Documente Academic
Documente Profesional
Documente Cultură
AGRADECIMENTOS
Agradeço a Deus, por ter me mostrado um caminho a seguir e por ter me concedido
força e entusiasmo durante esta fase da minha vida.
Aos meus pais Pedro e Glades, fontes eternas de amor, carinho e inspiração.
Ao meu irmão Edison e a minha irmã Liana que se mostraram sempre presentes e
prestativos.
RESUMO
ABSTRACT
Along with the society informatization, several changes based on increasing IT evolution is
occurring. New technologies allied with new pedagogical mediations ensure a transfer of
knowledge entirely new, requiring the existence of an reliable infrastructure of information
technology which allows the effective use of available technologies. Following this context,
this paper presents the results of the risk analysis of the existing IT infrastructure in
UNIVATES University Center, analyzing qualitatively the potential existing problems and
their resolutions and the impact that the absence of this structure can lead to the teachers and
the students of the institution.
LISTA DE FIGURAS
LISTA DE QUADROS
LISTA DE TABELAS
LISTA DE ABREVIATURAS
SUMÁRIO
1 INTRODUÇÃO .............................................................................................................. 14
1.1 Objetivos ...................................................................................................................... 16
1.2 Organização do Trabalho .......................................................................................... 17
2 REFERENCIAL TEÓRICO ......................................................................................... 18
2.1 O ensino tradicional ................................................................................................... 18
2.1.1 Características do ensino tradicional ........................................................................ 19
2.2 A utilização da informática no processo de ensino e de aprendizagem ................. 19
2.2.1 Tecnologias utilizadas na educação........................................................................... 20
2.3 Infraestrutura de TI ................................................................................................... 21
2.3.1 Hardware..................................................................................................................... 21
2.3.2 Software ....................................................................................................................... 22
2.3.3 Tecnologia de gestão de dados ................................................................................... 23
2.3.4 Tecnologia de rede e telecomunicações ..................................................................... 24
2.3.5 Serviços de tecnologia................................................................................................. 28
2.4 Segurança em TI ......................................................................................................... 28
2.4.1 Gestão dos ativos dos sistemas de informação ......................................................... 30
2.4.2 Segurança física .......................................................................................................... 31
2.4.3 Segurança lógica ......................................................................................................... 31
2.4.4 Segurança em recursos humanos .............................................................................. 32
2.4.5 Segurança em redes sem fio ....................................................................................... 32
2.4.6 Softwares mal-intencionados ..................................................................................... 33
2.4.7 Cibervandalismo ......................................................................................................... 33
2.4.8 Ataque DoS.................................................................................................................. 34
2.4.9 Vulnerabilidades de softwares ................................................................................... 34
2.5 Mobilidade e Ubiquidade ........................................................................................... 34
2.6 Gestão de Riscos ......................................................................................................... 35
2.6.1 Identificação dos riscos .............................................................................................. 36
2.6.2 Análise do risco ........................................................................................................... 37
2.6.3 Avaliação dos riscos .................................................................................................... 40
2.6.4 Tratamento dos riscos ................................................................................................ 42
2.6.5 Monitoramento dos riscos .......................................................................................... 43
2.7 Boas práticas ............................................................................................................... 43
2.7.1 ITIL .............................................................................................................................. 44
2.7.2 COBIT ......................................................................................................................... 45
2.7.3 ISO/IEC 27002 ............................................................................................................ 46
2.7.4 BS 7799 ........................................................................................................................ 47
3 METODOLOGIA........................................................................................................... 48
BDU – Biblioteca Digital da UNIVATES (http://www.univates.br/bdu)
1 INTRODUÇÃO
Inicialmente a utilização de computadores era restrita apenas para uso militar, com o
intuito de interconectar vários centros de comando. Após o final da guerra fria sua utilização
foi fortemente expandida também para uso científico e educacional e posteriormente para
empresas privadas e setores públicos, que os utilizavam visando um aumento da eficiência no
gerenciamento e administração das empresas (FERNANDEZ; YOUSSEF, 2003).
computadores pessoais, foi que sua utilização tornou-se realmente expressiva. A combinação
da Internet com o avanço das telecomunicações incrementaram novas possibilidades,
beneficiando também o processo ensino-aprendizagem no corpo universitário, abrindo novas
possibilidades e proporcionando melhoria na realização das tarefas docentes e discentes.
BDU – Biblioteca Digital da UNIVATES (http://www.univates.br/bdu)
Para Mac-Allister e Magalhães (2006, apud FLORES, 1999), a cada ano a relação
entre aluno e computador no ambiente acadêmico vem se tornando mais importante, pois as
IES vêm utilizando a tecnologia não somente para fins educativos, mas também como uma
ferramenta decisiva para o alcance de suas metas e objetivos.
16
Para suportar todas estas demandas citadas se faz necessário o provimento de uma
infraestrutura de TI (serviços de telecomunicações, rede lógica, hardware, software, etc)
sólida, confiável e a prova de falhas.
1.1 Objetivos
Primário:
Secundários:
O presente trabalho é dividido por capítulos, onde, após esta introdução, é apresentado
o Capítulo 2 com a revisão da bibliografia abordando os conceitos inerentes a este estudo de
BDU – Biblioteca Digital da UNIVATES (http://www.univates.br/bdu)
2 REFERENCIAL TEÓRICO
Esta prática quase não sofreu modificações significativas apesar de todos os avanços
na tecnologia e nos recursos disponibilizados para auxiliar o professor no processo de ensino
e de aprendizagem (GUERRA, 2000).
Para PALADINI (1996), o modelo de ensino tradicional exige pouco do professor, não
requer frequente atualização do conteúdo exposto em aula e não é adequado ao aluno, mas
sim ao professor, tendo em vista que a transmissão de conhecimento parte de quem o detém e
não de pesquisas e análises realizadas pelos alunos.
19
Segundo Vieira (2006), a informática está tornando-se cada vez mais importante em
sala de aula, levando à mudanças estruturais e funcionais no processo de ensino e de
aprendizagem.
Segundo Guerra (2008), na área da educação, o computador tornou-se uma nova fonte
de conhecimento e pesquisa, proporcionando uma melhora no processo de ensino e de
aprendizagem, complementando os conteúdos curriculares.
a) Apoio à pesquisa: onde encontramos a web como o maior avanço na área, oferecendo
uma vasta gama de informações como multiplicidade de fontes diferentes, diversos
graus de confiabilidade e visões de mundo contraditórias;
b) Desenvolvimento de projetos: possibilita a utilização de uma forma interessante de
desenvolver projetos de pesquisa pela internet por meio da metodologia de webquest,
que consiste em consultar diversas fontes de informação na web, pré-determinadas
pelo professor. Dentre as ferramentas utilizadas para o cumprimento dos objetivos
podemos citar a escrita colaborativa, a criação de portfólio do grupo, criação de blogs
e sites, publicação de vídeos, entre outros;
c) Produção compartilhada: com a utilização de ferramentas como o Google Docs e
Wiki, podemos realizar a produção coletiva de documentos, utilizando uma interface
simples onde qualquer pessoa com acesso ao documento pode ajudar a implementá-lo.
Outra grande vantagem a ser citada é a disponibilidade do documento, que encontra-se
na web, não havendo necessidade de baixar o arquivo para editá-lo, já que todas as
alterações são feitas online;
d) Podcasts: arquivos de áudio, programas de rádio na internet ou podcasts são arquivos
digitais que podem ser baixados e visualizados em dispositivos móveis e
computadores, podendo ser de autoria dos próprios alunos ou dos professores, que os
disponibilizam na internet para download;
e) PBL: é uma estratégia em que o objetivo principal é solucionar um determinado
problema, onde o ator principal é o estudante, deixando de ser o receptor da
informação e passando a ser o responsável pelo seu aprendizado (GIL, 2006);
f) TBL: a aprendizagem baseada em equipe refere-se ao desenvolvimento da capacidade
individual por meio de análises críticas, de responsabilidade, de tomada de decisões,
de trabalho em equipe e resolução de problemas (INSTITUTO SÍRIO-LIBANÊS DE
ENSINO E PESQUISA, 2012);
g) Objetos de aprendizagem: referem-se a recursos tecnológicos utilizados para dar
suporte a aprendizagem, podendo ser imagens, vídeos, etc., com propósitos
21
2.3 Infraestrutura de TI
BDU – Biblioteca Digital da UNIVATES (http://www.univates.br/bdu)
Todos estes componentes devem ser coordenados para que funcionem em conjunto,
visando proporcionar a base, ou a plataforma para todo o sistema de informação de uma
organização.
2.3.1 Hardware
2.3.2 Software
Segundo João (2012), o software aplicativo, que pode ser desenvolvido pela empresa
que o utilizará ou adquirido de terceiros, caracteriza-se por uma aplicação utilizada pelos
usuários finais, desenvolvida com o objetivo de resolução de um problema específico,
23
Os navegadores, que são ferramentas que permitem o acesso à Internet, por exemplo,
possibilitam atualmente que muitos aplicativos sejam executados diretamente no navegador, o
que favorece a intensificação do uso da TI em sala de aula, pois libera o aluno e a instituição
de ensino da necessidade de grandes investimentos em licenciamento, bem como possibilita
uma interoperabilidade entre diversos dispositivos utilizados pelos usuários.
intranet, sistemas administrativos, etc. Esta rede poderá contemplar também serviços de rede
sem fio, bem como toda a rede cabeada aos ativos da empresa (LAUDON e LAUDON,
2011).
BDU – Biblioteca Digital da UNIVATES (http://www.univates.br/bdu)
Dentre as redes existentes a rede local ou Local Area Network (LAN) caracteriza-se
por conectar dispositivos em um raio de até quinhentos metros, podendo compreender a rede
de um escritório ou edifício. A existência de várias LANs em uma determinada área
geográfica, ou interligando vários edifícios é considerada uma Campus-area Network (CAN).
Caso a rede abranja uma área metropolitana ou uma cidade é considerada uma Metropolitan
Area Network (MAN) (LAUDON e LAUDON, 2011).
Uma Wide Area Network (WAN) consiste em uma rede que interliga regiões, estados,
continentes ou até o planeta. A Internet também é considerada uma WAN, conectando
diversas redes LAN (LAUDON e LAUDON, 2011).
Segundo Laudon e Laudon (2011), para a transmissão dos dados em uma rede faz-se
necessária a utilização de meios de transmissão físicos, que inclui cabo de par trançado, cabo
coaxial, cabos de fibra óptica e meios de transmissão sem fio.
Existem diversos tipos de cabos, com blindagem, proteção anti-roedor, entre outros
(LAUDON e LAUDON, 2011).
O cabo coaxial possui um fio de cobre isolado de maior espessura, com taxas de
BDU – Biblioteca Digital da UNIVATES (http://www.univates.br/bdu)
transmissão superiores a 1 Gigabit por segundo em extensões de mais de 100 metros. Foi
utilizado nas primeiras redes locais e atualmente possui pouca usabilidade (LAUDON e
LAUDON, 2011).
A transmissão ainda pode ser realizada sem fio, consistindo no envio de sinais de rádio
com uma ampla variação de frequência. Dentre as tecnologias utilizadas pode-se citar a
transmissão por rádio, que pode percorrer longas distâncias, podendo ser utilizada em locais
abertos e fechados, transmissão de micro-ondas que oferece uma relação sinal/ ruído muito
mais alta, sendo que é necessário um alinhamento das antenas de transmissão e repetidores ao
longo do enlace e transmissão por luz que baseia-se em direcionar laser em fotodetectores
para a transmissão de dados, sendo uma tecnologia bastante sensível a condições atmosféricas
(TANEMBAUM; WETHERALL, 2011).
ANSI/TIA-942 aplica conceitos para classificação dos mesmos quanto a sua disponibilidade e
redundância (MARIN, 2011). A seguir serão abordados os conceitos referentes ao data center
e sua infraestrutura.
de instalação, requisitos e procedimentos de testes, etc., estão contempladas nas normas acima
citadas.
2.4 Segurança em TI
Segundo Silva, Carvalho e Torres (2003), para que haja preservação da confiabilidade,
integridade e disponibilidade dos sistemas de informação de uma empresa, se faz necessário
29
que alguma ameaça se torne um incidente. A proteção, por sua vez, possibilita que os sistemas
de informação inspecionem, detectem e reajam frente a um incidente. Esta medida de
segurança só atua quando o incidente ocorre, muitas vezes no intuito de remediá-lo (SILVA,
CARVALHO e TORRES, 2003).
Após a identificação dos ativos faz-se necessário realizar sua contabilização a fim de se
estruturar e manter os controles necessários, definir o responsável pela segurança de cada
31
Segundo Wadlow (2000), a segurança física visa a criação de níveis de proteção que
condizem com a política de segurança da empresa e que proporcionem a proteção necessária
contra as ameaças existentes. Conforme este mesmo autor, a segurança física deve abranger
também o backup de todas as informações armazenadas, o controle de acesso com níveis de
acesso a todas as áreas restritas, a disponibilização ininterrupta de energia elétrica e o registro
dos controles de acesso, bem como sua análise.
Segundo Laudon e Laudon (2011), as redes sem fio, seja WI-FI ou Bluetooth são
suscetíveis a escutas e a ataques. Embora sejam de curto alcance, essas redes podem ser
invadidas por estranhos com laptops, e softwares piratas gratuitos, que circulem por áreas
abrangidas pela tecnologia. Redes desprotegidas proporcionam ao invasor uma série de
pontos a serem explorado, como usuário conectados no momento, captura de arquivos de
outros dispositivos, monitoramento do tráfego de rede e interceptação de dados.
Como exemplo de protocolo que visa a segurança em redes sem fio, pode-se citar o
Wireless Fidelity Protected Acess 2 (WPA2) sucessor do Wired Equivalent Privacy (WEP),
que pode ser utilizado em dois cenários comuns. No primeiro existe um servidor de
33
autenticação, com um banco de dados contendo as informações de cada usuário, onde cada
cliente utiliza seu login e senha para acessar a rede. No segundo cenário, uma senha única
compartilhada é utilizada por todos os usuários que desejam acessar a rede. Esta prática é
menos complexa de implementar, mas também é menos segura que a primeira
BDU – Biblioteca Digital da UNIVATES (http://www.univates.br/bdu)
Dois outros malwares pertinentes são os ataques por SQL Injection e os keyloggers,
onde no primeiro são introduzidos códigos de programas maliciosos nos sistemas e redes
corporativas no momento em que ocorre alguma falha na autenticação ou no filtro de dados
por um usuário, e no segundo são registradas todas as teclas pressionadas em um computador
no intuito de obter dados e senhas de acesso (LAUDON e LAUDON, 2011).
2.4.7 Cibervandalismo
Web, a fim de inutilizá-lo, não sendo possível atender às requisições legítimas provenientes
dos usuários (TANEMBAUM; WETHERALL, 2011).
De acordo com Laudon e Laudon (2011), este tipo de ataque não destrói ou acessa
informações privilegiadas, apenas faz com que o acesso a um determinado serviço fique
indisponível por um determinado tempo. Estes ataques normalmente são executados por uma
grande quantidade de computadores espalhados pela rede, infectados por softwares mal-
intencionados que infectam computadores alheios. Quando o cracker infectou computadores
suficientes um ataque de recusa de serviço é deflagrado ao alvo.
A computação ubíqua tem como principal objetivo permear a vida dos usuários
ajudando a desempenhar tarefas diárias sem que os mesmos percebam, onde a utilização de
dispositivos em qualquer lugar e a qualquer hora é corriqueira (WEISS e CRAIGER, 2002).
35
Segundo Santos, Lima e Wives (2010, apud Furlan e Ehrenberg, 2009), o celular, que
desempenha um importante papel na mobilidade e na ubiquidade, permite a comunicação das
pessoas independente do local e a qualquer hora, por meio de acesso à internet sem fios, além
de disponibilizar uma vasta quantidade de funções.
BDU – Biblioteca Digital da UNIVATES (http://www.univates.br/bdu)
De acordo com Dantas (2011), o risco é uma condição que cria ou aumenta o potencial
de danos ou perdas aos sistemas de informação. O risco está estritamente relacionado com a
probabilidade de um evento acontecer e com as consequências negativas que ele gera.
De acordo com Beal (2008), a gestão de riscos visa identificar e implementar medidas
para que seja possível diminuir os riscos aos quais a organização está sujeita, visando a
proteção dos ativos de informação, despendendo custos operacionais e financeiros
condizentes com a realidade da organização.
BDU – Biblioteca Digital da UNIVATES (http://www.univates.br/bdu)
De acordo com Beal (2008), a gestão de riscos, deve ser iniciada com a identificação
dos riscos e seus componentes como os alvos, agentes, ameaças, vulnerabilidades e impactos.
As ameaças podem ser classificadas como ambientais (fogo, chuva, terremotos, falhas no
suprimento de energia elétrica, etc.), técnicas (falhas de hardware, software e de
configurações), lógicas (ataques ou invasões) ou humanas (fraude, sabotagem ou erros).
ameaças, bem como quais os bens que estão em perigo (SILVA, CARVALHO E TORRES,
2003).
Neste método são utilizadas palavras ao invés de números para a descrever os riscos,
sua probabilidade de ocorrer e as consequências que o mesmo poderá gerar (AS/NZS
4360:2004).
Segundo Silva, Carvalho e Torres (2003), a análise de risco qualitativa é feita de forma
subjetiva, onde a equipe que irá realizá-la possui papel de fundamental importância, sendo
necessário reunir um quadro de funcionários representantes de diversas áreas. A análise é
realizada nas seguintes fases:
a) Constituição da equipe;
b) Realização de sessões de classificação das ameaças;
c) Realização de sessões de classificação dos impactos e das consequências;
d) Cálculo dos riscos.
Para medição das consequências e das possibilidades, pode-se utilizar escalas
conforme apresentado nas Tabela 2 e Tabela 3.
38
A O evento irá ocorrer numa base anual Uma vez por ano ou mais
B O evento ocorrerá várias vezes na sua carreira Uma vez a cada três anos
C O evento poderá ocorrer uma vez na sua carreira Uma vez a cada dez anos
D O evento ocorre em algum lugar de tempo em tempo Uma vez a cada trinta anos
E Já ocorreu alguma vez em algum lugar Uma vez a cada cem anos
F Tal acontecimento nunca foi documentado Uma vez a cada mil anos
G Teoricamente possível, mas improvável de acontecer Uma vez a cada dez mil anos
Segundo a norma AS/NZS 4360:2004 a análise semiquantitativa deve ser utilizada com
cautela pois os valores atribuídos aos elementos inerentes aos riscos podem não condizer com
a realidade, ou ainda, não diferenciar de forma apropriada as consequências e probabilidades
caso ambos sejam extremos, o que acarretará em resultados inconsistentes ou inapropriados.
Segundo Dantas (2011), este método é utilizado quando existem dados confiáveis de
eventos ocorridos, quando a probabilidade pode ser medida em valores numéricos ou ainda
quando pode-se calcular o valor de uma consequência gerada pelo risco.
impacto financeiro decorrente deles precisa ser confiável para que a análise quantitativa
apresente resultados significantes.
utilizados, mas o mais conhecido é o Anual Loss Exposure (ALE), ou ainda Exposição Anual
à Perda, que permite estimar o risco com base em um valor esperado de perda decorrente de
determinada ameaça (SILVA, CARVALHO E TORRES, 2003).
A ALE é calculada com base no valor da perda prevista multiplicada pela quantidade
de ocorrências de um determinado incidente no período de doze meses. Caso o custo anual de
determinada medida de proteção for menor que a ALE de um risco, sua implantação seria
justificável (BEAL, 2008).
Segundo Beal (2008), a avaliação dos riscos deverá ser efetuada por pessoas
qualificadas, que possuam características como:
Para que seja realizado a classificação dos riscos faz-se necessário a utilização de
critérios de avaliação e níveis de aceitabilidade afim de definir o tratamento ou a aceitação de
determinado risco. Estes critérios devem ser definidos pela equipe que realizará a análise com
base nas consequências, nas possibilidades e nos níveis de riscos definidos. Os níveis de
aceitabilidade deverão estar embasados nas políticas de segurança da organização levando em
conta quais riscos representam um maior prejuízo (DANTAS, 2011).
41
De acordo com Silva, Carvalho e Torres (2003), para elencar a prioridade dos riscos a
serem analisados ou tratados se faz necessário a elaboração de uma análise de impacto dos
mesmos no negócio. Está análise deve ser feita com uma abordagem top-down dos processos
e funções do negócio, da visão estratégica até a operacional.
Segundo este mesmo autor, todos os processos possuem papel importante para a
organização, mas é necessário avaliar quais possuem mais ou menos importância verificando-
se qual o período de instabilidade tolerada e o impacto resultante de uma indisponibilidade
além deste prazo.
42
Segundo Dantas (2011), o tratamento dos riscos condiz em ações como evitar, mitigar,
transferir ou compartilhar o risco. Estes tratamentos podem ser implementados por meio de
BDU – Biblioteca Digital da UNIVATES (http://www.univates.br/bdu)
Os tratamentos dos riscos podem ser feitos com a utilização de controles, que levam
em consideração as regulamentações nacionais e internacionais, os objetivos organizacionais,
os custos em relação aos riscos que estão sendo tratados e o balanceamento do investimento
43
nos controles contra a probabilidade de danos que o risco poderá vir a ocasionar (ABNT NBR
ISO/IEC 17799, 2005).
deverão ser descritos no plano de tratamento de riscos, que consiste em um documento com
todos os detalhes das ações, como o responsável, prazos, forma de implementação, dentre
outras.
De acordo com Beal (2008), juntamente com a política de segurança deve-se adotar as
normas e padrões técnicos, pois estes são fundamentais em qualquer âmbito quando deseja-se
obter qualidade. As normas e padrões definem regras, princípios e critérios, registrando as
melhores práticas a fim de prover qualidade ao processo visando sua eficiência e eficácia.
2.7.1 ITIL
Segundo Beal (2008), apesar do ITIL não ser exatamente um padrão de segurança, ele
contempla várias áreas afins como, por exemplo, gestão de incidentes, problemas,
configuração, entre outros, o que contribui para manter um alto nível de qualidade da
organização, contribuindo para o alcance dos objetivos de segurança da informação
BDU – Biblioteca Digital da UNIVATES (http://www.univates.br/bdu)
almejados.
2.7.2 COBIT
O COBIT, que é composto por diretrizes para gestão, auditoria e práticas dos
processos e controles da governança de TI é dividido em quatro domínios: planejamento e
organização, aquisição e implementação, entrega e suporte e monitoração. Contendo mais de
trezentos pontos de controle em trinta e quatro processos (sendo um deles o de segurança da
informação), possui como principal objetivo auxiliar a organização com o Return Over
Investment (ROI) de TI (BEAL, 2008).
2.7.4 BS 7799
3 METODOLOGIA
Segundo Samara e Barros (2002), os estudos exploratórios são realizados por meio de
dados secundários, sendo caracterizados pela informalidade, flexibilidade e a criatividade,
permitindo que ocorra um primeiro contato com o assunto da pesquisa a ser realizada,
podendo ser utilizadas hipóteses a serem confirmadas.
49
podem ser divididos em primeira e segunda mão (primários e secundários), sendo que os
primários não recebem nenhum tratamento analítico, e os secundários já foram analisados de
alguma forma (GIL, 2002). A principal fonte de pesquisa documental utilizada neste estudo é
obtida nas normas, diretrizes e boas práticas disponibilizadas pela ABNT e pela International
BDU – Biblioteca Digital da UNIVATES (http://www.univates.br/bdu)
Segundo Hair et al. (2005), nos estudos exploratórios, a pesquisa é efetuada por meio
de dados narrativos, entrevistas pessoais ou observação de comportamentos ou eventos
utilizando-se uma abordagem qualitativa. Este tipo de estudo envolve amostras menores da
população ou estudos de caso.
As questões existentes nos questionários utilizaram de duas escalas para obtenção das
respostas: escala categórica e escala de Likert (classificações somadas).
Conforme Hair et al. (2005), a escala categórica é uma escala não-métrica onde as
BDU – Biblioteca Digital da UNIVATES (http://www.univates.br/bdu)
respostas são comparadas umas com as outras e não de forma independente. Um exemplo de
escala categórica de múltipla escolha é:
( ) Todos os dias
( ) Até três vezes por semana
( ) Até duas vezes por semana
( ) Uma vez por semana
( ) Não utilizo/Nunca utilizei
A escala de Likert, por outro lado utiliza números ímpares de opções com um rótulo
para expressar a intensidade da resposta. Quando todas as escalas são somadas é caracterizado
como uma escala de classificações somadas. A escala utilizada neste estudo será de cinco
opções. Um exemplo de questão utilizando-se a escala de Likert é:
( ) 5 – Muito Alta
( ) 4 – Alta
( ) 3 – Médio
( ) 2 – Baixo
( ) 1 – Muito Baixo
Segundo Hair et al. (2005), após a coleta dos dados os mesmos precisam ser
analisados e examinados e se necessário transformados, afim de garantir sua integridade,
confiabilidade e representatividade nos resultados.
4 CENÁRIO ATUAL
O acesso externo, responsável pelo tráfego de dados, tanto de entrada quanto de saída
é suprido por dois ISPs distintos que, apesar de atuarem independentemente e com
55
internamente, é compreendida pelas LANs, Virtual Local Area Network (VLAN), e Wireless
Local Area Network (WLAN) a fim de possibilitar acesso e segurança da rede aos alunos e
professores em sala de aula.
A partir do data center é feita a distribuição dos enlaces ópticos até os prédios, mais
precisamente até as sala de telecomunicações, onde é feito a distribuição da rede de dados até
as salas de aula. A Figura 5 exemplifica os componentes da rede existente em um prédio
acadêmico, desde a sala de telecomunicações até o usuário final.
BDU – Biblioteca Digital da UNIVATES (http://www.univates.br/bdu)
Cada uma das estruturas será detalhada em subseções apropriadas contidas nesta
seção, abordando seu funcionamento e aplicação na rede.
telecomunicações do Prédio 1.
O encaminhamento até o data center, que está situado no Prédio 9, é feito apenas por
interligação passiva no Distribuidor Interno Óptico (DIO), utilizando-se as rotas do backbone
óptico já existente para interligação com o mesmo.
4.2 Backbone
Segundo Marin (2011), os data centers são ambientes que possuem uma infraestrutura
diferenciada, que abrigam equipamentos que atuam no armazenamento e processamento dos
dados e informações cruciais de negócio de uma determinada organização.
O data center da UNIVATES (representado pela letra “C” na Figura 4) é composto por
vários componentes como climatização, suprimento de energia elétrica ininterrupta, sistema
de detecção e supressão de incêndio, controle de acesso, sistema de CFTV, piso elevado,
manta térmica, forro celular, portas corta fogo, parede de bloco celular, entre outros, que
compõem os projetos arquitetônico, elétrico, lógico, mecânico e de segurança.
58
ligadas em série (representada pela letra “E” na Figura 6), afim de suprir a demanda
energética e evitar o corte total do fornecimento de energia elétrica.
O projeto mecânico, composto pelo sistema de climatização do data center, possui dois
sistemas distintos atuando em conjunto. O primeiro utiliza-se do condicionador de ar central
do prédio, onde duas das doze máquinas fan coil (equipamento que utiliza água gelada e
dispensa o uso de fluidos refrigerantes) são destinadas a refrigeração do data center, sendo
uma de cinco TR (Tonelada de Refrigeração) e outra de dez TR.
O sensor de partículas atua como uma forma antecipada ao sensor de fumaça, pois
BDU – Biblioteca Digital da UNIVATES (http://www.univates.br/bdu)
possui maior sensibilidade que o mesmo, analisando, por exemplo, odores no ambiente em
caso de aquecimento na fiação elétrica. A atuação do sensor possui interface com a central de
incêndio, gerando um pré-alarme na mesma.
O data center da UNIVATES conta com leitores biométricos nas portas de acesso aos
três ambientes citados anteriormente (com leitor de cartão e de biometria) para todos os
funcionários autorizados e para a equipe terceirizada de monitoramento em casos de sinistro.
O projeto lógico do data center é composto por todos os ativos existentes, pelo
cabeamento estruturado que os interliga e pelos serviços disponibilizados aos usuários.
O core switch (representado pela letra “F” na Figura 4) é o Enterasys S8, atuando no
roteamento estático para encaminhamento de pacotes, como firewall interno e no acesso entre
as redes utilizando-se o recurso de Access Control List (ACL). A controladora WI-FI
(representado pela letra “G” na Figura 4) que gerencia os pontos de acesso da rede sem fio é
BDU – Biblioteca Digital da UNIVATES (http://www.univates.br/bdu)
4.4.2 Climatização
Fonte: Retirado da ferramenta Zabbix utilizado pelo Núcleo de Tecnologia da Informação da UNIVATES. 1
1
Zabbix: Ferramenta livre de monitoramento de disponibilidade e performance de redes, servidores e serviços atuando de forma preventiva e detectiva na infraestrutura de TI.
A utilização dessa ferramenta permite aos administradores de rede da Univates um monitoramento quanto a disponibilidade dos ativos, visando a resolução do problema no
menor tempo possível.
65
A rede sem fio (WI-FI) da UNIVATES atinge mais de cinco mil e duzentos acessos
simultâneos em horário de aula, nos 214 pontos de acesso sem fio distribuídos pelo campus
(componente representado pela letra “C” na Figura 5), conforme dados do Núcleo de
Tecnologia da Informação da instituição.
O ambiente acadêmico é atendido tanto pela rede WI-FI quanto pela rede cabeada
utilizada nos laboratórios de informática. A rede WI-FI, utilizada principalmente pelos alunos
e professores por meio de dispositivos particulares e da instituição, compreende a maior
demanda de rede nos horários de aula.
Fonte: Retirado do ferramenta Zabbix utilizado pelo Núcleo de Tecnologia da Informação da UNIVATES.
As estações de trabalho são compostas por equipamentos das marcas Dell, Acer,
Lenovo, HP, LG e Samsung e são inventariados pela solução da Dell denominada KACE
1000, administrado pelo setor do NTI.
4.8 Aterramento
Todos os passivos existentes no data center como racks, patch panels e tomadas
elétricas possuem aterramento adequado, bem como os cabos e conectores blindados
utilizados no cabeamento categoria 6A.
67
4.9 ISPs
Para atender a demanda de acesso externo (WAN) a instituição utiliza-se de dois ISPs,
ambos com velocidade de 200 Megabits por segundo, conforme demostra a Figura 9, onde
pode-se visualizar o tráfego (de entrada e de saída), a velocidade contratada, a disponibilidade
dos roteadores e do core switch.
Fonte: Retirado da ferramenta Zabbix, utilizada pelo Núcleo de Tecnologia da Informação da UNIVATES.
4.10 Serviços
dos equipamentos é realizado por um software gerenciador, bem como a migração das
máquinas virtuais em caso de falha de algum dos hosts de determinado equipamento.
sua disponibilidade, o tráfego com o core switch, além de outras informações como latência e
quantidade de conexões.
Fonte: Retirado da ferramenta Zabbix, utilizada pelo Núcleo de Tecnologia da Informação da UNIVATES
Conforme apresentado na Figura 11, o modelo de gestão de riscos definido pela norma
ABNT NBR ISO/IEC 31000 é dividido em cinco etapas, sendo a definição do contexto, a
análise, avaliação, tratamento e aceitação dos riscos.
Figura 11 – Processo de gestão de riscos segundo a norma ABNT NBR ISO/IEC 31000
O modelo de gestão de riscos proposto abrange as três principais etapas sugeridas pela
norma, compreendidas pelo estabelecimento do contexto, pelo processo de avaliação de riscos
e pelo posterior tratamento e acompanhamento dos mesmos. A confecção do modelo foi
fortemente embasada nas normas ABNT NBR ISO/IEC 17799 e suas revisões, 27004, 27005,
BDU – Biblioteca Digital da UNIVATES (http://www.univates.br/bdu)
Para definição do contexto interno com relação aos métodos, diretrizes e políticas
adotadas pela organização são utilizados os frameworks de definição do grau de aderência da
segurança da informação e do grau de maturidade com relação a gestão de riscos.
Conforme base nos resultados obtidos, pode-se averiguar que existe uma grande
dependência da utilização de tecnologia da informação no processo de ensino e de
aprendizagem. Os respondentes afirmam que a utilização da TI em sala de aula é crucial para
o desenvolvimento das atividades docentes, e que, em caso de indisponibilidade deste recurso,
BDU – Biblioteca Digital da UNIVATES (http://www.univates.br/bdu)
a mesma não seria facilmente substituída, afetando parcialmente a aprendizagem dos alunos.
Para a análise dos domínios que são abrangidos pelo questionário dividiu-se as
questões específicas de cada área em seções individuais para melhor explanação do conteúdo
abordado em cada uma. O questionário foi aplicado a cinco colaboradores estratégicos do
NTI, sendo que o resultado obtido é apresentado por meio de um quadro de cada área, com o
número de respostas obtidas em cada uma das questões.
O framework utilizado foi elaborado por Sêmola (2003) com o intuito de possuir
apenas um respondente, com uma resposta por questão. Neste estudo o mesmo foi aplicado a
vários entrevistados e obtiveram-se resultados dispersos em algumas questões, o que já
apresenta uma falta de coerência entre os entrevistados. Sendo assim, serão consideradas as
respostas que possuírem maior aderência dos respondentes, sendo feita uma verificação
quanto a sua consistência, avaliando-se o cenário existente na instituição.
estão bastante dispersas, pode-se concluir que este quesito não está de acordo com a norma,
pois a mesma requer que a política de segurança, caso exista, seja conhecida por todos na
organização.
BDU – Biblioteca Digital da UNIVATES (http://www.univates.br/bdu)
Pode-se verificar que metade das questões aqui apresentadas foram apontadas em sua
maioria como não existente, ou ainda existente, mas desatualizada. A questão que apresentou
76
maior coerência dos respondentes foi a inerente aos controles de acesso aos prestadores de
serviço, que apresentou quatro respostas “Sim”, o que representa aderência a este quesito.
quesitos que estão de acordo com a norma, mas, devido a divergência de opiniões e a alta
quantidade de respostas negativas nas questões acima pode-se afirmar que a mesma não está
de acordo com o proposto pela norma ABNT NBR ISO/IEC 17799.
Segundo a norma ABNT NBR ISO/IEC 17799, o controle e a classificação dos ativos,
que são compostos por todos os elementos que representam algum valor a organização, tem
como objetivo alcançar e manter uma proteção adequada aos ativos da organização. Para tanto
é necessário que haja um inventário desses ativos, um responsável pela sua manutenção e
controles específicos.
Com base nas respostas obtidas no quesito de classificação e controle dos ativos,
verifica-se que 80% dos respondentes concordam que existe um controle dos ativos físicos,
lógicos e humanos da organização, entretanto obteve-se três respostas negativas quanto a
classificação da informação, concluindo-se que não há uma classificação satisfatória quanto a
sua necessidade, prioridade e nível esperado de proteção conforme apresenta a norma ABNT
NBR ISO/IEC 17799.
Este quesito visa também evitar que ocorram falhas humanas e que exista também a
prática de capacitação dos colaboradores da organização. O Quadro 8 demonstra o grau de
aderência quanto à segurança em pessoas.
BDU – Biblioteca Digital da UNIVATES (http://www.univates.br/bdu)
Segundo a norma ABNT NBR ISO/IEC 17799, a segurança física e de ambiente visa
prevenir o acesso indevido aos ambientes de TI da organização evitando que ocorram danos
ou interferências nas instalações e informações da organização.
Para cumprimento das exigências deste quesito faz-se necessário que existam áreas
seguras para abrigar as instalações de processamento e armazenagem de dados, bem como da
existência de segurança lógica da rede. O Quadro 9 apresenta o grau de aderência ou não à
segurança física e de ambiente.
O segmento de controle de acesso abordado pela norma ABNT NBR ISO/IEC 17799,
compreende realizar o controle do acesso à informação. O acesso da informação (acesso a um
BDU – Biblioteca Digital da UNIVATES (http://www.univates.br/bdu)
ambiente, a um dispositivo, a um sistema, processo, etc.) deve ser controlado com base nos
requisitos de negócio e segurança da informação. O Quadro 11 apresenta os resultados quanto
o grau de aderência ao controle de acesso.
No que diz respeito aos controles de acesso, a maioria das respostas obtidas pela
aplicação do questionário demonstram que existe uma política da UNIVATES quanto ao
controle de acesso à rede, ao sistema operacional, as aplicações ao acesso e uso do sistema,
compreendendo em uma alta aderência a norma.
As únicas práticas que não alcançaram o mínimo de 80% das respostas obtidas foram a
da existência de requisitos do negócio para controle de acesso, que pode não estar completa e
de critérios para computação móvel e trabalho remoto, tendo em vista que essa prática não é
muito utilizada pelos funcionários.
3 2 -
desenvolvimento e suporte?
Fonte: Elaborado pelo autor (2014), teste de conformidade (Sêmola, 2003).
No quesito de gestão de continuidade, 80% dos respondentes afirmam que não existe
uma gestão de continuidade do negócio na instituição, entretanto, se analisado o cenário da
infraestrutura de TI apresentado, pode-se averiguar diversos mecanismos de contingência e de
continuidade, principalmente no que diz respeito aos componentes existentes no data center
da instituição.
.
81
Conforme avaliação dos dados dos respondentes constata-se que a UNIVATES possui
alguma aderência à conformidade, contudo, está desatualizada e essencialmente não
conforme. Esta informação pode caracterizar que existe um grau elevado de decisões que são
tomadas, assim como normas e padronizações, a partir do conhecimento de indivíduos e não a
partir de recomendações das normas.
No que diz respeito aos recursos e critérios para auditoria de sistemas pode-se verificar
que 60% das respostas obtidas afirmam que está prática não está sendo empregada na
instituição.
Nos casos onde houve duas alternativas com o mesmo número de respostas, serão
considerados os dois resultados obtidos e feita uma verificação de qual alternativa aplica-se
melhor com base no cenário apresentado.
82
Total 54 pontos
O resultado entre 0 a 26 pontos indica uma aderência muito baixa à norma ABNT
NBR ISO/IEC 17799, caracterizando que a segurança da informação não está sendo tratada
como prioridade e indicando a ausência ou ineficácia de muitos dos controles recomendados
pela norma. As causas podem ser o desconhecimento dos riscos e a falta de sensibilização dos
executivos e da alta administração. Este resultado pode indicar também que apesar da
segurança estar sendo aplicada por alguns departamentos a mesma não está distribuída
uniformemente, sendo que o nível de segurança do negócio como um todo permanece baixo.
controles que aplica no negócio. Mesmo estando neste nível de conformidade, não é possível
verificar a uniformidade dos controles por completa tendo em vista que o teste abrange dez
domínios.
BDU – Biblioteca Digital da UNIVATES (http://www.univates.br/bdu)
Política de segurança 4 0 0%
Desenvolvimento e manutenção de
6 5 83%
sistemas
Conformidade 4 1 25%
Total 80 54 67,5%
resultado obtido pela instituição representar um alto grau de aderência a norma, dentre os dez
domínios analisados, somente quatro deles apresentam valores acima de 67,5% (que é o valor
necessário para obter-se esse enquadramento).
Se analisadas as áreas de domínio que possuem maior aderência pode-se notar que as
mesmas condizem aos segmentos essencialmente técnicos e operacionais. Por outro lado, a
maior deficiência encontrada na instituição (atingindo um grau baixo de aderência) está na
política de segurança, na gestão de continuidade do negócio e na conformidade, sendo que as
mesmas podem não existir, não estarem mais ativas, ou ainda não foram implementadas.
A baixa aderência obtida em alguns domínios pode indicar que existem pontos falhos
a organização que geram riscos à infraestrutura de TI e, consequentemente, aos processos que
dela são dependentes, como por exemplo, o processo de ensino e de aprendizagem.
A fim de avaliar quais os riscos existentes, se faz de grande valia que seja
implementada uma gestão de riscos, que pode ser útil enquanto ferramenta de apoio para
caracterizá-los, bem como para avaliação das suas causas e consequências. Sendo assim, a
seção a seguir apresenta a avaliação do grau de maturidade à gestão do Centro Universitário
UNIVATES.
A obtenção dos dados foi realizada por meio da aplicação do framework de avaliação
do grau de maturidade da gestão dos riscos da organização (Anexo B), de autoria do QSP –
Centro de Qualidade, Segurança e Produtividade, que é distribuída gratuitamente a todos os
interessados.
O questionário, que possui 15 questões inerentes aos processos de gestão de riscos, foi
aplicado a cinco funcionários do NTI que desempenham funções estratégicas a fim de
identificar qual a situação atual da UNIVATES com relação a gestão de riscos.
Fonte: Elaborado pelo autor (2014), teste de maturidade de gestão de riscos (QSP, 2007).
indica a pontuação geral por respondente, bem como a pontuação final da maturidade de
riscos.
obteve-se uma pontuação final de 2,3. A Tabela 7 demonstra os estágios definidos pela QSP
(2007), segundo a pontuação final obtida.
Fonte: Elaborado pelo autor (2014), teste de maturidade de gestão de riscos (QSP, 2007).
Fonte: Elaborado pelo autor (2014), com base no teste de maturidade da gestão de riscos (QSP, 2007).
Em uma análise mais detalhada, conforme demonstrado no Quadro 16, verifica-se que
os itens com pior avaliação, considerados em um estágio “ingênuo” pelos respondentes são: a
existência de um sistema de pontuação para avaliação de riscos, a compilação dos riscos em
uma lista, e a avaliação de todos os riscos de acordo com o sistema de pontuação, etapas estas
BDU – Biblioteca Digital da UNIVATES (http://www.univates.br/bdu)
No modelo proposto, após definido o contexto ao qual a gestão de riscos será aplicada,
é necessário que haja a definição do escopo, do mapa de apetite e a identificação e
classificação dos riscos, para posterior tratamento.
Nas seções seguintes será definido o mapa do apetite de riscos aceitáveis pela
UNIVATES, apresentado a avaliação e a análise dos riscos e o cadastro de ameaças
relacionadas.
R - Relevância 1 2 3 4 5
Fonte: ABNT NBR ISO/IEC 31000 (2009).
Após a combinação dos três níveis de riscos, a matriz do grau de riscos é composta por
valores entre 1 e 125, sendo 1 o menor índice de risco e 125 o maior índice de risco. Desta
forma as ameaças com o maior risco para a organização devem ser associadas aos índices de
risco mais altos.
Para obtenção dos valores existentes na tabela realiza-se a multiplicação dos valores
associados a probabilidade, consequência e relevância (P x C x R) dos riscos. O valor mais
baixo é obtido a partir da multiplicação dos valores mais baixos de cada vetor, isto é, P = 1 x
91
Para o grau de médio risco, definiu-se a faixa de pontuação entre 13 e 35 pontos sendo
que caso haja dois valores 3 ou maiores, e um valor 2 por exemplo, atingindo a pontuação de
18, a ameaça é considerada de médio risco.
O alto grau de riscos existente no mapa de apetite de riscos foi definindo tendo em
vista que para as ameaças que obtiverem dois níveis (probabilidade, relevância ou
consequência) com valores 3 e um dos níveis apresentando valor 4 ou mais (que são
considerados valores altos na escala de 1 a 5 apresentada), obtendo-se 36 pontos,
considerando-se uma ameaça de alto risco.
Indisponibilidade dos serviços internos 2,0 4,4 4,0 35,2 Alto Não Segurança Física e de Ambiente/ Segurança em Pessoas
Interrupção do fornecimento de energia elétrica no data center 1,6 3,7 3,7 21,9 Médio Sim Segurança Física e de Ambiente
Falha nos nobreaks do data center 1,6 4 4,1 26,2 Médio Sim Segurança Física e de Ambiente/ Segurança Organizacional
Falha no gerador que atende ao data center 2,1 4,8 4,7 47,3 Alto Não Segurança Física e de Ambiente
Falha ou dano permanente na infraestrutura física de TI 3,0 4,1 4,2 51,6 Alto Sim Segurança Organizacional/ Segurança Física e de Ambiente
Falha no data center Gerenciamento das operações e comunicações/ Segurança
1,8 4,6 4,6 38,0 Alto Sim Organizacional/ Segurança em pessoas/ Segurança Física e
de Ambiente/ Gestão de Continuidade do Negócio
Falha ou indisponibilidade de acesso a repositórios de dados 2,1 2,6 3,2 17,4 Médio Sim Gerenciamento das operações e comunicações
Interrupção do fornecimento de energia elétrica nas salas de aula 2,7 4,8 4,7 60,9 Alto Não Segurança Física e de Ambiente
Interrupção do fornecimento de energia elétrica em salas de
2,1 3,4 3,4 24,2 Médio Sim Segurança Física e de Ambiente
telecomunicações
Falha em algum equipamento interno Classificação e Controle dos Ativos de Informação/
3,0 3,9 4,0 46,8 Alto Sim
Segurança Física e de Ambiente
Falha nos nobreaks das salas de telecomunicações 1,6 4,2 4,1 27,0 Médio Sim Segurança Física e de Ambiente/ Segurança Organizacional
Indisponibilidade de acesso à Internet (indisponibilidade dos ISPs) 2,7 3,8 3,8 38,9 Alto Sim Segurança Física e de Ambiente/ Segurança Organizacional
Danos permanentes nos computadores dos laboratórios de informática Segurança Física e de Ambiente/ Controle de Acesso/
2,5 3,4 3,4 38,9 Alto Sim
Desenvolvimento e Manutenção de Sistemas
Danos permanentes nos dispositivos próprios dos alunos Segurança Física e de Ambiente/ Controle de Acesso/
2,3 2,4 4,3 23,7 Médio Não
Desenvolvimento e Manutenção de Sistemas
Ataques por softwares mal-intencionados, cibervandalismo ou ataques a
rede WI-FI ou aos sistemas da instituição e/ou dispositivos da 2,4 3,9 4,2 39,3 Alto Sim Gerenciamento das operações e comunicações
instituição
Ataques por softwares mal-intencionados ou cibervandalismo aos
2,3 3,9 3,8 36,0 Alto Não Gerenciamento das operações e comunicações
dispositivos próprios dos alunos
Falha ou indisponibilidade de acesso a redes sociais 1,6 1,8 0,8 2,3 Baixo Não Segurança Física e de Ambiente/ Segurança Organizacional
Instabilidade nos computadores dos laboratórios de informática da Desenvolvimento e Manutenção de Sistemas/ Segurança em
2,6 2,8 2,6 18,9 Médio Não
instituição ou dispositivos próprios dos alunos Pessoas
Impacto negativo no processo de ensino e de aprendizagem devido
2,5 3,6 3,8 36,2 Alto Sim Segurança em pessoas/ Gestão de Continuidade
problemas na utilização dos serviços de TI
Falha ou indisponibilidade do acesso à rede sem fio Segurança Física e de Ambiente/ Gerenciamento das
2,5 3,7 3,6 35,3 Alto Sim
operações e comunicações
Falha ou indisponibilidade de streaming de áudio ou vídeo 2,0 2,4 2,3 11,0 Baixo Não Controle de acesso
Falha ou indisponibilidade no processo de instalação ou atualização de Desenvolvimento e Manutenção de Sistemas/ Controle de
2,0 2,7 2,8 15,1 Médio Não
softwares acesso
Falha ou indisponibilidade de acesso a serviços específicos 2,0 2,9 2,3 13,3 Médio Não Controle de acesso
Acesso indevido de outros usuários ao seu dispositivo a partir da rede
2,2 3,5 2,7 20,7 Médio Sim Controle de acesso
da UNIVATES (rede local)
Indisponibilidade dos serviços externos 1,5 2,8 2,9 12,0 Baixo Sim Segurança Física e de Ambiente/ Segurança Organizacional
Fonte: Elaborado pelo autor (2014).
94
Com relação ao tratamento das mesmas, pode-se observar que 15 ameaças já possuem
algum controle implementado de tratamento, correspondendo a 60% do total das ameaças.
Para os critérios definidos, as ameaças de alto risco são as que requerem maior atenção
por parte da gestão, necessitando imediato tratamento ou mitigação. Dentre as 12 ameaças de
alto risco elencadas, quatro não possuem nenhum tratamento ou controle, representando 33%
das ameaças que ainda não foram tratadas.
Dentre as ameaças elencadas pode-se verificar que oito dos dez domínios descritos na
norma ABNT ISO/IEC 17799:2009 são abrangidos, sendo que algumas possuem correlação
com mais de um domínio. Como os riscos elencados são voltados principalmente a questões
operacionais, os domínios de política de segurança e de conformidade não foram abrangidos
na avaliação dos riscos.
A Tabela 11 apresenta qual o grau de aderência obtido por meio da aplicação do teste
de conformidade da gestão de segurança da informação (conforme apresentado anteriormente)
e qual o percentual abrangido pelas ameaças em cada um dos domínios.
95
Política de Segurança 0% 0%
Conformidade 0% 0%
Com relação ao domínio de conformidade não foi elencada nenhuma ameaça, tendo
em vista que este quesito aborda a legislação, os requisitos estatutários e contratuais, não
condizendo com o objetivo ao qual o estudo foi direcionado. Entretanto este domínio deve ser
verificado com cautela pelo corpo gestor levando-se em conta que o grau de aderência obtido
no teste foi nulo.
96
cadastro de ameaças.
Após a identificação de uma ameaça e o risco associado ao ativo a ser protegido, pode-
se estabelecer a possibilidade ou não de tratamento desta ameaça com base no seu nível de
risco. As ameaças com riscos muito altos devem passar para uma etapa de análise de recursos
e ações, com o propósito de estabelecer um plano de ações. Os recursos e ações podem ser
estimados, pois o método requer que os índices associados a cada ativo sejam reavaliados
periodicamente ou após sofrerem alguma intervenção.
- aquisição de nobreaks de
- disponibilizar um gerador de
- sala de aula sem energia pequeno porte;
- nobreak para os ativos de rede energia elétrica móvel (que possa
elétrica; - definir novo projeto elétrico,
que atendem a sala de aula em ser deslocado);
- impossibilidade de realização
das tarefas por um ou mais
alunos. - atualizações tecnológicas
- necessidade de troca do periódicas do parque de - manter computador sobressalente - manter os procedimentos de
computador ou realocação do máquinas dos laboratórios; com a imagem do sistema - aquisição de computadores restrição de acesso e de
aluno; - existe monitoria dos operacional utilizada no sobressalentes; segurança;
Danos permanentes - mau funcionamento dos
- necessidade de configuração laboratórios de informática; laboratório; - horas técnicas para - manter uma documentação das
nos computadores periféricos dos computadores;
de nova máquina; - procedimentos de segurança 38,9 - criar uma documentação relativa configuração dos computadores imagens dos sistemas
dos laboratórios de - má utilização dos
- possível interrupção das aplicados aos usuários; as imagens dos sistemas e para criação de documentação operacionais;
informática computadores pelos usuários.
atividades discentes; - existe gerenciamento de acesso operacionais existentes; apropriada. - manter o processo de
- insatisfação dos professores e aplicado aos usuários; - manter o sistema operacional e atualização tecnológica.
alunos; - segurança lógica da rede os softwares atualizados.
- perda de credibilidade no existente.
setor de TI.
99
Fonte: Elaborado pelo autor (2014), cadastro das ameaças (ABNT NBR ISO/IEC 31000, 2009).
100
Conforme pode-se observar no Quadro 18, a maioria das ameaças elencadas geram
sérias consequências para o processo de ensino e de aprendizagem da instituição, na maioria
das vezes interrompendo as aulas, o que novamente indica a existência de total dependência
com relação a TI.
BDU – Biblioteca Digital da UNIVATES (http://www.univates.br/bdu)
Segundo a análise de riscos, 33% das ameaças de alto risco relacionadas ainda não
foram tratadas ou foram tratadas parcialmente. No entanto, o cadastro de ameaças identifica
ao menos um controle existente para cada uma das ameaças elencadas, demonstrando que
mesmo que indiretamente o mesmo está sendo tratado.
6 CONSIDERAÇÕES FINAIS
Com a realização do presente estudo foi possível identificar parte dos riscos que o
ambiente de TI propicia ao processo de ensino e de aprendizagem, confrontando-os aos
resultados da análise do cenário existente na instituição, aos índices de grau de aderência a
norma ABNT NBR ISO/IEC 17799 e ao nível de maturidade em gestão de riscos, com o
intuito de propor melhorias na segurança de TI, mitigando os riscos inerentes ao processo de
ensino e de aprendizagem.
quesitos abordados. Os domínios que encontram-se com baixo ou que não apresentam
nenhum nível de aderência a norma devem ser revistos com maior atenção pela gestão afim de
implementar os processos e controles necessários.
BDU – Biblioteca Digital da UNIVATES (http://www.univates.br/bdu)
No que diz respeito ao modelo de gestão de riscos proposto, pode-se afirmar que o
mesmo mostrou-se eficiente, evidenciando que a UNIVATES possui controles de segurança
da informação implementados, mas que em alguns quesitos ainda encontram-se ingênuos com
relação à gestão de riscos, o que representa um resultado muito inferior ao ideal se levada em
consideração a relevância que a TIC apresenta no processo de ensino e de aprendizagem, que
é o principal enfoque da instituição.
REFERÊNCIAS
FERNANDEZ V. P., YOUSSEF A. N., Informática e Sociedade. São Paulo – SP: Ed. Ática,
2003, 61 p.
GIL, A. C. Como elaborar projetos de pesquisa. 4. ed. São Paulo: Atlas, 2002.
KATZ, S.N. Information Tecnology, Don’t Mistake a Tool for a Goal. Disponível em:
<http://www.princeton.edu/~snkatz/papers/CHE_6-15-01.html>. Acesso em: 15 mar. 2014.
KIDDE. Ficha técnica de informações do sistema FM-200. 2014. Disponível em: <
http://www.kidde.com.br/Documents/sistemafm-200.pdf>. Acesso em: 23 ago. 2014.
SONG, S., Gerenciamento único para o desafio do BYOD - 2013. Disponível em: <
http://gblogs.cisco.com/br/tag/ti-de-universidade>. Acesso em: 17 mar. 2014.
WERTHEIN, J. Information society and it´s challenges. Ci. Inf., maio/ago. 2000, vol.29,
nº.2.
APÊNDICES
106
107
4) Quais dos seguintes recursos utilizo com maior frequência para acesso a ambientes
acadêmicos (UNIVATES Virtual, Universo UNIVATES, Balcão de Empregos, etc.)?
( ) WI-FI (dispositivo próprio)
( ) Laboratórios de Informática
( ) Terminais de consulta
( ) Acesso somente de casa
( ) Não utilizo/Nunca utilizei
( ) Indiferente
( ) Discordo
( ) Discordo plenamente
Para cada uma das ameaças descritas abaixo, indique como você avalia os itens de
probabilidade (possibilidade da ameaça se concretizar), consequência (prejuízos que a ameaça
pode oferecer ao processo de ensino e de aprendizagem) e relevância (importância que a
ameaça pode apresentar no processo de ensino e de aprendizagem), selecionando um índice
compreendido entre 1 e 5, onde 1 indica menor importância e 5 extrema importância.
109
Legenda:
Contingência: possibilidade de contornar a ameaça de forma paliativa (com outro recurso) em
BDU – Biblioteca Digital da UNIVATES (http://www.univates.br/bdu)
12) Indisponibilidade dos serviços externos ( serviços do Google, webmail externo, sites
de pesquisa, etc.)
Probabilidade: 1( ) 2( ) 3( ) 4( ) 5( )
Consequência: 1( ) 2( ) 3( ) 4( ) 5( )
Relevância: 1( ) 2( ) 3( ) 4( ) 5( )
Contingência: Sim ( ) Não ( )
Continuidade: Sim ( ) Não ( )
13) Interrupção do fornecimento de energia elétrica nas salas de aula (levando em conta o
impacto sobre a TI e o processo de ensino e de aprendizagem)
Probabilidade: 1( ) 2( ) 3( ) 4( ) 5( )
Consequência: 1( ) 2( ) 3( ) 4( ) 5( )
Relevância: 1( ) 2( ) 3( ) 4( ) 5( )
Contingência: Sim ( ) Não ( )
Continuidade: Sim ( ) Não ( )
18) Falha no gerador que atende ao data center (considerando uma interrupção no
fornecimento de energia elétrica)
Probabilidade: 1( ) 2( ) 3( ) 4( ) 5( )
Consequência: 1( ) 2( ) 3( ) 4( ) 5( )
Relevância: 1( ) 2( ) 3( ) 4( ) 5( )
Contingência: Sim ( ) Não ( )
Continuidade: Sim ( ) Não ( )
19) Falha em algum equipamento interno (switch, roteadores, pontos de acesso WI-FI,
etc.) existentes nos prédios em que as aulas ocorrem
Probabilidade: 1( ) 2( ) 3( ) 4( ) 5( )
Consequência: 1( ) 2( ) 3( ) 4( ) 5( )
Relevância: 1( ) 2( ) 3( ) 4( ) 5( )
Contingência: Sim ( ) Não ( )
Continuidade: Sim ( ) Não ( )
20) Falha ou dano permanente na infraestrutura física de TI (cabeamento metálico,
backbone óptico, patch cords, etc. )
Probabilidade: 1( ) 2( ) 3( ) 4( ) 5( )
Consequência: 1( ) 2( ) 3( ) 4( ) 5( )
Relevância: 1( ) 2( ) 3( ) 4( ) 5( )
Contingência: Sim ( ) Não ( )
Continuidade: Sim ( ) Não ( )
ANEXOS
112
113
relação aos controles sugeridos pelo código de conduta de gestão da segurança da informação
definidos pela norma NBR ISO/IEC 17799.
Política de Segurança
Segurança Organizacional
Segurança em Pessoas
14) Existe uma estrutura para notificar e responder aos incidentes e falhas de segurança?
( ) Sim
( ) Sim, porém desatualizada
( ) Não
Controle de acesso
( ) Não
Conformidade
Legenda:
Ruim: processo inconsistente, pobremente controlado;
Razoável: processo disciplinado, podendo repetir tarefas com sucesso;
Bom: processo padronizado e consistente. Ou seja, o processo é caracterizado e bem
entendido;
Muito Bom: processo medido e controlado;
Excelente: processo focado na melhoria contínua;
2) Direção foi treinada para compreender os riscos e suas responsabilidade por eles
Entrevistar gerentes para confirmar seu entendimento sobre riscos e o quanto eles o
gerenciam.
( ) Ruim
( ) Razoável
( ) Bom
( ) Muito Bom
( ) Excelente
( ) Razoável
( ) Bom
( ) Muito Bom
( ) Excelente
6) Todos os riscos foram compilados em uma lista. Os riscos foram alocados a cargos
específicos
Examinar o cadastro de riscos. Certificar-se de que está completo, é analisado
criticamente com regularidade e usado para gerenciar os riscos. Riscos são alocados para
os gerentes
( ) Ruim
( ) Razoável
( ) Bom
( ) Muito Bom
( ) Excelente
estivessem implementadas
( ) Ruim
( ) Razoável
( ) Bom
( ) Muito Bom
( ) Excelente
11) Administração relata riscos para diretores quando as respostas não manejaram os
riscos para um nível aceitável para o conselho
Para os riscos acima do apetite por riscos, verificar se o conselho foi informado
formalmente sobre a existência de tais riscos
( ) Ruim
( ) Razoável
( ) Bom
( ) Muito Bom
( ) Excelente
12) Todos os projetos novos significativos são avaliados quanto a riscos rotineiramente
Examinar propostas de projeto para uma análise dos riscos que possam ameaçá-los
( ) Ruim
( ) Razoável
( ) Bom
( ) Muito Bom
( ) Excelente
13) Responsabilidade pela determinação, avaliação e manejo dos riscos está incluída nas
descrições de cargos
Examinar descrições de cargos. Verificar instruções para estabelecer descrições de cargos
( ) Ruim
( ) Razoável
( ) Bom
( ) Muito Bom
( ) Excelente
121
( ) Bom
( ) Muito Bom
( ) Excelente