Uma Análise da Atividade de Testes do Plano de Continuidade de Negócio e sua Conformidade com a Norma ISO 17799:2005

Tamanho: px
Começar a partir da página:

Download "Uma Análise da Atividade de Testes do Plano de Continuidade de Negócio e sua Conformidade com a Norma ISO 17799:2005"

Transcrição

1 Idilson Alexandre Palhares Cassilhas Uma Análise da Atividade de Testes do Plano de Continuidade de Negócio e sua Conformidade com a Norma ISO 17799:2005 Brasília 01 de dezembro de 2008

2 Idilson Alexandre Palhares Cassilhas Uma Análise da Atividade de Testes do Plano de Continuidade de Negócio e sua Conformidade com a Norma ISO 17799:2005 Monografia apresentada ao Departamento de Ciência da Computação da Universidade de Brasília como requisito parcial para a obtenção do título de Especialista em Ciência da Computação: Gestão da Segurança da Informação e Comunicações Orientador: Jacir Luiz Bordim Universidade de Brasília UnB Departamento de Ciência da Computação Brasília 01 de dezembro de 2008

3 Monografia de Especialização defendida sob o título Uma Análise da Atividade de Testes do Plano de Continuidade de Negócio e sua Conformidade com a Norma ISO 17799:2005, defendida por Idilson Alexandre Palhares Cassilhas e aprovada em 20 de novembro de 2008 em Brasília - DF, pela banca examinadora constituída pelos professores e pesquisadores: Prof. Dr. Jacir Luiz Bordim Orientador Prof. Dr. Jorge Henrique C. Fernandes Universidade de Brasília Prof. Ms. João José Costa Gondim Universidade de Brasília

4 ii Dedicatória Dedico esta pesquisa à minha amada esposa Jacqueline, aos meus pais, avós e irmão, especialmente à minha querida mãe que, com muita garra, sacrifício, superação e amor, sempre foi o meu maior exemplo e a maior orientadora em minha vida.

5 iii Agradecimentos A Deus, durante nossa caminhada passamos por momentos difíceis, nos faltando, às vezes, ânimo e coragem; julgamo-nos pequenos demais diante dos obstáculos, mas hoje percebemos que sempre houve alguém que, do alto, nos amparou e mostrou o caminho certo. Grato, Senhor, pela vitória alcançada! Aos meus pais Idilson Alexandre In Memoriam e Dayse, por terem trabalhado dobrado, sacrificando seus sonhos em favor dos meus, não foram apenas pais, mas amigos e companheiros, mesmo nas horas mais difíceis em que meus ideais pareciam distantes e inatingíveis. Muito Obrigado. A minha amada esposa Jacqueline, pela força e compreensão. As alegrias de hoje também são tuas, meu amor, mesmo que não saibas. Ao Senhor Deus, sempre pedi que conservasse em ti todo o amor, estímulo e carinho, que sempre me incentivaram. Ao Prof. Jacir Bordim, pela impressionante capacidade de condução durante esta última e difícil etapa pedagógica, por sua orientação centrada e positiva, buscando sempre o incentivo e a motivação. O sucesso neste trabalho é nosso. Muito obrigado professor. Aos novos amigos de turma, companheiros, os dias passarão e não nos veremos mais na Universidade, mas quando dela me lembrar, momentos bons voltarão na minha memória. Parabéns à todos.

6 iv É estratégicamente necessário estar preparado com a capacidade de lidar com acontecimentos imprevistos, mudanças que não se podem predizer e impasses inesperados. A capacidade de fortalecer defesas em condições assim adversas é essencial para montar uma defesa eficiente. Sun Tzu

7 v Resumo Um Plano de Continuidade de Negócio (PCN) é uma descrição detalhada das ações que devem ser tomadas em resposta a uma interrupção súbita e inesperada de um dado serviço, permitindo que a organização continue trabalhando, mesmo com uma redução aceitável do desempenho de seus processos. A rede integrada de comunicações de uma instituição como a Marinha do Brasil, que possui diversas organizações militares interligadas e espalhadas por todo o território nacional, para ser considerada um sistema bem sucedido e que mantém a continuidade de seus negócios durante uma falha ou qualquer acontecimento brusco e imprevisto, deve possuir capacidade de oferecer os serviços essenciais requeridos por seus usuários, preservando as suas principais conexões e componentes durante o tempo que for necessário para o reestabelecimento da situação normal de operação. Tal capacidade é conseguida através de preparação, planejamento, investimento e principalmente, por meio da implementação de um Plano de Continuidade de Negócio (PCN) precedido de uma análise detalhada sobre cada um dos ativos que fazem parte dessa grande infra-estrutura e dos seus respectivos riscos. Esta pesquisa visa averiguar se a atividade de testes de continuidade de negócio aplicada ao serviço fixo de comunicações da Marinha do Brasil é eficaz e se está em conformidade com as melhores técnicas e práticas para a Gestão da Segurança da Informação e Comunicações, previstas na Norma ABNT NBR ISO/IEC 17799:2005.

8 vi Abstract A Business Continuity Planning (BCP) is a brief description of actions that must be taken by a company staff responding to a sudden and extended disruption of its functions, helping this organization continue its operations even under an acceptable reduction of its tasks performance. An integrated communications network of an organization like Brazilian Navy, which has many military branches connected and spreaded all around the country, to be rated as successful project capable to keep its tasks continuity even under a sudden and unscheduled failure, must have capacity to offer essential services to users, preserving main connections and components during all the time lapse required to recover the normal operations level. Through previous preparation, planning, investment and specially developed Business Continuity Planning (BCP) which follows a detailed analysis of all the actives that belongs to a huge infrastructure and its respective risks. This research aims to check the effectiveness of the business continuity test activity applied to Brazilian Navy ground communications system and also checks if it complies to best practices of Information and Communications Security Manegement, in accordance to ABNT NBR ISO/IEC 17799:2005 standard.

9 vii Glossário Análise de Tráfego Autenticação A É o exame meticuloso e metódico das características das mensagens interceptadas do ou pelo oponente, com o propósito de coletar dados e obter conhecimento sobre a Organização. Procedimento pelo qual, através de sinais convencionados, os correspondentes de uma mesma rede de comunicações conseguem verificar se a mensagem provém da origem presumida e mantém a integridade do seu teor. B Bloqueio Medida de apoio ao ataque eletrônico que consiste na deliberada irradiação, reirradiação ou reflexão de energia eletromagnética com o propósito de restringir ou anular o desempenho de equipamentos ou sistemas eletrônicos em uso pelo oponente. C Canal Criptológico Conjunto de instruções, material e acessórios de uma cifra ou código que permite a realização de comunicações criptológicas. Circuito Elemento mais simples integrante de uma rede de comunicações. Conectividade É uma associação estabelecida entre unidades funcionais para o transporte da informação, ou seja, é o estade de duas áreas distintas que têm uma rota explícita entre elas para o tráfego de informações. D DNS Do inglês Domain Names System. Serviço que traduz nomes de domínios para endereços IP e vice-versa.

10 GLOSSÁRIO viii F Firewall Dispositivo constituído de software e hardware, utilizado para dividir e controlar o acesso entre redes de computadores. G Grau de Sigilo Gradação atribuída a um assunto sigiloso, de acordo com a natureza do seu conteúdo, e tendo em vista a conveniência de limitar a sua divulgação às pessoas que tenham necessidade de conhecê-lo. H HF As freqüências em HF são usadas para comunicações além da linha de visada, usando a reflexão na ionosfera. Nesta forma de comunicação é usada uma largura de banda estreita para transmissão da voz e dados, por este fato, a qualidade pode ser bastante reduzida. I Interferência Irradiação deliberada de energia eletromagnética, na freqüência utilizada pelo oponente, com o propósito de impedir ou dificultar a recepção de emissões do seu interesse. IPS Do inglês Instrusion Prevention System. Programa ou conjunto de programas, cuja função é detectar e prevenir ataques e atividades maliciosas ou anômalas em redes de computadores. M Mentalidade de Segurança O fator mais importante para a Segurança das Comunicações Navais é a existência de uma mentalidade de segurança incutida no pessoal de comunicações. De quase nada adiantará o estabelecimento de rigorosas medidas de segurança se o pessoal responsável por sua aplicação não tiver perfeita consciência de sua importância e da validade das medidas adotadas.

11 GLOSSÁRIO ix Meio Elétrico Canal de Comunicação que emprega ondas eletromagnéticas na transmissão de dados. Deve-se observar que os canais deste meio de comunicação são divididos em dois grupos: os que empregam linha física (condutores elétricos e fibra ótica) e os que empregam equipamentos de radiocomunicações (ondas de rádio - propagação eletromagnética na atmosfera). P Proxy Servidor que atua como um intermediário entre um cliente e outro servidor. Normalmente utilizado em organizações para aumentar a performance de acesso a determinados serviços ou permitir que mais de uma máquina faça conexão à internet. Proxies mal configurados podem ser explorados por atacantes e utilizados como uma forma de tornar anônimas algumas ações na internet, como atacar outras redes de computadores. S Seguranca das Comunicações Componente do segmento de contra-inteligência, compreendendo um conjunto de medidas de segurança orgânica que se configura na garantia de que as comunicações serão preservadas contra violação e/ou revelação de qualquer natureza. SSL Do inglês Secure Sockets Layer. Protocolo que fornece confidencialidade e integridade na comunicação entre um cliente e um servidor, através do uso de criptografia. Switch Um switch é um dispositivo que possui diversas portas, utilizado em redes de computadores para reencaminhar frames entre os diversos nós. V VPN Do inglês Virtual Private Network. Termo utilizado para se referir à construção de uma rede privada utilizando redes públicas (por exemplo a internet) com infra-estrutura. Estes sistemas utilizam criptografia e outros mecanismos de segurança para garantir que somente usuários autorizados possam ter acesso a rede privada e que nenhum dado será interceptado enquanto estiver passando pela rede pública.

12 x Sumário Dedicatória p. ii Agradecimentos p. iii p. iv Resumo p. v Abstract p. vi Glossário p. vii Glossário p. vii A B C D p. vii p. vii p. vii p. vii F p. viii G p. viii H p. viii I p. viii M p. viii P S V p. ix p. ix p. ix

13 Sumário xi Lista de Tabelas p. xiii Lista de Figuras p. xiv 1 Introdução p Objetivos p Objetivo Geral p Objetivos Específicos p Justificativa p Metodologia p Classificação da Pesquisa p. 5 2 Fundamentação Teórica p O Desenvolvimento das Redes de Comunicação p Requisitos Fundamentais das Comunicações Navais p Segurança das Comunicações Navais p Proteção contra a interceptação p Proteção contra a revelação de indícios p O Sistema de Comunicações da Marinha (SISCOM) p Radiogoniometria e Monitoragem p A Rede de Comunicações Integrada da Marinha (RECIM).... p O Modelo de Continuidade Operacional das Comunicações da Marinha do Brasil p A Mensagem p Continuidade de Negócios p Segurança da Informação p Plano de Contingência p Plano de Testes p. 21

14 Sumário xii Segurança de Redes p Redundância p Análise da Contingência das Comunicações da Marinha do Brasil p Ativos Críticos p Ameaças às Comunicações Navais p Vulnerabilidades p Impactos p Análise da Conformidade do Plano de Testes do PCN das Comunicações da Marinha do Brasil p Norma ISO 17799:2005 no que tange à Comunicações Seguras p Desenvolvimento e implementação de Planos de Continuidade do Negócio p A Estrutura do Plano de Continuidade do Negócio p Testes, manutenção e reavaliação dos Planos de Continuidade do Negócio p Plano de Testes das Comunicações da MB versus ISO 17799: p Quanto ao desenvolvimento e implementação de PCNs p Quanto a Estrutura dos PCNs p Quanto aos testes, manutenção e reavaliação dos PCNs p Conclusões e Trabalhos Futuros p Conclusões p Trabalhos Futuros p. 67 Referências Bibliográficas p. 68

15 xiii Lista de Tabelas 3.1 Lista de Ativos Críticos do SISCOM p Lista de Ameaças ao SISCOM p Lista de Vulnerabilidades do SISCOM p Itens das Diretrizes relativas ao processo de planejamento para implementação de PCNs p Itens das Diretrizes relativas a estrutura do plano de continuidade do negócio.... p Itens das Diretrizes relativas aos testes, manutenção e reavaliação dos PCNs..... p Tabela de conformidade da Marinha frente aos itens das diretrizes de testes, manutenção e reavaliação de PCN p. 63

16 xiv Lista de Figuras 2.1 Mapa de Jurisdição dos Distritos Navais p Esquema básico de comunicação por meio de rádio-enlace. Fonte: Gabriel Torres. p Diagrama simplificado da estrutura da RECIM. Fonte: DGMM p Exemplo de redundância de roteador p Esquema de dependência entre sub-processos de um processo crítico p. 49

17 1 1 Introdução A Marinha do Brasil, assim como a grande maioria das organizações do mundo, encontraria sérias dificuldades para realizar os seus mais triviais processos de rotina sem a utilização da infra-estrutura de Tecnologia da Informação e Comunicações (TIC) que possui, tamanha é sua dependência em seus sistemas de informações e em sua rede integrada de comunicação. A perda de ativos e, conseqüentemente, as interrupções nos processos de negócios, curtas ou demoradas, causam impactos que muitas vezes podem vir a comprometer a missão de uma ou mais Organizações Militares (OM). Atualmente, todas as OM possuem alguma interação com a Rede de Comunicações Integrada da Marinha (RECIM). O segmento operativo da Força, representado pela Esquadra Brasileira, Esquadrões da Aviação Naval e Batalhões de Fuzileiros Navais são os principais clientes desta rede integrada. Para este segmento, a RECIM serve de plataforma para os sistemas de acompanhamento estratégico de tropas, de deslocamentos da Esquadra, Sistemas de Apoio à Decisão em Teatros de Operação e para os diversos sistemas de comunicação dos meios operativos. Já o segmento administrativo da Força, apesar de não fazer parte da atividade operativa da Marinha, também é muito dependente desta grande infra-estrutura de comunicações, pois possui sistemas e necessidades de comunicação que servem de apoio ao meio operativo, tais como: sistemas de gestão de recursos humanos, sistemas de gestão de material, sistemas de gestão e apoio à saúde, além dos sistemas de apoio à diversos outros serviços intra e extra-mb. Conforme citado no parágrafo anterior, o meio operativo é o principal usuário da Rede de Comunicações Integrada da Marinha, que provê serviços de comunicações aos navios de guerra em viagem, à Aviação Naval e aos exercícios de deslocamentos com tropas de Fuzileiros Navais. Tal segmento da RECIM recebe a denominação de Serviço Móvel de Comunicações e, apesar de também estar inserido no Plano de Continuidade do Negócio (PCN) de comunicações da Marinha, não fará parte do escopo deste trabalho de pesquisa. Os Serviços Móveis de Comunicação somados a Rede de Comunicações Integrada da

18 1 Introdução 2 Marinha formam o que é chamado de Sistema de Comunicações da Marinha (SISCOM), definido, segundo a Doutrina de Comunicações da Marinha, como o conjunto de recursos humanos, materiais e equipamentos tecnológicos disponíveis para emprego nas atividades de comunicações da MB, bem como as normas e procedimentos estruturados para regulamentar o exercício dessas atividades. Mesmo que uma determinada Organização Militar não faça uso de nenhum sistema de informação em rede, permanece a dependência do SISCOM motivada pela telefonia e também pelo trâmite de mensagens e documentos oficiais. Tais serviços utilizam como plataforma de operação uma ferramenta de correio eletrônico funcionando sobre a rede integrada da Marinha. Por ser uma Força Armada, cuja missão mais elevada é a garantia da soberania nacional, além da necessidade de assegurar a operacionalidade das comunicações em caso de falhas, a manutenção das condições de pronto emprego é mandatória, assim como o reforço da eficácia operacional e incremento das medidas de segurança, de modo que permitam as mínimas alterações de organização e procedimentos, quando da passagem do estado de paz para o estado de conflito. Para tanto, se faz necessária a manutenção da operacionalidade de recursos de comunicação próprios, totalmente independentes, em face das necessidades e exigências em situações de crise, mantendo-se desse modo, elevado grau de segurança que garantam a absorção de todo o tráfego de comunicações, considerado essencial à cadeia de comando, durante o colapso ou indisponibilidade total ou parcial, do Sistema Nacional de Telecomunicações (SNT). Vale ressaltar que a eficiência de qualquer sistema de comunicações é diretamente influenciada por seus utilizadores. Para que os meios de comunicação disponíveis sejam otimizados e seguros é essencial que o pessoal esteja perfeitamente familiarizado com as possibilidades do sistema, com a sua capacidade de continuidade operacional e de contingência, do mesmo modo que com as regras que norteiam o seu uso. A importância da contingência das comunicações para a Marinha do Brasil é mensurada pela necessidade de atender os serviços de comunicações de todas as suas organizações militares, órgãos vinculados ou com interesse no desempenho de atividades de comunicação com a Marinha. Para por em prática todas as ações previstas no Plano de Continuidade de Negócio do seu Serviço Fixo de Comunicações, a Marinha possui diversos níveis de segurança e

19 1.1 Objetivos 3 redundância em seus links e em seus equipamentos de conectividade, além de um conjunto de organizações militares, denominadas Estações Rádio da Marinha, providas de instalações e posicionamento geográfico adequados, pessoal técnico, equipamentos e antenas que constituem o nível mais alto do contingênciamento da RECIM. A busca pelo elevado padrão de eficiência requer planejamento e acurada determinação das necessidades de comunicações para o atendimento da missão da MB, de modo a minimizar ou até mesmo evitar a obsolescência técnica do seu Sistema de Comunicações e ocorrências de interrupções inopnadas ou não programadas. A Norma ISO/IEC 17799:2005 é uma norma técnica de Segurança da Informação que possui como objetivo, entre outros, demonstrar a importância e a necessidade de praticar a análise e avaliação dos riscos nos processos do negócio, bem como realizar a análise de impactos ao negócio associados aos riscos levantados, recomendando finalmente, a implementação do processo de gestão da continuidade do negócio, cujo escopo é parte da presente monografia. Este trabalho de pesquisa, portanto, pretende realizar uma investigação aprofundada no plano de testes do Plano de Continuidade de Negócio das Comunicações da Marinha, voltado apenas para o seu Serviço Fixo de Comunicações, tendo como resultado uma avaliação da eficácia e da conformidade deste plano e de sua execução com o que está preconizado na norma ABNT NBR ISO/IEC 17799: Objetivos Objetivo Geral O problema da Gestão de Continuidade de Negócio nas organizações é sério e necessita de uma investigação aprofundada sobre a área que se deseja garantir a continuidade operacional, para que não ocorra imprevistos durante o acionamento do Plano de Continuidade de Negócio e das contingências a ele associadas, frustrando a expectativa da Direção e, principalmente, gerando graves conseqüências e muitas vezes, implicações judiciais para a alta administração. Esta pesquisa objetiva analisar a eficácia do Plano de Testes do PCN de Comunicações da Marinha, a sua conformidade com as normas técnicas existentes sobre o assunto, sugerir melhorias em relação aos aspectos observados como deficientes ou falhos e propor um conjunto de padrões, métodos e técnicas que poderão ser utilizados na elaboração de Planos de Testes e Validação de Sistemas de Comunicações de outros

20 1.2 Justificativa 4 órgãos públicos com características semelhantes à Marinha do Brasil Objetivos Específicos São objetivos específicos do trabalho: 1. Demonstrar a importância da atividade de testes para a Gestão da Continuidade de Negócio; 2. analisar a eficácia do cunjunto de procedimentos existentes no Plano de Testes das Comunicações da Marinha do Brasil; 3. averiguar a conformidade do Plano de Testes com as Normas Técnicas existentes; 4. propor algumas técnicas e métodos para o desenvolvimento de novos Planos de Testes e Validação de Sistemas de Comunicações. 1.2 Justificativa O Sistema de Comunicações da Marinha (SISCOM) constitui-se no conjunto de meios materiais, recursos humanos e normas decorrentes da Doutrina de Comunicações da Marinha, estruturados para o exercício das suas atividades de comunicações. Seu propósito é o atendimento das necessidades de comunicações táticas e estratégicas dos comandos das forças em operações, além das comunicações administrativas de todas as Organizações Militares da Marinha. Dentre as tarefas mais relevantes prestadas pelo SISCOM está o planejamento e a promoção das comunicações estratégicas entre o Alto Comando da Marinha e o Comando Supremo, os comandos táticos e estratégicos, e os órgãos nacionais de alto nível componentes da Estrutura Militar de Guerra. Fica patente a elevada importância de manter o aprestamento do Sistema de Comunicações da Marinha por meio da manutenção de suas condições de pronto emprego de modo que, quando da passagem do estado de paz para o estado de conflito, sejam mínimas as alterações de organização e de procedimentos. Para que se obtenha o grau de prontidão adequado é indispensável o Plano de Gestão de Continuidade das Comunicações, onde as ações para a segurança das comunicações deverão estar detalhadas, segundo orientações específicas, em função da relevância do serviço. Além disso, é necessário que os procedimentos adotados para a situação de paz sejam, o mais próximo possível, dos de conflito

21 1.3 Metodologia 5 e que o nível de capacitação operacional do pessoal de comunicações seja adequado com vistas àquela última situação. Para cumprir com a sua missão, a estrutura do SISCOM deve, portanto, estar orientada para a disponibilidade, sendo que as atividades contidas no Plano de Testes das Comunicações são as ferramentas de validação para todo este processo de continuidade de negócio. É neste cenário que o presente trabalho de pesquisa justifica o seu grande valor, onde não basta possuir planos de contingência e de continuidade de negócio se os mesmos não foram desenvolvidos em conformidade com as melhores técnicas e práticas preconizadas pelas normas técnicas pertinentes e, principalmente, não são submetidos às atividades de testes que realmente avaliem a sua eficácia. 1.3 Metodologia Classificação da Pesquisa A presente pesquisa está diretamente relacionada com o campo da Gestão da Segurança da Informação e Comunicações e utiliza-se da metodologia de estudo de caso, tendo como insumos, um caso concreto: o Sistema de Comunicações da Marinha do Brasil. Os meios que foram utilizados para a realização desta pesquisa são a análise documental, a análise bibliográfica e a pesquisa de campo, que foi de grande valia para o levantamento de requisitos e para a análise da situação atual do ambiente. Para melhor organização durante a execução do trabalho, o mesmo foi segmentado em três partes, sendo: (i) coleta de informações, (ii) análise e (iii) sugestões para a melhoria das técnicas e práticas existentes através dos resultados da análise. Segundo Gil (1999), o estudo de caso é caracterizado pelo estudo profundo e exaustivo de um ou de poucos objetos, de maneira a permitir o seu conhecimento amplo e detalhado. O autor ainda afirma que: o estudo de caso é um estudo empírico que investiga um fenômeno atual dentro do seu contexto de realidade, quando as fronteiras entre o fenômeno e a realidade não são claramente definidas e no qual são utilizadas várias fontes de evidência. A estratégia de estudo de caso é preferida quando questões como ou por que são colocadas, quando o investigador tem pouco controle sobre os eventos, e quando o foco está em um fenômeno contemporâneo dentro de um contexto da vida real (YIN, 2005) Yin (2005) afirma que os estudos de caso lidam com situação tecnicamente distintiva na qual haverá mais variáveis de interesse do que pontos de dados, e como um resultado

22 1.3 Metodologia 6 confia em múltiplas fontes de evidências, com os dados precisando convergir em uma forma de triangulação, e como outro resultado se beneficia do desenvolvimento anterior das proposições teóricas para guiar a coleta e análise dos dados. O método de desenvolvimento de estudo de caso é adequado neste trabalho porque em sua pesquisa empírica, busca-se analisar a eficácia dos testes e exercícios realizados pela Marinha do Brasil em seu Serviço Fixo de Comunicações, através da análise técnica dos processos e do funcionamento de uma Estação Rádio, que é uma célula integrante do mais alto nível de contingência das comunicações da Marinha, além da análise do impacto destes exercícios em seus respectivos ativos e na rotina da instituição como um todo. Ainda, este trabalho procura responder se os testes, exercícios e simulações realizados no PCN de Comunicações da Marinha está em conformidade com as melhores práticas preconizadas nas Normas Técnicas sobre o tema. Por fim, a presente pesquisa foi organizada em cinco capítulos. O capítulo seguinte tem o propósito de dar ao leitor um embasamento teórico no tema e situá-lo no cenário das comunicações navais, apresentando o Sistema de Comunicações da Marinha e sua Rede Integrada de Comunicações. O Capítulo 3 retrata o mapeamento da contingência das comunicações na Marinha do Brasil, seus ativos críticos, as ameaças às comunicações navais, as vulnerabilidades existentes e os possíveis impactos ao negócio da instituição. No Capítulo 4 está contida a análise de conformidade entre o PCN das comunicações na Marinha e as práticas preconizadas na Norma ISO 17799:2005, onde entram em discussão os pontos positivos encontrados, o que pode ser imediatamente melhorado, os aspectos desfavoráveis e as condições que precisam existir para que a continuidade operacional das comunicações atinjam realmente a eficácia e a eficiência esperada por todas as organizações militares e extra-militares que dependem dos meios de comunicações da Marinha. O quinto e último Capítulo faz a conclusão do presente trabalho, realçando os resultados alcançados e elencando possibilidades de futuras pesquisas que possam vir a complementar o conteúdo deste trabalho ou, até mesmo, elucidar algum ponto ou assunto correlato que ficou fora do escopo desta pesquisa.

23 7 2 Fundamentação Teórica O objetivo deste Capítulo é apresentar os conceitos correlatos ao presente tema, mostrar o cenário das comunicações navais e as suas especificidades, passando por um breve histórico do desenvolvimento das atuais redes de comunicação. Também serão elencados os cinco requisitos fundamentais das comunicações navais. Dentre eles aparece a Segurança, ratificando a importância deste requisito dentro de uma instituição como a Marinha do Brasil. Posteriormente, o Capítulo retrata o Sistema de Comunicações da Marinha e sua Rede Integrada de Comunicações, demonstrando a complexidade física deste sistema de dimensões avantajadas. Também faz parte do escopo deste Capítulo o modelo de continuidade operacional adotado para as comunicações da Marinha, demonstrando que é necessária a existência de uma estrutura independente de comunicações para que haja efetiva segurança em sua contingência operacional. O conceito e a importância da Mensagem nos procedimentos operacionais de comunicações das Forças Armadas (FFAA) também é um ponto com significativa importância neste Capítulo. 2.1 O Desenvolvimento das Redes de Comunicação Antes de discorrer sobre o funcionamento do Sistema de Comunicações da Marinha e de sua rede de comunicações integrada, é importante conhecer a origem dos atuais ambientes de comunicação e sua relação com o passado. As antigas redes públicas de telefonia, juntamente com as primeiras redes de transporte de dados deram início às atuais redes com integração de serviços. O surgimento da telefonia, no início do século XX deu origem a uma rede de comunicação que teve sua expansão a nível mundial. Até meados dos anos 60, a rede telefônica era totalmente baseada em tecnologia analógica. Para que os sinais digitais, gerados por computadores, pudessem ser transmitidos pela rede telefônica, era necessário que fossem convertidos

24 2.2 Requisitos Fundamentais das Comunicações Navais 8 para sinais analógicos através de processos de modulação. Naquela época, utilizava-se a comutação por circuitos. A rede de comutação por circuito, projetada inicialmente para o tráfego gerado pelas fontes de voz, mostrava grande ineficiência na transmissão de dados textuais por conta das diferentes características em relação ao primeiro, forçando o desenvolvimento e o então surgimento das redes de comunicação de dados, que empregam técnicas de comutação de pacotes, permitindo a minimização dos problemas de desperdício dos recursos de comunicação que antes ocorriam. Com o surgimento das redes locais e metropolitanas de computadores e das redes públicas de comutação de pacotes 1 que permitiam a interconexão de equipamentos dispersos geograficamente, foi criada, gradativamente, uma infra-estrutura de transmissão de dados que começou a ser interligada. Outras redes de interligação em nível internacional como a internet cresceram, aumentando ainda mais a complexidade da infra-estrutura de comunicação de dados textuais. Não obstante, a rede telefônica sofreu modificações, geradas principalmente pela adoção da tecnologia digital, que também permitiu maior possibilidade de integração. Dentro deste contexto de evolução tecnológica, a Marinha do Brasil fez investimentos em tecnologia e formou profissionais especializados em comunicações e em redes de transmissão de dados, promovendo, desta forma, a sua entrada nesta nova era dos sistemas de comunicação. 2.2 Requisitos Fundamentais das Comunicações Navais Os requisitos fundamentais das comunicações navais são: Confiança, Segurança, Rapidez, Flexibilidade e Integração. Os requisitos fundamentais podem ser antagônicos e o aumento do grau de um deles pode redundar na diminuição correspondente no grau dos outros. No estágio de preparação de uma operação, quando somente poucas pessoas devem tomar conhecimento do que se estuda, o fator Segurança deve ser predominante. Com a aproximação do momento da execução, um maior número de pessoas precisa tomar conhecimento do que foi planejado e os preparativos não podem ser tão ocultados. A rapidez, então, aumenta de importância. Durante um combate, por exemplo, pode ser 1 Como exemplo: a RENPAC (Rede Nacional de Comutação de Pacotes)

25 2.3 Segurança das Comunicações Navais 9 autorizado o uso de linguagem clara, mesmo em detrimento da Segurança, embora esta deva ser levada em consideração tanto quanto possível. 2.3 Segurança das Comunicações Navais Segundo a Doutrina de Comunicações da Marinha, Segurança das Comunicações é a garantia de que as comunicações serão preservadas contra violações ou revelações não desejadas de informações de qualquer espécie. Compreende, assim, duas exigências: (i) proteção contra interceptação e (ii) proteção contra revelação de indícios. A maioria dos assuntos sigilosos de interesse da Marinha do Brasil circula no SISCOM. O conhecimento desses assuntos por um oponente real ou potencial, por intermédio do SISCOM constitui-se numa possibilidade bastante considerável que certamente será explorada, caso não sejam tomadas medidas adequadas de proteção. A Segurança das Comunicações Navais visa a negação do conhecimento dos assuntos sigilosos que tramitam pelo SISCOM, a quem não necessite conhecê-los. Contudo, a segurança das comunicações navais é um requisito que admite certa variação, subordinada ao grau de proteção necessário em face do conteúdo da mensagem. A proteção contra a violação das comunicações antes que atinjam o destinatário, ou contra a extração de informações a partir delas, é sempre desejável. Entretanto, nem sempre é mais importante quando em confronto com as necessidades decorrentes dos outros requisitos fundamentais Proteção contra a interceptação No tocante à proteção contra a interceptação, a Doutrina descreve os seguintes pontos como sendo especialmente importantes: a) aprimoramento da segurança física da matéria classificada, incluindo a guarda dos documentos propriamente ditos e do material utilizado na elaboração e a escolha do conveniente canal de encaminhamento; b) manutenção da segurança dos equipamentos e dos sistemas de comunicações; e c) obtenção da segurança criptológica, que envolve a classificação adequada da mensagem, a escolha adequado do canal criptológico e redação cuidadosa.

26 2.4 O Sistema de Comunicações da Marinha (SISCOM) Proteção contra a revelação de indícios No proteção contra revelação de indícios, o fator principal a considerar é a exposição do tráfego à interceptação ou análise por parte do oponente. Pode-se aumentar essa proteção reduzindo o tráfego ao mínimo imprescindível, tanto em freqüência como em extensão, principalmente nos meios de encaminhamento mais sujeitos à exposição. As comunicações via rádio (propagação eletromagnética pela atmosfera) devem ser preteridas por outros meios; quando usadas, o equipamento deve ser ajustado com precisão e a potência reduzida ao mínimo necessário para conseguir comunicações satisfatórias, condizentes com os requisitos básicos de comunicações. 2.4 O Sistema de Comunicações da Marinha (SISCOM) Conforme mencionado no Capítulo 1, o Sistema de Comunicações da Marinha (SIS- COM) é definido, segundo a Doutrina de Comunicações da Marinha, como o conjunto de recursos humanos, materiais e equipamentos tecnológicos disponíveis para emprego nas atividades de comunicações da MB, bem como as normas e procedimentos estruturados para regulamentar o exercício dessas atividades. Para tanto, está organizado em cinco grandes serviços, conforme descrito abaixo: (i) Serviço Fixo, que faz parte da abordagem deste trabalho, é o serviço de comunicações realizado entre estações terrestres fixas. ex.: comunicações entre organizações militares dos Distritos Navais 2 ; (ii) Serviço Móvel Marítimo - é o serviço de comunicações realizado entre navios, entre estações costeiras e navios ou entre estações costeiras e aeronaves. ex.: comunicações táticas de uma Força Naval ou comunicações entre navios no mar e as Estações Rádio da Marinha; (iii) Serviço Móvel Aeronáutico - é o serviço de comunicações realizado entre aeronaves, entre aeronaves e navios ou entre aeronaves e estações aeronáuticas. ex.: comunicações entre Esquadrões de Helicópteros e suas aeronaves. (iv) Serviço Móvel Terrestre - é o serviço de comunicações envolvendo unidades móveis ou estações terrestres móveis. ex.: comunicações táticas entre unidades móveis e tropas de fuzileiros navais; e 2 A Marinha do Brasil dividiu o território nacional em diversas áreas de jurisdição denominadas Distritos Navais.

27 2.4 O Sistema de Comunicações da Marinha (SISCOM) 11 (v) Serviços Especiais que são os serviços que visam atender a comunicações específicas que, por suas características, não se enquadram nos demais serviços descritos anteriormente. ex.: comunicações entre as Estações Radiogoniométricas da MB relativas às atividades de radiomonitoragem e radiogoniometria. Dentro do SISCOM, as comunicações podem ser realizadas em quatro modalidades (voz, texto, dados e imagem) que trafegarão pelos meios de comunicações existentes na MB. Nas Forças Armadas, estes meios de comunicações são padronizados em: ótico, acústico, elétrico e postal. Na MB, os meios de comunicações podem ainda ser subdivididos em canais de comunicações, definidos como o conjunto do meio ambiente e equipamentos necessários para codificar, injetar, transportar, extrair e decodificar a informação Radiogoniometria e Monitoragem As emissões eletromagnéticas, principalmente na faixa de HF, mesmo de pequena duração na atmosfera, podem revelar a posição de uma estação transmissora, a outras, equipadas com radiogoniômetro. A Marinha busca minimizar a interceptação e a determinação da direção de suas estações transmissoras, principalmente na faixa de HF, evitando o uso de potência de transmissão acima da necessária para produzir boas comunicações e sintonizando corretamente os transmissores, para que não seja necessário realizar a retransmissão da mensagem ou de parte dela A Rede de Comunicações Integrada da Marinha (RECIM) A infra-estrutura física do SISCOM é composta, no nível mais baixo, por todas as Organizações Militares da Marinha e suas respectivas LAN (Local Area Network) ou redes locais. Estas redes são patrocinadas e mantidas por cada Organização Militar, de forma independente. O tipo de topologia de rede implementada, a opção por utilizar backbones de fibra ótica ou de par trançado, a escolha dos ativos de rede a serem instalados, a quantidade de pontos, a performance, a capacidade de expansão e todos os detalhes do projeto são feitos de forma independente por cada uma das Organizações Militares. Eventualmente, quando uma OM não possui condições técnicas de realizar o projeto, a Diretoria Especializada (DE) na área dentro da Marinha é consultada e poderá fazê-lo. Na prática, ocorre a terceirização do projeto sob supervisão e posterior aprovação da DE.

28 2.4 O Sistema de Comunicações da Marinha (SISCOM) 12 Em um nível imediatamente acima da infra-estrutura interna de cada OM, está a conexão das redes locais com a Rede de Comunicações Integrada da Marinha. Neste momento, surgem os Distritos Navais cujo propósito é contribuir para o cumprimento das tarefas de responsabilidade da Marinha, nas suas respectivas áreas de jurisdição, dentre elas executar as atividades de comunicações estabelecidas na Doutrina de Comunicações da Marinha. Estas áreas de jurisdição são estabelecidas por Decreto do Presidente da República e, atualmente, são nove, ocupando a totalidade do território nacional e a chamada Amazônia Azul ou Plataforma Continental, cuja a área vai até 200 (duzentas) milhas da costa brasileira. Figura 2.1: Mapa de Jurisdição dos Distritos Navais. Cada Distrito Naval possui um Gerente Operacional de Área (GOA) que é um setor responsável pela conexão das Organizações Militares de sua área de atuação com a RECIM. Para tanto, este GOA conta com equipamentos roteadores (principal e secundário) onde os pares de fibra ótica de cada rede local são conectados, fazendo o link redundante das OM com a RECIM. Há situações em que a Organização Militar, apesar de fazer parte da jurisdição de um dado Distrito Naval, encontra-se geograficamente distante do seu Gerente Operacional de Área e, conseqüentemente, dos roteadores de acesso à RECIM. Nestes casos, a Diretoria

29 2.4 O Sistema de Comunicações da Marinha (SISCOM) 13 Especializada é quem determina o tipo de tecnologia que será utilizada para fazer o link da OM com a RECIM, sempre utilizando como ponte o respectivo Distrito Naval. Dentre as tecnologias mais utilizadas está as antenas de rádio-enlace com linha de visada, devido ao custo mais baixo e maior facilidade de implantação e manutenção. Figura 2.2: Esquema básico de comunicação por meio de rádio-enlace. Fonte: Gabriel Torres. Nos casos em que a adoção dessa tecnologia não seja possível, devido a limitação do avanço das ondas eletromagnéticas por obstáculos, normalmente montanhas ou arranhacéus, é verificado pela Diretoria Especializada, através de estudo de viabilidade, a conexão da OM com o Distrito Naval de sua jurisdição por meio de pares de fibra ótica. Não sendo possível, devido à dificuldade de instalação e passagem dos pares de fibra ótica ou, até mesmo, pela impossibilidade de implementação por conta do seu alto custo, são utilizadas transmissões em HF contingênciando uma conexão via Virtual Private Network (VPN), normalmente contratada junto as operadoras locais. No próximo nível da infra-estrutura física das comunicações na Marinha do Brasil está o Órgão de Execução Operacional, denominado Centro de Tecnologia da Informação da Marinha (CTIM), cujo propósito, dentre outros, é a implantação, o gerenciamento e a manutenção da interligação das redes locais das Organizações Militares à RECIM. Toda a infra-estrutura do backbone principal da RECIM está localizada no Complexo do Primeiro Distrito Naval, na cidade do Rio de Janeiro. É lá que chegam os links de conexão dos demais Distritos Navais, criando uma rede WAN (Wide Area Network) ou Rede de Longa Distância. Toda esta estrutura forma uma grande rede de topologia em estrela, com redundâncias dispostas em seus diversos níveis de equipamentos e mídias de transmissão, que abrange todas as Organizações Militares da Marinha, chamada de Rede de Comunicações Integrada da Marinha ou, simplesmente, RECIM.

30 2.4 O Sistema de Comunicações da Marinha (SISCOM) 14 Comunicações por Satélites A utilização de comunicações por satélite pela Marinha do Brasil constitui um avanço significativo na capacidade operativa da Força, principalmente no Serviço Móvel Marítimo, por sua característica de longo alcance e pelo atendimento aos requisitos de confiança, segurança, rapidez, flexibilidade e integração. Algumas organizações militares da Marinha possuem terminais do Sistema de Comunicações Militares por Satélite (SISCOMIS), destinados a prover comunicações estratégicas e táticas ao Comando Supremo da Estrutura Militar de Guerra (EMG). Tais terminais são de acesso restrito, de modo a mantê-lo disponível para esse fim. A Marinha ainda possui outros recursos satelitais de empresas privadas destinados a prover maior flexibilidade de comunicações aos meios navais. Por estarem fora do controle da MB, pelos custos de operação e por não prescindirem de mecanismos de segurança que garantam a proteção contra interceptação e contra a revelação de indícios do tráfego por eles ecoado, estes recursos possuem seu uso limitado ao mínimo necessário. Figura 2.3: Diagrama simplificado da estrutura da RECIM. Fonte: DGMM-0550

31 2.5 O Modelo de Continuidade Operacional das Comunicações da Marinha do Brasil O Modelo de Continuidade Operacional das Comunicações da Marinha do Brasil Apesar de sua grande importância para as comunicações navais, considerando a sua abrangência, infra-estrutura e robustez, a RECIM não é o Sistema de Comunicações da Marinha, apenas é parte dele. Este é o ponto que diferencia as comunicações da Marinha de um ambiente de comunicações tradicional. A estrutura descrita até então, é bastante semelhante a estruturas de rede encontradas em outras organizações. Entretanto, a Marinha necessita assegurar o uso soberano de seus mecanismos e dispositivos de comunicações, tanto em tempo de paz quanto em situações de conflito e manter toda essa infra-estrutura em condições de pronto emprego independente de qualquer situação. Apesar da Doutrina de Comunicações da Marinha (EMA-412) permitir ao SISCOM a utilização de recursos disponíveis de comunicações das empresas públicas nacionais, governamentais ou privadas, no atendimento às necessidades do Serviço de comunicações da Marinha, a mesma Doutrina estabelece que o SISCOM deverá ser dotado de recursos próprios da Marinha do Brasil, totalmente independentes de outros meios extra- Marinha, mantidos em condições de aprestamento, que garantam a imediata absorção de todo o tráfego considerado essencial, em caso de colapso ou indisponibilidade eventual dos recursos externos utilizados pela MB, observando-se os requisitos essenciais das comunicações navais - confiança, segurança, rapidez, flexibilidade e integração. Os meios de comunicações da MB, mantidos para atender às circunstâncias mencionadas acima, são constituídos, basicamente, pelas Estações Rádio, que juntas, formam uma grande rede de comunicações utilizada, principalmente, no atendimento às necessidades de continuidade operacional e contingência, operando exclusivamente através de rádiocomunicação, no meio elétrico do Serviço Fixo de Comunicações da Marinha. Em situação normal de operação, o tráfego do Serviço Fixo de Comunicações é escoado, preponderantemente, pelo canal de dados (DD), utilizando como instrumento de operacionalização as redes de computadores que fazem parte da Rede de Comunicações Integrada da Marinha (RECIM), que foi descrita no item anterior. Estas redes de computadores são compostas, em parte, por infra-estrutura física pertencente à Marinha, mas também são dependentes de enlaces contratados à empresas extra-marinha. Apesar das diversas exigências contratuais, estes enlaces não garantem a continuidade do serviço em caso de desastres, calamidades ou conflitos. Essa é a base do PCN das comunicações navais e a maior justificativa para que a MB mantenha seus próprios meios de comunicações em condições de aprestamento necessárias à manutenção das suas comunicações.

32 2.5 O Modelo de Continuidade Operacional das Comunicações da Marinha do Brasil 16 No Sistema de Comunicações da Marinha, uma Estação é uma organização militar ou parte integrante de uma organização militar com capacidade de transmitir e receber mensagens e que possua indicativo ou número de chamada próprio. Uma mesma Estação pode fazer parte de diversas redes de comunicações, com indicativos de chamada diferentes de uma rede para a outra. Na Marinha, uma Estação que efetue o tráfego de comunicações pelo meio elétrico receberá a denominação de Estação Rádio. Uma Estação Rádio poderá, por conveniência e por segurança, ter seus equipamentos divididos por dois ou mais Postos, fisicamente distantes um do outro, como por exemplo: Posto de Transmissão, Posto de Recepção, Posto de Enlace, etc. Os indicativos internacionais, formados segundo critérios estabelecidos pela União Internacional de Telecomunicações (UIT), são atribuídos às Organizações Militares da Marinha em terra, aos navios, embarcações e diques flutuantes, que possuam estação ou posto de comunicações. Seu emprego é na identificação da Estação Rádio ou do Posto de Comunicação nas chamadas, instruções de transmissão e no endereçamento de mensagens entre estações da MB e estações extra-marinha. Por fim, há ainda um terceiro e último nível de continuidade operacional das comunicações navais. Este último estágio é bastante restrito e limitado operacionalmente, além de não ser de propriedade exclusiva da Marinha, mas do Comando Supremo da Estrutura Militar de Guerra e de uso comum de todas as suas instituições, sendo portanto, incluídas as três Forças Armadas. O Sistema de Comunicações Militares por Satélite, ou SISCOMIS como já foi abordado no tópico anterior, é um sistema que também faz parte dos mecanismos alternativos de redundância das comunicações que a Marinha do Brasil dispõe, em última instância, para a manutenção operacional de suas comunicações em nível tático e estratégico. É importante ressaltar que as chances de utilização do SISCOMIS, puramente como contingência operacional das comunicações são muito pequenas, uma vez que a infraestrutura de comunicações existente dispõe de diversos níveis de redundância e de contingência que, para serem postos em indisponibilidade, de forma simultânea, seria necessário a ocorrência de diversas falhas em seqüência, uma logo após a outra, em um nível extremo de gravidade, provavelmente provocadas por acidente, desastre ou em uma circunstância emergencial provocada por conflito armado. Nestes casos, o SISCOMIS seria utilizado como opção de manutenção das comunicações entre os componentes dos níveis tático e estratégico da estrutura militar. Neste tópico, portanto, foi verificado que o modelo de continuidade operacional das

33 2.5 O Modelo de Continuidade Operacional das Comunicações da Marinha do Brasil 17 comunicações da Marinha tem como propósito a manutenção das comunicações navais em qualquer situação, tanto em tempo de paz quanto no estado de conflito, sendo a RECIM a sua infra-estrutura primária de comunicações, constituindo a sua rede principal, integrando todas as suas organizações militares, em terra, no mar e no ar. Como infra-estrutura secundária a Marinha dispõe de suas estações rádio, com estrutura física própria, baseada em enlaces por radio-freqüência, aptas a responder por qualquer paralisação da rede principal. E, num terceiro e último nível de continuidade operacional, está o SISCOMIS, utilizado pela Estrutura Militar de Guerra continuamente, mas que também pode ser acionado como contingência em casos extremos de paralisação dos serviços anteriores A Mensagem O termo mensagem é normalmente conceituado como a sintetização de idéias ou sinais com significados próprios. Na MB, a mensagem é o elemento básico de transporte, pelo SISCOM, de uma informação, ordem ou outro tipo de comunicação do remetente ao destinatário, com formatação própria, caracterizado pela concisão e pela rapidez em seu encaminhamento. Além do seu uso cotidiano pelos integrantes do SISCOM, a importância da mensagem para as comunicações navais está no seu pronto uso, eficiência e eficácia durante um cenário de beligerância, o que a torna a célula-mestre das comunicações nas Forças Armadas em todo o mundo. Na MB, as mensagens podem ser transmitidas em linguagem clara, quando tratar de assuntos de caráter ostensivo, encaminhadas por qualquer meio, ou em linguagem criptológica, utilizada para transmissão de assuntos sigilosos ou quando houver possibilidade de interceptação pelo oponente, em situações de conflito. As mensagens que tratam de assuntos sigilos sempre serão encaminhadas pelo meio elétrico. A classificação do grau de sigilo de uma mensagem a ser transmitida no SISCOM deve ser feita considerando apenas o seu conteúdo e não, necessariamente, em razão de suas relações com outros assuntos. O propósito principal da atribuição do grau de sigilo é impor restrições ao acesso do conteúdo das mensagens e a disseminação de informações nelas contidas. Esta atribuição deve ser exercida com especial cuidado, tendo em vista que é igualmente prejudicial a atribuição de sigilo maior ou menor que o necessário, devendo ser observada a mais baixa classificação que propicie a necessária segurança e a adequada disseminação.

34 2.6 Continuidade de Negócios 18 Com o propósito de garantir a proteção do conteúdo das mensagens versando sobre assuntos sigilosos e a proteção contra a revelação de informações relevantes por meio das características do tráfego de comunicações, a Marinha do Brasil, através do seu órgão de pesquisa e desenvolvimento de sistemas criptológicos, o Centro de Análise de Sistemas Navais (CASNAV), desenvolveu os seus próprios algorítimos que implementam a criptografia no SISCOM. Estes algorítimos são utilizados, sempre que necessário, na comunicação por voz e dados, por meio de radiocomunicação e telefonia digital e no tráfego de informações via rede de computadores. O sucesso das operações em muito depende de comunicações eficientes o que, por sua vez, exige o conhecimento básico e sólido de quando e como enviar mensagens, além de treinamento de todo o pessoal empregado nesta atividade. Com o propósito de aperfeiçoar essas qualidades, a organização das comunicações da Marinha em tempo de paz visa: - atender igualmente as exigências das operações previstas em tempo de guerra; - exigir pequena alteração na transição do tempo de paz para o de guerra; e - assegurar o treinamento nos procedimentos desejáveis em tempo de guerra. Confirma-se, pelo que foi levantado até então, a importância dada à segurança das comunicações por uma instituição cuja missão é a defesa da soberania nacional. Verdadeiramente, o que potencializa esta disposição da Marinha do Brasil é a manutenção das condições de pronto emprego, que é perseguida incessantemente por seu pessoal, através da tecnologia mas, principalmente, por meio da realização de exercícios e muito treinamento, fortalecendo a mentalidade de segurança da instituição em tempo de paz, sem esquecer de que é necessário se manter preparado para o estado de guerra. 2.6 Continuidade de Negócios Continuidade do Negócio é um processo essencialmente pró-ativo, cujo planejamento visa assegurar que uma organização sobreviva a um desastre ou acontecimento imprevisto que promova destruição ou faça estrago em algum de seus ativos críticos, colocando em risco quaisquer de suas funções chaves. Portanto, a Continuidade do Negócio visa a manutenção da operacionalidade da organização em um nível aceitável, previamente definido, em resposta a qualquer interrupção provocada por incidentes. Para proceder a identificação dos riscos e respectivos impactos ao negócio da organização é realizada, preferencialmente de forma compartimentada, para cada uma de suas

35 2.6 Continuidade de Negócios 19 funções chave, a análise de riscos e a análise de impacto de negócio, obtendo-se como produto final informações de apoio à decisão sobre as ameaças e vulnerabilidades existentes, as possíveis conseqüências e as probabilidades potenciais de ocorrência de cada um dos riscos elencados, bem como os custos para prevenir ou minimizar os danos e o tempo de recuperação. Nessa etapa, os processos de negócio devem ser ordenados em função do seu custo de parada. Todo esse conhecimento é utilizado para a definição das estratégias de Continuidade de Negócios que ficam registradas em um ou mais Planos de Continuidade de Negócios da Organização. Diferente do que muitos imaginam, uma empresa não possuirá um plano único, mas diversos planos integrados e focados em diferentes perímetros, sejam físicos, tecnológicos ou humanos e, ainda, preocupada com múltiplas ameaças potenciais. Esta segmentação é importante; afinal, uma empresa tem processos cuja tolerância à falha é variável, os impactos idem, assim como o nível de segurança necessário à natureza das informações manipuladas (SÊMOLA, 2003) Plano de Continuidade de Negócios é uma expressão normalmente lembrada, apenas como o documento utilizado para o restabelecimento das operações em caso de desastre, quando essa definição é mais corretamene empregada para o Plano de Recuperação de Desastres (PRD), que é parte integrante de um PCN. O Plano de Recuperação de Desastres tem o propósito de definir um plano de recuperação e restauração das funcionalidades dos ativos afetados que suportam os processos de negócio, a fim de restabelecer o ambiente e as condições originais de operação (SÊMOLA, 2003). O Plano de Continuidade de Negócios tem como propósito a garantia da continuidade das funções chaves da organização, ou seja, dos processos de negócio, das informações e das comunicações, essenciais ao funcionamento de uma organização, minimizando, desta forma, os impactos de um possível desastre. O PCN deve ser desenvolvido para atender às necessidades de contingência que não forem previstas ou que não puderem ser evitadas, identificando as funções críticas da organização, suas possíveis ameaças e como proceder a continuidade das mesmas, provendo, mesmo com alguma restrição, os serviços essenciais, até que as condições normais de operação sejam retomadas. O Plano de Continuidade de serviços de informática deve ser planejado com o objetivo de manter a integridade de dados da organização, manter operacionais os serviços de processamento de dados e prover, se necessário, serviços temporários ou com certas restrições até que os serviços normais sejam restaurados (DIAS, 2003).

36 2.6 Continuidade de Negócios 20 Além do Plano de Recuperação de Desastres citado anteriormente, o PCN conta com outros dois planos: (i) Plano de Gerenciamento de Crises cujo propósito é a definição da responsabilidade de cada membro da(s) equipe(s) envolvida(s) no acionamento da contingência antes, durante e depois do incidente, bem como a definição dos procedimentos que serão executados por esta(s) equipe(s) no período de retorno à normalidade; (ii) Plano de Continuidade Operacional (PCO) cujo propósito é a definição dos procedimentos para contingênciamento dos ativos que suportam cada processo de negócio, objetivando reduzir o tempo de indisponibilidade e, conseqüentemente, os impactos ao negócio da organização. A redução das conseqüências negativas ao negócio da organização é um fator crítico de sucesso que deve estar inserido dentre as prioridades do Plano de Continuidade de Negócios por meio da incessante busca pela redução, ao mínimo possível, do tempo de parada do(s) serviço(s) que poderão ser impactado(s) por um desastre ou incidente Segurança da Informação O termo segurança é usado com o significado de minimizar a vulnerabilidade de bens (qualquer coisa de valor) e recursos. Vulnerabilidade é qualquer fraqueza que pode ser explorada para se violar um sistema ou as informações que ele contém. A segurança está relacionada à necessidade de proteção contra o acesso ou manipulação, intencional ou não, de informações confidenciais por elementos não autorizados, e a utilização não autorizada do computador ou de seus dispositivos periféricos. A necessidade de proteção deve ser definida em termos das possíveis ameaças e riscos e dos objetivos de uma organização, formalizados nos termos de uma política de segurança.(soares; LEMOS; COLCHER, 1995) Já a NBR ISO/IEC (ABNT, 2005) trata a segurança da informação também com ênfase na interrupção dos negócios ao afirmar que a segurança da informação é a proteção da informação de vários tipos de ameaças para garantir a continuidade do negócio, minimizar os riscos ao negócio, maximizar o retorno sobre os investimentos e as oportunidades de negócio. Esta definição foi a adotada na elaboração do presente trabalho por ser a mais pertinente ao tema específico sobre continuidade de negócios. Quanto a maximizar o retorno sobre os investimentos, não é prioridade da segurança da informação oferecer lucro ou qualquer outro tipo de retorno financeiro para a organização, mas prover segurança contra as possíveis ameaças ao seu negócio.

37 2.6 Continuidade de Negócios Plano de Contingência O Plano de Contingência deve ser um documento normativo, redigido de forma clara e objetiva e amplamente divulgado de modo que todos os funcionários da organização e principalmente os integrantes das equipes de reação estejam cientes dos procedimentos por ele estabelecidos. O Plano de Contingência deve documentar as capacidades e requisitos técnicos que suportarão as operações de contingência. Para isso, é imprescindível definir regras bem detalhadas, assim como responsabilidades, equipes e procedimentos relacionados com a recuperação do ambiente informatizado após a ocorrência de um desastre (MARINHO, 2003) Convém ressaltar que as ações e procedimentos descritos no Plano de Contingência, em uma situação real de incidente ou desastre, devem prever a total prioridade a preservação da vida e a segurança dos integrantes da organização e demais pessoas expostas ao risco Plano de Testes Para que se tenha garantia de que tudo que foi planejado e descrito em um Plano de Continuidade de Negócios funcione efetivamente, é indispensável que todos os seus procedimentos sejam testados, ou seja, exercitados parcial ou integralmente, com o propósito de certificar que as informações descritas ali irão produzir o resultado esperado quando colocadas em prática. A realização dos testes faz parte da etapa de implantação do PCN e deve ser feita de forma gradual. Os testes iniciais devem ser bem simples e de apenas algumas partes do Plano. Os testes mais complexos e de maior amplitude deverão ser feito posteriormente, após todas as partes terem sido testadas isoladamente. De acordo com o porte da organização e complexidade de seus ativos e processos de negócio, se faz necessário a produção de um documento chamado Plano de Testes ou Plano de Validação, onde estará definido o escopo de cada um dos testes a serem aplicados no PCN, além da especificação detalhada de como realizá-los e de como proceder as suas avaliações. Além disso, o Plano de Testes deverá possuir um anexo com a programação especificando quando o plano ou as partes dele serão testadas e a forma de proceder a sua própria manutenção. O Plano de Testes, dentro do ciclo PDCA aplicado à Continuidade de Negócios, corresponde a etapa Check, onde o resultado de cada simulação ou exercício, irá gerar

38 2.6 Continuidade de Negócios 22 evidências que serão utilizadas para aprimorar ou corrigir o PCN Segurança de Redes Uma rede integrada de comunicações para ser considerada um projeto bem sucedido deve oferecer os serviços essenciais requeridos por seus usuários e possuir a capacidade de preservar os seus principais componentes na eventual ocorrência de falhas de algum equipamento componente de sua infra-estrutura ou de panes provocadas por desastres. Com o propósito de prevenir eventuais falhas e oferecer alternativas que minimizem o prejuízo operacional por conseqüência delas, se faz necessário que o projeto de uma rede integrada de comunicações contemple redundâncias e contingências, constituídas por uma série de ações e procedimentos que visam soluções, além de equipamentos e dispositivos de recuperação relacionados a estas falhas. No ambiente operacional de uma rede integrada de comunicações, diversos aspectos críticos podem ser considerados pontos de falha potenciais para o sistema: roteadores e switches, antenas de radio-enlace, cabeamento de fibra-ótica e par-trançado, enlaces de terceiros, servidores, proxies, nobreaks, dentre outros. Nesse contexto, as falhas são consideradas como eventos danosos, provocadas por inoperância do sistema ou de um dos elementos internos dos quais o sistema dependa Redundância O termo redundância remete a capacidade de um sistema em vencer a falha de um de seus componentes através do uso de recursos redundantes, ou seja, um sistema redundante possui um segundo dispositivo que está imediatamente disponível para uso quando da falha do dispositivo primário do sistema. É muito comum a utilização de recursos redundantes no nível de contingenciamento de componentes, ou seja, a redundância é aplicada, pontualmente, aos componentes de um sistema físico maior que, devido a sua importância num dado processo de negócio, não pode sofrer interrupções não programadas. Por exemplo, um equipamento servidor, dependendo do tipo de serviço para o qual é empregado, torna-se um ativo crítico para grande parte das organizações, portanto, sua especificação técnica deve prever redundância dos componentes internos de maior vulnerabilidade às falhas, como a fonte, discos rígidos, memórias, dispositivos de rede, dentre outros. Desta forma, conclui-se que a análise de riscos e a análise de impacto ao negócio podem juntas ser aplicadas em qualquer nível de

39 2.6 Continuidade de Negócios 23 profundidade, tanto no nível macro-organizacional quanto no nível de componentes de um dado dispositivo ou sistema físico, sendo mais eficazes na proporção de sua abrangência e do detalhamento de seu escopo. Uma rede integrada de comunicações redundante, portanto, caracteriza-se por possuir componentes instalados para atuarem como backup dos dispositivos primários quando estes falharem. O Plano de Continuidade de Negócios deve ser elaborado com o claro objetivo de contingenciar situações e incidentes de segurança que não puderem ser evitados. Deve ser eficaz como o pára-quedas reserva o é em momento de falha do principal, garantindo, apesar do susto, a vida do pára-quedista em queda. (SÊMOLA, 2003) Figura 2.4: Exemplo de redundância de roteador. É importante notar, no esquema acima, que o roteador de backup, ou seja, a redundância, não precisa ter necessariamente as mesmas características de performance e capacidade de transmissão do roteador primário ou principal. Isto depende muito da missão da organização, do tipo de sistema e da prioridade do serviço que se deseja preservar. Deve-se estabelecer, entretanto, os parâmetros e os limites de contingênciamento necessários para sustentar o serviço em um nível operacional aceitável, quando da ocorrência de uma falha ou desastre. Tal orientação está de acordo com a definição de continuidade de negócios, que visa a manutenção da operacionalidade de um sistema ou da organização em um nível aceitável e previamente definido, em resposta a interrupção ou falha provocada por incidentes ou desastres.

40 24 3 Análise da Contingência das Comunicações da Marinha do Brasil Este capítulo tem como propósito realizar um levantamento macro-organizacional das condições atuais das comunicações da Marinha, apresentando a infra-estrutura do SIS- COM através de seus ativos críticos, as ameaças às comunicações navais, as vulnerabilidades do sistema e os possíveis impactos ao negócio da instituição. 3.1 Ativos Críticos Em virtude de sua dimensão como instituição, a Marinha do Brasil, constituida por múltiplas organizações militares geograficamente distantes e com características físicas e propósitos heterogêneos, investiu, ao longo dos anos, em inúmeros recursos tecnológicos e humanos, para dispor de uma total interconexão de seus meios. E, na medida em que aumentava a necessidade de expansão de suas comunicações, a Marinha buscava atender a esta demanda da melhor forma possível. Contudo, ainda que possuindo um projeto de implementação inicial, o mesmo não previa todos os nós que hoje existem. A evolução do SISCOM até a sua atual estrutura se deu, portanto, orientada à demanda e de acordo com as condições técnicas e orçamentárias da Força para executar essas expansões. De acordo com o cenário acima, fica claro que a preocupação com a análise de riscos, com a classificação dos ativos de acordo com a importância dos processos de negócio associados a cada um deles e com a continuidade operacional das comunicações foi algo pensado posteriormente. Durante a expansão do SISCOM, a prioridade maior era atingir o propósito de interligação de todas as Organizações Militares, tanto de terra, quanto navais. Apesar disso, durante essa evolução já se implementava a redundância na maior parte dos ativos que estavam sendo empregados para a criação da infra-estrutura de comunicações. A análise de riscos só se tornou formalmente uma realidade na Marinha, após a publicação das Normas para a Gestão de Segurança das Informações Digitais em Redes Locais,

41 3.1 Ativos Críticos 25 DGMM-0520 (2004), elaborada pela Diretoria-Geral do Material da Marinha, Órgão de Supervisão Funcional na área de Tecnologia da Informação. Nesta publicação, a Marinha chamou de Recursos Computacionais Críticos (RCC) os ativos físicos, componentes de uma rede, que possuem algum grau de criticidade. Esta publicação comete um grave erro ao deixar de considerar o recurso humano também como um ativo crítico em potencial. A falha pode ser verificada, inclusive, pela nomenclatura adotada para a designação destes ativos. Dentre os principais ativos críticos definidos pela publicação DGMM-0520, estão equipamentos servidores, roteadores, switches, bridges, modems, antenas, meios físicos de tráfego, estações de trabalho, instalações elétricas, sistemas de refrigeração e sistemas de combate à incêndios. Ainda segundo a norma em tela, a classificação destes ativos, de acordo com a sua importância para a Segurança da Informação e das Comunicações, deve obedecer os seguintes níveis: NÍVEL 1 - correspondem aos ativos de alta importância, isto é, aqueles que, quando atingidos, interrompem ou degradam severamente o funcionamento da rede de comunicações ou tornam expostas informações digitais sensíveis, causando prejuízo à segurança da informação e das comunicações por comprometimento de assunto sigiloso. NÍVEL 2 - correspondem aos ativos de média importância, isto é, aqueles que, quando atingidos, degradam apenas superficialmente o funcionamento da rede de comunicações ou tornam expostas apenas informações digitais não sensíveis. NÍVEL 3 - correspondem aos ativos de baixa importância, isto é, aqueles que, quando atingidos, não causam prejuízos diretos ao funcionamento da rede de comunicações,mas que requerem atenção pois podem comprometer outros ativos de nível de importância superior. A partir do momento em que se estabeleceu os critérios de classificação dos ativos, a Diretoria de Comunicações e Tecnologia da Informação da Marinha (DCTIM) deu início ao processo de identificação, classificação e inventário de todos os seus ativos de comunicações e recursos computacionais críticos. De forma simultânea, foi determinado que todas as Organizações Militares também fizessem o mesmo procedimento, cuja padronização foi norteada pelas Normas acima supracitadas. Após a conclusão dessa primeira etapa de auto-conhecimento, a Marinha pôde dar início à ações que resultassem em uma continuidade operacional mais efetiva das suas comunicações. A tabela abaixo descreve, em um nível macro-organizacional, os principais conjuntos

42 3.1 Ativos Críticos 26 de ativos de comunicações presentes na Marinha do Brasil e os processos de negócio associados a cada um deles, sem aprofundamento técnico, de modo a não fugir do escopo do presente trabalho de pesquisa. Foram considerados os requisitos de classificação de ativos e recursos computacionais críticos definidos na norma DGMM-0520: Id. Descrição do Ativo Niv. Processo de Negócio Associado 1 Links de Conexão dos Distritos Navais com a DCTIM (1 DN) 2 Links de Conexão dos Distritos Navais com a Internet 1 Acesso à RECIM pelo Distrito Naval 1 Acesso à internet pelo Distrito Naval 3 Servidores Proxy dos Distritos Navais 2 Políticas de acesso à WEB definidas pela DC- TIM para o público interno, 4 Servidores de Proxy Reverso da DCTIM 2 Políticas para acesso do público externo à alguns sítios da RECIM, definidas pela DCTIM 5 Equipamentos e Softwares de Firewall dos Distritos Navais 6 Equipamentos e Softwares de IPS dos Distritos Navais 1 Implementação de Políticas e barreiras de segurança contra acessos externos indevidos 1 Detecção e Prevenção de Ataques contra a RECIM 7 Anéis e backbones em fibra ótica 1 Conexão física das OM aos Distritos Navais 8 Equipamentos Roteadores 1 Concentradores das diversas Redes Locais que compõem a RECIM 9 Switches 1 Ativos que implementam as Redes Locais da RECIM 10 Equipamentos de Radio-enlace 1 Conexão por radio-freqüência de algumas OM aos seus Distritos Navais 11 Equipamentos de comunicação em HF 1 Conexão por radio-freqüência com os meios operativos e contingência aos links principais da RECIM 12 Servidores de DNS da DCTIM 2 Serviço de resolução de nomes de domínios da MB 13 Estações de Trabalho das Redes Locais das OM (*) 3 Ferramentas de trabalho dos usuários finais 14 Sistemas de Refrigeração dos ativos de rede 3 Manutenção da temperatura ideal de funcionamento dos ativos de rede 15 Instalações elétricas dos ativos de rede 1 Alimentação dos equipamentos que compõem a RECIM 16 Sistemas de Combate à incêndios 3 Conjunto de equipamentos, recursos humanos e procedimentos para combater incêndios nos compartimentos dos ativos de rede Tabela 3.1: Lista de Ativos Críticos do SISCOM (*) A criticidade deste ativo dependerá da função exercida pelo usuário responsável pela estação de trabalho. Verifica-se, após analisar a tabela acima, que o fator humano não foi considerado como um ativo de relevância para a continuidade operacional das comunicações da Marinha do Brasil, em virtude do tratamento dado a este quesito na documentação doutrinária interna que trata do assunto. Conforme já citado anteriormente, trata-se de uma falha

43 3.2 Ameaças às Comunicações Navais 27 grave, que precisa ser tratada e corrigida para que se tenha, efetivamente, um bom padrão de continuidade nos negócios das comunicações navais. Diagnosticar o risco envolve a análise de variáveis endógenas que extrapolam os aspectos tecnológicos; portanto, devem se considerar, também, os aspectos comportamentais dos recursos humanos.(sêmola, 2003) 3.2 Ameaças às Comunicações Navais A comunicação sempre foi uma atividade vital para o desempenho de qualquer atividade. Desde a troca de documentos em papel, passando pela comunicação verbal, até a comunicação digital dos dias de hoje, integrando todos os outros tipos e modos de comunicação, há uma grande dependência dos processos de negócio e das organizações em seus meios de comunicações. Na Marinha do Brasil não poderia ser diferente, as comunicações navais são consideradas estratégicas pela alta administração pelo que representam em operação e pelo caos que provocariam se ficassem indisponíveis. Em uma força armada, que possui como pilares operacionais o pessoal, a inteligência, as operações e a logística, a comunicação é a ferramenta utilizada para integrar, controlar e coordenar todas estas quatro áreas. Portanto, fica evidente a importância estratégica das comunicações para a Marinha do Brasil e, por isso, requer grande esforço de seu pessoal e de sua logística para a manutenção do seu aprestamento. Segundo DIAS (2000), ameaça é tudo aquilo que pode comprometer a segurança de um sistema, podendo ser acidental (falha de hardware, erro de programação, desastres naturais, erros do usuário, bugs de software, uma mensagem secreta enviada a um endereço incorreto, etc.) ou deliberada (roubo, espionagem, fraude, sabotagem, invasão de hackers, entre outros). Ameaça pode ser uma pessoa, uma coisa, um evento uma idéia capaz de causar dano a um recurso, em termos de confidencialidade, integridade, disponibilidade, etc. Apesar do conceito ter sido definido com base na Segurança da Informação, o mesmo se aplica, adequadamente, a segurança das comunicações, sendo muito útil para as comunicações navais. O estado de beligerância é a primeira e mais séria das ameaças que serão descritas nesta etapa do presente trabalho de pesquisa. Trata-se de uma situação muito grave em que toda a nação fica exposta às conseqüências de um conflito armado. Não é uma ameaça apenas às comunicações navais, mas a um país inteiro e a todas as suas instituições públicas ou privadas, civis ou militares. A inserção desta grave ameaça se faz necessária pois, em seu

44 3.2 Ameaças às Comunicações Navais 28 contexto, a pesquisa trata da infra-estrutura física de uma Força Armada, que tem como missão estar sempre preparada e de prontidão para defender o país e a soberania de sua pátria. Apoiado por este propósito, o Sistema de Comunicações da Marinha tem buscado a manutenção de sua operacionalidade durante o estado de paz, visando sempre a passagem inopnada ou determinada para o estado de conflito, mantendo o seu aprestamento e sua capacidade de atender às necessidades de comunicações da Marinha do Brasil. A única maneira de mitigar as conseqüências desta complexa ameaça é a constante formação e evolução profissional, elevado investimento em infra-estrutura, incessante busca pelo desenvolvimento bélico e tecnológico e severo adestramento de todo o pessoal militar. Uma Força Armada precisa estar muito bem preparada tecnicamente para enfrentar um conflito bélico moderno e o Brasil tem investido, nos últimos anos, principalmente na formação e no aperfeiçoamento de seu pessoal para este novo paradigma tático e estratégico de uma guerra. Não tão graves como o estado de beligerância, as descargas elétricas provocadas por tempestades são ameaças acidentais que muito preocupam a alta administração, devido aos estragos que podem provocar, principalmente, nos equipamentos de comunicação por radio-freqüência, muito utilizados nas Estações Rádio da Marinha espalhadas pelos diversos Distritos Navais. Para minimizar as possibilidades de alguma ocorrência deste nível, a Marinha tem investido na aquisição e na manutenção dos sistemas de proteção à descargas elétricas. Em último caso, dependendo do nível de adversidade das condições climáticas, o procedimento operacional seguido é o desligamento dos equipamentos de comunicação por radio-freqüência, optando-se, naquele momento adverso, pelo uso de outros meios de comunicação. Normalmente, os danos causados por descargas elétricas é a queima de equipamentos e sua conseqüente indisponibilidade operacional. As falhas no fornecimento de energia elétrica também são ameaças acidentais de grande preocupação pois, assim como as descargas elétricas, atingem imediatamente, a disponibilidade dos serviços de comunicações, trazendo grande prejuízo à Marinha. Além disso, em algumas circunstâncias, uma falha no fornecimento de energia elétrica pode vir a comprometer o funcionamento de um equipamento ou de um servidor de rede, se os mesmos não possuírem mecanismos de proteção. Para minimizar os estragos e a indisponibilidade operacional provocados por falhas no fornecimento de energia elétrica, a Marinha utilizase de equipamentos no-breaks e de geradores de energia elétrica, dependendo do tipo de ativo que se deseja proteger e de sua importância para o SISCOM. O backbone principal da RECIM, o backbone de cada um dos Distritos Navais e os equipamentos de transmissão

45 3.2 Ameaças às Comunicações Navais 29 e recepção de cada Estação Rádio da Marinha estão equipados com geradores de energia elétrica, como contingência aos seus equipamentos no-breaks. Os demais nós da RECIM estão equipados apenas com no-breaks com autonomia limitada para a proteção dos seus ativos de rede. Outra ameaça considerada de grande relevância para a continuidade operacional do SISCOM, principalmente quanto à operacionalidade da RECIM, é a falha de prestadores de serviço de telecomunicações. Conforme já foi citado anteriormente, devido às distâncias entre os Distritos Navais, a Marinha possui contratos de serviços de telecomunicações com empresas brasileiras para o estabelecimento de alguns de seus links distritais. A falha operacional de uma destas empresas pode vir a comprometer a comunicação de um ou mais Distritos Navais correspondentes à esta prestadora de serviços. Para minimizar os impactos causados por este tipo de ocorrência, a Marinha do Brasil definiu, em cláusulas contratuais que para cada um destes links deve haver outro, da mesma empresa, em standby. Além disso, existe um terceiro link, provido por outra empresa de telecomunicações, como contingência operacional para o caso de falha dos dois principais. Deste modo, a Marinha do Brasil tem conseguido, até então, manter um excelente nível de qualidade dos links de comunicação dependentes de terceiros. As falhas de hardware ou falhas nos equipamentos de conectividade são ameaças acidentais que podem vir a comprometer o funcionamento de uma estação rádio, um pequeno nó da rede ou até mesmo um segmento inteiro da RECIM. Portanto, falhas de equipamentos também são ameaças relevantes para a administração naval. Para minimizar os impactos causados por este tipo de ameaça, a Marinha conta com redundância dos meios. Os principais ativos físicos de rede são redundantes, de tal modo que, caso ocorra uma indisponibilidade do ativo principal por falha, o ativo secundário é colocado em produção, realizando as funções que antes eram realizadas pelo principal. Há casos em que a redundância assume o controle de modo automático, ou seja, de forma transparente aos usuários. Há ativos que necessitam da intervenção humana para que entrem em produção, assumindo o lugar do ativo principal, às vezes, necessitando apenas de reconfiguração de seus parâmetros, como é o caso dos roteadores. Com o propósito de detalhar o que foi descrito no parágrafo anterior, estão relacionados abaixo os itens do SISCOM considerados relevantes pela MB e que necessitam de redundância: a) Roteadores, Switches e antenas de TX/RX; b) Equipamentos Proxy, Firewall, IDS e IPS;

46 3.2 Ameaças às Comunicações Navais 30 c) Meios de comunicação dos principais links (fibra-ótica, par-trançado e links contratados); d) Equipamentos Geradores de Energia Elétrica; e e) Equipamentos de Refrigeração dos ativos de rede. Outra ameaça acidental de grande relevância e que pode causar muitos estragos ao sistema de comunicações da Marinha é o incêndio. Os ativos físicos responsáveis pelas comunicações navais devem estar em áreas seguras, preparadas para suprimir ou minimizar os efeitos de um incêndio, caso o mesmo venha ocorrer. Apesar de parecer algo improvável, muitos dos danos causados na infra-estrutura das organizações são provenientes de incêndios acidentais ou não. Portanto, a organização precisa possuir um sistema de detecção de incêndio adequado. A localização dos detectores deve obedecer às distâncias regulamentadas na norma NBR 9441, referente a sistemas de detecção e alarme de incêndio. A Marinha do Brasil possui, devido às suas origens, com atividades realizadas à bordo de navios de guerra, a mentalidade e a cultura de combate a incêndios muito bem desenvolvidas. Todas as suas organizações militares contam com equipes constituídas de controle de avarias, que são treinadas para situações de crise e para o combate à incêndios, o que minimiza as possibilidades de danos vultosos por conta desta perigosa ameaça. A radiogoniometria também é considerada uma ameaça em potencial quando se trata de comunicação por meio de HF. A Marinha possui muito cuidado na utilização de seus equipamentos, estabelecendo procedimentos e limites de potência de transmissão com o propósito de evitar a interceptação por radiogoniômetros. Além disso, algumas de suas estações rádio também realizam exercícios e atividades de radiogoniometria com o objetivo de estar sempre acompanhando e monitorando as comunicações em HF praticadas no âmbito naval. Outra ameaça às comunicações navais são os vírus de computador. Apesar de normalmente infectarem as estações de trabalho, muitas destas pragas são desenvolvidas para despejar pacotes de dados na rede, gerando um tráfego absurdo de pacotes com o propósito de manter a comunicação entre os ativos lenta ou até mesmo indisponível. Para mitigar esta ameaça deliberada a Marinha do Brasil dispõe de um contrato corporativo com um dos grandes fabricantes de anti-vírus, anti-spyware e hackers do mundo. Deste modo, há um gerenciamento centralizado da manutenção destas ferramentas e atualização automática de suas bibliotecas, para todas as estações de trabalho e servidores existentes

47 3.2 Ameaças às Comunicações Navais 31 em todas as Organizações Militares conectadas à RECIM. A ação dos hackers, assim como os vírus de computador, apesar de estar mais relacionada à segurança da informação, também é uma ameaça à segurança das comunicações. Sempre que um hacker faz uma tentativa de invasão de algum recurso computacional em uma rede, na verdade, ele está testando a segurança daquela rede. Normalmente, ele faz uma verredura em todo o segmento que deseja atacar à procura de portas abertas sem dispositivos de segurança, sem equipamentos e softwares de firewall, sem sistemas de detecção e prevenção de intrusos, sem um proxy estabelecendo as políticas de acesso, enfim, o invasor precisa interagir com a infra-estrutura de rede para conseguir ou não êxito em seus objetivos. Por isso, a Marinha considera um ataque por hacker uma ameaça relevante e perigosa. Para minimizar as chances do invasor, a Marinha conta com um conjunto de ferramentas, composta por hardware e software, espalhadas em pontos chaves do SISCOM e em todas as organizações militares, com o propósito de dificultar qualquer tentativa de invasão por qualquer elemento que represente esta modalidade de ameaça. Finalmente, um dos itens mais importantes de qualquer lista de ameaças: a engenharia social. Ao contrário do que ocorre com alguns equipamentos, as pessoas não podem ser programadas com funcionalidades confiáveis e, portanto, não podem receber um grau de confiança do mesmo modo que acontece com os recursos materiais, contudo, deve ser atribuído algum tipo de confiança à integridade e capacidade pessoais, mas nunca de forma irrestrita. A engenharia social caracteriza-se pela habilidade de se obter informações ou acesso indevido à determinadas áreas sensíveis ou sistemas, utilizando-se de técnicas de persuasão. Todo e qualquer ataque que se utiliza de técnicas de engenharia social é um ataque muito perigoso e muito difícil de ser combatido, pois visa ganhar a confiança de alguma pessoa, com privilégios dentro de um ambiente seguro, passando, desta forma, por todas as barreiras e níveis de segurança. Por ter como alvo fundamental o ser humano, a engenharia social é a mais perigosa das armas de ataque. A prevenção contra esta ameaça deliberada é uma tarefa muito difícil, principalmente, porque a maioria das organizações não direciona recursos humanos e financeiros para tal, preferindo investir em avanços tecnologicos. Para amenizar os riscos de ataques por engenharia social, as organizações devem criar políticas de segurança bem fundamentadas e divulgá-la para que todos saibam como se defender desta ameaça. O treinamento também é de grande importância. Neles, devem ser exploradas as táticas comuns de intromissão e as estratégias de prevenção à engenharia social. Apesar de não

48 3.3 Vulnerabilidades 32 ser garantia de proteção contra esta ameaça, a Marinha tem buscado ministrar cursos, palestras e simpósios de conscientização e treinamento de pessoas quanto às ameaças a segurança da informação e das comunicações, onde o tema Engenharia Social encontra-se sempre presente. Com o objetivo de simplificar a visualização do conteúdo que foi exposto acima, estão relacionadas na tabela abaixo as ameaças apontadas no presente trabalho de pesquisa, em um nível macro-organizacional: Id. Descrição da Ameaça Ação Tipos de Ameaça 1 Estado de Beligerância Deliberada Humana, Física e Tecnológica 2 Descargas elétricas provocadas por tempestades Acidental Natural 3 Falhas no fornecimento de energia elétrica Acidental Tecnológica 4 Falhas de Prestadores de Serviço de Telecomunicações 5 Falhas de hardware ou falhas nos equipamentos de conectividade Acidental Acidental Tecnológica Tecnológica 6 Incêndio Acidental ou deliberada Natural ou Humana 7 Radiogoniometria Deliberada Tecnológica e Humana 8 Vírus de Computador Deliberada Tecnológica e Humana 9 Ação dos hackers Deliberada Tecnológica e Humana 10 Engenharia Social Deliberada Humana Tabela 3.2: Lista de Ameaças ao SISCOM 3.3 Vulnerabilidades Atualmente, devido ao recente paradigma mundial, em que todos os organismos estão de uma forma ou de outra interconectados e as fronteiras mundiais são transpassadas por meio do avanço da tecnologia da comunicação, num processo de desenvolvimento cada vez mais dinâmico e abrangente, a todo o momento os negócios, seus processos críticos, ativos físicos, tecnológicos e humanos são objetos de ataques e ameaças de toda ordem, que buscam a identificação de apenas um ponto fraco ou vulnerabilidade, para servir de porta de entrada para a sua ação. Independente do quão abrangente forem as condições de segurança da organização, basta um único ponto descoberto que fica consumada a quebra da segurança, dando a liberdade necessária ao atacante para estudar o terreno e configurar definitivamente o ataque. Segundo Sêmola (2003), o nível de segurança de uma organização está diretamente associado à segurança oferecida pela porta mais fraca. Por isso, é preciso ter uma visão corporativa, capaz de viabilizar uma ação consistente e

49 3.3 Vulnerabilidades 33 abrangente, levando a organização a atingir o nível de segurança adequado à natureza de seu negócio. No ambiente de comunicações da Marinha, assim como em toda organização de grande porte, que possui suas unidades espalhadas geograficamente, a infra-estrutura tecnológica destinada a suportar e prover a interconexão de todos os nós precisa ser robusta e segura, de modo que as vulnerabilidades sejam eliminadas ou minimizadas, dentro das possibilidades técnicas existentes, sempre considerando-se a relação entre o custo e o benefício de cada implementação. Considerando as dimensões deste ambiente de comunicações, as vulnerabilidades reportadas neste trabalho de pesquisa, serão tratadas de forma generalizada, em um nível macro-organizacional. Devido às distâncias existentes entre suas organizações militares e Distritos Navais, a Marinha do Brasil utiliza da infra-estrutura e tecnologia de enlaces contratadas junto às companhias brasileiras de telecomunicações, para poder operar, dentro dos padrões atuais de qualidade, os links necessários ao funcionamento da RECIM, da forma abrangente e segura em que se encontra atualmente. Portanto, a dependência tecnológica de terceiros, para estes casos, é evidente, tornando-se, desta forma, a primeira vulnerabilidade identificada no Sistema de Comunicações da Marinha. Com o propósito de mitigar tal vulnerabilidade, todos os contratos existentes na Marinha com as companhias de telecomunicações são padronizados e supervisionados técnicamente pela Diretoria de Comunicações e Tecnologia da Informação da Marinha (DC- TIM), que é a Diretoria Especializada e Normativa no assunto. Nestes contratos existem cláusulas que prevêem, dentre outras coisas, a redundância e a contingência de cada um dos enlaces contratados. Para cada enlace existente, há um outro em paralelo, com as mesmas especificações técnicas, operando em standby. Além disso, há uma alternativa para o caso de paralisação destes enlaces que, normalmente, é implementada por meio da subcontratação de um enlace junto a outra operadora de telecomunicações. A segunda vulnerabilidade identificada durante o desenvolvimento deste trabalho de pesquisa é que grande parte destes links contratados operam fora de uma VPN (Virtual Private Network), ou seja, operam em claro. Esta vulnerabilidade é grave por afetar seriamente um dos pilares da Segurança da Informação e das Comunicações: a confidencialidade. A Marinha está ciente desta vulnerabilidade e está empenhada na busca de uma solução técnica para o problema, que até então esbarra em um outro percalço interno: a falta de recursos orçamentários para a aquisição dos equipamentos necessários à imple-

50 3.3 Vulnerabilidades 34 mentação das VPNs. Ou seja, inicialmente, não se priorizou a Segurança da Informação ao contratar links externos para fazer parte da RECIM, talvez por reais limites orçamentários, ou por falta de conhecimento técnico adequado e de cultura de segurança. Este cenário é comum quando a autoridade decisora na organização não possui o conhecimento técnico adequado nem cultura de segurança da informação e das comunicações. Os ativos físicos de rede constituem um terceiro conjunto de vulnerabilidades que podem ser identificadas no SISCOM. A presença de hubs por exemplo, na infra-estrutura de algumas redes locais é um ponto de vulnerabilidade, que deve ser tratado tecnicamente com a substituição destes equipamentos por switches que operam na camada 2 (enlace). As antenas de rádio-enlace por linha de visada, que constituem o link de algumas Organizações Militares com seus Distritos Navais também possuem algumas vulnerabilidades que atingem outro pilar da Segurança da Informação e das Comunicações: a disponibilidade. Estas antenas, em algumas circunstâncias, deixam de funcionar devido ao mau tempo, com chuvas torrenciais, capazes de produzir uma especie de parede que obstrui o sinal de uma antena para outra, cortando, desta forma, o link de comunicação. Nestes casos, a redundância utilizada é uma outra antena de rádio-enlace operando em freqüências diferentes da principal, que podem ou não sofrer a mesma interferência quando expostas à situações semelhantes. Os sistemas de alimentação elétrica dos ativos de rede também fazem parte deste terceiro nível de vulnerabilidades. Mesmo com a presença dos no-breaks, nos casos de queda de energia a situação dos ativos de rede fica comprometida em função do tempo de duração da falha. Esta vulnerabilidade será maior ou menor, de acordo com a autonomia de operação de cada um destes equipamentos de emergência, além da importância para o SISCOM, daqueles ativos que estão sendo protegidos. Se a crise ocorrer em equipamentos pertencentes a algum dos nós da ponta do SISCOM, a área afetada com a queda de energia estará resumida àquele nó. Caso contrário, o problema poderá se estender a uma área maior, sempre de acordo com o posicionamento dos equipamentos dentro do SISCOM. Para mitigar esta vulnerabilidade o SISCOM conta com equipamentos de emergência compatíveis com a importância dos ativos de rede que estão sendo protegidos, além disso, o seu backbone principal conta com geradores externos como ferramenta de continuidade operacional das comunicações navais. Finalmente, o último conjunto de vulnerabilidades apontadas por esta pesquisa são os recursos humanos. Todos os processos que integram o SISCOM são operacionalizados e dependentes de pessoas, que são divididas em grupos ou equipes, especializadas nas mais variadas atividades relacionadas ao Sistema de Comunicações da Marinha. Tanto em funções relacionadas à atividade de comunicações quanto nas funções de apoio, é muito

51 3.3 Vulnerabilidades 35 importante manter o alto nível de satisfação do pessoal e de conscientização quanto a importância de cada um para o perfeito funcionamento do sistema como um todo. A pessoa insatisfeita pode se tornar uma porta de entrada em potencial para que qualquer ameaça seja convertida em dano operacional e, por conseguinte, dano ao negócio da organização. Dependendo do tipo de atividade exercida pelo elemento dentro do SISCOM, o prejuízo pode afetar todos os pilares da segurança da informação e das comunicações. Se o dano for físico, como por exemplo num ativo de rede, imediatamente a disponibilidade estará sendo afetada. Se o objetivo do elemento for o vazamento de informações sensíveis utilizando-se de seu privilégio de acesso à rede, a confidencialidade estará sendo corrompida e se a finalidade for a modificação, pichação ou adulteração das informações sem autorização, os pilares integridade e autenticidade estarão sendo afetados. Portanto, diante do exposto acima, é notória a grande importância do recurso humano dentro de qualquer organização, independente de ser pública ou privada. E isso requer do gestor um trabalho constante na busca pelo aperfeiçoamento dos processos, procedimentos e pela valorização da pessoa, por meio da priorização da formação e do treinamento do seu pessoal, do esforço pela conscientização de segurança e da importância de cada um para o cumprimento da missão, de modo a formar equipes realmente aplicadas, conscientes em engajadas com os propósitos da organização. Com o objetivo de simplificar a visualização do conteúdo deste item do trabalho, estão relacionadas na tabela abaixo as vulnerabilidades apontadas no texto: Descrição da Vulnerabilidade Pilar Afetado Ativo(s) Associado(s) Infra-estrutura e tecnologia de enlaces contratadas junto às companhias brasileiras de telecomunicações Links contratados operando sem utilização de VPN (Virtual Private Network) Vulnerabilidades oriundas de falhas ou acidentes nos diversos Ativos Físicos de Rede Insatisfação pessoal, despreparo, falta de treinamento e conscientização Disponibilidade Confidencialidade Disponibilidade Disponibilidade, Integridade, Confidencialidade, Autenticidade Meio físico de comunicações entre Organizações Militares Meio físico de comunicações entre Organizações Militares Equipamentos de conectividade (Hubs, switches, roteadores, Antenas de Rádioenlace e HF), Sistemas de Alimentação Elétrica, meios físicos (fibra-ótica, cabos de par-trançado e ondas de rádiofreqüência), Sistemas de Refrigeração Recursos Humanos Tabela 3.3: Lista de Vulnerabilidades do SISCOM

52 3.4 Impactos Impactos Considerando a missão da Marinha do Brasil, um ataque ou um desastre que atingisse ativos que compõe a Sistema de Comunicações da Marinha (SISCOM), provocaria impactos de variadas intensidades, que só poderiam ser mensurados após a análise de cada um deles. Considerando esta afirmativa, este item do Capítulo 3 tem o propósito de identificar e avaliar os impactos resultantes da interrupção e dos cenários de desastres que podem afetar o Sistema de Comunicaçõe da Marinha como um todo ou apenas um de seus segmentos. Conforme já citado, a evolução do SISCOM até a sua atual estrutura se deu orientada à demanda, somada às condições técnicas e orçamentárias da Força para atendê-la, portanto, não houve, à princípio, uma preocupação por parte dos gestores, com a utilização de metodologias aplicadas à análise de riscos e de impactos ao negócio para atender à instituição. Isto foi um processo que foi ganhando importância ao longo do tempo de desenvolvimento e expansão do Sistema de Comunicações da Marinha. De modo que facilite o entendimento e ainda, considerando a ordem dos ativos identificados no item 3.1 deste Capítulo, o primeiro impacto a ser analisado será quanto a falha ou interrupção de um dos links de conexão dos Distritos Navais com o backbone principal, localizado na Diretoria de Comunicações e Tecnologia da Marinha (DCTIM). O impacto ou conseqüencia desta falha seria o isolamento temporário do conjunto de Organizações Militares componentes do Distrito Naval que foi afetado pelo problema, ou seja, as OM perderiam acesso aos sistemas corporativos da Marinha, não trafegariam expedientes e mensagens digitais para outros Distritos, perderiam o acesso ao Retelma (Rede de Telefonia da Marinha) e, não acessariam as home-pages da intranet, pois o DNS (Domain Names Service) da Marinha fica centralizado na DCTIM. A falha do link de conexão de um Distrito Naval com a internet ou de um servidor proxy provocaria a perda do acesso à internet para todas as OM componentes do Distrito Naval afetado. Vale ressaltar que foge ao escopo deste trabalho de pesquisa o registro e identificação das conseqüências para a administração provocadas por cada falha ou inoperância aqui abordadas. Tal estudo pode ser alvo de outro trabalho de pesquisa. A falha do proxy reverso da DCTIM provocaria a interrupção do acesso do público externo à alguns sítios da RECIM que necessitam deste dispositivo de segurança, pois possuem conexões com bancos de dados e níveis mais elevados de interações com usuários. Equipamentos e softwares de firewall e de IPS (Intrusion Prevention Systems) exis-

53 3.4 Impactos 37 tentes nos Distritos Navais, se apresentarem falhas ou alguma inoperância, provocariam, durante o período de tempo inoperante, o acesso ao público externo à RECIM, sem barreiras de segurança e sem detecção e prevenção de ataques, deixando a organização vulnerável a quaisquer incursões maliciosas por parte de agentes de guerra cibernética. Uma ruptura seguida de inoperância dos anéis de fibra ótica, ou pane nos equipamentos de rádio-enlace ou nos equipamentos roteadores de um dado Distrito Naval provocaria a perda de conexão física entre as OM componentes do Distrito Naval afetado ou de parte delas e, por conseguinte, isolamento da RECIM, com todas as conseqüências previstas quando da interrupção do link de conexão do Distrito Naval. Quando ocorre falha em equipamento switch que faz parte da implementação de uma dada rede local, dependendo do seu posicionamento na topologia da rede, parte da Organização Militar pode ficar inoperante ou, o que pode ser mais grave, toda a OM pode ficar fora do ar e, por conseguinte, isolada da RECIM, com todas as conseqüências previstas quando da interrupção do link de conexão do Distrito Naval. Uma falha no DNS (Domain Names Service) da Marinha que, como já foi citado, é centralizado na DCTIM, provocaria a perda de acesso às home-pages de intranet. Falhas nos equipamentos de comunicação em HF são extremamente graves, principalmente, para o Serviço Móvel de Comunicações da Marinha pois, provocariam, de imediato, uma paralisação das comunicações com os meios operativos (navios, aviões e tropas), além de manter inoperante o nível maior de contingenciamento da Rede de Comunicações Integrada da Marinha (RECIM). A estação de trabalho, como ferramenta de trabalho dos usuários nas organizações atuais, caso fique inoperante, provoca a paralisação ou a redução da capacidade de produção do usuário ao qual pertence e, o nível de criticidade deste processo para a instituição está atrelado à função deste usuário. Finalmente, os sistemas de refrigeração, elétrico e de combate ao incêndio que dão suporte aos diversos equipamentos e ativos que compõem o SISCOM, são de extrema importância e a paralisação e qualquer destes sistemas é extremamente traumática, pois provoca a paralisação de outros recursos cujas conseqüências e impactos ao negócio já foram descritos acima. É importante ressaltar, novamente, que a presente pesquisa tomou uma publicação interna da Marinha do Brasil para fazer esta análise de impactos e, mais uma vez, o recurso-humano não foi abordado como o principal dos causadores de impactos ao negócio

54 3.4 Impactos 38 da organização. Neste capítulo ficaram evidenciadas todas as deficiências presentes na infra-estrutura de comunicações da Marinha e os impedimentos encontrados pela instituição para promover a mitigação de cada uma das vulnerabilidades já conhecidas e apontadas neste trabalho de pesquisa. Muitos dos fatores que contribuem para estas dificuldades estão relacionados ao tamanho da instituição e a ampla distribuição geográfica de seus meios, contudo, fica claro que a conscientização de segurança, a preocupação com os riscos, com os impactos ao negócio, com a classificação dos ativos e com a indisponibilidade dos meios de comunicação foram atributos que não surgiram junto com projeto inicial da estrutura de comunicações, mas foram se desenvolvendo e evoluindo proporcionalmente ao aumento da importância das comunicações para todas as áreas e processos de negócio da organização. Infelizmente, um planejamento de infra-estrutura de comunicações que atendesse aos requisitos de boas práticas preconizados pelas normas de gestão de continuidade de negócios, de segurança da informação e de análise de riscos não foi executado. Contudo, este cenário tem forçado, ainda que de forma sutil, uma corrida, por parte da alta administração naval, para atender e melhorar a capacidade de reação à desastres e à falhas dos meios de informação e de comunicação, proporcionando, desta forma, investimentos e aplicação de recursos orçamentários destinados a este fim e ainda, otimizando a utilização dos recursos humanos e materiais voltados para a continuidade operacional das comunicações na Marinha do Brasil.

55 39 4 Análise da Conformidade do Plano de Testes do PCN das Comunicações da Marinha do Brasil O propósito deste capítulo é apresentar as definições e recomendações previstas na Norma ISO 17799:2005, no que tange às comunicações seguras, passando por cada um dos seus controles referentes ao tópico de Gestão de Continuidade de Negócios, mais precisamente, os controles relacionados ao desenvolvimento e implementação de Planos de Continuidade de Negócios e controles relativos à testes, manutenção e reavaliação destes planos. Posteriormente, o capítulo trará uma análise contundente da situação atual do Plano de Teste das Comunicações da Marinha, de forma que se possa reunir subsídios que permitam realizar uma avaliação do grau de conformidade deste Plano com os diversos controles elencados e detalhados no item anterior. O propósito final do capítulo é buscar alternativas à condição atual, que esteja fora de conformidade com o preconizado pela Norma, vislumbrando as mudanças que serão necessárias à estrutura atual para aproximar o Plano de Teste das Comunicações da Marinha às condições ideais de conformidade. A ABNT NBR ISO/IEC 17799:2005 foi escolhida para fazer parte do escopo deste trabalho de pesquisa pois é uma norma aprovada pela Associação Brasileira de Normas Técnicas e é uma referência como código de melhores práticas de gestão da segurança da informação. Apesar de não ser especificamente voltada para as comunicações, os conceitos e recomendações por ela abordados são de fácil analogia com o tema supracitado, se adequando perfeitamente ao objetivo deste trabalho.

56 4.1 Norma ISO 17799:2005 no que tange à Comunicações Seguras Norma ISO 17799:2005 no que tange à Comunicações Seguras Durante o tráfego de mensagens, na comunicação com meios operativos, na utilização de sistemas com acesso à base de dados remota ou em uma simples ligação telefônica, quando informações sensíveis são trocadas, é imprescindível que o ambiente que está sendo operado seja seguro e confiável, no que se refere à proteção contra interceptação e revelação do conteúdo do que está sendo transmitido. Contudo, apenas isso não é suficiente para se obter comunicações seguras. Há um outro aspecto que, se for comprometido, a comunicação deixa de existir: a disponibilidade. Este elemento é considerado o principal pilar para a comunicação, pois se o ambiente necessário para a transmissão/recepção da informação não estiver disponível, simplesmente, não há comunicação. Para proteger e preservar a informação, garantindo-lhe a integridade, a confidencialidade e a autenticidade, há recursos desenvolvidos e disponíveis no mercado como protocolos seguros de transferência de pacotes de dados (SSH, SSL, RSA, dentre outros), criação de túneis criptografados ou VPN (Virtual Private Network) e diversos outros métodos de criptografia, autenticação e autorização. Já para a garantia da disponibilidade que também é um dos pilares da segurança da informação e base de sustentação dos sistemas de comunicação, é indispensável investir em gestão de continuidade do negócio e em sua contingência. O negócio, neste caso, é o Sistema de Comunicações. Apesar de possuir controles bem definidos quanto Gestão de Continuidade do Negócio (GCN) da segurança da informação, a Norma ABNT ISO/IEC 17799:2005 (Tecnologia da Informação - Técnicas de segurança - Código de prática para a gestão da segurança da informação) não se refere, em momento algum, especificamente, às comunicações. Entretanto, todos os conceitos e controles definidos na Norma, quando empregados em processos críticos como os ambientes operacionais de comunicações e sistemas de comunicações seguros, são totalmente pertinentes e passíveis de serem utilizados para o desenvolvimento e implementação de gestão de continuidade do negócio, voltada para a segurança das comunicações. Em vista do exposto acima e de acordo com a referida Norma, o objetivo da Gestão da Continuidade do Negócio é não permitir a interrupção das atividades do negócio e proteger os processos críticos contra efeitos de falhas ou desastres significativos, e assegurar a sua retomada em tempo hábil, se for o caso. Para tanto, a presente Norma faz uma série de recomendações que compreendem a identificação dos processos críticos inerentes ao

57 4.1 Norma ISO 17799:2005 no que tange à Comunicações Seguras 41 negócio, a análise de impacto no negócio da organização, inclusão de controles para a identificação e redução de riscos em complementação ao processo de análise/avaliação de riscos global e, por fim, o desenvolvimento e a implementação de Planos de Continuidade do Negócio. Fica então evidenciado que o desenvolvimento de um Plano de Continuidade do Negócio é o resultado de diversos outros processos que o antecedem e que são fontes de subsídios para o seu conjunto, devendo ser pautado no conhecimento da instituição, de forma global, e de forma mais aprofundada no negócio, principalmente, nos processos que acompanham o negócio, nos seus riscos e no conhecimento dos impactos quando da ocorrência de alguma falha Desenvolvimento e implementação de Planos de Continuidade do Negócio A ISO 17799:2005 recomenda que os planos devem ser desenvolvidos e implementados para a manutenção e recuperação das operações e para assegurar a disponibilidade da informação no nível requerido e na escala de tempo requerida, após ocorrência de interrupções ou falhas dos processos críticos do negócio. Dificilmente uma organização conseguirá contemplar todas as suas necessidades de continuidade de negócio com a elaboração de um único Plano de Continuidade do Negócio. Isto dependerá muito do porte da organização, do seu ramo de negócio e da criticidade dos seus processos. A ISO 17799:2005 recomenda ainda, como diretriz para implementação de um PCN, que o processo de planejamento da continuidade de negócios considere a identificação e concordância de todas as responsabilidades e procedimentos da continuidade do negócio. A identificação de todos os procedimentos necessários para a manutenção e continuidade do negócio é, sem dúvida, um processo que requer estudo e conhecimento dos processos críticos que compõe o negócio e, principalmente, dos procedimentos que fazem parte destes processos críticos, pois são nestes procedimentos que os mecanismos de contingência e de manutenção da continuidade operacional devem ser empregados e aplicados. Após a determinação de todos os procedimentos necessários para a manutenção e continuidade do negócio, a tarefa de identificação e concordância das responsabilidades por cada um deles torna-se facilitada, mas ainda é necessária a compreensão e conscientização de cada um dos responsáveis sobre a importância do entendimento das ações e da aplicação

58 4.1 Norma ISO 17799:2005 no que tange à Comunicações Seguras 42 dos procedimentos de continuidade de negócio associados a cada uma das áreas de atuação. Devido a importância deste aspecto, a educação adequada de pessoas também é tratada na Norma como uma diretriz de destaque para o êxito na implementação do PCN. Quanto à identificação da perda aceitável de informações e serviços, item também considerado pela Norma como diretriz para implementação de um PCN, deve-se avaliar qual o capacidade de resiliência que um determinado processo crítico, alvo de um PCN, possui, de forma que este conhecimento sirva de subsídio no momento da determinação da estratégia de continuidade que será empregada durante o desenvolvimento do plano. A viabilidade da contingência deve ser considerada, sempre associada à capacidade e ao poder de resiliência de um dado processo crítico. Outro item citado na ISO 17799:2005 como diretriz para implementação de um PCN é a implementação dos procedimentos que permitam a recuperação e restauração das operações do negócio e da disponibilidade da informação nos prazos necessários. A Norma ainda recomenda atenção especial à avaliação de dependências externas ao negócio e de contratos existentes. O conhecimento sobre o custo de parada dos processos de negócio associado à avaliação do tempo aceitável de interrupção do serviço suportado por este processo é essencial para o planejamento e implementação do PCN. A Análise de Impactos no Negócio ou BIA (Business Impact Analysis) é uma das mais relevantes atividades quando se deseja realizar um projeto de continuidade de negócios. É durante a BIA que são conhecidos os custos de parada e os limites toleráveis de tempo de interrupção dos serviços essenciais ao negócio da organização, informações necessárias ao planejamento da continuidade e ao estabelecimento do reinício do serviço dentro de um prazo aceitável. O Objetivo de Tempo de Recuperação ou RTO (Recovery Time Objective) é a variável utilizada pela BIA para a definição do intervalo de tempo no qual cada unidade ou processo de negócio deve estar novamente operacional, recuperando-se de sua falha, de forma a permitir o reinício dos processos e atividades críticas, evitando que a organização tenha prejuízos inaceitáveis. A BIA nos indica o valor da parada do processo, em função da perda que o negócio da empresa sofre. Esta atividade deveria ser considerada marco inicial de projetos em Continuidade de Negócios e recuperação de desastres, orientando o foco que deve ser desenvolvido durante o planejamento. (MARINHO, 2008) Quanto as dependências externas, também considerada na Norma como diretriz para implementação de um PCN, devem ser cuidadosamente analisadas, pois a interrupção nos processos de terceiros pode trazer efeitos catastróficos à organização contratante e a

59 4.1 Norma ISO 17799:2005 no que tange à Comunicações Seguras 43 seus processos de negócio que dependam daquela atividade realizada por terceiros. Muitas organizações não avaliam suas dependências em relação aos serviços terceirizados e acabam não percebendo o foco de vulnerabilidades existente nestes contratos, principalmente, quando no meio desta dependência está um processo de negócio de alta criticidade, como um link de um sistema de comunicação. A existência de procedimentos operacionais que permitam a conclusão da restauração e recuperação que estejam pendentes bem como a documentação dos processos e procedimentos acordados também são itens componentes do conjunto de diretrizes para implementação de planos de continuidade. O detalhamento técnico, de forma minuciosa, de todos os procedimentos operacionais de restauração simplifica e minimiza a pressão sobre o responsável pelo restabelecimento do serviço afetado. Dificilmente alguém consegue tempo para raciocinar em cima de possíveis soluções de um dado problema quando está sob pressão e estresse, provocados pela necessidade de restauração, no menor tempo possível, de um processo. Se não houver comprometimento e interesse do gestor e de toda a equipe em possuir a documentação necessária e atualizada para os casos de emergência e de crise, é evidente que a solução para a saída da processo de crise ocorra com um tempo infinitamente superior ao necessário, o que pode vir a trazer sérios prejuízos e comprometer o negócio da organização. A educação adequada de pessoas nos procedimentos e processos definidos, incluindo o gerenciamento de crise, é outro aspecto de grande relevância e uma diretriz para o alcance do sucesso na implementação de um PCN. O gestor precisa envidar esforços em treinamentos, exercícios e simulações, montando um cronograma anual de atividades, dividido por processos críticos, com o propósito de ter a garantia de que toda a documentação produzida, relacionada à continuidade do negócio, contingência e gerenciamento de crises, seja absorvida por todas as pessoas que são elementos fundamentais na execução destas tarefas e procedimentos dentro de cada um dos processos críticos que envolvem o negócio. Uma empresa inteira duplicada, não vai funcionar como a original, se as pessoas que executam suas atividades não estiverem comprometidas ou treinadas para atuar em cenários de Contingência e Continuidade. (MARINHO, 2008) A maioria das publicações e manuais de melhores práticas em segurança da informação e comunicações apontam para a importância do envolvimento dos funcionários e usuários no processo de segurança da organização, contudo, nem mesmo a ISO 17799:2005, considerada a melhor referência no assunto, esclarece como fazer isso. A necessidade é clara, mas falta o detalhamento, o modus operandi de como conduzir o processo de conscientização e

60 4.1 Norma ISO 17799:2005 no que tange à Comunicações Seguras 44 educação adequado de pessoas. Em contrapartida, quando não se tem um direcionamento previsto em uma norma técnica ou um manual especificando os detalhes sobre como as ações devem ser delineadas, abre-se a oportunidade para que os gestores criem e adaptem estratégias que melhor se acomodem à realidade de suas organizações. É inconcebível dar início a um programa de conscientização dentro da organização sem o desenvolvimento de uma Política de Segurança da Informação, mesmo que esta política seja incipiente e superficial. Deve haver um documento que esclareça quais os pontos a serem abordados, quais os mais importantes e os que trazem maiores prejuízos. Também é mandatório o apoio total da alta administração para que o programa de conscientização e educação não fracasse. Este apoio deve estar sempre presente neste e em todos os outros assuntos relacionados à segurança da informação e comunicações. É importante enfatizar que o plano de continuidade de serviços não é um problema específico do departamento de informática. É um problema de toda a organização, já que a sobrevivência da instituição é um assunto sob a responsabilidade da alta gerência. (DIAS, 2003) Deve-se ainda fazer uma verificação do nível de conhecimento sobre o assunto existente na organização, para direcionar o conteúdo que será abordado no programa educacional. Outro ponto relevante, caso haja orçamento disponível, é a avaliação da possibilidade de contratar os serviços de uma empresa especializada. Tais empresas, normalmente, possuem palestrantes com vasta experiência e que podem favorecer o sucesso da campanha de conscientização. Se não houver condições para contratação de palestrantes externos, deve-se considerar, ao menos, o treinamento da equipe envolvida neste processo. Como última diretriz estabelecida pela ISO 17799:2005 para a implementação de Planos de Continuidade do Negócio está o teste e a atualização dos planos. É uma diretriz de grande importância dentro do processo de continuidade do negócio, pois é uma situação transitória cujo propósito é indicar e, posteriormente, garantir que tudo que foi planejado está funcionando dentro do previsto, desde a identificação do nível de criticidade do processo, realizada na análise de riscos até a mitigação dos impactos acarretados pela possível interrupção de suas atividades frente a ocorrência de um evento indesejável e inopnado. Este assunto será aprofundado em mais detalhes à frente, considerando que trata-se do escopo principal deste trabalho de pesquisa. Com o propósito de facilitar a visualização mais pontual do que foi descrito no texto acima, na tabela abaixo serão relacionados, de forma sintetizada, os itens das diretrizes associadas ao controle (Desenvolvimento e implementação de planos de continuidade

61 4.1 Norma ISO 17799:2005 no que tange à Comunicações Seguras 45 relativos à segurança da informação) da Norma ISO 17799:2005, que foram explorados neste trabalho de pesquisa: Id. Itens Associados às Diretrizes 1 Identificação e concordância de todas as responsabilidades e procedimentos da continuidade do negócio 2 Identificação da perda aceitável de informações e serviços 3 Implementação dos procedimentos que permitam a recuperação e restauração das operações do negócio e da disponibilidade da informação nos prazos necessários e, atenção especial à avaliação de dependências externas ao negócio e de contratos existentes 4 Procedimentos operacionais que permitam a conclusão de restauração e recuperação que estejam pendentes 5 Documentação dos processos e procedimentos acordados 6 Educação adequada de pessoas nos procedimentos e processos definidos, incluindo o gerenciamento de crises 7 Teste e atualização dos planos Tabela 4.1: Itens das Diretrizes relativas ao processo de planejamento para implementação de PCNs A Estrutura do Plano de Continuidade do Negócio A estrutura básica de cada Plano de Continuidade poderá variar de acordo com a organização e não há um modelo que regule o melhor formato para um PCN. A ISO 17799:2005 recomenda que cada plano especifique o plano de escalonamento e as condições para a sua ativação, assim como as responsabilidades individuais para execução de cada uma das atividades do plano. É essencial que o responsável pela estruturação do PCN 1 conheça os detalhes do processo crítico que se deseja aplicar a continuidade do negócio, assim como todos os procedimentos que fazem parte do seu universo, os ativos envolvidos (pessoal e material) e a capacidade de redundância já implementada em cima deste processo. Tais informações serão utilizadas como insumos para a especificação do plano de escalonamento, definindo critérios de severidade que venham a orientar uma ordenação de prioridade para a manutenção de cada um dos procedimentos que compõe o processo crítico. O plano deverá prever as condições que devem estar presentes (ocorrência de interrupções ou falhas) para ativação das atividades de continuidade do negócio nele especificadas, ou seja, deve possuir informações que, quando confrontadas com qualquer intercorrência, permitam a tomada de decisão de seu acionamento ou não. Quanto a definição das responsabilidades individuais sobre a execução de cada uma das atividades previstas no plano, o gestor deve estabelecer equipes de recuperação e identificar o coordenador e os componentes que farão parte de cada uma destas equipes. As equipes 1 A ISO 17799:2005 recomenda que cada plano possua um gestor específico.

62 4.1 Norma ISO 17799:2005 no que tange à Comunicações Seguras 46 podem ser divididas por cada processo crítico ou por conjuntos de procedimentos que compõe um processo crítico. Isto dependerá do montante de recurso humano disponível. A responsabilidade pelo restabelecimento operacional deve ser delegada ao coordenador de cada equipe, por item previsto no Plano. A Norma recomenda ainda que seja definidos, quando necessário, os suplentes. Levando-se em conta que sempre haverá um período de ausência de cada um dos responsáveis individuais (férias, licenças ou afastamentos), tornase obrigatória a definição de suplentes para qualquer dos responsáveis por recuperação ou restauração de processos críticos. A Norma recomenda que a estrutura do PCN contemple os procedimentos operacionais temporários para seguir durante a conclusão de recuperação e restauração. Normalmente, quando ocorre um sinistro que danifique um determinado componente de um sistema, é necessário que se coloque em produção, o componente de backup, ou seja, é necessário o acionamento da contingência para aquele componente avariado, até que o mesmo seja reparado. Há situações em que este reparo é viável e rápido de ser executado, em outras circunstâncias, o conserto pode ser mais demorado ou até mesmo inexeqüível. Para a correta tomada de decisão sobre o acionamento ou não da contingência, torna-se necessário que seja definido no Plano, de acordo com o Ponto Objetivo de Recuperação (Recovery Point Objective) 2 de cada componente, o acionamento de sua contingência. As ações necessárias para a transferência das atividades essenciais do negócio ou dos serviços de infra-estrutura para localidades alternativas também fazem parte do plano para o acionamento da contingência. As ações a serem adotadas quando do restabelecimento das operações também devem constar no PCN pois, muitas vezes, o serviço afetado precisou ser configurado e direcionado para funcionar com o(s) componente(s) de contingência e, quando os equipamentos principais voltam a operar, o serviço precisa ser reconfigurado para o seu estado normal de operação. Um outro aspecto, novamente abordado pela ISO 17799:2005, agora como diretriz para a implementação da estrutura do PCN é o treinamento, conscientização e educação, com o propósito de criar o entendimento do processo de continuidade de negócios e de assegurar que os processos continuem a ser efetivos. Nota-se a grande preocupação com o recurso humano. A dependência dos processos do fator humano é a justificativa para que se coloque o treinamento, a educação e a conscientização no centro das atenções e 2 O Recovery Point Objective é o ponto no tempo no qual cada unidade ou processo de negócio deve recuperar-se de uma falha, pane ou desastre, de forma a permitir o reinício da operação dos processos/atividades críticas.

63 4.1 Norma ISO 17799:2005 no que tange à Comunicações Seguras 47 como fator crítico de sucesso das ações previstas no PCN. Não se pode exigir a excelência de execução se o pessoal envolvido não sabe para que está realizando uma determinada tarefa ou não tem a consciência da importância daquele procedimento para o processo como um todo, ou ainda, se não tem capacitação técnica adequada para executar aquela atividade. Torna-se, portanto, uma condição inevitável o investimento em formação e qualificação técnico-profissional para que se tenha sucesso no desempenho das funções voltadas à continuidade do negócio na organização. Por fim, a Norma recomenda que a estrutura de planejamento para continuidade de negócios contemple uma programação de manutenção que especifique quando e como o plano deverá ser testado e a forma de se proceder a manutenção deste plano. O item que se segue neste trabalho de pesquisa tratará com detalhes este assunto. Com o propósito de facilitar a visualização mais pontual do que foi descrito no texto acima, na tabela abaixo serão relacionados, de forma sintetizada, os itens das diretrizes associadas ao controle (Estrutura do Plano de Continuidade do Negócio) da Norma ISO 17799:2005, que foram explorados neste trabalho de pesquisa: Id. Itens Associados às Diretrizes 1 Condições para ativação dos planos, os quais descrevem os processos a serem seguidos antes de cada plano ser ativado 2 Procedimentos de emergência que descrevam as ações a serem tomadas após a ocorrência de um incidente que coloque em risco as operações do negócio 3 Procedimentos de recuperação que descrevam as ações necessárias para a transferência das atividades essenciais do negócio os serviços de infra-estrutura para localidades alternativas temporárias 4 Procedimentos operacionais temporários para seguir durante a conclusão de recuperação e restauração 5 Procedimentos de recuperação que descrevem as ações a serem adotadas quando do restabelecimento das operações 6 atividades de treinamento, conscientização e educação com o proósito de criar o entendimento do processo de continuidade de negócios e assegurar que os processos continuem a ser efetivos 7 designação das responsabilidades individuais, descrevendo quem é o responsável pela execução de que item do plano. Convém que suplentes sejam definidos quando necessário 8 ativos e recursos críticos precisam estar aptos a desempenhar os procedimentos de emergência, recuperação e reativação Tabela 4.2: Itens das Diretrizes relativas a estrutura do plano de continuidade do negócio

64 4.1 Norma ISO 17799:2005 no que tange à Comunicações Seguras Testes, manutenção e reavaliação dos Planos de Continuidade do Negócio Esta seção do trabalho pretende extrair da norma ISO 17799:2005 todos os aspectos voltados para as atividades de testes e atualização dos PCN, de modo que o produto gerado seja o conjunto de particularidades que devam ser observadas quando se planeja, desenvolve e implementa um plano de testes para um determinado processo crítico dentro da organização. A Norma é objetiva e clara quando descreve o controle relacionado à testes do PCN: Convém que os planos de continuidade do negócio sejam testados e atualizados regularmente, de forma a assegurar sua permanente atualização e efetividade. A ISO 17799:2005 recomenda, como diretriz para implementação de testes e atualização de PCN, que os testes devem assegurar que todos os membros da equipe de recuperação e outras pessoas relevantes estejam conscientes dos planos e de suas responsabilidades para a continuidade do negócio e a segurança da informação, e conheçam as suas atividades quando um plano for acionado. É evidente que as atividades de testes têm como propósito a verificação e confirmação da eficiência e eficácia de tudo que foi planejado, estruturado e implementado, nas fases anteriores de construção do PCN. Isto vale para pessoal, infra-estrutura, equipamentos em geral, serviços internos e terceirizados, enfim, para todo o arcabouço de elementos que constituem o cenário de operação de um processo crítico em um ambiente organizacional. No quesito pessoal, os seguintes requisitos elementares são postos à prova durante a realização dos testes, exercícios ou simulações previstas no Plano de Testes de um PCN: - o nível de conhecimento dos procedimentos de emergência e de recuperação; - o estado de prontidão; - o grau de responsabilidade; - o compromisso com a continuidade do negócio; e - a capacidade de reação. É necessário, portanto, que durante o desenvolvimento e desenho do Plano de Continuidade do Negócio, seja buscado pelo gestor, incondicionalmente, o envolvimento apropriado e adequado do pessoal indispensável à sua execução, que assumirão as funções de coordenadores e membros das equipes de emergência e de recuperação. Este envolvimento tem como propósito a identificação das tarefas a serem empreendidas, a avaliação da composição e da quantidade de equipes que são necessárias para a execução destas tarefas e

65 4.1 Norma ISO 17799:2005 no que tange à Comunicações Seguras 49 a obtenção da garantia e da integridade de execução dos procedimentos de recuperação e de emergência, de acordo com o que foi previsto no Plano, durante o combate às situações de desastres e crises. Ainda como diretriz para a implementação de testes, manutenção e reavaliação dos PCN, a ISO 17799:2005 recomenda que o planejamento e a programação dos testes do(s) plano(s) de continuidade de negócios indiquem como e quando cada elemento do plano seja testado, e complementa mencionando que os componentes isolados do(s) plano(s) sejam frequentemente testados. Para atender ao requisito de planejamento e programação dos testes, o gestor deverá possuir profundo conhecimento sobre o processo crítico para o qual está sendo desenvolvido o Plano de Testes e mais, precisa possuir condições de determinar os componentes e elementos fundamentais para aquele processo crítico, desenvolvendo um planejamento de testes, de acordo com o modelo hierárquico binário de dependências entre os sub-processos que compõem o processo maior. Figura 4.1: Esquema de dependência entre sub-processos de um processo crítico. De acordo com o esquema acima representado, pode-se observar a presença de quatro níveis de sub-processos, identificando-se facilmente, a dependência entre eles, da seguinte

Universidade Federal do Acre. Centro de Ciências Exatas e Tecnológicas

Universidade Federal do Acre. Centro de Ciências Exatas e Tecnológicas Universidade Federal do Acre Centro de Ciências Exatas e Tecnológicas Universidade Federal do Acre Centro de Ciências Exatas e Tecnológicas Pós-graduação Lato Sensu em Desenvolvimento de Software e Infraestrutura

Leia mais

Art. 1º Aprovar as Instruções Gerais de Segurança da Informação para o Exército Brasileiro (IG 20-19).

Art. 1º Aprovar as Instruções Gerais de Segurança da Informação para o Exército Brasileiro (IG 20-19). PORTARIA Nº 483, DE 20 DE SETEMBRO DE 2001. Aprova as Instruções Gerais de Segurança da Informação para o Exército Brasileiro (IG 20-19). O COMANDANTE DO EXÉRCITO, no uso da competência que lhe é conferida

Leia mais

Redes de Computadores

Redes de Computadores Introdução Redes de Computadores Marco Antonio Montebello Júnior marco.antonio@aes.edu.br Rede É um conjunto de computadores chamados de estações de trabalho que compartilham recursos de hardware (HD,

Leia mais

TELECOMUNICAÇÕES E REDES

TELECOMUNICAÇÕES E REDES Capítulo 8 TELECOMUNICAÇÕES E REDES 8.1 2003 by Prentice Hall OBJETIVOS Quais são as tecnologias utilizadas nos sistemas de telecomunicações? Que meios de transmissão de telecomunicações sua organização

Leia mais

5.2 MAN s (Metropolitan Area Network) Redes Metropolitanas

5.2 MAN s (Metropolitan Area Network) Redes Metropolitanas MÓDULO 5 Tipos de Redes 5.1 LAN s (Local Area Network) Redes Locais As LAN s são pequenas redes, a maioria de uso privado, que interligam nós dentro de pequenas distâncias, variando entre 1 a 30 km. São

Leia mais

ESTUDO DE VIABILIDADE, PROJETO E IMPLANTAÇÃO DE UMA REDE VPN (VIRTUAL PRIVATE NETWORK)

ESTUDO DE VIABILIDADE, PROJETO E IMPLANTAÇÃO DE UMA REDE VPN (VIRTUAL PRIVATE NETWORK) ESTUDO DE VIABILIDADE, PROJETO E IMPLANTAÇÃO DE UMA REDE VPN (VIRTUAL PRIVATE NETWORK) 1. VPN Segundo TANENBAUM (2003), VPNs (Virtual Private Networks) são redes sobrepostas às redes públicas, mas com

Leia mais

ATIVIDADE 1. Definição de redes de computadores

ATIVIDADE 1. Definição de redes de computadores ATIVIDADE 1 Definição de redes de computadores As redes de computadores são criadas para permitir a troca de dados entre diversos dispositivos estações de trabalho, impressoras, redes externas etc. dentro

Leia mais

FTIN Formação Técnica em Informática Módulo de Administração de Servidores de Rede AULA 02. Prof. Gabriel Silva

FTIN Formação Técnica em Informática Módulo de Administração de Servidores de Rede AULA 02. Prof. Gabriel Silva FTIN Formação Técnica em Informática Módulo de Administração de Servidores de Rede AULA 02 Prof. Gabriel Silva Temas da Aula de Hoje: Revisão da Aula 1. Redes LAN e WAN. Aprofundamento nos Serviços de

Leia mais

Professor(es): Fernando Pirkel. Descrição da(s) atividade(s):

Professor(es): Fernando Pirkel. Descrição da(s) atividade(s): Professor(es): Fernando Pirkel Descrição da(s) atividade(s): Definir as tecnologias de redes necessárias e adequadas para conexão e compartilhamento dos dados que fazem parte da automatização dos procedimentos

Leia mais

Comunicação Comunicação é o ato de transmissão de informações de uma pessoa à outra. Emissor: Receptor: Meio de transmissão Sinal:

Comunicação Comunicação é o ato de transmissão de informações de uma pessoa à outra. Emissor: Receptor: Meio de transmissão Sinal: Redes - Comunicação Comunicação é o ato de transmissão de informações de uma pessoa à outra. Comunicação sempre foi, desde o início dos tempos, uma necessidade humana buscando aproximar comunidades distantes.

Leia mais

Administração de Sistemas de Informação I

Administração de Sistemas de Informação I Administração de Sistemas de Informação I Prof. Farinha Aula 03 Telecomunicações Sistemas de Telecomunicações 1 Sistemas de Telecomunicações Consiste de Hardware e Software transmitindo informação (texto,

Leia mais

TELECOMUNICAÇÕES E REDES

TELECOMUNICAÇÕES E REDES TELECOMUNICAÇÕES E REDES 1 OBJETIVOS 1. Quais são as tecnologias utilizadas nos sistemas de telecomunicações? 2. Que meios de transmissão de telecomunicações sua organização deve utilizar? 3. Como sua

Leia mais

A utilização das redes na disseminação das informações

A utilização das redes na disseminação das informações A utilização das redes na disseminação das informações Elementos de Rede de computadores: Denomina-se elementos de rede, um conjunto de hardware capaz de viabilizar e proporcionar a transferência da informação

Leia mais

Políticas de Segurança da Informação. Aécio Costa

Políticas de Segurança da Informação. Aécio Costa Aécio Costa A segurança da informação é obtida a partir da implementação de um conjunto de controles adequados, incluindo políticas, processos, procedimentos, estruturas organizacionais e funções de software

Leia mais

MINISTÉRIO DA DEFESA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO PARA O SISTEMA MILITAR DE COMANDO E CONTROLE

MINISTÉRIO DA DEFESA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO PARA O SISTEMA MILITAR DE COMANDO E CONTROLE MINISTÉRIO DA DEFESA MD31-P-03 POLÍTICA DE SEGURANÇA DA INFORMAÇÃO PARA O SISTEMA MILITAR DE COMANDO E CONTROLE 2014 MINISTÉRIO DA DEFESA ESTADO-MAIOR CONJUNTO DAS FORÇAS ARMADAS POLÍTICA DE SEGURANÇA

Leia mais

PROJETO BÁSICO. Serviço de Comunicação Multimídia

PROJETO BÁSICO. Serviço de Comunicação Multimídia PROJETO BÁSICO Serviço de Comunicação Multimídia xxxxxxxxxx, xx de xxxxx de 2009 PROJETO BÁSICO (De acordo com a Res. n 272 da Anatel - SCM, de 9 de agosto de 2001, Anexo II) O B J E T O SOLICITAÇÃO DE

Leia mais

Figura 1 Taxas de transmissão entre as redes

Figura 1 Taxas de transmissão entre as redes Conceitos de Redes Locais A função básica de uma rede local (LAN) é permitir a distribuição da informação e a automatização das funções de negócio de uma organização. As principais aplicações que requerem

Leia mais

PROJETO BÁSICO (De acordo com a Res. nº 272 da Anatel SCM, de 9 de agosto de 2001, Anexo II) OBJETO

PROJETO BÁSICO (De acordo com a Res. nº 272 da Anatel SCM, de 9 de agosto de 2001, Anexo II) OBJETO PROJETO BÁSICO (De acordo com a Res. nº 272 da Anatel SCM, de 9 de agosto de 2001, Anexo II) OBJETO OUTORGA DE SERVIÇO DE COMUNICAÇÃO MULTIMÍDIA SCM sendo um serviço fixo de telecomunicações de interesse

Leia mais

SISTEMA DE GESTÃO DE PESSOAS SEBRAE/TO UNIDADE: GESTÃO ESTRATÉGICA PROCESSO: TECNOLOGIA DA INFORMAÇÃO

SISTEMA DE GESTÃO DE PESSOAS SEBRAE/TO UNIDADE: GESTÃO ESTRATÉGICA PROCESSO: TECNOLOGIA DA INFORMAÇÃO SISTEMA DE GESTÃO DE PESSOAS SEBRAE/TO UNIDADE: GESTÃO ESTRATÉGICA PROCESSO: TECNOLOGIA DA INFORMAÇÃO Competências Analista 1. Administração de recursos de infra-estrutura de tecnologia da informação 2.

Leia mais

Interconexão de redes locais. Repetidores. Pontes (Bridges) Hubs. Pontes (Bridges) Pontes (Bridges) Existência de diferentes padrões de rede

Interconexão de redes locais. Repetidores. Pontes (Bridges) Hubs. Pontes (Bridges) Pontes (Bridges) Existência de diferentes padrões de rede Interconexão de redes locais Existência de diferentes padrões de rede necessidade de conectá-los Interconexão pode ocorrer em diferentes âmbitos LAN-LAN LAN: gerente de um determinado setor de uma empresa

Leia mais

ITIL - Por que surgiu? Dependências de TI; A qualidade, quantidade e disponibilidade de infra-estrutura de TI afetam diretamente;

ITIL - Por que surgiu? Dependências de TI; A qualidade, quantidade e disponibilidade de infra-estrutura de TI afetam diretamente; ITIL ITIL - Por que surgiu? Dependências de TI; A qualidade, quantidade e disponibilidade de infra-estrutura de TI afetam diretamente; ITIL Mas o que gerenciar? Gerenciamento de Serviço de TI. Infra-estrutura

Leia mais

FACSENAC. Versão:1.5. Identificador do documento: Projeto Lógico de Redes. Versão do Template Utilizada na Confecção: 1.0. Histórico de revisões

FACSENAC. Versão:1.5. Identificador do documento: Projeto Lógico de Redes. Versão do Template Utilizada na Confecção: 1.0. Histórico de revisões FACSENAC ECOFROTA Documento de Projeto Lógico de Rede Versão:1.5 Data: 21/11/2013 Identificador do documento: Projeto Lógico de Redes Versão do Template Utilizada na Confecção: 1.0 Localização: FacSenac

Leia mais

Rede Corporativa. Tutorial 10 mar 2009 Fabio Montoro. Introdução

Rede Corporativa. Tutorial 10 mar 2009 Fabio Montoro. Introdução Tutorial 10 mar 2009 Fabio Montoro Rede Corporativa Introdução Rede corporativa é um sistema de transmissão de dados que transfere informações entre diversos equipamentos de uma mesma corporação, tais

Leia mais

Este tutorial apresenta conceitos e recomendações para o planejamento de uma rede multi-serviço.

Este tutorial apresenta conceitos e recomendações para o planejamento de uma rede multi-serviço. O que se deve considerar no planejamento de uma rede multi-serviço? Este tutorial apresenta conceitos e recomendações para o planejamento de uma rede multi-serviço. Jorge Moreira de Souza Doutor em Informática

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÃO

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÃO POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÃO DEZEMBRO/2011 Rua do Rouxinol, N 115 / Salvador Bahia CEP: 41.720-052 Telefone: (71) 3186-0001. Email: cgti@listas.ifbaiano.edu.br Site: http://www.ifbaiano.edu.br

Leia mais

switches LAN (rede de comunicação local)

switches LAN (rede de comunicação local) O funcionamento básico de uma rede depende de: nós (computadores) um meio de conexão (com ou sem fios) equipamento de rede especializado, como roteadores ou hubs. Todas estas peças trabalham conjuntamente

Leia mais

INTERNET Edital de Licitação. Anexo I Termo de Referência PREGÃO CONJUNTO Nº. 39/2007 PROCESSO N 14761/2007

INTERNET Edital de Licitação. Anexo I Termo de Referência PREGÃO CONJUNTO Nº. 39/2007 PROCESSO N 14761/2007 INTERNET Edital de Licitação Anexo I Termo de Referência PREGÃO CONJUNTO Nº. 39/2007 PROCESSO N 14761/2007 Anexo I - página 1 Índice 1. OBJETIVO... 3 2. VISÃO GERAL DO ESCOPO DO SERVIÇO... 3 3. ENDEREÇOS

Leia mais

PODER JUDICIÁRIO. PORTARIA Nº CJF-POR-2015/00104 de 6 de março de 2015

PODER JUDICIÁRIO. PORTARIA Nº CJF-POR-2015/00104 de 6 de março de 2015 PODER JUDICIÁRIO JUSTIÇA FEDERAL CONSELHO DA JUSTIÇA FEDERAL PORTARIA Nº CJF-POR-2015/00104 de 6 de março de 2015 Dispõe sobre a aprovação do documento acessório comum "Política de Segurança para Desenvolvimento,

Leia mais

Modelo OSI. Prof. Alexandre Beletti Ferreira. Introdução

Modelo OSI. Prof. Alexandre Beletti Ferreira. Introdução Modelo OSI Prof. Alexandre Beletti Ferreira Introdução Crescimento das redes de computadores Muitas redes distintas International Organization for Standardization (ISO) Em 1984 surge o modelo OSI Padrões

Leia mais

Tecnologia da Informação Apostila 02

Tecnologia da Informação Apostila 02 Parte 6 - Telecomunicações e Redes 1. Visão Geral dos Sistemas de Comunicações Comunicação => é a transmissão de um sinal, por um caminho, de um remetente para um destinatário. A mensagem (dados e informação)

Leia mais

Redes de Computadores. Prof. Dr. Rogério Galante Negri

Redes de Computadores. Prof. Dr. Rogério Galante Negri Redes de Computadores Prof. Dr. Rogério Galante Negri Rede É uma combinação de hardware e software Envia dados de um local para outro Hardware: transporta sinais Software: instruções que regem os serviços

Leia mais

Segurança na Rede Local Redes de Computadores

Segurança na Rede Local Redes de Computadores Ciência da Computação Segurança na Rede Local Redes de Computadores Disciplina de Desenvolvimento de Sotware para Web Professor: Danilo Vido Leonardo Siqueira 20130474 São Paulo 2011 Sumário 1.Introdução...3

Leia mais

Roteamento e Comutação

Roteamento e Comutação Roteamento e Comutação Uma estação é considerada parte de uma LAN se pertencer fisicamente a ela. O critério de participação é geográfico. Quando precisamos de uma conexão virtual entre duas estações que

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO APRESENTAÇÃO POLÍTICA DE SEGURANÇA DA INFORMAÇÃO Este documento foi elaborado pelo setor de Tecnologia da Informação e Comunicação (CSGI), criada com as seguintes atribuições: Assessorar a Direção da SESAU

Leia mais

Tutorial NEGER Telecom COMO IMPLANTAR REDES WIFI EM VEÍCULOS

Tutorial NEGER Telecom COMO IMPLANTAR REDES WIFI EM VEÍCULOS Tutorial NEGER Telecom COMO IMPLANTAR REDES WIFI EM VEÍCULOS Julho/2010 Objetivo Este tutorial tem como objetivo fornecer informações técnicas e recomendações na utilização de roteadores 3G para implantação

Leia mais

Prof. Manuel A Rendón M

Prof. Manuel A Rendón M Prof. Manuel A Rendón M Tanenbaum Redes de Computadores Cap. 1 e 2 5ª. Edição Pearson Padronização de sistemas abertos à comunicação Modelo de Referência para Interconexão de Sistemas Abertos RM OSI Uma

Leia mais

Gerência de Redes de Computadores Gerência de Redes de Computadores As redes estão ficando cada vez mais importantes para as empresas Não são mais infra-estrutura dispensável: são de missão crítica, ou

Leia mais

Segurança da Informação

Segurança da Informação INF-108 Segurança da Informação Gestão de Segurança da Informação Prof. João Henrique Kleinschmidt (slides cedidos pelo Prof. Carlos Kamienski - UFABC) Gerenciamento e Avaliação de Riscos Terminologia

Leia mais

UNIVERSIDADE FEDERAL DE PELOTAS LABORATÓRIO DE ANÁLISE AMBIENTAL E GEOESPACIAL

UNIVERSIDADE FEDERAL DE PELOTAS LABORATÓRIO DE ANÁLISE AMBIENTAL E GEOESPACIAL UNIVERSIDADE FEDERAL DE PELOTAS LABORATÓRIO DE ANÁLISE AMBIENTAL E GEOESPACIAL PLANO DE CONTINGÊNCIA DE PROTEÇÃO E DEFESA CIVIL Dezembro/2014 Sumário 1. INTRODUÇÃO... 3 2. OBJETIVO... 4 3. ESTRUTURA...

Leia mais

Universidade de Brasília

Universidade de Brasília Universidade de Brasília Instituto de Ciências Exatas Departamento de Ciência da Computação Lista de exercícios Gerência de Redes,Turma A, 01/2010 Marcelo Vale Asari 06/90708 Thiago Melo Stuckert do Amaral

Leia mais

Março/2005 Prof. João Bosco M. Sobral

Março/2005 Prof. João Bosco M. Sobral Plano de Ensino Introdução à Segurança da Informação Princípios de Criptografia Segurança de Redes Segurança de Sistemas Símbolos: S 1, S 2,..., S n Um símbolo é um sinal (algo que tem um caráter indicador)

Leia mais

MINUTA DE ANTEPROJETO DE LEI PARA DEBATE COLABORATIVO. O CONGRESSO NACIONAL decreta: CAPÍTULO I DISPOSIÇÕES PRELIMINARES

MINUTA DE ANTEPROJETO DE LEI PARA DEBATE COLABORATIVO. O CONGRESSO NACIONAL decreta: CAPÍTULO I DISPOSIÇÕES PRELIMINARES MINUTA DE ANTEPROJETO DE LEI PARA DEBATE COLABORATIVO Estabelece o Marco Civil da Internet no Brasil. O CONGRESSO NACIONAL decreta: CAPÍTULO I DISPOSIÇÕES PRELIMINARES Art. 1º. Esta Lei estabelece direitos

Leia mais

Telecomunicações. Prof. André Y. Kusumoto andre_unip@kusumoto.com.br

Telecomunicações. Prof. André Y. Kusumoto andre_unip@kusumoto.com.br Telecomunicações Prof. André Y. Kusumoto andre_unip@kusumoto.com.br Rede de Telefonia Fixa Telefonia pode ser considerada a área do conhecimento que trata da transmissão de voz através de uma rede de telecomunicações.

Leia mais

Curso de Sistemas de Informação 8º período Disciplina: Tópicos Especiais Professor: José Maurício S. Pinheiro V. 2009-1

Curso de Sistemas de Informação 8º período Disciplina: Tópicos Especiais Professor: José Maurício S. Pinheiro V. 2009-1 Curso de Sistemas de Informação 8º período Disciplina: Tópicos Especiais Professor: José Maurício S. Pinheiro V. 2009-1 Aula 1 Ambiente de Data Center Os serviços de comunicação em banda larga estão mais

Leia mais

PORTARIA Nº 076 DE 21 DE JANEIRO DE 2014.

PORTARIA Nº 076 DE 21 DE JANEIRO DE 2014. PORTARIA Nº 076 DE 21 DE JANEIRO DE 2014. Dispõe sobre aprovação da Política de Segurança da Informação do IFMG. O REITOR DO INSTITUTO FEDERAL DE EDUCAÇÃO, CIÊNCIA E TECNOLOGIA DE MINAS GERAIS, no uso

Leia mais

Anexo III: Solução de Rede Local - LAN (Local Area Network)

Anexo III: Solução de Rede Local - LAN (Local Area Network) Anexo III: Solução de Rede Local - LAN (Local Area Network) 1. Objeto: 1.1. Contratação de uma Solução de rede de comunicação local (LAN) para interligar diferentes localidades físicas e os segmentos de

Leia mais

TEORIA GERAL DE SISTEMAS

TEORIA GERAL DE SISTEMAS TEORIA GERAL DE SISTEMAS Vulnerabilidade dos sistemas e uso indevido Vulnerabilidade do software Softwares comerciais contém falhas que criam vulnerabilidades na segurança Bugs escondidos (defeitos no

Leia mais

Administração de Sistemas de Informação Gerenciais

Administração de Sistemas de Informação Gerenciais Administração de Sistemas de Informação Gerenciais UNIDADE V: Telecomunicações, Internet e Tecnologia Sem Fio. Tendências em Redes e Comunicações No passado, haviam dois tipos de redes: telefônicas e redes

Leia mais

Fundamentos em Informática

Fundamentos em Informática Fundamentos em Informática Aula 06 Redes de Computadores francielsamorim@yahoo.com.br 1- Introdução As redes de computadores atualmente constituem uma infraestrutura de comunicação indispensável. Estão

Leia mais

Redes WAN Conceitos Iniciais. Prof. Walter Cunha

Redes WAN Conceitos Iniciais. Prof. Walter Cunha Redes WAN Conceitos Iniciais Prof. Walter Cunha Comutação por Circuito Todos os recursos necessários em todos os subsistemas de telecomunicação que conectam origem e destino, são reservados durante todo

Leia mais

Exercícios de Redes de Computadores Assuntos abordados: Conceitos gerais Topologias Modelo de referência OSI Modelo TCP/IP Cabeamento 1.

Exercícios de Redes de Computadores Assuntos abordados: Conceitos gerais Topologias Modelo de referência OSI Modelo TCP/IP Cabeamento 1. Exercícios de Redes de Computadores Assuntos abordados: Conceitos gerais Topologias Modelo de referência OSI Modelo TCP/IP Cabeamento 1. (CODATA 2013) Em relação à classificação da forma de utilização

Leia mais

BANCO POSTAL - Plataforma Tecnológica

BANCO POSTAL - Plataforma Tecnológica BANCO POSTAL - Plataforma Tecnológica 1. Arquitetura da Aplicação 1.1. O Banco Postal utiliza uma arquitetura cliente/servidor WEB em n camadas: 1.1.1. Camada de Apresentação estações de atendimento, nas

Leia mais

GESTÃO DE CONTINUIDADE DOS NEGÓCIOS EM SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÃO

GESTÃO DE CONTINUIDADE DOS NEGÓCIOS EM SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÃO Número da Norma Complementar Revisão Emissão Folha ICMBio Instituto Chico Mendes De Conservação da Biodiversidade Diretoria de Planejamento, Administração e Logística ORIGEM GESTÃO DE CONTINUIDADE DOS

Leia mais

cortesia de F5 NETWORKS guia 1 Novas Tecnologias Para Recuperação de Desastres/Continuidade dos Negócios visão geral f5 networks P

cortesia de F5 NETWORKS guia 1 Novas Tecnologias Para Recuperação de Desastres/Continuidade dos Negócios visão geral f5 networks P visão geral cortesia de F5 NETWORKS guia 1 Novas Tecnologias Para Recuperação de Desastres/Continuidade dos Negócios f5 networks P Continuidade dos Negócios, Recuperação de Desastres e Consolidação do

Leia mais

Figura 1 - Comparação entre as camadas do Modelo OSI e doieee. A figura seguinte mostra o formato do frame 802.3:

Figura 1 - Comparação entre as camadas do Modelo OSI e doieee. A figura seguinte mostra o formato do frame 802.3: Introdução Os padrões para rede local foram desenvolvidos pelo comitê IEEE 802 e foram adotados por todas as organizações que trabalham com especificações para redes locais. Os padrões para os níveis físico

Leia mais

Prof. MSc. Edilberto Silva edilms@yahoo.com/ http://edilms.eti.br Pós-Graduação

Prof. MSc. Edilberto Silva edilms@yahoo.com/ http://edilms.eti.br Pós-Graduação Políticas de Segurança e Planos de Continuidade de Negócios Prof. MSc. Edilberto Silva edilms@yahoo.com/ http://edilms.eti.br Pós-Graduação Introdução e apresentação da disciplina Ementa: Conceitos e definições.

Leia mais

Processamento de Dados

Processamento de Dados Processamento de Dados Redes de Computadores Uma rede de computadores consiste de 2 ou mais computadores e outros dispositivos conectados entre si de modo a poderem compartilhar seus serviços, que podem

Leia mais

Introdução Redes de Computadores. Filipe Raulino

Introdução Redes de Computadores. Filipe Raulino <filipe.raulino@ifrn.edu.br> Introdução Redes de Computadores Filipe Raulino Introducão A comunicação sempre foi uma necessidade básica da humanidade. Como se comunicar a distância? 2 Evolução da Comunicação

Leia mais

SERVIÇO PÚBLICO FEDERAL UNIVERSIDADE FEDERAL DA PARAÍBA CONSELHO UNIVERSITÁRIO

SERVIÇO PÚBLICO FEDERAL UNIVERSIDADE FEDERAL DA PARAÍBA CONSELHO UNIVERSITÁRIO SERVIÇO PÚBLICO FEDERAL UNIVERSIDADE FEDERAL DA PARAÍBA CONSELHO UNIVERSITÁRIO RESOLUÇÃO Nº 32/2014 Institui a política de segurança da informação da UFPB, normatiza procedimentos com esta finalidade e

Leia mais

UTILIZAÇÃO DE RECURSOS DE TECNOLOGIA DA INFORMAÇÃO E COMUNICAÇÃO - TIC

UTILIZAÇÃO DE RECURSOS DE TECNOLOGIA DA INFORMAÇÃO E COMUNICAÇÃO - TIC Código: NO01 Tribunal Regional do Trabalho da 18ª Região Comitê de Segurança da Informação Secretaria de Tecnologia da Informação Núcleo de Segurança da Informação Revisão: 00 Vigência:20/04/2012 Classificação:

Leia mais

EMENTAS DAS DISCIPLINAS

EMENTAS DAS DISCIPLINAS EMENTAS DAS DISCIPLINAS CTS DE REDES DE COMPUTADORES INTRODUÇÃO À COMPUTAÇÃO 68 A disciplina estuda a área da informática como um todo e os conceitos fundamentais, abrangendo desde a história e a evolução

Leia mais

André Aziz (andreaziz.ufrpe@gmail.com) Francielle Santos (francielle.ufrpe@gmail.com) Noções de Redes

André Aziz (andreaziz.ufrpe@gmail.com) Francielle Santos (francielle.ufrpe@gmail.com) Noções de Redes André Aziz (andreaziz.ufrpe@gmail.com) Francielle Santos (francielle.ufrpe@gmail.com) Noções de Redes Noções de Redes: Estrutura básica; Tipos de transmissão; Meios de transmissão; Topologia de redes;

Leia mais

SOLUÇÕES AMBIENTE SEGURO SEUS NEGÓCIOS DEPENDEM DISSO!

SOLUÇÕES AMBIENTE SEGURO SEUS NEGÓCIOS DEPENDEM DISSO! SOLUÇÕES AMBIENTE SEGURO SEUS NEGÓCIOS DEPENDEM DISSO! O ambiente de Tecnologia da Informação (TI) vem se tornando cada vez mais complexo, qualquer alteração ou configuração incorreta pode torná-lo vulnerável

Leia mais

TRANSMISSÃO DE DADOS Prof. Ricardo Rodrigues Barcelar http://www.ricardobarcelar.com

TRANSMISSÃO DE DADOS Prof. Ricardo Rodrigues Barcelar http://www.ricardobarcelar.com - Aula 7 1. A CAMADA DE APLICAÇÃO Parte 1 Depois de estudar todas as camadas preliminares, chegamos à camada onde são encontradas todas as aplicações. As camadas situadas abaixo da camada de aplicação

Leia mais

ALGUNS CONCEITOS. Rede de Computadores

ALGUNS CONCEITOS. Rede de Computadores ALGUNS CONCEITOS Rede de Computadores Prof. Airton Ribeiro de Sousa E-mail: airton.ribeiros@gmail.com 1 OBJETIVO 1. Compartilhar recursos computacionais disponíveis sem considerar a localização física

Leia mais

Comunicação Sem Fio REDES WIRELES. Comunicação Sem Fio. Comunicação Sem Fio. Comunicação Sem Fio. Comunicação Sem Fio 06/05/2014

Comunicação Sem Fio REDES WIRELES. Comunicação Sem Fio. Comunicação Sem Fio. Comunicação Sem Fio. Comunicação Sem Fio 06/05/2014 REDES WIRELES Prof. Marcel Santos Silva Comunicação Sem Fio Usada desde o início do século passado Telégrafo Avanço da tecnologia sem fio Rádio e televisão Mais recentemente aparece em Telefones celulares

Leia mais

Evolução na Comunicação de

Evolução na Comunicação de Evolução na Comunicação de Dados Invenção do telégrafo em 1838 Código Morse. 1º Telégrafo Código Morse Evolução na Comunicação de Dados A evolução da comunicação através de sinais elétricos deu origem

Leia mais

Capítulo XIII SECRETARIA DE TECNOLOGIA DA INFORMAÇÃO E COMUNICAÇÃO

Capítulo XIII SECRETARIA DE TECNOLOGIA DA INFORMAÇÃO E COMUNICAÇÃO Capítulo XIII SECRETARIA DE TECNOLOGIA DA INFORMAÇÃO E COMUNICAÇÃO FINALIDADE A Secretaria de Tecnologia da Informação e Comunicação, órgão de direção especializada, subordinada ao diretor-geral da Secretaria

Leia mais

Modelo de Camadas OSI

Modelo de Camadas OSI Modelo de Camadas OSI 1 Histórico Antes da década de 80 -> Surgimento das primeiras rede de dados e problemas de incompatibilidade de comunicação. Década de 80, ISO, juntamente com representantes de diversos

Leia mais

REDE DE COMPUTADORES

REDE DE COMPUTADORES SERVIÇO NACIONAL DE APRENDIZAGEM COMERCIAL REDE DE COMPUTADORES Tecnologias de Rede Arquitetura Prof. Airton Ribeiro de Sousa E-mail: airton.ribeiros@gmail.com 1 A arquitetura de redes tem como função

Leia mais

TI Aplicada. Aula 05 Redes de Computadores (parte 2) Prof. MSc. Edilberto Silva edilms@yahoo.com http://www.edilms.eti.br

TI Aplicada. Aula 05 Redes de Computadores (parte 2) Prof. MSc. Edilberto Silva edilms@yahoo.com http://www.edilms.eti.br TI Aplicada Aula 05 Redes de Computadores (parte 2) Prof. MSc. Edilberto Silva edilms@yahoo.com http://www.edilms.eti.br Conceitos Básicos Equipamentos, Modelos OSI e TCP/IP O que são redes? Conjunto de

Leia mais

ivirtua Solutions 4 ITIL

ivirtua Solutions 4 ITIL ivirtua Solutions 4 ITIL ivirtua Solutions ITIL WHITEPAPER ITIL INTRODUÇÃO O ITIL é o modelo de referência para endereçar estruturas de processos e procedimentos à gestão de TI, organizado em disciplinas

Leia mais

REDES DE COMPUTADORES Prof. Ricardo Rodrigues Barcelar http://www.ricardobarcelar.com.br

REDES DE COMPUTADORES Prof. Ricardo Rodrigues Barcelar http://www.ricardobarcelar.com.br - Aula 2 - MODELO DE REFERÊNCIA TCP (RM TCP) 1. INTRODUÇÃO O modelo de referência TCP, foi muito usado pela rede ARPANET, e atualmente usado pela sua sucessora, a Internet Mundial. A ARPANET é de grande

Leia mais

2.1. Nível A (Desempenho Verificado)

2.1. Nível A (Desempenho Verificado) Disciplina: Curso de Tecnologia em Redes de Computadores Auditoria e Análise de Segurança da Informação - 4º período Professor: José Maurício S. Pinheiro AULA 5: Avaliação de Padrões de Segurança de Computadores

Leia mais

PLANO DE CONTINGÊNCIA E POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÃO

PLANO DE CONTINGÊNCIA E POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÃO PLANO DE CONTINGÊNCIA E POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÃO Dispõe sobre a criação do Plano de Contingência e Política de Segurança da Informação e Comunicações do Instituto Federal Farroupilha

Leia mais

Redes WAN. Prof. Walter Cunha

Redes WAN. Prof. Walter Cunha Redes WAN Conceitos Iniciais Prof. Walter Cunha Comutação por Circuito Todos os recursos necessários em todos os subsistemas de telecomunicação que conectam origem e destino, são reservados durante todo

Leia mais

Segurança do governo eletrônico

Segurança do governo eletrônico 1. Introdução O governo está empenhado em fornecer programas e serviços de modo que atenda às necessidades de empresas e cidadãos que necessitam desses recursos. Para aumentar a demanda desses serviços,

Leia mais

PORTARIA TC Nº 437, 23 DE SETEMBRO DE 2015

PORTARIA TC Nº 437, 23 DE SETEMBRO DE 2015 PORTARIA TC Nº 437, 23 DE SETEMBRO DE 2015 Disciplina os procedimentos para gestão de incidentes de segurança da informação e institui a equipe de tratamento e resposta a incidentes em redes computacionais

Leia mais

Equipamentos de Redes de Computadores

Equipamentos de Redes de Computadores Equipamentos de Redes de Computadores Romildo Martins da Silva Bezerra IFBA Estruturas Computacionais Equipamentos de Redes de Computadores... 1 Introdução... 2 Repetidor... 2 Hub... 2 Bridges (pontes)...

Leia mais

Placa de Rede. Tipos de Redes LAN (Local Area Network) Rede local. MAN (Metropolitan Area Network) Rede Metropolitana

Placa de Rede. Tipos de Redes LAN (Local Area Network) Rede local. MAN (Metropolitan Area Network) Rede Metropolitana Rede de Computadores Parte 01 Prof. André Cardia Email: andre@andrecardia.pro.br MSN: andre.cardia@gmail.com Placa de Rede Uma placa de rede (NIC), ou adaptador de rede, oferece capacidades de comunicações

Leia mais

Prof. Samuel Henrique Bucke Brito

Prof. Samuel Henrique Bucke Brito - Metro-Ethernet (Carrier Ethernet) www.labcisco.com.br ::: shbbrito@labcisco.com.br Prof. Samuel Henrique Bucke Brito - Ethernet na LAN www.labcisco.com.br ::: shbbrito@labcisco.com.br Prof. Samuel Henrique

Leia mais

Interligação de Redes

Interligação de Redes REDES II HETEROGENEO E CONVERGENTE Interligação de Redes rffelix70@yahoo.com.br Conceito Redes de ComputadoresII Interligação de Redes Quando estações de origem e destino encontram-se em redes diferentes,

Leia mais

REDES DE COMPUTADORES Prof. Ricardo Rodrigues Barcelar http://www.ricardobarcelar.com

REDES DE COMPUTADORES Prof. Ricardo Rodrigues Barcelar http://www.ricardobarcelar.com - Aula Complementar - MODELO DE REFERÊNCIA OSI Este modelo se baseia em uma proposta desenvolvida pela ISO (International Standards Organization) como um primeiro passo em direção a padronização dos protocolos

Leia mais

Alternativas de aplicação do serviço GPRS da rede celular GSM em telemetria pela Internet

Alternativas de aplicação do serviço GPRS da rede celular GSM em telemetria pela Internet Alternativas de aplicação do serviço GPRS da rede celular GSM em telemetria pela Internet Marcos R. Dillenburg Gerente de P&D da Novus Produtos Eletrônicos Ltda. (dillen@novus.com.br) As aplicações de

Leia mais

SERVIÇO PÚBLICO FEDERAL MEC - INSTITUTO FEDERAL DE EDUCAÇÃO, CIÊNCIA E TECNOLOGIA DO TRIÂNGULO MINEIRO RESOLUÇÃO Nº 27/2013, DE 29 DE AGOSTO DE 2013

SERVIÇO PÚBLICO FEDERAL MEC - INSTITUTO FEDERAL DE EDUCAÇÃO, CIÊNCIA E TECNOLOGIA DO TRIÂNGULO MINEIRO RESOLUÇÃO Nº 27/2013, DE 29 DE AGOSTO DE 2013 SERVIÇO PÚBLICO FEDERAL MEC - INSTITUTO FEDERAL DE EDUCAÇÃO, CIÊNCIA E TECNOLOGIA DO TRIÂNGULO MINEIRO RESOLUÇÃO Nº 27/2013, DE 29 DE AGOSTO DE 2013 Dispõe sobre a Política de Segurança da Informação e

Leia mais

MANUAL DE CONFIGURAÇÃO

MANUAL DE CONFIGURAÇÃO MANUAL DE CONFIGURAÇÃO CONTMATIC PHOENIX SUMÁRIO CAPÍTULO I APRESENTAÇÃO DO ACESSO REMOTO... 3 1.1 O que é o ACESSO REMOTO... 3 1.2 Como utilizar o ACESSO REMOTO... 3 1.3 Quais as vantagens em usar o PHOENIX

Leia mais

PLANO DIRETOR DE SEGURANÇA

PLANO DIRETOR DE SEGURANÇA PLANO DIRETOR DE SEGURANÇA Dezembro de 2006 REGOV 1.0 6/12-2006 - 2 - Índice Apresentação...3 1. Introdução... 4 2. Análise de... 6 3. Domínios de... 7 MECANISMOS DE PROTEÇÃO DA REDE GOVERNAMENTAL... 8

Leia mais

PROJETO DE LEI CAPÍTULO I DISPOSIÇÕES PRELIMINARES

PROJETO DE LEI CAPÍTULO I DISPOSIÇÕES PRELIMINARES PROJETO DE LEI Estabelece princípios, garantias, direitos e deveres para o uso da Internet no Brasil. O CONGRESSO NACIONAL decreta: CAPÍTULO I DISPOSIÇÕES PRELIMINARES Art. 1 o Esta Lei estabelece princípios,

Leia mais

Redes de Dados e Comunicações. Prof.: Fernando Ascani

Redes de Dados e Comunicações. Prof.: Fernando Ascani Redes de Dados e Comunicações Prof.: Fernando Ascani Conceito de Redes Redes de computadores são estruturas físicas (equipamentos) e lógicas (programas, protocolos) que permitem que dois ou mais computadores

Leia mais

1 Introdução 1.1. Segurança em Redes de Computadores

1 Introdução 1.1. Segurança em Redes de Computadores 1 Introdução 1.1. Segurança em Redes de Computadores A crescente dependência das empresas e organizações modernas a sistemas computacionais interligados em redes e a Internet tornou a proteção adequada

Leia mais

Introdução às Redes de Computadores. Por José Luís Carneiro

Introdução às Redes de Computadores. Por José Luís Carneiro Introdução às Redes de Computadores Por José Luís Carneiro Portes de computadores Grande Porte Super Computadores e Mainframes Médio Porte Super Minicomputadores e Minicomputadores Pequeno Porte Super

Leia mais

INSTITUTO DE PESQUISA ECONÔMICA APLICADA. PORTARIA nº 456, DE 04 DE NOVEMBRO DE 2010.

INSTITUTO DE PESQUISA ECONÔMICA APLICADA. PORTARIA nº 456, DE 04 DE NOVEMBRO DE 2010. INSTITUTO DE PESQUISA ECONÔMICA APLICADA PORTARIA nº 456, DE 04 DE NOVEMBRO DE 2010. Institui a Política de Segurança da Informação e Comunicações POSIC, no âmbito do IPEA. O PRESIDENTE DO INSTITUTO DE

Leia mais

Gerenciamento de Redes

Gerenciamento de Redes Gerenciamento de Redes As redes de computadores atuais são compostas por uma grande variedade de dispositivos que devem se comunicar e compartilhar recursos. Na maioria dos casos, a eficiência dos serviços

Leia mais

REDES DE COMPUTADORES Prof. Ricardo Rodrigues Barcelar http://www.ricardobarcelar.com.br

REDES DE COMPUTADORES Prof. Ricardo Rodrigues Barcelar http://www.ricardobarcelar.com.br - Aula 1- MODELO DE CAMADAS 1. INTRODUÇÃO A compreensão da arquitetura de redes de computadores envolve a compreensão do modelo de camadas. O desenvolvimento de uma arquitetura de redes é uma tarefa complexa,

Leia mais

Serviços Gerenciados de Segurança de perímetro Firewall Dell SonicWALL

Serviços Gerenciados de Segurança de perímetro Firewall Dell SonicWALL 1/8 Serviços Gerenciados de Segurança de perímetro Firewall Dell SonicWALL www.alertasecurity.com.br +55 11 3105.8655 2/8 SUMÁRIO Visão Geral: Porque contratar os Serviços Gerenciados da Alerta Security

Leia mais

Capítulo 2 - Conceitos Básicos de Redes. Associação dos Instrutores NetAcademy - agosto de 2007 - Página

Capítulo 2 - Conceitos Básicos de Redes. Associação dos Instrutores NetAcademy - agosto de 2007 - Página Capítulo 2 - Conceitos Básicos de Redes 1 Redes de Dados Inicialmente o compartilhamento de dados era realizado a partir de disquetes (Sneakernets) Cada vez que um arquivo era modificado ele teria que

Leia mais

Instituto Federal de Santa Catarina. Redes de Computadores RES 12502

Instituto Federal de Santa Catarina. Redes de Computadores RES 12502 Instituto Federal de Santa Catarina Redes de Computadores RES 12502 2014 2 O material para essas apresentações foi retirado das apresentações disponibilizadas pela Editora Pearson para o livro Redes de

Leia mais

SERPRO Serviço Federal de Processamento. Gerenciamento das Redes Locais no SERPRO. Jones Lamanna Tesser jones.tesser@serpro.gov.br

SERPRO Serviço Federal de Processamento. Gerenciamento das Redes Locais no SERPRO. Jones Lamanna Tesser jones.tesser@serpro.gov.br Capítulo 1 SERPRO Instituição: Sítio: Caso: Responsável: Palavras- Chave: SERPRO Serviço Federal de Processamento de Dados www.serpro.gov.br Gerenciamento das Redes Locais no SERPRO. Jones Lamanna Tesser

Leia mais

Prof. Luís Rodolfo. Unidade I REDES DE COMPUTADORES E

Prof. Luís Rodolfo. Unidade I REDES DE COMPUTADORES E Prof. Luís Rodolfo Unidade I REDES DE COMPUTADORES E TELECOMUNICAÇÃO C Redes de computadores e telecomunicação Objetivo: apresentar os conceitos iniciais e fundamentais com relação às redes de computadores

Leia mais

Documento de Requisitos de Rede (DRP)

Documento de Requisitos de Rede (DRP) Documento de Requisitos de Rede (DRP) Versão 1.2 SysTrack - Grupo 1 1 Histórico de revisões do modelo Versão Data Autor Descrição 1.0 30/04/2011 João Ricardo Versão inicial 1.1 1/05/2011 André Ricardo

Leia mais