.11 WiFi, IEEE 802.1Q, 802.11g, HDLC,
Token ring, FDDI, PPP, Switch , Frame relay.
1. Física Modem, RDIS, RS-232, EIA-422, RS-449, Bluetooth, USB.
Figura 12 – Topologia em linha
Quadro 3 – Protocolo TCP/IP
O MAC (Media Access Con-
trol) provê o endereçamento
para acesso de um dispositivo
na rede. São endereçamentos
de 48 bits (Ex: 00-B0-D0-86-
BB-F7) usados no protocolo
Ethernet. O CSMA/CD (usado
no Ethernet e IEEE 802.3), o
Token Ring (IEEE 802.5) e
o CSMA/CA (usado no IEEE
802.11/WiFi Wlans) são
exemplos desses protocolos.

17
Bureau de serviços
2
A palavra bureau vem do francês e quer dizer escritório ou empresa. Bureau
de serviços, então, é uma empresa que presta serviços através da cobrança
de uma taxa por serviço prestado. Esse termo foi muito usado em Tecnologia
da Informação no início da computação nos anos 50. Esse conceito vem sendo
compreendido atualmente como outsourcing, a ser visto ainda nesta Unidade.
Na década de 50, os mainframes (computadores de grande porte) só eram
encontrados em grandes organizações. O tamanho desse equipamento era
enorme, o que exigia uma grande área para sua instalação. A necessidade de
infraestrutura de energia elétrica, refrigeração, entre outros, tornou a instala-
ção desse equipamento cara e complexa. O preço dos mainframes também era
elevado, sendo somente adquirido por grandes corporações que tinham fôlego
financeiro para implantar um sistema computacional. Empresas de médio e
pequeno porte, apesar de terem necessidades computacionais, não podiam
montar uma estrutura computacional devido ao custo.
Observando o mercado, algumas empresas entenderam que poderiam prestar
serviços de computação para médias e pequenas empresas, alocando parte do
dia do processamento do mainframe para empresas diferentes. Nasce então
um negócio muito rentável de prestação de serviço: vendia-se tempo de pro-
cessamento para empresas rodarem seus programas, como folha de pagamen-
to, entre outros. Diversos serviços foram criados, como backup, armazenamen-
to de informação, impressão, plotagem, etc. Por conseguinte, os bureaus de
serviços prestavam uma variedade de serviços diferenciados aos seus clientes.
Com o surgimento da computação pessoal e da tecnologia cliente/servidor, a
computação começou a atender as empresas de médio e pequeno porte com
custo adequado. Essas organizações montaram seus núcleos de processamen-
to dentro da própria empresa.
• Conceituar bureau de serviços.

18
A disseminação do conceito de outsourcing também foi um fator que impulsio-
nou esse segmento. Várias empresas terceirizam seus núcleos de processamen-
to com grandes empresas como a IBM, por exemplo, e os data centers prestam
serviços de terceirização da infraestrutura de TI visando a redução de custo.
A computação na nuvem veio para redesenhar novamente o cenário de pres-
tação de serviços de TI. Os internet data centers criaram novos serviços para
oferecer a seus clientes. Tais serviços inovadores, como por exemplo “software
como serviço”, “plataforma como serviço” e “infraestrutura como serviço”,
são as principais modalidades disponibilizadas. Os data centers passaram de
um ambiente para conter os equipamentos para um internet data center que
presta serviços para muitos usuários.
Observamos que o conceito de bureau de serviços está presente desde a
década de 50 até hoje nos internet data centers. Essa tendência de prestação
de serviços será a tônica para os próximos anos.
Para obter mais informações
sobre data centers, acesse o
link: <http://www.projeto-
deredes.com.br/artigos/arti-
go_datacenter.php>

19
• Definir internet data center.
• Citar as características do data center.
Internet data center
3
Os data centers são ambientes controlados, que possuem um grande con-
junto de equipamentos para prover serviços computacionais. São normalmente
grandes salas com piso elevado, refrigeradas e com energia elétrica estabiliza-
da (nobreaks e geradores de energia).
Os data centers têm uma gestão centralizada, o que permite às empresas
operarem 24 horas nos 365 dias do ano. Dessa forma, diversos data centers
espalhados em países diferentes são gerenciados simultaneamente de um pon-
to central. Essa distribuição geográfica proporciona maior segurança contra
catástrofes em um data center específico. Assim, caso haja a perda de um data
center, todos os serviços providos por ele podem ser remanejados para outro
que esteja operando normalmente, proporcionando, então, serviços de Desas-
tre e Recuperação para a organização que opera dentro desses ambientes. Esse
modelo está esquematizado na Figura 13 (ARREGOCES, 2003).
Centro de
gestão
Data Center 1
Data Center 2 Data Center 3
Data Center 4
Data Center 5
Data Center 6
Figura 13 – Modelo de data
center em conexão estrela

20
Não é de interesse das empresas que suas operações parem. Para tanto, neces-
sitam de ambientes mais seguros, como os data centers, para implantar seus
sistemas computacionais. Dependendo do negócio, não há possibilidade de
interrupção da operação. “Ambientes de Desastre e de Recuperação” são ne-
cessários. Esses ambientes operam em diferentes partes do globo terrestre. São
diversos data centers prontos para assumir o serviço do outro. Esses serviços
oferecidos pelos data centers garantem que pelo menos um deles esteja com
capacidade máxima de atendimento, provendo todos os serviços computacio-
nais que a empresa necessita para operar seu negócio.
Dessa forma, podemos dizer que os objetivos dos data centers são:
• Oferecer o suporte de operações para que as organizações alcancem os
seus objetivos de negócio.
• Diminuir os custos de operação e de manutenção do ambiente de TI
(Tecnologia da Informação).
• Implantar rápidas aplicações de negócio.
• Consolidar os recursos de TI.
A norma ANSI/TIA942 define os requisitos padrão de um data center. O Qua-
dro 4 apresenta cada nível (tier) de um data center e define suas respectivas
características.
Tier 1 – Básico
Disponibilidade
de 99,671%
• Suscetível a paradas por atividades planejadas ou não.
• Caminho único para alimentação elétrica e distribuição de refrigeração. Não
há componentes redundantes.
• Pode ou não ter piso elevado, nobreak e gerador.
• Demora três meses para ser implementado.
• Tempo de parada anual de 28,8 horas.
• Deve ser desligado completamente para realizar manutenção preventiva.
Tier 2 – Componentes
Redundantes
Disponibilidade
de 99,741%
• Menos suscetível a paradas por atividades planejadas ou não.
• Caminho único para alimentação elétrica e distribuição de refrigeração. Inclui
componentes redundantes.
• Piso elevado, nobreak e gerador.
• Demora de três a seis meses para ser implementado.
• Tempo de parada anual de 22 horas.
• Manutenção elétrica e de outras partes da infraestrutura necessitam de um
processo de desligamento.

21
Tier 3 – Manutenção
Concorrente
Disponibilidade
de 99,982%
• Permite que manutenções planejadas não promovam impactos nos dispo-
sitivos computacionais em operação, porém manutenções não planejadas
causarão paralisação do ambiente.
• Múltiplos caminhos para alimentação elétrica e distribuição de refrigeração.
Contudo, somente um caminho está ativo. Inclui componentes redundantes.
• Demora 15 a 20 meses para ser implementado.
• Inclui piso elevado e capacidade suficiente de distribuição para transferir carga
de um caminho para outro durante a realização de manutenção.
Tier 4 – Tolerante
a Falha
Disponibilidade
de 99,995%
• Permite que manutenções planejadas não promovam impactos nos dispo-
sitivos críticos computacionais em operação. O data center pode se manter
operacional com até um caso de problema não planejado.
• Múltiplos caminhos para alimentação elétrica e distribuição de refrigeração.
Inclui componentes redundantes ativos.
• Demora de 15 a 20 meses para ser implementado.
Quadro 4 – Requisitos padrão de data centers por nível
A internet deu um grande impulso nos data centers. Empresas que estavam
somente interessadas em prover suas aplicações corporativas para usuários de
dentro de suas organizações começaram a olhar os consumidores finais como
grandes clientes em potencial.
Os Sistemas de Informação foram adaptados para interagir com os clientes
e fornecedores, realizando vendas diretas ou negócios pela internet. Assim,
surgiu o [e-commerce]. Os data centers são vistos atualmente como os gran-
des provedores de serviços na internet, colocando parceiros, fornecedores e
clientes em contato direto.
Os data centers são importantes polos de informação, pois além de hospeda-
rem os sistemas das organizações, também hospedam rede sociais, sites de
vídeos, sites na web, entre outros serviços.
A computação na nuvem é a próxima etapa para os data centers. A questão da
mobilidade faz com que a informação tenha que estar disponível a qualquer
hora, em qualquer lugar.
e-commerce: estabele-
cimento de relações comer-
ciais utilizando dispositivos
eletrônicos e computacionais
na internet.

22
Cloud computing é um novo modelo de computação, no qual
os recursos de hardware e de software para execução do pro-
cessamento estão na internet e são desconhecidos para o usu-
ário final. O processamento, o armazenamento e os softwares
são fornecidos aos usuários via prestação de serviços.
Internet Data Center
Figura 14 – Cloud computing

23
• Identificar princípios da segurança da informação.
• Apresentar as Normas para o Controle da Utilização dos Meios de Tec-
nologia da Informação no Exército (NORTI).
• Apresentar as Instruções Reguladoras para Utilização da Rede Mundial
de Computadores (internet) por Organizações Militares e Militares do
Exército (IR 20-26).
Segurança da informação
4
É inegável para a atual sociedade a relevância dos diversos usos da compu-
tação em todo o mundo. Até meados do séc. XX, as informações eram fun-
damentalmente armazenadas em papel (ex: em livros, escrituras, códigos,
tratados, apostilas etc.). Atualmente, boa parte da informação disponível está
armazenada em [formato digital] e acessível a diferentes públicos. A internet
permitiu compartilhar informações globalmente e instantaneamente, aumen-
tando sensivelmente a produtividade. As informações digitalizadas estão dispo-
níveis em diversos ramos do conhecimento humano. E com essa exposição da
informação, a necessidade de segurança tornou-se cada vez mais importante.
4.1 Princípios da segurança da informação
A preocupação com a segurança da informação, contudo, não é um as-
pecto recente. Desde os tempos em que o papel predominava no registro de
informações, guardamos documentos em cofres para restringir o acesso a eles,
da mesma forma que hoje temos dispositivos computacionais que restringem
o acesso a um documento digital.
Nesse sentido, em geral, a segurança é sinônimo de proteger o patrimônio e
as redes de computadores contra os ataques de “hackers”, desastres naturais,
condições adversas no ambiente, falhas de energia elétrica, roubo e vandalis-
mo ou contra outras variáveis não desejáveis.
Formato digital: quando
um elemento do mundo real
é transformado para o mundo
digital ele adquire uma forma
de armazenamento digital.
Tal formato (ex: doc, ppt, pdf
entre outros) é a expressão do
elemento do mundo real no
mundo digital.

24
Outro aspecto muito importante em relação à segurança é a determinação
do nível necessário adequado a cada sistema de informação. Quanto maior o
nível de segurança aplicado a um determinado documento digital ou rede de
computadores, por exemplo, maior o custo envolvido. O custo da segurança
nunca deve ser maior do que o valor daquela informação que está sendo
protegida, caso contrário estaríamos aplicando muito mais segurança do que
realmente é preciso.
Para projetarmos um sistema de segurança adequado, é necessário entender
primeiramente como seremos afetados pela falta de segurança. O modelo da
Central de Inteligência Americana (CIA), ilustrado na Figura 15 e baseado nos
princípios de Confidencialidade, Integridade e Disponibilidade, define bem
esse caso.
A definição clássica de Segurança da Informação é proteger a
Informação e os Sistemas de Informação do acesso, uso, inter-
rupção, divulgação, destruição e modificação não autorizados.
Em linhas gerais, é proteger a informação contra aqueles que
pretendem fazer um mau uso dos dados.
Integridade
Confidencialidade
Disponibilidade
Figura 15 – Modelo CIA
Vamos considerar esses princípios para analisar os conceitos de segurança a
seguir.

25
• A Confidencialidade é o conceito de proteção da informação relacio-
nado ao acesso não autorizado. Pode ser implementada em diferentes
níveis, permitindo maior ou menor visualização dos dados. Um bom
exemplo é o acesso a uma conta bancária, utilizando login e senha. Essa
identificação do usuário previne que terceiros não autorizados vejam os
dados da sua conta.
• A Integridade refere-se à capacidade de proteger a informação contra
alteração, edição ou exclusão por pessoa não autorizada. Para manter
a Integridade é preciso proibir a alteração não autorizada, bem como
reverter uma alteração autorizada, por exemplo, por meio de backup.
• A Disponibilidade é a competência para acessar a informação quando
necessário. A falta de disponibilidade pode ser causada por problemas
de energia elétrica, falhas no sistema operacional, na aplicação e na
rede de computadores, por ataques de hackers, entre outros fatores que
comprometem os Sistemas de Informação.
Os ataques aos sistemas de informações são avaliados utilizando o modelo da
CIA. Cada tipo específico de ataque determina o nível de segurança adequado a
ser implementado e o risco em potencial que representam. O Quadro 5 ilustra os
princípios regentes no modelo da CIA e os seus respectivos tipos de ataques.
Modelo CIA Tipo de Ataque
Confidencialidade Intercepção
Integridade
Interrupção
Modificação
Fabricação
Disponibilidade
Interrupção
Modificação
Fabricação
Quadro 5 – Tipo de ataques no modelo CIA
Os principais tipos de ataques a que os Sistemas de Informação
estão sujeitos são: Intercepção, Interrupção, Modificação e
Fabricação.

26
O Quadro 6 apresenta os principais tipos de ataques a sistemas de informação
e as suas respectivas características.
Principais tipos de ataques
Intercepção
Ocorre quando usuários não autorizados têm acesso a infor-
mações, aplicações ou ambientes. É realizada pela visualização
de um arquivo ou cópia não autorizada, leitura de e-mail,
entre outros acessos. São ataques que, se bem executados,
são muito difíceis de serem identificados.
Interrupção
Acontece quando o ataque torna dados, aplicações ou
ambientes não utilizáveis ou indisponíveis para uso de forma
temporária ou permanente. A Interrupção pode causar proble-
mas de Integridade e até de disponibilidade da informação.
Modificação
É a adulteração da informação e pode ser considerado como
ataque de Integridade ou de Disponibilidade.
Fabricação
É o processo de geração de dados, de processos, de comuni-
cações ou de outras atividades de um sistema de computação.
A Fabricação pode afetar a Integridade tanto quanto a dispo-
nibilidade da informação. Um bom exemplo de Fabricação é
a geração de um e-mail que não foi enviado pelo remetente e
sim fabricado para parecer que ele enviou.
Quadro 6: Tipos e características de ataques a sistemas de informação
Um tipo de ataque também é classificado pelo grau de impacto que propor-
ciona, permitindo, dessa forma, o melhor entendimento sobre o ataque e o
planejamento da sua prevenção.
Nesses termos identificamos Riscos, Ameaças, Vulnerabilidades e o Impacto
que um ataque possui.
• O Risco é a probabilidade de um evento não desejável acontecer. Para tal,
é necessário que tenhamos ameaça, vulnerabilidade e impacto envolvidos.
• As Ameaças têm tendência a acontecer em determinados ambientes
específicos. Um exemplo disso é o vírus. O ambiente Windows tem uma
suscetibilidade muito maior a ataques de vírus do que os ambientes
Unix ou Mac.
• As Vulnerabilidades são fraquezas que podem ser utilizadas para
prejudicar um sistema computacional, uma rede de computadores, entre
outros. Essas vulnerabilidades podem ser exploradas para causar um

27
impacto não desejável. Por exemplo, uma vulnerabilidade em um sistema
operacional pode dar acesso irrestrito a todos os dados daquele sistema.
• O Impacto mede o grau do dano proporcionado pelo Risco. Ele pode
ser Alto ou Baixo, criando um gradiente para análise do impacto entre
esses dois extremos. Usamos também escalas para determinar o impacto
(Ex: 0 a 10).
Um exemplo de Risco, Ameaça, Vulnerabilidade e Impacto são apresentados a
seguir:
• Risco: Infecção do computador por Vírus tipo A
• Ameaça: a plataforma Windows possui maior suscetibilidade à infecção
por vírus.
• Vulnerabilidade: não há software antivírus instalado.
• Impacto: alto
Para mitigar os riscos é necessária a aplicação de controles. Eles são divididos
em três categorias: Controles Físicos, Lógicos e Administrativos. O Quadro 7
ilustra os tipos de controle, como atuam e seus métodos de controle.
Tipo de
controle
Como atuam Método de controle
Físicos
Protegem o ambiente no
qual o sistema computa-
cional está instalado.
Controle de acesso, fecha-
duras eletrônicas ou bio-
métricas, guardas, câmeras,
salas tipo cofre, supressão de
incêndio, controle de refrige-
ração, nobreaks e geradores.
Lógicos
São conhecidos como
controles técnicos.
Senhas, criptografia,
controle de acesso lógico,
[firewalls] e sistemas de
detecção de intrusos.
Administrativos
São políticas e regras
importantes que devem ser
seguidas para garantir a se-
gurança da informação que
não pode ser obtida apenas
com o uso da tecnologia.
Leis, regras, normas, proce-
dimentos, guias e contratos.
Quadro 7 – Tipos de controle
Firewall: dispositivo
que mantém a rede interna
da organização segura, quan-
do está conectada à internet.

28
4.2 NORTI - Normas para o Controle da Utilização
dos Meios de Tecnologia da Informação no Exército
A Norma de Segurança da Informação (NORTI) tem como objetivo controlar
o conteúdo das informações, dos dados armazenados ou daqueles veiculados
em pastas, dos arquivos ou das mensagens. São utilizados, para tal, dispositi-
vos tecnológicos do Exército que coíbem a inserção de assunto ou de matéria
considerada ilícita. A norma NORTI expressa o cuidado na utilização de recur-
sos de Tecnologia da Informação por meio da proibição e da vistoria, descritos
nos artigos a seguir:
• Proibição:
Art. 7º É expressamente proibido manter, distribuir ou
veicular - utilizando, para isso, dispositivos eletrônicos,
ópticos, gráficos ou magnéticos - arquivos contendo
matéria considerada ilícita, contrária à disciplina militar, à
moral e bons costumes, bem como atentatória à ordem
pública, ou que viole qualquer direito de terceiros.
• Vistoria:
Art. 8º Compete ao Comandante, Chefe ou Diretor de
OM do Exército realizar pessoalmente, ou delegar, a vis-
toria dos arquivos hospedados em dispositivos de TI, de
propriedade do Exército Brasileiro, e, desde que haja indí-
cio substancial de infringência a estas Normas, instaurar a
respectiva sindicância.
Art.9º Não é permitida a vistoria indiscriminada e sistemá-
tica do conteúdo de arquivos, pastas e/ou mensagens, sob
a responsabilidade do usuário, de modo a preservar-se o
bom ambiente de trabalho.
A Norma, no título das DISPOSIÇÕES GERAIS, estabelece e regulamenta os
aspectos da comunicação pessoal sob o domínio das Organizações Militares
(OM) do Exército Brasileiro como sendo de uso exclusivo para assuntos e ativi-
dades profissionais, considerando que:
• Os direitos do cidadão à privacidade e ao sigilo de correspondência
envolvem, tão somente, o e-mail pessoal ou particular do militar ou do
servidor civil;
• O arquivamento de jogos, filmes, músicas e imagens é proibido;

29
• O uso de correio-eletrônico (e-mail) é exclusivo para assuntos e ativida-
des profissionais;
• O uso de dispositivos de TI - de propriedade do Exército - durante o
expediente da OM para atividades estranhas ao serviço é proibido.
Outra norma muito importante é a norma IR 20-26, que instrui sobre o uso da
rede mundial de computadores, a internet, em organizações Militares do Exér-
cito. As IR (Instruções Reguladoras) regulamentam as condições de acesso e de
utilização dos recursos da internet em proveito da instituição, em consonância
com as Instruções Gerais de Segurança da Informação para o Exército Brasileiro
e com as Instruções Gerais para Salvaguarda de Assuntos Sigilosos.
A IR 20-26 define os seguintes nomes de domínios de primeiro nível para o
acesso de suas Organizações Militares à internet:
• I - exercito.gov.br
• II - eb.mil.br
• III - eb.br
A elaboração de páginas eletrônicas em um determinado sítio na internet
também é coberta pela norma IR 20-26, que define a responsabilidade sobre
as páginas e os programas (softwares) que devem ser utilizados.
Além disso, o artigo 16 dessa norma determina uma sistemática de aprovação
para elaboração dessas páginas eletrônicas de OM, ilustrado na Figura 16.
O arquivo com as Instruções
Reguladoras para Utilização
da Rede Mundial de Com-
putadores (internet) por Or-
ganizações Militares e Mili-
tares do Exército (IR 20-26)
está disponível em <http://
www.3cta.eb.mil.br/downlo-
ad/ir_20_26.pdf>
Figura 16 – Sistemática de aprovação de página eletrônica
Preparação do
conteúdo da página
eletrônica
Publicação da
aprovação em BI
Publicação da página
eletrônica na Internet
CComSEx:
informação ao EME
Cadastramento no CComSEx;
OM é EME,
ODS, C Mil A,
CIEx ou SGIEx?
Aprovação?
Solicitação de aprovação
da eletrônica ao EME,
ODS, C Mil A
enquadra ou SGEx
nte
Análise do conteúdo,
com Asse de Of Intlg
e de OfCom Soc
sim
não
não
sim

30
4.3 Estratégias fundamentais de proteção
Uma vez identificados os riscos e controles, é possível projetar o tipo de defesa
necessário e adequado para proteger um ambiente de TI.
No contexto dessa apostila vamos eleger alguns tipos de defesa mais comuns,
entre vários existentes, a saber:
a) Defesa em Profundidade
A Defesa em Profundidade é um conceito de segurança em computadores e
redes, que foi documentado pela primeira vez em 1996 no artigo Information
Warfare and Dynamic Information Defense e adotado em operações militares.
É conhecido também como defesa em camadas. Parte do princípio de que os
controles de segurança são insuficientes ou incompletos e que múltiplos meca-
nismos e controles irão compor uma robusta solução de segurança. Da camada
mais externa (Rede Externa) para a mais interna (Dado), o ataque deve passar
por várias camadas de segurança. A Figura 17 ilustra as camadas de segurança
e seus respectivos mecanismos de controle (ANDRESS, 2011).
Rede Externa
Rede Perímetro
Rede Interna
Servidor
Aplicação
Dado
Figura 17 – Defesa em Profundidade

31
Rede Externa
• DMZ: zona desmilitarizada é uma rede periférica que expõe serviços ou
computadores na internet.
• VPN (Virtual Private Network): rede virtual que conecta computadores
de forma segura utilizando a internet como meio de transporte.
• Login: ato de entrar em um sistema pelo uso de senha.
• Auditoria
• Teste de Penetração
• Análise de Vulnerabilidade
Rede Perímetro
• Firewall
• Inspeção de Pacotes
• Auditoria
Rede Interna
• IPS: sistema de prevenção à intrusão, protege redes organizacionais
de ataques.
• IDS (Sistema de Detecção de Intrusão): detecta intrusos em redes
corporativas.
• Auditoria
Servidor
• Antivírus
• Firewalls
• IPS: sistema de prevenção à intrusão, protege redes organizacionais
de ataques.
• IDS (Sistema de Detecção de Intrusão): detecta intrusos em redes
corporativas.

32
• Senha
• Auditoria
Aplicação
• SSO (Single Sign On): acesso a vários sistemas utilizando somente um
conjunto de usuário e senha.
• Filtro de Conteúdo
• Validação de Dados
• Auditoria
Dado
• Controle de Acesso
• Backup
b) Pote de Mel
A estratégia de defesa em Pote de Mel é um conceito de segurança em
computadores e redes bem conhecido e sofisticado. Consiste em criar falsos
dispositivos ou “armadilhas” que confundem os agressores no momento da
quebra de segurança.
Essa técnica leva o agressor ao alvo errado e possibilita que um alerta seja acio-
nado sem prejuízo ao ambiente.
c) Sandbox
A defesa em Sandbox é uma camada de software que fica entre o software
que está sendo executado e o sistema operacional (SO). Dessa forma, uma
camada de segurança é criada entre a aplicação e o SO. Assim, pode ser moni-
torada e dar alarmes de segurança quando atacada.

33
• Conhecer os tipos de algoritmos de criptografia.
• Definir criptografia.
Criptografia
5
A criptografia, como uma forma de comunicação secreta entre pessoas, exis-
te há mais 4.500 anos. Os egípcios já a utilizavam em seus hieróglifos, consti-
tuindo um primeiro exemplo de uso cifrado de mensagens.
Recentemente, os estudos de Claude Shannon, considerado o “pai” da cripto-
grafia moderna, estabeleceram uma base matemática para a criptografia. Esses
estudos tinham como base uma chave que permitia que duas pessoas pudes-
sem se comunicar usando mensagens cifradas.
A chave desse sistema de criptografia é um algoritmo usado para codificar e
decodificar a mensagem. Dessa forma, enquanto a chave não fosse perdida, as
mensagens estavam seguras.
Esses tipos de algoritmos eram conhecidos como chave-privada (private-key),
chave-secreta (secret-key) ou chave-simétrica (symmetric-key) e até 1976 eram
os únicos meios de comunicação criptografada.
As chaves de criptografia, portanto, são um conjunto de caracteres que,
alinhados sequencialmente, produzem uma palavra para uso em algoritmos.
Utilizando essa chave como referência, é possível codificar textos de forma que
não sejam mais legíveis, pois substituem as letras do texto por outras letras di-
ferentes. Para decodificar o texto, era aplicado o algoritmo-chave sobre o texto
codificado que retornava as letras ao seu original, tornando o texto legível.

34
A Figura 18 apresenta o modelo de um sistema de criptografia de chave-simé-
trica. Nesse exemplo, José envia uma mensagem criptografada para Marcos.
Uma chave de criptografia é gerada pelo Gerador de Chave e o algoritmo de
codificação a utiliza para criptografar a mensagem. Após a criptografia, a
mensagem pode ser transmitida por um meio de comunicação público, como
a internet. A chave de criptografia, então, é enviada por um meio seguro para
Marcos que, ao receber a mensagem e a chave, utiliza novamente o algoritmo
para decodificar a mensagem.
Um algoritmo de criptografia trabalha basicamente substituindo letras em
um [texto plano]. Se considerarmos um texto no idioma em Inglês, o algorit-
mo trabalha substituindo embaralhando as 26 letras do alfabeto por outras.
Sendo assim, em um texto, o algoritmo troca uma letra por outra, utilizando
a chave como mapeamento. Cada letra da chave indica um mapeamento para
outra letra. O algoritmo pega a primeira letra do texto e a primeira letra da
chave e, por meio de uma operação matemática, obtém a nova letra mapeada.
A primeira letra do texto pode ser mapeada para 26 possibilidades, a segunda
25, a terceira 24, até 1 possibilidade. Matematicamente, isso é igual ao fatorial
de 26 (26!), ou seja, 4,032914611 x 1026
possibilidades. A chave de criptogra-
fia é sempre finita, mas se o texto for grande, é possível continuar aplicando
seguidamente a chave.
Mensagem Criptografada
Chave
Mensagem Mensagem
Chave
José Codificador Internet Marcos
Gerador
de Chave
Canal
Seguro
Decodificador
Figura 18 – Sistema de criptografia
de chave-simétrica
Texto plano: texto sem
recursos de formatação.
Figura 19 – Exemplo de criptografia de chave-simétrica
Texto criptografado
J sief fr ghwr KD ljekl
v nboety
Texto
O largo da casa
de Paulo é bonito
Chave
XASDFGHKLKJUIOKHGTarfgtyuhgf

35
Chave
Chave
Mensagem
decodificada
Mensagem
decodificada
José Codificador Decodificador
Mensagem Criptografada
Internet Marcos
Paulo
Gerador
de Chave
Canal
Seguro
Quando um hacker ou outro indivíduo deseja obter acesso às mensagens,
mas não consegue porque estão criptografadas, eles podem fazer uso da
análise criptográfica.
A análise criptográfica é a ação de descobrir a chave de
criptografia sem que essa esteja disponível.
Na Figura 20 observamos que Paulo deseja interceptar a mensagem entre
José e Marcos. Porém, ele não tem a chave. Paulo, portanto, terá que empregar
métodos para identificar a chave para decodificar a mensagem.
Uma das formas de se descobrir a chave é tentar todas as possibilidades de
chaves para o problema. Contudo, em nosso exemplo de algoritmo de subs-
tituição de letras pelo mapeamento, deduzimos que uma chave pode ter até
26!, ou seja, 4,032914611 x 1026
possibilidades. Esse tipo de método, conheci-
do como Força Bruta ou Busca Exaustiva da Chave, é ineficiente, pois leva mui-
to tempo para se encontrar a chave correta. Contudo, esse método de busca
pela chave não precisa de muitas informações sobre o sistema de criptografia
para ser executado.
Outros métodos de pesquisa da chave, baseados em análise matemática,
engenharia social, entre outros, atingem o mesmo resultado com um tempo
muito menor de execução.
Em 1976, Whitfield Diffie e Martin Hellman propuseram uma nova metodolo-
gia, que levou ao desenvolvimento de uma nova classe de algoritmos, chama-
dos de chave-pública (public-key) ou chave-assimétrica (asymmetric-key).
Figura 20 – Sistema de
criptografia chave-simétrica

36
A chave-pública (ChavePub
) é usada para codificar a informação e a segunda
parte, conhecida como chave-privada (ChavePr
), é usada para decodificar a
mensagem.
Esse algoritmo se baseia em utilizar, primeiramente, uma
chave-pública, seguida de uma chave-secreta para fechar a co-
nexão segura. A chave-pública é aberta a todos e, obviamente,
a segunda chave deve ser secreta. Atualmente as conexões
criptografadas na internet utilizam chaves públicas e simétri-
cas, o que torna as conexões rápidas e seguras.
criptografia chave-assimétrica
Chave e
Mensagem
Criptografada
Mensagem Mensagem
Chave Pub-Marcos
Chave Pub-Marcos
Codificador
José
Gerador
de Chave
Internet
Marcos
Decodificador
Chave Pub-Marcos
Chave Pr-Marcos
Chave Pub-Marcos
Gerador
de Chave
O processo é realizado da seguinte forma:
1. José e Marcos concordam em usar um sistema de criptografia com
chave- pública.
2. Marcos transmite sua ChavePub-Marcos
para José.
3. José utiliza a ChavePub-Marcos
de Marcos no sistema de criptografia para
codificar a mensagem.
4. José transmite a mensagem criptografada.
5. Marcos usando sua ChavePr-Marcos
decodifica a mensagem.

37
No sistema de criptografia assimétrica, cada participante na comunicação tem
a sua ChavePub
e ChavePr
. Os participantes trocam as chaves-públicas, manten-
do em segredo suas chaves-privadas. A codificação é sempre realizada com a
chave-pública da pessoa que receberá a mensagem (ChavePub-Marcos
). A decodifi-
cação é realizada com a ChavePub-Marcos
e ChavePr-Marcos
.
O sistema de criptografia utilizando chave-pública pode ser usado para esta-
belecimento de chave, transporte de chave, assinatura digital e criptografia.
Atualmente usam-se também os sistemas de criptografia híbridos que consis-
tem no uso de criptografia simétrica e assimétrica. A combinação desses dois
tipos de criptografia vem do problema computacional que a criptografia assi-
métrica possui, pois necessita de muito mais processamento do que a simétri-
ca. Isso pode gerar lentidão em determinadas operações, porém, a criptografia
assimétrica é muito mais segura do que a simétrica. Utilizando o melhor das
duas é possível ter um ambiente criptografado seguro e rápido.
Para que isso ocorra, é necessário utilizar primeiro a criptografia assimétrica
para a troca das chaves. Em seguida, com as chaves estabelecidas, é necessário
codificar os dados de forma simétrica com a referida chave.
A sequência de criptografia híbrida pode ser resumida nas etapas a seguir e
estão ilustradas na Figura 22.
• Codificação da chave utilizando criptografia assimétrica.
• Codificação dos dados utilizando criptografia simétrica.
A decodificação só ocorre quando se tem a chave-privada e
pública gerada pela mesma pessoa.
criptografia chave-assimétrica
Chave e
Mensagem
Criptografada
Mensagem
Mensagem
Chave Pub-Marcos
Chave Pub-Marcos
Codificador
José
Gerador
de Chave
Internet
Marcos
Decodificador
Chave Simétrica
Chave Pub-Marcos
Chave simétrica
Chave Pub-Marcos

38
O processo se estabelece da seguinte forma:
1. José e Marcos concordam em usar um sistema de criptografia com
chave-pública.
2. Marcos transmite sua ChavePub-Marcos
para José.
3. José gera uma chave-simétrica para codificação de dados.
4. José codifica a mensagem utilizando chave-simétrica criada.
5. José utiliza a ChavePub-Marcos
de Marcos no sistema de criptografia assi-
métrica para codificar a chave de criptografia simétrica.
6. José transmite a mensagem e a chave-simétrica, ambas criptografadas.
7. Marcos usando sua ChavePr-Marcos
decodifica a chave-simétrica.
8. Usando a chave-simétrica, ele decodifica a mensagem.
Observe que somente a chave de criptografia simétrica é
criptografada usando os algoritmos assimétricos.
Para saber mais informações
sobre criptografia, acesse o
link: <http://www.infowes-
ter.com/criptografia.php>
Os dados são criptografados de forma simétrica, tornando sua codificação e
decodificação muito mais rápidas. A chave-simétrica transita em um ambiente
muito seguro. É difícil de ser interceptada.
As mensagens que trafegam na internet, tais como acesso a bancos, por exem-
plo, estão sujeitas a ataques de alto risco. Portanto, as chaves de criptografia
públicas hoje utilizadas são de 1.024 bits, pois quanto maior a chave de crip-
tografia, mais difícil é decifrar a mensagem por simples processos de tentativa
e erro. Se considerarmos que uma chave de 80 bits possui 280
= 1.208.925.81
9.614.629.174.706.176 possibilidades, fica claro que uma chave de 1.024 bits
(21.024
) é muito mais difícil de ser decifrada por força bruta.

39
• Conhecer os conceitos de SSL.
Secure Sockets Layer
6
O protocolo SSL (Secure Socket Layer) foi desenvolvido pela Netscape em
1995. A [RFC] 601 define as características do SSL, versão 3.0. O sucessor do
SSL é o TSL (Transport Layer Security) e ambos são protocolos que propor-
cionam segurança em comunicações na internet.
Os protocolos TSL e SSL permitem que aplicações cliente-servidor estabeleçam
comunicação segura por meio de uma rede de computadores. A aplicação
cliente estabelece com o servidor uma conexão e nela são negociados vários
parâmetros necessários ao protocolo. Uma vez determinados os parâmetros,
é estabelecida uma comunicação segura entre o cliente e o servidor. Os dados
podem, então, ser trocados, utilizando a internet como meio.
Quando o SSL está ativo, aparecem indicadores na interface do navegador.
Um deles é a substituição de http://... por https://... na barra de endereços. O
outro indicador é o aparecimento, no canto superior direito da tela, de um íco-
ne de cadeado de criptografia estabelecida, indicando conexão segura, como
ilustrado na Figura 23.
Tanto o protocolo SSL quanto o TSL usam criptografia assi-
métrica para troca de chaves e criptografia simétrica para
codificar a mensagem, ou seja uma criptografia híbrida. Várias
versões desses protocolos são usadas em browsers, e-mail, fax
na internet, Instant Messaging e [VoIP].
RFC (Request for
Comments): é uma publica-
ção do Internet Engineering
Task Force e da Internet
Society, que definem padrões
para a internet.
VoIP(Voice over Internet
Protocol): sistema de tele-
fonia que usa a internet ou
outra rede de computadores
que se baseie no Protocolo
de internet (IP).
Figura 23 – Indicadores de segurança no Internet Explorer

41
Outsourcing em TI
7
O outsourcing em TI vem sendo utilizado desde a época em que os mainframes
realizavam os serviços de computação nas grandes corporações. Os bureau de
serviços de processamento de dados e de impressão eram muito utilizados na
prestação de serviços terceirizados.
Em 1989, a Kodak anunciou o outsourcing dos seus Sistemas de Informação
(SI) para a IBM, DEC e Businessland. A Kodak terceirizou com a IBM seus quatro
data centers. A decisão da Kodak gerou uma grande movimentação na indús-
tria de TI. Até então nenhuma grande e renomada organização havia terceiriza-
do seus SIs. Depois da Kodak, outras organizações seguiram caminhos similares.
Duas grandes razões impulsionaram as organizações a realizar outsourcing em TI:
• As companhias estavam interessadas em focar no negócio (core busi-
ness) e não nas atividades correlatas que poderiam consumir o esforço
organizacional. Dessa forma, a TI, como atividade de apoio para muitas
organizações, foi objeto de terceirização.
• A percepção dos executivos sobre o custo e esforço gastos em TI. Essas
atividades são vistas como um [overhead] para a organização. A visão
era de que empresas especializadas em TI seriam mais eficientes e apre-
sentariam menor custo para a realização dessas atividades.
Alguns dos benefícios organizacionais trazidos pelo outsourcing estão listados
a seguir:
• Aumenta as oportunidades de vendas.
• Aprimora a imagem corporativa e a relação com o público.
• Previne perda de oportunidades.
• Reduz custos anuais quase que imediatamente.
• Possibilita foco nas competências do negócio, deixando a cargo de em-
presas especializadas a operação e desenvolvimento de TI.
• Reduz ou elimina reclamações do usuário.
• Aumenta a fidelidade do cliente.
• Diminui custos de projetos e eventos.
Overhead: termo utiliza-
do para expressar um esforço
excessivo não ligado direta-
mente ao principal objetivo
de negócio da organização.

42
• Permite disputa com os competidores do negócio.
• Disponibiliza tempo e recursos organizacionais.
Organizações de TI no mundo todo utilizam a prestação de serviços de TI
dentro de suas operações. É muito normal empresas terem algum nível de
outsourcing, seja por motivos de redução de custo ou até de estratégia da
organização. O fato é que a prática de terceirizar serviços de TI estará sempre
presente. Logo, é necessário entender como funciona essa terceirização e tirar
o melhor proveito dela.
Existem três níveis de outsourcing e cada um apresenta particularidades pró-
prias. Saiba mais sobre cada um desses níveis a seguir (BROWN, 2005).
a) Nível tático
O primeiro nível, o Tático, está diretamente relacionado a problemas que a or-
ganização possui. Aparentemente, a melhor forma de endereçar o problema é
através de um outsourcing. Exemplos desse tipo são: falta de recursos financei-
ros para realizar investimentos, competência gerencial interna inadequada, falta
de talentos ou desejo de redução de pessoal. O foco desse outsourcing está no
contrato estabelecido entre as partes, que deve ser feito com extrema cautela,
endereçando de forma principal os pontos que fazem com que a organização
atinja seus objetivos de negócio por meio da solução dos problemas.
b) Nível estratégico
O nível estratégico visa relações de longo prazo com fornecedores. Os executi-
vos das organizações entenderam que realizar um outsourcing poderia libe-
rar a atenção da empresa para focos mais direcionados ao negócio, os quais
trariam mais retorno do que os investimentos em TI. Em vez de a organização
montar toda a estrutura computacional e prover o material humano para
operá-la, ela contrata um fornecedor que preste esse serviço (data center). Esse
fornecedor irá prover os serviços de TI para atender às necessidades de negó-
cio, permitindo que a estrutura de TI interna seja desativada, reduzindo, assim,
os custos operacionais.
c) Nível de transformação
É a terceira geração de terceirização. Nesse caso, a organização pretende re-
definir o negócio e usa o outsourcing para ajudar na redefinição dos processos
de negócio e, por conseguinte, na redefinição da empresa.

43
Contudo, uma abordagem sistemática deve ser utilizada para realizar um
outsourcing. Terceirizar sem uma avaliação cuidadosa pode levar a uma pres-
tação inadequada dos serviços de TI pelos fornecedores. A Figura 24 propõe
uma abordagem para a realização de outsourcing em uma organização.
Decisão pelo
outsourcing
Planejamento
Implementação/
gestão
Decisão pelo
outsourcing
Encerramento/
suporte
Figura 24 – Processo de outsourcing
O primeiro passo é a decisão pelo outsourcing, isto é, se deverá ou não ser
realizado. A melhor forma de abordar esse assunto para tomada de decisão é
efetuando uma análise de risco. A análise de risco identificará os riscos envol-
vidos no outsourcing e indicará se deve ser feito. Os principais riscos, quando
um outsourcing é realizado, são:
• Controle: a organização não consegue obter a prestação de serviço
adequada. Os acordos de níveis de qualidade de serviço não são cumpri-
dos, fazendo com que a organização perca o controle sobre a prestação
do serviço de TI.
• Segurança: ao realizar o outsourcing, os dados da organização serão
manipulados por terceiros (backup), gerando um risco de acesso indevi-
do à informação.
• Conhecimento organizacional: é o risco de evasão do conhecimen-
to da empresa. O conhecimento do negócio pode ser absorvido pelos
fornecedores que prestam serviços de TI.
• Reversibilidade: com o outsourcing, a organização vai aos poucos per-
dendo toda a capacidade de prestar o serviço de TI que foi terceirizado.
Se for necessário retornar a prestação de serviço para dentro da empre-
sa, essa reversão pode ser dispendiosa.
Cada um desses riscos deve ser cuidadosamente mitigado, seja por meio de
acordos de nível de serviço [SLA] ou de cláusulas contratuais.
Se não houver a possibilidade de mitigar os riscos, o
outsourcing não deve ser realizado.
SLA (Service Level
Agreement): acordo de
nível de qualidade de serviço
estabelecido num outsourcing.

44
Uma vez decidido pelo outsourcing, passamos para as fases necessárias para a
sua realização. São elas:
• Planejamento: envolve uma definição do escopo do que será terceiri-
zado, negociações contratuais, escolha de fornecedor e estabelecimen-
tos de acordos de níveis de serviço. Após o consenso sobre todos esses
assuntos se estabelecem contratos comerciais entre as empresas para a
prestação de serviço.
• Implementação: transfere a prestação de serviço de TI para o for-
necedor, seguindo o planejamento já elaborado na fase anterior. Gra-
dativamente, os serviços de TI prestados pela organização vão sendo
transferidos ao fornecedor escolhido. É implementado um processo de
gestão para regularmente avaliar a qualidade da prestação de serviço do
fornecedor, baseado nos acordos de níveis de serviços (SLA) estabeleci-
dos em contrato.
• Encerramento: se dá ao fim de um contrato de outsourcing no qual é
realizada novamente uma análise de risco para continuar ou não com
a prestação de serviços de TI, reiniciando novamente o processo de
outsourcing.

45
8Governança corporativa
• Definir governança corporativa.
• Apresentar conceitos de governança corporativa.
Governança corporativa é um processo organizado de exercer as ações de
comando em uma organização por meio de um Conselho Administrativo. Esse
Conselho, uma vez interligado às áreas de negócio da empresa, estabelece
vários processos que devem ser seguidos, para alinhar os objetivos organiza-
cionais com as ações de cada departamento.
Os princípios de governança corporativa foram publicados em três documen-
tos muito conhecidos na área. São eles:
• The Cadbury Report (Reino Unido, 1992).
• The Principles of Corporate Governance (OECD - Organization for
Economic Co-operation and Development, Europa, 1998 e 2004).
• Sarbanes-Oxley Act of 2002 (Estados Unidos, 2002).
Entre esses documentos, o Sarbanes-Oxley é um dos mais conhecidos. Originá-
rio dos Estados Unidos, é muito utilizado por grandes empresas americanas no
mundo inteiro.
Nesses documentos, os princípios de governança são descritos como:
• As organizações devem respeitar os interesses dos acionistas e auxiliá-los
a exercer tais interesses.
• As organizações devem reconhecer obrigações legais, contratuais, sociais,
de mercado para indivíduos ou outras organizações que não fazem parte
do grupo de acionistas (ex: empregados, fornecedores clientes, etc.).
• O Conselho de Diretoria deve ter entendimento e habilidade suficientes
para monitorar e aprimorar a performance gerencial da empresa.

46
• A integridade é um requerimento fundamental para escolha de executi-
vos e membros do Conselho de Diretoria.
• A organização deve deixar claro e público o papel e responsabilidade do
Conselho de Diretoria.
O propósito da governança corporativa é direcionar e controlar as atividades
organizacionais estabelecendo estruturas, regras e procedimentos que auxiliem
no processo de tomada de decisão. Esse direcionamento deve partir do mais
alto escalão da empresa, o Conselho Administrativo, e atingir até as atividades
operacionais do dia a dia em seu nível mais operacional, alinhando os objetivos
de negócio com todas as ações da empresa.
Os Sistemas de Informação do tipo [ERP] possibilitam atingir de forma sistemá-
tica a governança corporativa. O ERP, como, por exemplo, o sistema SAP, possi-
bilita, entre outras coisas, a inclusão de regras, procedimentos e níveis de alçada
de aprovação e estrutura organizacional nas atividades do dia a dia da empresa.
Isso facilita que a organização se estruture de forma adequada. Várias organiza-
ções americanas usam o SAP, que é compatível com o Sarbanes-Oxley e oferece
total segurança no processo de governança.
8.1 Governança em TI
A área de Tecnologia da Informação tem um fator muito importante na gover-
nança corporativa. Não só pelo uso de Sistemas de Informação para estabele-
cimento da governança, mas para direcionar e controlar as atividades de TI de
um modo geral, principalmente, alinhar as atividades de TI com os objetivos
organizacionais. Nesse contexto, a governança em TI torna-se fundamental
como um subconjunto da governança corporativa.
A governança em TI é um conjunto de disciplinas contidas na governança
corporativa da organização com foco em Tecnologia da Informação. Essas
disciplinas estabelecem um alinhamento dos objetivos organizacionais com
os objetivos da área de TI da empresa, fazendo com que as decisões sejam
tomadas pelo corporativo da empresa e não pelo [CIO] sem a anuência do
Conselho de Diretores.
O propósito da governança em TI é direcionar e controlar as atividades organi-
zacionais de TI estabelecendo estruturas, regras e procedimentos que auxiliem
no processo de tomada de decisão dentro da área de Tecnologia da Informação.
ERP (Enterprise
Resource Planning): sistema
de planejamento de recursos
organizacionais. É o siste-
ma gestão que integra uma
organização. Os sistemas ERP
automatizam os processos
organizacionais por meio de
um software integrado.
Um exemplo de manual de
governança corporativa pode
ser acessado em: <http://
www.bb.com.br/docs/pub/
inst/dwn/manualcorporat.
pdf?codigoMenu=5356>
CIO(Chief Information
Officer): executivo respon-
sável pelo departamento de
Tecnologia da Informação de
uma empresa.

47
A governança em TI tem seu foco em:
• Decidir como devem ser utilizados os recursos monetários destinados a
TI. Os processos de governança envolvidos incluem: priorização, justifica-
tivas, controle de gastos e autorização para utilizar os recursos.
• Gestão dos Projetos de TI.
• Implementar e controlar os processos de mudança (ex: alterações em
projetos), fazendo com que cumpram as normas estabelecidas de avalia-
ção de impacto e de orçamento, entre outras.
• Garantir a qualidade do Serviço de TI por meio da gestão dos indicado-
res de nível de serviço (SLA) definidos.
Uma vez implementada a governança em TI, totalmente alinhada com a gover-
nança corporativa, a organização tem seus processos organizacionais alinha-
dos aos objetivos do negócio. Nesse caso, todos na organização trabalham
para atingir o mesmo objetivo, maximizando esforços e recursos.

49
Referências bibliográficas
ANDRESS, Jason. The Basics of Information Security: Understanding the
Fundamentals of InfoSec in Theory and Practice. Syngress, 1ª ed., 2011.
ANSI/TIA942. Data Center Standard Overview, 2005.
ARREGOCES, Mauricio; PORTOLANI, Maurizio. Data Center Fundamentals.
Cisco Press, 2003.
BRASIL. Exército Brasileiro. Departamento de Ciência e Tecnologia. Normas
para o Controle da Utilização dos Meios de Tecnologia da Informação
no Exército (NORTI). 2007
______. Exército Brasileiro. EME. Instruções Reguladoras para Utilização
da Rede Mundial de Computadores (Internet) por Organizações Mili-
tares e Militares do Exército (IR 20-26). Disponível em: <http://www.3cta.
eb.mil.br/download/ir_20_26.pdf>. Acesso em 18 de junho de 2013.
BROWN, Douglas. The Black Book of Outsourcing: How to Manage the
Changes, Challenges, and Opportunities. Wiley, 1ª ed., 2005.
CADBURY REPORT. The Financial Aspects of Corporate Governance. Gee
and Co. Ltd., London: 1992. Disponível em: <http://www.jbs.cam.ac.uk/cad-
bury/report/>. Acesso em: 14 de junho de 2013.
GOLENNIEWSKI, Lilian; JARRETT, Kitty Wilson. Telecommunications Essential,
Second Edition: the Complete Global Source. Addison-Wesley Professional,
2ª ed., 2006.
IEC 80000-13: Quantities and units – Part 13: Information Science and
Technology, 2008.
OECD - ORGANIZATION FOR ECONOMIC CO-OPERATION AND DEVELOPMENT.
The Principles of Corporate Governance. 2004. Disponível em: <http://
www.oecd.org/corporate/ca/corporategovernanceprinciples/31557724.pdf>.
Acesso em: 14 de junho de 2013.
9Bibliografia

50
SARBANES-OXLEY ACT. A Guide to the Sarbanes-Oxley Act, 2002. Disponível
em: <http://www.soxlaw.com>. Acesso em: 14 de junho de 2013.
Bibliografia complementar
ANDERSON, Chris. A Cauda Longa. São Paulo: Elsevier, 2006.
DODD, Annabel Z. The Essential Guide to Telecommunications (5th
Edition). Estados Unidos: Prentice Hall, 5ª ed., 2012.
HALVEY, John K.; MELBY, Barbara Murphy. Information Technology Out-
sourcing Transactions: Process, Strategies, and Contracts. Wiley; 2ª ed.,
2005.JOSYULA, Venkata; ORR, Malcom; PAGE, Greg. Cloud Computing: Au-
tomating the Virtualized Data Center (Networking Technology). Cisco
Press; 1ª. ed., 2011.
LAUDON, K. C.; TRAVER, C. G. E-commerce: Business, Technology, Society.
4ª ed., Estados Unidos: Prentice Hall, 2008.
MITNICK, Kevin D.; SIMON, William L. A Arte de Enganar. São Paulo: Pearson,
2003.
MOELLER, Robert R. Executive’s Guide to IT Governance: Improving
Systems Processes with Service Management, COBIT, and ITIL. Wiley;
1ª. ed., 2013.
MONKS, Robert A. G.; MINOW, Nell. Corporate Governance. Wiley, 5ª ed.,
2011.
NIELSEN, Jacob. Projetando Websites. São Paulo: Campus, 2000.
OPPLIGER, Rolf. SSL and Tls: Theory and Practice. Artech House, 2009.
PAAR, Christof; PELZL, Jan; PRENEEL, Bart. Understanding Cryptography:
A Textbook for Students and Practitioners. Alemanha: Springer, 1ª. ed.,
2010.
PORTER, Michael. Internet and Strategy. Estados Unidos: Harvard Business
Review, 2001.
TAPSCOTT, Don. Wikinomics. São Paulo: Nova Fronteira, 2007.
THOMAS, Stephen A., SSL & TLS Essentials: Securing the Web, Wiley, 2000.

51
TURBAN, Efraim; McLEAN, Ephraim; WETHERBE, James. Tecnologia da Infor-
mação para Gestão. 3ª ed. Porto Alegre: Bookman, 2000.
WALLACE, Michael; WEBBER, Larry. IT Governance: Policies & Procedures,
2013 Edition, Estados Unidos: Aspen Publishers, 2012.
WHITMAN, Michael E.; MATTORD, Herbert J. Principles of Information
Security. Cengage Learning, 4ª ed., 2011.

CCEAD – Coordenação Central de Educação a Distância
Coordenação Geral
Gilda Helena Bernardino de Campos
Coordenação de Avaliação e Acompanhamento
Gianna Oliveira Bogossian Roque
Coordenação de Criação e Desenvolvimento
Claudio Perpetuo
Coordenação de Design Didático
Sergio Botelho do Amaral
Coordenação de Material Didático
Stella Maria Peixoto de Azevedo Pedrosa
Coordenação de Tecnologia da Informação
Renato Araujo
Gerente de Projetos
José Ricardo Basílio
Equipe CCEAD
Alexander Arturo Mera
Ana Luiza Portes
Angela de Araújo Souza
Camila Welikson
Ciléia Fiorotti
Clara Ishikawa
Eduardo Felipe dos Santos Pereira
Eduardo Quental
Frieda Marti
Gabriel Bezerra Neves
Gleilcelene Neri de Brito
Igor de Oliveira Martins
Joel dos Santos Furtado
Lucas Feliciano
Luiza Serpa
Luiz Claudio Galvão de Andrade
Luiz Guilherme Roland
Maria Letícia Correia Meliga
Neide Gutman
Romulo Freitas
Ronnald Machado
Simone Bernardo de Castro
Tito Ricardo de Almeida Tortori
Vivianne Elguezabal

CHQAO - GTI Unid 02.pdf

Recomendados

Recomendados

Mais conteúdo relacionado

Semelhante a CHQAO - GTI Unid 02.pdf

Semelhante a CHQAO - GTI Unid 02.pdf (20)

CHQAO - GTI Unid 02.pdf