CHQAO

Curso de Habilitação ao Quadro Auxiliar de Oficiais

GESTÃO DE GESTÃO DA
MATERIAL E TECNOLOGIA
PATRIMÔNIO DA INFORMAÇÃO

GESTÃO DE
PESSOAS NA
ADMINISTRAÇÃO
PÚBLICA
GESTÃO DE
QUALIDADE EM SERVIÇOS

GESTÃO ORÇAMENTÁRIA
E FINANCEIRA
ADMINISTRAÇÃO
FUNDAMENTOS PÚBLICA BRASILEIRA
DO DIREITO
PÚBLICO E PRIVADO
Coordenação Didático-Pedagógica
Stella M. Peixoto de Azevedo Pedrosa

Redação Pedagógica
Alessandra Muylaert Archer
Frieda Marti
Tito Ricardo de Almeida Tortori Gestão da tecnologia da informação / coordenação
didático-pedagógica: Stella M. Peixoto de Azevedo Pedrosa ;
Revisão
redação pedagógica: Alessandra Muylaert Archer, Frieda Marti,
Alessandra Muylaert Archer
Tito Ricardo de Almeida Tortori – Rio de Janeiro : PUC-Rio,
Projeto Gráfico e Diagramação CCEAD, 2013.
Romulo Freitas
3 v. : il. (color.) ; 21 cm
Coordenação de Conteudistas
Roberto Blaschek Inclui bibliografia
Conteúdo: unidade 2. Infraestrutura, governança e
Conteudista
segurança de TI / conteudista: Joaquim Santos Neto.
Joaquim Santos Neto

1. Tecnologia da informação. 2. Gestão do conhecimento.

Produção
3. Sistemas de informação gerencial. 4. Comércio eletrônico. I.
Pontifícia Universidade Católica do Rio de Janeiro
Pontifícia Universidade Católica do Rio de Janeiro.
Realização
EsIE – Escola de Instrução Especializada CDD: 004
Exército Brasileiro
 CHQAO
Curso de Habilitação ao Quadro Auxiliar de Oficiais

GESTÃO DA TECNOLOGIA DA INFORMAÇÃO

Unidade 2
Infraestrutura, Governança e Segurança de TI
APRESENTAÇÃO
O Curso de Habilitação ao Quadro de Auxiliar de Oficiais (CHQAO),
conduzido pela Escola de Instrução Especializada (EsIE), visa habilitar os
subtenentes à ocupação de cargos e ao desempenho de funções previstas
para o Quadro Auxiliar de Oficiais.

A disciplina Gestão da Tecnologia da Informação (GTI), iniciada nesta

apostila, possui carga horária total de 60 horas.

Os objetivos gerais dessa disciplina são:

• Desenvolver a capacidade de planejamento em TI.

• Construir competências para a criação e inovação de estratégias

vencedoras na área de Tecnologia da Informação.

• Conhecer os principais sistemas de TI utilizados pelo Exército Brasileiro.

Nesta apostila será apresentada a Unidade II – Infraestrutura, Governança

e Segurança de TI, cujos objetivos específicos estarão no início de cada
capítulo.

Boa leitura!
conteudista

Joaquim Santos Neto é mestre em Ciência da Computação na COPPE – UFRJ,

atua desde 1999 ministrando aulas nos cursos de extensão da PUC-Rio. Pu-
blicou artigos e realizou palestras no âmbito nacional e internacional. Possui
experiência de 20 anos na área de Tecnologia da Informação, administração de
departamento de Informática (Gestão de Pessoal, PDI e Business Plan), desen-
volvimento de sistemas (Sistemas Web, Client/Server, Data Mart, Data Wa-
rehouse e Banco de Dados) e projeto de infraestrutura de redes, fornecendo à
organização vantagens competitivas através da TI.
Índice

1. CONCEITOS BÁSICOS DE TELECOMUNICAÇÕES 09

1.1 TRANSMISSÃO DE DADOS 09
1.2 TOPOLOGIA DE REDE 12

2. BUREAU DE SERVIÇOS 17

3. INTERNET DATA CENTER 19

4. SEGURANÇA DA INFORMAÇÃO 23
4.1 PRINCÍPIOS DA SEGURANÇA DA INFORMAÇÃO 23
4.2 NORTI – NORMAS PARA O CONTROLE DA UTILIZAÇÃO
DOS MEIOS DE TECNOLOGIA DA INFORMAÇÃO NO EXÉRCITO 28
4.3 ESTRATÉGIAS FUNDAMENTAIS DE PROTEÇÃO 30

5. CRIPTOGRAFIA 33

6. SECURE SOCKETS LAYER 39

7. OUTSOURCING EM TI 41

8. GOVERNANÇA CORPORATIVA 45
8.1 GOVERNANÇA EM TI 46

9. BIBLIOGRAFIA 49
1 Conceitos básicos
de telecomunicações
Bit: uma simplificação
para o termo “dígito binário”,
do inglês “binary digit”. É a
unidade usada na computação
e na teoria da informação
para armazenar ou transmitir
informação. Um bit corres-
ponde a apenas dois valores
possíveis: 0 (falso) ou 1
(verdadeiro).
GESTÃO DA TECNOLOGIA DA INFORMAÇÃO - U2
Objetivos específicos
• Apresentar conceitos básicos de telecomunicações.
Desde o início da humanidade o homem se utiliza de meios de comunicação
para trocar informações, sejam pessoais, de negócio ou vitais à sobrevivência
como, por exemplo, médicas. Com o surgimento das telecomunicações,
tais informações puderam chegar mais rápido e mais longe, proporcionando
conectividade entre as pessoas. A própria internet, rede de computadores
mundial, é um exemplo disso, sendo um meio de divulgação da informação a
nível planetário. Computadores no mundo todo trocam informações através
dessa grande rede.
Uma rede de computadores consiste na interligação de disposi-
tivos, cujo volume de dados transmitidos é um fator relevante.
Vejamos, então, qual a nomenclatura utilizada em transmissão de dados e que
prefixos e valores são usados para representar as respectivas taxas de transmissão.
1.1 Transmissão de dados
As bandas passantes (bandwidth) determinam o volume de dados transmiti-
dos de um computador para outro por unidade de tempo. Os dados são trans-
mitidos em diversas taxas de transferência e essas taxas determinam o número
de [bits] que são transmitidos por segundo. Originalmente, as taxas de trans-
missão eram de 1.200 bps (1.200 bits por segundo) (GOLENNIEWSKI, 2006).
9
 É muito comum em telecomunicações o uso de prefixos para determinar a
taxa de transferência de uma banda passante. Entretanto, considerando que
a comunicação eletrônica usa linguagem binária (uso de algarismos 0 e 1),
os prefixos do Sistema Internacional de medidas (SI), que especifica um con-
junto de métricas para determinadas grandezas (quilo, mega , giga, etc.) não
se aplicam corretamente, pois estão formulados em base 10 (uso de algaris-
mos de 0 a 9). Isso gera um erro comum em operadoras de telecomunicação
e fabricantes de equipamentos, que é o uso de prefixos do SI na transmissão
de dados binários, representado no exemplo a seguir:

• Kbps (Kilo bps = 1.000 bits/segundo)

• Mbps (Mega bps = 1.000.000 bits/segundo)

• Gbps (Giga bps = 1.000.000.000 bits/segundo)

• Tbps (Tera bps = 1.000.000.000.000 bits/segundo)

• Pbps (Peta bps = 1.000.000.000.000.000 bits/segundo)

• Zbps (Zeta bps = 1.000.000.000.000.000.000 bits/segundo)

• Ybps (Yotta bps = 1.000.000.000.000.000.000.000 bits/segundo)

O uso de prefixos do Sistema Internacional (SI) (giga, mega e

kilo) em telecomunicações não exprime a quantidade correta
de bits que são transmitidos em uma banda passante, uma
vez que a base de numeração utilizada é binária (base 2) e não
a decimal (base 10). Sendo assim:

• 1 Kbps em telecom não é 1.000 bits por segundo e sim

1.024 bits por segundo.

• Logo, o prefixo K = 1.000 não pode ser usado, sendo subs-

tituído pelo Ki = 1.024

• 1Kibps = 1.024 bits por segundo.

Para atender à necessidade de telecomunicação sem ambiguidades, a norma

IEC 80000-13:2008 (Information Science and Technology) define os prefixos
binários apresentados no Quadro 1:

10
Curso de Habilitação ao Quadro Auxiliar de Oficiais
 Nome Símbolo Potência = valor

kibi Ki 210 = 1.024

mebi Mi 220 = 1.048.576

gibi Gi 230 = 1.073.741.824

tebi Ti 240 = 1.099.511.627.776

pebi Pi 250 = 1.125.899.906.842.624

exbi Ei 260 = 1.152.921.504.606.846.976

zebi Zi 270 = 1.180.591.620.717.411.303.424

yobi Yi 280 = 1.208.925.819.614.629.174.706.176

Quadro 1 - Prefixos binários - norma IEC 80000-13 (2008)

O Quadro 2 ilustra as diversas taxas de transferência de dados, utilizando os

prefixos estabelecidos pela IEC 80000-13.

Taxa de Transferência Descrição

1.200 bps 1.200 bits por segundo

2.400 bps 2.400 bits por segundo

56 Kibps 57.344 bits por segundo

1 Mibps 1.048.576 bits por segundo

1 Gibps 1.073.741.824 bits por segundo

1 Tibps 1.099.511.627.776 bits por segundo

1 Pibps 1.125.899.906.842.624 bits por segundo

1 Eibps 1.152.921.504.606.846.976 bits por segundo

Quadro 2 – Taxas de transferência de acordo com a IEC 80000-13

As taxas de transferência Ki, Mi e Gi são amplamente utilizadas em vários

equipamentos de rede, como modem, switches, roteadores, entre outros. As
redes com taxas de transferência Tibps, Pibps e Eibps são esperadas para um
futuro próximo.

11
GESTÃO DA TECNOLOGIA DA INFORMAÇÃO - U2
 O aumento contínuo das taxas de transmissão advém do crescimento do uso
da computação na internet em escala global. As aplicações voltadas às neces-
sidades dos usuários requerem cada vez mais banda passante para atender os
diversos tipos de tráfego de dados. Cada tipo de tráfego tem um comporta-
mento diferenciado devido ao seu uso. Para tal, alguns requisitos essenciais,
como por exemplo a banda passante necessária, as considerações de latência
de transmissão de dados e a perda de dados, devem ser atingidos para possibi-
litar a transmissão e o seu uso correto pelas aplicações.

Os quatro tipos de tráfego mais utilizados são:

• dados

• voz

• imagem

• vídeo

Cada um exige requisitos específicos a serem atendidos. A construção de uma

rede deve levar em consideração esses aspectos e determinar a topologia mais
adequada para cada caso.

1.2 Topologia de rede

A topologia de uma rede de computadores pode ser de dois tipos:

• Topologia física;

• Topologia lógica.

1.2.1 Topologia física

A topologia física depende do cabeamento físico utilizado. O layout do

cabeamento, a localização dos nós e a sua interligação determinará o formato
da rede.

Existem oito tipos de topologias físicas de rede:

a) Topologia point-to-point

A topologia de rede point-to-point (conectividade ponto a ponto) é a mais

simples das topologias. É um modelo convencional de rede telefônica aplicada
à rede de dados.

12
Curso de Habilitação ao Quadro Auxiliar de Oficiais
As redes point-to-point podem ser:

• Permanentes: as duas extremidades estão sempre conectadas e ativas,

como ilustrado na Figura 1.

Figura 1 – Topologia
point-to-point

• Comutada (switched): Conforme ilustrado na Figura 2, a comunicação

acontece quando um nó entra em contato com outro. A rede se estabe-
lece realizando a transmissão de dados. Ao final da transmissão todos os
nós são desconectados.

Rede
Comutada

Figura 2 – Topologia
point-to-point comutada

b) Topologia bus

A topologia de rede em bus utiliza um único cabo coaxial com [conectores Conector BNC (Bayonet
Neil Concelman): é um
BNC] (conector Bayonet Neil Concelman), em que todos os dispositivos são
conector para cabos coaxiais
conectados a ele. Em cada ponta há um terminador de 50 ohm que finaliza a tipo RG-58 e RG-59 utilizado
rede. Os dados caminham na rede em ambos os sentidos. para construir uma rede de
computadores.

Figura 4 – Cabo coaxial Figura 5 – Conectores BNC

Figura 3 – Topologia bus

13
GESTÃO DA TECNOLOGIA DA INFORMAÇÃO - U2
 c) Topologia star

A topologia de rede star (em estrela) possui um ponto central de conexão

ao qual todos os dispositivos estão conectados. Esse ponto é um equipamento
denominado hub ou switch. Todo o tráfego passa por esse equipamento para
ser transmitido entre os dispositivos da rede. Esse tipo de rede é normalmente
utilizado com cabos de pares trançados (twisted pair cables).

Figura 7 – Cabo de par trançado com conector RJ45

Figura 6 – Topologia star (em estrela)

d) Topologia ring

A topologia de rede ring (em anel) é uma topologia circular fechada. Cada
dispositivo conectado à rede é um repetidor do dispositivo conectado a sua
esquerda. O dado só circula no anel em um único sentido.

Figura 8 – Topologia em anel

e) Topologia mesh

A topologia de rede mesh se divide em dois tipos:

• Mesh Partially Connected (parcialmente conectadas): determinados dispo-

sitivos da rede estão conectados de forma ponto a ponto (point-to-point)
a mais de um dispositivo da rede, criando algumas redundâncias na rede.

14
Curso de Habilitação ao Quadro Auxiliar de Oficiais
 Figura 9 – Mesh parcialmente conectada

• Mesh Fully Connected (totalmente conectada): todos os dispositivos da

rede estão conectados entre si.

Figura 10 – Mesh totalmente conectada

f) Topologia tree

A topologia de rede tree (em árvore) é baseada em hierarquia de dispositi-

vos na rede. O mais alto nível da rede é um nó simples, denominado nó raiz
(root node). Os nós (dispositivos) conectados abaixo do nó raiz são conectados
a um ou mais nós por meio de conexões point-to-point.

Figura 11 – Topologia em árvore

15
GESTÃO DA TECNOLOGIA DA INFORMAÇÃO - U2

O MAC (Media Access Con-
trol) provê o endereçamento
para acesso de um dispositivo
na rede. São endereçamentos
de 48 bits (Ex: 00-B0-D0-86-
BB-F7) usados no protocolo
Ethernet. O CSMA/CD (usado
no Ethernet e IEEE 802.3), o
Token Ring (IEEE 802.5) e
o CSMA/CA (usado no IEEE
802.11/WiFi Wlans) são
exemplos desses protocolos.
16
g) Topologia hybrid
A topologia de rede hybrid ou híbridas são combinações de duas das topo-
logias já apresentadas, formando uma nova rede. Nesse caso é obrigatório que
as características das duas topologias estejam presentes. Por exemplo, uma
rede em estrela que nas pontas possua rede em anel.
h) Topologia daisy chain
Daisy chain é um tipo de topologia linear, na qual um computador é ligado
após o outro. O último computador é o fim da linha e o primeiro é o início. O
tipo de topologia aplicado nesse caso é a line (em linha) ilustrada na figura 12.
Figura 12 – Topologia em linha
1.2.2 Topologia lógica
Na topologia lógica o sentido que o dado flui determina a topologia da rede,
não importando as conexões físicas realizadas para montá-la. A mesma classi-
ficação de topologia das redes físicas é utilizada, porém o sentido de fluxo dos
dados é levado em consideração. As topologias lógicas são determinadas pelo
protocolo de transmissão utilizado na rede e pelo MAC (Media Access Control).
Para que uma rede de computadores possa prover os serviços que hoje a inter-
net realiza, mais protocolos devem ser aplicados. O modelo OSI (Open System
Interconnection – ISO/IEC 7498-1) define a arquitetura de um sistema de co-
municação e possui sete camadas, nas quais os protocolos são distribuídos. No
caso da internet, o protocolo TCP/IP é o usado. Distribuído nas sete camadas
OSI, o protocolo TCP/IP se apresenta da seguinte forma:
Camada Protocolo
HTTP, SMTP, FTP, SSH, Telnet, SIP, RDP, IRC, SNMP, NNTP,
5. Aplicação
POP3, IMAP, BitTorrent, DNS, Ping.
4. Transporte TCP, UDP, RTP, SCTP, DCCP.
3. Rede IP (IPv4, IPv6), ARP, RARP, ICMP, IPsec.
Ethernet, 802.11 WiFi, IEEE 802.1Q, 802.11g, HDLC,
2. Enlace
Token ring, FDDI, PPP, Switch , Frame relay.
1. Física Modem, RDIS, RS-232, EIA-422, RS-449, Bluetooth, USB.
Quadro 3 – Protocolo TCP/IP
Curso de Habilitação ao Quadro Auxiliar de Oficiais
2 Bureau de serviços

Objetivos específicos

• Conceituar bureau de serviços.

A palavra bureau vem do francês e quer dizer escritório ou empresa. Bureau

de serviços, então, é uma empresa que presta serviços através da cobrança
de uma taxa por serviço prestado. Esse termo foi muito usado em Tecnologia
da Informação no início da computação nos anos 50. Esse conceito vem sendo
compreendido atualmente como outsourcing, a ser visto ainda nesta Unidade.

Na década de 50, os mainframes (computadores de grande porte) só eram

encontrados em grandes organizações. O tamanho desse equipamento era
enorme, o que exigia uma grande área para sua instalação. A necessidade de
infraestrutura de energia elétrica, refrigeração, entre outros, tornou a instala-
ção desse equipamento cara e complexa. O preço dos mainframes também era
elevado, sendo somente adquirido por grandes corporações que tinham fôlego
financeiro para implantar um sistema computacional. Empresas de médio e
pequeno porte, apesar de terem necessidades computacionais, não podiam
montar uma estrutura computacional devido ao custo.

Observando o mercado, algumas empresas entenderam que poderiam prestar

serviços de computação para médias e pequenas empresas, alocando parte do
dia do processamento do mainframe para empresas diferentes. Nasce então
um negócio muito rentável de prestação de serviço: vendia-se tempo de pro-
cessamento para empresas rodarem seus programas, como folha de pagamen-
to, entre outros. Diversos serviços foram criados, como backup, armazenamen-
to de informação, impressão, plotagem, etc. Por conseguinte, os bureaus de
serviços prestavam uma variedade de serviços diferenciados aos seus clientes.

Com o surgimento da computação pessoal e da tecnologia cliente/servidor, a

computação começou a atender as empresas de médio e pequeno porte com
custo adequado. Essas organizações montaram seus núcleos de processamen-
to dentro da própria empresa.

17
GESTÃO DA TECNOLOGIA DA INFORMAÇÃO - U2
 Para obter mais informações
sobre data centers, acesse o
link: <http://www.projeto-
deredes.com.br/artigos/arti-
go_datacenter.php>
18
A disseminação do conceito de outsourcing também foi um fator que impulsio-
nou esse segmento. Várias empresas terceirizam seus núcleos de processamen-
to com grandes empresas como a IBM, por exemplo, e os data centers prestam
serviços de terceirização da infraestrutura de TI visando a redução de custo.
A computação na nuvem veio para redesenhar novamente o cenário de pres-
tação de serviços de TI. Os internet data centers criaram novos serviços para
oferecer a seus clientes. Tais serviços inovadores, como por exemplo “software
como serviço”, “plataforma como serviço” e “infraestrutura como serviço”,
são as principais modalidades disponibilizadas. Os data centers passaram de
um ambiente para conter os equipamentos para um internet data center que
presta serviços para muitos usuários.
Observamos que o conceito de bureau de serviços está presente desde a
década de 50 até hoje nos internet data centers. Essa tendência de prestação
de serviços será a tônica para os próximos anos.
Curso de Habilitação ao Quadro Auxiliar de Oficiais
3 Internet data center

Objetivos específicos

• Definir internet data center.

• Citar as características do data center.

Os data centers são ambientes controlados, que possuem um grande con-

junto de equipamentos para prover serviços computacionais. São normalmente
grandes salas com piso elevado, refrigeradas e com energia elétrica estabiliza-
da (nobreaks e geradores de energia).

Os data centers têm uma gestão centralizada, o que permite às empresas

operarem 24 horas nos 365 dias do ano. Dessa forma, diversos data centers
espalhados em países diferentes são gerenciados simultaneamente de um pon-
to central. Essa distribuição geográfica proporciona maior segurança contra
catástrofes em um data center específico. Assim, caso haja a perda de um data
center, todos os serviços providos por ele podem ser remanejados para outro
que esteja operando normalmente, proporcionando, então, serviços de Desas-
tre e Recuperação para a organização que opera dentro desses ambientes. Esse
modelo está esquematizado na Figura 13 (ARREGOCES, 2003).

Data Center 2 Data Center 3

Centro de
gestão
Data Center 1 Data Center 4

Figura 13 – Modelo de data

Data Center 6 Data Center 5 center em conexão estrela

19
GESTÃO DA TECNOLOGIA DA INFORMAÇÃO - U2
 Não é de interesse das empresas que suas operações parem. Para tanto, neces-
sitam de ambientes mais seguros, como os data centers, para implantar seus
sistemas computacionais. Dependendo do negócio, não há possibilidade de
interrupção da operação. “Ambientes de Desastre e de Recuperação” são ne-
cessários. Esses ambientes operam em diferentes partes do globo terrestre. São
diversos data centers prontos para assumir o serviço do outro. Esses serviços
oferecidos pelos data centers garantem que pelo menos um deles esteja com
capacidade máxima de atendimento, provendo todos os serviços computacio-
nais que a empresa necessita para operar seu negócio.

Dessa forma, podemos dizer que os objetivos dos data centers são:

• Oferecer o suporte de operações para que as organizações alcancem os

seus objetivos de negócio.

• Diminuir os custos de operação e de manutenção do ambiente de TI

(Tecnologia da Informação).

• Implantar rápidas aplicações de negócio.

• Consolidar os recursos de TI.

A norma ANSI/TIA942 define os requisitos padrão de um data center. O Qua-

dro 4 apresenta cada nível (tier) de um data center e define suas respectivas
características.

• Suscetível a paradas por atividades planejadas ou não.

• Caminho único para alimentação elétrica e distribuição de refrigeração. Não
Tier 1 – Básico há componentes redundantes.

Disponibilidade • Pode ou não ter piso elevado, nobreak e gerador.

de 99,671% • Demora três meses para ser implementado.
• Tempo de parada anual de 28,8 horas.
• Deve ser desligado completamente para realizar manutenção preventiva.

• Menos suscetível a paradas por atividades planejadas ou não.

• Caminho único para alimentação elétrica e distribuição de refrigeração. Inclui
Tier 2 – Componentes componentes redundantes.
Redundantes • Piso elevado, nobreak e gerador.
Disponibilidade • Demora de três a seis meses para ser implementado.
de 99,741% • Tempo de parada anual de 22 horas.
• Manutenção elétrica e de outras partes da infraestrutura necessitam de um
processo de desligamento.

20
Curso de Habilitação ao Quadro Auxiliar de Oficiais
 • Permite que manutenções planejadas não promovam impactos nos dispo-
sitivos computacionais em operação, porém manutenções não planejadas
causarão paralisação do ambiente.
Tier 3 – Manutenção
• Múltiplos caminhos para alimentação elétrica e distribuição de refrigeração.
Concorrente
Contudo, somente um caminho está ativo. Inclui componentes redundantes.
Disponibilidade • Demora 15 a 20 meses para ser implementado.
de 99,982%
• Tempo de parada anual de 1,6 horas.
• Inclui piso elevado e capacidade suficiente de distribuição para transferir carga
de um caminho para outro durante a realização de manutenção.

• Permite que manutenções planejadas não promovam impactos nos dispo-

sitivos críticos computacionais em operação. O data center pode se manter
Tier 4 – Tolerante operacional com até um caso de problema não planejado.
a Falha
• Múltiplos caminhos para alimentação elétrica e distribuição de refrigeração.
Disponibilidade Inclui componentes redundantes ativos.
de 99,995%
• Demora de 15 a 20 meses para ser implementado.
• Tempo de parada anual de 0,4 horas.

Quadro 4 – Requisitos padrão de data centers por nível

A internet deu um grande impulso nos data centers. Empresas que estavam
somente interessadas em prover suas aplicações corporativas para usuários de
dentro de suas organizações começaram a olhar os consumidores finais como
grandes clientes em potencial.

Os Sistemas de Informação foram adaptados para interagir com os clientes

e fornecedores, realizando vendas diretas ou negócios pela internet. Assim,
surgiu o [e-commerce]. Os data centers são vistos atualmente como os gran- e-commerce: estabele-
cimento de relações comer-
des provedores de serviços na internet, colocando parceiros, fornecedores e
ciais utilizando dispositivos
clientes em contato direto. eletrônicos e computacionais
na internet.
Os data centers são importantes polos de informação, pois além de hospeda-
rem os sistemas das organizações, também hospedam rede sociais, sites de
vídeos, sites na web, entre outros serviços.

A computação na nuvem é a próxima etapa para os data centers. A questão da

mobilidade faz com que a informação tenha que estar disponível a qualquer
hora, em qualquer lugar.

21
GESTÃO DA TECNOLOGIA DA INFORMAÇÃO - U2
 Cloud computing é um novo modelo de computação, no qual
os recursos de hardware e de software para execução do pro-
cessamento estão na internet e são desconhecidos para o usu-
ário final. O processamento, o armazenamento e os softwares
são fornecidos aos usuários via prestação de serviços.

Internet Data Center

Figura 14 – Cloud computing

22
Curso de Habilitação ao Quadro Auxiliar de Oficiais
4 Segurança da informação
Formato digital: quando
um elemento do mundo real
é transformado para o mundo
digital ele adquire uma forma
de armazenamento digital.
Tal formato (ex: doc, ppt, pdf
entre outros) é a expressão do
elemento do mundo real no
mundo digital.
GESTÃO DA TECNOLOGIA DA INFORMAÇÃO - U2
Objetivos específicos
• Identificar princípios da segurança da informação.
• Apresentar as Normas para o Controle da Utilização dos Meios de Tec-
nologia da Informação no Exército (NORTI).
• Apresentar as Instruções Reguladoras para Utilização da Rede Mundial
de Computadores (internet) por Organizações Militares e Militares do
Exército (IR 20-26).
É inegável para a atual sociedade a relevância dos diversos usos da compu-
tação em todo o mundo. Até meados do séc. XX, as informações eram fun-
damentalmente armazenadas em papel (ex: em livros, escrituras, códigos,
tratados, apostilas etc.). Atualmente, boa parte da informação disponível está
armazenada em [formato digital] e acessível a diferentes públicos. A internet
permitiu compartilhar informações globalmente e instantaneamente, aumen-
tando sensivelmente a produtividade. As informações digitalizadas estão dispo-
níveis em diversos ramos do conhecimento humano. E com essa exposição da
informação, a necessidade de segurança tornou-se cada vez mais importante.
4.1 Princípios da segurança da informação
A preocupação com a segurança da informação, contudo, não é um as-
pecto recente. Desde os tempos em que o papel predominava no registro de
informações, guardamos documentos em cofres para restringir o acesso a eles,
da mesma forma que hoje temos dispositivos computacionais que restringem
o acesso a um documento digital.
Nesse sentido, em geral, a segurança é sinônimo de proteger o patrimônio e
as redes de computadores contra os ataques de “hackers”, desastres naturais,
condições adversas no ambiente, falhas de energia elétrica, roubo e vandalis-
mo ou contra outras variáveis não desejáveis.
23
 A definição clássica de Segurança da Informação é proteger a
Informação e os Sistemas de Informação do acesso, uso, inter-
rupção, divulgação, destruição e modificação não autorizados.
Em linhas gerais, é proteger a informação contra aqueles que
pretendem fazer um mau uso dos dados.

Outro aspecto muito importante em relação à segurança é a determinação

do nível necessário adequado a cada sistema de informação. Quanto maior o
nível de segurança aplicado a um determinado documento digital ou rede de
computadores, por exemplo, maior o custo envolvido. O custo da segurança
nunca deve ser maior do que o valor daquela informação que está sendo
protegida, caso contrário estaríamos aplicando muito mais segurança do que
realmente é preciso.

Para projetarmos um sistema de segurança adequado, é necessário entender

primeiramente como seremos afetados pela falta de segurança. O modelo da
Central de Inteligência Americana (CIA), ilustrado na Figura 15 e baseado nos
princípios de Confidencialidade, Integridade e Disponibilidade, define bem
esse caso.

Confidencialidade

Figura 15 – Modelo CIA

Disponibilidade Integridade

Vamos considerar esses princípios para analisar os conceitos de segurança a

seguir.

24
Curso de Habilitação ao Quadro Auxiliar de Oficiais
 • A Confidencialidade é o conceito de proteção da informação relacio-
nado ao acesso não autorizado. Pode ser implementada em diferentes
níveis, permitindo maior ou menor visualização dos dados. Um bom
exemplo é o acesso a uma conta bancária, utilizando login e senha. Essa
identificação do usuário previne que terceiros não autorizados vejam os
dados da sua conta.

• A Integridade refere-se à capacidade de proteger a informação contra

alteração, edição ou exclusão por pessoa não autorizada. Para manter
a Integridade é preciso proibir a alteração não autorizada, bem como
reverter uma alteração autorizada, por exemplo, por meio de backup.

• A Disponibilidade é a competência para acessar a informação quando

necessário. A falta de disponibilidade pode ser causada por problemas
de energia elétrica, falhas no sistema operacional, na aplicação e na
rede de computadores, por ataques de hackers, entre outros fatores que
comprometem os Sistemas de Informação.

Os ataques aos sistemas de informações são avaliados utilizando o modelo da

CIA. Cada tipo específico de ataque determina o nível de segurança adequado a
ser implementado e o risco em potencial que representam. O Quadro 5 ilustra os
princípios regentes no modelo da CIA e os seus respectivos tipos de ataques.

Modelo CIA Tipo de Ataque

Confidencialidade Intercepção

Interrupção

Integridade Modificação

Fabricação

Interrupção

Disponibilidade Modificação

Fabricação

Quadro 5 – Tipo de ataques no modelo CIA

Os principais tipos de ataques a que os Sistemas de Informação

estão sujeitos são: Intercepção, Interrupção, Modificação e
Fabricação.

25
GESTÃO DA TECNOLOGIA DA INFORMAÇÃO - U2
 O Quadro 6 apresenta os principais tipos de ataques a sistemas de informação
e as suas respectivas características.

Principais tipos de ataques

Ocorre quando usuários não autorizados têm acesso a infor-

mações, aplicações ou ambientes. É realizada pela visualização
Intercepção de um arquivo ou cópia não autorizada, leitura de e-mail,
entre outros acessos. São ataques que, se bem executados,
são muito difíceis de serem identificados.

Acontece quando o ataque torna dados, aplicações ou

ambientes não utilizáveis ou indisponíveis para uso de forma
Interrupção
temporária ou permanente. A Interrupção pode causar proble-
mas de Integridade e até de disponibilidade da informação.

É a adulteração da informação e pode ser considerado como

Modificação
ataque de Integridade ou de Disponibilidade.

É o processo de geração de dados, de processos, de comuni-

cações ou de outras atividades de um sistema de computação.
A Fabricação pode afetar a Integridade tanto quanto a dispo-
Fabricação
nibilidade da informação. Um bom exemplo de Fabricação é
a geração de um e-mail que não foi enviado pelo remetente e
sim fabricado para parecer que ele enviou.

Quadro 6: Tipos e características de ataques a sistemas de informação

Um tipo de ataque também é classificado pelo grau de impacto que propor-

ciona, permitindo, dessa forma, o melhor entendimento sobre o ataque e o
planejamento da sua prevenção.

Nesses termos identificamos Riscos, Ameaças, Vulnerabilidades e o Impacto

que um ataque possui.

• O Risco é a probabilidade de um evento não desejável acontecer. Para tal,

é necessário que tenhamos ameaça, vulnerabilidade e impacto envolvidos.

• As Ameaças têm tendência a acontecer em determinados ambientes

específicos. Um exemplo disso é o vírus. O ambiente Windows tem uma
suscetibilidade muito maior a ataques de vírus do que os ambientes
Unix ou Mac.

• As Vulnerabilidades são fraquezas que podem ser utilizadas para

prejudicar um sistema computacional, uma rede de computadores, entre
outros. Essas vulnerabilidades podem ser exploradas para causar um

26
Curso de Habilitação ao Quadro Auxiliar de Oficiais
 impacto não desejável. Por exemplo, uma vulnerabilidade em um sistema
operacional pode dar acesso irrestrito a todos os dados daquele sistema.

• O Impacto mede o grau do dano proporcionado pelo Risco. Ele pode

ser Alto ou Baixo, criando um gradiente para análise do impacto entre
esses dois extremos. Usamos também escalas para determinar o impacto
(Ex: 0 a 10).

Um exemplo de Risco, Ameaça, Vulnerabilidade e Impacto são apresentados a

seguir:

• Risco: Infecção do computador por Vírus tipo A

• Ameaça: a plataforma Windows possui maior suscetibilidade à infecção

por vírus.

• Vulnerabilidade: não há software antivírus instalado.

• Impacto: alto

Para mitigar os riscos é necessária a aplicação de controles. Eles são divididos

em três categorias: Controles Físicos, Lógicos e Administrativos. O Quadro 7
ilustra os tipos de controle, como atuam e seus métodos de controle.

Tipo de
Como atuam Método de controle
controle

Controle de acesso, fecha-

duras eletrônicas ou bio-
Protegem o ambiente no
métricas, guardas, câmeras,
Físicos qual o sistema computa-
salas tipo cofre, supressão de
cional está instalado.
incêndio, controle de refrige-
ração, nobreaks e geradores.

Senhas, criptografia, Firewall: dispositivo

São conhecidos como controle de acesso lógico, que mantém a rede interna
Lógicos
controles técnicos. [firewalls] e sistemas de da organização segura, quan-
detecção de intrusos. do está conectada à internet.

São políticas e regras

importantes que devem ser
seguidas para garantir a se- Leis, regras, normas, proce-
Administrativos
gurança da informação que dimentos, guias e contratos.
não pode ser obtida apenas
com o uso da tecnologia.

Quadro 7 – Tipos de controle

27
GESTÃO DA TECNOLOGIA DA INFORMAÇÃO - U2
 4.2 NORTI - Normas para o Controle da Utilização
dos Meios de Tecnologia da Informação no Exército

A Norma de Segurança da Informação (NORTI) tem como objetivo controlar

o conteúdo das informações, dos dados armazenados ou daqueles veiculados
em pastas, dos arquivos ou das mensagens. São utilizados, para tal, dispositi-
vos tecnológicos do Exército que coíbem a inserção de assunto ou de matéria
considerada ilícita. A norma NORTI expressa o cuidado na utilização de recur-
sos de Tecnologia da Informação por meio da proibição e da vistoria, descritos
nos artigos a seguir:

• Proibição:

Art. 7º É expressamente proibido manter, distribuir ou

veicular - utilizando, para isso, dispositivos eletrônicos,
ópticos, gráficos ou magnéticos - arquivos contendo
matéria considerada ilícita, contrária à disciplina militar, à
moral e bons costumes, bem como atentatória à ordem
pública, ou que viole qualquer direito de terceiros.

• Vistoria:

Art. 8º Compete ao Comandante, Chefe ou Diretor de

OM do Exército realizar pessoalmente, ou delegar, a vis-
toria dos arquivos hospedados em dispositivos de TI, de
propriedade do Exército Brasileiro, e, desde que haja indí-
cio substancial de infringência a estas Normas, instaurar a
respectiva sindicância.

Art.9º Não é permitida a vistoria indiscriminada e sistemá-

tica do conteúdo de arquivos, pastas e/ou mensagens, sob
a responsabilidade do usuário, de modo a preservar-se o
bom ambiente de trabalho.

A Norma, no título das DISPOSIÇÕES GERAIS, estabelece e regulamenta os

aspectos da comunicação pessoal sob o domínio das Organizações Militares
(OM) do Exército Brasileiro como sendo de uso exclusivo para assuntos e ativi-
dades profissionais, considerando que:

• Os direitos do cidadão à privacidade e ao sigilo de correspondência

envolvem, tão somente, o e-mail pessoal ou particular do militar ou do
servidor civil;

• O arquivamento de jogos, filmes, músicas e imagens é proibido;

28
Curso de Habilitação ao Quadro Auxiliar de Oficiais
 • O uso de correio-eletrônico (e-mail) é exclusivo para assuntos e ativida-
des profissionais;

• O uso de dispositivos de TI - de propriedade do Exército - durante o

expediente da OM para atividades estranhas ao serviço é proibido.

Outra norma muito importante é a norma IR 20-26, que instrui sobre o uso da
rede mundial de computadores, a internet, em organizações Militares do Exér-
cito. As IR (Instruções Reguladoras) regulamentam as condições de acesso e de
utilização dos recursos da internet em proveito da instituição, em consonância
com as Instruções Gerais de Segurança da Informação para o Exército Brasileiro
e com as Instruções Gerais para Salvaguarda de Assuntos Sigilosos.

A IR 20-26 define os seguintes nomes de domínios de primeiro nível para o

acesso de suas Organizações Militares à internet:

• I - exercito.gov.br

• II - eb.mil.br

• III - eb.br

A elaboração de páginas eletrônicas em um determinado sítio na internet

também é coberta pela norma IR 20-26, que define a responsabilidade sobre
as páginas e os programas (softwares) que devem ser utilizados.

Além disso, o artigo 16 dessa norma determina uma sistemática de aprovação

para elaboração dessas páginas eletrônicas de OM, ilustrado na Figura 16.

Solicitação de aprovação
Preparação do OM é EME,
da eletrônica ao EME,
conteúdo da página ODS, C Mil A, não ODS, C Mil A
eletrônica CIEx ou SGIEx?
enquadrante ou SGEx

sim

não
Análise do conteúdo,
Aprovação? com Asse de Of Intlg
e de OfCom Soc
O arquivo com as Instruções
Reguladoras para Utilização
sim da Rede Mundial de Com-
putadores (internet) por Or-
Cadastramento no CComSEx;
ganizações Militares e Mili-
Publicação da Publicação da página tares do Exército (IR 20-26)
aprovação em BI eletrônica na Internet
está disponível em <http://
CComSEx:
www.3cta.eb.mil.br/downlo-
informação ao EME
Figura 16 – Sistemática de aprovação de página eletrônica ad/ir_20_26.pdf>

29
GESTÃO DA TECNOLOGIA DA INFORMAÇÃO - U2
 4.3 Estratégias fundamentais de proteção

Uma vez identificados os riscos e controles, é possível projetar o tipo de defesa

necessário e adequado para proteger um ambiente de TI.

No contexto dessa apostila vamos eleger alguns tipos de defesa mais comuns,
entre vários existentes, a saber:

a) Defesa em Profundidade

A Defesa em Profundidade é um conceito de segurança em computadores e

redes, que foi documentado pela primeira vez em 1996 no artigo Information
Warfare and Dynamic Information Defense e adotado em operações militares.
É conhecido também como defesa em camadas. Parte do princípio de que os
controles de segurança são insuficientes ou incompletos e que múltiplos meca-
nismos e controles irão compor uma robusta solução de segurança. Da camada
mais externa (Rede Externa) para a mais interna (Dado), o ataque deve passar
por várias camadas de segurança. A Figura 17 ilustra as camadas de segurança
e seus respectivos mecanismos de controle (ANDRESS, 2011).

Rede Externa
Figura 17 – Defesa em Profundidade
Rede Perímetro
Dado
Rede Interna
Servidor
Aplicação

30
Curso de Habilitação ao Quadro Auxiliar de Oficiais
Rede Externa
• DMZ: zona desmilitarizada é uma rede periférica que expõe serviços ou
computadores na internet.
• VPN (Virtual Private Network): rede virtual que conecta computadores
de forma segura utilizando a internet como meio de transporte.
• Login: ato de entrar em um sistema pelo uso de senha.
• Auditoria
• Teste de Penetração
• Análise de Vulnerabilidade

Rede Perímetro
• Firewall
• Login: ato de entrar em um sistema pelo uso de senha.
• Inspeção de Pacotes
• Auditoria
• Teste de Penetração
• Análise de Vulnerabilidade

Rede Interna
• IPS: sistema de prevenção à intrusão, protege redes organizacionais
de ataques.
• IDS (Sistema de Detecção de Intrusão): detecta intrusos em redes
corporativas.
• Login: ato de entrar em um sistema pelo uso de senha.
• Auditoria
• Teste de Penetração
• Análise de Vulnerabilidade

Servidor
• Antivírus
• Firewalls
• IPS: sistema de prevenção à intrusão, protege redes organizacionais
de ataques.
• IDS (Sistema de Detecção de Intrusão): detecta intrusos em redes
corporativas.

31
GESTÃO DA TECNOLOGIA DA INFORMAÇÃO - U2
 • Senha
• Login: ato de entrar em um sistema pelo uso de senha.
• Auditoria
• Teste de Penetração
• Análise de Vulnerabilidade

Aplicação

• SSO (Single Sign On): acesso a vários sistemas utilizando somente um

conjunto de usuário e senha.
• Filtro de Conteúdo
• Validação de Dados
• Auditoria
• Teste de Penetração
• Análise de Vulnerabilidade

Dado

• Controle de Acesso
• Backup
• Teste de Penetração
• Análise de Vulnerabilidade

b) Pote de Mel

A estratégia de defesa em Pote de Mel é um conceito de segurança em

computadores e redes bem conhecido e sofisticado. Consiste em criar falsos
dispositivos ou “armadilhas” que confundem os agressores no momento da
quebra de segurança.

Essa técnica leva o agressor ao alvo errado e possibilita que um alerta seja acio-
nado sem prejuízo ao ambiente.

c) Sandbox

A defesa em Sandbox é uma camada de software que fica entre o software

que está sendo executado e o sistema operacional (SO). Dessa forma, uma
camada de segurança é criada entre a aplicação e o SO. Assim, pode ser moni-
torada e dar alarmes de segurança quando atacada.

32
Curso de Habilitação ao Quadro Auxiliar de Oficiais
5 Criptografia

Objetivos específicos

• Conhecer os tipos de algoritmos de criptografia.

• Definir criptografia.

A criptografia, como uma forma de comunicação secreta entre pessoas, exis-

te há mais 4.500 anos. Os egípcios já a utilizavam em seus hieróglifos, consti-
tuindo um primeiro exemplo de uso cifrado de mensagens.

Recentemente, os estudos de Claude Shannon, considerado o “pai” da cripto-

grafia moderna, estabeleceram uma base matemática para a criptografia. Esses
estudos tinham como base uma chave que permitia que duas pessoas pudes-
sem se comunicar usando mensagens cifradas.

A chave desse sistema de criptografia é um algoritmo usado para codificar e

decodificar a mensagem. Dessa forma, enquanto a chave não fosse perdida, as
mensagens estavam seguras.

Esses tipos de algoritmos eram conhecidos como chave-privada (private-key),

chave-secreta (secret-key) ou chave-simétrica (symmetric-key) e até 1976 eram
os únicos meios de comunicação criptografada.

As chaves de criptografia, portanto, são um conjunto de caracteres que,

alinhados sequencialmente, produzem uma palavra para uso em algoritmos.
Utilizando essa chave como referência, é possível codificar textos de forma que
não sejam mais legíveis, pois substituem as letras do texto por outras letras di-
ferentes. Para decodificar o texto, era aplicado o algoritmo-chave sobre o texto
codificado que retornava as letras ao seu original, tornando o texto legível.

33
GESTÃO DA TECNOLOGIA DA INFORMAÇÃO - U2
 Mensagem Criptografada
Mensagem Mensagem

José Codificador Internet Decodificador Marcos

Chave
Chave

Gerador Canal
de Chave Seguro Figura 18 – Sistema de criptografia
de chave-simétrica

A Figura 18 apresenta o modelo de um sistema de criptografia de chave-simé-

trica. Nesse exemplo, José envia uma mensagem criptografada para Marcos.
Uma chave de criptografia é gerada pelo Gerador de Chave e o algoritmo de
codificação a utiliza para criptografar a mensagem. Após a criptografia, a
mensagem pode ser transmitida por um meio de comunicação público, como
a internet. A chave de criptografia, então, é enviada por um meio seguro para
Marcos que, ao receber a mensagem e a chave, utiliza novamente o algoritmo
para decodificar a mensagem.

Um algoritmo de criptografia trabalha basicamente substituindo letras em

Texto plano: texto sem um [texto plano]. Se considerarmos um texto no idioma em Inglês, o algorit-
recursos de formatação.
mo trabalha substituindo embaralhando as 26 letras do alfabeto por outras.
Sendo assim, em um texto, o algoritmo troca uma letra por outra, utilizando
a chave como mapeamento. Cada letra da chave indica um mapeamento para
outra letra. O algoritmo pega a primeira letra do texto e a primeira letra da
chave e, por meio de uma operação matemática, obtém a nova letra mapeada.
A primeira letra do texto pode ser mapeada para 26 possibilidades, a segunda
25, a terceira 24, até 1 possibilidade. Matematicamente, isso é igual ao fatorial
de 26 (26!), ou seja, 4,032914611 x 1026 possibilidades. A chave de criptogra-
fia é sempre finita, mas se o texto for grande, é possível continuar aplicando
seguidamente a chave.

Texto Chave Texto criptografado

O largo da casa J sief fr ghwr KD ljekl

XASDFGHKLKJUIOKHGTarfgtyuhgf
de Paulo é bonito v nboety

Figura 19 – Exemplo de criptografia de chave-simétrica

34
Curso de Habilitação ao Quadro Auxiliar de Oficiais
Quando um hacker ou outro indivíduo deseja obter acesso às mensagens,
mas não consegue porque estão criptografadas, eles podem fazer uso da
análise criptográfica.

A análise criptográfica é a ação de descobrir a chave de

criptografia sem que essa esteja disponível.

Na Figura 20 observamos que Paulo deseja interceptar a mensagem entre

José e Marcos. Porém, ele não tem a chave. Paulo, portanto, terá que empregar
métodos para identificar a chave para decodificar a mensagem.

Paulo

Mensagem Criptografada

Mensagem Mensagem
José Codificador Internet Decodificador Marcos
decodificada decodificada

Chave
Chave

Gerador Canal
Figura 20 – Sistema de
de Chave Seguro
criptografia chave-simétrica

Uma das formas de se descobrir a chave é tentar todas as possibilidades de

chaves para o problema. Contudo, em nosso exemplo de algoritmo de subs-
tituição de letras pelo mapeamento, deduzimos que uma chave pode ter até
26!, ou seja, 4,032914611 x 1026 possibilidades. Esse tipo de método, conheci-
do como Força Bruta ou Busca Exaustiva da Chave, é ineficiente, pois leva mui-
to tempo para se encontrar a chave correta. Contudo, esse método de busca
pela chave não precisa de muitas informações sobre o sistema de criptografia
para ser executado.

Outros métodos de pesquisa da chave, baseados em análise matemática,

engenharia social, entre outros, atingem o mesmo resultado com um tempo
muito menor de execução.

Em 1976, Whitfield Diffie e Martin Hellman propuseram uma nova metodolo-

gia, que levou ao desenvolvimento de uma nova classe de algoritmos, chama-
dos de chave-pública (public-key) ou chave-assimétrica (asymmetric-key).

35
GESTÃO DA TECNOLOGIA DA INFORMAÇÃO - U2
 Esse algoritmo se baseia em utilizar, primeiramente, uma
chave-pública, seguida de uma chave-secreta para fechar a co-
nexão segura. A chave-pública é aberta a todos e, obviamente,
a segunda chave deve ser secreta. Atualmente as conexões
criptografadas na internet utilizam chaves públicas e simétri-
cas, o que torna as conexões rápidas e seguras.

A chave-pública (ChavePub) é usada para codificar a informação e a segunda

parte, conhecida como chave-privada (ChavePr), é usada para decodificar a
mensagem.

Mensagem Mensagem
Chave e
Mensagem Gerador
Gerador
Criptografada Chave Pr-Marcos de Chave
de Chave
Chave Pub-Marcos Chave Pub-Marcos

José Codificador Decodificador Marcos

Internet
Chave Pub-Marcos Chave Pub-Marcos

Figura 21 – Sistema de
criptografia chave-assimétrica

O processo é realizado da seguinte forma:

1. José e Marcos concordam em usar um sistema de criptografia com

chave- pública.

2. Marcos transmite sua ChavePub-Marcos para José.

3. José utiliza a ChavePub-Marcos de Marcos no sistema de criptografia para

codificar a mensagem.

4. José transmite a mensagem criptografada.

5. Marcos usando sua ChavePr-Marcos decodifica a mensagem.

36
Curso de Habilitação ao Quadro Auxiliar de Oficiais
No sistema de criptografia assimétrica, cada participante na comunicação tem
a sua ChavePub e ChavePr. Os participantes trocam as chaves-públicas, manten-
do em segredo suas chaves-privadas. A codificação é sempre realizada com a
chave-pública da pessoa que receberá a mensagem (ChavePub-Marcos). A decodifi-
cação é realizada com a ChavePub-Marcos e ChavePr-Marcos.

A decodificação só ocorre quando se tem a chave-privada e

pública gerada pela mesma pessoa.

O sistema de criptografia utilizando chave-pública pode ser usado para esta-

belecimento de chave, transporte de chave, assinatura digital e criptografia.

Atualmente usam-se também os sistemas de criptografia híbridos que consis-

tem no uso de criptografia simétrica e assimétrica. A combinação desses dois
tipos de criptografia vem do problema computacional que a criptografia assi-
métrica possui, pois necessita de muito mais processamento do que a simétri-
ca. Isso pode gerar lentidão em determinadas operações, porém, a criptografia
assimétrica é muito mais segura do que a simétrica. Utilizando o melhor das
duas é possível ter um ambiente criptografado seguro e rápido.

Para que isso ocorra, é necessário utilizar primeiro a criptografia assimétrica

para a troca das chaves. Em seguida, com as chaves estabelecidas, é necessário
codificar os dados de forma simétrica com a referida chave.

A sequência de criptografia híbrida pode ser resumida nas etapas a seguir e

estão ilustradas na Figura 22.

• Codificação da chave utilizando criptografia assimétrica.

• Codificação dos dados utilizando criptografia simétrica.

Mensagem
Chave e
Mensagem
Gerador Mensagem
de Chave Chave Simétrica Criptografada Chave simétrica
Chave Pub-Marcos Chave Pub-Marcos

José Codificador Decodificador Marcos

Internet
Chave Pub-Marcos Chave Pub-Marcos
Figura 22 – Sistema de
criptografia chave-assimétrica

37
GESTÃO DA TECNOLOGIA DA INFORMAÇÃO - U2

Para saber mais informações
sobre criptografia, acesse o
link: <http://www.infowes-
ter.com/criptografia.php>
38
O processo se estabelece da seguinte forma:
1. José e Marcos concordam em usar um sistema de criptografia com
chave-pública.
2. Marcos transmite sua ChavePub-Marcos para José.
3. José gera uma chave-simétrica para codificação de dados.
4. José codifica a mensagem utilizando chave-simétrica criada.
5. José utiliza a ChavePub-Marcos de Marcos no sistema de criptografia assi-
métrica para codificar a chave de criptografia simétrica.
6. José transmite a mensagem e a chave-simétrica, ambas criptografadas.
7. Marcos usando sua ChavePr-Marcos decodifica a chave-simétrica.
8. Usando a chave-simétrica, ele decodifica a mensagem.
Observe que somente a chave de criptografia simétrica é
criptografada usando os algoritmos assimétricos.
Os dados são criptografados de forma simétrica, tornando sua codificação e
decodificação muito mais rápidas. A chave-simétrica transita em um ambiente
muito seguro. É difícil de ser interceptada.
As mensagens que trafegam na internet, tais como acesso a bancos, por exem-
plo, estão sujeitas a ataques de alto risco. Portanto, as chaves de criptografia
públicas hoje utilizadas são de 1.024 bits, pois quanto maior a chave de crip-
tografia, mais difícil é decifrar a mensagem por simples processos de tentativa
e erro. Se considerarmos que uma chave de 80 bits possui 280 = 1.208.925.81
9.614.629.174.706.176 possibilidades, fica claro que uma chave de 1.024 bits
(21.024) é muito mais difícil de ser decifrada por força bruta.
Curso de Habilitação ao Quadro Auxiliar de Oficiais
6 Secure Sockets Layer
RFC (Request for
Comments): é uma publica-
ção do Internet Engineering
Task Force e da Internet
Society, que definem padrões
para a internet.
VoIP (Voice over Internet
Protocol): sistema de tele-
fonia que usa a internet ou
outra rede de computadores
que se baseie no Protocolo
de internet (IP).
GESTÃO DA TECNOLOGIA DA INFORMAÇÃO - U2
Objetivos específicos
• Conhecer os conceitos de SSL.
O protocolo SSL (Secure Socket Layer) foi desenvolvido pela Netscape em
1995. A [RFC] 601 define as características do SSL, versão 3.0. O sucessor do
SSL é o TSL (Transport Layer Security) e ambos são protocolos que propor-
cionam segurança em comunicações na internet.
Tanto o protocolo SSL quanto o TSL usam criptografia assi-
métrica para troca de chaves e criptografia simétrica para
codificar a mensagem, ou seja uma criptografia híbrida. Várias
versões desses protocolos são usadas em browsers, e-mail, fax
na internet, Instant Messaging e [VoIP].
Os protocolos TSL e SSL permitem que aplicações cliente-servidor estabeleçam
comunicação segura por meio de uma rede de computadores. A aplicação
cliente estabelece com o servidor uma conexão e nela são negociados vários
parâmetros necessários ao protocolo. Uma vez determinados os parâmetros,
é estabelecida uma comunicação segura entre o cliente e o servidor. Os dados
podem, então, ser trocados, utilizando a internet como meio.
Quando o SSL está ativo, aparecem indicadores na interface do navegador.
Um deles é a substituição de http://... por https://... na barra de endereços. O
outro indicador é o aparecimento, no canto superior direito da tela, de um íco-
ne de cadeado de criptografia estabelecida, indicando conexão segura, como
ilustrado na Figura 23.
Figura 23 – Indicadores de segurança no Internet Explorer
39
7 Outsourcing em TI

O outsourcing em TI vem sendo utilizado desde a época em que os mainframes

realizavam os serviços de computação nas grandes corporações. Os bureau de
serviços de processamento de dados e de impressão eram muito utilizados na
prestação de serviços terceirizados.

Em 1989, a Kodak anunciou o outsourcing dos seus Sistemas de Informação

(SI) para a IBM, DEC e Businessland. A Kodak terceirizou com a IBM seus quatro
data centers. A decisão da Kodak gerou uma grande movimentação na indús-
tria de TI. Até então nenhuma grande e renomada organização havia terceiriza-
do seus SIs. Depois da Kodak, outras organizações seguiram caminhos similares.

Duas grandes razões impulsionaram as organizações a realizar outsourcing em TI:

• As companhias estavam interessadas em focar no negócio (core busi-

ness) e não nas atividades correlatas que poderiam consumir o esforço
organizacional. Dessa forma, a TI, como atividade de apoio para muitas
organizações, foi objeto de terceirização.

• A percepção dos executivos sobre o custo e esforço gastos em TI. Essas

Overhead: termo utiliza- atividades são vistas como um [overhead] para a organização. A visão
do para expressar um esforço
era de que empresas especializadas em TI seriam mais eficientes e apre-
excessivo não ligado direta-
mente ao principal objetivo sentariam menor custo para a realização dessas atividades.
de negócio da organização.
Alguns dos benefícios organizacionais trazidos pelo outsourcing estão listados
a seguir:

• Aumenta as oportunidades de vendas.

• Aprimora a imagem corporativa e a relação com o público.

• Previne perda de oportunidades.

• Reduz custos anuais quase que imediatamente.

• Possibilita foco nas competências do negócio, deixando a cargo de em-

presas especializadas a operação e desenvolvimento de TI.

• Reduz ou elimina reclamações do usuário.

• Aumenta a fidelidade do cliente.

• Diminui custos de projetos e eventos.

41
GESTÃO DA TECNOLOGIA DA INFORMAÇÃO - U2
 • Permite disputa com os competidores do negócio.

• Disponibiliza tempo e recursos organizacionais.

Organizações de TI no mundo todo utilizam a prestação de serviços de TI

dentro de suas operações. É muito normal empresas terem algum nível de
outsourcing, seja por motivos de redução de custo ou até de estratégia da
organização. O fato é que a prática de terceirizar serviços de TI estará sempre
presente. Logo, é necessário entender como funciona essa terceirização e tirar
o melhor proveito dela.

Existem três níveis de outsourcing e cada um apresenta particularidades pró-

prias. Saiba mais sobre cada um desses níveis a seguir (BROWN, 2005).

a) Nível tático

O primeiro nível, o Tático, está diretamente relacionado a problemas que a or-

ganização possui. Aparentemente, a melhor forma de endereçar o problema é
através de um outsourcing. Exemplos desse tipo são: falta de recursos financei-
ros para realizar investimentos, competência gerencial interna inadequada, falta
de talentos ou desejo de redução de pessoal. O foco desse outsourcing está no
contrato estabelecido entre as partes, que deve ser feito com extrema cautela,
endereçando de forma principal os pontos que fazem com que a organização
atinja seus objetivos de negócio por meio da solução dos problemas.

b) Nível estratégico

O nível estratégico visa relações de longo prazo com fornecedores. Os executi-

vos das organizações entenderam que realizar um outsourcing poderia libe-
rar a atenção da empresa para focos mais direcionados ao negócio, os quais
trariam mais retorno do que os investimentos em TI. Em vez de a organização
montar toda a estrutura computacional e prover o material humano para
operá-la, ela contrata um fornecedor que preste esse serviço (data center). Esse
fornecedor irá prover os serviços de TI para atender às necessidades de negó-
cio, permitindo que a estrutura de TI interna seja desativada, reduzindo, assim,
os custos operacionais.

c) Nível de transformação

É a terceira geração de terceirização. Nesse caso, a organização pretende re-

definir o negócio e usa o outsourcing para ajudar na redefinição dos processos
de negócio e, por conseguinte, na redefinição da empresa.

42
Curso de Habilitação ao Quadro Auxiliar de Oficiais
Contudo, uma abordagem sistemática deve ser utilizada para realizar um
outsourcing. Terceirizar sem uma avaliação cuidadosa pode levar a uma pres-
tação inadequada dos serviços de TI pelos fornecedores. A Figura 24 propõe
uma abordagem para a realização de outsourcing em uma organização.

Decisão pelo Implementação/ Encerramento/

Decisão pelo
Planejamento
outsourcing gestão suporte
outsourcing

Figura 24 – Processo de outsourcing

O primeiro passo é a decisão pelo outsourcing, isto é, se deverá ou não ser

realizado. A melhor forma de abordar esse assunto para tomada de decisão é
efetuando uma análise de risco. A análise de risco identificará os riscos envol-
vidos no outsourcing e indicará se deve ser feito. Os principais riscos, quando
um outsourcing é realizado, são:

• Controle: a organização não consegue obter a prestação de serviço

adequada. Os acordos de níveis de qualidade de serviço não são cumpri-
dos, fazendo com que a organização perca o controle sobre a prestação
do serviço de TI.

• Segurança: ao realizar o outsourcing, os dados da organização serão

manipulados por terceiros (backup), gerando um risco de acesso indevi-
do à informação.

• Conhecimento organizacional: é o risco de evasão do conhecimen-

to da empresa. O conhecimento do negócio pode ser absorvido pelos
fornecedores que prestam serviços de TI.

• Reversibilidade: com o outsourcing, a organização vai aos poucos per-

dendo toda a capacidade de prestar o serviço de TI que foi terceirizado.
Se for necessário retornar a prestação de serviço para dentro da empre-
sa, essa reversão pode ser dispendiosa.
SLA (Service Level
Agreement): acordo de
Cada um desses riscos deve ser cuidadosamente mitigado, seja por meio de nível de qualidade de serviço
acordos de nível de serviço [SLA] ou de cláusulas contratuais. estabelecido num outsourcing.

Se não houver a possibilidade de mitigar os riscos, o

outsourcing não deve ser realizado.

43
GESTÃO DA TECNOLOGIA DA INFORMAÇÃO - U2
 Uma vez decidido pelo outsourcing, passamos para as fases necessárias para a
sua realização. São elas:

• Planejamento: envolve uma definição do escopo do que será terceiri-

zado, negociações contratuais, escolha de fornecedor e estabelecimen-
tos de acordos de níveis de serviço. Após o consenso sobre todos esses
assuntos se estabelecem contratos comerciais entre as empresas para a
prestação de serviço.

• Implementação: transfere a prestação de serviço de TI para o for-

necedor, seguindo o planejamento já elaborado na fase anterior. Gra-
dativamente, os serviços de TI prestados pela organização vão sendo
transferidos ao fornecedor escolhido. É implementado um processo de
gestão para regularmente avaliar a qualidade da prestação de serviço do
fornecedor, baseado nos acordos de níveis de serviços (SLA) estabeleci-
dos em contrato.

• Encerramento: se dá ao fim de um contrato de outsourcing no qual é

realizada novamente uma análise de risco para continuar ou não com
a prestação de serviços de TI, reiniciando novamente o processo de
outsourcing.

44
Curso de Habilitação ao Quadro Auxiliar de Oficiais
8 Governança corporativa

Objetivos específicos

• Definir governança corporativa.

• Apresentar conceitos de governança corporativa.

Governança corporativa é um processo organizado de exercer as ações de

comando em uma organização por meio de um Conselho Administrativo. Esse
Conselho, uma vez interligado às áreas de negócio da empresa, estabelece
vários processos que devem ser seguidos, para alinhar os objetivos organiza-
cionais com as ações de cada departamento.

Os princípios de governança corporativa foram publicados em três documen-

tos muito conhecidos na área. São eles:

• The Cadbury Report (Reino Unido, 1992).

• The Principles of Corporate Governance (OECD - Organization for

Economic Co-operation and Development, Europa, 1998 e 2004).

• Sarbanes-Oxley Act of 2002 (Estados Unidos, 2002).

Entre esses documentos, o Sarbanes-Oxley é um dos mais conhecidos. Originá-

rio dos Estados Unidos, é muito utilizado por grandes empresas americanas no
mundo inteiro.

Nesses documentos, os princípios de governança são descritos como:

• As organizações devem respeitar os interesses dos acionistas e auxiliá-los

a exercer tais interesses.

• As organizações devem reconhecer obrigações legais, contratuais, sociais,

de mercado para indivíduos ou outras organizações que não fazem parte
do grupo de acionistas (ex: empregados, fornecedores clientes, etc.).

• O Conselho de Diretoria deve ter entendimento e habilidade suficientes

para monitorar e aprimorar a performance gerencial da empresa.

45
GESTÃO DA TECNOLOGIA DA INFORMAÇÃO - U2

ERP (Enterprise
Resource Planning): sistema
de planejamento de recursos
organizacionais. É o siste-
ma gestão que integra uma
organização. Os sistemas ERP
automatizam os processos
organizacionais por meio de
um software integrado.
Um exemplo de manual de
governança corporativa pode
ser acessado em: <http://
www.bb.com.br/docs/pub/
inst/dwn/manualcorporat.
pdf?codigoMenu=5356>
CIO (Chief Information
Officer): executivo respon-
sável pelo departamento de
Tecnologia da Informação de
uma empresa.
46
• A integridade é um requerimento fundamental para escolha de executi-
vos e membros do Conselho de Diretoria.
• A organização deve deixar claro e público o papel e responsabilidade do
Conselho de Diretoria.
O propósito da governança corporativa é direcionar e controlar as atividades
organizacionais estabelecendo estruturas, regras e procedimentos que auxiliem
no processo de tomada de decisão. Esse direcionamento deve partir do mais
alto escalão da empresa, o Conselho Administrativo, e atingir até as atividades
operacionais do dia a dia em seu nível mais operacional, alinhando os objetivos
de negócio com todas as ações da empresa.
Os Sistemas de Informação do tipo [ERP] possibilitam atingir de forma sistemá-
tica a governança corporativa. O ERP, como, por exemplo, o sistema SAP, possi-
bilita, entre outras coisas, a inclusão de regras, procedimentos e níveis de alçada
de aprovação e estrutura organizacional nas atividades do dia a dia da empresa.
Isso facilita que a organização se estruture de forma adequada. Várias organiza-
ções americanas usam o SAP, que é compatível com o Sarbanes-Oxley e oferece
total segurança no processo de governança.
8.1 Governança em TI
A área de Tecnologia da Informação tem um fator muito importante na gover-
nança corporativa. Não só pelo uso de Sistemas de Informação para estabele-
cimento da governança, mas para direcionar e controlar as atividades de TI de
um modo geral, principalmente, alinhar as atividades de TI com os objetivos
organizacionais. Nesse contexto, a governança em TI torna-se fundamental
como um subconjunto da governança corporativa.
A governança em TI é um conjunto de disciplinas contidas na governança
corporativa da organização com foco em Tecnologia da Informação. Essas
disciplinas estabelecem um alinhamento dos objetivos organizacionais com
os objetivos da área de TI da empresa, fazendo com que as decisões sejam
tomadas pelo corporativo da empresa e não pelo [CIO] sem a anuência do
Conselho de Diretores.
O propósito da governança em TI é direcionar e controlar as atividades organi-
zacionais de TI estabelecendo estruturas, regras e procedimentos que auxiliem
no processo de tomada de decisão dentro da área de Tecnologia da Informação.
Curso de Habilitação ao Quadro Auxiliar de Oficiais
A governança em TI tem seu foco em:

• Decidir como devem ser utilizados os recursos monetários destinados a

TI. Os processos de governança envolvidos incluem: priorização, justifica-
tivas, controle de gastos e autorização para utilizar os recursos.

• Gestão dos Projetos de TI.

• Implementar e controlar os processos de mudança (ex: alterações em

projetos), fazendo com que cumpram as normas estabelecidas de avalia-
ção de impacto e de orçamento, entre outras.

• Garantir a qualidade do Serviço de TI por meio da gestão dos indicado-

res de nível de serviço (SLA) definidos.

Uma vez implementada a governança em TI, totalmente alinhada com a gover-

nança corporativa, a organização tem seus processos organizacionais alinha-
dos aos objetivos do negócio. Nesse caso, todos na organização trabalham
para atingir o mesmo objetivo, maximizando esforços e recursos.

47
GESTÃO DA TECNOLOGIA DA INFORMAÇÃO - U2
9 Bibliografia

Referências bibliográficas

ANDRESS, Jason. The Basics of Information Security: Understanding the

Fundamentals of InfoSec in Theory and Practice. Syngress, 1ª ed., 2011.

ANSI/TIA942. Data Center Standard Overview, 2005.

ARREGOCES, Mauricio; PORTOLANI, Maurizio. Data Center Fundamentals.

Cisco Press, 2003.

BRASIL. Exército Brasileiro. Departamento de Ciência e Tecnologia. Normas

para o Controle da Utilização dos Meios de Tecnologia da Informação
no Exército (NORTI). 2007

______. Exército Brasileiro. EME. Instruções Reguladoras para Utilização

da Rede Mundial de Computadores (Internet) por Organizações Mili-
tares e Militares do Exército (IR 20-26). Disponível em: <http://www.3cta.
eb.mil.br/download/ir_20_26.pdf>. Acesso em 18 de junho de 2013.

BROWN, Douglas. The Black Book of Outsourcing: How to Manage the

Changes, Challenges, and Opportunities. Wiley, 1ª ed., 2005.

CADBURY REPORT. The Financial Aspects of Corporate Governance. Gee

and Co. Ltd., London: 1992. Disponível em: <http://www.jbs.cam.ac.uk/cad-
bury/report/>. Acesso em: 14 de junho de 2013.

GOLENNIEWSKI, Lilian; JARRETT, Kitty Wilson. Telecommunications Essential,

Second Edition: the Complete Global Source. Addison-Wesley Professional,
2ª ed., 2006.

IEC 80000-13: Quantities and units – Part 13: Information Science and
Technology, 2008.

OECD - ORGANIZATION FOR ECONOMIC CO-OPERATION AND DEVELOPMENT.

The Principles of Corporate Governance. 2004. Disponível em: <http://
www.oecd.org/corporate/ca/corporategovernanceprinciples/31557724.pdf>.
Acesso em: 14 de junho de 2013.

49
GESTÃO DA TECNOLOGIA DA INFORMAÇÃO - U2
 SARBANES-OXLEY ACT. A Guide to the Sarbanes-Oxley Act, 2002. Disponível
em: <http://www.soxlaw.com>. Acesso em: 14 de junho de 2013.

Bibliografia complementar

ANDERSON, Chris. A Cauda Longa. São Paulo: Elsevier, 2006.

DODD, Annabel Z. The Essential Guide to Telecommunications (5th

Edition). Estados Unidos: Prentice Hall, 5ª ed., 2012.

HALVEY, John K.; MELBY, Barbara Murphy. Information Technology Out-

sourcing Transactions: Process, Strategies, and Contracts. Wiley; 2ª ed.,
2005.JOSYULA, Venkata; ORR, Malcom; PAGE, Greg. Cloud Computing: Au-
tomating the Virtualized Data Center (Networking Technology). Cisco
Press; 1ª. ed., 2011.

LAUDON, K. C.; TRAVER, C. G. E-commerce: Business, Technology, Society.

4ª ed., Estados Unidos: Prentice Hall, 2008.

MITNICK, Kevin D.; SIMON, William L. A Arte de Enganar. São Paulo: Pearson,
2003.

MOELLER, Robert R. Executive’s Guide to IT Governance: Improving

Systems Processes with Service Management, COBIT, and ITIL. Wiley;
1ª. ed., 2013.

MONKS, Robert A. G.; MINOW, Nell. Corporate Governance. Wiley, 5ª ed.,

2011.

NIELSEN, Jacob. Projetando Websites. São Paulo: Campus, 2000.

OPPLIGER, Rolf. SSL and Tls: Theory and Practice. Artech House, 2009.

PAAR, Christof; PELZL, Jan; PRENEEL, Bart. Understanding Cryptography:

A Textbook for Students and Practitioners. Alemanha: Springer, 1ª. ed.,
2010.

PORTER, Michael. Internet and Strategy. Estados Unidos: Harvard Business

Review, 2001.

TAPSCOTT, Don. Wikinomics. São Paulo: Nova Fronteira, 2007.

THOMAS, Stephen A., SSL & TLS Essentials: Securing the Web, Wiley, 2000.

50
Curso de Habilitação ao Quadro Auxiliar de Oficiais
TURBAN, Efraim; McLEAN, Ephraim; WETHERBE, James. Tecnologia da Infor-
mação para Gestão. 3ª ed. Porto Alegre: Bookman, 2000.

WALLACE, Michael; WEBBER, Larry. IT Governance: Policies & Procedures,

2013 Edition, Estados Unidos: Aspen Publishers, 2012.

WHITMAN, Michael E.; MATTORD, Herbert J. Principles of Information

Security. Cengage Learning, 4ª ed., 2011.

51
GESTÃO DA TECNOLOGIA DA INFORMAÇÃO - U2
CCEAD – Coordenação Central de Educação a Distância

Coordenação Geral
Gilda Helena Bernardino de Campos

Coordenação de Avaliação e Acompanhamento

Gianna Oliveira Bogossian Roque

Coordenação de Criação e Desenvolvimento

Claudio Perpetuo

Coordenação de Design Didático

Sergio Botelho do Amaral

Coordenação de Material Didático

Stella Maria Peixoto de Azevedo Pedrosa

Coordenação de Tecnologia da Informação

Renato Araujo

Gerente de Projetos
José Ricardo Basílio

Equipe CCEAD
Alessandra Muylaert Archer
Alexander Arturo Mera
Ana Luiza Portes
Angela de Araújo Souza
Camila Welikson
Ciléia Fiorotti
Clara Ishikawa
Eduardo Felipe dos Santos Pereira
Eduardo Quental
Frieda Marti
Gabriel Bezerra Neves
Gleilcelene Neri de Brito
Igor de Oliveira Martins
Joel dos Santos Furtado
Lucas Feliciano
Luiza Serpa
Luiz Claudio Galvão de Andrade
Luiz Guilherme Roland
Maria Letícia Correia Meliga
Neide Gutman
Romulo Freitas
Ronnald Machado
Simone Bernardo de Castro
Tito Ricardo de Almeida Tortori
Vivianne Elguezabal
EXÉRCITO BRASILEIRO