2014RodrigoPedroWerle PDF

CENTRO UNIVERSITÁRIO UNIVATES
CENTRO DE CIÊNCIAS EXATAS E TECNOLÓGICAS

CURSO DE SISTEMAS DE INFORMAÇÃO
ANÁLISE E AVALIAÇÃO DE RISCOS DA INFRAESTRUTURA DE

TECNOLOGIA DA INFORMAÇÃO NO ÂMBITO DE ENSINO E DE
APRENDIZAGEM DO CENTRO UNIVERSITÁRIO UNIVATES
Rodrigo Pedro Werle
Lajeado, novembro de 2014

Rodrigo Pedro Werle
BDU – Biblioteca Digital da UNIVATES (http://www.univates.br/bdu)

Monografia apresentada ao Centro de Ciências

Exatas e Tecnológicas do Centro Universitário
UNIVATES, como parte da exigência para a
obtenção do título de bacharel em Sistemas de
Informação.
Área de concentração: Redes de Computadores
Orientador: Prof. Ms. Luis Antônio Schneiders

Rodrigo Pedro Werle

A Banca examinadora abaixo aprova a Monografia apresentada na disciplina Trabalho de

Conclusão de Curso II, do Centro Universitário UNIVATES, como parte da exigência para a
obtenção do grau de Bacharel em Sistemas de Informação:
Prof. Ms. Luis Antônio Schneiders – orientador
Centro Universitário UNIVATES
Prof. Ms. Alexandre Stürmer Wolf
Prof. Ms. Marcus Vinicius Lazzari

AGRADECIMENTOS
Agradeço a Deus, por ter me mostrado um caminho a seguir e por ter me concedido
força e entusiasmo durante esta fase da minha vida.
A minha querida namorada Cristiane pela compreensão, apoio e incentivo ao longo

desta caminhada.
Aos meus pais Pedro e Glades, fontes eternas de amor, carinho e inspiração.
Ao meu irmão Edison e a minha irmã Liana que se mostraram sempre presentes e
prestativos.
A todos os colegas do Núcleo de Tecnologia da Informação do Centro Universitário

UNIVATES, pela contribuição para realização deste estudo e pelo crescimento pessoal e
profissional.
A todos os professores, em especial ao meu orientador, Prof. Luis pela amizade,

parceria e apoio.
A todos os colegas, amigos e familiares, pela coragem e incentivos dados durante a

realização deste trabalho.
RESUMO
Juntamente com a informatização da sociedade, várias mudanças com base na crescente

evolução da TI estão ocorrendo. Novas tecnologias aliadas a novas mediações pedagógicas
garantem um processo de transmissão de conhecimento totalmente novo, requerendo que
exista uma infraestrutura de tecnologia da informação confiável que permita a efetiva
utilização das tecnologias disponibilizadas. Seguindo este contexto, este trabalho visa
apresentar os resultados obtidos da análise de risco da infraestrutura de TI existente no Centro
Universitário UNIVATES, analisando de forma qualitativa os possíveis problemas existentes
e suas resoluções, bem como os impactos que a indisponibilidade desta estrutura pode
ocasionar ao corpo docente e discente da instituição.
Palavras-chave: Infraestrutura, Análise de Riscos, Educação, Tecnologia da Informação,

IES.
ABSTRACT
Along with the society informatization, several changes based on increasing IT evolution is
occurring. New technologies allied with new pedagogical mediations ensure a transfer of
knowledge entirely new, requiring the existence of an reliable infrastructure of information
technology which allows the effective use of available technologies. Following this context,
this paper presents the results of the risk analysis of the existing IT infrastructure in
UNIVATES University Center, analyzing qualitatively the potential existing problems and
their resolutions and the impact that the absence of this structure can lead to the teachers and
the students of the institution.
Keywords: Infrastructure, Risk Analysis, Education, Information Technology.

LISTA DE FIGURAS
Figura 1 – Componentes da infraestrutura de TI ...................................................................... 21

Figura 2 – Componentes de uma rede de computadores .......................................................... 24
Figura 3 - Vulnerabilidades em sistemas de informação .......................................................... 29
Figura 6 – Diagrama da infraestrutura de rede primária .......................................................... 55
Figura 7 - Diagrama da infraestrutura de rede acadêmica ........................................................ 56
Figura 8 - Diagrama do projeto elétrico ................................................................................... 59
Figura 9 - Ativos de rede do Centro Universitário UNIVATES ............................................. 64
Figura 10 - Monitoramento da rede WI-FI ............................................................................... 66
Figura 11 - Tráfego WAN ........................................................................................................ 67
Figura 12 - Monitoramento dos servidores e de dispositivos de armazenamento .................... 68
Figura 13 – Processo de gestão de riscos segundo a norma ABNT NBR ISO/IEC 31000 ...... 69
Figura 14 - Contexto interno da UNIVATES ........................................................................... 71
LISTA DE QUADROS
Quadro 1 - Matriz de riscos ...................................................................................................... 41

Quadro 2 - Quadro de aceitabilidade de riscos ......................................................................... 41
Quadro 3- Relevância da TI no processo de ensino e de aprendizagem .................................. 72
Quadro 4 - Teste de conformidade - Tabela de Pontuação....................................................... 73
Quadro 5 - Grau de aderência à política de segurança da informação ..................................... 74
Quadro 6 – Grau de aderência à segurança organizacional ...................................................... 75
Quadro 7 - Grau de aderência à classificação e controle dos ativos......................................... 76
Quadro 8 - Grau de aderência à segurança em pessoas ............................................................ 77
Quadro 9 - Grau de aderência à segurança física e de ambiente .............................................. 77
Quadro 10 - Grau de aderência ao gerenciamento das operações e comunicações .................. 78
Quadro 11 - Grau de aderência ao controle de acesso .............................................................. 79
Quadro 12 - Grau de aderência ao desenvolvimento e manutenção de sistemas ..................... 80
Quadro 13 - Grau de aderência à gestão da continuidade do negócio ...................................... 80
Quadro 14 - Grau de aderência à conformidade ....................................................................... 81
Quadro 15 - Resultados obtidos e respostas consideradas ....................................................... 82
Quadro 16 - Pontuação obtida no questionário de maturidade da gestão de riscos.................. 87
Quadro 17 - Resultados da avaliação dos riscos....................................................................... 93
Quadro 18 - Cadastro de ameaças ............................................................................................ 97
LISTA DE TABELAS
Tabela 1 - Modelos para contextualização de risco .................................................................. 36

Tabela 2 - Escala simples de consequências ............................................................................ 38
Tabela 3 - Escala simples de probabilidades ............................................................................ 38
Tabela 4 – Pontuação obtida no teste de conformidade ........................................................... 83
Tabela 5 - Resultados do teste de conformidade por domínio ................................................. 84
Tabela 6 - Pontuação dos processos quanto a maturidade........................................................ 86
Tabela 7 - Estágio da maturidade de gestão de riscos .............................................................. 88
Tabela 8 - Percentual de respostas por grau de maturidade ..................................................... 88
Tabela 9 - Níveis de risco ......................................................................................................... 90
Tabela 10 - Mapa de apetite de riscos ...................................................................................... 90
Tabela 11 - Relação do grau de aderência e as ameaças por domínio...................................... 95
LISTA DE ABREVIATURAS
ABNT – Associação Brasileira de Normas Técnicas

ACL – Access Control List
ALE – Anual Loss Exposure
BYOD – Bring your own device
CAN – Campus-area Network
CFTV – Circuito Fechado de TV
COBIT – Control Objectives for Information and related Technology
DIO – Distribuidor Interno Óptico
DoS – Denial of Service
DSL – Digital Subscriber Line
IES – Instituição de Ensino Superior
ISMS – Information Security Management System
ISO – International Standards Organization
ISP – Internet Service Provider
ITIL – Information Technology Infrastructure Library
LAN – Local Area Network
MAN – Metropolitan Area Network
NIC – Network Interface Card
NOS – Networking Operation System
NTI – Núcleo de Tecnologia da Informação
PBL – Problem-Based Learning
PoE – Power Over Ethernet
PTT – Ponto de Troca de Tráfego
QGBT – Quadro Geral de Baixa Tensão
QSP – Centro de Qualidade, Segurança e Produtividade
RNP – Rede Nacional de Pesquisa
ROI – Return Over Investment
SAN – Storage Area Networks
SGDB – Software Gerenciador de Banco de Dados

TBL – Team-Based Learning
TI – Tecnologia da Informação
TIC – Tecnologia da Informação e Comunicação
UTP – Unshielded Twisted Pair
VLAN – Virtual Local Area Network
VoIP – Voice Over IP
WAN – Wide Area Network
WEP – Wired Equivalent Privacy
WLAN – Wireless Local Area Network
WPA2 – Wireless Fidelity Protected Access 2
SUMÁRIO
1 INTRODUÇÃO .............................................................................................................. 14
1.1 Objetivos ...................................................................................................................... 16
1.2 Organização do Trabalho .......................................................................................... 17
2 REFERENCIAL TEÓRICO ......................................................................................... 18
2.1 O ensino tradicional ................................................................................................... 18
2.1.1 Características do ensino tradicional ........................................................................ 19
2.2 A utilização da informática no processo de ensino e de aprendizagem ................. 19
2.2.1 Tecnologias utilizadas na educação........................................................................... 20
2.3 Infraestrutura de TI ................................................................................................... 21
2.3.1 Hardware..................................................................................................................... 21
2.3.2 Software ....................................................................................................................... 22
2.3.3 Tecnologia de gestão de dados ................................................................................... 23
2.3.4 Tecnologia de rede e telecomunicações ..................................................................... 24
2.3.5 Serviços de tecnologia................................................................................................. 28
2.4 Segurança em TI ......................................................................................................... 28
2.4.1 Gestão dos ativos dos sistemas de informação ......................................................... 30
2.4.2 Segurança física .......................................................................................................... 31
2.4.3 Segurança lógica ......................................................................................................... 31
2.4.4 Segurança em recursos humanos .............................................................................. 32
2.4.5 Segurança em redes sem fio ....................................................................................... 32
2.4.6 Softwares mal-intencionados ..................................................................................... 33
2.4.7 Cibervandalismo ......................................................................................................... 33
2.4.8 Ataque DoS.................................................................................................................. 34
2.4.9 Vulnerabilidades de softwares ................................................................................... 34
2.5 Mobilidade e Ubiquidade ........................................................................................... 34
2.6 Gestão de Riscos ......................................................................................................... 35
2.6.1 Identificação dos riscos .............................................................................................. 36
2.6.2 Análise do risco ........................................................................................................... 37
2.6.3 Avaliação dos riscos .................................................................................................... 40
2.6.4 Tratamento dos riscos ................................................................................................ 42
2.6.5 Monitoramento dos riscos .......................................................................................... 43
2.7 Boas práticas ............................................................................................................... 43
2.7.1 ITIL .............................................................................................................................. 44
2.7.2 COBIT ......................................................................................................................... 45
2.7.3 ISO/IEC 27002 ............................................................................................................ 46
2.7.4 BS 7799 ........................................................................................................................ 47
3 METODOLOGIA........................................................................................................... 48
3.1 Metodologia de pesquisa ............................................................................................ 48

3.1.1 Tipo de metodologia a ser utilizada .......................................................................... 48
3.1.2 Natureza da pesquisa ................................................................................................. 49
3.2 Procedimentos para realização da pesquisa............................................................. 49
3.2.1 Pesquisa bibliográfica ................................................................................................ 49
3.2.2 Pesquisa documental .................................................................................................. 49
3.2.3 Levantamento dos dados ............................................................................................ 50
3.2.4 Estudo de caso ............................................................................................................. 50
3.3 Fases e etapas da pesquisa ......................................................................................... 51
3.3.1 Coleta de materiais e informações ............................................................................ 51
3.3.2 Análise dos dados ........................................................................................................ 52
4 CENÁRIO ATUAL ........................................................................................................ 54
4.1 Infraestrutura de entrada .......................................................................................... 56
4.2 Backbone ...................................................................................................................... 57
4.3 Data center .................................................................................................................. 57
4.3.1 Projeto Arquitetônico ................................................................................................. 58
4.3.2 Projeto elétrico ............................................................................................................ 58
4.3.3 Projeto mecânico......................................................................................................... 60
4.3.4 Projeto de segurança .................................................................................................. 60
4.3.5 Projeto lógico............................................................................................................... 61
4.4 Sala de telecomunicações ........................................................................................... 62
4.4.1 Fornecimento de energia elétrica .............................................................................. 62
4.4.2 Climatização ................................................................................................................ 63
4.4.3 Ativos de rede .............................................................................................................. 63
4.5 Meios de transmissão e cabeamento estruturado .................................................... 65
4.6 Rede sem fio ................................................................................................................ 65
4.7 Estações de trabalho ................................................................................................... 66
4.8 Aterramento ................................................................................................................ 66
4.9 ISPs .............................................................................................................................. 67
4.10 Serviços ........................................................................................................................ 67
5 APRESENTAÇÃO DO MODELO DE GESTÃO DE RISCO E ANÁLISE DOS
RESULTADOS ....................................................................................................................... 69
5.1 Estabelecimento do contexto ..................................................................................... 70
5.1.1 Avaliação da relevância da TIC no processo de ensino e de aprendizagem ......... 72
5.1.2 Avaliação do grau de conformidade da gestão de segurança da informação ....... 73
5.1.3 Avaliação do grau de maturidade à gestão de riscos............................................... 85
5.2 Análise e avaliação dos riscos .................................................................................... 89
5.2.1 Definição do mapa de apetite de riscos ..................................................................... 89
5.2.2 Avaliação dos riscos do processo de ensino e de aprendizagem ............................. 91
5.3 Proposta de Soluções .................................................................................................. 96
6 CONSIDERAÇÕES FINAIS ...................................................................................... 101
REFERÊNCIAS ................................................................................................................... 103
APÊNDICES ......................................................................................................................... 106
ANEXOS ............................................................................................................................... 112
14
1 INTRODUÇÃO
Inicialmente a utilização de computadores era restrita apenas para uso militar, com o
intuito de interconectar vários centros de comando. Após o final da guerra fria sua utilização
foi fortemente expandida também para uso científico e educacional e posteriormente para
empresas privadas e setores públicos, que os utilizavam visando um aumento da eficiência no
gerenciamento e administração das empresas (FERNANDEZ; YOUSSEF, 2003).
Com o advento da criação dos circuitos integrados e dos microprocessadores houve

uma diminuição tanto no custo quanto no porte dos computadores, possibilitando a criação
dos microcomputadores e popularizando sua utilização. A Tecnologia da Informação (TI), a
partir deste ponto, deixou de ser privilégio de quadros altamente técnicos e com objetivos
definidos, passando a estar ao alcance de todos e com finalidades diversas, sendo aplicada
cada vez mais na resolução de problemas sociais complexos, como assistência médica,
controle de poluição, educação e outros (FERNANDEZ; YOUSSEF, 2003). A forma como os
sistemas computacionais eram organizados mudou drasticamente, onde não apenas um
computador atende a todas as necessidades computacionais da organização, mas sim vários,
interconectados por uma rede de computadores (TANEMBAUM; WETHERALL, 2011).
A informatização das Instituições de Ensino Superior (IES), tanto na área acadêmica

quanto na área administrativa, gerou um aumento considerável da demanda de investimento
em TI a fim de atender a demanda (MAC-ALLISTER; MAGALHÃES, 2006).
Segundo Katz (2001), as IES utilizaram, inicialmente, os computadores apenas para

pesquisas científicas. Na década de 60 sua utilização foi ampliada para propósitos
administrativos, mas, somente em meados da década de 80, juntamente com a revolução dos
15
computadores pessoais, foi que sua utilização tornou-se realmente expressiva. A combinação
da Internet com o avanço das telecomunicações incrementaram novas possibilidades,
beneficiando também o processo ensino-aprendizagem no corpo universitário, abrindo novas
possibilidades e proporcionando melhoria na realização das tarefas docentes e discentes.
Segundo Moran, Masetto e Behrens (2013), as tecnologias estão em crescente

ascensão nas salas de aula, onde, a transmissão dos conteúdos dependerá menos dos
professores, que agirão principalmente como mediadores das informações, cabendo a eles a
definição de quando e onde os conteúdos serão disponibilizados, tendo em vista que
atualmente existem materiais digitais sobre qualquer assunto. A tecnologia na sala de aula
desafia as instituições a saírem do ensino tradicional em que o professor é o centro para uma
aprendizagem mais participativa e integrada. A utilização das Tecnologias de Informação e
Comunicação (TIC) em sala de aula será tão importante quanto o ensino convencional, pois
diminui-se o tempo de transmissão de informações e das aulas expositivas, concentrando-se
em atividades como discussão, interpretação e criação de conceitos.
Segundo Mazur (2014), a transmissão do conhecimento não será mais realizada em

sala de aula e a consolidação dos conhecimentos fora dela como ocorre no processo de ensino
e de aprendizagem convencional. A transmissão do conhecimento, por estar disponível na
Internet, televisão, livros, revistas, etc., irá ocorrer fora da sala de aula com o aluno como ator
principal. Para a sala de aula, ficará o debate, os esclarecimentos e a consolidação do
conhecimento, com o professor atuando como mediador do processo.
Tanto o processo de transmissão de conhecimento quanto o processo de consolidação

deste podem ser realizados por meio de ferramentas e novas metodologias de ensino como
atividades e avaliações online, Problem-Based Learning (PBL), Team-Based Learning (TBL),
Peer-Based Learning, Mapas Conceituais, Objetos de Aprendizagem e Ambientes Virtuais
que muitas vezes estão fortemente apoiadas com as tecnologias da informação e cada vez
mais passam a fazer parte do processo de ensino e de aprendizagem.
Para Mac-Allister e Magalhães (2006, apud FLORES, 1999), a cada ano a relação
entre aluno e computador no ambiente acadêmico vem se tornando mais importante, pois as
IES vêm utilizando a tecnologia não somente para fins educativos, mas também como uma
ferramenta decisiva para o alcance de suas metas e objetivos.
16
Além desta necessidade de utilização da tecnologia em sala de aula, observa-se

também uma crescente utilização de dispositivos móveis pelos alunos. O conceito do Bring
Your Own Device (BYOD) que consiste em trazer dispositivos pessoais de casa para o
trabalho, locais públicos, faculdades e outros, está em constante crescimento, sendo que
administradores de TI de universidades apontam que nos últimos anos houve um crescimento

de 200% nas redes e 300% nos endpoints (SONG, 2013).
Para suportar todas estas demandas citadas se faz necessário o provimento de uma
infraestrutura de TI (serviços de telecomunicações, rede lógica, hardware, software, etc)
sólida, confiável e a prova de falhas.
Neste sentido, cientes da importância que a infraestrutura de TI representa às IES e,

consequentemente ao processo de ensino e de aprendizagem, percebe-se que existe a
necessidade de avaliar quais os riscos decorrentes destes nas instituições de ensino, bem como
avaliar o impacto, a relevância e as consequências que a não conformidade da infraestrutura
de TI pode ocasionar à instituição. Por outro lado, também é de grande importância que seja
considerado quais medidas devem ser tomadas ou sugeridas como precaução e remediação em
caso de falha ou indisponibilidade.
1.1 Objetivos
Primário:
O presente trabalho visa avaliar os riscos do processo de ensino e de aprendizagem no

que diz respeito a infraestrutura de tecnologia da informação da UNIVATES, considerando de
forma qualitativa as ameaças e vulnerabilidades relacionadas, assim como as consequências
decorrentes destas para os professores e alunos em suas atividades acadêmicas.
Secundários:
a) Uma análise do impacto da indisponibilidade de TI será realizada avaliando-se os

processos e ferramentas dos componentes de serviços críticos;
b) Análise dos pontos falhos quanto a infraestrutura existente;
c) Avaliação da crescente demanda na utilização de TI no âmbito acadêmico e qual o
grau de dependência existente entre os mesmos;
d) Levantamento de medidas preventivas e recomendações para evitar a
indisponibilidade de TI.
17
1.2 Organização do Trabalho
O presente trabalho é dividido por capítulos, onde, após esta introdução, é apresentado
o Capítulo 2 com a revisão da bibliografia abordando os conceitos inerentes a este estudo de
forma teórica. No Capítulo 3 é apresentada a metodologia utilizada para realização do

trabalho. O Capítulo 4 apresenta o cenário atual da TI da UNIVATES. No Capítulo 5 é
apresentada a proposta de análise dos riscos e os resultados obtidos. Por fim, no Capítulo 6
são apresentadas as considerações finais.
18
2 REFERENCIAL TEÓRICO
Este capítulo apresenta as referências literárias que foram utilizadas como

embasamento para a confecção deste trabalho. São abordados conceitos do ensino tradicional,
a utilização da informática no processo de ensino e de aprendizado, os componentes da
infraestrutura de TI, a segurança em TI e a gestão de riscos e suas boas práticas recomendadas
pelas normas vigentes.
2.1 O ensino tradicional
Segundo Grzesiuk (2008, apud Zacharias, 2008), o ensino tradicional consiste

basicamente em aulas expositivas, onde o professor transmite informações pertinentes ao
conteúdo aos alunos, enfatizando a repetição e visando a memorização. O papel do aluno
neste contexto não é ativo, resumindo-se a escutar e aprender, onde comumente suas
experiências prévias não são devidamente consideradas.
Esta prática quase não sofreu modificações significativas apesar de todos os avanços
na tecnologia e nos recursos disponibilizados para auxiliar o professor no processo de ensino
e de aprendizagem (GUERRA, 2000).
Para PALADINI (1996), o modelo de ensino tradicional exige pouco do professor, não
requer frequente atualização do conteúdo exposto em aula e não é adequado ao aluno, mas
sim ao professor, tendo em vista que a transmissão de conhecimento parte de quem o detém e
não de pesquisas e análises realizadas pelos alunos.
19
2.1.1 Características do ensino tradicional
Dentre as características do ensino tradicional podemos citar os modelos tradicionais

de ensino e de aprendizado (aulas expositivas), número alto de alunos em cada sala de aula,
professores mal preparados, infraestrutura de má qualidade, falta de materiais didáticos e

pouca integração da teoria com a prática (MORAN, MASETTO e BEHRENS, 2013).
Segundo Vidal (2002), o ensino tradicional caracteriza-se pela necessidade de

estudantes e professores estarem fisicamente presentes em uma sala onde os estudantes estão
habituados a serem indivíduos passivos com bibliotecas que possuem recursos escassos em
relação a quantidade de alunos ou ainda com material defasado.
2.2 A utilização da informática no processo de ensino e de aprendizagem
Segundo Vieira (2006), a informática está tornando-se cada vez mais importante em
sala de aula, levando à mudanças estruturais e funcionais no processo de ensino e de
aprendizagem.
A partir da década de 50 o computador passou a ser utilizado no meio empresarial,

afetando todos os âmbitos profissionais. Inicialmente foi utilizado para a realização de
cálculos complexos por engenheiros e cientistas, em grandes empresas e órgãos
governamentais. Sua utilização para a educação era visto como supérfluo, sendo que nas
universidades era incentivado apenas para pesquisas científicas. Aos poucos foram
introduzidas disciplinas aos cursos de graduação a fim de ensinar os alunos a utilizarem o
computador, por meio de linguagens de programação, sendo que posteriormente, seu uso fora
estendido para outras tarefas (GUERRA, 2008 apud Cazarini, 1992).
Segundo Guerra (2008), na área da educação, o computador tornou-se uma nova fonte
de conhecimento e pesquisa, proporcionando uma melhora no processo de ensino e de
aprendizagem, complementando os conteúdos curriculares.
A informática utilizada em sala de aula propicia um ambiente multidisciplinar e

interdisciplinar onde os alunos, ao invés de apenas receberem informações, também
constroem conhecimentos, tornando o processo mais dinâmico e participativo (VIEIRA,
2006).
20
2.2.1 Tecnologias utilizadas na educação
Dentre as tecnologias incorporadas à área da educação podemos citar o ensino à

distância, bibliotecas digitais, videoconferências, grupos de bate papo, entre outros, o que
facilita o processo de aprendizagem (WERTHEIN, 2000). Segundo Moran, Masetto e

Behrens (2013) dentre as metodologias utilizadas no ensino pode-se citar:
a) Apoio à pesquisa: onde encontramos a web como o maior avanço na área, oferecendo
uma vasta gama de informações como multiplicidade de fontes diferentes, diversos
graus de confiabilidade e visões de mundo contraditórias;
b) Desenvolvimento de projetos: possibilita a utilização de uma forma interessante de
desenvolver projetos de pesquisa pela internet por meio da metodologia de webquest,
que consiste em consultar diversas fontes de informação na web, pré-determinadas
pelo professor. Dentre as ferramentas utilizadas para o cumprimento dos objetivos
podemos citar a escrita colaborativa, a criação de portfólio do grupo, criação de blogs
e sites, publicação de vídeos, entre outros;
c) Produção compartilhada: com a utilização de ferramentas como o Google Docs e
Wiki, podemos realizar a produção coletiva de documentos, utilizando uma interface
simples onde qualquer pessoa com acesso ao documento pode ajudar a implementá-lo.
Outra grande vantagem a ser citada é a disponibilidade do documento, que encontra-se
na web, não havendo necessidade de baixar o arquivo para editá-lo, já que todas as
alterações são feitas online;
d) Podcasts: arquivos de áudio, programas de rádio na internet ou podcasts são arquivos
digitais que podem ser baixados e visualizados em dispositivos móveis e
computadores, podendo ser de autoria dos próprios alunos ou dos professores, que os
disponibilizam na internet para download;
e) PBL: é uma estratégia em que o objetivo principal é solucionar um determinado
problema, onde o ator principal é o estudante, deixando de ser o receptor da
informação e passando a ser o responsável pelo seu aprendizado (GIL, 2006);
f) TBL: a aprendizagem baseada em equipe refere-se ao desenvolvimento da capacidade
individual por meio de análises críticas, de responsabilidade, de tomada de decisões,
de trabalho em equipe e resolução de problemas (INSTITUTO SÍRIO-LIBANÊS DE
ENSINO E PESQUISA, 2012);
g) Objetos de aprendizagem: referem-se a recursos tecnológicos utilizados para dar
suporte a aprendizagem, podendo ser imagens, vídeos, etc., com propósitos
21
educacionais e que possam ser reutilizados diversas vezes (SOSTERIC e

HESEMEIER, 2002).
2.3 Infraestrutura de TI
Segundo João (2012), a infraestrutura de TI é composta por cinco elementos

principais: hardware, software, tecnologias de gestão de dados, tecnologias de redes e
telecomunicações e serviços de tecnologias, conforme demonstrado na Figura 1.
Figura 1 – Componentes da infraestrutura de TI
Fonte: Laudon e Laudon (2011).
Todos estes componentes devem ser coordenados para que funcionem em conjunto,
visando proporcionar a base, ou a plataforma para todo o sistema de informação de uma
organização.
2.3.1 Hardware
Segundo Laudon e Laudon (2011), o hardware é composto por todos os periféricos

que são utilizados para o processamento computacional como armazenamento, entrada e saída
de dados, incluindo servidores, computadores pessoais, dispositivos móveis e meios físicos
para armazenar os dados.
O hardware, seus dispositivos e periféricos são compostos por conjuntos de

componentes físicos integrados que utilizam eletrônica digital a fim de receber, processar,
armazenar e retornar dados e informação (REZENDE e ABREU, 2013).
22
Dentre os tipos de hardware existem diversos dispositivos que atuam como

processadores de entrada e saída de dados, como computadores pessoais, dispositivos móveis,
servidores, mainframes, supercomputadores, computação em grade, entre outros. Cada um é
utilizado conforme a demanda do usuário e o poder de processamento requerido para
execução de uma determinada tarefa (LAUDON e LAUDON, 2011).
Além dos dispositivos de processamento de dados é necessária a utilização de

dispositivos de armazenamento como discos magnéticos, discos ópticos, fita magnética e
redes de armazenamento ou Storage Area Networks (SAN) (LAUDON e LAUDON, 2011).
Segundo Rezende e Abreu (2013), os periféricos trabalham em conjunto com os

computadores e podem ser de entrada (teclado, mouse, microfones, câmeras), de saída
(monitores, impressoras, etc.), ou ainda ambos, como placas de rede e telefones. Juntamente
com o hardware deve-se observar também os dispositivos de infraestrutura como a rede
elétrica, nobreaks e geradores.
2.3.2 Software
Segundo João (2012), o software é dividido em dois tipos: os softwares de sistema,

que administram os recursos e as atividades dos computadores e os softwares aplicativos, que
são desenvolvidos com um objetivo específico solicitado pelo usuário final.
Dentre os softwares de sistema temos o sistema operacional, que gerencia e controla as

atividades do computador. Ele é responsável por prover recursos do hardware para as
aplicações, alocar memória, controlar os dispositivos de entrada e saída e a execução de
diversas tarefas realizadas pelo computador. Outro software de sistema é caracterizado por
converter a linguagem de programação para linguagem de máquina, bem como programas
utilitários que executam tarefas comuns, como cálculos e classificações (JOÃO, 2012).
De acordo com Rezende e Abreu (2013), o sistema operacional administra o hardware,

o software e seus periféricos, determinando os recursos computacionais necessários para a
realização de determinada tarefa. Os sistemas operacionais podem ser divididos em
proprietários ou livres.
Segundo João (2012), o software aplicativo, que pode ser desenvolvido pela empresa
que o utilizará ou adquirido de terceiros, caracteriza-se por uma aplicação utilizada pelos
usuários finais, desenvolvida com o objetivo de resolução de um problema específico,
23
utilizando os recursos de hardware por meio do sistema operacional. Dentre os softwares

aplicativos mais utilizados pode-se citar os editores de texto, planilhas eletrônicas, gestão de
dados, recursos gráficos de apresentação e navegadores Web.
Os softwares aplicativos ou de escritório, compreendem em editores de texto,

planilhas eletrônicas, softwares de apresentação e navegadores, sendo utilizados pelos
usuários finais para resolução de problemas corriqueiros. Os softwares utilitários têm com
função complementar os de escritório e são compostos por softwares como antivírus,
compactadores, desfragmentadores e softwares de cópia (REZENDE e ABREU, 2013).
Os navegadores, que são ferramentas que permitem o acesso à Internet, por exemplo,
possibilitam atualmente que muitos aplicativos sejam executados diretamente no navegador, o
que favorece a intensificação do uso da TI em sala de aula, pois libera o aluno e a instituição
de ensino da necessidade de grandes investimentos em licenciamento, bem como possibilita
uma interoperabilidade entre diversos dispositivos utilizados pelos usuários.
2.3.3 Tecnologia de gestão de dados
Para que seja possível a realização do armazenamento de dados, são necessárias as

mídias físicas, um software especializado para organização e disponibilização dos mesmos ao
usuário final, além de um banco de dados (JOÃO, 2012).
Segundo Laudon e Laudon (2011), um banco de dados é um conjunto de dados

relacionados entre si com informações de alguma entidade, podendo ser pessoas, lugares ou
coisas. Um exemplo de banco de dados é a lista telefônica, que pode armazenar o nome,
telefone e endereço de uma determinada pessoa.
O banco de dados relacional, que é mais comumente utilizado, organiza os dados em

tabelas bidimensionais, com linhas e colunas chamadas relações, onde cada uma das tabelas
contém informações de uma entidade (JOÃO, 2012).
O software que organiza e disponibiliza as informações contidas no banco de dados é

chamado de Software Gerenciador de Banco de Dados (SGBD), sendo utilizado para criar,
armazenar, organizar e acessar as informações, apresentando ao usuário os dados conforme
sua necessidade (JOÃO, 2012).
24
A gestão de dados prevê também a necessidade de cópias periódicas dos bancos de

dados, armazenadas fora do ambiente físico principal, de modo que permita uma fácil e
efetiva recuperação das informações caso seja necessário (REZENDE e ABREU, 2013).
2.3.4 Tecnologia de rede e telecomunicações
Segundo Laudon e Laudon (2011), a tecnologia de rede e telecomunicações é

responsável por prover conectividade de dados, voz e vídeo à organização tanto na rede local,
quanto ao acesso externo por meio da Internet. Uma rede de computadores caracteriza-se por
dois ou mais dispositivos conectados por meio de componentes como Network Interface Card
(NIC), Networking Operation System (NOS), meio físico de conexão, software de sistema
operacional e ativos de rede (switch, hubs, roteadores), conforme apresentado na Figura 2.
Figura 2 – Componentes de uma rede de computadores
Fonte: Laudon e Laudon (2011).
Segundo Rezende e Abreu (2013), os sistemas de telecomunicações se caracterizam

pela transmissão de sinais por um meio qualquer entre um emissor e um receptor, sendo
necessário componentes de hardware e software como computadores ou dispositivos para
envio e recepção dos dados, canais de comunicação e seus meios físicos e lógicos,
processadores de comunicação e software de telecomunicação.
Uma infraestrutura de rede coorporativa consiste na aglutinação de várias redes locais,

onde podem haver servidores que comportem os sistemas da empresa como um website,
25
intranet, sistemas administrativos, etc. Esta rede poderá contemplar também serviços de rede
sem fio, bem como toda a rede cabeada aos ativos da empresa (LAUDON e LAUDON,
2011).
Segundo Rezende e Abreu (2013), são diversos os serviços e aplicações que a

tecnologia de rede e telecomunicações provê à empresa, tais como:
a) Transferência de arquivos e dados entre computadores;

b) Conexão remota a um outro computador possibilitando acesso a programas aplicações;
c) Correio eletrônico, mensageiros instantâneos, serviços de voz;
d) Teleconferência e videoconferência;
e) Acesso à Internet.
2.3.4.1 Tipos de rede locais
Dentre as redes existentes a rede local ou Local Area Network (LAN) caracteriza-se
por conectar dispositivos em um raio de até quinhentos metros, podendo compreender a rede
de um escritório ou edifício. A existência de várias LANs em uma determinada área
geográfica, ou interligando vários edifícios é considerada uma Campus-area Network (CAN).
Caso a rede abranja uma área metropolitana ou uma cidade é considerada uma Metropolitan
Area Network (MAN) (LAUDON e LAUDON, 2011).
Uma Wide Area Network (WAN) consiste em uma rede que interliga regiões, estados,
continentes ou até o planeta. A Internet também é considerada uma WAN, conectando
diversas redes LAN (LAUDON e LAUDON, 2011).
2.3.4.2 Meios de transmissão
Segundo Laudon e Laudon (2011), para a transmissão dos dados em uma rede faz-se
necessária a utilização de meios de transmissão físicos, que inclui cabo de par trançado, cabo
coaxial, cabos de fibra óptica e meios de transmissão sem fio.
O par trançado é o meio de transmissão mais antigo e consiste em pares de fios de

cobre trançados aos pares. É utilizado em larga escala, sendo que pode atingir 10 Gigabits por
segundo em cabos Categoria 6, estando limitado a uma extensão de cem metros por enlace.
26
Existem diversos tipos de cabos, com blindagem, proteção anti-roedor, entre outros
(LAUDON e LAUDON, 2011).
O cabo coaxial possui um fio de cobre isolado de maior espessura, com taxas de
transmissão superiores a 1 Gigabit por segundo em extensões de mais de 100 metros. Foi
utilizado nas primeiras redes locais e atualmente possui pouca usabilidade (LAUDON e
LAUDON, 2011).
Os cabos de fibra óptica são utilizados para transmissão em distâncias maiores e em

altas velocidades, como backbones. Seu princípio de funcionamento baseia-se na transmissão
de pulsos de luz que são convertidos em sinais elétricos pelos ativos da rede. O cabo é
composto por uma fibra de vidro ultrafina (núcleo) revestida por uma capa protetora de
plástico que pode alcançar taxas de até 100 Gigabit por segundo de transmissão
(TANEMBAUM; WETHERALL, 2011).
A transmissão ainda pode ser realizada sem fio, consistindo no envio de sinais de rádio
com uma ampla variação de frequência. Dentre as tecnologias utilizadas pode-se citar a
transmissão por rádio, que pode percorrer longas distâncias, podendo ser utilizada em locais
abertos e fechados, transmissão de micro-ondas que oferece uma relação sinal/ ruído muito
mais alta, sendo que é necessário um alinhamento das antenas de transmissão e repetidores ao
longo do enlace e transmissão por luz que baseia-se em direcionar laser em fotodetectores
para a transmissão de dados, sendo uma tecnologia bastante sensível a condições atmosféricas
2.3.4.3 Provedor de serviços de Internet
Os provedores de serviços de Internet ou Internet Service Provider (ISP) são

organizações comerciais que possuem conexão permanente à Internet e vendem seu acesso à
assinantes. A disponibilização de acesso pelos provedores inicialmente se dava por meio da
linha telefônica e um modem, alcançando 56,6 quilobits por segundo (kbps) sendo que foi
substituído por tecnologias de banda larga como Digital Subscriber Line (DSL) ou linha
digital de assinante que também utiliza a linha telefônica, mas em velocidades mais altas que
variam de 385 kbps até 9 Megabits por segundo ou também por conexões de Internet a cabo
que provêm acesso a mais de 10 megabits por segundo (TANEMBAUM; WETHERALL,
2011).
27
2.3.4.4 Projeto Arquitetônico
O projeto arquitetônico da infraestrutura de TI é um importante item a ser analisado a

fim de garantir a disponibilidade dos serviços. Se tratando dos data centers, a norma
ANSI/TIA-942 aplica conceitos para classificação dos mesmos quanto a sua disponibilidade e
redundância (MARIN, 2011). A seguir serão abordados os conceitos referentes ao data center
e sua infraestrutura.
Segundo Marin (2011), as seguintes premissas são desejáveis no projeto arquitetônico

de um data center:
a) Sistema elétrico redundante, de concessionárias diferentes, por rotas distintas;

b) Grupos geradores e nobreaks para ocasiões em que o sistema elétrico é interrompido;
c) Um sistema de climatização eficiente;
d) ISP redundantes, de provedores diferentes, chegando ao local por rotas distintas;
e) Controles de acesso;
f) Combate a incêndio.
Além dessas recomendações, faz-se importante também observar a localização

geográfica dos data centers, evitando, por exemplo, locais suscetíveis a adversidades
climáticas (enchentes, furacões, terremotos), pistas de aeroportos e locais próximos às linhas
de transmissão elétrica (MARIN, 2011).
O projeto arquitetônico prevê também normas de cabeamento estruturado para

utilização nas organizações. Segundo Marin (2009), a norma de cabeamento estruturado
ANSI/TIA-568-C é dividida em:
a) ANSI/TIA- 568-C.0: utilizada em cabeamentos de telecomunicações genéricos;

b) ANSI/TIA- 568-C.1: utilizada em cabeamentos de telecomunicações para edifícios
comerciais;
c) ANSI/TIA- 568-C.2: utilizada em cabeamentos de telecomunicações em par
balanceado e seus componentes;
d) ANSI/TIA- 568-C.3: utilizada em componentes de cabeamento em fibra óptica.
Todas as boas práticas relacionadas à infraestrutura de telecomunicações como

redundância de enlaces, encaminhamentos de rotas e espaços do cabeamento, procedimentos
28
de instalação, requisitos e procedimentos de testes, etc., estão contempladas nas normas acima
citadas.
2.3.5 Serviços de tecnologia

Segundo Laudon e Laudon (2011), os serviços de tecnologia dizem respeito aos

recursos humanos empregados para utilizar e gerenciar todos os outros componentes vistos
anteriormente, bem como prestar suporte aos usuários finais. Nem toda empresa possui
colaboradores capacitados a operar e gerenciar todos os componentes da infraestrutura de TI,
sendo que se faz necessária a terceirização de certos serviços, ou a realização de contratos
com os fornecedores.
Os serviços prestados pelo departamento de sistemas de informação contempla o

fornecimento da plataforma computacional aos colaboradores, serviços de telecomunicações e
conectividade de dados, voz e vídeo, serviços de gestão de dados armazenados,
desenvolvimento e suporte aos sistemas da empresa, gestão das instalações físicas necessárias
aos serviços de informática, telecomunicações e administração de dados, serviços de gestão
de TI (coordenação de serviços de TI, administração da contabilidade e gestão de projetos),
serviços de treinamento aos funcionários em relação às tecnologias utilizadas e serviços de
pesquisa e desenvolvimento de TI (LAUDON e LAUDON, 2011).
2.4 Segurança em TI
Segundo Beal (2008), a segurança da informação visa assegurar a preservação dos

ativos de informação com base em três objetivos fundamentais:
a) Confidencialidade: garante que todas as informações serão entregues apenas ao

destinatário correto sem interceptações não autorizadas;
b) Integridade: garantia da consistência e da criação legítima da informação, prevenindo
que hajam alterações ou destruição não autorizada de dados e informações;
c) Disponibilidade: garantia de que a informação e os ativos estejam disponíveis ao
usuário no momento que o mesmo queira acessá-los.
Segundo Silva, Carvalho e Torres (2003), para que haja preservação da confiabilidade,
integridade e disponibilidade dos sistemas de informação de uma empresa, se faz necessário
29
adotar medidas de segurança. Estas medidas necessitam ser implementadas antes da

concretização do risco, visando prevenir um incidente ou protegê-lo do mesmo.
A prevenção consiste na adoção de medidas que visam diminuir a probabilidade de

que alguma ameaça se torne um incidente. A proteção, por sua vez, possibilita que os sistemas
de informação inspecionem, detectem e reajam frente a um incidente. Esta medida de
segurança só atua quando o incidente ocorre, muitas vezes no intuito de remediá-lo (SILVA,
CARVALHO e TORRES, 2003).
Os sistemas de informação das empresas estão vulneráveis a diversas ameaças que

podem causar danos aos ativos da empresa como fraudes eletrônicas, espionagem, sabotagem,
incêndio, inundação e ataques de crackers. Para que estas vulnerabilidades sejam amenizadas,
se faz necessário implementar, monitorar e analisar um conjunto de controles, políticas,
processos e procedimentos com o intuito de garantir que os objetivos do negócio e de sua
segurança sejam atendidos (ABNT NBR ISO/IEC 17799, 2005).
Segundo Laudon e Laudon (2011), a segurança em TI faz-se necessária a fim de

manter dados armazenados em formato eletrônico longe de ameaças e de acessos indevidos.
Os dados da empresa estão vulneráveis às ameaças em diferentes pontos de acesso à rede,
tendo em vista que os sistemas de informações são interconectados de diferentes localidades
por meio de sistemas de telecomunicações. A Figura 3 ilustra as ameaças mais comuns em
sistemas de informação nos diferentes pontos de acesso.
Figura 3 - Vulnerabilidades em sistemas de informação
Fonte: Laudon e Laudon (2011)

30
As vulnerabilidades existem entre cada camada (cliente, linhas de comunicação,

servidores e sistemas corporativos) bem como na comunicação entre elas. A camada de
cliente pode ser acessada por usuários não autorizados ou ainda possuir erros introduzidos
pelos mesmos. Quando os dados transitam pela rede é possível interceptá-los, roubá-los ou
alterá-los (LAUDON e LAUDON, 2011).
De acordo com Laudon e Laudon (2011), a Internet aumenta consideravelmente as

vulnerabilidades de uma rede corporativa caso as mesmas estejam integradas. Computadores
que possam ser acessados externamente estão sujeitos à invasão. Hackers podem interceptar
dados pessoais ou interromper serviços de Voice Over IP (VoIP) com tráfego falso. A alta
utilização de e-mail, mensageiros instantâneos e programas ponto a ponto podem servir como
um recurso aos invasores, tendo em vista que softwares maliciosos podem ser transmitidos
por estas plataformas.
2.4.1 Gestão dos ativos dos sistemas de informação
Os ativos de informação compreendem em todos os dados ou informações que

agreguem algum valor ao negócio, podendo representar desde informações que estejam em
base de dados, arquivos de computador, documentos até patrimônios de TI da organização
como softwares, hardwares, mídias, sistemas e processos de informação e comunicação
(BEAL, 2008).
Segundo a norma ABNT NBR ISO/IEC 17799:2005, os ativos de informação podem

ser subdivididos em:
a) Ativos de informação: base de dados e arquivos, documentação de pesquisas, de

sistemas, procedimentos ou manuais e informações armazenadas;
b) Ativos de software: aplicativos, sistemas, ferramentas de desenvolvimento;
c) Ativos físicos: equipamentos de informática, de telecomunicações, mídias e outros
equipamentos;
d) Serviços: serviço de telecomunicações, eletricidade, iluminação;
e) Pessoas: recursos humanos da empresa, bem como suas habilidades e experiências;
f) Intangíveis: reputação, imagem.
Após a identificação dos ativos faz-se necessário realizar sua contabilização a fim de se
estruturar e manter os controles necessários, definir o responsável pela segurança de cada
31
ativo e recuperar informações e serviços em caso de falha ou dano. Adicionalmente é

interessante que os ativos sejam classificados de acordo com seu valor e necessidade de
segurança atribuídos pela organização (BEAL, 2008).
Além da realização do inventário e da classificação, deve-se definir o proprietário de

cada ativo que irá assegurar que as informações e os ativos associados aos recursos de
processamento da informação estejam classificados corretamente, definir e analisar as
classificações e restrições de acesso, levando em conta as políticas de segurança da empresa
(ABNT NBR ISO/IEC 17799, 2005).
2.4.2 Segurança física
A segurança física protege os ativos físicos existentes em um ambiente por meio de

medidas preventivas, detectivas e reativas, criando-se um perímetro de segurança, ou seja,
estabelecendo um obstáculo ou barreira física, a fim de evitar acessos indevidos. As medidas
preventivas podem ser controles de acesso, roletas, salas cofre, etc. Medidas detectivas de
invasão contemplam, por exemplo, Circuito Fechado de TV (CFTV), alarmes, sirenes e
detectores de incêndio. Dentre as medidas preventivas estão os climatizadores de ambiente,
detectores de fumaça, dispersores de gás para combate a incêndio, entre outros (BEAL, 2008).
Segundo Wadlow (2000), a segurança física visa a criação de níveis de proteção que
condizem com a política de segurança da empresa e que proporcionem a proteção necessária
contra as ameaças existentes. Conforme este mesmo autor, a segurança física deve abranger
também o backup de todas as informações armazenadas, o controle de acesso com níveis de
acesso a todas as áreas restritas, a disponibilização ininterrupta de energia elétrica e o registro
dos controles de acesso, bem como sua análise.
2.4.3 Segurança lógica
A segurança lógica consiste na criação de barreiras lógicas (ao nível de sistema

operacional e de aplicação) em torno dos ativos de informação, a fim de evitar ataques e
acessos indevidos (BEAL, 2008).
Dentre as ferramentas utilizadas na segurança lógica pode-se citar o firewall que

protege ou media o acesso da rede interna ao ambiente externo, o antivírus que detecta e
impede ataques de código malicioso e a criptografia que oferecem garantia de autenticação,
privacidade e integridade de dados e comunicação. Além dessas ferramentas, é necessário
32
haver a segurança de software, segurança do ambiente de usuário final e a produção e revisão

de registros dos arquivos de log (BEAL, 2008).
2.4.4 Segurança em recursos humanos

Uma das grandes vulnerabilidades de segurança encontradas nas organizações são as

pessoas que nelas atuam. O abuso de privilégios de acesso a dados ou instalações podem
comprometer a segurança. A necessidade de contratação de serviços de terceiros como
prestadores de serviços, fornecedores e consultores pode representar sérias ameaças à
segurança da informação, caso não sejam auditados (BEAL, 2008).
Segundo Wadlow (2000), o recurso humano é um dos principais problemas de

segurança, e, portanto, é necessário muito cuidado na contratação de pessoas para a empresa.
Além de escolhas criteriosas na hora de contratar, faz-se necessário também que haja uma
política eficiente de desligamento de funcionários após a demissão como a desativação rápida
e universal do acesso, medidas para recuperarem ou excluírem dados pessoais sem colocar em
risco a segurança da rede e a conscientização do funcionário para que não exponha dados
confidenciais da empresa.
Ao contratar um novo colaborador ou algum serviço terceirizado deve-se assegurar

que as responsabilidades estejam claras e de acordo, visando reduzir o risco de roubo e fraude,
podendo ser feito mediante um código de conduta pré-estabelecido em relação à
confidencialidade, proteção de dados, éticas, uso apropriado dos recursos e práticas de boas
condutas determinadas nas políticas de segurança (ABNT NBR ISO/IEC 17799, 2005).
2.4.5 Segurança em redes sem fio
Segundo Laudon e Laudon (2011), as redes sem fio, seja WI-FI ou Bluetooth são
suscetíveis a escutas e a ataques. Embora sejam de curto alcance, essas redes podem ser
invadidas por estranhos com laptops, e softwares piratas gratuitos, que circulem por áreas
abrangidas pela tecnologia. Redes desprotegidas proporcionam ao invasor uma série de
pontos a serem explorado, como usuário conectados no momento, captura de arquivos de
outros dispositivos, monitoramento do tráfego de rede e interceptação de dados.
Como exemplo de protocolo que visa a segurança em redes sem fio, pode-se citar o
Wireless Fidelity Protected Acess 2 (WPA2) sucessor do Wired Equivalent Privacy (WEP),
que pode ser utilizado em dois cenários comuns. No primeiro existe um servidor de
33
autenticação, com um banco de dados contendo as informações de cada usuário, onde cada
cliente utiliza seu login e senha para acessar a rede. No segundo cenário, uma senha única
compartilhada é utilizada por todos os usuários que desejam acessar a rede. Esta prática é
menos complexa de implementar, mas também é menos segura que a primeira
2.4.6 Softwares mal-intencionados
Softwares mal-intencionados como vírus, worms, cavalos de Troia e spywares são

designados como malwares e são desenvolvidos para serem executados sem o conhecimento
do usuário, a fim de obter ou alterar dados, gerar mal funcionamento no sistema operacional e
em outros softwares (LAUDON e LAUDON, 2011).
Os malwares normalmente são disseminados por e-mail, mensageiros instantâneos e

programas, podendo ser extremamente perigosos em uma rede corporativa, tendo em vista
que, além dos ataques gerados a desktops, existem também uma variedade desses aplicativos
para dispositivos móveis (LAUDON e LAUDON, 2011).
Dois outros malwares pertinentes são os ataques por SQL Injection e os keyloggers,
onde no primeiro são introduzidos códigos de programas maliciosos nos sistemas e redes
corporativas no momento em que ocorre alguma falha na autenticação ou no filtro de dados
por um usuário, e no segundo são registradas todas as teclas pressionadas em um computador
no intuito de obter dados e senhas de acesso (LAUDON e LAUDON, 2011).
2.4.7 Cibervandalismo
O cibervandalismo caracteriza-se pela invasão a um sistema não autorizado. Os

atuantes nesses crimes são chamados de hackers e crackers, sendo que o segundo possui
intenções criminosas. As atividades relacionadas ao cibervandalismo incluem o roubo de
mercadorias e informações e danos ou alterações não autorizadas em sites ou sistemas de
informações corporativos (LAUDON e LAUDON, 2011).
Os hackers e crackers ocultam sua verdadeira identidade utilizando credenciais falsas

como e-mails falsos e perfis em sites falsos. Esses artifícios são caracterizados como spoofing
e podem envolver também o redirecionamento falso a um determinado site, sendo que ao
acessá-lo o usuário não percebe a diferença e introduz dados pessoais que posteriormente são
capturados (LAUDON e LAUDON, 2011).
34
2.4.8 Ataque DoS
O ataque Denial of Service (DoS) ou ataque de negação possui o intuito de gerar

tráfego com falsas comunicações ou requisições, inundando um servidor de rede ou servidor
Web, a fim de inutilizá-lo, não sendo possível atender às requisições legítimas provenientes
dos usuários (TANEMBAUM; WETHERALL, 2011).
De acordo com Laudon e Laudon (2011), este tipo de ataque não destrói ou acessa
informações privilegiadas, apenas faz com que o acesso a um determinado serviço fique
indisponível por um determinado tempo. Estes ataques normalmente são executados por uma
grande quantidade de computadores espalhados pela rede, infectados por softwares mal-
intencionados que infectam computadores alheios. Quando o cracker infectou computadores
suficientes um ataque de recusa de serviço é deflagrado ao alvo.
2.4.9 Vulnerabilidades de softwares
Segundo Laudon e Laudon (2011), a maioria das vulnerabilidades e falhas encontradas

em softwares têm relação à complexidade e ao tamanho das aplicações. Estas falhas
normalmente ocorrem devido a grande quantidade de tomadas de decisões existentes no
código fonte. Nos softwares comerciais, que possuem dezenas de milhares ou até milhões de
linhas de código, é quase impossível realizar um teste do código fonte por completo, sendo
possível apenas determinar sua confiabilidade após um longo tempo de uso operacional.
Para correção das falhas existentes nos softwares os desenvolvedores lançam, em

determinados períodos de tempo, patches, que são atualizações de parte do código, a fim de
corrigir vulnerabilidades ou falhas no sistema. No âmbito empresarial, a infraestrutura de TI
conta com diversos aplicativos, sistemas operacionais e outros serviços nos diversos ativos
existentes, sendo que a manutenção das atualizações e patches são de extrema importância
para o correto funcionamento e para a prevenção de vulnerabilidades (LAUDON e LAUDON,
2011).
2.5 Mobilidade e Ubiquidade
A computação ubíqua tem como principal objetivo permear a vida dos usuários
ajudando a desempenhar tarefas diárias sem que os mesmos percebam, onde a utilização de
dispositivos em qualquer lugar e a qualquer hora é corriqueira (WEISS e CRAIGER, 2002).
35
Segundo Santos, Lima e Wives (2010, apud Furlan e Ehrenberg, 2009), o celular, que
desempenha um importante papel na mobilidade e na ubiquidade, permite a comunicação das
pessoas independente do local e a qualquer hora, por meio de acesso à internet sem fios, além
de disponibilizar uma vasta quantidade de funções.
Segundo Araújo (2003), conforme os dispositivos móveis oferecem mais opções

multimídia a seus usuários, a conectividade e consequentemente toda a infraestrutura de TI
desempenha um papel cada vez mais importante na computação ubíqua, oferecendo serviços
de comunicação pessoal, como voz e dados. A interação entre estes dispositivos vai desde a
conexão local de curta e média distância (utilizando tecnologias como bluetooth e WI-FI), até
redes de longa distância, compondo a infraestrutura necessária para o acesso de qualquer
lugar.
A mobilidade e a ubiquidade, por meio da utilização de dispositivos móveis, têm sido

amplamente utilizadas em sala de aula, por meio da disponibilização da comunicação
instantânea entre os estudantes, de imagem, vídeo, portais virtuais, etc., possibilitando que o
aluno esteja em permanente contato com a instituição de ensino, acessando todos suas
atividades acadêmicas por meio da Internet (DIAS, 2010).
Tratando-se de segurança, o uso de dispositivos móveis no âmbito empresarial

aumenta os riscos e as vulnerabilidades dos dados da empresa, pois podem conter números de
vendas, dados de clientes e acesso privilegiado às redes corporativas internas, estando sujeitos
a roubo e perda pelo usuário (LAUDON e LAUDON, 2011).
2.6 Gestão de Riscos
De acordo com Dantas (2011), o risco é uma condição que cria ou aumenta o potencial
de danos ou perdas aos sistemas de informação. O risco está estritamente relacionado com a
probabilidade de um evento acontecer e com as consequências negativas que ele gera.
Segundo Silva, Carvalho e Torres (2003), a gestão de riscos compreende no processo

de identificar um conjunto de medidas que proporcionem à empresa ou instituição um certo
nível de segurança. Este processo é feito em etapas, onde preliminarmente é feita a
identificação e classificação dos riscos e posteriormente especificado um conjunto de medidas
que permitirão reduzir ou eliminar os riscos que a empresa está sujeita.
36
De acordo com Beal (2008), a gestão de riscos visa identificar e implementar medidas
para que seja possível diminuir os riscos aos quais a organização está sujeita, visando a
proteção dos ativos de informação, despendendo custos operacionais e financeiros
condizentes com a realidade da organização.
2.6.1 Identificação dos riscos
De acordo com Beal (2008), a gestão de riscos, deve ser iniciada com a identificação
dos riscos e seus componentes como os alvos, agentes, ameaças, vulnerabilidades e impactos.
As ameaças podem ser classificadas como ambientais (fogo, chuva, terremotos, falhas no
suprimento de energia elétrica, etc.), técnicas (falhas de hardware, software e de
configurações), lógicas (ataques ou invasões) ou humanas (fraude, sabotagem ou erros).
Para identificação dos riscos deve-se realizar um levantamento do contexto de risco

em que a empresa ou instituição atua. A Tabela 1 apresenta alguns modelos utilizados para a
contextualização de risco.
Tabela 1 - Modelos para contextualização de risco

Definição da relação da empresa com o ambiente sendo
SWOT (Strengths, Weaknesses,
analisados os pontos fortes, fracos, as oportunidades e as
Opportunities and Threats)
ameaças
Contexto Descrição da empresa, das suas capacidades, metas,

objetivos e estratégias implementadas para os alcançar
Alvo Descrição das metas, objetivos, âmbito e parâmetros da

gestão de riscos
Bens Descrição dos bens da empresa e suas interdependências
Fonte: Silva, Carvalho e Torres (2003).
Segundo Dantas (2011), após serem classificados os riscos faz-se necessário

identificar os principais fatores que possam vir a ocasionar o risco, pois, em alguns casos, o
evento é independente da intenção do agente ou do nível de controle existente.
Após determinação do contexto de risco no ambiente em que a empresa se encontra,

pode-se identificar os elementos inerentes à análise de riscos como as vulnerabilidades e as
37
ameaças, bem como quais os bens que estão em perigo (SILVA, CARVALHO E TORRES,
2003).
2.6.2 Análise do risco

A análise de risco permite a compreensão do risco fornecendo informações relevantes

para a tomada de decisões referentes ao tratamento ou prevenção de que algum risco venha a
ocorrer. Esta análise engloba a observação das causas e fontes de riscos, as consequências e a
probabilidade das mesmas virem a ocorrer (ABNT NBR ISO/IEC 31000:2009).
O método de análise do risco a ser utilizado pode ser qualitativo, semiquantitativo ou

quantitativo. Os três métodos são eficientes, mas devem ser cuidadosamente escolhidos, a fim
de não consumir uma quantidade desnecessária de recursos e tempo e para que possibilite o
levantamento de todas as informações necessárias (SILVA, CARVALHO E TORRES, 2003).
2.6.2.1 Análise qualitativa
Segundo Dantas (2011), a análise qualitativa é utilizada quando não há disponibilidade

dos dados ou os mesmos estão incompletos, quando não é possível mensurar com outro
método ou ainda quando não se faz necessária a precisão do método quantitativo, ou o
detalhamento maior da análise.
Neste método são utilizadas palavras ao invés de números para a descrever os riscos,
sua probabilidade de ocorrer e as consequências que o mesmo poderá gerar (AS/NZS
4360:2004).
Segundo Silva, Carvalho e Torres (2003), a análise de risco qualitativa é feita de forma
subjetiva, onde a equipe que irá realizá-la possui papel de fundamental importância, sendo
necessário reunir um quadro de funcionários representantes de diversas áreas. A análise é
realizada nas seguintes fases:
a) Constituição da equipe;
b) Realização de sessões de classificação das ameaças;
c) Realização de sessões de classificação dos impactos e das consequências;
d) Cálculo dos riscos.
Para medição das consequências e das possibilidades, pode-se utilizar escalas
conforme apresentado nas Tabela 2 e Tabela 3.
38
Tabela 2 - Escala simples de consequências

Descrição Tipos
Severa Muitos objetivos não podem ser alcançados

Maior Alguns objetivos importantes não podem ser alcançados
Moderado Alguns objetivos afetados
Menor Efeitos menores que são facilmente remediados
Insignificante Impacto desprezível sobre os objetivos
Fonte: AS/NZS 4360:2004.
A Tabela 2, apresenta uma sugestão de níveis de consequência ao ser utilizada para

classificação dos riscos, variando de insignificante até severa, partindo da premissa de que
quanto mais significante a consequência é, mais objetivos ficam comprometidos com a sua
concretização.
Tabela 3 - Escala simples de probabilidades

Nível Descrição Indicador de frequência
A O evento irá ocorrer numa base anual Uma vez por ano ou mais
B O evento ocorrerá várias vezes na sua carreira Uma vez a cada três anos
C O evento poderá ocorrer uma vez na sua carreira Uma vez a cada dez anos
D O evento ocorre em algum lugar de tempo em tempo Uma vez a cada trinta anos
E Já ocorreu alguma vez em algum lugar Uma vez a cada cem anos
F Tal acontecimento nunca foi documentado Uma vez a cada mil anos
G Teoricamente possível, mas improvável de acontecer Uma vez a cada dez mil anos
Fonte: AS/NZS 4360:2004.

39
A Tabela 3 por sua vez apresenta um exemplo de escala de probabilidades de uma

ameaça se concretizar, dividida em sete níveis. As frequências de cada nível devem ser
definidas com base no contexto e na avaliação de riscos que está sendo realizada.
2.6.2.2 Análise semiquantitativa
A análise semiquantitativa parte da metodologia utilizada no método qualitativo, porém

com o intuito de gerar um ranking de riscos mais completo, por meio de valores atribuídos
aos riscos. Este tipo de análise pode não ser muito confiável tendo em vista que os valores
utilizados não são reais como os utilizados na análise quantitativa (DANTAS, 2011).
Segundo a norma AS/NZS 4360:2004 a análise semiquantitativa deve ser utilizada com
cautela pois os valores atribuídos aos elementos inerentes aos riscos podem não condizer com
a realidade, ou ainda, não diferenciar de forma apropriada as consequências e probabilidades
caso ambos sejam extremos, o que acarretará em resultados inconsistentes ou inapropriados.
2.6.2.3 Análise quantitativa
A análise quantitativa é utilizada quando os dados estão completos e disponíveis,

podendo ser realizada com base em valores absolutos e reais da empresa, sendo mais
apropriado quando deseja-se avaliar possíveis perdas financeiras provenientes do risco, ou ao
serem avaliados riscos que causem grande impacto (SILVA, CARVALHO E TORRES,
2003).
Segundo Dantas (2011), este método é utilizado quando existem dados confiáveis de
eventos ocorridos, quando a probabilidade pode ser medida em valores numéricos ou ainda
quando pode-se calcular o valor de uma consequência gerada pelo risco.
A qualidade da análise quantitativa depende da precisão dos valores numéricos

informados e do modelo aplicado ao caso, sendo que as consequências podem ser expressadas
em valor monetário, técnico ou humano dependendo do propósito ao qual o risco, as
consequências e a probabilidade estão sendo avaliadas (AS/NZS 4360:2004).
Segundo Beal (2008), o método quantitativo aplica-se quando se deseja realizar um

comparativo dos custos de implementação de medidas de segurança e o possível custo da não-
implantação da mesma. Este mesmo autor afirma também que, o histórico de incidentes e o
40
impacto financeiro decorrente deles precisa ser confiável para que a análise quantitativa
apresente resultados significantes.
Para a realização da análise de risco quantitativa diversos métodos podem ser

utilizados, mas o mais conhecido é o Anual Loss Exposure (ALE), ou ainda Exposição Anual
à Perda, que permite estimar o risco com base em um valor esperado de perda decorrente de
determinada ameaça (SILVA, CARVALHO E TORRES, 2003).
A ALE é calculada com base no valor da perda prevista multiplicada pela quantidade
de ocorrências de um determinado incidente no período de doze meses. Caso o custo anual de
determinada medida de proteção for menor que a ALE de um risco, sua implantação seria
justificável (BEAL, 2008).
2.6.3 Avaliação dos riscos
A avaliação dos riscos visa comparar os dados coletados anteriormente na análise de

riscos com os critérios de riscos, considerando a tolerância da organização perante os
mesmos. Caso haja necessidade, uma análise mais aprofundada do risco deverá ser empregada
(ABNT NBR ISO/IEC 31000:2009).
Segundo Beal (2008), a avaliação dos riscos deverá ser efetuada por pessoas
qualificadas, que possuam características como:
a) Conhecimento dos ativos e sua importância para a organização;

b) Formação técnica na área a ser avaliada;
c) Experiência e conhecimento das práticas, procedimentos e princípios de segurança da
informação;
d) Conhecimento da metodologia e das ferramentas a serem utilizadas na avaliação de
riscos.
Para que seja realizado a classificação dos riscos faz-se necessário a utilização de
critérios de avaliação e níveis de aceitabilidade afim de definir o tratamento ou a aceitação de
determinado risco. Estes critérios devem ser definidos pela equipe que realizará a análise com
base nas consequências, nas possibilidades e nos níveis de riscos definidos. Os níveis de
aceitabilidade deverão estar embasados nas políticas de segurança da organização levando em
conta quais riscos representam um maior prejuízo (DANTAS, 2011).
41
Após a definição dos riscos, de suas consequências e de sua possibilidade de ocorrer,

pode-se criar uma matriz de riscos, conforme apresentado no Quadro 1.
Quadro 1 - Matriz de riscos

Consequências
Insignificante Menor Moderado Maior Catastrófico

Possibilidade
1 2 3 4 5
A (Frequente) A A E E E
B (Provável) M A A E E
C (Ocasional) B M A E E
D (Remota) B B M A E
E (Improvável) B B M A A
Fonte: Dantas (2011).
Os níveis de aceitabilidade, definidos previamente e baseados nos critérios de risco,

devem ser confrontados com o resultado da matriz de riscos, afim de identificar quais riscos
devem ser tratados e quais serão aceitos (DANTAS, 2011).
O Quadro 2 demonstra um exemplo de quadro de aceitabilidade de riscos que pode ser

empregado a matriz de riscos apresentada anteriormente.
Quadro 2 - Quadro de aceitabilidade de riscos

Risco extremo (E) Inaceitável – requer ação corretiva imediata
Inaceitável – requer ação corretiva imediata com atenção específica da
Risco alto (A)
direção
Inaceitável – requer monitoramento, ações de mitigação e revisão dos
Risco moderado (M) controles pelo gerente
Aceitável – requer a revisão e autorização do gerente
Risco baixo (B) Aceitável – requer procedimentos de rotina
Fonte: Dantas (2011).
De acordo com Silva, Carvalho e Torres (2003), para elencar a prioridade dos riscos a
serem analisados ou tratados se faz necessário a elaboração de uma análise de impacto dos
mesmos no negócio. Está análise deve ser feita com uma abordagem top-down dos processos
e funções do negócio, da visão estratégica até a operacional.
Segundo este mesmo autor, todos os processos possuem papel importante para a
organização, mas é necessário avaliar quais possuem mais ou menos importância verificando-
se qual o período de instabilidade tolerada e o impacto resultante de uma indisponibilidade
além deste prazo.
42
2.6.4 Tratamento dos riscos
Segundo Dantas (2011), o tratamento dos riscos condiz em ações como evitar, mitigar,
transferir ou compartilhar o risco. Estes tratamentos podem ser implementados por meio de
medidas de prevenção, terceirizando responsabilidades ou contratando seguros visando a

remediação dos prejuízos financeiros. É possível ainda que a organização opte por não tomar
medidas quaisquer, onde neste caso se faz necessário que o risco seja devidamente conhecido
pelas pessoas afins com o intuito de evitar a ocorrência de algum acidente, conforme
recomendado na norma ABNT NBR ISO/IEC 31000:2009.
Os riscos de segurança da informação devem ser classificados a fim de definir quais

medidas de proteção devem ser tomadas. Segundo Beal (2008), uma classificação possível é:
a) Medidas preventivas: caracterizam-se por controles que visam reduzir a probabilidade

de a ameaça vir a se concretizar ou diminui a vulnerabilidade do ativo a ser protegido;
b) Medidas corretivas ou reativas: medidas que são tomadas durante ou após a
concretização de um incidente, visando remediá-lo ou amenizá-lo.
c) Métodos detectivos: detecta ataques ou incidentes com a intenção de disparar medidas
reativas, reduzindo ou impedindo consequências à organização.
A norma ABNT NBR ISO/IEC 31000:2009 afirma que o tratamento do risco é um

processo cíclico composto pela avaliação de tratamentos utilizados anteriormente, verificação
dos níveis residuais de risco quanto sua tolerabilidade, definição e implementação de novo
tratamento caso não sejam toleráveis e avaliação da eficácia do tratamento.
Segundo Dantas (2011), os riscos de baixa probabilidade e alto impacto são

comumente negligenciados e não possuem tratamento, mas é importante que seja feito pelo
menos o estabelecimento de um cenário a fim de determinar ações preliminares de resposta.
Este mesmo autor ressalta também que deve ser avaliado o custo financeiro que a aplicação de
um tratamento preventivo ou detectivo representa à empresa, para que o mesmo não seja
maior que custo do impacto deste risco em questão.
Os tratamentos dos riscos podem ser feitos com a utilização de controles, que levam
em consideração as regulamentações nacionais e internacionais, os objetivos organizacionais,
os custos em relação aos riscos que estão sendo tratados e o balanceamento do investimento
43
nos controles contra a probabilidade de danos que o risco poderá vir a ocasionar (ABNT NBR
ISO/IEC 17799, 2005).
Segundo Dantas (2011), todos os controles, que contemplam as ações de tratamento,

deverão ser descritos no plano de tratamento de riscos, que consiste em um documento com
todos os detalhes das ações, como o responsável, prazos, forma de implementação, dentre
outras.
Após definidas as medidas de proteção ou tratamento a serem utilizadas se faz

necessário avaliar o risco residual apresentado e verificar a necessidade da implementação de
controles adicionais a fim de diminuir o nível de risco remanescente (BEAL, 2008).
2.6.5 Monitoramento dos riscos
Após a realização da identificação, análise e tratamento dos riscos, seu gerenciamento

precisa ser constantemente monitorado e revisto. O monitoramento deve ser feito com base na
vigilância cotidiana dos sistemas, tendo em vista que os cenários são dinâmicos e susceptíveis
a mudanças. A revisão dos processos deve ocorrer frequentemente levando em conta as
variáveis do ambiente com o intuito de mantê-los atualizados (DANTAS, 2011).
De acordo com Beal (2008), a gestão de riscos precisa estar em permanente

atualização de forma que mudanças nos sistemas, no ambiente, na tecnologia, nas ameaças e
nas vulnerabilidades reflitam também na renovação dos processos pertinentes a gestão de
riscos. Ainda segundo esta autora, revisões periódicas da análise de risco devem ser
programadas, bem como recalculadas as estimativas de risco caso mudanças organizacionais
referentes a segurança forem efetuadas.
Segundo Westerman e Hunter (2008), o monitoramento e o rastreamento dos riscos

permitem verificar a consistência e a efetividade dos planos, das normas e das políticas de
gestão de riscos, bem como todas as circunstâncias aplicadas sobre os riscos administrados.
Caso certas políticas ou normas sejam frequentemente violadas talvez o problema encontra-se
nos processos nelas descritas e não no pessoal que a aplica, sendo necessário reavaliá-las.
2.7 Boas práticas
A política da empresa, juntamente com normas e procedimentos são consideradas boas

práticas pois definem os objetivos da organização quanto a segurança, documentando as
44
atividades de proteção e prevenção a serem aplicadas. O responsável pela segurança da

informação da empresa deverá garantir que todos os processos e métodos listados nestes
documentos sejam aplicados e constantemente atualizados, evitando que fiquem obsoletos e
sem utilidade alguma (SILVA, CARVALHO e TORRES, 2003).
Segundo Dantas (2011), a política da informação se constitui da documentação de

todos os princípios, valores, requisitos, objetivos e orientações no que diz respeito a segurança
da informação organizacional, com o intuito de alcançar os padrões de proteção desejados.
Os propósitos da criação de uma política de segurança, segundo Wadlow (2000), são:
a) Descrever os ativos que estão sendo protegidos e o por que;

b) Criar um ranking de prioridades, bem como seus custos;
c) Delimitar um acordo entre os valores a serem investidos com segurança;
d) Apoiar o departamento de segurança em decisões onde é necessário negar algo;
e) Garante um desempenho satisfatório do departamento de segurança, impedindo que o
mesmo torne-se fútil.
De acordo com Beal (2008), juntamente com a política de segurança deve-se adotar as
normas e padrões técnicos, pois estes são fundamentais em qualquer âmbito quando deseja-se
obter qualidade. As normas e padrões definem regras, princípios e critérios, registrando as
melhores práticas a fim de prover qualidade ao processo visando sua eficiência e eficácia.
Dentre os principais padrões e normas mais utilizados e conhecidos pelas organizações

para segurança da informação tem-se a Information Technology Infrastructure Library (ITIL),
o Control Objectives for Information and related Technology (COBIT), a ISO/IEC 27001 e a
ISO/IEC 17799/27002, conforme apresentados a seguir.
2.7.1 ITIL
A ITIL consiste em um conjunto de melhores práticas a serem adotadas nos serviços

de tecnologia da informação a fim de obter um alto padrão de qualidade. Sua construção foi
determinada a partir de décadas de análises práticas, pesquisas e trabalhos na área de TI de
todo o mundo, sendo reconhecida internacionalmente por sua consistência e abrangência
(FERNANDEZ e ABREU, 2012).
45
Segundo Beal (2008), apesar do ITIL não ser exatamente um padrão de segurança, ele
contempla várias áreas afins como, por exemplo, gestão de incidentes, problemas,
configuração, entre outros, o que contribui para manter um alto nível de qualidade da
organização, contribuindo para o alcance dos objetivos de segurança da informação
almejados.
2.7.2 COBIT
O COBIT, que é composto por diretrizes para gestão, auditoria e práticas dos
processos e controles da governança de TI é dividido em quatro domínios: planejamento e
organização, aquisição e implementação, entrega e suporte e monitoração. Contendo mais de
trezentos pontos de controle em trinta e quatro processos (sendo um deles o de segurança da
informação), possui como principal objetivo auxiliar a organização com o Return Over
Investment (ROI) de TI (BEAL, 2008).
Segundo Fernandez e Abreu (2012), as práticas do COBIT preocupam-se nas

necessidades do negócio, contribuindo na entrega dos produtos e serviços de TI, focando no
controle e não na execução.
Conforme Dantas (2011), dentre os processos, domínios e atividades de controle

existentes no COBIT encontra-se o modelo de avaliação e gestão de riscos, apresentando
etapas como o estabelecimento do contexto dos riscos, identificação dos eventos, avaliação
dos riscos, resposta aos riscos e manutenção e monitoramento do plano de ação dos riscos.
2.7.2.1 ISO/IEC 27001
A norma ISO/IEC 27001 especifica os princípios de gestão de processos visando a

implementação, o monitoramento, a revisão a manutenção e melhoria do Information Security
Management System (ISMS), que refere-se a um conjunto de práticas para o gerenciamento de
riscos de segurança da informação (FERNANDEZ e ABREU, 2012).
Segundo Dantas (2011), a norma ISO/IEC 27001 é um padrão internacionalmente

aceito dividido em oito seções que são: objetivo, referência normativa, termos e definições,
sistemas de gestão de segurança da informação, responsabilidade da direção, auditorias
internas do ISMS, revisão do ISMS pela direção e melhorias do ISMS.
46
As seções apresentam os requisitos para o escopo e limites do ISMS, a definição do

processo de avaliação de riscos, o tratamento de riscos, os objetivos dos controles, aprovação
de riscos residuais, implementação de programas de conscientização e treinamento,
procedimentos de monitoramento e melhorias, entre outros (DANTAS, 2011).
2.7.3 ISO/IEC 27002
A norma ISO/IEC 27002 provê modelos e diretrizes para a gestão da segurança da

informação sugerindo a implantação de controles para atender os requisitos que foram
previamente identificados por meio da análise e da avaliação dos riscos. Esta norma também
serve como um guia para implantação de procedimentos e práticas referentes a segurança da
informação (FERNANDEZ e ABREU, 2012).
Ainda segundo Fernandez e Abreu (2012), a norma brasileira, publicada pela

Associação Brasileira de Normas Técnicas (ABNT) com denominação NBR ISO/IEC 27002
que era conhecida antes de 2005 como NBR ISO/IEC 17799 está dividida nas seguintes
seções:
a) Política de segurança da informação;

b) Organizando a segurança da informação;
c) Gestão de ativos;
d) Segurança em recursos humanos;
e) Segurança física do ambiente;
f) Gestão de operações e comunicações;
g) Controle de acesso;
h) Aquisição, desenvolvimento e manutenção de sistemas de informação;
i) Gestão de incidentes de segurança da informação;
j) Gestão de continuidade do negócio;
k) Conformidade.
A ISO/IEC 27002 difere-se na ISO/IEC 27001 pois a primeira apresenta apenas as

boas práticas para a elaboração de um ISMS e a segunda estabelece os requisitos obrigatórios.
É com base na ISO/IEC 27001 que são concedidas as certificações de conformidade
(DANTAS, 2011).
47
2.7.4 BS 7799
Segundo Beal (2008), a BS 7799, que é o conjunto de padrões inerentes a gestão da

segurança da informação, é dividida em duas partes, sendo uma referente ao código de
práticas para a gestão da segurança da informação e a outra à definição de um sistema de

gestão de segurança da informação. A BS 7999-2 que garante a avaliação, tratamento dos
riscos e a melhoria dos processos oferece ainda a possibilidade de certificação envolvendo
uma auditoria da ISMS com o intuito de verificar as conformidades da organização frente as
diretrizes de segurança da informação.
Neste capítulo foi apresentado o referencial teórico relativos ao ensino tradicional e

suas características, a relação da informática com o processo de ensino e de aprendizagem, os
componentes da infraestrutura de TI, as premissas de segurança em uma organização e suas
metodologias de análise e gerenciamento e uma breve descrição das normas vigentes
relacionadas ao estudo.
Nos capítulos seguintes será apresentada a metodologia utilizada para a realização do

estudo, o cenário existente, a análise dos resultados obtidos da aplicação do estudo, bem como
sua aplicabilidade quanto à dependência de TI no processo de ensino e de aprendizagem.
48
3 METODOLOGIA
O presente capítulo tem por objetivo apresentar a abordagem utilizada para o

levantamento de dados deste estudo, o tipo de análise realizada, seus métodos e limitações.
3.1 Metodologia de pesquisa
Diversas denominações são empregadas às metodologias de pesquisa, mas que

diferem apenas em seu conteúdo, a fonte de dados utilizada, a amplitude do estudo e o tipo de
análise a ser feita (qualitativa ou quantitativa) de acordo com o estudo a ser efetuado,
objetivando especificar de forma minuciosa e detalhada a forma em que a pesquisa será
conduzida, quais ferramentas serão utilizadas, público alvo, amostragem, entre outros
(SAMARA e BARROS, 2002).
3.1.1 Tipo de metodologia a ser utilizada
A pesquisa a ser realizada no presente estudo utiliza uma abordagem exploratória e

descritiva de um estudo de caso. É realizada uma revisão bibliográfica do assunto tratado e
aplicados questionários estruturados visando identificar qual a importância da infraestrutura
de TI no processo de ensino e de aprendizado, avaliar o grau de aderência às normas vigentes
no que diz respeito a segurança da informação e a gestão de riscos, para que posteriormente
seja proposta e realizada uma análise dos riscos.
Segundo Samara e Barros (2002), os estudos exploratórios são realizados por meio de
dados secundários, sendo caracterizados pela informalidade, flexibilidade e a criatividade,
permitindo que ocorra um primeiro contato com o assunto da pesquisa a ser realizada,
podendo ser utilizadas hipóteses a serem confirmadas.
49
As pesquisas exploratórias têm por objetivo aumentar o conhecimento do pesquisador

sobre um determinado problema ou sobre um estudo de caso. Elas podem ser compostas por
revisão de literatura, entrevistas, entre outros. As pesquisas descritivas são realizadas por
instrumentos padronizados para a coleta de dados, questionários, planilhas, entrevistas ou
observações (GIL, 2002).
3.1.2 Natureza da pesquisa
A pesquisa utilizada uma abordagem de natureza qualitativa, com a utilização de

questionários, onde ao invés de realizarmos a coleta de informações atribuídas a números, é
feita uma coleta por meio de palavras e às vezes de imagens (HAIR et al., 2005).
Segundo Samara e Barros (2002), a pesquisa qualitativa é realizada a partir de

entrevistas individuais, permitindo a verificação diferencial dos dados obtidos na amostra
escolhida, onde não são coletados dados estatísticos, mas sim avaliados por meio de palavras
analisando um determinado contexto.
3.2 Procedimentos para realização da pesquisa
Para a realização da pesquisa são utilizados os métodos de pesquisa bibliográfica,

pesquisa documental, levantamento e análise de dados e estudo de caso, conforme
apresentados a seguir.
3.2.1 Pesquisa bibliográfica
A pesquisa bibliográfica presente neste estudo visa apresentar um embasamento

teórico sobre os temas e conceitos que serão pesquisados e analisados, representados pelo
conhecimento de diversos autores das áreas afins.
Segundo Gil (2002), a pesquisa bibliográfica é constituída de materiais que já foram

desenvolvidos e publicados, constituídos principalmente por livros e artigos científicos, sendo
que a maioria dos estudos exploratórios são desenvolvidos exclusivamente a partir de fontes
bibliográficas.
3.2.2 Pesquisa documental
A pesquisa documental, apesar de assemelhar-se muito com a pesquisa bibliográfica,

possui o diferencial de ser uma fonte muito mais diversificada e dispersa. Os documentos
50
podem ser divididos em primeira e segunda mão (primários e secundários), sendo que os
primários não recebem nenhum tratamento analítico, e os secundários já foram analisados de
alguma forma (GIL, 2002). A principal fonte de pesquisa documental utilizada neste estudo é
obtida nas normas, diretrizes e boas práticas disponibilizadas pela ABNT e pela International
Standards Organization (ISO).
3.2.3 Levantamento dos dados
Segundo Gil (2002), o levantamento de dados é realizado pela interrogação de um

determinado grupo de pessoas visando conhecer sua visão ou comportamento perante um
determinado assunto ou problema. O levantamento de dados pode ser classificado como
censo, quando toda população relativa ao estudo é interrogada, ou por amostragem quando
apenas uma parcela pré-determinada de pessoas são entrevistadas.
Ainda segundo Gil (2002), o levantamento de dados possui limitações conhecidas

como respostas subjetivas ou distorcidas dos respondentes, visão estática do fenômeno
estudado quanto a sua evolução conforme o passar do tempo e erros que possam vir a ocorrer
por parte do entrevistador ou do entrevistado.
Segundo Hair et al. (2005), nos estudos exploratórios, a pesquisa é efetuada por meio
de dados narrativos, entrevistas pessoais ou observação de comportamentos ou eventos
utilizando-se uma abordagem qualitativa. Este tipo de estudo envolve amostras menores da
população ou estudos de caso.
O levantamento de dados deste estudo é efetuado a partir da aplicação de questionários

disponibilizados na WEB, a serem respondidos por estudantes, professores e colaboradores da
instituição.
3.2.4 Estudo de caso
Segundo YIN (2001), para a realização de um estudo de caso pode-se utilizar

levantamentos, pesquisas históricas, análise de informações em arquivos, experimentos, entre
outros. Os estudos de caso são principalmente utilizados em pesquisas explanatórias, podendo
ser assistidas por pesquisas exploratórias e descritivas, conforme a necessidade do
pesquisador.
51
O estudo de caso consiste em um estudo aprofundado de poucas variáveis visando

proporcionar um conhecimento mais amplo e detalhado, com propósitos variados como a
exploração de situações reais, a descrição do contexto em que está sendo feita determinado
estudo, formulação de hipóteses ou ainda explicar variáveis de determinados fenômenos que
aplicam-se apenas a condições adversas e onde não é possível a utilização de levantamentos e

experimentos (GIL, 2002).
O estudo de caso realizado nesta pesquisa visa detalhar o cenário atual da

infraestrutura de TI existente na instituição, com o intuito de realizar uma análise das ameaças
abordadas com relação ao ambiente, avaliando os impactos e consequências aplicados ao
processo de ensino e de aprendizagem.
3.3 Fases e etapas da pesquisa
Conforme afirmado anteriormente, o método a ser utilizado será o exploratório e

descritivo, por meio da coleta de dados por amostragem, sendo que suas etapas serão descritas
detalhadamente a seguir.
3.3.1 Coleta de materiais e informações
Para a realização da pesquisa utiliza-se o método survey ou levantamento de dados,

por meio da utilização de questionários confeccionados pelo autor e também oriundos da
pesquisa documental e do referencial teórico, preenchidos de forma anônima pelo público-
alvo definido.
A amostragem a ser utilizada contemplará entrevistados escolhidos pelo método de

conveniência, consistindo na seleção de indivíduos que estejam à disposição no momento, que
possuam conhecimento nas questões inerentes ao assunto e que possam oferecer as
informações necessárias. A amostra será composta por professores, alunos e colaboradores da
área de TI do Centro Universitário UNIVATES.
Os questionários objetivam obter informações gerais sobre a utilização de TI no

âmbito acadêmico, avaliar o grau de aderência da UNIVATES com relação às normas de
segurança da informação, o grau de maturidade quanto à gestão de riscos e uma análise dos
riscos relacionados a TI no processo de ensino e de aprendizagem, utilizando-se uma
abordagem de avaliação das consequências, probabilidades e relevâncias de diversos ativos
pré-determinados.
52
As questões existentes nos questionários utilizaram de duas escalas para obtenção das
respostas: escala categórica e escala de Likert (classificações somadas).
Conforme Hair et al. (2005), a escala categórica é uma escala não-métrica onde as
respostas são comparadas umas com as outras e não de forma independente. Um exemplo de
escala categórica de múltipla escolha é:
Com que frequência utilizo algum recurso de tecnologia da informação disponibilizado

pela instituição (WI-FI, Laboratórios de informática, Terminais de Consulta)?
( ) Todos os dias
( ) Até três vezes por semana
( ) Até duas vezes por semana
( ) Uma vez por semana
( ) Não utilizo/Nunca utilizei
A escala de Likert, por outro lado utiliza números ímpares de opções com um rótulo
para expressar a intensidade da resposta. Quando todas as escalas são somadas é caracterizado
como uma escala de classificações somadas. A escala utilizada neste estudo será de cinco
opções. Um exemplo de questão utilizando-se a escala de Likert é:
Como você quantificaria a probabilidade de ocorrência de falha considerando o ativo

“rede local”?
( ) 5 – Muito Alta
( ) 4 – Alta
( ) 3 – Médio
( ) 2 – Baixo
( ) 1 – Muito Baixo
3.3.2 Análise dos dados
A análise dos dados realizada é constituída pelo tratamento e interpretação dos

resultados advindos dos questionários. Para a definição do contexto da gestão de riscos, foram
utilizadas as questões gerais advindas do questionário de análise de riscos da infraestrutura de
TI no processo de ensino e de aprendizagem (Apêndice A). As demais questões deste
questionário foram tabuladas para obtenção do índice P x C x R (Probabilidade, Consequência
e Relevância) e para verificação da existência de planos de contingência e de continuidade.
53
Para verificação do grau de aderência a norma utilizou-se o framework confeccionado

por Sêmola (2003), que visa avaliar dez processos que compõem a norma ABNT NBR
ISO/IEC17799 (Anexo A). Os dados obtidos foram tabulados e analisados a fim de obter-se a
pontuação final do teste.
A definição do grau de maturidade do Centro Universitário UNIVATES obteve-se por

meio da aplicação de um framework disponibilizado pelo Centro de Qualidade, Segurança e
Produtividade (QSP), que tem o intuito de avaliar diversos processos e procedimentos
inerentes à segurança da informação (Anexo B). Com os resultados do questionário, foi
calculada uma média, conforme sugere o framework, a fim de classificar o grau de maturidade
da organização.
Segundo Hair et al. (2005), após a coleta dos dados os mesmos precisam ser
analisados e examinados e se necessário transformados, afim de garantir sua integridade,
confiabilidade e representatividade nos resultados.
Neste capítulo são apresentadas as metodologias utilizadas para a coleta de dados, os

tipos de pesquisa e a abordagem utilizada para realização do estudo de caso.
No capítulo seguinte é apresentado o cenário atual da infraestrutura de TI do Centro

Universitário UNIVATES e sua relação com o ambiente de ensino e de aprendizagem.
54
4 CENÁRIO ATUAL
O presente estudo é realizado no Centro Universitário UNIVATES, com base na sua

infraestrutura de TI, os elementos da rede local, acessos à Internet, suprimento de energia,
bem como toda a estrutura física e lógica.
A análise e avaliação dos riscos de infraestrutura de TI no âmbito de ensino e de

aprendizagem é realizada levando-se em conta a rede de computadores e todos os
componentes existentes na instituição que proveem acesso às ferramentas de TI utilizadas no
processo de ensino e aprendizagem em sala de aula.
A infraestrutura de TI que atende o Centro Universitário UNIVATES pode ser

considerada complexa pois é composta por uma grande quantidade de elementos, distribuídos
pelos diferentes prédios existentes na instituição, regidos por um ponto central de distribuição
onde ocorre todo o processamento e armazenamento das informações (data center),
organizada física e logicamente afim de atender as diversas demandas existentes.
A infraestrutura de TI interna, compreendida pelos meios de transmissão, cabeamento

estruturado, fornecimento de energia elétrica, data center, infraestrutura de entrada,
aterramento, climatização, sistema de combate a incêndio, estações de trabalho, servidores,
aplicações, equipamentos de rede, dispositivos de segurança, sistemas de armazenamento de
dados, entre outros, está distribuída por toda a extensão do campus, atuando para prover rede
de dados ao campus da instituição.
O acesso externo, responsável pelo tráfego de dados, tanto de entrada quanto de saída
é suprido por dois ISPs distintos que, apesar de atuarem independentemente e com
55
características distintas, convergem para um único ponto de entrada localizado no Prédio 1 e

em um único equipamento, alocado no Prédio 9, mais especificamente no data center.
A estrutura lógica, responsável por organizar e distribuir o tráfego de dados

internamente, é compreendida pelas LANs, Virtual Local Area Network (VLAN), e Wireless
Local Area Network (WLAN) a fim de possibilitar acesso e segurança da rede aos alunos e
professores em sala de aula.
Na Figura 4, são ilustradas as estruturas primárias que atuam no provimento e

disponibilização da rede de dados da UNIVATES da entrada de facilidades até as salas de
telecomunicações do campus.
Figura 4 – Diagrama da infraestrutura de rede primária
Fonte: Elaborado pelo autor (2014).

56
A partir do data center é feita a distribuição dos enlaces ópticos até os prédios, mais
precisamente até as sala de telecomunicações, onde é feito a distribuição da rede de dados até
as salas de aula. A Figura 5 exemplifica os componentes da rede existente em um prédio
acadêmico, desde a sala de telecomunicações até o usuário final.
Figura 5 - Diagrama da infraestrutura de rede acadêmica
Cada uma das estruturas será detalhada em subseções apropriadas contidas nesta
seção, abordando seu funcionamento e aplicação na rede.
4.1 Infraestrutura de entrada
A infraestrutura de entrada ou entrada de facilidades compreende no local onde ocorre

a separação do cabeamento proveniente dos ISPs do cabeamento interno, gerido pelo
proprietário ou usuário da organização (MARIN, 2011).
57
A infraestrutura de entrada da universidade (representada pela letra “A” na Figura 4)

concentra-se no Prédio 1, sendo atualmente composta por dois links ópticos de dois
provedores de serviço diferentes, chegando por distribuição aérea até as dependências da
instituição, onde ocorre a transição para a tubulação subterrânea que chega até a sala de
telecomunicações do Prédio 1.
O encaminhamento até o data center, que está situado no Prédio 9, é feito apenas por
interligação passiva no Distribuidor Interno Óptico (DIO), utilizando-se as rotas do backbone
óptico já existente para interligação com o mesmo.
4.2 Backbone
Os backbones de edifício existentes utilizam-se de fibras ópticas multimodo para

interligar as salas de telecomunicações de um mesmo prédio, possibilitando até dez gigabits
de tráfego. O backbone de campus (representado pela letra “B” na Figura 4), que interliga
dois ou mais edifícios de uma mesma área, é composto principalmente por cabos de fibra
óptica multimodo, com exceção de alguns casos onde as distâncias são maiores e existem
fibra monomodo, encaminhados de forma subterrânea, com a utilização de caixas de
passagem, com distâncias em média de trinta metros entre uma e outra, para interligação dos
prédios até o ponto central, o data center.
4.3 Data center
Segundo Marin (2011), os data centers são ambientes que possuem uma infraestrutura
diferenciada, que abrigam equipamentos que atuam no armazenamento e processamento dos
dados e informações cruciais de negócio de uma determinada organização.
O data center da UNIVATES (representado pela letra “C” na Figura 4) é composto por
vários componentes como climatização, suprimento de energia elétrica ininterrupta, sistema
de detecção e supressão de incêndio, controle de acesso, sistema de CFTV, piso elevado,
manta térmica, forro celular, portas corta fogo, parede de bloco celular, entre outros, que
compõem os projetos arquitetônico, elétrico, lógico, mecânico e de segurança.
58
4.3.1 Projeto Arquitetônico
O data center da instituição é composto por três ambientes localizados no Prédio 9.

Esta divisão se faz necessária a fim de prevenir o acesso indevido a locais cruciais sem que
haja necessidade e prover um ambiente de fácil manutenção.
4.3.1.1 Sala de nobreaks
Neste ambiente ocorre a ligação da distribuição de energia elétrica externa

(concessionária ou grupo gerador) com os nobreaks que atendem toda a demanda energética
do data center, abrigando também o quadro elétrico de entrada dos circuitos. Esta sala é
isolada das outras, pois possui maior concentração térmica e por agrupar uma grande
quantidade de circuitos elétricos.
4.3.1.2 Sala de telecomunicações
A sala de telecomunicações compreende no local que abriga todos os links ópticos

provenientes das outras salas de telecomunicações espalhadas por todo o campus da
instituição, além de abrigar todos os pontos de telecomunicações do Núcleo de Tecnologia da
Informação (NTI), a central e o sistema de detecção precoce de incêndio. Esta sala é separada
das demais, pois a mesma é acessada frequentemente por empresas terceirizadas que prestam
serviços e que não precisam de acesso à sala de equipamentos.
4.3.1.3 Sala de equipamentos
A sala de equipamentos é composta por quatro racks, sendo um de cabeamento cross-

connect (que interliga a parte traseira dos outros racks) e de módulos HDMPO (que interligam
os links ópticos à sala de telecomunicações) e de outros três que abrigam os ativos de rede
(servidores, roteadores, storages, core switch, controladora WI-FI e firewall).
4.3.2 Projeto elétrico
Conforme demonstra a Figura 6, o projeto elétrico do data center é composto pela

concessionária de energia elétrica, pelo grupo gerador e pelo nobreak. Cada um dos elementos
será detalhado a seguir.
59
Figura 6 - Diagrama do projeto elétrico

O fornecimento de energia elétrica do data center provêm de apenas uma

concessionária de energia (representada pela letra “A” na Figura 6), que em caso de falha é
coberta pela atuação de um grupo gerador (representada pela letra “B” na Figura 6) de 55
kilovoltampere (kVA) com autonomia de aproximadamente vinte horas (considerando-se que
o mesmo esteja completamente abastecido e com a carga atual) afim de evitar a interrupção
do fornecimento de energia elétrica.
Entre a interrupção do fornecimento de energia proveniente da concessionária e a

atuação do grupo gerador (em torno de vinte segundos) o data center conta com dois nobreaks
trifásicos de dupla conversão on-line (representada pela letra “D” na Figura 6) com quarenta
kVA de potência cada um (atuando em redundância), atendidos por dois bancos de 64 baterias
60
ligadas em série (representada pela letra “E” na Figura 6), afim de suprir a demanda
energética e evitar o corte total do fornecimento de energia elétrica.
Os circuitos elétricos provenientes da saída dos nobreaks são distribuídos em dois

quadros de força existentes na sala de servidores, subdivididos em outros circuitos de menor

capacidade. Os ativos existentes no data center possuem fonte elétrica redundante, sendo que
cada uma das fontes é ligada em um dos circuitos disponíveis (cada um proveniente de um
nobreak), garantindo que em caso de falha em algum dos dois nobreaks ou na própria fonte o
equipamento continuará funcionando.
4.3.3 Projeto mecânico
O projeto mecânico, composto pelo sistema de climatização do data center, possui dois
sistemas distintos atuando em conjunto. O primeiro utiliza-se do condicionador de ar central
do prédio, onde duas das doze máquinas fan coil (equipamento que utiliza água gelada e
dispensa o uso de fluidos refrigerantes) são destinadas a refrigeração do data center, sendo
uma de cinco TR (Tonelada de Refrigeração) e outra de dez TR.
O segundo sistema compreende em dois equipamentos tipo split, sendo um de cinco

TR e o outro de dez TR, conforme o primeiro sistema.
O condicionador de ar central opera nos horários comerciais, de segunda à sábado.

Nos horários em que o mesmo não atua, a refrigeração do data center é assumida pelo
segundo sistema de forma automática pela automação. Caso algum dos sistemas falhe o outro
entra em operação para atender a demanda de refrigeração dos ambientes.
4.3.4 Projeto de segurança
O projeto de segurança do data center é composto por um sistema de detecção e

combate a incêndios, de um sistema de controle de acesso e de monitoramento dos ambientes.
4.3.4.1 Sistema de detecção e combate a incêndios
O sistema de combate a incêndio é composto por uma central de incêndio, detectores

de fumaça e sensor de partículas para detecção precoce de possíveis focos de sinistros, que
atuam em conjunto com o disparo de um gás supressor de incêndios inerte, com a automação
61
do desligamento automático dos condicionadores de ar, fechamento dos dampers de entrada

do ar climatizado e de alarmes sonoros e visuais.
O sensor de partículas atua como uma forma antecipada ao sensor de fumaça, pois
possui maior sensibilidade que o mesmo, analisando, por exemplo, odores no ambiente em
caso de aquecimento na fiação elétrica. A atuação do sensor possui interface com a central de
incêndio, gerando um pré-alarme na mesma.
O gás utilizado para a supressão de incêndios é o FM-200 que é considerado um gás

inerte limpo e que não deixa vestígios, suprimindo o incêndio em até dez segundos,
impedindo a reação química do fogo (KIDDE, 2014).
4.3.4.2 Controle de acesso e monitoramento
O data center da UNIVATES conta com leitores biométricos nas portas de acesso aos
três ambientes citados anteriormente (com leitor de cartão e de biometria) para todos os
funcionários autorizados e para a equipe terceirizada de monitoramento em casos de sinistro.
Para monitoramento dos ambientes os administradores contam com sensor de

alagamento nos dampers de entrada do ar refrigerado da climatização, sensores de umidade,
de temperatura e de abertura de portas, além de um sistema de CFTV.
4.3.5 Projeto lógico
O projeto lógico do data center é composto por todos os ativos existentes, pelo
cabeamento estruturado que os interliga e pelos serviços disponibilizados aos usuários.
O roteador utilizado no data center (representado pela letra “D” na Figura 4) é um

equipamento da marca Cisco, modelo 2921, tendo como função intermediar os links de
Internet ao firewall externo e à rede da instituição.
O roteador utiliza-se de dois links de Internet: um proveniente da Rede Nacional de

Pesquisa (RNP), por intermédio do POP-RS (Ponto de Presença da RNP no Rio Grande do
Sul) e outro com uma empresa provedora do serviço de Internet.
O firewall externo (representado pela letra “E” na Figura 4) é o equipamento da marca

Palo Alto Networks, modelo PA- 3050.
62
O core switch (representado pela letra “F” na Figura 4) é o Enterasys S8, atuando no
roteamento estático para encaminhamento de pacotes, como firewall interno e no acesso entre
as redes utilizando-se o recurso de Access Control List (ACL). A controladora WI-FI
(representado pela letra “G” na Figura 4) que gerencia os pontos de acesso da rede sem fio é
um equipamento da marca Cisco, modelo 5508, atuando em redundância com mais um

equipamento do mesmo modelo.
4.4 Sala de telecomunicações
Segundo Marin (2011), a sala de telecomunicações compreende em um local da

instalação que serve para abrigar toda a infraestrutura relacionada com a função de
telecomunicações como racks, switches, nobreaks e painéis de interligação do cabeamento
horizontal com o cabeamento vertical.
Segundo o NTI, a UNIVATES conta com 43 salas de telecomunicações ativas

espalhadas pelos prédios do campus, sendo que os prédios que possuem maior concentração
de pontos ou que possuem muita área são atendidos por mais de uma sala de
telecomunicações (componente representado pela letra “H” na Figura 4).
Todas as salas de telecomunicações existentes possuem acesso restrito aos

funcionários do NTI da instituição, ambiente climatizado e fornecimento de energia suprido
por nobreaks, conforme detalhado nas subseções a seguir.
4.4.1 Fornecimento de energia elétrica
A alimentação elétrica das salas de telecomunicações e das áreas de trabalhos dos

usuários é feita através de uma derivação do Quadro Geral de Baixa Tensão (QGBT) do
pavimento por meio de um circuito trifásico, sendo subdividido em circuitos monofásicos de
menor amperagem para atender as tomadas elétricas dos diversos ambientes.
O fornecimento da energia elétrica das salas de telecomunicações é provido por apenas

uma concessionária de energia por prédio, não havendo redundância para casos de falha. A
sala de telecomunicações, bem como os ativos, switches, pontos de acesso WI-FI e
equipamentos de vigilância (CFTV) são atendidos por nobreaks individuais (um para cada
sala de telecomunicações).
63
4.4.2 Climatização
Todas as salas de telecomunicações do campus possuem pelo menos um

condicionador de ar modelo split a fim de climatizar o ambiente e evitar superaquecimento
dos equipamentos. Os mesmos são revisados semanalmente pelos funcionários do NTI e

trimestralmente por técnicos do setor de Engenharia e Manutenção com o intuito de
identificar e prevenir problemas nos equipamentos.
4.4.3 Ativos de rede
Segundo o NTI, a rede de computadores da UNIVATES conta com 95 switches

(dentre switches de acesso, distribuição e o core switch). Dentre os switches de acesso
utilizados (componente representado pela letra “A” na Figura 5), a instituição dispõe de
equipamentos da marca Enterasys, com modelos das linhas A2, B2, B5, C2 e V2 e os da
marca DELL, com os modelos 6224P e 6248, sendo que o primeiro modelo possui
disponibilidade da função Power Over Ethernet (PoE) para atender a demanda dos pontos de
acesso WI-FI. Todos os switches utilizados na rede são gerenciáveis.
O equipamento Enterasys N7 alocado na sala de telecomunicações do prédio um atua

como centralizador de todos os links ópticos inerentes ao CFTV da instituição e também atua
como distribuidor, mediando acesso ao Prédio da SAJUR e do Ponto de Troca de Tráfego
(PTT) instituído na universidade.
O equipamento Enterasys G3 existente na sala de telecomunicações do Prédio 17 atua

como distribuidor, interligado por um enlace óptico até o data center, atendendo o próprio
prédio, o Prédio 18, a Sede Social e o prédio da Tecnovates.
A Figura 7 apresenta os switches de acesso e distribuição, seus respectivos esquemas

de ligação existentes em toda a infraestrutura da instituição e o core switch, equipamento
centralizador, alocado no data center no Prédio 9.
64
Figura 7 - Ativos de rede do Centro Universitário UNIVATES
Fonte: Retirado da ferramenta Zabbix utilizado pelo Núcleo de Tecnologia da Informação da UNIVATES. 1
1
Zabbix: Ferramenta livre de monitoramento de disponibilidade e performance de redes, servidores e serviços atuando de forma preventiva e detectiva na infraestrutura de TI.
A utilização dessa ferramenta permite aos administradores de rede da Univates um monitoramento quanto a disponibilidade dos ativos, visando a resolução do problema no
menor tempo possível.
65
4.5 Meios de transmissão e cabeamento estruturado
O cabeamento horizontal (representado pela letra “B” na Figura 5) existente nos

prédios do campus utilizam cabos certificados de fábrica tipo Unshielded Twisted Pair (UTP)
de categorias 5e, 6 e 6A (sendo o último utilizado apenas no data center), com

encaminhamento até a área de trabalho utilizando-se eletro calhas, canaletas de alumínio,
eletro dutos, leitos e conectores fêmea de oito vias padrão RJ45 na área de trabalho.
Atualmente a instituição conta com cerca de quatro mil e quinhentos pontos de

telecomunicações, conforme dados do NTI, instalados em topologia estrela. Todos os
subsistemas de cabeamento atendem as normas vigentes anteriormente citadas no referencial
teórico.
4.6 Rede sem fio
A rede sem fio (WI-FI) da UNIVATES atinge mais de cinco mil e duzentos acessos
simultâneos em horário de aula, nos 214 pontos de acesso sem fio distribuídos pelo campus
(componente representado pela letra “C” na Figura 5), conforme dados do Núcleo de
Tecnologia da Informação da instituição.
O ambiente acadêmico é atendido tanto pela rede WI-FI quanto pela rede cabeada
utilizada nos laboratórios de informática. A rede WI-FI, utilizada principalmente pelos alunos
e professores por meio de dispositivos particulares e da instituição, compreende a maior
demanda de rede nos horários de aula.
A Figura 8 demonstra a interface de monitoramento em tempo real de toda a rede WI-

FI do campus, com informações como quantidade de pontos de acesso por prédio, quantidade
de usuários totais e por prédio, disponibilidade dos pontos de acesso e da controladora e
distribuição dos usuários por perfil (aluno, professor e visitante).
66
Figura 8 - Monitoramento da rede WI-FI

Fonte: Retirado do ferramenta Zabbix utilizado pelo Núcleo de Tecnologia da Informação da UNIVATES.
4.7 Estações de trabalho
Segundo o NTI da UNIVATES, os dispositivos que compõem as estações de trabalho

da instituição correspondem em torno de 1870 equipamentos conectados à rede, sendo em
torno de 960 administrativos e 912 computadores para uso acadêmico (representados pela
letra “D” na Figura 5). Dentre estes dispositivos, 79% são desktops, 10% notebooks, 5% thin
clients e 6% tablets. No que diz respeito ao sistema operacional, 79% possuem Windows 7,
16% distribuições Linux, 3% Windows 8 e 2% utilizam MAC OS.
As estações de trabalho são compostas por equipamentos das marcas Dell, Acer,
Lenovo, HP, LG e Samsung e são inventariados pela solução da Dell denominada KACE
1000, administrado pelo setor do NTI.
4.8 Aterramento
Todos os passivos existentes no data center como racks, patch panels e tomadas
elétricas possuem aterramento adequado, bem como os cabos e conectores blindados
utilizados no cabeamento categoria 6A.
67
O cabeamento horizontal dos prédios da instituição possui aterramento nos condutos

que realizam o encaminhamento até a área de trabalho, nos quadros elétricos e em suas
tomadas, sendo que os cabos utilizados não possuem blindagem (cabos UTP).
4.9 ISPs
Para atender a demanda de acesso externo (WAN) a instituição utiliza-se de dois ISPs,
ambos com velocidade de 200 Megabits por segundo, conforme demostra a Figura 9, onde
pode-se visualizar o tráfego (de entrada e de saída), a velocidade contratada, a disponibilidade
dos roteadores e do core switch.
Figura 9 - Tráfego WAN
Fonte: Retirado da ferramenta Zabbix, utilizada pelo Núcleo de Tecnologia da Informação da UNIVATES.
4.10 Serviços
Os serviços de rede e de sistemas internos utilizados pelos alunos e professores no

âmbito acadêmico da instituição consistem principalmente no acesso à Internet e ao site da
UNIVATES (www.univates.br), ao ambiente virtual de aprendizagem (UNIVATES Virtual),
ao sistema de gerenciamento acadêmico do aluno (Universo UNIVATES), ao sistema de
pesquisa, acesso online e reserva de livros acadêmicos e ao e-mail acadêmico dos alunos e
dos professores.
Todos os serviços acima citados estão hospedados em máquinas virtuais alocadas em

dois equipamentos blade da marca Dell modelo M1000e. Todo o gerenciamento de hardware
68
dos equipamentos é realizado por um software gerenciador, bem como a migração das
máquinas virtuais em caso de falha de algum dos hosts de determinado equipamento.
A Figura 10 apresenta o monitoramento dos servidores alocados no data center quanto a

sua disponibilidade, o tráfego com o core switch, além de outras informações como latência e
quantidade de conexões.
Figura 10 - Monitoramento dos servidores e de dispositivos de armazenamento
Fonte: Retirado da ferramenta Zabbix, utilizada pelo Núcleo de Tecnologia da Informação da UNIVATES
Neste capítulo foram abordados todos os elementos constituintes da infraestrutura de

TI do Centro Universitário UNIVATES, apresentando o data center, as salas de
telecomunicações e seus subsistemas.
No capítulo seguinte são apresentados os resultados e a análise dos dados provenientes

da aplicação dos formulários e metodologias apresentados no Capítulo 3.
69
5 APRESENTAÇÃO DO MODELO DE GESTÃO DE RISCO E

ANÁLISE DOS RESULTADOS
Neste capítulo é apresentado o modelo de gestão de riscos proposto, os resultados da

aplicação dos formulários e a análise realizada a partir dos mesmos com base na revisão
bibliográfica apresentada e nos métodos descriminados no Capítulo 3.
Conforme apresentado na Figura 11, o modelo de gestão de riscos definido pela norma
ABNT NBR ISO/IEC 31000 é dividido em cinco etapas, sendo a definição do contexto, a
análise, avaliação, tratamento e aceitação dos riscos.
Figura 11 – Processo de gestão de riscos segundo a norma ABNT NBR ISO/IEC 31000
Fonte: ABNT NBR ISO/IEC 31000 (2009).

70
O modelo de gestão de riscos proposto abrange as três principais etapas sugeridas pela
norma, compreendidas pelo estabelecimento do contexto, pelo processo de avaliação de riscos
e pelo posterior tratamento e acompanhamento dos mesmos. A confecção do modelo foi
fortemente embasada nas normas ABNT NBR ISO/IEC 17799 e suas revisões, 27004, 27005,
31000 e 31010, apoiadas também no referencial teórico obtido.
Para aplicação do método proposto utilizou-se três formulários distintos. Um para a

análise do grau de aderência a norma ABNT NBR ISO/IEC 17799 (Anexo A), um para
análise do grau de maturidade do processo de gestão de riscos (Anexo B) e outro para
avaliação dos riscos que a infraestrutura de TI oferece ao processo de ensino e de
aprendizagem do Centro Universitário UNIVATES (Apêndice A). Cada formulário
corresponde a um framework específico, que visa à obtenção dos resultados para posterior
análise.
Os formulários de análise do grau de aderência a norma e de análise do grau de

maturidade do processo de gestão de riscos foram aplicados a alguns funcionários com cargos
gerenciais do NTI da UNIVATES, sem identificação do respondente. O formulário de
avaliação dos riscos foi aplicado aos alunos, professores e alguns funcionários do setor do
NTI.
Após a definição do contexto, é realizada a avaliação dos principais riscos impostos

pela infraestrutura de TI ao processo de ensino e de aprendizagem, determinados pela
aplicação do formulário previamente descrito, e realizado uma análise com base na correlação
existente entre os riscos, ao grau de maturidade e aderência e ao cenário ao qual o processo
está inserido. Com as informações obtidas até este ponto, é definido o plano de continuidade
para o processo de ensino e de aprendizagem na UNIVATES.
Na seção a seguir, será apresentada a definição do contexto ao qual o estudo aborda

com base nas recomendações da norma ABNT NBR ISO/IEC 31000.
5.1 Estabelecimento do contexto
Segundo a norma ABNT NBR ISO/IEC 31000, o estabelecimento do contexto ao qual

a gestão de riscos será aplicada necessita que haja a definição do contexto externo e do
contexto interno, a fim de estabelecer um escopo e os critérios a serem utilizados.
71
Para a realização do presente estudo não considerou-se o contexto externo da

organização, pois a proposta visa avaliar os controles e procedimentos internos quanto a
gestão e a maturidade da gestão de riscos.
Embora existam diversas abordagens para definição do contexto interno, o presente

estudo consideradas as abordagens quanto a área e processo, caracterizando uma abordagem
mista. Nesta abordagem mista, o objetivo será avaliar o risco que a área de TI impõe ao
processo de ensino e de aprendizagem do Centro Universitário UNIVATES.
Figura 12 - Contexto interno da UNIVATES
Conforme ilustra a Figura 12, o contexto interno do Centro Universitário UNIVATES,

é composto pelas pessoas que atuam nas atividades docentes e discentes, pelo ambiente
computacional, ou infraestrutura de TI, que refere-se a área, e pela transmissão de
conhecimento adotado em sala de aula, o processo.
Para definição do contexto interno com relação aos métodos, diretrizes e políticas
adotadas pela organização são utilizados os frameworks de definição do grau de aderência da
segurança da informação e do grau de maturidade com relação a gestão de riscos.
Para definição da relevância ao qual o processo de ensino e de aprendizagem apresenta

na visão dos alunos e professores, aplicou-se um formulário com perguntas gerais referentes
as metodologias de ensino utilizadas em sala de aula e qual a percepção que os alunos
72
possuem em relação a utilização da TI em sala de aula. Na seção a seguir serão apresentados

os resultados deste formulário.
5.1.1 Avaliação da relevância da TIC no processo de ensino e de aprendizagem

Com o intuito de verificar qual o grau de utilização da TIC na universidade e a

relevância que a mesma apresenta na visão dos alunos e professores, foi aplicado um
formulário contendo algumas questões referentes ao uso de TI no processo de ensino e de
aprendizagem.
O Quadro 3 apresenta os resultados obtidos da aplicação do questionário referente a

percepção dos alunos, professores e funcionários com relação a utilização da TI no processo
de ensino e de aprendizagem.
Quadro 3- Relevância da TI no processo de ensino e de aprendizagem

Aulas
Aulas práticas Aulas práticas
expositivas e
com a com a Nenhuma
Quais metodologias são predominantemente Aulas práticas com a
utilização de utilização de das
utilizadas no processo de ensino e de expositivas utilização de
tecnologia da metodologias anteriores
aprendizagem no meu curso? (0%) tecnologia da
informação tradicionais (0%)
informação
(7%) (7%)
(87%)
Com que frequência utilizo algum recurso de Até duas Não utilizo/
Até três vezes Uma vez por
tecnologia da informação disponibilizado pela Todos os dias vezes por Nunca
por semana semana
instituição (WI-FI, Laboratórios de (40%) semana utilizei
(40%) (13%)
informática, Terminais de Consulta)? (7%) (0%)
Quais dos seguintes recursos utilizo com maior WI-FI Acesso Não utilizo/
Laboratórios de Terminais de
frequência para acesso a ambientes acadêmicos (dispositivo somente de Nunca
informática consulta
(UNIVATES Virtual, Universo UNIVATES, próprio) casa utilizei
(13%) (0%)
Balcão de Empregos, etc.)? (80%) (7%) (0%)
A Tecnologia da Informação (ambiente virtual,

pesquisas online, laboratórios de informática,
Concordo Discordo
trabalhos com o uso de TI, etc.) foi Concordo Indiferente Discordo
plenamente plenamente
fundamental no processo de ensino e de (47%) (0%) (0%)
(53%) (0%)
aprendizagem nas disciplinas que
cursei/lecionei.
As metodologias que utilizam tecnologia da
informação utilizadas pelo professor seriam Concordo Discordo
Concordo Indiferente Discordo
facilmente substituídas por métodos de plenamente plenamente
(7%) (7%) (73%)
aprendizagem tradicionais em caso de (0%) (13%)
indisponibilidade destes recursos?
Minha Minha
Caso houvesse indisponibilidade do acesso à aprendizagem aprendizagem Não afetaria Não utilizo
Internet durante as aulas as consequências no ficaria seria meu Internet nas
-
processo de ensino e de aprendizagem para completamente parcialmente aprendizado aulas
mim seriam: comprometida afetada (20%) (0%)
(7%) (73%)
Trabalhos em
Escrita
Para qual finalidade mais utilizo a tecnologia Pesquisas grupo em sala Redes sociais Outro
colaborativa
da informação em sala de aula? (47%) de aula (13%) (7%)
(13%)
(20%)
Os métodos de segurança de rede empregados Parcialmente Pouco
Adequados Inadequados
pela instituição (controle de utilização, logins, adequados adequados -
(67%) (0%)
políticas de acesso, etc. ) são: (13%) (0%)
Em sua totalidade, os recursos de TI utilizados Parcialmente Pouco
Adequados Inadequados
no processo de ensino e de aprendizagem na adequados adequados -
(67%) (0%)
UNIVATES são: (13%) (0%)
73
Conforme base nos resultados obtidos, pode-se averiguar que existe uma grande
dependência da utilização de tecnologia da informação no processo de ensino e de
aprendizagem. Os respondentes afirmam que a utilização da TI em sala de aula é crucial para
o desenvolvimento das atividades docentes, e que, em caso de indisponibilidade deste recurso,
a mesma não seria facilmente substituída, afetando parcialmente a aprendizagem dos alunos.
Os resultados apontam ainda que os alunos utilizam a infraestrutura de tecnologia da

informação da instituição todos os dias ou pelo menos três vezes por semana, principalmente
por meio de dispositivos próprios (smartphones, tablets, notebooks, etc.) para acesso a
pesquisas online, por meio da rede sem fio disponibilizada pela instituição.
Com relação aos métodos de segurança e a totalidade dos recursos utilizados na

infraestrutura de TI da UNIVATES, os respondentes sugerem que os mesmos encontram-se
adequados.
Na seção a seguir, serão apresentados os resultados do formulário de grau de aderência

do Centro Universitário UNIVATES em relação às recomendações de segurança da
informação da norma ABNT NBR ISO/IEC 27002.
5.1.2 Avaliação do grau de conformidade da gestão de segurança da informação
A avaliação do grau de conformidade da gestão de segurança da informação da

UNIVATES tem como objetivo determinar qual o nível de aderência da organização em
relação aos controles propostos pela norma ABNT NBR ISO/IEC 17799.
Para realização da avaliação deste, utilizou-se o framework apresentado no livro

“Gestão da segurança da informação”, de Marcos Sêmola (2003) (Anexo A).
Para a definição do índice de conformidade utilizou-se a tabela de pontuação

apresentada no Quadro 4, também proposto pelo mesmo autor.
Quadro 4 - Teste de conformidade - Tabela de Pontuação

Resposta A: some dois pontos.
Resposta B: some um ponto.
Resposta C: não some, nem subtraia pontos.
Fonte: Sêmola (2003).
74
O índice de conformidade possibilitará que seja feita um enquadramento do nível de

aderência da organização em relação ao que é considerado referência em gestão da segurança
da informação.
Para a análise dos domínios que são abrangidos pelo questionário dividiu-se as
questões específicas de cada área em seções individuais para melhor explanação do conteúdo
abordado em cada uma. O questionário foi aplicado a cinco colaboradores estratégicos do
NTI, sendo que o resultado obtido é apresentado por meio de um quadro de cada área, com o
número de respostas obtidas em cada uma das questões.
O framework utilizado foi elaborado por Sêmola (2003) com o intuito de possuir
apenas um respondente, com uma resposta por questão. Neste estudo o mesmo foi aplicado a
vários entrevistados e obtiveram-se resultados dispersos em algumas questões, o que já
apresenta uma falta de coerência entre os entrevistados. Sendo assim, serão consideradas as
respostas que possuírem maior aderência dos respondentes, sendo feita uma verificação
quanto a sua consistência, avaliando-se o cenário existente na instituição.
5.1.2.1 Grau de aderência à política de segurança da informação
Conforme apresentado na norma ABNT NBR ISO/IEC 17799, a política de segurança

da informação compreende no provimento de uma orientação e apoio para que exista
segurança da informação na organização com relação aos requisitos do negócio e com as leis
e regulamentações vigentes. Para tanto se faz necessário que exista uma política clara,
disponível a todos e que apresente o comprometimento com a segurança da informação da
organização.
O Quadro 5 apresenta a aderência ou não da UNIVATES com relação a uma política

de segurança da informação.
Quadro 5 - Grau de aderência à política de segurança da informação

Prática Aderência
Sim Sim, porém desatualizada/ Sim, porém Não
não está desempenhando a função
Política de segurança 1 2 2
Algum responsável pela gestão da política
- 1 4
de segurança?
Fonte: Elaborado pelo autor (2014), teste de conformidade (Sêmola, 2003).
No quesito política de segurança da informação, obtiveram-se duas respostas “Não”,

duas respostas “Sim, porém desatualizada” e uma resposta “Sim”. Como as respostas obtidas
75
estão bastante dispersas, pode-se concluir que este quesito não está de acordo com a norma,
pois a mesma requer que a política de segurança, caso exista, seja conhecida por todos na
organização.
Quanto ao conhecimento de um responsável pela gestão da política de segurança

obteve-se uma resposta “Sim, porém não está desempenhando a função” e quatro respostas
não, o que evidencia que caso já houve a existência dessa pessoa, atualmente não exerce mais
a função na organização. Sendo assim, pode-se que concluir que no segmento de política de
segurança da informação o Centro Universitário UNIVATES encontra-se em um estado
ingênuo.
5.1.2.2 Grau de aderência à segurança organizacional
A segurança organizacional tem como objetivo assegurar a proteção de pessoas, dos

bens e instalações da organização, afim de que exista integridade e continuidade nos
elementos que compõem o negócio. Esta etapa considera as diretrizes, as normas e os
procedimentos relacionados à segurança organizacional no que refere-se a ações corporativas
internas e também com prestadores de serviço terceirizados. O Quadro 6 apresenta o grau de
aderência à segurança organizacional avaliado.
Quadro 6 – Grau de aderência à segurança organizacional

Prática Aderência
Sim Sim, porém desatualizada Não
Infraestrutura de segurança da informação
2 2 1
para gerenciar as ações coorporativas ?
Fórum de segurança formado pelo corpo
diretor, a fim de gerir mudanças - 2 3
estratégicas?
Definição clara das atribuições de
responsabilidade associadas à segurança da 2 1 2
informação?
Identificação dos riscos no acesso de
3 - 2
prestadores de serviço?
Controle de acesso específico para os
4 1 -
prestadores de serviço?
Requisitos de segurança dos contratos de
2 - 3
terceirização?
No segmento de segurança organizacional, novamente obteve-se respostas dispersas dos

entrevistados, o que mostra uma falta de congruência entre os respondentes do NTI.
Pode-se verificar que metade das questões aqui apresentadas foram apontadas em sua
maioria como não existente, ou ainda existente, mas desatualizada. A questão que apresentou
76
maior coerência dos respondentes foi a inerente aos controles de acesso aos prestadores de
serviço, que apresentou quatro respostas “Sim”, o que representa aderência a este quesito.
Contudo verifica-se que a segurança organizacional da UNIVATES apresenta alguns

quesitos que estão de acordo com a norma, mas, devido a divergência de opiniões e a alta
quantidade de respostas negativas nas questões acima pode-se afirmar que a mesma não está
de acordo com o proposto pela norma ABNT NBR ISO/IEC 17799.
5.1.2.3 Grau de aderência à classificação e controle dos ativos
Segundo a norma ABNT NBR ISO/IEC 17799, o controle e a classificação dos ativos,
que são compostos por todos os elementos que representam algum valor a organização, tem
como objetivo alcançar e manter uma proteção adequada aos ativos da organização. Para tanto
é necessário que haja um inventário desses ativos, um responsável pela sua manutenção e
controles específicos.
O Quadro 7 apresenta os resultados obtidos quanto a aderência, ou não à classificação

e controle dos ativos.
Quadro 7 - Grau de aderência à classificação e controle dos ativos

Aderência
Prática
Inventário dos ativos físicos, lógicos e
4 1 -
humanos?
Critérios de classificação da informação? 1 1 3
Com base nas respostas obtidas no quesito de classificação e controle dos ativos,
verifica-se que 80% dos respondentes concordam que existe um controle dos ativos físicos,
lógicos e humanos da organização, entretanto obteve-se três respostas negativas quanto a
classificação da informação, concluindo-se que não há uma classificação satisfatória quanto a
sua necessidade, prioridade e nível esperado de proteção conforme apresenta a norma ABNT
NBR ISO/IEC 17799.
5.1.2.4 Grau de aderência à segurança em pessoas
A segurança em pessoas tem como objetivo assegurar que funcionários, fornecedores e

terceiros estejam de acordo com o seu propósito na organização, a fim de evitar riscos de
roubo, fraude ou mau uso dos recursos (ABNT NBR ISO/IEC 17799, 2009).
77
Este quesito visa também evitar que ocorram falhas humanas e que exista também a
prática de capacitação dos colaboradores da organização. O Quadro 8 demonstra o grau de
aderência quanto à segurança em pessoas.
Quadro 8 - Grau de aderência à segurança em pessoas

Aderência
Prática
Critérios de seleção e política de pessoal? 4 - 1
Acordo de confidencialidade, termos e
1 2 2
condições de trabalho?
Processos para capacitação e treinamento de
5 - -
usuários?
Estrutura para notificar e responder aos
2 1 2
incidentes e falhas de segurança?
Pode-se observar nas respostas apresentadas que, apesar da UNIVATES possuir

critérios de seleção e política de pessoal e capacitação dos usuários, não existem termos de
confidencialidade e condições de trabalho, tampouco estruturas que notifiquem incidentes ou
falhas.
Novamente as respostas obtidas possuem grandes disparidades, indicando que o

quesito não foi alcançado ou não é de conhecimento de todos os respondentes.
5.1.2.5 Grau de aderência à segurança física e de ambiente
Segundo a norma ABNT NBR ISO/IEC 17799, a segurança física e de ambiente visa
prevenir o acesso indevido aos ambientes de TI da organização evitando que ocorram danos
ou interferências nas instalações e informações da organização.
Para cumprimento das exigências deste quesito faz-se necessário que existam áreas
seguras para abrigar as instalações de processamento e armazenagem de dados, bem como da
existência de segurança lógica da rede. O Quadro 9 apresenta o grau de aderência ou não à
segurança física e de ambiente.
Quadro 9 - Grau de aderência à segurança física e de ambiente

Aderência
Prática
Definição de perímetros e controles de acesso físico
5 - -
aos ambientes?
Recursos para segurança e manutenção dos
5 - -
equipamentos?
Estrutura para fornecimento adequado de energia? 4 1 -
Segurança do cabeamento? 4 1 -
78
Conforme a avaliação do quadro pode-se verificar que os resultados advindos do

segmento de segurança física e de ambiente encontram-se bastante coesos, o que demonstra
que a UNIVATES possui total aderência a esta seção da norma.
5.1.2.6 Grau de aderência ao gerenciamento das operações e comunicações
O quesito de gerenciamento das operações e comunicações visa garantir que o

processamento, operação, gerenciamento e contabilização das informações sejam realizados
utilizando-se critérios de segurança da informação.
Atualmente os sistemas de comunicação estão apoiados fortemente pelas redes de

computadores, pela Internet e por suas variações, o que apresenta fundamental importância à
organização. O Quadro 10 apresenta o grau de aderência ao gerenciamento das operações e
comunicações.
Quadro 10 - Grau de aderência ao gerenciamento das operações e comunicações

Aderência
Prática
Procedimentos e responsabilidades
4 - 1
operacionais?
Controle de mudanças operacionais? 1 2 2
Segregação de funções e ambientes? 4 - 1
Planejamento e aceitação de sistemas? 4 - 1
Procedimentos para cópias de segurança? 5 - -
Controles e gerenciamento de rede? 5 - -
Mecanismos de segurança e tratamento de
3 2 -
mídias?
Procedimentos para documentação de
1 4 -
sistemas?
Mecanismos de segurança do correio
4 1 -
eletrônico?
Conforme demonstrado no quadro, a maioria das práticas sugeridas pelo segmento de

gerenciamento das operações e comunicações está sendo aplicada. Dentre as práticas que
foram apontadas como não conformes, pode-se destacar o controle de mudanças operacionais
e os mecanismos de segurança e tratamento de mídias. Em relação à documentação de
sistemas, os entrevistados afirmaram que a mesma existe, mas é considerada desatualizada.
Neste segmento, de forma não condizente as recomendações da norma, novamente é

percebido uma falta de coesão entre os respondentes em algumas das práticas sugeridas, o que
pode caracterizar falta de comunicação, capacitação ou de transparência.
79
5.1.2.7 Grau de aderência ao controle de acesso
O segmento de controle de acesso abordado pela norma ABNT NBR ISO/IEC 17799,
compreende realizar o controle do acesso à informação. O acesso da informação (acesso a um
ambiente, a um dispositivo, a um sistema, processo, etc.) deve ser controlado com base nos
requisitos de negócio e segurança da informação. O Quadro 11 apresenta os resultados quanto
o grau de aderência ao controle de acesso.
Quadro 11 - Grau de aderência ao controle de acesso

Aderência
Prática
Requisitos do negócio para controle de acesso? 3 1 1
Gerenciamento de acesso do usuário? 4 1 -
Controle de acesso à rede? 5 - -
Controle de acesso ao sistema operacional? 5 - -
Controle de acesso às aplicações? 4 1 -
Monitoração de uso e acesso ao sistema? 4 - 1
Critérios para computação móvel e trabalho remoto? 3 - 2
No que diz respeito aos controles de acesso, a maioria das respostas obtidas pela
aplicação do questionário demonstram que existe uma política da UNIVATES quanto ao
controle de acesso à rede, ao sistema operacional, as aplicações ao acesso e uso do sistema,
compreendendo em uma alta aderência a norma.
As únicas práticas que não alcançaram o mínimo de 80% das respostas obtidas foram a
da existência de requisitos do negócio para controle de acesso, que pode não estar completa e
de critérios para computação móvel e trabalho remoto, tendo em vista que essa prática não é
muito utilizada pelos funcionários.
5.1.2.8 Grau de aderência ao desenvolvimento e manutenção de sistemas
O preceito de grau de aderência ao desenvolvimento e manutenção de sistemas tem

como objetivo determinar se existe a aplicação de segurança da informação no
desenvolvimento, distribuição e manutenção de sistemas de informação. O Quadro 12
apresenta os resultados do grau de aderência quanto ao desenvolvimento e manutenção de
sistemas da instituição.
80
Quadro 12 - Grau de aderência ao desenvolvimento e manutenção de sistemas

Aderência
Prática
Requisitos de segurança de sistemas? 2 3 -
Controle de criptografia? 4 1 -
Mecanismos de segurança nos processos de
3 2 -
desenvolvimento e suporte?
No quesito de desenvolvimento e manutenção de sistemas pode-se verificar que,

apesar da falta de coerência entre os respondentes, não obteve-se nenhuma resposta negativa,
concluindo-se que os requisitos de segurança de sistemas, o controle de criptografia e a
segurança no desenvolvimento e suporte aos sistemas estão implementados, podendo estar
apenas desatualizados.
5.1.2.9 Grau de aderência à gestão da continuidade do negócio
A gestão da continuidade do negócio visa garantir que existam planos de contingência

e continuidade do negócio que objetivem a ininterrupção dos processos críticos da
organização ou a retomada destes em tempo hábil.
Quadro 13 - Grau de aderência à gestão da continuidade do negócio

Aderência
Prática
Processo de gestão da continuidade do
1 - 4
negócio?
No quesito de gestão de continuidade, 80% dos respondentes afirmam que não existe
uma gestão de continuidade do negócio na instituição, entretanto, se analisado o cenário da
infraestrutura de TI apresentado, pode-se averiguar diversos mecanismos de contingência e de
continuidade, principalmente no que diz respeito aos componentes existentes no data center
da instituição.
5.1.2.10 Grau de aderência à conformidade
O grau de aderência à conformidade consiste em avaliar a existência de violações de

quaisquer obrigações legais, estatutárias, regulamentares ou contratuais no que diz respeito
aos requisitos de segurança da informação. Os dados obtidos para este grau de aderência são
apresentados no Quadro 14.
.
81
Quadro 14 - Grau de aderência à conformidade

Prática Aderência
Gestão de conformidade técnicas e legais? 1 3 1
Recursos e critérios para auditoria de 1 1 3
sistemas?
Conforme avaliação dos dados dos respondentes constata-se que a UNIVATES possui
alguma aderência à conformidade, contudo, está desatualizada e essencialmente não
conforme. Esta informação pode caracterizar que existe um grau elevado de decisões que são
tomadas, assim como normas e padronizações, a partir do conhecimento de indivíduos e não a
partir de recomendações das normas.
No que diz respeito aos recursos e critérios para auditoria de sistemas pode-se verificar
que 60% das respostas obtidas afirmam que está prática não está sendo empregada na
instituição.
5.1.2.11 Resultado obtido
O modelo de conformidade apresentado por Sêmola (2003) sugere que a avaliação do

grau de aderência seja obtida a partir da contagem das respostas “Sim” multiplicadas por dois
somadas a contagem das respostas “Sim, porém desatualizada. As respostas “Não” não
precisam ser contabilizadas no cálculo.
Como as respostas obtidas da aplicação do questionário são, em sua grande maioria,

dispersas, e o framework exige que exista apenas uma resposta por questão, para a obtenção
da pontuação dos resultados são utilizadas as respostas que obtiveram maior aderência pelos
respondentes.
Nos casos onde houve duas alternativas com o mesmo número de respostas, serão
considerados os dois resultados obtidos e feita uma verificação de qual alternativa aplica-se
melhor com base no cenário apresentado.
82
Quadro 15 - Resultados obtidos e respostas consideradas

SIM, PORÉM
SIM NÃO RESPOSTA
PRÁTICA (%)
DESATUALIZADA
(%) CONSIDERADA
(%)
A política de segurança existe e é conhecida? 20 40 40 NÃO
Existe algum responsável pela gestão da política de
- 20 80 NÃO
segurança?
Existe uma infraestrutura de segurança da informação para SIM, PORÉM

40 40 20
gerenciar as ações corporativas? DESATUALIZADA
O fórum de segurança é formado pelo corpo diretor, a fim de
- 40 60 NÃO
gerir mudanças estratégicas?
Existe uma definição clara das atribuições de responsabilidade
40 20 40 NÃO
de associadas à segurança da informação?
É feita a identificação dos riscos no acesso de prestadores de
60 - 40 SIM
serviço?
Existe um controle de acesso específico para os prestadores de
80 20 - SIM
serviço?
Requisitos de segurança dos contratos de terceirização são
40 - 60 NÃO
definidos?
Existe um inventário dos ativos físicos, tecnológicos e
80 20 - SIM
humanos?
Existem critérios de classificação da informação 20 20 60 NÃO
Os critérios de seleção e política de pessoal estão definidos? 80 - 20 SIM
Existe um acordo de confidencialidade, termos e condições de
20 40 40 NÃO
trabalhos?
Processos para capacitação e treinamento de usuários estão
100 - - SIM
definidos?
Existe uma estrutura para notificar e responder aos incidentes
40 20 40 NÃO
e falhas de segurança?
Existe definição de perímetros e controle de acesso físico aos
100 - - SIM
ambientes?
Existem recursos para segurança e manutenção dos
100 - - SIM
equipamentos?
Existe estrutura para fornecimento adequado de energia? 80 20 - SIM
A segurança do cabeamento é considerada? 80 20 - SIM
Os procedimentos e responsabilidades operacionais estão
80 - 20 SIM
definidos e divulgados?
Existe um controle de mudanças operacionais? 20 40 40 NÃO
Existe segregação de funções e ambientes? 80 - 20 SIM
O planejamento e a aceitação de sistemas são executados? 100 - - SIM
Existem procedimentos para copias de segurança? 100 - - SIM
Existem controles e gerenciamento de rede? 60 40 - SIM
Mecanismos de segurança e tratamento de mídias são SIM, PORÉM
20 80 -
conhecidos? DESATUALIZADA
Existem procedimentos para documentação de sistemas? 80 20 - SIM
Mecanismos de segurança do correio eletrônico são
60 20 20 SIM
implementados?
Os requisitos do negócio para controle de acesso estão
60 20 20 SIM
definidos?
Existe gerenciamento de acessos do usuário? 80 20 - SIM
Existe controle de acesso à rede? 100 - - SIM
Existe controle de acesso ao sistema operacional? 100 - - SIM
Existe controle de acesso às aplicações? 80 20 - SIM
Existe monitoramento do uso e acesso ao sistema 80 - 20 SIM
Existem critérios para computação móvel e trabalho remoto? 60 - 40 SIM
SIM, PORÉM
Requisitos de segurança de sistemas estão definidos? 40 60 -
DESATUALIZADA
Controle de criptografia é definida e utilizada? 80 20 - SIM
São implementados mecanismos de segurança nos processos
60 40 - SIM
de desenvolvimento e suporte?
Existem processos de gestão da continuidade do negocio? 20 40 40 NÂO
SIM, PORÉM
Existe gestão de conformidade técnicas e legais? 20 60 20
DESATUALIZADA
Recursos e critérios para auditoria de sistemas estão definidos? 20 20 60 NÃO
A Tabela 4 apresenta a pontuação obtida no Centro Universitário UNIVATES,

conforme os resultados apresentados no Quadro 15.
83
Tabela 4 – Pontuação obtida no teste de conformidade

Resposta Respostas Pontuação obtida
Resposta A (SIM) 25 50 pontos
Resposta B (SIM, PORÉM DESATUALIZADA) 4 4 pontos

Resposta C (NÃO) 11 0 pontos
Total 54 pontos
Segundo Sêmola (2003), após a obtenção da pontuação do teste de conformidade da

organização a mesma pode ser enquadrada em um nível ou grau de conformidade do total de
três. O nível baixo, que caracteriza baixa aderência, é atribuído à pontuação obtida entre 0 a
26 pontos. O nível médio é atribuído a pontuação obtida entre 27 e 53 pontos e o nível alto
entre 54 a 80 pontos.
O resultado entre 0 a 26 pontos indica uma aderência muito baixa à norma ABNT
NBR ISO/IEC 17799, caracterizando que a segurança da informação não está sendo tratada
como prioridade e indicando a ausência ou ineficácia de muitos dos controles recomendados
pela norma. As causas podem ser o desconhecimento dos riscos e a falta de sensibilização dos
executivos e da alta administração. Este resultado pode indicar também que apesar da
segurança estar sendo aplicada por alguns departamentos a mesma não está distribuída
uniformemente, sendo que o nível de segurança do negócio como um todo permanece baixo.
O resultado entre 27 a 53 pontos que situa-se em um nível médio de aderência à

norma, indica atenção, pois caracteriza que a empresa pode ter adotado quase que a totalidade
dos controles, mas a maioria dos quesitos pode estar defasada, desatualizada ou inativa, o que
demonstra um bom nível de consciência, mas também deficiência na estrutura de gestão ou a
falta de fôlego financeiro para subsidiar os recursos de administração. Este nível pode
representar que a organização está em um processo de evolução ou ainda estagnada, com
possibilidade de redução tendenciosa do nível de segurança ao longo do tempo por falta de
orientação.
O resultado entre 54 a 80 pontos corresponde a uma alta aderência a norma, sendo o

resultado desejado nas organizações. A organização que atinge esta pontuação normalmente é
vista em destaque pelo mercado em seu segmento de mercado, por conta da abrangência dos
84
controles que aplica no negócio. Mesmo estando neste nível de conformidade, não é possível
verificar a uniformidade dos controles por completa tendo em vista que o teste abrange dez
domínios.
O resultado obtido pelo Centro Universitário UNIVATES, que obteve a pontuação de

54 pontos, enquadra-se em um nível alto de aderência à norma segundo Sêmola (2003).
Contudo, tendo em vista que alcançou apenas 67,5 % da pontuação máxima e encontra-se
muito próximo a pontuação considerada média (53 pontos), pode-se considerar que o grau de
aderência a norma atingido é de nível médio. Dentre os domínios abrangidos pela norma, a
UNIVATES atingiu altos níveis de aderência em algumas diretrizes e baixos em outras.
Sendo assim, é de grande valia que sejam analisados os resultados obtidos com separação por
segmento, a fim de planejar ações, ajustes e medidas corretivas dos pontos deficientes. A
Tabela 5 apresenta a pontuação máxima a ser atingida em cada segmento ou diretriz e os
pontos atingidos pela organização, bem como o seu grau de aderência, em percentual.
Tabela 5 - Resultados do teste de conformidade por domínio

Domínio Pontuação Máxima Pontos Obtidos Grau de aderência
Política de segurança 4 0 0%
Segurança organizacional 12 5 41%
Classificação e controle dos ativos

4 2 50%
de informação
Segurança em pessoas 8 4 50%
Segurança física e de ambiente 8 8 100%
Gerenciamento das operações e

18 15 83%
comunicações
Controle de acesso 14 14 100%
Desenvolvimento e manutenção de
6 5 83%
sistemas
Gestão da continuidade do negócio 2 0 0%
Conformidade 4 1 25%
Total 80 54 67,5%

85
Conforme verificado na Tabela 5, o grau de aderência atingido pela UNIVATES

concentra-se em alguns domínios onde a pontuação atingida é aceitável. Nos segmentos de
política de segurança e gestão da continuidade do negócio obteve-se pontuação nula,
demonstrando que esses controles sequer foram instaurados na instituição. Apesar do
resultado obtido pela instituição representar um alto grau de aderência a norma, dentre os dez
domínios analisados, somente quatro deles apresentam valores acima de 67,5% (que é o valor
necessário para obter-se esse enquadramento).
Se analisadas as áreas de domínio que possuem maior aderência pode-se notar que as
mesmas condizem aos segmentos essencialmente técnicos e operacionais. Por outro lado, a
maior deficiência encontrada na instituição (atingindo um grau baixo de aderência) está na
política de segurança, na gestão de continuidade do negócio e na conformidade, sendo que as
mesmas podem não existir, não estarem mais ativas, ou ainda não foram implementadas.
Os resultados obtidos neste capítulo demonstram que a instituição, apesar de

apresentar um alto grau de aderência à norma, não possui os controles de segurança da
informação implementados de forma uniforme dentre os processos e diretrizes abordados pela
mesma, indicando que o resultado do teste provém de uma abordagem empírica dos
colaboradores do NTI e não da aplicação da norma propriamente dita.
A baixa aderência obtida em alguns domínios pode indicar que existem pontos falhos
a organização que geram riscos à infraestrutura de TI e, consequentemente, aos processos que
dela são dependentes, como por exemplo, o processo de ensino e de aprendizagem.
A fim de avaliar quais os riscos existentes, se faz de grande valia que seja
implementada uma gestão de riscos, que pode ser útil enquanto ferramenta de apoio para
caracterizá-los, bem como para avaliação das suas causas e consequências. Sendo assim, a
seção a seguir apresenta a avaliação do grau de maturidade à gestão do Centro Universitário
UNIVATES.
5.1.3 Avaliação do grau de maturidade à gestão de riscos
A avaliação do grau de maturidade à gestão de riscos tem como objetivo identificar o

grau de adoção e aplicação de abordagens de gestão de riscos, que possuam o intuito de
identificar, avaliar e tratar ameaças que possam afetar os processos da organização.
86
A presente seção visa apresentar os resultados obtidos da avaliação do grau de

maturidade do Centro Universitário UNIVATES em relação à norma ABNT ISO/IEC
31000:2009.
A obtenção dos dados foi realizada por meio da aplicação do framework de avaliação
do grau de maturidade da gestão dos riscos da organização (Anexo B), de autoria do QSP –
Centro de Qualidade, Segurança e Produtividade, que é distribuída gratuitamente a todos os
interessados.
O questionário, que possui 15 questões inerentes aos processos de gestão de riscos, foi
aplicado a cinco funcionários do NTI que desempenham funções estratégicas a fim de
identificar qual a situação atual da UNIVATES com relação a gestão de riscos.
Para resposta do questionário, os entrevistados foram solicitados a avaliar os processos

existentes no framework segundo escala demonstrada na Tabela 6.
Tabela 6 - Pontuação dos processos quanto a maturidade

Nível de maturidade Classe de
(pontuação) maturidade Descrição geral
1 Ruim Processo inconsistente, pobremente controlado
2 Razoável Processo disciplinado, podendo repetir tarefas com sucesso
Processo padronizado e consistente. Ou seja, o processo é

3 Bom
caracterizado e bem entendido
4 Muito Bom Processo medido e controlado
5 Excelente Processo focado na melhoria contínua
Fonte: Elaborado pelo autor (2014), teste de maturidade de gestão de riscos (QSP, 2007).
Após a definição da pontuação de cada processo, para a análise dos resultados

advindos do questionário, conforme sugerido pela QSP (2007), foram tabuladas as cinco
respostas provenientes dos entrevistados e realizada uma média do somatório das respostas a
fim de encontrar a pontuação por processo. Após obter-se a média de cada processo é feita
novamente uma média de todas as pontuações que foram obtidas por processo para que seja
possível calcular a média final.
87
Quadro 16 - Pontuação obtida no questionário de maturidade da gestão de riscos

Questões/Processos R1 R2 R3 R4 R5 Xp
1. Os objetivos da organização estão definidos 3 4 4 4 3 3,6
2. A direção foi treinada para compreender os riscos e
2 4 3 2 1 2,4
sua responsabilidade por eles

3. Foi definido um sistema de pontuação para avaliar os
2 3 2 1 1 1,8
riscos
4. O apetite por riscos da organização foi definido em
2 1 3 2 2 2,0
termos de um sistema de pontuação
5. Foram definidos processos para determinar os riscos.
3 2 3 2 2 2,4
Esses processos são seguidos
6. Todos os riscos foram compilados em uma lista. Os
2 1 3 1 1 1,6
riscos foram alocados a cargos específicos
7. Todos os riscos foram avaliados de acordo com o
1 1 2 2 2 1,6
sistema de pontuação definido
8. As respostas aos riscos foram selecionadas e
2 1 3 2 2 2,0
implementadas
9. A direção estabeleceu controles para monitorar a
2 2 3 3 1 2,2
operação adequada dos controles-chave
10. Os riscos são analisados criticamente pela organização
2 2 3 3 1 2,2
de forma regular
11. A administração relata os riscos para os diretores
quando as respostas aos riscos não reduzem tais riscos 2 1 3 2 2 2,0
a um nível aceitável
12. Todos os novos projetos significativos são avaliados
3 2 4 3 2 2,8
rotineiramente quanto a riscos
13. A responsabilidade pela determinação, avaliação e
manejo dos riscos esta incluída nas descrições de 3 2 4 1 3 2,6
cargos
14. Os gerentes dão garantia da eficácia de sua gestão de
2 1 4 3 3 2,6
riscos
15. Os gerentes são avaliados quanto ao seu desempenho
1 1 4 1 4 2,2
no gerenciamento dos riscos
2,1 1,9 3,2 2,1 2,0 Xmr = 2,3
O Quadro 16 apresenta os resultados obtidos dos questionários onde cada linha

corresponde a pontuação atribuída por cada respondente, sendo a última coluna referente a
média de todos os respondentes para determinado processo. A última linha do questionário
88
indica a pontuação geral por respondente, bem como a pontuação final da maturidade de
riscos.
Sendo assim, com a aplicação do questionário no Centro Universitário UNIVATES

obteve-se uma pontuação final de 2,3. A Tabela 7 demonstra os estágios definidos pela QSP
(2007), segundo a pontuação final obtida.
Tabela 7 - Estágio da maturidade de gestão de riscos

Estágio Grau de maturidade Descrição geral da gestão de riscos da organização
1 Ingênuo Nenhuma abordagem formal desenvolvida para a gestão de riscos
2 Consciente Abordagem para a gestão de riscos dispersa em “silos”
Estratégias e políticas implementadas e comunicadas. Apetite por

3 Definido
riscos definido
Abordagem corporativa para a gestão de riscos desenvolvida e

4 Gerenciado
comunicada
Gestão de riscos e controles internos totalmente incorporados às

5 Habilitado
operações
O grau de maturidade atingido pela UNIVATES encontra-se em um nível consciente,

onde a abordagem para a gestão de riscos é dispersa em “silos”, ou seja, a gestão de riscos
mesmo que incompleta existe, mas está restrita a algumas pessoas ou setores.
A Tabela 8 apresenta os percentuais de respostas que atingiram a pontuação conforme

os graus de maturidade.
Tabela 8 - Percentual de respostas por grau de maturidade

Grau da
Ingênuo Consciente Definido Gerenciado Habilitado
Maturidade
Percentual de
respostas em 24% 40% 22% 13% 0%
cada grau
Fonte: Elaborado pelo autor (2014), com base no teste de maturidade da gestão de riscos (QSP, 2007).
Conforme demonstrado na Tabela 8, a soma das respostas que encontram-se em um

grau de maturidade “ingênuo” e “consciente” somam um total de 64% das respostas obtidas, o
que representa um nível de maturidade quanto a gestão de riscos muito baixo.
89
Em uma análise mais detalhada, conforme demonstrado no Quadro 16, verifica-se que
os itens com pior avaliação, considerados em um estágio “ingênuo” pelos respondentes são: a
existência de um sistema de pontuação para avaliação de riscos, a compilação dos riscos em
uma lista, e a avaliação de todos os riscos de acordo com o sistema de pontuação, etapas estas
que são fundamentais na realização de uma análise de riscos.
Na próxima seção, será apresentada a análise e avaliação dos riscos propriamente

ditos, iniciando-se pela definição do mapa de apetite de riscos.
5.2 Análise e avaliação dos riscos
No modelo proposto, após definido o contexto ao qual a gestão de riscos será aplicada,
é necessário que haja a definição do escopo, do mapa de apetite e a identificação e
classificação dos riscos, para posterior tratamento.
O escopo, apesar de não ser definido explicitamente, deve ser considerado no

momento em que ocorrer a atribuição dos índices relevantes aos controles de cada ativo.
Nas seções seguintes será definido o mapa do apetite de riscos aceitáveis pela
UNIVATES, apresentado a avaliação e a análise dos riscos e o cadastro de ameaças
relacionadas.
5.2.1 Definição do mapa de apetite de riscos
O mapa de apetite de riscos é obtido através da combinação dos valores associados a

escala dos níveis de riscos, para que seja possível criar graus de risco as quais as ameaças
serão posteriormente enquadradas, conforme seus níveis de probabilidade, relevância e
consequência. Após a obtenção das pontuações do mapa de apetite de riscos define-se o nível
de aceitabilidade, ou seja, atribui-se graus de riscos a diferentes faixas de pontuações do mapa
de apetite de riscos.
O preenchimento da matriz de riscos se dá pela criação de uma matriz obtida a partir

da multiplicação de três índices: probabilidade, consequência e relevância. Cada índice pode
assumir valores compreendidos entre 1 e 5 (1= MB - Muito Baixo, 2= BA- Baixo, 3= ME-
Médio, 4= AL- Alto e 5= MA- Muito alto), conforme mostra a Tabela 9.
90
Tabela 9 - Níveis de risco

Níveis MB BA ME AL MA
P - Probabilidade 1 2 3 4 5
C - Consequência 1 2 3 4 5
R - Relevância 1 2 3 4 5
Fonte: ABNT NBR ISO/IEC 31000 (2009).
Após a combinação dos três níveis de riscos, a matriz do grau de riscos é composta por
valores entre 1 e 125, sendo 1 o menor índice de risco e 125 o maior índice de risco. Desta
forma as ameaças com o maior risco para a organização devem ser associadas aos índices de
risco mais altos.
Como a UNIVATES não possui nenhuma tabela ou identificação do apetite de riscos

para a área de TI ou para os processos relacionadas com as atividades de ensino e de
aprendizagem definida, para a realização deste estudo, propôs-se que o mapa de apetite de
riscos seja dividido em três níveis (alto, médio e baixo), levando-se em consideração os níveis
de probabilidade, relevância e consequência.
A Tabela 10 representa os graus de risco definidos e consequentemente os limites de

valores que, por sua vez, representam diferentes níveis de risco. Os riscos classificados na cor
verde apresentam um baixo nível de risco, compreendendo valores de 1 a 12. A cor vermelha
da tabela representa altos níveis de risco, compreendidos pela pontuação de 36 e 125. Os
riscos compreendidos entre 13 e 35 são apresentados na cor amarela e correspondem os níveis
de risco médio.
Tabela 10 - Mapa de apetite de riscos

CONSEQUÊNCIA 1 2 3 4 5
5 5 20 45 60 125
4 4 16 36 48 100
GRAU DO
PROBABILIDADE 3 3 12 27 36 75
RISCO
2 2 8 18 24 50
1 1 4 9 12 25
RELEVÂNCIA 1 2 3 4 5
Fonte: Elaborado pelo autor (2014), apetite de risco (ABNT NBR ISO/IEC 31000, 2009).
Para obtenção dos valores existentes na tabela realiza-se a multiplicação dos valores
associados a probabilidade, consequência e relevância (P x C x R) dos riscos. O valor mais
baixo é obtido a partir da multiplicação dos valores mais baixos de cada vetor, isto é, P = 1 x
91
C = 1 x R = 1, resultando em 1 e representado na área verde do mapa do apetite de riscos. Por

outro lado, o valor mais alto é obtido dos valores mais altos de cada vetor, isto é, P = 5 x C =
5 x R = 5, resultando em 125 e representado na área vermelha. Todos os demais valores são
obtidos a partir das combinações de valores, variando de um a cinco, respectivamente.
O grau de baixo de risco é compreendido pela pontuação que vai de 1 a 12 pontos,

considerando que tal valor é obtido pela combinação de níveis de risco que em sua maioria
sejam valores abaixo de 3, ou seja, caso obtenha se dois valores 2 e um valor 3, por exemplo,
obtém-se a pontuação de 12, sendo esta ameaça considerada de baixo risco.
Para o grau de médio risco, definiu-se a faixa de pontuação entre 13 e 35 pontos sendo
que caso haja dois valores 3 ou maiores, e um valor 2 por exemplo, atingindo a pontuação de
18, a ameaça é considerada de médio risco.
O alto grau de riscos existente no mapa de apetite de riscos foi definindo tendo em
vista que para as ameaças que obtiverem dois níveis (probabilidade, relevância ou
consequência) com valores 3 e um dos níveis apresentando valor 4 ou mais (que são
considerados valores altos na escala de 1 a 5 apresentada), obtendo-se 36 pontos,
considerando-se uma ameaça de alto risco.
Como parte do monitoramento da gestão de riscos, o mapa de apetite de riscos deverá

ser atualizado periodicamente pelo corpo gestor, a fim de manter atualizados os valores
inerentes à consequência, a probabilidade e a relevância, bem como a classificação dos riscos,
tendo em vista que caso haja mudanças no ambiente, nas tecnologias utilizadas ou em
qualquer outra variável que refere-se ao risco seu enquadramento deve ser revisto.
Após a definição do mapa do apetite de riscos, do grau de maturidade da gestão de

riscos e o grau de aderência da TI à norma ABNT ISO/IEC 17799:2009, é feita a análise dos
riscos propriamente dita.
5.2.2 Avaliação dos riscos do processo de ensino e de aprendizagem
A análise dos riscos proposta pela presente gestão de riscos compreende no

levantamento e identificação das ameaças e na definição da necessidade de tratamento das
mesmas quanto sua criticidade, com base no contexto as quais estão inseridas. A análise de
riscos é realizada com base na norma ABNT ISO/IEC 31000:2009, concluindo então as
etapas da gestão de riscos proposta.
92
Conforme apresentado anteriormente na definição do contexto, a presente análise de

riscos é mista, sendo realizada levando-se em conta o ativo, que é compreendido pela área de
TI e o risco que esta impõe ao processo, compreendido pelo ensino e aprendizagem do Centro
Universitário UNIVATES.
Para a realização do levantamento dos dados da análise de riscos foi aplicado um

formulário (Apêndice A) aos alunos, professores e funcionários do NTI, contendo questões
relativas aos riscos da infraestrutura de TI, para avaliação dos índices P x C x R e a existência
ou não de planos de continuidade e contingência.
Para cada um dos riscos apresentados, é solicitado que o respondente indique os

quesitos de probabilidade (possibilidade da ameaça se concretizar), consequência (prejuízos
que a ameaça pode oferecer ao processo de ensino e de aprendizagem) e relevância
(importância que a ameaça pode apresentar no processo de ensino e de aprendizagem),
selecionando um índice compreendido entre um a cinco, onde um indica menor importância e
cinco extrema importância.
É solicitado também que o respondente avalie a existência de planos de contingência

(possibilidade de contornar a ameaça de forma paliativa, com outro recurso, em determinado
espaço de tempo) e continuidade (garantia que o serviço não será afetado por determinada
ameaça, mantendo o recurso disponível e/ou o ativo em funcionamento), que é considerado
posteriormente para determinar se a ameaça já possui tratamento ou não.
O questionário aborda os principais recursos disponibilizados pelas TICs que possam

ser utilizados no processo de ensino e de aprendizagem como os sistemas de comunicação e
transmissão de dados, de segurança da informação, de infraestrutura de rede, servidores,
desenvolvimento de softwares e apoio aos usuários.
O Quadro 17 apresenta a média dos valores dos índices P x C x R, o índice de riscos

calculado a partir das médias, sua classificação quanto a apetite de riscos apresentada e os
domínios de segurança da informação relacionados segundo a norma ABNT ISO/IEC 17799,
obtidos a partir da aplicação do questionário de avaliação dos riscos inerentes ao processo de
ensino e de aprendizagem (Apêndice A).
93
Quadro 17 - Resultados da avaliação dos riscos

Índice

RISCO Probabilidade Consequência Relevância
de risco
Apetite Tratado? Domínios relacionados
Indisponibilidade dos serviços internos 2,0 4,4 4,0 35,2 Alto Não Segurança Física e de Ambiente/ Segurança em Pessoas
Interrupção do fornecimento de energia elétrica no data center 1,6 3,7 3,7 21,9 Médio Sim Segurança Física e de Ambiente
Falha nos nobreaks do data center 1,6 4 4,1 26,2 Médio Sim Segurança Física e de Ambiente/ Segurança Organizacional
Falha no gerador que atende ao data center 2,1 4,8 4,7 47,3 Alto Não Segurança Física e de Ambiente
Falha ou dano permanente na infraestrutura física de TI 3,0 4,1 4,2 51,6 Alto Sim Segurança Organizacional/ Segurança Física e de Ambiente
Falha no data center Gerenciamento das operações e comunicações/ Segurança
1,8 4,6 4,6 38,0 Alto Sim Organizacional/ Segurança em pessoas/ Segurança Física e
de Ambiente/ Gestão de Continuidade do Negócio
Falha ou indisponibilidade de acesso a repositórios de dados 2,1 2,6 3,2 17,4 Médio Sim Gerenciamento das operações e comunicações
Interrupção do fornecimento de energia elétrica nas salas de aula 2,7 4,8 4,7 60,9 Alto Não Segurança Física e de Ambiente
Interrupção do fornecimento de energia elétrica em salas de
2,1 3,4 3,4 24,2 Médio Sim Segurança Física e de Ambiente
telecomunicações
Falha em algum equipamento interno Classificação e Controle dos Ativos de Informação/
3,0 3,9 4,0 46,8 Alto Sim
Segurança Física e de Ambiente
Falha nos nobreaks das salas de telecomunicações 1,6 4,2 4,1 27,0 Médio Sim Segurança Física e de Ambiente/ Segurança Organizacional
Indisponibilidade de acesso à Internet (indisponibilidade dos ISPs) 2,7 3,8 3,8 38,9 Alto Sim Segurança Física e de Ambiente/ Segurança Organizacional
Danos permanentes nos computadores dos laboratórios de informática Segurança Física e de Ambiente/ Controle de Acesso/
2,5 3,4 3,4 38,9 Alto Sim
Desenvolvimento e Manutenção de Sistemas
Danos permanentes nos dispositivos próprios dos alunos Segurança Física e de Ambiente/ Controle de Acesso/
2,3 2,4 4,3 23,7 Médio Não
Ataques por softwares mal-intencionados, cibervandalismo ou ataques a
rede WI-FI ou aos sistemas da instituição e/ou dispositivos da 2,4 3,9 4,2 39,3 Alto Sim Gerenciamento das operações e comunicações
instituição
Ataques por softwares mal-intencionados ou cibervandalismo aos
2,3 3,9 3,8 36,0 Alto Não Gerenciamento das operações e comunicações
dispositivos próprios dos alunos
Falha ou indisponibilidade de acesso a redes sociais 1,6 1,8 0,8 2,3 Baixo Não Segurança Física e de Ambiente/ Segurança Organizacional
Instabilidade nos computadores dos laboratórios de informática da Desenvolvimento e Manutenção de Sistemas/ Segurança em
2,6 2,8 2,6 18,9 Médio Não
instituição ou dispositivos próprios dos alunos Pessoas
Impacto negativo no processo de ensino e de aprendizagem devido
2,5 3,6 3,8 36,2 Alto Sim Segurança em pessoas/ Gestão de Continuidade
problemas na utilização dos serviços de TI
Falha ou indisponibilidade do acesso à rede sem fio Segurança Física e de Ambiente/ Gerenciamento das
2,5 3,7 3,6 35,3 Alto Sim
operações e comunicações
Falha ou indisponibilidade de streaming de áudio ou vídeo 2,0 2,4 2,3 11,0 Baixo Não Controle de acesso
Falha ou indisponibilidade no processo de instalação ou atualização de Desenvolvimento e Manutenção de Sistemas/ Controle de
2,0 2,7 2,8 15,1 Médio Não
softwares acesso
Falha ou indisponibilidade de acesso a serviços específicos 2,0 2,9 2,3 13,3 Médio Não Controle de acesso
Acesso indevido de outros usuários ao seu dispositivo a partir da rede
2,2 3,5 2,7 20,7 Médio Sim Controle de acesso
da UNIVATES (rede local)
Indisponibilidade dos serviços externos 1,5 2,8 2,9 12,0 Baixo Sim Segurança Física e de Ambiente/ Segurança Organizacional
94
O Quadro 17 elenca 25 ameaças da área de TI que estão correlacionadas ao processo

de ensino e de aprendizagem. Destas, 12% referem-se a ameaças de baixo risco, 40% a
ameaças de médio risco e 48% de alto risco, segundo o mapa de apetite de riscos definido
anteriormente.
Com relação ao tratamento das mesmas, pode-se observar que 15 ameaças já possuem
algum controle implementado de tratamento, correspondendo a 60% do total das ameaças.
Como existem alguns controles já implementados, pode-se afirmar, segundo os

resultados advindos do questionário, que atualmente a UNIVATES possui um risco residual
de 40% das ameaças elencadas, sendo que as mesmas ainda podem ser tratadas ou não,
dependendo dos seus critérios e recursos necessários para saná-la.
Para os critérios definidos, as ameaças de alto risco são as que requerem maior atenção
por parte da gestão, necessitando imediato tratamento ou mitigação. Dentre as 12 ameaças de
alto risco elencadas, quatro não possuem nenhum tratamento ou controle, representando 33%
das ameaças que ainda não foram tratadas.
Dentre as ameaças elencadas pode-se verificar que oito dos dez domínios descritos na
norma ABNT ISO/IEC 17799:2009 são abrangidos, sendo que algumas possuem correlação
com mais de um domínio. Como os riscos elencados são voltados principalmente a questões
operacionais, os domínios de política de segurança e de conformidade não foram abrangidos
na avaliação dos riscos.
A Tabela 11 apresenta qual o grau de aderência obtido por meio da aplicação do teste
de conformidade da gestão de segurança da informação (conforme apresentado anteriormente)
e qual o percentual abrangido pelas ameaças em cada um dos domínios.
95
Tabela 11 - Relação do grau de aderência e as ameaças por domínio

Domínio Grau de aderência Percentual de ameaças
Política de Segurança 0% 0%
Segurança organizacional 41% 28%

Classificação e controle dos ativos de informação 50% 4%
Segurança em pessoas 50% 16%
Segurança física e de ambiente 100% 64%
Gerenciamento das operações e comunicações 83% 2%
Controle de acesso 100% 24%
Desenvolvimento e manutenção de sistemas 83% 16%
Gestão da continuidade do negócio 0% 8%
Conformidade 0% 0%
Dentre as ameaças elencadas, 64% abrangem o domínio de segurança física e de

ambiente e, conforme avaliado segundo o grau de aderência a segurança da informação, este
domínio possui um alto grau de aderência a norma, indicando que para a maioria das ameaças
relacionadas com este domínio já existe tratamento definido ou pelo menos algum controle,
mesmo que defasado, implementado.
O domínio de gestão da continuidade do negócio, apesar de possuir apenas 8% das

ameaças relacionadas, o que representa um percentual muito baixo, não possui qualquer
controle implementado segundo o resultado do grau de aderência a norma obtido, o que
representa um alto risco a instituição devendo ser analisado com atenção pelos responsáveis.
O domínio inerente a política de segurança, apesar de não possuir nenhuma ameaça

elencada e avaliada, é tido como base para todos os outros domínios, tendo em vista que todos
os controles implementados na organização deveriam partir da definição de uma política de
segurança, caso não sejam instituídos de forma empírica pelos colaboradores.
Com relação ao domínio de conformidade não foi elencada nenhuma ameaça, tendo
em vista que este quesito aborda a legislação, os requisitos estatutários e contratuais, não
condizendo com o objetivo ao qual o estudo foi direcionado. Entretanto este domínio deve ser
verificado com cautela pelo corpo gestor levando-se em conta que o grau de aderência obtido
no teste foi nulo.
96
5.3 Proposta de Soluções
Com o intuito de propor soluções aos riscos elencados e analisados definindo

processos de controle para a gestão de riscos proposta, é sugerida a apresentação de um
cadastro de ameaças.
Embora a norma ABNT NBR ISO/IEC 31000:2009 faça referência a um cadastro de

ameaças, a mesma não determina um modelo a ser seguido. Cabe à organização verificar qual
melhor atende as suas necessidades, cria-lo e mantê-lo atualizado. Este cadastro é de grande
valia, pois permite que seja mantida uma base de conhecimento, que poderá ser reutilizada em
caso de reincidência de um evento ou servir de ponto de partida para novas iniciativas.
Após a identificação de uma ameaça e o risco associado ao ativo a ser protegido, pode-
se estabelecer a possibilidade ou não de tratamento desta ameaça com base no seu nível de
risco. As ameaças com riscos muito altos devem passar para uma etapa de análise de recursos
e ações, com o propósito de estabelecer um plano de ações. Os recursos e ações podem ser
estimados, pois o método requer que os índices associados a cada ativo sejam reavaliados
periodicamente ou após sofrerem alguma intervenção.
Para o presente modelo de gestão de riscos o cadastro de ameaças considera apenas as

ameaças de alto risco, sendo identificados os eventos relacionados à mesma, suas
consequências, os controles já existentes com base no cenário atual já apresentado, o índice de
risco avaliado pelos respondentes do questionário de análise de riscos e o plano de ações,
contendo as medidas a serem tomadas, os recursos necessários e o monitoramento exigido
para manter o tratamento de riscos eficaz, conforme apresentado no Quadro 18.
97
Quadro 18 - Cadastro de ameaças

Índice Tratamento de Riscos - Plano de Ações
Ameaça Eventos relacionados Consequências Controles Identificados Ações Propostas Relato e Monitoramento
RISCO Recursos necessários
exigido
- falha, queima ou parada dos - prover redundância da
- os serviços ficam - laudos da manutenção
ativos da rede; hospedagem de serviços;
indisponíveis aos alunos; - ativos de rede reserva; - treinamento dos preventiva periódica de todos os
- erro humano (na configuração - instalar gerador de energia
- possível interrupção das - backup das configurações dos procedimentos quanto a dispositivos e infraestrutura
dos ativos de rede, intencional elétrica no prédio;
Indisponibilidade atividades discentes; equipamentos; indisponibilidade dos serviços; lógica;
ou não); - configurar equipamentos de rede
dos serviços - insatisfação dos professores e - acesso restrito aos dispositivos 35,2 - alocar dispositivos - gerenciamento dos recursos
- sobrecarga de tráfego na rede reserva;
internos alunos; da rede; sobressalentes; (via rede).
lógica; - instalar protetor de surtos nas
- perda de credibilidade no - nobreak dedicado para cada sala - aquisição de gerador de - laudos da auditoria e/ou
- falha ou parada no nobreak ; salas de telecomunicações;
setor de TI. de telecomunicações. energia elétrica. reavaliação ao final de cada
- queda no fornecimento de - definir e manter atualizado o
processo.
energia prolongada. plano de ações.
- providenciar a concessão de
- interrupção do fornecimento
- descarga completa das energia elétrica de duas
de energia elétrica para o - manutenção preventiva mensal -verificar possibilidade de - manter as manutenções
baterias do nobreak que atende concessionárias diferentes, por
nobreak; por empresa terceirizada; disponibilização de energia preventivas mensais e semanais;
o data center; rotas distintas;
Falha no gerador - falta de manutenção - manutenção preventiva semanal elétrica por duas - avaliar a carga utilizada pelo
- desligamento de todos os - aumentar a autonomia para os
que atende o data preventiva do gerador; pelo NTI; 47,3 concessionárias e viabilizar data center, afim de evitar
equipamentos do data center; nobreaks que atendem o data
center - falta de abastecimento do - processos definidos pela equipe rotas até o data center; sobrecarga;
- indisponibilidade da rede de center;
gerador; de monitoramento para alerta de - aquisição de um banco de - manter combustível para
dados e de todos os serviços - manter combustível na
- problemas mecânicos no interrupção de energia. baterias com maior autonomia. situações de emergência.
disponibilizados. instituição para abastecimento de
gerador.
emergência.
- ativar o protocolo spanning tree
- rompimento da fibra óptica;
ou equivalente para tornar a - aquisição e instalação de
- dano na estrutura do - insatisfação dos professores e
redundância ativa e automática em novos MGBICs;
cabeamento; alunos; - links de fibra redundantes; - gerenciamento dos recursos
caso de falha nos links; - horas técnicas para
Falha ou dano - conectorização mal feita - perda de credibilidade no - MGBIC (iluminadores de fibra) (via rede).
- realizar manutenções preventivas configuração e implantação do
permanente na (contato, sujeira, setor de TI; redundantes; - manutenção dos MGBICS e
51,6 (limpeza) das terminações ópticas spanning tree;
infraestrutura física desalinhamento, etc.); - perda de dados por erros na - ativos de rede redundantes; dos links ópticos;
nas salas de telecomunicações; - horas técnicas para
de TI - problemas relacionados ao transmissão por fibra óptica; - processos definidos, porém não - laudos da certificação e/ou
- criar processos com relação a manutenção dos terminais
MGBIC (iluminador da fibra); - indisponibilidade dos automáticos. reavaliação da infraestrutura.
acompanhamento de serviços no ópticos;
- problemas relacionados aos serviços da rede de dados.
campus (ex.: escavações)
ativos de rede.
- definir o grau de disponibilidade
que o data center deve fornecer
- erro em programas;
- redundância dos (Tier-1, Tier-2, Tier-3 ou Tier-4); - aplicar recursos para atingir o
- problemas no resfriamento;
- interrupção na condicionadores de ar; - disponibilizar uma estrutura grau de disponibilidade
- panes elétricas; - gerenciamento automatizado e
disponibilidade dos serviços - redundância dos nobreaks e dos redundante, de modo que suporte desejado, de acordo com a
- incêndio do data center; proativo;
apoiados na TI; circuitos elétricos; falhas temporárias do data center, norma TIA/EIA 942;
- acesso indevido aos ambientes - testes e laudos de
- possível interrupção das - gerador de energia elétrica; propiciando um plano de - aplicar recursos para a
do data center; conformidade, segundo normas
atividades discentes; - sistema de controle de acesso e continuidade; estrutura redundante;
Falha no data - problemas no processo de de boas práticas;
- dados e processos monitoramento; 38,0 - providenciar um processo - investir em uma infraestrutura
center guarda e recuperação dos - manter uma infraestrutura de
inacessíveis; - sistema de combate a incêndio; recuperação de desastre; de recuperação de desastre;
dados; recuperação de desastres
- insatisfação dos funcionários - cópias de segurança periódicas - providenciar redundância dos - adquirir equipamentos de rede
- problema na comunicação e atualizada;
e alunos; das informações; ativos de rede (roteador, core sobressalentes afim de obter
transporte dos dados; - firmar e manter contratos de
- perda de credibilidade no - certificação de todo o switch) que não a possuem; redundância dos mesmos;
- problemas relacionados à manutenção.
setor de TI. cabeamento do data center. - acordar contratos de manutenção - definir contratos de
identificação e autenticação.
dos sistemas de segurança física e manutenção.
dos ativos de rede com os
fornecedores.
98
- aquisição de nobreaks de
- disponibilizar um gerador de
- sala de aula sem energia pequeno porte;
- nobreak para os ativos de rede energia elétrica móvel (que possa
elétrica; - definir novo projeto elétrico,
que atendem a sala de aula em ser deslocado);

- falha ou parada do nobreak da - ativos de rede são desligados; com redundância de - laudos da manutenção
questão; - disponibilizar nobreaks de
Interrupção do sala de telecomunicações; - descarga da bateria do concessionárias de energia preventiva periódica de todos os
- pontos de acesso sem fio são pequeno porte para os ativos de TI
fornecimento de - problemas na rede elétrica nobreak; elétrica; dispositivos e infraestrutura
alimentados pelo nobreak 60,9 de maior impacto;
energia elétrica nas interna; - sala de aula fica sem - investimentos em materiais elétrica;
(mantendo-os em funcionamento - aumentar a autonomia dos
salas de aula - sobrecarga e/ou desarme de iluminação; elétricos; - representação estatística do
por determinado tempo); nobreaks das salas de
disjuntores. - possível interrupção das - aquisição de gerador de funcionamento (via rede).
- manutenção preventiva dos telecomunicações.
atividades discentes; energia elétrica;
nobreaks.
- insatisfação dos alunos. - aquisição de banco de baterias
adicional.
- falha, queima ou parada dos
ativos da rede; - indisponibilidade da rede de - redundância da hospedagem de - laudos da manutenção
- instalar gerador de energia
- erro humano (na configuração dados em determinados locais; serviços; - treinamento dos preventiva periódica de todos os
elétrica no prédio;
dos ativos de rede, intencional - possível interrupção das - ativos de rede reserva; procedimentos quanto a dispositivos e infraestrutura
- configurar equipamentos de rede
Falha em algum ou não); atividades discentes; - backup das configurações dos indisponibilidade dos serviços; lógica;
reserva;
equipamento - sobrecarga de tráfego na rede - insatisfação dos professores e equipamentos; 46,8 - alocar dispositivos - gerenciamento dos recursos
- instalar protetor de surtos nas
interno lógica; alunos; - acesso restrito aos dispositivos sobressalentes; (via rede).
salas de telecomunicações;
- falha ou parada no nobreak da - perda de credibilidade no da rede; - aquisição de gerador de - laudos da auditoria e/ou
- definir e manter atualizado o
sala de telecomunicações; setor de TI. - nobreak dedicado para cada sala energia elétrica. reavaliação ao final de cada
plano de ações.
- queda no fornecimento de de telecomunicações. processo.
energia prolongada.
- indisponibilidades de acesso
a ferramentas WEB;
- lentidão no acesso externo; - prover rotas distintas da entrada
- dois provedores de acesso a
Indisponibilidade - possível interrupção das de facilidade até o data center aos - monitorar utilização da banda
- indisponibilidade de acesso a Internet distintos (porém por - verificar a necessidade de
de acesso à Internet atividades discentes. ISPs; de acesso externo;
serviços externos. rotas iguais); 38,9 estruturar rotas distintas;
(indisponibilidade - insatisfação dos professores e - providenciar contratação de um - monitorar a disponibilidade dos
- existência de balanceamento de - contratar novos ISPs.
dos ISPs) alunos; ISP por outro meio físico (ex.: via links;
carga.
- perda de credibilidade no rádio).
setor de TI.
- impossibilidade de realização
das tarefas por um ou mais
alunos. - atualizações tecnológicas
- necessidade de troca do periódicas do parque de - manter computador sobressalente - manter os procedimentos de
computador ou realocação do máquinas dos laboratórios; com a imagem do sistema - aquisição de computadores restrição de acesso e de
aluno; - existe monitoria dos operacional utilizada no sobressalentes; segurança;
Danos permanentes - mau funcionamento dos
- necessidade de configuração laboratórios de informática; laboratório; - horas técnicas para - manter uma documentação das
nos computadores periféricos dos computadores;
de nova máquina; - procedimentos de segurança 38,9 - criar uma documentação relativa configuração dos computadores imagens dos sistemas
dos laboratórios de - má utilização dos
- possível interrupção das aplicados aos usuários; as imagens dos sistemas e para criação de documentação operacionais;
informática computadores pelos usuários.
atividades discentes; - existe gerenciamento de acesso operacionais existentes; apropriada. - manter o processo de
- insatisfação dos professores e aplicado aos usuários; - manter o sistema operacional e atualização tecnológica.
alunos; - segurança lógica da rede os softwares atualizados.
- perda de credibilidade no existente.
setor de TI.
99
Ataques por - procedimentos de segurança

- roubo de informações dos
softwares mal- aplicados a rede WI-FI e ao
usuários; - preparar um plano de
intencionados, acesso interno; - manter softwares de detecção e
- indisponibilidade da rede - detrimento da integridade e a continuidade adequado para

cibervandalismo ou - monitoramento da rede WI-FI; - implementar e manter um remoção de códigos maliciosos
devido a ataques; confidencialidade dos dados; recuperação dos serviços e dos
ataques à rede WI- - registros (logs) da utilização da 39,3 monitoramento dos acessos a atualizados;
- acesso a informações - danos permanentes aos computadores que sofreram
FI ou aos sistemas rede; rede. -monitorar os acessos.
confidencias da instituição. computadores da instituição; ataques por código malicioso;
da instituição e/ou - proibição de utilização de
- perda de credibilidade no - monitoramento de acesso;
dispositivos da softwares não autorizados;
setor de TI.
instituição
- roubo de informações dos - manter softwares de detecção e
Ataques por alunos; - procedimentos de segurança remoção de códigos maliciosos
softwares mal- - indisponibilidade da rede - detrimento da integridade e a aplicados a rede WI-FI e ao atualizados;
- implementar e manter um
intencionados ou devido a ataques; confidencialidade dos dados; acesso interno; -monitorar os acessos;
36,0 - monitoramento de acesso; monitoramento dos acessos a
cibervandalismo - acesso a informações - danos permanentes aos - monitoramento da rede WI-FI; - conscientizar os alunos e
rede.
aos dispositivos confidencias dos alunos. computadores dos alunos; - registros (logs) da utilização da professores a manterem
próprios dos alunos - perda de credibilidade no rede. atualizados os softwares de seus
setor de TI. dispositivos pessoais.
Impacto negativo - perda de credibilidade no
- falta de instrução dos - treinamentos relativos a - investir em capacitação dos - garantir que existam
no processo de setor de TI e da UNIVATES; - manter treinamentos adequados
professores quanto a utilização utilização das ferramentas de TI professores, promovendo treinamentos periódicos caso
ensino e de - possível interrupção das aos professores com relação a
de TI em sala de aula; utilizadas na instituição; treinamentos internos aos novos haja alteração tecnológica
aprendizagem atividades discentes; 36,2 utilização da TI em sala de aula;
- impossibilidade de aula - apoio de setores de apoio professores; considerável, como por
devido problemas - demora na conclusão de - disponibilizar monitores para
prática em ferramentas que pedagógico e de ensino a - contratar monitorias para as exemplo, atualização do sistema
na utilização dos determinada tarefa; auxílio dos alunos;
utilizam TI. distância da instituição. salas de aula. operacional.
serviços de TI
- redundância da controladora
WI-FI e dos pontos de acesso no
campus;
- equipamentos alimentados via
- indisponibilidade do acesso a PoE (continuam em
rede sem fio; funcionamento em caso de - realizar atualização tecnológica
- impossibilidade do acesso por
- possível interrupção das indisponibilidade elétrica); periódica da infraestrutura de rede - adquirir equipamentos que - manter procedimentos de
Falha ou meio de dispositivos próprios;
atividades discentes; - procedimentos de segurança sem fio; possuam análise de segurança já adotados;
indisponibilidade - interferências causadas por
- insatisfação dos professores e (criptografia) no acesso estão 35,3 - verificar possíveis interferências interferências; - manter-se a atualizado
do acesso à rede equipamentos que emitem radio
alunos; implementados; e ruídos que possam prejudicar a - adquirir equipamentos mais conforme as tecnologias
sem fio frequência que não sejam os
- perda de credibilidade no - monitoramento da rede WI-FI; rede sem fio. recentes periodicamente; disponíveis no mercado.
pontos de acesso;
setor de TI. - segmentação da rede por perfil
de usuário;
- controle de acesso
implementado para a rede sem
fio.
Fonte: Elaborado pelo autor (2014), cadastro das ameaças (ABNT NBR ISO/IEC 31000, 2009).
100
Conforme pode-se observar no Quadro 18, a maioria das ameaças elencadas geram
sérias consequências para o processo de ensino e de aprendizagem da instituição, na maioria
das vezes interrompendo as aulas, o que novamente indica a existência de total dependência
com relação a TI.
Segundo a análise de riscos, 33% das ameaças de alto risco relacionadas ainda não
foram tratadas ou foram tratadas parcialmente. No entanto, o cadastro de ameaças identifica
ao menos um controle existente para cada uma das ameaças elencadas, demonstrando que
mesmo que indiretamente o mesmo está sendo tratado.
A maioria das ameaças relacionadas no cadastro, mesmo que apresentem um índice de

risco que pode ser considerado baixo, foram enquadradas como alto risco tendo em vista que
o apetite de riscos definido é menos tolerante devido a importância do contexto ao qual se
aplica.
Contudo, a média do índice de risco das ameaças relacionadas é de 40,7, considerada

alta no apetite de riscos, enquanto a média geral de todas as ameaças relacionadas é de 28,8,
considerada média com base no mesmo.
O plano de ações proposto visa manter os controles já existentes, mantendo um

monitoramento das ameaças, bem como atuar em outros frentes que até então não haviam
sido implementados, conforme apresentado na coluna das ações propostas.
101
6 CONSIDERAÇÕES FINAIS
Com a realização do presente estudo foi possível identificar parte dos riscos que o
ambiente de TI propicia ao processo de ensino e de aprendizagem, confrontando-os aos
resultados da análise do cenário existente na instituição, aos índices de grau de aderência a
norma ABNT NBR ISO/IEC 17799 e ao nível de maturidade em gestão de riscos, com o
intuito de propor melhorias na segurança de TI, mitigando os riscos inerentes ao processo de
ensino e de aprendizagem.
O estudo possibilitou também constatar o grau de dependência existente entre o

processo de ensino e de aprendizagem e às TICs, bem como o impacto que a
indisponibilidade dos recursos informatizados pode representar para os alunos e professores.
De acordo com os resultados obtidos na avaliação da relevância da TIC no processo de

ensino e de aprendizagem, pode-se averiguar que, segundo a percepção dos alunos e
professores, os recursos de TI em sala de aula são cada vez mais relevantes e que estes
recursos não seria facilmente substituídos por um método paliativo, o que sugere que sua
indisponibilidade afetaria o processo de ensino e de aprendizagem, indicando um alto grau de
dependência.
Quanto ao grau de aderência da segurança da TI em relação à norma ABNT NBR

ISO/IEC 17799 e as suas revisões, foi demonstrado que o Centro Universitário UNIVATES,
apesar de indicar um alto grau de aderência à norma segundo o framework utilizado, pode ser
considerada como um resultado de nível médio tendo em vista que não obteve-se aderência a
todos os domínios abrangidos pela norma e que atingiu apenas 67,5% de aderência aos
102
quesitos abordados. Os domínios que encontram-se com baixo ou que não apresentam
nenhum nível de aderência a norma devem ser revistos com maior atenção pela gestão afim de
implementar os processos e controles necessários.
Com relação a avaliação do grau de maturidade da gestão de riscos do Centro

Universitário UNIVATES em relação às normas ABNT NBR ISO/IEC 31000:2009 atingiu-se
uma pontuação de 2,3 de um total de 5 pontos, o que representa uma maturidade “consciente”
segundo o framework utilizado, indicando a existência de alguma abordagem de gestão de
riscos, mas que talvez não esteja formalizada ou esteja concentrada em alguns setores ou
pessoas.
Com base no modelo de avaliação proposto, é possível afirmar que o processo de

ensino e de aprendizagem adotado no Centro Universitário UNIVATES apresenta um
significativo grau de dependência em relação a área de TI e que, existem soluções
tecnológicas ou procedimentais com potencial para mitigar ou eliminar as ameaças e suas
consequências, assim como planos de continuidade ou de contingência não identificados na
instituição.
No que diz respeito ao modelo de gestão de riscos proposto, pode-se afirmar que o
mesmo mostrou-se eficiente, evidenciando que a UNIVATES possui controles de segurança
da informação implementados, mas que em alguns quesitos ainda encontram-se ingênuos com
relação à gestão de riscos, o que representa um resultado muito inferior ao ideal se levada em
consideração a relevância que a TIC apresenta no processo de ensino e de aprendizagem, que
é o principal enfoque da instituição.
Como trabalhos futuros, sugere-se a realização de uma avaliação mais detalhada,

quanto a análise dos resultados obtidos, abrangendo todos os domínios sugeridos pela norma
ABNT NBR ISO/IEC 17799 e uma análise de todos os riscos, tendo em vista que no presente
estudo foram considerados apenas as ameaças de alto risco. Sugere-se também que seja
realizada uma pesquisa de natureza quantitativa, a fim de avaliar qual o impacto financeiro
que a indisponibilidade da TI teria sobre o processo de ensino e de aprendizagem, angariando
maiores argumentos à alta direção da importância que a gestão de riscos possui na
organização.
103
REFERÊNCIAS
ARAÚJO, R. B. de. Computação Ubíqua: Princípios, Tecnologias e Desafios. In: Anais do

XXI Simpósio Brasileiro de Redes de Computadores. 2003. Disponível em:
<http://www.professordiovani.com.br/rw/monografia_araujo.pdf>. Acesso em: 18 mai. 2014.
AS/NZS 4360:2004 Risk Management. Third edition. Sydney/Wellington: Standards

Australia/Standards New Zealand, 2004.
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS – ABNT. NBR ISO/IEC

17799:2005 – Tecnologia da informação – Técnicas de segurança – Código de prática
para a gestão da segurança da informação. Rio de Janeiro: ABNT, 2005.
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS – ABNT. NBR ISO/IEC

31000:2009 – Gestão de riscos – Princípios e diretrizes. Rio de Janeiro: ABNT, 2009.
BEAL, A. Segurança da Informação: Princípios e Melhores Práticas para a Proteção dos

Ativos da Informação nas Organizações. São Paulo: Editora Atlas, 2008.
DANTAS, M. L. Segurança da Informação: Uma abordagem focada em Gestão de

Riscos. Olinda: Livro Rápido, 2011.
DIAS, R. A. Tecnologias digitais e currículo: possibilidades na era da ubiquidade. Minas

Gerais: Faculdade Metodista Granbery, 2010. Disponível em:
<http://www.cogeime.org.br/revista/36Artigo04.pdf>. Acesso em: 18 mai. 2014.
FERNANDEZ V. P., YOUSSEF A. N., Informática e Sociedade. São Paulo – SP: Ed. Ática,
2003, 61 p.
FERNANDEZ, A. A; ABREU, V. F. Implantando a governança de TI: da estratégia à

gestão dos processos e serviços. 3 ed. Rio de Janeiro: Brasport, 2012.
GIL, A. C. Como elaborar projetos de pesquisa. 4. ed. São Paulo: Atlas, 2002.
GIL, A. C. Didática do ensino superior. São Paulo: Altas, 2006.

104
GRZESIUK, D. F. O uso da informática na sala de aula como ferramenta de auxílio no

processo de ensino- aprendizagem. Medianeira – PR, 2008.
GUERRA, J. H. L. Utilização do computador no processo de ensino aprendizagem: uma

aplicação em planejamento e controle da produção. Escola de Engenharia de São Carlos –
Universidade de São Paulo, 2000.
HAIR, J. F; BABIN, B; MONEY, A. H; SAMOUEL, P. Fundamentos de métodos de

pesquisa em administração. Porto Alegre: Bookman, 2005.
INSTITUTO SÍRIO-LIBANÊS DE ENSINO E PESQUISA. Curso de capacitação em

processos educacionais na saúde: com ênfase em facilitação de metodologias ativas de
ensino-aprendizagem. Fundação Dom Cabral. - São Paulo, 2012. Disponível em:
<http://ensino.hospitalsiriolibanes.com.br/downloads/Caderno_Capacitacaoemprocessoseduca
cionaisnasaude2012.pdf> Acesso em 22 mai. 2014.
JOÃO, B. N. Sistemas de informação. São Paulo: Pearson Education do Brasil, 2012.
KATZ, S.N. Information Tecnology, Don’t Mistake a Tool for a Goal. Disponível em:
<http://www.princeton.edu/~snkatz/papers/CHE_6-15-01.html>. Acesso em: 15 mar. 2014.
KIDDE. Ficha técnica de informações do sistema FM-200. 2014. Disponível em: <
http://www.kidde.com.br/Documents/sistemafm-200.pdf>. Acesso em: 23 ago. 2014.
LAUDON, K.; LAUDON, J. Sistemas de informação gerenciais. Tradução Luciana do

Amaral Teixeira. 9. ed. São Paulo: Pearson Prentice Hall, 2011.
MAC-ALLISTER, M.; MAGALHÃES, C., Gestão da Tecnologia da Informação (TI) nas

Instituições de Ensino Superior (IES): um estudo de caso numa IES particular de
Salvador. Salvador – BA, 2006.
MARIN, P. S. Data centers: desvendando cada passo: projeto, infraestrutura física e

eficiência energética. 1 ed. São Paulo: Érica, 2011.
MARIN, P. S. Cabeamento estruturado: desvendando cada passo: do projeto à

instalação. 3 ed. São Paulo: Érica, 2009.
MAZUR, E. Educating the innovators of the 21st century. Massachusetts, 2014.
MORAN, J. M; MASETTO, M. T; BEHRENS, M. A. Novas tecnologias e mediação

pedagógica. 21 ed. São Paulo: Papirus, 2013.
PALADINI, E. P. Métodos interativos de ensino: suporte tecnológico adaptativo. In:

CONGRESSO BRASILEIRO DE ENSINO DE ENGENHARIA, 24., Manaus, 1996.
Pessoa - Porto, 2002.
REZENDE, D. A.; ABREU, A. F. Tecnologia da Informação aplicada a sistemas de

informação empresariais. 9 ed. São Paulo: Atlas, 2013.
105
SAMARA, B. S; BARROS, J. C. Pesquisa de marketing: conceitos e metodologia.

3. Ed. São Paulo: Prentice Hall, 2002.
SANTOS, N. S. R. S; LIMA, J. V. L; WIVES, L. K. Ubiquidade e mobilidade de objetos de

aprendizagem usando o papel como recurso. Rio Grande do Sul, 2010.
SILVA, P. T.; CARVALHO, H.; TORRES, C. B. Segurança dos Sistemas de Informação:

Gestão Estratégica da Segurança empresarial. Centro Atlântico, 2003.
SONG, S., Gerenciamento único para o desafio do BYOD - 2013. Disponível em: <
http://gblogs.cisco.com/br/tag/ti-de-universidade>. Acesso em: 17 mar. 2014.
SOSTERIC, M; HESEMEIER, S. When is a learning object not na object: a first step

towards a theory of learning objects. International Review of Research in Open and
Distance Learning. Athabasca University. – Canadá, 2002. Disponível em: <
http://www.irrodl.org/index.php/irrodl/article/view/106/185> Acesso em 22 mai. 2014.
TANENBAUM, A. S.; WETHERALL, D., Redes de Computadores, 5a edição, São Paulo:

Pearson Prentice Hall, 2011.
VIDAL, E. Ensino à Distância vs Ensino Tradicional. Universidade Fernando de
VIEIRA, Z. N. L. A informática na educação. Universidade Candido Mendes. – Rio de

Janeiro, 2006.
WADLOW, T. A. Segurança de Redes: projeto e gerenciamento de redes seguras.

Tradução Fábio Freitas da Silva. Rio de Janeiro: Campus, 2000.
WEISS, R. J; CRAIGER, J. P. Ubiquitous Computing..Nebraska, 2002. Disponível

em:<https://www.siop.org/tip/backissues/TIPApr02/pdf/394_044to052.pdf> Acesso em 18
mai. 2014.
WERTHEIN, J. Information society and it´s challenges. Ci. Inf., maio/ago. 2000, vol.29,
nº.2.
WESTERMAN, G; HUNTER, R. O risco de TI. Convertendo ameaças aos negócios em

vantagem competitiva. São Paulo: M. Books do Brasil Editora Ltda., 2008.
YIN, R. K. Estudo de caso: planejamento e métodos. Tradução Daniel Grassi – 2. Ed. –

Porto Alegre: Bookman, 2001.
APÊNDICES
106
107
Apêndice A – Questionário de análise de riscos da infraestrutura de TI com

relação ao processo de ensino e de aprendizagem
Este questionário visa identificar qual a importância da TI no processo de ensino e de

aprendizagem sob a perspectiva dos alunos, professores e funcionários, bem como avaliar
e analisar as ameaças relacionadas ao processo de ensino e de aprendizagem.

As primeiras questões referem-se a informações gerais do respondente e a segunda visa
realizar uma análise dos riscos da infraestrutura de TI da UNIVATES.
1) O curso ao qual você está matriculado/leciona pertence a qual centro?

( ) CGO (Centro de Gestão Organizacional)
( ) CCTEC ( Centro de Ciências Exatas e Tecnológicas)
( ) CCHJ (Centro de Ciências Humanas e Jurídicas)
( ) CCBS (Centro de Ciências Biológicas e da Saúde)
( ) Não sei/ Sou apenas funcionário
2) Quais metodologias são predominantemente utilizadas no processo de ensino e de

aprendizagem no meu curso?
( ) Aulas expositivas
( ) Aulas expositivas e práticas com a utilização de tecnologia da informação
( ) Aulas práticas com a utilização de tecnologia da informação
( ) Aulas práticas com a utilização de metodologias tradicionais
( ) Nenhuma das anteriores
3) Com que frequência utilizo algum recurso de tecnologia da informação

disponibilizado pela instituição (WI-FI, Laboratórios de informática, Terminais de
Consulta)?
( ) Todos os dias
( ) Até três vezes por semana
( ) Até duas vezes por semana
( ) Uma vez por semana
4) Quais dos seguintes recursos utilizo com maior frequência para acesso a ambientes
acadêmicos (UNIVATES Virtual, Universo UNIVATES, Balcão de Empregos, etc.)?
( ) WI-FI (dispositivo próprio)
( ) Laboratórios de Informática
( ) Terminais de consulta
( ) Acesso somente de casa
5) A TI (Tecnologia da informação) foi fundamental no processo de ensino e de

aprendizagem nas disciplinas que cursei/lecionei.
( ) Concordo plenamente
( ) Concordo
( ) Indiferente
( ) Discordo
( ) Discordo plenamente
108
6) As metodologias que utilizam tecnologia da informação utilizadas pelo professor

seriam facilmente substituídas por métodos de aprendizagem tradicionais em caso de
indisponibilidade destes recursos?
( ) Concordo plenamente
( ) Concordo
( ) Indiferente
( ) Discordo
( ) Discordo plenamente
7) Caso houvesse indisponibilidade do acesso à Internet durante as aulas as

consequências no processo de ensino e de aprendizagem para mim seriam:
( ) Minha aprendizagem ficaria completamente comprometida
( ) Minha aprendizagem seria parcialmente afetada
( ) Não afetaria meu aprendizado
( ) Não utilizo Internet nas aulas
8) Para qual finalidade mais utilizo a tecnologia da informação em sala de aula?

( ) Pesquisas
( ) Escrita Colaborativa (Google Docs, Zoho, Editorially, etc. )
( ) Chats e Fóruns
( ) Provas on-line
( ) Exercícios
( ) Trabalhos em grupo em sala de aula
( ) Redes Sociais
( ) Outro
9) Os métodos de segurança de rede empregados pela instituição (controle de utilização,

logins, políticas de acesso, etc. ) são:
( ) Adequados
( ) Parcialmente adequados
( ) Pouco adequados
( ) Inadequados
10) Em sua totalidade, os recursos de TI utilizados no processo de ensino e de

aprendizagem na UNIVATES são:
( ) Adequados
( ) Parcialmente adequados
( ) Pouco adequados
( ) Inadequados
Análise de Riscos do Ativo Processo de Ensino e de Aprendizagem
Para cada uma das ameaças descritas abaixo, indique como você avalia os itens de
probabilidade (possibilidade da ameaça se concretizar), consequência (prejuízos que a ameaça
pode oferecer ao processo de ensino e de aprendizagem) e relevância (importância que a
ameaça pode apresentar no processo de ensino e de aprendizagem), selecionando um índice
compreendido entre 1 e 5, onde 1 indica menor importância e 5 extrema importância.
109
Logo após marque a opção de contingência e continuidade, indicando segundo a sua

percepção, a existência ou não desses quesitos para cada ameaça relacionada.
Legenda:
Contingência: possibilidade de contornar a ameaça de forma paliativa (com outro recurso) em
determinado espaço de tempo;

Continuidade: garantia que o serviço não será afetado por determinada ameaça, mantendo o
recurso disponível e/ou o ativo em funcionamento.
11) Indisponibilidade dos serviços internos (UNIVATES Virtual, Universo UNIVATES,

Balcão de Empregos, Webmail, etc.)
Probabilidade: 1( ) 2( ) 3( ) 4( ) 5( )
Consequência: 1( ) 2( ) 3( ) 4( ) 5( )
Relevância: 1( ) 2( ) 3( ) 4( ) 5( )
Contingência: Sim ( ) Não ( )
Continuidade: Sim ( ) Não ( )
12) Indisponibilidade dos serviços externos ( serviços do Google, webmail externo, sites
de pesquisa, etc.)
Probabilidade: 1( ) 2( ) 3( ) 4( ) 5( )
Consequência: 1( ) 2( ) 3( ) 4( ) 5( )
Relevância: 1( ) 2( ) 3( ) 4( ) 5( )
13) Interrupção do fornecimento de energia elétrica nas salas de aula (levando em conta o
impacto sobre a TI e o processo de ensino e de aprendizagem)
Probabilidade: 1( ) 2( ) 3( ) 4( ) 5( )
Consequência: 1( ) 2( ) 3( ) 4( ) 5( )
Relevância: 1( ) 2( ) 3( ) 4( ) 5( )
14) Interrupção do fornecimento de energia elétrica no data center

Probabilidade: 1( ) 2( ) 3( ) 4( ) 5( )
Consequência: 1( ) 2( ) 3( ) 4( ) 5( )
Relevância: 1( ) 2( ) 3( ) 4( ) 5( )
15) Interrupção do fornecimento de energia elétrica em salas de telecomunicações

(afetando os locais atendidos pela mesma)
Probabilidade: 1( ) 2( ) 3( ) 4( ) 5( )
Consequência: 1( ) 2( ) 3( ) 4( ) 5( )
Relevância: 1( ) 2( ) 3( ) 4( ) 5( )
110
16) Falha nos nobreaks das salas de telecomunicações

Probabilidade: 1( ) 2( ) 3( ) 4( ) 5( )
Consequência: 1( ) 2( ) 3( ) 4( ) 5( )
Relevância: 1( ) 2( ) 3( ) 4( ) 5( )
17) Falha nos nobreaks do data center

Probabilidade: 1( ) 2( ) 3( ) 4( ) 5( )
Consequência: 1( ) 2( ) 3( ) 4( ) 5( )
Relevância: 1( ) 2( ) 3( ) 4( ) 5( )
18) Falha no gerador que atende ao data center (considerando uma interrupção no
fornecimento de energia elétrica)
Probabilidade: 1( ) 2( ) 3( ) 4( ) 5( )
Consequência: 1( ) 2( ) 3( ) 4( ) 5( )
Relevância: 1( ) 2( ) 3( ) 4( ) 5( )
19) Falha em algum equipamento interno (switch, roteadores, pontos de acesso WI-FI,
etc.) existentes nos prédios em que as aulas ocorrem
Probabilidade: 1( ) 2( ) 3( ) 4( ) 5( )
Consequência: 1( ) 2( ) 3( ) 4( ) 5( )
Relevância: 1( ) 2( ) 3( ) 4( ) 5( )
20) Falha ou dano permanente na infraestrutura física de TI (cabeamento metálico,
backbone óptico, patch cords, etc. )
Probabilidade: 1( ) 2( ) 3( ) 4( ) 5( )
Consequência: 1( ) 2( ) 3( ) 4( ) 5( )
Relevância: 1( ) 2( ) 3( ) 4( ) 5( )
21) Indisponibilidade de acesso à Internet (instabilidades/indisponibilidade dos ISPs)

Probabilidade: 1( ) 2( ) 3( ) 4( ) 5( )
Consequência: 1( ) 2( ) 3( ) 4( ) 5( )
Relevância: 1( ) 2( ) 3( ) 4( ) 5( )
22) Danos permanentes nos computadores dos laboratórios de informática da instituição

Probabilidade: 1( ) 2( ) 3( ) 4( ) 5( )
Consequência: 1( ) 2( ) 3( ) 4( ) 5( )
Relevância: 1( ) 2( ) 3( ) 4( ) 5( )
111
23) Danos permanentes nos dispositivos próprios dos alunos

Probabilidade: 1( ) 2( ) 3( ) 4( ) 5( )
Consequência: 1( ) 2( ) 3( ) 4( ) 5( )
Relevância: 1( ) 2( ) 3( ) 4( ) 5( )

24) Ataques por softwares mal-intencionados, cibervandalismo ou ataques a rede WI-FI

ou aos sistemas da instituição e/ou dispositivos da instituição
Probabilidade: 1( ) 2( ) 3( ) 4( ) 5( )
Consequência: 1( ) 2( ) 3( ) 4( ) 5( )
Relevância: 1( ) 2( ) 3( ) 4( ) 5( )
25) Ataques por softwares mal-intencionados ou cibervandalismo aos dispositivos

próprios dos alunos
Probabilidade: 1( ) 2( ) 3( ) 4( ) 5( )
Consequência: 1( ) 2( ) 3( ) 4( ) 5( )
Relevância: 1( ) 2( ) 3( ) 4( ) 5( )
ANEXOS
112
113
Anexo A – Questionário de conformidade à norma ABNT NBR ISO/IEC17799
Objetivo do questionário: Este questionário destina-se a identificar a percepção dos

colaboradores do Centro Universitário UNIVATES quanto o grau de conformidade em
relação aos controles sugeridos pelo código de conduta de gestão da segurança da informação
definidos pela norma NBR ISO/IEC 17799.
Política de Segurança
1) A política de segurança existe e é conhecida?

( ) Sim
( ) Sim, porém desatualizada
( ) Não
2) Existe algum responsável pela gestão da política de segurança?

( ) Sim
( ) Sim, porém não está desempenhando a função
( ) Não
Segurança Organizacional
3) Existe uma infraestrutura de segurança da informação para gerenciar as ações

corporativas?
( ) Sim
( ) Não
4) O fórum de segurança é formado pelo corpo diretor, a fim de gerir mudanças

estratégicas?
( ) Sim
( ) Sim, mas não está sendo utilizado atualmente
( ) Não
5) Existe uma definição clara das atribuições de responsabilidade associadas à segurança

da informação?
( ) Sim
( ) Não
6) É feita a identificação dos riscos no acesso de prestadores de serviço?

( ) Sim
( ) Não
7) Existe um controle de acesso específico para os prestadores de serviço?

( ) Sim
( ) Sim, porém desatualizado
( ) Não
114
8) Requisitos de segurança dos contratos de terceirização são definidos?

( ) Sim
( ) Sim, porém desatualizados
( ) Não
Classificação e controle dos ativos de informação
9) Existe um inventário dos ativos físicos, tecnológicos e humanos?

( ) Sim
( ) Não
10) Existem critérios de classificação da informação

( ) Sim
( ) Não
Segurança em Pessoas
11) Os critérios de seleção e política de pessoal estão definidos?

( ) Sim
( ) Não
12) Existe um acordo de confidencialidade, termos e condições de trabalho?

( ) Sim
( ) Não
13) Processos para capacitação e treinamento de usuários estão definidos?

( ) Sim
( ) Não
14) Existe uma estrutura para notificar e responder aos incidentes e falhas de segurança?
( ) Sim
( ) Não
Segurança Física e de Ambiente
15) Existe definição de perímetros e controle de acesso físico aos ambientes?

( ) Sim
( ) Não
16) Existem recursos para segurança e manutenção dos equipamentos?

( ) Sim
( ) Não
115
17) Existe estrutura para fornecimento adequado de energia?

( ) Sim
( ) Não
18) A segurança do cabeamento e considerada?

( ) Sim
( ) Não
Gerenciamento das operações e comunicações
19) Os procedimentos e responsabilidades operacionais estão definidos e divulgados?

( ) Sim
( ) Não
20) Existe um controle de mudanças operacionais?

( ) Sim
( ) Não
21) Existe segregação de funções e ambientes?

( ) Sim
( ) Não
22) O planejamento e a aceitação de sistemas são executados?

( ) Sim
( ) Não
23) Existem procedimentos para copias de segurança?

( ) Sim
( ) Não
24) Existem controles e gerenciamento de rede?

( ) Sim
( ) Não
25) Mecanismos de segurança e tratamento de mídias são conhecidos?

( ) Sim
( ) Não
116
26) Existem procedimentos para documentação de sistemas?

( ) Sim
( ) Não
27) Mecanismos de segurança do correio eletrônico são implementados?

( ) Sim
( ) Não
Controle de acesso
28) Os requisitos do negócio para controle de acesso estão definidos?

( ) Sim
( ) Não
29) Existe gerenciamento de acessos do usuário?

( ) Sim
( ) Não
30) Existe controle de acesso à rede?

( ) Sim
( ) Não
31) Existe controle de acesso ao sistema operacional?

( ) Sim
( ) Não
32) Existe Controle de acesso às aplicações?

( ) Sim
( ) Não
33) Existe Monitoramento do uso e acesso ao sistema?

( ) Sim
( ) Não
34) Existem critérios para computação móvel e trabalho remoto?

( ) Sim
( ) Não
117
35) Requisitos de segurança de sistemas estão definidos?

( ) Sim
( ) Não
36) Controle de criptografia é definida e utilizada?

( ) Sim
( ) Não
37) São implementados mecanismos de segurança nos processos de desenvolvimento e

suporte?
( ) Sim
( ) Não
Gestão da continuidade do negócio
38) Existem processos de gestão da continuidade do negócio?

( ) Sim
( ) Não
Conformidade
39) Existe gestão de conformidade técnicas e legais?

( ) Sim
( ) Não
40) Recursos e critérios para auditoria de sistemas estão definidos?

( ) Sim
( ) Não
118
Anexo B – Questionário de avaliação da maturidade da gestão de riscos

segundo a norma ABNT NBR ISO/IEC 31000
O questionário de maturidade da gestão de riscos visa obter um panorama do quanto o

conselho e a direção determinam, avaliam, manejam e monitoram os riscos.
Para cada um dos processos listados abaixo, indique o grau de maturidade, optando entre
Ruim, Razoável, Bom, Muito Bom ou Excelente, com base na definição abaixo e nos seus
conhecimentos sobre a Instituição.
Legenda:
Ruim: processo inconsistente, pobremente controlado;
Razoável: processo disciplinado, podendo repetir tarefas com sucesso;
Bom: processo padronizado e consistente. Ou seja, o processo é caracterizado e bem
entendido;
Muito Bom: processo medido e controlado;
Excelente: processo focado na melhoria contínua;
1) Objetivos da organização definidos

Verificar se os objetivos da organização são determinados pelo conselho e se foram
comunicados para todos os funcionários. Verificar se outros objetivos e metas são
conscientes com os objetivos da organização.
( ) Ruim
( ) Razoável
( ) Bom
( ) Muito Bom
( ) Excelente
2) Direção foi treinada para compreender os riscos e suas responsabilidade por eles
Entrevistar gerentes para confirmar seu entendimento sobre riscos e o quanto eles o
gerenciam.
( ) Ruim
( ) Razoável
( ) Bom
( ) Muito Bom
( ) Excelente
3) Sistema de pontuação para avaliar riscos foi definido

Verificar se o sistema de pontuação foi aprovado, comunicado e se está sendo utilizado.
( ) Ruim
( ) Razoável
( ) Bom
( ) Muito Bom
( ) Excelente
119
4) Apetite por riscos da organização foi definido em termos do sistema de pontuação

Verificar o documento no qual o grupo de controle aprovou o apetite por riscos.
Certificar-se de que é consistente com o sistema de pontuação e de que tenha sido
comunicado
( ) Ruim
( ) Razoável
( ) Bom
( ) Muito Bom
( ) Excelente
5) Processos foram definidos para determinar os riscos e os mesmos foram seguidos

Examinar os processos para certificar-se de que são suficientes para garantir a
identificação de todos os riscos. Verificar se estão implementados examinando os
resultados de workshops
( ) Ruim
( ) Razoável
( ) Bom
( ) Muito Bom
( ) Excelente
6) Todos os riscos foram compilados em uma lista. Os riscos foram alocados a cargos
específicos
Examinar o cadastro de riscos. Certificar-se de que está completo, é analisado
criticamente com regularidade e usado para gerenciar os riscos. Riscos são alocados para
os gerentes
( ) Ruim
( ) Razoável
( ) Bom
( ) Muito Bom
( ) Excelente
7) Todos os riscos foram avaliados de acordo com o sistema de pontuação definido

Verificar se a pontuação aplicada para a seleção de riscos é consciente com a política.
Buscar consistência (isto é, riscos semelhantes têm pontuação semelhante)
( ) Ruim
( ) Razoável
( ) Bom
( ) Muito Bom
( ) Excelente
8) Respostas para os riscos foram selecionadas e implementadas

Examinar o cadastro de riscos para certificar-se de que foram identificadas respostas
apropriadas
( ) Ruim
( ) Razoável
( ) Bom
( ) Muito Bom
( ) Excelente
120
9) A direção estabeleceu métodos para monitorar a operação adequada dos processos-

chave, das respostas e dos planos de ação ("controles de monitoramento")
Para uma seleção de respostas, processos e ações, examinar o(s) controle(s) de
monitoramento e certificar-se de que a direção saberia se as respostas ou processos não
estivessem funcionando, ou se as ações não estivessem funcionando, ou se as ações não
estivessem implementadas
( ) Ruim
( ) Razoável
( ) Bom
( ) Muito Bom
( ) Excelente
10) Riscos são analisados pela organização regularmente

Buscar evidências de que um processo minucioso de análise crítica é realizado
regularmente
( ) Ruim
( ) Razoável
( ) Bom
( ) Muito Bom
( ) Excelente
11) Administração relata riscos para diretores quando as respostas não manejaram os
riscos para um nível aceitável para o conselho
Para os riscos acima do apetite por riscos, verificar se o conselho foi informado
formalmente sobre a existência de tais riscos
( ) Ruim
( ) Razoável
( ) Bom
( ) Muito Bom
( ) Excelente
12) Todos os projetos novos significativos são avaliados quanto a riscos rotineiramente
Examinar propostas de projeto para uma análise dos riscos que possam ameaçá-los
( ) Ruim
( ) Razoável
( ) Bom
( ) Muito Bom
( ) Excelente
13) Responsabilidade pela determinação, avaliação e manejo dos riscos está incluída nas
descrições de cargos
Examinar descrições de cargos. Verificar instruções para estabelecer descrições de cargos
( ) Ruim
( ) Razoável
( ) Bom
( ) Muito Bom
( ) Excelente
121
14) Gerentes dão garantia da eficácia de sua gestão de riscos

Examinar a garantia fornecida. Para riscos-chave, verificar se os controles e o sistema de
gestão de monitoramento estão operando
( ) Ruim
( ) Razoável
( ) Bom
( ) Muito Bom
( ) Excelente
15) Gerentes são avaliados quanto ao seu desempenho na gestão de riscos

Examinar uma amostra de avaliações, buscando evidências de que os gerentes foram
avaliados adequadamente quanto ao seu desempenho em relação à gestão de riscos
( ) Ruim
( ) Razoável
( ) Bom
( ) Muito Bom
( ) Excelente
16) Abordagem de Auditoria Interna

Examinar uma amostra de avaliações, buscando evidências de que os gerentes foram
avaliados adequadamente quanto ao seu desempenho em relação à gestão de riscos
( ) Ruim
( ) Razoável
( ) Bom
( ) Muito Bom
( ) Excelente

2014RodrigoPedroWerle PDF

Încărcat de

Informații document

Titlu original

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

2014RodrigoPedroWerle PDF

Încărcat de

Drepturi de autor:

Formate disponibile

CENTRO UNIVERSITÁRIO UNIVATES

CENTRO DE CIÊNCIAS EXATAS E TECNOLÓGICAS

ANÁLISE E AVALIAÇÃO DE RISCOS DA INFRAESTRUTURA DE

Rodrigo Pedro Werle

Lajeado, novembro de 2014

ANÁLISE E AVALIAÇÃO DE RISCOS DA INFRAESTRUTURA DE

Monografia apresentada ao Centro de Ciências

Área de concentração: Redes de Computadores

Orientador: Prof. Ms. Luis Antônio Schneiders

Lajeado, novembro de 2014

ANÁLISE E AVALIAÇÃO DE RISCOS DA INFRAESTRUTURA DE

A Banca examinadora abaixo aprova a Monografia apresentada na disciplina Trabalho de

Prof. Ms. Luis Antônio Schneiders – orientador

Centro Universitário UNIVATES

Prof. Ms. Alexandre Stürmer Wolf

Centro Universitário UNIVATES

Prof. Ms. Marcus Vinicius Lazzari

Centro Universitário UNIVATES

Lajeado, novembro de 2014

A minha querida namorada Cristiane pela compreensão, apoio e incentivo ao longo

A todos os colegas do Núcleo de Tecnologia da Informação do Centro Universitário

A todos os professores, em especial ao meu orientador, Prof. Luis pela amizade,

A todos os colegas, amigos e familiares, pela coragem e incentivos dados durante a

Juntamente com a informatização da sociedade, várias mudanças com base na crescente

Palavras-chave: Infraestrutura, Análise de Riscos, Educação, Tecnologia da Informação,

Keywords: Infrastructure, Risk Analysis, Education, Information Technology.

Figura 1 – Componentes da infraestrutura de TI ...................................................................... 21

Quadro 1 - Matriz de riscos ...................................................................................................... 41

Tabela 1 - Modelos para contextualização de risco .................................................................. 36

ABNT – Associação Brasileira de Normas Técnicas

SGDB – Software Gerenciador de Banco de Dados

3.1 Metodologia de pesquisa ............................................................................................ 48

Com o advento da criação dos circuitos integrados e dos microprocessadores houve

A informatização das Instituições de Ensino Superior (IES), tanto na área acadêmica

Segundo Katz (2001), as IES utilizaram, inicialmente, os computadores apenas para

Segundo Moran, Masetto e Behrens (2013), as tecnologias estão em crescente

Segundo Mazur (2014), a transmissão do conhecimento não será mais realizada em

Tanto o processo de transmissão de conhecimento quanto o processo de consolidação

Além desta necessidade de utilização da tecnologia em sala de aula, observa-se

administradores de TI de universidades apontam que nos últimos anos houve um crescimento

Neste sentido, cientes da importância que a infraestrutura de TI representa às IES e,

O presente trabalho visa avaliar os riscos do processo de ensino e de aprendizagem no

a) Uma análise do impacto da indisponibilidade de TI será realizada avaliando-se os

1.2 Organização do Trabalho

forma teórica. No Capítulo 3 é apresentada a metodologia utilizada para realização do

Este capítulo apresenta as referências literárias que foram utilizadas como

2.1 O ensino tradicional

Segundo Grzesiuk (2008, apud Zacharias, 2008), o ensino tradicional consiste

2.1.1 Características do ensino tradicional

Dentre as características do ensino tradicional podemos citar os modelos tradicionais

professores mal preparados, infraestrutura de má qualidade, falta de materiais didáticos e

Segundo Vidal (2002), o ensino tradicional caracteriza-se pela necessidade de

2.2 A utilização da informática no processo de ensino e de aprendizagem

A partir da década de 50 o computador passou a ser utilizado no meio empresarial,

A informática utilizada em sala de aula propicia um ambiente multidisciplinar e

2.2.1 Tecnologias utilizadas na educação

Dentre as tecnologias incorporadas à área da educação podemos citar o ensino à

facilita o processo de aprendizagem (WERTHEIN, 2000). Segundo Moran, Masetto e

educacionais e que possam ser reutilizados diversas vezes (SOSTERIC e

Segundo João (2012), a infraestrutura de TI é composta por cinco elementos

Figura 1 – Componentes da infraestrutura de TI

Fonte: Laudon e Laudon (2011).

Segundo Laudon e Laudon (2011), o hardware é composto por todos os periféricos