CENÁRIOS DE TI

autor do original
EDUARDO PARETO

1ª edição
SESES
rio de janeiro  2016
Conselho editorial  regiane burger, simone markenson, roberto paes, gladis
linhares

Autor do original  eduardo pareto

Projeto editorial  roberto paes

Coordenação de produção  gladis linhares

Projeto gráfico  paulo vitor bastos

Diagramação  bfs media

Revisão linguística  bfs media

Revisão de conteúdo  vanilde manfredi

Imagem de capa  alphaspirit | shutterstock.com

Todos os direitos reservados. Nenhuma parte desta obra pode ser reproduzida ou transmitida
por quaisquer meios (eletrônico ou mecânico, incluindo fotocópia e gravação) ou arquivada em
qualquer sistema ou banco de dados sem permissão escrita da Editora. Copyright seses, 2016.

Dados Internacionais de Catalogação na Publicação (cip)

P216c Pareto, Eduardo.

Cenários de TI / Eduardo Pareto.
Rio de Janeiro: SESES, 2016.
112 p: il.

isbn: 978-85-5548-258-8

1. Tecnologia. 2. Hardware e Software. 3.Arquitetura de Sistemas

I. SESES. II. Estácio.
cdd 004

Diretoria de Ensino — Fábrica de Conhecimento

Rua do Bispo, 83, bloco F, Campus João Uchôa
Rio Comprido — Rio de Janeiro — rj — cep 20261-063
Sumário

Prefácio 7

1. Conceitos de Sistemas de Informação, Teoria de

Sistemas e Tecnologia da Informação 9

1.1  Conceituação de sistema, sistema de informação e

tecnologia de informação 11
1.2  A importância e a contribuição dos sistemas de
informação na gestão organizacional 13
1.3  Componentes dos sistemas de informação 14
1.4  Visão geral dos recursos de um sistema de informação 15
1.4.1  Recursos de hardware, de software, de dados,
de rede e humanos 15
1.4.2  Elementos de entrada, processamento, saída etc. 17

2. Os Profissionais de TI 19

2.1  Analista e desenvolvimento de sistemas 21

2.1.1  Análise e desenvolvimento 21
2.1.2  Profissionais de banco de dados 25
2.1.2.1 DBA 26
2.1.2.2  Administrador de dados – AD 26
2.1.3  Profissionais Web 26
2.2  Gestão e governança de TI 29
2.2.1  Gestão de TI 29
2.2.2  Governança de TI 34
2.3  Infraestrutura e suporte 37
2.3.1 Infraestrutura 37
2.3.2 Suporte 39
2.4  Novos papéis da TI 42
3. Tipos de Sistemas de Informação –
Arquiteturas 43

3.1  Sistemas legados 46

3.2 Sistemas stand alone 46
3.3  Arquitetura cliente-servidor 47
3.4  Sistemas Web 50
3.5  Aplicativos móveis 51

4. Meios de Armazenamento 53

4.1  Tipos de memória do computador 56

4.2  Organização dos dados armazenados 58
4.2.1  Sistemas de arquivos 58
4.2.2  Banco de dados 59
4.2.3  Data Warehouse 59
4.2.4  Armazenamento na nuvem 60

5. Infraestrutura 61

5.1  Redes de computadores 63

5.1.1  LAN, MAN, WAM 69
5.2  A Internet e seus serviços 75

6. Governança de TI 81

6.1  Introdução à governança de TI 83

6.1.1  Frameworks de governança 83
6.1.2 ITIL 85
6.1.3 COBIT 87
6.1.4  Certificações ITIL / COBIT 89
6.2  Acordo de nível de serviço 91
6.3 Métricas 91
7. Segurança nos Sistemas de Informação 93

7.1  Introdução à segurança de informação 95

7.1.1  Conceitos fundamentais de segurança da informação 97
7.1.2  Autenticação e controle de acesso 101
7.1.3  Segurança de redes 108
7.2  Planejamento da segurança da informação 110
Prefácio
Prezados(as) alunos(as),

Estamos no século XXI, com bilhões de usuários conectados: casas inteli-

gentes, carros que andam autonomamente, sistemas que monitoram nossas vi-
das, nossas compras. O futuro é agora, mas como funciona este mundo? Como
se implementam estes sistemas? Como funcionam estes programas?
Seja bem vindo ao mundo da tecnologia da informação: um ambiente com-
plexo de bit's e bytes, software e hardware, computadores, redes, Internet, ví-
rus, governança, nuvem e muitos termos que, frequentemente, precisamos co-
nhecer até para um bate-papo informal.
Os profissionais de TI são as pessoas que entendem de computadores.
Geralmente são aquelas pessoas que, quando chegam a algum lugar, são sem-
pre procuradas por alguém que tem sempre um problema de informática a re-
latar como, por exemplo:
– “Meu computador está com um probleminha...”
Para que possamos responder aos questionamentos da sociedade, preci-
samos conhecer os diversos cenários existentes neste universo de tecnologia,
assim como os termos técnicos do assunto e e toda conjuntura pertinente
à modernidade.
Este livro busca desmistificar a informática apresentando os principais
conceitos, as normas, os termos técnicos bem como suas principais áreas
de aplicação.
No capítulo um, serão apresentados o conceito e a teoria de sistema, os sis-
temas de informação e a forma como os profissionais da área auxiliam a gestão
das empresas propondo uma solução dentro da TI.
No capítulo dois, serão focados os profissionais de TI. Será feita uma análise
do mercado, das áreas de atuação e como cada profissional atua neste mercado.
Também será apresentada a classificação destes trabalhadores pelo Ministério
do Trabalho – CBO – Código Brasileiro de Ocupação.
No capítulo três, serão mostradas as diversas arquiteturas de software exis-
tentes. Os sistemas de computadores são projetados de acordo com as estrutu-
ras de hardware existentes e as necessidades das empresas. Serão relacionados
desde os sistemas legados que ainda são utilizados nas empresas até os aplica-
tivos móveis.

7
 Os sistemas legados, que funcionam até hoje nos mainframe’s, são respon-
sáveis por grandes processamentos como os bancários. Os sistemas stand-alo-
ne são programas que não precisam de nenhum suporte, isto é, são autossufi-
cientes. Funcionam em computadores isolados. São aplicados ou são pequenos
sistemas para empresas de menor porte. Na arquitetura cliente–servidor, o
software é dividido em dois: uma parte é o servidor e a outra parte é representa-
da pelo cliente. Os sistemas Web que utilizam o conceito da arquitetura cliente-
servidor são hoje muito difundidos. Além destes, temos os aplicativos móveis,
que são programas feitos para dispositivos móveis, como é o caso dos smart-
phones. Estes aplicativos estão mais uma vez transformando a informática.
No capítulo 4, serão descritos os diversos tipos de meios de armazenamen-
to, envolvendo desde os sistemas de arquivo, os banco de dados até o armaze-
namento em nuvem.
No capítulo 5, será detalhada a infraestrutura da informática. Como os com-
putadores se interligam em rede, serão apresentadas as principais topologias
de rede e seus protocolos, tão comuns nas conversas, mas, muitas vezes, abor-
dadas sem o devido embasamento teórico.
No capítulo 6, será exposta a governança da TI, que é a área da informática
responsável pelo gerenciamento e análise dos projetos da área. Por meio da go-
vernança, definimos o escopo do sistema para conseguir quantificar o trabalho
de desenvolvimento, definimos regras para o acompanhamento e implantação
dos softwares. Após o sistema em produção, é por meio da governança que mo-
nitoramos a qualidade do serviço entregue.
Por fim, no capítulo 7 serão apresentados os conceitos fundamentais de se-
gurança, sua importância para a sociedade e para as organizações. Também
será discutida a forma como os profissionais devem se comportar eticamente
no gerenciamento das informações que são manipuladas.
Este livro procura apresentar todas as áreas da TI, mesmo que superficial-
mente, e oferece uma grande visão dos diversos cenários e possibilidades que
este conhecimento oferece. Quando falamos em informática, sempre pensa-
mos nos problemas ou nas soluções que conhecemos, mas é preciso saber tudo
que ela envolve, para entender como estes recursos são implementados e ge-
renciados e analisar adequadamente o seu âmbito de aplicação.
Esperamos que este livro tire dúvidas fundamentais da área, apresente uma
série de assuntos e mostre os caminhos que os futuros profissionais poderão
trilhar neste campo de atuação. Espero que você tenha uma boa leitura!

Bons Estudos!
 1
Conceitos de
Sistemas de
Informação, Teoria
de Sistemas e
Tecnologia da
Informação
As empresas e cada vez mais possuem sistemas de informação, programas,
computadores para melhorar os seus processos e administrar seus produtos
e serviços. Este cenário atual é considerado uma nova época, chamada era da
informação1, e é caracterizado pela forma como manipulamos as informações,
o que determina o sucesso ou fracasso das organizações.
Estamos completamente conectados, seja no celular, seja no computador, no
carro ou até mesmo em nossa casa.
O que realmente são sistemas de informação?
Podemos rusticamente definir sistema de informação como um programa
de computador que coleta dados e armazena-os de forma eficiente. Estes da-
dos podem ser consultados e alterados pelos usuários.
Então, podemos entender que sistema de informação é um programa de
computador que se comunica com um sistema de banco de dados gerenciando
dados e transformando-os em informação? Grosso modo, sim.
Preste atenção, porém, nesta observação. Para muitos, programa de com-
putador é apenas a tela que o usuário visualiza, assim, caso ocorra algo errado
com ela, o programa "bugou".
O nosso papel aqui é entender esta tela e mergulhar dentro deste mundo,
assimilando o que estes programas e sistemas têm a ver com o mundo real.
Nosso papel é buscar a forma como passar o que nos interessa do mundo real
para o mundo virtual. Este livro busca desmistificar todos estes pontos, expli-
cando todos os componentes envolvidos neste ambiente.

OBJETIVOS
•  Conceituar sistema e sistema de informação;
•  Distinguir sistema de informação e tecnologia de informação;
•  Compreender os conceitos de dados, informação e conhecimento e sua independência;
•  Relacionar os componentes básicos de um sistema.

1  Nome dado ao período subsequente à era industrial, que se iniciou após a década de 1980. Caracteriza-se pelo
fato de que é a capacidade criativa e pensante das pessoas que determina o seu sucesso na economia mundial.

10 • capítulo 1
1.1  Conceituação de sistema, sistema de
informação e tecnologia de informação

O primeiro conceito que iremos estudar é o principal conceito da tecnologia da

informação, que é o sistema de informação.
Para assimilar este conceito tão importante, vamos separar as palavras e en-
tender primeiramente o que é um sistema, depois apreender o que é informa-
ção, para, então, alcançar este significado.
Geralmente, quando perguntamos aos alunos o que são sistemas, mui-
tos respondem:
– Sistema operacional.... Windows.... e outros programas.

Só que na nossa vida, estamos cercados de diversos sistemas, que e conhe-

cemos bem e com os quais interagimos com bastante frequência. Vamos a al-
guns exemplos:
Na biologia, mais precisamente no corpo humano:
– sistema respiratório
– sistema circulatório etc.

Nas cidades:
– sistema viário
– sistema de transmissão de energia
– sistema de telefonia fixa

O que todos eles têm em comum? Eles são complexos e fazem parte de um mun-
do mais complexo ainda. Colaboram entre si e buscam realizar uma tarefa-objetivo.
Bom, acho que agora podemos definir o que é sistema:

É um conjunto de elementos inter-relacionados que compõem um todo que

apresenta função definida, que pode ser assim explicado:
1. O “coletivo”, ou seja, o conjunto de partes, cada uma com o seu papel
bem definido;
2. O “relacionamento” entre as partes, ou seja, o compromisso das partes
na formação do todo;
3. A “unidade” do sistema caracterizado pela sua função.

capítulo 1 • 11
 É importante ressaltar que não existe o sistema absoluto, independente do
observador. Um objeto só é um sistema na medida em que é observado como
tal. Um sistema é, na essência, uma visão que um sujeito (observador) reconhe-
ce em um objeto cuja função lhe interessa.
O observador define o sistema para simplificar seu entendimento e estudo.
Preste atenção ao corpo humano. Estudar todo o corpo humano é muito mais
complexo que separá-lo em partes isoladas. Então, os biólogos definem siste-
mas para que possamos estudar as partes separadamente.
Um sistema precisa ter definido seu contexto, interno e/ou externo, o que
define seu campo de trabalho e seus limites de atuação.
Quando os analistas de sistemas são chamados para desenvolver um sistema,
o primeiro coisa alvo é identificar o que faz parte do sistema e o que não faz. Esta
tarefa é chamada de delimitar a fronteira do sistema: quem participa (está den-
tro) e quem não participa (está fora). Como este sistema falará com o meio exter-
no, será preciso também identificar como é feita esta comunicação de entrada/
saída de dados.
Os sistemas de informação são sistemas que recebem dados, armazenam-
nos em meios pertinentes e persistentes e manipulam-nos, gerando informa-
ções para seus usuários. Todo software que recebe dados, armazena e gera saí-
da são classificados como sistemas de informação.
Existem diversos sistemas de informações à nossa volta, desde o controle
de estoque de uma loja até o sistema de controle acadêmico de sua faculdade.

CLIENTES

SISTEMA DE
FORNECEDORES GERENTES DE PROJETO
INFORMAÇÃO

USUÁRIOS

Figura 1.1  –  Diagrama de contexto.

12 • capítulo 1
 Vamos olhar o sistema clássico de controle de biblioteca. Ele armazena os
dados dos livros, dos usuários e também controla os empréstimos. Podemos
identificar a entrada de dados, os armazenamentos e também as saídas.
Na figura 1.1, vemos um diagrama de contexto onde identificamos as ne-
cessidades do sistema de informação e os atores que interagem com o sistema.

1.2  A importância e a contribuição

dos sistemas de informação na gestão
organizacional
As empresas estão em busca de otimizar seus processos produtivos para au-
mentar seus lucros. Um dos passos para alcançar este feito é o controle de suas
etapas. A informatização se encaixa perfeitamente neste processo. Utilizando
os computadores, podemos controlar as empresas.
Agora, para isso, é preciso entender e modelar todos os processos da empre-
sa. O primeiro passo é definir o sistema que iremos informatizar. Este passo é
chamado de definição do contexto do sistema.
Quando um analista estuda a empresa, ele deve propor uma solução de TI,
que é uma proposta que envolve um sistema de informação controlando os pro-
cessos da empresa.
A solução de TI – tecnologia de informação – engloba desde a definição de
novos processos até a perspectivas de crescimento para a empresa. É respon-
sabilidade do analista identificar os processos, as sinergias e a maneira como
o sistema de informação pode auxiliar na nova configuração dos processos
da empresa.
Pense que o analista de sistemas tem uma visão externa e gerencial, além
de não estar influenciado pelas tarefas do dia a dia. Ele será capaz de identifi-
car a nova gestão organizacional que se fará presente na empresa com o siste-
ma instalado.

capítulo 1 • 13
1.3  Componentes dos sistemas de
informação

Sistema de informação é um conjunto de partes inter-relacionadas que pode

estar automatizado ou não, que armazena, arquiva, recupera, manipula, trans-
forma e processa informações em uma organização. Ele é composto pela se-
guinte combinação:
•  Pessoas: chamadas de usuários. São as pessoas que utilizam o sistema.
Elas geram as entradas e recebem as saídas do sistema.
•  Maquinas: hardware. São todos os componentes físicos que permitem a
inter-relação entre as partes do conjunto. Podemos citar teclados, computado-
res, dispositivos móveis, monitores etc.
•  Softwares: são os procedimento que podem ou não ser implementados
pela empresa, as regras que geram os programas que estamos utilizando.
•  Redes de computadores: identificam a forma como os computadores es-
tão interligados e se comunicam.
•  Recursos de armazenamento: espaço onde os dados são armazenados
para que possam ser consultados.
•  Políticas da empresa e do ambiente onde atua: chamadas de regras do
negócio, remetem à forma e ao local onde a empresa atua e como trata seus
dados. É por meio destas regras e políticas que os dados são transformados
em informações.
•  Procedimento: as funcionalidades que o sistema deve fazer, ou seja, os
problemas que são resolvidos.

Vamos definir agora dado e informação e o próprio sistema de informação.

Dado: fato isolado em sua forma bruta (ex. valor de um cheque compensado).
Informação: conjunto de dados processados de tal forma que tenham um
significado (ex. saldo de conta-corrente).
Sistema de informação: conjunto organizado de pessoas, hardware, softwa-
re, redes de comunicação e recursos de dados que coletam, transformam e dis-
seminam informações em uma organização (O´Brien, 2009).

14 • capítulo 1
1.4  Visão geral dos recursos de um sistema
de informação

Para entender os recursos dos sistemas de informação, vamos definir o que é

tecnologia da informação – TI.
Tecnologia da Informação (TI) é um conjunto de recursos tecnológicos e
computacionais para captação, geração e uso da informação. Pode ser enten-
dido também como o conjunto de recursos não humanos que desempenham
uma ou mais tarefas de transformar os dados em informação, de acordo com
as regras e políticas definidas pela empresa. Estes recursos chamados de TI são
fundamentais para que os sistemas sejam automatizados.
O principal ganho que a TI traz para as empresas e organizações é a possi-
bilidade de melhorar o controle de seus processos e ganhar em escalabilidade.
A TI é uma excelente ferramenta para que seja aplicada a economia de escala.
Este termo define que as organizações determinem seus processos produtivos
de forma que se alcance a máxima utilização de seus fatores produtivos envol-
vidos no processo, almejando que seus custos de produção sejam os menores
possíveis. Com isso, tende à maximização dos lucros.
Observe, porém, que este tipo de solução envolve a resolução do problema
para empresas que têm o desejo de crescer e de fazer valer a produção em escala.
Então, podemos concluir que a tecnologia da informação – TI – é a infraes-
trutura para os sistemas de informação SI.

1.4.1  Recursos de hardware, de software, de dados, de rede e

humanos

Os sistemas são definidos como uma solução de TI, ou seja, é uma proposta
computacional para melhorar e controlar os processos da empresa. Os recur-
sos que temos para isso são divididos em hardware, software, dados, redes
e humanos.

capítulo 1 • 15
 TI Re
os s em Pro curs
man ista
hu ial gra os d
ma e s
u r sos espec s e oft
sis war
ec s e
R inai tem e
io sf Controle de as
suár desempenho do sistema
U

s
sore
Ban de arq
Recuo de daivdos, nuv

sitiv dware
Entrada de Saída de

sen
Processamento
c

dados informações
rsos os, si em

os,
s, d de ha
r
u

de da stem

ispo
os
Armazenamento
dos as

Máq Recurs
uina
Recursos de rede
Meios de comunicação – Conectividade

Figura 1.2  –  Recursos de sistemas.

Os recursos de hardware definem como o software poderá ser utilizado.

Existem diversas formas de desenvolver os programas, mas elas sempre irão
depender dos tipos de computador que estiverem disponíveis. Em uma pe-
quena empresa como, por exemplo, um comércio, muitas vezes só existe um
computador para fazer tudo. Nesta estrutura, o hardware disponível é um com-
putador, mas existem empresas que detêm milhares de computadores interli-
gados em rede. Isso faz com que a solução de TI seja diferente e apropriada à
sua realidade.
Os recursos de software são os programas que irão controlar o sistema. Ele
será projetado de acordo com as possibilidades da empresa e da disponibili-
dade de hardware. O software deve atender às necessidades da empresa e de
seus usuários.
Os recursos de dados são entendidos como os dados serão armazenados,
seja em um banco de dados, seja em planilhas ou mesmo em documentos de
texto. Da mesma forma que o hardware e o software, a solução de TI deve ser

16 • capítulo 1
individualizada e sempre atendendo à necessidade da empresa. Estes dados
podem ficar armazenados na empresa, em discos externos ou até mesmo na
nuvem, como já citado, dependendo da necessidade da empresa.
Os recursos de rede mostram como os computadores da empresa estarão
conectados e se comunicarão.
Por fim, temos os recursos humanos, que são as pessoas que irão interagir
com o sistema. Estas pessoas devem desempenhar papéis e são especialistas
do domínio onde o sistema atua. Veja que seus usuários sabem efetuar a tarefa
maravilhosamente bem sem o sistema e, não raramente, veem o sistema como
uma ameaça ao seu emprego. Sua tarefa é conseguir conscientizá-los de que
sem eles o sistema não obterá o desempenho desejado.

1.4.2  Elementos de entrada, processamento, saída etc.

Um sistema de informação pode ser descrito como um conjunto de entradas e

o processamento que gera as saídas desejadas.

ENTRADA PROCESSAMENTO SAÍDA

Os componentes de entrada são os dados que devem ser inseridos, incluin-

do a forma como estes dados serão captados. Chamamos os componentes de
hardware de responsáveis por esta tarefa de dispositivos de entrada.
Os componentes de saída são as informações que são geradas pelo siste-
ma. Chamamos os componentes de hardware de responsáveis por esta tarefa
de dispositivos de saída.
Processamento é o conjunto de formas em que os dados devem ser proces-
sados. Podemos entender isso como o conjunto de regras de negócios ou todas
as funcionalidades do sistema.

capítulo 1 • 17
18 • capítulo 1
 2
Os Profissionais
de TI
O mercado de trabalho para os profissionais de Ti é pungente. Existem diversas
áreas para se trabalhar, dependendo da aptidão do profissional e do que ele
mais gosta de fazer. Existe carência de bons profissionais em todo o mundo,
tanto nos países ricos e desenvolvidos, quanto nos em desenvolvimento.
Com o avanço das tecnologias, do poder de processamento e dos meios de
armazenamento e dos dispositivos móveis, hoje há uma necessidade muito
grande por todo o tipo de profissional de TI, pois há muita coisa a ser feita. A
sociedade demanda novas soluções para facilitar e automatizar a vida e está nas
mãos das pessoas que trabalham na informática analisar estas necessidades,
desenvolver estas soluções e entregar estes produtos.
É possível dividir a área de TI em 3:
•  Análise e desenvolvimento
•  Infraestrutura e suporte
•  Gestão e governança de TI

OBJETIVOS
•  Identificar os profissionais de TI;
•  Entender a importância das profissões, tanto as que lidam com software quanto as que
lidam com infra estrutura;
•  Apresentar o CBO para as profissões de TI

20 • capítulo 2
2.1  Analista e desenvolvimento de sistemas
Sempre que pensamos em profissionais de TI, são os analistas e desenvolve-
dores que vêm à mente. Foram os precursores da informática e muitos foram
oriundos de outras áreas. São ainda a base dos profissionais de TI.

2.1.1  Análise e desenvolvimento

Analista de sistemas – o profissional tem contato direto com os clientes, para

verificar suas necessidades, requisitos e ou problemas que os usuários possam
ter. Faz uma análise inicial, depois disso emite uma documentação, para que o
sistema possa ser construído. Abrange várias atividades, que vão desde a iden-
tificação inicial das necessidades específicas que devem ser supridas pelo pro-
jeto até a própria arquitetura, documentação e desenvolvimento do software
em questão. O profissional deve ser capaz de trabalhar com algumas das prin-
cipais linguagens de programação do mercado, como Java, C e .NET, conhecer
estruturas de dados e interoperabilidade entre diferentes aplicações, para que
possa tanto desenvolver softwares novos quanto otimizar e integrar aplicações
já existentes.

Analista de requisitos – é o profissional que analisa a empresa para iden-

tificar os requisitos e as especificações para projetos de TI. É responsável por
propor propostas de novos processos, mapeamento e análise dos processos
existentes. Elabora documentação técnica de especificações de requisitos e
prepara o ambiente para que o gestor possa gerenciar o projeto.

Analista de negócios – é o profissional que auxilia na coordenação e mode-

ração de planejamentos estratégicos e na realização de reuniões para estabele-
cer metas, para que os gerentes abarquem novas ideias ao invés de diminuí-las.
Após todas as análises, o analista de negócios começa a transformar as estraté-
gias em soluções de negócios viáveis.

Analista de organização, sistemas e métodos – é uma evolução do analista

de organização e métodos (OM), que sofreu forte impacto com o surgimento do
analista de sistemas, que, com a tarefa de introduzir novos métodos de traba-
lho sempre via computador, começou a avançar sobre a função do analista de

capítulo 2 • 21
O&M. Embora tenha sido reduzida a demanda por estes profissionais, muitas
empresas ainda os procuram como forma de obter melhorias consistentes em
sua organização, ainda que em forma de consultoria. Este profissional executa
as atividades de levantamento, análise, elaboração e implementação de siste-
mas administrativos na empresa, informatizados ou não, tendo como objeti-
vo criar ou aprimorar métodos de trabalho, agilizar a execução das atividades,
eliminar atividades em duplicidade, padronizar, melhorar o controle, fazer o
gerenciamento dos processos e solucionar problemas. Um dos objetivos prin-
cipais é a renovação organizacional, de forma a fazer frente à globalização e ao
aumento contínuo de competitividade da concorrência.

Analista de business intelligence (BI) – funciona mais ou menos assim: o

analista de business intelligence (ou analista de BI) identifica padrões nos da-
dos armazenados e, tendo como base esses padrões, ele propõe análises que
preveem o andamento de determinado produto ou o comportamento de um
cliente. Assim, ele colabora com outras áreas da empresa tais como a financeira
e a de marketing. Entre as tarefas exercidas pelo analista de BI estão: a criação
de aplicações e análise de dados; a definição de padrões e práticas aperfeiçoa-
das de desenvolvimento; a elaboração do cronograma do projeto e relatórios
gerenciais; a liderança de equipes multidisciplinares; a observação de empre-
sas concorrentes; a negociação com usuários.

Analista de qualidade de software – existe muita confusão no mercado rela-

tiva às funções de um analista de qualidade de software. Para clarificar quais-
quer dúvidas sobre isso, vale citar que o analista de qualidade de software é o
profissional que valida o processo utilizado em sua criação e desenvolvimento.
Este profissional está envolvido no desenvolvimento do software, participando
ativamente do processo de programação e, quando este é finalizado, o analista
de qualidade de software tem como responsabilidade a validação e certificação
do processo usado no desenvolvimento do programa, de forma a garantir sua
qualidade do. Dessa forma, o analista de qualidade de software distancia-se do
analista de testes – função que por vezes sobrepõe-se à análise de qualidade,
mas que não tem o mesmo objetivo –, na medida em que o analista de testes é
responsável pela validação do produto final em si e não pela forma como este
foi elaborado.

22 • capítulo 2
 Analista de processos – este profissional analisa e define processos de tra-
balho, estuda tempos e parâmetros, mapeia fluxos das atividades e identifica
falhas, com o objetivo de estabelecer novas estratégias para a solução de pro-
blemas no processo de melhoria contínua.

Analista de testes – profissional ligado à área de teste de software, cuja fun-

ção inclui desde a criação das estratégias de testes que serão utilizadas no pro-
duto em desenvolvimento até a criação dos planos de testes, que são passos
predefinidos que o testador terá de executar, com a finalidade de verificar os
resultados esperados de cada passo. Um analista de testes é um profissional de
TI que tem como função criar roteiros de testes, fazendo a análise, a homolo-
gação de sistemas e a avaliação dos resultados de cada ciclo. Seu trabalho visa
detectar erros em sistemas, mas não corrigi-los (tarefa do programador), emi-
tindo relatórios com base nos indicadores e facilitar processos de certificação
de softwares.

Arquiteto de software – para evitar riscos, é necessário pensar na arquitetura

antes do desenvolvimento. O arquiteto de software fará a escolha dos módulos,
da tecnologia, irá pensar na segurança e em como fazer a interface gráfica. Irá
analisar a forma de reportar os erros e de gerar a comunicação entre as várias
camadas. Depois, ele passará essa análise para o programador e ambos formu-
larão o conceito, para garantir que fatores externos não prejudiquem as funcio-
nalidades principais e que o usuário consiga facilmente atingir o seu objetivo.

Consultor de TIC – Um consultor de TI (tecnologia da informação) é res-

ponsável pela análise de algum problema específico ou não do cliente. Com
base nessa análise, o consultor propõe possíveis soluções para resolver os pon-
tos falhos. Um consultor de TI raramente trabalha com pessoas individuais,
prestando seus serviços para empresas de todos os portes. Um consultor de TI
geralmente especializa-se em alguma área da tecnologia da informação. Áreas
como segurança, melhoria dos processos, otimização de bancos de dados e de-
senvolvimento de softwares estão entre as mais requisitadas. Por isso, o consul-
tor deve ser detentor de grande conhecimento da área específica em que atua,
embora lhe seja imprescindível ao ter bom conhecimento de toda a área de TI.
Isso porque, ao sugerir alguma solução para o cliente, esta deve se encaixar no

capítulo 2 • 23
modelo de negócios da empresa e com toda a estrutura já existente – a não ser,
é claro, que o cliente opte por fazer uma reforma geral.

Desenvolvedor de software – este profissional tem por objetivo desenvolver

softwares, fazer a programação de computadores. O desenvolvedor também
pode fazer a manutenção do software em um sistema mainframe ou desenvol-
vê-lo para o uso em computadores pessoais. Os softwares podem ser simples
como controlar o estoque eletronicamente ou mais complexos para serem uti-
lizados em grandes empresas.

Desenvolvedor de games – para o exercício dessa profissão, que é o sonho de

muitos adolescentes e que somente agora tem tido maior demanda no Brasil,
é necessário ter graduação em desenho industrial, computação gráfica, publi-
cidade, ciências da computação e áreas semelhantes. Tendo em consideração
que um desenvolvedor de games deve ser um profissional multifacetado, as
possibilidades de especialização são variadas, podendo ser uma escolha viável
formar-se em ciências da computação e cursar uma pós-graduação ou exten-
são em computação gráfica, desenho ou publicidade. O importante de reter é
que, para se manter nesta área, é necessário ser criativo e ter conhecimentos
multidisciplinares, tanto no nível acadêmico como no nível cultural, o que lhe
permite ter maior desenvoltura em um mercado dinâmico como o de games.

Desenvolvedor de App – outra profissão do momento, que também é o so-

nho de muitos adolescentes. Este desenvolvedor também é um profissional
multifacetado, pois terá que compreender as necessidades do consumidor
bem como ter conhecimento técnico de desenvolvimento em linguagens espe-
cíficas nativas.

Programador – é o profissional que tem a responsabilidade de escrever roti-

nas e instruções em linguagens de programação. Ele também executa a manu-
tenção dos sistemas, fazendo eventuais correções necessárias nos programas já
desenvolvidos e visando atender às necessidades dos usuários. Ele desenvolve
os trabalhos de montagem, depuração e testes de programas. Programação é
a codificação de instruções lógicas com o objetivo de executar determinadas

24 • capítulo 2
sequências de ações, criando assim o que é chamado de programa ou softwa-
re. Existem diversas linguagens de programação, que são como uma grande
biblioteca de funções, métodos e instruções para o programador desenvolver
programas. Algumas linguagens muito usadas: C; Java; Objective-C; C++; PHP.
O programador é responsável por seguir especificações determinadas pelo ana-
lista de sistemas para o desenvolvimento de partes de um produto de software
ou, até mesmo, do software completo. Muitas vezes, o programador trabalha
em equipe com outros programadores e profissionais da TI. Ele deve estar apto
a ler documentações de software e criar registros de mudanças num software,
entre outras atividades. O cargo de programador é um dos mais comuns e ini-
ciantes na área do desenvolvimento, mas de grande importância para empre-
sas. Nós podemos dividi-lo em quatro categorias:
•  Programador desktop – programador de aplicações ou sistemas para
ambiente local, ou seja, programas que vão funcionar em um computador
ou numa rede de computadores, dentro de um sistema operacional como
Windows, Linux ou MAC.
•  Programador Web – responsável por programar websites ou sistemas
web. Os websites são caracterizados por funcionar na rede mundial da Internet
e serem acessíveis em qualquer lugar.
•  Programador mobile – é especializado em criar aplicativos para celulares
e dispositivos móveis. Ele pode trabalhar com uma das plataformas Android,
IOS, Windows Phone ou Java, entre outras.
•  Programador de jogos – é o responsável por desenvolver partes das ins-
truções lógicas de um jogo digital ou, até mesmo, o jogo completo. Ele pode
trabalhar com jogos para computador, dispositivos móveis, videogames ou jo-
gos que rodam em websites. Existem outros tipos de programador como, por
exemplo, o que trabalha com linguagens para banco de dados etc.

2.1.2  Profissionais de banco de dados

Nos sistemas de informação, os dados precisam ser armazenados. Estes

profissionais trabalham diretamente com armazenamento em banco de
dados relacionais, com sistemas de informação que trabalham com siste-
mas transacionais.

capítulo 2 • 25
2.1.2.1  DBA

O administrador de banco de dados (também conhecido como DBA) é um

profissional que se dedica, em especial, a tudo que está relacionado com a ad-
ministração de bases de dados. Para se tornar um administrador de banco de
dados, é necessário adquirir pleno domínio sobre as tecnologias de banco de
dados mais utilizadas no mercado (como Oracle, SQL Server, MySQL, Postgres
e DB2), além de ferramentas de business intelligence.

2.1.2.2  Administrador de dados – AD

É um profissional que se dedica a estudar os dados e a melhor forma de ar-

mazená-los. Além disso, o AD centraliza todas as estratégias, procedimentos e
práticas para o processo de gerência dos recursos. Também é responsável pela
definição dos planos, das padronizações, das organizações e das proteções que
serão implementadas.

2.1.3  Profissionais Web

Com o surgimento e desenvolvimento da Web, um conjunto de carreiras foi de-

senvolvido para que estes profissionais fossem classificados. A informática é
muito dinâmica e as profissões vão sendo criadas e morrendo. A área da Web
hoje representa uma grande possibilidade de emprego.

Analista de sistemas Web – o profissional de sistemas para Internet é aque-

le que trabalha com o desenvolvimento de programas, de interfaces e aplica-
tivos para o comércio e marketing eletrônico, além de portais para Internet e
Intranets. Esse profissional gerencia projetos de sistemas, inclusive com aces-
so a banco de dados, desenvolvendo aplicações para Web e integra mídias nos
diversos campos da rede. Em seu campo de trabalho, além de atuar com tec-
nologias emergentes como computação móvel, redes sem fio e sistemas dis-
tribuídos, o profissional cuidará da implantação, atualização, manutenção e
segurança dos sistemas para a Internet, entre outras funções.

Desenvolvedor Web – desenvolvedor Web é o profissional especializado em

desenvolver aplicações que funcionam na nuvem. Assim, este profissional cria

26 • capítulo 2
programas que não necessitam ser instalados no dispositivo para que funcio-
nem. Além disso, desenvolvedor Web é aquele que desenvolve sites, portais, fó-
runs, lojas virtuais etc. Para atuar como desenvolvedor Web, o indivíduo neces-
sita de formação bastante específica que forneça competências para programar,
tais como conhecer as linguagens de programação mais solicitadas (PHP, Java,
ASP, .NET), conhecer e entender o funcionamento de banco de dados, sendo,
portanto, imprescindível o conhecimento da linguagem SQL. Adicionalmente,
dominar CSS e HTML é fundamental. Para obter estas competências e outras
que são necessárias para o exercício da profissão de desenvolvedor Web, é ne-
cessário cursar uma graduação, por norma Sistemas da Informação.

Web designer – O especialista tem a responsabilidade de codificar o que foi

criado pelo designer de interface. Ele vai cuidar exclusivamente do JavaScript,
do HTML e do CSS. Ainda existem os Web designers que são especialistas em
flash e que irão colocar o site no ar.

Analista de conteúdo Web – atua na produção de conteúdo, alimenta sites

e gerencia redes sociais. Analisa, redige e modifica o conteúdo a ser publicado
nos sites. Atualiza textos e imagens. Apoia projetos e desenhos que envolvam
estrutura do banco de dados e das consultas nos sites. Ele cuida do plano estra-
tégico da empresa nas mídias sociais, tendo como tarefa inicial entender o pla-
nejamento geral da empresa e trazê-lo para o meio digital. É preciso entender
tanto do meio on-line como do meio off-line. Isto quer dizer um usuário massi-
vo em mídias sociais não necessariamente será um bom analista e conteúdo.
Marketing, administração e empreendedorismo são fundamentais para o de-
senvolvimento de um bom planejamento. É preciso ter uma alta capacidade de
leitura, crítica, escrita, criatividade e excelente domínio do português. Tem ain-
da como função fazer o monitoramento de tudo o que acontece de interessante
para a empresa nas mídias sociais e isto inclui tanto as ações da empresa quan-
to o monitoramento de tendências. É fundamental para a empresa conhecer
os resultados de suas ações nas mídias sociais, por isso, o analista deve gerar
relatórios e apresentar resultados e retornos sobre o investimento (ROI). Ele
também precisa estar atento às tendências e novidades na Web.

Analista de E-Commerce/E-Business – este profissional tem como prin-

cipais funções a gestão de projetos de comércio on-line, o que envolve a

capítulo 2 • 27
disponibilização de produtos na rede, a venda e cobrança de produtos pela
Internet, a logística de clientes a distância e o combate a fraudes. Além disso,
também são da sua alçada a prospecção de mercado e a disponibilização de
produtos on-line. Experiência em funções similares, vontade de aprender e
estar sempre atualizado, conhecimentos relacionados com planejamento es-
tratégico, marketing digital, contabilidade, gestão e fluência em inglês são re-
quisitos indispensáveis. Esse profissional é responsável pela administração do
site e por sua manutenção, pelo planejamento de campanhas promocionais on
-line, pela comunicação visual, conteúdo e atualização de produtos para o site,
pela publicação no site, pela realização de ações de marketing, pelo controle
da quantidade de vendas, pela elaboração de relatórios gerenciais de vendas,
mensuração e análise dos resultados, pelo gerenciamento do Google Analytics
e Adwords. Além disso, ele cuida do relacionamento com clientes para solu-
ções de dúvidas sobre compras no site da empresa, acompanha o fluxo de pe-
didos, o estoque, a logística e os pagamentos, atua no tratamento de imagens,
cadastro, controle, desenvolve novos projetos e parcerias visando potencializar
as vendas, faz a intermediação entre cliente e Web designer, define estratégias
de ação e metas junto ao cliente, intervem no relacionamento entre clientes e
fornecedores, faz a análise de concorrência, de oportunidades, de resultados e
elabora relatórios gerenciais.

Webmaster – é a pessoa encarregada do site, que decide a tecnologia que

será utilizada, os servidores e a estrutura em geral, bem como possui as senhas
para fazer modificações na página. É a única pessoa autorizada a dizer o que
entra ou não entra em relação à estrutura ou ao conteúdo do site. Um aspecto
essencial na hora de começar a trabalhar no site com os desenhadores é indi-
car-lhes os servidores com os quais vão trabalhar, explicar-lhes com porcenta-
gens as tecnologias que convêm e as que devem ser refutadas, enfim adaptá-los
ao que está disponível. Deve ter conhecimentos amplos sobre a segurança da
informação para proteger o site de ataques externos, de forma a garantir aos
servidores segurança contra hackers que venham a prejudicar o trabalho. São
pessoas altamente capacitadas no âmbito da tecnologia voltada para a Internet,
conhecendo a fundo as tecnologias do mercado. É a parte mais importante do
site porque são as pessoas que interligam todos os profissionais que trabalham
com conteúdo, Web designer etc. O Webmaster é um profissional capaz de ge-
renciar as tarefas tanto de um Web designer (elaboração do projeto estético e

28 • capítulo 2
funcional de um Website) quanto de um programador. Um webmaster não ne-
cessariamente domina tecnologias de programação, desenvolvimento e plata-
formas. Os responsáveis técnicos pelo layout e pelo sistema do site são em geral
respectivamente o Web designer e o programador. O Webmaster é a pessoa res-
ponsável por tomar as decisões quanto aos trabalhos específicos destes profis-
sionais, bem como por assessorar o proprietário do Website quanto a altera-
ções e melhorias. Algumas tarefas: gerenciar ou mesmo fazer a manutenção de
um site (atualizações e modificações do conteúdo já existente); definir regras
para o cadastro do site em buscadores nacionais e internacionais; verificar com
frequência se o site está em perfeito funcionamento; administrar um Website.

2.2  Gestão e governança de TI

Os sistemas estão cada vez maiores e precisam cada vez mais de profissionais
que gerenciam e acompanham os projetos, verificam e avaliam sua qualidade e
efetuam o monitoramento de desempenho.

2.2.1  Gestão de TI

Gerente de desenvolvimento de sistemas – é o profissional responsável por ge-

renciar as operações de serviços de tecnologia. Ele identifica as oportunidades
de aplicação dessa tecnologia administrando as pessoas e suas equipes. Ele
deve definir como os projetos de desenvolvimento de software serão conduzi-
dos, controlar sua qualidade, disponibilizar informações técnicas, alocar líder
e equipe em cada projeto, gerir a demanda, acompanhar a criação e o desenvol-
vimento, gerenciar os recursos, efetuar melhorias, realizar a gestão de projetos
e a coordenação de desenvolvimento de software, o gerenciamento de requisi-
tos específicos, gerir todo o projeto inclusive o produto final, realizando o de-
senvolvimento de software para Internet, estações de trabalho e dispositivos
móveis, realizar concepção e administração de banco de dados, treinamento,
validação e implantação de sistemas de software. Para que o profissional tenha
bom desempenho, além da graduação é essencial que possua experiência com
as linguagens utilizadas em seu ambiente, capacidade de liderança e habilida-
de na gestão de equipes, facilidade de relacionamento e habilidade para discu-
tir pontos com seus técnicos. Executar este papel pode ser estressante, pois é a

capítulo 2 • 29
pessoa que está sempre no meio de um confronto, sendo puxado em direções
diferentes por gerentes, clientes, vendedores, desenvolvedores e outros. Se o
trabalho estiver bem feito, ninguém perceberá sua interferência: as coisas fun-
cionam de forma fluente, o trabalho é realizado sem transtornos e todos têm o
de que precisam. Se as coisas derem errado, independentemente do motivo, a
culpa é sempre do gerente de desenvolvimento. O primeiro passo para ser bem-
sucedido está em gerir as expectativas e fazer com que todos entendam bem
suas funções. Tanto o gerente como seus colegas de trabalho precisam estar
em sintonia. Sua principal responsabilidade é fazer com que um produto seja
entregue. O objetivo é apresentar resultados para o cliente ou mercado, além
de fazer tudo o que for necessário para alcançá-los. Para atingir esse objetivo,
é necessário ter certeza de que a equipe de desenvolvimento é capaz de desem-
penhar bem o seu papel. Isso significa garantir que que as metas sejam claras,
tanto a curto como a longo prazo, e remover impedimentos. Do escopo inicial
do projeto até a implantação do produto, cada etapa é de responsabilidade do
gerente de desenvolvimento, que pode e deve delegar responsabilidades, mas
sempre verificando se as coisas estão sendo realizadas como precisa e dispon-
do-se constantemente a ajudar.

Gerente de projeto – o gerenciamento de projetos apresenta grande enfoque

nos tempos atuais. Devido ao estudo e ao desenvolvimento eficaz dos métodos
de projeto, as organizações e os profissionais estão buscando utilizar esta fer-
ramenta e se especializarem cada vez mais para atender às demandas de traba-
lho. O conceito de projeto pode ser definido como planejamento, organização
e desenvolvimento de um conjunto de tarefas executadas por pessoas com o
objetivo de criar um produto ou serviço. Este projeto é temporal, ou seja, todo o
empenho para se chegar ao resultado possui um prazo, um cronograma, porém
este mesmo conceito de temporalidade não pode ser associado ao resultado,
uma vez que ele é definido de acordo com a necessidade da empresa. Portanto,
o gerente de projetos em TIC é o profissional cuja função principal é gerenciar
um projeto em todos seus estágios, sendo o grande responsável por seu suces-
so final. Ele pode assumir múltiplas funções e não somente gerenciar o proje-
to em questão, pois, muitas vezes, é necessário que ele trabalhe em conjunto
com a equipe e realize funções diversas. Além de gerenciar e controlar todo o
trabalho, ele deve atribuir aos membros da equipe as funções de cada um, re-
passando os prazos e também orçamentos; identificar, documentar, gerenciar

30 • capítulo 2
e solucionar todos os problemas que possam surgir; realizar o controle de qua-
lidade e assim proporcionar um nível de qualidade aceitável; cobrar de cada
membro da equipe a realização da função a ele designada e assegurar-de que
ela está sendo feita com sucesso; verificar cada etapa do projeto e, depois, pas-
sar para a fase seguinte; observar a finalização do projeto e os erros e acertos.
Temos ainda algumas qualidades que um gerente de projetos deve ter: discipli-
na e capacidade de gerenciar e coordenar um projeto; capacidade de atribuir
funções e cobrar que todas estejam sendo realizadas no prazo hábil; ter espí-
rito de liderança para fazer com que a equipe siga todas as suas designações;
ser provido de capacidade emocional para gerir uma equipe e fazer com que
ela se sinta motivada para desenvolver as atividades atribuídas. O gerente de
projetos segue a mesma linha de um administrador, trabalhando em projetos
de diversos tamanhos, cronogramas e demandas. Os objetivos do gerente de
projetos são voltados apenas para o projeto, diferentemente do administrador
que trabalha para os objetivos da empresa. Durante a execução de um projeto,
o GP se envolve no acompanhamento das tarefas realizadas pela equipe. Por
esse motivo é que uma das grandes habilidades que o GP deve possuir é saber
lidar com as pessoas e conseguir que elas desempenhem da melhor maneira
possível suas tarefas. Existem ainda softwares de acompanhamento de tarefas
– MS Project e Open Project, por exemplo – atualizados pela equipe no qual o
GP consegue identificar o nível de desempenho e cumprimento do projeto. O
papel do GP também se estende à transformação de estratégias para operações,
uma vez que o GP faz a ligação destes níveis operacionais. Isso ocorre pelo fato
de o projeto ser também uma ferramenta de criação de novos produtos e servi-
ços que possibilita às organizações uma adaptação mais eficaz às exigências do
mercado. Deve ter curso superior na área de TI e ainda certificações e/ou MBA
em Gestão de Projetos.

Gerente de tecnologia da informação – TI – é o profissional responsável por

gerenciar projetos e operações de serviços de tecnologia da informação e co-
municação. É uma evolução natural da gestão da TI que passou a incorporar
a comunicação empresarial com o surgimento da voz sobre IP, pois esta pas-
sou a ser tratada como um tipo de dado, e usar a infraestrutura convergente da
corporação. Tem funções variadas, que mudam de acordo com o tamanho da
corporação e a maturidade da gestão. Em empresas mais novas, o gerente de TI
assume a função de prover sistemas e tecnologias para otimizar a gestão. Já em

capítulo 2 • 31
companhias maduras, ajuda a definir estratégias empresariais, ideias, inova-
ções e a criar novos formatos de negócios. A atividade evoluiu. Hoje, o gerente
de TI explora e aperfeiçoa as tecnologias e faz a conexão entre a ferramenta e a
estratégia de negócios, ou seja, ele usa a tecnologia mais pertinente de forma
a apoiar a estratégia de negócios da organização. Com isso, ele deixa de ser um
profissional só com habilidades técnicas e passa a necessitar da capacidade de
gestão. O gerente tem que ter uma visão mais generalista das tecnologias. Ele
terá especialistas para apoiá-lo. Isto não quer dizer que o conhecimento téc-
nico seja dispensado, mas ele precisa ter uma mescla de conhecimentos. Ele
precisa ter uma formação básica, experiência e vivência razoável de projetos,
além de conhecer a tecnologia. Também é preciso ter uma visão de negócios e
estratégica. Ele gerencia as atividades da área de informática, envolvendo a ela-
boração de projetos de implantação, racionalização e redesenho de processos,
incluindo desenvolvimento e integração de sistemas, com utilização de alta tec-
nologia, identificando oportunidades de aplicação dessa tecnologia. Está sob
sua responsabilidade gerenciar os projetos em todos seus estágios; planejar e
gerenciar toda área de TI, envolvendo infraestrutura e sistemas; atuar na gover-
nança de TI e engenharia de processos; elaborar estratégias e procedimentos
de contingências, visando à segurança de dados, acessos, auditorias e à conti-
nuidade dos serviços dos sistemas de informação; coordenar os trabalhos de
suas equipes, cuidando da avaliação e identificação de soluções tecnológicas,
planejamento de projetos e entendimento das necessidades do negócio e dos
clientes; negociar com consultorias contratos para o desenvolvimento de proje-
tos ou a alocação de recursos para a realização das atividades de análise e pro-
gramação; atribuir aos membros da equipe as funções de cada um, repassando
os prazos e também orçamentos; identificar, documentar, gerenciar e solucio-
nar todos os problemas que possam surgir; realizar o controle de qualidade e,
assim, proporcionar um nível de qualidade aceitável; cobrar de cada membro
da equipe a função designada e checar se ela está sendo realizada com sucesso;
verificar cada etapa do projeto e, depois, passar para a fase seguinte, conferir
a finalização do projeto e realizar um levantamento dos erros e acertos, sendo
responsável pelo sucesso final de cada projeto. Para ter bom desempenho, é
essencial que, além da graduação, possua disciplina, capacidade de gerenciar e
coordenar um projeto, atribuir funções e cobrar dos envolvidos a realização das
tarefas em tempo hábil.

32 • capítulo 2
 Gerente de infraestrutura de TIC – é o profissional que coordena as ativida-
des da infraestrutura de tecnologia da informação e comunicação da organiza-
ção, buscando melhorias contínuas nos processos e na qualidade da entrega do
serviço prestado. Ele deve manter um relacionamento estreito com os parceiros e
patrocinadores ligados a esta área, monitorando os serviços e cuidando das ativi-
dades quanto a prazos, custos e qualidade. Tem como principais responsabilida-
des coordenar e monitorar o relacionamento e os serviços dos parceiros e patro-
cinadores referentes à telefonia, telecomunicações e Internet, data center e rede
local, garantindo o cumprimento dos níveis de serviços acordados; coordenar os
serviços de infraestrutura de TI, sua operação, manutenção e melhoria contínua
de servidores, impressoras, LAN, WAN, acesso à Internet, VPN, mobilidade, soft-
wares, telefonia fixa, telefonia móvel, help desk, banco de dados, atendimento lo-
cal etc.; manter integração com a gerência de projetos, com o objetivo de acordar
e estabelecer esforços, prazos e impactos das novas soluções sobre a infraestru-
tura corporativa; reportar status periódico à gerência de TIC, incluindo níveis de
desempenho, cumprimento dos acordos de serviço, visão gerencial de progres-
sos, riscos, planos de continuidade dos negócios etc.; participar da gestão dos
contratos de serviços de infraestrutura e telecomunicações corporativas, atuando
como interface entre a gerência geral e os provedores desses serviços; coordenar a
implantação e manutenção de processos de gerenciamento de infraestrutura e te-
lecomunicações, tais como gestão de problemas, incidentes, versões, mudanças,
configurações, capacidade, disponibilidade, nível de serviço e monitoramento de
performance e falhas, visando atender aos serviços acordados; realizar a gestão da
capacidade e disponibilidade dos serviços de infraestrutura e telecomunicações
corporativas, tomando medidas para ajuste e ampliação quando necessárias; rea-
lizar a gestão de conflitos de priorização, prazo e escalonamento de demandas, ga-
rantindo o atendimento das necessidades do negócio; coordenar o NOC (Network
Operation Center), garantindo o cumprimento das metas e os indicadores de qua-
lidade da área; atuar no Comitê de Gestão de Mudanças e Problemas (caso exista)
fornecendo dados e informações sobre infraestrutura e telecomunicações corpo-
rativas; analisar riscos e vulnerabilidades de infraestrutura e telecomunicações
corporativas, bem como propor e acompanhar a implementação de soluções para
mitiga-los; realizar a gestão do orçamento relacionado às atividades de infraestru-
tura e telecomunicações corporativas para a organização, zelando pela excelência
de ações em termos de prazos, custos e qualidade.

capítulo 2 • 33
 Diretor de TIC – CIO – é o profissional responsável por dirigir a implementa-
ção do Plano Diretor de Tecnologia da Informação e Comunicação, um instru-
mento de diagnóstico, planejamento e gestão dos recursos e processos de tec-
nologia da informação que visa atender às necessidades de informação de um
órgão ou entidade para um determinado período. Com a crescente importância
da TIC para os negócios das organizações, a exemplo do gerente de TIC, este pro-
fissional explora e aperfeiçoa as tecnologias e faz a conexão entre a ferramenta e
a estratégia de negócios, ou seja, ele usa a tecnologia mais apropriada de forma
a apoiar a estratégia de negócios da organização, necessitando, para tanto, de
uma alta capacidade de gestão, conhecimento e visão estratégica do negócio. Ele
coordena a implementação desse plano, observando cronogramas, prioridades e
orçamentos aprovados. Está sob sua responsabilidade dotar a empresa de siste-
mas e recursos existentes no mercado, por meio do contínuo acompanhamento
de novos lançamentos e do aprimoramento dos hardwares e softwares já exis-
tentes; planejar, coordenar, gerir e supervisionar os projetos de desenvolvimento
e manutenção de sistemas, comunicação de voz e dados, rede elétrica estabili-
zada, rede convergente com e sem fio (onde a amplitude geográfica é cada vez
maior), mobilidade, infraestrutura computacional, serviços de atendimento de
informática e demais atividades de tecnologia da informação; promover ações
visando garantir a disponibilidade, a qualidade e a confiabilidade dos processos,
produtos e serviços de tecnologia; acompanhar e avaliar a elaboração e execução
dos planos, programas, projetos e as contratações estratégicas de tecnologia da
informação e comunicação; estabelecer e coordenar a execução da política de
segurança de tecnologia da informação. Para que este profissional tenha bom
desempenho, além da graduação é essencial que possua cursos de MBA e afins,
com amplo conhecimento de TIC, de gerenciamento das informações geradas
e distribuídas nos mais diversos dispositivos de armazenamento, nas mais dife-
rentes possibilidades (local, datacenter, nuvem) de redes de computadores etc.

2.2.2  Governança de TI

Auditor de sistemas – tem a missão de gerenciar o risco operacional, ou seja, ado-

tar melhores práticas de infraestrutura, políticas e metodologia e avaliar a ade-
quação dos sistemas de informação utilizados. Deve ter conhecimentos sólidos
nas áreas de desenvolvimento de sistemas, procedimentos de TI, segurança da
informação e ainda saber gerenciar a infraestrutura e os riscos dentro de uma

34 • capítulo 2
empresa, já que essa é uma profissão com muitos encargos administrativos. Deve
desenvolver o plano de implementação da governança de TI, gerando transpa-
rência às informações financeiras da empresa dentro de um sistema informati-
zado. Deve também definir políticas de segurança, evitando possíveis fraudes e
vazamentos de informação, o que faz com que profissionais de TI que já tenham
experiência em segurança da informação tenham facilidade em ingressar nessa
área. É uma atividade de cunho preventivo e moralizador dentro do padrão ope-
racional da empresa. O profissional apontará falhas na eficiência da empresa,
gerando oportunidade de melhorias significativas na produtividade. Em razão
das novas tecnologias, o profissional deve estar sempre bem atualizado e à frente
das inovações, de forma a garantir uma auditoria sempre eficiente e reservar seu
lugar no mercado, que é a cada dia mais concorrido. As principais atividades são:
analisar a eficiência dos recursos computacionais, ou seja, se eles estão adequa-
dos às tarefas que a empresa precisa atender. Esses recursos englobam o hardwa-
re, o software e pessoas. A constatação da eficácia dos sistemas faz com que es-
tes atendam adequadamente às necessidades dos usuários internos e externos;
atestem a segurança física e lógica do ambiente do sistema de informação e asse-
guram confiabilidade a quem os utiliza. É a área ideal para pessoas perfeccionis-
tas e que têm facilidade para detectar erros. A necessidade global de referências
nesse assunto, para o exercício dessa profissão, promoveu a criação e desenvolvi-
mento de melhores práticas como COBIT, COSO, ISO 27001 e ITIL. Atualmente,
a certificação CISA – Certified Information Systems Auditor, oferecida pela ISACA
– Information Systems and Control Association – é uma das mais reconhecidas e
avaliadas por organismos internacionais, já que o processo de seleção consta de
uma prova extensa que requer conhecimentos avançados, além da experiência
profissional e da necessidade de manter-se sempre atualizado, por meio de uma
política de educação continuada (CPE), na qual o portador da certificação deve
acumular carga horária de treinamento por período estabelecido. A formação
acadêmica do auditor de sistemas por esses motivos acaba sendo multidiscipli-
nar: sistemas de informação, ciência de computação, administração com ênfase
em TI, advocacia com foco em direito da informática – direito digital e correlatos.

Gerente de segurança da informação – é o profissional que cria e adminis-

tra as políticas de segurança da informação e comunicação, das métricas e dos
indicadores da área de operações de segurança, gerencia as oportunidades
de aplicação de tecnologia e interage com outras áreas de maneira a garantir

capítulo 2 • 35
a segurança das informações da empresa. Dentre as exigências para ocupar o
cargo, está o conhecimento dos seguintes padrões e normas: ISO/IEC 27001,
27002, 27005; ISO Guide 73; Nist 800-30; Sarbanes Oxley (SOX); Cobit; ITIL. De
forma geral, este profissional tem as seguintes atividades: promover a cultura
de segurança da informação e comunicações; acompanhar as investigações e
as avaliações dos danos decorrentes de quebras de segurança; propor recursos
necessários às ações de segurança da informação e comunicações; coordenar o
Comitê de Segurança da Informação e Comunicações e a equipe de tratamento e
resposta a incidentes em redes computacionais; realizar e acompanhar estudos
de novas tecnologias, quanto a possíveis impactos na segurança da informação e
comunicações; manter contato direto com o DSIC para o trato de assuntos rela-
tivos à segurança da informação e comunicações; propor normas relativas à se-
gurança da informação e comunicações. As principais disciplinas relacionadas à
SIC são: Segurança em Recursos Humanos – tem como objetivo reduzir os riscos
de erro humano, roubo, fraude, uso, acesso e divulgação indevidos dos ativos de
informação; estabelecer responsabilidades sobre a segurança da informação;
abranger a fase de recrutamento, que inclui contratos de trabalho, duração do
trabalho e desligamento de pessoal; estudar os motivos que levam as pessoas a
realizar quebras de SIC; Segurança física e do ambiente – busca a proteção do
acesso às áreas restritas, aos equipamentos de segurança e dos controles gerais;
gerenciamento de operações e comunicações – diz respeito a atividades, proces-
sos, procedimentos e recursos que visam disponibilizar e manter serviços, siste-
mas e infraestrutura que os suporta, satisfazendo os acordos de níveis de serviço;
segurança no desenvolvimento de aplicações – tem como objetivo desenvolver
um software sem vulnerabilidades, que funcione da forma esperada e que não
comprometa a segurança de outros requisitos do software, do seu ambiente e as
informações manipuladas por ele; auditoria e conformidade – atividade estru-
turada que tem por objetivo examinar criteriosamente a situação dos controles
de segurança da informação; infraestrutura de TI – está relacionada à segurança
das instalações prediais (energia, climatização e acesso físico), dos computado-
res e equipamentos, software, redes e telecomunicações, sistemas de armazena-
mento e recuperação de dados (arquivos e storage) e aplicações computacionais;
governança de TI: – critérios de segurança da informação pertinentes ao geren-
ciamento de todos os aspectos da tecnologia da informação e comunicação que
se relacionam diretamente com os objetivos de negócio; criptografia e infraes-
trutura de chaves públicas – conjunto de técnicas que visam garantir o sigilo e a

36 • capítulo 2
integridade de informações e sistemas; gestão de continuidade no serviço públi-
co – este processo fornece uma estrutura para que se desenvolva uma resiliên-
cia organizacional que seja capaz de responder efetivamente e salvaguardar os
interesses das partes interessadas, a reputação e a marca da organização, suas
atividades, serviços e ativos de informação no caso de um impacto na instituição;
tratamento e classificação da informação; gestão de ativos de informação

Analista de segurança da informação – este especialista desenvolve técnicas

para que os riscos quanto ao acesso não autorizado e/ou roubo de informações se-
jam minimizados, procura corrigir falhas encontradas nos processos, reduzindo
vulnerabilidades e impedindo que dados sensíveis sejam acessados por invasores
(internos ou externos à empresa), gerencia equipamentos e softwares que pre-
vinam o ambiente contra ataques, como firewall, servidores antivírus, filtros de
spam, políticas de senhas etc. O analista também faz a manutenção dessas ações,
realiza a publicação da segurança para os funcionários, treina as equipes respon-
sáveis tecnicamente pelos sistemas e conscientiza usuários e colaboradores. O
profissional atua no planejamento de estratégias de segurança da informação.

2.3  Infraestrutura e suporte

Esta área é responsável por manter os sistemas funcionando. Os profissio-
nais desta área precisam ter aptidão para o monitoramento e a avaliação
de desempenho.

2.3.1  Infraestrutura

Projetista de rede – é o profissional responsável por projetar a estrutura de co-

municação da empresa. Ele é determina a forma como a empresa se comunica
e os tipos de canais que serão utilizados. Além disso, também é responsável por
projetar a qualidade e o balanceamento de carga para que os sistemas possam
trabalhar de maneira adequada.

Administrador de rede – é o profissional responsável por atuar no de-

senvolvimento, configuração e manutenção de soluções e na administração
de servidores Linux, Windows, virtualizados ou não, e redes de dados em

capítulo 2 • 37
ambiente data center. Está sob sua responsabilidade realizar manutenção da
rede Windows e Linux, responder pela elaboração e execução de projetos VoIP
com QOS e integração com PABX, gerenciar e configurar Firewalls, Routers
e Switches, responder pelo gerenciamento de servidores (AD, DNS, FTP, File
Server, DHCP, DNS e etc.), de programas de antivírus, prevenir invasões físicas
e lógicas, atuar na administração LAN e WAN, na configuração e administra-
ção de ferramentas de monitoria, fazer a solução de problemas relacionados,
desenvolver soluções de conectividade e servidores, projetos de conectividade
WAN com serviços centralizados em data center, VoIP, atuar na ação de ser-
vidores com software de virtualização e sistemas gerenciadores de banco de
dados (SGBD), realizar configuração de VPN, de Proxy Server, atuar no atendi-
mento a usuários e na configuração da estrutura de rede, prestar atendimento
a usuários remotos, presenciais e nos serviços de telefone suporte a desktops,
impressoras, WIFI, scanner e links de dados Troubleshooting em servidores de
e-mail, arquivos, aplicação e impressão, abrir e registrar incidentes e proble-
mas no sistema de help desk, criar e manter ambiente atualizado, inventariado
e organizado, fazendo monitoramento no ambiente local da organização. Para
que este profissional tenha bom desempenho, além da graduação é essencial
que possua conhecimentos em Windows, Linux, redes TCP/IP, comunicação
de dados e interligações de redes, serviços de rede Proxy, Firewall, DNS, WINS,
servidores de páginas (HTTP), servidores para transferência de arquivos (FTP),
servidores de e-mail (SMTP, POP3, IMAP), servidores de autenticação, active
directory, serviços de monitoramento de tráfego e redes de computadores e
conhecimentos em Intranet, Internet e Extranet, em redes wireless e telefonia.
No aspecto pessoal, este profissional deve ser dinâmico e ter interesse em bus-
car alternativas técnicas e gerenciais. Deve ser confiável, prestativo e possuir
facilidade de comunicação com seus usuários, além de funcionar como me-
diador perante o gerente de infraestrutura ou superior, nas questões técnicas
e administrativas da rede. É fundamental que, devido às mudanças e aos avan-
ços que a tecnologia sofre em curto espaço de tempo, o profissional se mante-
nha sempre atualizado. Cursos de pós-graduação e certificações pertinentes
são muito bem vistos nessa área.

Administrador de sistema – o administrador de sistemas é um profissio-

nal da área de tecnologia da informação, que, embora não seja um engenhei-
ro de software, tem de ter conhecimentos sólidos sobre as aplicações com que

38 • capítulo 2
trabalha. Algumas das principais funções do administrador de sistemas são:
diagnosticar erros nos sistemas; instalar e dar manutenção aos diferentes sis-
temas; programar scripts e programas de pouca complexidade; realizar cópias
de segurança (backup) de dados importantes; gerir as contas dos usuários; re-
solver problemas de sistemas; garantir a segurança dos servidores e de outros
sistemas; otimizar o desempenho dos sistemas; assegurar o funcionamento
correto e desejado dos sistemas. É importante salientar que, à semelhança de
outros profissionais da área, o administrador de sistemas acaba por reunir e até
utilizar competências que não são do âmbito do seu trabalho.

2.3.2  Suporte

Analista de suporte – é o responsável pela correta manutenção dos sistemas

operacionais, dos sistemas de gestão e das bases de dados. Algumas das tarefas
do analista de suporte são as seguintes: estabelecer e assegurar a execução ro-
tineira de cópias de segurança, conhecidas por backups; criar e manter normas
de segurança informática; proceder à instalação e atualização dos antivírus; ze-
lar pela instalação e manutenção dos sistemas operacionais; manter uma boa
gestão das bases de dados; fornecer suporte aos utilizadores dos sistemas que
ficam a seu cargo. Os analistas de suporte podem ser divididos por categorias
relativas aos seus conhecimentos e experiência, podendo auferir grandes dis-
paridades de acordo com a sua capacitação técnica.

Analista de suporte técnico – tem a função de dar suporte técnico presencial

(nível 2 ou superior) aos usuários, em relação a softwares, hardwares, rede, uti-
lização da Internet em sistemas interligados por rede, entre outros, para evitar
qualquer tipo de paralisação. Realiza atualizações nos sistemas implantados,
efetuando modernizações e procurando solucionar deficiências técnicas.

Analista / operador de help desk – help desk significa serviço de apoio a

usuários/clientes para suporte e resolução de problemas relacionados à tecno-
logia da informação e comunicação (TIC). Este apoio pode ser tanto interno,
dentro de uma empresa (profissionais que cuidam da manutenção de equipa-
mentos e instalações dentro da empresa), quanto externo (prestação de servi-
ços a usuários), utilizando uma plataforma de contact center, de forma a possi-
bilitar o contato do usuário/cliente por meio de qualquer meio de comunicação

capítulo 2 • 39
(telefone, e-mail, chat, redes sociais e fórum) e um sistema de gerenciamento
de incidentes que é apoiado por uma base de conhecimento. O operador ou
analista de help desk é um profissional da área de TIC que não precisa ter co-
nhecimentos profundos no assunto em questão, já que são apoiados por um
sistema que usa uma base de conhecimento de forma similar à atividade de
um especialista. Este profissional procura resolver o problema sem precisar se
deslocar até o local de origem do problema. Estes atendimentos são chamados
de atendimento de nível 1, já que, quando o problema não é resolvido desta
forma, um profissional de nível 2 ou superior, ou seja, com mais conhecimento
será designado a atender pessoalmente o originador do chamado. Com o ama-
durecimento do setor e o surgimento das melhores práticas de atendimento
dos chamados, ele evoluiu para service desk, cujo objetivo é prover os usuários
de TIC de um ponto único de contato, vital para uma comunicação efetiva entre
os usuários e as equipes de TI. A missão principal do service desk é o restabe-
lecimento da operação normal dos serviços dos usuários o mais rápidamente
possível, minimizando o impacto nos negócios causados por falhas de TI. Para
um provimento de serviços de service desk com qualidade, ele deve utilizar as
melhores práticas baseadas em ITIL ou em outras metodologias de mercado,
necessitando de profissionais com estas certificações. Para que sejam alcan-
çadas todas as expectativas do cliente, interno ou externo, deve-se estabelecer
acordos de nível de serviço (SLA). O SLA é que definirá em quanto tempo e de
que forma o serviço será prestado.

Analista de service desk / help desk – o service desk é a evolução do help desk,
porque agrega em si mais qualidade e abrangência. O service desk em si é um
centro de registro de entrada e saída de pedidos de assistência por parte dos
clientes de determinada empresa. Dessa forma, a função de um analista de ser-
vice desk é proceder ao entendimento do cliente, registrando a sua solicitação
e fazendo o tratamento pertinente, para que este receba a assistência preten-
dida o mais rapidamente possível. Este profissional é de extrema importância
para o bom funcionamento da empresa, dado que, por meio dele, a corporação
tem conhecimento das dificuldades sofridas pelo cliente com o serviço, bem
como, por meio dele, o cliente recebe suporte para a resolução de problemas
nos serviços prestados pela empresa. A demanda para analistas de service desk
é sempre alta, uma vez que existem sempre empresas alargando as suas linhas
de atendimento assim como empresas criando os seus centros de service desk.

40 • capítulo 2
 Analista de storage – o analista de storage trabalha diretamente com “redes de
área de armazenamento” (em inglês storage area network, cuja sigla é SAN), que
agrupam dispositivos de armazenamento de dados de vários computadores. As
SANs são projetadas para comportar grande tráfego de informações e utilizadas
por várias empresas que necessitam de uma rede computacional rápida e segu-
ra. Os analistas de storage desempenham uma função vital dentro das empresas
que dependem dessas redes, pois mantêm as SANs em perfeito funcionamento,
garantindo assim que os dados possam ser acessados em qualquer momento em
que forem necessários. Dentre as atividades desempenhadas estão a administra-
ção das redes, o suporte a seus usuários, a análise de performance e da capaci-
dade das SANs. É desejável ao candidato a analista de storage conhecimento de
sistemas operacionais (Linux, Windows etc.) bem como certificações emitidas
por empresas especializadas em SANs. Como em qualquer área ligada à tecnolo-
gia da informação, a formação constante, por meio de cursos de especialização,
também é um diferencial importante. Procuram-se profissionais com formação
na área de tecnologia da informação, especialmente em cursos como ciência da
computação. O curso superior têm duração de pelo menos quatro anos e os alu-
nos têm oportunidade de estagiar em empresas especializadas em SANs.

Analista de telecomunicações – é o profissional responsável pela execução

dos procedimentos de instalação, testes e manutenção da plataforma (servido-
res) de comunicação corporativa, basicamente telefonia, call center, correio de
voz e videoconferência utilizando o protocolo IP, garantindo ao máximo a con-
tinuidade dos serviços, mesmo em momentos de crise. É de suma importância
perceber a importância que a qualidade da infraestrutura da rede tem sobre estas
atividades. Ele deve colaborar na emissão de relatórios periódicos de indicado-
res qualitativos e quantitativos do desempenho e da capacidade de rede, atuar
sob prioridades estabelecidas para que todas as solicitações ocorram dentro dos
prazos. Ele deve executar com responsabilidade os processos de implantação e
manutenção, procurando sempre minimizar o tempo de indisponibilidade de
qualquer elemento da plataforma e zelando pela integridade de todos os equi-
pamentos envolvidos, elaborar interface com fornecedores, prestar suporte para
análise de viabilidade econômica de projetos, manter o gerenciamento das infor-
mações dos usuários, prestar suporte para o estudo do perfil dos usuários, aná-
lise de informações de infraestrutura, além da apresentação de cenários, inter-
faces com os usuários e operadoras para coleta de informações e, ainda, prestar

capítulo 2 • 41
suporte para o desenvolvimento de sistemas específicos (ex.: integração entre a
telefonia e a base de dados – CTI) e realizar visitas aos diversos sites da corpo-
ração. Ele planeja, ainda, a utilização de redes LAN, WAN, Internet, Intranet e
os diversos protocolos utilizados como Frame-Relay, ATM, MPLS, PPP e X.25.
O profissional pode também analisar projetos de telecomunicações e fornecer
suporte técnico e operar sistemas que envolvam fibras ópticas, antenas e satéli-
tes. É o responsável pelas adequações das instalações e infraestrutura existentes,
pelo monitoramento do backbone (termo utilizado para identificar a rede princi-
pal pela qual os dados corporativos passam, como se fosse a “espinha dorsal” da
rede), das redes de transporte, comunicação de voz, dados e imagem, de acordo
com indicadores técnicos estabelecidos, realizar configuração de equipamentos,
escalonamento de problemas e incidentes críticos em cenário de crise, trouble-
shooting e follow up para os usuários e direção, monitorar o acompanhamento
de circuitos e servidores, a fim de evitar indisponibilidades no ambiente.

2.4  Novos papéis da TI

Com o desenvolvimento da infraestrutura e a disponibilidade da quantidade
de recursos, hoje temos um novo cenário nas profissões de TI. A Internet das
Coisas (OIT), o Big Data, faz com que novas áreas e reestruturações ocorram nas
empresas, surgindo novas profissões e oportunidades. O melhor de tudo é que
essas inovações só aumentam a necessidade de bons profissionais.

Arquiteto de nuvem – é um projetista de armazenamento de dados para a

grande massa de dados.
Administrador de nuvem – responsável por monitorar o funcionamento e a
qualidade dos ambientes de armazenamento na nuvem.
Projetista de capacidade de nuvem – responsável pelo dimensionamento da
capacidade de armazenamento da nuvem.
Engenheiro de automação em TI – responsável pela análise e projeto de
sistemas autônomos para resolver problemas diários por meio de sensores
e atuadores.
Gerente de serviço – está no meio do gerente de vendas e o consumidor. É
sua responsabilidade identificar necessidades da sociedade para propor novas
soluções de TI.

42 • capítulo 2
 3
Tipos de Sistemas
de Informação –
Arquiteturas
A história da informática mostra a evolução dos sistemas de informação: tanto
o hardware quanto o software.
Os primeiros computadores eram grandes máquinas chamadas de main-
frame, que permitiam que muitos usuários utilizassem seu grande poder de
processamento.
Uma grande personalidade da informática é Thomas J. Watson, chairman1
da IBM que em 1943 fez um célebre pronunciamento:
– Eu acho que o mercado mundial deve ser atendido por 5 computadores.
Existe uma grande polêmica na veracidade desta frase, mas o que podemos
tirar de lição desta afirmação é que a IBM, na década de 1970, abandonou o pro-
jeto dos personal computers (PC’s), pois não acreditava que eles seriam o futuro
da informática. Hoje, olhando para o mundo, vemos que esta predição estava
meio desembasada, tanto a de colocar o projeto dos PC’s em domínio público
quanto a do tamanho do mercado de computadores.
Com o advento dos microcomputadores e a interligação destes computado-
res em rede, criou-se um novo horizonte de desenvolvimento. Os computado-
res viraram eletrodomésticos e seus sistemas se espalharam: a era dos sistemas
independentes e da arquitetura cliente – servidor. Também não podemos dei-
xar de citar os banco de dados relacionais. Nesta época, um sistema de informa-
ção nada mais era do que um programa de computador que se comunicava com
um banco de dados relacional.
Na década de 1990, a Internet estabeleceu novos rumos para o desenvolvi-
mento de sistemas, mas não descartou-se nada do que foi feito. Alguns siste-
mas migraram, mas outros apenas fazem consultas a eles.
Hoje, estamos iniciando uma nova era. Nesta década de 2010, vemos os
computadores domésticos perdendo força e os aplicativos para dispositivos
móveis tornando-se cada vez mais presentes. Se observarmos bem, estamos
indo na direção prevista por Thomas Watson, pois, com o conceito de nuvem e
com a possibilidade de acessar os dados de qualquer lugar, não nos interessa
mais saber quem e onde os dados estão sendo processados, mas sim que este
1  é o mais alto representante de um grupo, empresa ou corporação.

44 • capítulo 3
serviço está sendo oferecido. A diferença é que não serão 5 computadores. A
arquitetura dos computadores evoluiu em outra direção, mas os serviços não.
Temos hoje grandes datacenters responsáveis pelo processamento de petaby-
te's (PB) de informações.

3a PLATAFORMA
Nuvem – Big Data – Redes Sociais
Bilhões de usuários Milhões de APPs

2a PLATAFORMA
Cliente / Servidor
Centenas de milhões de usuários Dezenas de milhares de APPs
1a PLATAFORMA
Mainframes

Milhões de usuários Milhares de Aplicativos

Figura 3.1  –  A evolução das plataformas de Hardware.

Na figura 3.1, podemos ver a evolução dos computadores, seus usuários e os

softwares disponíveis. Esta figura ilustra esta introdução, mostrando os desa-
fios do passado, do presente e as expectativas do futuro.
Neste capítulo, iremos descrever um pouco mais estas estruturas de hard-
ware e a forma de desenvolver sistemas nestes diferentes cenários.

OBJETIVOS
•  Identificar os sistemas de informação existentes e que ainda são utilizados;
•  Entender a importância dos sistemas legados
•  Entender os sistemas stand alone
•  Apresentar a arquitetura cliente servidor
•  Entender a arquitetura dos sistemas web
•  Entender a importância dos aplicativos dos dispositivos móveis

capítulo 3 • 45
3.1  Sistemas legados
Olhando para a história da informática, muitos sistemas foram desenvolvidos
para grandes empresas: sistemas caros, complexos, com banco de dados da
época, desenvolvidos para os computadores mainframes. Só que estes sistemas
são extremamente estáveis e atendem até às demandas atuais.
O que fazer com estes sistemas? O custo para desenvolver novos sistemas
e abandonar os antigos é muito grande, então eles foram classificados como
sistemas legados e continuam rodando.
Estes sistemas fornecem serviços essenciais, mas têm difícil manutenção.
Se procurarmos uma definição formal do termo sistema legado, certamente
será difícil de encontrar. Por isso, serão apresentadas suas características.
•  Sistema antigo cujo processamento foi e ainda é importante para a em-
presa. Ele representa um legado. O importante é que ainda está em operação e
desempenha funções vitais da empresa.
•  Outra característica é que eles funcionam em hardwares obsoletos, prin-
cipalmente nos mainframes, cujos componentes são extremamente caros e ra-
ros. Estes sistemas utilizam linguagens como COBOL, banco de dados e forma-
tos de arquivos obsoletos.
•  A manutenção nestes sistemas é semelhante a um trabalho de restaura-
dor histórico. De forma analógica, colocar a mão nestes sistemas é como co-
locar a mão em um vespeiro. Geralmente, os profissionais que desenvolveram
estes sistemas já se aposentaram ou estão em processo de aposentadoria.
•  A documentação destes sistemas é falha, como na maioria dos sistemas.
O problema é que identificar as regras de negócio implementadas não é uma
tarefa simples.

3.2  Sistemas stand alone

Com a transformação dos computadores em máquinas ao alcance de todos,
uma categoria de sistemas surgiu, os sistemas stand alone. São programas
que trabalham sozinhos, não precisando de nenhum apoio e de nenhum
complemento.
Eles eram usados para fazer o controle de estoque de uma videolocado-
ra, de um estacionamento, de uma biblioteca etc. São sistemas simples que

46 • capítulo 3
controlavam e automatizavam pequenos negócios. Com um computador e um
software, muitos problemas eram resolvidos.
Muitos destes controles eram feitos em planilhas eletrônicas ou até mesmo
em editores de texto. Os sistemas simples entraram como solução de TI para
melhorar os processos da empresa e dar possibilidades de crescimento para o
negócio.

3.3  Arquitetura cliente-servidor

A interligação dos computadores em rede permitiu que uma nova arquitetura
de desenvolvimento de software fosse criada. Este modelo é chamado de arqui-
tetura cliente-servidor.
O modelo clienteservidor forma a base da maioria das comunicações em
rede e o seu entendimento ajuda a compreender o funcionamento de algorit-
mos distribuídos.
Com o crescimento da tecnologia dos microcomputadores, redes e comuni-
cação entre eles, surgiu a necessidade dos usuários finais acessarem dados de
diferentes locais. O processamento descentralizado mostrou a sua eficiência e
o compartilhamento de recursos tornou-se economicamente viável. O proces-
samento centralizado em computadores de grande porte já não se adapta às
novas necessidades dos usuários, que se tornaram mais exigentes em relação
ao produto final. Com estas novas exigências, surgiram novos modelos de pro-
cessamento baseados na arquitetura cliente-servidor (PIRES, 1995).
Em um primeiro momento, a expressão cliente-servidor foi originalmente
aplicada à arquitetura de software que descrevia o processamento entre dois
programas, a aplicação e o serviço de suporte. Nesta ocasião, os programas do
cliente e do servidor não estavam, obrigatoriamente, separados fisicamente, o
que leva a concluir que podiam ser executados na mesma máquina. Assim, as
discussões sobre cliente-servidor eram limitadas à interação entre um cliente
e um servidor. Com o passar do tempo, a evolução dos sistemas, a concepção
de programas capazes de gerenciar recursos ou prover serviços a vários outros
programas, tornou-se largamente aceita.
O modelo de processamento cliente-servidor surgiu como um processo de
compartilhamento de periféricos típicos de redes locais (LAN). Em um ambien-
te onde os periféricos são compartilhados em uma LAN, um recurso comum

capítulo 3 • 47
pode ser compartilhado pelos computadores conectados à rede – um arquivo
de disco rígido ou uma impressora são exemplos comuns. Podemos chamar
estes periféricos compartilhados de servidores (um servidor de arquivos e um
servidor de impressão, no exemplo). O nome servidor foi utilizado porque estes
periféricos recebem requisições de serviços dos computadores da rede. O mo-
delo de processamento cliente-servidor é uma extensão natural do processo de
compartilhamento de periféricos.
O termo servidor é aplicado a qualquer programa que oferece um serviço
que pode ser alcançado através de uma rede de computadores. Um servidor re-
cebe requisições pela rede, processa o serviço e retorna o resultado para quem
o requisitou – o cliente.
Um programa se torna um cliente quando ele solicita um serviço a um
determinado servidor e aguarda a resposta. A utilização do modelo cliente-
servidor retrata a facilidade de comunicação entre processos, que pode acon-
tecer em uma única máquina ou em um sistema distribuído, ou seja, em vá-
rias máquinas.
No modelo cliente-servidor, o processamento de uma aplicação pode ser
dividido entre o cliente e o servidor. O cliente inicia o processo e o controla par-
cialmente. Tanto o cliente quanto o servidor trabalham em cooperação para
alcançar os objetivos desejados. Podemos mencionar cinco requisitos necessá-
rios neste tipo de arquitetura. São eles:
– Sistema de comunicação robusto entre clientes e servidores
– Interação cooperativa entre cliente e servidor, iniciada pelo cliente
– Distribuição do processo entre o cliente e o servidor
– Controle do servidor sobre os dados ou os serviços que um cliente
pode pedir
– Solução pelo servidor dos conflitos nos requisitos dos clientes.

No modelo cliente-servidor existem as figuras do cliente e do servidor. O

cliente é o dispositivo que solicita um serviço, enquanto o servidor recebe, pro-
cessa e responde às solicitações do cliente (figura 3.2). Um servidor pode ser
responsável por um ou mais serviços como, por exemplo, serviços de arquivo e
impressão, serviços de comunicação, serviços Web e serviços de banco de da-
dos. Como os servidores concentram todas as solicitações, esses dispositivos

48 • capítulo 3
devem ter características de hardware e software que permitam oferecer requi-
sitos mínimos de disponibilidade e desempenho, o que influencia o parâme-
tro custo. O modelo cliente-servidor é largamente utilizado em redes locais nas
quais o desempenho e a administração centralizada são importantes.

CLIENTE SERVIDOR

Figura 3.2  –  Modelo cliente-servidor.

A Internet é um bom exemplo de rede cliente-servidor, em que diversos ser-

viços são oferecidos por dispositivos especializados como servidores de correio
eletrônico e Web. O serviço Web, por exemplo, é oferecido por servidores como
o Apache e Microsoft IIS. O cliente desse serviço é o browser, que pode ser, por
exemplo, o Mozilla Firefox ou o Microsoft Internet Explorer. O browser solicita
uma página ao servidor Web, que processa o pedido e retorna à página solicita-
da. A página é então exibida pelo browser na tela do usuário (figura 3.3).

SOLICITAÇÃO

PÁGINA WEB
Browser
Servidor
Web

Figura 3.3  –  Serviço Web.

Em redes cliente-servidor, caso um servidor tenha problemas, os clientes

não terão acesso aos serviços oferecidos por ele. Para evitar problemas de dis-
ponibilidade, os serviços podem ser oferecidos por vários servidores, criando
um esquema de redundância. A facilidade de agregar servidores garante ao mo-
delo escalabilidade e desempenho, assim, se um servidor Web estiver sobrecar-
regado, basta agregar novos servidores e dividir a carga de processamento. Esse
esquema de agregação de servidores, conhecido como cluster, é muito utilizado
atualmente em diversos serviços oferecidos em uma rede.

capítulo 3 • 49
3.4  Sistemas Web
O desenvolvimento de sistemas evoluiu na direção da Internet com seus servi-
ços, descritos no capitulo 5.2. Esta evolução chegou tão forte no mercado que
os computadores passaram a ser comparados a navegadores e até netbook’s
foram lançados no mercado. Estes computadores eram arquiteturas voltadas
à utilização da Internet. Um pequeno notebook apresentava pequeno poder de
processamento e boa conexão com a Internet.
Os sistemas Web funcionam nos navegadores ou utilizam os clientes Web
para funcionar. Podem ser entendidos como sistemas que utilizam a Internet
com acesso público ou restrito. O principal ganho que se tem ao se projetar
um sistema Web é que os usuários que já estão ambientados na navegação na
Internet não terão problemas em entender o funcionamento do sistema. Os re-
cursos de funcionamento do sistema são mais intuitivos e fazem parte do ope-
racional do usuário.
Como a Internet se faz valer do modelo cliente-servidor, os sistemas Web
também possuem esta divisão. Existirá um lado cliente e o outro lado chamado
de servidor.
O lado cliente do sistema é responsável pela interface com o usuário. Ela
coleta os dados e entrega as informações desejadas aos usuários. Deve ser
projetada e desenvolvida por profissionais de designer, que levarão em con-
ta as necessidades do usuário. Neste ambiente, utilizamos o HTML e CSS ou
até Javascript.
O lado servidor do sistema é responsável pelo processamento e persistência
dos dados. Esta parte do software é realizada por programadores Web que de-
senvolvem sistemas do lado do servidor, valendo-se de linguagens como ASP,
JSP, Servlet ou até mesmo PHP.
Com o advento dos dispositivos móveis, os serviços dos sistemas Web estão
migrando para disponibilizar suas entregas pelos Webservices, o que permite
aos usuários consumirem estas informações em qualquer mídia, seja nos na-
vegadores tradicionais, seja nos dispositivos móveis por meio dos aplicativos
ou dos dispositivos que ainda não conhecemos.
Os sistemas Web fazem com que o local onde se armazenam os dados não
mais sejam relevantes. Não interessa mais aos usuários onde os serviços estão

50 • capítulo 3
sendo oferecidos, mas sim que a conexão de comunicação entregue as informa-
ções necessárias solicitadas. Este conceito de software é definido com sistema
em nuvem – cloud.

3.5  Aplicativos móveis

Os aplicativos são sistemas que rodam em dispositivos móveis. Mais uma vez,
temos um novo conceito de software, porque o hardware em que estes progra-
mas funcionam mudou totalmente. O conceito de ter o cliente rodando ainda
continua, só que este cliente está buscando informações em Webservices. O
que muda mesmo são as características dos hardwares, conforme segue:
•  Normalmente são menores e mais leves.
•  Possuem memória com menor capacidade.
•  Possuem processador com capacidade inferior.
•  Possuem maior autonomia de bateria / menor consumo de energia..
•  Tendem a ser mais seguros e confiáveis.
•  Podem possuir ou não conectividade ou ainda esta ser limitada.
•  Normalmente são mais rápidos na inicialização e no desligamento.
•  Podem ser mais resistentes a quedas.

Além disso, estes pequenos dispositivos portáteis ainda trazem abarcada

uma série de componentes como:
•  GPS
•  Acelerômetro
•  Giroscópio
•  Microfone
•  Autofalante
•  Tela de alta definição
•  Tela touch
•  Wireless
•  NFC
•  Biometria

capítulo 3 • 51
 Os dispositivos móveis estão evoluindo a cada dia e novos lançamentos de
hardware são lançados todos os dias.
Quais são as características de um App? Seu aplicativo deverá atender aos
seguintes tópicos:
•  Conte uma grande história
• Ao desenvolver uma aplicação, ela deve estabelecer uma conexão
emocional com seu usuário – quando você usa um ótimo aplicativo, você se sen-
te bem, inspirado. Para isso, pense em:
• O que seu aplicativo faz?
• Quem são seus usuários?
• Onde seu aplicativo será utilizado?
• Defina o estilo da sua aplicação.
• Para isso, responda às seguintes perguntas:
• Que tipo de App você está desenvolvendo?
• Que tipo de conteúdo você tem?
• Use animações nas transições de telas – dar realismo.
• Quais são as principais características da sua aplicação?
• Desenvolva um protótipo e explore-o bastante.
• Qual a qualidade do seu aplicativo?

Com os dispositivos móveis, uma imensidão de dados são coletados pelos

diversos novos sensores. Por meio deles, abre-se uma imensidão de oportuni-
dades para todos nós, desenvolvedores.

52 • capítulo 3
 4
Meios de
Armazenamento
Os computadores, além de processar os dados em informação, também os ar-
mazenam. Este armazenamento é feito na memória do computador. Quais são,
então, as memórias do computador e como podemos classificá-las?
Os computadores funcionam no modelo Entrada -> Processamento ->
Saída. Os dados entram, são manipulados ou processados pelo computador
e geram informações. O que seriam estes dados e informações? Dado é o que
entra e a informação é o dado processado, correto? Sim, está correto. O que é o
dado? Uma cor, um comando, uma foto, qualquer coisa que queremos manipu-
lar pode ser vista como um dado.
O que isso tem a ver com os meios de armazenamento? O que armazena-
mos? Dados, informações? Isso mesmo! Armazenamos dados e/ou informa-
ções. Tudo que precisa ser guardado para ser utilizado em outro momento deve
ser armazenado.
Muito bem, já sabemos o que precisa ser armazenado. Só que, quando olha-
mos para o hardware do computador, vemos que o computador só entende 0 ou
1, que chamamos de bit, a menor porção do computador. Como pode a foto ser
representada por estes 0's e 1's?
Bom, para entender isso, precisamos olhar um pouco mais para o hardware,
sem entrar muito em detalhes. A entrada do computador na verdade não é um
fio que pode levar um bit. Esta entrada é um conjunto de bits, que chamamos
de palavra do computador. Cada computador tem um tamanho de palavra dife-
rente. Hoje, os computadores possuem 64 bits, o que quer dizer que a palavra
deste possui 64 fios que podem estar ligados ou desligados. Até pouco tempo
atrás, os computadores pessoais eram de 32 bits. Esta característica física dos
computadores identifica o poder de representação dos símbolos que cada pla-
taforma possui.
E o byte, onde entra? Byte é a unidade de medida do computador. Ahhh,
1 byte são 8 bits. Como assim? Por quê? Foi definido que um byte são 8 bits,
porque a IBM1 criou o código EBCDIC na década de 60. Com o sucesso dos com-
putadores IBM, padronizou-se o byte desta forma. Pelo Sistema Internacional

1  IBM – International Business Machine

54 • capítulo 4
de unidades (SI) e pela Comissão Eletrotécnica Internacional (IEC), temos os
seguintes multiplicadores:

NOME SÍMBOLO MÚLTIPLO(IEC) MÚLTIPLO (SI)

byte B 20 100
Kilobyte kB 210 103
megabyte MB 220 106
gigabyte GB 230 109
terabyte TB 240 1012
petabyte PB 250 1015
exabyte EB 260 1018
zettabyte ZB 270 1021
yottabyte YB 280 1024

Tabela 4.1  –  Múltiplos do byte.

Agora que as unidades de medidas e a forma de medir os dados do computa-

dor foram apresentados, podemos explorar os meios de armazenamento exis-
tentes e disponíveis para os computadores. Neste capítulo, iremos apresentar
os meios de armazenamento do computador e como estes meios são utilizados
no desenvolvimento de sistemas.

OBJETIVOS
•  Identificar os tipos de meios de armazenamento;
•  Entender a diferença entre memória principal e memória auxiliar
•  Identificar os tipos de armazenamento em Sistemas de Arquivos e em Banco de dados.

capítulo 4 • 55
4.1  Tipos de memória do computador
Na figura 1, temos um resumo dos meios de armazenamento dos computado-
res. Eles devem ser classificados como persistentes ou não, tempo de acesso e
seu custo por byte.

Registradores
da CPU
CACHE

Custo por Byte

Nível 1

Velocidade
Nível 2
Temporário
RAM
Memória Memória
Física Virtual
Dispositivos de armazenamento
Persistente Discos Discos Solid Outros
rígidos removíveis state (SSD) ...

Figura 4.1  –  Memória dos computadores.

Observando a figura 1, vemos os principais meios de armazenamento do

computador. Vemos que eles são classificados por principal (que são memó-
rias temporárias) e auxiliar (que são memórias persistentes). Esta classificação
é dada pela proximidade que as memórias estão do processador. As memórias
principais estão fisicamente conectadas ao processador ou estão dentro do
processador, enquanto as auxiliares são dispositivos de entrada e saída.
Vamos iniciar nossa caminhada pelos registradores, que são espaços den-
tro do processador reservados para armazenar informações de controle do
funcionamento dos processos. Estes registradores têm a mesma velocidade do
processador, mas são bem limitados, ou melhor, apresentam uma quantidade
bem pequena de armazenamento. Os registradores são estudados a fundo em
arquitetura e organização dos computadores.
Em seguida, encontramos a memória cache. É uma pequena parte do pro-
cessador destinada a armazenar uma redundância da memória RAM. A sua
finalidade principal é acelerar o processamento, visto que este meio de ar-
mazenamento também fica dentro do processador, logo funciona na mesma

56 • capítulo 4
velocidade. De acordo com o princípio da localidade, tendemos a utilizar os
mesmos programas. Para isso, quando um bloco de informações vem da RAM
para o processador, ele é armazenado no cache para futuras utilizações.
Agora chegamos à memória RAM – random access memory. Podemos dizer
que é o local onde todos os programas para serem executados precisam estar. É
a memória física do computador. Ela fala diretamente com o processador, atra-
vés de conexões ou barramentos. É rápida, mas não tanto como as anteriores.
Seu tempo de acesso é na casa de nano segundo, que significa 10-9s. Podemos
variar o seu tamanho, comprando mais réguas de memórias, como mostrado
na figura 2.

Figura 4.2  –  Memória RAM.

Sua principal característica é ser volátil, o que significa que seu conteúdo
não persiste ao desligarmos o computador. No jargão popular, quando desli-
gamos o computador ou ele deixa de ser energizado, todas as informações ali
armazenadas serão perdidas.
Como todo programa que está executando precisa estar na memória prin-
cipal e, muitas vezes, ela é cara, muitos utilizam uma parte da memória auxi-
liar para se comportar como principal. Chamamos este mecanismo de memó-
ria virtual. É destinar um espaço do disco ou da memória auxiliar para ser a
memória principal. Este processo impacta na velocidade ou na performance
dos computadores.
Depois da memória principal, chagamos à memória auxiliar. A principal ca-
racterística é que estas memórias são persistentes, quer dizer, ao desligar, as
informações não se perdem. Estes dispositivos têm capacidade de armazena-
mento muito maior que a memória RAM, mas o tempo de acesso está na casa
de milisegundo (10-3s). O mais famoso destes dispositivos é o chamado dis-
co rígido. Hoje, os dispositivos de estado sólido (solid state drive – SSD) estão

capítulo 4 • 57
ganhando terreno, pois são bem mais rápidos que os discos convencionais,
mas mesmo assim não se comparam com a velocidade da memória RAM.
Pen Drive, Cartão SD, CD ROM, DVD entre outros que não usamos mais
também são tipos de memórias auxiliares. Junto com os discos e os solid states,
armazenam grandes massas de informações por um custo baixo, comparado
com a memória RAM.

4.2  Organização dos dados armazenados

Os dados armazenados nas unidades persistentes precisam ser arrumados de
alguma forma. Para isso, foram criados os arquivos.
Podemos definir arquivo como um conjunto de dados armazenados em um
meio de armazenamento persistente. Os arquivos possuem três característi-
cas básicas:
•  Nome
•  Tamanho
•  Tipo

O nome determina o local onde fica o início do conjunto de dados armaze-

nado. Com o tamanho, verificamos onde terminam os dados e o tipo determina
como estes dados estão agrupados ou organizados.
Armazenamos arquivos de diversos tipos diferentes como, por exemplo,
músicas, imagens, textos, planilhas eletrônicas. Geralmente, os programas dos
computadores que precisam persistir dados geram arquivos com seus tipos
próprios. Cada tipo de arquivo fica associado a um ou mais programas.

4.2.1  Sistemas de arquivos

Como organizar esses arquivos? Para isso, existem os sistemas de arquivos, que
são formas de organizar e gerenciar esta grande massa de dados armazenada.
Através do sistema de arquivo, o sistema operacional irá saber ler e escrever os
dados no dispositivo.
Podemos entender um sistema de arquivos como uma grande biblioteca,
onde guardamos os livros em prateleiras. Pense nos arquivos como os livros e
as estantes e prateleiras como as pastas ou diretórios.

58 • capítulo 4
 Organizar seus arquivos não é uma tarefa fácil. Veja como estão armazena-
dos suas músicas e suas fotos. Saber onde elas estão e quais as regras que foram
desenvolvidas para organizá-los irá ajudá-lo bastante na hora que você precisar
ou querer consultar uma informação a esse respeito.

4.2.2  Banco de dados

Uma outra forma de armazenar dados é nos banco de dados. São programas
desenvolvidos para armazenar e gerenciar estes dados. Também se fazem valer
dos arquivos para guardar as informações, mas, para o usuário, os dados ficam
armazenados todos agrupados.
Os sistemas de informação utilizam o banco de dados para gerenciar as em-
presas nas soluções propostas.
Os bancos de dados foram desenvolvidos para prover acesso facilitado aos
dados e dar maior confiabilidade ao seu armazenamento. Sabendo que os da-
dos são as coisas mais importantes de sua empresa, eles deverão ser manipula-
dos da forma mais segura possível.
Existem vários tipos de bancos de dados, desde os hierárquicos, os famosos
bancos relacionais, até os objetos relacionais entre outros.

4.2.3  Data Warehouse

Os armazéns de dados ou Data Warehouse surgiram na década de 1980 com a

principal característica de que os dados não mais sofreriam atualizações. Uma
atualização em um banco de dados relacional é feita quando ocorre uma mu-
dança do tipo atualização de endereço ou de telefone. Estes novos dados, então,
passam a ter relevância histórica para outros setores da empresa.
Os dados históricos permitem traçar perfis dos usuários, consumidores ou
até mesmo padrões de compras. Estas informações dão suporte à tomada de
decisão para diversos setores das empresas.
Existem diversas ferramentas para extrair informações deste grande reposi-
tório de dados. A mais popular é a OLAP – on-line analytical processing.
Estas ferramentas fazem parte do mercado de business intelligence – BI.
Podemos citar como vantagens deste ambiente sua simplicidade, a qualida-
de dos dados armazenados, a facilidade do uso, a separação entre a operação e

capítulo 4 • 59
as operações de decisão, a vantagem competitiva, o custo de operação, a admi-
nistração do fluxo da informação, os valores quantitativos e a segurança.
Como desvantagens temos a complexidade de desenvolvimento, o tempo
para obter as informações, o alto custo de desenvolvimento, a administração e
o treinamento das pessoas envolvidas.

4.2.4  Armazenamento na nuvem

Quando trabalhamos com um computador, nossos dados ficam armazenados

no nosso disco. Sabemos fisicamente onde estes arquivos estão. Só que, com a
evolução dos sistemas, com a utilização da arquitetura cliente/servidor e a uti-
lização em larga escala da Internet, surgiu uma maneira nova de armazenar os
dados: guardar estes dados na nuvem. Mas o que é nuvem em TI?
Bom, o conceito de nuvem é complexo e depende muito de quem descreve
ou oferece o serviço, mas é simples de entender. Então, vamos tentar explicá-lo.
Nuvem é armazenar as informações sem dar importância ao local físico onde
estas informações foram armazenadas. É enxergar a informática como um ser-
viço disponível em algum endereço lógico que atende as minhas necessidades.
Neste novo conceito, os usuários não mais precisam comprar o hardware
para armazenar suas informações. Eles irão comprar um serviço de armazena-
mento em algum local que lhe oferecerá o armazenamento de seus dados e ga-
rantirá que eles ficarão seguros.
Com isso, você transfere a responsabilidade do gerenciamento das suas in-
formações para alguma empresa, que será responsável por efetuar o backup,
manter capacidade de armazenamento.
Pense que você está contratando um serviço que lhe permitirá acessar seus
dados de qualquer lugar do mundo a qualquer hora, contanto que você possua
acesso à Internet.

60 • capítulo 4
 5
Infraestrutura
O principal objetivo deste capítulo é apresentar os conceitos básicos para a
compreensão da infraestrutura da TI no que tange à comunicação entre os
computadores. Esta área da TI é chamada de redes de computadores. Este capí-
tulo apresenta, inicialmente, uma visão geral dos principais conceitos e termos
aplicados às redes de computadores.
As redes de computadores podem ser classificadas de diversas formas. Este
capítulo apresenta os conceitos de redes locais, metropolitanas e distribuídas,
redes cabeadas e sem fio, redes ponto a ponto e multiponto, além de redes co-
mutadas por circuito e pacotes. São apresentados o modelo cliente-servidor e
os principais serviços oferecidos pelas redes de computadores, com ênfase aos
serviços oferecidos pela Internet.

OBJETIVOS
•  Identificar o que é Inra Estrutura e entender a sua importância;
•  Entender os atores que atuam nesta área;
•  Entender os serviços da Internet;
•  Identificar os principais protocolos de comunicação para redes.

62 • capítulo 5
5.1  Redes de computadores
Uma rede de computadores é um conjunto de dispositivos interconectados
com a finalidade de trocar informações e compartilhar recursos. No passado,
uma rede era formada por dispositivos tradicionais como os computadores de
grande porte e os computadores pessoais. Hoje, o termo computador tem um
significado mais amplo, incluindo dispositivos como impressoras, telefones
celulares, televisões ou qualquer dispositivo que tenha a capacidade de proces-
samento de dados (figura 5.1). No caso da Internet, a rede é formada por um
conjunto de dispositivos chamados hosts.

Telefone Laptop
celular

PC
Supercomputador Impressora Servidor

1 2 3
4 5 6
7 8 9
Telefone Terminal
* 8 #

Figura 5.1  –  Rede de computadores.

Existem, basicamente, dois motivos para o surgimento e a evolução das re-

des de computadores. O primeiro é a necessidade de troca e compartilhamento
de informações de forma rápida e com baixo custo. Uma instituição de ensino,
por exemplo, pode disponibilizar em seu site na Internet as notas dos alunos,
informações sobre disciplinas e matrícula, oferecer cursos a distância e criar
comunidades integrando alunos e professores. Uma empresa pode colocar em
seu site informações que podem ser compartilhadas com seus funcionários,
parceiros, acionistas e clientes em geral. Um banco, por exemplo, pode utili-
zar a Internet para permitir que seus clientes realizem transações eletrônicas
como consultas de saldo, aplicações financeiras, transferência de valores e pa-
gamento de contas. O comércio eletrônico permite às empresas divulgarem e
venderem seus produtos na Internet, independentemente da localização do
cliente e da hora da compra. Os governos também podem utilizar a rede para

capítulo 5 • 63
melhorar seu relacionamento com os cidadãos como, por exemplo, a entrega
do imposto de renda.
O correio eletrônico é um bom exemplo de aplicação que permite a troca
de informações de forma eficiente e com baixo custo. Quando enviamos um
e-mail, independentemente do local onde o destinatário está fisicamente lo-
calizado e do tempo de entrega, que pode variar um pouco (talvez alguns mi-
nutos), o custo é o mesmo, isto é, não sofre variações. Comparado ao correio
tradicional, uma carta pode levar alguns dias ou semanas para ser entregue e o
custo de envio da carta dependerá da localização do destinatário.
O segundo motivo para a crescente necessidade das redes de computado-
res é o compartilhamento de recursos de hardware e software. Com uma rede,
é possível compartilhar recursos como impressoras, conexões a outras redes,
espaço em disco e até mesmo processadores, gerando economia de recursos
e, consequentemente, redução de custos. Uma impressora, por exemplo, pode
ser compartilhada por vários usuários de diferentes departamentos. Uma insti-
tuição de ensino pode compartilhar sua conexão com a Internet entre os diver-
sos alunos, professores e funcionários. Um supercomputador em um centro de
pesquisas pode ser utilizado para processar aplicações científicas submetidas
por outras instituições através da rede.
Apesar dos benefícios indiscutíveis trazidos pela Internet, existem alguns
problemas que merecem ser comentados. Uma questão importante é quanto
ao problema de segurança no uso da rede. A distribuição de vírus e variantes,
a invasão de sites para diversos fins, pedofilia, chantagem, difamação e crimes
financeiros são apenas alguns exemplos de como a rede é insegura. Uma outra
questão muito importante diz respeito à utilização indevida de textos digitais,
como livros e artigos, música e imagens digitais, como filmes e fotografia, vio-
lando direitos autorais.

Transmissor, receptor e canal de comunicação

Em uma rede, existe a figura do dispositivo que transmite o dado, chamado
transmissor ou origem, e o que recebe, chamado receptor ou destino. O papel
de transmissor e receptor, geralmente, é dinâmico, ou seja, em um determina-
do momento um host pode estar transmitindo e no momento seguinte receber
dados. Na verdade, na maioria dos casos, um host pode transmitir e receber
dados ao mesmo tempo. O dado é transportado entre o transmissor e recep-
tor através de um canal de comunicação, também chamado de circuito ou link.

64 • capítulo 5
O canal de comunicação define uma série de características da transmissão
como, por exemplo, o meio de transmissão, ou seja, cabo coaxial, par trançado,
fibra óptica, micro-ondas ou satélite (figura 5.2).

Canal de
Comunicação

Interface Dado Interface

Transmissor
ou Origem Receptor
ou Destino

Figura 5.2  –  Transmissor, receptor e canal de comunicação.

Os dispositivos são conectados fisicamente ao canal de comunicação uti-

lizando uma interface de rede. A interface de rede tem a função de colocar o
dado no circuito na origem e retirá-lo no destino. O dado, para ser transmitido,
precisa ser codificado em um sinal que percorrerá o meio de transmissão até
chegar ao destino, onde será decodificado. Por exemplo, quando alguém fala
ao telefone, a voz (dado) é codificada em pulsos elétricos (sinal) e transmitida
utilizando o par telefônico (canal de comunicação). No destino, os pulsos elé-
tricos são decodificados para o formato original. A codificação e decodificação
do sinal são implementadas pela interface de comunicação, que no exemplo é
o próprio telefone.
Um dispositivo em uma rede, normalmente, possui uma identificação,
como um nome ou número, que permite identificá-lo de forma única na rede. A
identificação de um dispositivo é semelhante ao número de um telefone. Cada
telefone possui um número único que permite sua identificação e, por meio
desse número, é possível fazer e receber ligações. No caso da Internet, cada host
possui um nome e um endereço IP que é único em toda a rede, por exemplo,
o servidor Web da Universidade Estácio tem como endereço 200.216.152.71 e
nome www.estacio.br.

Protocolos e modelo de camadas

Para garantir que a comunicação ocorra com sucesso, os dispositivos devem
utilizar protocolos de comunicação, que são regras predefinidas que devem ser
seguidas pelos dispositivos. Os protocolos utilizados em uma rede devem ser
compatíveis, caso contrário a comunicação não ocorrerá de forma efetiva ou,
simplesmente, não ocorrerá. Os protocolos de rede são semelhantes às regras

capítulo 5 • 65
de trânsito, que devem ser respeitadas pelos motoristas para chegar com segu-
rança ao destino.
Existem diversos protocolos relacionados à comunicação de dados e redes de
computadores e cada um possui uma função específica. A tabela 5.1 apresenta
alguns protocolos utilizados no acesso à Internet através de uma linha telefônica
comum. O TCP e o IP são dois dos muitos protocolos utilizados na Internet. Por
serem considerados os mais importantes, o termo TCP/IP é utilizado como for-
ma de referenciar todos os protocolos que fazem parte do modelo Internet.

PROTOCOLO DESCRIÇÃO
V.92 Utilizado por modens para conexões discadas.

PPP Utilizado para conexões ponto a ponto.

IP Utilizado para transportar a informação da origem ao destino.

TCP Utilizado para manter a confiabilidade da transmissão.

HTTP Utilizado para transportar páginas na Internet.

Tabela 5.1  –  Exemplos de protocolos.

Os protocolos possuem funções específicas e precisam interagir para tor-

nar o processo de comunicação efetivo. A ideia do modelo de camadas é, ini-
cialmente, dividir o projeto de redes em funções independentes e agrupar as
funções afins em camadas, criando o total isolamento de suas funções e, prin-
cipalmente, a independência de cada nível.
Existem dois modelos clássicos que podem ser utilizados para o estudo de
redes. O primeiro é o modelo OSI, que define uma arquitetura de sete camadas,
e o segundo é o modelo Internet, que define uma arquitetura de quatro cama-
das. Como ambos possuem virtudes e defeitos, a maioria da literatura adota
um modelo híbrido de cinco camadas, muito semelhante aos modelos OSI e
Internet, porém mais simples que o primeiro e mais detalhado que o segundo
(figura 5.3).

66 • capítulo 5
 Modelo de Modelo Modelo
cinco camadas Internet OSI
7 Aplicação

5 Aplicação 4 Aplicação 6 Apresentação

5 Sessão

4 Transporte 3 Transporte 4 Transporte

3 Rede 2 Internet 3 Rede

2 Enlace 2 Enlace
1 Acesso
à rede
1 Física 1 Física

Figura 5.3  –  Modelos de camadas.

O modelo de camadas traz grandes benefícios para a manutenção do pro-

jeto da rede, pois, se houver algum problema, basta identificar a camada res-
ponsável e corrigi-lo. Além disso, é possível introduzir novas funcionalidades
em uma camada sem que as demais sejam afetadas, reduzindo o esforço para
a evolução do projeto de rede. Há também vantagens comerciais na adoção do
modelo em camadas, principalmente quando existe uma arquitetura-padrão
a ser seguida pelos fornecedores de produtos de redes. Nesse caso, diferentes
empresas podem oferecer soluções para uma ou mais camadas e os usuários
podem adquirir produtos de diferentes fabricantes sem risco de incompatibili-
dade entre os diferentes produtos.
A figura 5.4 apresenta o modelo de cinco camadas e exemplos de protocolos
associados a cada camada.

Camada de
HTTP
Aplicação
Camada de
TCP
Transporte
Camada
IP
de Rede
Camada
PPP
de Enlace
Camada
V.92
Física

Figura 5.4  –  Modelo de cinco camadas.

capítulo 5 • 67
 Serviços de rede
A maioria dos usuários, quando utiliza a rede, desconhece os detalhes do
seu funcionamento, embora o canal de comunicação, as interfaces e os proto-
colos sejam completamente transparentes. Os usuários estão interessados em
usufruir dos serviços oferecidos pela rede. Um serviço é uma funcionalidade da
rede disponível de forma transparente para seus usuários e aplicações. As redes
oferecem inúmeros serviços, como acesso a Web, correio eletrônico, transfe-
rência de arquivos, terminal remoto e videoconferência.
Para exemplificar os conceitos apresentados, vejamos o exemplo do serviço
de telefonia quando duas pessoas (João e Maria) falam ao telefone. Nesse exem-
plo, João utiliza o telefone como interface para fazer a ligação para Maria, utili-
zando a rede de telefonia como canal de comunicação. João utiliza protocolos
para discar e aguardar que Maria atenda e esta, por sua vez, utiliza protocolos
para atender a ligação, identificar-se e conduzir a conversa. Terminada a con-
versa, João e Maria utilizam protocolos para encerrar a ligação. Se ambos não
utilizarem os protocolos corretos e, por exemplo, falarem ao mesmo tempo, a
comunicação apresentará problemas e um não entenderá o que o outro falou
(figura 5.5).

Rede de
Telefonia
Telefone Telefone
de João de Maria

Figura 5.5  –  Serviço de telefonia.

Outro serviço que pode ser utilizado para exemplificar os conceitos apresen-
tados é o serviço Web. No caso da Internet, um host, para ser conectado à rede,
precisa de um provedor de acesso, que funciona como um elo de ligação entre
o host e a Internet. Existem inúmeras formas de realizar essa conexão, mas, no
caso de usuários domésticos, geralmente utiliza-se uma linha telefônica como
canal de comunicação e um modem como interface. Se considerarmos o aces-
so discado de um usuário ao seu provedor, tanto o usuário quanto o provedor
possuem interfaces de rede que conectam seus computadores ao sistema de
telefonia. No caso do usuário, ele utiliza diversos protocolos para estabelecer a
conexão e manter a comunicação com seu provedor, como os protocolos V.92,
PPP, IP, TCP e HTTP, entre outros.

68 • capítulo 5
5.1.1  LAN, MAN, WAM

As redes de computadores podem ser classificadas conforme a distância física

entre os dispositivos que as compõem. Geograficamente, as redes podem ser
divididas em redes pessoais, redes locais, redes metropolitanas e redes distri-
buídas (figura 5.6).

WAN

MAN

LAN

PAN

Figura 5.6  –  Dispersão geográfica.

Uma rede pessoal ou PAN (personal area network) interliga dispositivos de

uma pessoa como, por exemplo, um desktop, laptop, impressora, smartfone,
tablet e TV, permitindo a transferência de arquivos como fotos, filmes e músi-
cas digitais e sincronização de agenda. Uma PAN permite conexões de poucos
metros e, geralmente, utiliza os padrões USB (Universal Serial Bus) e FireWire.
Em uma rede local ou LAN (local area network), os dispositivos estão próxi-
mos fisicamente, geralmente cobrindo pequenas distâncias como, por exem-
plo, estações em uma mesma sala, os andares de um prédio ou prédios de um
campus. Como as distâncias são pequenas, as LAN oferecem taxas de trans-
missão elevadas, da ordem de Mbps e Gbps, e baixas taxas de erros. Uma outra
característica das redes locais é que a posse dos canais de comunicação e dos
dispositivos da rede é da própria instituição. As redes locais são padronizadas
internacionalmente pelo IEEE 802. O melhor exemplo de padrão é o Ethernet,

capítulo 5 • 69
que pode ser encontrado na grande maioria das instituições e até mesmo em
residências. As redes Ethernet oferecem grande escalabilidade, baixo custo e
podem alcançar taxas de transmissão de até 10 Gbps.
A necessidade de interligar redes locais dentro de uma mesma cidade pro-
vocou o surgimento das redes metropolitanas ou MAN (metropolitan area net-
work). As MAN oferecem altas taxas de transmissão, baixas taxas de erros e,
geralmente, os canais de comunicação pertencem a uma empresa de telecomu-
nicações que aluga o serviço ao mercado (figura 5.7). As redes metropolitanas
são padronizadas internacionalmente pelo IEEE 802 e ANSI e os padrões mais
conhecidos para a construção da MAN são o DQDB (distributed queue dual bus)
e o FDDI (fiber distributed data interface). Outro exemplo de rede metropolitana
é o sistema utilizado nas TVs a cabo.

REDE LOCAL

REDE LOCAL
REDE LOCAL

ÁREA METROPOLITANA

REDE LOCAL
REDE LOCAL
REDE LOCAL

Figura 5.7  –  Rede metropolitana.

As redes distribuídas ou WAN (wide area network) permitem interligar dis-

positivos geograficamente distantes, ou seja, sistemas localizados em diferen-
tes cidades, estados ou países. A velocidade de transmissão de uma WAN é,
normalmente, da ordem de Kbps ou Mbps, porém é possível chegar a taxas de
Gbps. Normalmente, os canais de comunicação utilizados para a interconexão
de redes são alugados de alguma empresa de telecomunicações. Geralmente, as
redes distribuídas são formadas por redes locais e metropolitanas interconec-
tadas, e não por dispositivos isolados. O melhor exemplo de WAN é a Internet,
que congrega redes espalhadas por diversas localidades geograficamente dis-
tribuídas (figura 5.8).

70 • capítulo 5
 Rede local
EUA - CA Rede local
Japão
Rede local
Rede local Inglaterra
Brasil - RJ

Rede local
Rede local EUA - TX
Brasil - SP Rede local
Itália

Rede local Rede local

Argentina Portugal

Figura 5.8  –  Rede distribuída.

Um grande problema da classificação de redes utilizando a dispersão geo-

gráfica é considerar a distância como parâmetro. Em função da evolução tec-
nológica, a dispersão geográfica pode ser um diferencial pouco preciso. As re-
des locais Ethernet, quando surgiram, estavam restritas a pequenas distâncias
e utilizavam apenas cabos coaxiais. Com a evolução, as redes locais Ethernet
passaram a utilizar cabos de fibra ótica, o que permitiu distâncias maiores, se-
melhantes às redes metropolitanas.

Redes cabeadas e sem fio

Nas redes cabeadas, existe algum tipo de cabo ligando os dispositivos como,
por exemplo, o par trançado, o cabo coaxial ou a fibra ótica. Nas redes sem fio
(wireless), não existe uma conexão física entre os dispositivos e a comunicação
pode ser feita por meio do ar, da água ou do vácuo. Existem diversas formas de
comunicação sem fio que variam conforme o espectro de frequências utilizado
como rádio, micro-ondas, satélite e infravermelho.
As grandes vantagens das redes sem fio são o baixo custo, a facilidade de
conexão dos usuários e a mobilidade dos dispositivos. Dependendo da frequên-
cia utilizada, não existe custo com a manutenção do canal de comunicação. De
maneira geral, as redes sem fio são mais suscetíveis a problemas de interferên-
cia, ocasionando taxas de erro maiores se comparadas com as redes cabeadas.
Em função disso, as velocidades de transmissão nas redes sem fio são menores.
Outro problema é a segurança. Como os sinais podem ser captados por outras

capítulo 5 • 71
antenas, é possível que as informações transmitidas possam ser capturadas por
pessoas não autorizadas.
As redes sem fio são padronizadas pelo IEEE 802 e os padrões mais conhe-
cidos são o IEEE 802.11 para redes locais sem fio (wireless local area network –
WLAN), também conhecido como WiFi, o IEEE 802.15 para redes pessoais sem
fio (wireless personal area metwork – WPAN), também conhecido como blue-
tooth, o IEEE 802.16 para redes metropolitanas sem fio (wireless metropolitan
area network – WMAN), também conhecido como WiMax, e o IEEE 802.16 para
redes distribuídas sem fio (wireless wide area metwork – WWAN).

Redes comutadas por circuitos e comutadas por pacotes

Na figura 5.9, os dispositivos A e B estão conectados ponto a ponto, ou seja,
existe uma ligação dedicada entre os dois dispositivos. Dependendo da distân-
cia, esse tipo de conexão não é viável financeiramente e, na maioria dos casos,
os dispositivos não estão conectados diretamente como apresentado. Essa si-
tuação pode ser comparada à malha rodoviária, formada por várias estradas
que ligam as cidades. Não existe uma estrada única ligando cada cidade, mas
um conjunto de estradas que variam em número de pistas, distância, velocida-
de máxima e pedágios.

Interface Interface
A
B

Figura 5.9  –  Conexão ponto a ponto.

Nas redes de computadores, o transmissor e o receptor são conectados a

uma rede de interconexão ou inter-rede, responsável por receber o dado na ori-
gem e reencaminhá-lo para o destino. Ao contrário da conexão ponto a ponto,
que é dedicada aos dispositivos A e B, a rede de interconexão pode ser compar-
tilhada entre diversos dispositivos que podem dividir seu. Internamente, a rede
de interconexão é formada por dispositivos especializados como switches e ro-
teadores, que permitem a comunicação entre a origem e o destino (figura 5.10).

72 • capítulo 5
 Rede de conexão
ou inter-rede
Interface Interface
A
B

Figura 5.10  –  Rede de interconexão ou inter-rede.

Na figura 5.11, como os dispositivos A e B não estão ligados ponto a pon-

to, é necessário que a mensagem saia de A e seja reencaminhada por disposi-
tivos intermediários, também chamados comutadores, até B. O dispositivo A,
por exemplo, está conectado ao comutador D e o dispositivo B, ao comutador
H. Para que A se comunique com B, a mensagem deverá ser enviada para D e
reencaminhada utilizando, por exemplo, os comutadores D-G-H. A mensagem,
ao chegar ao comutador H, será entregue para B. O processo de reencaminha-
mento descrito chama-se comutação. A técnica de comutação é a base para a
implementação de redes distribuídas como o sistema de telefonia e a Internet.
A literatura aborda, basicamente, dois tipos de comutação que são utilizadas
em redes de computadores: comutação por circuito e comutação por pacotes.

Rede de interconexão

E
C
Mensagem
A F
D

G
H

Mensagem

Figura 5.11  –  Comutação.

Na comutação por circuito, é estabelecido um caminho interligando a ori-

gem ao destino, chamado de circuito (figura 5.12). O circuito é criado antes do
início do envio da mensagem e permanece dedicado até o final da transmissão.

capítulo 5 • 73
A comutação por circuito pode ser comparada a uma ligação telefônica entre
duas pessoas: A e B. Inicialmente, A disca para B e, caso haja um caminho dis-
ponível ligando os dois aparelhos, o telefone de B irá tocar. Caso contrário, A
receberá um aviso de que o telefone desejado está ocupado. Ao atender o tele-
fone, B estabelece o circuito e a conversa com A pode ser iniciada. O circuito
permanecerá alocado enquanto a ligação não for encerrada por uma das par-
tes. Caso o dispositivo C queira se comunicar com B não será possível, pois o
circuito G-H-B já está alocado.
Rede de interconexão

E
C
Mensagem
A F
D

G
H

Mensagem

Figura 5.12  –  Comutação por circuito.

Na comutação por pacotes, não existe um circuito dedicado ligando a ori-

gem ao destino para a transmissão da mensagem. Inicialmente, as mensagens
são divididas em pedaços menores, chamados pacotes, em que cada um recebe
o endereço do dispositivo de destino, que pode ser um endereço IP. Os pacotes
são, então, encaminhados pelos dispositivos intermediários, também chama-
dos de roteadores, de forma independente, até chegarem ao destino. Na figura
5.13, por exemplo, a mensagem foi dividida em quatro pacotes e cada um foi
encaminhado por uma rota diferente em direção ao destino. Esse processo é
chamado de roteamento. Nesse caso, tanto o dispositivo C quanto o dispositivo
A poderão, ao mesmo tempo, comunicar-se com B, compartilhando a utiliza-
ção da rede de interconexão.

74 • capítulo 5
 Rede de interconexão

E P3
P4 P3 P2 P1 C
Mensagem
A F
D P2

P4 G
H
P1
P4 P3 P2 P1
Mensagem
B

Figura 5.13  –  Comutação por pacote.

A comutação por pacotes é a base para a implementação das redes de com-

putadores modernas como, por exemplo, a Internet, redes ATM (asynchronous
transfer mode) e Frame Relay. As redes que utilizam essa filosofia são chamadas
de redes de pacotes.

5.2  A Internet e seus serviços

Serviços oferecidos pelas redes
Os principais serviços oferecidos pelas redes de computadores são a troca de
informações e o compartilhamento de recursos de hardware e software. Nesta
seção, são detalhados esses serviços, em particular os oferecidos pela Internet.

Serviço peer-to-peer
Uma outra forma de oferecer os serviços de rede é utilizar o modelo peer-to
-peer. No modelo peer-to-peer ou P2P, os serviços são oferecidos por qualquer
dispositivo da rede de maneira igual, não existindo a figura de um servidor es-
pecializado. As redes P2P são simples de instalar e, como não existe a figura
do servidor, oferecem baixo custo, enorme escalabilidade e disponibilidade.
Por outro lado, as redes peer-to-peer tradicionais oferecem baixo desempenho

capítulo 5 • 75
e administração descentralizada, o que torna a gerência da rede mais difícil.
As redes P2P podem ser utilizadas em pequenas redes locais, em que questões
de desempenho não são importantes. Atualmente, o modelo peer-to-peer vem
sendo utilizado por usuários da Internet para o compartilhamento de arquivos
como de música e vídeo.
Independentemente do tipo de rede, é possível usufruir os benefícios de
ambas as filosofias integrando serviços cliente–servidor e peer-to-peer.

Serviço Web
O serviço Web ou WWW (world wide Web) é basicamente um conjunto de
documentos ou páginas que contém textos, imagens, áudio ou vídeo, inter-re-
lacionados. As páginas são interconectadas através de links, permitindo que o
usuário navegue entre os diversos documentos de forma bastante intuitiva uti-
lizando um browser. O esquema de links que relaciona os documentos forma o
que é conhecido como hipertexto.
O principal protocolo responsável por oferecer o serviço Web é o HTTP. Sua
função é transportar uma página armazenada em um servidor Web até o bro-
wser, também chamado de navegador, para ser exibida. Exemplos de servido-
res podem ser o Apache e o Microsoft IIS e de browsers, o Mozilla Firefox e o
Microsoft Internet Explorer.

Correio eletrônico
O serviço de correio eletrônico é muito semelhante a uma carta que envia-
mos pelo correio. Uma mensagem de correio eletrônico ou, simplesmente,
e-mail (electronic mail) deve conter, basicamente, o endereço do destinatário,
o endereço do remetente e a mensagem propriamente dita. O e-mail permite
que uma mensagem seja enviada e recebida rapidamente em qualquer locali-
dade a um custo muito baixo. Inicialmente, o e-mail estava limitado ao envio de
mensagens no formato texto. Atualmente, o e-mail pode conter, além do texto,
conteúdo multimídia.
No modelo Internet, existem diversos protocolos relacionados ao envio
e recebimento de e-mail, como SMTP, POP, MIME e IMAPI. O serviço utiliza
um software cliente, que permite escrever, enviar, receber e ler e-mails, e um
servidor que permite armazenar e encaminhar as mensagens dos usuários.
Exemplos de clientes de e-mail podem ser o Mozilla Thunderbird, o Qualcomm

76 • capítulo 5
Eudora e o Microsoft Outlook e de servidores, o Microsoft Exchange Server e o
Sendmail.

Transferência de arquivos
O serviço de transferência de arquivos permite que um ou mais arquivos
sejam copiados pela rede. Esse serviço, inicialmente, permitia que o usuário
copiasse arquivos texto e executáveis. Atualmente, existe uma infinidade de ti-
pos de arquivos que podem ser copiados pela rede, como fotos, vídeos e músi-
cas. O processo de transferir arquivos do servidor para o cliente é chamado de
download, enquanto o processo inverso, ou seja, do cliente para o servidor, é
chamado de upload.
No modelo Internet, o protocolo responsável por esse serviço é o FTP. Os
sistemas operacionais que suportam TCP/IP possuem um utilitário, também
chamado FTP, que funciona como cliente e permite a utilização do serviço. A
maioria dos sistemas operacionais oferece a possibilidade de configuração de
um servidor FTP.

Terminal remoto
O serviço de terminal remoto permite que um usuário conectado a um siste-
ma tenha acesso a um outro sistema utilizando a rede. O usuário remoto pode
submeter comandos e receber respostas como se estivesse conectado local-
mente ao sistema. Suponha, por exemplo, que um pesquisador precise execu-
tar um programa em um supercomputador, porém a sua instituição não está
aparelhada para tanto. Sem o serviço de terminal remoto, o pesquisador terá
que se deslocar até uma outra instituição que disponha dos recursos necessá-
rios para a execução do programa. Utilizando o serviço, o pesquisador poderá
conectar-se remotamente a uma instituição que possua um supercomputador,
submeter seu programa e consultar os resultados. O serviço de terminal remoto
também é muito utilizado por profissionais da área de redes que precisam ad-
ministrar dispositivos que estão dispersos geograficamente.
No modelo Internet, o protocolo responsável por esse serviço é o Telnet. Os
sistemas operacionais que oferecem suporte ao TCP/IP possuem um utilitário,
também chamado Telnet, que funciona como cliente e permite a utilização do
serviço. De maneira geral, os utilitários que permitem implementar o serviço
de terminal remoto são chamados de emuladores de terminal. Um emulador

capítulo 5 • 77
bastante conhecido e utilizado pelo mercado é o Putty, que pode ser obtido gra-
tuitamente na Internet. Os emuladores mais sofisticados permitem o acesso ao
sistema remoto utilizando uma interface gráfica como se estivesse conectado
localmente ao sistema. A maioria dos sistemas operacionais oferece a possibi-
lidade de configuração de um servidor Telnet.

Gerência remota
O serviço de gerência remota permite que o administrador da rede possa
consultar informações de um dispositivo de rede, alterar sua configuração re-
motamente e corrigir possíveis problemas. Além de ser útil para a correção de
erros, a gerência remota permite analisar o desempenho da rede baseada nos
dados coletados. Esse serviço vem ganhando importância à medida que cres-
cem o número e a diversidade dos dispositivos de redes.
No modelo Internet, o protocolo SNMP implementa o serviço de geren-
ciamento remoto. Para automatizar e simplificar o gerenciamento de redes,
existem softwares voltados especificamente para essa função, como o HP
OpenView, o IBM Tivoli NetView e o Spectrum da CA.

Serviços de áudio e videoconferência

Os serviços de áudio e vídeo envolvem aplicações como telefonia, conferên-
cia, rádio, TV, educação a distância, telemedicina, que utilizam a rede para a
transmissão de áudio e/ou vídeo. Existem diversos protocolos necessários para
a implementação desse serviço, pois envolve codificação, compactação, trans-
missão e controle.
No modelo Internet, os serviços de áudio e vídeo são padronizados pelos
protocolos H.323, SIP, RTP, RTCP e RTSP, entre outros. Alguns produtos que
suportam esses padrões são o Microsoft Netmeeting, o Real MediaPlayer e o
Apple QuickTime.

Serviços de nomes
Cada dispositivo em uma rede possui, geralmente, um nome e um núme-
ro que o identificam unicamente. Internamente, a rede lida apenas com nú-
meros, assim os nomes dos dispositivos têm pouca importância. Por outro
lado, os usuários preferem utilizar o nome do dispositivo por ser mais fácil de

78 • capítulo 5
memorizar. O serviço de nomes permite traduzir nomes de dispositivos para
seus respectivos números e vice-versa.
No modelo Internet, o serviço de nomes é implementado pelo protocolo
DNS. Quando, por exemplo, utilizamos o endereço www.estacio.br, esse nome
é traduzido para o número 200.216.152.71, que representa o endereço IP do ser-
vidor Web da Universidade Estácio. Além de ser mais fácil de memorizar, o ser-
viço de nomes oferece mais flexibilidade, pois o endereço IP do servidor pode
ser alterado sem afetar o nome.

Serviços de arquivos e impressão

O serviço de arquivos permite que um usuário tenha acesso a arquivos e di-
retórios que estão fisicamente armazenados em computadores conectados à
rede. Apesar da semelhança com o serviço de transferência de arquivos, existe
um grau maior de transparência para os usuários. Depois de configurado, um
diretório remoto parece fazer parte do sistema de arquivos local e pode ser ma-
nipulado como tal. O serviço de impressão permite que um usuário possa uti-
lizar impressoras remotas, conectadas a outros computadores ou conectadas
diretamente à rede (figura 5.14).

Impressora
de rede
Arquivo

Usuário

Servidor de
impressão

Figura 5.14  –  Serviço de impressão.

Os serviços de arquivos e impressão estão disponíveis na maioria dos siste-

mas operacionais e são muito implementados em redes locais. Sistemas que
oferecem serviços desse tipo são chamados de sistemas operacionais de rede
ou SOR. Atualmente, os SOR mais utilizados com esse fim são o Unix, especial-
mente as versões do Linux, e o Microsoft Windows.

capítulo 5 • 79
 Comércio eletrônico
O comércio eletrônico permite que uma infinidade de negócios seja rea-
lizada através da rede, especialmente pela Internet. Existem diferentes for-
mas de comércio eletrônico, como negócios entre empresas e seus consumi-
dores (business to consumer – B2C) e entre as próprias empresas (business to
business – B2B). O comércio eletrônico permite a comercialização de bens
como, por exemplo, música, filmes, livros, eletrodomésticos e software. Além
disso, é possível oferecer outros serviços como leilões, serviços bancários e ser-
viços de busca.

80 • capítulo 5
 6
Governança de TI
A Governança de TI está subordinada à governança Corporativa que, segundo
o Instituto Brasileiro de Governança Corporativa (IBGC), "é o sistema pelo qual
as organizações são dirigidas, monitoradas e incentivadas, envolvendo os re-
lacionamentos entre proprietários, conselho de administração, diretoria e ór-
gãos de controle. As boas práticas de governança corporativa convertem prin-
cípios em recomendações objetivas, alinhando interesses com a finalidade de
preservar e otimizar o valor da organização, facilitando seu acesso a recursos e
contribuindo para sua longevidade."

OBJETIVOS
•  Identificar a importância do gerenciamento do projeto na TI;
•  Conhecer os Frameworks de Governança;
•  Identificar os procedimentos do ITIL e COBIT;
•  Entender o que é SLA;
•  Entender o que é nível de serviço;
•  Conhecer as principais técnicas de métricas do mercado.

82 • capítulo 6
6.1  Introdução à governança de TI
O principal objetivo da governança de TI é agregar valor à organização alinhan-
do o planejamento estratégico da área de tecnologia da informação com o pla-
nejamento estratégico da empresa. A governança de TI verifica quais são as
melhores práticas para atender às demandas do setor sem perder as referên-
cias globais do ambiente. Existem diversas definições para a governança de TI,
mas todas devem assegurar um nível aceitável de riscos, garantir a utilização
de recursos de forma eficiente, apoiar os processos da organização e garantir o
alinhamento estratégico com seus objetivos e valores.

Governança
corporativa

Governança
de TI

Gereciamento
de TI

Figura 6.1  –  Alinhamento da Governança Coporativa com a de TI.

Além da governança corporativa e da governança de TI, existe o gerencia-

mento de TI, que envolve um conjunto de políticas, processos, normas e pro-
cedimentos destinados a permitir à direção da companhia o planejamento, o
direcionamento, o controle e o monitoramento da utilização da TI. Existem
diversos padrões para o gerenciamento de TI como, por exemplo, ITIL, COBIT,
ISO, CMMI e TOGAF. Nesse capítulo, veremos uma visão geral dos padrões ITIL
e COBIT.

6.1.1  Frameworks de governança

Existem diversos frameworks voltados para a governança de TI. Alguns são

mais generalistas e outros mais específicos, voltados para alguma área específi-
ca como, por exemplo, segurança da informação e gerenciamento de projetos.

capítulo 6 • 83
A seguir, apresentamos alguns dos frameworks mais reconhecidos pelo mer-
cado, com exceção do ITIL e COBIT que serão apresentados em mais detalhes.

•  ISO/IEC 27001
A ISO 27001 é um padrão para a gestão da segurança da informação, definido
pelo ISO (International Organization for Standardization) e IEC (International
Electrotechnical Commission), que define regras para as organizações mante-
rem suas informações seguras, envolvendo pessoas, processos e tecnologia. No
Brasil, a ABNT (Associação Brasileira de Normas Técnicas) elaborou a NBR ISO/
IEC 27001, que é uma tradução da ISO/IEC 2700.

•  ISO/IEC 20000
A ISO/IEC 20000 é a primeira norma publicada pelo ISO que trata do geren-
ciamento de qualidade de serviços e define as melhores práticas de gerencia-
mento de serviços de TI, garantindo a entrega aos clientes de serviços de quali-
dade. São requisitos da norma definição de políticas, objetivos, procedimentos
e processos de gerenciamento para assegurar a qualidade efetiva na prestação
desses serviços.

•  CMM
O CMM (Capability Maturity Model) ou Modelo de Maturidade em
Capacitação pode ser definido como as melhores práticas para o desenvolvi-
mento de softwares em uma organização. O CMM descreve os principais ele-
mentos de um processo de desenvolvimento de software e os estágios de ma-
turidade por que passam as organizações. Por meio de avaliação contínua,
identificação de problemas e ações corretivas, dentro de uma estratégia de me-
lhoria dos processos, a organização pode evoluir o seu ciclo de desenvolvimen-
to de software.

•  TOGAF
O TOGAF (The Open Group Architecture Framework) é um framework que
fornece uma abordagem para o projeto, planejamento, implementação e ge-
renciamento de uma arquitetura de TI. Essa arquitetura é modelada em quarto
níveis: negócio, aplicação, dados e tecnologia e é fortemente baseada em mo-
dularização, padronização, tecnologias e produtos já consolidados.

84 • capítulo 6
 •  PMBOK
O PMBOK (Project Management Body of Knowledge) é um conjunto das me-
lhores práticas no campo do gerenciamento de projetos desenvolvido pelo PMI
(Project Management Institute). O PMBOK consiste de processos e áreas do co-
nhecimento que são geralmente aceitas como as melhores práticas no geren-
ciamento de projetos e pode ser aplicado em projetos de qualquer tipo, tama-
nho ou organização. O gerenciamento de projetos descrito no PMBOK consiste
nas seguintes áreas de conhecimento:
•  Gestão de integração do projeto
•  Gestão do escopo do projeto
•  Gestão de tempo do projeto
•  Gestão de custos do projeto
•  Gestão da qualidade do projeto
•  Gestão de recursos humanos do projeto
•  Gestão das comunicações do projeto
•  Gestão de riscos do projeto
•  Gestão de aquisições do projeto
•  Gestão de envolvidos no projeto

6.1.2  ITIL

O ITIL (Information Technology Infrastructure Library) é um conjunto de boas

práticas para o gerenciamento de serviços de TI que tem o objetivo de alinhar os
serviços de TI com as necessidades do negócio da empresa. O ITIL é publicado
em uma série de cinco volumes, cada um cobrindo diferentes estágios do ciclo
de vida do gerenciamento de serviços de TI. Os volumes são:
1. Estratégia do serviço: compreende os objetivos da organização e as ne-
cessidades do cliente.
2. Desenho do serviço: torna a estratégia de serviço em um plano para a
entrega dos objetivos do negócio.
3. Transição do serviço: desenvolve e amplia a capacidade de criar novos
serviços no ambiente existente.
4. Operação do serviço: gerencia os serviços no ambiente existente.
5. Melhoramento contínuo do serviço: permite incrementos e melhorias
nos serviços oferecidos.

capítulo 6 • 85
 •  Estratégia do serviço
A estratégia do serviço (service strategy) oferece um guia para a priorização
dos serviços a serem oferecidos e ajuda as empresas de TI a melhorar e desen-
volver serviços em longo prazo, sendo considerada a principal parte do ciclo de
vida do serviço.
Na fase da estratégia do serviço, é identificada a estratégia para o ciclo de
vida completo do serviço para agregar valor ao cliente por meio do gerencia-
mento da TI. Nessa fase, são tratados os seguintes processos:
•  Gerenciamento de estratégia para serviços de TI
•  Gerenciamento de portfólio de serviço
•  Gerenciamento financeiro para serviços de TI
•  Gerenciamento de demanda
•  Gerenciamento de relacionamento do negócio

•  Desenho do serviço
O desenho do serviço (service design) fornece um guia de boas práticas no
projeto e gerenciamento de serviços e processos de TI. A ideia é como a TI pode
ajudar o negócio da companhia e não focar a TI como um fim em si mesma.
Nessa fase, são tratados os seguintes processos:
•  Coordenação de projeto
•  Gerenciamento de catálogo de serviços
•  Gerenciamento de níveis de serviço
•  Gerenciamento de disponibilidade
•  Gerenciamento de capacidade
•  Gerenciamento da continuidade dos serviços de TI
•  Gerenciamento de segurança
•  Gerenciamento de fornecedor

•  Transição do serviço
A transição do serviço (service transition) envolve todos os aspectos para a
entrega dos serviços da TI necessários à operação do negócio. Nessa fase, são
tratados os seguintes processos:
•  Planejamento e suporte à transição
•  Gerenciamento de mudanças
•  Gerenciamento de configurações e ativos de serviços
•  Gerenciamento de versões e implantações

86 • capítulo 6
 •  Teste e validação de serviços
•  Avaliação de mudanças
•  Gerenciamento do conhecimento

•  Operação do serviço
A operação do serviço (service operation) fornece as melhores práticas para
alcançar e entregar os níveis de serviços acordados com os clientes e usuários.
Além disso, fazem parte da operação o monitoramento dos ativos e eventos, a
disponibilidade, o gerenciamento das aplicações, o gerenciamento de opera-
ções e atendimento aos usuários (service ou help desk). Nessa fase, são tratados
os seguintes processos:
•  Gerenciamento de eventos
•  Gerenciamento de incidentes
•  Cumprimento de solicitações
•  Gerenciamento de problemas
•  Gerenciamento de identidade

•  Melhoramento contínuo do serviço

O melhoramento contínuo do serviço (continual service improvement) permi-
te que a TI oferecida ao negócio esteja sempre alinhada os seus objetivos atuais
e futuros. Com base na estratégia da empresa, a TI deve analisar dados, definir
melhorias e implementa-las. Nessa fase, são tratados os seguintes processos:
•  Identificar a estratégia para a melhora.
•  Definir o que será medido.
•  Recolher os dados.
•  Processar os dados.
•  Analisar as informações.
•  Apresentar e utilizar as informações.
•  Implementar as melhorias.

6.1.3  COBIT

O COBIT (Control Objectives for Information and Related Technology) é um guia

de boas práticas dirigido para a gestão da TI. Patrocinado pelo ISACA (Informa-
tion Systems Audit and Control Association), possui uma série de diretrizes que
servem como modelo de referência (framework) para gestão da TI. O COBIT é

capítulo 6 • 87
recomendado como meio para aperfeiçoar os investimentos, melhorando seu
retorno e fornecendo métricas para a avaliação dos resultados.

1. Atender às
necessidades
das partes
interessadas.
5. Distinguir 2. Cobrir
a governança a organização de
da gestão. ponta a ponta.

COBIT 5
Princípios

4. Permitir 3. Aplicar
uma abordagem um modelo único
holística. e integrado.

Figura 6.2  –  Os cinco Principios do COBIT.

O COBIT baseia-se em cinco princípios básicos:

1. Atender às necessidades das partes interessadas.
2. Cobrir a organização de ponta a ponta.
3. Aplicar um modelo único e integrado.
4. Permitir uma abordagem holística.
5. Distinguir a governança da gestão.

•  Atender às necessidades das partes interessadas

As empresas existem para criar valor para as partes interessadas, que nem
sempre estão de acordo com o valor ou valores esperados. A ideia é de que o
COBIT, por meio de suas práticas, consiga harmonizar os diferentes interesses,
custos e riscos envolvidos.

•  Cobrir a organização de ponta a ponta

O COBIT trabalha a governança e a TI de maneira ampla, cobrindo a organi-
zação de ponta a ponta, ou seja, acompanha todas as funções e processos como
ativos, considerando-os como bens da corporação.

88 • capítulo 6
 •  Aplicar um modelo único e integrado
O COBIT está alinhado com os demais frameworks de governança existen-
tes, permitindo a sua integração com padrões como COSO, ISO, ITIL, PMBOK,
CMMI, TOGAF etc.

•  Permitir uma abordagem holística

O COBIT visa à governança e ao gerenciamento da TI da corporação como
um todo e define sete facilitadores para alcançar os objetivos:
•  Processos
•  Estrutura organizacional
•  Cultura, ética e comportamento
•  Princípios, políticas e frameworks
•  Informação
•  Serviços, infraestrutura e aplicações
•  Pessoas, conhecimentos e competências

•  Distinguir a governança da gestão.

O COBIT faz uma clara distinção entre governança e gerenciamento, pois
são itens que envolvem diferentes tipos de atividades, necessitam de diferentes
estruturas da organização e servem a diferentes propósitos.
A governança garante que os objetivos da companhia sejam alcançados de
acordo com as necessidades dos interessados, considerando as condições e
opções, as prioridades, as tomadas de decisão e os objetivos.
O gerenciamento da TI planeja, implementa, executa e monitora as ativida-
des alinhando-as com as determinações definidas pela governança para alcan-
çar os objetivos da companhia.

6.1.4  Certificações ITIL / COBIT

•  Certificação ITIL
Atualmente, a certificação em ITIL é dividida em quatro perfis de profissio-
nais: foundation, intermediate, expert and master, sendo a foundation a mais bá-
sica e a master a mais avançada.

capítulo 6 • 89
 Para obter a certificação foundation, basta realizar uma prova; para a cer-
tificação intermediate, além da anterior, quatro provas (intermediate lifecycle)
ou cinco provas (intermediate capability); para certificação expert, todas as an-
teriores e, finalmente, para a certificação master, além de todas as anteriores,
mais uma prova.

ITIL Master

ITIL Expert

Managing Across the Lifecycle

Intermediate lifecycle Intermediate capability

ITIL Foundation

Figura 6.3  –  Estrutura do ITIL.

As provas são pagas e realizadas em centros de provas autorizados pelo

EXIN ou pela Internet. O EXIN controla todo o processo de certificação ITIL.
Para mais informações sobre certificação ITIL, consultar o site do EXIN.

•  Certificação COBIT
Existem três provas para a certificação COBIT: foundation (fundamentos),
Implementação e Assessor. Para poder realizar as provas de implementação e
assessor, é necessário ter passado primeiramente na prova de foundation.
No caso da prova de foundation, é necessário agendar a prova no site da
APMG, que pode ser feita presencialmente ou pela Internet. O exame consiste
de 50 questões de múltipla escolha e exige uma pontuação de 50% ou mais para
ser aprovado. Para mais informações sobre os exames COBIT, consulte o site do
ICASA e, para mais informações sobre como fazer as provas, consulte o site da
APMG International.

90 • capítulo 6
6.2  Acordo de nível de serviço
A TI fornece diversos serviços aos usuários, departamentos e a toda a organiza-
ção. Não apenas a TI entrega serviços, mas também contrata serviços de tercei-
ros, ou seja, de outras empresas. Independentemente de o serviço ter sido pres-
tado ou contratado pela TI, deve existir um processo que garanta a qualidade
desses serviços e que atenda às necessidades do negócio.
Para garantir a qualidade dos serviços da TI em seus diferentes aspectos, criou-
se o acordo de nível de serviço ou SLA (service level agreement). O SLA é estabeleci-
do entre o usuário e o fornecedor do serviço. No caso de uma empresa, o usuário
pode ser um departamento e o fornecedor a TI. Da mesma forma, é possível que a
TI seja usuária de um serviço prestado por terceiros e o SLA garante que a empresa
contratada dispõe de requisitos mínimos para sua realização e entrega.
Uma empresa que contrata um serviço de Internet de uma operadora de te-
lecomunicações pode exigir, no SLA firmado no contrato entre as partes, que,
por exemplo, a taxa de transmissão seja de no mínimo 100 Mbps, a taxa de erros
de no máximo 0,1% e, se ocorrer algum problema com link, o reparo seja feito
em no máximo uma hora.
Um outro exemplo seria uma empresa que fornece um sistema Web para
seus usuários internos. É possível definir um SLA entre os usuários do sistema
e a TI de forma a garantir, por exemplo, uma disponibilidade do sistema de
99,99% ao ano, um tempo de resposta de no máximo cinco segundos e exigir
treinamento para os novos usuários do sistema.
Caso o SLA acordado não seja cumprido, podem ocorrer diversas penalida-
des como, por exemplo, multa, rompimento de contrato, troca de gestores e
demissões. O SLA é definido pelo gerenciamento de serviços, que é formado
por pessoas, processo e ferramentas com o objetivo de garantir a qualidade dos
serviços de TI. Vários frameworks possuem esse módulo, como é o caso do ITIL.

6.3  Métricas
Os projetos envolvendo desenvolvimento de software, especialmente os gran-
des projetos, são extremamente complexos de gerenciar. Sem as informações
adequadas, não é possível, por exemplo, estimar o custo do desenvolvimento,

capítulo 6 • 91
o número de profissionais, a quantidade de recursos computacionais e o prazo
de entrega. As métricas de software permitem o planejamento do projeto de
desenvolvimento de software e também sua manutenção.
Existem diversas métricas para os projetos de desenvolvimento de software.
Vejamos as mais conhecidas:

•  Análise de pontos de função

A análise de pontos de função mede o número de funcionalidades do soft-
ware percebidas pelo usuário do sistema, independentemente da tecnologia
utilizada para desenvolvê-lo. Cada funcionalidade identificada no software é
enquadrada em uma das cinco categorias possíveis: saídas, solicitações, entra-
das, arquivos internos e interfaces externas.
Após essa etapa, cada função é avaliada por sua complexidade e é-lhe atri-
buído um número, que funciona como um peso e que corresponde à sua pon-
tuação. A soma dos pontos de cada função permite estimar o desenvolvimento
do software em questão.

•  Número de linhas de código

O número de linhas de código representa o número total de linhas de códi-
go que fazem parte do projeto de desenvolvimento do software. O grande pro-
blema dessa métrica é conseguir prever antecipadamente, com alguma preci-
são, o número de linhas código necessário no projeto e, dependendo do tipo
de linguagem de programação utilizada, pode haver variação na contagem das
linhas de código do software.

92 • capítulo 6
 7
Segurança nos
Sistemas de
Informação
O tema segurança da informação está em grande evidência nos dias atuais.
Constantemente, deparamo-nos com notícias de falhas de segurança na Inter-
net, evidenciadas pelo roubo de informações e sabotagens em sites. Também
muito graves são os crimes digitais, que nem sempre são noticiados, mas que
causam grande prejuízo à instituição afetada. Tais crimes têm o intuito de fur-
tar ou adulterar informações estratégicas pertencentes às organizações e são
muitas vezes executados por concorrentes de mercado. Existem também os da-
nos causados por funcionários em razão de falhas no controle de acesso, resul-
tando na perda ou vazamento de informações importantes.
A tarefa de prover segurança às informações de uma instituição torna-se
mais difícil não só pela existência das ameaças citadas, mas também pelo fato
de a segurança não poder se restringir às redes e sistemas de computadores. A
informação trafega por diferentes meios e o elemento humano deve ser consi-
derado como um fator fundamental para o sucesso da aplicação de medidas
de segurança. A preocupação com a segurança tem sido tão evidente que hoje
existem legislação e padrões específicos que tentam coibir tal prática.

OBJETIVOS
•  Compreender as principais vulnerabilidades dos sistemas de informação;
•  Reconhecer a estratégia da segurança dos sistemas de informação para as organizaçõds.

94 • capítulo 7
7.1  Introdução à segurança de informação
A segurança da informação pode ser melhor definida pela garantia de um ou
mais serviços descritos a seguir:

•  Confidencialidade
A confidencialidade, também referenciada como privacidade ou sigilo, im-
pede que pessoas não autorizadas tenham acesso à informação. Assim, quan-
do enviamos um e-mail, deve ser possível garantir que apenas o emissor e o
destinatário tenham conhecimento do conteúdo da mensagem. Em uma tran-
sação eletrônica, o número do cartão de crédito ou a senha do banco devem
ser enviados de forma segura, impedindo que terceiros tenham conhecimento
da informação.

•  Integridade
A integridade ou autenticidade do conteúdo é a garantia de que a informa-
ção está consistente, ou seja, não foi criada, nem alterada nem eliminada sem
autorização. O conteúdo de um e-mail, por exemplo, não deve ser alterado. Em
uma transação bancária, os valores não podem ser alterados.

•  Autenticidade
A autenticidade garante a identidade de quem está executando uma deter-
minada ação. Geralmente, quando enviamos um e-mail nada garante ao des-
tinatário que o e-mail foi enviado realmente pelo emissor que aparece. Neste
caso, o problema de autenticidade decorre do fato que o e-mail de uma pessoa
pode ser facilmente forjado, ou seja, nada impede que alguém se passe por ou-
tra pessoa.
Com a identificação do usuário, é possível implementar o controle de aces-
so aos recursos disponíveis. O controle de acesso define quais usuários podem
realizar determinadas tarefas em determinados objetos. Por sua vez, o controle
de acesso permite que se implemente o log, auditoria e contabilização de aces-
so aos objetos.
Outra consequência da autenticação é a não repudiação. O não repúdio ou
irretratabilidade previne que alguém negue a autoria de determinada ação. Por
isso, quando enviamos e-mail autenticado, o destinatário pode provar quem
realmente enviou a mensagem, ou seja, o remetente não pode repudiar o envio

capítulo 7 • 95
da mensagem. Além disso, o não repúdio permite que se prove a terceiros e pos-
teriormente ao fato a autoria de determinada ação.

•  Disponibilidade
A disponibilidade garante que uma informação esteja disponível para aces-
so no momento desejado. Existem diversas formas de surgimento deste proble-
ma, como, por exemplo, servidores que tornam os dados indisponíveis e acesso
impossibilitado a links de comunicação e dispositivos de rede. Em ambos os
casos, a disponibilidade é alcançada com algum tipo de redundância, ou seja,
utilizando-se servidores, links e dispositivos de rede adicionais.
Os ataques do tipo denial of service (DoS) são um outro bom exemplo de
problema de falta de disponibilidade. Um ataque DoS basicamente visa in-
disponibilizar os serviços oferecidos por algum servidor de rede como, por
exemplo, Web, correio ou resolução de nomes (DNS – domain name services).
Indisponibilizar pode significar retirar totalmente o servidor de operação ou
apenas deixá-lo lento, a ponto de o cliente abandonar o serviço devido à demora
de resposta. Um ataque DoS ou DDoS (Distributed DoS) não significa que o site
foi invadido, ou seja, as informações contidas no site não podem ser roubadas,
nem modificadas nem eliminadas.
A disponibilidade é medida em função do tempo por ano que o sistema per-
manece em funcionamento de forma ininterrupta, incluindo possíveis falhas
de hardware ou software, manutenções preventivas e corretivas.
Se imaginarmos uma compra utilizando a Internet, poderemos perceber a
necessidade de todos os requisitos descritos. Assim, a informação que permite
a transação, tais como valor e descrição do produto adquirido, precisa estar dis-
ponível no dia e na hora que o cliente desejar efetuar a compra (disponibilida-
de); o valor da transação não pode ser alterado (integridade); somente o cliente
que está comprando e o comerciante devem ter acesso à transação (controle
de acesso); o cliente que está comprando deve ser realmente quem diz ser (au-
tenticidade); o cliente tem como provar o pagamento e o comerciante não tem
como negar o recebimento (não repúdio); e o conhecimento do conteúdo da
transação fica restrito aos envolvidos (confidencialidade).

96 • capítulo 7
7.1.1  Conceitos fundamentais de segurança da informação

Importância
A informação é um bem que tem valor para a organização e, consequente-
mente, necessita ser adequadamente protegido. A tarefa de prover segurança
às informações de uma instituição não se restringe a soluções de segurança
para redes ou sistemas de computadores. A informação trafega por diversos
meios como papel, fax e telefone. Devido a essa abrangência, é necessário que
ações seguras sejam entendidas e incorporadas pelos funcionários da institui-
ção. Entende-se por ação segura qualquer atitude envolvendo manipulação de
informações que seja feita de acordo com o nível de segurança definido para o
tipo de informação que será passada, estando ela em qualquer meio.
Uma característica importante da segurança da informação é a não existên-
cia do conceito de segurança total, seja qual for o contexto e a abordagem apli-
cada. Isto se deve ao fato de que as ameaças a serem consideradas são inúmeras
e, muitas vezes, imprevisíveis.
O objetivo da segurança da informação é assegurar a continuidade do ne-
gócio e reduzir os danos a ele, prevenindo e minimizando os impactos dos in-
cidentes de segurança. A razão para prover segurança às informações de uma
organização apoia-se no diferencial que a segurança pode representar entre o
sucesso e o insucesso, no cumprimento do objetivo fim da instituição.

Ameaças e vulnerabilidades
Qualquer empresa que deseja implementar segurança da informação deve
conhecer as ameaças e vulnerabilidades a que está exposta. Conhecendo as
ameaças e vulnerabilidades, é possível implementar contramedidas mais efi-
cazes em função do custo-benefício.
As ameaças podem ter origem interna e/ou externa e serem propositais
ou não. Os tipos de ameaças e os riscos envolvidos estão intimamente ligados
ao negócio da empresa, ou seja, dependendo do tamanho da corporação e de
sua área de atuação, as ameaças, como também os riscos, podem ser maiores
ou menores.

capítulo 7 • 97
 A seguir, abordaremos as principais ameaças e vulnerabilidades que de-
vem ser avaliadas no processo de implementação de segurança da informação
nas corporações.

•  Vírus
Em todas as pesquisas que identificam os principais problemas para a segu-
rança da informação corporativa, os ataques de vírus estão sempre nas primei-
ras posições. Apesar das inúmeras ferramentas para identificar e tratar os vírus,
as empresas continuam perdendo muito dinheiro com os estragos produzidos
por eles. A entrada de apenas um vírus é muito prejudicial, pois ele espalha-se
rapidamente por toda a rede.
A solução para os problemas de vírus não passa apenas pela utilização dos
recursos tecnológicos disponíveis, como software de anti-vírus e filtros em ser-
vidores de e-mail. Sem a conscientização do usuário, todo o investimento em
tecnologia poderá ficar comprometido.
Um vírus é um programa que pode infectar outros programas, alterando seu
código executável. Desta forma, o vírus pode se replicar. O vírus pode ficar por
um longo período de tempo dormente antes de realizar sua tarefa. Em função
de algum evento, como uma determinada data ou o número de vezes que foi
replicado, o vírus pode ser ativado. Dependendo do sistema operacional, um
vírus pode ter acesso irrestrito aos recursos do computador onde está sendo
executado ou apenas a determinados recursos.

•  Spyware
O spyware é um programa que, quando instalado na máquina do usuário,
monitora o que o ele está fazendo e envia suas informações para a Internet sem
o seu conhecimento. Os possíveis interessados podem ser empresas que quei-
ram conhecer o perfil de consumo do usuário ou um hacker interessado nas
suas informações pessoais ou financeiras.

•  Phishing
É muito comum o recebimento de mensagens falsas de bancos, da Receita
Federal e de empresas de proteção ao crédito, solicitando a atualização de
dados cadastrais ou avisando que houve algum problema sério com a conta

98 • capítulo 7
bancária ou o cartão de crédito. No phishing, o usuário é “fisgado” por algum
e-mail ou mensagem que parecem procedentes de fontes confiáveis, então ele
informa seus dados financeiros como, por exemplo, número da conta e senha
do banco a um site falso.

•  Código hostil
Os browsers quando foram lançados exibiam apenas textos (ASCII e HTML)
e imagens (GIF e JPEG). Devido à limitação da linguagem HTML (Hyper-Text
Markup Language), logo surgiram alternativas para ampliar a capacidade do
browser para torná-lo mais dinâmico e interativo. Uma das primeiras iniciati-
vas neste sentido foi a adoção dos helpers (aplicativos auxiliares) que evoluíram
para os atuais plug-ins.
Os plug-ins são programas que permitem ao browser executar arquivos em
formatos diferentes de HTML, como áudio, animações e acesso a banco de da-
dos. Dois exemplos de plug-in bastante populares são o Abode Acrobat Reader
e Macromidia Shockwave.
O grande problema dos plug-ins é que sua segurança está baseada na con-
fiança em quem desenvolveu o aplicativo. Como o plug-in tem acesso irrestrito
ao seu sistema, é possível ter acesso a informações no disco local, abrir cone-
xões de rede ou introduzir um cavalo de tróia. Neste caso, não só a estação po-
derá ficar comprometida, mas também sua rede interna.
Com a introdução de linguagens/tecnologias como Java, JavaScript, VBscript
e ActiveX, o browser passou a receber código ativo pela rede, ou seja, o simples
fato de se visitar um site na Internet já é o suficiente para receber um código
malicioso que possa ter acesso a qualquer parte do seu sistema (processador,
memória, discos e rede) e, até mesmo, desligar sua estação.
Os navegadores (browsers) possuem parâmetros de configuração que im-
pedem que códigos deste tipo sejam executados automaticamente para evitar
problemas de segurança.

•  Falhas e erros
Problemas de segurança da informação podem ser consequência de falhas
e erros humanos. A integridade das informações pode ser comprometida com a
entrada de dados errada ou incompleta em sistemas de informação.

capítulo 7 • 99
 Falhas no desenvolvimento de software, conhecidos como bugs, podem le-
var a sérios problemas de segurança, tanto em sistemas aplicativos como em
softwares básicos. Um bom exemplo deste tipo de vulnerabilidade são as falhas
de buffer overflow, largamente utilizadas por hackers para ganhar acesso privi-
legiado a servidores Web, sistemas operacionais, bancos de dados etc.
A maneira mais efetiva de evitar este tipo de ameaça é manter hardware e
software sempre atualizados, com as devidas correções. A grande dificuldade,
no entanto, é atualizar o parque na mesma velocidade em que as correções
são disponibilizadas.

•  Fraudes, roubos e sabotagens

Apesar dos hackers, os maiores problemas de segurança da informação são
praticados por indivíduos que tem acesso autorizado à empresa. Muitas vezes,
as informações obtidas internamente são repassadas para fora da empresa e a
ação é executada externamente.
Fraudes e roubos não estão restritos às informações. Bens materiais como
computadores, periféricos e componentes também podem ser alvos deste tipo
de ameaça. A sabotagem, geralmente, é realizada por funcionários insatisfeitos
que, por algum motivo, destroem ou alteram as informações.

•  Hackers
Apesar de a palavra hacker significar genericamente alguém que conhece
profundamente computação, o termo é utilizado como sinônimo de cracker, ou
seja, alguém que invade sistemas computacionais sem autorização para obter
algum tipo de benefício.
Os benefícios obtidos pelos hackers nem sempre estão associados a ques-
tões financeiras. Hackers invadem sistemas apenas para mostrar poder, que
são capazes de destrinchar qualquer sistema. Diversos sites na Internet têm
suas páginas desfiguradas e seu conteúdo original é substituído por mensa-
gens variadas. Neste caso, nenhuma informação é roubada, mas a imagem da
empresa ficará comprometida. Dependendo do tipo de negócio da empresa, a
imagem pode ser um ativo fundamental, principalmente no caso de empresas
de segurança da informação.
Hackers, geralmente, estão relacionados a indivíduos externos à empre-
sa, porém também existem hackers internos, que podem causar danos mais

100 • capítulo 7
facilmente. Com a evolução da Internet, é esperado um crescimento dos pro-
blemas de segurança relacionados a hackers.

•  Espionagem
Espionagem industrial é o ato de reunir informações de uma empresa e re-
passá-las a uma outra empresa, geralmente concorrente, mediante algum tipo
de vantagem financeira. A espionagem é realizada por funcionários que têm
acesso autorizado às informações, por isso sua identificação é muito difícil.

7.1.2  Autenticação e controle de acesso

Autenticação é a capacidade de identificar com precisão um usuário ou siste-

ma. Por meio desta identificação, é possível controlar e monitor o acesso aos
recursos disponíveis. A autenticação pode ser implementada baseada em três
métodos diferentes: algo que se sabe, algo que se tem e algo que se é .

•  Algo que se sabe

Neste caso, o usuário conhece alguma informação que permite a sua iden-
tificação e autenticação. O uso de senhas é o melhor exemplo deste método.
Além das senhas, é possível utilizar informações pessoais do usuário para iden-
tificá-lo positivamente, como data de nascimento, número de um documen-
to etc.
Atualmente, a grande maioria das aplicações utiliza o esquema de senhas
para identificar seus usuários. Cada usuário possui um identificador único
(username) e uma senha associada. Sempre que o usuário deseja ter acesso a
algum recurso da rede, é necessário que ele identifique-se através de um user-
name e uma senha associada.

Existem diversas recomendações que auxiliam na criação e gerência de se-

nhas fortes:
•  Utilizar senhas longas, com pelo menos oito caracteres.
•  Obrigar a troca das senhas periodicamente.
•  Utilizar números, letras (maiúsculas e minúsculas) e, se possível, caracte-
res especiais (#, $, %, &, etc.).
•  Não reutilizar senhas antigas.

capítulo 7 • 101
 •  Não utilizar senhas iguais ao username do usuário, senhas em branco, se-
quências numéricas (0, 1,2, 3...) e/ou alfabéticas (A, B, C...).
•  Evitar a utilização de datas, números de telefones, nomes de parentes ou
qualquer informação relacionada ao usuário.
•  Evitar a utilização de palavras de dicionários de qualquer língua.
•  Implementar o esquema de bloqueio da conta do usuário (lockout) depois
de um certo número de tentativas de acesso inválido.
•  Evitar o compartilhamento da senha com outros usuários, mesmo amigos.
•  Evitar que o usuário anote a senha.

•  Algo que se tem

Neste caso, o usuário possui algo que deve ser utilizado no processo de iden-
tificação e autenticação. Os cartões magnéticos, smartcards e certificados digi-
tais são bons exemplos deste método.
Os cartões magnéticos são amplamente utilizados por bancos e adminis-
tradoras de cartão de crédito para identificação de seus clientes. Apesar de seu
baixo custo e popularidade, os cartões magnéticos possuem uma capacidade
reduzida de armazenamento de informações e são facilmente clonáveis.
O smartcard é uma evolução dos cartões magnéticos e possui uma memória
interna que permite armazenar um volume bem maior de informações, como
senhas, dados pessoais do usuário, informações médicas, chave privada para
criptografia etc. Alguns smartcards, além da memória, possuem um micropro-
cessador para o processamento de diversas tarefas simples como, por exemplo,
criptografar uma informação.
Certificados digitais são largamente utilizados, por exemplo, na Internet
para garantir o sigilo e a autenticidade em transações de comércio eletrônico.

•  Algo que se é
Neste caso, o usuário utiliza alguma característica física que permite a sua iden-
tificação e autenticação. Este método é conhecido como autenticação biométrica
e envolve processos que reconheçam características físicas intrínsecas de cada in-
divíduo, como a impressão digital, íris, retina, voz, formato das mãos ou face.
Inicialmente, as informações biométricas de cada indivíduo devem ser ar-
mazenadas em um banco de dados. Quando alguém deve ser autenticado, a
informação biométrica é fornecida pelo usuário e comparada com a que está
armazenada no banco de dados.

102 • capítulo 7
 A biometria vem sendo utilizada para identificar usuários em diferentes ti-
pos de aplicações. O uso da digital é utilizado para autenticar um usuário e per-
mitir o acesso a um servidor ou laptop. A digital também pode ser utilizada para
liberar o acesso a determinadas áreas da empresa. O reconhecimento de íris
vem sendo utilizado em aeroportos para facilitar a identificação de passageiros.
A autenticação biométrica vem ganhando espaço na medida em que os
custos de aquisição e implementação da tecnologia estão se reduzindo. Outro
problema com este método é a possibilidade de identificação falso-negativa,
ou seja, o usuário não pode ser identificado por algum problema físico. Em sis-
temas de autenticação por voz, por exemplo, se o usuário estiver resfriado ou
nervoso, é possível que o sistema não o reconheça.
A tendência atual é a utilização da biometria associada a outros métodos de
identificação, como smartcards e senhas.

Criptografia
Em razão do comércio eletrônico, a economia mundial vem sendo profun-
damente modificada. Esse mercado, de crescimento explosivo e valores em
bilhões de dólares, ainda está restrito, devido à falta de segurança nas transa-
ções comerciais. A criptografia e a certificação digital são ferramentas funda-
mentais para a segurança na construção da nova infraestrutura de comércio
eletrônico.
Enquanto a criptografia oferece confidencialidade, integridade e autentici-
dade, a certificação digital oferece infraestrutura para que estes serviços sejam
oferecidos de forma simples, rápida e segura. O certificado digital é a carteira
de identidade do mundo virtual, que permite aos usuários se identificarem e
assinarem documentos eletrônicos.
A criptografia consiste na ciência de escrever a informação em cifras, de
forma tal que somente as pessoas autorizadas possam compreendê-la. O seu
objetivo é a construção de cifras invioláveis que garantam a confidencialidade,
a integridade e a autenticidade das informações transmitidas.

Criptografia simétrica
O ciframento de uma mensagem baseia-se em dois componentes: um algo-
ritmo e uma chave. O algoritmo é uma transformação matemática, que conver-
te uma mensagem em claro em uma mensagem cifrada e vice-versa, por exem-
plo, quando Alice cifra uma mensagem, ela utiliza um algoritmo de ciframento

capítulo 7 • 103
para transformar o conteúdo da mensagem em claro em texto cifrado. Quando
Bob decifra uma mensagem, ele utiliza o algoritmo de deciframento correspon-
dente para converter o texto cifrado em uma mensagem em claro.
Antigamente, a segurança do ciframento estava baseada somente no sigilo
do algoritmo criptográfico. Se Eve (um intruso) conhecesse o algoritmo, pode-
ria decifrar uma mensagem criptografada tão facilmente quanto Bob. Pode-se
contornar o problema apresentado, utilizando o segundo componente básico
da criptografia: a chave. A chave é uma cadeia aleatória de bits utilizada em con-
junto com um algoritmo. Cada chave distinta faz com que o algoritmo trabalhe
de forma diferente.
Embora existam algoritmos que dispensem o uso de chaves, sua utilização
oferece duas importantes vantagens. A primeira é permitir a utilização do mes-
mo algoritmo criptográfico para a comunicação com diferentes receptores,
apenas trocando a chave. A segunda vantagem é permitir trocar facilmente a
chave no caso de uma violação, mantendo o mesmo algoritmo.
O número de chaves possíveis depende do tamanho (número de bits) da
chave. Uma chave de 8 bits, por exemplo, permite uma combinação de no má-
ximo 256 chaves (28). Quanto maior o tamanho da chave, mais difícil quebrá-la,
pois estamos aumentando o número de combinações possíveis. Atualmente, o
tamanho de chave recomendado para sistemas simétricos é de 128 bits.
Quando Alice cifra uma mensagem, ela utiliza um algoritmo de ciframento
e uma chave secreta para transformar uma mensagem em claro em um texto
cifrado. Bob, por sua vez, ao decifrar uma mensagem, utiliza o algoritmo de de-
ciframento correspondente e a mesma chave para transformar o texto cifrado
em uma mensagem em claro. Eve, por não possuir a chave secreta, mesmo co-
nhecendo o algoritmo, não conseguirá decifrar a mensagem. A segurança do
sistema passa a residir não mais no algoritmo e sim na chave utilizada. A chave,
e não mais o algoritmo, deverá ser mantida em segredo por Alice e Bob.
Quando a chave de ciframento é a mesma utilizada para deciframento ou
esta última pode ser facilmente obtida da primeira, definimos este tipo de ci-
framento como criptografia simétrica ou de chave secreta. Este esquema é am-
plamente utilizado pelos sites de comércio eletrônico e Internet banking para
garantir o sigilo das informações trocadas entre o site e seus clientes.
Apesar de sua simplicidade, existem alguns problemas na criptografia si-
métrica. O primeiro é que Alice e Bob precisam trocar a chave secreta antes de
estabelecer o canal seguro. Para tanto, os envolvidos deverão utilizar um outro

104 • capítulo 7
canal seguro para a entrega da chave, por exemplo, Alice e Bob podem marcar
um encontro em um local seguro para a entrega da chave. Outro problema é a
gerência de chaves. Como cada par necessita de uma chave para se comunicar
de forma segura, para uma rede de n usuários precisaríamos de algo da ordem
de n2 chaves, quantidade esta que dificulta a gerência das chaves. Além disso,
a criptografia simétrica não garante a identidade de quem enviou ou recebeu a
mensagem (autenticidade e não repudiação).

Criptografia assimétrica
A maneira de contornar os problemas da criptografia simétrica apresenta-
dos é a utilização da criptografia assimétrica ou de chave pública. A criptografia
assimétrica está baseada no conceito de par de chaves: uma chave privada e
uma chave pública. No exemplo, Alice tem um par de chaves e Bob tem outro
par de chaves diferente. Como não existe uma relação entre as chaves de Alice e
Bob, dizemos que a criptografia é assimétrica.
A chave privada, como o nome sugere, deve ser mantida secreta, enquanto a
chave pública fica disponível livremente para qualquer interessado. Alice, por
exemplo, pode guardar sua chave privada de forma segura em um smartcard,
enquanto Bob coloca-a no disco rígido de sua máquina. A chave pública, por
outro lado, realmente condiz com seu nome e qualquer pessoa pode obter uma
cópia dela. Alice e Bob divulgam suas chaves públicas para seus amigos ou pu-
blicam-nas em boletins. Geralmente, as chaves públicas ficam armazenadas
em algum tipo de certificadora, que funciona como um cartório virtual, onde
todos podem consultar a chave pública, mas não podem alterá-la.
De forma simplificada, a criptografia de chave pública funciona assim:
quando Alice deseja enviar uma mensagem cifrada para Bob, ela precisa pri-
meiramente encontrar a chave pública dele. Feito isto, Alice cifra sua mensa-
gem utilizando a chave pública de Bob, despachando-a em seguida. Quando
Bob recebe a mensagem, ele a decifra facilmente com sua chave privada. Caso
Eve intercepte a mensagem cifrada, mesmo conhecendo a chave pública de
Bob, não conseguirá decifrar a mensagem, pois não conhece a chave privada
de Bob.
A grande vantagem deste sistema é permitir que qualquer pessoa possa
enviar uma mensagem secreta, utilizando apenas a chave pública de quem irá
recebê-la. Como a chave pública está amplamente disponível, não há necessi-
dade do envio de chaves como é feito no modelo simétrico. A confidencialidade

capítulo 7 • 105
da mensagem estará garantida, enquanto a chave privada estiver segura. Caso
contrário, quem possuir acesso à chave privada terá acesso às mensagens.

Assinatura digital
Outro benefício da criptografia com chave pública é a assinatura digital,
que permite garantir a autenticidade de quem envia a mensagem. Além disso, a
assinatura digital garante a integridade e o não repúdio da mensagem.
Suponha, por exemplo, que Alice gostaria de comunicar o nascimento de
sua filha para Bob, mas também queria certificar o destinatário de que a men-
sagem foi realmente enviada por ela. Alice, então, cifra a mensagem com sua
chave privada e a envia, em um processo denominado de assinatura digital. Bob
deverá decifrar a mensagem, ou seja, verificar a validade da assinatura digital,
utilizando a chave pública de Alice. Como a chave pública de Alice apenas de-
cifra mensagens cifradas com sua chave privada, fica garantida assim a auten-
ticidade. Assim, se alguém modificar um bit do conteúdo da mensagem ou se
outra pessoa assiná-la ao invés de Alice, o sistema de verificação não irá reco-
nhecer a assinatura digital de Alice como válida.
É importante perceber que a assinatura digital, como descrita no exemplo
anterior, não garante a confidencialidade da mensagem. Qualquer um pode-
rá acessá-la e verificá-la, mesmo um intruso (Eve), apenas utilizando a chave
pública de Alice. Para obter confidencialidade com assinatura digital, basta
combinar os dois métodos. Alice primeiro assina a mensagem, utilizando sua
chave privada. Em seguida, ela criptografa a mensagem novamente, junto com
sua assinatura, utilizando a chave pública de Bob. Este, ao receber a mensa-
gem, deve, primeiramente, decifrá-la com sua chave privada, o que garante sua
privacidade. Em seguida, "decifrá-la" novamente, ou seja, verificar a assinatura
utilizando a chave pública de Alice, garantindo assim sua autenticidade.

Criptografia simétrica x assimétrica

Qual modelo de criptografia devemos utilizar? Simétrico ou assimétrico?
A resposta é simples: devemos utilizar os dois, em um modelo denominado
híbrido. O algoritmo simétrico, por ser muito mais rápido, é utilizado apenas
no ciframento da mensagem, enquanto o assimétrico, embora lento, permite
implementar a distribuição de chaves e a assinatura digital. Além disso, como
já exposto no item anterior, deve-se utilizar também o mecanismo de hashing
para complemento da assinatura digital.

106 • capítulo 7
 Criptografia simétrica Criptografia assimétrica
Rápida Lenta
Gerência e distribuição das chaves é complexa. Gerência e distribuição Simples
Não oferece assinatura digital. Oferece assinatura digital

Os algoritmos criptográficos podem ser combinados para a implementação

dos três mecanismos criptográficos básicos: ciframento, assinatura e hashing.
Estes mecanismos são componentes dos protocolos criptográficos, embutidos
na arquitetura de segurança dos produtos destinados ao comércio eletrônico.
Estes protocolos criptográficos, portanto, provêm os serviços associados à crip-
tografia que viabilizam o comércio eletrônico.

Certificação digital
Com o sistema de chave pública, o gerenciamento de chaves passa a ter
dois novos aspectos. Primeiro, deve-se previamente localizar a chave pública
de qualquer pessoa com quem se deseja comunicar. Assim, duas pessoas que
queiram se comunicar com segurança necessitam ter em mãos as chaves públi-
cas de seus correspondentes. Uma forma de garantir a posse da chave correta
é trocar pessoalmente com o correspondente a chave pública, porém esta solu-
ção não é possível de ser implementada na Internet.
Segundo, deve-se ter a garantia de que a chave pública encontrada é real-
mente do destinatário. Sem esta garantia, um intruso (Eve) pode convencer
os interlocutores (Ana e Bob) de que chaves públicas falsas pertencem a eles,
estabelecendo um processo de confiança entre eles e podendo passar-se por
ambos. Deste modo, quando Ana enviar uma mensagem a Bob solicitando sua
chave pública, Eve poderá interceptá-la e devolver-lhe uma chave pública forja-
da por ele. Ele pode também fazer o mesmo com Bob, fazendo com que cada
lado pense que está se comunicando com o outro, quando, na verdade, estão
sendo interceptados pelo intruso. Eve, então, pode decifrar todas as mensa-
gens, cifrá-las novamente ou, se preferir, poderá até substituí-las por outras.
A solução para estes dois problemas é a utilização de certificados digitais.
Um certificado digital pode ser definido como um documento eletrônico, assi-
nado digitalmente por uma terceira parte confiável, que associa o nome e atri-
butos de uma pessoa, servidor ou instituição a uma chave pública. A terceira
parte que assina o certificado é conhecida como autoridade certificadora (certi-
fication authority – CA), que funciona como um cartório eletrônico.

capítulo 7 • 107
 Pela assinatura da chave pública e das informações sobre Bob, a CA garante
que a informação sobre ele está correta e que a chave pública em questão real-
mente pertence a Bob. Ana, por sua vez, confere a assinatura da CA e, então, uti-
liza a chave pública de Bob, segura de que esta pertence a ele e a ninguém mais.
Certificados desempenham um importante papel em um grande número
de protocolos e padrões utilizados na proteção de sistemas de comércio ele-
trônico. Nos Estados Unidos, leis federais e estaduais equiparam os documen-
tos eletrônicos assinados digitalmente a documentos em papel firmados de
próprio punho. No Brasil, várias iniciativas estão em tramitação no Congresso
Federal, especificando as características necessárias para que o próprio gover-
no aceite documentos eletrônicos.
Os certificados digitais são hoje utilizados principalmente para o envio de
correio eletrônico assinado e/ou codificado e para o estabelecimento de comu-
nicações seguras em seções Web entre o cliente e o servidor.

7.1.3  Segurança de redes

Atualmente, a grande maioria das empresas está conectada a algum tipo de

rede privada ou pública, como a Internet. Desta forma, as empresas podem co-
nectar suas filiais à matriz, criar uma Extranet com parceiros para comércio
eletrônico, expandir sua Intranet e permitir o acesso remoto de funcionários
aos sistemas internos da empresa.
Os protocolos utilizados na Internet, chamados genericamente de proto-
colos TCP/IP, são por natureza inseguros, ou seja, não oferecem confidencia-
lidade, integridade ou autenticidade. Neste capítulo, serão abordados alguns
mecanismos que permitem implementar a segurança de redes como firewall,
sistemas de detecção de intrusão e redes privativas virtuais.

•  Firewall
O firewall permite implementar um esquema de segurança centralizado,
onde todo o tráfego que entra ou sai da empresa pode ser monitorado. Com
esse monitoramento, é possível restringir o acesso da rede interna de/para a
rede externa, normalmente a Internet.
Geralmente, o firewall é um software que é executado em um servidor Unix,
Microsoft Windows Server, dedicado exclusivamente a essa função. Também
existem soluções que englobam hardware e software proprietários.

108 • capítulo 7
 •  Sistemas de detecção de intrusão
Os sistemas de detecção de intrusão (intrusion detection system – IDS) per-
mitem identificar em tempo real a tentativa de acesso não autorizado de usuá-
rios na rede interna ou de hackers na rede externa.
O IDS é implementado por meio de agentes que são executados em diversos
pontos da rede, como servidores e/ou dispositivos de rede. Os vários agentes
monitoram constantemente qualquer tentativa de invasão e, caso ocorra um
ataque, é possível responder de diversas maneiras: enviando um e-mail para
o administrador da rede, reconfigurando o firewall ou roteador e, até mesmo,
encerrando a conexão de rede.
Alguns IDS oferecem a facilidade de um console de gerenciamento centra-
lizado. Neste caso, os diversos agentes enviam mensagens para o console que
pode melhor avaliar a possibilidade de algum ataque em andamento. Além
disto, o console facilita ao administrador acompanhar os diversos eventos em
andamento e os eventos já ocorridos.
Existem, basicamente, dois tipos de sistemas de detecção de intrusão: IDS
de host e IDS de rede. Uma empresa pode utilizar apenas um dos tipos de IDS
ou implementar os dois tipos simultaneamente, oferecendo um nível maior
de segurança.

•  Rede privativa virtual

A rede privativa virtual (virtual private network – VPN) é uma rede privada
que utiliza a infraestrutura de uma rede pública, geralmente a Internet, para
conectar, de forma segura, localidades geograficamente dispersas e usuários
remotos à rede da empresa.
A grande vantagem da utilização das VPNs é a redução de custos com os
links dedicados e linhas discadas para acesso remoto. Em vez de usar um cir-
cuito dedicado, a VPN utiliza conexões virtuais através da Internet, ligando a
rede privada da empresa a uma localidade remota.
Por estar trafegando por redes que não são do controle direto da empresa
ou mesmo de uma única operadora de longa distância, o risco dos dados serem
interceptados por pessoas não autorizadas é muito alto, já que os caminhos por
onde passam os pacotes não são efetivamente conhecidos. Com isso, torna-se
imprescindível o uso de mecanismos de criptografia, a fim de evitar que as in-
formações sejam lidas e/ou alteradas por pessoas não autorizadas.

capítulo 7 • 109
 Para resolver as possíveis falhas de segurança, os dois lados da conexão
VPN devem criptografar o conteúdo dos pacotes antes que estes sejam trans-
mitidos pela Internet e, na outra ponta, os pacotes recebidos devem ser de-
criptografados antes de serem repassados para o destino final. Este canal se-
guro de comunicação, ligando as duas extremidades da conexão, é chamado
de túnel.
As VPNs baseiam-se no encapsulamento de pacotes (tunneling) para criar
uma rede privada através da Internet. Essencialmente, tunneling ou “tunela-
mento” é o processo de colocar um pacote inteiro dentro de um outro pacote e
transmiti-lo na rede pública que liga as duas extremidades (interfaces de tune-
lamento). O pacote externo, utilizado para “carregar” o pacote cifrado, é com-
preendido pela rede pública e pelas extremidades da conexão onde o pacote é
inserido e retirado da rede pública.

7.2  Planejamento da segurança da

informação

O planejamento da segurança da informação permite que uma instituição

prepare, execute e mantenha a segurança de suas informações. O plano de se-
gurança é uma sequência de etapas que propõem levantar as necessidades de
segurança de uma instituição, adquirir ferramentas e definir as políticas para
implementá-la, de forma a garantir que as soluções de segurança sejam execu-
tadas de acordo com os objetivos da instituição, mostrando-se aberto ao surgi-
mento de novas ameaças.
Além da falta de previsão quanto às ameaças, a ineficiência da aplicação de
medidas de segurança das informações decorre, na maioria das vezes, do tra-
tamento parcial que é dado à segurança. Empregar algumas soluções de har-
dware ou software e apostar nisso como uma solução eficiente de segurança é
um erro cometido até mesmo por profissionais experientes. A conscientização
em todos os níveis da organização e uma boa capacidade gerencial são fatores
essenciais para o sucesso de um plano de segurança.
Plano de segurança é a descrição de toda a estratégia de segurança a ser
adotada pela organização e sua implantação deverá mostrar sua operabilida-
de e funcionalidade neste campo. Constam do plano de segurança todas as

110 • capítulo 7
tecnologias que deverão ser utilizadas pela instituição. Cada um dos itens a se-
rem implementados será subdividido em subitens até o ponto em que a insti-
tuição terá um mapa detalhado dos procedimentos a serem executados.
Um plano de segurança finalizado deverá apresentar um relatório técnico
contendo um plano detalhado para a implantação e manutenção da infraestru-
tura de segurança da instituição. Este plano detalhado conterá cronogramas
especificando o início e o fim de cada uma das etapas a serem implementadas.
Seguindo o plano de segurança, a instituição terá a sua infraestrutura de segu-
rança implementada e operacional dentro dos prazos previstos.
O principal objetivo do plano de segurança das informações é garantir, com
o menor custo possível, que as informações permaneçam íntegras, disponíveis,
confidenciais e que as entidades que tenham acesso a essas informações pos-
sam ser controladas. Um plano de segurança não deve ser elaborado, imple-
mentado e esquecido, mas evoluir juntamente com a empresa, sendo constan-
temente revisto pela organização.
O plano de segurança gera como consequência de seu desenvolvimento di-
versos documentos, chamados genericamente de políticas de segurança, po-
rém existem diferenças importantes nestes documentos que permitem agru-
pá-los em três categorias: a política de segurança propriamente dita, normas
e procedimentos.
Política de segurança é um estatuto formal de regras sob o qual estão sub-
metidas pessoas que têm acesso a recursos de informação e de tecnologia em
uma organização. A política de segurança é projetada para gerenciar o risco que
uma instituição incorre ao buscar seus objetivos, ou seja, estabelece metas, for-
nece uma estrutura de implementação e atribui responsabilidades e domínios
ao prover segurança às informações da instituição.
A elaboração da política de segurança deve estar de acordo com a legislação
vigente e com as normas internas da instituição. Na política de segurança, é
fundamental que esteja claramente descrita a abrangência e a abordagem dos
temas de segurança no ambiente da organização. É preciso que estejam defini-
das as entidades que terão papel de relevância no processo de segurança, bem
como suas respectivas responsabilidades. Além disso, as regras devem ser defi-
nidas em nível estratégico.
A política de segurança deve ser concisa, escrita de maneira que estimule os
funcionários a torná-la uma tônica na vida organizacional. É um documento de
alto nível a ser assinado pelo representante do mais alto cargo da instituição.

capítulo 7 • 111
Por ser um documento gerencial, deve preferencialmente ser publicado como
norma da instituição, sem envolver conceitos técnicos.
A política de segurança deverá ter um gerente responsável por sua manu-
tenção e revisão e ser composta pelos elementos que forem convenientes à ins-
tituição, porém é comum a utilização de um conjunto básico de itens em sua
composição.
O plano de segurança da informação proposto possui quatro fases. O pla-
no, na verdade, é um processo, que se inicia na fase de levantamento e análise,
passa pela fase de projeto e é implementado. A última fase, manutenção, ser-
ve para corrigir possíveis falhas de implementação e realimentar o processo.
Desta forma, o plano nunca chega ao fim, pois as ameaças e vulnerabilidades
evoluem com os negócios da empresa.

112 • capítulo 7