ANÁLISE E AVALIAÇÃO DE RISCOS DA INFRAESTRUTURA DE TECNOLOGIA DA INFORMAÇÃO NO ÂMBITO DE ENSINO E DE APRENDIZAGEM DO CENTRO UNIVERSITÁRIO UNIVATES

Transcrição

1 CENTRO UNIVERSITÁRIO UNIVATES CENTRO DE CIÊNCIAS EXATAS E TECNOLÓGICAS CURSO DE SISTEMAS DE INFORMAÇÃO ANÁLISE E AVALIAÇÃO DE RISCOS DA INFRAESTRUTURA DE TECNOLOGIA DA INFORMAÇÃO NO ÂMBITO DE ENSINO E DE APRENDIZAGEM DO CENTRO UNIVERSITÁRIO UNIVATES Rodrigo Pedro Werle Lajeado, novembro de 2014

2 Rodrigo Pedro Werle ANÁLISE E AVALIAÇÃO DE RISCOS DA INFRAESTRUTURA DE TECNOLOGIA DA INFORMAÇÃO NO ÂMBITO DE ENSINO E DE APRENDIZAGEM DO CENTRO UNIVERSITÁRIO UNIVATES Monografia apresentada ao Centro de Ciências Exatas e Tecnológicas do Centro Universitário UNIVATES, como parte da exigência para a obtenção do título de bacharel em Sistemas de Informação. Área de concentração: Redes de Computadores Orientador: Prof. Ms. Luis Antônio Schneiders Lajeado, novembro de 2014

3 Rodrigo Pedro Werle ANÁLISE E AVALIAÇÃO DE RISCOS DA INFRAESTRUTURA DE TECNOLOGIA DA INFORMAÇÃO NO ÂMBITO DE ENSINO E DE APRENDIZAGEM DO CENTRO UNIVERSITÁRIO UNIVATES A Banca examinadora abaixo aprova a Monografia apresentada na disciplina Trabalho de Conclusão de Curso II, do Centro Universitário UNIVATES, como parte da exigência para a obtenção do grau de Bacharel em Sistemas de Informação: Prof. Ms. Luis Antônio Schneiders orientador Centro Universitário UNIVATES Prof. Ms. Alexandre Stürmer Wolf Centro Universitário UNIVATES Prof. Ms. Marcus Vinicius Lazzari Centro Universitário UNIVATES Lajeado, novembro de 2014

4 AGRADECIMENTOS Agradeço a Deus, por ter me mostrado um caminho a seguir e por ter me concedido força e entusiasmo durante esta fase da minha vida. A minha querida namorada Cristiane pela compreensão, apoio e incentivo ao longo desta caminhada. Aos meus pais Pedro e Glades, fontes eternas de amor, carinho e inspiração. Ao meu irmão Edison e a minha irmã Liana que se mostraram sempre presentes e prestativos. A todos os colegas do Núcleo de Tecnologia da Informação do Centro Universitário UNIVATES, pela contribuição para realização deste estudo e pelo crescimento pessoal e profissional. A todos os professores, em especial ao meu orientador, Prof. Luis pela amizade, parceria e apoio. A todos os colegas, amigos e familiares, pela coragem e incentivos dados durante a realização deste trabalho.

5 RESUMO Juntamente com a informatização da sociedade, várias mudanças com base na crescente evolução da TI estão ocorrendo. Novas tecnologias aliadas a novas mediações pedagógicas garantem um processo de transmissão de conhecimento totalmente novo, requerendo que exista uma infraestrutura de tecnologia da informação confiável que permita a efetiva utilização das tecnologias disponibilizadas. Seguindo este contexto, este trabalho visa apresentar os resultados obtidos da análise de risco da infraestrutura de TI existente no Centro Universitário UNIVATES, analisando de forma qualitativa os possíveis problemas existentes e suas resoluções, bem como os impactos que a indisponibilidade desta estrutura pode ocasionar ao corpo docente e discente da instituição. Palavras-chave: Infraestrutura, Análise de Riscos, Educação, Tecnologia da Informação, IES.

6 ABSTRACT Along with the society informatization, several changes based on increasing IT evolution is occurring. New technologies allied with new pedagogical mediations ensure a transfer of knowledge entirely new, requiring the existence of an reliable infrastructure of information technology which allows the effective use of available technologies. Following this context, this paper presents the results of the risk analysis of the existing IT infrastructure in UNIVATES University Center, analyzing qualitatively the potential existing problems and their resolutions and the impact that the absence of this structure can lead to the teachers and the students of the institution. Keywords: Infrastructure, Risk Analysis, Education, Information Technology.

7 LISTA DE FIGURAS Figura 1 Componentes da infraestrutura de TI Figura 2 Componentes de uma rede de computadores Figura 3 - Vulnerabilidades em sistemas de informação Figura 6 Diagrama da infraestrutura de rede primária Figura 7 - Diagrama da infraestrutura de rede acadêmica Figura 8 - Diagrama do projeto elétrico Figura 9 - Ativos de rede do Centro Universitário UNIVATES Figura 10 - Monitoramento da rede WI-FI Figura 11 - Tráfego WAN Figura 12 - Monitoramento dos servidores e de dispositivos de armazenamento Figura 13 Processo de gestão de riscos segundo a norma ABNT NBR ISO/IEC Figura 14 - Contexto interno da UNIVATES... 71

8 LISTA DE QUADROS Quadro 1 - Matriz de riscos Quadro 2 - Quadro de aceitabilidade de riscos Quadro 3- Relevância da TI no processo de ensino e de aprendizagem Quadro 4 - Teste de conformidade - Tabela de Pontuação Quadro 5 - Grau de aderência à política de segurança da informação Quadro 6 Grau de aderência à segurança organizacional Quadro 7 - Grau de aderência à classificação e controle dos ativos Quadro 8 - Grau de aderência à segurança em pessoas Quadro 9 - Grau de aderência à segurança física e de ambiente Quadro 10 - Grau de aderência ao gerenciamento das operações e comunicações Quadro 11 - Grau de aderência ao controle de acesso Quadro 12 - Grau de aderência ao desenvolvimento e manutenção de sistemas Quadro 13 - Grau de aderência à gestão da continuidade do negócio Quadro 14 - Grau de aderência à conformidade Quadro 15 - Resultados obtidos e respostas consideradas Quadro 16 - Pontuação obtida no questionário de maturidade da gestão de riscos Quadro 17 - Resultados da avaliação dos riscos Quadro 18 - Cadastro de ameaças... 97

9 LISTA DE TABELAS Tabela 1 - Modelos para contextualização de risco Tabela 2 - Escala simples de consequências Tabela 3 - Escala simples de probabilidades Tabela 4 Pontuação obtida no teste de conformidade Tabela 5 - Resultados do teste de conformidade por domínio Tabela 6 - Pontuação dos processos quanto a maturidade Tabela 7 - Estágio da maturidade de gestão de riscos Tabela 8 - Percentual de respostas por grau de maturidade Tabela 9 - Níveis de risco Tabela 10 - Mapa de apetite de riscos Tabela 11 - Relação do grau de aderência e as ameaças por domínio... 95

10 LISTA DE ABREVIATURAS ABNT Associação Brasileira de Normas Técnicas ACL Access Control List ALE Anual Loss Exposure BYOD Bring your own device CAN Campus-area Network CFTV Circuito Fechado de TV COBIT Control Objectives for Information and related Technology DIO Distribuidor Interno Óptico DoS Denial of Service DSL Digital Subscriber Line IES Instituição de Ensino Superior ISMS Information Security Management System ISO International Standards Organization ISP Internet Service Provider ITIL Information Technology Infrastructure Library LAN Local Area Network MAN Metropolitan Area Network NIC Network Interface Card NOS Networking Operation System NTI Núcleo de Tecnologia da Informação PBL Problem-Based Learning PoE Power Over Ethernet PTT Ponto de Troca de Tráfego QGBT Quadro Geral de Baixa Tensão

11 QSP Centro de Qualidade, Segurança e Produtividade RNP Rede Nacional de Pesquisa ROI Return Over Investment SAN Storage Area Networks SGDB Software Gerenciador de Banco de Dados TBL Team-Based Learning TI Tecnologia da Informação TIC Tecnologia da Informação e Comunicação UTP Unshielded Twisted Pair VLAN Virtual Local Area Network VoIP Voice Over IP WAN Wide Area Network WEP Wired Equivalent Privacy WLAN Wireless Local Area Network WPA2 Wireless Fidelity Protected Access 2

12 SUMÁRIO 1 INTRODUÇÃO Objetivos Organização do Trabalho REFERENCIAL TEÓRICO O ensino tradicional Características do ensino tradicional A utilização da informática no processo de ensino e de aprendizagem Tecnologias utilizadas na educação Infraestrutura de TI Hardware Software Tecnologia de gestão de dados Tecnologia de rede e telecomunicações Serviços de tecnologia Segurança em TI Gestão dos ativos dos sistemas de informação Segurança física Segurança lógica Segurança em recursos humanos Segurança em redes sem fio Softwares mal-intencionados Cibervandalismo Ataque DoS Vulnerabilidades de softwares Mobilidade e Ubiquidade Gestão de Riscos Identificação dos riscos Análise do risco Avaliação dos riscos Tratamento dos riscos Monitoramento dos riscos Boas práticas... 43

13 2.7.1 ITIL COBIT ISO/IEC BS METODOLOGIA Metodologia de pesquisa Tipo de metodologia a ser utilizada Natureza da pesquisa Procedimentos para realização da pesquisa Pesquisa bibliográfica Pesquisa documental Levantamento dos dados Estudo de caso Fases e etapas da pesquisa Coleta de materiais e informações Análise dos dados CENÁRIO ATUAL Infraestrutura de entrada Backbone Data center Projeto Arquitetônico Projeto elétrico Projeto mecânico Projeto de segurança Projeto lógico Sala de telecomunicações Fornecimento de energia elétrica Climatização Ativos de rede Meios de transmissão e cabeamento estruturado Rede sem fio Estações de trabalho Aterramento ISPs Serviços APRESENTAÇÃO DO MODELO DE GESTÃO DE RISCO E ANÁLISE DOS RESULTADOS Estabelecimento do contexto Avaliação da relevância da TIC no processo de ensino e de aprendizagem Avaliação do grau de conformidade da gestão de segurança da informação Avaliação do grau de maturidade à gestão de riscos Análise e avaliação dos riscos Definição do mapa de apetite de riscos Avaliação dos riscos do processo de ensino e de aprendizagem Proposta de Soluções CONSIDERAÇÕES FINAIS

14 REFERÊNCIAS APÊNDICES ANEXOS

15 14 1 INTRODUÇÃO Inicialmente a utilização de computadores era restrita apenas para uso militar, com o intuito de interconectar vários centros de comando. Após o final da guerra fria sua utilização foi fortemente expandida também para uso científico e educacional e posteriormente para empresas privadas e setores públicos, que os utilizavam visando um aumento da eficiência no gerenciamento e administração das empresas (FERNANDEZ; YOUSSEF, 2003). Com o advento da criação dos circuitos integrados e dos microprocessadores houve uma diminuição tanto no custo quanto no porte dos computadores, possibilitando a criação dos microcomputadores e popularizando sua utilização. A Tecnologia da Informação (TI), a partir deste ponto, deixou de ser privilégio de quadros altamente técnicos e com objetivos definidos, passando a estar ao alcance de todos e com finalidades diversas, sendo aplicada cada vez mais na resolução de problemas sociais complexos, como assistência médica, controle de poluição, educação e outros (FERNANDEZ; YOUSSEF, 2003). A forma como os sistemas computacionais eram organizados mudou drasticamente, onde não apenas um computador atende a todas as necessidades computacionais da organização, mas sim vários, interconectados por uma rede de computadores (TANEMBAUM; WETHERALL, 2011). A informatização das Instituições de Ensino Superior (IES), tanto na área acadêmica quanto na área administrativa, gerou um aumento considerável da demanda de investimento em TI a fim de atender a demanda (MAC-ALLISTER; MAGALHÃES, 2006). Segundo Katz (2001), as IES utilizaram, inicialmente, os computadores apenas para pesquisas científicas. Na década de 60 sua utilização foi ampliada para propósitos administrativos, mas, somente em meados da década de 80, juntamente com a revolução dos

16 15 computadores pessoais, foi que sua utilização tornou-se realmente expressiva. A combinação da Internet com o avanço das telecomunicações incrementaram novas possibilidades, beneficiando também o processo ensino-aprendizagem no corpo universitário, abrindo novas possibilidades e proporcionando melhoria na realização das tarefas docentes e discentes. Segundo Moran, Masetto e Behrens (2013), as tecnologias estão em crescente ascensão nas salas de aula, onde, a transmissão dos conteúdos dependerá menos dos professores, que agirão principalmente como mediadores das informações, cabendo a eles a definição de quando e onde os conteúdos serão disponibilizados, tendo em vista que atualmente existem materiais digitais sobre qualquer assunto. A tecnologia na sala de aula desafia as instituições a saírem do ensino tradicional em que o professor é o centro para uma aprendizagem mais participativa e integrada. A utilização das Tecnologias de Informação e Comunicação (TIC) em sala de aula será tão importante quanto o ensino convencional, pois diminui-se o tempo de transmissão de informações e das aulas expositivas, concentrando-se em atividades como discussão, interpretação e criação de conceitos. Segundo Mazur (2014), a transmissão do conhecimento não será mais realizada em sala de aula e a consolidação dos conhecimentos fora dela como ocorre no processo de ensino e de aprendizagem convencional. A transmissão do conhecimento, por estar disponível na Internet, televisão, livros, revistas, etc., irá ocorrer fora da sala de aula com o aluno como ator principal. Para a sala de aula, ficará o debate, os esclarecimentos e a consolidação do conhecimento, com o professor atuando como mediador do processo. Tanto o processo de transmissão de conhecimento quanto o processo de consolidação deste podem ser realizados por meio de ferramentas e novas metodologias de ensino como atividades e avaliações online, Problem-Based Learning (PBL), Team-Based Learning (TBL), Peer-Based Learning, Mapas Conceituais, Objetos de Aprendizagem e Ambientes Virtuais que muitas vezes estão fortemente apoiadas com as tecnologias da informação e cada vez mais passam a fazer parte do processo de ensino e de aprendizagem. Para Mac-Allister e Magalhães (2006, apud FLORES, 1999), a cada ano a relação entre aluno e computador no ambiente acadêmico vem se tornando mais importante, pois as IES vêm utilizando a tecnologia não somente para fins educativos, mas também como uma ferramenta decisiva para o alcance de suas metas e objetivos.

17 16 Além desta necessidade de utilização da tecnologia em sala de aula, observa-se também uma crescente utilização de dispositivos móveis pelos alunos. O conceito do Bring Your Own Device (BYOD) que consiste em trazer dispositivos pessoais de casa para o trabalho, locais públicos, faculdades e outros, está em constante crescimento, sendo que administradores de TI de universidades apontam que nos últimos anos houve um crescimento de 200% nas redes e 300% nos endpoints (SONG, 2013). Para suportar todas estas demandas citadas se faz necessário o provimento de uma infraestrutura de TI (serviços de telecomunicações, rede lógica, hardware, software, etc) sólida, confiável e a prova de falhas. Neste sentido, cientes da importância que a infraestrutura de TI representa às IES e, consequentemente ao processo de ensino e de aprendizagem, percebe-se que existe a necessidade de avaliar quais os riscos decorrentes destes nas instituições de ensino, bem como avaliar o impacto, a relevância e as consequências que a não conformidade da infraestrutura de TI pode ocasionar à instituição. Por outro lado, também é de grande importância que seja considerado quais medidas devem ser tomadas ou sugeridas como precaução e remediação em caso de falha ou indisponibilidade. 1.1 Objetivos Primário: O presente trabalho visa avaliar os riscos do processo de ensino e de aprendizagem no que diz respeito a infraestrutura de tecnologia da informação da UNIVATES, considerando de forma qualitativa as ameaças e vulnerabilidades relacionadas, assim como as consequências decorrentes destas para os professores e alunos em suas atividades acadêmicas. Secundários: a) Uma análise do impacto da indisponibilidade de TI será realizada avaliando-se os processos e ferramentas dos componentes de serviços críticos; b) Análise dos pontos falhos quanto a infraestrutura existente; c) Avaliação da crescente demanda na utilização de TI no âmbito acadêmico e qual o grau de dependência existente entre os mesmos; d) Levantamento de medidas preventivas e recomendações para evitar a indisponibilidade de TI.

18 Organização do Trabalho O presente trabalho é dividido por capítulos, onde, após esta introdução, é apresentado o Capítulo 2 com a revisão da bibliografia abordando os conceitos inerentes a este estudo de forma teórica. No Capítulo 3 é apresentada a metodologia utilizada para realização do trabalho. O Capítulo 4 apresenta o cenário atual da TI da UNIVATES. No Capítulo 5 é apresentada a proposta de análise dos riscos e os resultados obtidos. Por fim, no Capítulo 6 são apresentadas as considerações finais.

19 18 2 REFERENCIAL TEÓRICO Este capítulo apresenta as referências literárias que foram utilizadas como embasamento para a confecção deste trabalho. São abordados conceitos do ensino tradicional, a utilização da informática no processo de ensino e de aprendizado, os componentes da infraestrutura de TI, a segurança em TI e a gestão de riscos e suas boas práticas recomendadas pelas normas vigentes. 2.1 O ensino tradicional Segundo Grzesiuk (2008, apud Zacharias, 2008), o ensino tradicional consiste basicamente em aulas expositivas, onde o professor transmite informações pertinentes ao conteúdo aos alunos, enfatizando a repetição e visando a memorização. O papel do aluno neste contexto não é ativo, resumindo-se a escutar e aprender, onde comumente suas experiências prévias não são devidamente consideradas. Esta prática quase não sofreu modificações significativas apesar de todos os avanços na tecnologia e nos recursos disponibilizados para auxiliar o professor no processo de ensino e de aprendizagem (GUERRA, 2000). Para PALADINI (1996), o modelo de ensino tradicional exige pouco do professor, não requer frequente atualização do conteúdo exposto em aula e não é adequado ao aluno, mas sim ao professor, tendo em vista que a transmissão de conhecimento parte de quem o detém e não de pesquisas e análises realizadas pelos alunos.

20 Características do ensino tradicional Dentre as características do ensino tradicional podemos citar os modelos tradicionais de ensino e de aprendizado (aulas expositivas), número alto de alunos em cada sala de aula, professores mal preparados, infraestrutura de má qualidade, falta de materiais didáticos e pouca integração da teoria com a prática (MORAN, MASETTO e BEHRENS, 2013). Segundo Vidal (2002), o ensino tradicional caracteriza-se pela necessidade de estudantes e professores estarem fisicamente presentes em uma sala onde os estudantes estão habituados a serem indivíduos passivos com bibliotecas que possuem recursos escassos em relação a quantidade de alunos ou ainda com material defasado. 2.2 A utilização da informática no processo de ensino e de aprendizagem Segundo Vieira (2006), a informática está tornando-se cada vez mais importante em sala de aula, levando à mudanças estruturais e funcionais no processo de ensino e de aprendizagem. A partir da década de 50 o computador passou a ser utilizado no meio empresarial, afetando todos os âmbitos profissionais. Inicialmente foi utilizado para a realização de cálculos complexos por engenheiros e cientistas, em grandes empresas e órgãos governamentais. Sua utilização para a educação era visto como supérfluo, sendo que nas universidades era incentivado apenas para pesquisas científicas. Aos poucos foram introduzidas disciplinas aos cursos de graduação a fim de ensinar os alunos a utilizarem o computador, por meio de linguagens de programação, sendo que posteriormente, seu uso fora estendido para outras tarefas (GUERRA, 2008 apud Cazarini, 1992). Segundo Guerra (2008), na área da educação, o computador tornou-se uma nova fonte de conhecimento e pesquisa, proporcionando uma melhora no processo de ensino e de aprendizagem, complementando os conteúdos curriculares. A informática utilizada em sala de aula propicia um ambiente multidisciplinar e interdisciplinar onde os alunos, ao invés de apenas receberem informações, também constroem conhecimentos, tornando o processo mais dinâmico e participativo (VIEIRA, 2006).

21 Tecnologias utilizadas na educação Dentre as tecnologias incorporadas à área da educação podemos citar o ensino à distância, bibliotecas digitais, videoconferências, grupos de bate papo, entre outros, o que facilita o processo de aprendizagem (WERTHEIN, 2000). Segundo Moran, Masetto e Behrens (2013) dentre as metodologias utilizadas no ensino pode-se citar: a) Apoio à pesquisa: onde encontramos a web como o maior avanço na área, oferecendo uma vasta gama de informações como multiplicidade de fontes diferentes, diversos graus de confiabilidade e visões de mundo contraditórias; b) Desenvolvimento de projetos: possibilita a utilização de uma forma interessante de desenvolver projetos de pesquisa pela internet por meio da metodologia de webquest, que consiste em consultar diversas fontes de informação na web, pré-determinadas pelo professor. Dentre as ferramentas utilizadas para o cumprimento dos objetivos podemos citar a escrita colaborativa, a criação de portfólio do grupo, criação de blogs e sites, publicação de vídeos, entre outros; c) Produção compartilhada: com a utilização de ferramentas como o Google Docs e Wiki, podemos realizar a produção coletiva de documentos, utilizando uma interface simples onde qualquer pessoa com acesso ao documento pode ajudar a implementá-lo. Outra grande vantagem a ser citada é a disponibilidade do documento, que encontra-se na web, não havendo necessidade de baixar o arquivo para editá-lo, já que todas as alterações são feitas online; d) Podcasts: arquivos de áudio, programas de rádio na internet ou podcasts são arquivos digitais que podem ser baixados e visualizados em dispositivos móveis e computadores, podendo ser de autoria dos próprios alunos ou dos professores, que os disponibilizam na internet para download; e) PBL: é uma estratégia em que o objetivo principal é solucionar um determinado problema, onde o ator principal é o estudante, deixando de ser o receptor da informação e passando a ser o responsável pelo seu aprendizado (GIL, 2006); f) TBL: a aprendizagem baseada em equipe refere-se ao desenvolvimento da capacidade individual por meio de análises críticas, de responsabilidade, de tomada de decisões, de trabalho em equipe e resolução de problemas (INSTITUTO SÍRIO-LIBANÊS DE ENSINO E PESQUISA, 2012); g) Objetos de aprendizagem: referem-se a recursos tecnológicos utilizados para dar suporte a aprendizagem, podendo ser imagens, vídeos, etc., com propósitos

22 educacionais e que possam ser reutilizados diversas vezes (SOSTERIC e HESEMEIER, 2002) Infraestrutura de TI Segundo João (2012), a infraestrutura de TI é composta por cinco elementos principais: hardware, software, tecnologias de gestão de dados, tecnologias de redes e telecomunicações e serviços de tecnologias, conforme demonstrado na Figura 1. Figura 1 Componentes da infraestrutura de TI Fonte: Laudon e Laudon (2011). Todos estes componentes devem ser coordenados para que funcionem em conjunto, visando proporcionar a base, ou a plataforma para todo o sistema de informação de uma organização Hardware Segundo Laudon e Laudon (2011), o hardware é composto por todos os periféricos que são utilizados para o processamento computacional como armazenamento, entrada e saída de dados, incluindo servidores, computadores pessoais, dispositivos móveis e meios físicos para armazenar os dados. O hardware, seus dispositivos e periféricos são compostos por conjuntos de componentes físicos integrados que utilizam eletrônica digital a fim de receber, processar, armazenar e retornar dados e informação (REZENDE e ABREU, 2013).

23 22 Dentre os tipos de hardware existem diversos dispositivos que atuam como processadores de entrada e saída de dados, como computadores pessoais, dispositivos móveis, servidores, mainframes, supercomputadores, computação em grade, entre outros. Cada um é utilizado conforme a demanda do usuário e o poder de processamento requerido para execução de uma determinada tarefa (LAUDON e LAUDON, 2011). Além dos dispositivos de processamento de dados é necessária a utilização de dispositivos de armazenamento como discos magnéticos, discos ópticos, fita magnética e redes de armazenamento ou Storage Area Networks (SAN) (LAUDON e LAUDON, 2011). Segundo Rezende e Abreu (2013), os periféricos trabalham em conjunto com os computadores e podem ser de entrada (teclado, mouse, microfones, câmeras), de saída (monitores, impressoras, etc.), ou ainda ambos, como placas de rede e telefones. Juntamente com o hardware deve-se observar também os dispositivos de infraestrutura como a rede elétrica, nobreaks e geradores Software Segundo João (2012), o software é dividido em dois tipos: os softwares de sistema, que administram os recursos e as atividades dos computadores e os softwares aplicativos, que são desenvolvidos com um objetivo específico solicitado pelo usuário final. Dentre os softwares de sistema temos o sistema operacional, que gerencia e controla as atividades do computador. Ele é responsável por prover recursos do hardware para as aplicações, alocar memória, controlar os dispositivos de entrada e saída e a execução de diversas tarefas realizadas pelo computador. Outro software de sistema é caracterizado por converter a linguagem de programação para linguagem de máquina, bem como programas utilitários que executam tarefas comuns, como cálculos e classificações (JOÃO, 2012). De acordo com Rezende e Abreu (2013), o sistema operacional administra o hardware, o software e seus periféricos, determinando os recursos computacionais necessários para a realização de determinada tarefa. Os sistemas operacionais podem ser divididos em proprietários ou livres. Segundo João (2012), o software aplicativo, que pode ser desenvolvido pela empresa que o utilizará ou adquirido de terceiros, caracteriza-se por uma aplicação utilizada pelos usuários finais, desenvolvida com o objetivo de resolução de um problema específico,

24 23 utilizando os recursos de hardware por meio do sistema operacional. Dentre os softwares aplicativos mais utilizados pode-se citar os editores de texto, planilhas eletrônicas, gestão de dados, recursos gráficos de apresentação e navegadores Web. Os softwares aplicativos ou de escritório, compreendem em editores de texto, planilhas eletrônicas, softwares de apresentação e navegadores, sendo utilizados pelos usuários finais para resolução de problemas corriqueiros. Os softwares utilitários têm com função complementar os de escritório e são compostos por softwares como antivírus, compactadores, desfragmentadores e softwares de cópia (REZENDE e ABREU, 2013). Os navegadores, que são ferramentas que permitem o acesso à Internet, por exemplo, possibilitam atualmente que muitos aplicativos sejam executados diretamente no navegador, o que favorece a intensificação do uso da TI em sala de aula, pois libera o aluno e a instituição de ensino da necessidade de grandes investimentos em licenciamento, bem como possibilita uma interoperabilidade entre diversos dispositivos utilizados pelos usuários Tecnologia de gestão de dados Para que seja possível a realização do armazenamento de dados, são necessárias as mídias físicas, um software especializado para organização e disponibilização dos mesmos ao usuário final, além de um banco de dados (JOÃO, 2012). Segundo Laudon e Laudon (2011), um banco de dados é um conjunto de dados relacionados entre si com informações de alguma entidade, podendo ser pessoas, lugares ou coisas. Um exemplo de banco de dados é a lista telefônica, que pode armazenar o nome, telefone e endereço de uma determinada pessoa. O banco de dados relacional, que é mais comumente utilizado, organiza os dados em tabelas bidimensionais, com linhas e colunas chamadas relações, onde cada uma das tabelas contém informações de uma entidade (JOÃO, 2012). O software que organiza e disponibiliza as informações contidas no banco de dados é chamado de Software Gerenciador de Banco de Dados (SGBD), sendo utilizado para criar, armazenar, organizar e acessar as informações, apresentando ao usuário os dados conforme sua necessidade (JOÃO, 2012).

25 24 A gestão de dados prevê também a necessidade de cópias periódicas dos bancos de dados, armazenadas fora do ambiente físico principal, de modo que permita uma fácil e efetiva recuperação das informações caso seja necessário (REZENDE e ABREU, 2013) Tecnologia de rede e telecomunicações Segundo Laudon e Laudon (2011), a tecnologia de rede e telecomunicações é responsável por prover conectividade de dados, voz e vídeo à organização tanto na rede local, quanto ao acesso externo por meio da Internet. Uma rede de computadores caracteriza-se por dois ou mais dispositivos conectados por meio de componentes como Network Interface Card (NIC), Networking Operation System (NOS), meio físico de conexão, software de sistema operacional e ativos de rede (switch, hubs, roteadores), conforme apresentado na Figura 2. Figura 2 Componentes de uma rede de computadores Fonte: Laudon e Laudon (2011). Segundo Rezende e Abreu (2013), os sistemas de telecomunicações se caracterizam pela transmissão de sinais por um meio qualquer entre um emissor e um receptor, sendo necessário componentes de hardware e software como computadores ou dispositivos para envio e recepção dos dados, canais de comunicação e seus meios físicos e lógicos, processadores de comunicação e software de telecomunicação. Uma infraestrutura de rede coorporativa consiste na aglutinação de várias redes locais, onde podem haver servidores que comportem os sistemas da empresa como um website,

26 25 intranet, sistemas administrativos, etc. Esta rede poderá contemplar também serviços de rede sem fio, bem como toda a rede cabeada aos ativos da empresa (LAUDON e LAUDON, 2011). Segundo Rezende e Abreu (2013), são diversos os serviços e aplicações que a tecnologia de rede e telecomunicações provê à empresa, tais como: a) Transferência de arquivos e dados entre computadores; b) Conexão remota a um outro computador possibilitando acesso a programas aplicações; c) Correio eletrônico, mensageiros instantâneos, serviços de voz; d) Teleconferência e videoconferência; e) Acesso à Internet Tipos de rede locais Dentre as redes existentes a rede local ou Local Area Network (LAN) caracteriza-se por conectar dispositivos em um raio de até quinhentos metros, podendo compreender a rede de um escritório ou edifício. A existência de várias LANs em uma determinada área geográfica, ou interligando vários edifícios é considerada uma Campus-area Network (CAN). Caso a rede abranja uma área metropolitana ou uma cidade é considerada uma Metropolitan Area Network (MAN) (LAUDON e LAUDON, 2011). Uma Wide Area Network (WAN) consiste em uma rede que interliga regiões, estados, continentes ou até o planeta. A Internet também é considerada uma WAN, conectando diversas redes LAN (LAUDON e LAUDON, 2011) Meios de transmissão Segundo Laudon e Laudon (2011), para a transmissão dos dados em uma rede faz-se necessária a utilização de meios de transmissão físicos, que inclui cabo de par trançado, cabo coaxial, cabos de fibra óptica e meios de transmissão sem fio. O par trançado é o meio de transmissão mais antigo e consiste em pares de fios de cobre trançados aos pares. É utilizado em larga escala, sendo que pode atingir 10 Gigabits por segundo em cabos Categoria 6, estando limitado a uma extensão de cem metros por enlace.

27 Existem diversos tipos de cabos, com blindagem, proteção anti-roedor, entre outros (LAUDON e LAUDON, 2011). 26 O cabo coaxial possui um fio de cobre isolado de maior espessura, com taxas de transmissão superiores a 1 Gigabit por segundo em extensões de mais de 100 metros. Foi utilizado nas primeiras redes locais e atualmente possui pouca usabilidade (LAUDON e LAUDON, 2011). Os cabos de fibra óptica são utilizados para transmissão em distâncias maiores e em altas velocidades, como backbones. Seu princípio de funcionamento baseia-se na transmissão de pulsos de luz que são convertidos em sinais elétricos pelos ativos da rede. O cabo é composto por uma fibra de vidro ultrafina (núcleo) revestida por uma capa protetora de plástico que pode alcançar taxas de até 100 Gigabit por segundo de transmissão (TANEMBAUM; WETHERALL, 2011). A transmissão ainda pode ser realizada sem fio, consistindo no envio de sinais de rádio com uma ampla variação de frequência. Dentre as tecnologias utilizadas pode-se citar a transmissão por rádio, que pode percorrer longas distâncias, podendo ser utilizada em locais abertos e fechados, transmissão de micro-ondas que oferece uma relação sinal/ ruído muito mais alta, sendo que é necessário um alinhamento das antenas de transmissão e repetidores ao longo do enlace e transmissão por luz que baseia-se em direcionar laser em fotodetectores para a transmissão de dados, sendo uma tecnologia bastante sensível a condições atmosféricas (TANEMBAUM; WETHERALL, 2011) Provedor de serviços de Internet Os provedores de serviços de Internet ou Internet Service Provider (ISP) são organizações comerciais que possuem conexão permanente à Internet e vendem seu acesso à assinantes. A disponibilização de acesso pelos provedores inicialmente se dava por meio da linha telefônica e um modem, alcançando 56,6 quilobits por segundo (kbps) sendo que foi substituído por tecnologias de banda larga como Digital Subscriber Line (DSL) ou linha digital de assinante que também utiliza a linha telefônica, mas em velocidades mais altas que variam de 385 kbps até 9 Megabits por segundo ou também por conexões de Internet a cabo que provêm acesso a mais de 10 megabits por segundo (TANEMBAUM; WETHERALL, 2011).

28 Projeto Arquitetônico O projeto arquitetônico da infraestrutura de TI é um importante item a ser analisado a fim de garantir a disponibilidade dos serviços. Se tratando dos data centers, a norma ANSI/TIA-942 aplica conceitos para classificação dos mesmos quanto a sua disponibilidade e redundância (MARIN, 2011). A seguir serão abordados os conceitos referentes ao data center e sua infraestrutura. Segundo Marin (2011), as seguintes premissas são desejáveis no projeto arquitetônico de um data center: a) Sistema elétrico redundante, de concessionárias diferentes, por rotas distintas; b) Grupos geradores e nobreaks para ocasiões em que o sistema elétrico é interrompido; c) Um sistema de climatização eficiente; d) ISP redundantes, de provedores diferentes, chegando ao local por rotas distintas; e) Controles de acesso; f) Combate a incêndio. Além dessas recomendações, faz-se importante também observar a localização geográfica dos data centers, evitando, por exemplo, locais suscetíveis a adversidades climáticas (enchentes, furacões, terremotos), pistas de aeroportos e locais próximos às linhas de transmissão elétrica (MARIN, 2011). O projeto arquitetônico prevê também normas de cabeamento estruturado para utilização nas organizações. Segundo Marin (2009), a norma de cabeamento estruturado ANSI/TIA-568-C é dividida em: a) ANSI/TIA- 568-C.0: utilizada em cabeamentos de telecomunicações genéricos; b) ANSI/TIA- 568-C.1: utilizada em cabeamentos de telecomunicações para edifícios comerciais; c) ANSI/TIA- 568-C.2: utilizada em cabeamentos de telecomunicações em par balanceado e seus componentes; d) ANSI/TIA- 568-C.3: utilizada em componentes de cabeamento em fibra óptica. Todas as boas práticas relacionadas à infraestrutura de telecomunicações como redundância de enlaces, encaminhamentos de rotas e espaços do cabeamento, procedimentos

29 28 de instalação, requisitos e procedimentos de testes, etc., estão contempladas nas normas acima citadas Serviços de tecnologia Segundo Laudon e Laudon (2011), os serviços de tecnologia dizem respeito aos recursos humanos empregados para utilizar e gerenciar todos os outros componentes vistos anteriormente, bem como prestar suporte aos usuários finais. Nem toda empresa possui colaboradores capacitados a operar e gerenciar todos os componentes da infraestrutura de TI, sendo que se faz necessária a terceirização de certos serviços, ou a realização de contratos com os fornecedores. Os serviços prestados pelo departamento de sistemas de informação contempla o fornecimento da plataforma computacional aos colaboradores, serviços de telecomunicações e conectividade de dados, voz e vídeo, serviços de gestão de dados armazenados, desenvolvimento e suporte aos sistemas da empresa, gestão das instalações físicas necessárias aos serviços de informática, telecomunicações e administração de dados, serviços de gestão de TI (coordenação de serviços de TI, administração da contabilidade e gestão de projetos), serviços de treinamento aos funcionários em relação às tecnologias utilizadas e serviços de pesquisa e desenvolvimento de TI (LAUDON e LAUDON, 2011). 2.4 Segurança em TI Segundo Beal (2008), a segurança da informação visa assegurar a preservação dos ativos de informação com base em três objetivos fundamentais: a) Confidencialidade: garante que todas as informações serão entregues apenas ao destinatário correto sem interceptações não autorizadas; b) Integridade: garantia da consistência e da criação legítima da informação, prevenindo que hajam alterações ou destruição não autorizada de dados e informações; c) Disponibilidade: garantia de que a informação e os ativos estejam disponíveis ao usuário no momento que o mesmo queira acessá-los. Segundo Silva, Carvalho e Torres (2003), para que haja preservação da confiabilidade, integridade e disponibilidade dos sistemas de informação de uma empresa, se faz necessário

30 adotar medidas de segurança. Estas medidas necessitam ser implementadas antes da concretização do risco, visando prevenir um incidente ou protegê-lo do mesmo. 29 A prevenção consiste na adoção de medidas que visam diminuir a probabilidade de que alguma ameaça se torne um incidente. A proteção, por sua vez, possibilita que os sistemas de informação inspecionem, detectem e reajam frente a um incidente. Esta medida de segurança só atua quando o incidente ocorre, muitas vezes no intuito de remediá-lo (SILVA, CARVALHO e TORRES, 2003). Os sistemas de informação das empresas estão vulneráveis a diversas ameaças que podem causar danos aos ativos da empresa como fraudes eletrônicas, espionagem, sabotagem, incêndio, inundação e ataques de crackers. Para que estas vulnerabilidades sejam amenizadas, se faz necessário implementar, monitorar e analisar um conjunto de controles, políticas, processos e procedimentos com o intuito de garantir que os objetivos do negócio e de sua segurança sejam atendidos (ABNT NBR ISO/IEC 17799, 2005). Segundo Laudon e Laudon (2011), a segurança em TI faz-se necessária a fim de manter dados armazenados em formato eletrônico longe de ameaças e de acessos indevidos. Os dados da empresa estão vulneráveis às ameaças em diferentes pontos de acesso à rede, tendo em vista que os sistemas de informações são interconectados de diferentes localidades por meio de sistemas de telecomunicações. A Figura 3 ilustra as ameaças mais comuns em sistemas de informação nos diferentes pontos de acesso. Figura 3 - Vulnerabilidades em sistemas de informação Fonte: Laudon e Laudon (2011)

31 30 As vulnerabilidades existem entre cada camada (cliente, linhas de comunicação, servidores e sistemas corporativos) bem como na comunicação entre elas. A camada de cliente pode ser acessada por usuários não autorizados ou ainda possuir erros introduzidos pelos mesmos. Quando os dados transitam pela rede é possível interceptá-los, roubá-los ou alterá-los (LAUDON e LAUDON, 2011). De acordo com Laudon e Laudon (2011), a Internet aumenta consideravelmente as vulnerabilidades de uma rede corporativa caso as mesmas estejam integradas. Computadores que possam ser acessados externamente estão sujeitos à invasão. Hackers podem interceptar dados pessoais ou interromper serviços de Voice Over IP (VoIP) com tráfego falso. A alta utilização de , mensageiros instantâneos e programas ponto a ponto podem servir como um recurso aos invasores, tendo em vista que softwares maliciosos podem ser transmitidos por estas plataformas Gestão dos ativos dos sistemas de informação Os ativos de informação compreendem em todos os dados ou informações que agreguem algum valor ao negócio, podendo representar desde informações que estejam em base de dados, arquivos de computador, documentos até patrimônios de TI da organização como softwares, hardwares, mídias, sistemas e processos de informação e comunicação (BEAL, 2008). Segundo a norma ABNT NBR ISO/IEC 17799:2005, os ativos de informação podem ser subdivididos em: a) Ativos de informação: base de dados e arquivos, documentação de pesquisas, de sistemas, procedimentos ou manuais e informações armazenadas; b) Ativos de software: aplicativos, sistemas, ferramentas de desenvolvimento; c) Ativos físicos: equipamentos de informática, de telecomunicações, mídias e outros equipamentos; d) Serviços: serviço de telecomunicações, eletricidade, iluminação; e) Pessoas: recursos humanos da empresa, bem como suas habilidades e experiências; f) Intangíveis: reputação, imagem. Após a identificação dos ativos faz-se necessário realizar sua contabilização a fim de se estruturar e manter os controles necessários, definir o responsável pela segurança de cada

32 31 ativo e recuperar informações e serviços em caso de falha ou dano. Adicionalmente é interessante que os ativos sejam classificados de acordo com seu valor e necessidade de segurança atribuídos pela organização (BEAL, 2008). Além da realização do inventário e da classificação, deve-se definir o proprietário de cada ativo que irá assegurar que as informações e os ativos associados aos recursos de processamento da informação estejam classificados corretamente, definir e analisar as classificações e restrições de acesso, levando em conta as políticas de segurança da empresa (ABNT NBR ISO/IEC 17799, 2005) Segurança física A segurança física protege os ativos físicos existentes em um ambiente por meio de medidas preventivas, detectivas e reativas, criando-se um perímetro de segurança, ou seja, estabelecendo um obstáculo ou barreira física, a fim de evitar acessos indevidos. As medidas preventivas podem ser controles de acesso, roletas, salas cofre, etc. Medidas detectivas de invasão contemplam, por exemplo, Circuito Fechado de TV (CFTV), alarmes, sirenes e detectores de incêndio. Dentre as medidas preventivas estão os climatizadores de ambiente, detectores de fumaça, dispersores de gás para combate a incêndio, entre outros (BEAL, 2008). Segundo Wadlow (2000), a segurança física visa a criação de níveis de proteção que condizem com a política de segurança da empresa e que proporcionem a proteção necessária contra as ameaças existentes. Conforme este mesmo autor, a segurança física deve abranger também o backup de todas as informações armazenadas, o controle de acesso com níveis de acesso a todas as áreas restritas, a disponibilização ininterrupta de energia elétrica e o registro dos controles de acesso, bem como sua análise Segurança lógica A segurança lógica consiste na criação de barreiras lógicas (ao nível de sistema operacional e de aplicação) em torno dos ativos de informação, a fim de evitar ataques e acessos indevidos (BEAL, 2008). Dentre as ferramentas utilizadas na segurança lógica pode-se citar o firewall que protege ou media o acesso da rede interna ao ambiente externo, o antivírus que detecta e impede ataques de código malicioso e a criptografia que oferecem garantia de autenticação, privacidade e integridade de dados e comunicação. Além dessas ferramentas, é necessário

33 32 haver a segurança de software, segurança do ambiente de usuário final e a produção e revisão de registros dos arquivos de log (BEAL, 2008) Segurança em recursos humanos Uma das grandes vulnerabilidades de segurança encontradas nas organizações são as pessoas que nelas atuam. O abuso de privilégios de acesso a dados ou instalações podem comprometer a segurança. A necessidade de contratação de serviços de terceiros como prestadores de serviços, fornecedores e consultores pode representar sérias ameaças à segurança da informação, caso não sejam auditados (BEAL, 2008). Segundo Wadlow (2000), o recurso humano é um dos principais problemas de segurança, e, portanto, é necessário muito cuidado na contratação de pessoas para a empresa. Além de escolhas criteriosas na hora de contratar, faz-se necessário também que haja uma política eficiente de desligamento de funcionários após a demissão como a desativação rápida e universal do acesso, medidas para recuperarem ou excluírem dados pessoais sem colocar em risco a segurança da rede e a conscientização do funcionário para que não exponha dados confidenciais da empresa. Ao contratar um novo colaborador ou algum serviço terceirizado deve-se assegurar que as responsabilidades estejam claras e de acordo, visando reduzir o risco de roubo e fraude, podendo ser feito mediante um código de conduta pré-estabelecido em relação à confidencialidade, proteção de dados, éticas, uso apropriado dos recursos e práticas de boas condutas determinadas nas políticas de segurança (ABNT NBR ISO/IEC 17799, 2005) Segurança em redes sem fio Segundo Laudon e Laudon (2011), as redes sem fio, seja WI-FI ou Bluetooth são suscetíveis a escutas e a ataques. Embora sejam de curto alcance, essas redes podem ser invadidas por estranhos com laptops, e softwares piratas gratuitos, que circulem por áreas abrangidas pela tecnologia. Redes desprotegidas proporcionam ao invasor uma série de pontos a serem explorado, como usuário conectados no momento, captura de arquivos de outros dispositivos, monitoramento do tráfego de rede e interceptação de dados. Como exemplo de protocolo que visa a segurança em redes sem fio, pode-se citar o Wireless Fidelity Protected Acess 2 (WPA2) sucessor do Wired Equivalent Privacy (WEP), que pode ser utilizado em dois cenários comuns. No primeiro existe um servidor de

34 33 autenticação, com um banco de dados contendo as informações de cada usuário, onde cada cliente utiliza seu login e senha para acessar a rede. No segundo cenário, uma senha única compartilhada é utilizada por todos os usuários que desejam acessar a rede. Esta prática é menos complexa de implementar, mas também é menos segura que a primeira (TANEMBAUM; WETHERALL, 2011) Softwares mal-intencionados Softwares mal-intencionados como vírus, worms, cavalos de Troia e spywares são designados como malwares e são desenvolvidos para serem executados sem o conhecimento do usuário, a fim de obter ou alterar dados, gerar mal funcionamento no sistema operacional e em outros softwares (LAUDON e LAUDON, 2011). Os malwares normalmente são disseminados por , mensageiros instantâneos e programas, podendo ser extremamente perigosos em uma rede corporativa, tendo em vista que, além dos ataques gerados a desktops, existem também uma variedade desses aplicativos para dispositivos móveis (LAUDON e LAUDON, 2011). Dois outros malwares pertinentes são os ataques por SQL Injection e os keyloggers, onde no primeiro são introduzidos códigos de programas maliciosos nos sistemas e redes corporativas no momento em que ocorre alguma falha na autenticação ou no filtro de dados por um usuário, e no segundo são registradas todas as teclas pressionadas em um computador no intuito de obter dados e senhas de acesso (LAUDON e LAUDON, 2011) Cibervandalismo O cibervandalismo caracteriza-se pela invasão a um sistema não autorizado. Os atuantes nesses crimes são chamados de hackers e crackers, sendo que o segundo possui intenções criminosas. As atividades relacionadas ao cibervandalismo incluem o roubo de mercadorias e informações e danos ou alterações não autorizadas em sites ou sistemas de informações corporativos (LAUDON e LAUDON, 2011). Os hackers e crackers ocultam sua verdadeira identidade utilizando credenciais falsas como s falsos e perfis em sites falsos. Esses artifícios são caracterizados como spoofing e podem envolver também o redirecionamento falso a um determinado site, sendo que ao acessá-lo o usuário não percebe a diferença e introduz dados pessoais que posteriormente são capturados (LAUDON e LAUDON, 2011).

35 Ataque DoS O ataque Denial of Service (DoS) ou ataque de negação possui o intuito de gerar tráfego com falsas comunicações ou requisições, inundando um servidor de rede ou servidor Web, a fim de inutilizá-lo, não sendo possível atender às requisições legítimas provenientes dos usuários (TANEMBAUM; WETHERALL, 2011). De acordo com Laudon e Laudon (2011), este tipo de ataque não destrói ou acessa informações privilegiadas, apenas faz com que o acesso a um determinado serviço fique indisponível por um determinado tempo. Estes ataques normalmente são executados por uma grande quantidade de computadores espalhados pela rede, infectados por softwares malintencionados que infectam computadores alheios. Quando o cracker infectou computadores suficientes um ataque de recusa de serviço é deflagrado ao alvo Vulnerabilidades de softwares Segundo Laudon e Laudon (2011), a maioria das vulnerabilidades e falhas encontradas em softwares têm relação à complexidade e ao tamanho das aplicações. Estas falhas normalmente ocorrem devido a grande quantidade de tomadas de decisões existentes no código fonte. Nos softwares comerciais, que possuem dezenas de milhares ou até milhões de linhas de código, é quase impossível realizar um teste do código fonte por completo, sendo possível apenas determinar sua confiabilidade após um longo tempo de uso operacional. Para correção das falhas existentes nos softwares os desenvolvedores lançam, em determinados períodos de tempo, patches, que são atualizações de parte do código, a fim de corrigir vulnerabilidades ou falhas no sistema. No âmbito empresarial, a infraestrutura de TI conta com diversos aplicativos, sistemas operacionais e outros serviços nos diversos ativos existentes, sendo que a manutenção das atualizações e patches são de extrema importância para o correto funcionamento e para a prevenção de vulnerabilidades (LAUDON e LAUDON, 2011). 2.5 Mobilidade e Ubiquidade A computação ubíqua tem como principal objetivo permear a vida dos usuários ajudando a desempenhar tarefas diárias sem que os mesmos percebam, onde a utilização de dispositivos em qualquer lugar e a qualquer hora é corriqueira (WEISS e CRAIGER, 2002).

36 35 Segundo Santos, Lima e Wives (2010, apud Furlan e Ehrenberg, 2009), o celular, que desempenha um importante papel na mobilidade e na ubiquidade, permite a comunicação das pessoas independente do local e a qualquer hora, por meio de acesso à internet sem fios, além de disponibilizar uma vasta quantidade de funções. Segundo Araújo (2003), conforme os dispositivos móveis oferecem mais opções multimídia a seus usuários, a conectividade e consequentemente toda a infraestrutura de TI desempenha um papel cada vez mais importante na computação ubíqua, oferecendo serviços de comunicação pessoal, como voz e dados. A interação entre estes dispositivos vai desde a conexão local de curta e média distância (utilizando tecnologias como bluetooth e WI-FI), até redes de longa distância, compondo a infraestrutura necessária para o acesso de qualquer lugar. A mobilidade e a ubiquidade, por meio da utilização de dispositivos móveis, têm sido amplamente utilizadas em sala de aula, por meio da disponibilização da comunicação instantânea entre os estudantes, de imagem, vídeo, portais virtuais, etc., possibilitando que o aluno esteja em permanente contato com a instituição de ensino, acessando todos suas atividades acadêmicas por meio da Internet (DIAS, 2010). Tratando-se de segurança, o uso de dispositivos móveis no âmbito empresarial aumenta os riscos e as vulnerabilidades dos dados da empresa, pois podem conter números de vendas, dados de clientes e acesso privilegiado às redes corporativas internas, estando sujeitos a roubo e perda pelo usuário (LAUDON e LAUDON, 2011). 2.6 Gestão de Riscos De acordo com Dantas (2011), o risco é uma condição que cria ou aumenta o potencial de danos ou perdas aos sistemas de informação. O risco está estritamente relacionado com a probabilidade de um evento acontecer e com as consequências negativas que ele gera. Segundo Silva, Carvalho e Torres (2003), a gestão de riscos compreende no processo de identificar um conjunto de medidas que proporcionem à empresa ou instituição um certo nível de segurança. Este processo é feito em etapas, onde preliminarmente é feita a identificação e classificação dos riscos e posteriormente especificado um conjunto de medidas que permitirão reduzir ou eliminar os riscos que a empresa está sujeita.

37 36 De acordo com Beal (2008), a gestão de riscos visa identificar e implementar medidas para que seja possível diminuir os riscos aos quais a organização está sujeita, visando a proteção dos ativos de informação, despendendo custos operacionais e financeiros condizentes com a realidade da organização Identificação dos riscos De acordo com Beal (2008), a gestão de riscos, deve ser iniciada com a identificação dos riscos e seus componentes como os alvos, agentes, ameaças, vulnerabilidades e impactos. As ameaças podem ser classificadas como ambientais (fogo, chuva, terremotos, falhas no suprimento de energia elétrica, etc.), técnicas (falhas de hardware, software e de configurações), lógicas (ataques ou invasões) ou humanas (fraude, sabotagem ou erros). Para identificação dos riscos deve-se realizar um levantamento do contexto de risco em que a empresa ou instituição atua. A Tabela 1 apresenta alguns modelos utilizados para a contextualização de risco. Tabela 1 - Modelos para contextualização de risco Definição da relação da empresa com o ambiente sendo SWOT (Strengths, Weaknesses, analisados os pontos fortes, fracos, as oportunidades e as Opportunities and Threats) ameaças Contexto Descrição da empresa, das suas capacidades, metas, objetivos e estratégias implementadas para os alcançar Alvo Descrição das metas, objetivos, âmbito e parâmetros da gestão de riscos Bens Descrição dos bens da empresa e suas interdependências Fonte: Silva, Carvalho e Torres (2003). Segundo Dantas (2011), após serem classificados os riscos faz-se necessário identificar os principais fatores que possam vir a ocasionar o risco, pois, em alguns casos, o evento é independente da intenção do agente ou do nível de controle existente. Após determinação do contexto de risco no ambiente em que a empresa se encontra, pode-se identificar os elementos inerentes à análise de riscos como as vulnerabilidades e as

38 37 ameaças, bem como quais os bens que estão em perigo (SILVA, CARVALHO E TORRES, 2003) Análise do risco A análise de risco permite a compreensão do risco fornecendo informações relevantes para a tomada de decisões referentes ao tratamento ou prevenção de que algum risco venha a ocorrer. Esta análise engloba a observação das causas e fontes de riscos, as consequências e a probabilidade das mesmas virem a ocorrer (ABNT NBR ISO/IEC 31000:2009). O método de análise do risco a ser utilizado pode ser qualitativo, semiquantitativo ou quantitativo. Os três métodos são eficientes, mas devem ser cuidadosamente escolhidos, a fim de não consumir uma quantidade desnecessária de recursos e tempo e para que possibilite o levantamento de todas as informações necessárias (SILVA, CARVALHO E TORRES, 2003) Análise qualitativa Segundo Dantas (2011), a análise qualitativa é utilizada quando não há disponibilidade dos dados ou os mesmos estão incompletos, quando não é possível mensurar com outro método ou ainda quando não se faz necessária a precisão do método quantitativo, ou o detalhamento maior da análise. Neste método são utilizadas palavras ao invés de números para a descrever os riscos, sua probabilidade de ocorrer e as consequências que o mesmo poderá gerar (AS/NZS 4360:2004). Segundo Silva, Carvalho e Torres (2003), a análise de risco qualitativa é feita de forma subjetiva, onde a equipe que irá realizá-la possui papel de fundamental importância, sendo necessário reunir um quadro de funcionários representantes de diversas áreas. A análise é realizada nas seguintes fases: a) Constituição da equipe; b) Realização de sessões de classificação das ameaças; c) Realização de sessões de classificação dos impactos e das consequências; d) Cálculo dos riscos. Para medição das consequências e das possibilidades, pode-se utilizar escalas conforme apresentado nas Tabela 2 e Tabela 3.

39 38 Tabela 2 - Escala simples de consequências Descrição Tipos Severa Muitos objetivos não podem ser alcançados Maior Moderado Menor Insignificante Fonte: AS/NZS 4360:2004. Alguns objetivos importantes não podem ser alcançados Alguns objetivos afetados Efeitos menores que são facilmente remediados Impacto desprezível sobre os objetivos A Tabela 2, apresenta uma sugestão de níveis de consequência ao ser utilizada para classificação dos riscos, variando de insignificante até severa, partindo da premissa de que quanto mais significante a consequência é, mais objetivos ficam comprometidos com a sua concretização. Tabela 3 - Escala simples de probabilidades Nível Descrição Indicador de frequência A O evento irá ocorrer numa base anual Uma vez por ano ou mais B O evento ocorrerá várias vezes na sua carreira Uma vez a cada três anos C O evento poderá ocorrer uma vez na sua carreira Uma vez a cada dez anos D O evento ocorre em algum lugar de tempo em tempo Uma vez a cada trinta anos E Já ocorreu alguma vez em algum lugar Uma vez a cada cem anos F Tal acontecimento nunca foi documentado Uma vez a cada mil anos G Teoricamente possível, mas improvável de acontecer Uma vez a cada dez mil anos Fonte: AS/NZS 4360:2004.

40 39 A Tabela 3 por sua vez apresenta um exemplo de escala de probabilidades de uma ameaça se concretizar, dividida em sete níveis. As frequências de cada nível devem ser definidas com base no contexto e na avaliação de riscos que está sendo realizada Análise semiquantitativa A análise semiquantitativa parte da metodologia utilizada no método qualitativo, porém com o intuito de gerar um ranking de riscos mais completo, por meio de valores atribuídos aos riscos. Este tipo de análise pode não ser muito confiável tendo em vista que os valores utilizados não são reais como os utilizados na análise quantitativa (DANTAS, 2011). Segundo a norma AS/NZS 4360:2004 a análise semiquantitativa deve ser utilizada com cautela pois os valores atribuídos aos elementos inerentes aos riscos podem não condizer com a realidade, ou ainda, não diferenciar de forma apropriada as consequências e probabilidades caso ambos sejam extremos, o que acarretará em resultados inconsistentes ou inapropriados Análise quantitativa A análise quantitativa é utilizada quando os dados estão completos e disponíveis, podendo ser realizada com base em valores absolutos e reais da empresa, sendo mais apropriado quando deseja-se avaliar possíveis perdas financeiras provenientes do risco, ou ao serem avaliados riscos que causem grande impacto (SILVA, CARVALHO E TORRES, 2003). Segundo Dantas (2011), este método é utilizado quando existem dados confiáveis de eventos ocorridos, quando a probabilidade pode ser medida em valores numéricos ou ainda quando pode-se calcular o valor de uma consequência gerada pelo risco. A qualidade da análise quantitativa depende da precisão dos valores numéricos informados e do modelo aplicado ao caso, sendo que as consequências podem ser expressadas em valor monetário, técnico ou humano dependendo do propósito ao qual o risco, as consequências e a probabilidade estão sendo avaliadas (AS/NZS 4360:2004). Segundo Beal (2008), o método quantitativo aplica-se quando se deseja realizar um comparativo dos custos de implementação de medidas de segurança e o possível custo da nãoimplantação da mesma. Este mesmo autor afirma também que, o histórico de incidentes e o

41 impacto financeiro decorrente deles precisa ser confiável para que a análise quantitativa apresente resultados significantes. 40 Para a realização da análise de risco quantitativa diversos métodos podem ser utilizados, mas o mais conhecido é o Anual Loss Exposure (ALE), ou ainda Exposição Anual à Perda, que permite estimar o risco com base em um valor esperado de perda decorrente de determinada ameaça (SILVA, CARVALHO E TORRES, 2003). A ALE é calculada com base no valor da perda prevista multiplicada pela quantidade de ocorrências de um determinado incidente no período de doze meses. Caso o custo anual de determinada medida de proteção for menor que a ALE de um risco, sua implantação seria justificável (BEAL, 2008) Avaliação dos riscos A avaliação dos riscos visa comparar os dados coletados anteriormente na análise de riscos com os critérios de riscos, considerando a tolerância da organização perante os mesmos. Caso haja necessidade, uma análise mais aprofundada do risco deverá ser empregada (ABNT NBR ISO/IEC 31000:2009). Segundo Beal (2008), a avaliação dos riscos deverá ser efetuada por pessoas qualificadas, que possuam características como: a) Conhecimento dos ativos e sua importância para a organização; b) Formação técnica na área a ser avaliada; c) Experiência e conhecimento das práticas, procedimentos e princípios de segurança da informação; d) Conhecimento da metodologia e das ferramentas a serem utilizadas na avaliação de riscos. Para que seja realizado a classificação dos riscos faz-se necessário a utilização de critérios de avaliação e níveis de aceitabilidade afim de definir o tratamento ou a aceitação de determinado risco. Estes critérios devem ser definidos pela equipe que realizará a análise com base nas consequências, nas possibilidades e nos níveis de riscos definidos. Os níveis de aceitabilidade deverão estar embasados nas políticas de segurança da organização levando em conta quais riscos representam um maior prejuízo (DANTAS, 2011).

42 41 Após a definição dos riscos, de suas consequências e de sua possibilidade de ocorrer, pode-se criar uma matriz de riscos, conforme apresentado no Quadro 1. Quadro 1 - Matriz de riscos Consequências Possibilidade Insignificante Menor Moderado Maior Catastrófico A (Frequente) A A E E E B (Provável) M A A E E C (Ocasional) B M A E E D (Remota) B B M A E E (Improvável) B B M A A Fonte: Dantas (2011). Os níveis de aceitabilidade, definidos previamente e baseados nos critérios de risco, devem ser confrontados com o resultado da matriz de riscos, afim de identificar quais riscos devem ser tratados e quais serão aceitos (DANTAS, 2011). O Quadro 2 demonstra um exemplo de quadro de aceitabilidade de riscos que pode ser empregado a matriz de riscos apresentada anteriormente. Quadro 2 - Quadro de aceitabilidade de riscos Risco extremo (E) Inaceitável requer ação corretiva imediata Inaceitável requer ação corretiva imediata com atenção específica da Risco alto (A) direção Inaceitável requer monitoramento, ações de mitigação e revisão dos Risco moderado (M) controles pelo gerente Aceitável requer a revisão e autorização do gerente Risco baixo (B) Aceitável requer procedimentos de rotina Fonte: Dantas (2011). De acordo com Silva, Carvalho e Torres (2003), para elencar a prioridade dos riscos a serem analisados ou tratados se faz necessário a elaboração de uma análise de impacto dos mesmos no negócio. Está análise deve ser feita com uma abordagem top-down dos processos e funções do negócio, da visão estratégica até a operacional. Segundo este mesmo autor, todos os processos possuem papel importante para a organização, mas é necessário avaliar quais possuem mais ou menos importância verificandose qual o período de instabilidade tolerada e o impacto resultante de uma indisponibilidade além deste prazo.

43 Tratamento dos riscos Segundo Dantas (2011), o tratamento dos riscos condiz em ações como evitar, mitigar, transferir ou compartilhar o risco. Estes tratamentos podem ser implementados por meio de medidas de prevenção, terceirizando responsabilidades ou contratando seguros visando a remediação dos prejuízos financeiros. É possível ainda que a organização opte por não tomar medidas quaisquer, onde neste caso se faz necessário que o risco seja devidamente conhecido pelas pessoas afins com o intuito de evitar a ocorrência de algum acidente, conforme recomendado na norma ABNT NBR ISO/IEC 31000:2009. Os riscos de segurança da informação devem ser classificados a fim de definir quais medidas de proteção devem ser tomadas. Segundo Beal (2008), uma classificação possível é: a) Medidas preventivas: caracterizam-se por controles que visam reduzir a probabilidade de a ameaça vir a se concretizar ou diminui a vulnerabilidade do ativo a ser protegido; b) Medidas corretivas ou reativas: medidas que são tomadas durante ou após a concretização de um incidente, visando remediá-lo ou amenizá-lo. c) Métodos detectivos: detecta ataques ou incidentes com a intenção de disparar medidas reativas, reduzindo ou impedindo consequências à organização. A norma ABNT NBR ISO/IEC 31000:2009 afirma que o tratamento do risco é um processo cíclico composto pela avaliação de tratamentos utilizados anteriormente, verificação dos níveis residuais de risco quanto sua tolerabilidade, definição e implementação de novo tratamento caso não sejam toleráveis e avaliação da eficácia do tratamento. Segundo Dantas (2011), os riscos de baixa probabilidade e alto impacto são comumente negligenciados e não possuem tratamento, mas é importante que seja feito pelo menos o estabelecimento de um cenário a fim de determinar ações preliminares de resposta. Este mesmo autor ressalta também que deve ser avaliado o custo financeiro que a aplicação de um tratamento preventivo ou detectivo representa à empresa, para que o mesmo não seja maior que custo do impacto deste risco em questão. Os tratamentos dos riscos podem ser feitos com a utilização de controles, que levam em consideração as regulamentações nacionais e internacionais, os objetivos organizacionais, os custos em relação aos riscos que estão sendo tratados e o balanceamento do investimento

44 nos controles contra a probabilidade de danos que o risco poderá vir a ocasionar (ABNT NBR ISO/IEC 17799, 2005). 43 Segundo Dantas (2011), todos os controles, que contemplam as ações de tratamento, deverão ser descritos no plano de tratamento de riscos, que consiste em um documento com todos os detalhes das ações, como o responsável, prazos, forma de implementação, dentre outras. Após definidas as medidas de proteção ou tratamento a serem utilizadas se faz necessário avaliar o risco residual apresentado e verificar a necessidade da implementação de controles adicionais a fim de diminuir o nível de risco remanescente (BEAL, 2008) Monitoramento dos riscos Após a realização da identificação, análise e tratamento dos riscos, seu gerenciamento precisa ser constantemente monitorado e revisto. O monitoramento deve ser feito com base na vigilância cotidiana dos sistemas, tendo em vista que os cenários são dinâmicos e susceptíveis a mudanças. A revisão dos processos deve ocorrer frequentemente levando em conta as variáveis do ambiente com o intuito de mantê-los atualizados (DANTAS, 2011). De acordo com Beal (2008), a gestão de riscos precisa estar em permanente atualização de forma que mudanças nos sistemas, no ambiente, na tecnologia, nas ameaças e nas vulnerabilidades reflitam também na renovação dos processos pertinentes a gestão de riscos. Ainda segundo esta autora, revisões periódicas da análise de risco devem ser programadas, bem como recalculadas as estimativas de risco caso mudanças organizacionais referentes a segurança forem efetuadas. Segundo Westerman e Hunter (2008), o monitoramento e o rastreamento dos riscos permitem verificar a consistência e a efetividade dos planos, das normas e das políticas de gestão de riscos, bem como todas as circunstâncias aplicadas sobre os riscos administrados. Caso certas políticas ou normas sejam frequentemente violadas talvez o problema encontra-se nos processos nelas descritas e não no pessoal que a aplica, sendo necessário reavaliá-las. 2.7 Boas práticas A política da empresa, juntamente com normas e procedimentos são consideradas boas práticas pois definem os objetivos da organização quanto a segurança, documentando as

45 44 atividades de proteção e prevenção a serem aplicadas. O responsável pela segurança da informação da empresa deverá garantir que todos os processos e métodos listados nestes documentos sejam aplicados e constantemente atualizados, evitando que fiquem obsoletos e sem utilidade alguma (SILVA, CARVALHO e TORRES, 2003). Segundo Dantas (2011), a política da informação se constitui da documentação de todos os princípios, valores, requisitos, objetivos e orientações no que diz respeito a segurança da informação organizacional, com o intuito de alcançar os padrões de proteção desejados. Os propósitos da criação de uma política de segurança, segundo Wadlow (2000), são: a) Descrever os ativos que estão sendo protegidos e o por que; b) Criar um ranking de prioridades, bem como seus custos; c) Delimitar um acordo entre os valores a serem investidos com segurança; d) Apoiar o departamento de segurança em decisões onde é necessário negar algo; e) Garante um desempenho satisfatório do departamento de segurança, impedindo que o mesmo torne-se fútil. De acordo com Beal (2008), juntamente com a política de segurança deve-se adotar as normas e padrões técnicos, pois estes são fundamentais em qualquer âmbito quando deseja-se obter qualidade. As normas e padrões definem regras, princípios e critérios, registrando as melhores práticas a fim de prover qualidade ao processo visando sua eficiência e eficácia. Dentre os principais padrões e normas mais utilizados e conhecidos pelas organizações para segurança da informação tem-se a Information Technology Infrastructure Library (ITIL), o Control Objectives for Information and related Technology (COBIT), a ISO/IEC e a ISO/IEC 17799/27002, conforme apresentados a seguir ITIL A ITIL consiste em um conjunto de melhores práticas a serem adotadas nos serviços de tecnologia da informação a fim de obter um alto padrão de qualidade. Sua construção foi determinada a partir de décadas de análises práticas, pesquisas e trabalhos na área de TI de todo o mundo, sendo reconhecida internacionalmente por sua consistência e abrangência (FERNANDEZ e ABREU, 2012).

46 45 Segundo Beal (2008), apesar do ITIL não ser exatamente um padrão de segurança, ele contempla várias áreas afins como, por exemplo, gestão de incidentes, problemas, configuração, entre outros, o que contribui para manter um alto nível de qualidade da organização, contribuindo para o alcance dos objetivos de segurança da informação almejados COBIT O COBIT, que é composto por diretrizes para gestão, auditoria e práticas dos processos e controles da governança de TI é dividido em quatro domínios: planejamento e organização, aquisição e implementação, entrega e suporte e monitoração. Contendo mais de trezentos pontos de controle em trinta e quatro processos (sendo um deles o de segurança da informação), possui como principal objetivo auxiliar a organização com o Return Over Investment (ROI) de TI (BEAL, 2008). Segundo Fernandez e Abreu (2012), as práticas do COBIT preocupam-se nas necessidades do negócio, contribuindo na entrega dos produtos e serviços de TI, focando no controle e não na execução. Conforme Dantas (2011), dentre os processos, domínios e atividades de controle existentes no COBIT encontra-se o modelo de avaliação e gestão de riscos, apresentando etapas como o estabelecimento do contexto dos riscos, identificação dos eventos, avaliação dos riscos, resposta aos riscos e manutenção e monitoramento do plano de ação dos riscos ISO/IEC A norma ISO/IEC especifica os princípios de gestão de processos visando a implementação, o monitoramento, a revisão a manutenção e melhoria do Information Security Management System (ISMS), que refere-se a um conjunto de práticas para o gerenciamento de riscos de segurança da informação (FERNANDEZ e ABREU, 2012). Segundo Dantas (2011), a norma ISO/IEC é um padrão internacionalmente aceito dividido em oito seções que são: objetivo, referência normativa, termos e definições, sistemas de gestão de segurança da informação, responsabilidade da direção, auditorias internas do ISMS, revisão do ISMS pela direção e melhorias do ISMS.

47 46 As seções apresentam os requisitos para o escopo e limites do ISMS, a definição do processo de avaliação de riscos, o tratamento de riscos, os objetivos dos controles, aprovação de riscos residuais, implementação de programas de conscientização e treinamento, procedimentos de monitoramento e melhorias, entre outros (DANTAS, 2011) ISO/IEC A norma ISO/IEC provê modelos e diretrizes para a gestão da segurança da informação sugerindo a implantação de controles para atender os requisitos que foram previamente identificados por meio da análise e da avaliação dos riscos. Esta norma também serve como um guia para implantação de procedimentos e práticas referentes a segurança da informação (FERNANDEZ e ABREU, 2012). Ainda segundo Fernandez e Abreu (2012), a norma brasileira, publicada pela Associação Brasileira de Normas Técnicas (ABNT) com denominação NBR ISO/IEC que era conhecida antes de 2005 como NBR ISO/IEC está dividida nas seguintes seções: a) Política de segurança da informação; b) Organizando a segurança da informação; c) Gestão de ativos; d) Segurança em recursos humanos; e) Segurança física do ambiente; f) Gestão de operações e comunicações; g) Controle de acesso; h) Aquisição, desenvolvimento e manutenção de sistemas de informação; i) Gestão de incidentes de segurança da informação; j) Gestão de continuidade do negócio; k) Conformidade. A ISO/IEC difere-se na ISO/IEC pois a primeira apresenta apenas as boas práticas para a elaboração de um ISMS e a segunda estabelece os requisitos obrigatórios. É com base na ISO/IEC que são concedidas as certificações de conformidade (DANTAS, 2011).

48 BS 7799 Segundo Beal (2008), a BS 7799, que é o conjunto de padrões inerentes a gestão da segurança da informação, é dividida em duas partes, sendo uma referente ao código de práticas para a gestão da segurança da informação e a outra à definição de um sistema de gestão de segurança da informação. A BS que garante a avaliação, tratamento dos riscos e a melhoria dos processos oferece ainda a possibilidade de certificação envolvendo uma auditoria da ISMS com o intuito de verificar as conformidades da organização frente as diretrizes de segurança da informação. Neste capítulo foi apresentado o referencial teórico relativos ao ensino tradicional e suas características, a relação da informática com o processo de ensino e de aprendizagem, os componentes da infraestrutura de TI, as premissas de segurança em uma organização e suas metodologias de análise e gerenciamento e uma breve descrição das normas vigentes relacionadas ao estudo. Nos capítulos seguintes será apresentada a metodologia utilizada para a realização do estudo, o cenário existente, a análise dos resultados obtidos da aplicação do estudo, bem como sua aplicabilidade quanto à dependência de TI no processo de ensino e de aprendizagem.

49 48 3 METODOLOGIA O presente capítulo tem por objetivo apresentar a abordagem utilizada para o levantamento de dados deste estudo, o tipo de análise realizada, seus métodos e limitações. 3.1 Metodologia de pesquisa Diversas denominações são empregadas às metodologias de pesquisa, mas que diferem apenas em seu conteúdo, a fonte de dados utilizada, a amplitude do estudo e o tipo de análise a ser feita (qualitativa ou quantitativa) de acordo com o estudo a ser efetuado, objetivando especificar de forma minuciosa e detalhada a forma em que a pesquisa será conduzida, quais ferramentas serão utilizadas, público alvo, amostragem, entre outros (SAMARA e BARROS, 2002) Tipo de metodologia a ser utilizada A pesquisa a ser realizada no presente estudo utiliza uma abordagem exploratória e descritiva de um estudo de caso. É realizada uma revisão bibliográfica do assunto tratado e aplicados questionários estruturados visando identificar qual a importância da infraestrutura de TI no processo de ensino e de aprendizado, avaliar o grau de aderência às normas vigentes no que diz respeito a segurança da informação e a gestão de riscos, para que posteriormente seja proposta e realizada uma análise dos riscos. Segundo Samara e Barros (2002), os estudos exploratórios são realizados por meio de dados secundários, sendo caracterizados pela informalidade, flexibilidade e a criatividade, permitindo que ocorra um primeiro contato com o assunto da pesquisa a ser realizada, podendo ser utilizadas hipóteses a serem confirmadas.

50 49 As pesquisas exploratórias têm por objetivo aumentar o conhecimento do pesquisador sobre um determinado problema ou sobre um estudo de caso. Elas podem ser compostas por revisão de literatura, entrevistas, entre outros. As pesquisas descritivas são realizadas por instrumentos padronizados para a coleta de dados, questionários, planilhas, entrevistas ou observações (GIL, 2002) Natureza da pesquisa A pesquisa utilizada uma abordagem de natureza qualitativa, com a utilização de questionários, onde ao invés de realizarmos a coleta de informações atribuídas a números, é feita uma coleta por meio de palavras e às vezes de imagens (HAIR et al., 2005). Segundo Samara e Barros (2002), a pesquisa qualitativa é realizada a partir de entrevistas individuais, permitindo a verificação diferencial dos dados obtidos na amostra escolhida, onde não são coletados dados estatísticos, mas sim avaliados por meio de palavras analisando um determinado contexto. 3.2 Procedimentos para realização da pesquisa Para a realização da pesquisa são utilizados os métodos de pesquisa bibliográfica, pesquisa documental, levantamento e análise de dados e estudo de caso, conforme apresentados a seguir Pesquisa bibliográfica A pesquisa bibliográfica presente neste estudo visa apresentar um embasamento teórico sobre os temas e conceitos que serão pesquisados e analisados, representados pelo conhecimento de diversos autores das áreas afins. Segundo Gil (2002), a pesquisa bibliográfica é constituída de materiais que já foram desenvolvidos e publicados, constituídos principalmente por livros e artigos científicos, sendo que a maioria dos estudos exploratórios são desenvolvidos exclusivamente a partir de fontes bibliográficas Pesquisa documental A pesquisa documental, apesar de assemelhar-se muito com a pesquisa bibliográfica, possui o diferencial de ser uma fonte muito mais diversificada e dispersa. Os documentos

51 50 podem ser divididos em primeira e segunda mão (primários e secundários), sendo que os primários não recebem nenhum tratamento analítico, e os secundários já foram analisados de alguma forma (GIL, 2002). A principal fonte de pesquisa documental utilizada neste estudo é obtida nas normas, diretrizes e boas práticas disponibilizadas pela ABNT e pela International Standards Organization (ISO) Levantamento dos dados Segundo Gil (2002), o levantamento de dados é realizado pela interrogação de um determinado grupo de pessoas visando conhecer sua visão ou comportamento perante um determinado assunto ou problema. O levantamento de dados pode ser classificado como censo, quando toda população relativa ao estudo é interrogada, ou por amostragem quando apenas uma parcela pré-determinada de pessoas são entrevistadas. Ainda segundo Gil (2002), o levantamento de dados possui limitações conhecidas como respostas subjetivas ou distorcidas dos respondentes, visão estática do fenômeno estudado quanto a sua evolução conforme o passar do tempo e erros que possam vir a ocorrer por parte do entrevistador ou do entrevistado. Segundo Hair et al. (2005), nos estudos exploratórios, a pesquisa é efetuada por meio de dados narrativos, entrevistas pessoais ou observação de comportamentos ou eventos utilizando-se uma abordagem qualitativa. Este tipo de estudo envolve amostras menores da população ou estudos de caso. O levantamento de dados deste estudo é efetuado a partir da aplicação de questionários disponibilizados na WEB, a serem respondidos por estudantes, professores e colaboradores da instituição Estudo de caso Segundo YIN (2001), para a realização de um estudo de caso pode-se utilizar levantamentos, pesquisas históricas, análise de informações em arquivos, experimentos, entre outros. Os estudos de caso são principalmente utilizados em pesquisas explanatórias, podendo ser assistidas por pesquisas exploratórias e descritivas, conforme a necessidade do pesquisador.

52 51 O estudo de caso consiste em um estudo aprofundado de poucas variáveis visando proporcionar um conhecimento mais amplo e detalhado, com propósitos variados como a exploração de situações reais, a descrição do contexto em que está sendo feita determinado estudo, formulação de hipóteses ou ainda explicar variáveis de determinados fenômenos que aplicam-se apenas a condições adversas e onde não é possível a utilização de levantamentos e experimentos (GIL, 2002). O estudo de caso realizado nesta pesquisa visa detalhar o cenário atual da infraestrutura de TI existente na instituição, com o intuito de realizar uma análise das ameaças abordadas com relação ao ambiente, avaliando os impactos e consequências aplicados ao processo de ensino e de aprendizagem. 3.3 Fases e etapas da pesquisa Conforme afirmado anteriormente, o método a ser utilizado será o exploratório e descritivo, por meio da coleta de dados por amostragem, sendo que suas etapas serão descritas detalhadamente a seguir Coleta de materiais e informações Para a realização da pesquisa utiliza-se o método survey ou levantamento de dados, por meio da utilização de questionários confeccionados pelo autor e também oriundos da pesquisa documental e do referencial teórico, preenchidos de forma anônima pelo públicoalvo definido. A amostragem a ser utilizada contemplará entrevistados escolhidos pelo método de conveniência, consistindo na seleção de indivíduos que estejam à disposição no momento, que possuam conhecimento nas questões inerentes ao assunto e que possam oferecer as informações necessárias. A amostra será composta por professores, alunos e colaboradores da área de TI do Centro Universitário UNIVATES. Os questionários objetivam obter informações gerais sobre a utilização de TI no âmbito acadêmico, avaliar o grau de aderência da UNIVATES com relação às normas de segurança da informação, o grau de maturidade quanto à gestão de riscos e uma análise dos riscos relacionados a TI no processo de ensino e de aprendizagem, utilizando-se uma abordagem de avaliação das consequências, probabilidades e relevâncias de diversos ativos pré-determinados.

53 As questões existentes nos questionários utilizaram de duas escalas para obtenção das respostas: escala categórica e escala de Likert (classificações somadas). 52 Conforme Hair et al. (2005), a escala categórica é uma escala não-métrica onde as respostas são comparadas umas com as outras e não de forma independente. Um exemplo de escala categórica de múltipla escolha é: Com que frequência utilizo algum recurso de tecnologia da informação disponibilizado pela instituição (WI-FI, Laboratórios de informática, Terminais de Consulta)? ( ) Todos os dias ( ) Até três vezes por semana ( ) Até duas vezes por semana ( ) Uma vez por semana ( ) Não utilizo/nunca utilizei A escala de Likert, por outro lado utiliza números ímpares de opções com um rótulo para expressar a intensidade da resposta. Quando todas as escalas são somadas é caracterizado como uma escala de classificações somadas. A escala utilizada neste estudo será de cinco opções. Um exemplo de questão utilizando-se a escala de Likert é: rede local? Como você quantificaria a probabilidade de ocorrência de falha considerando o ativo ( ) 5 Muito Alta ( ) 4 Alta ( ) 3 Médio ( ) 2 Baixo ( ) 1 Muito Baixo Análise dos dados A análise dos dados realizada é constituída pelo tratamento e interpretação dos resultados advindos dos questionários. Para a definição do contexto da gestão de riscos, foram utilizadas as questões gerais advindas do questionário de análise de riscos da infraestrutura de TI no processo de ensino e de aprendizagem (Apêndice A). As demais questões deste questionário foram tabuladas para obtenção do índice P x C x R (Probabilidade, Consequência e Relevância) e para verificação da existência de planos de contingência e de continuidade.

54 53 Para verificação do grau de aderência a norma utilizou-se o framework confeccionado por Sêmola (2003), que visa avaliar dez processos que compõem a norma ABNT NBR ISO/IEC17799 (Anexo A). Os dados obtidos foram tabulados e analisados a fim de obter-se a pontuação final do teste. A definição do grau de maturidade do Centro Universitário UNIVATES obteve-se por meio da aplicação de um framework disponibilizado pelo Centro de Qualidade, Segurança e Produtividade (QSP), que tem o intuito de avaliar diversos processos e procedimentos inerentes à segurança da informação (Anexo B). Com os resultados do questionário, foi calculada uma média, conforme sugere o framework, a fim de classificar o grau de maturidade da organização. Segundo Hair et al. (2005), após a coleta dos dados os mesmos precisam ser analisados e examinados e se necessário transformados, afim de garantir sua integridade, confiabilidade e representatividade nos resultados. Neste capítulo são apresentadas as metodologias utilizadas para a coleta de dados, os tipos de pesquisa e a abordagem utilizada para realização do estudo de caso. No capítulo seguinte é apresentado o cenário atual da infraestrutura de TI do Centro Universitário UNIVATES e sua relação com o ambiente de ensino e de aprendizagem.

55 54 4 CENÁRIO ATUAL O presente estudo é realizado no Centro Universitário UNIVATES, com base na sua infraestrutura de TI, os elementos da rede local, acessos à Internet, suprimento de energia, bem como toda a estrutura física e lógica. A análise e avaliação dos riscos de infraestrutura de TI no âmbito de ensino e de aprendizagem é realizada levando-se em conta a rede de computadores e todos os componentes existentes na instituição que proveem acesso às ferramentas de TI utilizadas no processo de ensino e aprendizagem em sala de aula. A infraestrutura de TI que atende o Centro Universitário UNIVATES pode ser considerada complexa pois é composta por uma grande quantidade de elementos, distribuídos pelos diferentes prédios existentes na instituição, regidos por um ponto central de distribuição onde ocorre todo o processamento e armazenamento das informações (data center), organizada física e logicamente afim de atender as diversas demandas existentes. A infraestrutura de TI interna, compreendida pelos meios de transmissão, cabeamento estruturado, fornecimento de energia elétrica, data center, infraestrutura de entrada, aterramento, climatização, sistema de combate a incêndio, estações de trabalho, servidores, aplicações, equipamentos de rede, dispositivos de segurança, sistemas de armazenamento de dados, entre outros, está distribuída por toda a extensão do campus, atuando para prover rede de dados ao campus da instituição. O acesso externo, responsável pelo tráfego de dados, tanto de entrada quanto de saída é suprido por dois ISPs distintos que, apesar de atuarem independentemente e com

56 características distintas, convergem para um único ponto de entrada localizado no Prédio 1 e em um único equipamento, alocado no Prédio 9, mais especificamente no data center. 55 A estrutura lógica, responsável por organizar e distribuir o tráfego de dados internamente, é compreendida pelas LANs, Virtual Local Area Network (VLAN), e Wireless Local Area Network (WLAN) a fim de possibilitar acesso e segurança da rede aos alunos e professores em sala de aula. Na Figura 4, são ilustradas as estruturas primárias que atuam no provimento e disponibilização da rede de dados da UNIVATES da entrada de facilidades até as salas de telecomunicações do campus. Figura 4 Diagrama da infraestrutura de rede primária Fonte: Elaborado pelo autor (2014).

57 56 A partir do data center é feita a distribuição dos enlaces ópticos até os prédios, mais precisamente até as sala de telecomunicações, onde é feito a distribuição da rede de dados até as salas de aula. A Figura 5 exemplifica os componentes da rede existente em um prédio acadêmico, desde a sala de telecomunicações até o usuário final. Figura 5 - Diagrama da infraestrutura de rede acadêmica Fonte: Elaborado pelo autor (2014). Cada uma das estruturas será detalhada em subseções apropriadas contidas nesta seção, abordando seu funcionamento e aplicação na rede. 4.1 Infraestrutura de entrada A infraestrutura de entrada ou entrada de facilidades compreende no local onde ocorre a separação do cabeamento proveniente dos ISPs do cabeamento interno, gerido pelo proprietário ou usuário da organização (MARIN, 2011).

58 57 A infraestrutura de entrada da universidade (representada pela letra A na Figura 4) concentra-se no Prédio 1, sendo atualmente composta por dois links ópticos de dois provedores de serviço diferentes, chegando por distribuição aérea até as dependências da instituição, onde ocorre a transição para a tubulação subterrânea que chega até a sala de telecomunicações do Prédio 1. O encaminhamento até o data center, que está situado no Prédio 9, é feito apenas por interligação passiva no Distribuidor Interno Óptico (DIO), utilizando-se as rotas do backbone óptico já existente para interligação com o mesmo. 4.2 Backbone Os backbones de edifício existentes utilizam-se de fibras ópticas multimodo para interligar as salas de telecomunicações de um mesmo prédio, possibilitando até dez gigabits de tráfego. O backbone de campus (representado pela letra B na Figura 4), que interliga dois ou mais edifícios de uma mesma área, é composto principalmente por cabos de fibra óptica multimodo, com exceção de alguns casos onde as distâncias são maiores e existem fibra monomodo, encaminhados de forma subterrânea, com a utilização de caixas de passagem, com distâncias em média de trinta metros entre uma e outra, para interligação dos prédios até o ponto central, o data center. 4.3 Data center Segundo Marin (2011), os data centers são ambientes que possuem uma infraestrutura diferenciada, que abrigam equipamentos que atuam no armazenamento e processamento dos dados e informações cruciais de negócio de uma determinada organização. O data center da UNIVATES (representado pela letra C na Figura 4) é composto por vários componentes como climatização, suprimento de energia elétrica ininterrupta, sistema de detecção e supressão de incêndio, controle de acesso, sistema de CFTV, piso elevado, manta térmica, forro celular, portas corta fogo, parede de bloco celular, entre outros, que compõem os projetos arquitetônico, elétrico, lógico, mecânico e de segurança.

59 Projeto Arquitetônico O data center da instituição é composto por três ambientes localizados no Prédio 9. Esta divisão se faz necessária a fim de prevenir o acesso indevido a locais cruciais sem que haja necessidade e prover um ambiente de fácil manutenção Sala de nobreaks Neste ambiente ocorre a ligação da distribuição de energia elétrica externa (concessionária ou grupo gerador) com os nobreaks que atendem toda a demanda energética do data center, abrigando também o quadro elétrico de entrada dos circuitos. Esta sala é isolada das outras, pois possui maior concentração térmica e por agrupar uma grande quantidade de circuitos elétricos Sala de telecomunicações A sala de telecomunicações compreende no local que abriga todos os links ópticos provenientes das outras salas de telecomunicações espalhadas por todo o campus da instituição, além de abrigar todos os pontos de telecomunicações do Núcleo de Tecnologia da Informação (NTI), a central e o sistema de detecção precoce de incêndio. Esta sala é separada das demais, pois a mesma é acessada frequentemente por empresas terceirizadas que prestam serviços e que não precisam de acesso à sala de equipamentos Sala de equipamentos A sala de equipamentos é composta por quatro racks, sendo um de cabeamento crossconnect (que interliga a parte traseira dos outros racks) e de módulos HDMPO (que interligam os links ópticos à sala de telecomunicações) e de outros três que abrigam os ativos de rede (servidores, roteadores, storages, core switch, controladora WI-FI e firewall) Projeto elétrico Conforme demonstra a Figura 6, o projeto elétrico do data center é composto pela concessionária de energia elétrica, pelo grupo gerador e pelo nobreak. Cada um dos elementos será detalhado a seguir.

60 59 Figura 6 - Diagrama do projeto elétrico Fonte: Elaborado pelo autor (2014). O fornecimento de energia elétrica do data center provêm de apenas uma concessionária de energia (representada pela letra A na Figura 6), que em caso de falha é coberta pela atuação de um grupo gerador (representada pela letra B na Figura 6) de 55 kilovoltampere (kva) com autonomia de aproximadamente vinte horas (considerando-se que o mesmo esteja completamente abastecido e com a carga atual) afim de evitar a interrupção do fornecimento de energia elétrica. Entre a interrupção do fornecimento de energia proveniente da concessionária e a atuação do grupo gerador (em torno de vinte segundos) o data center conta com dois nobreaks trifásicos de dupla conversão on-line (representada pela letra D na Figura 6) com quarenta kva de potência cada um (atuando em redundância), atendidos por dois bancos de 64 baterias

61 ligadas em série (representada pela letra E na Figura 6), afim de suprir a demanda energética e evitar o corte total do fornecimento de energia elétrica. 60 Os circuitos elétricos provenientes da saída dos nobreaks são distribuídos em dois quadros de força existentes na sala de servidores, subdivididos em outros circuitos de menor capacidade. Os ativos existentes no data center possuem fonte elétrica redundante, sendo que cada uma das fontes é ligada em um dos circuitos disponíveis (cada um proveniente de um nobreak), garantindo que em caso de falha em algum dos dois nobreaks ou na própria fonte o equipamento continuará funcionando Projeto mecânico O projeto mecânico, composto pelo sistema de climatização do data center, possui dois sistemas distintos atuando em conjunto. O primeiro utiliza-se do condicionador de ar central do prédio, onde duas das doze máquinas fan coil (equipamento que utiliza água gelada e dispensa o uso de fluidos refrigerantes) são destinadas a refrigeração do data center, sendo uma de cinco TR (Tonelada de Refrigeração) e outra de dez TR. O segundo sistema compreende em dois equipamentos tipo split, sendo um de cinco TR e o outro de dez TR, conforme o primeiro sistema. O condicionador de ar central opera nos horários comerciais, de segunda à sábado. Nos horários em que o mesmo não atua, a refrigeração do data center é assumida pelo segundo sistema de forma automática pela automação. Caso algum dos sistemas falhe o outro entra em operação para atender a demanda de refrigeração dos ambientes Projeto de segurança O projeto de segurança do data center é composto por um sistema de detecção e combate a incêndios, de um sistema de controle de acesso e de monitoramento dos ambientes Sistema de detecção e combate a incêndios O sistema de combate a incêndio é composto por uma central de incêndio, detectores de fumaça e sensor de partículas para detecção precoce de possíveis focos de sinistros, que atuam em conjunto com o disparo de um gás supressor de incêndios inerte, com a automação

62 do desligamento automático dos condicionadores de ar, fechamento dos dampers de entrada do ar climatizado e de alarmes sonoros e visuais. 61 O sensor de partículas atua como uma forma antecipada ao sensor de fumaça, pois possui maior sensibilidade que o mesmo, analisando, por exemplo, odores no ambiente em caso de aquecimento na fiação elétrica. A atuação do sensor possui interface com a central de incêndio, gerando um pré-alarme na mesma. O gás utilizado para a supressão de incêndios é o FM-200 que é considerado um gás inerte limpo e que não deixa vestígios, suprimindo o incêndio em até dez segundos, impedindo a reação química do fogo (KIDDE, 2014) Controle de acesso e monitoramento O data center da UNIVATES conta com leitores biométricos nas portas de acesso aos três ambientes citados anteriormente (com leitor de cartão e de biometria) para todos os funcionários autorizados e para a equipe terceirizada de monitoramento em casos de sinistro. Para monitoramento dos ambientes os administradores contam com sensor de alagamento nos dampers de entrada do ar refrigerado da climatização, sensores de umidade, de temperatura e de abertura de portas, além de um sistema de CFTV Projeto lógico O projeto lógico do data center é composto por todos os ativos existentes, pelo cabeamento estruturado que os interliga e pelos serviços disponibilizados aos usuários. O roteador utilizado no data center (representado pela letra D na Figura 4) é um equipamento da marca Cisco, modelo 2921, tendo como função intermediar os links de Internet ao firewall externo e à rede da instituição. O roteador utiliza-se de dois links de Internet: um proveniente da Rede Nacional de Pesquisa (RNP), por intermédio do POP-RS (Ponto de Presença da RNP no Rio Grande do Sul) e outro com uma empresa provedora do serviço de Internet. O firewall externo (representado pela letra E na Figura 4) é o equipamento da marca Palo Alto Networks, modelo PA

63 62 O core switch (representado pela letra F na Figura 4) é o Enterasys S8, atuando no roteamento estático para encaminhamento de pacotes, como firewall interno e no acesso entre as redes utilizando-se o recurso de Access Control List (ACL). A controladora WI-FI (representado pela letra G na Figura 4) que gerencia os pontos de acesso da rede sem fio é um equipamento da marca Cisco, modelo 5508, atuando em redundância com mais um equipamento do mesmo modelo. 4.4 Sala de telecomunicações Segundo Marin (2011), a sala de telecomunicações compreende em um local da instalação que serve para abrigar toda a infraestrutura relacionada com a função de telecomunicações como racks, switches, nobreaks e painéis de interligação do cabeamento horizontal com o cabeamento vertical. Segundo o NTI, a UNIVATES conta com 43 salas de telecomunicações ativas espalhadas pelos prédios do campus, sendo que os prédios que possuem maior concentração de pontos ou que possuem muita área são atendidos por mais de uma sala de telecomunicações (componente representado pela letra H na Figura 4). Todas as salas de telecomunicações existentes possuem acesso restrito aos funcionários do NTI da instituição, ambiente climatizado e fornecimento de energia suprido por nobreaks, conforme detalhado nas subseções a seguir Fornecimento de energia elétrica A alimentação elétrica das salas de telecomunicações e das áreas de trabalhos dos usuários é feita através de uma derivação do Quadro Geral de Baixa Tensão (QGBT) do pavimento por meio de um circuito trifásico, sendo subdividido em circuitos monofásicos de menor amperagem para atender as tomadas elétricas dos diversos ambientes. O fornecimento da energia elétrica das salas de telecomunicações é provido por apenas uma concessionária de energia por prédio, não havendo redundância para casos de falha. A sala de telecomunicações, bem como os ativos, switches, pontos de acesso WI-FI e equipamentos de vigilância (CFTV) são atendidos por nobreaks individuais (um para cada sala de telecomunicações).

64 Climatização Todas as salas de telecomunicações do campus possuem pelo menos um condicionador de ar modelo split a fim de climatizar o ambiente e evitar superaquecimento dos equipamentos. Os mesmos são revisados semanalmente pelos funcionários do NTI e trimestralmente por técnicos do setor de Engenharia e Manutenção com o intuito de identificar e prevenir problemas nos equipamentos Ativos de rede Segundo o NTI, a rede de computadores da UNIVATES conta com 95 switches (dentre switches de acesso, distribuição e o core switch). Dentre os switches de acesso utilizados (componente representado pela letra A na Figura 5), a instituição dispõe de equipamentos da marca Enterasys, com modelos das linhas A2, B2, B5, C2 e V2 e os da marca DELL, com os modelos 6224P e 6248, sendo que o primeiro modelo possui disponibilidade da função Power Over Ethernet (PoE) para atender a demanda dos pontos de acesso WI-FI. Todos os switches utilizados na rede são gerenciáveis. O equipamento Enterasys N7 alocado na sala de telecomunicações do prédio um atua como centralizador de todos os links ópticos inerentes ao CFTV da instituição e também atua como distribuidor, mediando acesso ao Prédio da SAJUR e do Ponto de Troca de Tráfego (PTT) instituído na universidade. O equipamento Enterasys G3 existente na sala de telecomunicações do Prédio 17 atua como distribuidor, interligado por um enlace óptico até o data center, atendendo o próprio prédio, o Prédio 18, a Sede Social e o prédio da Tecnovates. A Figura 7 apresenta os switches de acesso e distribuição, seus respectivos esquemas de ligação existentes em toda a infraestrutura da instituição e o core switch, equipamento centralizador, alocado no data center no Prédio 9.

65 64 Figura 7 - Ativos de rede do Centro Universitário UNIVATES Fonte: Retirado da ferramenta Zabbix utilizado pelo Núcleo de Tecnologia da Informação da UNIVATES. 1 1 Zabbix: Ferramenta livre de monitoramento de disponibilidade e performance de redes, servidores e serviços atuando de forma preventiva e detectiva na infraestrutura de TI. A utilização dessa ferramenta permite aos administradores de rede da Univates um monitoramento quanto a disponibilidade dos ativos, visando a resolução do problema no menor tempo possível.

66 Meios de transmissão e cabeamento estruturado O cabeamento horizontal (representado pela letra B na Figura 5) existente nos prédios do campus utilizam cabos certificados de fábrica tipo Unshielded Twisted Pair (UTP) de categorias 5e, 6 e 6A (sendo o último utilizado apenas no data center), com encaminhamento até a área de trabalho utilizando-se eletro calhas, canaletas de alumínio, eletro dutos, leitos e conectores fêmea de oito vias padrão RJ45 na área de trabalho. Atualmente a instituição conta com cerca de quatro mil e quinhentos pontos de telecomunicações, conforme dados do NTI, instalados em topologia estrela. Todos os subsistemas de cabeamento atendem as normas vigentes anteriormente citadas no referencial teórico. 4.6 Rede sem fio A rede sem fio (WI-FI) da UNIVATES atinge mais de cinco mil e duzentos acessos simultâneos em horário de aula, nos 214 pontos de acesso sem fio distribuídos pelo campus (componente representado pela letra C na Figura 5), conforme dados do Núcleo de Tecnologia da Informação da instituição. O ambiente acadêmico é atendido tanto pela rede WI-FI quanto pela rede cabeada utilizada nos laboratórios de informática. A rede WI-FI, utilizada principalmente pelos alunos e professores por meio de dispositivos particulares e da instituição, compreende a maior demanda de rede nos horários de aula. A Figura 8 demonstra a interface de monitoramento em tempo real de toda a rede WI- FI do campus, com informações como quantidade de pontos de acesso por prédio, quantidade de usuários totais e por prédio, disponibilidade dos pontos de acesso e da controladora e distribuição dos usuários por perfil (aluno, professor e visitante).

67 66 Figura 8 - Monitoramento da rede WI-FI Fonte: Retirado do ferramenta Zabbix utilizado pelo Núcleo de Tecnologia da Informação da UNIVATES. 4.7 Estações de trabalho Segundo o NTI da UNIVATES, os dispositivos que compõem as estações de trabalho da instituição correspondem em torno de 1870 equipamentos conectados à rede, sendo em torno de 960 administrativos e 912 computadores para uso acadêmico (representados pela letra D na Figura 5). Dentre estes dispositivos, 79% são desktops, 10% notebooks, 5% thin clients e 6% tablets. No que diz respeito ao sistema operacional, 79% possuem Windows 7, 16% distribuições Linux, 3% Windows 8 e 2% utilizam MAC OS. As estações de trabalho são compostas por equipamentos das marcas Dell, Acer, Lenovo, HP, LG e Samsung e são inventariados pela solução da Dell denominada KACE 1000, administrado pelo setor do NTI. 4.8 Aterramento Todos os passivos existentes no data center como racks, patch panels e tomadas elétricas possuem aterramento adequado, bem como os cabos e conectores blindados utilizados no cabeamento categoria 6A.

68 67 O cabeamento horizontal dos prédios da instituição possui aterramento nos condutos que realizam o encaminhamento até a área de trabalho, nos quadros elétricos e em suas tomadas, sendo que os cabos utilizados não possuem blindagem (cabos UTP). 4.9 ISPs Para atender a demanda de acesso externo (WAN) a instituição utiliza-se de dois ISPs, ambos com velocidade de 200 Megabits por segundo, conforme demostra a Figura 9, onde pode-se visualizar o tráfego (de entrada e de saída), a velocidade contratada, a disponibilidade dos roteadores e do core switch. Figura 9 - Tráfego WAN Fonte: Retirado da ferramenta Zabbix, utilizada pelo Núcleo de Tecnologia da Informação da UNIVATES Serviços Os serviços de rede e de sistemas internos utilizados pelos alunos e professores no âmbito acadêmico da instituição consistem principalmente no acesso à Internet e ao site da UNIVATES ( ao ambiente virtual de aprendizagem (UNIVATES Virtual), ao sistema de gerenciamento acadêmico do aluno (Universo UNIVATES), ao sistema de pesquisa, acesso online e reserva de livros acadêmicos e ao acadêmico dos alunos e dos professores. Todos os serviços acima citados estão hospedados em máquinas virtuais alocadas em dois equipamentos blade da marca Dell modelo M1000e. Todo o gerenciamento de hardware

69 dos equipamentos é realizado por um software gerenciador, bem como a migração das máquinas virtuais em caso de falha de algum dos hosts de determinado equipamento. 68 A Figura 10 apresenta o monitoramento dos servidores alocados no data center quanto a sua disponibilidade, o tráfego com o core switch, além de outras informações como latência e quantidade de conexões. Figura 10 - Monitoramento dos servidores e de dispositivos de armazenamento Fonte: Retirado da ferramenta Zabbix, utilizada pelo Núcleo de Tecnologia da Informação da UNIVATES Neste capítulo foram abordados todos os elementos constituintes da infraestrutura de TI do Centro Universitário UNIVATES, apresentando o data center, as salas de telecomunicações e seus subsistemas. No capítulo seguinte são apresentados os resultados e a análise dos dados provenientes da aplicação dos formulários e metodologias apresentados no Capítulo 3.

70 69 5 APRESENTAÇÃO DO MODELO DE GESTÃO DE RISCO E ANÁLISE DOS RESULTADOS Neste capítulo é apresentado o modelo de gestão de riscos proposto, os resultados da aplicação dos formulários e a análise realizada a partir dos mesmos com base na revisão bibliográfica apresentada e nos métodos descriminados no Capítulo 3. Conforme apresentado na Figura 11, o modelo de gestão de riscos definido pela norma ABNT NBR ISO/IEC é dividido em cinco etapas, sendo a definição do contexto, a análise, avaliação, tratamento e aceitação dos riscos. Figura 11 Processo de gestão de riscos segundo a norma ABNT NBR ISO/IEC Fonte: ABNT NBR ISO/IEC (2009).

71 70 O modelo de gestão de riscos proposto abrange as três principais etapas sugeridas pela norma, compreendidas pelo estabelecimento do contexto, pelo processo de avaliação de riscos e pelo posterior tratamento e acompanhamento dos mesmos. A confecção do modelo foi fortemente embasada nas normas ABNT NBR ISO/IEC e suas revisões, 27004, 27005, e 31010, apoiadas também no referencial teórico obtido. Para aplicação do método proposto utilizou-se três formulários distintos. Um para a análise do grau de aderência a norma ABNT NBR ISO/IEC (Anexo A), um para análise do grau de maturidade do processo de gestão de riscos (Anexo B) e outro para avaliação dos riscos que a infraestrutura de TI oferece ao processo de ensino e de aprendizagem do Centro Universitário UNIVATES (Apêndice A). Cada formulário corresponde a um framework específico, que visa à obtenção dos resultados para posterior análise. Os formulários de análise do grau de aderência a norma e de análise do grau de maturidade do processo de gestão de riscos foram aplicados a alguns funcionários com cargos gerenciais do NTI da UNIVATES, sem identificação do respondente. O formulário de avaliação dos riscos foi aplicado aos alunos, professores e alguns funcionários do setor do NTI. Após a definição do contexto, é realizada a avaliação dos principais riscos impostos pela infraestrutura de TI ao processo de ensino e de aprendizagem, determinados pela aplicação do formulário previamente descrito, e realizado uma análise com base na correlação existente entre os riscos, ao grau de maturidade e aderência e ao cenário ao qual o processo está inserido. Com as informações obtidas até este ponto, é definido o plano de continuidade para o processo de ensino e de aprendizagem na UNIVATES. Na seção a seguir, será apresentada a definição do contexto ao qual o estudo aborda com base nas recomendações da norma ABNT NBR ISO/IEC Estabelecimento do contexto Segundo a norma ABNT NBR ISO/IEC 31000, o estabelecimento do contexto ao qual a gestão de riscos será aplicada necessita que haja a definição do contexto externo e do contexto interno, a fim de estabelecer um escopo e os critérios a serem utilizados.

72 71 Para a realização do presente estudo não considerou-se o contexto externo da organização, pois a proposta visa avaliar os controles e procedimentos internos quanto a gestão e a maturidade da gestão de riscos. Embora existam diversas abordagens para definição do contexto interno, o presente estudo consideradas as abordagens quanto a área e processo, caracterizando uma abordagem mista. Nesta abordagem mista, o objetivo será avaliar o risco que a área de TI impõe ao processo de ensino e de aprendizagem do Centro Universitário UNIVATES. Figura 12 - Contexto interno da UNIVATES Fonte: Elaborado pelo autor (2014). Conforme ilustra a Figura 12, o contexto interno do Centro Universitário UNIVATES, é composto pelas pessoas que atuam nas atividades docentes e discentes, pelo ambiente computacional, ou infraestrutura de TI, que refere-se a área, e pela transmissão de conhecimento adotado em sala de aula, o processo. Para definição do contexto interno com relação aos métodos, diretrizes e políticas adotadas pela organização são utilizados os frameworks de definição do grau de aderência da segurança da informação e do grau de maturidade com relação a gestão de riscos. Para definição da relevância ao qual o processo de ensino e de aprendizagem apresenta na visão dos alunos e professores, aplicou-se um formulário com perguntas gerais referentes as metodologias de ensino utilizadas em sala de aula e qual a percepção que os alunos