Embed Size (px)
Citation preview
CENTRO UNIVERSITÁRIO UNIVATES
CENTRO DE CIÊNCIAS EXATAS E TECNOLÓGICAS
CURSO DE SISTEMAS DE INFORMAÇÃO
ANÁLISE E AVALIAÇÃO DE RISCOS DA INFRAESTRUTURA DE
TECNOLOGIA DA INFORMAÇÃO NO ÂMBITO DE ENSINO E DE
APRENDIZAGEM DO CENTRO UNIVERSITÁRIO UNIVATES
Rodrigo Pedro Werle
Lajeado, novembro de 2014
BD
U –
Bib
liote
ca D
igita
l da
UN
IVAT
ES
(htt
p://w
ww
.uni
vate
s.br/
bdu)
Rodrigo Pedro Werle
ANÁLISE E AVALIAÇÃO DE RISCOS DA INFRAESTRUTURA DE
TECNOLOGIA DA INFORMAÇÃO NO ÂMBITO DE ENSINO E DE
APRENDIZAGEM DO CENTRO UNIVERSITÁRIO UNIVATES
Monografia apresentada ao Centro de Ciências
Exatas e Tecnológicas do Centro Universitário
UNIVATES, como parte da exigência para a
obtenção do título de bacharel em Sistemas de
Informação.
Área de concentração: Redes de Computadores
Orientador: Prof. Ms. Luis Antônio Schneiders
Lajeado, novembro de 2014
BD
U –
Bib
liote
ca D
igita
l da
UN
IVAT
ES
(htt
p://w
ww
.uni
vate
s.br/
bdu)
Rodrigo Pedro Werle
ANÁLISE E AVALIAÇÃO DE RISCOS DA INFRAESTRUTURA DE
TECNOLOGIA DA INFORMAÇÃO NO ÂMBITO DE ENSINO E DE
APRENDIZAGEM DO CENTRO UNIVERSITÁRIO UNIVATES
A Banca examinadora abaixo aprova a Monografia apresentada na disciplina Trabalho de
Conclusão de Curso II, do Centro Universitário UNIVATES, como parte da exigência para a
obtenção do grau de Bacharel em Sistemas de Informação:
Prof. Ms. Luis Antônio Schneiders – orientador
Centro Universitário UNIVATES
Prof. Ms. Alexandre Stürmer Wolf
Centro Universitário UNIVATES
Prof. Ms. Marcus Vinicius Lazzari
Centro Universitário UNIVATES
Lajeado, novembro de 2014
BD
U –
Bib
liote
ca D
igita
l da
UN
IVAT
ES
(htt
p://w
ww
.uni
vate
s.br/
bdu)
AGRADECIMENTOS
Agradeço a Deus, por ter me mostrado um caminho a seguir e por ter me concedido
força e entusiasmo durante esta fase da minha vida.
A minha querida namorada Cristiane pela compreensão, apoio e incentivo ao longo
desta caminhada.
Aos meus pais Pedro e Glades, fontes eternas de amor, carinho e inspiração.
Ao meu irmão Edison e a minha irmã Liana que se mostraram sempre presentes e
prestativos.
A todos os colegas do Núcleo de Tecnologia da Informação do Centro Universitário
UNIVATES, pela contribuição para realização deste estudo e pelo crescimento pessoal e
profissional.
A todos os professores, em especial ao meu orientador, Prof. Luis pela amizade,
parceria e apoio.
A todos os colegas, amigos e familiares, pela coragem e incentivos dados durante a
realização deste trabalho.
BD
U –
Bib
liote
ca D
igita
l da
UN
IVAT
ES
(htt
p://w
ww
.uni
vate
s.br/
bdu)
RESUMO
Juntamente com a informatização da sociedade, várias mudanças com base na crescente
evolução da TI estão ocorrendo. Novas tecnologias aliadas a novas mediações pedagógicas
garantem um processo de transmissão de conhecimento totalmente novo, requerendo que
exista uma infraestrutura de tecnologia da informação confiável que permita a efetiva
utilização das tecnologias disponibilizadas. Seguindo este contexto, este trabalho visa
apresentar os resultados obtidos da análise de risco da infraestrutura de TI existente no Centro
Universitário UNIVATES, analisando de forma qualitativa os possíveis problemas existentes
e suas resoluções, bem como os impactos que a indisponibilidade desta estrutura pode
ocasionar ao corpo docente e discente da instituição.
Palavras-chave: Infraestrutura, Análise de Riscos, Educação, Tecnologia da Informação,
IES.
BD
U –
Bib
liote
ca D
igita
l da
UN
IVAT
ES
(htt
p://w
ww
.uni
vate
s.br/
bdu)
ABSTRACT
Along with the society informatization, several changes based on increasing IT evolution is
occurring. New technologies allied with new pedagogical mediations ensure a transfer of
knowledge entirely new, requiring the existence of an reliable infrastructure of information
technology which allows the effective use of available technologies. Following this context,
this paper presents the results of the risk analysis of the existing IT infrastructure in
UNIVATES University Center, analyzing qualitatively the potential existing problems and
their resolutions and the impact that the absence of this structure can lead to the teachers and
the students of the institution.
Keywords: Infrastructure, Risk Analysis, Education, Information Technology.
BD
U –
Bib
liote
ca D
igita
l da
UN
IVAT
ES
(htt
p://w
ww
.uni
vate
s.br/
bdu)
LISTA DE FIGURAS
Figura 1 – Componentes da infraestrutura de TI ...................................................................... 21 Figura 2 – Componentes de uma rede de computadores .......................................................... 24
Figura 3 - Vulnerabilidades em sistemas de informação .......................................................... 29 Figura 6 – Diagrama da infraestrutura de rede primária .......................................................... 55
Figura 7 - Diagrama da infraestrutura de rede acadêmica ........................................................ 56 Figura 8 - Diagrama do projeto elétrico ................................................................................... 59
Figura 9 - Ativos de rede do Centro Universitário UNIVATES ............................................. 64 Figura 10 - Monitoramento da rede WI-FI ............................................................................... 66 Figura 11 - Tráfego WAN ........................................................................................................ 67
Figura 12 - Monitoramento dos servidores e de dispositivos de armazenamento .................... 68 Figura 13 – Processo de gestão de riscos segundo a norma ABNT NBR ISO/IEC 31000 ...... 69
Figura 14 - Contexto interno da UNIVATES ........................................................................... 71
BD
U –
Bib
liote
ca D
igita
l da
UN
IVAT
ES
(htt
p://w
ww
.uni
vate
s.br/
bdu)
LISTA DE QUADROS
Quadro 1 - Matriz de riscos ...................................................................................................... 41
Quadro 2 - Quadro de aceitabilidade de riscos ......................................................................... 41 Quadro 3- Relevância da TI no processo de ensino e de aprendizagem .................................. 72 Quadro 4 - Teste de conformidade - Tabela de Pontuação....................................................... 73
Quadro 5 - Grau de aderência à política de segurança da informação ..................................... 74 Quadro 6 – Grau de aderência à segurança organizacional ...................................................... 75
Quadro 7 - Grau de aderência à classificação e controle dos ativos......................................... 76 Quadro 8 - Grau de aderência à segurança em pessoas ............................................................ 77 Quadro 9 - Grau de aderência à segurança física e de ambiente .............................................. 77
Quadro 10 - Grau de aderência ao gerenciamento das operações e comunicações .................. 78
Quadro 11 - Grau de aderência ao controle de acesso .............................................................. 79 Quadro 12 - Grau de aderência ao desenvolvimento e manutenção de sistemas ..................... 80 Quadro 13 - Grau de aderência à gestão da continuidade do negócio ...................................... 80
Quadro 14 - Grau de aderência à conformidade ....................................................................... 81 Quadro 15 - Resultados obtidos e respostas consideradas ....................................................... 82 Quadro 16 - Pontuação obtida no questionário de maturidade da gestão de riscos.................. 87
Quadro 17 - Resultados da avaliação dos riscos....................................................................... 93 Quadro 18 - Cadastro de ameaças ............................................................................................ 97
BD
U –
Bib
liote
ca D
igita
l da
UN
IVAT
ES
(htt
p://w
ww
.uni
vate
s.br/
bdu)
LISTA DE TABELAS
Tabela 1 - Modelos para contextualização de risco .................................................................. 36 Tabela 2 - Escala simples de consequências ............................................................................ 38
Tabela 3 - Escala simples de probabilidades ............................................................................ 38 Tabela 4 – Pontuação obtida no teste de conformidade ........................................................... 83
Tabela 5 - Resultados do teste de conformidade por domínio ................................................. 84 Tabela 6 - Pontuação dos processos quanto a maturidade........................................................ 86 Tabela 7 - Estágio da maturidade de gestão de riscos .............................................................. 88
Tabela 8 - Percentual de respostas por grau de maturidade ..................................................... 88 Tabela 9 - Níveis de risco ......................................................................................................... 90
Tabela 10 - Mapa de apetite de riscos ...................................................................................... 90 Tabela 11 - Relação do grau de aderência e as ameaças por domínio ...................................... 95
BD
U –
Bib
liote
ca D
igita
l da
UN
IVAT
ES
(htt
p://w
ww
.uni
vate
s.br/
bdu)
LISTA DE ABREVIATURAS
ABNT – Associação Brasileira de Normas Técnicas
ACL – Access Control List
ALE – Anual Loss Exposure
BYOD – Bring your own device
CAN – Campus-area Network
CFTV – Circuito Fechado de TV
COBIT – Control Objectives for Information and related Technology
DIO – Distribuidor Interno Óptico
DoS – Denial of Service
DSL – Digital Subscriber Line
IES – Instituição de Ensino Superior
ISMS – Information Security Management System
ISO – International Standards Organization
ISP – Internet Service Provider
ITIL – Information Technology Infrastructure Library
LAN – Local Area Network
MAN – Metropolitan Area Network
NIC – Network Interface Card
NOS – Networking Operation System
NTI – Núcleo de Tecnologia da Informação
PBL – Problem-Based Learning
PoE – Power Over Ethernet
PTT – Ponto de Troca de Tráfego
QGBT – Quadro Geral de Baixa Tensão
BD
U –
Bib
liote
ca D
igita
l da
UN
IVAT
ES
(htt
p://w
ww
.uni
vate
s.br/
bdu)
QSP – Centro de Qualidade, Segurança e Produtividade
RNP – Rede Nacional de Pesquisa
ROI – Return Over Investment
SAN – Storage Area Networks
SGDB – Software Gerenciador de Banco de Dados
TBL – Team-Based Learning
TI – Tecnologia da Informação
TIC – Tecnologia da Informação e Comunicação
UTP – Unshielded Twisted Pair
VLAN – Virtual Local Area Network
VoIP – Voice Over IP
WAN – Wide Area Network
WEP – Wired Equivalent Privacy
WLAN – Wireless Local Area Network
WPA2 – Wireless Fidelity Protected Access 2
BD
U –
Bib
liote
ca D
igita
l da
UN
IVAT
ES
(htt
p://w
ww
.uni
vate
s.br/
bdu)
SUMÁRIO
1 INTRODUÇÃO .............................................................................................................. 14 1.1 Objetivos ...................................................................................................................... 16 1.2 Organização do Trabalho .......................................................................................... 17
2 REFERENCIAL TEÓRICO ......................................................................................... 18
2.1 O ensino tradicional ................................................................................................... 18 2.1.1 Características do ensino tradicional ........................................................................ 19
2.2 A utilização da informática no processo de ensino e de aprendizagem ................. 19
2.2.1 Tecnologias utilizadas na educação........................................................................... 20
2.3 Infraestrutura de TI ................................................................................................... 21 2.3.1 Hardware ..................................................................................................................... 21
2.3.2 Software ....................................................................................................................... 22
2.3.3 Tecnologia de gestão de dados ................................................................................... 23
2.3.4 Tecnologia de rede e telecomunicações ..................................................................... 24
2.3.5 Serviços de tecnologia ................................................................................................. 28
2.4 Segurança em TI ......................................................................................................... 28
2.4.1 Gestão dos ativos dos sistemas de informação ......................................................... 30
2.4.2 Segurança física .......................................................................................................... 31
2.4.3 Segurança lógica ......................................................................................................... 31
2.4.4 Segurança em recursos humanos .............................................................................. 32
2.4.5 Segurança em redes sem fio ....................................................................................... 32
2.4.6 Softwares mal-intencionados ..................................................................................... 33
2.4.7 Cibervandalismo ......................................................................................................... 33
2.4.8 Ataque DoS .................................................................................................................. 34
2.4.9 Vulnerabilidades de softwares ................................................................................... 34
2.5 Mobilidade e Ubiquidade ........................................................................................... 34
2.6 Gestão de Riscos ......................................................................................................... 35 2.6.1 Identificação dos riscos .............................................................................................. 36
2.6.2 Análise do risco ........................................................................................................... 37
2.6.3 Avaliação dos riscos .................................................................................................... 40
2.6.4 Tratamento dos riscos ................................................................................................ 42
2.6.5 Monitoramento dos riscos .......................................................................................... 43
2.7 Boas práticas ............................................................................................................... 43
BD
U –
Bib
liote
ca D
igita
l da
UN
IVAT
ES
(htt
p://w
ww
.uni
vate
s.br/
bdu)
2.7.1 ITIL .............................................................................................................................. 44
2.7.2 COBIT ......................................................................................................................... 45
2.7.3 ISO/IEC 27002 ............................................................................................................ 46
2.7.4 BS 7799 ........................................................................................................................ 47
3 METODOLOGIA ........................................................................................................... 48 3.1 Metodologia de pesquisa ............................................................................................ 48
3.1.1 Tipo de metodologia a ser utilizada .......................................................................... 48
3.1.2 Natureza da pesquisa ................................................................................................. 49
3.2 Procedimentos para realização da pesquisa ............................................................. 49 3.2.1 Pesquisa bibliográfica ................................................................................................ 49
3.2.2 Pesquisa documental .................................................................................................. 49
3.2.3 Levantamento dos dados ............................................................................................ 50
3.2.4 Estudo de caso ............................................................................................................. 50
3.3 Fases e etapas da pesquisa ......................................................................................... 51 3.3.1 Coleta de materiais e informações ............................................................................ 51
3.3.2 Análise dos dados ........................................................................................................ 52
4 CENÁRIO ATUAL ........................................................................................................ 54 4.1 Infraestrutura de entrada .......................................................................................... 56 4.2 Backbone ...................................................................................................................... 57 4.3 Data center .................................................................................................................. 57
4.3.1 Projeto Arquitetônico ................................................................................................. 58
4.3.2 Projeto elétrico ............................................................................................................ 58
4.3.3 Projeto mecânico......................................................................................................... 60
4.3.4 Projeto de segurança .................................................................................................. 60
4.3.5 Projeto lógico............................................................................................................... 61
4.4 Sala de telecomunicações ........................................................................................... 62
4.4.1 Fornecimento de energia elétrica .............................................................................. 62
4.4.2 Climatização ................................................................................................................ 63
4.4.3 Ativos de rede .............................................................................................................. 63
4.5 Meios de transmissão e cabeamento estruturado .................................................... 65
4.6 Rede sem fio ................................................................................................................ 65 4.7 Estações de trabalho ................................................................................................... 66
4.8 Aterramento ................................................................................................................ 66 4.9 ISPs .............................................................................................................................. 67 4.10 Serviços ........................................................................................................................ 67
5 APRESENTAÇÃO DO MODELO DE GESTÃO DE RISCO E ANÁLISE DOS
RESULTADOS ....................................................................................................................... 69 5.1 Estabelecimento do contexto ..................................................................................... 70
5.1.1 Avaliação da relevância da TIC no processo de ensino e de aprendizagem ......... 72
5.1.2 Avaliação do grau de conformidade da gestão de segurança da informação ....... 73
5.1.3 Avaliação do grau de maturidade à gestão de riscos ............................................... 85
5.2 Análise e avaliação dos riscos .................................................................................... 89 5.2.1 Definição do mapa de apetite de riscos ..................................................................... 89
5.2.2 Avaliação dos riscos do processo de ensino e de aprendizagem ............................. 91
5.3 Proposta de Soluções .................................................................................................. 96
6 CONSIDERAÇÕES FINAIS ...................................................................................... 101
BD
U –
Bib
liote
ca D
igita
l da
UN
IVAT
ES
(htt
p://w
ww
.uni
vate
s.br/
bdu)
REFERÊNCIAS ................................................................................................................... 103
APÊNDICES ......................................................................................................................... 106
ANEXOS ............................................................................................................................... 112
BD
U –
Bib
liote
ca D
igita
l da
UN
IVAT
ES
(htt
p://w
ww
.uni
vate
s.br/
bdu)
14
1 INTRODUÇÃO
Inicialmente a utilização de computadores era restrita apenas para uso militar, com o
intuito de interconectar vários centros de comando. Após o final da guerra fria sua utilização
foi fortemente expandida também para uso científico e educacional e posteriormente para
empresas privadas e setores públicos, que os utilizavam visando um aumento da eficiência no
gerenciamento e administração das empresas (FERNANDEZ; YOUSSEF, 2003).
Com o advento da criação dos circuitos integrados e dos microprocessadores houve
uma diminuição tanto no custo quanto no porte dos computadores, possibilitando a criação
dos microcomputadores e popularizando sua utilização. A Tecnologia da Informação (TI), a
partir deste ponto, deixou de ser privilégio de quadros altamente técnicos e com objetivos
definidos, passando a estar ao alcance de todos e com finalidades diversas, sendo aplicada
cada vez mais na resolução de problemas sociais complexos, como assistência médica,
controle de poluição, educação e outros (FERNANDEZ; YOUSSEF, 2003). A forma como os
sistemas computacionais eram organizados mudou drasticamente, onde não apenas um
computador atende a todas as necessidades computacionais da organização, mas sim vários,
interconectados por uma rede de computadores (TANEMBAUM; WETHERALL, 2011).
A informatização das Instituições de Ensino Superior (IES), tanto na área acadêmica
quanto na área administrativa, gerou um aumento considerável da demanda de investimento
em TI a fim de atender a demanda (MAC-ALLISTER; MAGALHÃES, 2006).
Segundo Katz (2001), as IES utilizaram, inicialmente, os computadores apenas para
pesquisas científicas. Na década de 60 sua utilização foi ampliada para propósitos
administrativos, mas, somente em meados da década de 80, juntamente com a revolução dos
BD
U –
Bib
liote
ca D
igita
l da
UN
IVAT
ES
(htt
p://w
ww
.uni
vate
s.br/
bdu)
15
computadores pessoais, foi que sua utilização tornou-se realmente expressiva. A combinação
da Internet com o avanço das telecomunicações incrementaram novas possibilidades,
beneficiando também o processo ensino-aprendizagem no corpo universitário, abrindo novas
possibilidades e proporcionando melhoria na realização das tarefas docentes e discentes.
Segundo Moran, Masetto e Behrens (2013), as tecnologias estão em crescente
ascensão nas salas de aula, onde, a transmissão dos conteúdos dependerá menos dos
professores, que agirão principalmente como mediadores das informações, cabendo a eles a
definição de quando e onde os conteúdos serão disponibilizados, tendo em vista que
atualmente existem materiais digitais sobre qualquer assunto. A tecnologia na sala de aula
desafia as instituições a saírem do ensino tradicional em que o professor é o centro para uma
aprendizagem mais participativa e integrada. A utilização das Tecnologias de Informação e
Comunicação (TIC) em sala de aula será tão importante quanto o ensino convencional, pois
diminui-se o tempo de transmissão de informações e das aulas expositivas, concentrando-se
em atividades como discussão, interpretação e criação de conceitos.
Segundo Mazur (2014), a transmissão do conhecimento não será mais realizada em
sala de aula e a consolidação dos conhecimentos fora dela como ocorre no processo de ensino
e de aprendizagem convencional. A transmissão do conhecimento, por estar disponível na
Internet, televisão, livros, revistas, etc., irá ocorrer fora da sala de aula com o aluno como ator
principal. Para a sala de aula, ficará o debate, os esclarecimentos e a consolidação do
conhecimento, com o professor atuando como mediador do processo.
Tanto o processo de transmissão de conhecimento quanto o processo de consolidação
deste podem ser realizados por meio de ferramentas e novas metodologias de ensino como
atividades e avaliações online, Problem-Based Learning (PBL), Team-Based Learning (TBL),
Peer-Based Learning, Mapas Conceituais, Objetos de Aprendizagem e Ambientes Virtuais
que muitas vezes estão fortemente apoiadas com as tecnologias da informação e cada vez
mais passam a fazer parte do processo de ensino e de aprendizagem.
Para Mac-Allister e Magalhães (2006, apud FLORES, 1999), a cada ano a relação
entre aluno e computador no ambiente acadêmico vem se tornando mais importante, pois as
IES vêm utilizando a tecnologia não somente para fins educativos, mas também como uma
ferramenta decisiva para o alcance de suas metas e objetivos.
BD
U –
Bib
liote
ca D
igita
l da
UN
IVAT
ES
(htt
p://w
ww
.uni
vate
s.br/
bdu)
16
Além desta necessidade de utilização da tecnologia em sala de aula, observa-se
também uma crescente utilização de dispositivos móveis pelos alunos. O conceito do Bring
Your Own Device (BYOD) que consiste em trazer dispositivos pessoais de casa para o
trabalho, locais públicos, faculdades e outros, está em constante crescimento, sendo que
administradores de TI de universidades apontam que nos últimos anos houve um crescimento
de 200% nas redes e 300% nos endpoints (SONG, 2013).
Para suportar todas estas demandas citadas se faz necessário o provimento de uma
infraestrutura de TI (serviços de telecomunicações, rede lógica, hardware, software, etc)
sólida, confiável e a prova de falhas.
Neste sentido, cientes da importância que a infraestrutura de TI representa às IES e,
consequentemente ao processo de ensino e de aprendizagem, percebe-se que existe a
necessidade de avaliar quais os riscos decorrentes destes nas instituições de ensino, bem como
avaliar o impacto, a relevância e as consequências que a não conformidade da infraestrutura
de TI pode ocasionar à instituição. Por outro lado, também é de grande importância que seja
considerado quais medidas devem ser tomadas ou sugeridas como precaução e remediação em
caso de falha ou indisponibilidade.
1.1 Objetivos
Primário:
O presente trabalho visa avaliar os riscos do processo de ensino e de aprendizagem no
que diz respeito a infraestrutura de tecnologia da informação da UNIVATES, considerando de
forma qualitativa as ameaças e vulnerabilidades relacionadas, assim como as consequências
decorrentes destas para os professores e alunos em suas atividades acadêmicas.
Secundários:
a) Uma análise do impacto da indisponibilidade de TI será realizada avaliando-se os
processos e ferramentas dos componentes de serviços críticos;
b) Análise dos pontos falhos quanto a infraestrutura existente;
c) Avaliação da crescente demanda na utilização de TI no âmbito acadêmico e qual o
grau de dependência existente entre os mesmos;
d) Levantamento de medidas preventivas e recomendações para evitar a
indisponibilidade de TI.
BD
U –
Bib
liote
ca D
igita
l da
UN
IVAT
ES
(htt
p://w
ww
.uni
vate
s.br/
bdu)
17
1.2 Organização do Trabalho
O presente trabalho é dividido por capítulos, onde, após esta introdução, é apresentado
o Capítulo 2 com a revisão da bibliografia abordando os conceitos inerentes a este estudo de
forma teórica. No Capítulo 3 é apresentada a metodologia utilizada para realização do
trabalho. O Capítulo 4 apresenta o cenário atual da TI da UNIVATES. No Capítulo 5 é
apresentada a proposta de análise dos riscos e os resultados obtidos. Por fim, no Capítulo 6
são apresentadas as considerações finais.
BD
U –
Bib
liote
ca D
igita
l da
UN
IVAT
ES
(htt
p://w
ww
.uni
vate
s.br/
bdu)
18
2 REFERENCIAL TEÓRICO
Este capítulo apresenta as referências literárias que foram utilizadas como
embasamento para a confecção deste trabalho. São abordados conceitos do ensino tradicional,
a utilização da informática no processo de ensino e de aprendizado, os componentes da
infraestrutura de TI, a segurança em TI e a gestão de riscos e suas boas práticas recomendadas
pelas normas vigentes.
2.1 O ensino tradicional
Segundo Grzesiuk (2008, apud Zacharias, 2008), o ensino tradicional consiste
basicamente em aulas expositivas, onde o professor transmite informações pertinentes ao
conteúdo aos alunos, enfatizando a repetição e visando a memorização. O papel do aluno
neste contexto não é ativo, resumindo-se a escutar e aprender, onde comumente suas
experiências prévias não são devidamente consideradas.
Esta prática quase não sofreu modificações significativas apesar de todos os avanços
na tecnologia e nos recursos disponibilizados para auxiliar o professor no processo de ensino
e de aprendizagem (GUERRA, 2000).
Para PALADINI (1996), o modelo de ensino tradicional exige pouco do professor, não
requer frequente atualização do conteúdo exposto em aula e não é adequado ao aluno, mas
sim ao professor, tendo em vista que a transmissão de conhecimento parte de quem o detém e
não de pesquisas e análises realizadas pelos alunos.
BD
U –
Bib
liote
ca D
igita
l da
UN
IVAT
ES
(htt
p://w
ww
.uni
vate
s.br/
bdu)
19
2.1.1 Características do ensino tradicional
Dentre as características do ensino tradicional podemos citar os modelos tradicionais
de ensino e de aprendizado (aulas expositivas), número alto de alunos em cada sala de aula,
professores mal preparados, infraestrutura de má qualidade, falta de materiais didáticos e
pouca integração da teoria com a prática (MORAN, MASETTO e BEHRENS, 2013).
Segundo Vidal (2002), o ensino tradicional caracteriza-se pela necessidade de
estudantes e professores estarem fisicamente presentes em uma sala onde os estudantes estão
habituados a serem indivíduos passivos com bibliotecas que possuem recursos escassos em
relação a quantidade de alunos ou ainda com material defasado.
2.2 A utilização da informática no processo de ensino e de aprendizagem
Segundo Vieira (2006), a informática está tornando-se cada vez mais importante em
sala de aula, levando à mudanças estruturais e funcionais no processo de ensino e de
aprendizagem.
A partir da década de 50 o computador passou a ser utilizado no meio empresarial,
afetando todos os âmbitos profissionais. Inicialmente foi utilizado para a realização de
cálculos complexos por engenheiros e cientistas, em grandes empresas e órgãos
governamentais. Sua utilização para a educação era visto como supérfluo, sendo que nas
universidades era incentivado apenas para pesquisas científicas. Aos poucos foram
introduzidas disciplinas aos cursos de graduação a fim de ensinar os alunos a utilizarem o
computador, por meio de linguagens de programação, sendo que posteriormente, seu uso fora
estendido para outras tarefas (GUERRA, 2008 apud Cazarini, 1992).
Segundo Guerra (2008), na área da educação, o computador tornou-se uma nova fonte
de conhecimento e pesquisa, proporcionando uma melhora no processo de ensino e de
aprendizagem, complementando os conteúdos curriculares.
A informática utilizada em sala de aula propicia um ambiente multidisciplinar e
interdisciplinar onde os alunos, ao invés de apenas receberem informações, também
constroem conhecimentos, tornando o processo mais dinâmico e participativo (VIEIRA,
2006).
BD
U –
Bib
liote
ca D
igita
l da
UN
IVAT
ES
(htt
p://w
ww
.uni
vate
s.br/
bdu)
20
2.2.1 Tecnologias utilizadas na educação
Dentre as tecnologias incorporadas à área da educação podemos citar o ensino à
distância, bibliotecas digitais, videoconferências, grupos de bate papo, entre outros, o que
facilita o processo de aprendizagem (WERTHEIN, 2000). Segundo Moran, Masetto e
Behrens (2013) dentre as metodologias utilizadas no ensino pode-se citar:
a) Apoio à pesquisa: onde encontramos a web como o maior avanço na área, oferecendo
uma vasta gama de informações como multiplicidade de fontes diferentes, diversos
graus de confiabilidade e visões de mundo contraditórias;
b) Desenvolvimento de projetos: possibilita a utilização de uma forma interessante de
desenvolver projetos de pesquisa pela internet por meio da metodologia de webquest,
que consiste em consultar diversas fontes de informação na web, pré-determinadas
pelo professor. Dentre as ferramentas utilizadas para o cumprimento dos objetivos
podemos citar a escrita colaborativa, a criação de portfólio do grupo, criação de blogs
e sites, publicação de vídeos, entre outros;
c) Produção compartilhada: com a utilização de ferramentas como o Google Docs e
Wiki, podemos realizar a produção coletiva de documentos, utilizando uma interface
simples onde qualquer pessoa com acesso ao documento pode ajudar a implementá-lo.
Outra grande vantagem a ser citada é a disponibilidade do documento, que encontra-se
na web, não havendo necessidade de baixar o arquivo para editá-lo, já que todas as
alterações são feitas online;
d) Podcasts: arquivos de áudio, programas de rádio na internet ou podcasts são arquivos
digitais que podem ser baixados e visualizados em dispositivos móveis e
computadores, podendo ser de autoria dos próprios alunos ou dos professores, que os
disponibilizam na internet para download;
e) PBL: é uma estratégia em que o objetivo principal é solucionar um determinado
problema, onde o ator principal é o estudante, deixando de ser o receptor da
informação e passando a ser o responsável pelo seu aprendizado (GIL, 2006);
f) TBL: a aprendizagem baseada em equipe refere-se ao desenvolvimento da capacidade
individual por meio de análises críticas, de responsabilidade, de tomada de decisões,
de trabalho em equipe e resolução de problemas (INSTITUTO SÍRIO-LIBANÊS DE
ENSINO E PESQUISA, 2012);
g) Objetos de aprendizagem: referem-se a recursos tecnológicos utilizados para dar
suporte a aprendizagem, podendo ser imagens, vídeos, etc., com propósitos
BD
U –
Bib
liote
ca D
igita
l da
UN
IVAT
ES
(htt
p://w
ww
.uni
vate
s.br/
bdu)
21
educacionais e que possam ser reutilizados diversas vezes (SOSTERIC e
HESEMEIER, 2002).
2.3 Infraestrutura de TI
Segundo João (2012), a infraestrutura de TI é composta por cinco elementos
principais: hardware, software, tecnologias de gestão de dados, tecnologias de redes e
telecomunicações e serviços de tecnologias, conforme demonstrado na Figura 1.
Figura 1 – Componentes da infraestrutura de TI
Fonte: Laudon e Laudon (2011).
Todos estes componentes devem ser coordenados para que funcionem em conjunto,
visando proporcionar a base, ou a plataforma para todo o sistema de informação de uma
organização.
2.3.1 Hardware
Segundo Laudon e Laudon (2011), o hardware é composto por todos os periféricos
que são utilizados para o processamento computacional como armazenamento, entrada e saída
de dados, incluindo servidores, computadores pessoais, dispositivos móveis e meios físicos
para armazenar os dados.
O hardware, seus dispositivos e periféricos são compostos por conjuntos de
componentes físicos integrados que utilizam eletrônica digital a fim de receber, processar,
armazenar e retornar dados e informação (REZENDE e ABREU, 2013).
BD
U –
Bib
liote
ca D
igita
l da
UN
IVAT
ES
(htt
p://w
ww
.uni
vate
s.br/
bdu)
22
Dentre os tipos de hardware existem diversos dispositivos que atuam como
processadores de entrada e saída de dados, como computadores pessoais, dispositivos móveis,
servidores, mainframes, supercomputadores, computação em grade, entre outros. Cada um é
utilizado conforme a demanda do usuário e o poder de processamento requerido para
execução de uma determinada tarefa (LAUDON e LAUDON, 2011).
Além dos dispositivos de processamento de dados é necessária a utilização de
dispositivos de armazenamento como discos magnéticos, discos ópticos, fita magnética e
redes de armazenamento ou Storage Area Networks (SAN) (LAUDON e LAUDON, 2011).
Segundo Rezende e Abreu (2013), os periféricos trabalham em conjunto com os
computadores e podem ser de entrada (teclado, mouse, microfones, câmeras), de saída
(monitores, impressoras, etc.), ou ainda ambos, como placas de rede e telefones. Juntamente
com o hardware deve-se observar também os dispositivos de infraestrutura como a rede
elétrica, nobreaks e geradores.
2.3.2 Software
Segundo João (2012), o software é dividido em dois tipos: os softwares de sistema,
que administram os recursos e as atividades dos computadores e os softwares aplicativos, que
são desenvolvidos com um objetivo específico solicitado pelo usuário final.
Dentre os softwares de sistema temos o sistema operacional, que gerencia e controla as
atividades do computador. Ele é responsável por prover recursos do hardware para as
aplicações, alocar memória, controlar os dispositivos de entrada e saída e a execução de
diversas tarefas realizadas pelo computador. Outro software de sistema é caracterizado por
converter a linguagem de programação para linguagem de máquina, bem como programas
utilitários que executam tarefas comuns, como cálculos e classificações (JOÃO, 2012).
De acordo com Rezende e Abreu (2013), o sistema operacional administra o hardware,
o software e seus periféricos, determinando os recursos computacionais necessários para a
realização de determinada tarefa. Os sistemas operacionais podem ser divididos em
proprietários ou livres.
Segundo João (2012), o software aplicativo, que pode ser desenvolvido pela empresa
que o utilizará ou adquirido de terceiros, caracteriza-se por uma aplicação utilizada pelos
usuários finais, desenvolvida com o objetivo de resolução de um problema específico,
BD
U –
Bib
liote
ca D
igita
l da
UN
IVAT
ES
(htt
p://w
ww
.uni
vate
s.br/
bdu)
23
utilizando os recursos de hardware por meio do sistema operacional. Dentre os softwares
aplicativos mais utilizados pode-se citar os editores de texto, planilhas eletrônicas, gestão de
dados, recursos gráficos de apresentação e navegadores Web.
Os softwares aplicativos ou de escritório, compreendem em editores de texto,
planilhas eletrônicas, softwares de apresentação e navegadores, sendo utilizados pelos
usuários finais para resolução de problemas corriqueiros. Os softwares utilitários têm com
função complementar os de escritório e são compostos por softwares como antivírus,
compactadores, desfragmentadores e softwares de cópia (REZENDE e ABREU, 2013).
Os navegadores, que são ferramentas que permitem o acesso à Internet, por exemplo,
possibilitam atualmente que muitos aplicativos sejam executados diretamente no navegador, o
que favorece a intensificação do uso da TI em sala de aula, pois libera o aluno e a instituição
de ensino da necessidade de grandes investimentos em licenciamento, bem como possibilita
uma interoperabilidade entre diversos dispositivos utilizados pelos usuários.
2.3.3 Tecnologia de gestão de dados
Para que seja possível a realização do armazenamento de dados, são necessárias as
mídias físicas, um software especializado para organização e disponibilização dos mesmos ao
usuário final, além de um banco de dados (JOÃO, 2012).
Segundo Laudon e Laudon (2011), um banco de dados é um conjunto de dados
relacionados entre si com informações de alguma entidade, podendo ser pessoas, lugares ou
coisas. Um exemplo de banco de dados é a lista telefônica, que pode armazenar o nome,
telefone e endereço de uma determinada pessoa.
O banco de dados relacional, que é mais comumente utilizado, organiza os dados em
tabelas bidimensionais, com linhas e colunas chamadas relações, onde cada uma das tabelas
contém informações de uma entidade (JOÃO, 2012).
O software que organiza e disponibiliza as informações contidas no banco de dados é
chamado de Software Gerenciador de Banco de Dados (SGBD), sendo utilizado para criar,
armazenar, organizar e acessar as informações, apresentando ao usuário os dados conforme
sua necessidade (JOÃO, 2012).
BD
U –
Bib
liote
ca D
igita
l da
UN
IVAT
ES
(htt
p://w
ww
.uni
vate
s.br/
bdu)
24
A gestão de dados prevê também a necessidade de cópias periódicas dos bancos de
dados, armazenadas fora do ambiente físico principal, de modo que permita uma fácil e
efetiva recuperação das informações caso seja necessário (REZENDE e ABREU, 2013).
2.3.4 Tecnologia de rede e telecomunicações
Segundo Laudon e Laudon (2011), a tecnologia de rede e telecomunicações é
responsável por prover conectividade de dados, voz e vídeo à organização tanto na rede local,
quanto ao acesso externo por meio da Internet. Uma rede de computadores caracteriza-se por
dois ou mais dispositivos conectados por meio de componentes como Network Interface Card
(NIC), Networking Operation System (NOS), meio físico de conexão, software de sistema
operacional e ativos de rede (switch, hubs, roteadores), conforme apresentado na Figura 2.
Figura 2 – Componentes de uma rede de computadores
Fonte: Laudon e Laudon (2011).
Segundo Rezende e Abreu (2013), os sistemas de telecomunicações se caracterizam
pela transmissão de sinais por um meio qualquer entre um emissor e um receptor, sendo
necessário componentes de hardware e software como computadores ou dispositivos para
envio e recepção dos dados, canais de comunicação e seus meios físicos e lógicos,
processadores de comunicação e software de telecomunicação.
Uma infraestrutura de rede coorporativa consiste na aglutinação de várias redes locais,
onde podem haver servidores que comportem os sistemas da empresa como um website,
BD
U –
Bib
liote
ca D
igita
l da
UN
IVAT
ES
(htt
p://w
ww
.uni
vate
s.br/
bdu)
25
intranet, sistemas administrativos, etc. Esta rede poderá contemplar também serviços de rede
sem fio, bem como toda a rede cabeada aos ativos da empresa (LAUDON e LAUDON,
2011).
Segundo Rezende e Abreu (2013), são diversos os serviços e aplicações que a
tecnologia de rede e telecomunicações provê à empresa, tais como:
a) Transferência de arquivos e dados entre computadores;
b) Conexão remota a um outro computador possibilitando acesso a programas aplicações;
c) Correio eletrônico, mensageiros instantâneos, serviços de voz;
d) Teleconferência e videoconferência;
e) Acesso à Internet.
2.3.4.1 Tipos de rede locais
Dentre as redes existentes a rede local ou Local Area Network (LAN) caracteriza-se
por conectar dispositivos em um raio de até quinhentos metros, podendo compreender a rede
de um escritório ou edifício. A existência de várias LANs em uma determinada área
geográfica, ou interligando vários edifícios é considerada uma Campus-area Network (CAN).
Caso a rede abranja uma área metropolitana ou uma cidade é considerada uma Metropolitan
Area Network (MAN) (LAUDON e LAUDON, 2011).
Uma Wide Area Network (WAN) consiste em uma rede que interliga regiões, estados,
continentes ou até o planeta. A Internet também é considerada uma WAN, conectando
diversas redes LAN (LAUDON e LAUDON, 2011).
2.3.4.2 Meios de transmissão
Segundo Laudon e Laudon (2011), para a transmissão dos dados em uma rede faz-se
necessária a utilização de meios de transmissão físicos, que inclui cabo de par trançado, cabo
coaxial, cabos de fibra óptica e meios de transmissão sem fio.
O par trançado é o meio de transmissão mais antigo e consiste em pares de fios de
cobre trançados aos pares. É utilizado em larga escala, sendo que pode atingir 10 Gigabits por
segundo em cabos Categoria 6, estando limitado a uma extensão de cem metros por enlace.
BD
U –
Bib
liote
ca D
igita
l da
UN
IVAT
ES
(htt
p://w
ww
.uni
vate
s.br/
bdu)
26
Existem diversos tipos de cabos, com blindagem, proteção anti-roedor, entre outros
(LAUDON e LAUDON, 2011).
O cabo coaxial possui um fio de cobre isolado de maior espessura, com taxas de
transmissão superiores a 1 Gigabit por segundo em extensões de mais de 100 metros. Foi
utilizado nas primeiras redes locais e atualmente possui pouca usabilidade (LAUDON e
LAUDON, 2011).
Os cabos de fibra óptica são utilizados para transmissão em distâncias maiores e em
altas velocidades, como backbones. Seu princípio de funcionamento baseia-se na transmissão
de pulsos de luz que são convertidos em sinais elétricos pelos ativos da rede. O cabo é
composto por uma fibra de vidro ultrafina (núcleo) revestida por uma capa protetora de
plástico que pode alcançar taxas de até 100 Gigabit por segundo de transmissão
(TANEMBAUM; WETHERALL, 2011).
A transmissão ainda pode ser realizada sem fio, consistindo no envio de sinais de rádio
com uma ampla variação de frequência. Dentre as tecnologias utilizadas pode-se citar a
transmissão por rádio, que pode percorrer longas distâncias, podendo ser utilizada em locais
abertos e fechados, transmissão de micro-ondas que oferece uma relação sinal/ ruído muito
mais alta, sendo que é necessário um alinhamento das antenas de transmissão e repetidores ao
longo do enlace e transmissão por luz que baseia-se em direcionar laser em fotodetectores
para a transmissão de dados, sendo uma tecnologia bastante sensível a condições atmosféricas
(TANEMBAUM; WETHERALL, 2011).
2.3.4.3 Provedor de serviços de Internet
Os provedores de serviços de Internet ou Internet Service Provider (ISP) são
organizações comerciais que possuem conexão permanente à Internet e vendem seu acesso à
assinantes. A disponibilização de acesso pelos provedores inicialmente se dava por meio da
linha telefônica e um modem, alcançando 56,6 quilobits por segundo (kbps) sendo que foi
substituído por tecnologias de banda larga como Digital Subscriber Line (DSL) ou linha
digital de assinante que também utiliza a linha telefônica, mas em velocidades mais altas que
variam de 385 kbps até 9 Megabits por segundo ou também por conexões de Internet a cabo
que provêm acesso a mais de 10 megabits por segundo (TANEMBAUM; WETHERALL,
2011).
BD
U –
Bib
liote
ca D
igita
l da
UN
IVAT
ES
(htt
p://w
ww
.uni
vate
s.br/
bdu)
27
2.3.4.4 Projeto Arquitetônico
O projeto arquitetônico da infraestrutura de TI é um importante item a ser analisado a
fim de garantir a disponibilidade dos serviços. Se tratando dos data centers, a norma
ANSI/TIA-942 aplica conceitos para classificação dos mesmos quanto a sua disponibilidade e
redundância (MARIN, 2011). A seguir serão abordados os conceitos referentes ao data center
e sua infraestrutura.
Segundo Marin (2011), as seguintes premissas são desejáveis no projeto arquitetônico
de um data center:
a) Sistema elétrico redundante, de concessionárias diferentes, por rotas distintas;
b) Grupos geradores e nobreaks para ocasiões em que o sistema elétrico é interrompido;
c) Um sistema de climatização eficiente;
d) ISP redundantes, de provedores diferentes, chegando ao local por rotas distintas;
e) Controles de acesso;
f) Combate a incêndio.
Além dessas recomendações, faz-se importante também observar a localização
geográfica dos data centers, evitando, por exemplo, locais suscetíveis a adversidades
climáticas (enchentes, furacões, terremotos), pistas de aeroportos e locais próximos às linhas
de transmissão elétrica (MARIN, 2011).
O projeto arquitetônico prevê também normas de cabeamento estruturado para
utilização nas organizações. Segundo Marin (2009), a norma de cabeamento estruturado
ANSI/TIA-568-C é dividida em:
a) ANSI/TIA- 568-C.0: utilizada em cabeamentos de telecomunicações genéricos;
b) ANSI/TIA- 568-C.1: utilizada em cabeamentos de telecomunicações para edifícios
comerciais;
c) ANSI/TIA- 568-C.2: utilizada em cabeamentos de telecomunicações em par
balanceado e seus componentes;
d) ANSI/TIA- 568-C.3: utilizada em componentes de cabeamento em fibra óptica.
Todas as boas práticas relacionadas à infraestrutura de telecomunicações como
redundância de enlaces, encaminhamentos de rotas e espaços do cabeamento, procedimentos
BD
U –
Bib
liote
ca D
igita
l da
UN
IVAT
ES
(htt
p://w
ww
.uni
vate
s.br/
bdu)
28
de instalação, requisitos e procedimentos de testes, etc., estão contempladas nas normas acima
citadas.
2.3.5 Serviços de tecnologia
Segundo Laudon e Laudon (2011), os serviços de tecnologia dizem respeito aos
recursos humanos empregados para utilizar e gerenciar todos os outros componentes vistos
anteriormente, bem como prestar suporte aos usuários finais. Nem toda empresa possui
colaboradores capacitados a operar e gerenciar todos os componentes da infraestrutura de TI,
sendo que se faz necessária a terceirização de certos serviços, ou a realização de contratos
com os fornecedores.
Os serviços prestados pelo departamento de sistemas de informação contempla o
fornecimento da plataforma computacional aos colaboradores, serviços de telecomunicações e
conectividade de dados, voz e vídeo, serviços de gestão de dados armazenados,
desenvolvimento e suporte aos sistemas da empresa, gestão das instalações físicas necessárias
aos serviços de informática, telecomunicações e administração de dados, serviços de gestão
de TI (coordenação de serviços de TI, administração da contabilidade e gestão de projetos),
serviços de treinamento aos funcionários em relação às tecnologias utilizadas e serviços de
pesquisa e desenvolvimento de TI (LAUDON e LAUDON, 2011).
2.4 Segurança em TI
Segundo Beal (2008), a segurança da informação visa assegurar a preservação dos
ativos de informação com base em três objetivos fundamentais:
a) Confidencialidade: garante que todas as informações serão entregues apenas ao
destinatário correto sem interceptações não autorizadas;
b) Integridade: garantia da consistência e da criação legítima da informação, prevenindo
que hajam alterações ou destruição não autorizada de dados e informações;
c) Disponibilidade: garantia de que a informação e os ativos estejam disponíveis ao
usuário no momento que o mesmo queira acessá-los.
Segundo Silva, Carvalho e Torres (2003), para que haja preservação da confiabilidade,
integridade e disponibilidade dos sistemas de informação de uma empresa, se faz necessário
BD
U –
Bib
liote
ca D
igita
l da
UN
IVAT
ES
(htt
p://w
ww
.uni
vate
s.br/
bdu)
29
adotar medidas de segurança. Estas medidas necessitam ser implementadas antes da
concretização do risco, visando prevenir um incidente ou protegê-lo do mesmo.
A prevenção consiste na adoção de medidas que visam diminuir a probabilidade de
que alguma ameaça se torne um incidente. A proteção, por sua vez, possibilita que os sistemas
de informação inspecionem, detectem e reajam frente a um incidente. Esta medida de
segurança só atua quando o incidente ocorre, muitas vezes no intuito de remediá-lo (SILVA,
CARVALHO e TORRES, 2003).
Os sistemas de informação das empresas estão vulneráveis a diversas ameaças que
podem causar danos aos ativos da empresa como fraudes eletrônicas, espionagem, sabotagem,
incêndio, inundação e ataques de crackers. Para que estas vulnerabilidades sejam amenizadas,
se faz necessário implementar, monitorar e analisar um conjunto de controles, políticas,
processos e procedimentos com o intuito de garantir que os objetivos do negócio e de sua
segurança sejam atendidos (ABNT NBR ISO/IEC 17799, 2005).
Segundo Laudon e Laudon (2011), a segurança em TI faz-se necessária a fim de
manter dados armazenados em formato eletrônico longe de ameaças e de acessos indevidos.
Os dados da empresa estão vulneráveis às ameaças em diferentes pontos de acesso à rede,
tendo em vista que os sistemas de informações são interconectados de diferentes localidades
por meio de sistemas de telecomunicações. A Figura 3 ilustra as ameaças mais comuns em
sistemas de informação nos diferentes pontos de acesso.
Figura 3 - Vulnerabilidades em sistemas de informação
Fonte: Laudon e Laudon (2011)
BD
U –
Bib
liote
ca D
igita
l da
UN
IVAT
ES
(htt
p://w
ww
.uni
vate
s.br/
bdu)
30
As vulnerabilidades existem entre cada camada (cliente, linhas de comunicação,
servidores e sistemas corporativos) bem como na comunicação entre elas. A camada de
cliente pode ser acessada por usuários não autorizados ou ainda possuir erros introduzidos
pelos mesmos. Quando os dados transitam pela rede é possível interceptá-los, roubá-los ou
alterá-los (LAUDON e LAUDON, 2011).
De acordo com Laudon e Laudon (2011), a Internet aumenta consideravelmente as
vulnerabilidades de uma rede corporativa caso as mesmas estejam integradas. Computadores
que possam ser acessados externamente estão sujeitos à invasão. Hackers podem interceptar
dados pessoais ou interromper serviços de Voice Over IP (VoIP) com tráfego falso. A alta
utilização de e-mail, mensageiros instantâneos e programas ponto a ponto podem servir como
um recurso aos invasores, tendo em vista que softwares maliciosos podem ser transmitidos
por estas plataformas.
2.4.1 Gestão dos ativos dos sistemas de informação
Os ativos de informação compreendem em todos os dados ou informações que
agreguem algum valor ao negócio, podendo representar desde informações que estejam em
base de dados, arquivos de computador, documentos até patrimônios de TI da organização
como softwares, hardwares, mídias, sistemas e processos de informação e comunicação
(BEAL, 2008).
Segundo a norma ABNT NBR ISO/IEC 17799:2005, os ativos de informação podem
ser subdivididos em:
a) Ativos de informação: base de dados e arquivos, documentação de pesquisas, de
sistemas, procedimentos ou manuais e informações armazenadas;
b) Ativos de software: aplicativos, sistemas, ferramentas de desenvolvimento;
c) Ativos físicos: equipamentos de informática, de telecomunicações, mídias e outros
equipamentos;
d) Serviços: serviço de telecomunicações, eletricidade, iluminação;
e) Pessoas: recursos humanos da empresa, bem como suas habilidades e experiências;
f) Intangíveis: reputação, imagem.
Após a identificação dos ativos faz-se necessário realizar sua contabilização a fim de se
estruturar e manter os controles necessários, definir o responsável pela segurança de cada
BD
U –
Bib
liote
ca D
igita
l da
UN
IVAT
ES
(htt
p://w
ww
.uni
vate
s.br/
bdu)
31
ativo e recuperar informações e serviços em caso de falha ou dano. Adicionalmente é
interessante que os ativos sejam classificados de acordo com seu valor e necessidade de
segurança atribuídos pela organização (BEAL, 2008).
Além da realização do inventário e da classificação, deve-se definir o proprietário de
cada ativo que irá assegurar que as informações e os ativos associados aos recursos de
processamento da informação estejam classificados corretamente, definir e analisar as
classificações e restrições de acesso, levando em conta as políticas de segurança da empresa
(ABNT NBR ISO/IEC 17799, 2005).
2.4.2 Segurança física
A segurança física protege os ativos físicos existentes em um ambiente por meio de
medidas preventivas, detectivas e reativas, criando-se um perímetro de segurança, ou seja,
estabelecendo um obstáculo ou barreira física, a fim de evitar acessos indevidos. As medidas
preventivas podem ser controles de acesso, roletas, salas cofre, etc. Medidas detectivas de
invasão contemplam, por exemplo, Circuito Fechado de TV (CFTV), alarmes, sirenes e
detectores de incêndio. Dentre as medidas preventivas estão os climatizadores de ambiente,
detectores de fumaça, dispersores de gás para combate a incêndio, entre outros (BEAL, 2008).
Segundo Wadlow (2000), a segurança física visa a criação de níveis de proteção que
condizem com a política de segurança da empresa e que proporcionem a proteção necessária
contra as ameaças existentes. Conforme este mesmo autor, a segurança física deve abranger
também o backup de todas as informações armazenadas, o controle de acesso com níveis de
acesso a todas as áreas restritas, a disponibilização ininterrupta de energia elétrica e o registro
dos controles de acesso, bem como sua análise.
2.4.3 Segurança lógica
A segurança lógica consiste na criação de barreiras lógicas (ao nível de sistema
operacional e de aplicação) em torno dos ativos de informação, a fim de evitar ataques e
acessos indevidos (BEAL, 2008).
Dentre as ferramentas utilizadas na segurança lógica pode-se citar o firewall que
protege ou media o acesso da rede interna ao ambiente externo, o antivírus que detecta e
impede ataques de código malicioso e a criptografia que oferecem garantia de autenticação,
privacidade e integridade de dados e comunicação. Além dessas ferramentas, é necessário
BD
U –
Bib
liote
ca D
igita
l da
UN
IVAT
ES
(htt
p://w
ww
.uni
vate
s.br/
bdu)
32
haver a segurança de software, segurança do ambiente de usuário final e a produção e revisão
de registros dos arquivos de log (BEAL, 2008).
2.4.4 Segurança em recursos humanos
Uma das grandes vulnerabilidades de segurança encontradas nas organizações são as
pessoas que nelas atuam. O abuso de privilégios de acesso a dados ou instalações podem
comprometer a segurança. A necessidade de contratação de serviços de terceiros como
prestadores de serviços, fornecedores e consultores pode representar sérias ameaças à
segurança da informação, caso não sejam auditados (BEAL, 2008).
Segundo Wadlow (2000), o recurso humano é um dos principais problemas de
segurança, e, portanto, é necessário muito cuidado na contratação de pessoas para a empresa.
Além de escolhas criteriosas na hora de contratar, faz-se necessário também que haja uma
política eficiente de desligamento de funcionários após a demissão como a desativação rápida
e universal do acesso, medidas para recuperarem ou excluírem dados pessoais sem colocar em
risco a segurança da rede e a conscientização do funcionário para que não exponha dados
confidenciais da empresa.
Ao contratar um novo colaborador ou algum serviço terceirizado deve-se assegurar
que as responsabilidades estejam claras e de acordo, visando reduzir o risco de roubo e fraude,
podendo ser feito mediante um código de conduta pré-estabelecido em relação à
confidencialidade, proteção de dados, éticas, uso apropriado dos recursos e práticas de boas
condutas determinadas nas políticas de segurança (ABNT NBR ISO/IEC 17799, 2005).
2.4.5 Segurança em redes sem fio
Segundo Laudon e Laudon (2011), as redes sem fio, seja WI-FI ou Bluetooth são
suscetíveis a escutas e a ataques. Embora sejam de curto alcance, essas redes podem ser
invadidas por estranhos com laptops, e softwares piratas gratuitos, que circulem por áreas
abrangidas pela tecnologia. Redes desprotegidas proporcionam ao invasor uma série de
pontos a serem explorado, como usuário conectados no momento, captura de arquivos de
outros dispositivos, monitoramento do tráfego de rede e interceptação de dados.
Como exemplo de protocolo que visa a segurança em redes sem fio, pode-se citar o
Wireless Fidelity Protected Acess 2 (WPA2) sucessor do Wired Equivalent Privacy (WEP),
que pode ser utilizado em dois cenários comuns. No primeiro existe um servidor de
BD
U –
Bib
liote
ca D
igita
l da
UN
IVAT
ES
(htt
p://w
ww
.uni
vate
s.br/
bdu)
33
autenticação, com um banco de dados contendo as informações de cada usuário, onde cada
cliente utiliza seu login e senha para acessar a rede. No segundo cenário, uma senha única
compartilhada é utilizada por todos os usuários que desejam acessar a rede. Esta prática é
menos complexa de implementar, mas também é menos segura que a primeira
(TANEMBAUM; WETHERALL, 2011).
2.4.6 Softwares mal-intencionados
Softwares mal-intencionados como vírus, worms, cavalos de Troia e spywares são
designados como malwares e são desenvolvidos para serem executados sem o conhecimento
do usuário, a fim de obter ou alterar dados, gerar mal funcionamento no sistema operacional e
em outros softwares (LAUDON e LAUDON, 2011).
Os malwares normalmente são disseminados por e-mail, mensageiros instantâneos e
programas, podendo ser extremamente perigosos em uma rede corporativa, tendo em vista
que, além dos ataques gerados a desktops, existem também uma variedade desses aplicativos
para dispositivos móveis (LAUDON e LAUDON, 2011).
Dois outros malwares pertinentes são os ataques por SQL Injection e os keyloggers,
onde no primeiro são introduzidos códigos de programas maliciosos nos sistemas e redes
corporativas no momento em que ocorre alguma falha na autenticação ou no filtro de dados
por um usuário, e no segundo são registradas todas as teclas pressionadas em um computador
no intuito de obter dados e senhas de acesso (LAUDON e LAUDON, 2011).
2.4.7 Cibervandalismo
O cibervandalismo caracteriza-se pela invasão a um sistema não autorizado. Os
atuantes nesses crimes são chamados de hackers e crackers, sendo que o segundo possui
intenções criminosas. As atividades relacionadas ao cibervandalismo incluem o roubo de
mercadorias e informações e danos ou alterações não autorizadas em sites ou sistemas de
informações corporativos (LAUDON e LAUDON, 2011).
Os hackers e crackers ocultam sua verdadeira identidade utilizando credenciais falsas
como e-mails falsos e perfis em sites falsos. Esses artifícios são caracterizados como spoofing
e podem envolver também o redirecionamento falso a um determinado site, sendo que ao
acessá-lo o usuário não percebe a diferença e introduz dados pessoais que posteriormente são
capturados (LAUDON e LAUDON, 2011).
BD
U –
Bib
liote
ca D
igita
l da
UN
IVAT
ES
(htt
p://w
ww
.uni
vate
s.br/
bdu)
34
2.4.8 Ataque DoS
O ataque Denial of Service (DoS) ou ataque de negação possui o intuito de gerar
tráfego com falsas comunicações ou requisições, inundando um servidor de rede ou servidor
Web, a fim de inutilizá-lo, não sendo possível atender às requisições legítimas provenientes
dos usuários (TANEMBAUM; WETHERALL, 2011).
De acordo com Laudon e Laudon (2011), este tipo de ataque não destrói ou acessa
informações privilegiadas, apenas faz com que o acesso a um determinado serviço fique
indisponível por um determinado tempo. Estes ataques normalmente são executados por uma
grande quantidade de computadores espalhados pela rede, infectados por softwares mal-
intencionados que infectam computadores alheios. Quando o cracker infectou computadores
suficientes um ataque de recusa de serviço é deflagrado ao alvo.
2.4.9 Vulnerabilidades de softwares
Segundo Laudon e Laudon (2011), a maioria das vulnerabilidades e falhas encontradas
em softwares têm relação à complexidade e ao tamanho das aplicações. Estas falhas
normalmente ocorrem devido a grande quantidade de tomadas de decisões existentes no
código fonte. Nos softwares comerciais, que possuem dezenas de milhares ou até milhões de
linhas de código, é quase impossível realizar um teste do código fonte por completo, sendo
possível apenas determinar sua confiabilidade após um longo tempo de uso operacional.
Para correção das falhas existentes nos softwares os desenvolvedores lançam, em
determinados períodos de tempo, patches, que são atualizações de parte do código, a fim de
corrigir vulnerabilidades ou falhas no sistema. No âmbito empresarial, a infraestrutura de TI
conta com diversos aplicativos, sistemas operacionais e outros serviços nos diversos ativos
existentes, sendo que a manutenção das atualizações e patches são de extrema importância
para o correto funcionamento e para a prevenção de vulnerabilidades (LAUDON e LAUDON,
2011).
2.5 Mobilidade e Ubiquidade
A computação ubíqua tem como principal objetivo permear a vida dos usuários
ajudando a desempenhar tarefas diárias sem que os mesmos percebam, onde a utilização de
dispositivos em qualquer lugar e a qualquer hora é corriqueira (WEISS e CRAIGER, 2002).
BD
U –
Bib
liote
ca D
igita
l da
UN
IVAT
ES
(htt
p://w
ww
.uni
vate
s.br/
bdu)
35
Segundo Santos, Lima e Wives (2010, apud Furlan e Ehrenberg, 2009), o celular, que
desempenha um importante papel na mobilidade e na ubiquidade, permite a comunicação das
pessoas independente do local e a qualquer hora, por meio de acesso à internet sem fios, além
de disponibilizar uma vasta quantidade de funções.
Segundo Araújo (2003), conforme os dispositivos móveis oferecem mais opções
multimídia a seus usuários, a conectividade e consequentemente toda a infraestrutura de TI
desempenha um papel cada vez mais importante na computação ubíqua, oferecendo serviços
de comunicação pessoal, como voz e dados. A interação entre estes dispositivos vai desde a
conexão local de curta e média distância (utilizando tecnologias como bluetooth e WI-FI), até
redes de longa distância, compondo a infraestrutura necessária para o acesso de qualquer
lugar.
A mobilidade e a ubiquidade, por meio da utilização de dispositivos móveis, têm sido
amplamente utilizadas em sala de aula, por meio da disponibilização da comunicação
instantânea entre os estudantes, de imagem, vídeo, portais virtuais, etc., possibilitando que o
aluno esteja em permanente contato com a instituição de ensino, acessando todos suas
atividades acadêmicas por meio da Internet (DIAS, 2010).
Tratando-se de segurança, o uso de dispositivos móveis no âmbito empresarial
aumenta os riscos e as vulnerabilidades dos dados da empresa, pois podem conter números de
vendas, dados de clientes e acesso privilegiado às redes corporativas internas, estando sujeitos
a roubo e perda pelo usuário (LAUDON e LAUDON, 2011).
2.6 Gestão de Riscos
De acordo com Dantas (2011), o risco é uma condição que cria ou aumenta o potencial
de danos ou perdas aos sistemas de informação. O risco está estritamente relacionado com a
probabilidade de um evento acontecer e com as consequências negativas que ele gera.
Segundo Silva, Carvalho e Torres (2003), a gestão de riscos compreende no processo
de identificar um conjunto de medidas que proporcionem à empresa ou instituição um certo
nível de segurança. Este processo é feito em etapas, onde preliminarmente é feita a
identificação e classificação dos riscos e posteriormente especificado um conjunto de medidas
que permitirão reduzir ou eliminar os riscos que a empresa está sujeita.
BD
U –
Bib
liote
ca D
igita
l da
UN
IVAT
ES
(htt
p://w
ww
.uni
vate
s.br/
bdu)
36
De acordo com Beal (2008), a gestão de riscos visa identificar e implementar medidas
para que seja possível diminuir os riscos aos quais a organização está sujeita, visando a
proteção dos ativos de informação, despendendo custos operacionais e financeiros
condizentes com a realidade da organização.
2.6.1 Identificação dos riscos
De acordo com Beal (2008), a gestão de riscos, deve ser iniciada com a identificação
dos riscos e seus componentes como os alvos, agentes, ameaças, vulnerabilidades e impactos.
As ameaças podem ser classificadas como ambientais (fogo, chuva, terremotos, falhas no
suprimento de energia elétrica, etc.), técnicas (falhas de hardware, software e de
configurações), lógicas (ataques ou invasões) ou humanas (fraude, sabotagem ou erros).
Para identificação dos riscos deve-se realizar um levantamento do contexto de risco
em que a empresa ou instituição atua. A Tabela 1 apresenta alguns modelos utilizados para a
contextualização de risco.
Tabela 1 - Modelos para contextualização de risco
SWOT (Strengths, Weaknesses,
Opportunities and Threats)
Definição da relação da empresa com o ambiente sendo
analisados os pontos fortes, fracos, as oportunidades e as
ameaças
Contexto Descrição da empresa, das suas capacidades, metas,
objetivos e estratégias implementadas para os alcançar
Alvo Descrição das metas, objetivos, âmbito e parâmetros da
gestão de riscos
Bens Descrição dos bens da empresa e suas interdependências
Fonte: Silva, Carvalho e Torres (2003).
Segundo Dantas (2011), após serem classificados os riscos faz-se necessário
identificar os principais fatores que possam vir a ocasionar o risco, pois, em alguns casos, o
evento é independente da intenção do agente ou do nível de controle existente.
Após determinação do contexto de risco no ambiente em que a empresa se encontra,
pode-se identificar os elementos inerentes à análise de riscos como as vulnerabilidades e as
BD
U –
Bib
liote
ca D
igita
l da
UN
IVAT
ES
(htt
p://w
ww
.uni
vate
s.br/
bdu)
37
ameaças, bem como quais os bens que estão em perigo (SILVA, CARVALHO E TORRES,
2003).
2.6.2 Análise do risco
A análise de risco permite a compreensão do risco fornecendo informações relevantes
para a tomada de decisões referentes ao tratamento ou prevenção de que algum risco venha a
ocorrer. Esta análise engloba a observação das causas e fontes de riscos, as consequências e a
probabilidade das mesmas virem a ocorrer (ABNT NBR ISO/IEC 31000:2009).
O método de análise do risco a ser utilizado pode ser qualitativo, semiquantitativo ou
quantitativo. Os três métodos são eficientes, mas devem ser cuidadosamente escolhidos, a fim
de não consumir uma quantidade desnecessária de recursos e tempo e para que possibilite o
levantamento de todas as informações necessárias (SILVA, CARVALHO E TORRES, 2003).
2.6.2.1 Análise qualitativa
Segundo Dantas (2011), a análise qualitativa é utilizada quando não há disponibilidade
dos dados ou os mesmos estão incompletos, quando não é possível mensurar com outro
método ou ainda quando não se faz necessária a precisão do método quantitativo, ou o
detalhamento maior da análise.
Neste método são utilizadas palavras ao invés de números para a descrever os riscos,
sua probabilidade de ocorrer e as consequências que o mesmo poderá gerar (AS/NZS
4360:2004).
Segundo Silva, Carvalho e Torres (2003), a análise de risco qualitativa é feita de forma
subjetiva, onde a equipe que irá realizá-la possui papel de fundamental importância, sendo
necessário reunir um quadro de funcionários representantes de diversas áreas. A análise é
realizada nas seguintes fases:
a) Constituição da equipe;
b) Realização de sessões de classificação das ameaças;
c) Realização de sessões de classificação dos impactos e das consequências;
d) Cálculo dos riscos.
Para medição das consequências e das possibilidades, pode-se utilizar escalas
conforme apresentado nas Tabela 2 e Tabela 3.
BD
U –
Bib
liote
ca D
igita
l da
UN
IVAT
ES
(htt
p://w
ww
.uni
vate
s.br/
bdu)
38
Tabela 2 - Escala simples de consequências
Descrição Tipos
Severa Muitos objetivos não podem ser alcançados
Maior Alguns objetivos importantes não podem ser alcançados
Moderado Alguns objetivos afetados
Menor Efeitos menores que são facilmente remediados
Insignificante Impacto desprezível sobre os objetivos
Fonte: AS/NZS 4360:2004.
A Tabela 2, apresenta uma sugestão de níveis de consequência ao ser utilizada para
classificação dos riscos, variando de insignificante até severa, partindo da premissa de que
quanto mais significante a consequência é, mais objetivos ficam comprometidos com a sua
concretização.
Tabela 3 - Escala simples de probabilidades
Nível Descrição Indicador de frequência
A O evento irá ocorrer numa base anual Uma vez por ano ou mais
B O evento ocorrerá várias vezes na sua carreira Uma vez a cada três anos
C O evento poderá ocorrer uma vez na sua carreira Uma vez a cada dez anos
D O evento ocorre em algum lugar de tempo em tempo Uma vez a cada trinta anos
E Já ocorreu alguma vez em algum lugar Uma vez a cada cem anos
F Tal acontecimento nunca foi documentado Uma vez a cada mil anos
G Teoricamente possível, mas improvável de acontecer Uma vez a cada dez mil anos
Fonte: AS/NZS 4360:2004.
BD
U –
Bib
liote
ca D
igita
l da
UN
IVAT
ES
(htt
p://w
ww
.uni
vate
s.br/
bdu)
39
A Tabela 3 por sua vez apresenta um exemplo de escala de probabilidades de uma
ameaça se concretizar, dividida em sete níveis. As frequências de cada nível devem ser
definidas com base no contexto e na avaliação de riscos que está sendo realizada.
2.6.2.2 Análise semiquantitativa
A análise semiquantitativa parte da metodologia utilizada no método qualitativo, porém
com o intuito de gerar um ranking de riscos mais completo, por meio de valores atribuídos
aos riscos. Este tipo de análise pode não ser muito confiável tendo em vista que os valores
utilizados não são reais como os utilizados na análise quantitativa (DANTAS, 2011).
Segundo a norma AS/NZS 4360:2004 a análise semiquantitativa deve ser utilizada com
cautela pois os valores atribuídos aos elementos inerentes aos riscos podem não condizer com
a realidade, ou ainda, não diferenciar de forma apropriada as consequências e probabilidades
caso ambos sejam extremos, o que acarretará em resultados inconsistentes ou inapropriados.
2.6.2.3 Análise quantitativa
A análise quantitativa é utilizada quando os dados estão completos e disponíveis,
podendo ser realizada com base em valores absolutos e reais da empresa, sendo mais
apropriado quando deseja-se avaliar possíveis perdas financeiras provenientes do risco, ou ao
serem avaliados riscos que causem grande impacto (SILVA, CARVALHO E TORRES,
2003).
Segundo Dantas (2011), este método é utilizado quando existem dados confiáveis de
eventos ocorridos, quando a probabilidade pode ser medida em valores numéricos ou ainda
quando pode-se calcular o valor de uma consequência gerada pelo risco.
A qualidade da análise quantitativa depende da precisão dos valores numéricos
informados e do modelo aplicado ao caso, sendo que as consequências podem ser expressadas
em valor monetário, técnico ou humano dependendo do propósito ao qual o risco, as
consequências e a probabilidade estão sendo avaliadas (AS/NZS 4360:2004).
Segundo Beal (2008), o método quantitativo aplica-se quando se deseja realizar um
comparativo dos custos de implementação de medidas de segurança e o possível custo da não-
implantação da mesma. Este mesmo autor afirma também que, o histórico de incidentes e o
BD
U –
Bib
liote
ca D
igita
l da
UN
IVAT
ES
(htt
p://w
ww
.uni
vate
s.br/
bdu)
40
impacto financeiro decorrente deles precisa ser confiável para que a análise quantitativa
apresente resultados significantes.
Para a realização da análise de risco quantitativa diversos métodos podem ser
utilizados, mas o mais conhecido é o Anual Loss Exposure (ALE), ou ainda Exposição Anual
à Perda, que permite estimar o risco com base em um valor esperado de perda decorrente de
determinada ameaça (SILVA, CARVALHO E TORRES, 2003).
A ALE é calculada com base no valor da perda prevista multiplicada pela quantidade
de ocorrências de um determinado incidente no período de doze meses. Caso o custo anual de
determinada medida de proteção for menor que a ALE de um risco, sua implantação seria
justificável (BEAL, 2008).
2.6.3 Avaliação dos riscos
A avaliação dos riscos visa comparar os dados coletados anteriormente na análise de
riscos com os critérios de riscos, considerando a tolerância da organização perante os
mesmos. Caso haja necessidade, uma análise mais aprofundada do risco deverá ser empregada
(ABNT NBR ISO/IEC 31000:2009).
Segundo Beal (2008), a avaliação dos riscos deverá ser efetuada por pessoas
qualificadas, que possuam características como:
a) Conhecimento dos ativos e sua importância para a organização;
b) Formação técnica na área a ser avaliada;
c) Experiência e conhecimento das práticas, procedimentos e princípios de segurança da
informação;
d) Conhecimento da metodologia e das ferramentas a serem utilizadas na avaliação de
riscos.
Para que seja realizado a classificação dos riscos faz-se necessário a utilização de
critérios de avaliação e níveis de aceitabilidade afim de definir o tratamento ou a aceitação de
determinado risco. Estes critérios devem ser definidos pela equipe que realizará a análise com
base nas consequências, nas possibilidades e nos níveis de riscos definidos. Os níveis de
aceitabilidade deverão estar embasados nas políticas de segurança da organização levando em
conta quais riscos representam um maior prejuízo (DANTAS, 2011).
BD
U –
Bib
liote
ca D
igita
l da
UN
IVAT
ES
(htt
p://w
ww
.uni
vate
s.br/
bdu)
41
Após a definição dos riscos, de suas consequências e de sua possibilidade de ocorrer,
pode-se criar uma matriz de riscos, conforme apresentado no Quadro 1.
Quadro 1 - Matriz de riscos
Consequências
Possibilidade Insignificante
1
Menor
2
Moderado
3
Maior
4
Catastrófico
5
A (Frequente) A A E E E
B (Provável) M A A E E
C (Ocasional) B M A E E
D (Remota) B B M A E
E (Improvável) B B M A A Fonte: Dantas (2011).
Os níveis de aceitabilidade, definidos previamente e baseados nos critérios de risco,
devem ser confrontados com o resultado da matriz de riscos, afim de identificar quais riscos
devem ser tratados e quais serão aceitos (DANTAS, 2011).
O Quadro 2 demonstra um exemplo de quadro de aceitabilidade de riscos que pode ser
empregado a matriz de riscos apresentada anteriormente.
Quadro 2 - Quadro de aceitabilidade de riscos
Risco extremo (E) Inaceitável – requer ação corretiva imediata
Risco alto (A) Inaceitável – requer ação corretiva imediata com atenção específica da
direção
Risco moderado (M)
Inaceitável – requer monitoramento, ações de mitigação e revisão dos
controles pelo gerente
Aceitável – requer a revisão e autorização do gerente
Risco baixo (B) Aceitável – requer procedimentos de rotina Fonte: Dantas (2011).
De acordo com Silva, Carvalho e Torres (2003), para elencar a prioridade dos riscos a
serem analisados ou tratados se faz necessário a elaboração de uma análise de impacto dos
mesmos no negócio. Está análise deve ser feita com uma abordagem top-down dos processos
e funções do negócio, da visão estratégica até a operacional.
Segundo este mesmo autor, todos os processos possuem papel importante para a
organização, mas é necessário avaliar quais possuem mais ou menos importância verificando-
se qual o período de instabilidade tolerada e o impacto resultante de uma indisponibilidade
além deste prazo.
BD
U –
Bib
liote
ca D
igita
l da
UN
IVAT
ES
(htt
p://w
ww
.uni
vate
s.br/
bdu)
42
2.6.4 Tratamento dos riscos
Segundo Dantas (2011), o tratamento dos riscos condiz em ações como evitar, mitigar,
transferir ou compartilhar o risco. Estes tratamentos podem ser implementados por meio de
medidas de prevenção, terceirizando responsabilidades ou contratando seguros visando a
remediação dos prejuízos financeiros. É possível ainda que a organização opte por não tomar
medidas quaisquer, onde neste caso se faz necessário que o risco seja devidamente conhecido
pelas pessoas afins com o intuito de evitar a ocorrência de algum acidente, conforme
recomendado na norma ABNT NBR ISO/IEC 31000:2009.
Os riscos de segurança da informação devem ser classificados a fim de definir quais
medidas de proteção devem ser tomadas. Segundo Beal (2008), uma classificação possível é:
a) Medidas preventivas: caracterizam-se por controles que visam reduzir a probabilidade
de a ameaça vir a se concretizar ou diminui a vulnerabilidade do ativo a ser protegido;
b) Medidas corretivas ou reativas: medidas que são tomadas durante ou após a
concretização de um incidente, visando remediá-lo ou amenizá-lo.
c) Métodos detectivos: detecta ataques ou incidentes com a intenção de disparar medidas
reativas, reduzindo ou impedindo consequências à organização.
A norma ABNT NBR ISO/IEC 31000:2009 afirma que o tratamento do risco é um
processo cíclico composto pela avaliação de tratamentos utilizados anteriormente, verificação
dos níveis residuais de risco quanto sua tolerabilidade, definição e implementação de novo
tratamento caso não sejam toleráveis e avaliação da eficácia do tratamento.
Segundo Dantas (2011), os riscos de baixa probabilidade e alto impacto são
comumente negligenciados e não possuem tratamento, mas é importante que seja feito pelo
menos o estabelecimento de um cenário a fim de determinar ações preliminares de resposta.
Este mesmo autor ressalta também que deve ser avaliado o custo financeiro que a aplicação de
um tratamento preventivo ou detectivo representa à empresa, para que o mesmo não seja
maior que custo do impacto deste risco em questão.
Os tratamentos dos riscos podem ser feitos com a utilização de controles, que levam
em consideração as regulamentações nacionais e internacionais, os objetivos organizacionais,
os custos em relação aos riscos que estão sendo tratados e o balanceamento do investimento
BD
U –
Bib
liote
ca D
igita
l da
UN
IVAT
ES
(htt
p://w
ww
.uni
vate
s.br/
bdu)
43
nos controles contra a probabilidade de danos que o risco poderá vir a ocasionar (ABNT NBR
ISO/IEC 17799, 2005).
Segundo Dantas (2011), todos os controles, que contemplam as ações de tratamento,
deverão ser descritos no plano de tratamento de riscos, que consiste em um documento com
todos os detalhes das ações, como o responsável, prazos, forma de implementação, dentre
outras.
Após definidas as medidas de proteção ou tratamento a serem utilizadas se faz
necessário avaliar o risco residual apresentado e verificar a necessidade da implementação de
controles adicionais a fim de diminuir o nível de risco remanescente (BEAL, 2008).
2.6.5 Monitoramento dos riscos
Após a realização da identificação, análise e tratamento dos riscos, seu gerenciamento
precisa ser constantemente monitorado e revisto. O monitoramento deve ser feito com base na
vigilância cotidiana dos sistemas, tendo em vista que os cenários são dinâmicos e susceptíveis
a mudanças. A revisão dos processos deve ocorrer frequentemente levando em conta as
variáveis do ambiente com o intuito de mantê-los atualizados (DANTAS, 2011).
De acordo com Beal (2008), a gestão de riscos precisa estar em permanente
atualização de forma que mudanças nos sistemas, no ambiente, na tecnologia, nas ameaças e
nas vulnerabilidades reflitam também na renovação dos processos pertinentes a gestão de
riscos. Ainda segundo esta autora, revisões periódicas da análise de risco devem ser
programadas, bem como recalculadas as estimativas de risco caso mudanças organizacionais
referentes a segurança forem efetuadas.
Segundo Westerman e Hunter (2008), o monitoramento e o rastreamento dos riscos
permitem verificar a consistência e a efetividade dos planos, das normas e das políticas de
gestão de riscos, bem como todas as circunstâncias aplicadas sobre os riscos administrados.
Caso certas políticas ou normas sejam frequentemente violadas talvez o problema encontra-se
nos processos nelas descritas e não no pessoal que a aplica, sendo necessário reavaliá-las.
2.7 Boas práticas
A política da empresa, juntamente com normas e procedimentos são consideradas boas
práticas pois definem os objetivos da organização quanto a segurança, documentando as
BD
U –
Bib
liote
ca D
igita
l da
UN
IVAT
ES
(htt
p://w
ww
.uni
vate
s.br/
bdu)
44
atividades de proteção e prevenção a serem aplicadas. O responsável pela segurança da
informação da empresa deverá garantir que todos os processos e métodos listados nestes
documentos sejam aplicados e constantemente atualizados, evitando que fiquem obsoletos e
sem utilidade alguma (SILVA, CARVALHO e TORRES, 2003).
Segundo Dantas (2011), a política da informação se constitui da documentação de
todos os princípios, valores, requisitos, objetivos e orientações no que diz respeito a segurança
da informação organizacional, com o intuito de alcançar os padrões de proteção desejados.
Os propósitos da criação de uma política de segurança, segundo Wadlow (2000), são:
a) Descrever os ativos que estão sendo protegidos e o por que;
b) Criar um ranking de prioridades, bem como seus custos;
c) Delimitar um acordo entre os valores a serem investidos com segurança;
d) Apoiar o departamento de segurança em decisões onde é necessário negar algo;
e) Garante um desempenho satisfatório do departamento de segurança, impedindo que o
mesmo torne-se fútil.
De acordo com Beal (2008), juntamente com a política de segurança deve-se adotar as
normas e padrões técnicos, pois estes são fundamentais em qualquer âmbito quando deseja-se
obter qualidade. As normas e padrões definem regras, princípios e critérios, registrando as
melhores práticas a fim de prover qualidade ao processo visando sua eficiência e eficácia.
Dentre os principais padrões e normas mais utilizados e conhecidos pelas organizações
para segurança da informação tem-se a Information Technology Infrastructure Library (ITIL),
o Control Objectives for Information and related Technology (COBIT), a ISO/IEC 27001 e a
ISO/IEC 17799/27002, conforme apresentados a seguir.
2.7.1 ITIL
A ITIL consiste em um conjunto de melhores práticas a serem adotadas nos serviços
de tecnologia da informação a fim de obter um alto padrão de qualidade. Sua construção foi
determinada a partir de décadas de análises práticas, pesquisas e trabalhos na área de TI de
todo o mundo, sendo reconhecida internacionalmente por sua consistência e abrangência
(FERNANDEZ e ABREU, 2012).
BD
U –
Bib
liote
ca D
igita
l da
UN
IVAT
ES
(htt
p://w
ww
.uni
vate
s.br/
bdu)
45
Segundo Beal (2008), apesar do ITIL não ser exatamente um padrão de segurança, ele
contempla várias áreas afins como, por exemplo, gestão de incidentes, problemas,
configuração, entre outros, o que contribui para manter um alto nível de qualidade da
organização, contribuindo para o alcance dos objetivos de segurança da informação
almejados.
2.7.2 COBIT
O COBIT, que é composto por diretrizes para gestão, auditoria e práticas dos
processos e controles da governança de TI é dividido em quatro domínios: planejamento e
organização, aquisição e implementação, entrega e suporte e monitoração. Contendo mais de
trezentos pontos de controle em trinta e quatro processos (sendo um deles o de segurança da
informação), possui como principal objetivo auxiliar a organização com o Return Over
Investment (ROI) de TI (BEAL, 2008).
Segundo Fernandez e Abreu (2012), as práticas do COBIT preocupam-se nas
necessidades do negócio, contribuindo na entrega dos produtos e serviços de TI, focando no
controle e não na execução.
Conforme Dantas (2011), dentre os processos, domínios e atividades de controle
existentes no COBIT encontra-se o modelo de avaliação e gestão de riscos, apresentando
etapas como o estabelecimento do contexto dos riscos, identificação dos eventos, avaliação
dos riscos, resposta aos riscos e manutenção e monitoramento do plano de ação dos riscos.
2.7.2.1 ISO/IEC 27001
A norma ISO/IEC 27001 especifica os princípios de gestão de processos visando a
implementação, o monitoramento, a revisão a manutenção e melhoria do Information Security
Management System (ISMS), que refere-se a um conjunto de práticas para o gerenciamento de
riscos de segurança da informação (FERNANDEZ e ABREU, 2012).
Segundo Dantas (2011), a norma ISO/IEC 27001 é um padrão internacionalmente
aceito dividido em oito seções que são: objetivo, referência normativa, termos e definições,
sistemas de gestão de segurança da informação, responsabilidade da direção, auditorias
internas do ISMS, revisão do ISMS pela direção e melhorias do ISMS.
BD
U –
Bib
liote
ca D
igita
l da
UN
IVAT
ES
(htt
p://w
ww
.uni
vate
s.br/
bdu)
46
As seções apresentam os requisitos para o escopo e limites do ISMS, a definição do
processo de avaliação de riscos, o tratamento de riscos, os objetivos dos controles, aprovação
de riscos residuais, implementação de programas de conscientização e treinamento,
procedimentos de monitoramento e melhorias, entre outros (DANTAS, 2011).
2.7.3 ISO/IEC 27002
A norma ISO/IEC 27002 provê modelos e diretrizes para a gestão da segurança da
informação sugerindo a implantação de controles para atender os requisitos que foram
previamente identificados por meio da análise e da avaliação dos riscos. Esta norma também
serve como um guia para implantação de procedimentos e práticas referentes a segurança da
informação (FERNANDEZ e ABREU, 2012).
Ainda segundo Fernandez e Abreu (2012), a norma brasileira, publicada pela
Associação Brasileira de Normas Técnicas (ABNT) com denominação NBR ISO/IEC 27002
que era conhecida antes de 2005 como NBR ISO/IEC 17799 está dividida nas seguintes
seções:
a) Política de segurança da informação;
b) Organizando a segurança da informação;
c) Gestão de ativos;
d) Segurança em recursos humanos;
e) Segurança física do ambiente;
f) Gestão de operações e comunicações;
g) Controle de acesso;
h) Aquisição, desenvolvimento e manutenção de sistemas de informação;
i) Gestão de incidentes de segurança da informação;
j) Gestão de continuidade do negócio;
k) Conformidade.
A ISO/IEC 27002 difere-se na ISO/IEC 27001 pois a primeira apresenta apenas as
boas práticas para a elaboração de um ISMS e a segunda estabelece os requisitos obrigatórios.
É com base na ISO/IEC 27001 que são concedidas as certificações de conformidade
(DANTAS, 2011).
BD
U –
Bib
liote
ca D
igita
l da
UN
IVAT
ES
(htt
p://w
ww
.uni
vate
s.br/
bdu)
47
2.7.4 BS 7799
Segundo Beal (2008), a BS 7799, que é o conjunto de padrões inerentes a gestão da
segurança da informação, é dividida em duas partes, sendo uma referente ao código de
práticas para a gestão da segurança da informação e a outra à definição de um sistema de
gestão de segurança da informação. A BS 7999-2 que garante a avaliação, tratamento dos
riscos e a melhoria dos processos oferece ainda a possibilidade de certificação envolvendo
uma auditoria da ISMS com o intuito de verificar as conformidades da organização frente as
diretrizes de segurança da informação.
Neste capítulo foi apresentado o referencial teórico relativos ao ensino tradicional e
suas características, a relação da informática com o processo de ensino e de aprendizagem, os
componentes da infraestrutura de TI, as premissas de segurança em uma organização e suas
metodologias de análise e gerenciamento e uma breve descrição das normas vigentes
relacionadas ao estudo.
Nos capítulos seguintes será apresentada a metodologia utilizada para a realização do
estudo, o cenário existente, a análise dos resultados obtidos da aplicação do estudo, bem como
sua aplicabilidade quanto à dependência de TI no processo de ensino e de aprendizagem.
BD
U –
Bib
liote
ca D
igita
l da
UN
IVAT
ES
(htt
p://w
ww
.uni
vate
s.br/
bdu)
48
3 METODOLOGIA
O presente capítulo tem por objetivo apresentar a abordagem utilizada para o
levantamento de dados deste estudo, o tipo de análise realizada, seus métodos e limitações.
3.1 Metodologia de pesquisa
Diversas denominações são empregadas às metodologias de pesquisa, mas que
diferem apenas em seu conteúdo, a fonte de dados utilizada, a amplitude do estudo e o tipo de
análise a ser feita (qualitativa ou quantitativa) de acordo com o estudo a ser efetuado,
objetivando especificar de forma minuciosa e detalhada a forma em que a pesquisa será
conduzida, quais ferramentas serão utilizadas, público alvo, amostragem, entre outros
(SAMARA e BARROS, 2002).
3.1.1 Tipo de metodologia a ser utilizada
A pesquisa a ser realizada no presente estudo utiliza uma abordagem exploratória e
descritiva de um estudo de caso. É realizada uma revisão bibliográfica do assunto tratado e
aplicados questionários estruturados visando identificar qual a importância da infraestrutura
de TI no processo de ensino e de aprendizado, avaliar o grau de aderência às normas vigentes
no que diz respeito a segurança da informação e a gestão de riscos, para que posteriormente
seja proposta e realizada uma análise dos riscos.
Segundo Samara e Barros (2002), os estudos exploratórios são realizados por meio de
dados secundários, sendo caracterizados pela informalidade, flexibilidade e a criatividade,
permitindo que ocorra um primeiro contato com o assunto da pesquisa a ser realizada,
podendo ser utilizadas hipóteses a serem confirmadas.
BD
U –
Bib
liote
ca D
igita
l da
UN
IVAT
ES
(htt
p://w
ww
.uni
vate
s.br/
bdu)
49
As pesquisas exploratórias têm por objetivo aumentar o conhecimento do pesquisador
sobre um determinado problema ou sobre um estudo de caso. Elas podem ser compostas por
revisão de literatura, entrevistas, entre outros. As pesquisas descritivas são realizadas por
instrumentos padronizados para a coleta de dados, questionários, planilhas, entrevistas ou
observações (GIL, 2002).
3.1.2 Natureza da pesquisa
A pesquisa utilizada uma abordagem de natureza qualitativa, com a utilização de
questionários, onde ao invés de realizarmos a coleta de informações atribuídas a números, é
feita uma coleta por meio de palavras e às vezes de imagens (HAIR et al., 2005).
Segundo Samara e Barros (2002), a pesquisa qualitativa é realizada a partir de
entrevistas individuais, permitindo a verificação diferencial dos dados obtidos na amostra
escolhida, onde não são coletados dados estatísticos, mas sim avaliados por meio de palavras
analisando um determinado contexto.
3.2 Procedimentos para realização da pesquisa
Para a realização da pesquisa são utilizados os métodos de pesquisa bibliográfica,
pesquisa documental, levantamento e análise de dados e estudo de caso, conforme
apresentados a seguir.
3.2.1 Pesquisa bibliográfica
A pesquisa bibliográfica presente neste estudo visa apresentar um embasamento
teórico sobre os temas e conceitos que serão pesquisados e analisados, representados pelo
conhecimento de diversos autores das áreas afins.
Segundo Gil (2002), a pesquisa bibliográfica é constituída de materiais que já foram
desenvolvidos e publicados, constituídos principalmente por livros e artigos científicos, sendo
que a maioria dos estudos exploratórios são desenvolvidos exclusivamente a partir de fontes
bibliográficas.
3.2.2 Pesquisa documental
A pesquisa documental, apesar de assemelhar-se muito com a pesquisa bibliográfica,
possui o diferencial de ser uma fonte muito mais diversificada e dispersa. Os documentos
BD
U –
Bib
liote
ca D
igita
l da
UN
IVAT
ES
(htt
p://w
ww
.uni
vate
s.br/
bdu)
50
podem ser divididos em primeira e segunda mão (primários e secundários), sendo que os
primários não recebem nenhum tratamento analítico, e os secundários já foram analisados de
alguma forma (GIL, 2002). A principal fonte de pesquisa documental utilizada neste estudo é
obtida nas normas, diretrizes e boas práticas disponibilizadas pela ABNT e pela International
Standards Organization (ISO).
3.2.3 Levantamento dos dados
Segundo Gil (2002), o levantamento de dados é realizado pela interrogação de um
determinado grupo de pessoas visando conhecer sua visão ou comportamento perante um
determinado assunto ou problema. O levantamento de dados pode ser classificado como
censo, quando toda população relativa ao estudo é interrogada, ou por amostragem quando
apenas uma parcela pré-determinada de pessoas são entrevistadas.
Ainda segundo Gil (2002), o levantamento de dados possui limitações conhecidas
como respostas subjetivas ou distorcidas dos respondentes, visão estática do fenômeno
estudado quanto a sua evolução conforme o passar do tempo e erros que possam vir a ocorrer
por parte do entrevistador ou do entrevistado.
Segundo Hair et al. (2005), nos estudos exploratórios, a pesquisa é efetuada por meio
de dados narrativos, entrevistas pessoais ou observação de comportamentos ou eventos
utilizando-se uma abordagem qualitativa. Este tipo de estudo envolve amostras menores da
população ou estudos de caso.
O levantamento de dados deste estudo é efetuado a partir da aplicação de questionários
disponibilizados na WEB, a serem respondidos por estudantes, professores e colaboradores da
instituição.
3.2.4 Estudo de caso
Segundo YIN (2001), para a realização de um estudo de caso pode-se utilizar
levantamentos, pesquisas históricas, análise de informações em arquivos, experimentos, entre
outros. Os estudos de caso são principalmente utilizados em pesquisas explanatórias, podendo
ser assistidas por pesquisas exploratórias e descritivas, conforme a necessidade do
pesquisador.
BD
U –
Bib
liote
ca D
igita
l da
UN
IVAT
ES
(htt
p://w
ww
.uni
vate
s.br/
bdu)
51
O estudo de caso consiste em um estudo aprofundado de poucas variáveis visando
proporcionar um conhecimento mais amplo e detalhado, com propósitos variados como a
exploração de situações reais, a descrição do contexto em que está sendo feita determinado
estudo, formulação de hipóteses ou ainda explicar variáveis de determinados fenômenos que
aplicam-se apenas a condições adversas e onde não é possível a utilização de levantamentos e
experimentos (GIL, 2002).
O estudo de caso realizado nesta pesquisa visa detalhar o cenário atual da
infraestrutura de TI existente na instituição, com o intuito de realizar uma análise das ameaças
abordadas com relação ao ambiente, avaliando os impactos e consequências aplicados ao
processo de ensino e de aprendizagem.
3.3 Fases e etapas da pesquisa
Conforme afirmado anteriormente, o método a ser utilizado será o exploratório e
descritivo, por meio da coleta de dados por amostragem, sendo que suas etapas serão descritas
detalhadamente a seguir.
3.3.1 Coleta de materiais e informações
Para a realização da pesquisa utiliza-se o método survey ou levantamento de dados,
por meio da utilização de questionários confeccionados pelo autor e também oriundos da
pesquisa documental e do referencial teórico, preenchidos de forma anônima pelo público-
alvo definido.
A amostragem a ser utilizada contemplará entrevistados escolhidos pelo método de
conveniência, consistindo na seleção de indivíduos que estejam à disposição no momento, que
possuam conhecimento nas questões inerentes ao assunto e que possam oferecer as
informações necessárias. A amostra será composta por professores, alunos e colaboradores da
área de TI do Centro Universitário UNIVATES.
Os questionários objetivam obter informações gerais sobre a utilização de TI no
âmbito acadêmico, avaliar o grau de aderência da UNIVATES com relação às normas de
segurança da informação, o grau de maturidade quanto à gestão de riscos e uma análise dos
riscos relacionados a TI no processo de ensino e de aprendizagem, utilizando-se uma
abordagem de avaliação das consequências, probabilidades e relevâncias de diversos ativos
pré-determinados.
BD
U –
Bib
liote
ca D
igita
l da
UN
IVAT
ES
(htt
p://w
ww
.uni
vate
s.br/
bdu)
52
As questões existentes nos questionários utilizaram de duas escalas para obtenção das
respostas: escala categórica e escala de Likert (classificações somadas).
Conforme Hair et al. (2005), a escala categórica é uma escala não-métrica onde as
respostas são comparadas umas com as outras e não de forma independente. Um exemplo de
escala categórica de múltipla escolha é:
Com que frequência utilizo algum recurso de tecnologia da informação disponibilizado
pela instituição (WI-FI, Laboratórios de informática, Terminais de Consulta)?
( ) Todos os dias
( ) Até três vezes por semana
( ) Até duas vezes por semana
( ) Uma vez por semana
( ) Não utilizo/Nunca utilizei
A escala de Likert, por outro lado utiliza números ímpares de opções com um rótulo
para expressar a intensidade da resposta. Quando todas as escalas são somadas é caracterizado
como uma escala de classificações somadas. A escala utilizada neste estudo será de cinco
opções. Um exemplo de questão utilizando-se a escala de Likert é:
Como você quantificaria a probabilidade de ocorrência de falha considerando o ativo
“rede local”?
( ) 5 – Muito Alta
( ) 4 – Alta
( ) 3 – Médio
( ) 2 – Baixo
( ) 1 – Muito Baixo
3.3.2 Análise dos dados
A análise dos dados realizada é constituída pelo tratamento e interpretação dos
resultados advindos dos questionários. Para a definição do contexto da gestão de riscos, foram
utilizadas as questões gerais advindas do questionário de análise de riscos da infraestrutura de
TI no processo de ensino e de aprendizagem (Apêndice A). As demais questões deste
questionário foram tabuladas para obtenção do índice P x C x R (Probabilidade, Consequência
e Relevância) e para verificação da existência de planos de contingência e de continuidade.
BD
U –
Bib
liote
ca D
igita
l da
UN
IVAT
ES
(htt
p://w
ww
.uni
vate
s.br/
bdu)
53
Para verificação do grau de aderência a norma utilizou-se o framework confeccionado
por Sêmola (2003), que visa avaliar dez processos que compõem a norma ABNT NBR
ISO/IEC17799 (Anexo A). Os dados obtidos foram tabulados e analisados a fim de obter-se a
pontuação final do teste.
A definição do grau de maturidade do Centro Universitário UNIVATES obteve-se por
meio da aplicação de um framework disponibilizado pelo Centro de Qualidade, Segurança e
Produtividade (QSP), que tem o intuito de avaliar diversos processos e procedimentos
inerentes à segurança da informação (Anexo B). Com os resultados do questionário, foi
calculada uma média, conforme sugere o framework, a fim de classificar o grau de maturidade
da organização.
Segundo Hair et al. (2005), após a coleta dos dados os mesmos precisam ser
analisados e examinados e se necessário transformados, afim de garantir sua integridade,
confiabilidade e representatividade nos resultados.
Neste capítulo são apresentadas as metodologias utilizadas para a coleta de dados, os
tipos de pesquisa e a abordagem utilizada para realização do estudo de caso.
No capítulo seguinte é apresentado o cenário atual da infraestrutura de TI do Centro
Universitário UNIVATES e sua relação com o ambiente de ensino e de aprendizagem.
BD
U –
Bib
liote
ca D
igita
l da
UN
IVAT
ES
(htt
p://w
ww
.uni
vate
s.br/
bdu)
54
4 CENÁRIO ATUAL
O presente estudo é realizado no Centro Universitário UNIVATES, com base na sua
infraestrutura de TI, os elementos da rede local, acessos à Internet, suprimento de energia,
bem como toda a estrutura física e lógica.
A análise e avaliação dos riscos de infraestrutura de TI no âmbito de ensino e de
aprendizagem é realizada levando-se em conta a rede de computadores e todos os
componentes existentes na instituição que proveem acesso às ferramentas de TI utilizadas no
processo de ensino e aprendizagem em sala de aula.
A infraestrutura de TI que atende o Centro Universitário UNIVATES pode ser
considerada complexa pois é composta por uma grande quantidade de elementos, distribuídos
pelos diferentes prédios existentes na instituição, regidos por um ponto central de distribuição
onde ocorre todo o processamento e armazenamento das informações (data center),
organizada física e logicamente afim de atender as diversas demandas existentes.
A infraestrutura de TI interna, compreendida pelos meios de transmissão, cabeamento
estruturado, fornecimento de energia elétrica, data center, infraestrutura de entrada,
aterramento, climatização, sistema de combate a incêndio, estações de trabalho, servidores,
aplicações, equipamentos de rede, dispositivos de segurança, sistemas de armazenamento de
dados, entre outros, está distribuída por toda a extensão do campus, atuando para prover rede
de dados ao campus da instituição.
O acesso externo, responsável pelo tráfego de dados, tanto de entrada quanto de saída
é suprido por dois ISPs distintos que, apesar de atuarem independentemente e com
BD
U –
Bib
liote
ca D
igita
l da
UN
IVAT
ES
(htt
p://w
ww
.uni
vate
s.br/
bdu)
55
características distintas, convergem para um único ponto de entrada localizado no Prédio 1 e
em um único equipamento, alocado no Prédio 9, mais especificamente no data center.
A estrutura lógica, responsável por organizar e distribuir o tráfego de dados
internamente, é compreendida pelas LANs, Virtual Local Area Network (VLAN), e Wireless
Local Area Network (WLAN) a fim de possibilitar acesso e segurança da rede aos alunos e
professores em sala de aula.
Na Figura 4, são ilustradas as estruturas primárias que atuam no provimento e
disponibilização da rede de dados da UNIVATES da entrada de facilidades até as salas de
telecomunicações do campus.
Figura 4 – Diagrama da infraestrutura de rede primária
Fonte: Elaborado pelo autor (2014).
BD
U –
Bib
liote
ca D
igita
l da
UN
IVAT
ES
(htt
p://w
ww
.uni
vate
s.br/
bdu)
56
A partir do data center é feita a distribuição dos enlaces ópticos até os prédios, mais
precisamente até as sala de telecomunicações, onde é feito a distribuição da rede de dados até
as salas de aula. A Figura 5 exemplifica os componentes da rede existente em um prédio
acadêmico, desde a sala de telecomunicações até o usuário final.
Figura 5 - Diagrama da infraestrutura de rede acadêmica
Fonte: Elaborado pelo autor (2014).
Cada uma das estruturas será detalhada em subseções apropriadas contidas nesta
seção, abordando seu funcionamento e aplicação na rede.
4.1 Infraestrutura de entrada
A infraestrutura de entrada ou entrada de facilidades compreende no local onde ocorre
a separação do cabeamento proveniente dos ISPs do cabeamento interno, gerido pelo
proprietário ou usuário da organização (MARIN, 2011).
BD
U –
Bib
liote
ca D
igita
l da
UN
IVAT
ES
(htt
p://w
ww
.uni
vate
s.br/
bdu)
57
A infraestrutura de entrada da universidade (representada pela letra “A” na Figura 4)
concentra-se no Prédio 1, sendo atualmente composta por dois links ópticos de dois
provedores de serviço diferentes, chegando por distribuição aérea até as dependências da
instituição, onde ocorre a transição para a tubulação subterrânea que chega até a sala de
telecomunicações do Prédio 1.
O encaminhamento até o data center, que está situado no Prédio 9, é feito apenas por
interligação passiva no Distribuidor Interno Óptico (DIO), utilizando-se as rotas do backbone
óptico já existente para interligação com o mesmo.
4.2 Backbone
Os backbones de edifício existentes utilizam-se de fibras ópticas multimodo para
interligar as salas de telecomunicações de um mesmo prédio, possibilitando até dez gigabits
de tráfego. O backbone de campus (representado pela letra “B” na Figura 4), que interliga
dois ou mais edifícios de uma mesma área, é composto principalmente por cabos de fibra
óptica multimodo, com exceção de alguns casos onde as distâncias são maiores e existem
fibra monomodo, encaminhados de forma subterrânea, com a utilização de caixas de
passagem, com distâncias em média de trinta metros entre uma e outra, para interligação dos
prédios até o ponto central, o data center.
4.3 Data center
Segundo Marin (2011), os data centers são ambientes que possuem uma infraestrutura
diferenciada, que abrigam equipamentos que atuam no armazenamento e processamento dos
dados e informações cruciais de negócio de uma determinada organização.
O data center da UNIVATES (representado pela letra “C” na Figura 4) é composto por
vários componentes como climatização, suprimento de energia elétrica ininterrupta, sistema
de detecção e supressão de incêndio, controle de acesso, sistema de CFTV, piso elevado,
manta térmica, forro celular, portas corta fogo, parede de bloco celular, entre outros, que
compõem os projetos arquitetônico, elétrico, lógico, mecânico e de segurança.
BD
U –
Bib
liote
ca D
igita
l da
UN
IVAT
ES
(htt
p://w
ww
.uni
vate
s.br/
bdu)
58
4.3.1 Projeto Arquitetônico
O data center da instituição é composto por três ambientes localizados no Prédio 9.
Esta divisão se faz necessária a fim de prevenir o acesso indevido a locais cruciais sem que
haja necessidade e prover um ambiente de fácil manutenção.
4.3.1.1 Sala de nobreaks
Neste ambiente ocorre a ligação da distribuição de energia elétrica externa
(concessionária ou grupo gerador) com os nobreaks que atendem toda a demanda energética
do data center, abrigando também o quadro elétrico de entrada dos circuitos. Esta sala é
isolada das outras, pois possui maior concentração térmica e por agrupar uma grande
quantidade de circuitos elétricos.
4.3.1.2 Sala de telecomunicações
A sala de telecomunicações compreende no local que abriga todos os links ópticos
provenientes das outras salas de telecomunicações espalhadas por todo o campus da
instituição, além de abrigar todos os pontos de telecomunicações do Núcleo de Tecnologia da
Informação (NTI), a central e o sistema de detecção precoce de incêndio. Esta sala é separada
das demais, pois a mesma é acessada frequentemente por empresas terceirizadas que prestam
serviços e que não precisam de acesso à sala de equipamentos.
4.3.1.3 Sala de equipamentos
A sala de equipamentos é composta por quatro racks, sendo um de cabeamento cross-
connect (que interliga a parte traseira dos outros racks) e de módulos HDMPO (que interligam
os links ópticos à sala de telecomunicações) e de outros três que abrigam os ativos de rede
(servidores, roteadores, storages, core switch, controladora WI-FI e firewall).
4.3.2 Projeto elétrico
Conforme demonstra a Figura 6, o projeto elétrico do data center é composto pela
concessionária de energia elétrica, pelo grupo gerador e pelo nobreak. Cada um dos elementos
será detalhado a seguir.
BD
U –
Bib
liote
ca D
igita
l da
UN
IVAT
ES
(htt
p://w
ww
.uni
vate
s.br/
bdu)
59
Figura 6 - Diagrama do projeto elétrico
Fonte: Elaborado pelo autor (2014).
O fornecimento de energia elétrica do data center provêm de apenas uma
concessionária de energia (representada pela letra “A” na Figura 6), que em caso de falha é
coberta pela atuação de um grupo gerador (representada pela letra “B” na Figura 6) de 55
kilovoltampere (kVA) com autonomia de aproximadamente vinte horas (considerando-se que
o mesmo esteja completamente abastecido e com a carga atual) afim de evitar a interrupção
do fornecimento de energia elétrica.
Entre a interrupção do fornecimento de energia proveniente da concessionária e a
atuação do grupo gerador (em torno de vinte segundos) o data center conta com dois nobreaks
trifásicos de dupla conversão on-line (representada pela letra “D” na Figura 6) com quarenta
kVA de potência cada um (atuando em redundância), atendidos por dois bancos de 64 baterias
BD
U –
Bib
liote
ca D
igita
l da
UN
IVAT
ES
(htt
p://w
ww
.uni
vate
s.br/
bdu)
60
ligadas em série (representada pela letra “E” na Figura 6), afim de suprir a demanda
energética e evitar o corte total do fornecimento de energia elétrica.
Os circuitos elétricos provenientes da saída dos nobreaks são distribuídos em dois
quadros de força existentes na sala de servidores, subdivididos em outros circuitos de menor
capacidade. Os ativos existentes no data center possuem fonte elétrica redundante, sendo que
cada uma das fontes é ligada em um dos circuitos disponíveis (cada um proveniente de um
nobreak), garantindo que em caso de falha em algum dos dois nobreaks ou na própria fonte o
equipamento continuará funcionando.
4.3.3 Projeto mecânico
O projeto mecânico, composto pelo sistema de climatização do data center, possui dois
sistemas distintos atuando em conjunto. O primeiro utiliza-se do condicionador de ar central
do prédio, onde duas das doze máquinas fan coil (equipamento que utiliza água gelada e
dispensa o uso de fluidos refrigerantes) são destinadas a refrigeração do data center, sendo
uma de cinco TR (Tonelada de Refrigeração) e outra de dez TR.
O segundo sistema compreende em dois equipamentos tipo split, sendo um de cinco
TR e o outro de dez TR, conforme o primeiro sistema.
O condicionador de ar central opera nos horários comerciais, de segunda à sábado.
Nos horários em que o mesmo não atua, a refrigeração do data center é assumida pelo
segundo sistema de forma automática pela automação. Caso algum dos sistemas falhe o outro
entra em operação para atender a demanda de refrigeração dos ambientes.
4.3.4 Projeto de segurança
O projeto de segurança do data center é composto por um sistema de detecção e
combate a incêndios, de um sistema de controle de acesso e de monitoramento dos ambientes.
4.3.4.1 Sistema de detecção e combate a incêndios
O sistema de combate a incêndio é composto por uma central de incêndio, detectores
de fumaça e sensor de partículas para detecção precoce de possíveis focos de sinistros, que
atuam em conjunto com o disparo de um gás supressor de incêndios inerte, com a automação
BD
U –
Bib
liote
ca D
igita
l da
UN
IVAT
ES
(htt
p://w
ww
.uni
vate
s.br/
bdu)
61
do desligamento automático dos condicionadores de ar, fechamento dos dampers de entrada
do ar climatizado e de alarmes sonoros e visuais.
O sensor de partículas atua como uma forma antecipada ao sensor de fumaça, pois
possui maior sensibilidade que o mesmo, analisando, por exemplo, odores no ambiente em
caso de aquecimento na fiação elétrica. A atuação do sensor possui interface com a central de
incêndio, gerando um pré-alarme na mesma.
O gás utilizado para a supressão de incêndios é o FM-200 que é considerado um gás
inerte limpo e que não deixa vestígios, suprimindo o incêndio em até dez segundos,
impedindo a reação química do fogo (KIDDE, 2014).
4.3.4.2 Controle de acesso e monitoramento
O data center da UNIVATES conta com leitores biométricos nas portas de acesso aos
três ambientes citados anteriormente (com leitor de cartão e de biometria) para todos os
funcionários autorizados e para a equipe terceirizada de monitoramento em casos de sinistro.
Para monitoramento dos ambientes os administradores contam com sensor de
alagamento nos dampers de entrada do ar refrigerado da climatização, sensores de umidade,
de temperatura e de abertura de portas, além de um sistema de CFTV.
4.3.5 Projeto lógico
O projeto lógico do data center é composto por todos os ativos existentes, pelo
cabeamento estruturado que os interliga e pelos serviços disponibilizados aos usuários.
O roteador utilizado no data center (representado pela letra “D” na Figura 4) é um
equipamento da marca Cisco, modelo 2921, tendo como função intermediar os links de
Internet ao firewall externo e à rede da instituição.
O roteador utiliza-se de dois links de Internet: um proveniente da Rede Nacional de
Pesquisa (RNP), por intermédio do POP-RS (Ponto de Presença da RNP no Rio Grande do
Sul) e outro com uma empresa provedora do serviço de Internet.
O firewall externo (representado pela letra “E” na Figura 4) é o equipamento da marca
Palo Alto Networks, modelo PA- 3050.
BD
U –
Bib
liote
ca D
igita
l da
UN
IVAT
ES
(htt
p://w
ww
.uni
vate
s.br/
bdu)
62
O core switch (representado pela letra “F” na Figura 4) é o Enterasys S8, atuando no
roteamento estático para encaminhamento de pacotes, como firewall interno e no acesso entre
as redes utilizando-se o recurso de Access Control List (ACL). A controladora WI-FI
(representado pela letra “G” na Figura 4) que gerencia os pontos de acesso da rede sem fio é
um equipamento da marca Cisco, modelo 5508, atuando em redundância com mais um
equipamento do mesmo modelo.
4.4 Sala de telecomunicações
Segundo Marin (2011), a sala de telecomunicações compreende em um local da
instalação que serve para abrigar toda a infraestrutura relacionada com a função de
telecomunicações como racks, switches, nobreaks e painéis de interligação do cabeamento
horizontal com o cabeamento vertical.
Segundo o NTI, a UNIVATES conta com 43 salas de telecomunicações ativas
espalhadas pelos prédios do campus, sendo que os prédios que possuem maior concentração
de pontos ou que possuem muita área são atendidos por mais de uma sala de
telecomunicações (componente representado pela letra “H” na Figura 4).
Todas as salas de telecomunicações existentes possuem acesso restrito aos
funcionários do NTI da instituição, ambiente climatizado e fornecimento de energia suprido
por nobreaks, conforme detalhado nas subseções a seguir.
4.4.1 Fornecimento de energia elétrica
A alimentação elétrica das salas de telecomunicações e das áreas de trabalhos dos
usuários é feita através de uma derivação do Quadro Geral de Baixa Tensão (QGBT) do
pavimento por meio de um circuito trifásico, sendo subdividido em circuitos monofásicos de
menor amperagem para atender as tomadas elétricas dos diversos ambientes.
O fornecimento da energia elétrica das salas de telecomunicações é provido por apenas
uma concessionária de energia por prédio, não havendo redundância para casos de falha. A
sala de telecomunicações, bem como os ativos, switches, pontos de acesso WI-FI e
equipamentos de vigilância (CFTV) são atendidos por nobreaks individuais (um para cada
sala de telecomunicações).
BD
U –
Bib
liote
ca D
igita
l da
UN
IVAT
ES
(htt
p://w
ww
.uni
vate
s.br/
bdu)
63
4.4.2 Climatização
Todas as salas de telecomunicações do campus possuem pelo menos um
condicionador de ar modelo split a fim de climatizar o ambiente e evitar superaquecimento
dos equipamentos. Os mesmos são revisados semanalmente pelos funcionários do NTI e
trimestralmente por técnicos do setor de Engenharia e Manutenção com o intuito de
identificar e prevenir problemas nos equipamentos.
4.4.3 Ativos de rede
Segundo o NTI, a rede de computadores da UNIVATES conta com 95 switches
(dentre switches de acesso, distribuição e o core switch). Dentre os switches de acesso
utilizados (componente representado pela letra “A” na Figura 5), a instituição dispõe de
equipamentos da marca Enterasys, com modelos das linhas A2, B2, B5, C2 e V2 e os da
marca DELL, com os modelos 6224P e 6248, sendo que o primeiro modelo possui
disponibilidade da função Power Over Ethernet (PoE) para atender a demanda dos pontos de
acesso WI-FI. Todos os switches utilizados na rede são gerenciáveis.
O equipamento Enterasys N7 alocado na sala de telecomunicações do prédio um atua
como centralizador de todos os links ópticos inerentes ao CFTV da instituição e também atua
como distribuidor, mediando acesso ao Prédio da SAJUR e do Ponto de Troca de Tráfego
(PTT) instituído na universidade.
O equipamento Enterasys G3 existente na sala de telecomunicações do Prédio 17 atua
como distribuidor, interligado por um enlace óptico até o data center, atendendo o próprio
prédio, o Prédio 18, a Sede Social e o prédio da Tecnovates.
A Figura 7 apresenta os switches de acesso e distribuição, seus respectivos esquemas
de ligação existentes em toda a infraestrutura da instituição e o core switch, equipamento
centralizador, alocado no data center no Prédio 9.
BD
U –
Bib
liote
ca D
igita
l da
UN
IVAT
ES
(htt
p://w
ww
.uni
vate
s.br/
bdu)
64
Figura 7 - Ativos de rede do Centro Universitário UNIVATES
Fonte: Retirado da ferramenta Zabbix utilizado pelo Núcleo de Tecnologia da Informação da UNIVATES.1
1 Zabbix: Ferramenta livre de monitoramento de disponibilidade e performance de redes, servidores e serviços atuando de forma preventiva e detectiva na infraestrutura de TI.
A utilização dessa ferramenta permite aos administradores de rede da Univates um monitoramento quanto a disponibilidade dos ativos, visando a resolução do problema no
menor tempo possível.
BD
U –
Bib
liote
ca D
igita
l da
UN
IVAT
ES
(htt
p://w
ww
.uni
vate
s.br/
bdu)
65
4.5 Meios de transmissão e cabeamento estruturado
O cabeamento horizontal (representado pela letra “B” na Figura 5) existente nos
prédios do campus utilizam cabos certificados de fábrica tipo Unshielded Twisted Pair (UTP)
de categorias 5e, 6 e 6A (sendo o último utilizado apenas no data center), com
encaminhamento até a área de trabalho utilizando-se eletro calhas, canaletas de alumínio,
eletro dutos, leitos e conectores fêmea de oito vias padrão RJ45 na área de trabalho.
Atualmente a instituição conta com cerca de quatro mil e quinhentos pontos de
telecomunicações, conforme dados do NTI, instalados em topologia estrela. Todos os
subsistemas de cabeamento atendem as normas vigentes anteriormente citadas no referencial
teórico.
4.6 Rede sem fio
A rede sem fio (WI-FI) da UNIVATES atinge mais de cinco mil e duzentos acessos
simultâneos em horário de aula, nos 214 pontos de acesso sem fio distribuídos pelo campus
(componente representado pela letra “C” na Figura 5), conforme dados do Núcleo de
Tecnologia da Informação da instituição.
O ambiente acadêmico é atendido tanto pela rede WI-FI quanto pela rede cabeada
utilizada nos laboratórios de informática. A rede WI-FI, utilizada principalmente pelos alunos
e professores por meio de dispositivos particulares e da instituição, compreende a maior
demanda de rede nos horários de aula.
A Figura 8 demonstra a interface de monitoramento em tempo real de toda a rede WI-
FI do campus, com informações como quantidade de pontos de acesso por prédio, quantidade
de usuários totais e por prédio, disponibilidade dos pontos de acesso e da controladora e
distribuição dos usuários por perfil (aluno, professor e visitante).
BD
U –
Bib
liote
ca D
igita
l da
UN
IVAT
ES
(htt
p://w
ww
.uni
vate
s.br/
bdu)
66
Figura 8 - Monitoramento da rede WI-FI
Fonte: Retirado do ferramenta Zabbix utilizado pelo Núcleo de Tecnologia da Informação da UNIVATES.
4.7 Estações de trabalho
Segundo o NTI da UNIVATES, os dispositivos que compõem as estações de trabalho
da instituição correspondem em torno de 1870 equipamentos conectados à rede, sendo em
torno de 960 administrativos e 912 computadores para uso acadêmico (representados pela
letra “D” na Figura 5). Dentre estes dispositivos, 79% são desktops, 10% notebooks, 5% thin
clients e 6% tablets. No que diz respeito ao sistema operacional, 79% possuem Windows 7,
16% distribuições Linux, 3% Windows 8 e 2% utilizam MAC OS.
As estações de trabalho são compostas por equipamentos das marcas Dell, Acer,
Lenovo, HP, LG e Samsung e são inventariados pela solução da Dell denominada KACE
1000, administrado pelo setor do NTI.
4.8 Aterramento
Todos os passivos existentes no data center como racks, patch panels e tomadas
elétricas possuem aterramento adequado, bem como os cabos e conectores blindados
utilizados no cabeamento categoria 6A.
BD
U –
Bib
liote
ca D
igita
l da
UN
IVAT
ES
(htt
p://w
ww
.uni
vate
s.br/
bdu)
67
O cabeamento horizontal dos prédios da instituição possui aterramento nos condutos
que realizam o encaminhamento até a área de trabalho, nos quadros elétricos e em suas
tomadas, sendo que os cabos utilizados não possuem blindagem (cabos UTP).
4.9 ISPs
Para atender a demanda de acesso externo (WAN) a instituição utiliza-se de dois ISPs,
ambos com velocidade de 200 Megabits por segundo, conforme demostra a Figura 9, onde
pode-se visualizar o tráfego (de entrada e de saída), a velocidade contratada, a disponibilidade
dos roteadores e do core switch.
Figura 9 - Tráfego WAN
Fonte: Retirado da ferramenta Zabbix, utilizada pelo Núcleo de Tecnologia da Informação da UNIVATES.
4.10 Serviços
Os serviços de rede e de sistemas internos utilizados pelos alunos e professores no
âmbito acadêmico da instituição consistem principalmente no acesso à Internet e ao site da
UNIVATES (www.univates.br), ao ambiente virtual de aprendizagem (UNIVATES Virtual),
ao sistema de gerenciamento acadêmico do aluno (Universo UNIVATES), ao sistema de
pesquisa, acesso online e reserva de livros acadêmicos e ao e-mail acadêmico dos alunos e
dos professores.
Todos os serviços acima citados estão hospedados em máquinas virtuais alocadas em
dois equipamentos blade da marca Dell modelo M1000e. Todo o gerenciamento de hardware
BD
U –
Bib
liote
ca D
igita
l da
UN
IVAT
ES
(htt
p://w
ww
.uni
vate
s.br/
bdu)
68
dos equipamentos é realizado por um software gerenciador, bem como a migração das
máquinas virtuais em caso de falha de algum dos hosts de determinado equipamento.
A Figura 10 apresenta o monitoramento dos servidores alocados no data center quanto a
sua disponibilidade, o tráfego com o core switch, além de outras informações como latência e
quantidade de conexões.
Figura 10 - Monitoramento dos servidores e de dispositivos de armazenamento
Fonte: Retirado da ferramenta Zabbix, utilizada pelo Núcleo de Tecnologia da Informação da UNIVATES
Neste capítulo foram abordados todos os elementos constituintes da infraestrutura de
TI do Centro Universitário UNIVATES, apresentando o data center, as salas de
telecomunicações e seus subsistemas.
No capítulo seguinte são apresentados os resultados e a análise dos dados provenientes
da aplicação dos formulários e metodologias apresentados no Capítulo 3.
BD
U –
Bib
liote
ca D
igita
l da
UN
IVAT
ES
(htt
p://w
ww
.uni
vate
s.br/
bdu)
69
5 APRESENTAÇÃO DO MODELO DE GESTÃO DE RISCO E
ANÁLISE DOS RESULTADOS
Neste capítulo é apresentado o modelo de gestão de riscos proposto, os resultados da
aplicação dos formulários e a análise realizada a partir dos mesmos com base na revisão
bibliográfica apresentada e nos métodos descriminados no Capítulo 3.
Conforme apresentado na Figura 11, o modelo de gestão de riscos definido pela norma
ABNT NBR ISO/IEC 31000 é dividido em cinco etapas, sendo a definição do contexto, a
análise, avaliação, tratamento e aceitação dos riscos.
Figura 11 – Processo de gestão de riscos segundo a norma ABNT NBR ISO/IEC 31000
Fonte: ABNT NBR ISO/IEC 31000 (2009).
BD
U –
Bib
liote
ca D
igita
l da
UN
IVAT
ES
(htt
p://w
ww
.uni
vate
s.br/
bdu)
70
O modelo de gestão de riscos proposto abrange as três principais etapas sugeridas pela
norma, compreendidas pelo estabelecimento do contexto, pelo processo de avaliação de riscos
e pelo posterior tratamento e acompanhamento dos mesmos. A confecção do modelo foi
fortemente embasada nas normas ABNT NBR ISO/IEC 17799 e suas revisões, 27004, 27005,
31000 e 31010, apoiadas também no referencial teórico obtido.
Para aplicação do método proposto utilizou-se três formulários distintos. Um para a
análise do grau de aderência a norma ABNT NBR ISO/IEC 17799 (Anexo A), um para
análise do grau de maturidade do processo de gestão de riscos (Anexo B) e outro para
avaliação dos riscos que a infraestrutura de TI oferece ao processo de ensino e de
aprendizagem do Centro Universitário UNIVATES (Apêndice A). Cada formulário
corresponde a um framework específico, que visa à obtenção dos resultados para posterior
análise.
Os formulários de análise do grau de aderência a norma e de análise do grau de
maturidade do processo de gestão de riscos foram aplicados a alguns funcionários com cargos
gerenciais do NTI da UNIVATES, sem identificação do respondente. O formulário de
avaliação dos riscos foi aplicado aos alunos, professores e alguns funcionários do setor do
NTI.
Após a definição do contexto, é realizada a avaliação dos principais riscos impostos
pela infraestrutura de TI ao processo de ensino e de aprendizagem, determinados pela
aplicação do formulário previamente descrito, e realizado uma análise com base na correlação
existente entre os riscos, ao grau de maturidade e aderência e ao cenário ao qual o processo
está inserido. Com as informações obtidas até este ponto, é definido o plano de continuidade
para o processo de ensino e de aprendizagem na UNIVATES.
Na seção a seguir, será apresentada a definição do contexto ao qual o estudo aborda
com base nas recomendações da norma ABNT NBR ISO/IEC 31000.
5.1 Estabelecimento do contexto
Segundo a norma ABNT NBR ISO/IEC 31000, o estabelecimento do contexto ao qual
a gestão de riscos será aplicada necessita que haja a definição do contexto externo e do
contexto interno, a fim de estabelecer um escopo e os critérios a serem utilizados.
BD
U –
Bib
liote
ca D
igita
l da
UN
IVAT
ES
(htt
p://w
ww
.uni
vate
s.br/
bdu)
71
Para a realização do presente estudo não considerou-se o contexto externo da
organização, pois a proposta visa avaliar os controles e procedimentos internos quanto a
gestão e a maturidade da gestão de riscos.
Embora existam diversas abordagens para definição do contexto interno, o presente
estudo consideradas as abordagens quanto a área e processo, caracterizando uma abordagem
mista. Nesta abordagem mista, o objetivo será avaliar o risco que a área de TI impõe ao
processo de ensino e de aprendizagem do Centro Universitário UNIVATES.
Figura 12 - Contexto interno da UNIVATES
Fonte: Elaborado pelo autor (2014).
Conforme ilustra a Figura 12, o contexto interno do Centro Universitário UNIVATES,
é composto pelas pessoas que atuam nas atividades docentes e discentes, pelo ambiente
computacional, ou infraestrutura de TI, que refere-se a área, e pela transmissão de
conhecimento adotado em sala de aula, o processo.
Para definição do contexto interno com relação aos métodos, diretrizes e políticas
adotadas pela organização são utilizados os frameworks de definição do grau de aderência da
segurança da informação e do grau de maturidade com relação a gestão de riscos.
Para definição da relevância ao qual o processo de ensino e de aprendizagem apresenta
na visão dos alunos e professores, aplicou-se um formulário com perguntas gerais referentes
as metodologias de ensino utilizadas em sala de aula e qual a percepção que os alunos
BD
U –
Bib
liote
ca D
igita
l da
UN
IVAT
ES
(htt
p://w
ww
.uni
vate
s.br/
bdu)
72
possuem em relação a utilização da TI em sala de aula. Na seção a seguir serão apresentados
os resultados deste formulário.
5.1.1 Avaliação da relevância da TIC no processo de ensino e de aprendizagem
Com o intuito de verificar qual o grau de utilização da TIC na universidade e a
relevância que a mesma apresenta na visão dos alunos e professores, foi aplicado um
formulário contendo algumas questões referentes ao uso de TI no processo de ensino e de
aprendizagem.
O Quadro 3 apresenta os resultados obtidos da aplicação do questionário referente a
percepção dos alunos, professores e funcionários com relação a utilização da TI no processo
de ensino e de aprendizagem.
Quadro 3- Relevância da TI no processo de ensino e de aprendizagem
Quais metodologias são predominantemente utilizadas no processo de ensino e de
aprendizagem no meu curso?
Aulas expositivas
(0%)
Aulas expositivas e
práticas com a
utilização de
tecnologia da
informação
(87%)
Aulas práticas com a
utilização de
tecnologia da informação
(7%)
Aulas práticas com a
utilização de
metodologias tradicionais
(7%)
Nenhuma
das
anteriores (0%)
Com que frequência utilizo algum recurso de
tecnologia da informação disponibilizado pela instituição (WI-FI, Laboratórios de
informática, Terminais de Consulta)?
Todos os dias
(40%)
Até três vezes
por semana
(40%)
Até duas
vezes por semana
(7%)
Uma vez por
semana
(13%)
Não utilizo/
Nunca utilizei
(0%)
Quais dos seguintes recursos utilizo com maior
frequência para acesso a ambientes acadêmicos
(UNIVATES Virtual, Universo UNIVATES, Balcão de Empregos, etc.)?
WI-FI
(dispositivo
próprio)
(80%)
Laboratórios de
informática
(13%)
Terminais de
consulta
(0%)
Acesso
somente de
casa (7%)
Não utilizo/
Nunca
utilizei (0%)
A Tecnologia da Informação (ambiente virtual,
pesquisas online, laboratórios de informática,
trabalhos com o uso de TI, etc.) foi fundamental no processo de ensino e de
aprendizagem nas disciplinas que
cursei/lecionei.
Concordo
plenamente
(53%)
Concordo (47%)
Indiferente (0%)
Discordo (0%)
Discordo
plenamente
(0%)
As metodologias que utilizam tecnologia da informação utilizadas pelo professor seriam
facilmente substituídas por métodos de
aprendizagem tradicionais em caso de indisponibilidade destes recursos?
Concordo
plenamente
(0%)
Concordo (7%)
Indiferente (7%)
Discordo
(73%)
Discordo
plenamente
(13%)
Caso houvesse indisponibilidade do acesso à
Internet durante as aulas as consequências no processo de ensino e de aprendizagem para
mim seriam:
Minha
aprendizagem
ficaria completamente
comprometida
(7%)
Minha
aprendizagem
seria
parcialmente
afetada
(73%)
Não afetaria
meu aprendizado
(20%)
Não utilizo
Internet nas aulas
(0%)
-
Para qual finalidade mais utilizo a tecnologia
da informação em sala de aula? Pesquisas
(47%)
Escrita colaborativa
(13%)
Trabalhos em
grupo em sala
de aula (20%)
Redes sociais
(13%)
Outro
(7%)
Os métodos de segurança de rede empregados pela instituição (controle de utilização, logins,
políticas de acesso, etc. ) são:
Adequados
(67%)
Parcialmente adequados
(13%)
Pouco adequados
(0%)
Inadequados
(0%) -
Em sua totalidade, os recursos de TI utilizados
no processo de ensino e de aprendizagem na
UNIVATES são:
Adequados
(67%)
Parcialmente
adequados
(13%)
Pouco
adequados
(0%)
Inadequados (0%)
-
Fonte: Elaborado pelo autor (2014).
BD
U –
Bib
liote
ca D
igita
l da
UN
IVAT
ES
(htt
p://w
ww
.uni
vate
s.br/
bdu)
73
Conforme base nos resultados obtidos, pode-se averiguar que existe uma grande
dependência da utilização de tecnologia da informação no processo de ensino e de
aprendizagem. Os respondentes afirmam que a utilização da TI em sala de aula é crucial para
o desenvolvimento das atividades docentes, e que, em caso de indisponibilidade deste recurso,
a mesma não seria facilmente substituída, afetando parcialmente a aprendizagem dos alunos.
Os resultados apontam ainda que os alunos utilizam a infraestrutura de tecnologia da
informação da instituição todos os dias ou pelo menos três vezes por semana, principalmente
por meio de dispositivos próprios (smartphones, tablets, notebooks, etc.) para acesso a
pesquisas online, por meio da rede sem fio disponibilizada pela instituição.
Com relação aos métodos de segurança e a totalidade dos recursos utilizados na
infraestrutura de TI da UNIVATES, os respondentes sugerem que os mesmos encontram-se
adequados.
Na seção a seguir, serão apresentados os resultados do formulário de grau de aderência
do Centro Universitário UNIVATES em relação às recomendações de segurança da
informação da norma ABNT NBR ISO/IEC 27002.
5.1.2 Avaliação do grau de conformidade da gestão de segurança da informação
A avaliação do grau de conformidade da gestão de segurança da informação da
UNIVATES tem como objetivo determinar qual o nível de aderência da organização em
relação aos controles propostos pela norma ABNT NBR ISO/IEC 17799.
Para realização da avaliação deste, utilizou-se o framework apresentado no livro
“Gestão da segurança da informação”, de Marcos Sêmola (2003) (Anexo A).
Para a definição do índice de conformidade utilizou-se a tabela de pontuação
apresentada no Quadro 4, também proposto pelo mesmo autor.
Quadro 4 - Teste de conformidade - Tabela de Pontuação
Resposta A: some dois pontos.
Resposta B: some um ponto.
Resposta C: não some, nem subtraia pontos. Fonte: Sêmola (2003).
BD
U –
Bib
liote
ca D
igita
l da
UN
IVAT
ES
(htt
p://w
ww
.uni
vate
s.br/
bdu)
74
O índice de conformidade possibilitará que seja feita um enquadramento do nível de
aderência da organização em relação ao que é considerado referência em gestão da segurança
da informação.
Para a análise dos domínios que são abrangidos pelo questionário dividiu-se as
questões específicas de cada área em seções individuais para melhor explanação do conteúdo
abordado em cada uma. O questionário foi aplicado a cinco colaboradores estratégicos do
NTI, sendo que o resultado obtido é apresentado por meio de um quadro de cada área, com o
número de respostas obtidas em cada uma das questões.
O framework utilizado foi elaborado por Sêmola (2003) com o intuito de possuir
apenas um respondente, com uma resposta por questão. Neste estudo o mesmo foi aplicado a
vários entrevistados e obtiveram-se resultados dispersos em algumas questões, o que já
apresenta uma falta de coerência entre os entrevistados. Sendo assim, serão consideradas as
respostas que possuírem maior aderência dos respondentes, sendo feita uma verificação
quanto a sua consistência, avaliando-se o cenário existente na instituição.
5.1.2.1 Grau de aderência à política de segurança da informação
Conforme apresentado na norma ABNT NBR ISO/IEC 17799, a política de segurança
da informação compreende no provimento de uma orientação e apoio para que exista
segurança da informação na organização com relação aos requisitos do negócio e com as leis
e regulamentações vigentes. Para tanto se faz necessário que exista uma política clara,
disponível a todos e que apresente o comprometimento com a segurança da informação da
organização.
O Quadro 5 apresenta a aderência ou não da UNIVATES com relação a uma política
de segurança da informação.
Quadro 5 - Grau de aderência à política de segurança da informação Prática Aderência
Sim Sim, porém desatualizada/ Sim, porém
não está desempenhando a função
Não
Política de segurança 1 2 2
Algum responsável pela gestão da política
de segurança? - 1 4
Fonte: Elaborado pelo autor (2014), teste de conformidade (Sêmola, 2003).
No quesito política de segurança da informação, obtiveram-se duas respostas “Não”,
duas respostas “Sim, porém desatualizada” e uma resposta “Sim”. Como as respostas obtidas
BD
U –
Bib
liote
ca D
igita
l da
UN
IVAT
ES
(htt
p://w
ww
.uni
vate
s.br/
bdu)
75
estão bastante dispersas, pode-se concluir que este quesito não está de acordo com a norma,
pois a mesma requer que a política de segurança, caso exista, seja conhecida por todos na
organização.
Quanto ao conhecimento de um responsável pela gestão da política de segurança
obteve-se uma resposta “Sim, porém não está desempenhando a função” e quatro respostas
não, o que evidencia que caso já houve a existência dessa pessoa, atualmente não exerce mais
a função na organização. Sendo assim, pode-se que concluir que no segmento de política de
segurança da informação o Centro Universitário UNIVATES encontra-se em um estado
ingênuo.
5.1.2.2 Grau de aderência à segurança organizacional
A segurança organizacional tem como objetivo assegurar a proteção de pessoas, dos
bens e instalações da organização, afim de que exista integridade e continuidade nos
elementos que compõem o negócio. Esta etapa considera as diretrizes, as normas e os
procedimentos relacionados à segurança organizacional no que refere-se a ações corporativas
internas e também com prestadores de serviço terceirizados. O Quadro 6 apresenta o grau de
aderência à segurança organizacional avaliado.
Quadro 6 – Grau de aderência à segurança organizacional Prática Aderência
Sim Sim, porém desatualizada Não
Infraestrutura de segurança da informação
para gerenciar as ações coorporativas ? 2 2 1
Fórum de segurança formado pelo corpo
diretor, a fim de gerir mudanças
estratégicas?
- 2 3
Definição clara das atribuições de
responsabilidade associadas à segurança da
informação?
2 1 2
Identificação dos riscos no acesso de
prestadores de serviço? 3 - 2
Controle de acesso específico para os
prestadores de serviço? 4 1 -
Requisitos de segurança dos contratos de
terceirização? 2 - 3
Fonte: Elaborado pelo autor (2014), teste de conformidade (Sêmola, 2003).
No segmento de segurança organizacional, novamente obteve-se respostas dispersas dos
entrevistados, o que mostra uma falta de congruência entre os respondentes do NTI.
Pode-se verificar que metade das questões aqui apresentadas foram apontadas em sua
maioria como não existente, ou ainda existente, mas desatualizada. A questão que apresentou
BD
U –
Bib
liote
ca D
igita
l da
UN
IVAT
ES
(htt
p://w
ww
.uni
vate
s.br/
bdu)
76
maior coerência dos respondentes foi a inerente aos controles de acesso aos prestadores de
serviço, que apresentou quatro respostas “Sim”, o que representa aderência a este quesito.
Contudo verifica-se que a segurança organizacional da UNIVATES apresenta alguns
quesitos que estão de acordo com a norma, mas, devido a divergência de opiniões e a alta
quantidade de respostas negativas nas questões acima pode-se afirmar que a mesma não está
de acordo com o proposto pela norma ABNT NBR ISO/IEC 17799.
5.1.2.3 Grau de aderência à classificação e controle dos ativos
Segundo a norma ABNT NBR ISO/IEC 17799, o controle e a classificação dos ativos,
que são compostos por todos os elementos que representam algum valor a organização, tem
como objetivo alcançar e manter uma proteção adequada aos ativos da organização. Para tanto
é necessário que haja um inventário desses ativos, um responsável pela sua manutenção e
controles específicos.
O Quadro 7 apresenta os resultados obtidos quanto a aderência, ou não à classificação
e controle dos ativos.
Quadro 7 - Grau de aderência à classificação e controle dos ativos
Prática Aderência
Sim Sim, porém desatualizada Não
Inventário dos ativos físicos, lógicos e
humanos? 4 1 -
Critérios de classificação da informação? 1 1 3
Fonte: Elaborado pelo autor (2014), teste de conformidade (Sêmola, 2003).
Com base nas respostas obtidas no quesito de classificação e controle dos ativos,
verifica-se que 80% dos respondentes concordam que existe um controle dos ativos físicos,
lógicos e humanos da organização, entretanto obteve-se três respostas negativas quanto a
classificação da informação, concluindo-se que não há uma classificação satisfatória quanto a
sua necessidade, prioridade e nível esperado de proteção conforme apresenta a norma ABNT
NBR ISO/IEC 17799.
5.1.2.4 Grau de aderência à segurança em pessoas
A segurança em pessoas tem como objetivo assegurar que funcionários, fornecedores e
terceiros estejam de acordo com o seu propósito na organização, a fim de evitar riscos de
roubo, fraude ou mau uso dos recursos (ABNT NBR ISO/IEC 17799, 2009).
BD
U –
Bib
liote
ca D
igita
l da
UN
IVAT
ES
(htt
p://w
ww
.uni
vate
s.br/
bdu)
77
Este quesito visa também evitar que ocorram falhas humanas e que exista também a
prática de capacitação dos colaboradores da organização. O Quadro 8 demonstra o grau de
aderência quanto à segurança em pessoas.
Quadro 8 - Grau de aderência à segurança em pessoas
Prática Aderência
Sim Sim, porém desatualizada Não
Critérios de seleção e política de pessoal? 4 - 1
Acordo de confidencialidade, termos e
condições de trabalho? 1 2 2
Processos para capacitação e treinamento de
usuários? 5 - -
Estrutura para notificar e responder aos
incidentes e falhas de segurança? 2 1 2
Fonte: Elaborado pelo autor (2014), teste de conformidade (Sêmola, 2003).
Pode-se observar nas respostas apresentadas que, apesar da UNIVATES possuir
critérios de seleção e política de pessoal e capacitação dos usuários, não existem termos de
confidencialidade e condições de trabalho, tampouco estruturas que notifiquem incidentes ou
falhas.
Novamente as respostas obtidas possuem grandes disparidades, indicando que o
quesito não foi alcançado ou não é de conhecimento de todos os respondentes.
5.1.2.5 Grau de aderência à segurança física e de ambiente
Segundo a norma ABNT NBR ISO/IEC 17799, a segurança física e de ambiente visa
prevenir o acesso indevido aos ambientes de TI da organização evitando que ocorram danos
ou interferências nas instalações e informações da organização.
Para cumprimento das exigências deste quesito faz-se necessário que existam áreas
seguras para abrigar as instalações de processamento e armazenagem de dados, bem como da
existência de segurança lógica da rede. O Quadro 9 apresenta o grau de aderência ou não à
segurança física e de ambiente.
Quadro 9 - Grau de aderência à segurança física e de ambiente
Prática Aderência
Sim Sim, porém desatualizada Não
Definição de perímetros e controles de acesso físico
aos ambientes? 5 - -
Recursos para segurança e manutenção dos
equipamentos? 5 - -
Estrutura para fornecimento adequado de energia? 4 1 -
Segurança do cabeamento? 4 1 -
Fonte: Elaborado pelo autor (2014), teste de conformidade (Sêmola, 2003).
BD
U –
Bib
liote
ca D
igita
l da
UN
IVAT
ES
(htt
p://w
ww
.uni
vate
s.br/
bdu)
78
Conforme a avaliação do quadro pode-se verificar que os resultados advindos do
segmento de segurança física e de ambiente encontram-se bastante coesos, o que demonstra
que a UNIVATES possui total aderência a esta seção da norma.
5.1.2.6 Grau de aderência ao gerenciamento das operações e comunicações
O quesito de gerenciamento das operações e comunicações visa garantir que o
processamento, operação, gerenciamento e contabilização das informações sejam realizados
utilizando-se critérios de segurança da informação.
Atualmente os sistemas de comunicação estão apoiados fortemente pelas redes de
computadores, pela Internet e por suas variações, o que apresenta fundamental importância à
organização. O Quadro 10 apresenta o grau de aderência ao gerenciamento das operações e
comunicações.
Quadro 10 - Grau de aderência ao gerenciamento das operações e comunicações
Prática Aderência
Sim Sim, porém desatualizada Não
Procedimentos e responsabilidades
operacionais? 4 - 1
Controle de mudanças operacionais? 1 2 2
Segregação de funções e ambientes? 4 - 1
Planejamento e aceitação de sistemas? 4 - 1
Procedimentos para cópias de segurança? 5 - -
Controles e gerenciamento de rede? 5 - -
Mecanismos de segurança e tratamento de
mídias? 3 2 -
Procedimentos para documentação de
sistemas? 1 4 -
Mecanismos de segurança do correio
eletrônico? 4 1 -
Fonte: Elaborado pelo autor (2014), teste de conformidade (Sêmola, 2003).
Conforme demonstrado no quadro, a maioria das práticas sugeridas pelo segmento de
gerenciamento das operações e comunicações está sendo aplicada. Dentre as práticas que
foram apontadas como não conformes, pode-se destacar o controle de mudanças operacionais
e os mecanismos de segurança e tratamento de mídias. Em relação à documentação de
sistemas, os entrevistados afirmaram que a mesma existe, mas é considerada desatualizada.
Neste segmento, de forma não condizente as recomendações da norma, novamente é
percebido uma falta de coesão entre os respondentes em algumas das práticas sugeridas, o que
pode caracterizar falta de comunicação, capacitação ou de transparência.
BD
U –
Bib
liote
ca D
igita
l da
UN
IVAT
ES
(htt
p://w
ww
.uni
vate
s.br/
bdu)
79
5.1.2.7 Grau de aderência ao controle de acesso
O segmento de controle de acesso abordado pela norma ABNT NBR ISO/IEC 17799,
compreende realizar o controle do acesso à informação. O acesso da informação (acesso a um
ambiente, a um dispositivo, a um sistema, processo, etc.) deve ser controlado com base nos
requisitos de negócio e segurança da informação. O Quadro 11 apresenta os resultados quanto
o grau de aderência ao controle de acesso.
Quadro 11 - Grau de aderência ao controle de acesso
Prática Aderência
Sim Sim, porém desatualizada Não
Requisitos do negócio para controle de acesso? 3 1 1
Gerenciamento de acesso do usuário? 4 1 -
Controle de acesso à rede? 5 - -
Controle de acesso ao sistema operacional? 5 - -
Controle de acesso às aplicações? 4 1 -
Monitoração de uso e acesso ao sistema? 4 - 1
Critérios para computação móvel e trabalho remoto? 3 - 2
Fonte: Elaborado pelo autor (2014), teste de conformidade (Sêmola, 2003).
No que diz respeito aos controles de acesso, a maioria das respostas obtidas pela
aplicação do questionário demonstram que existe uma política da UNIVATES quanto ao
controle de acesso à rede, ao sistema operacional, as aplicações ao acesso e uso do sistema,
compreendendo em uma alta aderência a norma.
As únicas práticas que não alcançaram o mínimo de 80% das respostas obtidas foram a
da existência de requisitos do negócio para controle de acesso, que pode não estar completa e
de critérios para computação móvel e trabalho remoto, tendo em vista que essa prática não é
muito utilizada pelos funcionários.
5.1.2.8 Grau de aderência ao desenvolvimento e manutenção de sistemas
O preceito de grau de aderência ao desenvolvimento e manutenção de sistemas tem
como objetivo determinar se existe a aplicação de segurança da informação no
desenvolvimento, distribuição e manutenção de sistemas de informação. O Quadro 12
apresenta os resultados do grau de aderência quanto ao desenvolvimento e manutenção de
sistemas da instituição.
BD
U –
Bib
liote
ca D
igita
l da
UN
IVAT
ES
(htt
p://w
ww
.uni
vate
s.br/
bdu)
80
Quadro 12 - Grau de aderência ao desenvolvimento e manutenção de sistemas
Prática Aderência
Sim Sim, porém desatualizada Não
Requisitos de segurança de sistemas? 2 3 -
Controle de criptografia? 4 1 -
Mecanismos de segurança nos processos de
desenvolvimento e suporte? 3 2 -
Fonte: Elaborado pelo autor (2014), teste de conformidade (Sêmola, 2003).
No quesito de desenvolvimento e manutenção de sistemas pode-se verificar que,
apesar da falta de coerência entre os respondentes, não obteve-se nenhuma resposta negativa,
concluindo-se que os requisitos de segurança de sistemas, o controle de criptografia e a
segurança no desenvolvimento e suporte aos sistemas estão implementados, podendo estar
apenas desatualizados.
5.1.2.9 Grau de aderência à gestão da continuidade do negócio
A gestão da continuidade do negócio visa garantir que existam planos de contingência
e continuidade do negócio que objetivem a ininterrupção dos processos críticos da
organização ou a retomada destes em tempo hábil.
Quadro 13 - Grau de aderência à gestão da continuidade do negócio
Prática Aderência
Sim Sim, porém desatualizada Não
Processo de gestão da continuidade do
negócio? 1 - 4
Fonte: Elaborado pelo autor (2014), teste de conformidade (Sêmola, 2003).
No quesito de gestão de continuidade, 80% dos respondentes afirmam que não existe
uma gestão de continuidade do negócio na instituição, entretanto, se analisado o cenário da
infraestrutura de TI apresentado, pode-se averiguar diversos mecanismos de contingência e de
continuidade, principalmente no que diz respeito aos componentes existentes no data center
da instituição.
5.1.2.10 Grau de aderência à conformidade
O grau de aderência à conformidade consiste em avaliar a existência de violações de
quaisquer obrigações legais, estatutárias, regulamentares ou contratuais no que diz respeito
aos requisitos de segurança da informação. Os dados obtidos para este grau de aderência são
apresentados no Quadro 14.
.
BD
U –
Bib
liote
ca D
igita
l da
UN
IVAT
ES
(htt
p://w
ww
.uni
vate
s.br/
bdu)
81
Quadro 14 - Grau de aderência à conformidade Prática Aderência
Sim Sim, porém desatualizada Não
Gestão de conformidade técnicas e legais? 1 3 1
Recursos e critérios para auditoria de
sistemas?
1 1 3
Fonte: Elaborado pelo autor (2014), teste de conformidade (Sêmola, 2003).
Conforme avaliação dos dados dos respondentes constata-se que a UNIVATES possui
alguma aderência à conformidade, contudo, está desatualizada e essencialmente não
conforme. Esta informação pode caracterizar que existe um grau elevado de decisões que são
tomadas, assim como normas e padronizações, a partir do conhecimento de indivíduos e não a
partir de recomendações das normas.
No que diz respeito aos recursos e critérios para auditoria de sistemas pode-se verificar
que 60% das respostas obtidas afirmam que está prática não está sendo empregada na
instituição.
5.1.2.11 Resultado obtido
O modelo de conformidade apresentado por Sêmola (2003) sugere que a avaliação do
grau de aderência seja obtida a partir da contagem das respostas “Sim” multiplicadas por dois
somadas a contagem das respostas “Sim, porém desatualizada. As respostas “Não” não
precisam ser contabilizadas no cálculo.
Como as respostas obtidas da aplicação do questionário são, em sua grande maioria,
dispersas, e o framework exige que exista apenas uma resposta por questão, para a obtenção
da pontuação dos resultados são utilizadas as respostas que obtiveram maior aderência pelos
respondentes.
Nos casos onde houve duas alternativas com o mesmo número de respostas, serão
considerados os dois resultados obtidos e feita uma verificação de qual alternativa aplica-se
melhor com base no cenário apresentado.
BD
U –
Bib
liote
ca D
igita
l da
UN
IVAT
ES
(htt
p://w
ww
.uni
vate
s.br/
bdu)
82
Quadro 15 - Resultados obtidos e respostas consideradas
PRÁTICA SIM
(%)
SIM, PORÉM
DESATUALIZADA
(%)
NÃO
(%)
RESPOSTA
CONSIDERADA
A política de segurança existe e é conhecida? 20 40 40 NÃO
Existe algum responsável pela gestão da política de
segurança? - 20 80 NÃO
Existe uma infraestrutura de segurança da informação para
gerenciar as ações corporativas? 40 40 20
SIM, PORÉM
DESATUALIZADA
O fórum de segurança é formado pelo corpo diretor, a fim de
gerir mudanças estratégicas? - 40 60 NÃO
Existe uma definição clara das atribuições de responsabilidade
de associadas à segurança da informação? 40 20 40 NÃO
É feita a identificação dos riscos no acesso de prestadores de
serviço? 60 - 40 SIM
Existe um controle de acesso específico para os prestadores de serviço?
80 20 - SIM
Requisitos de segurança dos contratos de terceirização são
definidos? 40 - 60 NÃO
Existe um inventário dos ativos físicos, tecnológicos e
humanos? 80 20 - SIM
Existem critérios de classificação da informação 20 20 60 NÃO
Os critérios de seleção e política de pessoal estão definidos? 80 - 20 SIM
Existe um acordo de confidencialidade, termos e condições de
trabalhos? 20 40 40 NÃO
Processos para capacitação e treinamento de usuários estão
definidos? 100 - - SIM
Existe uma estrutura para notificar e responder aos incidentes
e falhas de segurança? 40 20 40 NÃO
Existe definição de perímetros e controle de acesso físico aos
ambientes? 100 - - SIM
Existem recursos para segurança e manutenção dos
equipamentos? 100 - - SIM
Existe estrutura para fornecimento adequado de energia? 80 20 - SIM
A segurança do cabeamento é considerada? 80 20 - SIM
Os procedimentos e responsabilidades operacionais estão
definidos e divulgados? 80 - 20 SIM
Existe um controle de mudanças operacionais? 20 40 40 NÃO
Existe segregação de funções e ambientes? 80 - 20 SIM
O planejamento e a aceitação de sistemas são executados? 100 - - SIM
Existem procedimentos para copias de segurança? 100 - - SIM
Existem controles e gerenciamento de rede? 60 40 - SIM
Mecanismos de segurança e tratamento de mídias são conhecidos?
20 80 - SIM, PORÉM
DESATUALIZADA
Existem procedimentos para documentação de sistemas? 80 20 - SIM
Mecanismos de segurança do correio eletrônico são
implementados? 60 20 20 SIM
Os requisitos do negócio para controle de acesso estão
definidos? 60 20 20 SIM
Existe gerenciamento de acessos do usuário? 80 20 - SIM
Existe controle de acesso à rede? 100 - - SIM
Existe controle de acesso ao sistema operacional? 100 - - SIM
Existe controle de acesso às aplicações? 80 20 - SIM
Existe monitoramento do uso e acesso ao sistema 80 - 20 SIM
Existem critérios para computação móvel e trabalho remoto? 60 - 40 SIM
Requisitos de segurança de sistemas estão definidos? 40 60 - SIM, PORÉM
DESATUALIZADA
Controle de criptografia é definida e utilizada? 80 20 - SIM
São implementados mecanismos de segurança nos processos
de desenvolvimento e suporte? 60 40 - SIM
Existem processos de gestão da continuidade do negocio? 20 40 40 NÂO
Existe gestão de conformidade técnicas e legais? 20 60 20 SIM, PORÉM
DESATUALIZADA
Recursos e critérios para auditoria de sistemas estão definidos? 20 20 60 NÃO
Fonte: Elaborado pelo autor (2014).
A Tabela 4 apresenta a pontuação obtida no Centro Universitário UNIVATES,
conforme os resultados apresentados no Quadro 15.
BD
U –
Bib
liote
ca D
igita
l da
UN
IVAT
ES
(htt
p://w
ww
.uni
vate
s.br/
bdu)
83
Tabela 4 – Pontuação obtida no teste de conformidade Resposta Respostas Pontuação obtida
Resposta A (SIM) 25 50 pontos
Resposta B (SIM, PORÉM DESATUALIZADA) 4 4 pontos
Resposta C (NÃO) 11 0 pontos
Total 54 pontos
Fonte: Elaborado pelo autor (2014).
Segundo Sêmola (2003), após a obtenção da pontuação do teste de conformidade da
organização a mesma pode ser enquadrada em um nível ou grau de conformidade do total de
três. O nível baixo, que caracteriza baixa aderência, é atribuído à pontuação obtida entre 0 a
26 pontos. O nível médio é atribuído a pontuação obtida entre 27 e 53 pontos e o nível alto
entre 54 a 80 pontos.
O resultado entre 0 a 26 pontos indica uma aderência muito baixa à norma ABNT
NBR ISO/IEC 17799, caracterizando que a segurança da informação não está sendo tratada
como prioridade e indicando a ausência ou ineficácia de muitos dos controles recomendados
pela norma. As causas podem ser o desconhecimento dos riscos e a falta de sensibilização dos
executivos e da alta administração. Este resultado pode indicar também que apesar da
segurança estar sendo aplicada por alguns departamentos a mesma não está distribuída
uniformemente, sendo que o nível de segurança do negócio como um todo permanece baixo.
O resultado entre 27 a 53 pontos que situa-se em um nível médio de aderência à
norma, indica atenção, pois caracteriza que a empresa pode ter adotado quase que a totalidade
dos controles, mas a maioria dos quesitos pode estar defasada, desatualizada ou inativa, o que
demonstra um bom nível de consciência, mas também deficiência na estrutura de gestão ou a
falta de fôlego financeiro para subsidiar os recursos de administração. Este nível pode
representar que a organização está em um processo de evolução ou ainda estagnada, com
possibilidade de redução tendenciosa do nível de segurança ao longo do tempo por falta de
orientação.
O resultado entre 54 a 80 pontos corresponde a uma alta aderência a norma, sendo o
resultado desejado nas organizações. A organização que atinge esta pontuação normalmente é
vista em destaque pelo mercado em seu segmento de mercado, por conta da abrangência dos
BD
U –
Bib
liote
ca D
igita
l da
UN
IVAT
ES
(htt
p://w
ww
.uni
vate
s.br/
bdu)
84
controles que aplica no negócio. Mesmo estando neste nível de conformidade, não é possível
verificar a uniformidade dos controles por completa tendo em vista que o teste abrange dez
domínios.
O resultado obtido pelo Centro Universitário UNIVATES, que obteve a pontuação de
54 pontos, enquadra-se em um nível alto de aderência à norma segundo Sêmola (2003).
Contudo, tendo em vista que alcançou apenas 67,5 % da pontuação máxima e encontra-se
muito próximo a pontuação considerada média (53 pontos), pode-se considerar que o grau de
aderência a norma atingido é de nível médio. Dentre os domínios abrangidos pela norma, a
UNIVATES atingiu altos níveis de aderência em algumas diretrizes e baixos em outras.
Sendo assim, é de grande valia que sejam analisados os resultados obtidos com separação por
segmento, a fim de planejar ações, ajustes e medidas corretivas dos pontos deficientes. A
Tabela 5 apresenta a pontuação máxima a ser atingida em cada segmento ou diretriz e os
pontos atingidos pela organização, bem como o seu grau de aderência, em percentual.
Tabela 5 - Resultados do teste de conformidade por domínio
Domínio Pontuação Máxima Pontos Obtidos Grau de aderência
Política de segurança 4 0 0%
Segurança organizacional 12 5 41%
Classificação e controle dos ativos
de informação 4 2 50%
Segurança em pessoas 8 4 50%
Segurança física e de ambiente 8 8 100%
Gerenciamento das operações e
comunicações 18 15 83%
Controle de acesso 14 14 100%
Desenvolvimento e manutenção de
sistemas 6 5 83%
Gestão da continuidade do negócio 2 0 0%
Conformidade 4 1 25%
Total 80 54 67,5%
Fonte: Elaborado pelo autor (2014).
BD
U –
Bib
liote
ca D
igita
l da
UN
IVAT
ES
(htt
p://w
ww
.uni
vate
s.br/
bdu)
85
Conforme verificado na Tabela 5, o grau de aderência atingido pela UNIVATES
concentra-se em alguns domínios onde a pontuação atingida é aceitável. Nos segmentos de
política de segurança e gestão da continuidade do negócio obteve-se pontuação nula,
demonstrando que esses controles sequer foram instaurados na instituição. Apesar do
resultado obtido pela instituição representar um alto grau de aderência a norma, dentre os dez
domínios analisados, somente quatro deles apresentam valores acima de 67,5% (que é o valor
necessário para obter-se esse enquadramento).
Se analisadas as áreas de domínio que possuem maior aderência pode-se notar que as
mesmas condizem aos segmentos essencialmente técnicos e operacionais. Por outro lado, a
maior deficiência encontrada na instituição (atingindo um grau baixo de aderência) está na
política de segurança, na gestão de continuidade do negócio e na conformidade, sendo que as
mesmas podem não existir, não estarem mais ativas, ou ainda não foram implementadas.
Os resultados obtidos neste capítulo demonstram que a instituição, apesar de
apresentar um alto grau de aderência à norma, não possui os controles de segurança da
informação implementados de forma uniforme dentre os processos e diretrizes abordados pela
mesma, indicando que o resultado do teste provém de uma abordagem empírica dos
colaboradores do NTI e não da aplicação da norma propriamente dita.
A baixa aderência obtida em alguns domínios pode indicar que existem pontos falhos
a organização que geram riscos à infraestrutura de TI e, consequentemente, aos processos que
dela são dependentes, como por exemplo, o processo de ensino e de aprendizagem.
A fim de avaliar quais os riscos existentes, se faz de grande valia que seja
implementada uma gestão de riscos, que pode ser útil enquanto ferramenta de apoio para
caracterizá-los, bem como para avaliação das suas causas e consequências. Sendo assim, a
seção a seguir apresenta a avaliação do grau de maturidade à gestão do Centro Universitário
UNIVATES.
5.1.3 Avaliação do grau de maturidade à gestão de riscos
A avaliação do grau de maturidade à gestão de riscos tem como objetivo identificar o
grau de adoção e aplicação de abordagens de gestão de riscos, que possuam o intuito de
identificar, avaliar e tratar ameaças que possam afetar os processos da organização.
BD
U –
Bib
liote
ca D
igita
l da
UN
IVAT
ES
(htt
p://w
ww
.uni
vate
s.br/
bdu)
86
A presente seção visa apresentar os resultados obtidos da avaliação do grau de
maturidade do Centro Universitário UNIVATES em relação à norma ABNT ISO/IEC
31000:2009.
A obtenção dos dados foi realizada por meio da aplicação do framework de avaliação
do grau de maturidade da gestão dos riscos da organização (Anexo B), de autoria do QSP –
Centro de Qualidade, Segurança e Produtividade, que é distribuída gratuitamente a todos os
interessados.
O questionário, que possui 15 questões inerentes aos processos de gestão de riscos, foi
aplicado a cinco funcionários do NTI que desempenham funções estratégicas a fim de
identificar qual a situação atual da UNIVATES com relação a gestão de riscos.
Para resposta do questionário, os entrevistados foram solicitados a avaliar os processos
existentes no framework segundo escala demonstrada na Tabela 6.
Tabela 6 - Pontuação dos processos quanto a maturidade
Nível de maturidade
(pontuação)
Classe de
maturidade Descrição geral
1 Ruim Processo inconsistente, pobremente controlado
2 Razoável Processo disciplinado, podendo repetir tarefas com sucesso
3 Bom Processo padronizado e consistente. Ou seja, o processo é
caracterizado e bem entendido
4 Muito Bom Processo medido e controlado
5 Excelente Processo focado na melhoria contínua
Fonte: Elaborado pelo autor (2014), teste de maturidade de gestão de riscos (QSP, 2007).
Após a definição da pontuação de cada processo, para a análise dos resultados
advindos do questionário, conforme sugerido pela QSP (2007), foram tabuladas as cinco
respostas provenientes dos entrevistados e realizada uma média do somatório das respostas a
fim de encontrar a pontuação por processo. Após obter-se a média de cada processo é feita
novamente uma média de todas as pontuações que foram obtidas por processo para que seja
possível calcular a média final.
BD
U –
Bib
liote
ca D
igita
l da
UN
IVAT
ES
(htt
p://w
ww
.uni
vate
s.br/
bdu)
87
Quadro 16 - Pontuação obtida no questionário de maturidade da gestão de riscos
Questões/Processos R1 R2 R3 R4 R5 Xp
1. Os objetivos da organização estão definidos 3 4 4 4 3 3,6
2. A direção foi treinada para compreender os riscos e
sua responsabilidade por eles 2 4 3 2 1 2,4
3. Foi definido um sistema de pontuação para avaliar os
riscos 2 3 2 1 1 1,8
4. O apetite por riscos da organização foi definido em
termos de um sistema de pontuação 2 1 3 2 2 2,0
5. Foram definidos processos para determinar os riscos.
Esses processos são seguidos 3 2 3 2 2 2,4
6. Todos os riscos foram compilados em uma lista. Os
riscos foram alocados a cargos específicos 2 1 3 1 1 1,6
7. Todos os riscos foram avaliados de acordo com o
sistema de pontuação definido 1 1 2 2 2 1,6
8. As respostas aos riscos foram selecionadas e
implementadas 2 1 3 2 2 2,0
9. A direção estabeleceu controles para monitorar a
operação adequada dos controles-chave 2 2 3 3 1 2,2
10. Os riscos são analisados criticamente pela organização
de forma regular 2 2 3 3 1 2,2
11. A administração relata os riscos para os diretores
quando as respostas aos riscos não reduzem tais riscos
a um nível aceitável
2 1 3 2 2 2,0
12. Todos os novos projetos significativos são avaliados
rotineiramente quanto a riscos 3 2 4 3 2 2,8
13. A responsabilidade pela determinação, avaliação e
manejo dos riscos esta incluída nas descrições de
cargos
3 2 4 1 3 2,6
14. Os gerentes dão garantia da eficácia de sua gestão de
riscos 2 1 4 3 3 2,6
15. Os gerentes são avaliados quanto ao seu desempenho
no gerenciamento dos riscos 1 1 4 1 4 2,2
2,1 1,9 3,2 2,1 2,0 Xmr = 2,3
Fonte: Elaborado pelo autor (2014), teste de maturidade de gestão de riscos (QSP, 2007).
O Quadro 16 apresenta os resultados obtidos dos questionários onde cada linha
corresponde a pontuação atribuída por cada respondente, sendo a última coluna referente a
média de todos os respondentes para determinado processo. A última linha do questionário
BD
U –
Bib
liote
ca D
igita
l da
UN
IVAT
ES
(htt
p://w
ww
.uni
vate
s.br/
bdu)
88
indica a pontuação geral por respondente, bem como a pontuação final da maturidade de
riscos.
Sendo assim, com a aplicação do questionário no Centro Universitário UNIVATES
obteve-se uma pontuação final de 2,3. A Tabela 7 demonstra os estágios definidos pela QSP
(2007), segundo a pontuação final obtida.
Tabela 7 - Estágio da maturidade de gestão de riscos
Estágio Grau de maturidade Descrição geral da gestão de riscos da organização
1 Ingênuo Nenhuma abordagem formal desenvolvida para a gestão de riscos
2 Consciente Abordagem para a gestão de riscos dispersa em “silos”
3 Definido Estratégias e políticas implementadas e comunicadas. Apetite por
riscos definido
4 Gerenciado Abordagem corporativa para a gestão de riscos desenvolvida e
comunicada
5 Habilitado Gestão de riscos e controles internos totalmente incorporados às
operações
Fonte: Elaborado pelo autor (2014), teste de maturidade de gestão de riscos (QSP, 2007).
O grau de maturidade atingido pela UNIVATES encontra-se em um nível consciente,
onde a abordagem para a gestão de riscos é dispersa em “silos”, ou seja, a gestão de riscos
mesmo que incompleta existe, mas está restrita a algumas pessoas ou setores.
A Tabela 8 apresenta os percentuais de respostas que atingiram a pontuação conforme
os graus de maturidade.
Tabela 8 - Percentual de respostas por grau de maturidade Grau da
Maturidade Ingênuo Consciente Definido Gerenciado Habilitado
Percentual de
respostas em
cada grau
24% 40% 22% 13% 0%
Fonte: Elaborado pelo autor (2014), com base no teste de maturidade da gestão de riscos (QSP, 2007).
Conforme demonstrado na Tabela 8, a soma das respostas que encontram-se em um
grau de maturidade “ingênuo” e “consciente” somam um total de 64% das respostas obtidas, o
que representa um nível de maturidade quanto a gestão de riscos muito baixo.
BD
U –
Bib
liote
ca D
igita
l da
UN
IVAT
ES
(htt
p://w
ww
.uni
vate
s.br/
bdu)
89
Em uma análise mais detalhada, conforme demonstrado no Quadro 16, verifica-se que
os itens com pior avaliação, considerados em um estágio “ingênuo” pelos respondentes são: a
existência de um sistema de pontuação para avaliação de riscos, a compilação dos riscos em
uma lista, e a avaliação de todos os riscos de acordo com o sistema de pontuação, etapas estas
que são fundamentais na realização de uma análise de riscos.
Na próxima seção, será apresentada a análise e avaliação dos riscos propriamente
ditos, iniciando-se pela definição do mapa de apetite de riscos.
5.2 Análise e avaliação dos riscos
No modelo proposto, após definido o contexto ao qual a gestão de riscos será aplicada,
é necessário que haja a definição do escopo, do mapa de apetite e a identificação e
classificação dos riscos, para posterior tratamento.
O escopo, apesar de não ser definido explicitamente, deve ser considerado no
momento em que ocorrer a atribuição dos índices relevantes aos controles de cada ativo.
Nas seções seguintes será definido o mapa do apetite de riscos aceitáveis pela
UNIVATES, apresentado a avaliação e a análise dos riscos e o cadastro de ameaças
relacionadas.
5.2.1 Definição do mapa de apetite de riscos
O mapa de apetite de riscos é obtido através da combinação dos valores associados a
escala dos níveis de riscos, para que seja possível criar graus de risco as quais as ameaças
serão posteriormente enquadradas, conforme seus níveis de probabilidade, relevância e
consequência. Após a obtenção das pontuações do mapa de apetite de riscos define-se o nível
de aceitabilidade, ou seja, atribui-se graus de riscos a diferentes faixas de pontuações do mapa
de apetite de riscos.
O preenchimento da matriz de riscos se dá pela criação de uma matriz obtida a partir
da multiplicação de três índices: probabilidade, consequência e relevância. Cada índice pode
assumir valores compreendidos entre 1 e 5 (1= MB - Muito Baixo, 2= BA- Baixo, 3= ME-
Médio, 4= AL- Alto e 5= MA- Muito alto), conforme mostra a Tabela 9.
BD
U –
Bib
liote
ca D
igita
l da
UN
IVAT
ES
(htt
p://w
ww
.uni
vate
s.br/
bdu)
90
Tabela 9 - Níveis de risco
Níveis MB BA ME AL MA
P - Probabilidade 1 2 3 4 5
C - Consequência 1 2 3 4 5
R - Relevância 1 2 3 4 5
Fonte: ABNT NBR ISO/IEC 31000 (2009).
Após a combinação dos três níveis de riscos, a matriz do grau de riscos é composta por
valores entre 1 e 125, sendo 1 o menor índice de risco e 125 o maior índice de risco. Desta
forma as ameaças com o maior risco para a organização devem ser associadas aos índices de
risco mais altos.
Como a UNIVATES não possui nenhuma tabela ou identificação do apetite de riscos
para a área de TI ou para os processos relacionadas com as atividades de ensino e de
aprendizagem definida, para a realização deste estudo, propôs-se que o mapa de apetite de
riscos seja dividido em três níveis (alto, médio e baixo), levando-se em consideração os níveis
de probabilidade, relevância e consequência.
A Tabela 10 representa os graus de risco definidos e consequentemente os limites de
valores que, por sua vez, representam diferentes níveis de risco. Os riscos classificados na cor
verde apresentam um baixo nível de risco, compreendendo valores de 1 a 12. A cor vermelha
da tabela representa altos níveis de risco, compreendidos pela pontuação de 36 e 125. Os
riscos compreendidos entre 13 e 35 são apresentados na cor amarela e correspondem os níveis
de risco médio.
Tabela 10 - Mapa de apetite de riscos
CONSEQUÊNCIA 1 2 3 4 5
GRAU DO
RISCO PROBABILIDADE
5 5 20 45 60 125
4 4 16 36 48 100
3 3 12 27 36 75
2 2 8 18 24 50
1 1 4 9 12 25
RELEVÂNCIA 1 2 3 4 5 Fonte: Elaborado pelo autor (2014), apetite de risco (ABNT NBR ISO/IEC 31000, 2009).
Para obtenção dos valores existentes na tabela realiza-se a multiplicação dos valores
associados a probabilidade, consequência e relevância (P x C x R) dos riscos. O valor mais
baixo é obtido a partir da multiplicação dos valores mais baixos de cada vetor, isto é, P = 1 x
BD
U –
Bib
liote
ca D
igita
l da
UN
IVAT
ES
(htt
p://w
ww
.uni
vate
s.br/
bdu)
91
C = 1 x R = 1, resultando em 1 e representado na área verde do mapa do apetite de riscos. Por
outro lado, o valor mais alto é obtido dos valores mais altos de cada vetor, isto é, P = 5 x C =
5 x R = 5, resultando em 125 e representado na área vermelha. Todos os demais valores são
obtidos a partir das combinações de valores, variando de um a cinco, respectivamente.
O grau de baixo de risco é compreendido pela pontuação que vai de 1 a 12 pontos,
considerando que tal valor é obtido pela combinação de níveis de risco que em sua maioria
sejam valores abaixo de 3, ou seja, caso obtenha se dois valores 2 e um valor 3, por exemplo,
obtém-se a pontuação de 12, sendo esta ameaça considerada de baixo risco.
Para o grau de médio risco, definiu-se a faixa de pontuação entre 13 e 35 pontos sendo
que caso haja dois valores 3 ou maiores, e um valor 2 por exemplo, atingindo a pontuação de
18, a ameaça é considerada de médio risco.
O alto grau de riscos existente no mapa de apetite de riscos foi definindo tendo em
vista que para as ameaças que obtiverem dois níveis (probabilidade, relevância ou
consequência) com valores 3 e um dos níveis apresentando valor 4 ou mais (que são
considerados valores altos na escala de 1 a 5 apresentada), obtendo-se 36 pontos,
considerando-se uma ameaça de alto risco.
Como parte do monitoramento da gestão de riscos, o mapa de apetite de riscos deverá
ser atualizado periodicamente pelo corpo gestor, a fim de manter atualizados os valores
inerentes à consequência, a probabilidade e a relevância, bem como a classificação dos riscos,
tendo em vista que caso haja mudanças no ambiente, nas tecnologias utilizadas ou em
qualquer outra variável que refere-se ao risco seu enquadramento deve ser revisto.
Após a definição do mapa do apetite de riscos, do grau de maturidade da gestão de
riscos e o grau de aderência da TI à norma ABNT ISO/IEC 17799:2009, é feita a análise dos
riscos propriamente dita.
5.2.2 Avaliação dos riscos do processo de ensino e de aprendizagem
A análise dos riscos proposta pela presente gestão de riscos compreende no
levantamento e identificação das ameaças e na definição da necessidade de tratamento das
mesmas quanto sua criticidade, com base no contexto as quais estão inseridas. A análise de
riscos é realizada com base na norma ABNT ISO/IEC 31000:2009, concluindo então as
etapas da gestão de riscos proposta.
BD
U –
Bib
liote
ca D
igita
l da
UN
IVAT
ES
(htt
p://w
ww
.uni
vate
s.br/
bdu)
92
Conforme apresentado anteriormente na definição do contexto, a presente análise de
riscos é mista, sendo realizada levando-se em conta o ativo, que é compreendido pela área de
TI e o risco que esta impõe ao processo, compreendido pelo ensino e aprendizagem do Centro
Universitário UNIVATES.
Para a realização do levantamento dos dados da análise de riscos foi aplicado um
formulário (Apêndice A) aos alunos, professores e funcionários do NTI, contendo questões
relativas aos riscos da infraestrutura de TI, para avaliação dos índices P x C x R e a existência
ou não de planos de continuidade e contingência.
Para cada um dos riscos apresentados, é solicitado que o respondente indique os
quesitos de probabilidade (possibilidade da ameaça se concretizar), consequência (prejuízos
que a ameaça pode oferecer ao processo de ensino e de aprendizagem) e relevância
(importância que a ameaça pode apresentar no processo de ensino e de aprendizagem),
selecionando um índice compreendido entre um a cinco, onde um indica menor importância e
cinco extrema importância.
É solicitado também que o respondente avalie a existência de planos de contingência
(possibilidade de contornar a ameaça de forma paliativa, com outro recurso, em determinado
espaço de tempo) e continuidade (garantia que o serviço não será afetado por determinada
ameaça, mantendo o recurso disponível e/ou o ativo em funcionamento), que é considerado
posteriormente para determinar se a ameaça já possui tratamento ou não.
O questionário aborda os principais recursos disponibilizados pelas TICs que possam
ser utilizados no processo de ensino e de aprendizagem como os sistemas de comunicação e
transmissão de dados, de segurança da informação, de infraestrutura de rede, servidores,
desenvolvimento de softwares e apoio aos usuários.
O Quadro 17 apresenta a média dos valores dos índices P x C x R, o índice de riscos
calculado a partir das médias, sua classificação quanto a apetite de riscos apresentada e os
domínios de segurança da informação relacionados segundo a norma ABNT ISO/IEC 17799,
obtidos a partir da aplicação do questionário de avaliação dos riscos inerentes ao processo de
ensino e de aprendizagem (Apêndice A).
BD
U –
Bib
liote
ca D
igita
l da
UN
IVAT
ES
(htt
p://w
ww
.uni
vate
s.br/
bdu)
93
Quadro 17 - Resultados da avaliação dos riscos
RISCO Probabilidade Consequência Relevância Índice
de risco Apetite Tratado? Domínios relacionados
Indisponibilidade dos serviços internos 2,0 4,4 4,0 35,2 Alto Não Segurança Física e de Ambiente/ Segurança em Pessoas
Interrupção do fornecimento de energia elétrica no data center 1,6 3,7 3,7 21,9 Médio Sim Segurança Física e de Ambiente
Falha nos nobreaks do data center 1,6 4 4,1 26,2 Médio Sim Segurança Física e de Ambiente/ Segurança Organizacional
Falha no gerador que atende ao data center 2,1 4,8 4,7 47,3 Alto Não Segurança Física e de Ambiente
Falha ou dano permanente na infraestrutura física de TI 3,0 4,1 4,2 51,6 Alto Sim Segurança Organizacional/ Segurança Física e de Ambiente
Falha no data center
1,8 4,6 4,6 38,0 Alto Sim
Gerenciamento das operações e comunicações/ Segurança
Organizacional/ Segurança em pessoas/ Segurança Física e de Ambiente/ Gestão de Continuidade do Negócio
Falha ou indisponibilidade de acesso a repositórios de dados 2,1 2,6 3,2 17,4 Médio Sim Gerenciamento das operações e comunicações
Interrupção do fornecimento de energia elétrica nas salas de aula 2,7 4,8 4,7 60,9 Alto Não Segurança Física e de Ambiente
Interrupção do fornecimento de energia elétrica em salas de
telecomunicações 2,1 3,4 3,4 24,2 Médio Sim Segurança Física e de Ambiente
Falha em algum equipamento interno 3,0 3,9 4,0 46,8 Alto Sim
Classificação e Controle dos Ativos de Informação/
Segurança Física e de Ambiente
Falha nos nobreaks das salas de telecomunicações 1,6 4,2 4,1 27,0 Médio Sim Segurança Física e de Ambiente/ Segurança Organizacional
Indisponibilidade de acesso à Internet (indisponibilidade dos ISPs) 2,7 3,8 3,8 38,9 Alto Sim Segurança Física e de Ambiente/ Segurança Organizacional
Danos permanentes nos computadores dos laboratórios de informática 2,5 3,4 3,4 38,9 Alto Sim
Segurança Física e de Ambiente/ Controle de Acesso/
Desenvolvimento e Manutenção de Sistemas
Danos permanentes nos dispositivos próprios dos alunos 2,3 2,4 4,3 23,7 Médio Não
Segurança Física e de Ambiente/ Controle de Acesso/
Desenvolvimento e Manutenção de Sistemas
Ataques por softwares mal-intencionados, cibervandalismo ou ataques a
rede WI-FI ou aos sistemas da instituição e/ou dispositivos da instituição
2,4 3,9 4,2 39,3 Alto Sim Gerenciamento das operações e comunicações
Ataques por softwares mal-intencionados ou cibervandalismo aos
dispositivos próprios dos alunos 2,3 3,9 3,8 36,0 Alto Não Gerenciamento das operações e comunicações
Falha ou indisponibilidade de acesso a redes sociais 1,6 1,8 0,8 2,3 Baixo Não Segurança Física e de Ambiente/ Segurança Organizacional
Instabilidade nos computadores dos laboratórios de informática da instituição ou dispositivos próprios dos alunos
2,6 2,8 2,6 18,9 Médio Não Desenvolvimento e Manutenção de Sistemas/ Segurança em
Pessoas
Impacto negativo no processo de ensino e de aprendizagem devido
problemas na utilização dos serviços de TI 2,5 3,6 3,8 36,2 Alto Sim Segurança em pessoas/ Gestão de Continuidade
Falha ou indisponibilidade do acesso à rede sem fio 2,5 3,7 3,6 35,3 Alto Sim
Segurança Física e de Ambiente/ Gerenciamento das
operações e comunicações
Falha ou indisponibilidade de streaming de áudio ou vídeo 2,0 2,4 2,3 11,0 Baixo Não Controle de acesso
Falha ou indisponibilidade no processo de instalação ou atualização de
softwares 2,0 2,7 2,8 15,1 Médio Não
Desenvolvimento e Manutenção de Sistemas/ Controle de
acesso
Falha ou indisponibilidade de acesso a serviços específicos 2,0 2,9 2,3 13,3 Médio Não Controle de acesso
Acesso indevido de outros usuários ao seu dispositivo a partir da rede da UNIVATES (rede local)
2,2 3,5 2,7 20,7 Médio Sim Controle de acesso
Indisponibilidade dos serviços externos 1,5 2,8 2,9 12,0 Baixo Sim Segurança Física e de Ambiente/ Segurança Organizacional
Fonte: Elaborado pelo autor (2014).
BD
U –
Bib
liote
ca D
igita
l da
UN
IVAT
ES
(htt
p://w
ww
.uni
vate
s.br/
bdu)
94
O Quadro 17 elenca 25 ameaças da área de TI que estão correlacionadas ao processo
de ensino e de aprendizagem. Destas, 12% referem-se a ameaças de baixo risco, 40% a
ameaças de médio risco e 48% de alto risco, segundo o mapa de apetite de riscos definido
anteriormente.
Com relação ao tratamento das mesmas, pode-se observar que 15 ameaças já possuem
algum controle implementado de tratamento, correspondendo a 60% do total das ameaças.
Como existem alguns controles já implementados, pode-se afirmar, segundo os
resultados advindos do questionário, que atualmente a UNIVATES possui um risco residual
de 40% das ameaças elencadas, sendo que as mesmas ainda podem ser tratadas ou não,
dependendo dos seus critérios e recursos necessários para saná-la.
Para os critérios definidos, as ameaças de alto risco são as que requerem maior atenção
por parte da gestão, necessitando imediato tratamento ou mitigação. Dentre as 12 ameaças de
alto risco elencadas, quatro não possuem nenhum tratamento ou controle, representando 33%
das ameaças que ainda não foram tratadas.
Dentre as ameaças elencadas pode-se verificar que oito dos dez domínios descritos na
norma ABNT ISO/IEC 17799:2009 são abrangidos, sendo que algumas possuem correlação
com mais de um domínio. Como os riscos elencados são voltados principalmente a questões
operacionais, os domínios de política de segurança e de conformidade não foram abrangidos
na avaliação dos riscos.
A Tabela 11 apresenta qual o grau de aderência obtido por meio da aplicação do teste
de conformidade da gestão de segurança da informação (conforme apresentado anteriormente)
e qual o percentual abrangido pelas ameaças em cada um dos domínios.
BD
U –
Bib
liote
ca D
igita
l da
UN
IVAT
ES
(htt
p://w
ww
.uni
vate
s.br/
bdu)
95
Tabela 11 - Relação do grau de aderência e as ameaças por domínio
Domínio Grau de aderência Percentual de ameaças
Política de Segurança 0% 0%
Segurança organizacional 41% 28%
Classificação e controle dos ativos de informação 50% 4%
Segurança em pessoas 50% 16%
Segurança física e de ambiente 100% 64%
Gerenciamento das operações e comunicações 83% 2%
Controle de acesso 100% 24%
Desenvolvimento e manutenção de sistemas 83% 16%
Gestão da continuidade do negócio 0% 8%
Conformidade 0% 0%
Fonte: Elaborado pelo autor (2014).
Dentre as ameaças elencadas, 64% abrangem o domínio de segurança física e de
ambiente e, conforme avaliado segundo o grau de aderência a segurança da informação, este
domínio possui um alto grau de aderência a norma, indicando que para a maioria das ameaças
relacionadas com este domínio já existe tratamento definido ou pelo menos algum controle,
mesmo que defasado, implementado.
O domínio de gestão da continuidade do negócio, apesar de possuir apenas 8% das
ameaças relacionadas, o que representa um percentual muito baixo, não possui qualquer
controle implementado segundo o resultado do grau de aderência a norma obtido, o que
representa um alto risco a instituição devendo ser analisado com atenção pelos responsáveis.
O domínio inerente a política de segurança, apesar de não possuir nenhuma ameaça
elencada e avaliada, é tido como base para todos os outros domínios, tendo em vista que todos
os controles implementados na organização deveriam partir da definição de uma política de
segurança, caso não sejam instituídos de forma empírica pelos colaboradores.
Com relação ao domínio de conformidade não foi elencada nenhuma ameaça, tendo
em vista que este quesito aborda a legislação, os requisitos estatutários e contratuais, não
condizendo com o objetivo ao qual o estudo foi direcionado. Entretanto este domínio deve ser
verificado com cautela pelo corpo gestor levando-se em conta que o grau de aderência obtido
no teste foi nulo.
BD
U –
Bib
liote
ca D
igita
l da
UN
IVAT
ES
(htt
p://w
ww
.uni
vate
s.br/
bdu)
96
5.3 Proposta de Soluções
Com o intuito de propor soluções aos riscos elencados e analisados definindo
processos de controle para a gestão de riscos proposta, é sugerida a apresentação de um
cadastro de ameaças.
Embora a norma ABNT NBR ISO/IEC 31000:2009 faça referência a um cadastro de
ameaças, a mesma não determina um modelo a ser seguido. Cabe à organização verificar qual
melhor atende as suas necessidades, cria-lo e mantê-lo atualizado. Este cadastro é de grande
valia, pois permite que seja mantida uma base de conhecimento, que poderá ser reutilizada em
caso de reincidência de um evento ou servir de ponto de partida para novas iniciativas.
Após a identificação de uma ameaça e o risco associado ao ativo a ser protegido, pode-
se estabelecer a possibilidade ou não de tratamento desta ameaça com base no seu nível de
risco. As ameaças com riscos muito altos devem passar para uma etapa de análise de recursos
e ações, com o propósito de estabelecer um plano de ações. Os recursos e ações podem ser
estimados, pois o método requer que os índices associados a cada ativo sejam reavaliados
periodicamente ou após sofrerem alguma intervenção.
Para o presente modelo de gestão de riscos o cadastro de ameaças considera apenas as
ameaças de alto risco, sendo identificados os eventos relacionados à mesma, suas
consequências, os controles já existentes com base no cenário atual já apresentado, o índice de
risco avaliado pelos respondentes do questionário de análise de riscos e o plano de ações,
contendo as medidas a serem tomadas, os recursos necessários e o monitoramento exigido
para manter o tratamento de riscos eficaz, conforme apresentado no Quadro 18.
BD
U –
Bib
liote
ca D
igita
l da
UN
IVAT
ES
(htt
p://w
ww
.uni
vate
s.br/
bdu)
97
Quadro 18 - Cadastro de ameaças
Ameaça Eventos relacionados Consequências Controles Identificados
Índice Tratamento de Riscos - Plano de Ações
RISCO Ações Propostas Recursos necessários
Relato e Monitoramento
exigido
Indisponibilidade
dos serviços
internos
- falha, queima ou parada dos
ativos da rede;
- erro humano (na configuração
dos ativos de rede, intencional
ou não);
- sobrecarga de tráfego na rede
lógica;
- falha ou parada no nobreak ;
- queda no fornecimento de
energia prolongada.
- os serviços ficam
indisponíveis aos alunos;
- possível interrupção das
atividades discentes;
- insatisfação dos professores e
alunos;
- perda de credibilidade no
setor de TI.
- ativos de rede reserva;
- backup das configurações dos
equipamentos;
- acesso restrito aos dispositivos
da rede;
- nobreak dedicado para cada sala
de telecomunicações.
35,2
- prover redundância da
hospedagem de serviços;
- instalar gerador de energia
elétrica no prédio;
- configurar equipamentos de rede
reserva;
- instalar protetor de surtos nas
salas de telecomunicações;
- definir e manter atualizado o
plano de ações.
- treinamento dos
procedimentos quanto a
indisponibilidade dos serviços;
- alocar dispositivos
sobressalentes;
- aquisição de gerador de
energia elétrica.
- laudos da manutenção
preventiva periódica de todos os
dispositivos e infraestrutura
lógica;
- gerenciamento dos recursos
(via rede).
- laudos da auditoria e/ou
reavaliação ao final de cada
processo.
Falha no gerador
que atende o data
center
- interrupção do fornecimento
de energia elétrica para o
nobreak;
- falta de manutenção
preventiva do gerador;
- falta de abastecimento do
gerador;
- problemas mecânicos no
gerador.
- descarga completa das
baterias do nobreak que atende
o data center;
- desligamento de todos os
equipamentos do data center;
- indisponibilidade da rede de
dados e de todos os serviços
disponibilizados.
- manutenção preventiva mensal
por empresa terceirizada;
- manutenção preventiva semanal
pelo NTI;
- processos definidos pela equipe
de monitoramento para alerta de
interrupção de energia.
47,3
- providenciar a concessão de
energia elétrica de duas
concessionárias diferentes, por
rotas distintas;
- aumentar a autonomia para os
nobreaks que atendem o data
center;
- manter combustível na
instituição para abastecimento de
emergência.
-verificar possibilidade de
disponibilização de energia
elétrica por duas
concessionárias e viabilizar
rotas até o data center;
- aquisição de um banco de
baterias com maior autonomia.
- manter as manutenções
preventivas mensais e semanais;
- avaliar a carga utilizada pelo
data center, afim de evitar
sobrecarga;
- manter combustível para
situações de emergência.
Falha ou dano
permanente na
infraestrutura física
de TI
- rompimento da fibra óptica;
- dano na estrutura do
cabeamento;
- conectorização mal feita
(contato, sujeira,
desalinhamento, etc.);
- problemas relacionados ao
MGBIC (iluminador da fibra);
- problemas relacionados aos
ativos de rede.
- insatisfação dos professores e
alunos;
- perda de credibilidade no
setor de TI;
- perda de dados por erros na
transmissão por fibra óptica;
- indisponibilidade dos
serviços da rede de dados.
- links de fibra redundantes;
- MGBIC (iluminadores de fibra)
redundantes;
- ativos de rede redundantes;
- processos definidos, porém não
automáticos.
51,6
- ativar o protocolo spanning tree
ou equivalente para tornar a
redundância ativa e automática em
caso de falha nos links;
- realizar manutenções preventivas
(limpeza) das terminações ópticas
nas salas de telecomunicações;
- criar processos com relação a
acompanhamento de serviços no
campus (ex.: escavações)
- aquisição e instalação de
novos MGBICs;
- horas técnicas para
configuração e implantação do
spanning tree;
- horas técnicas para
manutenção dos terminais
ópticos;
- gerenciamento dos recursos
(via rede).
- manutenção dos MGBICS e
dos links ópticos;
- laudos da certificação e/ou
reavaliação da infraestrutura.
Falha no data
center
- erro em programas;
- problemas no resfriamento;
- panes elétricas;
- incêndio do data center;
- acesso indevido aos ambientes
do data center;
- problemas no processo de
guarda e recuperação dos
dados;
- problema na comunicação e
transporte dos dados;
- problemas relacionados à
identificação e autenticação.
- interrupção na
disponibilidade dos serviços
apoiados na TI;
- possível interrupção das
atividades discentes;
- dados e processos
inacessíveis;
- insatisfação dos funcionários
e alunos;
- perda de credibilidade no
setor de TI.
- redundância dos
condicionadores de ar;
- redundância dos nobreaks e dos
circuitos elétricos;
- gerador de energia elétrica;
- sistema de controle de acesso e
monitoramento;
- sistema de combate a incêndio;
- cópias de segurança periódicas
das informações;
- certificação de todo o
cabeamento do data center.
38,0
- definir o grau de disponibilidade
que o data center deve fornecer
(Tier-1, Tier-2, Tier-3 ou Tier-4);
- disponibilizar uma estrutura
redundante, de modo que suporte
falhas temporárias do data center,
propiciando um plano de
continuidade;
- providenciar um processo
recuperação de desastre;
- providenciar redundância dos
ativos de rede (roteador, core
switch) que não a possuem;
- acordar contratos de manutenção
dos sistemas de segurança física e
dos ativos de rede com os
fornecedores.
- aplicar recursos para atingir o
grau de disponibilidade
desejado, de acordo com a
norma TIA/EIA 942;
- aplicar recursos para a
estrutura redundante;
- investir em uma infraestrutura
de recuperação de desastre;
- adquirir equipamentos de rede
sobressalentes afim de obter
redundância dos mesmos;
- definir contratos de
manutenção.
- gerenciamento automatizado e
proativo;
- testes e laudos de
conformidade, segundo normas
de boas práticas;
- manter uma infraestrutura de
recuperação de desastres
atualizada;
- firmar e manter contratos de
manutenção.
BD
U –
Bib
liote
ca D
igita
l da
UN
IVAT
ES
(htt
p://w
ww
.uni
vate
s.br/
bdu)
98
Interrupção do
fornecimento de
energia elétrica nas
salas de aula
- falha ou parada do nobreak da
sala de telecomunicações;
- problemas na rede elétrica
interna;
- sobrecarga e/ou desarme de
disjuntores.
- sala de aula sem energia
elétrica;
- ativos de rede são desligados;
- descarga da bateria do
nobreak;
- sala de aula fica sem
iluminação;
- possível interrupção das
atividades discentes;
- insatisfação dos alunos.
- nobreak para os ativos de rede
que atendem a sala de aula em
questão;
- pontos de acesso sem fio são
alimentados pelo nobreak
(mantendo-os em funcionamento
por determinado tempo);
- manutenção preventiva dos
nobreaks.
60,9
- disponibilizar um gerador de
energia elétrica móvel (que possa
ser deslocado);
- disponibilizar nobreaks de
pequeno porte para os ativos de TI
de maior impacto;
- aumentar a autonomia dos
nobreaks das salas de
telecomunicações.
- aquisição de nobreaks de
pequeno porte;
- definir novo projeto elétrico,
com redundância de
concessionárias de energia
elétrica;
- investimentos em materiais
elétricos;
- aquisição de gerador de
energia elétrica;
- aquisição de banco de baterias
adicional.
- laudos da manutenção
preventiva periódica de todos os
dispositivos e infraestrutura
elétrica;
- representação estatística do
funcionamento (via rede).
Falha em algum
equipamento
interno
- falha, queima ou parada dos
ativos da rede;
- erro humano (na configuração
dos ativos de rede, intencional
ou não);
- sobrecarga de tráfego na rede
lógica;
- falha ou parada no nobreak da
sala de telecomunicações;
- queda no fornecimento de
energia prolongada.
- indisponibilidade da rede de
dados em determinados locais;
- possível interrupção das
atividades discentes;
- insatisfação dos professores e
alunos;
- perda de credibilidade no
setor de TI.
- redundância da hospedagem de
serviços;
- ativos de rede reserva;
- backup das configurações dos
equipamentos;
- acesso restrito aos dispositivos
da rede;
- nobreak dedicado para cada sala
de telecomunicações.
46,8
- instalar gerador de energia
elétrica no prédio;
- configurar equipamentos de rede
reserva;
- instalar protetor de surtos nas
salas de telecomunicações;
- definir e manter atualizado o
plano de ações.
- treinamento dos
procedimentos quanto a
indisponibilidade dos serviços;
- alocar dispositivos
sobressalentes;
- aquisição de gerador de
energia elétrica.
- laudos da manutenção
preventiva periódica de todos os
dispositivos e infraestrutura
lógica;
- gerenciamento dos recursos
(via rede).
- laudos da auditoria e/ou
reavaliação ao final de cada
processo.
Indisponibilidade
de acesso à Internet
(indisponibilidade
dos ISPs)
- indisponibilidade de acesso a
serviços externos.
- indisponibilidades de acesso
a ferramentas WEB;
- lentidão no acesso externo;
- possível interrupção das
atividades discentes.
- insatisfação dos professores e
alunos;
- perda de credibilidade no
setor de TI.
- dois provedores de acesso a
Internet distintos (porém por
rotas iguais);
- existência de balanceamento de
carga.
38,9
- prover rotas distintas da entrada
de facilidade até o data center aos
ISPs;
- providenciar contratação de um
ISP por outro meio físico (ex.: via
rádio).
- verificar a necessidade de
estruturar rotas distintas;
- contratar novos ISPs.
- monitorar utilização da banda
de acesso externo;
- monitorar a disponibilidade dos
links;
Danos permanentes
nos computadores
dos laboratórios de
informática
- mau funcionamento dos
periféricos dos computadores;
- má utilização dos
computadores pelos usuários.
- impossibilidade de realização
das tarefas por um ou mais
alunos.
- necessidade de troca do
computador ou realocação do
aluno;
- necessidade de configuração
de nova máquina;
- possível interrupção das
atividades discentes;
- insatisfação dos professores e
alunos;
- perda de credibilidade no
setor de TI.
- atualizações tecnológicas
periódicas do parque de
máquinas dos laboratórios;
- existe monitoria dos
laboratórios de informática;
- procedimentos de segurança
aplicados aos usuários;
- existe gerenciamento de acesso
aplicado aos usuários;
- segurança lógica da rede
existente.
38,9
- manter computador sobressalente
com a imagem do sistema
operacional utilizada no
laboratório;
- criar uma documentação relativa
as imagens dos sistemas
operacionais existentes;
- manter o sistema operacional e
os softwares atualizados.
- aquisição de computadores
sobressalentes;
- horas técnicas para
configuração dos computadores
e para criação de documentação
apropriada.
- manter os procedimentos de
restrição de acesso e de
segurança;
- manter uma documentação das
imagens dos sistemas
operacionais;
- manter o processo de
atualização tecnológica.
BD
U –
Bib
liote
ca D
igita
l da
UN
IVAT
ES
(htt
p://w
ww
.uni
vate
s.br/
bdu)
99
Ataques por
softwares mal-
intencionados,
cibervandalismo ou
ataques à rede WI-
FI ou aos sistemas
da instituição e/ou
dispositivos da
instituição
- indisponibilidade da rede
devido a ataques;
- acesso a informações
confidencias da instituição.
- roubo de informações dos
usuários;
- detrimento da integridade e a
confidencialidade dos dados;
- danos permanentes aos
computadores da instituição;
- perda de credibilidade no
setor de TI.
- procedimentos de segurança
aplicados a rede WI-FI e ao
acesso interno;
- monitoramento da rede WI-FI;
- registros (logs) da utilização da
rede;
- proibição de utilização de
softwares não autorizados;
39,3
- preparar um plano de
continuidade adequado para
recuperação dos serviços e dos
computadores que sofreram
ataques por código malicioso;
- monitoramento de acesso;
- implementar e manter um
monitoramento dos acessos a
rede.
- manter softwares de detecção e
remoção de códigos maliciosos
atualizados;
-monitorar os acessos.
Ataques por
softwares mal-
intencionados ou
cibervandalismo
aos dispositivos
próprios dos alunos
- indisponibilidade da rede
devido a ataques;
- acesso a informações
confidencias dos alunos.
- roubo de informações dos
alunos;
- detrimento da integridade e a
confidencialidade dos dados;
- danos permanentes aos
computadores dos alunos;
- perda de credibilidade no
setor de TI.
- procedimentos de segurança
aplicados a rede WI-FI e ao
acesso interno;
- monitoramento da rede WI-FI;
- registros (logs) da utilização da
rede.
36,0 - monitoramento de acesso;
- implementar e manter um
monitoramento dos acessos a
rede.
- manter softwares de detecção e
remoção de códigos maliciosos
atualizados;
-monitorar os acessos;
- conscientizar os alunos e
professores a manterem
atualizados os softwares de seus
dispositivos pessoais.
Impacto negativo
no processo de
ensino e de
aprendizagem
devido problemas
na utilização dos
serviços de TI
- falta de instrução dos
professores quanto a utilização
de TI em sala de aula;
- impossibilidade de aula
prática em ferramentas que
utilizam TI.
- perda de credibilidade no
setor de TI e da UNIVATES;
- possível interrupção das
atividades discentes;
- demora na conclusão de
determinada tarefa;
- treinamentos relativos a
utilização das ferramentas de TI
utilizadas na instituição;
- apoio de setores de apoio
pedagógico e de ensino a
distância da instituição.
36,2
- manter treinamentos adequados
aos professores com relação a
utilização da TI em sala de aula;
- disponibilizar monitores para
auxílio dos alunos;
- investir em capacitação dos
professores, promovendo
treinamentos internos aos novos
professores;
- contratar monitorias para as
salas de aula.
- garantir que existam
treinamentos periódicos caso
haja alteração tecnológica
considerável, como por
exemplo, atualização do sistema
operacional.
Falha ou
indisponibilidade
do acesso à rede
sem fio
- impossibilidade do acesso por
meio de dispositivos próprios;
- interferências causadas por
equipamentos que emitem radio
frequência que não sejam os
pontos de acesso;
- indisponibilidade do acesso a
rede sem fio;
- possível interrupção das
atividades discentes;
- insatisfação dos professores e
alunos;
- perda de credibilidade no
setor de TI.
- redundância da controladora
WI-FI e dos pontos de acesso no
campus;
- equipamentos alimentados via
PoE (continuam em
funcionamento em caso de
indisponibilidade elétrica);
- procedimentos de segurança
(criptografia) no acesso estão
implementados;
- monitoramento da rede WI-FI;
- segmentação da rede por perfil
de usuário;
- controle de acesso
implementado para a rede sem
fio.
35,3
- realizar atualização tecnológica
periódica da infraestrutura de rede
sem fio;
- verificar possíveis interferências
e ruídos que possam prejudicar a
rede sem fio.
- adquirir equipamentos que
possuam análise de
interferências;
- adquirir equipamentos mais
recentes periodicamente;
- manter procedimentos de
segurança já adotados;
- manter-se a atualizado
conforme as tecnologias
disponíveis no mercado.
Fonte: Elaborado pelo autor (2014), cadastro das ameaças (ABNT NBR ISO/IEC 31000, 2009).
BD
U –
Bib
liote
ca D
igita
l da
UN
IVAT
ES
(htt
p://w
ww
.uni
vate
s.br/
bdu)
100
Conforme pode-se observar no Quadro 18, a maioria das ameaças elencadas geram
sérias consequências para o processo de ensino e de aprendizagem da instituição, na maioria
das vezes interrompendo as aulas, o que novamente indica a existência de total dependência
com relação a TI.
Segundo a análise de riscos, 33% das ameaças de alto risco relacionadas ainda não
foram tratadas ou foram tratadas parcialmente. No entanto, o cadastro de ameaças identifica
ao menos um controle existente para cada uma das ameaças elencadas, demonstrando que
mesmo que indiretamente o mesmo está sendo tratado.
A maioria das ameaças relacionadas no cadastro, mesmo que apresentem um índice de
risco que pode ser considerado baixo, foram enquadradas como alto risco tendo em vista que
o apetite de riscos definido é menos tolerante devido a importância do contexto ao qual se
aplica.
Contudo, a média do índice de risco das ameaças relacionadas é de 40,7, considerada
alta no apetite de riscos, enquanto a média geral de todas as ameaças relacionadas é de 28,8,
considerada média com base no mesmo.
O plano de ações proposto visa manter os controles já existentes, mantendo um
monitoramento das ameaças, bem como atuar em outros frentes que até então não haviam
sido implementados, conforme apresentado na coluna das ações propostas.
BD
U –
Bib
liote
ca D
igita
l da
UN
IVAT
ES
(htt
p://w
ww
.uni
vate
s.br/
bdu)
101
6 CONSIDERAÇÕES FINAIS
Com a realização do presente estudo foi possível identificar parte dos riscos que o
ambiente de TI propicia ao processo de ensino e de aprendizagem, confrontando-os aos
resultados da análise do cenário existente na instituição, aos índices de grau de aderência a
norma ABNT NBR ISO/IEC 17799 e ao nível de maturidade em gestão de riscos, com o
intuito de propor melhorias na segurança de TI, mitigando os riscos inerentes ao processo de
ensino e de aprendizagem.
O estudo possibilitou também constatar o grau de dependência existente entre o
processo de ensino e de aprendizagem e às TICs, bem como o impacto que a
indisponibilidade dos recursos informatizados pode representar para os alunos e professores.
De acordo com os resultados obtidos na avaliação da relevância da TIC no processo de
ensino e de aprendizagem, pode-se averiguar que, segundo a percepção dos alunos e
professores, os recursos de TI em sala de aula são cada vez mais relevantes e que estes
recursos não seria facilmente substituídos por um método paliativo, o que sugere que sua
indisponibilidade afetaria o processo de ensino e de aprendizagem, indicando um alto grau de
dependência.
Quanto ao grau de aderência da segurança da TI em relação à norma ABNT NBR
ISO/IEC 17799 e as suas revisões, foi demonstrado que o Centro Universitário UNIVATES,
apesar de indicar um alto grau de aderência à norma segundo o framework utilizado, pode ser
considerada como um resultado de nível médio tendo em vista que não obteve-se aderência a
todos os domínios abrangidos pela norma e que atingiu apenas 67,5% de aderência aos
BD
U –
Bib
liote
ca D
igita
l da
UN
IVAT
ES
(htt
p://w
ww
.uni
vate
s.br/
bdu)
102
quesitos abordados. Os domínios que encontram-se com baixo ou que não apresentam
nenhum nível de aderência a norma devem ser revistos com maior atenção pela gestão afim de
implementar os processos e controles necessários.
Com relação a avaliação do grau de maturidade da gestão de riscos do Centro
Universitário UNIVATES em relação às normas ABNT NBR ISO/IEC 31000:2009 atingiu-se
uma pontuação de 2,3 de um total de 5 pontos, o que representa uma maturidade “consciente”
segundo o framework utilizado, indicando a existência de alguma abordagem de gestão de
riscos, mas que talvez não esteja formalizada ou esteja concentrada em alguns setores ou
pessoas.
Com base no modelo de avaliação proposto, é possível afirmar que o processo de
ensino e de aprendizagem adotado no Centro Universitário UNIVATES apresenta um
significativo grau de dependência em relação a área de TI e que, existem soluções
tecnológicas ou procedimentais com potencial para mitigar ou eliminar as ameaças e suas
consequências, assim como planos de continuidade ou de contingência não identificados na
instituição.
No que diz respeito ao modelo de gestão de riscos proposto, pode-se afirmar que o
mesmo mostrou-se eficiente, evidenciando que a UNIVATES possui controles de segurança
da informação implementados, mas que em alguns quesitos ainda encontram-se ingênuos com
relação à gestão de riscos, o que representa um resultado muito inferior ao ideal se levada em
consideração a relevância que a TIC apresenta no processo de ensino e de aprendizagem, que
é o principal enfoque da instituição.
Como trabalhos futuros, sugere-se a realização de uma avaliação mais detalhada,
quanto a análise dos resultados obtidos, abrangendo todos os domínios sugeridos pela norma
ABNT NBR ISO/IEC 17799 e uma análise de todos os riscos, tendo em vista que no presente
estudo foram considerados apenas as ameaças de alto risco. Sugere-se também que seja
realizada uma pesquisa de natureza quantitativa, a fim de avaliar qual o impacto financeiro
que a indisponibilidade da TI teria sobre o processo de ensino e de aprendizagem, angariando
maiores argumentos à alta direção da importância que a gestão de riscos possui na
organização.
BD
U –
Bib
liote
ca D
igita
l da
UN
IVAT
ES
(htt
p://w
ww
.uni
vate
s.br/
bdu)
103
REFERÊNCIAS
ARAÚJO, R. B. de. Computação Ubíqua: Princípios, Tecnologias e Desafios. In: Anais do
XXI Simpósio Brasileiro de Redes de Computadores. 2003. Disponível em:
<http://www.professordiovani.com.br/rw/monografia_araujo.pdf>. Acesso em: 18 mai. 2014.
AS/NZS 4360:2004 Risk Management. Third edition. Sydney/Wellington: Standards
Australia/Standards New Zealand, 2004.
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS – ABNT. NBR ISO/IEC
17799:2005 – Tecnologia da informação – Técnicas de segurança – Código de prática
para a gestão da segurança da informação. Rio de Janeiro: ABNT, 2005.
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS – ABNT. NBR ISO/IEC
31000:2009 – Gestão de riscos – Princípios e diretrizes. Rio de Janeiro: ABNT, 2009.
BEAL, A. Segurança da Informação: Princípios e Melhores Práticas para a Proteção dos
Ativos da Informação nas Organizações. São Paulo: Editora Atlas, 2008.
DANTAS, M. L. Segurança da Informação: Uma abordagem focada em Gestão de
Riscos. Olinda: Livro Rápido, 2011.
DIAS, R. A. Tecnologias digitais e currículo: possibilidades na era da ubiquidade. Minas
Gerais: Faculdade Metodista Granbery, 2010. Disponível em:
<http://www.cogeime.org.br/revista/36Artigo04.pdf>. Acesso em: 18 mai. 2014.
FERNANDEZ V. P., YOUSSEF A. N., Informática e Sociedade. São Paulo – SP: Ed. Ática,
2003, 61 p.
FERNANDEZ, A. A; ABREU, V. F. Implantando a governança de TI: da estratégia à
gestão dos processos e serviços. 3 ed. Rio de Janeiro: Brasport, 2012.
GIL, A. C. Como elaborar projetos de pesquisa. 4. ed. São Paulo: Atlas, 2002.
GIL, A. C. Didática do ensino superior. São Paulo: Altas, 2006.
BD
U –
Bib
liote
ca D
igita
l da
UN
IVAT
ES
(htt
p://w
ww
.uni
vate
s.br/
bdu)
104
GRZESIUK, D. F. O uso da informática na sala de aula como ferramenta de auxílio no
processo de ensino- aprendizagem. Medianeira – PR, 2008.
GUERRA, J. H. L. Utilização do computador no processo de ensino aprendizagem: uma
aplicação em planejamento e controle da produção. Escola de Engenharia de São Carlos –
Universidade de São Paulo, 2000.
HAIR, J. F; BABIN, B; MONEY, A. H; SAMOUEL, P. Fundamentos de métodos de
pesquisa em administração. Porto Alegre: Bookman, 2005.
INSTITUTO SÍRIO-LIBANÊS DE ENSINO E PESQUISA. Curso de capacitação em
processos educacionais na saúde: com ênfase em facilitação de metodologias ativas de
ensino-aprendizagem. Fundação Dom Cabral. - São Paulo, 2012. Disponível em:
<http://ensino.hospitalsiriolibanes.com.br/downloads/Caderno_Capacitacaoemprocessoseduca
cionaisnasaude2012.pdf> Acesso em 22 mai. 2014.
JOÃO, B. N. Sistemas de informação. São Paulo: Pearson Education do Brasil, 2012.
KATZ, S.N. Information Tecnology, Don’t Mistake a Tool for a Goal. Disponível em:
<http://www.princeton.edu/~snkatz/papers/CHE_6-15-01.html>. Acesso em: 15 mar. 2014.
KIDDE. Ficha técnica de informações do sistema FM-200. 2014. Disponível em: <
http://www.kidde.com.br/Documents/sistemafm-200.pdf>. Acesso em: 23 ago. 2014.
LAUDON, K.; LAUDON, J. Sistemas de informação gerenciais. Tradução Luciana do
Amaral Teixeira. 9. ed. São Paulo: Pearson Prentice Hall, 2011.
MAC-ALLISTER, M.; MAGALHÃES, C., Gestão da Tecnologia da Informação (TI) nas
Instituições de Ensino Superior (IES): um estudo de caso numa IES particular de
Salvador. Salvador – BA, 2006.
MARIN, P. S. Data centers: desvendando cada passo: projeto, infraestrutura física e
eficiência energética. 1 ed. São Paulo: Érica, 2011.
MARIN, P. S. Cabeamento estruturado: desvendando cada passo: do projeto à
instalação. 3 ed. São Paulo: Érica, 2009.
MAZUR, E. Educating the innovators of the 21st century. Massachusetts, 2014.
MORAN, J. M; MASETTO, M. T; BEHRENS, M. A. Novas tecnologias e mediação
pedagógica. 21 ed. São Paulo: Papirus, 2013.
PALADINI, E. P. Métodos interativos de ensino: suporte tecnológico adaptativo. In:
CONGRESSO BRASILEIRO DE ENSINO DE ENGENHARIA, 24., Manaus, 1996.
Pessoa - Porto, 2002.
REZENDE, D. A.; ABREU, A. F. Tecnologia da Informação aplicada a sistemas de
informação empresariais. 9 ed. São Paulo: Atlas, 2013.
BD
U –
Bib
liote
ca D
igita
l da
UN
IVAT
ES
(htt
p://w
ww
.uni
vate
s.br/
bdu)
105
SAMARA, B. S; BARROS, J. C. Pesquisa de marketing: conceitos e metodologia.
3. Ed. São Paulo: Prentice Hall, 2002.
SANTOS, N. S. R. S; LIMA, J. V. L; WIVES, L. K. Ubiquidade e mobilidade de objetos de
aprendizagem usando o papel como recurso. Rio Grande do Sul, 2010.
SILVA, P. T.; CARVALHO, H.; TORRES, C. B. Segurança dos Sistemas de Informação:
Gestão Estratégica da Segurança empresarial. Centro Atlântico, 2003.
SONG, S., Gerenciamento único para o desafio do BYOD - 2013. Disponível em: <
http://gblogs.cisco.com/br/tag/ti-de-universidade>. Acesso em: 17 mar. 2014.
SOSTERIC, M; HESEMEIER, S. When is a learning object not na object: a first step
towards a theory of learning objects. International Review of Research in Open and
Distance Learning. Athabasca University. – Canadá, 2002. Disponível em: <
http://www.irrodl.org/index.php/irrodl/article/view/106/185> Acesso em 22 mai. 2014.
TANENBAUM, A. S.; WETHERALL, D., Redes de Computadores, 5a edição, São Paulo:
Pearson Prentice Hall, 2011.
VIDAL, E. Ensino à Distância vs Ensino Tradicional. Universidade Fernando de
VIEIRA, Z. N. L. A informática na educação. Universidade Candido Mendes. – Rio de
Janeiro, 2006.
WADLOW, T. A. Segurança de Redes: projeto e gerenciamento de redes seguras.
Tradução Fábio Freitas da Silva. Rio de Janeiro: Campus, 2000.
WEISS, R. J; CRAIGER, J. P. Ubiquitous Computing..Nebraska, 2002. Disponível
em:<https://www.siop.org/tip/backissues/TIPApr02/pdf/394_044to052.pdf> Acesso em 18
mai. 2014.
WERTHEIN, J. Information society and it´s challenges. Ci. Inf., maio/ago. 2000, vol.29,
nº.2.
WESTERMAN, G; HUNTER, R. O risco de TI. Convertendo ameaças aos negócios em
vantagem competitiva. São Paulo: M. Books do Brasil Editora Ltda., 2008.
YIN, R. K. Estudo de caso: planejamento e métodos. Tradução Daniel Grassi – 2. Ed. –
Porto Alegre: Bookman, 2001.
BD
U –
Bib
liote
ca D
igita
l da
UN
IVAT
ES
(htt
p://w
ww
.uni
vate
s.br/
bdu)
106
APÊNDICES
BD
U –
Bib
liote
ca D
igita
l da
UN
IVAT
ES
(htt
p://w
ww
.uni
vate
s.br/
bdu)
107
Apêndice A – Questionário de análise de riscos da infraestrutura de TI com relação ao processo de ensino e de aprendizagem Este questionário visa identificar qual a importância da TI no processo de ensino e de
aprendizagem sob a perspectiva dos alunos, professores e funcionários, bem como avaliar
e analisar as ameaças relacionadas ao processo de ensino e de aprendizagem.
As primeiras questões referem-se a informações gerais do respondente e a segunda visa
realizar uma análise dos riscos da infraestrutura de TI da UNIVATES.
1) O curso ao qual você está matriculado/leciona pertence a qual centro?
( ) CGO (Centro de Gestão Organizacional)
( ) CCTEC ( Centro de Ciências Exatas e Tecnológicas)
( ) CCHJ (Centro de Ciências Humanas e Jurídicas)
( ) CCBS (Centro de Ciências Biológicas e da Saúde)
( ) Não sei/ Sou apenas funcionário
2) Quais metodologias são predominantemente utilizadas no processo de ensino e de
aprendizagem no meu curso?
( ) Aulas expositivas
( ) Aulas expositivas e práticas com a utilização de tecnologia da informação
( ) Aulas práticas com a utilização de tecnologia da informação
( ) Aulas práticas com a utilização de metodologias tradicionais
( ) Nenhuma das anteriores
3) Com que frequência utilizo algum recurso de tecnologia da informação
disponibilizado pela instituição (WI-FI, Laboratórios de informática, Terminais de
Consulta)?
( ) Todos os dias
( ) Até três vezes por semana
( ) Até duas vezes por semana
( ) Uma vez por semana
( ) Não utilizo/Nunca utilizei
4) Quais dos seguintes recursos utilizo com maior frequência para acesso a ambientes
acadêmicos (UNIVATES Virtual, Universo UNIVATES, Balcão de Empregos, etc.)?
( ) WI-FI (dispositivo próprio)
( ) Laboratórios de Informática
( ) Terminais de consulta
( ) Acesso somente de casa
( ) Não utilizo/Nunca utilizei
5) A TI (Tecnologia da informação) foi fundamental no processo de ensino e de
aprendizagem nas disciplinas que cursei/lecionei.
( ) Concordo plenamente
( ) Concordo
( ) Indiferente
( ) Discordo
( ) Discordo plenamente
BD
U –
Bib
liote
ca D
igita
l da
UN
IVAT
ES
(htt
p://w
ww
.uni
vate
s.br/
bdu)
108
6) As metodologias que utilizam tecnologia da informação utilizadas pelo professor
seriam facilmente substituídas por métodos de aprendizagem tradicionais em caso de
indisponibilidade destes recursos?
( ) Concordo plenamente
( ) Concordo
( ) Indiferente
( ) Discordo
( ) Discordo plenamente
7) Caso houvesse indisponibilidade do acesso à Internet durante as aulas as
consequências no processo de ensino e de aprendizagem para mim seriam:
( ) Minha aprendizagem ficaria completamente comprometida
( ) Minha aprendizagem seria parcialmente afetada
( ) Não afetaria meu aprendizado
( ) Não utilizo Internet nas aulas
8) Para qual finalidade mais utilizo a tecnologia da informação em sala de aula?
( ) Pesquisas
( ) Escrita Colaborativa (Google Docs, Zoho, Editorially, etc. )
( ) Chats e Fóruns
( ) Provas on-line
( ) Exercícios
( ) Trabalhos em grupo em sala de aula
( ) Redes Sociais
( ) Outro
9) Os métodos de segurança de rede empregados pela instituição (controle de utilização,
logins, políticas de acesso, etc. ) são:
( ) Adequados
( ) Parcialmente adequados
( ) Pouco adequados
( ) Inadequados
10) Em sua totalidade, os recursos de TI utilizados no processo de ensino e de
aprendizagem na UNIVATES são:
( ) Adequados
( ) Parcialmente adequados
( ) Pouco adequados
( ) Inadequados
Análise de Riscos do Ativo Processo de Ensino e de Aprendizagem Para cada uma das ameaças descritas abaixo, indique como você avalia os itens de
probabilidade (possibilidade da ameaça se concretizar), consequência (prejuízos que a ameaça
pode oferecer ao processo de ensino e de aprendizagem) e relevância (importância que a
ameaça pode apresentar no processo de ensino e de aprendizagem), selecionando um índice
compreendido entre 1 e 5, onde 1 indica menor importância e 5 extrema importância.
BD
U –
Bib
liote
ca D
igita
l da
UN
IVAT
ES
(htt
p://w
ww
.uni
vate
s.br/
bdu)
109
Logo após marque a opção de contingência e continuidade, indicando segundo a sua
percepção, a existência ou não desses quesitos para cada ameaça relacionada.
Legenda:
Contingência: possibilidade de contornar a ameaça de forma paliativa (com outro recurso) em
determinado espaço de tempo;
Continuidade: garantia que o serviço não será afetado por determinada ameaça, mantendo o
recurso disponível e/ou o ativo em funcionamento.
11) Indisponibilidade dos serviços internos (UNIVATES Virtual, Universo UNIVATES,
Balcão de Empregos, Webmail, etc.)
Probabilidade: 1( ) 2( ) 3( ) 4( ) 5( )
Consequência: 1( ) 2( ) 3( ) 4( ) 5( )
Relevância: 1( ) 2( ) 3( ) 4( ) 5( )
Contingência: Sim ( ) Não ( )
Continuidade: Sim ( ) Não ( )
12) Indisponibilidade dos serviços externos ( serviços do Google, webmail externo, sites
de pesquisa, etc.)
Probabilidade: 1( ) 2( ) 3( ) 4( ) 5( )
Consequência: 1( ) 2( ) 3( ) 4( ) 5( )
Relevância: 1( ) 2( ) 3( ) 4( ) 5( )
Contingência: Sim ( ) Não ( )
Continuidade: Sim ( ) Não ( )
13) Interrupção do fornecimento de energia elétrica nas salas de aula (levando em conta o
impacto sobre a TI e o processo de ensino e de aprendizagem)
Probabilidade: 1( ) 2( ) 3( ) 4( ) 5( )
Consequência: 1( ) 2( ) 3( ) 4( ) 5( )
Relevância: 1( ) 2( ) 3( ) 4( ) 5( )
Contingência: Sim ( ) Não ( )
Continuidade: Sim ( ) Não ( )
14) Interrupção do fornecimento de energia elétrica no data center
Probabilidade: 1( ) 2( ) 3( ) 4( ) 5( )
Consequência: 1( ) 2( ) 3( ) 4( ) 5( )
Relevância: 1( ) 2( ) 3( ) 4( ) 5( )
Contingência: Sim ( ) Não ( )
Continuidade: Sim ( ) Não ( )
15) Interrupção do fornecimento de energia elétrica em salas de telecomunicações
(afetando os locais atendidos pela mesma)
Probabilidade: 1( ) 2( ) 3( ) 4( ) 5( )
Consequência: 1( ) 2( ) 3( ) 4( ) 5( )
Relevância: 1( ) 2( ) 3( ) 4( ) 5( )
Contingência: Sim ( ) Não ( )
Continuidade: Sim ( ) Não ( )
BD
U –
Bib
liote
ca D
igita
l da
UN
IVAT
ES
(htt
p://w
ww
.uni
vate
s.br/
bdu)
110
16) Falha nos nobreaks das salas de telecomunicações
Probabilidade: 1( ) 2( ) 3( ) 4( ) 5( )
Consequência: 1( ) 2( ) 3( ) 4( ) 5( )
Relevância: 1( ) 2( ) 3( ) 4( ) 5( )
Contingência: Sim ( ) Não ( )
Continuidade: Sim ( ) Não ( )
17) Falha nos nobreaks do data center
Probabilidade: 1( ) 2( ) 3( ) 4( ) 5( )
Consequência: 1( ) 2( ) 3( ) 4( ) 5( )
Relevância: 1( ) 2( ) 3( ) 4( ) 5( )
Contingência: Sim ( ) Não ( )
Continuidade: Sim ( ) Não ( )
18) Falha no gerador que atende ao data center (considerando uma interrupção no
fornecimento de energia elétrica)
Probabilidade: 1( ) 2( ) 3( ) 4( ) 5( )
Consequência: 1( ) 2( ) 3( ) 4( ) 5( )
Relevância: 1( ) 2( ) 3( ) 4( ) 5( )
Contingência: Sim ( ) Não ( )
Continuidade: Sim ( ) Não ( )
19) Falha em algum equipamento interno (switch, roteadores, pontos de acesso WI-FI,
etc.) existentes nos prédios em que as aulas ocorrem
Probabilidade: 1( ) 2( ) 3( ) 4( ) 5( )
Consequência: 1( ) 2( ) 3( ) 4( ) 5( )
Relevância: 1( ) 2( ) 3( ) 4( ) 5( )
Contingência: Sim ( ) Não ( )
Continuidade: Sim ( ) Não ( )
20) Falha ou dano permanente na infraestrutura física de TI (cabeamento metálico,
backbone óptico, patch cords, etc. )
Probabilidade: 1( ) 2( ) 3( ) 4( ) 5( )
Consequência: 1( ) 2( ) 3( ) 4( ) 5( )
Relevância: 1( ) 2( ) 3( ) 4( ) 5( )
Contingência: Sim ( ) Não ( )
Continuidade: Sim ( ) Não ( )
21) Indisponibilidade de acesso à Internet (instabilidades/indisponibilidade dos ISPs)
Probabilidade: 1( ) 2( ) 3( ) 4( ) 5( )
Consequência: 1( ) 2( ) 3( ) 4( ) 5( )
Relevância: 1( ) 2( ) 3( ) 4( ) 5( )
Contingência: Sim ( ) Não ( )
Continuidade: Sim ( ) Não ( )
22) Danos permanentes nos computadores dos laboratórios de informática da instituição
Probabilidade: 1( ) 2( ) 3( ) 4( ) 5( )
Consequência: 1( ) 2( ) 3( ) 4( ) 5( )
Relevância: 1( ) 2( ) 3( ) 4( ) 5( )
Contingência: Sim ( ) Não ( )
Continuidade: Sim ( ) Não ( )
BD
U –
Bib
liote
ca D
igita
l da
UN
IVAT
ES
(htt
p://w
ww
.uni
vate
s.br/
bdu)
111
23) Danos permanentes nos dispositivos próprios dos alunos
Probabilidade: 1( ) 2( ) 3( ) 4( ) 5( )
Consequência: 1( ) 2( ) 3( ) 4( ) 5( )
Relevância: 1( ) 2( ) 3( ) 4( ) 5( )
Contingência: Sim ( ) Não ( )
Continuidade: Sim ( ) Não ( )
24) Ataques por softwares mal-intencionados, cibervandalismo ou ataques a rede WI-FI
ou aos sistemas da instituição e/ou dispositivos da instituição
Probabilidade: 1( ) 2( ) 3( ) 4( ) 5( )
Consequência: 1( ) 2( ) 3( ) 4( ) 5( )
Relevância: 1( ) 2( ) 3( ) 4( ) 5( )
Contingência: Sim ( ) Não ( )
Continuidade: Sim ( ) Não ( )
25) Ataques por softwares mal-intencionados ou cibervandalismo aos dispositivos
próprios dos alunos
Probabilidade: 1( ) 2( ) 3( ) 4( ) 5( )
Consequência: 1( ) 2( ) 3( ) 4( ) 5( )
Relevância: 1( ) 2( ) 3( ) 4( ) 5( )
Contingência: Sim ( ) Não ( )
Continuidade: Sim ( ) Não ( )
BD
U –
Bib
liote
ca D
igita
l da
UN
IVAT
ES
(htt
p://w
ww
.uni
vate
s.br/
bdu)
112
ANEXOS
BD
U –
Bib
liote
ca D
igita
l da
UN
IVAT
ES
(htt
p://w
ww
.uni
vate
s.br/
bdu)
113
Anexo A – Questionário de conformidade à norma ABNT NBR ISO/IEC17799
Objetivo do questionário: Este questionário destina-se a identificar a percepção dos
colaboradores do Centro Universitário UNIVATES quanto o grau de conformidade em
relação aos controles sugeridos pelo código de conduta de gestão da segurança da informação
definidos pela norma NBR ISO/IEC 17799.
Política de Segurança
1) A política de segurança existe e é conhecida?
( ) Sim
( ) Sim, porém desatualizada
( ) Não
2) Existe algum responsável pela gestão da política de segurança?
( ) Sim
( ) Sim, porém não está desempenhando a função
( ) Não
Segurança Organizacional
3) Existe uma infraestrutura de segurança da informação para gerenciar as ações
corporativas?
( ) Sim
( ) Sim, porém desatualizada
( ) Não
4) O fórum de segurança é formado pelo corpo diretor, a fim de gerir mudanças
estratégicas?
( ) Sim
( ) Sim, mas não está sendo utilizado atualmente
( ) Não
5) Existe uma definição clara das atribuições de responsabilidade associadas à segurança
da informação?
( ) Sim
( ) Sim, porém desatualizada
( ) Não
6) É feita a identificação dos riscos no acesso de prestadores de serviço?
( ) Sim
( ) Sim, porém desatualizada
( ) Não
7) Existe um controle de acesso específico para os prestadores de serviço?
( ) Sim
( ) Sim, porém desatualizado
( ) Não
BD
U –
Bib
liote
ca D
igita
l da
UN
IVAT
ES
(htt
p://w
ww
.uni
vate
s.br/
bdu)
114
8) Requisitos de segurança dos contratos de terceirização são definidos?
( ) Sim
( ) Sim, porém desatualizados
( ) Não
Classificação e controle dos ativos de informação
9) Existe um inventário dos ativos físicos, tecnológicos e humanos?
( ) Sim
( ) Sim, porém desatualizado
( ) Não
10) Existem critérios de classificação da informação
( ) Sim
( ) Sim, porém desatualizados
( ) Não
Segurança em Pessoas
11) Os critérios de seleção e política de pessoal estão definidos?
( ) Sim
( ) Sim, porém desatualizados
( ) Não
12) Existe um acordo de confidencialidade, termos e condições de trabalho?
( ) Sim
( ) Sim, porém desatualizados
( ) Não
13) Processos para capacitação e treinamento de usuários estão definidos?
( ) Sim
( ) Sim, porém desatualizados
( ) Não
14) Existe uma estrutura para notificar e responder aos incidentes e falhas de segurança?
( ) Sim
( ) Sim, porém desatualizada
( ) Não
Segurança Física e de Ambiente
15) Existe definição de perímetros e controle de acesso físico aos ambientes?
( ) Sim
( ) Sim, porém desatualizada
( ) Não
16) Existem recursos para segurança e manutenção dos equipamentos?
( ) Sim
( ) Sim, porém desatualizados
( ) Não
BD
U –
Bib
liote
ca D
igita
l da
UN
IVAT
ES
(htt
p://w
ww
.uni
vate
s.br/
bdu)
115
17) Existe estrutura para fornecimento adequado de energia?
( ) Sim
( ) Sim, porém desatualizados
( ) Não
18) A segurança do cabeamento e considerada?
( ) Sim
( ) Sim, porém desatualizados
( ) Não
Gerenciamento das operações e comunicações
19) Os procedimentos e responsabilidades operacionais estão definidos e divulgados?
( ) Sim
( ) Sim, porém desatualizados
( ) Não
20) Existe um controle de mudanças operacionais?
( ) Sim
( ) Sim, porém desatualizado
( ) Não
21) Existe segregação de funções e ambientes?
( ) Sim
( ) Sim, porém desatualizada
( ) Não
22) O planejamento e a aceitação de sistemas são executados?
( ) Sim
( ) Sim, porém desatualizados
( ) Não
23) Existem procedimentos para copias de segurança?
( ) Sim
( ) Sim, porém desatualizados
( ) Não
24) Existem controles e gerenciamento de rede?
( ) Sim
( ) Sim, porém desatualizados
( ) Não
25) Mecanismos de segurança e tratamento de mídias são conhecidos?
( ) Sim
( ) Sim, porém desatualizados
( ) Não
BD
U –
Bib
liote
ca D
igita
l da
UN
IVAT
ES
(htt
p://w
ww
.uni
vate
s.br/
bdu)
116
26) Existem procedimentos para documentação de sistemas?
( ) Sim
( ) Sim, porém desatualizados
( ) Não
27) Mecanismos de segurança do correio eletrônico são implementados?
( ) Sim
( ) Sim, porém desatualizados
( ) Não
Controle de acesso
28) Os requisitos do negócio para controle de acesso estão definidos?
( ) Sim
( ) Sim, porém desatualizados
( ) Não
29) Existe gerenciamento de acessos do usuário?
( ) Sim
( ) Sim, porém desatualizado
( ) Não
30) Existe controle de acesso à rede?
( ) Sim
( ) Sim, porém desatualizado
( ) Não
31) Existe controle de acesso ao sistema operacional?
( ) Sim
( ) Sim, porém desatualizado
( ) Não
32) Existe Controle de acesso às aplicações?
( ) Sim
( ) Sim, porém desatualizado
( ) Não
33) Existe Monitoramento do uso e acesso ao sistema?
( ) Sim
( ) Sim, porém desatualizado
( ) Não
34) Existem critérios para computação móvel e trabalho remoto?
( ) Sim
( ) Sim, porém desatualizados
( ) Não
BD
U –
Bib
liote
ca D
igita
l da
UN
IVAT
ES
(htt
p://w
ww
.uni
vate
s.br/
bdu)
117
Desenvolvimento e Manutenção de Sistemas
35) Requisitos de segurança de sistemas estão definidos?
( ) Sim
( ) Sim, porém desatualizados
( ) Não
36) Controle de criptografia é definida e utilizada?
( ) Sim
( ) Sim, porém desatualizados
( ) Não
37) São implementados mecanismos de segurança nos processos de desenvolvimento e
suporte?
( ) Sim
( ) Sim, porém desatualizados
( ) Não
Gestão da continuidade do negócio
38) Existem processos de gestão da continuidade do negócio?
( ) Sim
( ) Sim, porém desatualizado
( ) Não
Conformidade
39) Existe gestão de conformidade técnicas e legais?
( ) Sim
( ) Sim, porém desatualizada
( ) Não
40) Recursos e critérios para auditoria de sistemas estão definidos?
( ) Sim
( ) Sim, porém desatualizados
( ) Não
BD
U –
Bib
liote
ca D
igita
l da
UN
IVAT
ES
(htt
p://w
ww
.uni
vate
s.br/
bdu)
118
Anexo B – Questionário de avaliação da maturidade da gestão de riscos segundo a norma ABNT NBR ISO/IEC 31000 O questionário de maturidade da gestão de riscos visa obter um panorama do quanto o
conselho e a direção determinam, avaliam, manejam e monitoram os riscos.
Para cada um dos processos listados abaixo, indique o grau de maturidade, optando entre
Ruim, Razoável, Bom, Muito Bom ou Excelente, com base na definição abaixo e nos seus
conhecimentos sobre a Instituição.
Legenda:
Ruim: processo inconsistente, pobremente controlado;
Razoável: processo disciplinado, podendo repetir tarefas com sucesso;
Bom: processo padronizado e consistente. Ou seja, o processo é caracterizado e bem
entendido;
Muito Bom: processo medido e controlado;
Excelente: processo focado na melhoria contínua;
1) Objetivos da organização definidos
Verificar se os objetivos da organização são determinados pelo conselho e se foram
comunicados para todos os funcionários. Verificar se outros objetivos e metas são
conscientes com os objetivos da organização.
( ) Ruim
( ) Razoável
( ) Bom
( ) Muito Bom
( ) Excelente
2) Direção foi treinada para compreender os riscos e suas responsabilidade por eles
Entrevistar gerentes para confirmar seu entendimento sobre riscos e o quanto eles o
gerenciam.
( ) Ruim
( ) Razoável
( ) Bom
( ) Muito Bom
( ) Excelente
3) Sistema de pontuação para avaliar riscos foi definido
Verificar se o sistema de pontuação foi aprovado, comunicado e se está sendo utilizado.
( ) Ruim
( ) Razoável
( ) Bom
( ) Muito Bom
( ) Excelente
BD
U –
Bib
liote
ca D
igita
l da
UN
IVAT
ES
(htt
p://w
ww
.uni
vate
s.br/
bdu)
119
4) Apetite por riscos da organização foi definido em termos do sistema de pontuação
Verificar o documento no qual o grupo de controle aprovou o apetite por riscos.
Certificar-se de que é consistente com o sistema de pontuação e de que tenha sido
comunicado
( ) Ruim
( ) Razoável
( ) Bom
( ) Muito Bom
( ) Excelente
5) Processos foram definidos para determinar os riscos e os mesmos foram seguidos
Examinar os processos para certificar-se de que são suficientes para garantir a
identificação de todos os riscos. Verificar se estão implementados examinando os
resultados de workshops
( ) Ruim
( ) Razoável
( ) Bom
( ) Muito Bom
( ) Excelente
6) Todos os riscos foram compilados em uma lista. Os riscos foram alocados a cargos
específicos
Examinar o cadastro de riscos. Certificar-se de que está completo, é analisado
criticamente com regularidade e usado para gerenciar os riscos. Riscos são alocados para
os gerentes
( ) Ruim
( ) Razoável
( ) Bom
( ) Muito Bom
( ) Excelente
7) Todos os riscos foram avaliados de acordo com o sistema de pontuação definido
Verificar se a pontuação aplicada para a seleção de riscos é consciente com a política.
Buscar consistência (isto é, riscos semelhantes têm pontuação semelhante)
( ) Ruim
( ) Razoável
( ) Bom
( ) Muito Bom
( ) Excelente
8) Respostas para os riscos foram selecionadas e implementadas
Examinar o cadastro de riscos para certificar-se de que foram identificadas respostas
apropriadas
( ) Ruim
( ) Razoável
( ) Bom
( ) Muito Bom
( ) Excelente
BD
U –
Bib
liote
ca D
igita
l da
UN
IVAT
ES
(htt
p://w
ww
.uni
vate
s.br/
bdu)
120
9) A direção estabeleceu métodos para monitorar a operação adequada dos processos-
chave, das respostas e dos planos de ação ("controles de monitoramento")
Para uma seleção de respostas, processos e ações, examinar o(s) controle(s) de
monitoramento e certificar-se de que a direção saberia se as respostas ou processos não
estivessem funcionando, ou se as ações não estivessem funcionando, ou se as ações não
estivessem implementadas
( ) Ruim
( ) Razoável
( ) Bom
( ) Muito Bom
( ) Excelente
10) Riscos são analisados pela organização regularmente
Buscar evidências de que um processo minucioso de análise crítica é realizado
regularmente
( ) Ruim
( ) Razoável
( ) Bom
( ) Muito Bom
( ) Excelente
11) Administração relata riscos para diretores quando as respostas não manejaram os
riscos para um nível aceitável para o conselho
Para os riscos acima do apetite por riscos, verificar se o conselho foi informado
formalmente sobre a existência de tais riscos
( ) Ruim
( ) Razoável
( ) Bom
( ) Muito Bom
( ) Excelente
12) Todos os projetos novos significativos são avaliados quanto a riscos rotineiramente
Examinar propostas de projeto para uma análise dos riscos que possam ameaçá-los
( ) Ruim
( ) Razoável
( ) Bom
( ) Muito Bom
( ) Excelente
13) Responsabilidade pela determinação, avaliação e manejo dos riscos está incluída nas
descrições de cargos
Examinar descrições de cargos. Verificar instruções para estabelecer descrições de cargos
( ) Ruim
( ) Razoável
( ) Bom
( ) Muito Bom
( ) Excelente
BD
U –
Bib
liote
ca D
igita
l da
UN
IVAT
ES
(htt
p://w
ww
.uni
vate
s.br/
bdu)
121
14) Gerentes dão garantia da eficácia de sua gestão de riscos
Examinar a garantia fornecida. Para riscos-chave, verificar se os controles e o sistema de
gestão de monitoramento estão operando
( ) Ruim
( ) Razoável
( ) Bom
( ) Muito Bom
( ) Excelente
15) Gerentes são avaliados quanto ao seu desempenho na gestão de riscos
Examinar uma amostra de avaliações, buscando evidências de que os gerentes foram
avaliados adequadamente quanto ao seu desempenho em relação à gestão de riscos
( ) Ruim
( ) Razoável
( ) Bom
( ) Muito Bom
( ) Excelente
16) Abordagem de Auditoria Interna
Examinar uma amostra de avaliações, buscando evidências de que os gerentes foram
avaliados adequadamente quanto ao seu desempenho em relação à gestão de riscos
( ) Ruim
( ) Razoável
( ) Bom
( ) Muito Bom
( ) Excelente
