Professional Documents
Culture Documents
TECNOLOGIA
INFORMAÇÃO - TI
SUMÁRIO
CONTEÚDO DETALHADO:
TECNOLOGIA DA INFORMAÇÃO
1. Gestão e Governança de TI: Planejamento Estratégico. Alinhamento entre estratégias de tecnologia da informação e de
negócio: conceitos e técnicas. 2. Gerência de Projetos: Conceitos. Processos do PMBOK. 3. Gestão de Processos de
Negócio: Modelagem de processos. Técnicas de análise e modelagem de processo. BPM – Business Process Modeling.
4. Gerência de Requisitos de Software: Conceitos de Requisitos. Requisitos Funcionais e não Funcionais. Engenharia de
requisitos: conceitos básicos. Técnicas de elicitação de requisitos. Gerenciamento de requisitos. Especificação de
requisitos. Técnicas de validação de requisitos. 5. Gerencia de Serviços de TI: Fundamentos da ITIL® (Versão 3).
Fundamentos de COBIT (Versão 5). 6. Banco de Dados: Conceitos. Modelagem de Dados Relacional. Modelagem de
Dados Multidimensional.Conceitos e estratégias de implantação de Data Warehouse, OLAP, Data Mining, ETL e
Business Intelligence. 7. Portais corporativos e colaborativos. 8. Segurança da informação: Conceitos básicos. Plano de
continuidade de negócio. Noções sobre Criptografia, Assinatura Digital e Autenticação. Certificação Digital. Auditoria,
vulnerabilidade e conformidade. 9. Redes: Conceito de rede. Arquitetura de Rede. Noções de administração de redes.
Conceitos de Virtualização.
Estruturas, Processos e Mecanismos de Governança de TI
INTRODUÇÃO
O uso e a exploração dos recursos tecnológicos são cada vez mais intuitivos, porém a
mesma facilidade não é observada em termos de gestão e controle dos componentes
tecnológicos que estão relacionados ao negócio. Portanto, o principal desafio na
contemporaneidade é saber utilizar a TI de forma efetiva, extraindo e agregando valor
real ao negócio da organização.
Diante das questões apresentadas surge uma indagação importante: o que é preciso
observar em termos de capacidades organizacionais para se estabelecer controles
efetivos para implementar a TI harmônica com o negócio? Nesse contexto, há várias
correntes acadêmicas, como também iniciativas de Órgãos de Fiscalização e Controle e
melhores práticas que, conjuntamente têm apontado a Governança de TI como uma das
principais alternativas para tratamento das necessidades de controles interno e externo.
2
É importante mencionar, ainda, que as práticas de Governança de TI recomendadas
pelos Órgãos de Fiscalização e Controle às Organizações da APF, indireta, contemplam,
fortemente, questões relacionadas à segurança da informação.
Segundo, LUNARD (2007), foi a partir de 2001, com a definição proposta por
KORACKAKABADSE e KAKABADSE que a governança de TI passa a se concentrar
também na necessidade de definir processos e mecanismos de relacionamento e não
apenas estruturas – para desenvolver, dirigir e controlar os recursos de TI, de modo a
atingir os objetivos da organização. Nessa mesma linha, aparecem as definições de
Peterson (2004), TURBAN, MCLEAN E WETHERBE (2004) e do ITGI (2000).
3
- Em relação à aplicação dos Processos de Governança de TI, foi verificado que 9%
dos processos são realizados, 64% são parcialmente realizados e 27% não são
realizados.
– Em relação aos mecanismos de Governança de TI, foi constatado que 67% são
parcialmente realizados e 33% não são realizados.
METODOLOGIA
REFERENCIAL TEÓRICO
A Governança Corporativa
4
Governança Corporativa desperta novo interesse entre as empresas, principalmente
pelo descontentamento de grandes investidores quanto às decisões tomadas pelos
dirigentes das empresas, muitas vezes tomadas em seu benefício próprio em detrimento
ao dos acionistas.
A Governança de TI
Num outro artigo, publicado em 1999, os mesmos autores citaram que a posição da
organização no mercado da TI envolve três conjuntos de escolhas: escopo da tecnologia
da informação, competências sistêmicas e Governança de TI (Henderson e
Venkatraman, 1999).
5
A Governança de TI é uma estrutura de relações e processos para dirigir e controlar a
função de TI numa Organização, a fim de atingir seus objetivos, agregando valor,
equilibrando riscos versus retorno sobre TI e seus processos. Parte da Governança de TI
é projetar, aplicar e avaliar um conjunto de regras para governar as regras e funções da
TI (VERHOEF, 2007).
Segundo LUNARD et al (2007), foi a partir de 2001, com a definição proposta por
Korac- Kakabadse, que a governança de TI passa a se concentrar também na
necessidade de definir processos e mecanismos de relacionamento e não apenas
estruturas para desenvolver, dirigir e
controlar os recursos de TI, de modo a atingir os objetivos da organização. Nessa
mesma linha, aparecem as definições de PETERSON (2004b), TURBAN et al (2004) e
ITGI (2003).
6
- Norma ABNT NBR/ISO 27002:2005 – Código de boas práticas para a gestão da
segurança da informação.
Em se tratando de pressões externas, quais são as regras? É uma falha ver a Governança
de TI como uma mera resposta às pressões regulatórias externas, pois isso gera uma
atitude fundamentalmente
doentia: a governança é vista apenas como um custo, um custo de fazer negócios, sobre
as quais você não tem controle (Norfolk, 2011).
Na verdade, a governança de TI deve ser vista como uma maneira em que o Conselho
possa garantir que os recursos de TI são implantados e gerenciados de forma rentável,
em busca da estratégia de negócio. O objetivo final da governança de TI é o negócio
melhor, mais rápido, mais barato, ou seja, a garantia de resultados ao negócio.
Felizmente, a maioria nova legislação não é mais puramente prescritiva, isto é, não
apenas especificar uma lista de regras mais ou menos arbitrárias, mas as tentativas de
gerar e adotar “boas práticas” e “maturidade organizacional’. Uma empresa que satisfaz
a Lei Sarbanes-Oxley, por exemplo, será uma empresa melhor gerenciada, capaz de
medir a eficácia com que ele se alinha objetivos de TI aos objetivos de negócio, capaz
de demonstrar a eficácia e integridade de seus relatórios financeiros – e capaz de operar
de forma mais econômica, como resultado.
Mesmo assim, há uma série de novas legislações em torno de controle interno em geral,
que o grupo de TI deve estar ciente. O grupo de TI sempre vai ser mais eficaz no
contexto de um negócio em evolução, em que a tecnologia muda rapidamente, se a
governança de TI é construída em sistemas automatizados desde o início. Isso significa
adotar um ciclo de desenvolvimento e processo de manutenção, que trata exigências
regulatórias como iguais em importância para os outros requisitos de negócio e implica
que os sistemas automatizados sejam testadas em cenários derivados da legislação
aplicável.
7
isto significa que eles devem estar cientes de que existe legislação e que tipo de
controles são mandatórios.
É importante, realmente ler, as legislações que afetam a governança de TI, bem como as
notas de orientação ou de imprensa.
A Basileia II, por exemplo, teve um impacto significativo sobre os processos bancários
e os sistemas de TI que os implementam e os suportam – em grande parte na área de
monitoramento de perfis de risco de crédito, sendo de grande importância para os
bancos. No entanto, para as instituições financeiras, Basileia II tem algumas implicações
bastantes sutis, como a gestão de riscos não é particularmente determinística e as novas
regras podem simplesmente significar que o risco seja transferido.
8
licenciados, como por exemplo, há kits SOX disponíveis no mercado que prometem
entregar a conformidade com a Sarbanes-Oxley, mas na ausência de um processo de
gestão de ativos bem compreendido, é improvável que tenham a capacidade de entregar
tal conformidade.
- As Publicações como Gee’s IT Policies and Procedures (ITPP, 2004) são tentativas de
orientar os assinantes sobre o estado atual de tal legislação, e são regularmente
atualizadas, mas convém que haja o aconselhamento profissional sobre as implicações
exatas da legislação, se isso afeta especificamente a TI. Talvez não seja diretamente
uma parte da “Governança de TI”, por si só, mas às vezes é bom lembrar que é uma
idéia muito boa para evitar processos judiciais caros, sempre que possível.
Na verdade, é possível que a conformidade regulatória possa ser implementada no
software que conduz o negócio, mas deve-se ter muito cuidado com isso, pois numa
última análise, o efeito da lei
reguladora e de leis associadas permite ao tribunal decidir com base na legislação e não
ao que parece, tecnicamente, competente e razoável aos leigos.
Mecanismos de Governança de TI
9
críticos para a organização, como a falta de recursos, exigindo que os
executivos analisem e priorizem seus projetos tecnológicos, conforme o seu impacto na
organização (LUNARD, 2007).
O framework proposto por Peterson (2004) aborda uma forma de comportar estruturas
de gestão de TI, processos e mecanismos numa relação compreensível, cujas estruturas
envolvem a existência de
papeis e responsabilidades, como os executivos de TI e os comitês de TI; os processos
referem-se ao monitoramento e a tomada de decisões estratégicas; e os mecanismos de
relacionamento incluem a participação da TI e do negócio, o diálogo estratégico, o
conhecimento compartilhado e a comunicação adequada.
10
De acordo com Norfolk (2011), o primeiro requisito para se estabelecer a Governança
de TI é buscar alinhar a Governança de TI com a Governança Corporativa.
11
- Implementar segurança baseada em política e gestão de identidade
Uma boa segurança da informação esta baseada em papeis e pela sua manutenção, ou
seja as pessoas numa organização têm acesso básico, restrito como empregados, e lhes
são atribuídos os papéis na organização, cada função traz consigo as permissões de
acesso apropriadas. Se as pessoas são movimentadas, dentro da organização, elas têm
seus papéis alterados e perdem as permissões associadas a este papel, como também,
ganham aquelas permissões associadas a outro papel.
12
Discovery, Gestão de Configuração e Mudanças, Gestão de Capacidade e
Gerenciamento de Identidades.
A ITIL® é uma boa base para a gestão de infraestrutura, embora provavelmente seja
suficiente, em vez do que o necessário. Bem como a gestão de ativos, gerenciamento de
capacidade e gerenciamento de nível de serviço, a função Service Desk e rastreamento
de defeitos normalmente fazem parte de uma estrutura de governança de TI.
A GCN não é algo trivial de se fazer, portanto, o uso de consultoria externa pode ser
interessante. Ela deve ser fortemente baseada em uma avaliação objetiva de riscos,
incluindo os riscos que a organização não tenha encontrado ainda, e muito com o
espectro de contingência a partir de interrupções de serviço menores para um desastre
total que elimina um centro de dados em sua totalidade.
13
uma oportunidade para roubar dados, transações comerciais ou financeiras de
compromisso relatórios, ou sistemas de sabotagem. Uma abordagem de “sistemas
completos” para a continuidade de negócios devem ser adotadas.
E você ainda precisa testar os pacotes de aplicações, caso eles não façam o que se
propõe, ou implementá-los de forma incorreta. No caso de pacotes customizados este é
realmente um projeto de desenvolvimento de sistemas pequeno e similares, medidas de
controle de qualidade são necessárias.
14
A continuidade de Negócios é frequentemente considerada como recuperação de
desastres, algo standalone que é conduzido após um desastre, como a perda de um
centro de dados em um incêndio. Esta é, obviamente, um aspecto da governança de TI,
se o negócio depende das aplicações que estão em execução no Centro de Dados, mas
isso é uma visão muito limitada. A continuidade dos negócios é também uma função de
gerenciamento de problemas de TI. O negócio precisa ser isolado dos problemas de TI:
de um lado, uma significativa parte da infraestrutura de TI está perdida e falamos de
recuperação de desastres e BCM; no outro extremo, um bug é encontrado que afeta o
negócio ou uma pequena parte da infraestrutura de TI, como por exemplo, uma única
linha telefônica fora e falamos sobre gestão de incidentes e de problema e rastreamento
de falhas. No empenho de uma boa governança de TI, provavelmente você deve ver isso
como uma continuidade: o impacto das questões de TI sobre o negócio deve ser
limitado, como também controlado e gerenciado.
Isso está geralmente associado com a função de service desk, que deve apontar para
identificação preventiva e mitigação dos problemas emergentes, de preferência antes
que eles tenham qualquer impacto sobre um serviço de negócio.
Olhar além de um ROI puramente financeiro. A boa governança de TI reduz o risco, por
isso aumenta a confiança das empresas. A aplicação de uma abordagem por meio do
‘balanced scorecard‘, para medir o impacto da governança de TI é provavelmente
apropriada. É sempre importante lembrar que a governança de TI é apenas um meio
para um fim.
Revisões de sistemas de TI após mudanças, a fim de permitir uma análise de gaps das
diferenças entre a aspiração e a realidade, seguido pelo agendamento de esforços de
manutenção que visam reduzir gaps, é uma importante característica de uma boa
governança de TI. Às vezes, como iniciativas do CMMI, estas avaliações são parte de
um processo formal, mas, independentemente de quão se aproxima a governança de TI,
deve haver algum tipo processo de revisão e feedback.
15
mecanismos que, conjuntamente, pode promover um ambiente propício à existência e à
evolução da Governança de TI.
Dessa forma, as dados coletados pela pesquisa literária sobre governança de TI foram
organizados e consolidados no quadro 1, que trata das estruturas, processos e
mecanismos de conformidade à governança de TI.
16
O quadro 1 contempla os requisitos mínimos de Governança de TI, com base na
literatura acadêmica. Já em relação à pesquisa documental baseada nos órgãos de
planejamento, regulação e controle do governo federal brasileiro, bem como nos
frameworks de melhores práticas, estes são os vetores identificados:
Instrução Normativa Nº 02, de 30/04/2008 que dispõe sobre regras e diretrizes para a
contratação de serviços, continuados ou não.
ESTUDO DE CASO
Trata-se de projeto de caso único, pois conforme Yin (2001) o caso único pode, então,
ser utilizado para se determinar se as proposições de uma teoria estão corretas ou se
algum outro conjunto alternativo de explanações possa ser mais relevante.
Yin (2001) sugere que a aplicação da forma de questão em termos de “quem”, “o quê”,
“onde”, “como” e “por quê”, forneça uma chave importante para se estabelecer a
estratégia de pesquisa mais relevante a ser utilizada. É provável que a estratégia de
estudo de caso seja apropriada as questões do tipo “como” e “por quê”; precisando com
clareza, a natureza das questões de estudo.
17
Sendo assim a aplicação do estudo de caso visa responder as indagações sobre como e
por que uma empresa pública mantém estruturas, processos e mecanismos de
Governança de TI. Dessa forma, a estratégia de pesquisa é complementada pelas
informações constantes no quadro a seguir:
De acordo com Yin (2001), a definição da unidade de análise está relacionada a maneira
como as questões iniciais da pesquisa foram definidas. A estratégia de pesquisa
apresentada decorre das seguintes proposições de estudo:
Segundo Yin (2001), o quarto e o quinto componentes, como e por quê, foram os menos
desenvolvidos nos estudos de caso. Representam as etapas da análise de dados na
pesquisa do estudo de caso, e deve haver um projeto de pesquisa dando base a essa
análise.
18
objetivando assegurar a segurança da informação dos serviços mantidos e custodiados
pela empresa.
Para realização dos trabalhos foram elaborados checklist e roteiros de entrevista, sendo
realizadas entrevistas, oficialmente, com 2 (dois) empregados responsáveis pela área de
conformidade em segurança da informação da organização.
Os trabalhos foram apoiados, ainda, pela prática de reuniões com outros empregados de
áreas relacionadas as atividades de desenvolvimento e de produção de serviços para
esclarecimento do funcionamento e da dinâmica das Estruturas, Processos e
Mecanismos de Governança de TI aplicados na organização.
Contextualização do Cenário
19
- a Governança de TI é tratada de modo informal, não há normativos ou processos
formais relacionados a este tema;
20
- Modelos de maturidade de governança ou de alinhamento de TI: não foi
evidenciada a inexistência de modelos de maturidade de governança ou de alinhamento
de TI.
21
-
Gestão da Continuidade do Negócio: o processo de GCN está mapeado, docu
mentado e instituído por meio de normativo interno. Entretanto, foram identificadas
situações críticas, como por exemplo, os planos de contingência não são,
periodicamente, atualizados.
- Gestão de problemas: foi constatado que o processo está documentado, mas não foi
possível evidenciar, efetivamente, a sua aplicação.
22
- Entendimento compartilhado dos objetivos do negócio e da TI: a aplicação de
mecanismos que
promovam o entendimento compartilhado dos objetivos do negócio e da
TI, foi verificada a existência de mecanismos, como por exemplo, o Planejamento
estratégico da TI com a participação
e envolvimento das áreas de negócio e o preenchimento de artefato da área de p
rojetos que envolvem a área de TI e área de Negócio.
-
Participação dos principais stakeholders: não foi possível evidenciar a existênc
ia de mecanismos que promovam a participação ativa dos stakeholders principais,
como também, de mecanismos que promovam o tratamento de conflitos ativos na
organização.
RESULTADOS
23
Nesta primeira parte da pesquisa foi possível constatar que para se estabelecer a
conformidade em Governança de TI é necessário estabelecer que requisitos são
necessários à implementação da Governança de TI, sendo assim, foi verificado que a
Governança de TI pode envolver requisitos que contemplam Estruturas, Processos e
Mecanismos, conforme apresentados na Tabela01, considerando que:
24
25
A identificação de requisitos de conformidade à Governança de TI, constantes da
literatura acadêmica proporcionou estabelecer um caminho para implementação da
Governança de TI de forma geral, mas não possibilitou visualizar se tais requisitos
atendem de forma razoável requisitos de conformidade à Governança de TI, aplicados
em Órgãos da Administração Pública Federal indireta, particularmente, em empresas
públicas.
26
- Recomendações realizadas por meio de trabalhos de auditoria em Órgãos de
Fiscalização e Controle, como o Tribunal de Contas da União, em Órgãos da
Administração Pública Federal indireta.
27
Após análise e, consolidação das informações relativas a Governança de TI, constantes
das tabelas 1, 2 e 3, foi realizada a junção destes requisitos, resultando na elaboração da
tabela04.
28
29
De posse dos requisitos consolidados, foi possível estabelecer um plano de trabalho para
aplicação de estudo de caso, a fim de verificar à conformidade destes requisitos no
âmbito da Administração Pública Federal Brasileira, especificamente, numa empresa
pública.
Vale mencionar que diante das informações e evidências apresentadas pela organização,
foi possível observar que o cumprimento aos requisitos de conformidade, estão
fortemente relacionados às recomendações e orientações governamentais, como por
exemplo, do Tribunal de Contas da União e do Ministério do Planejamento, Orçamento
e Gestão e da Presidência da República.
30
acadêmica e, representam 34% dos requisitos de conformidade à Governança de TI,
conforme Quadro 3.
Sendo, assim, foi possível constatar que os requisitos supracitados são direcionadores à
Governança de TI da organização, e as recomendações procedentes dos Órgãos de
fiscalização e controle, de certa forma, alavancam a Governança de TI da organização.
31
1. Processos da gerência de projetos : se relacionam com a descrição, a organização e a
conclusão do trabalho do projeto. São universais a todos os projetos, pois controlam o
ciclo de vida do gerenciamento de projetos.
2. Processos orientados ao produto : se relacionam com a especificação e a criação do
produto do projeto, sendo exclusivos a cada produto. São definidos pelo ciclo de vida
do projeto, e variam de acordo com a área de aplicação.
Grupos de processos
De acordo com o PMBOK, os processos de gerenciamento de projetos podem ser
organizados em cinco grupos de processos:
Dentro dos cinco grupos de processos existiam duas categorias de processos: básicos
e facilitadores. Esses termos foram eliminados para garantir que todos os processos de
gerenciamento de projetos nos grupos de processos de gerenciamento de projetos
tenham o mesmo nível de importância.
32
Interações de Processos
Dentro de cada grupo de processos, os processos individuais podem ser ligados pelas
suas entradas (inputs) e saídas (outputs). Focando nessas ligações, podemos descrever
cada processo nos termos de seus:
Os processos podem ser, até certo ponto, customizáveis (personalizados) a cada projeto.
Podem ser modificados, ou até excluídos, para melhor atender as particularidades de
dado projeto. No entanto, essas modificações devem ser feitas criteriosamente.
1. Introdução
2. Ciclo de vida e organização do projeto
3. Processos de gerenciamento de projetos de um projeto
4. Gerenciamento de integração do projeto – descreve os processos requeridos para
certificar-se que os vários elementos do projeto estão propriamente coordenados.
Consiste em:
1. Desenvolver o termo de abertura do projeto (In.)
2. Desenvolver o plano de gerenciamento do projeto (Pl.)
3. Orientar e gerenciar a execução projeto (Ex.)
4. Monitorar e controlar o trabalho do projeto (Mo.)
5. Executar o controle integrado de mudanças (Mo.)
6. Encerrar o projeto ou fase. (En.)
5. Gerenciamento do escopo do projeto – descreve os processos requeridos para garantir
que o projeto inclui todo o trabalho requerido (requisitos), e somente o trabalho
requerido, para completar o processo com sucesso. Consiste em:
1. Coletar requisitos (Pl.)
2. Definir o escopo (Pl.)
3. Criar a Estrutura Analítica de Processo (EAP) (Pl.)
4. Verificar o escopo (Mo.)
5. Controlar do escopo (Mo.)
33
6. Gerenciamento de tempo de projeto – descreve os processos requeridos para garantir
que o projeto seja completado dentro do prazo. Consiste em:
1. Definir atividades (Pl.)
2. Sequenciar atividades (Pl.)
3. Estimar de recursos da atividade (Pl.)
4. Estimar de duração da atividade (Pl.)
5. Desenvolver do cronograma (Pl.)
6. Controlar do cronograma (Mo.)
7. Gerenciamento de custos do projeto – descreve os processos requeridos para que o
projeto seja completado dentro do orçamento aprovado. Consiste em:
1. Estimar de custos (Pl.)
2. Determinar o orçamento (Pl.)
3. Controlar custos (Mo.)
8. Gerenciamento da qualidade do projeto – descreve os processos requeridos para
garantir que o projeto vai satisfazer as necessidades pelas quais ele foi feito. Consiste
em:
1. Planejar a qualidade (Pl.)
2. Realizar a garantia da qualidade (Ex.)
3. Realizar o controle da qualidade (Mo.)
9. Gerenciamento de recursos humanos do projeto – descreve os processos requeridos
para fazer o uso mais efetivo das pessoas envolvidas no projeto. Consiste em:
1. Desenvolver o plano de recursos humanos (Pl.)
2. Contratar ou mobilizar a equipe do projeto (Ex.)
3. Desenvolver a equipe de projeto (Ex.)
4. Gerenciar a equipe de projeto (Ex.)
10. Gerenciamento das comunicações do projeto – descreve os processos requeridos para
garantir rápida e adequada geração, coleção, disseminação, armazenamento e
disposição final das informações do projeto. Consiste em:
1. Identificar as partes interessadas (In.)
2. Planejar as comunicações (Pl.)
3. Distribuir as informações (Ex.)
4. Gerenciar as expectativas das partes interessadas (Ex.)
5. Relatar desempenho (Mo.)
11. Gerenciamento de riscos do projeto – descreve os processos relacionados a identificar,
analisar e responder aos riscos do projeto. Consiste em:
1. Planejar o gerenciamento de riscos (Pl.)
2. Identificar riscos (Pl.)
3. Realizar a análise qualitativa de riscos (Pl.)
4. Realizar a análise quantitativa de riscos (Pl.)
5. Planejar respostas aos riscos (Pl.)
6. Monitorar e controlar riscos (Mo.)
12. Gerenciamento de aquisições do projeto – descreve os processos requeridos para
adquirir bens e serviços de fora da organização "dona" do projeto. Consiste em:
1. Planejar aquisições (Pl.)
2. Conduzir aquisições (Ex.)
3. Administrar aquisições (Mo.)
4. Encerrar aquisições (En.)
Referências gerais
Barros, Carlos. "Gestão de Projectos": Editora Sílabo, 1ª Edição, 1994 ISBN 9726180864
34
Project Management Body of Knowledge
Origem: Wikipédia, a enciclopédia livre.
Lançamento 2008
ISBN 978-1-933890-51
Histórico
O Guia PMBOK foi publicado pela primeira vez pelo Project Management Institute
(PMI) como um white paper em 1983 na tentativa de documentar e padronizar as
práticas que são normalmente aceitas na gerência de projetos. A primeira edição foi
publicada em 1996, seguida pela segunda edição em 2000. . 2
Em 2004, o Guia PMBOK — Terceira Edição — foi publicado com maiores mudanças,
considerando as edições anteriores. A última versão do Guia PMBOK é a quinta edição
que foi publicada em 2013 em Inglês. Traduções estão disponíveis em Árabe, Chinês,
Francês, Alemão, Italiano, Japonês, Coreano, Português, Russo e Espanhol.
Definição
35
O Guia PMBOK identifica um subconjunto do conjunto de conhecimentos em
gerenciamento de projetos, que é amplamente reconhecido como boa prática, sendo em
razão disso, utilizado como base pelo Project Management Institute (PMI). Uma boa
prática não significa que o conhecimento e as práticas devem ser aplicadas
uniformemente a todos os projetos, sem considerar se são ou não apropriados.
O Guia PMBOK em sua 5° Edição provê diretrizes para gerência dos projetos
individualmente e define conceitos associados à gerência de projetos. Isto também
descreve o ciclo de vida do gerenciamento do projeto e seus processos relacionados,
assim como o ciclo de vida do projeto. 3
1. Iniciação
2. Planejamento
3. Execução
4. Monitoramento e controle
5. Encerramento
36
10 áreas de
Tópicos 9 áreas de conhecimento 10 áreas de conhecimento
conhecimento
1.Iniciação 1.Iniciação
1.Iniciação
2.Planejamento 2.Planejamento
2.Planejamento
Grupos de 3.Execução 3.Execução
3.Execução
Processos 4.Monitoramento e 4.Monitoramento e
4.Controle
Controle Controle
5.Encerramento
5.Encerramento 5.Encerramento
1.Integração 1.Integração
1.Integração
2.Escopo 2.Escopo
2.Escopo
3.Tempo 3.Tempo
3.Tempo
4.Custo 4.Custo
4.Custo
Áreas de 5.Qualidade 5.Qualidade
5.Qualidade
Conhecimento 6.Recursos 6.Recursos Humanos
6.Recursos Humanos
7.Comunicações 7.Comunicações
7.Comunicações
8.Riscos 8.Riscos
8.Riscos
9.Aquisições 9.Aquisições
9.Aquisições
10.Partes 10.Partes Interessadas
37
Interessadas
Extensões do PMBOK
Áreas de Monitoramento
Iniciação Planejamento Execução Encerramento
Conhecimento e controle
4. Monitorar e
controlar o
1.
2. Desenvolver 3. Orientar e trabalho do
Desenvolver 6. Encerrar o
o plano de gerenciar a projeto
Integração o termo de projeto ou
gerenciamento execução do 5. Realizar o
abertura do fase1
do projeto projeto controle
projeto
integrado de
mudanças
1. Coletar os
4. Verificar o
requisitos
escopo
Escopo 2. Definir o
5. Controlar o
escopo
escopo
3. Criar a EAP
1. Definir as
atividades 6. Controlar o
Tempo
2. Sequenciar as cronograma
atividades
38
3. Estimar os
recursos das
atividades
4. Estimar as
durações das
atividades
5. Desenvolver
o cronograma
1. Estimar os
custos 3. Controlar os
Custos
2. Determinar o custos
orçamento
2. Realizar a 3. Realizar o
1. Planejar a
Qualidade garantia de controle da
qualidade
qualidade qualidade
2. Mobilizar a
equipe do
projeto
1. Desenvolver 3.
Recursos o plano de Desenvolver
Humanos recursos a equipe de
humanos projeto
4. Gerenciar
a equipe do
projeto
3. Distribuir
as
informações
1. Identificar
2. Planejar as 4. Gerenciar 5. Reportar o
Comunicação as partes
comunicações as desempenho
interessadas
expectativas
das partes
interessadas
1. Planejar o
gerenciamento
dos riscos 6. Monitorar e
Riscos 2. Identificar os controlar os
riscos riscos
3. Realizar a
análise
39
qualitativa dos
riscos
4. Realizar a
análise
quantitativa dos
riscos
5. Planejar as
respostas aos
riscos
Áreas de Monitoramento
Iniciação Planejamento Execução Encerramento
Conhecimento e controle
1.4. Monitorar e
controlar o
1.1. 1.2.
1.3. Orientar e trabalho do
Desenvolver Desenvolver o 1.6. Encerrar o
gerenciar o projeto
Integração o termo de plano de projeto ou
trabalho do 1.5. Realizar o
abertura do gerenciamento fase
projeto controle
projeto do projeto
integrado de
mudanças
2.1. Planejar o
Gerenciamento
do Escopo 2.5. Validar o
2.2. Coletar os escopo
Escopo
requisitos 2.6. Controlar o
2.3. Definir o escopo
escopo
2.4. Criar a EAP
3.1. Planejar o
gerenciamento
do Cronograma 3.7. Controlar o
Tempo 3.2. Definir as cronograma
atividades
3.3. Sequenciar
atividades
40
3.4. Estimar os
recursos das
atividades
3.5. Estimar as
durações das
atividades
3.6.
Desenvolver o
cronograma
4.1. Planejar o
gerenciamento
dos Custos
4.4. Controlar os
Custos 4.2. Estimar
custos
custos
4.3. Determinar
o orçamento
6.2. Mobilizar
a equipe do
projeto
6.1. Planejar o 6.3.
Recursos gerenciamento Desenvolver a
Humanos dos recursos equipe do
humanos projeto
6.4. Gerenciar
a equipe do
projeto
7.1 Planejar o
7.2. Gerenciar
gerenciamento 7.3. Controlar as
Comunicações as
das comunicações
comunicações
comunicações
8.1. Planejar o
gerenciamento
dos riscos 8.6. Controlar os
Riscos 8.2. Identificar riscos
os riscos
8.3. Realizar a
análise
41
qualitativa dos
riscos
8.4. Realizar a
análise
quantitativa dos
riscos
8.5. Planejar as
respostas aos
riscos
9.1. Planejar o
9.2. Conduzir 9.3. Controlar as 9.4. Encerrar
Aquisição gerenciamento
as aquisições aquisições as aquisições
das aquisições
10.3.
10.1. 10.2. Planejar o 10.4. Controlar o
Gerenciar o
Partes Identificar gerenciamento envolvimento
envolvimento
Interessadas partes das partes das partes
das partes
interessadas interessadas interessadas
interessadas
References
1. IEEE (2011), IEEE Guide--Adoption of the Project Management Institute (PMI(R))
Standard A Guide to the Project Management Body of Knowledge (PMBOK(R) Guide)--
Fourth Edition
2. A Guide to the Project Management Body of Knowledge, copyright page, edition 2
ISBN 1-880410-12-5 (free .pdf edition), e a terceira edição em 2004 ISBN 978-1-
930699-45-8, e quarta edição em 2008 ISBN 1-933890-51-7
3. PMI (2012), A Guide to the Project Management Body of Knowledge, 5th Ed.
Referências
1. CMBoK < CM < Foswiki. Cmcrossroads.com. Página visitada em 2011-09-28.
Bibliografia
A Guide to the Project Management Body of Knowledge (PMBOK Guide). Third
Edition ed. [S.l.]: Project Management Institute. ISBN 1-930699-45-X
42
Gerenciamento de Processos de Negócio
Para que uma empresa tenha sucesso, seja ela de grande ou pequeno porte, esta precisa
essencialmente ter uma boa administração, pois uma empresa que não tem
planejamento, organização e controle e não saiba quais os objetivos que pretende
alcançar não consegue atingir nenhum resultado.
BPM tem sido referenciado com uma introdução ao gerenciamento holístico 1 para
alinhar processos de negócio das organizações com as necessidades dos clientes. Isto
promove o negócio com efetividade e eficiência enquanto se esforça para obter
inovação, flexibilidade e integração com a tecnologia. BPM procura obter a melhora dos
processos continuamente. Isto pode no entanto ser descrito como otimização de
processo. É discutido que o BPM permite que organizações sejam mais eficientes, mais
efetivas e com maior capacidade de mudanças do que aquelas com foco funcional, com
abordagem de gerenciamento tradicional hierárquico. 2
São utilizados métodos, técnicas e ferramentas para analisar, modelar, publicar, otimizar
e controlar processos envolvendo recursos humanos, aplicações, documentos e outras
fontes de informação.
A alta direção da empresa pode enxergar, por exemplo, onde estão os gargalos, quem
está atrasando (e o quanto está atrasando) determinada tarefa, com que frequência isso
ocorre, o percentual de processos concluídos e em andamento, entre outros. Como
43
conseqüência, fatores cruciais para o bom desempenho da organização podem ser
analisados com extrema facilidade e rapidez o que geralmente não ocorre com outras
ferramentas que não o BPM.
Business Process Management (BPM) tem como objetivo conectar a estratégia ao foco
do cliente através de processos melhores.
44
O Gerenciamento de Processos de Negócios utiliza as melhores práticas de gestão, tais
como: mapeamento de processos, modelagem, definição de nível de maturidade,
documentação, plano de comunicação, automação, monitoramento através de
indicadores de desempenho e ciclo de melhoria e transformação contínua. O objetivo é a
melhoria e transformação contínua dos processos para se atingir os resultados
esperados.
Automação
Modelagem
A modelagem de processos é feita nos próprios BPMS, alguns dos quais seguem a
notação mais usada atualmente, o BPMN (Business Process Modeling Notation), que
consiste em uma série de ícones padrões para o desenho de processos, o que facilita o
entendimento. Esta é uma etapa importante da automação pois é nela que os processos
são descobertos e desenhados e também pode ser feita alguma alteração no percurso do
processo visando a sua otimização.
Simulação
Após o desenho e o estabelecimento dos atores de processos, pode ser feita uma
simulação, onde se pode testar se as regras pré-estabelecidas estão de acordo com o
objetivo da empresa e se as tarefas estão sendo encaminhadas para as pessoas corretas.
Execução
45
responsáveis, controlando o seu tempo de execução por pessoa e pelo processo em
geral. Podem ser utilizadas também regras de negócio (Business Rules) pré-
estabelecidas.
Controle
O controle ideal de BPM é aquele que está presente durante todas as etapas do processo:
antes, durante e depois. Desde o início da modelagem até a análise pós-conclusão da
execução, o controle deve ser realizado. Um tipo de controle que existe em alguns
BPMS são relatórios de fluxos em andamento, onde é fornecido o status do fluxo, com
quem está parado, há quanto tempo está parado, etc. Isso é importante para evitar que os
erros sejam encontrados somente quando o processo é concluído. Há também relatórios
de fluxos concluídos, onde se pode ter uma noção geral de como se desenvolveu o
processo. Alguns softwares apresentam gráficos e relatórios com bastantes detalhes dos
processos.
Otimização
A otimização tem crucial importância quando se trata de BPM. É essencial para que
sejam feitas melhorias nos processos de modo a alcançar resultados positivos mais
rapidamente, melhorando o serviço aos clientes e, possivelmente, com menores custos.
Depende, obviamente, das etapas anteriores, principalmente do controle, onde deve
haver uma busca pela perfeição.
Tecnologia BPM
Alguns definem como Sistemas BPM (BPMS - Business Process Management System)
ou Suite como "o todo do BPM". Outros relatam a importância do conceito da
movimentação da informação entre pacotes de software corporativos e imediatamente
pensam na Arquitetura Orientada a Serviços (SOA). Outros ainda limitam a definição a
"modelagem" (veja de processo de negócio).
Bibliografia
ABPMP. "BPM CBOK - Common Body of Knowledge" -
http://www.amazon.com.br/dp/B00I1KWWZ2
Paim, R. et al. Gestão de Processos: Pensar, Agir e Aprender, Editora Bookman
(2009). ISBN 8577804844. Cap. 1 Disponível para download pelo site
http://www.grupoa.com.br
Jeston, John e Nelis, Johan. "Business Process Management: Practical
Guidelines to Successful Implementations". Editora Butterworth-Heinemann
(2008).ISBN 0750686561
Becker, Jörg; Kugeler, Martin e Rosemann, Michael. "Process Management".
Editora Springer (2003).ISBN 3540434992
Fingar, Peter. "Extreme Competition: Innovation And The Great 21st Century
Business Reformation". Editora Meghan-Kiffer Press (2006).ISBN 092965238X
Smith, Howard e Fingar, Peter. "Business Process Management: The Third
Wave". Editora Meghan Kiffer Pr (2006).ISBN 0929652347
46
Engenharia de requisitos
Origem: Wikipédia, a enciclopédia livre.
identificação;
análise e negociação;
especificação e documentação;
validação.
Este processo deve ser precedido de estudos de viabilidade que, a partir das restrições
do projeto, determinam se este é ou não viável e se deve prosseguir para a identificação
dos requisitos. Uma outra atividade que se pode considerar que faz também parte deste
processo, se incluirmos a fase posterior à produção do documento , é a gestão dos
requisitos (change management, sendo que as alterações podem ser causadas pelos
mais diversos fatores desde inovações tecnológicas a mudanças na natureza do negócio,
entre outras.
Estudos de viabilidade
Antes de se avançar com uma análise mais detalhada dos requisitos de um projeto, deve
ser feito um estudo de viabilidade.
Tal como o nome sugere, pretende-se com este estudo avaliar se, de um ponto de vista
tecnológico e organizacional, o projeto é viável.
Uma forma de avaliar a viabilidade de um projeto é obter, através da interação com "as
partes interessadas" (ou stakeholder em inglês) do projeto (em reuniões ou entrevistas,
por exemplo), a resposta às seguintes questões:
A questão mais crítica é a primeira, já que um sistema que não contribua para os
objetivos da organização não lhe traz qualquer valor acrescentado e como tal a sua
existência não se justifica. Apesar de parecer óbvia, são frequentemente desenvolvidos
sistemas que não contribuem para os objetivos das respectivas organizações, quer seja
por interesses externos (políticos ou organizacionais) ou por falta de clareza na
definição dos objetivos da organização.
47
Deve portanto identificar-se que informação é necessária para responder a estas
questões e quem possui esta informação, procedendo-se de seguida à recolha de todos
os dados disponíveis para clarificar ao máximo o âmbito do projeto e avaliar a sua
viabilidade.
Tipicamente, quem poderá fornecer esta informação serão os usuários dos sistemas
atuais e do sistema a implementar, os responsáveis pelos departamentos nos quais o
sistema será usado, técnicos que estejam familiarizados com as tecnologias envolvidas
(do novo sistema e dos sistemas existentes), responsáveis pela manutenção futura do
sistema a implementar e, de um modo geral, todos aqueles que terão qualquer tipo de
interação com o novo sistema (ou que sejam por ele afetados).
Algumas das questões que podem ser postas nesta coleta de informações são, por
exemplo:
Identificação
Caso se determine que o projeto é viável, o passo seguinte é a identificação dos
requisitos.
Atividades envolvidas
48
Dificuldades
Esta fase não é trivial, sendo que existem algumas dificuldades típicas que lhe estão
associadas:
O cliente pode não saber exatamente o que deseja para o sistema, ou sabê-lo mas não
conseguir articulá-lo (o que é bastante comum).
Os requisitos identificados podem não ser realistas (do ponto de vista econômico ou
tecnológico, por exemplo).
Cada parte interessada pode expressar os mesmos requisitos de formas diferentes,
sendo necessário - através de um bom conhecimento do domínio - identificar estas
situações.
Entrevistas e Questionários
Entrevistas e Questionários é talvez a técnica mais simples de utilizar. Ainda que seja
bastante eficaz numa fase inicial de obtenção de dados (e mesmo de esclarecimento de
algumas dúvidas), está condicionada a alguns fatores:
Workshops de requisitos
49
documentação que reflita os requisitos e decisões tomadas sobre o sistema a
implementar
Prototipagem
Estudo etnográfico
50
Após a identificação dos requisitos do sistema, segue-se à etapa de análise dos
requisitos e negociação.
Atividades envolvidas
Estas fases não são independentes entre si, pois uma informação obtida numa delas
pode servir para as demais fases.
Dificuldades
Negociações
Na fase de negociação, tornam-se necessários alguns cuidados para que esta decorra
sem problemas, chegando-se logo a consensos. Algumas sugestões são:
saber lidar com ataques pessoais (evitando-os sempre que possível, remetendo a sua
resolução para mais tarde, fora de reunião), de preferência nunca tomando partidos;
fomentar a justificação das posições (negativas) tomadas pelos intervenientes na
negociação;
salientar (e procurar encontrar) os benefícios que uma solução apresenta para todos
os envolvidos;
relaxar restrições, quando se torna óbvio que as atuais não levarão a um consenso.
51
Especificação e documentação
É nesta fase que se dá a produção propriamente dita do Documento de Especificação
de Requisitos.
Pode-se também considerar os requisitos do domínio, que tal como o nome indica
derivam do domínio e não de necessidades específicas dos usuários, podendo depois ser
classificados como funcionais ou não-funcionais.
Requisitos do utilizador
52
Agrupamento de requisitos: ao descrever as funcionalidades de um sistema, pode
tornar-se difícil separar claramente os requisitos, o que leva a que vários requisitos
sejam expressos como sendo apenas um.
Requisitos do sistema
Design da aplicação
Por fim, a especificação do design da aplicação consiste num documento usado pela
equipe de desenvolvimento do sistema no qual estão definidos pormenores, em um nível
mais técnico, acerca da implementação do sistema e sua arquitetura. A partir deste
documento, um elemento que entre para a equipe de desenvolvimento no meio do
projeto deverá ser capaz de "se situar" quando precisar de começar a codificar,
compreendendo a forma como a implementação, em um nível global, está a ser feita,
mas sem conhecer necessariamente os detalhes de implementação aprofundados. Não
convém cair na tentação de deixar toda a implementação detalhada, uma vez que
convém que os desenvolvedores tenham alguma margem de manobra tanto para inovar
como para resolver problemas encontrados em sub-sistemas de formas que uma
especificação inicial da arquitetura não consegue prever.
53
Documento de Especificação de Requisitos
Apesar da existência dos 3 tipos de especificação vistos nos itens anteriores, existe uma
especificação que é a usada como declaração oficial dos requisitos do sistema.
Existem diversos padrões para este documento, embora não se possa apontar nenhum
como o "ideal". Uma estrutura proposta pelo IEEE que é talvez a mais usada é o
IEEE/ANSI 830-19933 .
Validação
Nesta fase pretende-se demonstrar que o documento de requisitos produzido
corresponde, de fato, ao sistema que o cliente pretende.
Durante a fase de validação dos requisitos, devem ser verificados (através de checklists)
os seguintes atributos dos requisitos:
54
Realismo: dadas as restrições do projeto (tecnológicas, financeiras e temporais) o
sistema especificado tem de ser implementável.
Verificabilidade: de forma a evitar futuras discordâncias quanto à concretização dos
requisitos especificados, estes devem ser descritos de modo a que seja possível
verificar se foram ou não concretizados, isto é, se o sistema final corresponde à
especificação inicial.
Rastreabilidade: a origem dos requisitos, em relação ao cliente, deve estar claramente
identificada. Entre outros motivos, isto é importante para facilitar a gestão futura dos
requisitos.
Conformidade com normas: para além dos aspectos funcionais dos requisitos, a sua
especificação deve obedecer às normas usadas ao longo de todo o documento.
Técnicas de validação
Para tornar a validação mais eficaz, existe um conjunto de técnicas que podem ser
empregadas:
Prototipificação
Uma vez que cada requisito deve ser testável, deveria ser possível criar (desenhar) os
respectivos testes desde a fase de validação de requisitos; se isto não for possível, é
sinónimo de que a implementação deste requisito será difícil e que este poderá ter de ser
reconsiderado.
55
Através da especificação formal de modelos para o sistema é possível, recorrendo a
ferramentas adequadas (como as ferramentas CASE), testar de forma automática a
consistência dos modelos criados; apenas a consistência é testada nesta técnica, pelo que
tem de ser complementada com uma das outras técnicas referidas.
Recomendações
A fase de validação não deve ser encarada de ânimo leve: trata-se de uma fase muito
importante na engenharia de requisitos e da qual dependem elevados custos a médio e
longo prazo.
Por depender bastante dos retornos transmitidos pelos clientes (que não são peritos em
validação de requisitos) é bastante falível e regra geral há erros que não são encontrados
num primeiro momento, o que leva inevitavelmente a discordâncias numa fase
posterior, já com o documento validado e o projeto em desenvolvimento ou concluído.
Quando isto sucede, torna-se necessário negociar e chegar a um acordo quanto à forma
de corrigir o erro detectado.
Gestão de requisitos
Os requisitos de um sistema, em especial em sistemas minimamente grandes, estão em
evolução constante.
De um modo geral, isto pode suceder em razão do problema abordado não conseguir
ficar completamente definido antes da produção do documento de requisitos (ou mesmo
antes de o sistema ser implementado) ou, por outro lado, pode também acontecer por os
próprios requisitos se alterarem no decorrer do projeto (reflectindo evoluções
tecnológicas ou alterações na organização na qual é usado).
É natural que surjam requisitos por parte dos usuários por diversos motivos:
Existem requisitos que, tipicamente, são mais voláteis do que outros (como por exemplo
requisitos que dependam da entidade política governante num dado momento),
56
enquanto que outros são relativamente estáveis (os que se referem à natureza do negócio
(domínio) propriamente dita).
Na prática, a gestão de requisitos acaba por coincidir com o início de novos processos
de engenharia de requisitos (para os "novos" requisitos, isto é, os "antigos" que sofreram
alterações). Como tal, o planejamento é uma parte importante da gestão de requisitos.
Devem estar definidas desde o início da gestão de requisitos políticas para:
Para manter a consistência entre as várias alterações pedidas (e para estas serem feitas
de um modo controlado), é importante que o processo de gestão de mudanças esteja
definido de um modo formal, sendo que deverá incluir as seguintes três fases:
É importante seguir este processo conforme foi enunciado já que cair na tentação de
implementar a alteração diretamente e só depois, retrospectivamente, atualizar os
requisitos pode levar a dessincronização entre requisitos e implementação.
Notas
1. este grupo deve ser escolhido levando-se em conta a organização e o contexto em que
o sistema será usado
2. Kotonya e Sommerville (1998). Requirements Engineering: Processes and Techniques.
Gerald Kotonya, Ian Sommerville. Wiley. 1998.
3. Thayer e Dorfman (1993). Software Requirements Engineering. R. H. Thayer, M.
Dorfman. IEEE Computer Society Press. 1993.
-------------------------------------------------------------------------------------------------------------------------
57
ITILv3
Origem: Wikipédia, a enciclopédia livre.
A versão 3 da biblioteca ITIL foi lançada mundialmente em maio de 2007 como uma
atualização completa da antiga versão 2 (ITILV2), publicada na década de 90 do século
passado.
Processos
O ITIL V3 possui exatos 26 processos, listados a seguir nominalmente e agrupados de
acordo com o estágio do ciclo de vida de serviço (volumes) a que pertencem.
Estágio do Ciclo de
Processo Publicação Extensão Processo
Vida de Serviço
Geração de
Avaliação ST
Estratégia
Cumprimento de Gerenciamento
SO Estratégias de
Requisição Financeiro
Serviço
(Service
Geração de Strategies) Gerenciamento de
SS
Estratégia Portfólio de Serviço
Gerenciamento da Gerenciamento da
SD SO, CSI
Capacidade Demanda
Gerenciamento da
Gerenciamento da
Configuração e de ST SO
Capacidade
Ativo de Serviço
Gerenciamento da Gerenciamento da
Continuidade do SD CSI Desenho de Continuidade do
Serviço de TI Serviço Serviço de TI
(Service Design)
Gerenciamento da Gerenciamento da
SS SD
Demanda Disponibilidade
58
Disponibilidade Fornecedor
Gerenciamento de
Gerenciamento de
SO Segurança da
Acesso
Informação
Gerenciamento de Gerenciamento do
SO
Evento Catálogo de Serviço
Gerenciamento de Gerenciamento do
SD
Fornecedor Nível de Serviço
Gerenciamento de
SO CSI Avaliação
Incidente
Gerenciamento de Gerenciamento da
liberação e ST SO Configuração e de
Implantação Ativo de Serviço
Gerenciamento de
Gerenciamento de
ST liberação e
Mudança
Implantação
Transição de
Serviço
Gerenciamento de Gerenciamento de
SS SD (Service
Portfólio de Serviço Mudança
Transition)
Gerenciamento de Gerenciamento do
SO CSI
Problema Conhecimento
Gerenciamento de Planejamento e
Segurança da SD SO Suporte da
Informação Transição
59
Gerenciamento do (Service Gerenciamento de
SD CSI
Nível de Serviço Operation) Acesso
Gerenciamento Gerenciamento de
SS
Financeiro Evento
Mensuração de Gerenciamento de
CSI
Serviços Incidente
Planejamento e
Gerenciamento de
Suporte da ST
Problema
Transição
Processo de
Mensuração de
Melhoria em 7 CSI
Serviços
Etapas
Melhoria Contínua
de Serviço Processo de
Relatório de Serviço CSI (Continual Service Melhoria em 7
Improvement) Etapas
Validação e Teste de
ST Relatório de Serviço
Serviço
Volumes do ITIL V3
O ITIL V3, publicado em maio de 2007, e atualizado em 2011, é composto de cinco
volumes, estágios do ciclo de vida de serviço, detalhados abaixo:
Como ponto de origem do ciclo de vida de serviço ITIL, o volume sobre estratégia do
serviço é um guia sobre como tornar mais claro e priorizar investimentos sobre
provimento de serviços.
60
Gerenciamento de Estratégia para Serviços de TI
Gerenciamento de portfólio (ou carteira) de serviços;
Gerenciamento financeiro de serviços de TI;
Gerenciamento de demandas;
Gerenciamento do relacionamento com o negócio (atualização 2011).
Parte do ciclo de vida onde serviços e valor são entregues diretamente. Assim,
monitoramento de problema e balanceamento entre disponibilidade de serviço e custo,
etc, são considerados.
61
Balanceamento do conflito das metas (disponibilidade vs custo, etc).
Gerenciamento de eventos.
Gerenciamento de incidentes.
Gerenciamento de problemas.
Cumprimento dos pedidos.
Gerenciamento de acesso, (service desk).
Para gerenciar melhorias, o CSI deve definir claramente o que deve ser controlado e
medido..
Conjunto de livros
Versões eletrônicas (eBook):
Versões Impressas:
Complementos
COBIT
Origem: Wikipédia, a enciclopédia livre.
62
COBIT®, do inglês, Control Objectives for Information and related Technology, é um
guia de boas práticas apresentado como framework, teste dirigido para a gestão de
tecnologia de informação (TI).1 Mantido pelo ISACA (Information Systems Audit and
Control Association), possui uma série de recursos que podem servir como um modelo
de referência para gestão da TI, incluindo um sumário executivo, um framework,
objetivos de controle, mapas de auditoria, ferramentas para a sua implementação e
principalmente, um guia com técnicas de gerenciamento.1 Especialistas em gestão e
institutos independentes recomendam o uso do CobiT como meio para otimizar os
investimentos de TI, melhorando o retorno sobre o investimento (ROI) percebido,
fornecendo métricas para avaliação dos resultados (Key Performance Indicators KPI,
Key Goal Indicators KGI e Critical Success Factors CSF).
O CobiT independe das plataformas adotadas nas empresas, tal como independe do tipo
de negócio e do valor e participação que a tecnologia da informação tem na cadeia
produtiva da empresa.
O cubo do Cobit
É o modelo que representa como os componentes se inter-relacionam:
cubo do COBIT
63
Eficiência: relaciona-se com a entrega da informação através do melhor uso dos
recursos, de forma mais produtiva e econômica.
Confidencialidade: proteção das informações confidenciais a fim de se evitar sua
divulgação indevida.
Integridade: relaciona-se com a fidedignidade e totalidade da informação, bem como
sua validade para o negócio.
Disponibilidade: relaciona-se a disponibilidade das informações quando esta é exigida
para processamento pelo negócio. Também possui relação com a salvaguarda dos
recursos necessários e sua capacidade.
Conformidade: aderência a leis, regulamentos e obrigações contratuais relacionadas
ao negócio.
Confiabilidade: relaciona-se com a entrega da informação apropriada para tomada de
decisão.
Recursos de TI
Aplicações
Informações
Infraestrutura
Pessoas
Processos de TI
Dominios
Processos
Atividades
Estrutura do Cobit
CobiT cobre quatro domínios, os quais possuem 34 processos, e estes processos
possuem 318 objetivos de controle:
Planejar e Organizar
Adquirir e Implementar
Entregar e Suportar
Monitorar e Avaliar
Planejar e Organizar
PROCESSOS DE TI
Planejar e Organizar
64
PO1 Definir um Plano Estratégico de TI 6 OCs
Adquirir e Implementar
PROCESSOS DE TI
Adquirir e Implementar
65
AI6 Gerenciar Mudanças 5 OC
Entregar e Suportar
PROCESSOS DE TI
Entregar e Suportar
Monitorar e Avaliar
66
O domínio de Monitorar e Avaliar lida com a estimativa estratégica das necessidades da
companhia e avalia se o atual sistema de TI atinge os objetivos para os quais ele foi
especificado e controla os requisitos para atender objetivos regulatórios. Ele também
cobre as questões de estimativa, independentemente da efetividade do sistema de TI e
sua capacidade de atingir os objetivos de negócio, controlando os processos internos da
companhia através de auditores internos e externos.
PROCESSOS DE TI
Monitorar e Avaliar
Nome do processo
Descrição do processo
o Critérios de informação
o Declaração genérica de ações
Indicadores de performace
o Recursos de TI envolvidos
o Objetivos de controle detalhados
o Diretrizes de gerenciamento
Entradas
Saídas
Matrizes de responsabilidade
Objetivos e métricas
o Modelo de maturidade
Notas e referências
1. COBIT 5 Framework - Introduction. ISACA International.
2. Nova versão do Cobit apóia regulamentações - Computerworld
3. Lançada a Nova Tradução do COBIT 4.1 em Português
4. COBIT 5: A Business Framework for the Governance and Management of Enterprise IT.
ISACA International.
67
Banco de dados
Origem: Wikipédia, a enciclopédia livre.
Bancos de dados (português brasileiro) ou bases de dados (português europeu) são coleções
organizadas de dados que se relacionam de forma a criar algum sentido(Informação) e
dar mais eficiência durante uma pesquisa ou estudo.1 2 3 São de vital importância para
empresas, e há duas décadas se tornaram a principal peça dos sistemas de informação. 4 2
5
Normalmente existem por vários anos sem alterações em sua estrutura. 6 7
São operados pelos Sistemas Gerenciadores de Bancos de Dados (SGBD), que surgiram
na década de 70.8 9 Antes destes, as aplicações usavam sistemas de arquivos do sistema
operacional para armazenar suas informações.10 9 Na década de 80 a tecnologia de
SGBD relacional passou a dominar o mercado, e atualmente utiliza-se praticamente
apenas ele.8 9 Outro tipo notável é o SGBD Orientado a Objetos, para quando sua
estrutura ou as aplicações que o utilizam mudam constantemente. 6
O modelo em rede permite que várias tabelas sejam usadas simultaneamente através
do uso de apontadores (ou referências). Algumas colunas contêm apontadores para
outras tabelas ao invés de dados. Assim, as tabelas são ligadas por referências, o que
pode ser visto como uma rede.
O modelo hierárquico é uma variação particular do modelo em rede, limita as relações
a uma estrutura semelhante a uma árvore (hierarquia - tronco, galhos), ao invés do
modelo mais geral direcionado por grafos.
Assim bem diferente dos modelos hierárquico e de rede, não existem quaisquer
apontadores, de acordo com o Princípio da Informação: toda informação tem de ser
representada como dados; qualquer tipo de atributo representa relações entre conjuntos
de dados. As bases de dados relacionais permitem aos utilizadores (incluindo
68
programadores) escreverem consultas (queries) que não foram antecipadas por quem
projetou a base de dados. Como resultado, bases de dados relacionais podem ser
utilizadas por várias aplicações em formas que os projetistas originais não previram, o
que é especialmente importante em bases de dados que podem ser utilizadas durante
décadas. Isto tem tornado as bases de dados relacionais muito populares no meio
empresarial.
O modelo relacional é uma teoria matemática desenvolvida por Edgar Frank Codd para
descrever como as bases de dados devem funcionar. Embora esta teoria seja a base para
o software de bases de dados relacionais, poucos sistemas de gestão de bases de dados
seguem o modelo de forma restrita ou a pé da letra - lembre-se das 12 leis do modelo
relacional - e todos têm funcionalidades que violam a teoria, desta forma variando a
complexidade e o poder. A discussão se esses bancos de dados merecem ser chamados
de relacional ficou esgotada com o tempo, com a evolução dos bancos existentes. Os
bancos de dados hoje implementam o modelo definido como objeto-relacional.
Transação
É um conjunto de procedimentos que é executado num banco de dados, que para o
usuário é visto como uma única ação.
Atomicidade
o Todas as ações que compõem a unidade de trabalho da transação devem ser
concluídas com sucesso, para que seja efetivada. Se durante a transação
qualquer ação que constitui unidade de trabalho falhar, a transação inteira
deve ser desfeita (rollback). Quando todas as ações são efetuadas com
sucesso, a transação pode ser efetivada e persistida em banco (commit).
Consistência
o Todas as regras e restrições definidas no banco de dados devem ser
obedecidas. Relacionamentos por chaves estrangeiras, checagem de valores
para campos restritos ou únicos devem ser obedecidos para que uma
transação possa ser completada com sucesso.
Isolamento
o Cada transação funciona completamente à parte de outras estações. Todas as
operações são parte de uma transação única. O principio é que nenhuma
outra transação, operando no mesmo sistema, possa interferir no
funcionamento da transação corrente(é um mecanismo de controle). Outras
69
transações não podem visualizar os resultados parciais das operações de uma
transação em andamento (ainda em respeito à propriedade da atomicidade).
Durabilidade
o Significa que os resultados de uma transação são permanentes e podem ser
desfeitos somente por uma transação subseqüente.Por exemplo: todos os
dados e status relativos a uma transação devem ser armazenados num
repositório permanente, não sendo passíveis de falha por uma falha de
hardware.
Controle de Concorrência
Controle de concorrência é um método usado para garantir que as transações sejam
executadas de uma forma segura e sigam as regras ACID. Os SGBD devem ser capazes
de assegurar que nenhuma ação de transações completadas com sucesso (committed
transactions) seja perdida ao desfazer transações abortadas (rollback).
Uma transação é uma unidade que preserva consistência. Requeremos, portanto, que
qualquer escalonamento produzido ao se processar um conjunto de transações
concorrentemente seja computacionalmente equivalente a um escalonamento produzido
executando essas transações serialmente em alguma ordem. Diz-se que um sistema que
garante esta propriedade assegura a seriabilidade ou também serialização12 .
70
recuperação de um estado anterior à uma transação que deu erro) e externas (queda de
energia, catástrofe ambiental).12 .
Os mecanismos mais comuns são o Log de dados, no qual é usado em conjunto dos
outros métodos; utilização de Buffer no qual, apesar de normalmente ser feito pelo
próprio sistema operacional, é controle por rotinas de baixo nível pelo Sistema de
gerenciamento de banco de dados. Possui também o as possibilidades de en:Write-
ahead logging e informações das transações possibilitando o REDO (refazer) e o UNDO
(desfazer), assim sempre possibilitando a volta do banco de dados à um estado anterior
consistente, além de cópias de sombra dos logs e dos últimos dados alterados do banco
de dados.
Modelagem dimensional
Origem: Wikipédia, a enciclopédia livre.
Modelagem dimensional é uma técnica de projeto lógico normalmente usada para data
warehouses que contrasta com a modelagem entidade-relacionamento. Segundo o prof.
Kimball, a modelagem dimensional é a única técnica viável para bancos de dados que
devem responder consultas em um data warehouse. Ainda segundo ele, a modelagem
entidade-relacionamento é muito útil para registro de transações e para fase de
administração da construção de um data warehouse, mas deve ser evitada na entrega do
sistema para o usuário final.
Dimensões Conformados
Fatos com granularidade única.
71
A modelagem multidimensional visa construir um data warehouse com dimensões
conformados e fatos afins com grãos os mais próximos possíveis.
Esse tipo de modelagem tem dois modelos MODELO ESTRELA (STAR SCHEMA) e
MODELO FLOCO DE NEVE (SNOW FLAKE).
Modelo relacional
Origem: Wikipédia, a enciclopédia livre.
O conceito foi criado por Edgar Frank Codd em 1970, sendo descrito no artigo
"Relational Model of Data for Large Shared Data Banks". Na verdade, o modelo
relacional foi o primeiro modelo de dados descrito teoricamente, os bancos de dados já
existentes passaram então a ser conhecidos como (modelo hierárquico, modelo em rede
ou Codasyl e modelo de listas invertidas).
72
A linguagem padrão para os bancos de dados relacionais, SQL, é apenas vagamente
remanescente do modelo matemático. Atualmente ela é adotada, apesar de suas
restrições, porque ela é antiga e muito mais popular que qualquer outra linguagem de
banco de dados.
Os blocos básicos do modelo relacional são o domínio, ou tipo de dado. Uma tupla é um
conjunto de atributos que são ordenados em pares de domínio e valor. Uma relvar
(variável relacional) é um conjunto de pares ordenados de domínio e nome que serve
como um cabeçalho para uma relação. Uma relação é um conjunto desordenado de
tuplas. Apesar destes conceitos matemáticos, eles correspondem basicamente aos
conceitos tradicionais dos bancos de dados. Uma relação é similar ao conceito de tabela
e uma tupla é similar ao conceito de linha.
73
Neste projeto nós temos cinco relvars: Cliente, Pedido de compra, Item do pedido, Nota
fiscal e Item da nota fiscal. Os atributos em negrito e sublinhados são chaves
candidatas. Os itens sublinhados sem negrito são as chaves estrangeiras.
Uma chave primária é um identificador único que garante que nenhuma tupla será
duplicada; isto faz com que o relacionamento em algo denominado um multiconjunto,
porque viola a definição básica de um conjunto. Uma chave pode ser composta, isto é,
pode ser formada por vários atributos. Abaixo temos um exemplo tabular da nossa
variável exemplo Cliente; um relacionamento pode ser abstraído como um valor que
pode ser atribuído a uma relvar.
Exemplo: cliente
ID Cliente ID Taxa Nome Endereço
[Mais campos....]
======================================================================
============================
1234567890 555-5512222 João Carlos Rua Principal
nº 120 ...
2223344556 555-5523232 Dorotéia Santos Avenida
Principal nº 12 ...
3334445563 555-5533322 Lisbela da Cruz Rua de trás
nº123 ...
4232342432 555-5325523 E. F. Codd Travessa
principal nº 51 ...
Se nós tentarmos inserir um novo cliente com o ID 1234567890, isto irá violar o projeto
da relvar pois ID Cliente é uma chave primária e nós já temos um cliente com o
número 1234567890. O DBMS deve rejeitar uma transação como esta e deve acusar um
erro de violação da integridade.
Existe uma imperfeição no projeto de banco de dados acima. A tabela de notas contém
um atributo número do pedido. Assim, cada tupla na tabela de notas terá um pedido, o
que implica precisamente um pedido para cada nota. Mas na realidade uma nota pode
ser criada a partir de muitos pedidos, ou mesmo para nenhum pedido em particular.
74
Adicionalmente um pedido contém um número de nota, implicando que cada pedido
tem uma nota correspondente. Mas novamente isto não é verdadeiro no mundo real. Um
pedido é às vezes pago através de várias notas, e às vezes pago sem um nota. Em outras
palavras podemos ter muitas notas por pedido e muitos pedidos por nota. Isto é um
relacionamento vários-para-vários entre pedidos e notas. Para representar este
relacionamento no banco de dados uma nova tabela deve ser criada com o propósito de
especificar a correspondência entre pedidos e notas:
Existem dois sistemas mais comuns de diagramação que ajudam na representação visual
do modelo relacional: O diagrama de entidade-relacionamento DER, e o diagrama
correlato IDEF utilizado no método IDEF1X criado pela Força Aérea dos Estados
Unidos baseado no DER.
Armazém de dados
Origem: Wikipédia, a enciclopédia livre.
75
Os data warehouse surgiram como conceito acadêmico na década de 80. Com o
amadurecimento dos sistemas de informação empresariais, as necessidades de análise
dos dados cresceram paralelamente. Os sistemas OLTP não conseguiam cumprir a
tarefa de análise com a simples geração de relatórios. Nesse contexto, a implementação
do data warehouse passou a se tornar realidade nas grandes corporações. O mercado de
ferramentas de data warehouse, que faz parte do mercado de Business Intelligence,
cresceu então, e ferramentas melhores e mais sofisticadas foram desenvolvidas para
apoiar a estrutura do data warehouse e sua utilização.
O armazenamento se dá num depósito único, que seja de rápido acesso para as análises.
Tal armazenamento conterá dados históricos advindos de bancos de dados transacionais
que servem como backend de sistemas como ERPs e CRMs. Quanto mais dados do
histórico das operações da empresa, melhor será para que a análise destas informações
reflita o momento da empresa.
Modelagem multidimensional
Metadado
76
Tipo de informação considerada metadado
origem dos dados - todo elemento de dado precisa de identificação, sua origem ou o
processo que o gera; esta identificação é muito importante no caso da necessidade de
saber informações sobre a fonte geradora do dado; esta informação deve ser única, ou
seja, cada dado deve ter uma e somente uma fonte de origem;
fluxo de dados - todo elemento de dado precisa ter identificado os fluxos nos quais
sofre transformações; é importante saber que dados servem de base para que
processos sejam executados;
formato dos dados - todo elemento de dados deve ter identificado seu tamanho e tipo
de dado;
nomes e alias - todo elemento de dados deve ser identificado por um nome; este
nome pode ser da área de negócios ou um nome técnico; no caso de serem usados
alias para os nomes, pode-se ter os dois; devem existir padrões para criação de nomes
e alias (ex.: convenções para abreviações), evitando assim ambiguidades;
definições de negócio - estas definições são as informações mais importantes contidas
nos metadados; cada elemento de dado deve ser suportado por uma definição do
mesmo no contexto da área de negócio; o método de manutenção destas informações
também deve ser muito consistente, de forma que o usuário possa obter facilmente
definições para as informações desejadas; nestas definições devem ser evitadas
referências a outros metadados que necessitem de uma segunda pesquisa para
melhor entendimento;
regras de transformação - são consideradas como sendo as regras de negócio
codificadas; estas regras são geradas no momento da extração, limpeza e
agrupamento dos dados dos sistemas operacionais; cada regra de transformação
codificada deve estar associada a um elemento de metadado; se mais de uma
aplicação contiver a mesma regra de transformação, deverá ser garantido que estas
sejam idênticas;
atualização de dados - o histórico das atualizações normalmente é mantido pelo
próprio banco de dados, mas definir um elemento de metadado, indicando as datas de
atualização dos dados, pode ajudar o usuário no momento de verificar a atualidade
dos dados e a consistência da dimensão tempo do data warehouse;
requisitos de teste - identifica os critérios de julgamento de cada elemento de dado;
valores possíveis e intervalos de atuação; deve conter também padrões para
procedimentos de teste destes dados;
indicadores de qualidade de dados - podem ser criados índices de qualidade baseados
na origem do dado, número de processamentos feito sobre este dado, valores
atômicos X valores sumariados 4 , nível de utilização do dado, etc;
triggers automáticos - podem existir processos automáticos associados aos metadados
definidos; estes processos ou triggers devem estar definidos de forma que possam ser
consultados por usuário e desenvolvedores, para que os mesmos não venham a criar
situações conflitantes entre as regras definidas nestes processos;
responsabilidade sobre informações - deve ser identificado o responsável por cada
elemento de dados do data warehouse e também o responsável pela entrada de
metadados;
acesso e segurança - os metadados devem conter informação suficiente para que
sejam determinados os perfis de acesso aos dados; deve-se poder identificar que
usuários podem ler, atualizar, excluir ou inserir dados na base; deve haver, também,
77
informações sobre quem gerencia estes perfis de acesso e como se fazer contato com
o administrador da base de dados.
Data marts
O data warehouse é normalmente acedido 5 através de data marts, que são pontos
específicos de acesso a subconjuntos do data warehouse. Os data marts são construídos
para responder prováveis perguntas de um tipo específico de usuário 6 . Por exemplo:
um data mart financeiro poderia armazenar informações consolidadas dia a dia para um
usuário gerencial e em periodicidades maiores (semana, mês, ano) para um usuário no
nível da diretoria. Um data mart pode ser composto por um ou mais cubos de dados.
Hoje em dia, os conceitos de data warehouse e data mart fazem parte de um conceito
muito maior chamado de Corporate Performance Management.
Extração de dados
Os dados introduzidos num data warehouse geralmente passam por uma área conhecida
como área de stage. O stage de dados ocorre quando existem processos periódicos de
leitura de dados de fontes como sistemas OLTP. Os dados podem passar então por um
processo de qualidade, de normalização 7 e gravação dos dados no data warehouse.
Esse processo geralmente é realizado por ferramentas ETL e outras ferramentas.
Ferramentas
OLTP
Sistemas OLTP (do inglês,on-line transaction processing): são sistemas que têm a
tarefa de monitorar e processar as funções básicas e rotineiras de uma organização, tais
como processamento da folha de pagamento, faturamento, estoque, etc. Os fatores
críticos de sucesso para este tipo de sistema são: alto grau de precisão, integridade a
nível transacional e produção de documentos em tempo hábil.
Os dados transacionais OLTP são usados pelos usuários em geral no dia-a-dia em seus
processos e transações, gravação e leitura.Ex: consulta de estoque, registro de vendas. 8
OLAP
78
ferramentas que trabalham com esquemas especiais de armazenamento, com dados
(informações) normalizados.
Data mining
Exemplo teórico
Um site de vendas quer que o seu cliente, ao entrar no site, veja produtos similares aos
que ele já havia comprado ou olhado. Então ele deverá armazenar a trajetória do cliente
pelo site para que consiga traçar o perfil do cliente.
Notas
1. Pode-se usar também o termo "padronização"
2. Formato livre, sem padrão definido. No Brasil, é comum usar o termo
"desnormalizados"
79
3. No Brasil,usa-se o termo "usuário"
4. No Brasil, o termo equivale a "sintetizados".
5. No Brasil, esse termo não é usado. O termo usado é "acessado"(do verbo acessar).
6. Em Portugal, o termo usado é "utilizador".
7. Mudança de padrão ou norma de organização.
8. Fonte: Vaisman (1998, p. 5)
9. KIMBALL, 2002
10. Erro de citação: Tag <ref> inválida; não foi fornecido texto para as refs chamadas
normalizados
11. Detalhar, expor minuciosamente
12. sumarizar, condensar, resumir
13. em Portugal:Ecran
14. em Portugal: utilizador
(Redirecionado de ETL)
80
Carga dos mesmos
O ETL é importante, pois é a forma pela qual os dados são efetivamente carregados no
DW. Este artigo assume que os dados são sempre carregados no DW, contudo,
ETL pode ser aplicado a um processo de carga de qualquer base de dados.
Extração
Transformação
Carga
81
alcance de reposição ou acréscimo constituem opções de projeto estratégicas que
dependem do tempo disponível e das necessidades de negócios. Sistemas mais
complexos podem manter um histórico e uma pista de auditoria de todas as mudanças
sofridas pelos dados.
Desafios
Os processos de ETL podem ser bastante complexos e problemas operacionais
significativos podem ocorrer com sistemas de ETL desenvolvidos inapropriadamente.
A gama de valores e a qualidade dos dados em um sistema operacional podem ficar fora
das expectativas dos desenvolvedores quando as regras de validação e transformação
são especificadas. O perfil dos dados de uma fonte durante a análise dos dados é
altamente recomendável para identificar as condições dos dados que precisarão ser
gerenciados pelas especificações de regras de transformação.
A escalabilidade de um sistema de ETL durante o seu ciclo de vida de uso precisa ser
estabelecido durante a análise. Isto inclui o conhecimento dos volumes de dados que
terão que ser processados no âmbito dos Acordos de Nível de Serviço ( Service Level
Agreements – SLA). O tempo disponível para extrair dados dos sistemas de origem
pode variar, o que pode significar que a mesma quantidade de dados pode ter que ser
processada em menos tempo. Alguns sistemas de ETL têm que ser escalados para
processar terabytes de dados para atualizar data warehouses com dezenas de terabytes
de dados. Volumes crescentes de dados podem requerer um desenho que possa escalar
de processamento diário de lotes para processamento intra-diário de microlotes para a
integração com filas de mensagens para garantir a continuidade da transformação e da
atualização.
Processamento em Paralelo
Um desenvolvimento recente dos softwares de ETL foi a implementação de
processamento em paralelo. Isto permitiu o desenvolvimento de vários métodos para
melhorar a performance geral dos processos de ETL no tratamento de grandes volumes
de dados.
Dados
Pipeline
Componente
82
A execução simultânea de múltiplos processos em diferentes fluxos de dados no mesmo
job. A classificação de um arquivo de entrada concomitantemente com a de duplicação
de outro arquivo seria um exemplo de um paralelismo de componentes.
Uma dificuldade adicional é assegurar que os dados que estão sendo carregados sejam
relativamente consistentes. Uma vez que múltiplas bases de dados de origem
apresentam diferentes ciclos de atualização (algumas podem ser atualizados em espaços
de alguns minutos, ao passo que outras podem levar dias ou semanas), um sistema de
ETL pode precisar reter determinados dados até que todas as fontes sejam
sincronizadas. Analogamente, quando um warehouse tem que ser reconciliado com o
conteúdo de um sistema de origem ou com o livro razão, faz-se necessária a
implementação de pontos de sincronização e reconciliação.
OLAP
Origem: Wikipédia, a enciclopédia livre.
As aplicações OLAP são usadas pelos gestores em qualquer nível da organização para
lhes permitir análises comparativas que facilitem a sua tomada de decisões diárias.
A arquitetura OLAP possui ferramentas que são classificadas em cinco tipos que são:
ROLAP, MOLAP, HOLAP, DOLAP e WOLAP (além de XOLAP).
Benefícios
Modelo de Dados
83
Em um modelo de dados OLAP, a informação é conceitualmente organizada em cubos
que armazenam valores quantitativos ou medidas. As medidas são identificadas por
duas ou mais categorias descritivas denominadas dimensões que formam a estrutura de
um cubo. Uma dimensão pode ser qualquer visão do negócio que faça sentido para sua
análise, como produto, departamento ou tempo. Este modelo de dados multidimensional
simplifica para os usuários o processo de formular pesquisas ou "queries" complexas,
criar relatórios, efetuar análises comparativas, e visualizar subconjuntos (slice) de maior
interesse. Por exemplo, um cubo contendo informações de vendas poderá ser composto
pelas dimensões tempo, região, produto, cliente, cenário (orçado ou real) e medidas.
Medidas típicas seriam valor de venda, unidades vendidas, custos, margem, etc.
Aplicações
Recursos
Análise de Benefícios, Projeção de Salários, Análise de "Headcount", …
Humanos
Mineração de dados
Origem: Wikipédia, a enciclopédia livre.
84
temporais, para detectar relacionamentos sistemáticos entre variáveis, detectando assim
novos subconjuntos de dados.
Visão geral
A mineração de dados é formada por um conjunto de ferramentas e técnicas que através
do uso de algoritmos de aprendizagem ou classificação baseados em redes neurais e
estatística, são capazes de explorar um conjunto de dados, extraindo ou ajudando a
evidenciar padrões nestes dados e auxiliando na descoberta de conhecimento. Esse
conhecimento pode ser apresentado por essas ferramentas de diversas formas:
agrupamentos, hipóteses, regras, árvores de decisão, grafos, ou dendrogramas.
85
(consistência, preenchimento de informações, remoção de ruído e redundâncias, etc.).
Disto nascem os repositórios organizados (Data Marts e Data Warehouses).
É a partir deles que se pode selecionar algumas colunas para atravessarem o processo de
mineração. Tipicamente, este processo não é o final da história: de forma interativa e
frequentemente usando visualização gráfica, um analista refina e conduz o processo até
que os padrões apareçam. Observe que todo esse processo parece indicar uma
hierarquia, algo que começa em instâncias elementares (embora volumosas) e terminam
em um ponto relativamente concentrado.
Localizando padrões
Padrões são unidades de informação que se repetem. A tarefa de localizar padrões não é
privilégio da mineração de dados. O cérebro dos seres humanos utiliza-se de processos
similares, pois muito do conhecimento que temos em nossa mente é, de certa forma, um
processo que depende da localização de padrões. Para exemplificar esses conceitos,
vamos propor um breve exercício de indução de regras abstratas. Nosso objetivo é tentar
obter alguma expressão genérica para a seguinte seqüência:
Observe atentamente essa seqüência de letras e tente encontrar alguma coisa relevante.
Veja algumas possibilidades:
Passo 1: A primeira etapa é perceber que existe uma seqüência de letras que se repete
bastante. Encontramos as seqüências "AB" e "ABC" e observamos que elas ocorrem
com freqüência superior à das outras seqüências.
"ABCXY"
"ABCZK"
"ABDKC"
"ABCTU"
"ABEWL"
"ABCWO"
Passo 3: Fazem-se agora induções, que geram algumas representações genéricas dessas
unidades:
86
onde '?' representa qualquer letra
No final desse processo, toda a seqüência original foi substituída por regras genéricas
indutivas, o que simplificou (reduziu) a informação original a algumas expressões
simples. Esta explicação é um dos pontos essenciais da mineração de dados, como se
pode fazer para extrair certos padrões de dados brutos. Contudo, mais importante do que
simplesmente obter essa redução de informação, esse processo nos permite gerar formas
de predizer futuras ocorrências de padrões.
Exemplo prático
Vamos observar aqui apenas um pequeno exemplo prático do que podemos utilizar com
as expressões abstratas genéricas que obtivemos. Uma dessas expressões nos diz que
toda vez que encontramos a seqüência "AB", podemos inferir que iremos encontrar
mais três caracteres e isto completaria um "padrão". Nesta forma abstrata ainda pode
ficar difícil de perceber a relevância deste resultado. Por isso vamos usar uma
representação mais próxima da realidade.
Imagine que a letra 'A' esteja representando um item qualquer de um registro comercial.
Por exemplo, a letra 'A' poderia significar "aquisição de pão" em uma transação de
supermercado. A letra 'B' poderia, por exemplo, significar "aquisição de leite". A letra
'C' é um indicador de que o leite que foi adquirido é do tipo desnatado. É interessante
notar que a obtenção de uma regra com as letras "AB" quer dizer, na prática, que toda
vez que alguém comprou pão, também comprou leite. Esses dois atributos estão
associados e isto foi revelado pelo processo de descoberta de padrões.
Esta associação já nos fará pensar em colocar "leite" e "pão" mais próximos um do
outro no supermercado, pois assim estaríamos facilitando a aquisição conjunta desses
dois produtos. Mas a coisa pode ir além disso, bastando continuar nossa exploração da
indução.
Suponha que a letra 'X' signifique "manteiga sem sal", e que a letra 'Z' signifique
"manteiga com sal". A letra 'T' poderia significar "margarina". Parece que poderíamos
tentar unificar todas essas letras através de um único conceito, uma idéia que resuma
uma característica essencial de todos esses itens. Introduzimos a letra 'V', que
significaria "manteiga/margarina", ou "coisas que passamos no pão". Fizemos uma
indução orientada a atributos, substituímos uma série de valores distintos (mas
similares) por um nome só.
Ao fazer isso estamos perdendo um pouco das características dos dados originais. Após
essa transformação, já não sabemos mais o que é manteiga e o que é margarina. Essa
perda de informação é fundamental na indução e é um dos fatores que permite o
aparecimento de padrões mais gerais. A vantagem desse procedimento é de que basta
codificar a seqüência original substituindo a letra 'V' em todos os lugares devidos.
Assim fica essa seqüência transformada:
ABCVYABCVKABDKCABCVUABEWLABCVO
Daqui, o sistema de mineração de dados irá extrair, entre outras coisas, a expressão
"ABCV", que irá revelar algo muito interessante:
87
A maioria dos usuários que adquiriram pão e leite desnatado
também adquiriram manteiga ou margarina.
De posse desta regra, fica fácil imaginar uma disposição nas prateleiras do
supermercado para incentivar ainda mais este hábito. Em linguagem mais lógica, pode-
se dizer que pão e leite estão associados (implicam) na aquisição de manteiga, isto é,
.
Exemplos Reais
Vestibular PUC-RJ
Com o uso de data mining foram verificadas correlações entre o estado civil e salários
da Secretaria de Fazenda do Estado do Amazonas. Notava-se que cerca de 80% dos
servidores de maior poder aquisitivo deste órgão eram divorciados/desquitados,
enquanto que em outras instituições, como por exemplo na Secretaria de Educação
(composta em sua maioria por professores), esta média de divorciados/desquitados era
inferior a 30%.
Longe de parecer coincidência, os dados sugerem que servidores com maior poder
aquisitivo se envolvam com relações extra-conjugais, resultando geralmente em
desfazimento do casamento.
Inteligência empresarial
Origem: Wikipédia, a enciclopédia livre.
Processo empresarial
88
A Inteligência Empresarial, ou Business Intelligence, é um termo do Gartner Group. O
conceito surgiu na década de 80 e descreve as habilidades das corporações para aceder a
dados e explorar informações e recursos financeiros em proveito dos directores
(normalmente contidas em um Data Warehouse/Data Mart), analisando-as e
desenvolvendo percepções e entendimentos a seu respeito, o que lhes permite
incrementar e tornar mais pautada em informações a tomada de decisão (JFF).
Cada sistema de BI determina uma meta específica, tendo por base o objetivo
organizacional ou a visão da empresa, existindo em ambos objetivos, sejam eles de
longo ou curto prazo.
Ou seja, pode ser considerado como uma estratégia de gestão de negócios através da
gestão dos relacionamentos com os clientes tendo em consideração o aumento do lucro
e das vendas da empresa. O objetivo principal é claramente uniformizar processos que
89
permitam o acesso à informação como forma de melhorar os negócios e o Marketing
Relacional da empresa através do uso da tecnologia.
1. CMV (Clientes mais valiosos) para os quais devemos utilizar uma estratégia de
retenção, trabalhando em programas de reconhecimento e na possibilidade de uso de
canais de comunicação exclusivos recompensando a preferência dos clientes e o
volume de negócios por eles submetido na nossa empresa;
2. CMP (Clientes de maior potencial) para os quais é necessário desenvolver esses
clientes através de incentivos. O importante é transformar estes clientes em CMV.
Encontrar estratégias para os “habituar” a trabalhar com os nossos produtos;
3. BZ (Below Zero) que representam valor negativo para a organização;
4. Clientes Intermédios mas que são lucrativos, porém sem grande expressão.
Tecnologia de BI
Alguns observadores consideram que o processo de BI realça os dados dentro da
informação e também dentro do conhecimento. Pessoas envolvidas em processos de BI
podem usar software ou outras tecnologias para obter, guardar, analisar e prover acesso
aos dados. O software “cura” o desempenho do gerenciamento do negócio e contribui
no objetivo de tomar as decisões melhores, mais atuais e relevantes, com as informações
acessíveis sempre que necessário. Algumas pessoas utilizam o termo "BI"
intercambiando-o com "livros de reunião" ou "sistemas de informações executivas", de
acordo com a informação que cada um contém. É nesse sentido, que cada um pode
considerar um sistema de BI como um sistema de suporte para tomada de decisão
(decision-support system).
História
Uma referência anterior a inteligência, mas não relacionada aos negócios, ocorreu em
Sun Tzu - A Arte da Guerra. Sun Tzu fala em seu livro que para suceder na guerra, a
pessoa deve deter todo o conhecimento de suas fraquezas e virtudes, além de todo o
90
conhecimento das fraquezas e virtudes do inimigo. A falta deste conhecimento pode
resultar na derrota.
Uma certa escola traça paralelos entre as disputas nos negócios com as guerras:
coleta de informações;
discernimento de testes padrão e o significado dos dados (gerando informação);
respondendo à informação resultante.
Desenhando e implementando BI
Portal Corporativo
Origem: Wikipédia, a enciclopédia livre.
91
Devido à grande quantidade de informação, para construir um portal são utilizadas
ferramentas de gestão de conteúdo - CMS, pois os tradicionais editores de HTML não
dão mais conta da demanda de trabalho que é muito elevada. Os CMS, ou Sistemas
Gerenciadores de Conteúdo ajudam em muito o trabalho, pois criam um nível de
abstração mais elevado além de fazer algo muito mais importante que é estabelecer uma
hierarquia e controle das pessoas que alimentam o site, pois nem todos podem alterar o
conteúdo de qualquer página, assim, o CMS delega de forma organizada as diversas
páginas do Portal sem que seja necessário ficar revisando a questão da organização e
uma forma geral.
Uma das vantagens no uso do CMS é o fato de, na maior parte dos casos, possibilitar a
separação física do que é estética e estilo, do que é conteúdo, assim se o Webdesigner
faz uma alteração de cor ou logotipo apenas a aparência é modificada, enquanto que o
usuário leigo alimenta o site com a informação e conteúdo.
Este usuário comum sequer sabe das mudanças ocorridas na parte estética, ele apenas
alimenta o conteúdo, portanto, pode trabalhar sem se preocupar com detalhes estéticos
ou formatação, o resultado é a diminuição de custo de manutenção do Portal e a
eliminação de mão de obra especializada em Webdesign que passa a ser substituída por
pessoas que conhecem o básico de um Editor de Texto com imagens.
Existem situações em que conteúdo e dados de diferentes empresas podem ser inseridos
em uma mesma interface WEB, de forma que o antigo conceito de se associar um portal
à uma determinada corporação pode em pouco tempo desaparecer, pois hoje,
tecnologicamente falando, nada impede que surjam grandes portais formados por
diversas empresas que oferecem determinado tipo de conteúdo.
Portal Corporativo
Portais eficientes permitem maximizar o lucro das empresas, oferecem canais de
comunicação e vendas para o cliente, fornecem informações e históricos de
atendimento, recebem pesquisas de opinião do consumidor, registram números de série
e garantia de produtos, oferecem catálogos dos produtos da empresa, direcionam
contatos a representantes, fazem tanta coisa que fica difícil de enumerar tudo que existe.
92
Geralmente quando o usuário se perde diante de tanta informação, costuma existir no
Portal o Mapa do Site, que permite visualizar a organização geral das principais páginas
por assunto ou especialidade.
Existe também o super importante campo de busca, uma caixa retangular onde se
preenche o assunto de interesse que necessitamos localizar no site.
Quando isto não ocorre, muitas vezes a consequência pode ser uma compra paga que
não é registrada e se perde, um pedido que não chega ao departamento de compras, o
cliente que não consegue abrir sua tela de informações, legais interessantes etc.. LeGaL
enfim isto e um portal hsahsahsaha
93
Os Portais Corporativos assim deixaram de ser meramente Sites Institucionais, como
ocorria no passado. Se tornaram verdadeiros canais de acesso aos clientes e públicos da
organização, e o ponto mais importante não é mais apenas a informação, mas
principalmente a interação entre elas.
Cada Portlet pode ser originado de um sistema de fornecedor diferente, como a IBM, a
SAP, a SUN, contudo, é importante observar que o uso de portlets vai mais além, pois
diferentes portlets no mesmo portal tem a capacidade de trocar informações
dinamicamente entre si sem a intervenção humana, ou com a supervisão da mesma,
desde que obedeçam à mesma especificação, como o Java Portlet Specification
(JSR168, JSR286) por exemplo.
Portal Colaborativo
94
A mesma lógica de "monetização" do conteúdo colaborativo tem sido usada em
comunidades de nicho. O site Outrolado, do portal UOL, convida participantes a
escreverem artigos sobre Internet e tecnologia no site. Com isso, o portal oferece
renome e visibilidade aos usuários que tiverem seus artigos publicados e ao mesmo
tempo viabiliza seu negócio, disponibilizando conteúdo relevante sem necessidade de
remunerar financeiramente todos os autores.
Colaborativamente, a web 2.0 também pode ser usada como uma ferramenta pedagógica
para a construção de conceitos. É neste sentido que a chamada “arquitetura de
participação” de muitos serviços online pretende oferecer além de um ambiente de fácil
publicação e espaço para debates, recursos para a gestão coletiva do trabalho comum.
No entanto, devemos estar atentos ao fato de que, quando se discute o trabalho aberto e
coletivo online, não se pode pensar que não deva haver a regulação das relações.
Igualmente ao trabalho coletivo não virtual, há sempre possibilidade de termos que lidar
com ações não prudentes e desvinculadas do objetivo principal do projeto. Uma rede
social online não se forma tão e somente pela simples conexão de terminais. “Trata-se
de um processo emergente que mantém sua existência através de interações entre os
envolvidos”. (PRIMO, 2007, p. 21).
Segurança da informação
Origem: Wikipédia, a enciclopédia livre.
Conceitos de segurança
A Segurança da Informação se refere à proteção existente sobre as informações de uma
determinada empresa ou pessoa, isto é, aplica-se tanto as informações corporativas
quanto às pessoais. Entende-se por informação todo e qualquer conteúdo ou dado que
tenha valor para alguma organização ou pessoa. Ela pode estar guardada para uso
restrito ou exposta ao público para consulta ou aquisição.
95
Podem ser estabelecidas métricas (com o uso ou não de ferramentas) para a definição do
nível de segurança existente e, com isto, serem estabelecidas as bases para análise da
melhoria ou piora da situação de segurança existente. A segurança de uma determinada
informação pode ser afetada por fatores comportamentais e de uso de quem se utiliza
dela, pelo ambiente ou infraestrutura que a cerca ou por pessoas mal intencionadas que
têm o objetivo de furtar, destruir ou modificar tal informação.
Mecanismos de segurança
O suporte para as recomendações de segurança pode ser encontrado em:
Controles físicos: são barreiras que limitam o contato ou acesso direto a informação
ou a infraestrutura (que garante a existência da informação) que a suporta.
96
Controles lógicos: são barreiras que impedem ou limitam o acesso a informação, que
está em ambiente controlado, geralmente eletrônico, e que, de outro modo, ficaria
exposta a alteração não autorizada por elemento mal intencionado.
Ameaças à segurança
As ameaças à segurança da informação são relacionadas diretamente à perda de uma de
suas 3 características principais, quais sejam:
97
motivo interno ou externo ao equipamento ou por ação não autorizada de pessoas
com ou sem má intenção.
Invasões na Internet
Todo sistema de computação necessita de um sistema para proteção de arquivos. Este
sistema é um conjunto de regras que garantem que a informação não seja lida, ou
modificada por quem não tem permissão. A segurança é usada especificamente para
referência do problema genérico do assunto, já os mecanismos de proteção são usados
para salvar as informações a serem protegidas. A segurança é analisada de várias
formas, sendo os principais problemas causados com a falta dela a perda de dados e as
invasões de intrusos. A perda de dados na maioria das vezes é causada por algumas
razões: fatores naturais: incêndios, enchentes, terremotos, e vários outros problemas de
causas naturais; Erros de hardware ou de software: falhas no processamento, erros de
comunicação, ou bugs em programas; Erros humanos: entrada de dados incorreta,
montagem errada de disco ou perda de um disco. Para evitar a perda destes dados é
necessário manter um backup confiável, guardado longe destes dados originais.
Exemplos de Invasões
O maior acontecimento causado por uma invasão foi em 1988, quando um estudante
colocou na internet um programa malicioso (worm), derrubando milhares de
computadores pelo mundo, que foi identificado e removido logo após. Mas até hoje há
controvérsias de que ele não foi completamente removido da rede. Esse programa era
feito em linguagem C, e não se sabe até hoje qual era o objetivo, o que se sabe é que ele
tentava descobrir todas as senhas que o usuário digitava. Mas esse programa se auto-
copiava em todos os computadores em que o estudante invadia. Essa “brincadeira” não
durou muito, pois o estudante foi descoberto pouco tempo depois, processado e
condenado a liberdade condicional, e teve que pagar uma alta multa.
Um dos casos mais recentes de invasão por meio de vírus foi o do Vírus Conficker (ou
Downup, Downadup e Kido) que tinha como objetivo afetar computadores dotados do
sistema operacional Microsoft Windows, e que foi primeiramente detectado em outubro
de 2008. Uma versão anterior do vírus propagou-se pela internet através de uma
vulnerabilidade de um sistema de rede do Windows 2000, Windows XP, Windows
Vista, Windows Server 2003, Windows Server 2008, Windows 7 Beta e do Windows
Server 2008 R2 Beta, que tinha sido lançado anteriormente naquele mês. O vírus
bloqueia o acesso a websites destinados à venda, protegidos com sistemas de segurança
e, portanto, é possível a qualquer usuário de internet verificar se um computador está
infectado ou não, simplesmente por meio do acesso a websites destinados a venda de
produtos dotados de sistemas de segurança. Em janeiro de 2009, o número estimado de
98
computadores infectados variou entre 9 e 15 milhões. Em 13 de fevereiro de 2009, a
Microsoft estava oferecendo 250.000 dólares americanos em recompensa para qualquer
informação que levasse à condenação e à prisão de pessoas por trás da criação e/ou
distribuição do Conficker. Em 15 de outubro de 2008, a Microsoft liberou um patch de
emergência para corrigir a vulnerabilidade MS08-067, através da qual o vírus prevalece-
se para poder se espalhar. As aplicações da atualização automática se aplicam somente
para o Windows XP SP2, SP3, Windows 2000 SP4 e Windows Vista; o Windows XP
SP1 e versões mais antigas não são mais suportados. Os softwares antivírus não-ligados
a Microsoft, tais como a BitDefender, Enigma Software, Eset,F-Secure, Symantec,
Sophos, e o Kaspersky Lab liberaram atualizações com programas de detecção em seus
produtos e são capazes de remover o vírus. A McAfee e o AVG também são capazes de
remover o vírus através de escaneamentos de discos rígidos e mídias removíveis.
Através desses dados vemos que os antivírus devem estar cada vez mais atualizados,
estão surgindo novos vírus rapidamente, e com a mesma velocidade deve ser lançado
atualizações para os bancos de dados dos antivírus para que os mesmos sejam
identificados e excluídos. Com a criação da internet essa propagação de vírus é muito
rápida e muito perigosa, pois se não houver a atualização dos antivírus o computador e
usuário estão vulneráveis, pois com a criação da internet várias empresas começarão a
utilizar internet como exemplo empresas mais precisamente bancos, mas como é muito
vulnerável esse sistema, pois existem vírus que tem a capacidade de ler o teclado
(in/out), instruções privilegiadas como os keyloggers. Com esses vírus é possível ler a
senha do usuário que acessa sua conta no banco, com isso é mais indicado utilizar um
teclado virtual para digitar as senhas ou ir diretamente ao banco.
Nível de segurança
Depois de identificado o potencial de ataque, as organizações têm que decidir o nível de
segurança a estabelecer para uma rede ou sistema os recursos físicos e lógicos a
necessitar de proteção. No nível de segurança devem ser quantificados os custos
associados aos ataques e os associados à implementação de mecanismos de proteção
para minimizar a probabilidade de ocorrência de um ataque.
Segurança física
Segurança lógica
Atenta contra ameaças ocasionadas por vírus, acessos remotos à rede, backup
desatualizados, violação de senhas, etc.
99
Políticas de segurança
De acordo com o RFC 2196 (The Site Security Handbook), uma política de segurança
consiste num conjunto formal de regras que devem ser seguidas pelos utilizadores dos
recursos de uma organização.
O documento que define a política de segurança deve deixar de fora todos os aspectos
técnicos de implementação dos mecanismos de segurança, pois essa implementação
pode variar ao longo do tempo. Deve ser também um documento de fácil leitura e
compreensão, além de resumido.
Algumas normas definem aspectos que devem ser levados em consideração ao elaborar
políticas de segurança. Entre essas normas estão a BS 7799 (elaborada pela British
Standards Institution) e a NBR ISO/IEC 17799 (a versão brasileira desta primeira). A
ISO começou a publicar a série de normas 27000, em substituição à ISO 17799 (e por
conseguinte à BS 7799), das quais a primeira, ISO 27001, foi publicada em 2005.
Existem duas filosofias por trás de qualquer política de segurança: a proibitiva (tudo que
não é expressamente permitido é proibido) e a permissiva (tudo que não é proibido é
permitido).
Políticas de Senhas
Recomenda-se a adoção das seguintes regras para minimizar o problema, mas a regra
fundamental é a conscientização dos colaboradores quanto ao uso e manutenção das
senhas.
100
Senha com data para expiração
Inibir a repetição
Adota-se através de regras predefinidas que uma senha uma vez utilizada não poderá
ter mais que 60% dos caracteres repetidos, p. ex: senha anterior “123senha” nova
senha deve ter 60% dos caracteres diferentes como “456seuse”, neste caso foram
repetidos somente os caracteres “s” “e” os demais diferentes.
Criar um conjunto com possíveis senhas que não podem ser utilizadas
Monta-se uma base de dados com formatos conhecidos de senhas e proíbir o seu uso,
como por exemplo o usuário chama-se Jose da Silva, logo sua senha não deve conter
partes do nome como 1221jose ou 1212silv etc, os formatos DDMMAAAA ou 19XX,
1883emc ou I2B3M4
Outros sistemas de criar a senha para os usuários ou deixar que o usuário escolha um de
um número limitado de opções exibidas.
Referências
1. 'Meu amigo foi atacado por um hacker'; sistema da Microsoft tenta evitar roubo de
senhas no Hotmail, acessado em 5 de maio de 2012
TERPSTRA, John. Segurança para Linux. RJ: Elsevier, 2005. ISBN 85-352-1599-9
Melhorar a usabilidade de Gerenciamento de senha com políticas de senha
padronizados
101
Claudia Dias, Segurança e Auditoria da Tecnologia da Informação, 2000, Editora: Axcel
Books 142, ISBN 85-7323-231-9
Noções de Criptografia
(Do Grego kryptós, "escondido", e gráphein, "escrita") é o estudo dos princípios e
técnicas pelas quais a informação pode ser transformada da sua forma original para
outra ilegível, de forma que possa ser conhecida apenas por seu destinatário (detentor da
"chave secreta"), o que a torna difícil de ser lida por alguém não autorizado. Assim
sendo, só o receptor da mensagem pode ler a informação com facilidade. É um ramo da
Matemática, parte da Criptologia.1 2 Há dois tipos de chaves criptográficas: chaves
simétricas (criptografia de chave única) e chaves assimétricas (criptografia de chave
pública).3
Uma informação não-cifrada que é enviada de uma pessoa (ou organização) para outra é
chamada de "texto claro" (plaintext). Cifragem é o processo de conversão de um texto
claro para um código cifrado e decifragem é o processo contrário, de recuperar o texto
original a partir de um texto cifrado. De facto, o estudo da criptografia cobre bem mais
do que apenas cifragem e decifragem. É um ramo especializado da teoria da informação
com muitas contribuições de outros campos da matemática e do conhecimento,
incluindo autores como Maquiavel, Sun Tzu e Karl von Clausewitz. A criptografia
moderna é basicamente formada pelo estudo dos algoritmos criptográficos que podem
ser implementados em computadores.
Terminologia
O termo é comumente usado para se referir a área de estudo de forma abrangente, como
criptologia ("o estudo dos segredos"). Outros termos relacionados são: Criptoanálise,
Esteganografia, Esteganálise, Código, e Criptologia. Alguns autores cunharam o termo
Criptovirologia para se referir a vírus que contém e usam chaves públicas. 4 O estudo das
formas de esconder o significado de uma mensagem usando técnicas de cifragem tem
sido acompanhado pelo estudo das formas de conseguir ler a mensagem quando não se
é o destinatário; este campo de estudo é chamado criptoanálise.5
História
Antigamente, a cifragem era utilizada na troca de mensagens, sobretudo em assuntos
ligados à guerra (no intuito de o inimigo não descobrir a estratégia do emissor da
mensagem, caso se apoderasse dela), ao amor (para que os segredos amorosos não
fossem descobertos pelos familiares) e à diplomacia (para que facções rivais não
102
estragassem os planos de acordos diplomáticos entre nações). O primeiro uso
documentado da criptografia foi em torno de 1900 a.c., no Egito, quando um escriba
usou hieróglifos fora do padrão numa inscrição.
Entre 600 a.c. e 500 a.c., os hebreus utilizavam a cifra de substituição simples (de fácil
reversão e fazendo uso de cifragem dupla para obter o texto original), sendo
monoalfabético e monogrâmica (os caracteres são trocados um a um por outros), e com
ela escreveram o Livro de Jeremias.
O chamado "Codificador de Júlio César" ou "Cifra de César" que apresentava uma das
técnicas mais clássicas de criptografia, é um exemplo de substituição que,
simplesmente, substitui as letras do alfabeto avançando três casas. O autor da cifragem
trocava cada letra por outra situada a três posições à frente no alfabeto. Segundo o autor,
esse algoritmo foi responsável por enganar muitos inimigos do Império Romano; no
entanto, após ter sido descoberta a chave, como todas, perdeu sua funcionalidade.
Dos anos 700 a 1200, são relatados incríveis estudos estatísticos, em que se destacam
expoentes como al-Khalil, al-Kindi, Ibn Dunainir e Ibn Adlan, que marcaram sua época.
Na Idade Média, a civilização árabe-islâmica contribuiu muito para os processos
criptográficos, sobretudo quanto à criptoanálise (análise da codificação, a procura de
padrões que identificassem mensagens camufladas por códigos).
Em 1928, o exército alemão construiu uma versão conhecida como "Enigma G", que
tinha como garantidor de segurança a troca periódica mensal de suas chaves. Essa
máquina tinha como diferencial ser elétrico-mecânica, funcionando com três
(inicialmente) a oito rotores. Aparentava ser uma máquina de escrever, mas quando o
usuário pressionava uma tecla, o rotor da esquerda avançava uma posição, provocando a
rotação dos demais rotores à direita, sendo que esse movimento dos rotores gerava
diferentes combinações de encriptação.
103
inicialmente, desenvolvidos como máquinas de decriptação, mas depois passaram a
codificar mensagens das forças aliadas.
Durante a chamada "Guerra Fria", entre Estados Unidos e União Soviética, foram
criados e utilizados diversos métodos a fim de esconder mensagens a respeito de
estratégias e operações, criptografadas com diferentes métodos e chaves.
Nos dias atuais, onde grande parte dos dados é digital, sendo representados por bits, o
processo de criptografia é basicamente feito por algoritmos que fazem o
embaralhamento dos bits desses dados a partir de uma determinada chave ou par de
chaves, dependendo do sistema criptográfico escolhido. Atualmente, a criptografia é
amplamente utilizada na WEB, em segurança a fim de autenticar os usuários para lhes
fornecer acesso, na proteção de transações financeiras e em redes de comunicação.
Cifras e Códigos
A cifra é um ou mais algoritmos que cifram e decifram um texto. A operação do
algoritmo costuma ter como parâmetro uma chave criptográfica. Tal parâmetro costuma
ser secreto (conhecido somente pelos comunicantes). A cifra pode ser conhecida, mas
não a chave; assim como se entende o mecanismo de uma fechadura comum, mas não
se pode abrir a porta sem uma chave real.
104
Na linguagem não técnica, um Código secreto é o mesmo que uma cifra. Porém, na
linguagem especializada os dois conceitos são distintos. Um código funciona
manipulando o significado, normalmente pela substituição simples de palavras ou
frases. Uma cifra, ao contrário, trabalha na representação da mensagem (letras, grupos
de letras ou, atualmente, bits).
Por exemplo, um código seria substituir a frase "Atacar imediatamente" por "Mickey
Mouse". Uma cifra seria substituir essa frase por "sysvst ozrfosyszrmyr". No Dia D, por
exemplo, as praias de desembarque não eram conhecidas pelo seu nome próprio, mas
pelos seus códigos (Omaha, Juno, etc.).
Chave Criptográfica
Nem todos os sistemas ou algoritmos criptográficos são utilizados para atingir todos os
objetivos listados acima. Normalmente, existem algoritmos específicos para cada uma
destas funções. Mesmo em sistemas criptográficos bem concebidos, bem
implementados e usados adequadamente, alguns dos objetivos acima não são práticos
(ou mesmo desejáveis) em algumas circunstâncias. Por exemplo, o remetente de uma
mensagem pode querer permanecer anônimo, ou o sistema pode destinar-se a um
ambiente com recursos computacionais limitados.
Criptografia Clássica
105
Um bastão reconstruído dos gregos antigos, a Cítala era utilizada para envio de
mensagens secretas
Podemos dizer que o uso da criptografia é tão antigo quanto a necessidade do homem
em esconder a informação. Muitos pesquisadores atribuem o uso mais antigo da
criptografia conhecido aos hieróglifos usados em monumentos do Antigo Egito (cerca
de 4500 anos atrás). Diversas técnicas de ocultar mensagens foram utilizadas pelos
gregos e romanos.
Criptografia Moderna
A era da criptografia moderna começa realmente com Claude Shannon, possivelmente o
pai da criptografia matemática. Em 1949 ele publicou um artigo Communication
Theory of Secrecy Systems com Warren Weaver. Este artigo, junto com outros de seus
trabalhos que criaram a área de Teoria da Informação estabeleceu uma base teórica
sólida para a criptografia e para a criptoanálise. Depois disso, quase todo o trabalho
realizado em criptografia se tornou secreto, realizado em organizações governamentais
especializadas (como o NSA nos Estados Unidos). Apenas em meados de 1970 as
coisas começaram a mudar.
Criptografia Quântica
106
Desenvolvimento da técnica reunindo o conceito de criptografia e a teoria quântica é
mais antigo do que se imagina, sendo anterior à descoberta da criptografia de Chave
Pública. Stephen Wiesner escreveu um artigo por volta de 1970 com o título:
"Conjugate Coding" que permaneceu sem ser publicado até o ano de 1983. Em seu
artigo, Wiesner explica como a teoria quântica pode ser usada para unir duas mensagens
em uma única transmissão quântica na qual o receptor poderia decodificar cada uma das
mensagens porém nunca as duas simultaneamente, pela impossibilidade de violar uma
lei da natureza (o princípio de incerteza de Heisenberg).7
Por via aérea a distância chega a algumas centenas de metros e qualquer tentativa de se
aumentar essa distância tanto em um quanto em outro método a taxa de erros se torna
muito grande e inviabiliza o processo. O desenvolvimento de tecnologias que permitam
o perfeito alinhamento dos polarizadores, fibras óticas melhores e amplificadores
quânticos de sinais permitirá que o sistema de Distribuição de Chaves Quânticas venha
a ser o novo padrão de segurança de dados.
107
society na Europa. Leis com restrições similares estão a ser propostos pelos Estados
membros da Organização Mundial da Propriedade Intelectual.
MD5
SHA-1
RIPEMD-160
Tiger
PGP
GPG
SSL
IPSec / Free S/WAN
Curvas elípticas
Diffie-Hellman
DSA de curvas elípticas
El Gamal
RSA
Algoritmos simétricos
Referências
1. FIARRESGA, Victor Manuel Calhabrês; Jorge Nuno Oliveira e Silva (2010).
Criptografia e Matemática. Repositório aberto da Universidade de Lisboa Teses
de mestrado. Página visitada em 17 de Junho de 2012.
2. Knudsen, Jonathan. Java Cryptography. Beijing: O´Reilly, 1998. 344 p. ISBN 1-
56592-402-9
3. ALECRIM, Emerson (2010). Criptografia. InfoWester Propagando
Conhecimento. Página visitada em 17 de Junho de 2012.
108
4. Young, Adam L.; Yung, Moti. Malicious Cryptography: Exposing
Cryptovirology. Indianapolis: Addison-Wesley, 2004. 392 p. ISBN 0-7645-4975-
8
5. Gaines, Hele Fouché. Cryptanalysis. New York: Dover Publications, 1956. 237
p.
6. Solomon, David. Coding for Data and Computer Communications. Northridge,
California: Springer, 2005. 548 p. ISBN 0-387-21245-0
7. Introdução à criptografia quântica (PDF). Revista Brasileira de Ensino de
Física, v. 27, n. 4, p. 517 - 526, (2005). Página visitada em 10 de fevereiro de
2009.
Bibliografia
Hook, David. Beginning Cryptography with Java. Indianapolis: Wrox,
2005. 448 p. ISBN 0-7645-9633-0
Schneier, Bruce. Applied Cryptography. New York: John Wiley and Sons,
1996. 758 p. ISBN 0-471-11709-9
Viktoria Tkotz, Criptografia -Segredos Embalados para Viagem. Novatec
Editora. ISBN 85-7522-071-3.
Assinatura digital
Origem: Wikipédia, a enciclopédia livre.
Este artigo trata da assinatura digital utilizando a tecnologia PKI (Public Key
Infrastructure), que é apenas uma das técnicas disponíveis para gerar documentos
digitais com validade legal, outros métodos de assinatura digital estão em uso e a
tecnologia continua evoluindo e apresentando alternativas à PKI.
autenticidade - o receptor deve poder confirmar que a assinatura foi feita pelo
emissor;
integridade - qualquer alteração da mensagem faz com que a assinatura não
corresponda mais ao documento;
109
irretratabilidade - o emissor não pode negar a autenticidade da mensagem.
História
Em 1976, Whitfield Diffie e Martin Hellman descreveram primeiramente a noção de um
esquema de assinatura digital, embora eles apenas conjecturaram que tais esquemas
existissem. Apenas mais tarde, Ronald Rivest, Adi Shamir, e Len Adleman inventaram
o algoritmo RSA que poderia ser usado para assinaturas digitais primitivas (note que
isso apenas serve como uma prova do conceito, e as assinaturas RSA puras não são
seguras). O primeiro pacote de software amplamente comercializado a oferecer a
assinatura digital foi o Lotus Notes 1.0, em 1989, que usava o algoritmo RSA.
Como notado ainda cedo, esse esquema básico não é muito seguro. Para prevenir
ataques pode-se primeiro aplicar uma função de criptografia hash para a mensagem 'm' e
então aplicar o algoritmo RSA ao resultado. Outros esquemas de assinatura digital
foram logo desenvolvidos depois do RSA, o mais antigo sendo as assinaturas de
Lamport, de Merkle (também conhecidas como árvores de Hash) e as de Rabin.
Como funciona?
Existem diversos métodos para assinar digitalmente documentos, e esses métodos estão
em constante evolução. Porém de maneira resumida uma assinatura típica envolve dois
processos criptográficos: o hash (resumo) e a encriptação deste hash.
Neste ponto, o leitor mais atento percebe um problema: Se as mensagens possíveis são
infinitas, mas o tamanho do hash é fixo, é impossível impedir que mensagens diferentes
levem a um mesmo hash. De fato, isto ocorre. Quando se encontram mensagens
110
diferentes com hashs iguais, é dito que foi encontrada uma colisão de hashes. Um
algoritmo onde isso foi obtido deve ser abandonado. As funções de hash estão em
constante evolução para evitar que colisões sejam obtidas. Cabe destacar porém que a
colisão mais simples de encontrar é uma aleatória, ou seja, obter colisões com duas
mensagens geradas aleatoriamente, sem significado real. Quando isto ocorre os
estudiosos de criptografia já ficam atentos, porém para comprometer de maneira
imediata a assinatura digital seria necessário obter uma mensagem adulterada que tenha
o mesmo hash de uma mensagem original fixa, o que é teoricamente impossível de
ocorrer com os algoritmos existentes hoje. Desta forma, garante-se a integridade da
assinatura.
Após gerar o hash, ele deve ser criptografado através de um sistema de chave pública,
para garantir a autenticação e a irretratabilidade. O autor da mensagem deve usar sua
chave privada para assinar a mensagem e armazenar o hash criptografado junto a
mensagem original.
Para verificar a autenticidade do documento, deve ser gerado um novo resumo a partir
da mensagem que está armazenada, e este novo resumo deve ser comparado com a
assinatura digital. Para isso, é necessário descriptografar a assinatura obtendo o hash
original. Se ele for igual ao hash recém gerado, a mensagem está íntegra. Além da
assinatura existe o selo cronológico que atesta a referência de tempo à assinatura.
Aspectos legais
Legislações sobre o efeito e validade de assinaturas digitais:
Brasil
Resultado igual pode ser obtido se o usuário de um certificado emitido por outra ICP
qualquer, depositar em cartório de registro o reconhecimento da mesma como sua
identidade digital. O que se quer preservar é o princípio da irrefutabilidade do
documento assinado, assim sendo, o registro em cartório de um documento no qual o
usuário reconhece como sendo seu um determinado certificado digital é prova mais que
suficiente para vincular a ele qualquer documento eletrônico assinado com aquele
certificado.
Comunidade Europeia
111
Estados Unidos da América
RightSignature [1]
Docusign [2]
Echosign [3]
Arx [4]
TrueSeal [5]
SigningHub[6]
Índia
Nova Zelândia
Portugal
112
Autenticação
Origem: Wikipédia, a enciclopédia livre.
Gestão da Informação
É de grande relevância no processo de gestão da informação a proteção dos dados e dos
recursos envolvidos nele, de modo a garantir a acesso, alteração e liberação apenas por
pessoas devidamente autorizadas.
Segurança da informação
A segurança da informação está fortemente relacionada a administração moderna
representando um bem que por sua vez precisa ser protegido, visando minimizar riscos
no tocante ao extravio de informação, apoiando os retornos envolvidos de modo a
garantir a continuidade dos negócios.
O termo "autorização" é muitas vezes confundido com o termo autenticação, mas apesar
de serem relacionados, o significado de ambos é muito diferente. A autenticação é o
processo que verifica a identidade de uma pessoa, por sua vez, a autorização verifica se
esta pessoa possui permissão para executar determinadas operações. Por este motivo, a
autenticação sempre precede a autorização.
Controle de acesso
Ambientes Afetados
113
Os Ambientes Afetados São todos os frameworks de aplicações web são vulneráveis a
furos de autenticação e de gerência de sessão.
Vulnerabilidade
Verificação de Segurança
Abordagens Manuais
Essas Abordagens Manuais é pra ser feito com revisão de código e testes, especialmente
combinados, são muito efetivos para a verificação de autenticação, gerência de sessão e
funções secundárias estão todas implementadas corretamente.
Remove caracteres indevidos que são utilizados em ataques como os de SQL Injection;
114
Estes tokens são gerados de forma randômica por meio da função rand() do PHP;
Na tela de autenticação é solicitado ao usuário seu login, sua senha e uma chave;
Cada usuário tem em seu cadastro no banco de dados uma imagem de sua digital, ou
várias;
Um aparelho que possui um software interno recebe as imagens das digitais cadastradas
no banco de dados e faz a comparação;
Proteção
Fatores de autenticação
Os fatores de autenticação para humanos são normalmente classificados em três casos:
aquilo que o usuário é (impressão digital, padrão retinal, sequência de DNA, padrão de
voz, reconhecimento de assinatura, sinais elétricos unicamente identificáveis
produzidos por um corpo vivo, ou qualquer outro meio biométrico).
aquilo que o usuário tem (cartão de identificação, security token, software token ou
telefone celular)
aquilo que o usuário conhece (senha, frase de segurança, PIN)
115
Certificado digital
Origem: Wikipédia, a enciclopédia livre.
Uso
Um certificado digital é usado para ligar uma entidade a uma chave pública. Para
garantir digitalmente, no caso de uma Infraestrutura de Chaves Públicas (ICP), o
certificado é assinado pela Autoridade Certificadora (AC) que o emitiu e no caso de um
modelo de Teia de Confiança (Web of trust) como o PGP, o certificado é assinado pela
própria entidade e assinado por outros que dizem confiar naquela entidade. Em ambos
os casos as assinaturas contidas em um certificado são atestamentos feitos por uma
entidade que diz confiar nos dados contidos naquele certificado.
Em uma ICP, João será uma AC, a qual tem a confiança de todos os participantes
daquela ICP. Em um modelo de Teia de confiança, João poderá ser qualquer usuário, e
confiar ou não em um atestamento de um usuário que diz que uma chave pública
específica pertence a Alice, está a cargo da pessoa que deseja enviar a mensagem para
Alice.
Em situações reais, Alice pode não conhecer a AC de Bob (talvez seus certificados não
tenham sido emitidos pela mesma AC), então o certificado de Bob, também pode incluir
a chave pública da sua AC assinada por uma AC de "maior nível" (Ex. a AC Raiz ICP-
BRASIL que emitiu os certificados da AC intermediária). Este processo leva a uma
hierarquia de certificados, e para relacionamentos de confiança ainda mais complexos.
A maioria das vezes ICP se refere ao software que administra os certificados. Em
sistemas ICP X.509, a hierarquia de certificados é sempre baseada em uma árvore de
cima a baixo, com o certificado raiz no topo, representando a AC "principal" que não
precisa ser assinado por um terceiro confiável (João). O certificado raiz é auto assinado.
Um certificado pode ser revogado se for descoberto que a sua chave privada relacionada
foi comprometida, ou se o seu relacionamento (entre uma entidade e a sua chave
pública) embutida no certificado estiver incorreta ou foi mudada; isto poderá ocorrer,
116
por exemplo, se uma pessoa muda de nome ou CPF. Uma revogação não é comum, mas
a possibilidade da ocorrência significa que quando um certificado é confiável, o usuário
deverá sempre verificar a sua validade. Isto pode ser feito comparando o certificado
com uma Lista de certificados revogados (LCR). Seu objetivo é mostrar todos os
certificados revogados ou cancelados no âmbito daquela AC. Garantir que a lista está
correta e atualizada é a parte mais importante em uma ICP centralizada, o que às vezes
não é feito corretamente. Para a LCR ser efetiva, precisa estar disponível o tempo todo
para qualquer um que a precisar e ser atualizada frequentemente. A outra maneira de
conferir a validade de um certificado, é fazer uma consulta a AC usando o Online
Certificate Status Protocol (OCSP) para saber o estado de um certificado específico.
Informações refentes a entidade para o qual o certificado foi emitido (nome, email,
CPF/CNPJ, PIS etc.)
A chave pública referente a chave privada de posse da entidade especificada no
certificado
O período de validade
A localização do "centro de revogação" (uma URL para download da LCR, ou local para
uma consulta OCSP)
A(s) assinatura(s) da(s) AC/entidade(s) que afirma que a chave pública contida naquele
certificado confere com as informações contidas no mesmo
O padrão mais comum para certificados digitais no âmbito de uma ICP é o ITU-T
X.509. O X.509 foi adaptado para a Internet pelo grupo da Internet Engineering Task
Force (IETF) PKIX.
117
Identificador da chave do titular - É uma extensão do X.509 que possui um
identificador numérico para a chave pública contida neste certificado, especialmente
útil para que programas de computador possam se referir a ela
Identificador da chave do emitente - A mesma ideia mencionada anteriormente, só
que se referindo a chave pública da AC que emitiu o certificado
Atributos ou extensões - A vasta maioria dos certificados X.509 possui campos
chamados extensões (OID) que proveêm algumas informações extras, como cadastros
adicionais do titular e do emitente, especificações de propósito do certificado e etc.
Aspectos legais
A Medida Provisória nº 2.200-2, de 24 de agosto de 2001 define as regras para a criação
da ICP-Brasil e da DPC associada bem como a utilização de certificados digitais no
Brasil, aspectos legais e aspectos necessários para uma entidade se tornar uma AC
Intermediária e assim emitir certificados digitais para outras entidades garantindo
autenticidade, integridade, não repúdio e validade jurídica de trâmites eletrônicos por
essas entidades realizados.
118
Auditoria em segurança da informação
Origem: Wikipédia, a enciclopédia livre.
A segurança das informações processadas pelo sistema de informática deve ser sempre
monitorada para verificar se os relatórios gerados estão corretos, se estão protegidas
contra fraudes, se as instalações e os equipamentos também estão protegidos.
Segurança de Redes
Quanto à segurança de redes as seguintes medidas de segurança devem ser tomadas:
uso da criptografia no envio de dados, monitoramento do sistema, cuidados com a
criação de novos usuários e uso de firewall, pois o firewall é um sistema desenvolvido
para prevenir acessos não autorizados a uma rede local de computadores. Os firewalls
são implementados através de programas de computador e dispositivos eletrônicos.
Através dele, os dados que entram ou saem da rede são examinados com a finalidade de
bloquear os dados que não estão de acordo com os critérios de segurança.
Apenas usuários autorizados podem ter acesso à rede e dentro da rede, eles só podem ter
acesso aos recursos realmente necessários para a execução de suas tarefas. Sendo que os
recursos críticos devem ser monitorados e seu acesso restrito a poucas pessoas..
119
Segurança Física
É importante a segurança física dos computadores. Deve-se avaliar o grau de segurança
proporcionado aos recursos envolvidos no ambiente de sistemas em relação às ameaças
externas existentes, como é o caso de um sinistro ou de um incêndio.
O ambiente onde os servidores ficam deve ter restrição de acesso físico, limpeza e
organização, dispositivos para monitoramento vinte e quatro horas por dia e
equipamentos de combate a sinistros. A infra-estrutura para os servidores deve contar
com rede elétrica estabilizada e cabeamento estruturado. As estações de trabalho devem
ter mobília adequada, equipamentos protegidos com lacres ou cadeados, limpeza e
configuração compatível com a carga de trabalho.
Vulnerabilidade
Origem: Wikipédia, a enciclopédia livre.
Esta mesma pode ser explorada em um determinado sistema ou serviço vulnerável que
esteja rodando na máquina.
As vulnerabilidades mais exploradas nos dias de hoje, são as do tipo buffer overflow,
que muitas vezes pode dar privilégios de administrador para o invasor, rodar códigos
maliciosos remotamente, burlar particularidades de cada sistema, ataques de Negação de
Serviços (DDoS), e acesso irestrito ao sistema.
120
aplicação. Abaixo serão apresentadas algumas abordagens que podem ser utilizadas
para nortear os testes no sentido de verificar a vulnerabilidade da aplicação quanto à
segurança da informação.
Registre a resposta fornecida pela aplicação quando um usuário válido e uma senha
correta sejam utilizados no request da autenticação. Verifique o tamanho e a resposta
do servidor;
Nesse cenário, o tester deve utilizar um usuário válido e uma senha inválida e registrar
a resposta de erro enviada pelo servidor para analisar o comportamento da aplicação
para esse caso. Geralmente as aplicações apresentam mensagens como: “Falha na
autenticação”; “Senha inválida”. Verifique o tamanho e a resposta do servidor
Nesse outro cenário, o tester deve utilizar um usuário inválido e senha inválida e
registrar o response do servidor. Geralmente as aplicações apresentam mensagens
como: “Usuário inválido”; “Login não encontrado”; “Conta inválida”. Verifique o
tamanho e a resposta do servidor;
121
Enumeração de usuários com base nos códigos de erros das páginas de
login
http:// www.teste.com/err.jsp?User=usuario&Error=0
http:// www.teste.com/err.jsp?User=usuario&Error=2
“403 Forbidden”, para indicar que o recurso existe, porém não há permissão suficiente
para que a requisição possa acessá-lo;
Ou
Usuário Válido:
Usuário Inválido:
122
Request: http:// www.teste.com/usuario01
No primeiro caso o usuário existi mas a página não é exibida visto que o servidor
responde com o código ”403 Forbidden”. Já no segundo caso, o código ”404 Not
Found” indica que o usuário não existe na base da aplicação. Com essas informações é
possível a enumeração dos usuários da aplicação por um atacante.
Nota: Nem sempre o servidor apresenta um response code 404 Not Found quando um
recurso não existente for solicitado. Ao invés, ele responde com o response code 200
OK mas com um imagem que representa o erro. Para esses casos, um atacante atente
associará a imagem de erro à um usuário não existente. Esse mesmo raciocínio pode ser
utilizado para qualquer resposta enviado pelo servidor, bastando diferenciar qual tipo de
resposta representa um usuário válido e qual representa um usuário inválido.
Mensagem: “Sua nova senha foi enviada com sucesso para o email cadastrado”
Rede de computadores
Origem: Wikipédia, a enciclopédia livre.
123
A Internet é um amplo sistema de comunicação que conecta muitas redes de
computadores. Existem várias formas e recursos de vários equipamentos que podem ser
interligados e compartilhados, mediante meios de acesso, protocolos e requisitos de
segurança.
Imagem de um backbone, usado para interligar grandes redes, como a própria internet.
História
Antes do advento de computadores dotados com algum tipo de sistema de
telecomunicação, a comunicação entre máquinas calculadoras e computadores antigos
era realizada por usuários humanos através do carregamento de instruções entre eles.
Em setembro de 1940, George Stibitz usou uma máquina de teletipo para enviar
instruções para um conjunto de problemas a partir de seu Model K na Faculdade de
Dartmouth em Nova Hampshire para a sua calculadora em Nova Iorque e recebeu os
resultados de volta pelo mesmo meio. Conectar sistemas de saída como teletipos a
computadores era um interesse na Advanced Research Projects Agency (ARPA)
124
quando, em 1962, J. C. R. Licklider foi contratado e desenvolveu um grupo de trabalho
o qual ele chamou de a "Rede Intergaláctica", um precursor da ARPANET.
Durante a década de 1960, Leonard Kleinrock, Paul Baran e Donald Davies, de maneira
independente, conceituaram e desenvolveram sistemas de redes os quais usavam
datagramas ou pacotes, que podiam ser usados em uma rede de comutação de pacotes
entre sistemas de computadores.
Classificação
Segundo a Arquitetura de Rede:
o Arcnet (Attached Resource Computer Network)
o Ethernet
o Token ring
o FDDI (Fiber Distributed Data Interface)
o ISDDN (Integrated Service Digital Network)
o Frame Relay
o ATM (Asynchronous Transfer Mode)
o X.25
o DSL (Digital Subscriber Line)
* Segundo a extensão geográfica (ver mais detalhes abaixo em: Modelagem de rede de
computadores segundo Tanenbaum):
o SAN (Storage Area Network)
o LAN (Local Area Network)
o PAN (Personal Area Network)
o MAN (Metropolitan Area Network)
125
o WMAN Wireless Metropolitan Area Network, é uma rede boa sem fio de maior
alcance em relação a WLAN
o WAN (Wide Area Network)
o WWAN (Wireless Wide Area Network)
o RAN (Regional Area Network)
o CAN (Campus Area Network)
* Segundo a topologia:
o Rede em anel (Ring)
o Rede em barramento (Bus)
o Rede em estrela (Star)
o Rede em malha (Mesh)
o Rede em ponto-a-ponto (ad-hoc)
o Rede em árvore
o Rede por cabo
Rede de Cabo coaxial
Rede de Cabo de fibra óptica
Rede de Cabo de par trançado
o Rede sem fios
Rede por infravermelhos
Rede por microondas
Rede por rádio
Hardware de Rede
Elementos de Cabeamento:
o Cabo coaxial
o Cabo de fibra óptica
o Cabo de par trançado
o Repetidor
o Transceptor
Estação de trabalho
Placa de rede
Concentrador (hub)
Comutador (switch)
Roteador (router/gateway)
Modem
Porta de Ligação (gateway router)
Ponte (bridge)
Servidor
o Servidor de arquivos
o Servidor de comunicações
o Servidor de disco
o Servidor de impressão
o Servidor de bluetooth
126
html
Nível site
blaque
o Ethernet
o PPP
Nível de Rede
o IP
o IPX
Nível de transporte
o TCP
o UDP
Nível de sessão
o NetBIOS
o IPX
o Appletalk
Nível de apresentação
Nível de aplicação
o SMTP
o FTP
o Telnet
o SSH
o IRC
o HTTP
o POP3
o VFRAD
Normas
IEEE 802
X.25
Técnicas de transmissão
Banda larga
Banda base
PAN (Personal Area Network, ou rede pessoal). Uma PAN é uma rede de
computadores usada para comunicação entre dispositivos de computador (incluindo
telefones e assistentes pessoais digitais) perto de uma pessoa.
LAN (Local Area Network, ou Rede Local). É uma rede onde seu tamanho se limita a
apenas uma pequena região física.
127
VAN (Vertical Area Network, ou rede de vertical). Uma VAN é usualmente utilizada em
redes prediais, vista a necessidade de uma distribuição vertical dos pontos de rede.
CAN (Campus Area Network, ou rede campus). Uma rede que abrange uma área mais
ampla, onde pode-se conter vários prédios dentro de um espaço continuos ligados em
rede. Esta segundo Tanenbaum em seu livro "Redes de computadores" é uma LAN,
justamente porque esta área dita ampla, quando muito grande abrange 10 quarteirões
ou aproximadamente 2.500m quadrados. Essa é pequena quando comparado a uma
cidade. Logo CAN não é senão Car Area Net. onde funciona o software local, regulando
motores e seus componentes eletronicos.
MAN (Metropolitan Area Network, ou rede metropolitana). A MAN é uma rede onde
temos por exemplo, uma rede de farmácias, em uma cidade, onde todas acessam uma
base de dados comum.
WAN (Wide Area Network, ou rede de longa distância). Uma WAN integra
equipamentos em diversas localizações geográficas (hosts, computadores,
routers/gateways, etc.), envolvendo diversos países e continentes como a Internet.
SAN (Storage Area Network, ou Rede de armazenamento). Uma SAN serve de conexão
de dispositivos de armazenamento remoto de computador para os servidores de
forma a que os dispositivos aparecem como locais ligados ao sistema operacional.
Topologia
Ver artigo principal: Topologia de rede
Topologia em Estrela
Neste tipo de rede, todos os usuários comunicam-se com um nodo (nó) central, tem o
controle supervisor do sistema, chamado host. Por meio do host os usuários podem se
comunicar entre si e com processadores remotos ou terminais. No segundo caso, o host
funciona como um comutador de mensagens para passar dados entre eles.
128
O arranjo em estrela é a melhor escolha se o padrão de comunicação da rede for de um
conjunto de estações secundárias que se comunicam com o nó central. As situações nas
quais isso acontece são aquelas em que o nó central está restrito às funções de gerente
das comunicações e a operações de diagnósticos.
O gerenciamento das comunicações por este nó central pode ser por chaveamento de
pacotes ou de circuitos.
No caso de ocorrer falha em uma estação ou na ligação com o nó central, apenas esta
estação fica fora de operação.
Entretanto, se uma falha ocorrer no nó central, todo sistema pode ficar fora do ar. A
solução deste problema seria a redundância, mas isto acarreta um aumento considerável
de custos.
A expansão de uma rede desse tipo só pode ser feita até um certo limite, imposto pelo
nó central: em termos de capacidade de chaveamento, número de circuitos concorrentes
que podem ser gerenciados e números de nós que podem ser servidos.
129
uma série de repetidores ligados por um meio físico, sendo cada estação ligada a estes
repetidores. É uma configuração em desuso.
Topologia em Anel
Meio físico
O meio mais utilizado hoje é o Ethernet. O padrão Ethernet vem subdividido em:
Coax/10base2, UTP (Unshielded Twisted Pair - Par Trançado Não Blindado)/10BaseT
e UTP/100baseT e Gigabit ethernet.
Também pode ser conectado por Fibra óptica, um fino filamento contínuo de vidro com
uma cobertura de proteção que pode ser usada para conectar longas distâncias.
Protocolo
Hoje, o protocolo mais usado é o TCP/IP, versão IPv4, e espera-se que passemos a
utilizar o IPv6.
Referências
1. Mendes, Douglas Rocha. Redes de Computadores. Em Livraria Cultura
2. http://blog.wolkartt.com/
Bibliografia
Redes de Coputadores Locais e de Longa Distância, Autor: Liane M. R. Tarouco, 1986,
Editora McGraw-Hill, ISBN 0-07-450477-0
130
Pequenas Redes com Microsoft Windows, Para Casa e Escritório, Autor: João Eriberto
Mota Filho, 2001, Editora Ciência Moderna, ISBN 85-7393-134-5
Virtualização
Origem: Wikipédia, a enciclopédia livre.
Cada vez mais empresas estão buscando formas de reduzir os custos e complexidade
com o ambiente de TI. A virtualização se tornou um componente chave para o
desenvolvimento de uma estratégia eficiente na busca destes objetivos. Dentre os
desafios enfrentados nos datacenters podemos destacar:
O que é virtualização?
Virtualização, basicamente, é a técnica de separar aplicação e sistema operacional dos
componentes físicos. Por exemplo, uma máquina virtual possui aplicação e sistema
operacional como um servidor físico, mas estes não estão vinculados ao software e pode
ser disponibilizado onde for mais conveniente. Uma aplicação deve ser executada em
um sistema operacional em um determinado software. Com virtualização de aplicação
ou apresentação, estas aplicações podem rodar em um servidor ou ambiente centralizado
e ser deportada para outros sistemas operacionais e hardwares. 1 2
Soluções de virtualização
Abaixo, as formas mais comuns de virtualização:
131
virtualização de apresentação — a virtualização de apresentação permite executar e
manter o armazenamento das aplicações em servidores centralizados, enquanto provê
uma interface familiar para o usuário em sua estação.
Infraestrutura de desktop virtual (Virtual Desktop Infrastructure - VDI) — o VDI
permite que você hospede máquinas virtuais cliente em uma estrutura de virtualização
como virtualização de servidores.
virtualização de perfil — com a virtualização de perfil, os usuários podem ter os
documentos e perfil separados de uma máquina específica, o que permite a fácil
movimentação do usuário para novas estações em caso de roubo ou quebra de
equipamento; a virtualização de perfil também permite ter uma experiência de
desktop única quando utilizando outras tecnologias de virtualização, como VDI.
Compila Linguagem
Linguagen Interpreta Linhas de
Máquina virtual Comentários ção Just implementa
s dor códio fonte
in Time ção
interactive web
authoring tool.
ActionScri
Adobe Flash bytecode is 135k
pt, SWF
Player (aka named Sim Sim C++ (initially
(formato
Tamarin) "ActionScript released)
ficheiro)
Byte Code
(.abc)"
Erlang,
Reia, Lisp There exists a
BEAM Flavoured native-code Sim Não C 247k
Erlang, compiler, HiPE.
Elixir
Clipper,
Clipper p-code plankton, HVM Sim Não C
Harbour
132
Compila Linguagem
Linguagen Interpreta Linhas de
Máquina virtual Comentários ção Just implementa
s dor códio fonte
in Time ção
15k + 2850
Dis Virtual
per JIT arch +
Dis (Inferno) Limbo Machine Sim Sim C
500 per host
Specification
OS
Linguagen
s de Clone of
DotGNU/Portabl programa Common
Não Sim C, C#
e.NET ção CLI Language
incluindo: Runtime
C#
Funções estão
simplificadas,
normalmente
contêm
assemblador,
compilador,
interpretadores
de nível-textos e
2.8K to 5.6K;
nível-binarios,
advanced,
algumas vezes
Forth, Forth professional
Forth Forth com editor, Sim Não
Assembler implementat
debugador e
ions are
sistema
smaller.
operativo.somet
imes editor,
debugger and
OS. Compilation
speeds are >20
SKLOC/S and
behave much
like JIT.
Glulx, Z-
Glulx
code
Icon Icon
133
Compila Linguagem
Linguagen Interpreta Linhas de
Máquina virtual Comentários ção Just implementa
s dor códio fonte
in Time ção
13k + 7k
Lua Lua Sim LuaJIT C
LuaJIT
MMIX MMIXAL
CLI
languages
including:
clone do
C#,
Common
Mono VB.NET, Sim Sim C#, C 2332k
Language
IronPytho
Runtime.
n,
IronRuby,
e outros
Oz Oz, Alice
134
Compila Linguagem
Linguagen Interpreta Linhas de
Máquina virtual Comentários ção Just implementa
s dor códio fonte
in Time ção
currently
NekoVM Neko and Sim x86 only C 46k
haXe
UCSD Pascal,
muito utilizado
no final da
UCSD p-System Pascal
década de 1970
incluindo o
Apple II
Perl (6 &
5), NQP-
rx, PIR,
PASM,
PBC,
BASIC, bc,
C, 111k C,
Parrot Sim Sim C, Perl
ECMAScri 240k Perl
pt, Lisp,
Lua, m4,
Tcl,
WMLScrip
t, XML, e
outros
387k C,
368k Python,
CPython Python Sim Psyco C
10k ASM,
31k Psyco
Self-hosting
implementation
PyPy Python of Python, next Sim Sim Python
generation of
Psyco
135
Compila Linguagem
Linguagen Interpreta Linhas de
Máquina virtual Comentários ção Just implementa
s dor códio fonte
in Time ção
para outra
implementação
Rubinius Ruby Virtual machine Sim Sim C++, Ruby
for another
Ruby
A Micro-version
of Microsoft
.NET Framework
C#, 7MB (initially
Silverlight to let Sim Sim C++
VB.NET released)
applications run
sandboxed
inside browser
SEAM Alice
Computer game
ScummVM Scumm
engine
ISWIM,
SECD Lispkit
Lisp
Squirrel_
Squirrel Squirrel Sim C++ 12k
JIT
Smalltalk Smalltalk
Self hosting
implementation
110k
Squeak of Squeak Cog[1] & Smalltalk/Sl
Squeak Sim Smalltalk,
Smalltalk virtual machine. Exupery ang
~300K C
Rich multi-
media support.
TaoGroup Proprietary
C, Java
VP/VP2 embedded VM
136
Compila Linguagem
Linguagen Interpreta Linhas de
Máquina virtual Comentários ção Just implementa
s dor códio fonte
in Time ção
Tamarin
Motor
TrueType TrueType visualização de Sim Não C (típico)
fontes
Verificando
acessos de
x86/x86-
memória e
Valgrind 64 C 467k 4
falhas de
binaries
indicadores
sobre o Linux
Application-
Vx32 virtual x86 level
Não Sim
machine binaries virtualization for
native code
Virtual machine
for small
Waba
devices, similar
to Java
Virtual machine
of the reference
Yet Another
Ruby implementation Sim Sim C
Ruby VM (YARV)
for Ruby 1.9 and
newer versions
Z-machine Z-Code
137
Compila Linguagem
Linguagen Interpreta Linhas de
Máquina virtual Comentários ção Just implementa
s dor códio fonte
in Time ção
Referências
1. Virtualization in education (PDF) (em ingles). IBM (Outubro 2007).
2. Microsoft, VMware, Citrix Battle for Hypervisor Cloud | Virtualization (em ingles).
ITBusinessEdge.com. Página visitada em 2010-12-10.
3. A infraestrutura compilador LLVM, ohloh.net, 2011 Nov 30
4. Valgrind, ohloh.net, 2011 Nov 30.
Bibliografia
VMware paravirtualization
Guia Virtualização
138