Documente Academic
Documente Profesional
Documente Cultură
autor do original
EDUARDO PARETO
1ª edição
SESES
rio de janeiro 2016
Conselho editorial regiane burger, simone markenson, roberto paes, gladis
linhares
Todos os direitos reservados. Nenhuma parte desta obra pode ser reproduzida ou transmitida
por quaisquer meios (eletrônico ou mecânico, incluindo fotocópia e gravação) ou arquivada em
qualquer sistema ou banco de dados sem permissão escrita da Editora. Copyright seses, 2016.
isbn: 978-85-5548-258-8
Prefácio 7
2. Os Profissionais de TI 19
4. Meios de Armazenamento 53
5. Infraestrutura 61
6. Governança de TI 81
7
Os sistemas legados, que funcionam até hoje nos mainframe’s, são respon-
sáveis por grandes processamentos como os bancários. Os sistemas stand-alo-
ne são programas que não precisam de nenhum suporte, isto é, são autossufi-
cientes. Funcionam em computadores isolados. São aplicados ou são pequenos
sistemas para empresas de menor porte. Na arquitetura cliente–servidor, o
software é dividido em dois: uma parte é o servidor e a outra parte é representa-
da pelo cliente. Os sistemas Web que utilizam o conceito da arquitetura cliente-
servidor são hoje muito difundidos. Além destes, temos os aplicativos móveis,
que são programas feitos para dispositivos móveis, como é o caso dos smart-
phones. Estes aplicativos estão mais uma vez transformando a informática.
No capítulo 4, serão descritos os diversos tipos de meios de armazenamen-
to, envolvendo desde os sistemas de arquivo, os banco de dados até o armaze-
namento em nuvem.
No capítulo 5, será detalhada a infraestrutura da informática. Como os com-
putadores se interligam em rede, serão apresentadas as principais topologias
de rede e seus protocolos, tão comuns nas conversas, mas, muitas vezes, abor-
dadas sem o devido embasamento teórico.
No capítulo 6, será exposta a governança da TI, que é a área da informática
responsável pelo gerenciamento e análise dos projetos da área. Por meio da go-
vernança, definimos o escopo do sistema para conseguir quantificar o trabalho
de desenvolvimento, definimos regras para o acompanhamento e implantação
dos softwares. Após o sistema em produção, é por meio da governança que mo-
nitoramos a qualidade do serviço entregue.
Por fim, no capítulo 7 serão apresentados os conceitos fundamentais de se-
gurança, sua importância para a sociedade e para as organizações. Também
será discutida a forma como os profissionais devem se comportar eticamente
no gerenciamento das informações que são manipuladas.
Este livro procura apresentar todas as áreas da TI, mesmo que superficial-
mente, e oferece uma grande visão dos diversos cenários e possibilidades que
este conhecimento oferece. Quando falamos em informática, sempre pensa-
mos nos problemas ou nas soluções que conhecemos, mas é preciso saber tudo
que ela envolve, para entender como estes recursos são implementados e ge-
renciados e analisar adequadamente o seu âmbito de aplicação.
Esperamos que este livro tire dúvidas fundamentais da área, apresente uma
série de assuntos e mostre os caminhos que os futuros profissionais poderão
trilhar neste campo de atuação. Espero que você tenha uma boa leitura!
Bons Estudos!
1
Conceitos de
Sistemas de
Informação, Teoria
de Sistemas e
Tecnologia da
Informação
As empresas e cada vez mais possuem sistemas de informação, programas,
computadores para melhorar os seus processos e administrar seus produtos
e serviços. Este cenário atual é considerado uma nova época, chamada era da
informação1, e é caracterizado pela forma como manipulamos as informações,
o que determina o sucesso ou fracasso das organizações.
Estamos completamente conectados, seja no celular, seja no computador, no
carro ou até mesmo em nossa casa.
O que realmente são sistemas de informação?
Podemos rusticamente definir sistema de informação como um programa
de computador que coleta dados e armazena-os de forma eficiente. Estes da-
dos podem ser consultados e alterados pelos usuários.
Então, podemos entender que sistema de informação é um programa de
computador que se comunica com um sistema de banco de dados gerenciando
dados e transformando-os em informação? Grosso modo, sim.
Preste atenção, porém, nesta observação. Para muitos, programa de com-
putador é apenas a tela que o usuário visualiza, assim, caso ocorra algo errado
com ela, o programa "bugou".
O nosso papel aqui é entender esta tela e mergulhar dentro deste mundo,
assimilando o que estes programas e sistemas têm a ver com o mundo real.
Nosso papel é buscar a forma como passar o que nos interessa do mundo real
para o mundo virtual. Este livro busca desmistificar todos estes pontos, expli-
cando todos os componentes envolvidos neste ambiente.
OBJETIVOS
• Conceituar sistema e sistema de informação;
• Distinguir sistema de informação e tecnologia de informação;
• Compreender os conceitos de dados, informação e conhecimento e sua independência;
• Relacionar os componentes básicos de um sistema.
1 Nome dado ao período subsequente à era industrial, que se iniciou após a década de 1980. Caracteriza-se pelo
fato de que é a capacidade criativa e pensante das pessoas que determina o seu sucesso na economia mundial.
10 • capítulo 1
1.1 Conceituação de sistema, sistema de
informação e tecnologia de informação
Nas cidades:
– sistema viário
– sistema de transmissão de energia
– sistema de telefonia fixa
O que todos eles têm em comum? Eles são complexos e fazem parte de um mun-
do mais complexo ainda. Colaboram entre si e buscam realizar uma tarefa-objetivo.
Bom, acho que agora podemos definir o que é sistema:
capítulo 1 • 11
É importante ressaltar que não existe o sistema absoluto, independente do
observador. Um objeto só é um sistema na medida em que é observado como
tal. Um sistema é, na essência, uma visão que um sujeito (observador) reconhe-
ce em um objeto cuja função lhe interessa.
O observador define o sistema para simplificar seu entendimento e estudo.
Preste atenção ao corpo humano. Estudar todo o corpo humano é muito mais
complexo que separá-lo em partes isoladas. Então, os biólogos definem siste-
mas para que possamos estudar as partes separadamente.
Um sistema precisa ter definido seu contexto, interno e/ou externo, o que
define seu campo de trabalho e seus limites de atuação.
Quando os analistas de sistemas são chamados para desenvolver um sistema,
o primeiro coisa alvo é identificar o que faz parte do sistema e o que não faz. Esta
tarefa é chamada de delimitar a fronteira do sistema: quem participa (está den-
tro) e quem não participa (está fora). Como este sistema falará com o meio exter-
no, será preciso também identificar como é feita esta comunicação de entrada/
saída de dados.
Os sistemas de informação são sistemas que recebem dados, armazenam-
nos em meios pertinentes e persistentes e manipulam-nos, gerando informa-
ções para seus usuários. Todo software que recebe dados, armazena e gera saí-
da são classificados como sistemas de informação.
Existem diversos sistemas de informações à nossa volta, desde o controle
de estoque de uma loja até o sistema de controle acadêmico de sua faculdade.
CLIENTES
SISTEMA DE
FORNECEDORES GERENTES DE PROJETO
INFORMAÇÃO
USUÁRIOS
12 • capítulo 1
Vamos olhar o sistema clássico de controle de biblioteca. Ele armazena os
dados dos livros, dos usuários e também controla os empréstimos. Podemos
identificar a entrada de dados, os armazenamentos e também as saídas.
Na figura 1.1, vemos um diagrama de contexto onde identificamos as ne-
cessidades do sistema de informação e os atores que interagem com o sistema.
capítulo 1 • 13
1.3 Componentes dos sistemas de
informação
14 • capítulo 1
1.4 Visão geral dos recursos de um sistema
de informação
Os sistemas são definidos como uma solução de TI, ou seja, é uma proposta
computacional para melhorar e controlar os processos da empresa. Os recur-
sos que temos para isso são divididos em hardware, software, dados, redes
e humanos.
capítulo 1 • 15
TI Re
os s em Pro curs
man ista
hu ial gra os d
ma e s
u r sos espec s e oft
sis war
ec s e
R inai tem e
io sf Controle de as
suár desempenho do sistema
U
s
sore
Ban de arq
Recuo de daivdos, nuv
sitiv dware
Entrada de Saída de
sen
Processamento
c
dados informações
rsos os, si em
os,
s, d de ha
r
u
de da stem
ispo
os
Armazenamento
dos as
Máq Recurs
uina
Recursos de rede
Meios de comunicação – Conectividade
16 • capítulo 1
individualizada e sempre atendendo à necessidade da empresa. Estes dados
podem ficar armazenados na empresa, em discos externos ou até mesmo na
nuvem, como já citado, dependendo da necessidade da empresa.
Os recursos de rede mostram como os computadores da empresa estarão
conectados e se comunicarão.
Por fim, temos os recursos humanos, que são as pessoas que irão interagir
com o sistema. Estas pessoas devem desempenhar papéis e são especialistas
do domínio onde o sistema atua. Veja que seus usuários sabem efetuar a tarefa
maravilhosamente bem sem o sistema e, não raramente, veem o sistema como
uma ameaça ao seu emprego. Sua tarefa é conseguir conscientizá-los de que
sem eles o sistema não obterá o desempenho desejado.
capítulo 1 • 17
18 • capítulo 1
2
Os Profissionais
de TI
O mercado de trabalho para os profissionais de Ti é pungente. Existem diversas
áreas para se trabalhar, dependendo da aptidão do profissional e do que ele
mais gosta de fazer. Existe carência de bons profissionais em todo o mundo,
tanto nos países ricos e desenvolvidos, quanto nos em desenvolvimento.
Com o avanço das tecnologias, do poder de processamento e dos meios de
armazenamento e dos dispositivos móveis, hoje há uma necessidade muito
grande por todo o tipo de profissional de TI, pois há muita coisa a ser feita. A
sociedade demanda novas soluções para facilitar e automatizar a vida e está nas
mãos das pessoas que trabalham na informática analisar estas necessidades,
desenvolver estas soluções e entregar estes produtos.
É possível dividir a área de TI em 3:
• Análise e desenvolvimento
• Infraestrutura e suporte
• Gestão e governança de TI
OBJETIVOS
• Identificar os profissionais de TI;
• Entender a importância das profissões, tanto as que lidam com software quanto as que
lidam com infra estrutura;
• Apresentar o CBO para as profissões de TI
20 • capítulo 2
2.1 Analista e desenvolvimento de sistemas
Sempre que pensamos em profissionais de TI, são os analistas e desenvolve-
dores que vêm à mente. Foram os precursores da informática e muitos foram
oriundos de outras áreas. São ainda a base dos profissionais de TI.
capítulo 2 • 21
O&M. Embora tenha sido reduzida a demanda por estes profissionais, muitas
empresas ainda os procuram como forma de obter melhorias consistentes em
sua organização, ainda que em forma de consultoria. Este profissional executa
as atividades de levantamento, análise, elaboração e implementação de siste-
mas administrativos na empresa, informatizados ou não, tendo como objeti-
vo criar ou aprimorar métodos de trabalho, agilizar a execução das atividades,
eliminar atividades em duplicidade, padronizar, melhorar o controle, fazer o
gerenciamento dos processos e solucionar problemas. Um dos objetivos prin-
cipais é a renovação organizacional, de forma a fazer frente à globalização e ao
aumento contínuo de competitividade da concorrência.
22 • capítulo 2
Analista de processos – este profissional analisa e define processos de tra-
balho, estuda tempos e parâmetros, mapeia fluxos das atividades e identifica
falhas, com o objetivo de estabelecer novas estratégias para a solução de pro-
blemas no processo de melhoria contínua.
capítulo 2 • 23
modelo de negócios da empresa e com toda a estrutura já existente – a não ser,
é claro, que o cliente opte por fazer uma reforma geral.
24 • capítulo 2
sequências de ações, criando assim o que é chamado de programa ou softwa-
re. Existem diversas linguagens de programação, que são como uma grande
biblioteca de funções, métodos e instruções para o programador desenvolver
programas. Algumas linguagens muito usadas: C; Java; Objective-C; C++; PHP.
O programador é responsável por seguir especificações determinadas pelo ana-
lista de sistemas para o desenvolvimento de partes de um produto de software
ou, até mesmo, do software completo. Muitas vezes, o programador trabalha
em equipe com outros programadores e profissionais da TI. Ele deve estar apto
a ler documentações de software e criar registros de mudanças num software,
entre outras atividades. O cargo de programador é um dos mais comuns e ini-
ciantes na área do desenvolvimento, mas de grande importância para empre-
sas. Nós podemos dividi-lo em quatro categorias:
• Programador desktop – programador de aplicações ou sistemas para
ambiente local, ou seja, programas que vão funcionar em um computador
ou numa rede de computadores, dentro de um sistema operacional como
Windows, Linux ou MAC.
• Programador Web – responsável por programar websites ou sistemas
web. Os websites são caracterizados por funcionar na rede mundial da Internet
e serem acessíveis em qualquer lugar.
• Programador mobile – é especializado em criar aplicativos para celulares
e dispositivos móveis. Ele pode trabalhar com uma das plataformas Android,
IOS, Windows Phone ou Java, entre outras.
• Programador de jogos – é o responsável por desenvolver partes das ins-
truções lógicas de um jogo digital ou, até mesmo, o jogo completo. Ele pode
trabalhar com jogos para computador, dispositivos móveis, videogames ou jo-
gos que rodam em websites. Existem outros tipos de programador como, por
exemplo, o que trabalha com linguagens para banco de dados etc.
capítulo 2 • 25
2.1.2.1 DBA
26 • capítulo 2
programas que não necessitam ser instalados no dispositivo para que funcio-
nem. Além disso, desenvolvedor Web é aquele que desenvolve sites, portais, fó-
runs, lojas virtuais etc. Para atuar como desenvolvedor Web, o indivíduo neces-
sita de formação bastante específica que forneça competências para programar,
tais como conhecer as linguagens de programação mais solicitadas (PHP, Java,
ASP, .NET), conhecer e entender o funcionamento de banco de dados, sendo,
portanto, imprescindível o conhecimento da linguagem SQL. Adicionalmente,
dominar CSS e HTML é fundamental. Para obter estas competências e outras
que são necessárias para o exercício da profissão de desenvolvedor Web, é ne-
cessário cursar uma graduação, por norma Sistemas da Informação.
capítulo 2 • 27
disponibilização de produtos na rede, a venda e cobrança de produtos pela
Internet, a logística de clientes a distância e o combate a fraudes. Além disso,
também são da sua alçada a prospecção de mercado e a disponibilização de
produtos on-line. Experiência em funções similares, vontade de aprender e
estar sempre atualizado, conhecimentos relacionados com planejamento es-
tratégico, marketing digital, contabilidade, gestão e fluência em inglês são re-
quisitos indispensáveis. Esse profissional é responsável pela administração do
site e por sua manutenção, pelo planejamento de campanhas promocionais on
-line, pela comunicação visual, conteúdo e atualização de produtos para o site,
pela publicação no site, pela realização de ações de marketing, pelo controle
da quantidade de vendas, pela elaboração de relatórios gerenciais de vendas,
mensuração e análise dos resultados, pelo gerenciamento do Google Analytics
e Adwords. Além disso, ele cuida do relacionamento com clientes para solu-
ções de dúvidas sobre compras no site da empresa, acompanha o fluxo de pe-
didos, o estoque, a logística e os pagamentos, atua no tratamento de imagens,
cadastro, controle, desenvolve novos projetos e parcerias visando potencializar
as vendas, faz a intermediação entre cliente e Web designer, define estratégias
de ação e metas junto ao cliente, intervem no relacionamento entre clientes e
fornecedores, faz a análise de concorrência, de oportunidades, de resultados e
elabora relatórios gerenciais.
28 • capítulo 2
funcional de um Website) quanto de um programador. Um webmaster não ne-
cessariamente domina tecnologias de programação, desenvolvimento e plata-
formas. Os responsáveis técnicos pelo layout e pelo sistema do site são em geral
respectivamente o Web designer e o programador. O Webmaster é a pessoa res-
ponsável por tomar as decisões quanto aos trabalhos específicos destes profis-
sionais, bem como por assessorar o proprietário do Website quanto a altera-
ções e melhorias. Algumas tarefas: gerenciar ou mesmo fazer a manutenção de
um site (atualizações e modificações do conteúdo já existente); definir regras
para o cadastro do site em buscadores nacionais e internacionais; verificar com
frequência se o site está em perfeito funcionamento; administrar um Website.
2.2.1 Gestão de TI
capítulo 2 • 29
pessoa que está sempre no meio de um confronto, sendo puxado em direções
diferentes por gerentes, clientes, vendedores, desenvolvedores e outros. Se o
trabalho estiver bem feito, ninguém perceberá sua interferência: as coisas fun-
cionam de forma fluente, o trabalho é realizado sem transtornos e todos têm o
de que precisam. Se as coisas derem errado, independentemente do motivo, a
culpa é sempre do gerente de desenvolvimento. O primeiro passo para ser bem-
sucedido está em gerir as expectativas e fazer com que todos entendam bem
suas funções. Tanto o gerente como seus colegas de trabalho precisam estar
em sintonia. Sua principal responsabilidade é fazer com que um produto seja
entregue. O objetivo é apresentar resultados para o cliente ou mercado, além
de fazer tudo o que for necessário para alcançá-los. Para atingir esse objetivo,
é necessário ter certeza de que a equipe de desenvolvimento é capaz de desem-
penhar bem o seu papel. Isso significa garantir que que as metas sejam claras,
tanto a curto como a longo prazo, e remover impedimentos. Do escopo inicial
do projeto até a implantação do produto, cada etapa é de responsabilidade do
gerente de desenvolvimento, que pode e deve delegar responsabilidades, mas
sempre verificando se as coisas estão sendo realizadas como precisa e dispon-
do-se constantemente a ajudar.
30 • capítulo 2
e solucionar todos os problemas que possam surgir; realizar o controle de qua-
lidade e assim proporcionar um nível de qualidade aceitável; cobrar de cada
membro da equipe a realização da função a ele designada e assegurar-de que
ela está sendo feita com sucesso; verificar cada etapa do projeto e, depois, pas-
sar para a fase seguinte; observar a finalização do projeto e os erros e acertos.
Temos ainda algumas qualidades que um gerente de projetos deve ter: discipli-
na e capacidade de gerenciar e coordenar um projeto; capacidade de atribuir
funções e cobrar que todas estejam sendo realizadas no prazo hábil; ter espí-
rito de liderança para fazer com que a equipe siga todas as suas designações;
ser provido de capacidade emocional para gerir uma equipe e fazer com que
ela se sinta motivada para desenvolver as atividades atribuídas. O gerente de
projetos segue a mesma linha de um administrador, trabalhando em projetos
de diversos tamanhos, cronogramas e demandas. Os objetivos do gerente de
projetos são voltados apenas para o projeto, diferentemente do administrador
que trabalha para os objetivos da empresa. Durante a execução de um projeto,
o GP se envolve no acompanhamento das tarefas realizadas pela equipe. Por
esse motivo é que uma das grandes habilidades que o GP deve possuir é saber
lidar com as pessoas e conseguir que elas desempenhem da melhor maneira
possível suas tarefas. Existem ainda softwares de acompanhamento de tarefas
– MS Project e Open Project, por exemplo – atualizados pela equipe no qual o
GP consegue identificar o nível de desempenho e cumprimento do projeto. O
papel do GP também se estende à transformação de estratégias para operações,
uma vez que o GP faz a ligação destes níveis operacionais. Isso ocorre pelo fato
de o projeto ser também uma ferramenta de criação de novos produtos e servi-
ços que possibilita às organizações uma adaptação mais eficaz às exigências do
mercado. Deve ter curso superior na área de TI e ainda certificações e/ou MBA
em Gestão de Projetos.
capítulo 2 • 31
companhias maduras, ajuda a definir estratégias empresariais, ideias, inova-
ções e a criar novos formatos de negócios. A atividade evoluiu. Hoje, o gerente
de TI explora e aperfeiçoa as tecnologias e faz a conexão entre a ferramenta e a
estratégia de negócios, ou seja, ele usa a tecnologia mais pertinente de forma
a apoiar a estratégia de negócios da organização. Com isso, ele deixa de ser um
profissional só com habilidades técnicas e passa a necessitar da capacidade de
gestão. O gerente tem que ter uma visão mais generalista das tecnologias. Ele
terá especialistas para apoiá-lo. Isto não quer dizer que o conhecimento téc-
nico seja dispensado, mas ele precisa ter uma mescla de conhecimentos. Ele
precisa ter uma formação básica, experiência e vivência razoável de projetos,
além de conhecer a tecnologia. Também é preciso ter uma visão de negócios e
estratégica. Ele gerencia as atividades da área de informática, envolvendo a ela-
boração de projetos de implantação, racionalização e redesenho de processos,
incluindo desenvolvimento e integração de sistemas, com utilização de alta tec-
nologia, identificando oportunidades de aplicação dessa tecnologia. Está sob
sua responsabilidade gerenciar os projetos em todos seus estágios; planejar e
gerenciar toda área de TI, envolvendo infraestrutura e sistemas; atuar na gover-
nança de TI e engenharia de processos; elaborar estratégias e procedimentos
de contingências, visando à segurança de dados, acessos, auditorias e à conti-
nuidade dos serviços dos sistemas de informação; coordenar os trabalhos de
suas equipes, cuidando da avaliação e identificação de soluções tecnológicas,
planejamento de projetos e entendimento das necessidades do negócio e dos
clientes; negociar com consultorias contratos para o desenvolvimento de proje-
tos ou a alocação de recursos para a realização das atividades de análise e pro-
gramação; atribuir aos membros da equipe as funções de cada um, repassando
os prazos e também orçamentos; identificar, documentar, gerenciar e solucio-
nar todos os problemas que possam surgir; realizar o controle de qualidade e,
assim, proporcionar um nível de qualidade aceitável; cobrar de cada membro
da equipe a função designada e checar se ela está sendo realizada com sucesso;
verificar cada etapa do projeto e, depois, passar para a fase seguinte, conferir
a finalização do projeto e realizar um levantamento dos erros e acertos, sendo
responsável pelo sucesso final de cada projeto. Para ter bom desempenho, é
essencial que, além da graduação, possua disciplina, capacidade de gerenciar e
coordenar um projeto, atribuir funções e cobrar dos envolvidos a realização das
tarefas em tempo hábil.
32 • capítulo 2
Gerente de infraestrutura de TIC – é o profissional que coordena as ativida-
des da infraestrutura de tecnologia da informação e comunicação da organiza-
ção, buscando melhorias contínuas nos processos e na qualidade da entrega do
serviço prestado. Ele deve manter um relacionamento estreito com os parceiros e
patrocinadores ligados a esta área, monitorando os serviços e cuidando das ativi-
dades quanto a prazos, custos e qualidade. Tem como principais responsabilida-
des coordenar e monitorar o relacionamento e os serviços dos parceiros e patro-
cinadores referentes à telefonia, telecomunicações e Internet, data center e rede
local, garantindo o cumprimento dos níveis de serviços acordados; coordenar os
serviços de infraestrutura de TI, sua operação, manutenção e melhoria contínua
de servidores, impressoras, LAN, WAN, acesso à Internet, VPN, mobilidade, soft-
wares, telefonia fixa, telefonia móvel, help desk, banco de dados, atendimento lo-
cal etc.; manter integração com a gerência de projetos, com o objetivo de acordar
e estabelecer esforços, prazos e impactos das novas soluções sobre a infraestru-
tura corporativa; reportar status periódico à gerência de TIC, incluindo níveis de
desempenho, cumprimento dos acordos de serviço, visão gerencial de progres-
sos, riscos, planos de continuidade dos negócios etc.; participar da gestão dos
contratos de serviços de infraestrutura e telecomunicações corporativas, atuando
como interface entre a gerência geral e os provedores desses serviços; coordenar a
implantação e manutenção de processos de gerenciamento de infraestrutura e te-
lecomunicações, tais como gestão de problemas, incidentes, versões, mudanças,
configurações, capacidade, disponibilidade, nível de serviço e monitoramento de
performance e falhas, visando atender aos serviços acordados; realizar a gestão da
capacidade e disponibilidade dos serviços de infraestrutura e telecomunicações
corporativas, tomando medidas para ajuste e ampliação quando necessárias; rea-
lizar a gestão de conflitos de priorização, prazo e escalonamento de demandas, ga-
rantindo o atendimento das necessidades do negócio; coordenar o NOC (Network
Operation Center), garantindo o cumprimento das metas e os indicadores de qua-
lidade da área; atuar no Comitê de Gestão de Mudanças e Problemas (caso exista)
fornecendo dados e informações sobre infraestrutura e telecomunicações corpo-
rativas; analisar riscos e vulnerabilidades de infraestrutura e telecomunicações
corporativas, bem como propor e acompanhar a implementação de soluções para
mitiga-los; realizar a gestão do orçamento relacionado às atividades de infraestru-
tura e telecomunicações corporativas para a organização, zelando pela excelência
de ações em termos de prazos, custos e qualidade.
capítulo 2 • 33
Diretor de TIC – CIO – é o profissional responsável por dirigir a implementa-
ção do Plano Diretor de Tecnologia da Informação e Comunicação, um instru-
mento de diagnóstico, planejamento e gestão dos recursos e processos de tec-
nologia da informação que visa atender às necessidades de informação de um
órgão ou entidade para um determinado período. Com a crescente importância
da TIC para os negócios das organizações, a exemplo do gerente de TIC, este pro-
fissional explora e aperfeiçoa as tecnologias e faz a conexão entre a ferramenta e
a estratégia de negócios, ou seja, ele usa a tecnologia mais apropriada de forma
a apoiar a estratégia de negócios da organização, necessitando, para tanto, de
uma alta capacidade de gestão, conhecimento e visão estratégica do negócio. Ele
coordena a implementação desse plano, observando cronogramas, prioridades e
orçamentos aprovados. Está sob sua responsabilidade dotar a empresa de siste-
mas e recursos existentes no mercado, por meio do contínuo acompanhamento
de novos lançamentos e do aprimoramento dos hardwares e softwares já exis-
tentes; planejar, coordenar, gerir e supervisionar os projetos de desenvolvimento
e manutenção de sistemas, comunicação de voz e dados, rede elétrica estabili-
zada, rede convergente com e sem fio (onde a amplitude geográfica é cada vez
maior), mobilidade, infraestrutura computacional, serviços de atendimento de
informática e demais atividades de tecnologia da informação; promover ações
visando garantir a disponibilidade, a qualidade e a confiabilidade dos processos,
produtos e serviços de tecnologia; acompanhar e avaliar a elaboração e execução
dos planos, programas, projetos e as contratações estratégicas de tecnologia da
informação e comunicação; estabelecer e coordenar a execução da política de
segurança de tecnologia da informação. Para que este profissional tenha bom
desempenho, além da graduação é essencial que possua cursos de MBA e afins,
com amplo conhecimento de TIC, de gerenciamento das informações geradas
e distribuídas nos mais diversos dispositivos de armazenamento, nas mais dife-
rentes possibilidades (local, datacenter, nuvem) de redes de computadores etc.
2.2.2 Governança de TI
34 • capítulo 2
empresa, já que essa é uma profissão com muitos encargos administrativos. Deve
desenvolver o plano de implementação da governança de TI, gerando transpa-
rência às informações financeiras da empresa dentro de um sistema informati-
zado. Deve também definir políticas de segurança, evitando possíveis fraudes e
vazamentos de informação, o que faz com que profissionais de TI que já tenham
experiência em segurança da informação tenham facilidade em ingressar nessa
área. É uma atividade de cunho preventivo e moralizador dentro do padrão ope-
racional da empresa. O profissional apontará falhas na eficiência da empresa,
gerando oportunidade de melhorias significativas na produtividade. Em razão
das novas tecnologias, o profissional deve estar sempre bem atualizado e à frente
das inovações, de forma a garantir uma auditoria sempre eficiente e reservar seu
lugar no mercado, que é a cada dia mais concorrido. As principais atividades são:
analisar a eficiência dos recursos computacionais, ou seja, se eles estão adequa-
dos às tarefas que a empresa precisa atender. Esses recursos englobam o hardwa-
re, o software e pessoas. A constatação da eficácia dos sistemas faz com que es-
tes atendam adequadamente às necessidades dos usuários internos e externos;
atestem a segurança física e lógica do ambiente do sistema de informação e asse-
guram confiabilidade a quem os utiliza. É a área ideal para pessoas perfeccionis-
tas e que têm facilidade para detectar erros. A necessidade global de referências
nesse assunto, para o exercício dessa profissão, promoveu a criação e desenvolvi-
mento de melhores práticas como COBIT, COSO, ISO 27001 e ITIL. Atualmente,
a certificação CISA – Certified Information Systems Auditor, oferecida pela ISACA
– Information Systems and Control Association – é uma das mais reconhecidas e
avaliadas por organismos internacionais, já que o processo de seleção consta de
uma prova extensa que requer conhecimentos avançados, além da experiência
profissional e da necessidade de manter-se sempre atualizado, por meio de uma
política de educação continuada (CPE), na qual o portador da certificação deve
acumular carga horária de treinamento por período estabelecido. A formação
acadêmica do auditor de sistemas por esses motivos acaba sendo multidiscipli-
nar: sistemas de informação, ciência de computação, administração com ênfase
em TI, advocacia com foco em direito da informática – direito digital e correlatos.
capítulo 2 • 35
a segurança das informações da empresa. Dentre as exigências para ocupar o
cargo, está o conhecimento dos seguintes padrões e normas: ISO/IEC 27001,
27002, 27005; ISO Guide 73; Nist 800-30; Sarbanes Oxley (SOX); Cobit; ITIL. De
forma geral, este profissional tem as seguintes atividades: promover a cultura
de segurança da informação e comunicações; acompanhar as investigações e
as avaliações dos danos decorrentes de quebras de segurança; propor recursos
necessários às ações de segurança da informação e comunicações; coordenar o
Comitê de Segurança da Informação e Comunicações e a equipe de tratamento e
resposta a incidentes em redes computacionais; realizar e acompanhar estudos
de novas tecnologias, quanto a possíveis impactos na segurança da informação e
comunicações; manter contato direto com o DSIC para o trato de assuntos rela-
tivos à segurança da informação e comunicações; propor normas relativas à se-
gurança da informação e comunicações. As principais disciplinas relacionadas à
SIC são: Segurança em Recursos Humanos – tem como objetivo reduzir os riscos
de erro humano, roubo, fraude, uso, acesso e divulgação indevidos dos ativos de
informação; estabelecer responsabilidades sobre a segurança da informação;
abranger a fase de recrutamento, que inclui contratos de trabalho, duração do
trabalho e desligamento de pessoal; estudar os motivos que levam as pessoas a
realizar quebras de SIC; Segurança física e do ambiente – busca a proteção do
acesso às áreas restritas, aos equipamentos de segurança e dos controles gerais;
gerenciamento de operações e comunicações – diz respeito a atividades, proces-
sos, procedimentos e recursos que visam disponibilizar e manter serviços, siste-
mas e infraestrutura que os suporta, satisfazendo os acordos de níveis de serviço;
segurança no desenvolvimento de aplicações – tem como objetivo desenvolver
um software sem vulnerabilidades, que funcione da forma esperada e que não
comprometa a segurança de outros requisitos do software, do seu ambiente e as
informações manipuladas por ele; auditoria e conformidade – atividade estru-
turada que tem por objetivo examinar criteriosamente a situação dos controles
de segurança da informação; infraestrutura de TI – está relacionada à segurança
das instalações prediais (energia, climatização e acesso físico), dos computado-
res e equipamentos, software, redes e telecomunicações, sistemas de armazena-
mento e recuperação de dados (arquivos e storage) e aplicações computacionais;
governança de TI: – critérios de segurança da informação pertinentes ao geren-
ciamento de todos os aspectos da tecnologia da informação e comunicação que
se relacionam diretamente com os objetivos de negócio; criptografia e infraes-
trutura de chaves públicas – conjunto de técnicas que visam garantir o sigilo e a
36 • capítulo 2
integridade de informações e sistemas; gestão de continuidade no serviço públi-
co – este processo fornece uma estrutura para que se desenvolva uma resiliên-
cia organizacional que seja capaz de responder efetivamente e salvaguardar os
interesses das partes interessadas, a reputação e a marca da organização, suas
atividades, serviços e ativos de informação no caso de um impacto na instituição;
tratamento e classificação da informação; gestão de ativos de informação
2.3.1 Infraestrutura
capítulo 2 • 37
ambiente data center. Está sob sua responsabilidade realizar manutenção da
rede Windows e Linux, responder pela elaboração e execução de projetos VoIP
com QOS e integração com PABX, gerenciar e configurar Firewalls, Routers
e Switches, responder pelo gerenciamento de servidores (AD, DNS, FTP, File
Server, DHCP, DNS e etc.), de programas de antivírus, prevenir invasões físicas
e lógicas, atuar na administração LAN e WAN, na configuração e administra-
ção de ferramentas de monitoria, fazer a solução de problemas relacionados,
desenvolver soluções de conectividade e servidores, projetos de conectividade
WAN com serviços centralizados em data center, VoIP, atuar na ação de ser-
vidores com software de virtualização e sistemas gerenciadores de banco de
dados (SGBD), realizar configuração de VPN, de Proxy Server, atuar no atendi-
mento a usuários e na configuração da estrutura de rede, prestar atendimento
a usuários remotos, presenciais e nos serviços de telefone suporte a desktops,
impressoras, WIFI, scanner e links de dados Troubleshooting em servidores de
e-mail, arquivos, aplicação e impressão, abrir e registrar incidentes e proble-
mas no sistema de help desk, criar e manter ambiente atualizado, inventariado
e organizado, fazendo monitoramento no ambiente local da organização. Para
que este profissional tenha bom desempenho, além da graduação é essencial
que possua conhecimentos em Windows, Linux, redes TCP/IP, comunicação
de dados e interligações de redes, serviços de rede Proxy, Firewall, DNS, WINS,
servidores de páginas (HTTP), servidores para transferência de arquivos (FTP),
servidores de e-mail (SMTP, POP3, IMAP), servidores de autenticação, active
directory, serviços de monitoramento de tráfego e redes de computadores e
conhecimentos em Intranet, Internet e Extranet, em redes wireless e telefonia.
No aspecto pessoal, este profissional deve ser dinâmico e ter interesse em bus-
car alternativas técnicas e gerenciais. Deve ser confiável, prestativo e possuir
facilidade de comunicação com seus usuários, além de funcionar como me-
diador perante o gerente de infraestrutura ou superior, nas questões técnicas
e administrativas da rede. É fundamental que, devido às mudanças e aos avan-
ços que a tecnologia sofre em curto espaço de tempo, o profissional se mante-
nha sempre atualizado. Cursos de pós-graduação e certificações pertinentes
são muito bem vistos nessa área.
38 • capítulo 2
trabalha. Algumas das principais funções do administrador de sistemas são:
diagnosticar erros nos sistemas; instalar e dar manutenção aos diferentes sis-
temas; programar scripts e programas de pouca complexidade; realizar cópias
de segurança (backup) de dados importantes; gerir as contas dos usuários; re-
solver problemas de sistemas; garantir a segurança dos servidores e de outros
sistemas; otimizar o desempenho dos sistemas; assegurar o funcionamento
correto e desejado dos sistemas. É importante salientar que, à semelhança de
outros profissionais da área, o administrador de sistemas acaba por reunir e até
utilizar competências que não são do âmbito do seu trabalho.
2.3.2 Suporte
capítulo 2 • 39
(telefone, e-mail, chat, redes sociais e fórum) e um sistema de gerenciamento
de incidentes que é apoiado por uma base de conhecimento. O operador ou
analista de help desk é um profissional da área de TIC que não precisa ter co-
nhecimentos profundos no assunto em questão, já que são apoiados por um
sistema que usa uma base de conhecimento de forma similar à atividade de
um especialista. Este profissional procura resolver o problema sem precisar se
deslocar até o local de origem do problema. Estes atendimentos são chamados
de atendimento de nível 1, já que, quando o problema não é resolvido desta
forma, um profissional de nível 2 ou superior, ou seja, com mais conhecimento
será designado a atender pessoalmente o originador do chamado. Com o ama-
durecimento do setor e o surgimento das melhores práticas de atendimento
dos chamados, ele evoluiu para service desk, cujo objetivo é prover os usuários
de TIC de um ponto único de contato, vital para uma comunicação efetiva entre
os usuários e as equipes de TI. A missão principal do service desk é o restabe-
lecimento da operação normal dos serviços dos usuários o mais rápidamente
possível, minimizando o impacto nos negócios causados por falhas de TI. Para
um provimento de serviços de service desk com qualidade, ele deve utilizar as
melhores práticas baseadas em ITIL ou em outras metodologias de mercado,
necessitando de profissionais com estas certificações. Para que sejam alcan-
çadas todas as expectativas do cliente, interno ou externo, deve-se estabelecer
acordos de nível de serviço (SLA). O SLA é que definirá em quanto tempo e de
que forma o serviço será prestado.
Analista de service desk / help desk – o service desk é a evolução do help desk,
porque agrega em si mais qualidade e abrangência. O service desk em si é um
centro de registro de entrada e saída de pedidos de assistência por parte dos
clientes de determinada empresa. Dessa forma, a função de um analista de ser-
vice desk é proceder ao entendimento do cliente, registrando a sua solicitação
e fazendo o tratamento pertinente, para que este receba a assistência preten-
dida o mais rapidamente possível. Este profissional é de extrema importância
para o bom funcionamento da empresa, dado que, por meio dele, a corporação
tem conhecimento das dificuldades sofridas pelo cliente com o serviço, bem
como, por meio dele, o cliente recebe suporte para a resolução de problemas
nos serviços prestados pela empresa. A demanda para analistas de service desk
é sempre alta, uma vez que existem sempre empresas alargando as suas linhas
de atendimento assim como empresas criando os seus centros de service desk.
40 • capítulo 2
Analista de storage – o analista de storage trabalha diretamente com “redes de
área de armazenamento” (em inglês storage area network, cuja sigla é SAN), que
agrupam dispositivos de armazenamento de dados de vários computadores. As
SANs são projetadas para comportar grande tráfego de informações e utilizadas
por várias empresas que necessitam de uma rede computacional rápida e segu-
ra. Os analistas de storage desempenham uma função vital dentro das empresas
que dependem dessas redes, pois mantêm as SANs em perfeito funcionamento,
garantindo assim que os dados possam ser acessados em qualquer momento em
que forem necessários. Dentre as atividades desempenhadas estão a administra-
ção das redes, o suporte a seus usuários, a análise de performance e da capaci-
dade das SANs. É desejável ao candidato a analista de storage conhecimento de
sistemas operacionais (Linux, Windows etc.) bem como certificações emitidas
por empresas especializadas em SANs. Como em qualquer área ligada à tecnolo-
gia da informação, a formação constante, por meio de cursos de especialização,
também é um diferencial importante. Procuram-se profissionais com formação
na área de tecnologia da informação, especialmente em cursos como ciência da
computação. O curso superior têm duração de pelo menos quatro anos e os alu-
nos têm oportunidade de estagiar em empresas especializadas em SANs.
capítulo 2 • 41
suporte para o desenvolvimento de sistemas específicos (ex.: integração entre a
telefonia e a base de dados – CTI) e realizar visitas aos diversos sites da corpo-
ração. Ele planeja, ainda, a utilização de redes LAN, WAN, Internet, Intranet e
os diversos protocolos utilizados como Frame-Relay, ATM, MPLS, PPP e X.25.
O profissional pode também analisar projetos de telecomunicações e fornecer
suporte técnico e operar sistemas que envolvam fibras ópticas, antenas e satéli-
tes. É o responsável pelas adequações das instalações e infraestrutura existentes,
pelo monitoramento do backbone (termo utilizado para identificar a rede princi-
pal pela qual os dados corporativos passam, como se fosse a “espinha dorsal” da
rede), das redes de transporte, comunicação de voz, dados e imagem, de acordo
com indicadores técnicos estabelecidos, realizar configuração de equipamentos,
escalonamento de problemas e incidentes críticos em cenário de crise, trouble-
shooting e follow up para os usuários e direção, monitorar o acompanhamento
de circuitos e servidores, a fim de evitar indisponibilidades no ambiente.
42 • capítulo 2
3
Tipos de Sistemas
de Informação –
Arquiteturas
A história da informática mostra a evolução dos sistemas de informação: tanto
o hardware quanto o software.
Os primeiros computadores eram grandes máquinas chamadas de main-
frame, que permitiam que muitos usuários utilizassem seu grande poder de
processamento.
Uma grande personalidade da informática é Thomas J. Watson, chairman1
da IBM que em 1943 fez um célebre pronunciamento:
– Eu acho que o mercado mundial deve ser atendido por 5 computadores.
Existe uma grande polêmica na veracidade desta frase, mas o que podemos
tirar de lição desta afirmação é que a IBM, na década de 1970, abandonou o pro-
jeto dos personal computers (PC’s), pois não acreditava que eles seriam o futuro
da informática. Hoje, olhando para o mundo, vemos que esta predição estava
meio desembasada, tanto a de colocar o projeto dos PC’s em domínio público
quanto a do tamanho do mercado de computadores.
Com o advento dos microcomputadores e a interligação destes computado-
res em rede, criou-se um novo horizonte de desenvolvimento. Os computado-
res viraram eletrodomésticos e seus sistemas se espalharam: a era dos sistemas
independentes e da arquitetura cliente – servidor. Também não podemos dei-
xar de citar os banco de dados relacionais. Nesta época, um sistema de informa-
ção nada mais era do que um programa de computador que se comunicava com
um banco de dados relacional.
Na década de 1990, a Internet estabeleceu novos rumos para o desenvolvi-
mento de sistemas, mas não descartou-se nada do que foi feito. Alguns siste-
mas migraram, mas outros apenas fazem consultas a eles.
Hoje, estamos iniciando uma nova era. Nesta década de 2010, vemos os
computadores domésticos perdendo força e os aplicativos para dispositivos
móveis tornando-se cada vez mais presentes. Se observarmos bem, estamos
indo na direção prevista por Thomas Watson, pois, com o conceito de nuvem e
com a possibilidade de acessar os dados de qualquer lugar, não nos interessa
mais saber quem e onde os dados estão sendo processados, mas sim que este
1 é o mais alto representante de um grupo, empresa ou corporação.
44 • capítulo 3
serviço está sendo oferecido. A diferença é que não serão 5 computadores. A
arquitetura dos computadores evoluiu em outra direção, mas os serviços não.
Temos hoje grandes datacenters responsáveis pelo processamento de petaby-
te's (PB) de informações.
3a PLATAFORMA
Nuvem – Big Data – Redes Sociais
Bilhões de usuários Milhões de APPs
2a PLATAFORMA
Cliente / Servidor
Centenas de milhões de usuários Dezenas de milhares de APPs
1a PLATAFORMA
Mainframes
OBJETIVOS
• Identificar os sistemas de informação existentes e que ainda são utilizados;
• Entender a importância dos sistemas legados
• Entender os sistemas stand alone
• Apresentar a arquitetura cliente servidor
• Entender a arquitetura dos sistemas web
• Entender a importância dos aplicativos dos dispositivos móveis
capítulo 3 • 45
3.1 Sistemas legados
Olhando para a história da informática, muitos sistemas foram desenvolvidos
para grandes empresas: sistemas caros, complexos, com banco de dados da
época, desenvolvidos para os computadores mainframes. Só que estes sistemas
são extremamente estáveis e atendem até às demandas atuais.
O que fazer com estes sistemas? O custo para desenvolver novos sistemas
e abandonar os antigos é muito grande, então eles foram classificados como
sistemas legados e continuam rodando.
Estes sistemas fornecem serviços essenciais, mas têm difícil manutenção.
Se procurarmos uma definição formal do termo sistema legado, certamente
será difícil de encontrar. Por isso, serão apresentadas suas características.
• Sistema antigo cujo processamento foi e ainda é importante para a em-
presa. Ele representa um legado. O importante é que ainda está em operação e
desempenha funções vitais da empresa.
• Outra característica é que eles funcionam em hardwares obsoletos, prin-
cipalmente nos mainframes, cujos componentes são extremamente caros e ra-
ros. Estes sistemas utilizam linguagens como COBOL, banco de dados e forma-
tos de arquivos obsoletos.
• A manutenção nestes sistemas é semelhante a um trabalho de restaura-
dor histórico. De forma analógica, colocar a mão nestes sistemas é como co-
locar a mão em um vespeiro. Geralmente, os profissionais que desenvolveram
estes sistemas já se aposentaram ou estão em processo de aposentadoria.
• A documentação destes sistemas é falha, como na maioria dos sistemas.
O problema é que identificar as regras de negócio implementadas não é uma
tarefa simples.
46 • capítulo 3
controlavam e automatizavam pequenos negócios. Com um computador e um
software, muitos problemas eram resolvidos.
Muitos destes controles eram feitos em planilhas eletrônicas ou até mesmo
em editores de texto. Os sistemas simples entraram como solução de TI para
melhorar os processos da empresa e dar possibilidades de crescimento para o
negócio.
capítulo 3 • 47
pode ser compartilhado pelos computadores conectados à rede – um arquivo
de disco rígido ou uma impressora são exemplos comuns. Podemos chamar
estes periféricos compartilhados de servidores (um servidor de arquivos e um
servidor de impressão, no exemplo). O nome servidor foi utilizado porque estes
periféricos recebem requisições de serviços dos computadores da rede. O mo-
delo de processamento cliente-servidor é uma extensão natural do processo de
compartilhamento de periféricos.
O termo servidor é aplicado a qualquer programa que oferece um serviço
que pode ser alcançado através de uma rede de computadores. Um servidor re-
cebe requisições pela rede, processa o serviço e retorna o resultado para quem
o requisitou – o cliente.
Um programa se torna um cliente quando ele solicita um serviço a um
determinado servidor e aguarda a resposta. A utilização do modelo cliente-
servidor retrata a facilidade de comunicação entre processos, que pode acon-
tecer em uma única máquina ou em um sistema distribuído, ou seja, em vá-
rias máquinas.
No modelo cliente-servidor, o processamento de uma aplicação pode ser
dividido entre o cliente e o servidor. O cliente inicia o processo e o controla par-
cialmente. Tanto o cliente quanto o servidor trabalham em cooperação para
alcançar os objetivos desejados. Podemos mencionar cinco requisitos necessá-
rios neste tipo de arquitetura. São eles:
– Sistema de comunicação robusto entre clientes e servidores
– Interação cooperativa entre cliente e servidor, iniciada pelo cliente
– Distribuição do processo entre o cliente e o servidor
– Controle do servidor sobre os dados ou os serviços que um cliente
pode pedir
– Solução pelo servidor dos conflitos nos requisitos dos clientes.
48 • capítulo 3
devem ter características de hardware e software que permitam oferecer requi-
sitos mínimos de disponibilidade e desempenho, o que influencia o parâme-
tro custo. O modelo cliente-servidor é largamente utilizado em redes locais nas
quais o desempenho e a administração centralizada são importantes.
CLIENTE SERVIDOR
SOLICITAÇÃO
PÁGINA WEB
Browser
Servidor
Web
capítulo 3 • 49
3.4 Sistemas Web
O desenvolvimento de sistemas evoluiu na direção da Internet com seus servi-
ços, descritos no capitulo 5.2. Esta evolução chegou tão forte no mercado que
os computadores passaram a ser comparados a navegadores e até netbook’s
foram lançados no mercado. Estes computadores eram arquiteturas voltadas
à utilização da Internet. Um pequeno notebook apresentava pequeno poder de
processamento e boa conexão com a Internet.
Os sistemas Web funcionam nos navegadores ou utilizam os clientes Web
para funcionar. Podem ser entendidos como sistemas que utilizam a Internet
com acesso público ou restrito. O principal ganho que se tem ao se projetar
um sistema Web é que os usuários que já estão ambientados na navegação na
Internet não terão problemas em entender o funcionamento do sistema. Os re-
cursos de funcionamento do sistema são mais intuitivos e fazem parte do ope-
racional do usuário.
Como a Internet se faz valer do modelo cliente-servidor, os sistemas Web
também possuem esta divisão. Existirá um lado cliente e o outro lado chamado
de servidor.
O lado cliente do sistema é responsável pela interface com o usuário. Ela
coleta os dados e entrega as informações desejadas aos usuários. Deve ser
projetada e desenvolvida por profissionais de designer, que levarão em con-
ta as necessidades do usuário. Neste ambiente, utilizamos o HTML e CSS ou
até Javascript.
O lado servidor do sistema é responsável pelo processamento e persistência
dos dados. Esta parte do software é realizada por programadores Web que de-
senvolvem sistemas do lado do servidor, valendo-se de linguagens como ASP,
JSP, Servlet ou até mesmo PHP.
Com o advento dos dispositivos móveis, os serviços dos sistemas Web estão
migrando para disponibilizar suas entregas pelos Webservices, o que permite
aos usuários consumirem estas informações em qualquer mídia, seja nos na-
vegadores tradicionais, seja nos dispositivos móveis por meio dos aplicativos
ou dos dispositivos que ainda não conhecemos.
Os sistemas Web fazem com que o local onde se armazenam os dados não
mais sejam relevantes. Não interessa mais aos usuários onde os serviços estão
50 • capítulo 3
sendo oferecidos, mas sim que a conexão de comunicação entregue as informa-
ções necessárias solicitadas. Este conceito de software é definido com sistema
em nuvem – cloud.
capítulo 3 • 51
Os dispositivos móveis estão evoluindo a cada dia e novos lançamentos de
hardware são lançados todos os dias.
Quais são as características de um App? Seu aplicativo deverá atender aos
seguintes tópicos:
• Conte uma grande história
• Ao desenvolver uma aplicação, ela deve estabelecer uma conexão
emocional com seu usuário – quando você usa um ótimo aplicativo, você se sen-
te bem, inspirado. Para isso, pense em:
• O que seu aplicativo faz?
• Quem são seus usuários?
• Onde seu aplicativo será utilizado?
• Defina o estilo da sua aplicação.
• Para isso, responda às seguintes perguntas:
• Que tipo de App você está desenvolvendo?
• Que tipo de conteúdo você tem?
• Use animações nas transições de telas – dar realismo.
• Quais são as principais características da sua aplicação?
• Desenvolva um protótipo e explore-o bastante.
• Qual a qualidade do seu aplicativo?
52 • capítulo 3
4
Meios de
Armazenamento
Os computadores, além de processar os dados em informação, também os ar-
mazenam. Este armazenamento é feito na memória do computador. Quais são,
então, as memórias do computador e como podemos classificá-las?
Os computadores funcionam no modelo Entrada -> Processamento ->
Saída. Os dados entram, são manipulados ou processados pelo computador
e geram informações. O que seriam estes dados e informações? Dado é o que
entra e a informação é o dado processado, correto? Sim, está correto. O que é o
dado? Uma cor, um comando, uma foto, qualquer coisa que queremos manipu-
lar pode ser vista como um dado.
O que isso tem a ver com os meios de armazenamento? O que armazena-
mos? Dados, informações? Isso mesmo! Armazenamos dados e/ou informa-
ções. Tudo que precisa ser guardado para ser utilizado em outro momento deve
ser armazenado.
Muito bem, já sabemos o que precisa ser armazenado. Só que, quando olha-
mos para o hardware do computador, vemos que o computador só entende 0 ou
1, que chamamos de bit, a menor porção do computador. Como pode a foto ser
representada por estes 0's e 1's?
Bom, para entender isso, precisamos olhar um pouco mais para o hardware,
sem entrar muito em detalhes. A entrada do computador na verdade não é um
fio que pode levar um bit. Esta entrada é um conjunto de bits, que chamamos
de palavra do computador. Cada computador tem um tamanho de palavra dife-
rente. Hoje, os computadores possuem 64 bits, o que quer dizer que a palavra
deste possui 64 fios que podem estar ligados ou desligados. Até pouco tempo
atrás, os computadores pessoais eram de 32 bits. Esta característica física dos
computadores identifica o poder de representação dos símbolos que cada pla-
taforma possui.
E o byte, onde entra? Byte é a unidade de medida do computador. Ahhh,
1 byte são 8 bits. Como assim? Por quê? Foi definido que um byte são 8 bits,
porque a IBM1 criou o código EBCDIC na década de 60. Com o sucesso dos com-
putadores IBM, padronizou-se o byte desta forma. Pelo Sistema Internacional
54 • capítulo 4
de unidades (SI) e pela Comissão Eletrotécnica Internacional (IEC), temos os
seguintes multiplicadores:
OBJETIVOS
• Identificar os tipos de meios de armazenamento;
• Entender a diferença entre memória principal e memória auxiliar
• Identificar os tipos de armazenamento em Sistemas de Arquivos e em Banco de dados.
capítulo 4 • 55
4.1 Tipos de memória do computador
Na figura 1, temos um resumo dos meios de armazenamento dos computado-
res. Eles devem ser classificados como persistentes ou não, tempo de acesso e
seu custo por byte.
Registradores
da CPU
CACHE
Velocidade
Nível 2
Temporário
RAM
Memória Memória
Física Virtual
Dispositivos de armazenamento
Persistente Discos Discos Solid Outros
rígidos removíveis state (SSD) ...
56 • capítulo 4
velocidade. De acordo com o princípio da localidade, tendemos a utilizar os
mesmos programas. Para isso, quando um bloco de informações vem da RAM
para o processador, ele é armazenado no cache para futuras utilizações.
Agora chegamos à memória RAM – random access memory. Podemos dizer
que é o local onde todos os programas para serem executados precisam estar. É
a memória física do computador. Ela fala diretamente com o processador, atra-
vés de conexões ou barramentos. É rápida, mas não tanto como as anteriores.
Seu tempo de acesso é na casa de nano segundo, que significa 10-9s. Podemos
variar o seu tamanho, comprando mais réguas de memórias, como mostrado
na figura 2.
Sua principal característica é ser volátil, o que significa que seu conteúdo
não persiste ao desligarmos o computador. No jargão popular, quando desli-
gamos o computador ou ele deixa de ser energizado, todas as informações ali
armazenadas serão perdidas.
Como todo programa que está executando precisa estar na memória prin-
cipal e, muitas vezes, ela é cara, muitos utilizam uma parte da memória auxi-
liar para se comportar como principal. Chamamos este mecanismo de memó-
ria virtual. É destinar um espaço do disco ou da memória auxiliar para ser a
memória principal. Este processo impacta na velocidade ou na performance
dos computadores.
Depois da memória principal, chagamos à memória auxiliar. A principal ca-
racterística é que estas memórias são persistentes, quer dizer, ao desligar, as
informações não se perdem. Estes dispositivos têm capacidade de armazena-
mento muito maior que a memória RAM, mas o tempo de acesso está na casa
de milisegundo (10-3s). O mais famoso destes dispositivos é o chamado dis-
co rígido. Hoje, os dispositivos de estado sólido (solid state drive – SSD) estão
capítulo 4 • 57
ganhando terreno, pois são bem mais rápidos que os discos convencionais,
mas mesmo assim não se comparam com a velocidade da memória RAM.
Pen Drive, Cartão SD, CD ROM, DVD entre outros que não usamos mais
também são tipos de memórias auxiliares. Junto com os discos e os solid states,
armazenam grandes massas de informações por um custo baixo, comparado
com a memória RAM.
Como organizar esses arquivos? Para isso, existem os sistemas de arquivos, que
são formas de organizar e gerenciar esta grande massa de dados armazenada.
Através do sistema de arquivo, o sistema operacional irá saber ler e escrever os
dados no dispositivo.
Podemos entender um sistema de arquivos como uma grande biblioteca,
onde guardamos os livros em prateleiras. Pense nos arquivos como os livros e
as estantes e prateleiras como as pastas ou diretórios.
58 • capítulo 4
Organizar seus arquivos não é uma tarefa fácil. Veja como estão armazena-
dos suas músicas e suas fotos. Saber onde elas estão e quais as regras que foram
desenvolvidas para organizá-los irá ajudá-lo bastante na hora que você precisar
ou querer consultar uma informação a esse respeito.
Uma outra forma de armazenar dados é nos banco de dados. São programas
desenvolvidos para armazenar e gerenciar estes dados. Também se fazem valer
dos arquivos para guardar as informações, mas, para o usuário, os dados ficam
armazenados todos agrupados.
Os sistemas de informação utilizam o banco de dados para gerenciar as em-
presas nas soluções propostas.
Os bancos de dados foram desenvolvidos para prover acesso facilitado aos
dados e dar maior confiabilidade ao seu armazenamento. Sabendo que os da-
dos são as coisas mais importantes de sua empresa, eles deverão ser manipula-
dos da forma mais segura possível.
Existem vários tipos de bancos de dados, desde os hierárquicos, os famosos
bancos relacionais, até os objetos relacionais entre outros.
capítulo 4 • 59
as operações de decisão, a vantagem competitiva, o custo de operação, a admi-
nistração do fluxo da informação, os valores quantitativos e a segurança.
Como desvantagens temos a complexidade de desenvolvimento, o tempo
para obter as informações, o alto custo de desenvolvimento, a administração e
o treinamento das pessoas envolvidas.
60 • capítulo 4
5
Infraestrutura
O principal objetivo deste capítulo é apresentar os conceitos básicos para a
compreensão da infraestrutura da TI no que tange à comunicação entre os
computadores. Esta área da TI é chamada de redes de computadores. Este capí-
tulo apresenta, inicialmente, uma visão geral dos principais conceitos e termos
aplicados às redes de computadores.
As redes de computadores podem ser classificadas de diversas formas. Este
capítulo apresenta os conceitos de redes locais, metropolitanas e distribuídas,
redes cabeadas e sem fio, redes ponto a ponto e multiponto, além de redes co-
mutadas por circuito e pacotes. São apresentados o modelo cliente-servidor e
os principais serviços oferecidos pelas redes de computadores, com ênfase aos
serviços oferecidos pela Internet.
OBJETIVOS
• Identificar o que é Inra Estrutura e entender a sua importância;
• Entender os atores que atuam nesta área;
• Entender os serviços da Internet;
• Identificar os principais protocolos de comunicação para redes.
62 • capítulo 5
5.1 Redes de computadores
Uma rede de computadores é um conjunto de dispositivos interconectados
com a finalidade de trocar informações e compartilhar recursos. No passado,
uma rede era formada por dispositivos tradicionais como os computadores de
grande porte e os computadores pessoais. Hoje, o termo computador tem um
significado mais amplo, incluindo dispositivos como impressoras, telefones
celulares, televisões ou qualquer dispositivo que tenha a capacidade de proces-
samento de dados (figura 5.1). No caso da Internet, a rede é formada por um
conjunto de dispositivos chamados hosts.
Telefone Laptop
celular
PC
Supercomputador Impressora Servidor
1 2 3
4 5 6
7 8 9
Telefone Terminal
* 8 #
capítulo 5 • 63
melhorar seu relacionamento com os cidadãos como, por exemplo, a entrega
do imposto de renda.
O correio eletrônico é um bom exemplo de aplicação que permite a troca
de informações de forma eficiente e com baixo custo. Quando enviamos um
e-mail, independentemente do local onde o destinatário está fisicamente lo-
calizado e do tempo de entrega, que pode variar um pouco (talvez alguns mi-
nutos), o custo é o mesmo, isto é, não sofre variações. Comparado ao correio
tradicional, uma carta pode levar alguns dias ou semanas para ser entregue e o
custo de envio da carta dependerá da localização do destinatário.
O segundo motivo para a crescente necessidade das redes de computado-
res é o compartilhamento de recursos de hardware e software. Com uma rede,
é possível compartilhar recursos como impressoras, conexões a outras redes,
espaço em disco e até mesmo processadores, gerando economia de recursos
e, consequentemente, redução de custos. Uma impressora, por exemplo, pode
ser compartilhada por vários usuários de diferentes departamentos. Uma insti-
tuição de ensino pode compartilhar sua conexão com a Internet entre os diver-
sos alunos, professores e funcionários. Um supercomputador em um centro de
pesquisas pode ser utilizado para processar aplicações científicas submetidas
por outras instituições através da rede.
Apesar dos benefícios indiscutíveis trazidos pela Internet, existem alguns
problemas que merecem ser comentados. Uma questão importante é quanto
ao problema de segurança no uso da rede. A distribuição de vírus e variantes,
a invasão de sites para diversos fins, pedofilia, chantagem, difamação e crimes
financeiros são apenas alguns exemplos de como a rede é insegura. Uma outra
questão muito importante diz respeito à utilização indevida de textos digitais,
como livros e artigos, música e imagens digitais, como filmes e fotografia, vio-
lando direitos autorais.
64 • capítulo 5
O canal de comunicação define uma série de características da transmissão
como, por exemplo, o meio de transmissão, ou seja, cabo coaxial, par trançado,
fibra óptica, micro-ondas ou satélite (figura 5.2).
Canal de
Comunicação
capítulo 5 • 65
de trânsito, que devem ser respeitadas pelos motoristas para chegar com segu-
rança ao destino.
Existem diversos protocolos relacionados à comunicação de dados e redes de
computadores e cada um possui uma função específica. A tabela 5.1 apresenta
alguns protocolos utilizados no acesso à Internet através de uma linha telefônica
comum. O TCP e o IP são dois dos muitos protocolos utilizados na Internet. Por
serem considerados os mais importantes, o termo TCP/IP é utilizado como for-
ma de referenciar todos os protocolos que fazem parte do modelo Internet.
PROTOCOLO DESCRIÇÃO
V.92 Utilizado por modens para conexões discadas.
66 • capítulo 5
Modelo de Modelo Modelo
cinco camadas Internet OSI
7 Aplicação
5 Sessão
2 Enlace 2 Enlace
1 Acesso
à rede
1 Física 1 Física
Camada de
HTTP
Aplicação
Camada de
TCP
Transporte
Camada
IP
de Rede
Camada
PPP
de Enlace
Camada
V.92
Física
capítulo 5 • 67
Serviços de rede
A maioria dos usuários, quando utiliza a rede, desconhece os detalhes do
seu funcionamento, embora o canal de comunicação, as interfaces e os proto-
colos sejam completamente transparentes. Os usuários estão interessados em
usufruir dos serviços oferecidos pela rede. Um serviço é uma funcionalidade da
rede disponível de forma transparente para seus usuários e aplicações. As redes
oferecem inúmeros serviços, como acesso a Web, correio eletrônico, transfe-
rência de arquivos, terminal remoto e videoconferência.
Para exemplificar os conceitos apresentados, vejamos o exemplo do serviço
de telefonia quando duas pessoas (João e Maria) falam ao telefone. Nesse exem-
plo, João utiliza o telefone como interface para fazer a ligação para Maria, utili-
zando a rede de telefonia como canal de comunicação. João utiliza protocolos
para discar e aguardar que Maria atenda e esta, por sua vez, utiliza protocolos
para atender a ligação, identificar-se e conduzir a conversa. Terminada a con-
versa, João e Maria utilizam protocolos para encerrar a ligação. Se ambos não
utilizarem os protocolos corretos e, por exemplo, falarem ao mesmo tempo, a
comunicação apresentará problemas e um não entenderá o que o outro falou
(figura 5.5).
Rede de
Telefonia
Telefone Telefone
de João de Maria
Outro serviço que pode ser utilizado para exemplificar os conceitos apresen-
tados é o serviço Web. No caso da Internet, um host, para ser conectado à rede,
precisa de um provedor de acesso, que funciona como um elo de ligação entre
o host e a Internet. Existem inúmeras formas de realizar essa conexão, mas, no
caso de usuários domésticos, geralmente utiliza-se uma linha telefônica como
canal de comunicação e um modem como interface. Se considerarmos o aces-
so discado de um usuário ao seu provedor, tanto o usuário quanto o provedor
possuem interfaces de rede que conectam seus computadores ao sistema de
telefonia. No caso do usuário, ele utiliza diversos protocolos para estabelecer a
conexão e manter a comunicação com seu provedor, como os protocolos V.92,
PPP, IP, TCP e HTTP, entre outros.
68 • capítulo 5
5.1.1 LAN, MAN, WAM
WAN
MAN
LAN
PAN
capítulo 5 • 69
que pode ser encontrado na grande maioria das instituições e até mesmo em
residências. As redes Ethernet oferecem grande escalabilidade, baixo custo e
podem alcançar taxas de transmissão de até 10 Gbps.
A necessidade de interligar redes locais dentro de uma mesma cidade pro-
vocou o surgimento das redes metropolitanas ou MAN (metropolitan area net-
work). As MAN oferecem altas taxas de transmissão, baixas taxas de erros e,
geralmente, os canais de comunicação pertencem a uma empresa de telecomu-
nicações que aluga o serviço ao mercado (figura 5.7). As redes metropolitanas
são padronizadas internacionalmente pelo IEEE 802 e ANSI e os padrões mais
conhecidos para a construção da MAN são o DQDB (distributed queue dual bus)
e o FDDI (fiber distributed data interface). Outro exemplo de rede metropolitana
é o sistema utilizado nas TVs a cabo.
REDE LOCAL
REDE LOCAL
REDE LOCAL
ÁREA METROPOLITANA
REDE LOCAL
REDE LOCAL
REDE LOCAL
70 • capítulo 5
Rede local
EUA - CA Rede local
Japão
Rede local
Rede local Inglaterra
Brasil - RJ
Rede local
Rede local EUA - TX
Brasil - SP Rede local
Itália
capítulo 5 • 71
antenas, é possível que as informações transmitidas possam ser capturadas por
pessoas não autorizadas.
As redes sem fio são padronizadas pelo IEEE 802 e os padrões mais conhe-
cidos são o IEEE 802.11 para redes locais sem fio (wireless local area network –
WLAN), também conhecido como WiFi, o IEEE 802.15 para redes pessoais sem
fio (wireless personal area metwork – WPAN), também conhecido como blue-
tooth, o IEEE 802.16 para redes metropolitanas sem fio (wireless metropolitan
area network – WMAN), também conhecido como WiMax, e o IEEE 802.16 para
redes distribuídas sem fio (wireless wide area metwork – WWAN).
Interface Interface
A
B
72 • capítulo 5
Rede de conexão
ou inter-rede
Interface Interface
A
B
Rede de interconexão
E
C
Mensagem
A F
D
G
H
Mensagem
capítulo 5 • 73
A comutação por circuito pode ser comparada a uma ligação telefônica entre
duas pessoas: A e B. Inicialmente, A disca para B e, caso haja um caminho dis-
ponível ligando os dois aparelhos, o telefone de B irá tocar. Caso contrário, A
receberá um aviso de que o telefone desejado está ocupado. Ao atender o tele-
fone, B estabelece o circuito e a conversa com A pode ser iniciada. O circuito
permanecerá alocado enquanto a ligação não for encerrada por uma das par-
tes. Caso o dispositivo C queira se comunicar com B não será possível, pois o
circuito G-H-B já está alocado.
Rede de interconexão
E
C
Mensagem
A F
D
G
H
Mensagem
74 • capítulo 5
Rede de interconexão
E P3
P4 P3 P2 P1 C
Mensagem
A F
D P2
P4 G
H
P1
P4 P3 P2 P1
Mensagem
B
Serviço peer-to-peer
Uma outra forma de oferecer os serviços de rede é utilizar o modelo peer-to
-peer. No modelo peer-to-peer ou P2P, os serviços são oferecidos por qualquer
dispositivo da rede de maneira igual, não existindo a figura de um servidor es-
pecializado. As redes P2P são simples de instalar e, como não existe a figura
do servidor, oferecem baixo custo, enorme escalabilidade e disponibilidade.
Por outro lado, as redes peer-to-peer tradicionais oferecem baixo desempenho
capítulo 5 • 75
e administração descentralizada, o que torna a gerência da rede mais difícil.
As redes P2P podem ser utilizadas em pequenas redes locais, em que questões
de desempenho não são importantes. Atualmente, o modelo peer-to-peer vem
sendo utilizado por usuários da Internet para o compartilhamento de arquivos
como de música e vídeo.
Independentemente do tipo de rede, é possível usufruir os benefícios de
ambas as filosofias integrando serviços cliente–servidor e peer-to-peer.
Serviço Web
O serviço Web ou WWW (world wide Web) é basicamente um conjunto de
documentos ou páginas que contém textos, imagens, áudio ou vídeo, inter-re-
lacionados. As páginas são interconectadas através de links, permitindo que o
usuário navegue entre os diversos documentos de forma bastante intuitiva uti-
lizando um browser. O esquema de links que relaciona os documentos forma o
que é conhecido como hipertexto.
O principal protocolo responsável por oferecer o serviço Web é o HTTP. Sua
função é transportar uma página armazenada em um servidor Web até o bro-
wser, também chamado de navegador, para ser exibida. Exemplos de servido-
res podem ser o Apache e o Microsoft IIS e de browsers, o Mozilla Firefox e o
Microsoft Internet Explorer.
Correio eletrônico
O serviço de correio eletrônico é muito semelhante a uma carta que envia-
mos pelo correio. Uma mensagem de correio eletrônico ou, simplesmente,
e-mail (electronic mail) deve conter, basicamente, o endereço do destinatário,
o endereço do remetente e a mensagem propriamente dita. O e-mail permite
que uma mensagem seja enviada e recebida rapidamente em qualquer locali-
dade a um custo muito baixo. Inicialmente, o e-mail estava limitado ao envio de
mensagens no formato texto. Atualmente, o e-mail pode conter, além do texto,
conteúdo multimídia.
No modelo Internet, existem diversos protocolos relacionados ao envio
e recebimento de e-mail, como SMTP, POP, MIME e IMAPI. O serviço utiliza
um software cliente, que permite escrever, enviar, receber e ler e-mails, e um
servidor que permite armazenar e encaminhar as mensagens dos usuários.
Exemplos de clientes de e-mail podem ser o Mozilla Thunderbird, o Qualcomm
76 • capítulo 5
Eudora e o Microsoft Outlook e de servidores, o Microsoft Exchange Server e o
Sendmail.
Transferência de arquivos
O serviço de transferência de arquivos permite que um ou mais arquivos
sejam copiados pela rede. Esse serviço, inicialmente, permitia que o usuário
copiasse arquivos texto e executáveis. Atualmente, existe uma infinidade de ti-
pos de arquivos que podem ser copiados pela rede, como fotos, vídeos e músi-
cas. O processo de transferir arquivos do servidor para o cliente é chamado de
download, enquanto o processo inverso, ou seja, do cliente para o servidor, é
chamado de upload.
No modelo Internet, o protocolo responsável por esse serviço é o FTP. Os
sistemas operacionais que suportam TCP/IP possuem um utilitário, também
chamado FTP, que funciona como cliente e permite a utilização do serviço. A
maioria dos sistemas operacionais oferece a possibilidade de configuração de
um servidor FTP.
Terminal remoto
O serviço de terminal remoto permite que um usuário conectado a um siste-
ma tenha acesso a um outro sistema utilizando a rede. O usuário remoto pode
submeter comandos e receber respostas como se estivesse conectado local-
mente ao sistema. Suponha, por exemplo, que um pesquisador precise execu-
tar um programa em um supercomputador, porém a sua instituição não está
aparelhada para tanto. Sem o serviço de terminal remoto, o pesquisador terá
que se deslocar até uma outra instituição que disponha dos recursos necessá-
rios para a execução do programa. Utilizando o serviço, o pesquisador poderá
conectar-se remotamente a uma instituição que possua um supercomputador,
submeter seu programa e consultar os resultados. O serviço de terminal remoto
também é muito utilizado por profissionais da área de redes que precisam ad-
ministrar dispositivos que estão dispersos geograficamente.
No modelo Internet, o protocolo responsável por esse serviço é o Telnet. Os
sistemas operacionais que oferecem suporte ao TCP/IP possuem um utilitário,
também chamado Telnet, que funciona como cliente e permite a utilização do
serviço. De maneira geral, os utilitários que permitem implementar o serviço
de terminal remoto são chamados de emuladores de terminal. Um emulador
capítulo 5 • 77
bastante conhecido e utilizado pelo mercado é o Putty, que pode ser obtido gra-
tuitamente na Internet. Os emuladores mais sofisticados permitem o acesso ao
sistema remoto utilizando uma interface gráfica como se estivesse conectado
localmente ao sistema. A maioria dos sistemas operacionais oferece a possibi-
lidade de configuração de um servidor Telnet.
Gerência remota
O serviço de gerência remota permite que o administrador da rede possa
consultar informações de um dispositivo de rede, alterar sua configuração re-
motamente e corrigir possíveis problemas. Além de ser útil para a correção de
erros, a gerência remota permite analisar o desempenho da rede baseada nos
dados coletados. Esse serviço vem ganhando importância à medida que cres-
cem o número e a diversidade dos dispositivos de redes.
No modelo Internet, o protocolo SNMP implementa o serviço de geren-
ciamento remoto. Para automatizar e simplificar o gerenciamento de redes,
existem softwares voltados especificamente para essa função, como o HP
OpenView, o IBM Tivoli NetView e o Spectrum da CA.
Serviços de nomes
Cada dispositivo em uma rede possui, geralmente, um nome e um núme-
ro que o identificam unicamente. Internamente, a rede lida apenas com nú-
meros, assim os nomes dos dispositivos têm pouca importância. Por outro
lado, os usuários preferem utilizar o nome do dispositivo por ser mais fácil de
78 • capítulo 5
memorizar. O serviço de nomes permite traduzir nomes de dispositivos para
seus respectivos números e vice-versa.
No modelo Internet, o serviço de nomes é implementado pelo protocolo
DNS. Quando, por exemplo, utilizamos o endereço www.estacio.br, esse nome
é traduzido para o número 200.216.152.71, que representa o endereço IP do ser-
vidor Web da Universidade Estácio. Além de ser mais fácil de memorizar, o ser-
viço de nomes oferece mais flexibilidade, pois o endereço IP do servidor pode
ser alterado sem afetar o nome.
Impressora
de rede
Arquivo
Usuário
Servidor de
impressão
capítulo 5 • 79
Comércio eletrônico
O comércio eletrônico permite que uma infinidade de negócios seja rea-
lizada através da rede, especialmente pela Internet. Existem diferentes for-
mas de comércio eletrônico, como negócios entre empresas e seus consumi-
dores (business to consumer – B2C) e entre as próprias empresas (business to
business – B2B). O comércio eletrônico permite a comercialização de bens
como, por exemplo, música, filmes, livros, eletrodomésticos e software. Além
disso, é possível oferecer outros serviços como leilões, serviços bancários e ser-
viços de busca.
80 • capítulo 5
6
Governança de TI
A Governança de TI está subordinada à governança Corporativa que, segundo
o Instituto Brasileiro de Governança Corporativa (IBGC), "é o sistema pelo qual
as organizações são dirigidas, monitoradas e incentivadas, envolvendo os re-
lacionamentos entre proprietários, conselho de administração, diretoria e ór-
gãos de controle. As boas práticas de governança corporativa convertem prin-
cípios em recomendações objetivas, alinhando interesses com a finalidade de
preservar e otimizar o valor da organização, facilitando seu acesso a recursos e
contribuindo para sua longevidade."
OBJETIVOS
• Identificar a importância do gerenciamento do projeto na TI;
• Conhecer os Frameworks de Governança;
• Identificar os procedimentos do ITIL e COBIT;
• Entender o que é SLA;
• Entender o que é nível de serviço;
• Conhecer as principais técnicas de métricas do mercado.
82 • capítulo 6
6.1 Introdução à governança de TI
O principal objetivo da governança de TI é agregar valor à organização alinhan-
do o planejamento estratégico da área de tecnologia da informação com o pla-
nejamento estratégico da empresa. A governança de TI verifica quais são as
melhores práticas para atender às demandas do setor sem perder as referên-
cias globais do ambiente. Existem diversas definições para a governança de TI,
mas todas devem assegurar um nível aceitável de riscos, garantir a utilização
de recursos de forma eficiente, apoiar os processos da organização e garantir o
alinhamento estratégico com seus objetivos e valores.
Governança
corporativa
Governança
de TI
Gereciamento
de TI
capítulo 6 • 83
A seguir, apresentamos alguns dos frameworks mais reconhecidos pelo mer-
cado, com exceção do ITIL e COBIT que serão apresentados em mais detalhes.
• ISO/IEC 27001
A ISO 27001 é um padrão para a gestão da segurança da informação, definido
pelo ISO (International Organization for Standardization) e IEC (International
Electrotechnical Commission), que define regras para as organizações mante-
rem suas informações seguras, envolvendo pessoas, processos e tecnologia. No
Brasil, a ABNT (Associação Brasileira de Normas Técnicas) elaborou a NBR ISO/
IEC 27001, que é uma tradução da ISO/IEC 2700.
• ISO/IEC 20000
A ISO/IEC 20000 é a primeira norma publicada pelo ISO que trata do geren-
ciamento de qualidade de serviços e define as melhores práticas de gerencia-
mento de serviços de TI, garantindo a entrega aos clientes de serviços de quali-
dade. São requisitos da norma definição de políticas, objetivos, procedimentos
e processos de gerenciamento para assegurar a qualidade efetiva na prestação
desses serviços.
• CMM
O CMM (Capability Maturity Model) ou Modelo de Maturidade em
Capacitação pode ser definido como as melhores práticas para o desenvolvi-
mento de softwares em uma organização. O CMM descreve os principais ele-
mentos de um processo de desenvolvimento de software e os estágios de ma-
turidade por que passam as organizações. Por meio de avaliação contínua,
identificação de problemas e ações corretivas, dentro de uma estratégia de me-
lhoria dos processos, a organização pode evoluir o seu ciclo de desenvolvimen-
to de software.
• TOGAF
O TOGAF (The Open Group Architecture Framework) é um framework que
fornece uma abordagem para o projeto, planejamento, implementação e ge-
renciamento de uma arquitetura de TI. Essa arquitetura é modelada em quarto
níveis: negócio, aplicação, dados e tecnologia e é fortemente baseada em mo-
dularização, padronização, tecnologias e produtos já consolidados.
84 • capítulo 6
• PMBOK
O PMBOK (Project Management Body of Knowledge) é um conjunto das me-
lhores práticas no campo do gerenciamento de projetos desenvolvido pelo PMI
(Project Management Institute). O PMBOK consiste de processos e áreas do co-
nhecimento que são geralmente aceitas como as melhores práticas no geren-
ciamento de projetos e pode ser aplicado em projetos de qualquer tipo, tama-
nho ou organização. O gerenciamento de projetos descrito no PMBOK consiste
nas seguintes áreas de conhecimento:
• Gestão de integração do projeto
• Gestão do escopo do projeto
• Gestão de tempo do projeto
• Gestão de custos do projeto
• Gestão da qualidade do projeto
• Gestão de recursos humanos do projeto
• Gestão das comunicações do projeto
• Gestão de riscos do projeto
• Gestão de aquisições do projeto
• Gestão de envolvidos no projeto
6.1.2 ITIL
capítulo 6 • 85
• Estratégia do serviço
A estratégia do serviço (service strategy) oferece um guia para a priorização
dos serviços a serem oferecidos e ajuda as empresas de TI a melhorar e desen-
volver serviços em longo prazo, sendo considerada a principal parte do ciclo de
vida do serviço.
Na fase da estratégia do serviço, é identificada a estratégia para o ciclo de
vida completo do serviço para agregar valor ao cliente por meio do gerencia-
mento da TI. Nessa fase, são tratados os seguintes processos:
• Gerenciamento de estratégia para serviços de TI
• Gerenciamento de portfólio de serviço
• Gerenciamento financeiro para serviços de TI
• Gerenciamento de demanda
• Gerenciamento de relacionamento do negócio
• Desenho do serviço
O desenho do serviço (service design) fornece um guia de boas práticas no
projeto e gerenciamento de serviços e processos de TI. A ideia é como a TI pode
ajudar o negócio da companhia e não focar a TI como um fim em si mesma.
Nessa fase, são tratados os seguintes processos:
• Coordenação de projeto
• Gerenciamento de catálogo de serviços
• Gerenciamento de níveis de serviço
• Gerenciamento de disponibilidade
• Gerenciamento de capacidade
• Gerenciamento da continuidade dos serviços de TI
• Gerenciamento de segurança
• Gerenciamento de fornecedor
• Transição do serviço
A transição do serviço (service transition) envolve todos os aspectos para a
entrega dos serviços da TI necessários à operação do negócio. Nessa fase, são
tratados os seguintes processos:
• Planejamento e suporte à transição
• Gerenciamento de mudanças
• Gerenciamento de configurações e ativos de serviços
• Gerenciamento de versões e implantações
86 • capítulo 6
• Teste e validação de serviços
• Avaliação de mudanças
• Gerenciamento do conhecimento
• Operação do serviço
A operação do serviço (service operation) fornece as melhores práticas para
alcançar e entregar os níveis de serviços acordados com os clientes e usuários.
Além disso, fazem parte da operação o monitoramento dos ativos e eventos, a
disponibilidade, o gerenciamento das aplicações, o gerenciamento de opera-
ções e atendimento aos usuários (service ou help desk). Nessa fase, são tratados
os seguintes processos:
• Gerenciamento de eventos
• Gerenciamento de incidentes
• Cumprimento de solicitações
• Gerenciamento de problemas
• Gerenciamento de identidade
6.1.3 COBIT
capítulo 6 • 87
recomendado como meio para aperfeiçoar os investimentos, melhorando seu
retorno e fornecendo métricas para a avaliação dos resultados.
1. Atender às
necessidades
das partes
interessadas.
5. Distinguir 2. Cobrir
a governança a organização de
da gestão. ponta a ponta.
COBIT 5
Princípios
4. Permitir 3. Aplicar
uma abordagem um modelo único
holística. e integrado.
88 • capítulo 6
• Aplicar um modelo único e integrado
O COBIT está alinhado com os demais frameworks de governança existen-
tes, permitindo a sua integração com padrões como COSO, ISO, ITIL, PMBOK,
CMMI, TOGAF etc.
• Certificação ITIL
Atualmente, a certificação em ITIL é dividida em quatro perfis de profissio-
nais: foundation, intermediate, expert and master, sendo a foundation a mais bá-
sica e a master a mais avançada.
capítulo 6 • 89
Para obter a certificação foundation, basta realizar uma prova; para a cer-
tificação intermediate, além da anterior, quatro provas (intermediate lifecycle)
ou cinco provas (intermediate capability); para certificação expert, todas as an-
teriores e, finalmente, para a certificação master, além de todas as anteriores,
mais uma prova.
ITIL Master
ITIL Expert
ITIL Foundation
• Certificação COBIT
Existem três provas para a certificação COBIT: foundation (fundamentos),
Implementação e Assessor. Para poder realizar as provas de implementação e
assessor, é necessário ter passado primeiramente na prova de foundation.
No caso da prova de foundation, é necessário agendar a prova no site da
APMG, que pode ser feita presencialmente ou pela Internet. O exame consiste
de 50 questões de múltipla escolha e exige uma pontuação de 50% ou mais para
ser aprovado. Para mais informações sobre os exames COBIT, consulte o site do
ICASA e, para mais informações sobre como fazer as provas, consulte o site da
APMG International.
90 • capítulo 6
6.2 Acordo de nível de serviço
A TI fornece diversos serviços aos usuários, departamentos e a toda a organiza-
ção. Não apenas a TI entrega serviços, mas também contrata serviços de tercei-
ros, ou seja, de outras empresas. Independentemente de o serviço ter sido pres-
tado ou contratado pela TI, deve existir um processo que garanta a qualidade
desses serviços e que atenda às necessidades do negócio.
Para garantir a qualidade dos serviços da TI em seus diferentes aspectos, criou-
se o acordo de nível de serviço ou SLA (service level agreement). O SLA é estabeleci-
do entre o usuário e o fornecedor do serviço. No caso de uma empresa, o usuário
pode ser um departamento e o fornecedor a TI. Da mesma forma, é possível que a
TI seja usuária de um serviço prestado por terceiros e o SLA garante que a empresa
contratada dispõe de requisitos mínimos para sua realização e entrega.
Uma empresa que contrata um serviço de Internet de uma operadora de te-
lecomunicações pode exigir, no SLA firmado no contrato entre as partes, que,
por exemplo, a taxa de transmissão seja de no mínimo 100 Mbps, a taxa de erros
de no máximo 0,1% e, se ocorrer algum problema com link, o reparo seja feito
em no máximo uma hora.
Um outro exemplo seria uma empresa que fornece um sistema Web para
seus usuários internos. É possível definir um SLA entre os usuários do sistema
e a TI de forma a garantir, por exemplo, uma disponibilidade do sistema de
99,99% ao ano, um tempo de resposta de no máximo cinco segundos e exigir
treinamento para os novos usuários do sistema.
Caso o SLA acordado não seja cumprido, podem ocorrer diversas penalida-
des como, por exemplo, multa, rompimento de contrato, troca de gestores e
demissões. O SLA é definido pelo gerenciamento de serviços, que é formado
por pessoas, processo e ferramentas com o objetivo de garantir a qualidade dos
serviços de TI. Vários frameworks possuem esse módulo, como é o caso do ITIL.
6.3 Métricas
Os projetos envolvendo desenvolvimento de software, especialmente os gran-
des projetos, são extremamente complexos de gerenciar. Sem as informações
adequadas, não é possível, por exemplo, estimar o custo do desenvolvimento,
capítulo 6 • 91
o número de profissionais, a quantidade de recursos computacionais e o prazo
de entrega. As métricas de software permitem o planejamento do projeto de
desenvolvimento de software e também sua manutenção.
Existem diversas métricas para os projetos de desenvolvimento de software.
Vejamos as mais conhecidas:
92 • capítulo 6
7
Segurança nos
Sistemas de
Informação
O tema segurança da informação está em grande evidência nos dias atuais.
Constantemente, deparamo-nos com notícias de falhas de segurança na Inter-
net, evidenciadas pelo roubo de informações e sabotagens em sites. Também
muito graves são os crimes digitais, que nem sempre são noticiados, mas que
causam grande prejuízo à instituição afetada. Tais crimes têm o intuito de fur-
tar ou adulterar informações estratégicas pertencentes às organizações e são
muitas vezes executados por concorrentes de mercado. Existem também os da-
nos causados por funcionários em razão de falhas no controle de acesso, resul-
tando na perda ou vazamento de informações importantes.
A tarefa de prover segurança às informações de uma instituição torna-se
mais difícil não só pela existência das ameaças citadas, mas também pelo fato
de a segurança não poder se restringir às redes e sistemas de computadores. A
informação trafega por diferentes meios e o elemento humano deve ser consi-
derado como um fator fundamental para o sucesso da aplicação de medidas
de segurança. A preocupação com a segurança tem sido tão evidente que hoje
existem legislação e padrões específicos que tentam coibir tal prática.
OBJETIVOS
• Compreender as principais vulnerabilidades dos sistemas de informação;
• Reconhecer a estratégia da segurança dos sistemas de informação para as organizaçõds.
94 • capítulo 7
7.1 Introdução à segurança de informação
A segurança da informação pode ser melhor definida pela garantia de um ou
mais serviços descritos a seguir:
• Confidencialidade
A confidencialidade, também referenciada como privacidade ou sigilo, im-
pede que pessoas não autorizadas tenham acesso à informação. Assim, quan-
do enviamos um e-mail, deve ser possível garantir que apenas o emissor e o
destinatário tenham conhecimento do conteúdo da mensagem. Em uma tran-
sação eletrônica, o número do cartão de crédito ou a senha do banco devem
ser enviados de forma segura, impedindo que terceiros tenham conhecimento
da informação.
• Integridade
A integridade ou autenticidade do conteúdo é a garantia de que a informa-
ção está consistente, ou seja, não foi criada, nem alterada nem eliminada sem
autorização. O conteúdo de um e-mail, por exemplo, não deve ser alterado. Em
uma transação bancária, os valores não podem ser alterados.
• Autenticidade
A autenticidade garante a identidade de quem está executando uma deter-
minada ação. Geralmente, quando enviamos um e-mail nada garante ao des-
tinatário que o e-mail foi enviado realmente pelo emissor que aparece. Neste
caso, o problema de autenticidade decorre do fato que o e-mail de uma pessoa
pode ser facilmente forjado, ou seja, nada impede que alguém se passe por ou-
tra pessoa.
Com a identificação do usuário, é possível implementar o controle de aces-
so aos recursos disponíveis. O controle de acesso define quais usuários podem
realizar determinadas tarefas em determinados objetos. Por sua vez, o controle
de acesso permite que se implemente o log, auditoria e contabilização de aces-
so aos objetos.
Outra consequência da autenticação é a não repudiação. O não repúdio ou
irretratabilidade previne que alguém negue a autoria de determinada ação. Por
isso, quando enviamos e-mail autenticado, o destinatário pode provar quem
realmente enviou a mensagem, ou seja, o remetente não pode repudiar o envio
capítulo 7 • 95
da mensagem. Além disso, o não repúdio permite que se prove a terceiros e pos-
teriormente ao fato a autoria de determinada ação.
• Disponibilidade
A disponibilidade garante que uma informação esteja disponível para aces-
so no momento desejado. Existem diversas formas de surgimento deste proble-
ma, como, por exemplo, servidores que tornam os dados indisponíveis e acesso
impossibilitado a links de comunicação e dispositivos de rede. Em ambos os
casos, a disponibilidade é alcançada com algum tipo de redundância, ou seja,
utilizando-se servidores, links e dispositivos de rede adicionais.
Os ataques do tipo denial of service (DoS) são um outro bom exemplo de
problema de falta de disponibilidade. Um ataque DoS basicamente visa in-
disponibilizar os serviços oferecidos por algum servidor de rede como, por
exemplo, Web, correio ou resolução de nomes (DNS – domain name services).
Indisponibilizar pode significar retirar totalmente o servidor de operação ou
apenas deixá-lo lento, a ponto de o cliente abandonar o serviço devido à demora
de resposta. Um ataque DoS ou DDoS (Distributed DoS) não significa que o site
foi invadido, ou seja, as informações contidas no site não podem ser roubadas,
nem modificadas nem eliminadas.
A disponibilidade é medida em função do tempo por ano que o sistema per-
manece em funcionamento de forma ininterrupta, incluindo possíveis falhas
de hardware ou software, manutenções preventivas e corretivas.
Se imaginarmos uma compra utilizando a Internet, poderemos perceber a
necessidade de todos os requisitos descritos. Assim, a informação que permite
a transação, tais como valor e descrição do produto adquirido, precisa estar dis-
ponível no dia e na hora que o cliente desejar efetuar a compra (disponibilida-
de); o valor da transação não pode ser alterado (integridade); somente o cliente
que está comprando e o comerciante devem ter acesso à transação (controle
de acesso); o cliente que está comprando deve ser realmente quem diz ser (au-
tenticidade); o cliente tem como provar o pagamento e o comerciante não tem
como negar o recebimento (não repúdio); e o conhecimento do conteúdo da
transação fica restrito aos envolvidos (confidencialidade).
96 • capítulo 7
7.1.1 Conceitos fundamentais de segurança da informação
Importância
A informação é um bem que tem valor para a organização e, consequente-
mente, necessita ser adequadamente protegido. A tarefa de prover segurança
às informações de uma instituição não se restringe a soluções de segurança
para redes ou sistemas de computadores. A informação trafega por diversos
meios como papel, fax e telefone. Devido a essa abrangência, é necessário que
ações seguras sejam entendidas e incorporadas pelos funcionários da institui-
ção. Entende-se por ação segura qualquer atitude envolvendo manipulação de
informações que seja feita de acordo com o nível de segurança definido para o
tipo de informação que será passada, estando ela em qualquer meio.
Uma característica importante da segurança da informação é a não existên-
cia do conceito de segurança total, seja qual for o contexto e a abordagem apli-
cada. Isto se deve ao fato de que as ameaças a serem consideradas são inúmeras
e, muitas vezes, imprevisíveis.
O objetivo da segurança da informação é assegurar a continuidade do ne-
gócio e reduzir os danos a ele, prevenindo e minimizando os impactos dos in-
cidentes de segurança. A razão para prover segurança às informações de uma
organização apoia-se no diferencial que a segurança pode representar entre o
sucesso e o insucesso, no cumprimento do objetivo fim da instituição.
Ameaças e vulnerabilidades
Qualquer empresa que deseja implementar segurança da informação deve
conhecer as ameaças e vulnerabilidades a que está exposta. Conhecendo as
ameaças e vulnerabilidades, é possível implementar contramedidas mais efi-
cazes em função do custo-benefício.
As ameaças podem ter origem interna e/ou externa e serem propositais
ou não. Os tipos de ameaças e os riscos envolvidos estão intimamente ligados
ao negócio da empresa, ou seja, dependendo do tamanho da corporação e de
sua área de atuação, as ameaças, como também os riscos, podem ser maiores
ou menores.
capítulo 7 • 97
A seguir, abordaremos as principais ameaças e vulnerabilidades que de-
vem ser avaliadas no processo de implementação de segurança da informação
nas corporações.
• Vírus
Em todas as pesquisas que identificam os principais problemas para a segu-
rança da informação corporativa, os ataques de vírus estão sempre nas primei-
ras posições. Apesar das inúmeras ferramentas para identificar e tratar os vírus,
as empresas continuam perdendo muito dinheiro com os estragos produzidos
por eles. A entrada de apenas um vírus é muito prejudicial, pois ele espalha-se
rapidamente por toda a rede.
A solução para os problemas de vírus não passa apenas pela utilização dos
recursos tecnológicos disponíveis, como software de anti-vírus e filtros em ser-
vidores de e-mail. Sem a conscientização do usuário, todo o investimento em
tecnologia poderá ficar comprometido.
Um vírus é um programa que pode infectar outros programas, alterando seu
código executável. Desta forma, o vírus pode se replicar. O vírus pode ficar por
um longo período de tempo dormente antes de realizar sua tarefa. Em função
de algum evento, como uma determinada data ou o número de vezes que foi
replicado, o vírus pode ser ativado. Dependendo do sistema operacional, um
vírus pode ter acesso irrestrito aos recursos do computador onde está sendo
executado ou apenas a determinados recursos.
• Spyware
O spyware é um programa que, quando instalado na máquina do usuário,
monitora o que o ele está fazendo e envia suas informações para a Internet sem
o seu conhecimento. Os possíveis interessados podem ser empresas que quei-
ram conhecer o perfil de consumo do usuário ou um hacker interessado nas
suas informações pessoais ou financeiras.
• Phishing
É muito comum o recebimento de mensagens falsas de bancos, da Receita
Federal e de empresas de proteção ao crédito, solicitando a atualização de
dados cadastrais ou avisando que houve algum problema sério com a conta
98 • capítulo 7
bancária ou o cartão de crédito. No phishing, o usuário é “fisgado” por algum
e-mail ou mensagem que parecem procedentes de fontes confiáveis, então ele
informa seus dados financeiros como, por exemplo, número da conta e senha
do banco a um site falso.
• Código hostil
Os browsers quando foram lançados exibiam apenas textos (ASCII e HTML)
e imagens (GIF e JPEG). Devido à limitação da linguagem HTML (Hyper-Text
Markup Language), logo surgiram alternativas para ampliar a capacidade do
browser para torná-lo mais dinâmico e interativo. Uma das primeiras iniciati-
vas neste sentido foi a adoção dos helpers (aplicativos auxiliares) que evoluíram
para os atuais plug-ins.
Os plug-ins são programas que permitem ao browser executar arquivos em
formatos diferentes de HTML, como áudio, animações e acesso a banco de da-
dos. Dois exemplos de plug-in bastante populares são o Abode Acrobat Reader
e Macromidia Shockwave.
O grande problema dos plug-ins é que sua segurança está baseada na con-
fiança em quem desenvolveu o aplicativo. Como o plug-in tem acesso irrestrito
ao seu sistema, é possível ter acesso a informações no disco local, abrir cone-
xões de rede ou introduzir um cavalo de tróia. Neste caso, não só a estação po-
derá ficar comprometida, mas também sua rede interna.
Com a introdução de linguagens/tecnologias como Java, JavaScript, VBscript
e ActiveX, o browser passou a receber código ativo pela rede, ou seja, o simples
fato de se visitar um site na Internet já é o suficiente para receber um código
malicioso que possa ter acesso a qualquer parte do seu sistema (processador,
memória, discos e rede) e, até mesmo, desligar sua estação.
Os navegadores (browsers) possuem parâmetros de configuração que im-
pedem que códigos deste tipo sejam executados automaticamente para evitar
problemas de segurança.
• Falhas e erros
Problemas de segurança da informação podem ser consequência de falhas
e erros humanos. A integridade das informações pode ser comprometida com a
entrada de dados errada ou incompleta em sistemas de informação.
capítulo 7 • 99
Falhas no desenvolvimento de software, conhecidos como bugs, podem le-
var a sérios problemas de segurança, tanto em sistemas aplicativos como em
softwares básicos. Um bom exemplo deste tipo de vulnerabilidade são as falhas
de buffer overflow, largamente utilizadas por hackers para ganhar acesso privi-
legiado a servidores Web, sistemas operacionais, bancos de dados etc.
A maneira mais efetiva de evitar este tipo de ameaça é manter hardware e
software sempre atualizados, com as devidas correções. A grande dificuldade,
no entanto, é atualizar o parque na mesma velocidade em que as correções
são disponibilizadas.
• Hackers
Apesar de a palavra hacker significar genericamente alguém que conhece
profundamente computação, o termo é utilizado como sinônimo de cracker, ou
seja, alguém que invade sistemas computacionais sem autorização para obter
algum tipo de benefício.
Os benefícios obtidos pelos hackers nem sempre estão associados a ques-
tões financeiras. Hackers invadem sistemas apenas para mostrar poder, que
são capazes de destrinchar qualquer sistema. Diversos sites na Internet têm
suas páginas desfiguradas e seu conteúdo original é substituído por mensa-
gens variadas. Neste caso, nenhuma informação é roubada, mas a imagem da
empresa ficará comprometida. Dependendo do tipo de negócio da empresa, a
imagem pode ser um ativo fundamental, principalmente no caso de empresas
de segurança da informação.
Hackers, geralmente, estão relacionados a indivíduos externos à empre-
sa, porém também existem hackers internos, que podem causar danos mais
100 • capítulo 7
facilmente. Com a evolução da Internet, é esperado um crescimento dos pro-
blemas de segurança relacionados a hackers.
• Espionagem
Espionagem industrial é o ato de reunir informações de uma empresa e re-
passá-las a uma outra empresa, geralmente concorrente, mediante algum tipo
de vantagem financeira. A espionagem é realizada por funcionários que têm
acesso autorizado às informações, por isso sua identificação é muito difícil.
capítulo 7 • 101
• Não utilizar senhas iguais ao username do usuário, senhas em branco, se-
quências numéricas (0, 1,2, 3...) e/ou alfabéticas (A, B, C...).
• Evitar a utilização de datas, números de telefones, nomes de parentes ou
qualquer informação relacionada ao usuário.
• Evitar a utilização de palavras de dicionários de qualquer língua.
• Implementar o esquema de bloqueio da conta do usuário (lockout) depois
de um certo número de tentativas de acesso inválido.
• Evitar o compartilhamento da senha com outros usuários, mesmo amigos.
• Evitar que o usuário anote a senha.
• Algo que se é
Neste caso, o usuário utiliza alguma característica física que permite a sua iden-
tificação e autenticação. Este método é conhecido como autenticação biométrica
e envolve processos que reconheçam características físicas intrínsecas de cada in-
divíduo, como a impressão digital, íris, retina, voz, formato das mãos ou face.
Inicialmente, as informações biométricas de cada indivíduo devem ser ar-
mazenadas em um banco de dados. Quando alguém deve ser autenticado, a
informação biométrica é fornecida pelo usuário e comparada com a que está
armazenada no banco de dados.
102 • capítulo 7
A biometria vem sendo utilizada para identificar usuários em diferentes ti-
pos de aplicações. O uso da digital é utilizado para autenticar um usuário e per-
mitir o acesso a um servidor ou laptop. A digital também pode ser utilizada para
liberar o acesso a determinadas áreas da empresa. O reconhecimento de íris
vem sendo utilizado em aeroportos para facilitar a identificação de passageiros.
A autenticação biométrica vem ganhando espaço na medida em que os
custos de aquisição e implementação da tecnologia estão se reduzindo. Outro
problema com este método é a possibilidade de identificação falso-negativa,
ou seja, o usuário não pode ser identificado por algum problema físico. Em sis-
temas de autenticação por voz, por exemplo, se o usuário estiver resfriado ou
nervoso, é possível que o sistema não o reconheça.
A tendência atual é a utilização da biometria associada a outros métodos de
identificação, como smartcards e senhas.
Criptografia
Em razão do comércio eletrônico, a economia mundial vem sendo profun-
damente modificada. Esse mercado, de crescimento explosivo e valores em
bilhões de dólares, ainda está restrito, devido à falta de segurança nas transa-
ções comerciais. A criptografia e a certificação digital são ferramentas funda-
mentais para a segurança na construção da nova infraestrutura de comércio
eletrônico.
Enquanto a criptografia oferece confidencialidade, integridade e autentici-
dade, a certificação digital oferece infraestrutura para que estes serviços sejam
oferecidos de forma simples, rápida e segura. O certificado digital é a carteira
de identidade do mundo virtual, que permite aos usuários se identificarem e
assinarem documentos eletrônicos.
A criptografia consiste na ciência de escrever a informação em cifras, de
forma tal que somente as pessoas autorizadas possam compreendê-la. O seu
objetivo é a construção de cifras invioláveis que garantam a confidencialidade,
a integridade e a autenticidade das informações transmitidas.
Criptografia simétrica
O ciframento de uma mensagem baseia-se em dois componentes: um algo-
ritmo e uma chave. O algoritmo é uma transformação matemática, que conver-
te uma mensagem em claro em uma mensagem cifrada e vice-versa, por exem-
plo, quando Alice cifra uma mensagem, ela utiliza um algoritmo de ciframento
capítulo 7 • 103
para transformar o conteúdo da mensagem em claro em texto cifrado. Quando
Bob decifra uma mensagem, ele utiliza o algoritmo de deciframento correspon-
dente para converter o texto cifrado em uma mensagem em claro.
Antigamente, a segurança do ciframento estava baseada somente no sigilo
do algoritmo criptográfico. Se Eve (um intruso) conhecesse o algoritmo, pode-
ria decifrar uma mensagem criptografada tão facilmente quanto Bob. Pode-se
contornar o problema apresentado, utilizando o segundo componente básico
da criptografia: a chave. A chave é uma cadeia aleatória de bits utilizada em con-
junto com um algoritmo. Cada chave distinta faz com que o algoritmo trabalhe
de forma diferente.
Embora existam algoritmos que dispensem o uso de chaves, sua utilização
oferece duas importantes vantagens. A primeira é permitir a utilização do mes-
mo algoritmo criptográfico para a comunicação com diferentes receptores,
apenas trocando a chave. A segunda vantagem é permitir trocar facilmente a
chave no caso de uma violação, mantendo o mesmo algoritmo.
O número de chaves possíveis depende do tamanho (número de bits) da
chave. Uma chave de 8 bits, por exemplo, permite uma combinação de no má-
ximo 256 chaves (28). Quanto maior o tamanho da chave, mais difícil quebrá-la,
pois estamos aumentando o número de combinações possíveis. Atualmente, o
tamanho de chave recomendado para sistemas simétricos é de 128 bits.
Quando Alice cifra uma mensagem, ela utiliza um algoritmo de ciframento
e uma chave secreta para transformar uma mensagem em claro em um texto
cifrado. Bob, por sua vez, ao decifrar uma mensagem, utiliza o algoritmo de de-
ciframento correspondente e a mesma chave para transformar o texto cifrado
em uma mensagem em claro. Eve, por não possuir a chave secreta, mesmo co-
nhecendo o algoritmo, não conseguirá decifrar a mensagem. A segurança do
sistema passa a residir não mais no algoritmo e sim na chave utilizada. A chave,
e não mais o algoritmo, deverá ser mantida em segredo por Alice e Bob.
Quando a chave de ciframento é a mesma utilizada para deciframento ou
esta última pode ser facilmente obtida da primeira, definimos este tipo de ci-
framento como criptografia simétrica ou de chave secreta. Este esquema é am-
plamente utilizado pelos sites de comércio eletrônico e Internet banking para
garantir o sigilo das informações trocadas entre o site e seus clientes.
Apesar de sua simplicidade, existem alguns problemas na criptografia si-
métrica. O primeiro é que Alice e Bob precisam trocar a chave secreta antes de
estabelecer o canal seguro. Para tanto, os envolvidos deverão utilizar um outro
104 • capítulo 7
canal seguro para a entrega da chave, por exemplo, Alice e Bob podem marcar
um encontro em um local seguro para a entrega da chave. Outro problema é a
gerência de chaves. Como cada par necessita de uma chave para se comunicar
de forma segura, para uma rede de n usuários precisaríamos de algo da ordem
de n2 chaves, quantidade esta que dificulta a gerência das chaves. Além disso,
a criptografia simétrica não garante a identidade de quem enviou ou recebeu a
mensagem (autenticidade e não repudiação).
Criptografia assimétrica
A maneira de contornar os problemas da criptografia simétrica apresenta-
dos é a utilização da criptografia assimétrica ou de chave pública. A criptografia
assimétrica está baseada no conceito de par de chaves: uma chave privada e
uma chave pública. No exemplo, Alice tem um par de chaves e Bob tem outro
par de chaves diferente. Como não existe uma relação entre as chaves de Alice e
Bob, dizemos que a criptografia é assimétrica.
A chave privada, como o nome sugere, deve ser mantida secreta, enquanto a
chave pública fica disponível livremente para qualquer interessado. Alice, por
exemplo, pode guardar sua chave privada de forma segura em um smartcard,
enquanto Bob coloca-a no disco rígido de sua máquina. A chave pública, por
outro lado, realmente condiz com seu nome e qualquer pessoa pode obter uma
cópia dela. Alice e Bob divulgam suas chaves públicas para seus amigos ou pu-
blicam-nas em boletins. Geralmente, as chaves públicas ficam armazenadas
em algum tipo de certificadora, que funciona como um cartório virtual, onde
todos podem consultar a chave pública, mas não podem alterá-la.
De forma simplificada, a criptografia de chave pública funciona assim:
quando Alice deseja enviar uma mensagem cifrada para Bob, ela precisa pri-
meiramente encontrar a chave pública dele. Feito isto, Alice cifra sua mensa-
gem utilizando a chave pública de Bob, despachando-a em seguida. Quando
Bob recebe a mensagem, ele a decifra facilmente com sua chave privada. Caso
Eve intercepte a mensagem cifrada, mesmo conhecendo a chave pública de
Bob, não conseguirá decifrar a mensagem, pois não conhece a chave privada
de Bob.
A grande vantagem deste sistema é permitir que qualquer pessoa possa
enviar uma mensagem secreta, utilizando apenas a chave pública de quem irá
recebê-la. Como a chave pública está amplamente disponível, não há necessi-
dade do envio de chaves como é feito no modelo simétrico. A confidencialidade
capítulo 7 • 105
da mensagem estará garantida, enquanto a chave privada estiver segura. Caso
contrário, quem possuir acesso à chave privada terá acesso às mensagens.
Assinatura digital
Outro benefício da criptografia com chave pública é a assinatura digital,
que permite garantir a autenticidade de quem envia a mensagem. Além disso, a
assinatura digital garante a integridade e o não repúdio da mensagem.
Suponha, por exemplo, que Alice gostaria de comunicar o nascimento de
sua filha para Bob, mas também queria certificar o destinatário de que a men-
sagem foi realmente enviada por ela. Alice, então, cifra a mensagem com sua
chave privada e a envia, em um processo denominado de assinatura digital. Bob
deverá decifrar a mensagem, ou seja, verificar a validade da assinatura digital,
utilizando a chave pública de Alice. Como a chave pública de Alice apenas de-
cifra mensagens cifradas com sua chave privada, fica garantida assim a auten-
ticidade. Assim, se alguém modificar um bit do conteúdo da mensagem ou se
outra pessoa assiná-la ao invés de Alice, o sistema de verificação não irá reco-
nhecer a assinatura digital de Alice como válida.
É importante perceber que a assinatura digital, como descrita no exemplo
anterior, não garante a confidencialidade da mensagem. Qualquer um pode-
rá acessá-la e verificá-la, mesmo um intruso (Eve), apenas utilizando a chave
pública de Alice. Para obter confidencialidade com assinatura digital, basta
combinar os dois métodos. Alice primeiro assina a mensagem, utilizando sua
chave privada. Em seguida, ela criptografa a mensagem novamente, junto com
sua assinatura, utilizando a chave pública de Bob. Este, ao receber a mensa-
gem, deve, primeiramente, decifrá-la com sua chave privada, o que garante sua
privacidade. Em seguida, "decifrá-la" novamente, ou seja, verificar a assinatura
utilizando a chave pública de Alice, garantindo assim sua autenticidade.
106 • capítulo 7
Criptografia simétrica Criptografia assimétrica
Rápida Lenta
Gerência e distribuição das chaves é complexa. Gerência e distribuição Simples
Não oferece assinatura digital. Oferece assinatura digital
Certificação digital
Com o sistema de chave pública, o gerenciamento de chaves passa a ter
dois novos aspectos. Primeiro, deve-se previamente localizar a chave pública
de qualquer pessoa com quem se deseja comunicar. Assim, duas pessoas que
queiram se comunicar com segurança necessitam ter em mãos as chaves públi-
cas de seus correspondentes. Uma forma de garantir a posse da chave correta
é trocar pessoalmente com o correspondente a chave pública, porém esta solu-
ção não é possível de ser implementada na Internet.
Segundo, deve-se ter a garantia de que a chave pública encontrada é real-
mente do destinatário. Sem esta garantia, um intruso (Eve) pode convencer
os interlocutores (Ana e Bob) de que chaves públicas falsas pertencem a eles,
estabelecendo um processo de confiança entre eles e podendo passar-se por
ambos. Deste modo, quando Ana enviar uma mensagem a Bob solicitando sua
chave pública, Eve poderá interceptá-la e devolver-lhe uma chave pública forja-
da por ele. Ele pode também fazer o mesmo com Bob, fazendo com que cada
lado pense que está se comunicando com o outro, quando, na verdade, estão
sendo interceptados pelo intruso. Eve, então, pode decifrar todas as mensa-
gens, cifrá-las novamente ou, se preferir, poderá até substituí-las por outras.
A solução para estes dois problemas é a utilização de certificados digitais.
Um certificado digital pode ser definido como um documento eletrônico, assi-
nado digitalmente por uma terceira parte confiável, que associa o nome e atri-
butos de uma pessoa, servidor ou instituição a uma chave pública. A terceira
parte que assina o certificado é conhecida como autoridade certificadora (certi-
fication authority – CA), que funciona como um cartório eletrônico.
capítulo 7 • 107
Pela assinatura da chave pública e das informações sobre Bob, a CA garante
que a informação sobre ele está correta e que a chave pública em questão real-
mente pertence a Bob. Ana, por sua vez, confere a assinatura da CA e, então, uti-
liza a chave pública de Bob, segura de que esta pertence a ele e a ninguém mais.
Certificados desempenham um importante papel em um grande número
de protocolos e padrões utilizados na proteção de sistemas de comércio ele-
trônico. Nos Estados Unidos, leis federais e estaduais equiparam os documen-
tos eletrônicos assinados digitalmente a documentos em papel firmados de
próprio punho. No Brasil, várias iniciativas estão em tramitação no Congresso
Federal, especificando as características necessárias para que o próprio gover-
no aceite documentos eletrônicos.
Os certificados digitais são hoje utilizados principalmente para o envio de
correio eletrônico assinado e/ou codificado e para o estabelecimento de comu-
nicações seguras em seções Web entre o cliente e o servidor.
• Firewall
O firewall permite implementar um esquema de segurança centralizado,
onde todo o tráfego que entra ou sai da empresa pode ser monitorado. Com
esse monitoramento, é possível restringir o acesso da rede interna de/para a
rede externa, normalmente a Internet.
Geralmente, o firewall é um software que é executado em um servidor Unix,
Microsoft Windows Server, dedicado exclusivamente a essa função. Também
existem soluções que englobam hardware e software proprietários.
108 • capítulo 7
• Sistemas de detecção de intrusão
Os sistemas de detecção de intrusão (intrusion detection system – IDS) per-
mitem identificar em tempo real a tentativa de acesso não autorizado de usuá-
rios na rede interna ou de hackers na rede externa.
O IDS é implementado por meio de agentes que são executados em diversos
pontos da rede, como servidores e/ou dispositivos de rede. Os vários agentes
monitoram constantemente qualquer tentativa de invasão e, caso ocorra um
ataque, é possível responder de diversas maneiras: enviando um e-mail para
o administrador da rede, reconfigurando o firewall ou roteador e, até mesmo,
encerrando a conexão de rede.
Alguns IDS oferecem a facilidade de um console de gerenciamento centra-
lizado. Neste caso, os diversos agentes enviam mensagens para o console que
pode melhor avaliar a possibilidade de algum ataque em andamento. Além
disto, o console facilita ao administrador acompanhar os diversos eventos em
andamento e os eventos já ocorridos.
Existem, basicamente, dois tipos de sistemas de detecção de intrusão: IDS
de host e IDS de rede. Uma empresa pode utilizar apenas um dos tipos de IDS
ou implementar os dois tipos simultaneamente, oferecendo um nível maior
de segurança.
capítulo 7 • 109
Para resolver as possíveis falhas de segurança, os dois lados da conexão
VPN devem criptografar o conteúdo dos pacotes antes que estes sejam trans-
mitidos pela Internet e, na outra ponta, os pacotes recebidos devem ser de-
criptografados antes de serem repassados para o destino final. Este canal se-
guro de comunicação, ligando as duas extremidades da conexão, é chamado
de túnel.
As VPNs baseiam-se no encapsulamento de pacotes (tunneling) para criar
uma rede privada através da Internet. Essencialmente, tunneling ou “tunela-
mento” é o processo de colocar um pacote inteiro dentro de um outro pacote e
transmiti-lo na rede pública que liga as duas extremidades (interfaces de tune-
lamento). O pacote externo, utilizado para “carregar” o pacote cifrado, é com-
preendido pela rede pública e pelas extremidades da conexão onde o pacote é
inserido e retirado da rede pública.
110 • capítulo 7
tecnologias que deverão ser utilizadas pela instituição. Cada um dos itens a se-
rem implementados será subdividido em subitens até o ponto em que a insti-
tuição terá um mapa detalhado dos procedimentos a serem executados.
Um plano de segurança finalizado deverá apresentar um relatório técnico
contendo um plano detalhado para a implantação e manutenção da infraestru-
tura de segurança da instituição. Este plano detalhado conterá cronogramas
especificando o início e o fim de cada uma das etapas a serem implementadas.
Seguindo o plano de segurança, a instituição terá a sua infraestrutura de segu-
rança implementada e operacional dentro dos prazos previstos.
O principal objetivo do plano de segurança das informações é garantir, com
o menor custo possível, que as informações permaneçam íntegras, disponíveis,
confidenciais e que as entidades que tenham acesso a essas informações pos-
sam ser controladas. Um plano de segurança não deve ser elaborado, imple-
mentado e esquecido, mas evoluir juntamente com a empresa, sendo constan-
temente revisto pela organização.
O plano de segurança gera como consequência de seu desenvolvimento di-
versos documentos, chamados genericamente de políticas de segurança, po-
rém existem diferenças importantes nestes documentos que permitem agru-
pá-los em três categorias: a política de segurança propriamente dita, normas
e procedimentos.
Política de segurança é um estatuto formal de regras sob o qual estão sub-
metidas pessoas que têm acesso a recursos de informação e de tecnologia em
uma organização. A política de segurança é projetada para gerenciar o risco que
uma instituição incorre ao buscar seus objetivos, ou seja, estabelece metas, for-
nece uma estrutura de implementação e atribui responsabilidades e domínios
ao prover segurança às informações da instituição.
A elaboração da política de segurança deve estar de acordo com a legislação
vigente e com as normas internas da instituição. Na política de segurança, é
fundamental que esteja claramente descrita a abrangência e a abordagem dos
temas de segurança no ambiente da organização. É preciso que estejam defini-
das as entidades que terão papel de relevância no processo de segurança, bem
como suas respectivas responsabilidades. Além disso, as regras devem ser defi-
nidas em nível estratégico.
A política de segurança deve ser concisa, escrita de maneira que estimule os
funcionários a torná-la uma tônica na vida organizacional. É um documento de
alto nível a ser assinado pelo representante do mais alto cargo da instituição.
capítulo 7 • 111
Por ser um documento gerencial, deve preferencialmente ser publicado como
norma da instituição, sem envolver conceitos técnicos.
A política de segurança deverá ter um gerente responsável por sua manu-
tenção e revisão e ser composta pelos elementos que forem convenientes à ins-
tituição, porém é comum a utilização de um conjunto básico de itens em sua
composição.
O plano de segurança da informação proposto possui quatro fases. O pla-
no, na verdade, é um processo, que se inicia na fase de levantamento e análise,
passa pela fase de projeto e é implementado. A última fase, manutenção, ser-
ve para corrigir possíveis falhas de implementação e realimentar o processo.
Desta forma, o plano nunca chega ao fim, pois as ameaças e vulnerabilidades
evoluem com os negócios da empresa.
112 • capítulo 7