Escolar Documentos
Profissional Documentos
Cultura Documentos
GESTÃO DE GESTÃO DA
MATERIAL E TECNOLOGIA
PATRIMÔNIO DA INFORMAÇÃO
GESTÃO DE
PESSOAS NA
ADMINISTRAÇÃO
PÚBLICA
GESTÃO DE
QUALIDADE EM SERVIÇOS
GESTÃO ORÇAMENTÁRIA
E FINANCEIRA
ADMINISTRAÇÃO
FUNDAMENTOS PÚBLICA BRASILEIRA
DO DIREITO
PÚBLICO E PRIVADO
Coordenação Didático-Pedagógica
Stella M. Peixoto de Azevedo Pedrosa
Redação Pedagógica
Alessandra Muylaert Archer
Frieda Marti
Tito Ricardo de Almeida Tortori Gestão da tecnologia da informação / coordenação
didático-pedagógica: Stella M. Peixoto de Azevedo Pedrosa ;
Revisão
redação pedagógica: Alessandra Muylaert Archer, Frieda Marti,
Alessandra Muylaert Archer
Tito Ricardo de Almeida Tortori – Rio de Janeiro : PUC-Rio,
Projeto Gráfico e Diagramação CCEAD, 2013.
Romulo Freitas
3 v. : il. (color.) ; 21 cm
Coordenação de Conteudistas
Roberto Blaschek Inclui bibliografia
Conteúdo: unidade 2. Infraestrutura, governança e
Conteudista
segurança de TI / conteudista: Joaquim Santos Neto.
Joaquim Santos Neto
Boa leitura!
conteudista
2. BUREAU DE SERVIÇOS 17
4. SEGURANÇA DA INFORMAÇÃO 23
4.1 PRINCÍPIOS DA SEGURANÇA DA INFORMAÇÃO 23
4.2 NORTI – NORMAS PARA O CONTROLE DA UTILIZAÇÃO
DOS MEIOS DE TECNOLOGIA DA INFORMAÇÃO NO EXÉRCITO 28
4.3 ESTRATÉGIAS FUNDAMENTAIS DE PROTEÇÃO 30
5. CRIPTOGRAFIA 33
7. OUTSOURCING EM TI 41
8. GOVERNANÇA CORPORATIVA 45
8.1 GOVERNANÇA EM TI 46
9. BIBLIOGRAFIA 49
1 Conceitos básicos
de telecomunicações
Objetivos específicos
9
GESTÃO DA TECNOLOGIA DA INFORMAÇÃO - U2
É muito comum em telecomunicações o uso de prefixos para determinar a
taxa de transferência de uma banda passante. Entretanto, considerando que
a comunicação eletrônica usa linguagem binária (uso de algarismos 0 e 1),
os prefixos do Sistema Internacional de medidas (SI), que especifica um con-
junto de métricas para determinadas grandezas (quilo, mega , giga, etc.) não
se aplicam corretamente, pois estão formulados em base 10 (uso de algaris-
mos de 0 a 9). Isso gera um erro comum em operadoras de telecomunicação
e fabricantes de equipamentos, que é o uso de prefixos do SI na transmissão
de dados binários, representado no exemplo a seguir:
10
Curso de Habilitação ao Quadro Auxiliar de Oficiais
Nome Símbolo Potência = valor
11
GESTÃO DA TECNOLOGIA DA INFORMAÇÃO - U2
O aumento contínuo das taxas de transmissão advém do crescimento do uso
da computação na internet em escala global. As aplicações voltadas às neces-
sidades dos usuários requerem cada vez mais banda passante para atender os
diversos tipos de tráfego de dados. Cada tipo de tráfego tem um comporta-
mento diferenciado devido ao seu uso. Para tal, alguns requisitos essenciais,
como por exemplo a banda passante necessária, as considerações de latência
de transmissão de dados e a perda de dados, devem ser atingidos para possibi-
litar a transmissão e o seu uso correto pelas aplicações.
• dados
• voz
• imagem
• vídeo
• Topologia física;
• Topologia lógica.
a) Topologia point-to-point
12
Curso de Habilitação ao Quadro Auxiliar de Oficiais
As redes point-to-point podem ser:
Figura 1 – Topologia
point-to-point
Rede
Comutada
Figura 2 – Topologia
point-to-point comutada
b) Topologia bus
A topologia de rede em bus utiliza um único cabo coaxial com [conectores Conector BNC (Bayonet
Neil Concelman): é um
BNC] (conector Bayonet Neil Concelman), em que todos os dispositivos são
conector para cabos coaxiais
conectados a ele. Em cada ponta há um terminador de 50 ohm que finaliza a tipo RG-58 e RG-59 utilizado
rede. Os dados caminham na rede em ambos os sentidos. para construir uma rede de
computadores.
13
GESTÃO DA TECNOLOGIA DA INFORMAÇÃO - U2
c) Topologia star
d) Topologia ring
A topologia de rede ring (em anel) é uma topologia circular fechada. Cada
dispositivo conectado à rede é um repetidor do dispositivo conectado a sua
esquerda. O dado só circula no anel em um único sentido.
e) Topologia mesh
14
Curso de Habilitação ao Quadro Auxiliar de Oficiais
Figura 9 – Mesh parcialmente conectada
f) Topologia tree
15
GESTÃO DA TECNOLOGIA DA INFORMAÇÃO - U2
g) Topologia hybrid
O MAC (Media Access Con- Na topologia lógica o sentido que o dado flui determina a topologia da rede,
trol) provê o endereçamento
não importando as conexões físicas realizadas para montá-la. A mesma classi-
para acesso de um dispositivo
na rede. São endereçamentos ficação de topologia das redes físicas é utilizada, porém o sentido de fluxo dos
de 48 bits (Ex: 00-B0-D0-86- dados é levado em consideração. As topologias lógicas são determinadas pelo
BB-F7) usados no protocolo
Ethernet. O CSMA/CD (usado protocolo de transmissão utilizado na rede e pelo MAC (Media Access Control).
no Ethernet e IEEE 802.3), o
Token Ring (IEEE 802.5) e Para que uma rede de computadores possa prover os serviços que hoje a inter-
o CSMA/CA (usado no IEEE net realiza, mais protocolos devem ser aplicados. O modelo OSI (Open System
802.11/WiFi Wlans) são
exemplos desses protocolos. Interconnection – ISO/IEC 7498-1) define a arquitetura de um sistema de co-
municação e possui sete camadas, nas quais os protocolos são distribuídos. No
caso da internet, o protocolo TCP/IP é o usado. Distribuído nas sete camadas
OSI, o protocolo TCP/IP se apresenta da seguinte forma:
Camada Protocolo
HTTP, SMTP, FTP, SSH, Telnet, SIP, RDP, IRC, SNMP, NNTP,
5. Aplicação
POP3, IMAP, BitTorrent, DNS, Ping.
16
Curso de Habilitação ao Quadro Auxiliar de Oficiais
2 Bureau de serviços
Objetivos específicos
17
GESTÃO DA TECNOLOGIA DA INFORMAÇÃO - U2
Para obter mais informações A disseminação do conceito de outsourcing também foi um fator que impulsio-
sobre data centers, acesse o
nou esse segmento. Várias empresas terceirizam seus núcleos de processamen-
link: <http://www.projeto-
deredes.com.br/artigos/arti- to com grandes empresas como a IBM, por exemplo, e os data centers prestam
go_datacenter.php> serviços de terceirização da infraestrutura de TI visando a redução de custo.
18
Curso de Habilitação ao Quadro Auxiliar de Oficiais
3 Internet data center
Objetivos específicos
Centro de
gestão
Data Center 1 Data Center 4
19
GESTÃO DA TECNOLOGIA DA INFORMAÇÃO - U2
Não é de interesse das empresas que suas operações parem. Para tanto, neces-
sitam de ambientes mais seguros, como os data centers, para implantar seus
sistemas computacionais. Dependendo do negócio, não há possibilidade de
interrupção da operação. “Ambientes de Desastre e de Recuperação” são ne-
cessários. Esses ambientes operam em diferentes partes do globo terrestre. São
diversos data centers prontos para assumir o serviço do outro. Esses serviços
oferecidos pelos data centers garantem que pelo menos um deles esteja com
capacidade máxima de atendimento, provendo todos os serviços computacio-
nais que a empresa necessita para operar seu negócio.
Dessa forma, podemos dizer que os objetivos dos data centers são:
20
Curso de Habilitação ao Quadro Auxiliar de Oficiais
• Permite que manutenções planejadas não promovam impactos nos dispo-
sitivos computacionais em operação, porém manutenções não planejadas
causarão paralisação do ambiente.
Tier 3 – Manutenção
• Múltiplos caminhos para alimentação elétrica e distribuição de refrigeração.
Concorrente
Contudo, somente um caminho está ativo. Inclui componentes redundantes.
Disponibilidade • Demora 15 a 20 meses para ser implementado.
de 99,982%
• Tempo de parada anual de 1,6 horas.
• Inclui piso elevado e capacidade suficiente de distribuição para transferir carga
de um caminho para outro durante a realização de manutenção.
A internet deu um grande impulso nos data centers. Empresas que estavam
somente interessadas em prover suas aplicações corporativas para usuários de
dentro de suas organizações começaram a olhar os consumidores finais como
grandes clientes em potencial.
21
GESTÃO DA TECNOLOGIA DA INFORMAÇÃO - U2
Cloud computing é um novo modelo de computação, no qual
os recursos de hardware e de software para execução do pro-
cessamento estão na internet e são desconhecidos para o usu-
ário final. O processamento, o armazenamento e os softwares
são fornecidos aos usuários via prestação de serviços.
22
Curso de Habilitação ao Quadro Auxiliar de Oficiais
4 Segurança da informação
Objetivos específicos
23
GESTÃO DA TECNOLOGIA DA INFORMAÇÃO - U2
A definição clássica de Segurança da Informação é proteger a
Informação e os Sistemas de Informação do acesso, uso, inter-
rupção, divulgação, destruição e modificação não autorizados.
Em linhas gerais, é proteger a informação contra aqueles que
pretendem fazer um mau uso dos dados.
Confidencialidade
24
Curso de Habilitação ao Quadro Auxiliar de Oficiais
• A Confidencialidade é o conceito de proteção da informação relacio-
nado ao acesso não autorizado. Pode ser implementada em diferentes
níveis, permitindo maior ou menor visualização dos dados. Um bom
exemplo é o acesso a uma conta bancária, utilizando login e senha. Essa
identificação do usuário previne que terceiros não autorizados vejam os
dados da sua conta.
Confidencialidade Intercepção
Interrupção
Integridade Modificação
Fabricação
Interrupção
Disponibilidade Modificação
Fabricação
25
GESTÃO DA TECNOLOGIA DA INFORMAÇÃO - U2
O Quadro 6 apresenta os principais tipos de ataques a sistemas de informação
e as suas respectivas características.
26
Curso de Habilitação ao Quadro Auxiliar de Oficiais
impacto não desejável. Por exemplo, uma vulnerabilidade em um sistema
operacional pode dar acesso irrestrito a todos os dados daquele sistema.
• Impacto: alto
Tipo de
Como atuam Método de controle
controle
27
GESTÃO DA TECNOLOGIA DA INFORMAÇÃO - U2
4.2 NORTI - Normas para o Controle da Utilização
dos Meios de Tecnologia da Informação no Exército
• Proibição:
• Vistoria:
28
Curso de Habilitação ao Quadro Auxiliar de Oficiais
• O uso de correio-eletrônico (e-mail) é exclusivo para assuntos e ativida-
des profissionais;
Outra norma muito importante é a norma IR 20-26, que instrui sobre o uso da
rede mundial de computadores, a internet, em organizações Militares do Exér-
cito. As IR (Instruções Reguladoras) regulamentam as condições de acesso e de
utilização dos recursos da internet em proveito da instituição, em consonância
com as Instruções Gerais de Segurança da Informação para o Exército Brasileiro
e com as Instruções Gerais para Salvaguarda de Assuntos Sigilosos.
• I - exercito.gov.br
• II - eb.mil.br
• III - eb.br
Solicitação de aprovação
Preparação do OM é EME,
da eletrônica ao EME,
conteúdo da página ODS, C Mil A, não ODS, C Mil A
eletrônica CIEx ou SGIEx?
enquadrante ou SGEx
sim
não
Análise do conteúdo,
Aprovação? com Asse de Of Intlg
e de OfCom Soc
O arquivo com as Instruções
Reguladoras para Utilização
sim da Rede Mundial de Com-
putadores (internet) por Or-
Cadastramento no CComSEx;
ganizações Militares e Mili-
Publicação da Publicação da página tares do Exército (IR 20-26)
aprovação em BI eletrônica na Internet
está disponível em <http://
CComSEx:
www.3cta.eb.mil.br/downlo-
informação ao EME
Figura 16 – Sistemática de aprovação de página eletrônica ad/ir_20_26.pdf>
29
GESTÃO DA TECNOLOGIA DA INFORMAÇÃO - U2
4.3 Estratégias fundamentais de proteção
No contexto dessa apostila vamos eleger alguns tipos de defesa mais comuns,
entre vários existentes, a saber:
a) Defesa em Profundidade
Rede Externa
Figura 17 – Defesa em Profundidade
Rede Perímetro
Dado
Rede Interna
Servidor
Aplicação
30
Curso de Habilitação ao Quadro Auxiliar de Oficiais
Rede Externa
• DMZ: zona desmilitarizada é uma rede periférica que expõe serviços ou
computadores na internet.
• VPN (Virtual Private Network): rede virtual que conecta computadores
de forma segura utilizando a internet como meio de transporte.
• Login: ato de entrar em um sistema pelo uso de senha.
• Auditoria
• Teste de Penetração
• Análise de Vulnerabilidade
Rede Perímetro
• Firewall
• Login: ato de entrar em um sistema pelo uso de senha.
• Inspeção de Pacotes
• Auditoria
• Teste de Penetração
• Análise de Vulnerabilidade
Rede Interna
• IPS: sistema de prevenção à intrusão, protege redes organizacionais
de ataques.
• IDS (Sistema de Detecção de Intrusão): detecta intrusos em redes
corporativas.
• Login: ato de entrar em um sistema pelo uso de senha.
• Auditoria
• Teste de Penetração
• Análise de Vulnerabilidade
Servidor
• Antivírus
• Firewalls
• IPS: sistema de prevenção à intrusão, protege redes organizacionais
de ataques.
• IDS (Sistema de Detecção de Intrusão): detecta intrusos em redes
corporativas.
31
GESTÃO DA TECNOLOGIA DA INFORMAÇÃO - U2
• Senha
• Login: ato de entrar em um sistema pelo uso de senha.
• Auditoria
• Teste de Penetração
• Análise de Vulnerabilidade
Aplicação
Dado
• Controle de Acesso
• Backup
• Teste de Penetração
• Análise de Vulnerabilidade
b) Pote de Mel
Essa técnica leva o agressor ao alvo errado e possibilita que um alerta seja acio-
nado sem prejuízo ao ambiente.
c) Sandbox
32
Curso de Habilitação ao Quadro Auxiliar de Oficiais
5 Criptografia
Objetivos específicos
33
GESTÃO DA TECNOLOGIA DA INFORMAÇÃO - U2
Mensagem Criptografada
Mensagem Mensagem
Chave
Chave
Gerador Canal
de Chave Seguro Figura 18 – Sistema de criptografia
de chave-simétrica
34
Curso de Habilitação ao Quadro Auxiliar de Oficiais
Quando um hacker ou outro indivíduo deseja obter acesso às mensagens,
mas não consegue porque estão criptografadas, eles podem fazer uso da
análise criptográfica.
Paulo
Mensagem Criptografada
Mensagem Mensagem
José Codificador Internet Decodificador Marcos
decodificada decodificada
Chave
Chave
Gerador Canal
Figura 20 – Sistema de
de Chave Seguro
criptografia chave-simétrica
35
GESTÃO DA TECNOLOGIA DA INFORMAÇÃO - U2
Esse algoritmo se baseia em utilizar, primeiramente, uma
chave-pública, seguida de uma chave-secreta para fechar a co-
nexão segura. A chave-pública é aberta a todos e, obviamente,
a segunda chave deve ser secreta. Atualmente as conexões
criptografadas na internet utilizam chaves públicas e simétri-
cas, o que torna as conexões rápidas e seguras.
Mensagem Mensagem
Chave e
Mensagem Gerador
Gerador
Criptografada Chave Pr-Marcos de Chave
de Chave
Chave Pub-Marcos Chave Pub-Marcos
Internet
Chave Pub-Marcos Chave Pub-Marcos
Figura 21 – Sistema de
criptografia chave-assimétrica
36
Curso de Habilitação ao Quadro Auxiliar de Oficiais
No sistema de criptografia assimétrica, cada participante na comunicação tem
a sua ChavePub e ChavePr. Os participantes trocam as chaves-públicas, manten-
do em segredo suas chaves-privadas. A codificação é sempre realizada com a
chave-pública da pessoa que receberá a mensagem (ChavePub-Marcos). A decodifi-
cação é realizada com a ChavePub-Marcos e ChavePr-Marcos.
Mensagem
Chave e
Mensagem
Gerador Mensagem
de Chave Chave Simétrica Criptografada Chave simétrica
Chave Pub-Marcos Chave Pub-Marcos
Internet
Chave Pub-Marcos Chave Pub-Marcos
Figura 22 – Sistema de
criptografia chave-assimétrica
37
GESTÃO DA TECNOLOGIA DA INFORMAÇÃO - U2
O processo se estabelece da seguinte forma:
Para saber mais informações As mensagens que trafegam na internet, tais como acesso a bancos, por exem-
sobre criptografia, acesse o
plo, estão sujeitas a ataques de alto risco. Portanto, as chaves de criptografia
link: <http://www.infowes-
ter.com/criptografia.php> públicas hoje utilizadas são de 1.024 bits, pois quanto maior a chave de crip-
tografia, mais difícil é decifrar a mensagem por simples processos de tentativa
e erro. Se considerarmos que uma chave de 80 bits possui 280 = 1.208.925.81
9.614.629.174.706.176 possibilidades, fica claro que uma chave de 1.024 bits
(21.024) é muito mais difícil de ser decifrada por força bruta.
38
Curso de Habilitação ao Quadro Auxiliar de Oficiais
6 Secure Sockets Layer
Objetivos específicos
RFC (Request for O protocolo SSL (Secure Socket Layer) foi desenvolvido pela Netscape em
Comments): é uma publica-
1995. A [RFC] 601 define as características do SSL, versão 3.0. O sucessor do
ção do Internet Engineering
Task Force e da Internet SSL é o TSL (Transport Layer Security) e ambos são protocolos que propor-
Society, que definem padrões cionam segurança em comunicações na internet.
para a internet.
VoIP (Voice over Internet Os protocolos TSL e SSL permitem que aplicações cliente-servidor estabeleçam
Protocol): sistema de tele-
comunicação segura por meio de uma rede de computadores. A aplicação
fonia que usa a internet ou
outra rede de computadores cliente estabelece com o servidor uma conexão e nela são negociados vários
que se baseie no Protocolo parâmetros necessários ao protocolo. Uma vez determinados os parâmetros,
de internet (IP).
é estabelecida uma comunicação segura entre o cliente e o servidor. Os dados
podem, então, ser trocados, utilizando a internet como meio.
39
GESTÃO DA TECNOLOGIA DA INFORMAÇÃO - U2
7 Outsourcing em TI
41
GESTÃO DA TECNOLOGIA DA INFORMAÇÃO - U2
• Permite disputa com os competidores do negócio.
a) Nível tático
b) Nível estratégico
c) Nível de transformação
42
Curso de Habilitação ao Quadro Auxiliar de Oficiais
Contudo, uma abordagem sistemática deve ser utilizada para realizar um
outsourcing. Terceirizar sem uma avaliação cuidadosa pode levar a uma pres-
tação inadequada dos serviços de TI pelos fornecedores. A Figura 24 propõe
uma abordagem para a realização de outsourcing em uma organização.
43
GESTÃO DA TECNOLOGIA DA INFORMAÇÃO - U2
Uma vez decidido pelo outsourcing, passamos para as fases necessárias para a
sua realização. São elas:
44
Curso de Habilitação ao Quadro Auxiliar de Oficiais
8 Governança corporativa
Objetivos específicos
45
GESTÃO DA TECNOLOGIA DA INFORMAÇÃO - U2
• A integridade é um requerimento fundamental para escolha de executi-
vos e membros do Conselho de Diretoria.
ERP (Enterprise Os Sistemas de Informação do tipo [ERP] possibilitam atingir de forma sistemá-
Resource Planning): sistema
tica a governança corporativa. O ERP, como, por exemplo, o sistema SAP, possi-
de planejamento de recursos
organizacionais. É o siste- bilita, entre outras coisas, a inclusão de regras, procedimentos e níveis de alçada
ma gestão que integra uma de aprovação e estrutura organizacional nas atividades do dia a dia da empresa.
organização. Os sistemas ERP
automatizam os processos Isso facilita que a organização se estruture de forma adequada. Várias organiza-
organizacionais por meio de ções americanas usam o SAP, que é compatível com o Sarbanes-Oxley e oferece
um software integrado.
total segurança no processo de governança.
8.1 Governança em TI
46
Curso de Habilitação ao Quadro Auxiliar de Oficiais
A governança em TI tem seu foco em:
47
GESTÃO DA TECNOLOGIA DA INFORMAÇÃO - U2
9 Bibliografia
Referências bibliográficas
IEC 80000-13: Quantities and units – Part 13: Information Science and
Technology, 2008.
49
GESTÃO DA TECNOLOGIA DA INFORMAÇÃO - U2
SARBANES-OXLEY ACT. A Guide to the Sarbanes-Oxley Act, 2002. Disponível
em: <http://www.soxlaw.com>. Acesso em: 14 de junho de 2013.
Bibliografia complementar
MITNICK, Kevin D.; SIMON, William L. A Arte de Enganar. São Paulo: Pearson,
2003.
OPPLIGER, Rolf. SSL and Tls: Theory and Practice. Artech House, 2009.
THOMAS, Stephen A., SSL & TLS Essentials: Securing the Web, Wiley, 2000.
50
Curso de Habilitação ao Quadro Auxiliar de Oficiais
TURBAN, Efraim; McLEAN, Ephraim; WETHERBE, James. Tecnologia da Infor-
mação para Gestão. 3ª ed. Porto Alegre: Bookman, 2000.
51
GESTÃO DA TECNOLOGIA DA INFORMAÇÃO - U2
CCEAD – Coordenação Central de Educação a Distância
Coordenação Geral
Gilda Helena Bernardino de Campos
Gerente de Projetos
José Ricardo Basílio
Equipe CCEAD
Alessandra Muylaert Archer
Alexander Arturo Mera
Ana Luiza Portes
Angela de Araújo Souza
Camila Welikson
Ciléia Fiorotti
Clara Ishikawa
Eduardo Felipe dos Santos Pereira
Eduardo Quental
Frieda Marti
Gabriel Bezerra Neves
Gleilcelene Neri de Brito
Igor de Oliveira Martins
Joel dos Santos Furtado
Lucas Feliciano
Luiza Serpa
Luiz Claudio Galvão de Andrade
Luiz Guilherme Roland
Maria Letícia Correia Meliga
Neide Gutman
Romulo Freitas
Ronnald Machado
Simone Bernardo de Castro
Tito Ricardo de Almeida Tortori
Vivianne Elguezabal
EXÉRCITO BRASILEIRO