Apostila Tecnologia Informacao

APOSTILA
TECNOLOGIA

INFORMAO - TI

SUMRIO

GESTO E GOVERNANA EM TI PG. 2
PROCESSOS DA GERNCIA DE PROJETOS PG. 31
GERENCIAMENTO DE PROCESSOS DE NEGCIO PG. 43
ENGENHARIA DE REQUISITOS DE SOFTWARE PG. 47
GERENCIA SERVIOS DE TI - ITIL E COBIT PG. 58
BANCO DE DADOS PG. 68
PORTAIS CORPORATIVOS E COLABORATIVOS PG. 91
SEGURANA DA INFORMAO PG. 95
REDES PG. 123

CONTEDO DETALHADO:
TECNOLOGIA DA INFORMAO
1. Gesto e Governana de TI: Planejamento Estratgico. Alinhamento entre estratgias de tecnologia da informao e de
negcio: conceitos e tcnicas. 2. Gerncia de Projetos: Conceitos. Processos do PMBOK. 3. Gesto de Processos de
Negcio: Modelagem de processos. Tcnicas de anlise e modelagem de processo. BPM Business Process Modeling.
4. Gerncia de Requisitos de Software: Conceitos de Requisitos. Requisitos Funcionais e no Funcionais. Engenharia de
requisitos: conceitos bsicos. Tcnicas de elicitao de requisitos. Gerenciamento de requisitos. Especificao de
requisitos. Tcnicas de validao de requisitos. 5. Gerencia de Servios de TI: Fundamentos da ITIL (Verso 3).
Fundamentos de COBIT (Verso 5). 6. Banco de Dados: Conceitos. Modelagem de Dados Relacional. Modelagem de
Dados Multidimensional.Conceitos e estratgias de implantao de Data Warehouse, OLAP, Data Mining, ETL e
Business Intelligence. 7. Portais corporativos e colaborativos. 8. Segurana da informao: Conceitos bsicos. Plano de
continuidade de negcio. Noes sobre Criptografia, Assinatura Digital e Autenticao. Certificao Digital. Auditoria,
vulnerabilidade e conformidade. 9. Redes: Conceito de rede. Arquitetura de Rede. Noes de administrao de redes.
Conceitos de Virtualizao.

Estruturas, Processos e Mecanismos de Governana de TI
INTRODUO
A Tecnologia da Informao (TI) desempenha um papel essencial ao negcio. H
situaes em que a ineficincia da TI pode provocar impactos altamente negativos ao
negcio, como por exemplo, indisponibilidade de servio, ambiente de negcio com
baixa resilincia e operaes descontinuadas.
O uso e a explorao dos recursos tecnolgicos so cada vez mais intuitivos, porm a
mesma facilidade no observada em termos de gesto e controle dos componentes
tecnolgicos que esto relacionados ao negcio. Portanto, o principal desafio na
contemporaneidade saber utilizar a TI de forma efetiva, extraindo e agregando valor
real ao negcio da organizao.
Diante das questes apresentadas surge uma indagao importante: o que preciso
observar em termos de capacidades organizacionais para se estabelecer controles
efetivos para implementar a TI harmnica com o negcio? Nesse contexto, h vrias
correntes acadmicas, como tambm iniciativas de rgos de Fiscalizao e Controle e
melhores prticas que, conjuntamente tm apontado a Governana de TI como uma das
principais alternativas para tratamento das necessidades de controles interno e externo.
Embora a Governana de TI exera um papel relevante no direcionamento da TI com
vistas agregao de valor ao negcio, torna-se necessrio compreender o que
efetivamente necessrios
para implementar e manter a Governana de TI.
De acordo com a proposta de trabalho, a pesquisa foi desenvolvida com foco na
implementao da governana de TI na Administrao Pblica Federal do Brasil,
especificamente nos aspectos de conformidade, ou seja, que requisitos de conformidade
Governana de TI devem ser
implementados numa organizao para que ela esteja em conformidade com a
legislao vigente e com as recomendaes de rgos de Fiscalizao e Controle.
Vale contextualizar que a Governana de TI na administrao pblica federal do Brasil,
principalmente em rgos da Administrao Indireta, fortemente influenciada por
rgos Controladores Externos, como por exemplo o Tribunal de Contas da Unio
TCU.
As aes e prticas de Governana de TI emanadas pelos rgos de Fiscalizao e
Controle, so encaminhadas por meio de Recomendaes aos rgos da Administrao
Pblica direta e indireta.
Vale destacar que as Recomendaes refletem o resultado de anlises realizadas em
trabalhos de auditoria do TCU em rgos da APF, sendo que os registros dos trabalhos
realizados so documentados e publicados por meio de Acrdos e, que as referidas as
Recomendaes direcionam e, de certa forma, at alavancam aes e prticas de
governana de TI em rgos da Administrao Pblica Federal.
2
importante mencionar, ainda, que as prticas de Governana de TI recomendadas
pelos rgos de Fiscalizao e Controle s Organizaes da APF, indireta, contemplam,
fortemente, questes relacionadas segurana da informao.
Diante de tal situao, as anlises realizadas contemplaram alm da literatura
acadmica, Acrdos do TCU, Normas Complementares da Presidncia da Repblica,
Instrues Normativas da SLTI/MPOG e das melhores prticas relacionadas
Tecnologia da Informao e Segurana da Informao, como COBIT, ITIL e NBR
ISO/IEC 27002. As pesquisas demonstraram que a Governana de TI pode ser
composta por Estruturas, Processos e Mecanismos, trabalhando de
forma harmonizada em conformidade com as recomendaes de rgos de Fiscalizao
e Controle.
De acordo com o ITGI (2000), a Governana de TI parte integrante da governana
corporativa e consiste em lideranas, processos e estruturas organizacionais para
assegurar que a organizao
sustente e amplie suas estratgias e objetivos.
Segundo, LUNARD (2007), foi a partir de 2001, com a definio proposta por
KORACKAKABADSE e KAKABADSE que a governana de TI passa a se concentrar
tambm na necessidade de definir processos e mecanismos de relacionamento e no
apenas estruturas para desenvolver, dirigir e controlar os recursos de TI, de modo a
atingir os objetivos da organizao. Nessa mesma linha, aparecem as definies de
Peterson (2004), TURBAN, MCLEAN E WETHERBE (2004) e do ITGI (2000).
Percebe-se que a maioria dos autores concordam que a governana de TI uma
preocupao da alta administrao em controlar o impacto estratgico da TI e a sua
entrega de valor para o negcio,
conforme proposto por WEILL E ROSS (2005), ITGI (2000) e DE HAES E
GREMBERGEN (2004).
Aps a identificao de Estruturas, Processos e Mecanismos de Governana de TI
constantes da literatura acadmica, sendo verificada a relao destes com as fontes de
informaes de rgos de
Fiscalizao e Controle, com fontes de informao Governamental e com as melhores
prticas que abordam assuntos relacionados Governana de TI e a Segurana da
Informao.
O estudo emprico das Estruturas, Processos e Mecanismos de Governana de TI,
identificados na literatura acadmica, ocorreu por meio de um estudo de caso simples
em rgo da Administrao
Pblica Federal do Brasil, especificamente, em uma Empresa Pblica.
A aplicao do Estudo de Caso possibilitou observar como a governana de TI tratada
no mbito da Administrao Pblica Federal, com base nos seguintes resultados:
- Em relao s estruturas de Governana de TI, foi verificado que 67% das
estruturas verificadas so efetivamente aplicadas na organizao e 33% so
parcialmente realizadas.
3
- Em relao aplicao dos Processos de Governana de TI, foi verificado que 9%
dos processos so realizados, 64% so parcialmente realizados e 27% no so
realizados.
Em relao aos mecanismos de Governana de TI, foi constatado que 67% so
parcialmente realizados e 33% no so realizados.
Numa viso geral das Estruturas, Processos e Mecanismos de Governana de TI
aplicados numa empresa pblica, foi constatado que 16% so realizados, 60% so
parcialmente realizados e 24% no so realizados.
Os resultados apresentados, sugerem que as estruturas, processos e mecanismos de
Governana de TI existentes na literatura acadmica so, em parte, contemplados em
rgos da Administrao Pblica Federal Brasileira e podem, ainda, contribuir e apoiar
as organizaes no estabelecimento e manuteno da Governana de TI.
METODOLOGIA
No primeiro momento, foi realizado o levantamento de fontes de informaes
acadmicas em busca de conceitos e requisitos necessrios implementao da
Governana de TI.
No segundo momento, foram realizadas pesquisas acerca dos Acrdos do TCU que
tratam da Governana de TI e, a partir de estudos realizados nestes Acrdos foi
possvel, identificar citaes relacionadas s Normas Complementares da Presidncia da
Repblica, que tratam de Segurana da Informao, as Instrues Normativas da
SLTI/MPOG, como tambm ao uso de melhores prticas de Governana e de Gesto de
TI, como o CobIT, a ITIL e a norma NBR ISO/IEC 27002.
Desta forma, as fontes de informao acadmica, como tambm as fontes de informao
de rgos reguladores e de governo e melhores prticas de mercado, passaram a compor
a base de pesquisa deste trabalho.
REFERENCIAL TERICO
A Governana Corporativa
De acordo com o Instituto Brasileiro de Governana Corporativa, (IBGC, 2013), a
Governana Corporativa o sistema pelo qual as organizaes so dirigidas,
monitoradas e incentivadas, envolvendo os relacionamentos entre proprietrios,
conselho de administrao, diretoria e rgos de controle. As boas prticas de
governana corporativa convertem princpios em recomendaes objetivas, alinhando
interesses com a finalidade de preservar e otimizar o valor da organizao, facilitando
seu acesso ao capital e contribuindo para a sua longevidade.
Segundo, LUNARD et al (2007), a Governana Corporativa teve origem na dcada de
1930, especialmente aps o surgimento das chamadas corporaes modernas, quando
passa a ocorrer a
separao entre o controle e a gesto, o papel de gestor na empresa no precisa
mais, necessariamente, ser exercido pelo dono. Entretanto, no incio dos anos 1980
que o movimento da
4
Governana Corporativa desperta novo interesse entre as empresas, principalmente
pelo descontentamento de grandes investidores quanto s decises tomadas pelos
dirigentes das empresas, muitas vezes tomadas em seu benefcio prprio em detrimento
ao dos acionistas.
Boa parte da literatura de Sistemas de Informao tem sugerido que a Governana
Corporativa influenciou fortemente na evoluo da Governana de TI (ITGI, 2003;
PETERSON, 2004a;
GREMBERGEN et al, 2004). O prprio IT Governance Institute refere-se governana
de TI como
sendo um subconjunto da Governana Corporativa (ITGI, 2003).
A Governana de TI
Embora a governana de TI seja um tpico de pesquisa relativamente novo, diferentes
definies foram desenvolvidas ao longo dos anos, como por exemplo, nos anos de
1990 e 1999 pelos pesquisadores Henderson e Venkatraman, os quais mencionaram em
publicaes sobre alinhamento estratgico questes relacionadas Governana de TI.
Em artigo publicado em 1990, Henderson e Venkatraman (1990) propuseram um
modelo de alinhamento estratgico em que a estratgia de TI corresponde Governana
de TI e as
Competncias sistmicas de TI, sendo que as ligaes entre a estratgia de negcio e
estratgia de TI (ou seja, a articulao necessria do escopo da TI, o desenvolvimento
de competncias
sistmicas, bem como mecanismos de governana de TI), refletem a capacidade de
alavancagem da estratgia de TI para moldar e suportar as estratgias de negcio.
Num outro artigo, publicado em 1999, os mesmos autores citaram que a posio da
organizao no mercado da TI envolve trs conjuntos de escolhas: escopo da tecnologia
da informao, competncias sistmicas e Governana de TI (Henderson e
Venkatraman, 1999).
No que tange governana de TI, os artigos de Henderson e Venkatraman, publicados
em 1990 e 1991, propuseram a seleo e uso de mecanismos, por exemplo,
empreendimentos conjuntos (joint
ventures) com fornecedores; alianas estratgicas; pesquisas conjuntas e o
desenvolvimento de novas capabilities de TI, objetivando, desta forma, a obteno das
competncias necessrias de TI.
De acordo com SAMBAMURTHY et al (1997), a governana de TI definida como
a implementao de estruturas e arquiteturas (e padres de autoridade associadas)
relacionadas TI para atingir com sucesso atividades em resposta ao ambiente e
estratgia organizacional. A idia da necessidade em definir diferentes estruturas como
forma de atingir o sucesso da TI reforada com a definio de WEILL E ROSSI
(2004), que definiram a governana de TI como o sistema que especifica a estrutura de
responsabilidades e direitos de deciso para encorajar comportamentos desejveis no
uso da TI .
5
A Governana de TI uma estrutura de relaes e processos para dirigir e controlar a
funo de TI numa Organizao, a fim de atingir seus objetivos, agregando valor,
equilibrando riscos versus retorno sobre TI e seus processos. Parte da Governana de TI
projetar, aplicar e avaliar um conjunto de regras para governar as regras e funes da
TI (VERHOEF, 2007).
Segundo LUNARD et al (2007), foi a partir de 2001, com a definio proposta por
Korac- Kakabadse, que a governana de TI passa a se concentrar tambm na
necessidade de definir processos e mecanismos de relacionamento e no apenas
estruturas para desenvolver, dirigir e
controlar os recursos de TI, de modo a atingir os objetivos da organizao. Nessa
mesma linha, aparecem as definies de PETERSON (2004b), TURBAN et al (2004) e
ITGI (2003).
O ITGI define a governana de TI como a liderana, as estruturas organizacionais e os
processos que garantem que a TI da empresa sustente e estenda as estratgias do
negcio e seus objetivos,
integrando e institucionalizando boas prticas (ITGI, 2007).
Para atender as necessidades de governana de TI, modelos, metodologias, padres e
ferramentas esto sendo consolidados em frameworks de melhores prticas do mercado,
geralmente desenvolvidos por associaes profissionais e estimulados por grandes
empresas de TI e agncias governamentais. Essas iniciativas favorecem a integrao da
TI com as demais funes organizacionais e tornam seus processos de trabalho mais
transparentes, inteligveis, controlveis e confiveis. Dentre as melhores prticas que
tratam de temas contemplados na Governana de TI, destacam-se:
- PMBOK guia de conhecimento em gerenciamento de projetos (PMBoK, do ingls
Project Management Body of Knowledge), baseado na metodologia reconhecida
mundialmente pelos profissionais de gerenciamento de projetos um documento formal
que descreve
normas, mtodos, processos e prticas estabelecidas. O Conhecimento contido neste
guia evoluiu a partir de boas prticas reconhecidas de profissionais de gerenciamento de
projetos que contriburam para o seu desenvolvimento.
- CobIT Control Objectives for Information and Related Technology, um
framework dirigido para a governana e gesto de tecnologia da informao.
Recomendado pela Information Systems Audit and Control Association (ISACA), o
CobIT possui recursos que so aplicados como um modelo de referncia para a gesto
da TI. Atualmente se encontra na verso 5.0, lanada em 2012.
- CMMI Capability Maturity Model Integration Modelo Integrado de Maturidade
e de Capacidade para melhoria de processo de software, destinado ao desenvolvimento
de produtos e servios, e composto pelas melhores prticas associadas a atividades
de desenvolvimento e de manuteno que cobrem o ciclo de vida do produto desde a
concepo at a entrega e manuteno.
- ITIL Information Technology Infrastructured Library A ITIL uma biblioteca
que compila melhores prticas usadas para o gerenciamento de servios de tecnologia
da informao.
6
- Norma ABNT NBR/ISO 27002:2005 Cdigo de boas prticas para a gesto da
segurana da informao.
Embora essas definies se diferenciem em alguns aspectos, em virtude do prprio
perodo em que foram escritas, pode-se perceber que quase todas as definies de
governana de TI abordam a forma de autoridade da tomada de deciso de TI na
organizao, por meio de estruturas e a forma com que os recursos de TI so
gerenciados e controlados, por meio de processos, buscando sempre alinhar os
investimentos realizados em TI s estratgias corporativas.
A Governana de TI e as presses externas
Em se tratando de presses externas, quais so as regras? uma falha ver a Governana
de TI como uma mera resposta s presses regulatrias externas, pois isso gera uma
atitude fundamentalmente
doentia: a governana vista apenas como um custo, um custo de fazer negcios, sobre
as quais voc no tem controle (Norfolk, 2011).
Na verdade, a governana de TI deve ser vista como uma maneira em que o Conselho
possa garantir que os recursos de TI so implantados e gerenciados de forma rentvel,
em busca da estratgia de negcio. O objetivo final da governana de TI o negcio
melhor, mais rpido, mais barato, ou seja, a garantia de resultados ao negcio.
No entanto, um aspecto desta questo a transparncia, que assegura que todas as
partes interessadas de uma empresa possam certificar-se de que o negcio est sendo
realizado de forma honesta e tica, nos interesses da empresa e da comunidade, como
um todo, em vez do disfuncional interesse de particulares.
Felizmente, a maioria nova legislao no mais puramente prescritiva, isto , no
apenas especificar uma lista de regras mais ou menos arbitrrias, mas as tentativas de
gerar e adotar boas prticas e maturidade organizacional. Uma empresa que satisfaz
a Lei Sarbanes-Oxley, por exemplo, ser uma empresa melhor gerenciada, capaz de
medir a eficcia com que ele se alinha objetivos de TI aos objetivos de negcio, capaz
de demonstrar a eficcia e integridade de seus relatrios financeiros e capaz de operar
de forma mais econmica, como resultado.
Mesmo assim, h uma srie de novas legislaes em torno de controle interno em geral,
que o grupo de TI deve estar ciente. O grupo de TI sempre vai ser mais eficaz no
contexto de um negcio em evoluo, em que a tecnologia muda rapidamente, se a
governana de TI construda em sistemas automatizados desde o incio. Isso significa
adotar um ciclo de desenvolvimento e processo de manuteno, que trata exigncias
regulatrias como iguais em importncia para os outros requisitos de negcio e implica
que os sistemas automatizados sejam testadas em cenrios derivados da legislao
aplicvel.
Em geral, o grupo de TI pode esperar que os acionistas da empresa estabelea, os
requisitos regulamentares, mas os analistas de TI devem questionar o que lhes dito e
garantir que os sistemas automatizados possam satisfazer as necessidades no
funcionais como trilhas de auditoria eficazes, controles de acesso e sistemas de
resilincia, que se originam em legislaes que promovam a governana. Por sua vez,
7
isto significa que eles devem estar cientes de que existe legislao e que tipo de
controles so mandatrios.
Legislaes que impactam a governana de TI
importante, realmente ler, as legislaes que afetam a governana de TI, bem como as
notas de orientao ou de imprensa.
O Comit de Basileia de Superviso Bancria divulgou um quadro revisto para
adequao de capital (gesto de risco de crdito), geralmente conhecido como o Acordo
de Basileia II entrou em pleno
vigor em 2007. Em julho de 2004, a Comisso Europeia publicou a Diretiva de
Requisitos de Capital (CRD) para trazer Basileia II em direito da Unio Europeia (UE).
A Basileia II, por exemplo, teve um impacto significativo sobre os processos bancrios
e os sistemas de TI que os implementam e os suportam em grande parte na rea de
monitoramento de perfis de risco de crdito, sendo de grande importncia para os
bancos. No entanto, para as instituies financeiras, Basileia II tem algumas implicaes
bastantes sutis, como a gesto de riscos no particularmente determinstica e as novas
regras podem simplesmente significar que o risco seja transferido.
Um dos objetivos da governana corporativa no mbito do COSO a conformidade
com as leis e regulamentos aplicveis. No mundo de TI, isso significa que deve-se
abordar, no mnimo:
- O Freedom of Information Act (Reino Unido) ou o equivalente em em outros pases.
Isto no se aplica apenas aos servios pblicos, mas impacta em projetos de sistemas de
armazenamento e recuperao de informaes para tais servios.
Os Regulamentos de proteo de dados, por exemplo, a Lei de Proteco de Dados
(Reino Unido) e a legislao em toda a Europa, visam cumprir as diretivas relativas
proteo de dados da Unio Europia. No s deve proteger as informaes pessoais
como tambm
utiliz-las para fins especficos, e deve destru-la de forma segura, quando no
mais necessria e oferecer facilidades para os assuntos de dados pessoais para acessar e
corrigi-lo. Um problemas especial para muitos sistemas automatizados globais que
podem comear a
contar com a tecnologia cloud computing, onde a localizao de dados em
um determinado momento no est bem definida, que provavelmente voc est em
violao das regras de proteo de dados da UE, se os dados so armazenados ou
transmitidos fora das fronteiras da Unio Europia.
- A Propriedade Intelectual (PI), em muitos casos, o bem mais valioso de uma
empresa a sua Propriedade Intelectual. particularmente difcil gerenciar a tecnologia
da Propriedade Intelectual, pois muitas delas ainda esto na cabea das pessoas.
Uma questo importante o licenciamento de software, principalmente o uso de
software no licenciado que pode ocasionar multas, h casos em que as empresas so
processados, havendo,
ainda, interrupes ao negcio a partir de computadores confiscados e impactos
reputao e imagem da organizao. Embora haja riscos tambm no uso de softwares
8
licenciados, como por exemplo, h kits SOX disponveis no mercado que prometem
entregar a conformidade com a Sarbanes-Oxley, mas na ausncia de um processo de
gesto de ativos bem compreendido, improvvel que tenham a capacidade de entregar
tal conformidade.
- A Regulamentao das telecomunicaes, como o Regulation of Investigatory Powers
Act (RIPA). Isso impacta na interceptao de comunicaes eletrnicas e do uso da
tecnologia de criptografia.
- A Sade e Segurana no Trabalho (Health and Safety at Work Act in the UK), aplica-
se aos trabalhadores em TI, tanto como em qualquer outro lugar. Talvez, no seja uma
questo especfica da Governana de TI, mas importante lembrar que os trabalhadores
de TI no esto isentos de problemas de sade e segurana.
- As diretivas de reciclagem (WEEE Recycling Directive). Isso provavelmente no vai
impactar muito os usurios finais de TI, mas podem afetar operaes, como a maioria
equipamento eletrnico
devem agora ser reciclados quando descartado.
- A Lei de Deficincia, 1995 (Disability Act, 1995). Novamente o tema Sade e
Segurana, as organizaes de TI no esto isentas. Em particular, sites devem ser
projetado para facilitar o acesso de pessoas com capacidades diferentes. A norma
fundamental nesta rea provavelmente o Web Content Accessibility Guidelines 1.0
(1999 e tambm no Working Draft 2.0, produzido em 2003), criado pela Web
Accessibility Initiative do W3C.
- Legislao de Combate Lavagem de Dinheiro, que no Reino Unido incorporada em
vrias partes da legislao: a Lei de Justia Criminal de 1988 (alterada), o trfico de
drogas na Lei de 1994 e do Terrorismo (Terrorism Act 2000 alterada). Isso, em grande
parte, embora no exclusivamente, afeta organizaes bancrias e financeiras.
- As Publicaes como Gees IT Policies and Procedures (ITPP, 2004) so tentativas de
orientar os assinantes sobre o estado atual de tal legislao, e so regularmente
atualizadas, mas convm que haja o aconselhamento profissional sobre as implicaes
exatas da legislao, se isso afeta especificamente a TI. Talvez no seja diretamente
uma parte da Governana de TI, por si s, mas s vezes bom lembrar que uma
idia muito boa para evitar processos judiciais caros, sempre que possvel.
Na verdade, possvel que a conformidade regulatria possa ser implementada no
software que conduz o negcio, mas deve-se ter muito cuidado com isso, pois numa
ltima anlise, o efeito da lei
reguladora e de leis associadas permite ao tribunal decidir com base na legislao e no
ao que parece, tecnicamente, competente e razovel aos leigos.
Mecanismos de Governana de TI
Embora a discusso sobre o conceito de governana de TI tenha procurado tornar mais
clara a compreenso sobre sua importncia e papel na organizao, a questo sobre
como implement-la na prtica tem intrigado muitos executivos e pesquisadores. A
deciso de implementar a governana de TI pode ser iniciada, em alguns casos, em
virtude de um interesse especfico, como, por exemplo, definir responsveis para a
elaborao de projetos de TI e para a sua avaliao ou pela presena de problemas
9
crticos para a organizao, como a falta de recursos, exigindo que os
executivos analisem e priorizem seus projetos tecnolgicos, conforme o seu impacto na
organizao (LUNARD, 2007).
A questo central diz respeito ao modo como as empresas podem, pragmaticamente,
implementar a governana de TI. A Governana de TI pode ser implantada usando uma
mistura de vrias estruturas, processos e mecanismos relacionais. Ao projetar a
governana de TI de uma organizao, importante reconhecer que depende de uma
variedade de fatores internos e externos, por vezes, conflitantes. Determinar a
combinao correta de mecanismos , portanto, uma tarefa complexa com o agravante
de que, o que funciona para uma empresa, pode no funcionar para outra. Isso significa
que as organizaes diferentes podem necessitar de uma combinao de
diferentes estruturas, processos e mecanismos relacionais (DE HAES E
GREMBERGEN, 2004).
O framework proposto por Peterson (2004) aborda uma forma de comportar estruturas
de gesto de TI, processos e mecanismos numa relao compreensvel, cujas estruturas
envolvem a existncia de
papeis e responsabilidades, como os executivos de TI e os comits de TI; os processos
referem-se ao monitoramento e a tomada de decises estratgicas; e os mecanismos de
relacionamento incluem a participao da TI e do negcio, o dilogo estratgico, o
conhecimento compartilhado e a comunicao adequada.
De acordo com De Haes et al, os mecanismos de relacionamento so muito
importantes, considerando que possvel que uma organizao tenha todas as estruturas
de governana de TI e os processos no lugar, mas no funcione porque o negcio e a TI
no se entendem ou no esto trabalhando juntos. Ou, pode ser que haja pouca
conscientizao do negcio por parte da TI ou pouca valorizao da TI por parte da
empresa (DE HAES E GREMBERGEN, 2004).
Assim, para alcanar a governana efetiva de TI, necessria a comunicao
bidirecional e uma relao de participao e colaborao entre as equipes de negcio e
de TI, assegurando o compartilhamento contnuo do conhecimento entre os
departamentos organizacionais para atingir e manter o alinhamento entre o negcio e a
TI. Isso crtico quando se busca o compartilhamento e a gesto do conhecimento por
meio de mecanismos tais como o cruzamento profissional (equipes de TI trabalhando
nas unidades de negcio e pessoas do negcio trabalhando na TI), educao contnua e
treinamento mesclado (DE HAES E GREMBERGEN , 2004).
A aplicao de mecanismos como comits, a participao da rea de tecnologia na
formulao da estratgia corporativa, bem como os processos de elaborao e aprovao
de oramentos e projetos
de TI so apenas alguns mecanismos que procuram encorajar um comportamento
consistente da organizao, buscando sempre alinhar os investimentos de TI com a
misso, estratgia, valores e
cultura organizacional (WEILL E ROSS, 2005).
Como implementar efetivamente a Governana de TI
10
De acordo com Norfolk (2011), o primeiro requisito para se estabelecer a Governana
de TI buscar alinhar a Governana de TI com a Governana Corporativa.
A obteno de patrocnio da alta direo, tambm, considerado um dos primeiros
requisitos para se estabelecer a Governana de TI numa organizao (Norfolk,2011).
H trs mtricas prticas de patrocnio da direo para governana de TI:
a) A disponibilidade de um plano de governana corporativa de TI, supervisionado por
um Comit de Governana, com representao dos profissionais de TI em Grupo de TI,
reportando-se a nvel do Conselho. Os nomes so irrelevantes, o grupo poderia
facilmente ser chamado Comit Estratgico de TI, por exemplo, o importante
que as questes de governana de TI possam ser discutidas a nvel de conselho.
b) Uma estrutura de governana de TI implementada, geralmente com
uma Departamento de Controle Interno ou algum desses grupos. O que importante
que a governana possa ser monitorada de forma proativa.
c) Proviso formal de oramento para atender as iniciativa de governana de TI. As
etapas na implementao de uma iniciativa de governana de TI a partir do zero seria,
em termos e, em nenhuma ordem particular, como segue:
- Manter o buy-in baixo
De acordo com Norfolk (2011) no processo de governana importante manter o buy-in
baixo, sendo os investimentos direcionados a realizao de treinamentos em ferramentas
e gesto de desempenho de modo a garantir que os eventuais sobrecargas de
administrao no
impactam no desempenho operacional da Governana. Alm do treinamento, com
mentores externos que tenham larga experincia em TI em geral, e que saibam lidar
com as questes de governana mais sutis, pode ser til.
A realizao de frum de governana, em que os trabalhadores possam discutir os
problemas relacionados governana de TI e sugerir solues em pblico. No entanto,
importante que os pontos de ao de tal frum sejam documentados e demonstrem
comunidade os problemas identificados, pelo menos, dada a devida ateno, ou seja a
gesto de processos atravs de feedback.
Sendo importante, ainda, que o frum represente os pontos de vista tanto do negcio
quanto da TI.
- Mapeamento da TI para o Negcio
O mapeamento dos ativos de TI que atendem o Negcio essencial Governana de TI,
de acordo com Norfolk (2010), geralmente, h uma relao muitos para muitos entre
as funes de negcio e a infraestrutura de TI. Um determinado servidor, um
computador armazenar ambos dados de negcios e sistemas automatizados de
processamento de dados, pode suportar muitas funes de negcios, por exemplo, ao
contrrio, uma nica funo de negcios pode invocar vrios servidores. Norfolk
(2010), sugere, ainda, o uso de ferramentas automatizadas que possam gerar para os
sistemas automatizados o relacionamento dos processos de negcio com os sistemas de
TI.
11
- Implementar segurana baseada em poltica e gesto de identidade
Para Norfolk (2011), h muito mais para a governana de TI que a segurana da
informao, mas a segurana parte dela. A boa segurana requer anlise de risco e
ameaa, para determinar e
priorizar os riscos de frente para a organizao, e, em seguida, a formulao de uma
Poltica de Segurana, que documente as polticas destinadas a mitigar, transferir
(atravs de seguros, por exemplo) ou aceitar (em conjunto com planos de contingncia)
os diversos riscos identificados. em seguida possvel comear a planejar os
procedimentos que iro implementar as polticas. Idealmente, as polticas so genricas,
de modo que, quando a mudana de tecnologia ou de negcios torne-se um
procedimento obsoleto, a inteno da poltica seja clara e possa direcionar a formulao
de um novo procedimento.
Uma boa segurana da informao esta baseada em papeis e pela sua manuteno, ou
seja as pessoas numa organizao tm acesso bsico, restrito como empregados, e lhes
so atribudos os papis na organizao, cada funo traz consigo as permisses de
acesso apropriadas. Se as pessoas so movimentadas, dentro da organizao, elas tm
seus papis alterados e perdem as permisses associadas a este papel, como tambm,
ganham aquelas permisses associadas a outro papel.
A gesto de identidade est relacionada segurana. tudo sobre como identificar
pessoas inequivocamente, como tambm gerenciar a atribuio de identidade s pessoas
que buscam acesso a organizao. A Gesto de identidade inclui o fornecimento de
meios para permitir a atribuio inequvoca de aes de identidade, essenciais para
trilhas de auditoria e segurana. Um grande parte da governana de TI vem de pessoas
que assumem a responsabilidade por suas aes.
Sem o gerenciamento de identidade, a governana construda sobre a areia.
A norma ISO/IEC 27002:2005 est se tornando aceito mundialmente como o cdigo de
boas prticas para a gesto de segurana da informao e oferece uma excelente
estrutura para implementao da segurana e garante que voc ter uma abordagem
holstica, comeando com a gesto de riscos, embora no seja forte sobre os detalhes
deste e cobrindo reas muitas vezes negligenciadas, tais como a continuidade dos
negcios. No entanto, alguma forma de orientao de um consultor de segurana
externo recomendado tambm, pois difcil para fazer uma avaliao imparcial dos
riscos e das ameaas de dentro uma organizao.
- Implementar Business Service Management BSM em todas as plataformas
A gesto de servio de negcio (BSM) significa que h gesto da infraestrutura de TI
dos servios de negcios implementados por esta infraestrutura. A existncia de um
nico banco de dados na organizao, para garantir a consistncia dos dados e suporte
integrao entre diferentes processos de gerenciamento de servios pode ser um
importante facilitador para a BSM.
A BSM comumente usada e abrange o seguinte: Gesto de Nvel de Servio, Gesto
de Incidentes, Gesto de Problemas e a Gesto de Aplicao e de Infraestrutura,
incluindo gesto de licena, Gesto de eventos e Impacto de Servio, Gesto de Ativos e
12
Discovery, Gesto de Configurao e Mudanas, Gesto de Capacidade e
Gerenciamento de Identidades.
- Implementar o gerenciamento de infraestrutura
Ter uma infraestrutura totalmente gerenciada baseada em atualizaes e registro de
manuteno de ativos uma parte essencial da governana de TI. Mesmo algo to
simples como a gesto de ativos de TI uma parte vital da governana de TI. Se voc
no sabe exatamente o hardware que voc tem e, exatamente, o que o software est em
execuo, como voc pode reivindicar qualquer tipo de governana de TI? A pirataria
de software uma rea onde as organizaes parecem ser culpados a menos que possam
provar sua inocncia, e as consequncias de uma visita por parte da polcia (interrupo,
confisco, multa) podem ser imensas. No entanto, o quo eficaz pode um apelo para que
temos a certeza que todo o nosso software licenciado, apesar de no saber qual o
software
que temos e onde ele est sendo executado.A ITIL uma boa base para a ge
sto de infraestrutura, como tambm a gesto de ativo, gesto de capacidade e gesto
de nvel de servio, as funes de service desk e rastreamento de defeitos so
tipicamente parte de um framework de governana de TI.
A ITIL uma boa base para a gesto de infraestrutura, embora provavelmente seja
suficiente, em vez do que o necessrio. Bem como a gesto de ativos, gerenciamento de
capacidade e gerenciamento de nvel de servio, a funo Service Desk e rastreamento
de defeitos normalmente fazem parte de uma estrutura de governana de TI.
- Implementar a Gesto de configurao
A Gesto de configurao envolve a identificao dos componentes de um sistema
automatizado que contribuem para a entrega de servio, como tambm gesto de
mudanas da configurao (incluindo trilhas de auditoria e facilidades para retornar
mudanas mal sucedidas). Controle de mudanas de software (manter o controle de
alteraes no cdigo de software como mudanas de requisitos ou falhas ) apenas
parte do gerenciamento de configurao.
- Implementar gesto de continuidade de negcios
A disponibilidade de sistemas de TI agora fundamental para o funcionamento de
muitas empresas. Isso faz da Gesto de Continuidade de Negcios (GCN) uma parte
vital da governana de TI (Tambm exigido pela norma de segurana ISO 17799). Na
verdade, ela deve ser construda desde do incio, ou seja, atravs da concepo de
sistemas crticos para que seja resiliente.
A GCN no algo trivial de se fazer, portanto, o uso de consultoria externa pode ser
interessante. Ela deve ser fortemente baseada em uma avaliao objetiva de riscos,
incluindo os riscos que a organizao no tenha encontrado ainda, e muito com o
espectro de contingncia a partir de interrupes de servio menores para um desastre
total que elimina um centro de dados em sua totalidade.
importante assegurar que a governana de TI seja mantida em um nvel gerencivel,
durante uma contingncia, caso contrrio, contingncias podem ser projetadas como
13
uma oportunidade para roubar dados, transaes comerciais ou financeiras de
compromisso relatrios, ou sistemas de sabotagem. Uma abordagem de sistemas
completos para a continuidade de negcios devem ser adotadas.
- Implementar o gerenciamento de ciclo de vida da informao
A informao eletrnica pode ser to importante e legalmente significativa como
documentos em papel, tais como instrumentos e contratos formais (potencialmente
forjado). Nos regulamentos e leis que afetam informaes de negcios mencionado
que a informao deve estar disponvel para responder a perguntas dos auditores em
tempo hbil, e sua provenincia deve ser capaz de prova, mas, enquanto isso, algumas
informaes pessoais devem ser destrudas de forma segura quando no forem mais
necessrias. Isso significa que um ciclo de vida de informao baseado em polticas de
gesto de sistema. Este deve ser capaz de classificar as informaes, armazen-las de
forma rentvel e segura e que possivelmente cpias de backup off site sejam mantidas,
sendo necessrio, ainda, documentar a sua criao, alterao e destruio e de forma
segura auditar os eventos crticos do ciclo de vida da informao.
- Implementar processo de desenvolvimento e aquisio de sistemas
Para desenvolvimento de software, deve-se ter um processo que contemple o ciclo de
vida de desenvolvimento de software, a partir da anlise de requisitos de negcio
atravs de codificao, de testes e de implementao de sistemas que na verdade, o teste
deve comear com a validao de requisitos, sendo que melhor caminho para
implementao atravs de treinamento e orientao, utilizando ferramentas para
facilitar as prticas desejadas.
Caso no haja o desenvolvimento, necessrio um processo semelhante para a
implantao de pacotes, como tambm analisar os requisitos de negcio, a fim de
escolher um pacote que melhor se adqua ao processo de negcio.
E voc ainda precisa testar os pacotes de aplicaes, caso eles no faam o que se
prope, ou implement-los de forma incorreta. No caso de pacotes customizados este
realmente um projeto de desenvolvimento de sistemas pequeno e similares, medidas de
controle de qualidade so necessrias.
- Processamento Otimizado (Customizao Tecnolgica do Negcio)
Se voc no tem uma boa parte da governana de TI implementada, a introduo do
desenvolvimento da Governana de TI e medidas de conformidade podem impactar em
despesas de processamento e, portanto, no negcio. Por isso, vital incluir que a
customizao tecnolgica do negcio seja considerada no planejamento, ou seja,
satisfazer os requisitos do HIPAA ou Sarbanes- Oxley ou outros equivalentes requisitos,
podem aumentar, por exemplo, acessos de banco de dados em vrias ordens de
magnitude e, sem dvida, muitas infraestruturas de banco de dados no esto
projetadas para lidar com isso. A menos que seja reavaliado e, possivelmente, o
desempenho seja otimizado, o resultado imediato de introduzir a governana de TI
pode impactar no desempenho dos negcios e, portanto, na reputao da TI.
- Implementar Gesto de Problemas
14
A continuidade de Negcios frequentemente considerada como recuperao de
desastres, algo standalone que conduzido aps um desastre, como a perda de um
centro de dados em um incndio. Esta , obviamente, um aspecto da governana de TI,
se o negcio depende das aplicaes que esto em execuo no Centro de Dados, mas
isso uma viso muito limitada. A continuidade dos negcios tambm uma funo de
gerenciamento de problemas de TI. O negcio precisa ser isolado dos problemas de TI:
de um lado, uma significativa parte da infraestrutura de TI est perdida e falamos de
recuperao de desastres e BCM; no outro extremo, um bug encontrado que afeta o
negcio ou uma pequena parte da infraestrutura de TI, como por exemplo, uma nica
linha telefnica fora e falamos sobre gesto de incidentes e de problema e rastreamento
de falhas. No empenho de uma boa governana de TI, provavelmente voc deve ver isso
como uma continuidade: o impacto das questes de TI sobre o negcio deve ser
limitado, como tambm controlado e gerenciado.
Isso est geralmente associado com a funo de service desk, que deve apontar para
identificao preventiva e mitigao dos problemas emergentes, de preferncia antes
que eles tenham qualquer impacto sobre um servio de negcio.
- Demonstrar o Retorno sobre o Investimento (ROI)
Pelo menos um dos objetivos por trs de qualquer iniciativa de governana de TI
provvel que seja para melhor executar a TI em benefcio da organizao. Ento, uma
boa prtica o uso de sistemas de governana de TI e relatrios de informaes do
negcio de modo que a Governana de TI e o ROI de projetos de governana, possam
demonstrar para que ele governana, e o ROI (Return on Investment) do projeto de
governana, possam ser demonstrados em uma base contnua.
Escolha as mtricas cuidadosamente as pessoas tendem a entregar o que voc medir,
por isso, se voc escolhe as medidas erradas voc pode obter os resultados errados.
Olhar alm de um ROI puramente financeiro. A boa governana de TI reduz o risco, por
isso aumenta a confiana das empresas. A aplicao de uma abordagem por meio do
balanced scorecard, para medir o impacto da governana de TI provavelmente
apropriada. sempre importante lembrar que a governana de TI apenas um meio
para um fim.
- Revises de Sistemas de Informao
Revises de sistemas de TI aps mudanas, a fim de permitir uma anlise de gaps das
diferenas entre a aspirao e a realidade, seguido pelo agendamento de esforos de
manuteno que visam reduzir gaps, uma importante caracterstica de uma boa
governana de TI. s vezes, como iniciativas do CMMI, estas avaliaes so parte de
um processo formal, mas, independentemente de quo se aproxima a governana de TI,
deve haver algum tipo processo de reviso e feedback.
REQUISITOS DE CONFORMIDADE GOVERNANA DE TI
De acordo com as definies e estudos j realizados acerca da Governana de TI, uma
das possveis composies baseada na definio de estruturas, processos e
15
mecanismos que, conjuntamente, pode promover um ambiente propcio existncia e
evoluo da Governana de TI.
Dessa forma, as dados coletados pela pesquisa literria sobre governana de TI foram
organizados e consolidados no quadro 1, que trata das estruturas, processos e
mecanismos de conformidade governana de TI.

Fonte: literatura acadmica
16
O quadro 1 contempla os requisitos mnimos de Governana de TI, com base na
literatura acadmica. J em relao pesquisa documental baseada nos rgos de
planejamento, regulao e controle do governo federal brasileiro, bem como nos
frameworks de melhores prticas, estes so os vetores identificados:
Instrues Normativas da Secretaria de Logstica e Tecnologia da Informao
(SLTI/MP) do Ministrio do Planejamento, Oramento e Gesto (MPOG).
Instruo Normativa N 02, de 30/04/2008 que dispe sobre regras e diretrizes para a
contratao de servios, continuados ou no.
Instruo Normativa N 04, de 12/11/2010 que dispe sobre o processo de contratao
de
Solues de Tecnologia da Informao pelos rgos integrantes do Sistema
de Administrao dos Recursos de Informao e Informtica (SISP) do Poder
Executivo Federal.
Normas Complementares do Gabinete de Segurana Institucional da Presidncia d
a Repblica.
Acrdos n 1603/2008, Acrdo n 2308/2010, Acrdo n 1145/2011, Acrdo
n 1233/2012, Acrdo n 1775/2012; e Melhores prticas no que tange a Tecnologia
da Informao (Cobit5, ITIL v3, CMMI e PMBOK).
Com base nas Estruturas, Processos e Mecanismos de Governana de TI identificados
na fundamentao terica, foi realizada, ainda, anlise dos Acrdos, Instrues
Normativas e Normas Complementares que influenciam na Governana de TI no
mbito da Administrao Pblica Direta e Indireta, como tambm anlise das melhores
prticas que abordam os temas relacionados Governana de TI, como por exemplo, a
ESTUDO DE CASO
A estratgia de estudo de caso desenvolvida a fim de verificar e conhecer como uma
empresa pblica da Administrao Pblica Indireta mantm a Governana de
TI e como so tratadas, rotineiramente, as questes relacionadas ao tema, sendo
aplicado como instrumento direcionador desta verificao a tabela de estruturas,
processos e mecanismos de Governana de TI. Essa tabela aplicada na empresa,
objeto de estudo, considerando os nveis estratgico, ttico e operacional. Para a coleta
de dados, o estudo baseou-se nas polticas, normas, arquivos de dados, entre outros.
Trata-se de projeto de caso nico, pois conforme Yin (2001) o caso nico pode, ento,
ser utilizado para se determinar se as proposies de uma teoria esto corretas ou se
algum outro conjunto alternativo de explanaes possa ser mais relevante.
Yin (2001) sugere que a aplicao da forma de questo em termos de quem, o qu,
onde, como e por qu, fornea uma chave importante para se estabelecer a
estratgia de pesquisa mais relevante a ser utilizada. provvel que a estratgia de
estudo de caso seja apropriada as questes do tipo como e por qu; precisando com
clareza, a natureza das questes de estudo.
17
Sendo assim a aplicao do estudo de caso visa responder as indagaes sobre como e
por que uma empresa pblica mantm estruturas, processos e mecanismos de
Governana de TI. Dessa forma, a estratgia de pesquisa complementada pelas
informaes constantes no quadro a seguir:

De acordo com Yin (2001), a definio da unidade de anlise est relacionada a maneira
como as questes iniciais da pesquisa foram definidas. A estratgia de pesquisa
apresentada decorre das seguintes proposies de estudo:
- as empresas pblicas precisam manter estruturas, processos e mecanismos de
governana para atender recomendaes de rgos de fiscalizao e controle; e as
empresas pblicas mantm estruturas, processos e mecanismos de Governana de TI
para alavancar seus negcios.
Segundo Yin (2001), o quarto e o quinto componentes, como e por qu, foram os menos
desenvolvidos nos estudos de caso. Representam as etapas da anlise de dados na
pesquisa do estudo de caso, e deve haver um projeto de pesquisa dando base a essa
anlise.
Diante da proposta de apresentar as estruturas, processos e mecanismos necessrios
Governana de TI aplicvel aos rgos da APF direta e indireta, sendo que os seguintes
aspectos devem ser considerados:
- A verificao da aplicao efetiva dos requisitos mnimos de Governana e de Gesto
de TI em uma empresa pblica;
- Mensurar, de forma qualitativa, o percentual de atendimento, por parte da empresa
avaliada, aos requisitos mnimos de Governana e de Gesto de TI.
- Propor melhorias aos processos da empresa avaliada, objetivando assegurar a evoluo
e melhoria contnua dos requisitos mnimos de governana e de gesto de TI.
Com intuito de estruturar e documentar o trabalho de verificao dos requisitos
mnimos de Governana e de Gesto de TI, toda a investigao realizada com base na
aplicao de um processo de conformidade.
A unidade de anlise constituda de uma empresa pblica da Administrao Pblica
Indireta, em que o segmento de tecnologia da informao parte integrante do negcio
essencial da organizao.
O estudo de caso ser realizado no departamento de segurana da informao dessa
empresa, tendo em vista as competncias estratgicas e tticas desenvolvidas,
18
objetivando assegurar a segurana da informao dos servios mantidos e custodiados
pela empresa.
O departamento de segurana est subordinado diretoria de operaes e contempla a
seguinte estrutura:

O Estudo de Caso foi aplicado em rgo da Administrao Pblica Federal Indireta,
numa empresa pblica.
De acordo com os requisitos de conformidade Governana de TI identificados durante
o trabalho, observou-se uma forte relao com questes relacionadas Segurana da
Informao, tornando apropriado que o estudo de caso fosse aplicado na Coordenao
de Segurana da Informao da organizao, especificamente na rea de conformidade
em segurana da informao.
Para realizao dos trabalhos foram elaborados checklist e roteiros de entrevista, sendo
realizadas entrevistas, oficialmente, com 2 (dois) empregados responsveis pela rea de
conformidade em segurana da informao da organizao.
Os trabalhos foram apoiados, ainda, pela prtica de reunies com outros empregados de
reas relacionadas as atividades de desenvolvimento e de produo de servios para
esclarecimento do funcionamento e da dinmica das Estruturas, Processos e
Mecanismos de Governana de TI aplicados na organizao.
Contextualizao do Cenrio
A empresa tem como negcio a prestao de servios em Tecnologia da Informao e
Comunicaes, o que torna o tema de Governana de TI aplicveis e necessrios s
atividades da organizao.
Durante a fase de coleta de dados na empresa pblica pesquisada, algumas questes
pertinentes governana de TI foram observadas:
19
- a Governana de TI tratada de modo informal, no h normativos ou processos
formais relacionados a este tema;
- no foi evidenciada a existncia de reas, na estrutura orgnica da organizao,
especficas para tratamento da Governana de TI;
- a gesto de TI est centralizada na Diretoria de Operaes da empresa, mas os
processos, tecnologias e pessoas envolvidos na gesto de TI so aplicados de forma
descentralizada pelas reas que compem esta diretoria;
- a empresa elegeu 65 (sessenta e cinco) servios de misso crtica, denominados SMC,
cujas
aes de evoluo e melhoria contnua dos processos de TI esto direcionadas a
esses servios.
As questes relatadas visam proporcionar um entendimento de como a Governana de
TI est presente dentro da organizao e, somente aps a avaliao das prticas de
governana de TI ser possvel demonstrar com propriedade a real situao da
Governana de TI na organizao estudada.
Para tanto, sero aplicadas tcnicas de entrevista de anlise de documentos e de
verificao direta, apoiadas por lista de verificaes a fim de identificar as estruturas,
processos e mecanismos de conformidade governana de TI aplicados na organizao.
Registros de informaes do Estudo de Caso
Durante aplicao de tcnicas de entrevista e de anlise de documentos, como tambm
de lista de verificaes foi evidenciado o seguinte:
- Comit Estratgico: foi verificada a existncia de Comit Estratgico de Segurana
da Informao, assim como documento formalizando as responsabilidades do referido
Comit, sendo, verificado, ainda, que o corpo gerencial de TI compe aquele Comit.
Entretanto, a maioria representada por Diretores e Superintendentes, havendo um
lacuna em relao as decises relativas ao nveis ttico e operacional, que necessitam
de representantes dessas reas.
- Estrutura Organizacional: foi verificado que a estrutura de TI est formalmente
definida na
estrutura orgnica da organizao e publicada no sistema de informaes normati
vas da organizao.
- Papis e Responsabilidades de TI: a formalizao dos papeis e responsabilidades da
TI realizada por meio do Documento de Atribuies e Competncias (DAC),
publicada no sistema de informaes normativas da organizao. Entretanto, no foi
evidenciada a aplicao de mecanismos que assegurem a atualizao dessas
informaes. Dessa forma, no possvel assegurar que as atribuies e competncias
constantes na documentao correspondem, efetivamente, s prticas realizadas.
20
- Modelos de maturidade de governana ou de alinhamento de TI: no foi
evidenciada a inexistncia de modelos de maturidade de governana ou de alinhamento
de TI.
- Melhores Prticas de Governana e de Gesto de TI: foi verificada a referncia ao
COBIT e ITIL em normativos internos da Organizao, mas no foi possvel evidenciar
a aplicao efetiva dos controles e padres preconizados nestas melhores prticas como
tambm os mecanismos de reviso e melhoria continua desses processos.
- Aplicao de BSC nos processos de TI: em anlise os processos de negcios e de
Tecnologia da informao, ora apresentados, no foi evidenciada a aplicao de BSC
nos processos de TI.
- Cultura Organizacional: foi observada a fomentao da cultura organizacional no
que tange a segurana da informao, que certa forma, contribui para a governana de
TI.
- Processos de desenvolvimento e de manuteno de sistemas de informao: em
relao aos processos de desenvolvimento e de manuteno de sistemas de informao,
foi verificado que a organizao aplica processos corporativos e metodologias baseadas
no Capability Maturity Model Integration - CMMI, sendo verificada, ainda, a aplicao
de mecanismos de avaliao e melhoria contnua do processo de desenvolvimento e de
manuteno de sistemas de informao.
- Gesto de Acordos de Nvel de Servio dos servios prestados: A Gesto de
Acordos de Nvel de Servio dos servios prestados, est vinculada a rea de gesto
empresarial, que fiscaliza e verifica o cumprimento dos acordos de nvel de servio
prestados pela organizao.
- Gesto de Acordos de Nvel de Servio dos servios contratados: A gesto de
Acordos de Nvel de Servio dos servios contratados, est vinculada rea de
Administrao, que responsvel pela formalizao dos procedimentos administrativos
da gesto contratual, sendo que cada contrato de tecnologia possui um gestor que realiza
a fiscalizao do contrato, como tambm, verifica se o Acordo de Nvel de Servio ,
efetivamente, cumprido.
- Gesto de ativos: em relao gesto de ativos foi evidenciada a realizao de aes
isoladas e uso de ferramentas de gesto de configurao/ativos de forma no
padronizadas, vale mencionar, ainda, questes crticas que impactam a Gesto de
Ativos, como, por exemplo, a ausncia de uma CMDB, integrada e consistente.
- Classificao de ativos de informao: foi constatado que o processo de
classificao de ativos de informao est mapeado e formalizado por meio de
normativo, mas no foi evidenciada a sua aplicao por parte dos empregados.
- Gesto de capacidade: foi constatado que no h processo de gesto de capacidade
mapeado, documentado e formalizado, como tambm no h normativos relacionados
ao processo de capacidade.
21
-
Gesto da Continuidade do Negcio: o processo de GCN est mapeado, docu
mentado e institudo por meio de normativo interno. Entretanto, foram identificadas
situaes crticas, como por exemplo, os planos de contingncia no so,
periodicamente, atualizados.
- Segurana fsica: o processo de segurana fsica no est mapeado e os ambientes de
desenvolvimento, de teste, de homologao e de produo no esto fisicamente
segregados.
- Segurana lgica: o processo de segurana lgica est mapeado e, em fase de
implantao, sendo verificado, ainda, a existncia de sistema de gesto de identidade
que tambm est em fase de implementao. Vale citar que na segurana lgica, foram
identificadas questes crticas que impactam na integridade e disponibilidade dos
servios, como, por exemplo, a ausncia de mecanismos de controles relativos
segurana lgica, no que tange a monitorao de acesso aos dados em produo.
- Gesto de incidentes: foi verificado que o processo de gesto de incidentes est em
fase de implantao, mas no h uma distino clara quanto a classificao dos
incidentes, ou seja, quando afirmar que se trata, efetivamente, de incidente de segurana
da informao.
- Gesto de Mudanas: o processo de gesto de mudanas aplicado, geralmente, para
atender mudanas programadas.
- Gesto de problemas: foi constatado que o processo est documentado, mas no foi
possvel evidenciar, efetivamente, a sua aplicao.
- Gesto de riscos: o processo de Gesto de riscos est mapeado, documentado e
institudo por meio de normativo interno e so mantidos trs sistemas de informao
que apoiam e realizam a automao das atividades de anlise, registro e tratamento de
riscos.
- Planejamento estratgico de Sistemas de Informao: no foi evidenciada a
existncia de planejamento estratgico de sistemas de informao, mas foi verificado
que no Planejamento Estratgico da Organizao so tratadas questes relacionadas aos
Sistemas de Informao, como por exemplo a aquisio/desenvolvimento de
softwares/ferramentas.
-Poltica de Segurana da Informao: Em relao Poltica de Segurana da
Informao foi evidenciada a existncia de Poltica de Segurana da Informao PSI,
documentada e formalizada.
Em relao aplicao de mecanismos de Governana de TI, foi verificado o seguinte:
- Colaborao entre os principais stakeholders: a existncia de mecanismos que
promovam a colaborao entre os principais stakeholders, foi verificada a aplicao de
reunies semanais com os clientes, como tambm o compartilhamento de pontos de
monitorao e controle com o cliente, como por exemplo, acesso a softwares/sistemas
de monitorao do servio, mas um mecanismo facultativo.
22
- Entendimento compartilhado dos objetivos do negcio e da TI: a aplicao de
mecanismos que
promovam o entendimento compartilhado dos objetivos do negcio e da
TI, foi verificada a existncia de mecanismos, como por exemplo, o Planejamento
estratgico da TI com a participao
e envolvimento das reas de negcio e o preenchimento de artefato da rea de p
rojetos que envolvem a rea de TI e rea de Negcio.
- Posio do negcio e da TI na Organizao: foi verificado que a rea de negcio
comanda o direcionamento da TI, pois ela tem autoridade sobre as decises da TI, como
tambm define as prioridades de servios da TI.
Sendo, verificado, ainda que h uma supervalorizao do negcio por parte da
organizao, no havendo a preocupao se a
TI pode no ter os recursos para atender de forma razovel as expectativas do
negcio, como tambm assegurar a entrega do servio.
- Mecanismos que promovam o Negcio Multifuncional: no foi evidenciada a
existncia de mecanismos que promovam o Negcio Multifuncional, considerando o
treinamento cruzado (cross- training), ou seja, equipes de TI sendo treinadas no
Negcio e equipes de negcio treinadas na TI, proporcionando a formao em
diferentes tarefas e habilidades.
- Rotao de tarefas: no foi evidenciada a rotao de tarefas (profissionais crossover),
ou seja, objetivando o negcio multifuncional, equipes de TI trabalhando no negcio e
equipes de negcio trabalhando na TI.
- Mecanismos que promovam a gesto do conhecimento: foi evidenciada a existncia
dos seguintes mecanismos: ambiente de colaborao denominado wiki para registro e
compartilhamento de conhecimento; Poltica de Gesto do
Conhecimento; treinamentos internos, com foco no negcio, envolvendo a rea de
negcio e a rea de TI.
- Mecanismos que promovam parcerias, recompensas ou incentivos: foram
evidenciados os seguintes mecanismos: Processo de Promoo por Mrito e de
Participao nos lucros da empresa.
-
Participao dos principais stakeholders: no foi possvel evidenciar a existnc
ia de mecanismos que promovam a participao ativa dos stakeholders principais,
como tambm, de mecanismos que promovam o tratamento de conflitos ativos na
organizao.
RESULTADOS
Com o intuito de atingir o objetivo proposto neste trabalho de pesquisa, foram
identificados por meio de fontes de informao acadmica requisitos de conformidade
Governana de TI.
23
Nesta primeira parte da pesquisa foi possvel constatar que para se estabelecer a
conformidade em Governana de TI necessrio estabelecer que requisitos so
necessrios implementao da Governana de TI, sendo assim, foi verificado que a
Governana de TI pode envolver requisitos que contemplam Estruturas, Processos e
Mecanismos, conforme apresentados na Tabela01, considerando que:
- as Estruturas envolvem a existncia de papeis de responsabilidade, como os executivos
de TI e Comits de TI;
- os Processos referem-se ao monitoramento e a tomada de decises estratgicas; e
- os Mecanismos de Relacionamento incluem a participao da TI e do negcio, o
dilogo estratgico, o conhecimento compartilhado e a comunicao adequada.
24

25
A identificao de requisitos de conformidade Governana de TI, constantes da
literatura acadmica proporcionou estabelecer um caminho para implementao da
Governana de TI de forma geral, mas no possibilitou visualizar se tais requisitos
atendem de forma razovel requisitos de conformidade Governana de TI, aplicados
em rgos da Administrao Pblica Federal indireta, particularmente, em empresas
pblicas.
Diante de tal situao, foi identificada, ainda, a necessidade de levantamento de
requisitos que assegurem a conformidade Governana de TI, constantes de fontes de
informao de rgos reguladores e de Governo. A anlise das referidas fontes de
informao, resultou nos requisitos de conformidade apresentados na tabela02.

Os requisitos de conformidade foram estruturados com base nas seguintes informaes:
26
- Recomendaes realizadas por meio de trabalhos de auditoria em rgos de
Fiscalizao e Controle, como o Tribunal de Contas da Unio, em rgos da
Administrao Pblica Federal indireta.
- Determinaes constantes em fontes de informao de Governo, como: Normas e
Instrues Normativas.
Os requisitos de conformidade Governana de TI inicialmente devem ser cumpridos
pelas
empresas pblicas, considerando que se referem s determinaes constantes da l
egislaes, Normas e Instrues Normativas do Governo Federal do Brasil, como
tambm s Recomendaes oriundas de rgos de Fiscalizao e Controle, como por
exemplo, do Tribunal de Contas da Unio.
Durante o trabalho de anlise de fontes de informao de rgos reguladores e de
Governo, foi observada referncia s melhores prticas de Governana e de Gesto de
TI, como: o Cobit, o PMBOK, a ITIL e a Norma ISO/IEC 27002, ocasionando, a
necessidade de verificao da relao destes requisitos com aqueles identificados em
fontes de informao acadmica e de rgos reguladores, conforme apresentado na
Tabela03.

27
Aps anlise e, consolidao das informaes relativas a Governana de TI, constantes
das tabelas 1, 2 e 3, foi realizada a juno destes requisitos, resultando na elaborao da
tabela04.
28

29
De posse dos requisitos consolidados, foi possvel estabelecer um plano de trabalho para
aplicao de estudo de caso, a fim de verificar conformidade destes requisitos no
mbito da Administrao Pblica Federal Brasileira, especificamente, numa empresa
pblica.
Aps a aplicao de estudo de caso, considerando a verificao de cumprimento de 32
requisitos de conformidade Governana de TI, foi possvel constatar que 37% dos
requisitos so, efetivamente, aplicados, 41% so parcialmente aplicados e 22% no so
aplicados, conforme Quadro 1.

Vale mencionar que diante das informaes e evidncias apresentadas pela organizao,
foi possvel observar que o cumprimento aos requisitos de conformidade, esto
fortemente relacionados s recomendaes e orientaes governamentais, como por
exemplo, do Tribunal de Contas da Unio e do Ministrio do Planejamento, Oramento
e Gesto e da Presidncia da Repblica.
Foi verificado, com base na tabela 4: requisitos de conformidade governana de TI,
que 37% dos requisitos, considerando a situao de atendidos e parcialmente
atendidos, atendem tanto as fontes de informao da literatura acadmica, como
tambm as fontes de informao de rgos reguladores, a Legislao Brasileira e s
melhores prticas, conforme Quadro 2.

Foi verificado, ainda, que requisitos de conformidade Governana de TI que at
endem exclusivamente aos requisitos de governana identificados na literatura
30
acadmica e, representam 34% dos requisitos de conformidade Governana de TI,
conforme Quadro 3.

Vale citar, de acordo com as informaes apresentadas por empregados da orga
nizao, os requisitos de conformidade Governana de TI, procedentes de rgos de
fiscalizao e controle e a legislao vigente tem prioridade no cumprimento pela
organizao, principalmente aqueles relacionados aos Acrdos do TCU.
Sendo, assim, foi possvel constatar que os requisitos supracitados so direcionadores
Governana de TI da organizao, e as recomendaes procedentes dos rgos de
fiscalizao e controle, de certa forma, alavancam a Governana de TI da organizao.
Diante das informaes apresentadas no Quadro01 possvel inferir que a aplicao de
requisitos de conformidade Governana de TI aplicados no mbito da
Administrao Pblica Federal Brasileira, especificamente, empresas pblicas, visam
atender, fortemente, o cumprimento legislao Brasileira e s recomendaes de
rgos de Fiscalizao e Controle.
Processos da gerncia de projetos
Origem: Wikipdia, a enciclopdia livre.
Segundo o guia PMBOK - 4 Edio, um processo um conjunto de aes e atividades
inter-relacionadas, que so executadas para alcanar um produto, resultado ou servio
predefinido. Cada processo caracterizado por suas entradas, as ferramentas e as
tcnicas que podem ser aplicadas e as sadas resultantes. Projeto um esforo
temporrio empreendido para criar um produto, servio ou resultado exclusivo.
Processos se enquadram em duas categorias:
31
1. Processos da gerncia de projetos : se relacionam com a descrio, a organizao e a
concluso do trabalho do projeto. So universais a todos os projetos, pois controlam o
ciclo de vida do gerenciamento de projetos.
2. Processos orientados ao produto : se relacionam com a especificao e a criao do
produto do projeto, sendo exclusivos a cada produto. So definidos pelo ciclo de vida
do projeto, e variam de acordo com a rea de aplicao.
Grupos de processos
De acordo com o PMBOK, os processos de gerenciamento de projetos podem ser
organizados em cinco grupos de processos:
1. Processos de Iniciao autorizao do projeto ou fase
2. Processos de Planejamento so processos iterativos de definio e refinamento de
objetivos e seleo dos melhores caminhos para atingir os objetivos.
3. Processos de Execuo execuo dos planos do projeto: coordenao de pessoas e
outros recursos para executar o plano
4. Processos de Monitoramento e Controle medio e monitoramento do
desempenho do projeto. Garantem que os objetivos do projeto so alcanados atravs
do monitoramento e medio regular do progresso, de modo que aes corretivas
possam ser tomadas quando necessrio.
5. Processos de Encerramento aceitao formal do projeto (com verificao de escopo)
ou fase para a sua finalizao.
Os grupos de processo so ligados pelos resultados que produzem: o resultado de um
processo frequentemente a entrada de outro. Os cinco grupos de processos possuem
conjuntos de aes que levam o projeto adiante, em direo ao seu trmino.
Dentro dos cinco grupos de processos existiam duas categorias de processos: bsicos
e facilitadores. Esses termos foram eliminados para garantir que todos os processos de
gerenciamento de projetos nos grupos de processos de gerenciamento de projetos
tenham o mesmo nvel de importncia.
As atividades no caminho crtico so monitoradas ativamente quanto a deslizes,
enquanto os deslizes nas atividades do caminho no crtico so verificados
periodicamente.
Repetir os processos de iniciao antes da execuo de cada fase uma maneira de se
avaliar se o projeto continua cumprindo as necessidades de negcio. Envolver as partes
interessadas no projeto em cada uma das fases uma maneira de aumentar as
probabilidades de satisfao dos requisitos do cliente, alm de servir para faz-los
sentirem-se envolvidos no projeto o que muitas vezes essencial para o sucesso do
mesmo.
O gerente de projetos precisa monitorar e comunicar o desempenho do projeto. Os
resultados do trabalho que estiverem abaixo de um nvel de desempenho aceitvel
precisam ser ajustados com aes corretivas para que o projeto volte a estar em
conformidade com as linhas de base de custo, prazo e escopo. A comunicao do
desempenho do projeto um dos principais elementos para o gerenciamento de projetos
bem sucedido.
32
Interaes de Processos
Dentro de cada grupo de processos, os processos individuais podem ser ligados pelas
suas entradas (inputs) e sadas (outputs). Focando nessas ligaes, podemos descrever
cada processo nos termos de seus:
1. Entradas (inputs) documentos ou itens que sero trabalhados pelo processo
2. Ferramentas e tcnicas mecanismos aplicados aos inputs para criar os outputs
3. Sadas (outputs) documentos ou itens que sero o resultado final do processo.
Esses trs componentes de processo transformam decises, condies, planos e reaes
em condies e progresso. A sada de um processo geralmente a entrada para outro.
Dentro de cada processo, as ferramentas e tcnicas usadas num processo orientam e
influenciam a sua sada. Uma sada com falhas pode comprometer a entrada de
processos dependentes.
Os processos podem ser, at certo ponto, customizveis (personalizados) a cada projeto.
Podem ser modificados, ou at excludos, para melhor atender as particularidades de
dado projeto. No entanto, essas modificaes devem ser feitas criteriosamente.
reas de Conhecimento da Gerncia de Projetos:
Processos
As nove reas de conhecimento so compostas por 42 (quarenta e dois) processos de
gerenciamento de projetos. O Guia de Conhecimentos em Gerenciamento de Projetos
(PMBOK 2004, 4 Edio) descreve as reas de conhecimento em captulos, listados a
seguir:
1. Introduo
2. Ciclo de vida e organizao do projeto
3. Processos de gerenciamento de projetos de um projeto
4. Gerenciamento de integrao do projeto descreve os processos requeridos para
certificar-se que os vrios elementos do projeto esto propriamente coordenados.
Consiste em:
1. Desenvolver o termo de abertura do projeto (In.)
2. Desenvolver o plano de gerenciamento do projeto (Pl.)
3. Orientar e gerenciar a execuo projeto (Ex.)
4. Monitorar e controlar o trabalho do projeto (Mo.)
5. Executar o controle integrado de mudanas (Mo.)
6. Encerrar o projeto ou fase. (En.)
5. Gerenciamento do escopo do projeto descreve os processos requeridos para garantir
que o projeto inclui todo o trabalho requerido (requisitos), e somente o trabalho
requerido, para completar o processo com sucesso. Consiste em:
1. Coletar requisitos (Pl.)
2. Definir o escopo (Pl.)
3. Criar a Estrutura Analtica de Processo (EAP) (Pl.)
4. Verificar o escopo (Mo.)
5. Controlar do escopo (Mo.)
33
6. Gerenciamento de tempo de projeto descreve os processos requeridos para garantir
que o projeto seja completado dentro do prazo. Consiste em:
1. Definir atividades (Pl.)
2. Sequenciar atividades (Pl.)
3. Estimar de recursos da atividade (Pl.)
4. Estimar de durao da atividade (Pl.)
5. Desenvolver do cronograma (Pl.)
6. Controlar do cronograma (Mo.)
7. Gerenciamento de custos do projeto descreve os processos requeridos para que o
projeto seja completado dentro do oramento aprovado. Consiste em:
1. Estimar de custos (Pl.)
2. Determinar o oramento (Pl.)
3. Controlar custos (Mo.)
8. Gerenciamento da qualidade do projeto descreve os processos requeridos para
garantir que o projeto vai satisfazer as necessidades pelas quais ele foi feito. Consiste
em:
1. Planejar a qualidade (Pl.)
2. Realizar a garantia da qualidade (Ex.)
3. Realizar o controle da qualidade (Mo.)
9. Gerenciamento de recursos humanos do projeto descreve os processos requeridos
para fazer o uso mais efetivo das pessoas envolvidas no projeto. Consiste em:
1. Desenvolver o plano de recursos humanos (Pl.)
2. Contratar ou mobilizar a equipe do projeto (Ex.)
3. Desenvolver a equipe de projeto (Ex.)
4. Gerenciar a equipe de projeto (Ex.)
10. Gerenciamento das comunicaes do projeto descreve os processos requeridos para
garantir rpida e adequada gerao, coleo, disseminao, armazenamento e
disposio final das informaes do projeto. Consiste em:
1. Identificar as partes interessadas (In.)
2. Planejar as comunicaes (Pl.)
3. Distribuir as informaes (Ex.)
4. Gerenciar as expectativas das partes interessadas (Ex.)
5. Relatar desempenho (Mo.)
11. Gerenciamento de riscos do projeto descreve os processos relacionados a identificar,
analisar e responder aos riscos do projeto. Consiste em:
1. Planejar o gerenciamento de riscos (Pl.)
2. Identificar riscos (Pl.)
3. Realizar a anlise qualitativa de riscos (Pl.)
4. Realizar a anlise quantitativa de riscos (Pl.)
5. Planejar respostas aos riscos (Pl.)
6. Monitorar e controlar riscos (Mo.)
12. Gerenciamento de aquisies do projeto descreve os processos requeridos para
adquirir bens e servios de fora da organizao "dona" do projeto. Consiste em:
1. Planejar aquisies (Pl.)
2. Conduzir aquisies (Ex.)
3. Administrar aquisies (Mo.)
4. Encerrar aquisies (En.)
Referncias gerais
Barros, Carlos. "Gesto de Projectos": Editora Slabo, 1 Edio, 1994 ISBN 9726180864
34

Project Management Body of Knowledge
'Project Management Body of Knowledge'
Autor (es) Project Management Institute
Idioma <cdigo de lngua no reconhecido>
Pas Estados Unidos
Gnero Gerncia de projetos
Lanamento 2008
ISBN 978-1-933890-51
O guia Project Management Body of Knowledge, tambm conhecido como PMBOK
um livro que apresenta um conjunto de prticas em gesto de projectos
(portugus europeu)

ou gerenciamento de projetos
(portugus brasileiro)
publicado pelo Project Management
Institute e constitui a base do conhecimento em gerenciamento de projetos do PMI. A
5a Edio (2013) o documento resultante do trabalho atual realizado pelo Project
Management Institute (PMI Product - 00101388701/ISBN13 - 9781935589679). O
instituto American National Standards Institute (ANSI) que assegura os padres nos
Estados Unidos da Amrica, define a 4a verso como (ANSI/PMI 99-001-2008) o
Institute of Electrical and Electronics Engineers define a 4a verso como IEEE 1490-
2011.
1
para Guia de Gerenciamento de Projetos do PMI.

Histrico
O Guia PMBOK foi publicado pela primeira vez pelo Project Management Institute
(PMI) como um white paper em 1983 na tentativa de documentar e padronizar as
prticas que so normalmente aceitas na gerncia de projetos. A primeira edio foi
publicada em 1996, seguida pela segunda edio em 2000. .
2

Em 2004, o Guia PMBOK Terceira Edio foi publicado com maiores mudanas,
considerando as edies anteriores. A ltima verso do Guia PMBOK a quinta edio
que foi publicada em 2013 em Ingls. Tradues esto disponveis em rabe, Chins,
Francs, Alemo, Italiano, Japons, Coreano, Portugus, Russo e Espanhol.
Definio
35
O Guia PMBOK identifica um subconjunto do conjunto de conhecimentos em
gerenciamento de projetos, que amplamente reconhecido como boa prtica, sendo em
razo disso, utilizado como base pelo Project Management Institute (PMI). Uma boa
prtica no significa que o conhecimento e as prticas devem ser aplicadas
uniformemente a todos os projetos, sem considerar se so ou no apropriados.
O Guia PMBOK tambm fornece e promove um vocabulrio comum para se discutir,
escrever e aplicar o gerenciamento de projetos possibilitando o intercmbio eficiente de
informaes entre os profissionais de gerncia de projetos.
O guia baseado em processos e subprocessos para descrever de forma organizada o
trabalho a ser realizado durante o projeto. Essa abordagem se assemelha empregada
por outras normas como a ISO 9000 e o Software Engineering Institute's, CMMI.
Os processos descritos se relacionam e interagem durante a conduo do trabalho. A
descrio de cada um deles feita em termos de:
Entradas (documentos, planos, desenhos etc.);
Ferramentas e tcnicas (que se aplicam s entradas);
Sadas (documentos, produtos etc.)
Ciclo de Vida e da Organizao de um projeto
O Guia PMBOK em sua 5 Edio prov diretrizes para gerncia dos projetos
individualmente e define conceitos associados gerncia de projetos. Isto tambm
descreve o ciclo de vida do gerenciamento do projeto e seus processos relacionados,
assim como o ciclo de vida do projeto.
3

O Guia PMBOK reconhece 47 processos que recaem em 5 grupos de processos e 10
reas de conhecimento que so tpicas em quase todas reas de projetos.
Descrio dos grupos de processos de gerenciamento de projetos:
1. Iniciao
2. Planejamento
3. Execuo
4. Monitoramento e controle
5. Encerramento
Conjunto de conhecimentos de acordo com o Guia PMBOK 4 e 5 edio
e ISO21500
O Guia PMBOK cita os seguintes conjuntos de conhecimentos:

Guia PMBOK 4 Edio
(2008)
ISO21500 (2013)
Guia PMBOK 5 Edio
(2013)
Estgios 5 grupos de processos 5 grupos de processos 5 grupos de processos
36
Tpicos 9 reas de conhecimento
10 reas de
conhecimento
10 reas de conhecimento
Processos 42 processos 39 processos 47 processos
reas de conhecimento do Guia PMBOK 4 e 5 edio
O conhecimento de gerenciamento de projetos, descrito no Guia PMBOK consiste nas
seguintes reas de conhecimento:
Descrio das dez reas de conhecimento:
1. Gerenciamento/Gesto de integrao do projeto
2. Gerenciamento/Gesto do escopo do projeto
3. Gerenciamento/Gesto de tempo do projeto
4. Gerenciamento/Gesto de custos do projeto
5. Gerenciamento/Gesto da qualidade do projeto
6. Gerenciamento/Gesto de recursos humanos do projeto
7. Gerenciamento/Gesto das comunicaes do projeto
8. Gerenciamento/Gesto de riscos do projeto
9. Gerenciamento/Gesto de aquisies do projeto
10. Gerenciamento/Gesto de envolvidos do projeto (adicionada na 5a Edio)
Conjunto de conhecimentos de acordo com o Guia PMBOK 4 e 5 edio
e ISO21500

Guia PMBOK 4 Edio
(2008)
ISO21500 (2013)
Guia PMBOK 5 Edio
(2013)
Grupos de
Processos
1.Iniciao
2.Planejamento
3.Execuo
4.Monitoramento e
Controle
5.Encerramento
1.Iniciao
2.Planejamento
3.Execuo
4.Controle
5.Encerramento
1.Iniciao
2.Planejamento
3.Execuo
4.Monitoramento e
Controle
5.Encerramento
reas de
Conhecimento
1.Integrao
2.Escopo
3.Tempo
4.Custo
5.Qualidade
6.Recursos Humanos
7.Comunicaes
8.Riscos
9.Aquisies
1.Integrao
2.Escopo
3.Tempo
4.Custo
5.Qualidade
6.Recursos
7.Comunicaes
8.Riscos
9.Aquisies
10.Partes
1.Integrao
2.Escopo
3.Tempo
4.Custo
5.Qualidade
6.Recursos Humanos
7.Comunicaes
8.Riscos
9.Aquisies
10.Partes Interessadas
37
Interessadas
Extenses do PMBOK
O PMBOK atualmente define extenses ao Guia PMBOK. So elas:
Extenso para Construo - Construction Extension to the PMBOK Guide 3a Edio
(em ingls)
Extenso para Governo - Government Extension to the PMBOK Guide 3a Edio (em
ingls)

O PMBOK tambm define padres especficos ao Guia PMBOK. So eles:
Padro para Gerenciamento de Programa - The Standard for Program Management
2a Edio (em ingls)
Padro para Gerenciamento de Portiflio - The Standard for Portfolio Management
3a Edio (em ingls)
Modelo de Maturidade para Gerenciamento de Projetos Organizacionais -
Organizational Project Management Maturity Model (OPM3) 2a * Edio (em
ingls)
Processos do Guia PMBOK 4 edio
reas de
Conhecimento
Iniciao Planejamento Execuo
Monitoramento
e controle
Encerramento
Integrao
1.
Desenvolver
o termo de
abertura do
projeto
2. Desenvolver
o plano de
gerenciamento
do projeto
3. Orientar e
gerenciar a
execuo do
projeto
4. Monitorar e
controlar o
trabalho do
projeto
5. Realizar o
controle
integrado de
mudanas
6. Encerrar o
projeto ou
fase1
Escopo

1. Coletar os
requisitos
2. Definir o
escopo
3. Criar a EAP

4. Verificar o
escopo
5. Controlar o
escopo

Tempo

1. Definir as
atividades
2. Sequenciar as
atividades

6. Controlar o
cronograma

38
3. Estimar os
recursos das
atividades
4. Estimar as
duraes das
atividades
5. Desenvolver
o cronograma
Custos

1. Estimar os
custos
2. Determinar o
oramento

3. Controlar os
custos

Qualidade

1. Planejar a
qualidade
2. Realizar a
garantia de
qualidade
3. Realizar o
controle da
qualidade

Recursos
Humanos

1. Desenvolver
o plano de
recursos
humanos
2. Mobilizar a
equipe do
projeto
3.
Desenvolver
a equipe de
projeto
4. Gerenciar
a equipe do
projeto

Comunicao
1. Identificar
as partes
interessadas
2. Planejar as
comunicaes
3. Distribuir
as
informaes
4. Gerenciar
as
expectativas
das partes
interessadas
5. Reportar o
desempenho

Riscos

1. Planejar o
gerenciamento
dos riscos
2. Identificar os
riscos
3. Realizar a
anlise

6. Monitorar e
controlar os
riscos

39
qualitativa dos
riscos
4. Realizar a
anlise
quantitativa dos
riscos
5. Planejar as
respostas aos
riscos
Aquisio

1. Planejar as
aquisies
2. Conduzir
as aquisies
3. Administrar as
aquisies
4. Encerrar as
aquisies

Processos do Guia PMBOK 5 edio
reas de
Conhecimento
Iniciao Planejamento Execuo
Monitoramento
e controle
Encerramento
Integrao
1.1.
Desenvolver
o termo de
abertura do
projeto
1.2.
Desenvolver o
plano de
gerenciamento
do projeto
1.3. Orientar e
gerenciar o
trabalho do
projeto
1.4. Monitorar e
controlar o
trabalho do
projeto
1.5. Realizar o
controle
integrado de
mudanas
1.6. Encerrar o
projeto ou
fase
Escopo

2.1. Planejar o
Gerenciamento
do Escopo
2.2. Coletar os
requisitos
2.3. Definir o
escopo
2.4. Criar a EAP

2.5. Validar o
escopo
2.6. Controlar o
escopo

Tempo

3.1. Planejar o
gerenciamento
do Cronograma
3.2. Definir as
atividades
3.3. Sequenciar
atividades

3.7. Controlar o
cronograma

40
3.4. Estimar os
recursos das
atividades
3.5. Estimar as
duraes das
atividades
3.6.
Desenvolver o
cronograma
Custos

4.1. Planejar o
gerenciamento
dos Custos
4.2. Estimar
custos
4.3. Determinar
o oramento

4.4. Controlar os
custos

Qualidade

5.1. Planejar o
gerenciamento
da qualidade
5.2. Realizar a
garantia de
qualidade
5.3. Controlar a
qualidade

Recursos
Humanos

6.1. Planejar o
gerenciamento
dos recursos
humanos
6.2. Mobilizar
a equipe do
projeto
6.3.
Desenvolver a
equipe do
projeto
6.4. Gerenciar
a equipe do
projeto

Comunicaes

7.1 Planejar o
gerenciamento
das
comunicaes
7.2. Gerenciar
as
comunicaes
7.3. Controlar as
comunicaes

Riscos

8.1. Planejar o
gerenciamento
dos riscos
8.2. Identificar
os riscos
8.3. Realizar a
anlise

8.6. Controlar os
riscos

41
qualitativa dos
riscos
8.4. Realizar a
anlise
quantitativa dos
riscos
8.5. Planejar as
respostas aos
riscos
Aquisio

9.1. Planejar o
gerenciamento
das aquisies
9.2. Conduzir
as aquisies
9.3. Controlar as
aquisies
9.4. Encerrar
as aquisies
Partes
Interessadas
10.1.
Identificar
partes
interessadas
10.2. Planejar o
gerenciamento
das partes
interessadas
10.3.
Gerenciar o
envolvimento
das partes
interessadas
10.4. Controlar o
envolvimento
das partes
interessadas

References
1. IEEE (2011), IEEE Guide--Adoption of the Project Management Institute (PMI(R))
Standard A Guide to the Project Management Body of Knowledge (PMBOK(R) Guide)--
Fourth Edition
2. A Guide to the Project Management Body of Knowledge, copyright page, edition 2
ISBN 1-880410-12-5 (free .pdf edition), e a terceira edio em 2004 ISBN 978-1-
930699-45-8, e quarta edio em 2008 ISBN 1-933890-51-7
3. PMI (2012), A Guide to the Project Management Body of Knowledge, 5th Ed.
Referncias
1. CMBoK < CM < Foswiki. Cmcrossroads.com. Pgina visitada em 2011-09-28.
Bibliografia
A Guide to the Project Management Body of Knowledge (PMBOK Guide). Third
Edition ed. [S.l.]: Project Management Institute. ISBN 1-930699-45-X

42
Gerenciamento de Processos de Negcio
Para que uma empresa tenha sucesso, seja ela de grande ou pequeno porte, esta precisa
essencialmente ter uma boa administrao, pois uma empresa que no tem
planejamento, organizao e controle e no saiba quais os objetivos que pretende
alcanar no consegue atingir nenhum resultado.
O Gerenciamento de Processos de Negcio
ou Gesto de Processos de
Negcio
(portugus europeu)
(em ingls Business Process Management ou BPM) um
conceito que une gesto de negcios e tecnologia da informao com foco na
otimizao dos resultados das organizaes atravs da melhoria dos processos de
negcio.

BPM tem sido referenciado com uma introduo ao gerenciamento holstico
1
para
alinhar processos de negcio das organizaes com as necessidades dos clientes. Isto
promove o negcio com efetividade e eficincia enquanto se esfora para obter
inovao, flexibilidade e integrao com a tecnologia. BPM procura obter a melhora dos
processos continuamente. Isto pode no entanto ser descrito como otimizao de
processo. discutido que o BPM permite que organizaes sejam mais eficientes, mais
efetivas e com maior capacidade de mudanas do que aquelas com foco funcional, com
abordagem de gerenciamento tradicional hierrquico.
2

So utilizados mtodos, tcnicas e ferramentas para analisar, modelar, publicar, otimizar
e controlar processos envolvendo recursos humanos, aplicaes, documentos e outras
fontes de informao.
BPM: viso Tecnologia da Informao
A utilizao do BPM, ao longo dos ltimos anos, vem crescendo de forma bastante
significativa, dada a sua utilidade e rapidez com que melhora os processos nas empresas
onde j foi implementado. A sua perspectiva de crescimento muito grande, visto que
ainda um conceito pouco conhecido, principalmente no Brasil.
O termo 'processos operacionais' se refere aos processos de rotina (repetitivos)
desempenhados pelas organizaes no seu dia-a-dia, ao contrrio de 'processos de
deciso estratgica', os quais so desempenhados pela alta direo. O BPM difere da
remodelagem de processos de negcio, uma abordagem sobre gesto bem popular na
dcada de 90, cujo enfoque no eram as alteraes revolucionrias nos processos de
negcio, mas a sua melhoria contnua.
Adicionalmente, as ferramentas denominadas sistemas de gesto de processos do
negcio (sistemas BPM) monitoram o andamento dos processos de uma forma rpida e
barata. Dessa forma, os gestores podem analisar e alterar processos baseados em dados
reais e no apenas por intuio.
A alta direo da empresa pode enxergar, por exemplo, onde esto os gargalos, quem
est atrasando (e o quanto est atrasando) determinada tarefa, com que frequncia isso
ocorre, o percentual de processos concludos e em andamento, entre outros. Como
43
conseqncia, fatores cruciais para o bom desempenho da organizao podem ser
analisados com extrema facilidade e rapidez o que geralmente no ocorre com outras
ferramentas que no o BPM.
Alm disso, as pessoas participantes do processo tambm so beneficiadas: com o
BPM, elas tm o seu trabalho facilitado uma vez que recebem tarefas e devem
simplesmente execut-las sem se preocupar com aspectos como, por exemplo, para
onde devem envi-las uma vez que o processo j foi desenhado e todas as possveis
situaes de seguimento deste j esto registradas. Adicionalmente, os indivduos
podem enxergar como foi o caminho realizado at a sua atividade e em que status est.
Os softwares responsveis pela automao destas atividades so chamados de Business
Process Management Suites, ou BPMS.
BPM: viso Gesto de Negcios
Nos anos 80, a Gesto pela Qualidade Total estava no topo da lista de prioridades das
empresas em todo o mundo. Na dcada de 90, Michael Hammer e James Champy
lanaram o artigo "Dont automate, obliterate" pela Harvard Business Review. Esse
artigo foi o marco da chamada onda de BPR (Business Process Reengineering) ou
Reengenharia de Processos.
Em 2006, Howard Smith e Peter Fingar lanaram o livro "Business Process
Management: The Third Wave" com os conceitos de Gerenciamento de Processos de
Negcios. O BPM se tornou ento o assunto mais importante nas empresas. Como
especialistas em TI, os autores focaram o BPM como sendo uma automao de
processos atravs de ferramentas de software.
importante ressaltar alguns pontos, em relao ao BPM, para os gestores interessados
em implantar o Gerenciamento de Processos de Negcios para alavancar os resultados
de suas organizaes. 1) O BPM um enfoque avanado de otimizao e transformao
de processos que evoluiu a partir das experincias das ondas anteriores (Gesto pela
Qualidade Total, BPR). 2) Os BPMS (ferramentas de software) no so o BPM
(Gerenciamento de Processos de Negcios). As ferramentas de software utilizadas para
automao dos processos so desejveis, porm no devem ser o foco. O foco deve ser a
melhoria e transformao de processos de negcios para que as organizaes possam
alcanar os resultados esperados do negcio: aumento de produtividade, reduo de
burocracia, melhoria na rentabilidade, reduo de defeitos e desperdcios, satisfao e
fidelizao de clientes.
Outro ponto de ateno que implantar o BPM (Gerenciamento de Processos de
Negcios) em uma empresa no simples, no rpido, envolve mudana de
comportamento das pessoas e comprometimento da alta administrao. Por ltimo, o
uso do enfoque de Gerenciamento de Processos de Negcios se torna essencial para o
sucesso de um projeto de implantao de BPM. No necessariamente se deve contratar
uma consultoria especializada, desde que os gerentes tenham conhecimento e preparo
adequado no assunto e a organizao coloque o BPM como prioridade.
Business Process Management (BPM) tem como objetivo conectar a estratgia ao foco
do cliente atravs de processos melhores.
44
O Gerenciamento de Processos de Negcios utiliza as melhores prticas de gesto, tais
como: mapeamento de processos, modelagem, definio de nvel de maturidade,
documentao, plano de comunicao, automao, monitoramento atravs de
indicadores de desempenho e ciclo de melhoria e transformao contnua. O objetivo a
melhoria e transformao contnua dos processos para se atingir os resultados
esperados.
Essas prticas aplicadas ajudam a maximizar os resultados e o desempenho dos
processos, permitindo s organizaes melhor rentabilidade, vantagem competitiva,
reduo de custos, otimizao de recursos, aumento da satisfao dos clientes atravs de
produtos e servios em nvel superior de qualidade.
O papel das pessoas no BPM
Uma das vertentes do BPM o foco nas pessoas (human-centric), sendo estas o centro
dos processos de negcio. Alguns BPMS vm seguindo esta corrente buscando oferecer
s partes interessadas (usurios, atores de processos, envolvidos) maior facilidade e
flexibilidade no uso, o que torna a experincia mais agradvel, com ferramentas simples
e intuitivas.
Automao
A automao de processos de negcio uma prtica extremamente eficaz. Quando se
automatizam processos, rapidamente possvel obter-se um controle mais rgido e
adaptado s necessidades da empresa. realizada pelos BPMS (Business Process
Management Suites) e tm baixo custo. Algumas empresas comercializam os suites por
processos, e no pelo pacote completo, o que torna ainda mais acessvel. Atravs da
automao, um servio melhor oferecido ao cliente, dada a rapidez e organizao que
a empresa passar a apresentar. Alm disso, ter seus custos reduzidos.
Modelagem
A modelagem de processos feita nos prprios BPMS, alguns dos quais seguem a
notao mais usada atualmente, o BPMN (Business Process Modeling Notation), que
consiste em uma srie de cones padres para o desenho de processos, o que facilita o
entendimento. Esta uma etapa importante da automao pois nela que os processos
so descobertos e desenhados e tambm pode ser feita alguma alterao no percurso do
processo visando a sua otimizao.
Simulao
Aps o desenho e o estabelecimento dos atores de processos, pode ser feita uma
simulao, onde se pode testar se as regras pr-estabelecidas esto de acordo com o
objetivo da empresa e se as tarefas esto sendo encaminhadas para as pessoas corretas.
Execuo
A execuo do processo ocorre aps as etapas anteriores j terem sido realizadas. O
BPMS utilizado faz com que as tarefas sejam enviadas para os seus devidos
45
responsveis, controlando o seu tempo de execuo por pessoa e pelo processo em
geral. Podem ser utilizadas tambm regras de negcio (Business Rules) pr-
estabelecidas.
Controle
O controle ideal de BPM aquele que est presente durante todas as etapas do processo:
antes, durante e depois. Desde o incio da modelagem at a anlise ps-concluso da
execuo, o controle deve ser realizado. Um tipo de controle que existe em alguns
BPMS so relatrios de fluxos em andamento, onde fornecido o status do fluxo, com
quem est parado, h quanto tempo est parado, etc. Isso importante para evitar que os
erros sejam encontrados somente quando o processo concludo. H tambm relatrios
de fluxos concludos, onde se pode ter uma noo geral de como se desenvolveu o
processo. Alguns softwares apresentam grficos e relatrios com bastantes detalhes dos
processos.
Otimizao
A otimizao tem crucial importncia quando se trata de BPM. essencial para que
sejam feitas melhorias nos processos de modo a alcanar resultados positivos mais
rapidamente, melhorando o servio aos clientes e, possivelmente, com menores custos.
Depende, obviamente, das etapas anteriores, principalmente do controle, onde deve
haver uma busca pela perfeio.
Tecnologia BPM
Alguns definem como Sistemas BPM (BPMS - Business Process Management System)
ou Suite como "o todo do BPM". Outros relatam a importncia do conceito da
movimentao da informao entre pacotes de software corporativos e imediatamente
pensam na Arquitetura Orientada a Servios (SOA). Outros ainda limitam a definio a
"modelagem" (veja de processo de negcio).
Bibliografia
ABPMP. "BPM CBOK - Common Body of Knowledge" -
http://www.amazon.com.br/dp/B00I1KWWZ2
Paim, R. et al. Gesto de Processos: Pensar, Agir e Aprender, Editora Bookman
(2009). ISBN 8577804844. Cap. 1 Disponvel para download pelo site
http://www.grupoa.com.br
Jeston, John e Nelis, Johan. "Business Process Management: Practical
Guidelines to Successful Implementations". Editora Butterworth-Heinemann
(2008).ISBN 0750686561
Becker, Jrg; Kugeler, Martin e Rosemann, Michael. "Process Management".
Editora Springer (2003).ISBN 3540434992
Fingar, Peter. "Extreme Competition: Innovation And The Great 21st Century
Business Reformation". Editora Meghan-Kiffer Press (2006).ISBN 092965238X
Smith, Howard e Fingar, Peter. "Business Process Management: The Third
Wave". Editora Meghan Kiffer Pr (2006).ISBN 0929652347
46
Engenharia de requisitos
(Redirecionado de Requisitos de Software)
A engenharia de requisitos um processo que engloba todas as atividades que
contribuem para a produo de um documento de requisitos e sua manuteno ao longo
do tempo.
O processo de engenharia de requisitos composto por quatro atividades de alto nvel:
identificao;
anlise e negociao;
especificao e documentao;
validao.
Este processo deve ser precedido de estudos de viabilidade que, a partir das restries
do projeto, determinam se este ou no vivel e se deve prosseguir para a identificao
dos requisitos. Uma outra atividade que se pode considerar que faz tambm parte deste
processo, se incluirmos a fase posterior produo do documento , a gesto dos
requisitos (change management, sendo que as alteraes podem ser causadas pelos
mais diversos fatores desde inovaes tecnolgicas a mudanas na natureza do negcio,
entre outras.
Estudos de viabilidade
Antes de se avanar com uma anlise mais detalhada dos requisitos de um projeto, deve
ser feito um estudo de viabilidade.
Tal como o nome sugere, pretende-se com este estudo avaliar se, de um ponto de vista
tecnolgico e organizacional, o projeto vivel.
Uma forma de avaliar a viabilidade de um projeto obter, atravs da interao com "as
partes interessadas" (ou stakeholder em ingls) do projeto (em reunies ou entrevistas,
por exemplo), a resposta s seguintes questes:
Ser que o sistema contribui para os objetivos da organizao?
Dadas as restries tecnolgicas, organizacionais (econmicas, polticas, ambientais,
recursos disponveis) e temporais associadas ao projeto, ser que o sistema pode ser
implementado?
Caso haja necessidade de integrao entre diferentes sistemas, ser que esta
possvel?
A questo mais crtica a primeira, j que um sistema que no contribua para os
objetivos da organizao no lhe traz qualquer valor acrescentado e como tal a sua
existncia no se justifica. Apesar de parecer bvia, so frequentemente desenvolvidos
sistemas que no contribuem para os objetivos das respectivas organizaes, quer seja
por interesses externos (polticos ou organizacionais) ou por falta de clareza na
definio dos objetivos da organizao.
47
Deve portanto identificar-se que informao necessria para responder a estas
questes e quem possui esta informao, procedendo-se de seguida recolha de todos
os dados disponveis para clarificar ao mximo o mbito do projeto e avaliar a sua
viabilidade.
Tipicamente, quem poder fornecer esta informao sero os usurios dos sistemas
atuais e do sistema a implementar, os responsveis pelos departamentos nos quais o
sistema ser usado, tcnicos que estejam familiarizados com as tecnologias envolvidas
(do novo sistema e dos sistemas existentes), responsveis pela manuteno futura do
sistema a implementar e, de um modo geral, todos aqueles que tero qualquer tipo de
interao com o novo sistema (ou que sejam por ele afetados).
Algumas das questes que podem ser postas nesta coleta de informaes so, por
exemplo:
Se o novo sistema no fosse implementado, quais seriam as alternativas para a
organizao?
Quais so os problemas que os sistemas atuais apresentam e como que um sistema
novo ir resolver estas falhas?
De que forma que o sistema ir contribuir diretamente para os objetivos da
organizao?
possvel a integrao com os outros sistemas da organizao (de um ponto de vista
tecnolgico)? Com que facilidade que se consegue partilhar informao entre estes
sistemas?
O estudo de viabilidade dever culminar com a produo de um relatrio e dever
determinar a continuao do desenvolvimento do projeto, tornando mais claras as
restries (econmicas, temporais e organizacionais) do projeto e definindo mesmo
alguns requisitos de alto nvel.
Identificao
Caso se determine que o projeto vivel, o passo seguinte a identificao dos
requisitos.
Atividades envolvidas
Algumas das atividades envolvidas nesta fase incluem:
Compreenso do domnio: muito importante para o analista compreender o domnio
no qual a organizao e o projeto se inserem; quanto maior for o conhecimento acerca
do domnio, mais eficaz ser a comunicao entre o analista e as partes interessadas.
Identificao das partes interessadas: estes j devero ter sido identificados nos
estudos de viabilidade, porm para efeitos de identificao de requisitos convm
concentrar as atenes nos usurios do sistema.
Captura: consiste na obteno com o cliente dos requisitos (funcionais e no-
funcionais) pretendidos para o sistema.
Identificao e anlise de problemas: os problemas devem ser identificados (e a sua
definio deve ser consensual) e devem ser propostas solues em conjunto com as
partes interessadas.
48
Dificuldades
Esta fase no trivial, sendo que existem algumas dificuldades tpicas que lhe esto
associadas:
O cliente pode no saber exatamente o que deseja para o sistema, ou sab-lo mas no
conseguir articul-lo (o que bastante comum).
Os requisitos identificados podem no ser realistas (do ponto de vista econmico ou
tecnolgico, por exemplo).
Cada parte interessada pode expressar os mesmos requisitos de formas diferentes,
sendo necessrio - atravs de um bom conhecimento do domnio - identificar estas
situaes.
Tcnicas para levantamento de requisitos
Existem diversas tcnicas de identificao de requisitos, e que so adequadas a
diferentes situaes, entre as quais podemos citar:
Entrevistas e Questionrios
Entrevistas e Questionrios talvez a tcnica mais simples de utilizar. Ainda que seja
bastante eficaz numa fase inicial de obteno de dados (e mesmo de esclarecimento de
algumas dvidas), est condicionada a alguns fatores:
Influncia do entrevistador nas respostas do cliente: convm que o entrevistador d
margem ao entrevistado para expor as suas ideias sem as enviesar logo partida.
Relao pessoal entre os intervenientes na entrevista.
Predisposio do entrevistado: caso, por exemplo, o papel do entrevistado venha a ser
afetado pela introduo de um sistema na organizao, este pode propositadamente
dificultar o acesso informao.
Capacidade de seguir um "plano" para a entrevista: na ausncia destes planos
natural que haja tendncia para que os intervenientes se dispersem um pouco,
levando a que a entrevista demore mais tempo do que seria suposto. Caso a entrevista
se torne demasiado longa, as pessoas podem cair na tentao de "querer despachar"
sendo os ltimos pontos da entrevista abordados de forma superficial (ou podem nem
chegar a ser abordados).
Workshops de requisitos
O Workshop de Requisitos consiste numa tcnica usada atravs de uma reunio
estruturada, da qual devem fazer parte um grupo de analistas e um grupo
representando o cliente
1
, para ento obter um conjunto de requisitos bem definidos.
Ao contrrio das reunies, promove-se a interao entre todos os elementos
presentes no workshop fomentando momentos de descontrao como forma de
dinamizar o trabalho em equipe, existindo um facilitador neutro cujo papel conduzir
o workshop e promover a discusso entre os vrios intervenientes (ainda que no
tenha realmente poder de deciso). As tomadas de deciso devem seguir processos
bem definidos e devem resultar de um processo de negociao, mediado pelo
facilitador. Uma tcnica que tambm til em workshops o uso de brainstorming
(tempestade de idias) como forma de gerar um elevado nmero de ideias numa
pequena quantidade de tempo. Como resultado dos workshops deve ser produzida
49
documentao que reflita os requisitos e decises tomadas sobre o sistema a
implementar
Cenrios (Srie de Eventos Hipotticos)
Uma forma de levar as pessoas a imaginarem o comportamento de um sistema o uso
de cenrios. Atravs de exemplos prticos descritivos do comportamento de um
sistema, os seus usurios podem comentar acerca do seu comportamento e da
interao que esperam ter com ele. Trata-se de uma abordagem informal, prtica e
aplicvel a qualquer tipo de sistema. De um modo geral, os cenrios devem incluir os
seguintes elementos:
estado do sistema no incio do cenrio;
sequncia de eventos esperada (na ausncia de erros) no cenrio;
listagem de erros que podem ocorrer no decorrer dos eventos do cenrio e de como
estes erros sero tratados;
outras atividades que podem ser executadas ao mesmo tempo que as deste cenrio;
estado do sistema depois de o cenrio terminar.
Prototipagem
O uso de prototipagem feito em diversas fases do processo de engenharia de requisitos
(por exemplo na identificao, anlise e validao). Trata-se de uma verso inicial do
sistema, baseada em requisitos ainda pouco definidos, mas que pode ajudar a encontrar
desde cedo falhas que atravs da comunicao verbal no so to facilmente
identificveis. Neste tipo de abordagem apenas so desenvolvidas algumas
funcionalidades sendo normalmente desenvolvidas primeiro aquelas que so mais fceis
de compreender por parte do utilizador e que lhe podem trazer maior valor acrescentado
(principalmente na prototipagem evolutiva, isto , aquela que mais tarde evoluda para
a fase de desenvolvimento). O uso de prottipos deve ser considerado apenas mediante
uma anlise custo-benefcio, j que os custos de desenvolvimento de um prottipo
podem facilmente crescer, sendo particularmente teis em situaes em que a interface
com os usurios , para eles, um aspecto crtico.
Estudo etnogrfico
Os Estudos Etnogrficos so uma anlise de componente social das tarefas
desempenhadas numa dada organizao. Quando um dado conjunto de tarefas se torna
rotineiro para uma pessoa, de se esperar que esta sinta dificuldade em articular todos
os passos que segue ou todas as pessoas com as quais interage para as levar a cabo.
Atravs de uma observao direta das atividades realizadas durante um perodo de
trabalho de um funcionrio possvel encontrar requisitos que no seriam observveis
usando tcnicas convencionais. Esta observao pode ser acompanhada de registros
udio/vdeo, porm no convm us-los em demasia visto que o tempo necessrio para
os processar pode ser demasiado. Nesta tcnica assume-se que o representante do
cliente observado desempenha as suas funes "corretamente", pelo que convm ter
algum cuidado na escolha do mesmo.
Anlise e negociao dos requisitos
50
Aps a identificao dos requisitos do sistema, segue-se etapa de anlise dos
requisitos e negociao.
Atividades envolvidas
Algumas das atividades envolvidas na anlise de requisitos incluem:
classificao: agrupamento de requisitos em "mdulos" para facilitar a viso global do
funcionamento pretendido para o sistema;
resoluo de conflitos: dada a multiplicidade e diversidade de papis das partes
interessadas envolvidas na captura e anlise de requisitos, inevitvel a existncia de
conflitos nos requisitos identificados; importante resolver estes conflitos o mais
breve possvel;
priorizao: consiste na atribuio de uma "prioridade" a cada requisito (por exemplo
elevada/mdia/baixa); obviamente, este pode ser um fator gerador de conflitos;
confirmao: confirmada com as partes interessadas a completude dos requisitos,
sua consistncia e validade (de acordo com o que se pretende do sistema).
Estas fases no so independentes entre si, pois uma informao obtida numa delas
pode servir para as demais fases.
A identificao e anlise de requisitos um processo iterativo que se inicia com a
familiarizao do domnio do futuro sistema e termina na confirmao dos requisitos,
aumentando o grau de compreendimento do sistema a cada ciclo de trabalho.
Dificuldades
As dificuldades encontradas na anlise so de diversas naturezas:
fatores externos (polticos) podem influenciar os requisitos (alguma parte interessada,
com poder de deciso, pode exigir requisitos especficos que sirvam aos seus
interesses e no aos da organizao, ou forar o seu ponto de vista em detrimento dos
demais interessados que iro operar o sistema);
o ambiente (econmico e/ou organizacional) em que a anlise feita possui fatores
dinmicos, e como tal, os requisitos esto sujeitos a alteraes em decorrncia destes
(por exemplo: novas partes interessadas so envolvidas no projeto, ou alteraes em
prazos e oramentos disponveis).
Negociaes
Na fase de negociao, tornam-se necessrios alguns cuidados para que esta decorra
sem problemas, chegando-se logo a consensos. Algumas sugestes so:
saber lidar com ataques pessoais (evitando-os sempre que possvel, remetendo a sua
resoluo para mais tarde, fora de reunio), de preferncia nunca tomando partidos;
fomentar a justificao das posies (negativas) tomadas pelos intervenientes na
negociao;
salientar (e procurar encontrar) os benefcios que uma soluo apresenta para todos
os envolvidos;
relaxar restries, quando se torna bvio que as atuais no levaro a um consenso.
51
Especificao e documentao
nesta fase que se d a produo propriamente dita do Documento de Especificao
de Requisitos.
Em todos os tipos de especificao h 2 tipos de requisitos a considerar:
Requisitos funcionais: descrevem as funcionalidades que se espera que o sistema
disponibilize, de uma forma completa e consistente. aquilo que o utilizador espera
que o sistema oferea, atendendo aos propsitos para qual o sistema ser
desenvolvido.
Requisitos no-funcionais: referem-se a aspectos no-funcionais do sistema, como
restries nas quais o sistema deve operar ou propriedades emergentes do sistema.
Costumam ser divididos em Requisitos no-funcionais de: Utilidade, Confiana,
Desempenho, Suporte e Escalabilidade.
Pode-se tambm considerar os requisitos do domnio, que tal como o nome indica
derivam do domnio e no de necessidades especficas dos usurios, podendo depois ser
classificados como funcionais ou no-funcionais.
A documentao produzida poder ter diferentes destinatrios e como tal diferentes
objetivos. Podem-se distinguir trs tipos de especificao:
especificao de requisitos do usurio ou utilizador;
especificao de requisitos do sistema;
especificao do design da aplicao.
A vantagem de conceber mais do que uma especificao para um dado sistema a de
em cada especificao se comunicar apenas um determinado tipo de informao
adequado ao leitor a que se destina (usando "linguagens" que o utilizador conhea). Por
exemplo, enquanto que nos requisitos do utilizador apenas feita uma abordagem de
alto nvel das funcionalidades do sistema e suas restries, usando linguagem natural e
eventualmente diagramas (esquemas), nos requisitos do sistema cada requisito
descrito com mais detalhe introduzindo j alguns conceitos relativos arquitetura do
sistema, fazendo-se uso de linguagens estruturadas (notaes grficos como diagramas
de casos de uso).
Requisitos do utilizador
Os requisitos do utilizador destinam-se portanto aos vrios nveis hierrquicos da
organizao na qual o sistema ser implementado (desde gestores a usurios), pelo que
so descritos usando apenas (conforme j foi referido) linguagem natural, formulrios e
diagramas muito simples. Obviamente, neste nvel de especificao surgem algumas
dificuldades:
Ambiguidade: torna-se difcil descrever os requisitos de uma forma inequvoca sem
tornar a sua descrio muito longa ou de difcil compreenso.
Confuso: ainda que possa no ser to relevante do ponto de vista do cliente, a
distino entre requisitos funcionais/no-funcionais e objetivos do sistema torna-se
difcil.
52
Agrupamento de requisitos: ao descrever as funcionalidades de um sistema, pode
tornar-se difcil separar claramente os requisitos, o que leva a que vrios requisitos
sejam expressos como sendo apenas um.
Algumas consideraes teis a ter em conta ao escrever uma especificao de requisitos
do utilizador:
Usar o mesmo formato em todos os requisitos (evitam-se omisses e facilita-se a
verificao dos requisitos).
Distinguir claramente entre comportamentos esperados e desejveis do sistema
atravs do uso de expresses como "O sistema permitir criar (...)" ou "Dever ser
possvel criar (...)" respectivamente. importante deixar claro o que o sistema tem de
fazer e sugestes de como o deve fazer e, acima de tudo, usar este tipo de expresses
de forma consistente ao longo de todo o documento.
Usar formatao de texto para salientar determinados aspectos do documento
(usando negrito, por exemplo).
Evitar usar termos demasiado tcnicos ou fora do mbito do sistema, identificando-os
e definindo-os de uma forma clara quando for absolutamente necessrio us-los.
Requisitos do sistema
Os requisitos do sistema tm um carcter mais tcnico, consistindo numa descrio
detalhada dos requisitos do utilizador correspondentes recorrendo ao uso, para alm da
linguagem natural, de linguagens estruturadas e notaes grficas. Estes requisitos
destinam-se ainda aos usurios do sistema (e particularmente aos engenheiros que
trabalhem nessa organizao) e destinam-se tambm s equipes de especificao de
arquitetura do sistema e de desenvolvimento. Tal como nos requisitos do utilizador, o
uso de linguagem natural levanta problemas, embora alguns deles sejam ligeiramente
diferentes:
As mesmas palavras podem, de acordo com a interpretao de cada pessoa, designar
conceitos diferentes.
O mesmo requisito pode ser descrito de formas diferentes, o que leva a que cada
pessoa tenha de saber quando que descries diferentes se referem ou no a
requisitos diferentes.
Design da aplicao
Por fim, a especificao do design da aplicao consiste num documento usado pela
equipe de desenvolvimento do sistema no qual esto definidos pormenores, em um nvel
mais tcnico, acerca da implementao do sistema e sua arquitetura. A partir deste
documento, um elemento que entre para a equipe de desenvolvimento no meio do
projeto dever ser capaz de "se situar" quando precisar de comear a codificar,
compreendendo a forma como a implementao, em um nvel global, est a ser feita,
mas sem conhecer necessariamente os detalhes de implementao aprofundados. No
convm cair na tentao de deixar toda a implementao detalhada, uma vez que
convm que os desenvolvedores tenham alguma margem de manobra tanto para inovar
como para resolver problemas encontrados em sub-sistemas de formas que uma
especificao inicial da arquitetura no consegue prever.
53
Documento de Especificao de Requisitos
Apesar da existncia dos 3 tipos de especificao vistos nos itens anteriores, existe uma
especificao que a usada como declarao oficial dos requisitos do sistema.
Este documento, normalmente chamado de Documento de Especificao de
Requisitos (Software Requirements Specification ou SRS) inclui uma combinao dos
requisitos do utilizador e do sistema e tem diferentes utilidades para diferentes pessoas
2

:
Clientes: confirmar a completude dos requisitos e propor alteraes.
Gestores: oramentar o sistema e planejar o processo de desenvolvimento.
Engenheiros: compreender o sistema a desenvolver.
Engenheiros (testes): desenvolver testes para validar o cumprimento dos requisitos.
Engenheiros (manuteno): compreender o sistema e a ligao entre as suas partes.
Existem diversos padres para este documento, embora no se possa apontar nenhum
como o "ideal". Uma estrutura proposta pelo IEEE que talvez a mais usada o
IEEE/ANSI 830-1993
3
.
Validao
Nesta fase pretende-se demonstrar que o documento de requisitos produzido
corresponde, de fato, ao sistema que o cliente pretende.
semelhana do que sucede na anlise dos requisitos, pretende-se encontrar
problemas/conflitos na especificao, porm ao contrrio das fases anteriores esta fase
lida com uma especificao completa dos requisitos.
A validao especialmente importante em sistemas de grandes dimenses uma vez que
erros encontrados demasiado tarde (durante o desenvolvimento ou j depois de o
sistema estar a ser usado) no documento de requisitos tm repercusses proporcionais
dimenso do projeto. Uma vez que alteraes em requisitos j consolidados tm um
custo muito superior a alteraes no cdigo ou design, este tipo de erro traduz-se em
elevados custos e necessidade de refazer muito do trabalho que se julgava j concludo.
Durante a fase de validao dos requisitos, devem ser verificados (atravs de checklists)
os seguintes atributos dos requisitos:
Validade: a especificao resulta da anlise dos requisitos identificados junto das
diversas partes interessadas envolvidas. Como tal, requisitos identificados
individualmente (isto , junto de cada parte interessada) podem diferir da
especificao final que se atinge aps o cruzamento de informao e necessrio que
cada cliente compreenda e aceite a especificao final obtida.
Consistncia: no devem existir conflitos entre os requisitos identificados.
Compreensibilidade / Ambiguidade: os requisitos devem poder ser compreendidos de
forma inequvoca pelas partes interessadas.
Completude: todas as funcionalidades pretendidas devem fazer parte da especificao
do sistema.
54
Realismo: dadas as restries do projeto (tecnolgicas, financeiras e temporais) o
sistema especificado tem de ser implementvel.
Verificabilidade: de forma a evitar futuras discordncias quanto concretizao dos
requisitos especificados, estes devem ser descritos de modo a que seja possvel
verificar se foram ou no concretizados, isto , se o sistema final corresponde
especificao inicial.
Rastreabilidade: a origem dos requisitos, em relao ao cliente, deve estar claramente
identificada. Entre outros motivos, isto importante para facilitar a gesto futura dos
requisitos.
Conformidade com normas: para alm dos aspectos funcionais dos requisitos, a sua
especificao deve obedecer s normas usadas ao longo de todo o documento.
Tcnicas de validao
Para tornar a validao mais eficaz, existe um conjunto de tcnicas que podem ser
empregadas:
Revises dos requisitos
Uma equipe de revisores pode analisar sistematicamente a especificao produzida de
forma a garantir que esta corresponde ao sistema pretendido; em revises informais, a
equipe de revisores pode simplesmente ter uma conversa, envolvendo o maior nmero
possvel de representantes das partes interessadas, acerca dos requisitos produzidos; em
revises formais, a equipe de revisores deve confirmar junto do cliente um conjunto de
critrios que todos os requisitos devem cumprir, nomeadamente: verificabilidade,
compreensibilidade (por parte dos usurios finais), rastreabilidade (a origem dos
requisitos deve ser identificvel) e adaptabilidade (capacidade de sofrer alteraes sem
produzir efeitos em todos os outros requisitos).
Prototipificao
(Ou prototipao) A implementao de um prottipo (por exemplo, da interface do
sistema) pode ser til para os usurios finais (e demais interessados), j que se trata do
elemento do sistema final com o qual tero mais contacto quando o sistema estiver
operacional; esta tcnica tambm eficaz, embora tenha desvantagens: o tempo gasto
na sua implementao pode no justificar o seu uso, pode enviesar os usurios (levando
a desiluses com a verso final do sistema, no caso de esta ser muito diferente do
prottipo) e pode ainda levar os programadores a cair na tentao de usar o prottipo
para continuar o desenvolvimento do sistema (pelo que, idealmente, o prottipo deva
ser implementado noutra linguagem que no aquela usada pelo sistema, eliminando por
completo esta tentao).
Gerao de casos de teste
Uma vez que cada requisito deve ser testvel, deveria ser possvel criar (desenhar) os
respectivos testes desde a fase de validao de requisitos; se isto no for possvel,
sinnimo de que a implementao deste requisito ser difcil e que este poder ter de ser
reconsiderado.
Anlise de consistncia automtica
55
Atravs da especificao formal de modelos para o sistema possvel, recorrendo a
ferramentas adequadas (como as ferramentas CASE), testar de forma automtica a
consistncia dos modelos criados; apenas a consistncia testada nesta tcnica, pelo que
tem de ser complementada com uma das outras tcnicas referidas.
Recomendaes
A fase de validao no deve ser encarada de nimo leve: trata-se de uma fase muito
importante na engenharia de requisitos e da qual dependem elevados custos a mdio e
longo prazo.
Por depender bastante dos retornos transmitidos pelos clientes (que no so peritos em
validao de requisitos) bastante falvel e regra geral h erros que no so encontrados
num primeiro momento, o que leva inevitavelmente a discordncias numa fase
posterior, j com o documento validado e o projeto em desenvolvimento ou concludo.
Quando isto sucede, torna-se necessrio negociar e chegar a um acordo quanto forma
de corrigir o erro detectado.
Gesto de requisitos
Os requisitos de um sistema, em especial em sistemas minimamente grandes, esto em
evoluo constante.
De um modo geral, isto pode suceder em razo do problema abordado no conseguir
ficar completamente definido antes da produo do documento de requisitos (ou mesmo
antes de o sistema ser implementado) ou, por outro lado, pode tambm acontecer por os
prprios requisitos se alterarem no decorrer do projeto (reflectindo evolues
tecnolgicas ou alteraes na organizao na qual usado).
natural que surjam requisitos por parte dos usurios por diversos motivos:
Conforme j foi referido, a resoluo de conflitos entre requisitos resulta num
compromisso que procura equilibrar as necessidades das diferentes partes
interessadas. Este equilbrio pode ter de ser modificado e s com o uso do sistema
que possvel avali-lo convenientemente. Para alm de conflitos entre requisitos de
diferentes usurios do sistema, h ainda a considerar os conflitos entre usurios e
"elementos executivos" da organizao, isto , aqueles que tm o poder de deciso e
que podem impr requisitos perante os analistas (que podem no contribuir para os
objetivos da organizao).
A orientao do negcio da organizao pode-se alterar, nova legislao ou
regulamentao pode pr em causa alguns dos requisitos do sistema, alteraes a
nvel tecnolgico podem surgir na organizao (afetando particularmente, no caso de
alteraes de hardware, os requisitos no-funcionais), podem surgir novos sistemas
que precisem de suporte, a nvel de interao, por parte do sistema implementado, e
toda uma srie de alteraes imprevisveis pode surgir levando a que o sistema tenha
de se adaptar a todo este tipo de requisitos.
Existem requisitos que, tipicamente, so mais volteis do que outros (como por exemplo
requisitos que dependam da entidade poltica governante num dado momento),
56
enquanto que outros so relativamente estveis (os que se referem natureza do negcio
(domnio) propriamente dita).
Na prtica, a gesto de requisitos acaba por coincidir com o incio de novos processos
de engenharia de requisitos (para os "novos" requisitos, isto , os "antigos" que sofreram
alteraes). Como tal, o planejamento uma parte importante da gesto de requisitos.
Devem estar definidas desde o incio da gesto de requisitos polticas para:
Identificao de requisitos: identificao unvoca em especial para facilitar a
rastreabilidade.
Processo de gesto de mudanas a utilizar: conjunto de atividades que permitem
avaliar o custo e impacto das alteraes.
Rastreabilidade: relaes entre os requisitos e relaes entre requisitos e design; estas
podem precisar de manter associada a cada requisito informao como a parte
interessada que a props, dependncias de outros requisitos e associao a mdulos
especficos do design do sistema.
Ferramentas a utilizar: para sistemas grandes, a quantidade de informao a processar
pode ser elevada, sendo o uso de ferramentas CASE aconselhado.
Para manter a consistncia entre as vrias alteraes pedidas (e para estas serem feitas
de um modo controlado), importante que o processo de gesto de mudanas esteja
definido de um modo formal, sendo que dever incluir as seguintes trs fases:
Anlise do problema e especificao da alterao a fazer: identificao do problema
existente nos requisitos originais e proposta de alterao a fazer aos requisitos do
sistema.
Anlise da alterao e seu impacto: atravs das polticas de rastreabilidade definidas
previamente, avaliao do impacto da alterao no sistema.
Implementao da alterao: alterao no documento de requisitos e, conforme seja
necessrio, no design e implementao.
importante seguir este processo conforme foi enunciado j que cair na tentao de
implementar a alterao diretamente e s depois, retrospectivamente, atualizar os
requisitos pode levar a dessincronizao entre requisitos e implementao.
Notas
1. este grupo deve ser escolhido levando-se em conta a organizao e o contexto em que
o sistema ser usado
2. Kotonya e Sommerville (1998). Requirements Engineering: Processes and Techniques.
Gerald Kotonya, Ian Sommerville. Wiley. 1998.
3. Thayer e Dorfman (1993). Software Requirements Engineering. R. H. Thayer, M.
Dorfman. IEEE Computer Society Press. 1993.
Sommerville (2001). Software Engineering. Ian Sommerville. Addison Wesley. 2001.
Site sobre Anlise de Requisitos e Engenharia de Software

-------------------------------------------------------------------------------------------------------------------------
57

ITILv3
A verso 3 da biblioteca ITIL foi lanada mundialmente em maio de 2007 como uma
atualizao completa da antiga verso 2 (ITILV2), publicada na dcada de 90 do sculo
passado.
Processos
O ITIL V3 possui exatos 26 processos, listados a seguir nominalmente e agrupados de
acordo com o estgio do ciclo de vida de servio (volumes) a que pertencem.
Processo Publicao Extenso

Estgio do Ciclo de
Vida de Servio
Processo
Avaliao ST

Estratgias de
Servio
(Service
Strategies)
Gerao de
Estratgia
Cumprimento de
Requisio
SO

Gerenciamento
Financeiro
Gerao de
Estratgia
SS

Gerenciamento de
Portflio de Servio
Gerenciamento da
Capacidade
SD SO, CSI
Gerenciamento da
Demanda
Gerenciamento da
Configurao e de
Ativo de Servio
ST SO
Desenho de
Servio
(Service Design)
Gerenciamento da
Capacidade
Gerenciamento da
Continuidade do
Servio de TI
SD CSI
Gerenciamento da
Continuidade do
Servio de TI
Gerenciamento da
Demanda
SS SD
Gerenciamento da
Disponibilidade
Gerenciamento da
SD CSI
Gerenciamento de
58
Disponibilidade Fornecedor
Gerenciamento de
Acesso
SO

Gerenciamento de
Segurana da
Informao
Gerenciamento de
Evento
SO

Gerenciamento do
Catlogo de Servio
Gerenciamento de
Fornecedor
SD

Gerenciamento do
Nvel de Servio
Gerenciamento de
Incidente
SO CSI
Transio de
Servio
(Service
Transition)
Avaliao
Gerenciamento de
liberao e
Implantao
ST SO
Gerenciamento da
Configurao e de
Ativo de Servio
Gerenciamento de
Mudana
ST

Gerenciamento de
liberao e
Implantao
Gerenciamento de
Portflio de Servio
SS SD
Gerenciamento de
Mudana
Gerenciamento de
Problema
SO CSI
Gerenciamento do
Conhecimento
Gerenciamento de
Segurana da
Informao
SD SO
Planejamento e
Suporte da
Transio
Gerenciamento do
Catlogo de Servio
SD SS
Validao e Teste de
Servio
Gerenciamento do
Conhecimento
ST CSI
Operao de
Servio
Cumprimento de
Requisio
59
Gerenciamento do
Nvel de Servio
SD CSI
(Service
Operation)
Gerenciamento de
Acesso
Gerenciamento
Financeiro
SS

Gerenciamento de
Evento
Mensurao de
Servios
CSI

Gerenciamento de
Incidente
Planejamento e
Suporte da
Transio
ST

Gerenciamento de
Problema
Processo de
Melhoria em 7
Etapas
CSI

Melhoria Contnua
de Servio
(Continual Service
Improvement)
Mensurao de
Servios
Relatrio de Servio CSI

Processo de
Melhoria em 7
Etapas
Validao e Teste de
Servio
ST

Relatrio de Servio
Volumes do ITIL V3
O ITIL V3, publicado em maio de 2007, e atualizado em 2011, composto de cinco
volumes, estgios do ciclo de vida de servio, detalhados abaixo:
Estratgia do servio (Service Strategy)
Como ponto de origem do ciclo de vida de servio ITIL, o volume sobre estratgia do
servio um guia sobre como tornar mais claro e priorizar investimentos sobre
provimento de servios.
Os pontos chaves sobre este volume so:
Definio do valor do servio;
Ativos do servio (service assets);
Anlise de mercado;
Tipos de provimento de servio.
Processos neste volume incluem:
60
Gerenciamento de Estratgia para Servios de TI
Gerenciamento de portflio (ou carteira) de servios;
Gerenciamento financeiro de servios de TI;
Gerenciamento de demandas;
Gerenciamento do relacionamento com o negcio (atualizao 2011).
Desenho de servio (Service Design)
Desenho, com ITIL, englobar todos os elementos relevantes entrega de servios de
tecnologia, ao invs de focar somente no projeto da tecnologia propriamente dita.
Assim, projeto de servios aponta como uma soluo planejada de servio interage com
o negcio e ambiente tcnico.
Com ITIL, trabalho de projetar um servio de TI agregado em um simples pacote de
projeto de servios (Service Design Package - SDP). SDP, em conjunto com outros
servios de informao, so gerenciados com um catlogo de servios.
Processos inclusos neste volume:
Gerenciamento de catlogo de servios;
Gerenciamento de fornecedores;
Gerenciamento do nvel de servio (Service Level Management - SLM);
Gerenciamento de disponibilidade;
Gerenciamento de capacidade;
Gerenciamento de continuidade de servios de TI;
Gerenciamento de segurana da informao;
Coordenao do Desenho do Servio.
Transio do servio (Service Transition)
Este volume direcionado entrega dos servios necessrios ao negcio no uso
operacional, e geralmente englobam o "projeto".
Os processos deste volume incluem:
Gerenciamento de configuraes e ativos de servio
Planejamento de transio e suporte
Gerenciamento de liberao e entrega (release and deployment)
Gerenciamento de mudana (Change Management)
Gerenciamento de conhecimento
Papis da equipe engajada na transio do servio.
Operao do servio (Service Operation)
Parte do ciclo de vida onde servios e valor so entregues diretamente. Assim,
monitoramento de problema e balanceamento entre disponibilidade de servio e custo,
etc, so considerados.
Processos inclusos so:
61
Balanceamento do conflito das metas (disponibilidade vs custo, etc).
Gerenciamento de eventos.
Gerenciamento de incidentes.
Gerenciamento de problemas.
Cumprimento dos pedidos.
Gerenciamento de acesso, (service desk).
Melhoria contnua do servio (Continual Service Improvement)
A meta do CSI (Continual Service Improvement) ajustar e reajustar servios de TI s
mudanas contnuas do negcio atravs da identificao e implementao de melhorias
aos servios de TI que apoiam processos negociais.
Para gerenciar melhorias, o CSI deve definir claramente o que deve ser controlado e
medido..
Conjunto de livros
Verses eletrnicas (eBook):
ISBN 9780113312424 Service Strategy (SS)
ISBN 9780113310548 Service Design (SD)
ISBN 9780113310555 Service Transition (ST)
ISBN 9780113310531 Service Operation (SO)
ISBN 9780113310562 Continual Service Improvement (CSI)
ISBN 9780113310517 ITIL Lifecycle Publication Suite (Conjunto completo da biblioteca
ITIL V3)
ISBN 9780113310623 Official Introduction to the ITIL Service Lifecycle
Verses Impressas:
ISBN 9780113310456 Service Strategy (SS)
ISBN 9780113310470 Service Design (SD)
ISBN 9780113310487 Service Transition (ST)
ISBN 9780113310463 Service Operation (SO)
ISBN 9780113310494 Continual Service Improvement (CSI)
ISBN 9780113310500 ITIL Lifecycle Publication Suite (Conjunto completo da biblioteca
ITIL V3)
ISBN 9780113310616 Official Introduction to the ITIL Service Lifecycle
Complementos
ISBN 0955124581 An Introductory Overview of ITIL V3(Grtis)

COBIT
62
COBIT
, do ingls, Control Objectives for Information and related Technology, um

guia de boas prticas apresentado como framework, teste dirigido para a gesto de
tecnologia de informao (TI).
1
Mantido pelo ISACA (Information Systems Audit and
Control Association), possui uma srie de recursos que podem servir como um modelo
de referncia para gesto da TI, incluindo um sumrio executivo, um framework,
objetivos de controle, mapas de auditoria, ferramentas para a sua implementao e
principalmente, um guia com tcnicas de gerenciamento.
1
Especialistas em gesto e
institutos independentes recomendam o uso do CobiT como meio para otimizar os
investimentos de TI, melhorando o retorno sobre o investimento (ROI) percebido,
fornecendo mtricas para avaliao dos resultados (Key Performance Indicators KPI,
Key Goal Indicators KGI e Critical Success Factors CSF).
O CobiT independe das plataformas adotadas nas empresas, tal como independe do tipo
de negcio e do valor e participao que a tecnologia da informao tem na cadeia
produtiva da empresa.
Em dezembro de 2005, foi lanado o COBIT 4.7, com maiores implementaes em
relao verso anterior, 3.0, lanada em 2003.
2

Em 30 de fevereiro de 2000, foi anunciada oficialmente a traduo do COBIT 4.1 para a
Lngua Portuguesa.
3

O COBIT 5 a atual verso do framework. Uma das principais alteraes em relao ao
COBIT 4.1 a integrao com outros conjuntos de boas prticas e metodologias, como
padres ISO, ITIL, Val IT, dentre outros.
4

O cubo do Cobit
o modelo que representa como os componentes se inter-relacionam:

cubo do COBIT
Critrios de Informao ou Requisitos de Negcio
Efetividade: lida com a informao relevante e pertinente para o processo de negcio,
bem como a mesma sendo entregue em tempo, de maneira correta, consistente e
utilizvel.
63
Eficincia: relaciona-se com a entrega da informao atravs do melhor uso dos
recursos, de forma mais produtiva e econmica.
Confidencialidade: proteo das informaes confidenciais a fim de se evitar sua
divulgao indevida.
Integridade: relaciona-se com a fidedignidade e totalidade da informao, bem como
sua validade para o negcio.
Disponibilidade: relaciona-se a disponibilidade das informaes quando esta exigida
para processamento pelo negcio. Tambm possui relao com a salvaguarda dos
recursos necessrios e sua capacidade.
Conformidade: aderncia a leis, regulamentos e obrigaes contratuais relacionadas
ao negcio.
Confiabilidade: relaciona-se com a entrega da informao apropriada para tomada de
deciso.
Recursos de TI
Aplicaes
Informaes
Infraestrutura
Pessoas
Processos de TI
Dominios
Processos
Atividades
Estrutura do Cobit
CobiT cobre quatro domnios, os quais possuem 34 processos, e estes processos
possuem 318 objetivos de controle:
Planejar e Organizar
Adquirir e Implementar
Entregar e Suportar
Monitorar e Avaliar
O domnio de Planejamento e Organizao cobre o uso de informao e tecnologia e
como isso pode ser usado para que a empresa atinja seus objetivos e metas. Ele tambm
salienta que a forma organizacional e a infraestrutura da TI devem ser consideradas para
que se atinjam resultados timos e para que se gerem benefcios do seu uso. A tabela
seguinte lista os processos de TI para o domnio do Planejamento e Organizao.
PROCESSOS DE TI
64
PO1 Definir um Plano Estratgico de TI 6 OCs
PO2 Definir a Arquitetura de Informao 4 OCs
PO3 Determinar o Direcionamento Tecnolgico 5 OCs
PO4 Definir os Processos, Organizao e Relacionamentos de TI 15 OCs
PO5 Gerenciar o Investimento em TI 5 OCs
PO6 Comunicar as Diretrizes e Expectativas da Diretoria 5 OCs
PO7 Gerenciar os Recursos Humanos de TI 8 OCs
PO8 Gerenciar a Qualidade 6 OCs
PO9 Avaliar e Gerenciar os Riscos de TI 6 OCs
PO10 Gerenciar Projetos 14 OCs
Para executar a estratgia de TI, as solues de TI precisam ser identificadas,
desenvolvidas ou adquiridas, implementadas e integradas ao processo de negcios.
Alm disso, alteraes e manutenes nos sistemas existentes so cobertas por esse
domnio para assegurar que as solues continuem a atender aos objetivos de negcios.
Este domnio tipicamente trata das seguintes questes de gerenciamento: Os novos
projetos fornecero solues que atendam s necessidades de negcios? Os novos
projetos sero entregues no tempo e oramento previstos? Os novos sistemas
ocorreram apropriadamente quando implementado? As alteraes ocorrero sem afetar
as operaes de negcios atuais?
PROCESSOS DE TI
AI1 Identificar Solues 4 OCs
AI2 Adquirir e Manter Software Aplicativo 10 OC
AI3 Adquirir e Manter Infraestrutura de Tecnologia 4 OC
AI4 Habilitar Operao e Uso 4 OC
AI5 Adquirir Recursos de TI 4 OC
65
AI6 Gerenciar Mudanas 5 OC
AI7 Instalar e Homologar Solues e Mudanas 9 OC
Entregar e Suportar
O domnio Entregar e Suportar foca aspectos de entrega de tecnologia da informao.
Cobre a execuo de aplicaes dentro do sistema de TI e seus resultados, assim como
os processos de suporte que permitem a execuo de forma eficiente e efetiva. Esses
processos de suporte tambm incluem questes de segurana e treinamento. A seguir, a
tabela com os processos de TI desse domnio.
PROCESSOS DE TI
Entregar e Suportar
DS1 Definir e Gerenciar Nveis de Servio 6 OC
DS2 Gerenciar Servios de Terceiros 4 OC
DS3 Gerenciar Capacidade e Desempenho 5 OC
DS4 Assegurar Continuidade de Servios 10 OC
DS5 Assegurar a Segurana dos Servios 11 OC
DS6 Identificar e Alocar Custos 4 OC
DS7 Educar e Treinar Usurios 3 OC
DS8 Gerenciar a Central de Servio e os Incidentes 5 OC
DS9 Gerenciar a Configurao 3 OC
DS10 Gerenciar os Problemas 4 OC
DS11 Gerenciar os Dados 6 OC
DS12 Gerenciar o Ambiente Fsico 5 OC
DS13 Gerenciar as Operaes 5 OC
Monitorar e Avaliar
66
O domnio de Monitorar e Avaliar lida com a estimativa estratgica das necessidades da
companhia e avalia se o atual sistema de TI atinge os objetivos para os quais ele foi
especificado e controla os requisitos para atender objetivos regulatrios. Ele tambm
cobre as questes de estimativa, independentemente da efetividade do sistema de TI e
sua capacidade de atingir os objetivos de negcio, controlando os processos internos da
companhia atravs de auditores internos e externos.
PROCESSOS DE TI
Monitorar e Avaliar
ME1 Monitorar e Avaliar o Desempenho 6 OC
ME2 Monitorar e Avaliar os Controles Internos 7 OC
ME3 Assegurar a Conformidade com Requisitos Externos 5 OC
ME4 Prover a Governana de TI 7 OC
Estrutura de cada processo
Cada processo do CobIT deve descrever as seguintes caractersticas:
Nome do processo
Descrio do processo
o Critrios de informao
o Declarao genrica de aes
Indicadores de performace
o Recursos de TI envolvidos
o Objetivos de controle detalhados
o Diretrizes de gerenciamento
Entradas
Sadas
Matrizes de responsabilidade
Objetivos e mtricas
o Modelo de maturidade
Notas e referncias
1. COBIT 5 Framework - Introduction. ISACA International.
2. Nova verso do Cobit apia regulamentaes - Computerworld
3. Lanada a Nova Traduo do COBIT 4.1 em Portugus
4. COBIT 5: A Business Framework for the Governance and Management of Enterprise IT.
ISACA International.

67
Banco de dados
Bancos de dados
ou bases de dados
(portugus europeu)
so colees
organizadas de dados que se relacionam de forma a criar algum sentido(Informao) e
dar mais eficincia durante uma pesquisa ou estudo.
1

2

3
So de vital importncia para
empresas, e h duas dcadas se tornaram a principal pea dos sistemas de informao.
4

2

5
Normalmente existem por vrios anos sem alteraes em sua estrutura.
6

7

So operados pelos Sistemas Gerenciadores de Bancos de Dados (SGBD), que surgiram
na dcada de 70.
8

9
Antes destes, as aplicaes usavam sistemas de arquivos do sistema
operacional para armazenar suas informaes.
10

9
Na dcada de 80 a tecnologia de
SGBD relacional passou a dominar o mercado, e atualmente utiliza-se praticamente
apenas ele.
8

9
Outro tipo notvel o SGBD Orientado a Objetos, para quando sua
estrutura ou as aplicaes que o utilizam mudam constantemente.
6

A principal aplicao de Banco de Dados controle de operaes empresariais.
4

5

11

Outra aplicao tambm importante gerenciamento de informaes de estudos, como
fazem os Bancos de Dados Geogrficos, que unem informaes convencionais com
espaciais.
1

Modelos de base de dados
Existem vrios Modelos de Base de Dados: Modelo Plano, Modelo em Rede, Modelo
Hierrquico, Modelo Relacional, Orientado a objetos, e Objeto-Relacional.
O modelo plano (ou tabular) consiste de matrizes simples, bidimensionais, compostas
por elementos de dados: inteiros, nmeros reais, etc. Este modelo plano a base das
planilhas eletrnicas.
O modelo em rede permite que vrias tabelas sejam usadas simultaneamente atravs
do uso de apontadores (ou referncias). Algumas colunas contm apontadores para
outras tabelas ao invs de dados. Assim, as tabelas so ligadas por referncias, o que
pode ser visto como uma rede.
O modelo hierrquico uma variao particular do modelo em rede, limita as relaes
a uma estrutura semelhante a uma rvore (hierarquia - tronco, galhos), ao invs do
modelo mais geral direcionado por grafos.
Bases de dados relacionais consistem, principalmente de trs componentes: uma
coleo de estruturas de dados, nomeadamente relaes, ou informalmente tabelas;
uma coleo dos operadores, a lgebra e o clculo relacionais; e uma coleo de
restries da integridade, definindo o conjunto consistente de estados de base de
dados e de alteraes de estados. As restries de integridade podem ser de quatro
tipos: domnio (tambm conhecidas como type), atributo, relvar (varivel relacional) e
restries de base de dados.
Assim bem diferente dos modelos hierrquico e de rede, no existem quaisquer
apontadores, de acordo com o Princpio da Informao: toda informao tem de ser
representada como dados; qualquer tipo de atributo representa relaes entre conjuntos
de dados. As bases de dados relacionais permitem aos utilizadores (incluindo
68
programadores) escreverem consultas (queries) que no foram antecipadas por quem
projetou a base de dados. Como resultado, bases de dados relacionais podem ser
utilizadas por vrias aplicaes em formas que os projetistas originais no previram, o
que especialmente importante em bases de dados que podem ser utilizadas durante
dcadas. Isto tem tornado as bases de dados relacionais muito populares no meio
empresarial.
O modelo relacional uma teoria matemtica desenvolvida por Edgar Frank Codd para
descrever como as bases de dados devem funcionar. Embora esta teoria seja a base para
o software de bases de dados relacionais, poucos sistemas de gesto de bases de dados
seguem o modelo de forma restrita ou a p da letra - lembre-se das 12 leis do modelo
relacional - e todos tm funcionalidades que violam a teoria, desta forma variando a
complexidade e o poder. A discusso se esses bancos de dados merecem ser chamados
de relacional ficou esgotada com o tempo, com a evoluo dos bancos existentes. Os
bancos de dados hoje implementam o modelo definido como objeto-relacional.
Aplicaes de bancos de dados
Sistemas Gerenciadores de Bancos de dados so usados em muitas aplicaes, enquanto
atravessando virtualmente a gama inteira de software de computador. Os Sistemas
Gerenciadores de Bancos de dados so o mtodo preferido de
armazenamento/recuperao de dados/informaes para aplicaes multi-usurias
grandes onde a coordenao entre muitos usurios necessria. At mesmo usurios
individuais os acham conveniente, entretanto, muitos programas de correio eletrnico e
organizadores pessoais esto baseados em tecnologia de banco de dados standard.
Transao
um conjunto de procedimentos que executado num banco de dados, que para o
usurio visto como uma nica ao.
A integridade de uma transao depende de 4 propriedades, conhecidas como ACID.
Atomicidade
o Todas as aes que compem a unidade de trabalho da transao devem ser
concludas com sucesso, para que seja efetivada. Se durante a transao
qualquer ao que constitui unidade de trabalho falhar, a transao inteira
deve ser desfeita (rollback). Quando todas as aes so efetuadas com
sucesso, a transao pode ser efetivada e persistida em banco (commit).
Consistncia
o Todas as regras e restries definidas no banco de dados devem ser
obedecidas. Relacionamentos por chaves estrangeiras, checagem de valores
para campos restritos ou nicos devem ser obedecidos para que uma
transao possa ser completada com sucesso.
Isolamento
o Cada transao funciona completamente parte de outras estaes. Todas as
operaes so parte de uma transao nica. O principio que nenhuma
outra transao, operando no mesmo sistema, possa interferir no
funcionamento da transao corrente( um mecanismo de controle). Outras
69
transaes no podem visualizar os resultados parciais das operaes de uma
transao em andamento (ainda em respeito propriedade da atomicidade).
Durabilidade
o Significa que os resultados de uma transao so permanentes e podem ser
desfeitos somente por uma transao subseqente.Por exemplo: todos os
dados e status relativos a uma transao devem ser armazenados num
repositrio permanente, no sendo passveis de falha por uma falha de
hardware.
Na prtica, alguns SGBDs relaxam na implementao destas propriedades buscando
desempenho.
Controle de Concorrncia
Controle de concorrncia um mtodo usado para garantir que as transaes sejam
executadas de uma forma segura e sigam as regras ACID. Os SGBD devem ser capazes
de assegurar que nenhuma ao de transaes completadas com sucesso (committed
transactions) seja perdida ao desfazer transaes abortadas (rollback).
Uma transao uma unidade que preserva consistncia. Requeremos, portanto, que
qualquer escalonamento produzido ao se processar um conjunto de transaes
concorrentemente seja computacionalmente equivalente a um escalonamento produzido
executando essas transaes serialmente em alguma ordem. Diz-se que um sistema que
garante esta propriedade assegura a seriabilidade ou tambm serializao
12
.
Segurana em banco de dados
Os bancos de dados so utilizados para armazenar diversos tipos de informaes, desde
dados sobre uma conta de e-mail at dados importantes da Receita Federal. A segurana
do banco de dados herda as mesmas dificuldades que a segurana da informao
enfrenta, que garantir a integridade, a disponibilidade e a confidencialidade. Um
Sistema gerenciador de banco de dados deve fornecer mecanismos que auxiliem nesta
tarefa.
Uma forma comum de ataque segurana do banco de dados, a injeo de SQL, em
bancos de dados que faam uso desta linguagem, mas bancos de dados NoSQL tambm
podem ser vtimas. Para evitar estes ataques, o desenvolvedor de aplicaes deve
garantir que nenhuma entrada possa alterar a estrutura da consulta enviada ao sistema.
Os bancos de dados SQL implementam mecanismos que restringem ou permitem
acessos aos dados de acordo com papeis ou roles fornecidos pelo administrador. O
comando GRANT concede privilgios especficos para um objeto (tabela, viso, banco
de dados, funo, linguagem procedural, esquema ou espao de tabelas) para um ou
mais usurios ou grupos de usurios.
13

Recuperao de bancos de dados
Existem alguns mecanismos capazes de permitir a recuperao de um banco de dados
de alguma inconsistncia causada por falhas internas (erros de consistncia, como
70
recuperao de um estado anterior uma transao que deu erro) e externas (queda de
energia, catstrofe ambiental).
12
.
Os mecanismos mais comuns so o Log de dados, no qual usado em conjunto dos
outros mtodos; utilizao de Buffer no qual, apesar de normalmente ser feito pelo
prprio sistema operacional, controle por rotinas de baixo nvel pelo Sistema de
gerenciamento de banco de dados. Possui tambm o as possibilidades de en:Write-
ahead logging e informaes das transaes possibilitando o REDO (refazer) e o UNDO
(desfazer), assim sempre possibilitando a volta do banco de dados um estado anterior
consistente, alm de cpias de sombra dos logs e dos ltimos dados alterados do banco
de dados.
Funes internas comuns em BDs
Tabelas
Regras
Procedimentos armazenados (mais conhecidos como stored procedures)
Gatilho
Default
Viso
ndice
Generalizadores

Modelagem dimensional
Modelagem dimensional uma tcnica de projeto lgico normalmente usada para data
warehouses que contrasta com a modelagem entidade-relacionamento. Segundo o prof.
Kimball, a modelagem dimensional a nica tcnica vivel para bancos de dados que
devem responder consultas em um data warehouse. Ainda segundo ele, a modelagem
entidade-relacionamento muito til para registro de transaes e para fase de
administrao da construo de um data warehouse, mas deve ser evitada na entrega do
sistema para o usurio final.
A modelagem multidimensional foi definida sobre dois pilares:
Dimenses Conformados
Fatos com granularidade nica.
Dimenses conformados diz respeito a entidade que servem de perspectivas de anlise
em qualquer assunto da organizao. Uma dimenso conformada possui atributos
conflitantes com um ou mais data-marts do data warehouse.
Por gro de fato entende-se a unidade de medida de um indicador de desempenho.
Assim, quando fala-se de unidades vendidas, pode-se estar falando em unidades
vendidas de uma loja em um ms ou de um dado produto no semestre. Obviamente, esse
valores no so operveis entre si.
71
A modelagem multidimensional visa construir um data warehouse com dimenses
conformados e fatos afins com gros os mais prximos possveis.
Esse tipo de modelagem tem dois modelos MODELO ESTRELA (STAR SCHEMA) e
MODELO FLOCO DE NEVE (SNOW FLAKE).
Modelo Estrela: Mais simples de entender, nesse modelo todas as dimenses
relacionan-se diretamente com a fato.
Modelo Floco de Neve: Visa normalizar o banco, esse modelo fica mais complicado do
analista entender, nele temos dimenses auxiliares.

Modelo relacional
O modelo relacional um modelo de dados, adequado a ser o modelo subjacente de
um Sistema Gerenciador de Banco de Dados (SGBD), que se baseia no princpio em
que todos os dados esto guardados em tabelas (ou, matematicamente falando,
relaes). Toda sua definio terica e baseada na lgica de predicados e na teoria dos
conjuntos.
O conceito foi criado por Edgar Frank Codd em 1970, sendo descrito no artigo
"Relational Model of Data for Large Shared Data Banks". Na verdade, o modelo
relacional foi o primeiro modelo de dados descrito teoricamente, os bancos de dados j
existentes passaram ento a ser conhecidos como (modelo hierrquico, modelo em rede
ou Codasyl e modelo de listas invertidas).
O modelo relacional para gerncia de bases de dados (SGBD) um modelo de dados
baseado em lgica e na teoria de conjuntos.
Em definio simplificada, o modelo baseia-se em dois conceitos: conceito de entidade
e relao - Uma entidade um elemento caracterizado pelos dados que so recolhidos
na sua identificao vulgarmente designado por tabela. Na construo da tabela
identificam-se os dados da entidade. A atribuio de valores a uma entidade constri um
registro da tabela. A relao determina o modo como cada registro de cada tabela se
associa a registros de outras tabelas.
Historicamente ele o sucessor do modelo hierrquico e do modelo em rede. Estas
arquiteturas antigas so at hoje utilizadas em alguns data centers com alto volume de
dados, onde a migrao inviabilizada pelo custo que ela demandaria; existem ainda os
novos modelos baseados em orientao ao objeto, que na maior parte das vezes so
encontrados como kits em linguagem formal.
O modelo relacional foi inventado pelo Frank Codd e subsequentemente mantido e
aprimorado por Chris Date e Hugh Darwen como um modelo geral de dados. No
Terceiro Manifesto (1995) eles mostraram como o modelo relacional pode ser estendido
com caractersticas de orientao a objeto sem comprometer os seus princpios
fundamentais.
72
A linguagem padro para os bancos de dados relacionais, SQL, apenas vagamente
remanescente do modelo matemtico. Atualmente ela adotada, apesar de suas
restries, porque ela antiga e muito mais popular que qualquer outra linguagem de
banco de dados.
A principal proposio do modelo relacional que todos os dados so representados
como relaes matemticas, isto , um subconjunto do produto Cartesiano de n
conjuntos. No modelo matemtico (diferentemente do SQL), a anlise dos dados feita
em uma lgica de predicados de dois valores (ou seja, sem o valor nulo); isto significa
que existem dois possveis valores para uma proposio: verdadeira ou falsa. Os dados
so tratados pelo clculo relacional ou lgebra relacional.
O modelo relacional permite ao projetista criar um modelo lgico consistente da
informao a ser armazenada. Este modelo lgico pode ser refinado atravs de um
processo de normalizao. Um banco de dados construdo puramente baseado no
modelo relacional estar inteiramente normalizado. O plano de acesso, outras
implementaes e detalhes de operao so tratados pelo sistema DBMS, e no devem
ser refletidos no modelo lgico. Isto se contrape prtica comum para DBMSs SQL
nos quais o ajuste de desempenho frequentemente requer mudanas no modelo lgico.
Os blocos bsicos do modelo relacional so o domnio, ou tipo de dado. Uma tupla um
conjunto de atributos que so ordenados em pares de domnio e valor. Uma relvar
(varivel relacional) um conjunto de pares ordenados de domnio e nome que serve
como um cabealho para uma relao. Uma relao um conjunto desordenado de
tuplas. Apesar destes conceitos matemticos, eles correspondem basicamente aos
conceitos tradicionais dos bancos de dados. Uma relao similar ao conceito de tabela
e uma tupla similar ao conceito de linha.
O princpio bsico do modelo relacional o princpio da informao: toda informao
representada por valores em relaes (relvars). Assim, as relvars no so relacionadas
umas s outras no momento do projeto. Entretanto, os projetistas utilizam o mesmo
domnio em vrios relvars, e se um atributo dependente de outro, esta dependncia
garantida atravs da integridade referencial.
Banco de dados exemplo
Um exemplo bem simples da descrio de algumas tabelas e seus atributos:
Cliente(ID Cliente, ID Taxa, Nome, Endereo, Cidade, Estado, CEP, Telefone)
Pedido de compra(Nmero do pedido, ID Cliente, Factura, Data do pedido, Data
prometida, Status)
Item do pedido(Nmero do pedido, Nmero do item, Cdigo do produto, Quantidade)
Nota fiscal(Nmero da nota, ID Cliente, Nmero do pedido, Data, Status)
Item da nota fiscal(Nmero da nota,Nmero do item,Cdigo do produto, Quantidade
vendida)
73
Neste projeto ns temos cinco relvars: Cliente, Pedido de compra, Item do pedido, Nota
fiscal e Item da nota fiscal. Os atributos em negrito e sublinhados so chaves
candidatas. Os itens sublinhados sem negrito so as chaves estrangeiras.
Normalmente uma chave candidata escolhida arbitrariamente para ser chamada de
chave primria e utilizada com preferncia sobre as outras chaves candidatas, que so
ento chamadas de chaves alternativas.
Uma chave primria um identificador nico que garante que nenhuma tupla ser
duplicada; isto faz com que o relacionamento em algo denominado um multiconjunto,
porque viola a definio bsica de um conjunto. Uma chave pode ser composta, isto ,
pode ser formada por vrios atributos. Abaixo temos um exemplo tabular da nossa
varivel exemplo Cliente; um relacionamento pode ser abstrado como um valor que
pode ser atribudo a uma relvar.
Exemplo: cliente
ID Cliente ID Taxa Nome Endereo
[Mais campos....]
======================================================================
============================
1234567890 555-5512222 Joo Carlos Rua Principal
n 120 ...
2223344556 555-5523232 Dorotia Santos Avenida
Principal n 12 ...
3334445563 555-5533322 Lisbela da Cruz Rua de trs
n123 ...
4232342432 555-5325523 E. F. Codd Travessa
principal n 51 ...
Se ns tentarmos inserir um novo cliente com o ID 1234567890, isto ir violar o projeto
da relvar pois ID Cliente uma chave primria e ns j temos um cliente com o
nmero 1234567890. O DBMS deve rejeitar uma transao como esta e deve acusar um
erro de violao da integridade.
As chaves estrangeiras so condies de integridade que garantem que o valor de um
atributo obtido de uma chave candidata de outra relvar, por exemplo na relvar Pedido
o atributo ID Cliente uma chave estrangeira. Uma unio uma operao que retorna a
informao de vrias relvars de uma vez. Atravs da unio de relvars do exemplo acima
podemos consultar no banco de dados quais so os clientes, pedidos e notas. Se ns
queremos apenas as tuplas de um cliente especfico, podemos especificar isto utilizando
uma condio de restrio.
Se queremos obter todos os pedidos do cliente 1234567890, podemos consultar o banco
de dados de forma que este retorne toda linha na tabela de Pedidos com ID Cliente
igual a 1234567890 e agrupar a tabela de pedidos com a tabela de itens de pedido
baseado no Nmero do pedido.
Existe uma imperfeio no projeto de banco de dados acima. A tabela de notas contm
um atributo nmero do pedido. Assim, cada tupla na tabela de notas ter um pedido, o
que implica precisamente um pedido para cada nota. Mas na realidade uma nota pode
ser criada a partir de muitos pedidos, ou mesmo para nenhum pedido em particular.
74
Adicionalmente um pedido contm um nmero de nota, implicando que cada pedido
tem uma nota correspondente. Mas novamente isto no verdadeiro no mundo real. Um
pedido s vezes pago atravs de vrias notas, e s vezes pago sem um nota. Em outras
palavras podemos ter muitas notas por pedido e muitos pedidos por nota. Isto um
relacionamento vrios-para-vrios entre pedidos e notas. Para representar este
relacionamento no banco de dados uma nova tabela deve ser criada com o propsito de
especificar a correspondncia entre pedidos e notas:
PedidoNota(Nmero do pedido,Nmero da nota)
Agora, um pedido tem um relacionamento um-para-vrios para a tabela PedidoNota,
assim como o Cliente tem para a tabela de pedidos. Se quisermos retornar todas as notas
de uma pedido especfico, podemos consultar no banco de dados todos os pedidos cujo
Nmero do pedido igual ao Nmero do pedido na tabela PedidoNota, e onde o
Nmero da nota na tabela PedidoNota igual Nmero da nota na tabela Notas.
A normalizao de banco de dados normalmente realizada quando projeta-se um
banco de dados relacional, para melhorar a consistncia lgica do projeto do banco de
dados e o desempenho transacional.
Existem dois sistemas mais comuns de diagramao que ajudam na representao visual
do modelo relacional: O diagrama de entidade-relacionamento DER, e o diagrama
correlato IDEF utilizado no mtodo IDEF1X criado pela Fora Area dos Estados
Unidos baseado no DER.
Armazm de dados
(Redirecionado de Data warehouse)
Um armazm de dados, ou ainda depsito de dados, utilizado para armazenar
informaes relativas s atividades de uma organizao em bancos de dados, de forma
consolidada. O desenho da base de dados favorece os relatrios, a anlise de grandes
volumes de dados e a obteno de informaes estratgicas que podem facilitar a
tomada de deciso.
O data warehouse possibilita a anlise de grandes volumes de dados, coletados dos
sistemas transacionais (OLTP). So as chamadas sries histricas que possibilitam uma
melhor anlise de eventos passados, oferecendo suporte s tomadas de decises
presentes e a previso de eventos futuros. Por definio, os dados em um data
warehouse no so volteis, ou seja, eles no mudam, salvo quando necessrio fazer
correes de dados previamente carregados. Os dados esto disponveis somente para
leitura e no podem ser alterados.
A ferramenta mais popular para explorao de um data warehouse a Online Analytical
Processing OLAP ou Processo Analtico em Tempo Real, mas muitas outras podem ser
usadas.
75
Os data warehouse surgiram como conceito acadmico na dcada de 80. Com o
amadurecimento dos sistemas de informao empresariais, as necessidades de anlise
dos dados cresceram paralelamente. Os sistemas OLTP no conseguiam cumprir a
tarefa de anlise com a simples gerao de relatrios. Nesse contexto, a implementao
do data warehouse passou a se tornar realidade nas grandes corporaes. O mercado de
ferramentas de data warehouse, que faz parte do mercado de Business Intelligence,
cresceu ento, e ferramentas melhores e mais sofisticadas foram desenvolvidas para
apoiar a estrutura do data warehouse e sua utilizao.
Atualmente, por sua capacidade de sumarizar e analisar grandes volumes de dados,o
data warehouse o ncleo dos sistemas de informaes gerenciais e apoio deciso das
principais solues de business intelligence do mercado.
Arquitetura data warehouse
O armazenamento
O armazenamento se d num depsito nico, que seja de rpido acesso para as anlises.
Tal armazenamento conter dados histricos advindos de bancos de dados transacionais
que servem como backend de sistemas como ERPs e CRMs. Quanto mais dados do
histrico das operaes da empresa, melhor ser para que a anlise destas informaes
reflita o momento da empresa.
Modelagem multidimensional
Os sistemas de base de dados tradicionais utilizam a normalizao
1
do formato de
dados para garantir consistncia dos dados, minimizao do espao de armazenamento
necessrio e diminuio (reduo) de redundncias, que devem ser verificadas antes da
concluso do modelo de dados. Entretanto, algumas transaes e consultas em bases de
dados normalizadas podem se tornar lentas devido s operaes de juno entre tabelas
(JOIN).
Um data warehouse utiliza dados em formato de-normalizados
2
. Isto aumenta o
desempenho das consultas e como benefcio adicional, o processo torna-se mais
intuitivo para os utilizadores
3
comuns. Essa maneira de reordenar os dados chama-se
Modelagem Dimensional, e o resultado da modelagem o Modelo Dimensional, ou
MD.
Metadado
O conceito metadado considerado como sendo os "dados sobre dados", isto , os
dados sobre os sistemas que operam com estes dados. Um repositrio de metadados
uma ferramenta essencial para o gerenciamento de um Data Warehouse no momento de
converter dados em informaes para o negcio. Entre outras coisas, um repositrio de
metadados bem construdo deve conter informaes sobre a origem dos dados, regras de
transformao, nomes e alias, formatos de dados, etc. Ou seja, esse "dicionrio" deve
conter muito mais do que as descries de colunas e tabelas: deve conter informaes
que adicionem valor aos dados.
76
Tipo de informao considerada metadado
Os metadados so utilizados normalmente como um dicionrio de informaes e, sendo
assim, devem incluir:
origem dos dados - todo elemento de dado precisa de identificao, sua origem ou o
processo que o gera; esta identificao muito importante no caso da necessidade de
saber informaes sobre a fonte geradora do dado; esta informao deve ser nica, ou
seja, cada dado deve ter uma e somente uma fonte de origem;
fluxo de dados - todo elemento de dado precisa ter identificado os fluxos nos quais
sofre transformaes; importante saber que dados servem de base para que
processos sejam executados;
formato dos dados - todo elemento de dados deve ter identificado seu tamanho e tipo
de dado;
nomes e alias - todo elemento de dados deve ser identificado por um nome; este
nome pode ser da rea de negcios ou um nome tcnico; no caso de serem usados
alias para os nomes, pode-se ter os dois; devem existir padres para criao de nomes
e alias (ex.: convenes para abreviaes), evitando assim ambiguidades;
definies de negcio - estas definies so as informaes mais importantes contidas
nos metadados; cada elemento de dado deve ser suportado por uma definio do
mesmo no contexto da rea de negcio; o mtodo de manuteno destas informaes
tambm deve ser muito consistente, de forma que o usurio possa obter facilmente
definies para as informaes desejadas; nestas definies devem ser evitadas
referncias a outros metadados que necessitem de uma segunda pesquisa para
melhor entendimento;
regras de transformao - so consideradas como sendo as regras de negcio
codificadas; estas regras so geradas no momento da extrao, limpeza e
agrupamento dos dados dos sistemas operacionais; cada regra de transformao
codificada deve estar associada a um elemento de metadado; se mais de uma
aplicao contiver a mesma regra de transformao, dever ser garantido que estas
sejam idnticas;
atualizao de dados - o histrico das atualizaes normalmente mantido pelo
prprio banco de dados, mas definir um elemento de metadado, indicando as datas de
atualizao dos dados, pode ajudar o usurio no momento de verificar a atualidade
dos dados e a consistncia da dimenso tempo do data warehouse;
requisitos de teste - identifica os critrios de julgamento de cada elemento de dado;
valores possveis e intervalos de atuao; deve conter tambm padres para
procedimentos de teste destes dados;
indicadores de qualidade de dados - podem ser criados ndices de qualidade baseados
na origem do dado, nmero de processamentos feito sobre este dado, valores
atmicos X valores sumariados
4
, nvel de utilizao do dado, etc;
triggers automticos - podem existir processos automticos associados aos metadados
definidos; estes processos ou triggers devem estar definidos de forma que possam ser
consultados por usurio e desenvolvedores, para que os mesmos no venham a criar
situaes conflitantes entre as regras definidas nestes processos;
responsabilidade sobre informaes - deve ser identificado o responsvel por cada
elemento de dados do data warehouse e tambm o responsvel pela entrada de
metadados;
acesso e segurana - os metadados devem conter informao suficiente para que
sejam determinados os perfis de acesso aos dados; deve-se poder identificar que
usurios podem ler, atualizar, excluir ou inserir dados na base; deve haver, tambm,
77
informaes sobre quem gerencia estes perfis de acesso e como se fazer contato com
o administrador da base de dados.
Data marts
O data warehouse normalmente acedido
5
atravs de data marts, que so pontos
especficos de acesso a subconjuntos do data warehouse. Os data marts so construdos
para responder provveis perguntas de um tipo especfico de usurio
6
. Por exemplo:
um data mart financeiro poderia armazenar informaes consolidadas dia a dia para um
usurio gerencial e em periodicidades maiores (semana, ms, ano) para um usurio no
nvel da diretoria. Um data mart pode ser composto por um ou mais cubos de dados.
Hoje em dia, os conceitos de data warehouse e data mart fazem parte de um conceito
muito maior chamado de Corporate Performance Management.
Extrao de dados
Os dados introduzidos num data warehouse geralmente passam por uma rea conhecida
como rea de stage. O stage de dados ocorre quando existem processos peridicos de
leitura de dados de fontes como sistemas OLTP. Os dados podem passar ento por um
processo de qualidade, de normalizao
7
e gravao dos dados no data warehouse.
Esse processo geralmente realizado por ferramentas ETL e outras ferramentas.
Ferramentas
OLTP
Sistemas OLTP (do ingls,on-line transaction processing): so sistemas que tm a
tarefa de monitorar e processar as funes bsicas e rotineiras de uma organizao, tais
como processamento da folha de pagamento, faturamento, estoque, etc. Os fatores
crticos de sucesso para este tipo de sistema so: alto grau de preciso, integridade a
nvel transacional e produo de documentos em tempo hbil.
Os dados transacionais OLTP so usados pelos usurios em geral no dia-a-dia em seus
processos e transaes, gravao e leitura.Ex: consulta de estoque, registro de vendas.
8

O principal objetivo da modelagem relacional em um sistema OLTP eliminar ao
mximo a redundncia, de tal forma que uma transao que promova mudanas no
estado do banco de dados, atue o mais pontualmente possvel. Com isso, nas
metodologias de projeto usuais, os dados so fragmentados por diversas tabelas
(normalizados), o que traz uma considervel complexidade formulao de uma
consulta por um usurio final. Por isso, esta abordagem no parece ser a mais adequada
para o projeto de um data warehouse, onde estruturas mais simples, com menor grau de
normalizao devem ser buscadas. (KIMBALL,2002)
9
.
OLAP
As ferramentas OLAP (do ingls, Online Analytical Processing) so geralmente
desenvolvidas para trabalhar com banco de dados normalizados
10
, embora existam
78
ferramentas que trabalham com esquemas especiais de armazenamento, com dados
(informaes) normalizados.
Essas ferramentas so capazes de navegar pelos dados de um Data Warehouse,
possuindo uma estrutura adequada tanto para a realizao de pesquisas como para a
apresentao de informaes.
Nas ferramentas de navegao OLAP, possvel navegar entre diferentes nveis de
granularidades (detalhamento) de um cubo de dados. Atravs de um processo chamado
Drill o usurio pode diminuir (Drill up
11
) ou aumentar (Drill down
12
) o nvel de
detalhamento dos dados. Por exemplo, se um relatrio estiver consolidado por pases,
fazendo um Drill down
12
, os dados passaro a ser apresentados por estados, cidades,
bairros e assim sucessivamente at o maior nvel de detalhamento possvel. O processo
contrrio, o Drill up
11
, faz com que os dados sejam consolidados em nveis superiores
de informao.
Outra possibilidade apresentada pela maioria das ferramentas de navegao OLAP o
recurso chamado Slice and dice. Esse recurso usado para criar vises dos dados por
meio de sua reorganizao, de forma que eles possam ser examinados sob diferentes
perspectivas.
O uso de recursos para manipular, formatar e apresentar os dados de modo rpido e
flexvel um dos pontos fortes de um data warehouse. Essa caracterstica faz com que a
apresentao de relatrios na tela
13
seja mais comum do que imprimi-los. Alm disso, o
usurio
14
tem liberdade para examinar as informaes que quiser de diversas maneiras
e, ao final, pode imprimir e at mesmo salvar as vises mais importantes para uma
futura consulta.
Data mining
Data mining, ou minerao de dados, o processo de descoberta de padres existentes
em grandes massas de dados. Apesar de existirem ferramentas que ajudam na execuo
do processo, o data mining no tem automatizao simples (muitos discutem se sequer
factvel) e precisa ser conduzido por uma pessoa, preferencialmente com formao em
Estatstica ou reas afins.
Exemplo terico
Um site de vendas quer que o seu cliente, ao entrar no site, veja produtos similares aos
que ele j havia comprado ou olhado. Ento ele dever armazenar a trajetria do cliente
pelo site para que consiga traar o perfil do cliente.

Notas
1. Pode-se usar tambm o termo "padronizao"
2. Formato livre, sem padro definido. No Brasil, comum usar o termo
"desnormalizados"
79
3. No Brasil,usa-se o termo "usurio"
4. No Brasil, o termo equivale a "sintetizados".
5. No Brasil, esse termo no usado. O termo usado "acessado"(do verbo acessar).
6. Em Portugal, o termo usado "utilizador".
7. Mudana de padro ou norma de organizao.
8. Fonte: Vaisman (1998, p. 5)
9. KIMBALL, 2002
10. Erro de citao: Tag <ref> invlida; no foi fornecido texto para as refs chamadas
normalizados
11. Detalhar, expor minuciosamente
12. sumarizar, condensar, resumir
13. em Portugal:Ecran
14. em Portugal: utilizador
Extract, transform, load
(Redirecionado de ETL)
ETL, do ingls Extract Transform Load (Extrao Transformao Carga), so
ferramentas de software cuja funo a extrao de dados de diversos sistemas,
transformao desses dados conforme regras de negcios e por fim a carga dos dados
geralmente em um Data Mart e um Data Warehouse, porm nada impede que tambm
seja para enviar os dados para um determinado sistema da organizao. A extrao e
carga so obrigatrias para o processo, sendo a transformao/limpeza opcional, mas
que so boas prticas, tendo em vista que os dados j foram encaminhados para o
sistema de destino. considerada uma das fases mais crticas do Data Warehouse e/ou
Data Mart.
Os projetos de data warehouse consolidam dados de diferentes fontes. A maioria dessas
fontes tendem a ser bancos de dados relacionais ou arquivo de texto (texto plano), mas
podem existir outras fontes. Um sistema ETL tem que ser capaz de se comunicar com as
bases de dados e ler diversos formatos de arquivos utilizados por toda a organizao.
Essa pode ser uma tarefa no trivial, e muitas fontes de dados podem no ser acessadas
com facilidade.
Algumas das ferramentas conhecidas de ETL so IBM InfoSphere DataStage ,
Informtica Power Center, Business Objects Data Integrator , Data Transformation
Services,
Pentaho Data Integration, entre outras.
Extrao, Transformao e Carga
O processo de Extrao, Transformao e Carga (Extract, Transform, Load ETL)
um processo que envolve:
Extrao de dados de fontes externas
Transformao dos mesmos para atender s necessidades de negcios
80
Carga dos mesmos
O ETL importante, pois a forma pela qual os dados so efetivamente carregados no
DW. Este artigo assume que os dados so sempre carregados no DW, contudo,
ETL pode ser aplicado a um processo de carga de qualquer base de dados.
Extrao
A primeira parte do processo de ETL a extrao de dados dos sistemas de origem. A
maioria dos projetos de data warehouse consolidam dados extrados de diferentes
sistemas de origem. Cada sistema pode tambm utilizar um formato ou organizao de
dados diferente. Formatos de dados comuns so bases de dados relacionais e flat files
(tambm conhecidos como arquivos planos), mas podem incluir estruturas de bases de
dados no relacionais, como o IMS ou outras estruturas de dados, como VSAM ou
ISAM. A extrao converte para um determinado formato para a entrada no
processamento da transformao.
Transformao
O estgio de transformao aplica um srie de regras ou funes aos dados extrados
para derivar os dados a serem carregados. Algumas fontes de dados necessitaro de
muito pouca manipulao de dados. Em outros casos, podem ser necessrios um ou
mais de um dos seguintes tipos de transformao:
Seleo de apenas determinadas colunas para carregar (ou a seleo de nenhuma
coluna para no carregar)
Traduo de valores codificados (se o sistema de origem armazena 1 para sexo
masculino e 2 para feminino, mas o data warehouse armazena M para masculino e F
para feminino, por exemplo), o que conhecido como limpeza de dados.
Codificao de valores de forma livre (mapeando Masculino,1 e Sr. para M, por
exemplo)
Derivao de um novo valor calculado (montante_vendas = qtde * preo_unitrio, por
exemplo)
Juno de dados provenientes de diversas fontes
Resumo de vrias linhas de dados (total de vendas para cada loja e para cada regio,
por exemplo)
Gerao de valores de chaves substitutas (surrogate keys)
Transposio ou rotao (transformando mltiplas colunas em mltiplas linhas ou
vice-versa)
Quebra de uma coluna em diversas colunas (como por exemplo, colocando uma lista
separada por vrgulas e especificada como uma cadeia em uma coluna com valores
individuais em diferentes colunas).
Carga
A fase de carga carrega os dados no Data Warehouse (DW). Dependendo das
necessidades da organizao, este processo varia amplamente. Alguns data warehouses
podem substituir as informaes existentes semanalmente, com dados cumulativos e
atualizados, ao passo que outro DW (ou at mesmo outras partes do mesmo DW,
conhecidos como Data Mart) podem adicionar dados a cada hora. A temporizao e o
81
alcance de reposio ou acrscimo constituem opes de projeto estratgicas que
dependem do tempo disponvel e das necessidades de negcios. Sistemas mais
complexos podem manter um histrico e uma pista de auditoria de todas as mudanas
sofridas pelos dados.
Desafios
Os processos de ETL podem ser bastante complexos e problemas operacionais
significativos podem ocorrer com sistemas de ETL desenvolvidos inapropriadamente.
A gama de valores e a qualidade dos dados em um sistema operacional podem ficar fora
das expectativas dos desenvolvedores quando as regras de validao e transformao
so especificadas. O perfil dos dados de uma fonte durante a anlise dos dados
altamente recomendvel para identificar as condies dos dados que precisaro ser
gerenciados pelas especificaes de regras de transformao.
A escalabilidade de um sistema de ETL durante o seu ciclo de vida de uso precisa ser
estabelecido durante a anlise. Isto inclui o conhecimento dos volumes de dados que
tero que ser processados no mbito dos Acordos de Nvel de Servio ( Service Level
Agreements SLA). O tempo disponvel para extrair dados dos sistemas de origem
pode variar, o que pode significar que a mesma quantidade de dados pode ter que ser
processada em menos tempo. Alguns sistemas de ETL tm que ser escalados para
processar terabytes de dados para atualizar data warehouses com dezenas de terabytes
de dados. Volumes crescentes de dados podem requerer um desenho que possa escalar
de processamento dirio de lotes para processamento intra-dirio de microlotes para a
integrao com filas de mensagens para garantir a continuidade da transformao e da
atualizao.
Processamento em Paralelo
Um desenvolvimento recente dos softwares de ETL foi a implementao de
processamento em paralelo. Isto permitiu o desenvolvimento de vrios mtodos para
melhorar a performance geral dos processos de ETL no tratamento de grandes volumes
de dados.
Existem trs tipos primrios de paralelismos implementados em aplicaes de ETL:
Dados
Pela diviso de um nico arquivo sequencial em arquivos de dados menores para
permitir acesso em paralelo.
Pipeline
Permitindo a execuo simultnea de diversos componentes no mesmo fluxo de dados.
Um exemplo seria a leitura de um valor no registro 1 e ao mesmo tempo juntar dois
campos no registro 2.
Componente
82
A execuo simultnea de mltiplos processos em diferentes fluxos de dados no mesmo
job. A classificao de um arquivo de entrada concomitantemente com a de duplicao
de outro arquivo seria um exemplo de um paralelismo de componentes.
Os trs tipos de paralelismo esto normalmente combinados em um nico job.
Uma dificuldade adicional assegurar que os dados que esto sendo carregados sejam
relativamente consistentes. Uma vez que mltiplas bases de dados de origem
apresentam diferentes ciclos de atualizao (algumas podem ser atualizados em espaos
de alguns minutos, ao passo que outras podem levar dias ou semanas), um sistema de
ETL pode precisar reter determinados dados at que todas as fontes sejam
sincronizadas. Analogamente, quando um warehouse tem que ser reconciliado com o
contedo de um sistema de origem ou com o livro razo, faz-se necessria a
implementao de pontos de sincronizao e reconciliao.
OLAP
OLAP,ou On-line Analytical Processing a capacidade para manipular e analisar um
grande volume de dados sob mltiplas perspectivas.
As aplicaes OLAP so usadas pelos gestores em qualquer nvel da organizao para
lhes permitir anlises comparativas que facilitem a sua tomada de decises dirias.
A arquitetura OLAP possui ferramentas que so classificadas em cinco tipos que so:
ROLAP, MOLAP, HOLAP, DOLAP e WOLAP (alm de XOLAP).
Benefcios
"Online analytical processing", ou OLAP fornece para organizaes um mtodo de
acessar, visualizar, e analisar os dados corporativos com alta flexibilidade e
performance. No mundo globalizado de hoje as empresas esto enfrentando maior
concorrncia e expandindo sua atuao para novos mercados. Portanto, a velocidade
com que executivos obtm informaes e tomam decises determina a competitividade
de uma empresa e seu sucesso de longo prazo. OLAP apresenta informaes para
usurios via um modelo de dados natural e intuitivo. Atravs de um simples estilo de
navegao e pesquisa, usurios finais podem rapidamente analisar inmeros cenrios,
gerar relatrios "ad-hoc", e descobrir tendncias e fatos relevantes independente do
tamanho, complexidade, e fonte dos dados corporativos. De fato, colocar informao
em bancos de dados corporativos sempre foi mais fcil do que retir-los. Quanto maior
e complexa a informao armazenada, mais difcil para retir-la. A tecnologia OLAP
acaba com estas dificuldades levando a informao mais prxima ao usurio que dela
necessite. Portanto, o OLAP freqentemente utilizado para integrar e disponibilizar
informaes gerenciais contidas em bases de dados operacionais, sistemas ERP e CRM,
sistemas contbeis, e Data Warehouses. Estas caractersticas tornaram-no uma
tecnologia essencial em diversos tipos de aplicaes de suporte deciso e sistemas
para executivos.
Modelo de Dados
83
Em um modelo de dados OLAP, a informao conceitualmente organizada em cubos
que armazenam valores quantitativos ou medidas. As medidas so identificadas por
duas ou mais categorias descritivas denominadas dimenses que formam a estrutura de
um cubo. Uma dimenso pode ser qualquer viso do negcio que faa sentido para sua
anlise, como produto, departamento ou tempo. Este modelo de dados multidimensional
simplifica para os usurios o processo de formular pesquisas ou "queries" complexas,
criar relatrios, efetuar anlises comparativas, e visualizar subconjuntos (slice) de maior
interesse. Por exemplo, um cubo contendo informaes de vendas poder ser composto
pelas dimenses tempo, regio, produto, cliente, cenrio (orado ou real) e medidas.
Medidas tpicas seriam valor de venda, unidades vendidas, custos, margem, etc.
Dentro de cada dimenso de um modelo OLAP, os dados podem ser organizados em
uma hierarquia que define diferentes nveis de detalhe. Por exemplo, dentro da
dimenso tempo, voc poder ter uma hierarquia representando os nveis anos, meses, e
dias. Da mesma forma, a dimenso regio poder ter os nveis pas, regio, estado e
cidade. Assim, um usurio visualizando dados em um modelo OLAP ir navegar para
cima (drill up) ou para baixo (drill down) entre nveis para visualizar informao com
maior ou menor nvel de detalhe sem a menor dificuldade.
Aplicaes
A aplicao do OLAP bastante diversificada e seu uso encontra-se em diversas reas
de uma empresa. Alguns tipos de aplicao aonde a tecnologia empregada so:
Finanas
Anlise de L&P, Relatrios L&P, Oramento, Anlise de Balano, Fluxo de
Caixa, Contas a Receber,
Vendas
Anlise de vendas (por regio, produto, vendedor, etc.), Previses,
Lucratividade de Cliente/Contrato, Anlise de Canais de Distribuio,
Marketing Anlise de Preo/Volume, Lucratividade de Produto, Anlise de Mercados,
Recursos
Humanos
Anlise de Benefcios, Projeo de Salrios, Anlise de "Headcount",
Manufatura
Gerncia de Estoque, Cadeia de Fornecimento, Planejamento de Demanda,
Anlise de custos de matria-prima,

Minerao de dados
Prospeco de dados
(portugus europeu)
ou minerao de dados
(tambm
conhecida pelo termo ingls data mining) o processo de explorar grandes quantidades
de dados procura de padres consistentes, como regras de associao ou sequncias
84
temporais, para detectar relacionamentos sistemticos entre variveis, detectando assim
novos subconjuntos de dados.
Esse um tpico recente em cincia da computao, mas utiliza vrias tcnicas da
estatstica, recuperao de informao, inteligncia artificial e reconhecimento de
padres.
Viso geral
A minerao de dados formada por um conjunto de ferramentas e tcnicas que atravs
do uso de algoritmos de aprendizagem ou classificao baseados em redes neurais e
estatstica, so capazes de explorar um conjunto de dados, extraindo ou ajudando a
evidenciar padres nestes dados e auxiliando na descoberta de conhecimento. Esse
conhecimento pode ser apresentado por essas ferramentas de diversas formas:
agrupamentos, hipteses, regras, rvores de deciso, grafos, ou dendrogramas.
O ser humano sempre aprendeu observando padres, formulando hipteses e testando-
as para descobrir regras. A novidade da era do computador o volume enorme de dados
que no pode mais ser examinado procura de padres em um prazo razovel. A
soluo instrumentalizar o prprio computador para detectar relaes que sejam novas
e teis. A minerao de dados (MD) surge para essa finalidade e pode ser aplicada tanto
para a pesquisa cientifica como para impulsionar a lucratividade da empresa madura,
inovadora e competitiva.
Diariamente as empresas acumulam grande volume de dados em seus aplicativos
operacionais. So dados brutos que dizem quem comprou o qu, onde, quando e em que
quantidade. a informao vital para o dia-a-dia da empresa. Se fizermos estatstica ao
final do dia para repor estoques e detectar tendncias de compra, estaremos praticando
business intelligence (BI). Se analisarmos os dados com estatstica de modo mais
refinado, procura de padres de vinculaes entre as variveis registradas, ento
estaremos fazendo minerao de dados. Buscamos com a MD conhecer melhor os
clientes, seus padres de consumo e motivaes. A MD resgata em organizaes
grandes o papel do dono atendendo no balco e conhecendo sua clientela. Atravs da
MD, esses dados agora podem agregar valor s decises da empresa, sugerir tendncias,
desvendar particularidades dela e de seu meio ambiente e permitir aes melhor
informadas aos seus gestores.
Pode-se ento diferenciar o business inteligence (BI) da minerao de dados (MD)
como dois patamares distintos de atuao. O primeiro busca subsidiar a empresa com
conhecimento novo e til acerca do seu meio ambiente e funciona no plano estratgico.
O Segundo visa obter a partir dos dados operativos brutos, informao til para
subsidiar a tomada de deciso nos escales mdios e altos da empresa e funciona no
plano tctico.
Etapas da minerao de dados
Os passos fundamentais de uma minerao bem sucedida a partir de fontes de dados
(bancos de dados, relatrios, logs de acesso, transaes, etc.) consistem de uma limpeza
85
(consistncia, preenchimento de informaes, remoo de rudo e redundncias, etc.).
Disto nascem os repositrios organizados (Data Marts e Data Warehouses).
a partir deles que se pode selecionar algumas colunas para atravessarem o processo de
minerao. Tipicamente, este processo no o final da histria: de forma interativa e
frequentemente usando visualizao grfica, um analista refina e conduz o processo at
que os padres apaream. Observe que todo esse processo parece indicar uma
hierarquia, algo que comea em instncias elementares (embora volumosas) e terminam
em um ponto relativamente concentrado.
Encontrar padres requer que os dados brutos sejam sistematicamente "simplificados"
de forma a desconsiderar aquilo que especfico e privilegiar aquilo que genrico.
Faz-se isso porque no parece haver muito conhecimento a extrair de eventos isolados.
Uma loja de sua rede que tenha vendido a um cliente uma quantidade impressionante de
um determinado produto em uma nica data pode apenas significar que esse cliente em
particular procurava grande quantidade desse produto naquele exato momento. Mas isso
provavelmente no indica nenhuma tendncia de mercado.
Localizando padres
Padres so unidades de informao que se repetem. A tarefa de localizar padres no
privilgio da minerao de dados. O crebro dos seres humanos utiliza-se de processos
similares, pois muito do conhecimento que temos em nossa mente , de certa forma, um
processo que depende da localizao de padres. Para exemplificar esses conceitos,
vamos propor um breve exerccio de induo de regras abstratas. Nosso objetivo tentar
obter alguma expresso genrica para a seguinte seqncia:
Seqncia original: ABCXYABCZKABDKCABCTUABEWLABCWO
Observe atentamente essa seqncia de letras e tente encontrar alguma coisa relevante.
Veja algumas possibilidades:
Passo 1: A primeira etapa perceber que existe uma seqncia de letras que se repete
bastante. Encontramos as seqncias "AB" e "ABC" e observamos que elas ocorrem
com freqncia superior das outras seqncias.
Passo 2: Aps determinarmos as seqncias "ABC" e "AB", verificamos que elas
segmentam o padro original em diversas unidades independentes:
"ABCXY"
"ABCZK"
"ABDKC"
"ABCTU"
"ABEWL"
"ABCWO"
Passo 3: Fazem-se agora indues, que geram algumas representaes genricas dessas
unidades:
"ABC??" "ABD??" "ABE??" e "AB???",
86
onde '?' representa qualquer letra
No final desse processo, toda a seqncia original foi substituda por regras genricas
indutivas, o que simplificou (reduziu) a informao original a algumas expresses
simples. Esta explicao um dos pontos essenciais da minerao de dados, como se
pode fazer para extrair certos padres de dados brutos. Contudo, mais importante do que
simplesmente obter essa reduo de informao, esse processo nos permite gerar formas
de predizer futuras ocorrncias de padres.
Exemplo prtico
Vamos observar aqui apenas um pequeno exemplo prtico do que podemos utilizar com
as expresses abstratas genricas que obtivemos. Uma dessas expresses nos diz que
toda vez que encontramos a seqncia "AB", podemos inferir que iremos encontrar
mais trs caracteres e isto completaria um "padro". Nesta forma abstrata ainda pode
ficar difcil de perceber a relevncia deste resultado. Por isso vamos usar uma
representao mais prxima da realidade.
Imagine que a letra 'A' esteja representando um item qualquer de um registro comercial.
Por exemplo, a letra 'A' poderia significar "aquisio de po" em uma transao de
supermercado. A letra 'B' poderia, por exemplo, significar "aquisio de leite". A letra
'C' um indicador de que o leite que foi adquirido do tipo desnatado. interessante
notar que a obteno de uma regra com as letras "AB" quer dizer, na prtica, que toda
vez que algum comprou po, tambm comprou leite. Esses dois atributos esto
associados e isto foi revelado pelo processo de descoberta de padres.
Esta associao j nos far pensar em colocar "leite" e "po" mais prximos um do
outro no supermercado, pois assim estaramos facilitando a aquisio conjunta desses
dois produtos. Mas a coisa pode ir alm disso, bastando continuar nossa explorao da
induo.
Suponha que a letra 'X' signifique "manteiga sem sal", e que a letra 'Z' signifique
"manteiga com sal". A letra 'T' poderia significar "margarina". Parece que poderamos
tentar unificar todas essas letras atravs de um nico conceito, uma idia que resuma
uma caracterstica essencial de todos esses itens. Introduzimos a letra 'V', que
significaria "manteiga/margarina", ou "coisas que passamos no po". Fizemos uma
induo orientada a atributos, substitumos uma srie de valores distintos (mas
similares) por um nome s.
Ao fazer isso estamos perdendo um pouco das caractersticas dos dados originais. Aps
essa transformao, j no sabemos mais o que manteiga e o que margarina. Essa
perda de informao fundamental na induo e um dos fatores que permite o
aparecimento de padres mais gerais. A vantagem desse procedimento de que basta
codificar a seqncia original substituindo a letra 'V' em todos os lugares devidos.
Assim fica essa seqncia transformada:
ABCVYABCVKABDKCABCVUABEWLABCVO
Daqui, o sistema de minerao de dados ir extrair, entre outras coisas, a expresso
"ABCV", que ir revelar algo muito interessante:
87
A maioria dos usurios que adquiriram po e leite desnatado
tambm adquiriram manteiga ou margarina.
De posse desta regra, fica fcil imaginar uma disposio nas prateleiras do
supermercado para incentivar ainda mais este hbito. Em linguagem mais lgica, pode-
se dizer que po e leite esto associados (implicam) na aquisio de manteiga, isto ,
.
Exemplos Reais
Vestibular PUC-RJ
Utilizando as tcnicas da minerao de dados, um programa de obteno de
conhecimento depois de examinar milhares de alunos forneceu a seguinte regra: se o
candidato do sexo feminino, trabalha e teve aprovao com boas notas no vestibular,
ento no efetivava a matrcula. Estranho, ningum havia pensado nisso. Mas uma
reflexo justifica a regra oferecida pelo programa: de acordo com os costumes do Rio de
Janeiro, uma mulher em idade de vestibular, se trabalha porque precisa, e neste caso
deve ter feito inscrio para ingressar na universidade pblica gratuita. Se teve boas
notas provavelmente foi aprovada na universidade pblica onde efetivar matrcula.
Claro que h excees: pessoas que moram em frente PUC, pessoas mais velhas, de
alto poder aquisitivo e que voltaram a estudar por outras razes que ter uma profisso,
etc.. Mas a grande maioria obedece regra anunciada.
Estado civil x cargos de servidores da SEFAZ-AM
Com o uso de data mining foram verificadas correlaes entre o estado civil e salrios
da Secretaria de Fazenda do Estado do Amazonas. Notava-se que cerca de 80% dos
servidores de maior poder aquisitivo deste rgo eram divorciados/desquitados,
enquanto que em outras instituies, como por exemplo na Secretaria de Educao
(composta em sua maioria por professores), esta mdia de divorciados/desquitados era
inferior a 30%.
Longe de parecer coincidncia, os dados sugerem que servidores com maior poder
aquisitivo se envolvam com relaes extra-conjugais, resultando geralmente em
desfazimento do casamento.
Inteligncia empresarial
(Redirecionado de Business intelligence)
Inteligncia empresarial (em ingls Business Intelligence), refere-se ao processo de
coleta, organizao, anlise, compartilhamento e monitoramento de informaes que
oferecem suporte a gesto de negcios.
Processo empresarial
88
A Inteligncia Empresarial, ou Business Intelligence, um termo do Gartner Group. O
conceito surgiu na dcada de 80 e descreve as habilidades das corporaes para aceder a
dados e explorar informaes e recursos financeiros em proveito dos directores
(normalmente contidas em um Data Warehouse/Data Mart), analisando-as e
desenvolvendo percepes e entendimentos a seu respeito, o que lhes permite
incrementar e tornar mais pautada em informaes a tomada de deciso (JFF).
As organizaes tipicamente recolhem informaes com a finalidade de avaliar o
ambiente empresarial, completando estas informaes com pesquisas de marketing,
industriais e de mercado, alm de anlises competitivas, podendo assim mais facilmente
intrujar outros.
Organizaes competitivas acumulam "inteligncia" medida que ganham sustentao
na sua vantagem competitiva, podendo considerar tal inteligncia como o aspecto
central para competir em alguns mercados.
Geralmente, os coletores de BI obtm as fontes primrias de informao dentro das suas
empresas. Cada fonte ajuda quem tem que decidir a entender como o poder fazer da
forma mais correta possvel.
As fontes secundrias de informaes incluem as necessidades do consumidor, processo
de deciso do cliente, presses competitivas, condies industriais relevantes, aspectos
econmicos e tecnolgicos e tendncias culturais.
Cada sistema de BI determina uma meta especfica, tendo por base o objetivo
organizacional ou a viso da empresa, existindo em ambos objetivos, sejam eles de
longo ou curto prazo.
Business Intelligence (BI) pode ser traduzido como inteligncia de negcios, ou
inteligncia empresarial. Isto significa que um mtodo que visa ajudar as empresas a
tomar as decises inteligentes, mediante dados e informaes recolhidas pelos diversos
sistemas de informao. Sendo assim, BI uma tecnologia que permite s empresas
transformar dados guardados nos seus sistemas em Informao qualitativa e importante
para a tomada de deciso. H uma forte tendncia de que os produtos que compem o
sistema de BI de uma empresa passem, isoladamente, a prover funes extras que
auxiliem na tomdada de decises. Por exemplo, todos os sistemas que funcionam numa
perspectiva de organizao da informao. Sendo assim temos:
ERP Enterprise Resource Planning;
CRM Customerf Relationship Manager.
Segundo Brentley Freiks, fundador da Onyx Software, Customer Relationship
Management (CRM) um conjunto de processos e tecnologias que geram
relacionamentos com clientes efectivos e potenciais e com parceiros de negcios
atravs do marketing, das vendas e dos servios, independentemente do canal de
comunicao.
Ou seja, pode ser considerado como uma estratgia de gesto de negcios atravs da
gesto dos relacionamentos com os clientes tendo em considerao o aumento do lucro
e das vendas da empresa. O objetivo principal claramente uniformizar processos que
89
permitam o acesso informao como forma de melhorar os negcios e o Marketing
Relacional da empresa atravs do uso da tecnologia.
A globalizao e a evoluo da TI tm mudado radicalmente a forma como as empresas
e os seus consumidores se relacionam. Os consumidores tm um leque de opes de
produtos e servios que h alguns anos no era possvel. As TI permitem oferecer
qualidade a um preo competitivo da o CRM ser fundamental no estabelecimento das
relaes e na fidelizao dos clientes. Hoje, importante rentabilizar a mxima LTV
(Lifetime value) de cada cliente. Podemos classificar da seguinte forma os clientes:
1. CMV (Clientes mais valiosos) para os quais devemos utilizar uma estratgia de
reteno, trabalhando em programas de reconhecimento e na possibilidade de uso de
canais de comunicao exclusivos recompensando a preferncia dos clientes e o
volume de negcios por eles submetido na nossa empresa;
2. CMP (Clientes de maior potencial) para os quais necessrio desenvolver esses
clientes atravs de incentivos. O importante transformar estes clientes em CMV.
Encontrar estratgias para os habituar a trabalhar com os nossos produtos;
3. BZ (Below Zero) que representam valor negativo para a organizao;
4. Clientes Intermdios mas que so lucrativos, porm sem grande expresso.
O potencial de uma ferramenta de CRM revela-se na esquematizao dos diversos
dados disponveis de forma a criar informao valiosa para utilizar-se em prol da
empresa e das suas relaes comerciais. Teremos uma informao com maior qualidade,
fundamental para a tomada de deciso e para a gesto dos clientes.
Portanto para uma organizao, os benefcios com a implementao de um CRM passa
muito pelo valor que vai criar na empresa. Ir facilitar no s a identificao dos
clientes criando bases de informaes relativas aos clientes de acordo com o seu perfil
como ir facilitar a segmentao dos mesmos contribuindo para o desenvolvimento
dos diversos processos de fidelizao/reteno de clientes.
Tecnologia de BI
Alguns observadores consideram que o processo de BI reala os dados dentro da
informao e tambm dentro do conhecimento. Pessoas envolvidas em processos de BI
podem usar software ou outras tecnologias para obter, guardar, analisar e prover acesso
aos dados. O software cura o desempenho do gerenciamento do negcio e contribui
no objetivo de tomar as decises melhores, mais atuais e relevantes, com as informaes
acessveis sempre que necessrio. Algumas pessoas utilizam o termo "BI"
intercambiando-o com "livros de reunio" ou "sistemas de informaes executivas", de
acordo com a informao que cada um contm. nesse sentido, que cada um pode
considerar um sistema de BI como um sistema de suporte para tomada de deciso
(decision-support system).
Histria
Uma referncia anterior a inteligncia, mas no relacionada aos negcios, ocorreu em
Sun Tzu - A Arte da Guerra. Sun Tzu fala em seu livro que para suceder na guerra, a
pessoa deve deter todo o conhecimento de suas fraquezas e virtudes, alm de todo o
90
conhecimento das fraquezas e virtudes do inimigo. A falta deste conhecimento pode
resultar na derrota.
Uma certa escola traa paralelos entre as disputas nos negcios com as guerras:
coleta de informaes;
discernimento de testes padro e o significado dos dados (gerando informao);
respondendo informao resultante.
Desenhando e implementando BI
Quando implementado um programa de BI deve-se relacionar as questes e suas
possveis decises, tais como:
Questes de alinhamento de metas: o primeiro passo para determinar propostas de
curto e mdio prazos do programa.
Questes de base: coleta de informaes de competncia atual e suas necessidades.
Custos e Riscos: as consequncias financeiras da nova iniciativa de BI devem ser
estimadas.
Cliente e "stakeholder": determina quem sero os beneficiados da iniciativa e quem
pagar por ela.
Mtricas relacionadas: estes requerimentos de informaes devem ser
operacionalizadas com clareza e definidas por parmetros mtricos.
Mensurao Metodolgica: deve ser estabelecido um mtodo ou procedimento para
determinar a melhor ou aceitvel maneira de medir os requerimentos mtricos.
Resultados relacionados: algum deve ser o monitor do programa de BI para
assegurar que os objetivos esto ocorrendo. Ajustes no programa podem ser
necessrios. O programa deve ser testado pela eficcia, rentabilidade e validade.
BI nas redes sociais
Com o crescimento exponencial do uso das redes sociais por grandes corporaes nas
suas estratgias de negcios, o BI tambm precisou se reinventar. Vrias empresas esto
desenvolvendo software para ter disposio o seu histrico de interaes e
relacionamento na Internet.
Portal Corporativo
Um portal um site na internet que funciona como centro aglomerador e distribuidor
de contedo para uma srie de outros sites ou subsites dentro, e tambm fora, do
domnio ou subdomnio da empresa gestora do portal.
Na sua estrutura mais comum, os portais constam de um motor de busca, um conjunto,
por vezes considervel, de reas subordinadas com contedos prprios, uma rea de
notcias, um ou mais fruns e outros servios de gerao de comunidades e um
diretrio, podendo incluir ainda outros tipos de contedos.
91
Devido grande quantidade de informao, para construir um portal so utilizadas
ferramentas de gesto de contedo - CMS, pois os tradicionais editores de HTML no
do mais conta da demanda de trabalho que muito elevada. Os CMS, ou Sistemas
Gerenciadores de Contedo ajudam em muito o trabalho, pois criam um nvel de
abstrao mais elevado alm de fazer algo muito mais importante que estabelecer uma
hierarquia e controle das pessoas que alimentam o site, pois nem todos podem alterar o
contedo de qualquer pgina, assim, o CMS delega de forma organizada as diversas
pginas do Portal sem que seja necessrio ficar revisando a questo da organizao e
uma forma geral.
Uma das vantagens no uso do CMS o fato de, na maior parte dos casos, possibilitar a
separao fsica do que esttica e estilo, do que contedo, assim se o Webdesigner
faz uma alterao de cor ou logotipo apenas a aparncia modificada, enquanto que o
usurio leigo alimenta o site com a informao e contedo.
Este usurio comum sequer sabe das mudanas ocorridas na parte esttica, ele apenas
alimenta o contedo, portanto, pode trabalhar sem se preocupar com detalhes estticos
ou formatao, o resultado a diminuio de custo de manuteno do Portal e a
eliminao de mo de obra especializada em Webdesign que passa a ser substituda por
pessoas que conhecem o bsico de um Editor de Texto com imagens.
Contudo, o conceito de Portal continua a evoluir e pensando em conceitos de tecnologia
como AJAX, uma nova dimenso pode ser agregada.
Existem situaes em que contedo e dados de diferentes empresas podem ser inseridos
em uma mesma interface WEB, de forma que o antigo conceito de se associar um portal
uma determinada corporao pode em pouco tempo desaparecer, pois hoje,
tecnologicamente falando, nada impede que surjam grandes portais formados por
diversas empresas que oferecem determinado tipo de contedo.
Na rea de Software, existem j alguns Portais Especializados, como o SourceForge
(www.sourceforge.net) que disponibiliza oficialmente, publicamente, livremente e
gratuitamente Programas disponibilizados por milhares de empresas e pessoas
diferentes.
Portal Corporativo
Portais eficientes permitem maximizar o lucro das empresas, oferecem canais de
comunicao e vendas para o cliente, fornecem informaes e histricos de
atendimento, recebem pesquisas de opinio do consumidor, registram nmeros de srie
e garantia de produtos, oferecem catlogos dos produtos da empresa, direcionam
contatos a representantes, fazem tanta coisa que fica difcil de enumerar tudo que existe.
Os Portais Corporativos oferecem acesso on-line (instantneo) e organizado s
informaes e aplicaes da Empresa estando sempre atualizados por utilizar a Internet
Web como meio de divulgao. Desta forma, a interao com o usurio se torna mais
rpida e as informaes mais completas e detalhadas, permitindo ainda, a consulta de
consultas e relatrios personalizados por parte dos usurios, como por exemplo, um
extrato de banco, segunda via de conta de luz, oramento de seguro de carro, simulao
de aplicao na bolsa, acesso webmail, etc.
92
Geralmente quando o usurio se perde diante de tanta informao, costuma existir no
Portal o Mapa do Site, que permite visualizar a organizao geral das principais pginas
por assunto ou especialidade.
Existe tambm o super importante campo de busca, uma caixa retangular onde se
preenche o assunto de interesse que necessitamos localizar no site.
Os Portais oferecem acesso a um grande nmero de usurios e precisam ser
dimensionados de acordo, pois caso contrrio o sistema fica lento, pra, ou no
responde navegao, isto um processo caro e trabalhoso principalmente porque ao
longo do tempo o uso do Portal por usurios acaba aumentando e os equipamentos
precisam ser trocados por outros mais poderosos e capazes, tornado a manuteno do
Portal onerosa e constante.
Quando isto no ocorre, muitas vezes a consequncia pode ser uma compra paga que
no registrada e se perde, um pedido que no chega ao departamento de compras, o
cliente que no consegue abrir sua tela de informaes, legais interessantes etc.. LeGaL
enfim isto e um portal hsahsahsaha
Com o grande volume de informao, preciso organizar e catalogar as mesmas por
assunto, os colaboradores que alimentam o Portal precisam ter acesso s informaes
estruturadas (informaes armazenadas em sistemas e bases de dados, como por
exemplo, datawarehouses e sistemas legados), assim como s informaes no
estruturadas (informaes armazenadas em arquivos de texto, planilhas eletrnicas,
arquivos de e-mail, dentre outros). O acesso a estas informaes estruturadas ou no
estruturadas se d na maioria das vezes atravs do uso de APIs (Application Program
Interfaces), tambm chamadas de applets, portlets, adaptadores ou conectores, sendo o
acesso s informaes estruturadas mais facilitado, pois atravs das linguagens de
programao pode-se utilizar de APIs que facilitem ao colaborador acessar as
informaes atravs de interfaces intuitivas e amigveis. J para acessar as informaes
no estruturadas, necessrio utilizar, em conjunto com as APIs, mtodos de
categorizao e taxonomia, mecanismos de busca.
Os mtodos de categorizao e taxonomia visam organizar as informaes, criando
informaes sobre as informaes (metadados) para assim, os mecanismos de busca
retornarem as informaes que o usurio deseja de forma mais precisa.
Em linhas gerais, os Portais Corporativos (como ambiente de integrao de informaes
e sistemas) facilitam a busca por informaes nas diversas fontes disponveis, agiliza a
tomada de deciso e pode gerar mais produtividade com a reduo no tempo despendido
na procura pelas informaes.
As grandes lojas on-line da Internet so um exemplo de Portais Corporativos voltados
ao Comrcio Eletrnico, os Bancos tambm tem seus Portais vinculados ao servio de
Bank-Line; o governo por sua vez, emite Certides e alguns tipos de comprovantes pela
Internet, neste ponto de vista o documento mais clebre a Nota Fiscal Eletrnica do
Estado de So Paulo que foi a primeira no pas a ser implantada, muito embora voc no
enxergue a tela do sistema do ICMS, voc interage com o mesmo ao consultar as Notas
Fiscais no dia a dia.
93
Os Portais Corporativos assim deixaram de ser meramente Sites Institucionais, como
ocorria no passado. Se tornaram verdadeiros canais de acesso aos clientes e pblicos da
organizao, e o ponto mais importante no mais apenas a informao, mas
principalmente a interao entre elas.
Java Portlet Specification
Em Java, existem os portlets, que so objetos dinmicos que podem ser anexados aos
portais pelo usurio, permitindo que ele possa definir o que vai visualizar,
personalizando o Portal de acordo com seu perfil.
Cada Portlet pode ser originado de um sistema de fornecedor diferente, como a IBM, a
SAP, a SUN, contudo, importante observar que o uso de portlets vai mais alm, pois
diferentes portlets no mesmo portal tem a capacidade de trocar informaes
dinamicamente entre si sem a interveno humana, ou com a superviso da mesma,
desde que obedeam mesma especificao, como o Java Portlet Specification
(JSR168, JSR286) por exemplo.
O contedo de um Porlet pode ser obtido de um ERP, um sistema de controle, um
sistema especialista, do Google, da Wikipdia, etc.
Portal Colaborativo
Os blogs e a prpria Wikipdia so frequentemente mencionados como cones da Web
2.0. Entretanto interfaces colaborativas e participativas sempre existiram desde que a
Internet dava seus primeiros passos (no bero das universidades). Listas e fruns de
discusso - at mesmo a Usenet - so exemplos antigos de colaborao e participao.
Em 1995 o GeoCities (atualmente pertencente ao Yahoo!) oferecia espao e ferramentas
para que qualquer usurio relativamente leigo construsse seu website e publicasse suas
ideias na Internet. A loja virtual Amazon desde o seu lanamento (em 1995) permite
que seus clientes e visitantes postem comentrios e informaes diversas sobre livros
que so vendidos na loja. A Amazon tambm j sugeria produtos correlatos (pessoas
que compram este CD tambm compram) como forma de monetizar ainda mais a
operao. Em 1998 o Yahoo! lanava o MyYahoo!, permitindo que a pgina de entrada
do site fosse personalizada e personalizada (com notcias, cores e afins)
individualmente. Desta forma, contedo participativo e/ou colaborativo no seria uma
ideia nova e revolucionria, surgida na Web 2.0. Ao contrrio, seria um dos pilares mais
antigos da Internet, permitindo que virtualmente qualquer indivduo ou empresa
publique e compartilhe informaes na rede.
De qualquer forma, a Web 2.0 marcou o amadurecimento no uso do potencial
colaborativo da Internet. No jornalismo, por exemplo, a produo colaborativa tem sido
usada para aumentar a gama de assuntos abordados em portais de notcias. Terra, UOL e
iG so exemplos de empresas que permitem a qualquer usurio publicar suas prprias
notcias. Dessa forma, alm de dar ao usurio a sensao de interagir/fazer parte do
portal, essas empresas conseguem ter um volume de notcias que no conseguiriam caso
tivessem de remunerar profissionais para produzi-las.
94
A mesma lgica de "monetizao" do contedo colaborativo tem sido usada em
comunidades de nicho. O site Outrolado, do portal UOL, convida participantes a
escreverem artigos sobre Internet e tecnologia no site. Com isso, o portal oferece
renome e visibilidade aos usurios que tiverem seus artigos publicados e ao mesmo
tempo viabiliza seu negcio, disponibilizando contedo relevante sem necessidade de
remunerar financeiramente todos os autores.
Colaborativamente, a web 2.0 tambm pode ser usada como uma ferramenta pedaggica
para a construo de conceitos. neste sentido que a chamada arquitetura de
participao de muitos servios online pretende oferecer alm de um ambiente de fcil
publicao e espao para debates, recursos para a gesto coletiva do trabalho comum.
No entanto, devemos estar atentos ao fato de que, quando se discute o trabalho aberto e
coletivo online, no se pode pensar que no deva haver a regulao das relaes.
Igualmente ao trabalho coletivo no virtual, h sempre possibilidade de termos que lidar
com aes no prudentes e desvinculadas do objetivo principal do projeto. Uma rede
social online no se forma to e somente pela simples conexo de terminais. Trata-se
de um processo emergente que mantm sua existncia atravs de interaes entre os
envolvidos. (PRIMO, 2007, p. 21).
Segurana da informao
A segurana da informao est relacionada com proteo de um conjunto de
informaes, no sentido de preservar o valor que possuem para um indivduo ou uma
organizao. So caractersticas bsicas da segurana da informao os atributos de
confidencialidade, integridade, disponibilidade e autenticidade, no estando esta
segurana restrita somente a sistemas computacionais, informaes eletrnicas ou
sistemas de armazenamento. O conceito se aplica a todos os aspectos de proteo de
informaes e dados. O conceito de Segurana Informtica ou Segurana de
Computadores est intimamente relacionado com o de Segurana da Informao,
incluindo no apenas a segurana dos dados/informao, mas tambm a dos sistemas
em si.
Atualmente o conceito de Segurana da Informao est padronizado pela norma
ISO/IEC 17799:2005, influenciada pelo padro ingls (British Standard) BS 7799. A
srie de normas ISO/IEC 27000 foram reservadas para tratar de padres de Segurana
da Informao, incluindo a complementao ao trabalho original do padro ingls. A
ISO/IEC 27002:2005 continua sendo considerada formalmente como 17799:2005 para
fins histricos.
Conceitos de segurana
A Segurana da Informao se refere proteo existente sobre as informaes de uma
determinada empresa ou pessoa, isto , aplica-se tanto as informaes corporativas
quanto s pessoais. Entende-se por informao todo e qualquer contedo ou dado que
tenha valor para alguma organizao ou pessoa. Ela pode estar guardada para uso
restrito ou exposta ao pblico para consulta ou aquisio.
95
Podem ser estabelecidas mtricas (com o uso ou no de ferramentas) para a definio do
nvel de segurana existente e, com isto, serem estabelecidas as bases para anlise da
melhoria ou piora da situao de segurana existente. A segurana de uma determinada
informao pode ser afetada por fatores comportamentais e de uso de quem se utiliza
dela, pelo ambiente ou infraestrutura que a cerca ou por pessoas mal intencionadas que
tm o objetivo de furtar, destruir ou modificar tal informao.
A trade CIA (Confidentiality, Integrity and Availability) -- Confidencialidade,
Integridade e Disponibilidade -- representa os principais atributos que, atualmente,
orientam a anlise, o planejamento e a implementao da segurana para um
determinado grupo de informaes que se deseja proteger. Outros atributos importantes
so a irretratabilidade e a autenticidade. Com a evoluo do comrcio eletrnico e da
sociedade da informao, a privacidade tambm uma grande preocupao.
Portanto os atributos bsicos, segundo os padres internacionais (ISO/IEC 17799:2005)
so os seguintes:
Confidencialidade - propriedade que limita o acesso a informao to somente s
entidades legtimas, ou seja, quelas autorizadas pelo proprietrio da informao.
Integridade - propriedade que garante que a informao manipulada mantenha todas
as caractersticas originais estabelecidas pelo proprietrio da informao, incluindo
controle de mudanas e garantia do seu ciclo de vida (nascimento,manuteno e
destruio).
Disponibilidade - propriedade que garante que a informao esteja sempre disponvel
para o uso legtimo, ou seja, por aqueles usurios autorizados pelo proprietrio da
informao.
Autenticidade - propriedade que garante que a informao proveniente da fonte
anunciada e que no foi alvo de mutaes ao longo de um processo.
Irretratabilidade ou no repdio - propriedade que garante a impossibilidade de negar
a autoria em relao a uma transao anteriormente feita
Para a montagem desta poltica, deve-se levar em conta:
Riscos associados falta de segurana;
Benefcios;
Custos de implementao dos mecanismos.
Mecanismos de segurana
O suporte para as recomendaes de segurana pode ser encontrado em:
Controles fsicos: so barreiras que limitam o contato ou acesso direto a informao
ou a infraestrutura (que garante a existncia da informao) que a suporta.
Existem mecanismos de segurana que apiam os controles fsicos:
Portas / trancas / paredes / blindagem / guardas / etc ..
96
Controles lgicos: so barreiras que impedem ou limitam o acesso a informao, que
est em ambiente controlado, geralmente eletrnico, e que, de outro modo, ficaria
exposta a alterao no autorizada por elemento mal intencionado.
Existem mecanismos de segurana que apiam os controles lgicos:
Mecanismos de cifrao ou encriptao: Permitem a transformao reversvel da
informao de forma a torn-la ininteligvel a terceiros. Utiliza-se para tal, algoritmos
determinados e uma chave secreta para, a partir de um conjunto de dados no
criptografados, produzir uma sequncia de dados criptografados. A operao inversa
a decifrao.
Assinatura digital: Um conjunto de dados criptografados, associados a um documento
do qual so funo, garantindo a integridade e autenticidade do documento
associado, mas no a sua confidencialidade.
Mecanismos de garantia da integridade da informao: Usando funes de "Hashing"
ou de checagem, garantida a integridade atravs de comparao do resultado do
teste local com o divulgado pelo autor.
Mecanismos de controle de acesso: Palavras-chave, sistemas biomtricos, firewalls,
cartes inteligentes.
Mecanismos de certificao: Atesta a validade de um documento.
Integridade: Medida em que um servio/informao genuno, isto , est protegido
contra a personificao por intrusos.
Honeypot: uma ferramenta que tem a funo de propositalmente simular falhas de
segurana de um sistema e colher informaes sobre o invasor enganando-o, fazendo-
o pensar que esteja de fato explorando uma vulnerabilidade daquele sistema. um
espcie de armadilha para invasores. O HoneyPot no oferece nenhum tipo de
proteo.
Protocolos seguros: Uso de protocolos que garantem um grau de segurana e usam
alguns dos mecanismos citados aqui.
Existe hoje em dia um elevado nmero de ferramentas e sistemas que pretendem
fornecer segurana. Alguns exemplos so os detectores de intruses, os antivrus,
firewalls, firewalls locais, filtros anti-spam, fuzzers, analisadores de cdigo etc.
1

Ameaas segurana
As ameaas segurana da informao so relacionadas diretamente perda de uma de
suas 3 caractersticas principais, quais sejam:
Perda de Confidencialidade: seria quando h uma quebra de sigilo de uma
determinada informao (ex: a senha de um usurio ou administrador de sistema)
permitindo que sejam expostas informaes restritas as quais seriam acessveis
apenas por um determinado grupo de usurios.
Perda de Integridade: aconteceria quando uma determinada informao fica exposta
a manuseio por uma pessoa no autorizada, que efetua alteraes que no foram
aprovadas e no esto sob o controle do proprietrio (corporativo ou privado) da
informao.
Perda de Disponibilidade: acontece quando a informao deixa de estar acessvel por
quem necessita dela. Seria o caso da perda de comunicao com um sistema
importante para a empresa, que aconteceu com a queda de um servidor ou de uma
aplicao crtica de negcio, que apresentou uma falha devido a um erro causado por
97
motivo interno ou externo ao equipamento ou por ao no autorizada de pessoas
com ou sem m inteno.
No caso de ameaas rede de computadores ou a um sistema, estas podem vir de
agentes maliciosos, muitas vezes conhecidos como crackers, (hackers no so agentes
maliciosos, pois tentam ajudar a encontrar possiveis falhas). Estas pessoas so
motivadas para fazer esta ilegalidade por vrios motivos. Os principais so: notoriedade,
auto-estima, vingana e o dinheiro. De acordo com pesquisa elaborada pelo Computer
Security Institute ([1]), mais de 70% dos ataques partem de usurios legtimos de
sistemas de informao (Insiders) -- o que motiva corporaes a investir largamente em
controles de segurana para seus ambientes corporativos (intranet).
Invases na Internet
Todo sistema de computao necessita de um sistema para proteo de arquivos. Este
sistema um conjunto de regras que garantem que a informao no seja lida, ou
modificada por quem no tem permisso. A segurana usada especificamente para
referncia do problema genrico do assunto, j os mecanismos de proteo so usados
para salvar as informaes a serem protegidas. A segurana analisada de vrias
formas, sendo os principais problemas causados com a falta dela a perda de dados e as
invases de intrusos. A perda de dados na maioria das vezes causada por algumas
razes: fatores naturais: incndios, enchentes, terremotos, e vrios outros problemas de
causas naturais; Erros de hardware ou de software: falhas no processamento, erros de
comunicao, ou bugs em programas; Erros humanos: entrada de dados incorreta,
montagem errada de disco ou perda de um disco. Para evitar a perda destes dados
necessrio manter um backup confivel, guardado longe destes dados originais.
Exemplos de Invases
O maior acontecimento causado por uma invaso foi em 1988, quando um estudante
colocou na internet um programa malicioso (worm), derrubando milhares de
computadores pelo mundo, que foi identificado e removido logo aps. Mas at hoje h
controvrsias de que ele no foi completamente removido da rede. Esse programa era
feito em linguagem C, e no se sabe at hoje qual era o objetivo, o que se sabe que ele
tentava descobrir todas as senhas que o usurio digitava. Mas esse programa se auto-
copiava em todos os computadores em que o estudante invadia. Essa brincadeira no
durou muito, pois o estudante foi descoberto pouco tempo depois, processado e
condenado a liberdade condicional, e teve que pagar uma alta multa.
Um dos casos mais recentes de invaso por meio de vrus foi o do Vrus Conficker (ou
Downup, Downadup e Kido) que tinha como objetivo afetar computadores dotados do
sistema operacional Microsoft Windows, e que foi primeiramente detectado em outubro
de 2008. Uma verso anterior do vrus propagou-se pela internet atravs de uma
vulnerabilidade de um sistema de rede do Windows 2000, Windows XP, Windows
Vista, Windows Server 2003, Windows Server 2008, Windows 7 Beta e do Windows
Server 2008 R2 Beta, que tinha sido lanado anteriormente naquele ms. O vrus
bloqueia o acesso a websites destinados venda, protegidos com sistemas de segurana
e, portanto, possvel a qualquer usurio de internet verificar se um computador est
infectado ou no, simplesmente por meio do acesso a websites destinados a venda de
produtos dotados de sistemas de segurana. Em janeiro de 2009, o nmero estimado de
98
computadores infectados variou entre 9 e 15 milhes. Em 13 de fevereiro de 2009, a
Microsoft estava oferecendo 250.000 dlares americanos em recompensa para qualquer
informao que levasse condenao e priso de pessoas por trs da criao e/ou
distribuio do Conficker. Em 15 de outubro de 2008, a Microsoft liberou um patch de
emergncia para corrigir a vulnerabilidade MS08-067, atravs da qual o vrus prevalece-
se para poder se espalhar. As aplicaes da atualizao automtica se aplicam somente
para o Windows XP SP2, SP3, Windows 2000 SP4 e Windows Vista; o Windows XP
SP1 e verses mais antigas no so mais suportados. Os softwares antivrus no-ligados
a Microsoft, tais como a BitDefender, Enigma Software, Eset,F-Secure, Symantec,
Sophos, e o Kaspersky Lab liberaram atualizaes com programas de deteco em seus
produtos e so capazes de remover o vrus. A McAfee e o AVG tambm so capazes de
remover o vrus atravs de escaneamentos de discos rgidos e mdias removveis.
Atravs desses dados vemos que os antivrus devem estar cada vez mais atualizados,
esto surgindo novos vrus rapidamente, e com a mesma velocidade deve ser lanado
atualizaes para os bancos de dados dos antivrus para que os mesmos sejam
identificados e excludos. Com a criao da internet essa propagao de vrus muito
rpida e muito perigosa, pois se no houver a atualizao dos antivrus o computador e
usurio esto vulnerveis, pois com a criao da internet vrias empresas comearo a
utilizar internet como exemplo empresas mais precisamente bancos, mas como muito
vulnervel esse sistema, pois existem vrus que tem a capacidade de ler o teclado
(in/out), instrues privilegiadas como os keyloggers. Com esses vrus possvel ler a
senha do usurio que acessa sua conta no banco, com isso mais indicado utilizar um
teclado virtual para digitar as senhas ou ir diretamente ao banco.
Nvel de segurana
Depois de identificado o potencial de ataque, as organizaes tm que decidir o nvel de
segurana a estabelecer para uma rede ou sistema os recursos fsicos e lgicos a
necessitar de proteo. No nvel de segurana devem ser quantificados os custos
associados aos ataques e os associados implementao de mecanismos de proteo
para minimizar a probabilidade de ocorrncia de um ataque.
Segurana fsica
Considera as ameaas fsicas como incndios, desabamentos, relmpagos, alagamento,
algo que possa danificar a parte fsica da segurana, acesso indevido de estranhos,
forma inadequada de tratamento e manuseio do veculo.
Segurana lgica
Atenta contra ameaas ocasionadas por vrus, acessos remotos rede, backup
desatualizados, violao de senhas, etc.
Segurana lgica a forma como um sistema protegido no nvel de sistema
operacional e de aplicao. Normalmente considerada como proteo contra ataques,
mas tambm significa proteo de sistemas contra erros no intencionais, como
remoo acidental de importantes arquivos de sistema ou aplicao.
99
Polticas de segurana
De acordo com o RFC 2196 (The Site Security Handbook), uma poltica de segurana
consiste num conjunto formal de regras que devem ser seguidas pelos utilizadores dos
recursos de uma organizao.
As polticas de segurana devem ter implementao realista, e definir claramente as
reas de responsabilidade dos utilizadores, do pessoal de gesto de sistemas e redes e da
direo. Deve tambm adaptar-se a alteraes na organizao. As polticas de segurana
fornecem um enquadramento para a implementao de mecanismos de segurana,
definem procedimentos de segurana adequados, processos de auditoria segurana e
estabelecem uma base para procedimentos legais na sequncia de ataques.
O documento que define a poltica de segurana deve deixar de fora todos os aspectos
tcnicos de implementao dos mecanismos de segurana, pois essa implementao
pode variar ao longo do tempo. Deve ser tambm um documento de fcil leitura e
compreenso, alm de resumido.
Algumas normas definem aspectos que devem ser levados em considerao ao elaborar
polticas de segurana. Entre essas normas esto a BS 7799 (elaborada pela British
Standards Institution) e a NBR ISO/IEC 17799 (a verso brasileira desta primeira). A
ISO comeou a publicar a srie de normas 27000, em substituio ISO 17799 (e por
conseguinte BS 7799), das quais a primeira, ISO 27001, foi publicada em 2005.
Existem duas filosofias por trs de qualquer poltica de segurana: a proibitiva (tudo que
no expressamente permitido proibido) e a permissiva (tudo que no proibido
permitido).
Os elementos da poltica de segurana devem ser considerados:
A Disponibilidade: o sistema deve estar disponvel de forma que quando o usurio
necessitar, possa usar. Dados crticos devem estar disponveis ininterruptamente.
A Legalidade
A Integridade: o sistema deve estar sempre ntegro e em condies de ser usado.
A Autenticidade: o sistema deve ter condies de verificar a identidade dos usurios, e
este ter condies de analisar a identidade do sistema.
A Confidencialidade: dados privados devem ser apresentados somente aos donos dos
dados ou ao grupo por ele liberado.
Polticas de Senhas
Dentre as polticas utilizadas pelas grandes corporaes a composio da senha ou
password a mais controversa. Por um lado profissionais com dificuldade de
memorizar varias senhas de acesso, por outro funcionrios displicentes que anotam a
senha sob o teclado no fundo das gavetas, em casos mais graves o colaborador anota a
senha no monitor.
Recomenda-se a adoo das seguintes regras para minimizar o problema, mas a regra
fundamental a conscientizao dos colaboradores quanto ao uso e manuteno das
senhas.
100
Senha com data para expirao
Adota-se um padro definido onde a senha possui prazo de validade com 30 ou 45
dias, obrigando o colaborador ou usurio a renovar sua senha.
Inibir a repetio
Adota-se atravs de regras predefinidas que uma senha uma vez utilizada no poder
ter mais que 60% dos caracteres repetidos, p. ex: senha anterior 123senha nova
senha deve ter 60% dos caracteres diferentes como 456seuse, neste caso foram
repetidos somente os caracteres s e os demais diferentes.
Obrigar a composio com nmero mnimo de caracteres numricos e alfabticos
Define-se obrigatoriedade de 4 caracteres alfabticos e 4 caracteres numricos, por
exemplo:
1s4e3u2s ou posicional os 4 primeiros caracteres devem ser numricos e os 4
subseqentes alfabticos por exemplo: 1432seus.
Criar um conjunto com possveis senhas que no podem ser utilizadas
Monta-se uma base de dados com formatos conhecidos de senhas e probir o seu uso,
como por exemplo o usurio chama-se Jose da Silva, logo sua senha no deve conter
partes do nome como 1221jose ou 1212silv etc, os formatos DDMMAAAA ou 19XX,
1883emc ou I2B3M4
Recomenda-se ainda utilizar senhas com Case Sensitive e utilizao de caracteres
especiais como: @ # $ % & *
Proibio de senhas que combinam com o formato de datas do calendrio, placas ,
nmeros de telefone, ou outros nmeros comuns
Proibio do uso do nome da empresa ou uma abreviatura
Uma senha de Meio Ambiente, da seguinte forma: consoante, vogal, consoante,
consoante, vogal, consoante, nmero, nmero (por exemplo pinray45). A
desvantagem desta senha de 8 caracteres conhecida a potenciais atacantes, o
nmero de possibilidades que precisam ser testados menos do que uma senha de
seis caracteres de nenhuma forma.
Outros sistemas de criar a senha para os usurios ou deixar que o usurio escolha um de
um nmero limitado de opes exibidas.
Referncias
1. 'Meu amigo foi atacado por um hacker'; sistema da Microsoft tenta evitar roubo de
senhas no Hotmail, acessado em 5 de maio de 2012
TERPSTRA, John. Segurana para Linux. RJ: Elsevier, 2005. ISBN 85-352-1599-9
Melhorar a usabilidade de Gerenciamento de senha com polticas de senha
padronizados
101
Claudia Dias, Segurana e Auditoria da Tecnologia da Informao, 2000, Editora: Axcel
Books 142, ISBN 85-7323-231-9

Noes de Criptografia
(Do Grego krypts, "escondido", e grphein, "escrita") o estudo dos princpios e
tcnicas pelas quais a informao pode ser transformada da sua forma original para
outra ilegvel, de forma que possa ser conhecida apenas por seu destinatrio (detentor da
"chave secreta"), o que a torna difcil de ser lida por algum no autorizado. Assim
sendo, s o receptor da mensagem pode ler a informao com facilidade. um ramo da
Matemtica, parte da Criptologia.
1

2
H dois tipos de chaves criptogrficas: chaves
simtricas (criptografia de chave nica) e chaves assimtricas (criptografia de chave
pblica).
3

Uma informao no-cifrada que enviada de uma pessoa (ou organizao) para outra
chamada de "texto claro" (plaintext). Cifragem o processo de converso de um texto
claro para um cdigo cifrado e decifragem o processo contrrio, de recuperar o texto
original a partir de um texto cifrado. De facto, o estudo da criptografia cobre bem mais
do que apenas cifragem e decifragem. um ramo especializado da teoria da informao
com muitas contribuies de outros campos da matemtica e do conhecimento,
incluindo autores como Maquiavel, Sun Tzu e Karl von Clausewitz. A criptografia
moderna basicamente formada pelo estudo dos algoritmos criptogrficos que podem
ser implementados em computadores.
Terminologia
O termo comumente usado para se referir a rea de estudo de forma abrangente, como
criptologia ("o estudo dos segredos"). Outros termos relacionados so: Criptoanlise,
Esteganografia, Esteganlise, Cdigo, e Criptologia. Alguns autores cunharam o termo
Criptovirologia para se referir a vrus que contm e usam chaves pblicas.
4
O estudo das
formas de esconder o significado de uma mensagem usando tcnicas de cifragem tem
sido acompanhado pelo estudo das formas de conseguir ler a mensagem quando no se
o destinatrio; este campo de estudo chamado criptoanlise.
5

As pessoas envolvidas neste trabalho, e na criptografia em geral, so chamados
criptgrafos, criptlogos ou cripto analistas, dependendo de suas funes especficas.
A Esteganografia o estudo das tcnicas de ocultao de mensagens dentro de outras,
diferentemente da Criptografia, que a altera de forma a tornar seu significado original
ininteligvel. A Esteganografia no considerada parte da Criptologia, apesar de muitas
vezes ser estudada em contextos semelhantes e pelos mesmos pesquisadores. A
Esteganlise o equivalente a criptoanlise com relao Esteganografia.
6

Histria
Antigamente, a cifragem era utilizada na troca de mensagens, sobretudo em assuntos
ligados guerra (no intuito de o inimigo no descobrir a estratgia do emissor da
mensagem, caso se apoderasse dela), ao amor (para que os segredos amorosos no
fossem descobertos pelos familiares) e diplomacia (para que faces rivais no
102
estragassem os planos de acordos diplomticos entre naes). O primeiro uso
documentado da criptografia foi em torno de 1900 a.c., no Egito, quando um escriba
usou hierglifos fora do padro numa inscrio.
Entre 600 a.c. e 500 a.c., os hebreus utilizavam a cifra de substituio simples (de fcil
reverso e fazendo uso de cifragem dupla para obter o texto original), sendo
monoalfabtico e monogrmica (os caracteres so trocados um a um por outros), e com
ela escreveram o Livro de Jeremias.
O chamado "Codificador de Jlio Csar" ou "Cifra de Csar" que apresentava uma das
tcnicas mais clssicas de criptografia, um exemplo de substituio que,
simplesmente, substitui as letras do alfabeto avanando trs casas. O autor da cifragem
trocava cada letra por outra situada a trs posies frente no alfabeto. Segundo o autor,
esse algoritmo foi responsvel por enganar muitos inimigos do Imprio Romano; no
entanto, aps ter sido descoberta a chave, como todas, perdeu sua funcionalidade.
Em 1586, destacam-se os estudos de Blaise de Vigenre que constituram um mtodo
muito interessante; a cifra de Vigenre que utiliza a substituio de letras. Tal
processo consiste na seqncia de vrias cifras (como as de Csar) com diferentes
valores de deslocamento alfanumrico. A partir desse perodo, Renascena, a
criptologia comeou a ser seriamente estudada no Ocidente e, assim, diversas tcnicas
foram utilizadas e os antigos cdigos monoalfabticos foram, aos poucos, sendo
substitudos por polialfabticos.
Dos anos 700 a 1200, so relatados incrveis estudos estatsticos, em que se destacam
expoentes como al-Khalil, al-Kindi, Ibn Dunainir e Ibn Adlan, que marcaram sua poca.
Na Idade Mdia, a civilizao rabe-islmica contribuiu muito para os processos
criptogrficos, sobretudo quanto criptoanlise (anlise da codificao, a procura de
padres que identificassem mensagens camufladas por cdigos).
Na Idade Moderna, merecem destaque o holands Kerckhoff e o alemo Kasiski.
Modernamente, em 1918, Arthur Scherbius desenvolveu uma mquina de criptografia
chamada Enigma, utilizada amplamente pela marinha de guerra alem em 1926, como a
principal forma de comunicao.
Em 1928, o exrcito alemo construiu uma verso conhecida como "Enigma G", que
tinha como garantidor de segurana a troca peridica mensal de suas chaves. Essa
mquina tinha como diferencial ser eltrico-mecnica, funcionando com trs
(inicialmente) a oito rotores. Aparentava ser uma mquina de escrever, mas quando o
usurio pressionava uma tecla, o rotor da esquerda avanava uma posio, provocando a
rotao dos demais rotores direita, sendo que esse movimento dos rotores gerava
diferentes combinaes de encriptao.
Assim, a codificao da mensagem pelas mquinas "Enigma" era de muito difcil
decodificao, uma vez que, para isso, era necessrio ter outra mquina dessas e saber
qual a chave (esquema) utilizada para realizar a codificao.
A Colossus surgiu do esforo de engenharia reversa das foras aliadas em decriptar as
mensagens da marinha e do exrcito alemo, s logrando efetivo xito aps se ter
conseguido uma mquina Enigma alem (furtada). Tais equipamentos foram,
103
inicialmente, desenvolvidos como mquinas de decriptao, mas depois passaram a
codificar mensagens das foras aliadas.
Depois, surgiram outras mquinas fisicamente semelhantes Enigma (pareciam com
antigas mquinas de escrever), porm foram aperfeioadas de forma a dificultar o mais
possvel a decriptao por quem no as possusse.
Devido aos esforos de guerra, a criptografia passou a ser largamente utilizada. Em
1948, Claude Shannon desenvolveu a Teoria Matemtica da Comunicao, que permitiu
grandes desenvolvimentos nos padres de criptografia e na criptoanlise.
Durante a chamada "Guerra Fria", entre Estados Unidos e Unio Sovitica, foram
criados e utilizados diversos mtodos a fim de esconder mensagens a respeito de
estratgias e operaes, criptografadas com diferentes mtodos e chaves.
Diffie e Hellman revolucionaram os sistemas de criptografia existentes at 1976, a partir
do desenvolvimento de um sistema de criptografia de chave pblica que foi
aperfeioado por pesquisadores do MIT e deu origem ao algoritmo RSA.
Alm dos avanos da criptografia, a criptoanlise se desenvolveu muito com os esforos
de se descobrir padres e chaves, alm da diversidade dos canais de propagao das
mensagens criptografadas. Desses esforos, surgiram diversos tipos de criptografia, tais
como por chave simtrica, por chave assimtrica, por hash e at a chamada criptografia
quntica, que se encontra, hoje, em desenvolvimento.
Durante muito tempo, o termo referiu-se exclusivamente cifragem, o processo de
converter uma informao comum (texto claro) em algo no-inteligvel; o qual chama-
se texto cifrado. A decifragem a tarefa contrria, dado uma informao no-inteligvel
convert-la em texto claro. No uso coloquial, o termo "cdigo" usado para referir-se a
qualquer mtodo de cifragem ou similar. Em criptografia, "cdigo" tem um significado
mais especfico, refere-se a substituio de uma unidade significativa (i.e., o significado
de uma palavra ou frase) pelo substituto equivalente. Cdigos no so mais usados na
criptografia moderna, visto que o uso de cifras se tornou mais prtico e seguro, como
tambm melhor adaptado aos computadores.
Nos dias atuais, onde grande parte dos dados digital, sendo representados por bits, o
processo de criptografia basicamente feito por algoritmos que fazem o
embaralhamento dos bits desses dados a partir de uma determinada chave ou par de
chaves, dependendo do sistema criptogrfico escolhido. Atualmente, a criptografia
amplamente utilizada na WEB, em segurana a fim de autenticar os usurios para lhes
fornecer acesso, na proteo de transaes financeiras e em redes de comunicao.
Cifras e Cdigos
A cifra um ou mais algoritmos que cifram e decifram um texto. A operao do
algoritmo costuma ter como parmetro uma chave criptogrfica. Tal parmetro costuma
ser secreto (conhecido somente pelos comunicantes). A cifra pode ser conhecida, mas
no a chave; assim como se entende o mecanismo de uma fechadura comum, mas no
se pode abrir a porta sem uma chave real.
104
Na linguagem no tcnica, um Cdigo secreto o mesmo que uma cifra. Porm, na
linguagem especializada os dois conceitos so distintos. Um cdigo funciona
manipulando o significado, normalmente pela substituio simples de palavras ou
frases. Uma cifra, ao contrrio, trabalha na representao da mensagem (letras, grupos
de letras ou, atualmente, bits).
Por exemplo, um cdigo seria substituir a frase "Atacar imediatamente" por "Mickey
Mouse". Uma cifra seria substituir essa frase por "sysvst ozrfosyszrmyr". No Dia D, por
exemplo, as praias de desembarque no eram conhecidas pelo seu nome prprio, mas
pelos seus cdigos (Omaha, Juno, etc.).
Basicamente, cdigos no envolvem chave criptogrfica, apenas tabelas de substituio
ou mecanismos semelhantes. Cdigos podem ser ento encarados como cifras cuja a
chave o prprio conhecimento do mecanismo de funcionamento da cifra.
Chave Criptogrfica
Uma chave criptogrfica um valor secreto que modifica um algoritmo de encriptao.
A fechadura da porta da frente da sua casa tem uma srie de pinos. Cada um desses
pinos possui mltiplas posies possveis. Quando algum pe a chave na fechadura,
cada um dos pinos movido para uma posio especfica. Se as posies ditadas pela
chave so as que a fechadura precisa para ser aberta, ela abre, caso contrrio, no.
Viso geral: objetivos
A criptografia tem quatro objetivos principais:
1. confidencialidade da mensagem: s o destinatrio autorizado deve ser capaz de
extrair o contedo da mensagem da sua forma cifrada. Alm disso, a obteno
de informao sobre o contedo da mensagem (como uma distribuio
estatstica de certos caracteres) no deve ser possvel, uma vez que, se o for,
torna mais fcil a anlise criptogrfica.
2. integridade da mensagem: o destinatrio dever ser capaz de determinar se a
mensagem foi alterada durante a transmisso.
3. autenticao do remetente: o destinatrio dever ser capaz de identificar o
remetente e verificar que foi mesmo ele quem enviou a mensagem.
4. no-repdio ou irretratabilidade do emissor: no dever ser possvel ao emissor
negar a autoria da mensagem.
Nem todos os sistemas ou algoritmos criptogrficos so utilizados para atingir todos os
objetivos listados acima. Normalmente, existem algoritmos especficos para cada uma
destas funes. Mesmo em sistemas criptogrficos bem concebidos, bem
implementados e usados adequadamente, alguns dos objetivos acima no so prticos
(ou mesmo desejveis) em algumas circunstncias. Por exemplo, o remetente de uma
mensagem pode querer permanecer annimo, ou o sistema pode destinar-se a um
ambiente com recursos computacionais limitados.
Criptografia Clssica
105

Um basto reconstrudo dos gregos antigos, a Ctala era utilizada para envio de
mensagens secretas
Podemos dizer que o uso da criptografia to antigo quanto a necessidade do homem
em esconder a informao. Muitos pesquisadores atribuem o uso mais antigo da
criptografia conhecido aos hierglifos usados em monumentos do Antigo Egito (cerca
de 4500 anos atrs). Diversas tcnicas de ocultar mensagens foram utilizadas pelos
gregos e romanos.
A criptografia pr-computacional era formada por um conjunto de mtodos de
substituio e transposio dos caracteres de uma mensagem que pudessem ser
executados manualmente (ou at mesmo mentalmente) pelo emissor e pelo destinatrio
da mensagem. O surgimento de mquinas especializadas e, posteriormente, dos
computadores ocasionou uma significativa evoluo das tcnicas criptogrficas.
Criptografia Moderna
A era da criptografia moderna comea realmente com Claude Shannon, possivelmente o
pai da criptografia matemtica. Em 1949 ele publicou um artigo Communication
Theory of Secrecy Systems com Warren Weaver. Este artigo, junto com outros de seus
trabalhos que criaram a rea de Teoria da Informao estabeleceu uma base terica
slida para a criptografia e para a criptoanlise. Depois disso, quase todo o trabalho
realizado em criptografia se tornou secreto, realizado em organizaes governamentais
especializadas (como o NSA nos Estados Unidos). Apenas em meados de 1970 as
coisas comearam a mudar.
Em 1976 aconteceram dois grandes marcos da criptografia para o pblico. O primeiro
foi a publicao, pelo governo americano, do DES (Data Encryption Standard), um
algoritmo aberto de criptografia simtrica, selecionado pela NIST em um concurso onde
foi escolhido uma variante do algoritmo Lucifer, proposto pela IBM. O DES foi o
primeiro algoritmo de criptografia disponibilizado abertamente ao mercado.
O segundo foi a publicao do artigo New Directions in Cryptography por Whitfield
Diffie e Martin Hellman, que iniciou a pesquisa em sistemas de criptografia de chave
pblica. Este algoritmo ficou conhecido como "algoritmo Diffie-Hellman para troca de
chaves" e levou ao imediato surgimento de pesquisas neste campo, que culminou com a
criao do algoritmo RSA, por Ronald Rivest, Adi Shamir e Leonard Adleman.
Criptografia Quntica
106
Desenvolvimento da tcnica reunindo o conceito de criptografia e a teoria quntica
mais antigo do que se imagina, sendo anterior descoberta da criptografia de Chave
Pblica. Stephen Wiesner escreveu um artigo por volta de 1970 com o ttulo:
"Conjugate Coding" que permaneceu sem ser publicado at o ano de 1983. Em seu
artigo, Wiesner explica como a teoria quntica pode ser usada para unir duas mensagens
em uma nica transmisso quntica na qual o receptor poderia decodificar cada uma das
mensagens porm nunca as duas simultaneamente, pela impossibilidade de violar uma
lei da natureza (o princpio de incerteza de Heisenberg).
7

Utilizando-se pares de ftons, a criptografia quntica permite que duas pessoas
escolham uma chave secreta sem jamais terem se visto, trocado alguma mensagem ou
mesmo algo material. A criptografia quntica oferece a possibilidade de gerar uma
chave segura se o sinal um objeto quntico, assim, o termo mais correto seria
Distribuio de Chave Quntica (Quantum Key Distribution - QKD) e no Criptografia
Quntica. interessante notar que a Criptologia atual est amparada na Matemtica mas
com a introduo desse conceito de mensagens criptografadas por chaves qunticas a
fsica passou a ter importncia primordial no tema. O maior problema para
implementao da Criptografia quntica ainda a taxa de erros na transmisso dos
ftons seja por via area ou fibra tica. Os melhores resultados obtidos atualmente se
do em cabos de fibra tica de altssima pureza, e conseqentemente elevadssimo custo
tambm, alcanando algo em torno de 70 km.
Por via area a distncia chega a algumas centenas de metros e qualquer tentativa de se
aumentar essa distncia tanto em um quanto em outro mtodo a taxa de erros se torna
muito grande e inviabiliza o processo. O desenvolvimento de tecnologias que permitam
o perfeito alinhamento dos polarizadores, fibras ticas melhores e amplificadores
qunticos de sinais permitir que o sistema de Distribuio de Chaves Qunticas venha
a ser o novo padro de segurana de dados.
A Criptografia Quntica se destaca em relao aos outros mtodos criptogrficos pois
no necessita do segredo nem do contato prvio entre as partes, permite a deteco de
intrusos tentando interceptar o envio das chaves, e incondicionalmente segura mesmo
que o intruso tenha poder computacional ilimitado. A nica forma possvel de falha no
processo seria se utilizar de um ardil onde a comunicao fosse interceptada e
substituda, tanto para o emissor quanto para o receptor, criando assim um canal de
comunicao controlado pelo intruso. O processo ainda apresenta um elevado custo de
implantao, mas o desenvolvimento tecnolgico poder torn-la acessvel a todas as
aplicaes militares, comerciais e de fins civis em geral.
Gesto de direitos digitais
A criptografia central no tema de gesto de direitos digitais (DRM), um grupo de
tcnicas para controlar e restringir tecnologicamente o uso de direitos autorais e suas
marcas registradas. Em 1998 a lei Estadounidense Millennium Copyright Act (DMCA)
criminaliza toda a produo e diseminao de certas tcnicas (no conhecidas ou mais
tarde conhecidas) da criptogafia, especialmente aquelas que poderiam ser utilizadas para
ultrapassar o DRM. Leis e cdigos similares ao DRM foram desde essa altura
aparecendo em vrios pases e regies, incluindo a implementao Directive on the
harmonisation of certain aspects of copyright and related rights in the information
107
society na Europa. Leis com restries similares esto a ser propostos pelos Estados
membros da Organizao Mundial da Propriedade Intelectual.
Alguns algoritmos e sistemas criptogrficos
Funes de Hash criptogrfico, ou message digest
MD5
SHA-1
RIPEMD-160
Tiger
Sistemas Free/Open Source
PGP
GPG
SSL
IPSec / Free S/WAN
Algoritmos assimtricos ou de chave pblica
Curvas elpticas
Diffie-Hellman
DSA de curvas elpticas
El Gamal
RSA
Algoritmos simtricos
Mquina Enigma (Mquina alem de rotores utilizada na 2a Guerra Mundial)
DES - Data Encryption Standard (FIPS 46-3, 1976)
RC4 (um dos algoritmos criados pelo Prof. Ron Rivest)
RC5 (tambm por Prof. Ron Rivest)
Blowfish (por Bruce Schneier)
IDEA - International Data Encryption Algorithm (J Massey e X Lai)
AES (tambm conhecido como RIJNDAEL) - Advanced Encryption Standard
(FIPS 197, 2001)
RC6 (Ron Rivest)
Referncias
1. FIARRESGA, Victor Manuel Calhabrs; Jorge Nuno Oliveira e Silva (2010).
Criptografia e Matemtica. Repositrio aberto da Universidade de Lisboa Teses
de mestrado. Pgina visitada em 17 de Junho de 2012.
2. Knudsen, Jonathan. Java Cryptography. Beijing: OReilly, 1998. 344 p. ISBN 1-
56592-402-9
3. ALECRIM, Emerson (2010). Criptografia. InfoWester Propagando
Conhecimento. Pgina visitada em 17 de Junho de 2012.
108
4. Young, Adam L.; Yung, Moti. Malicious Cryptography: Exposing
Cryptovirology. Indianapolis: Addison-Wesley, 2004. 392 p. ISBN 0-7645-4975-
8
5. Gaines, Hele Fouch. Cryptanalysis. New York: Dover Publications, 1956. 237
p.
6. Solomon, David. Coding for Data and Computer Communications. Northridge,
California: Springer, 2005. 548 p. ISBN 0-387-21245-0
7. Introduo criptografia quntica (PDF). Revista Brasileira de Ensino de
Fsica, v. 27, n. 4, p. 517 - 526, (2005). Pgina visitada em 10 de fevereiro de
2009.
Bibliografia
Hook, David. Beginning Cryptography with Java. Indianapolis: Wrox,
2005. 448 p. ISBN 0-7645-9633-0
Schneier, Bruce. Applied Cryptography. New York: John Wiley and Sons,
1996. 758 p. ISBN 0-471-11709-9
Viktoria Tkotz, Criptografia -Segredos Embalados para Viagem. Novatec
Editora. ISBN 85-7522-071-3.

Assinatura digital
Esquema de funcionamento da assinatura digital (em castelhano).
Este artigo trata da assinatura digital utilizando a tecnologia PKI (Public Key
Infrastructure), que apenas uma das tcnicas disponveis para gerar documentos
digitais com validade legal, outros mtodos de assinatura digital esto em uso e a
tecnologia continua evoluindo e apresentando alternativas PKI.
Em criptografia, a assinatura ou firma digital um mtodo de autenticao de
informao digital tipicamente tratada como anloga assinatura fsica em papel.
Embora existam analogias, existem diferenas importantes. O termo assinatura
eletrnica, por vezes confundido, tem um significado diferente: refere-se a qualquer
mecanismo, no necessariamente criptogrfico, para identificar o remetente de uma
mensagem electrnica. A legislao pode validar tais assinaturas eletrnicas como
endereos Telex e cabo, bem como a transmisso por fax de assinaturas manuscritas em
papel.
A utilizao da assinatura ou firma digital providencia a prova inegvel de que uma
mensagem veio do emissor. Para verificar este requisito, uma assinatura digital deve ter
as seguintes propriedades:
autenticidade - o receptor deve poder confirmar que a assinatura foi feita pelo
emissor;
integridade - qualquer alterao da mensagem faz com que a assinatura no
corresponda mais ao documento;
109
irretratabilidade - o emissor no pode negar a autenticidade da mensagem.
Essas caractersticas fazem a assinatura digital ser fundamentalmente diferente da
assinatura manuscrita.
Histria
Em 1976, Whitfield Diffie e Martin Hellman descreveram primeiramente a noo de um
esquema de assinatura digital, embora eles apenas conjecturaram que tais esquemas
existissem. Apenas mais tarde, Ronald Rivest, Adi Shamir, e Len Adleman inventaram
o algoritmo RSA que poderia ser usado para assinaturas digitais primitivas (note que
isso apenas serve como uma prova do conceito, e as assinaturas RSA puras no so
seguras). O primeiro pacote de software amplamente comercializado a oferecer a
assinatura digital foi o Lotus Notes 1.0, em 1989, que usava o algoritmo RSA.
Como notado ainda cedo, esse esquema bsico no muito seguro. Para prevenir
ataques pode-se primeiro aplicar uma funo de criptografia hash para a mensagem 'm' e
ento aplicar o algoritmo RSA ao resultado. Outros esquemas de assinatura digital
foram logo desenvolvidos depois do RSA, o mais antigo sendo as assinaturas de
Lamport, de Merkle (tambm conhecidas como rvores de Hash) e as de Rabin.
Em 1984, Shafi Goldwasser, Silvio Micali, e Ronald Rivest tornaram-se os primeiros a
rigorosamente definir os requerimentos de segurana de esquemas de assinatura digital.
Eles descreveram uma hierarquia de modelos de ataque para esquemas de assinatura, e
tambm apresentaram o esquema de assinatura GMR, o primeiro que podia se prevenir
at mesmo de uma forja existencial contra um ataque de mensagem escolhida.
Como funciona?
Existem diversos mtodos para assinar digitalmente documentos, e esses mtodos esto
em constante evoluo. Porm de maneira resumida uma assinatura tpica envolve dois
processos criptogrficos: o hash (resumo) e a encriptao deste hash.
Em um primeiro momento gerado um resumo criptogrfico da mensagem atravs de
algoritmos complexos (Exemplos: MD5, SHA-1, SHA-256) que reduzem qualquer
mensagem sempre a um resumo de mesmo tamanho. A este resumo criptogrfico se d
o nome de hash. Uma funo de hash deve apresentar necessariamente as seguintes
caractersticas:
Deve ser impossvel encontrar a mensagem original a partir do hash da mensagem.
O hash deve parecer aleatrio, mesmo que o algoritmo seja conhecido. Uma funo de
hash dita forte se a mudana de um bit na mensagem original resulta em um novo
hash totalmente diferente.
Deve ser impossvel encontrar duas mensagens diferentes que levam a um mesmo
hash.
Neste ponto, o leitor mais atento percebe um problema: Se as mensagens possveis so
infinitas, mas o tamanho do hash fixo, impossvel impedir que mensagens diferentes
levem a um mesmo hash. De fato, isto ocorre. Quando se encontram mensagens
110
diferentes com hashs iguais, dito que foi encontrada uma coliso de hashes. Um
algoritmo onde isso foi obtido deve ser abandonado. As funes de hash esto em
constante evoluo para evitar que colises sejam obtidas. Cabe destacar porm que a
coliso mais simples de encontrar uma aleatria, ou seja, obter colises com duas
mensagens geradas aleatoriamente, sem significado real. Quando isto ocorre os
estudiosos de criptografia j ficam atentos, porm para comprometer de maneira
imediata a assinatura digital seria necessrio obter uma mensagem adulterada que tenha
o mesmo hash de uma mensagem original fixa, o que teoricamente impossvel de
ocorrer com os algoritmos existentes hoje. Desta forma, garante-se a integridade da
assinatura.
Aps gerar o hash, ele deve ser criptografado atravs de um sistema de chave pblica,
para garantir a autenticao e a irretratabilidade. O autor da mensagem deve usar sua
chave privada para assinar a mensagem e armazenar o hash criptografado junto a
mensagem original.
Para verificar a autenticidade do documento, deve ser gerado um novo resumo a partir
da mensagem que est armazenada, e este novo resumo deve ser comparado com a
assinatura digital. Para isso, necessrio descriptografar a assinatura obtendo o hash
original. Se ele for igual ao hash recm gerado, a mensagem est ntegra. Alm da
assinatura existe o selo cronolgico que atesta a referncia de tempo assinatura.
Aspectos legais
Legislaes sobre o efeito e validade de assinaturas digitais:
Brasil
Conforme a Medida provisria 2.200-2, a lei brasileira determina que qualquer
documento digital tem validade legal se for certificado pela ICP-Brasil (a ICP oficial
brasileira). A medida provisria tambm prev a utilizao de certificados emitidos por
outras infra-estruturas de chaves pblicas, desde que as partes que assinam reconheam
previamente a validade destes.
O que a MP 2.200-2 portanto outorga ICP-Brasil a f pblica, considerando que
qualquer documento digital assinado com o certificado emitido pela ICP-Brasil pode de
fato ser considerado assinado pela prpria pessoa.
Resultado igual pode ser obtido se o usurio de um certificado emitido por outra ICP
qualquer, depositar em cartrio de registro o reconhecimento da mesma como sua
identidade digital. O que se quer preservar o princpio da irrefutabilidade do
documento assinado, assim sendo, o registro em cartrio de um documento no qual o
usurio reconhece como sendo seu um determinado certificado digital prova mais que
suficiente para vincular a ele qualquer documento eletrnico assinado com aquele
certificado.
Comunidade Europeia
Common Position EC 28/1999 Community Framework for Electronic Signature
111
Estados Unidos da Amrica
Uniform Electronic Transactions Act (UETA)
Electronic Signatures in Global and National Commerce Act (E-SIGN), atravs 15 U.S.C.
7001 et seq.
Outras tecnologias disponveis oferecidas por empresas:
RightSignature [1]
Docusign [2]
Echosign [3]
Arx [4]
TrueSeal [5]
SigningHub[6]
Inglaterra, Esccia e Gales
Electronic Communications Act, 2000
ndia
Information Technology Act, 2000
Nova Zelndia
Electronic Transactions Act, 2003 sections 22-24
Portugal
A legislao portuguesa prev a utilizao da assinatura digital no Decreto-Lei n. 290-
D/99, republicado pelo Decreto-Lei n. 62/2003, definindo-a como um documento
elaborado mediante processamento electrnico de dados.
Este Decreto-Lei procede transposio da Directiva do Parlamento Europeu e do
Conselho n 1999/93/CE, de 28 de Junho, relativa a um quadro legal comunitrio para
as assinaturas electrnicas.
De acordo com a legislao portuguesa, as assinaturas electrnicas tm a mesma
validade probatria que as assinaturas manuscritas, desde que se baseiem em
certificados emitidos por entidades certificadoras credenciadas.
A autoridade de credenciao das entidades certificadoras a Autoridade Nacional de
Segurana; a credenciao, contudo, facultativa, podendo qualquer entidade no
credenciada exercer essa actividade. A Autoridade Nacional de Segurana publica a
lista das entidades credenciadas. Neste momento, em Portugal, para alm da entidade
certificadora do Carto de Cidado, do Ministrio da Justia, da Assembleia da
Repblica e da Entidade Certificadora Electrnica do Estado, h duas entidades
certificadoras privadas credenciadas pela Autoridade Nacional de Segurana para
emisso de certificados de assinatura electrnica qualificada, a Multicert e a
DigitalSign.
112
Autenticao
Autenticao (do grego : = real ou genuno, de 'authentes' = autor) o ato
de estabelecer ou confirmar algo (ou algum) como autntico, isto , que reivindica a
autoria ou a veracidade de alguma coisa. A autenticao tambm remete confirmao
da procedncia de um objeto ou pessoa, neste caso, frequentemente relacionada com a
verificao da sua identidade.
Gesto da Informao
de grande relevncia no processo de gesto da informao a proteo dos dados e dos
recursos envolvidos nele, de modo a garantir a acesso, alterao e liberao apenas por
pessoas devidamente autorizadas.
Segurana da informao
A segurana da informao est fortemente relacionada a administrao moderna
representando um bem que por sua vez precisa ser protegido, visando minimizar riscos
no tocante ao extravio de informao, apoiando os retornos envolvidos de modo a
garantir a continuidade dos negcios.
Em segurana da informao, a autenticao um processo que busca verificar a
identidade digital do usurio de um sistema, normalmente, no momento em que ele
requisita um log in (acesso) em um programa ou computador. A autenticao
normalmente depende de um ou mais "fatores de autenticao".
O termo "autorizao" muitas vezes confundido com o termo autenticao, mas apesar
de serem relacionados, o significado de ambos muito diferente. A autenticao o
processo que verifica a identidade de uma pessoa, por sua vez, a autorizao verifica se
esta pessoa possui permisso para executar determinadas operaes. Por este motivo, a
autenticao sempre precede a autorizao.
Controle de acesso
O controle de acesso um exemplo comum de adoo de mecanismos de autenticao.
Um sistema computacional, cujo acesso permitido apenas a usurios autorizados, deve
detectar e excluir os usurios no autorizados. O acesso controlado por um
procedimento que estabelece a identidade do usurio com algum grau de confiana
(autenticao), e s ento concede determinados privilgios (autorizao) de acordo
com esta identidade. Alguns exemplos de controle de acesso so encontrados em
sistemas que permitem:
saque de dinheiro de um caixa eletrnico;
comunicao com um computador atravs da Internet;
navegao em um sistema de Internet banking.
Ambientes Afetados
113
Os Ambientes Afetados So todos os frameworks de aplicaes web so vulnerveis a
furos de autenticao e de gerncia de sesso.
Vulnerabilidade
Os Furos da Vulnerabilidade no mecanismo principal de autenticao no so
incomuns, mas falhas so geralmente introduzidas a partir de funes menos
importantes de autenticao como logout, gerncia de senhas, timeout, recordao de
dados de logon, pergunta secreta e atualizao de conta.
Verificao de Segurana
A Verificao de Segurana so abordagens automatizadas ferramentas de localizao
de vulnerabilidade tm dificuldade em esquemas de autenticao e de sesso
personalizados. As ferramentas de anlise estticas provavelmente no detectaro
problemas em cdigos personalizados para autenticao e gerncia de sesso.
Abordagens Manuais
Essas Abordagens Manuais pra ser feito com reviso de cdigo e testes, especialmente
combinados, so muito efetivos para a verificao de autenticao, gerncia de sesso e
funes secundrias esto todas implementadas corretamente.
Implementao dos Mecanismos
1. Autenticao baseada no conhecimento Login e senha
Remove caracteres indevidos que so utilizados em ataques como os de SQL Injection;
Verificar se a varivel login est preenchida;
Validar formulrios, de acordo com as regras definidas;
No permitir que as variveis login e senha estejam em branco;
Senha seja criptografada;
Verifica se o usurio existe no banco de dados e se a senha confere.
Se a senha estiver correta, a aplicao lista os privilgios deste e salva as informaes
em variveis de sesso,
Libera o acesso e redirecionando para a pgina inicial do sistema.
2. Autenticao baseada na propriedade Login, senha e token
Utiliza um token, alm do convencional login e senha;
Durante o cadastro de cada usurio, so cadastrados no banco de dados os tokens;
114
Estes tokens so gerados de forma randmica por meio da funo rand() do PHP;
Na tela de autenticao solicitado ao usurio seu login, sua senha e uma chave;
Aps a verificao correta, o acesso liberado.
3. Autenticao baseada na caracterstica Digital
Cada usurio tem em seu cadastro no banco de dados uma imagem de sua digital, ou
vrias;
Alm disso, necessrio um hardware que faa a leitura da digital;
Um aparelho que possui um software interno recebe as imagens das digitais cadastradas
no banco de dados e faz a comparao;
Com a digital em leitura no momento, retornando o usurio;
Caso haja confirmao da digital, o seu acesso ao sistema liberado.
Cada mecanismo possui suas vantagens e desvantagem, devendo ser os mesmos
aplicados de modo a atender a necessidade do negcio visando garantir a autenticidade
das entidades envolvidas. O que vai definir qual dos mtodos ser o adotado o valor
da informao a ser protegida para as entidades envolvidas, cujo o risco dever ser
aceito em nveis aceitveis.
Proteo
A Proteo da Autenticao depende da comunicao segura de armazenamento de
credenciais. Primeiramente, assegure-se de que o SSL a nica opo para todas as
partes autenticadas do aplicativo e que todas as credenciais esto guardadas de uma
forma encriptada ou em Hash.
Fatores de autenticao
Os fatores de autenticao para humanos so normalmente classificados em trs casos:
aquilo que o usurio (impresso digital, padro retinal, sequncia de DNA, padro de
voz, reconhecimento de assinatura, sinais eltricos unicamente identificveis
produzidos por um corpo vivo, ou qualquer outro meio biomtrico).
aquilo que o usurio tem (carto de identificao, security token, software token ou
telefone celular)
aquilo que o usurio conhece (senha, frase de segurana, PIN)
Frequentemente utilizada uma combinao de dois ou mais mtodos. A Secretaria da
Receita Federal, por exemplo, pode requisitar um certificado digital (o que se possui)
alm da senha (o que se sabe) para permitir o acesso a uma declarao de imposto de
renda, neste caso o termo "autenticao de dois fatores" utilizado.

115
Certificado digital
Um certificado digital um arquivo de computador que contm um conjunto de
informaes referentes a entidade para o qual o certificado foi emitido (seja uma
empresa, pessoa fsica ou computador) mais a chave pblica referente chave privada
que se acredita ser de posse unicamente da entidade especificada no certificado.
Uso
Um certificado digital usado para ligar uma entidade a uma chave pblica. Para
garantir digitalmente, no caso de uma Infraestrutura de Chaves Pblicas (ICP), o
certificado assinado pela Autoridade Certificadora (AC) que o emitiu e no caso de um
modelo de Teia de Confiana (Web of trust) como o PGP, o certificado assinado pela
prpria entidade e assinado por outros que dizem confiar naquela entidade. Em ambos
os casos as assinaturas contidas em um certificado so atestamentos feitos por uma
entidade que diz confiar nos dados contidos naquele certificado.
A troca de chaves simtricas entre usurios para comunicao segura tornou-se
impraticvel, a criptografia de chaves pblicas prov um meio de solucionar este
problema. Resumindo, se Alice deseja que outros tenham a capacidade de enviar-lhe
mensagens secretas, tudo que ela precisa fazer publicar a sua chave pblica. Qualquer
pessoa que possua a chave pblica de Alice poder enviar-lhe informaes secretas.
Infelizmente, Davi tambm pode publicar uma chave pblica (para a qual Davi sabe a
chave privada relacionada) alegando ser a chave pblica de Alice e assim tendo a
capacidade de decifrar as mensagens secretas destinadas a Alice mas que foram cifradas
pela chave pblica de Davi. Mas se Alice possuir um certificado digital com a sua chave
pblica e este certificado for assinado digitalmente por Joo, qualquer pessoa que confie
em Joo poder sentir-se confortvel em confiar no certificado de Alice.
Em uma ICP, Joo ser uma AC, a qual tem a confiana de todos os participantes
daquela ICP. Em um modelo de Teia de confiana, Joo poder ser qualquer usurio, e
confiar ou no em um atestamento de um usurio que diz que uma chave pblica
especfica pertence a Alice, est a cargo da pessoa que deseja enviar a mensagem para
Alice.
Em situaes reais, Alice pode no conhecer a AC de Bob (talvez seus certificados no
tenham sido emitidos pela mesma AC), ento o certificado de Bob, tambm pode incluir
a chave pblica da sua AC assinada por uma AC de "maior nvel" (Ex. a AC Raiz ICP-
BRASIL que emitiu os certificados da AC intermediria). Este processo leva a uma
hierarquia de certificados, e para relacionamentos de confiana ainda mais complexos.
A maioria das vezes ICP se refere ao software que administra os certificados. Em
sistemas ICP X.509, a hierarquia de certificados sempre baseada em uma rvore de
cima a baixo, com o certificado raiz no topo, representando a AC "principal" que no
precisa ser assinado por um terceiro confivel (Joo). O certificado raiz auto assinado.
Um certificado pode ser revogado se for descoberto que a sua chave privada relacionada
foi comprometida, ou se o seu relacionamento (entre uma entidade e a sua chave
pblica) embutida no certificado estiver incorreta ou foi mudada; isto poder ocorrer,
116
por exemplo, se uma pessoa muda de nome ou CPF. Uma revogao no comum, mas
a possibilidade da ocorrncia significa que quando um certificado confivel, o usurio
dever sempre verificar a sua validade. Isto pode ser feito comparando o certificado
com uma Lista de certificados revogados (LCR). Seu objetivo mostrar todos os
certificados revogados ou cancelados no mbito daquela AC. Garantir que a lista est
correta e atualizada a parte mais importante em uma ICP centralizada, o que s vezes
no feito corretamente. Para a LCR ser efetiva, precisa estar disponvel o tempo todo
para qualquer um que a precisar e ser atualizada frequentemente. A outra maneira de
conferir a validade de um certificado, fazer uma consulta a AC usando o Online
Certificate Status Protocol (OCSP) para saber o estado de um certificado especfico.
Um certificado normalmente inclui:
Informaes refentes a entidade para o qual o certificado foi emitido (nome, email,
CPF/CNPJ, PIS etc.)
A chave pblica referente a chave privada de posse da entidade especificada no
certificado
O perodo de validade
A localizao do "centro de revogao" (uma URL para download da LCR, ou local para
uma consulta OCSP)
A(s) assinatura(s) da(s) AC/entidade(s) que afirma que a chave pblica contida naquele
certificado confere com as informaes contidas no mesmo
O padro mais comum para certificados digitais no mbito de uma ICP o ITU-T
X.509. O X.509 foi adaptado para a Internet pelo grupo da Internet Engineering Task
Force (IETF) PKIX.
A anatomia de um certificado X.509
Um certificado padro X.509 contm os seguintes campos:
Verso - Contem a verso do certificado X.509, atualmente verso 3
Nmero serial - Todo certificado possui um, no globalmente nico, mas nico no
mbito de uma AC, ac LCRs usam o serial para apontar quais certificados se encontram
revogados
Tipo de algoritmo - Contem um identificador do algoritmo criptogrfico usado pela AC
para assinar o certificado juntamente com o tipo de funo de hash criptogrfica
usada no certificado
Nome do titular - Nome da entidade para o qual o certificado foi emitido
Nome do emitente - Autoridade Certificadora que emitiu/assinou o certificado
Perodo de validade - Mostra o perodo de validade do certificado no formato "No
antes" e "No depois" (Ex. "No antes de 05/03/2006 - 14:35:02" "No depois de
05/03/2007 - 14:03:20")
Informaes de chave pblica da entidade
o Algoritmo de chave pblica
o Chave pblica
Assinatura da AC - A garantia que a AC prov sobre a veracidade das informaes
contidas neste certificado de acordo com as polticas da AC
117
Identificador da chave do titular - uma extenso do X.509 que possui um
identificador numrico para a chave pblica contida neste certificado, especialmente
til para que programas de computador possam se referir a ela
Identificador da chave do emitente - A mesma ideia mencionada anteriormente, s
que se referindo a chave pblica da AC que emitiu o certificado
Atributos ou extenses - A vasta maioria dos certificados X.509 possui campos
chamados extenses (OID) que provem algumas informaes extras, como cadastros
adicionais do titular e do emitente, especificaes de propsito do certificado e etc.
Criando um certificado digital
1. A entidade que deseja emitir o certificado gera um par de chaves criptogrficas (uma
chave pblica e uma chave privada).
2. Em seguida a entidade gera um arquivo chamado Certificate Signing Request (CSR)
composto pela chave pblica da entidade e mais algumas informaes que a AC requer
sobre a entidade e assinado digitalmente pela chave privada da prpria entidade e
envia o CSR cifrado pela chave privada da AC.
3. Ento necessrio o comparecimento fsico de um indivduo responsvel por aquela
identidade em uma Autoridade de Registro (AR) (em alguns casos a AR vai at o
cliente) para confirmao dos dados contidos no CSR e se necessrio o acrscimo de
mais algum dado do responsvel pelo certificado e emisso do certificado.
4. Finalmente o CSR "transformado" em um certificado digital assinado pela AC e
devolvido ao cliente.
5. Ento o browser/aplicativo de gerncia de certificados combina o certificado + a chave
privada criando o conceito de "Identidade digital", normalmente salvando a chave
privada em um cofre protegido por uma frase senha que ser necessria para o
posterior acesso a chave privada.
Os browsers existentes hoje em dia como Internet Explorer, Firefox e Opera,
conhecidos como o sistema FIOPEX, FI de FIrefox, OP de OPera, e Ex de Internet
EXplorer fazem a parte do processo que depende do cliente (at o momento de enviar o
CSR AC) automaticamente. O processo tambm pode ser feito manualmente usando
alguma biblioteca criptogrfica como o OpenSSL por exemplo.
Aspectos legais
A Medida Provisria n 2.200-2, de 24 de agosto de 2001 define as regras para a criao
da ICP-Brasil e da DPC associada bem como a utilizao de certificados digitais no
Brasil, aspectos legais e aspectos necessrios para uma entidade se tornar uma AC
Intermediria e assim emitir certificados digitais para outras entidades garantindo
autenticidade, integridade, no repdio e validade jurdica de trmites eletrnicos por
essas entidades realizados.
A Lei 11.419 de 19 de dezembro de 2006 fundamenta os processos judiciais eletrnicos
no Brasil. Nela, existe o artigo 20 do captulo 4, que altera o artigo 38 do Cdigo de
Processo Civil (Lei 5.869, de 11 de janeiro de 1973) de forma que a autenticao por
certificados digitais tambm seja legalmente vlida.
118
Auditoria em segurana da informao
A auditoria em segurana da informao tem o papel de assegurar a qualidade da
informao e participar do processo de garantia quanto a possveis e indesejveis
problemas de falha humana.
Com dados concentrados em formato digital e procedimentos invisveis devido
automao, os sistemas de informao so vulnerveis a destruio, abuso, alterao,
erro, fraude e a falhas de programas e equipamentos. Os sistemas on-line e os que
utilizam a Internet so os mais vulnerveis, pois seus dados e arquivos podem ser
acessados imediata e diretamente em terminais de computador ou em muitos pontos de
rede. Crackers podem invadir redes e causar srios danos ao sistema e s informaes
armazenadas, sem deixar qualquer rastro. Vrus de computador podem se propagar
rapidamente entupindo a memria de computadores e destruindo arquivos. Os softwares
em si tambm apresentam problemas e a m qualidade dos dados tambm pode causar
srios impactos sobre o desenvolvimento do sistema.
Qualquer grande empresa precisa tomar providencias especiais para evitar as
vulnerabilidades. Para tanto, planos de recuperao ps-desastre incluem procedimentos
e instalaes para restaurar os servios de comunicao aps terem sofrido algum tipo
de problema. Quando a empresa utiliza intranet ou Internet, firewalls e sistemas de
deteco de invaso ajudam a salvaguardar redes internas contra o acesso no
autorizado.
Segurana do Banco de Dados
Especial ateno deve ser dada ao banco de dados para o qual devem existir
dispositivos de segurana, procedimentos de autorizao de acesso aos dados,
atualizao das novas verses e procedimentos de cpias para possveis restauraes.
A segurana das informaes processadas pelo sistema de informtica deve ser sempre
monitorada para verificar se os relatrios gerados esto corretos, se esto protegidas
contra fraudes, se as instalaes e os equipamentos tambm esto protegidos.
Segurana de Redes
Quanto segurana de redes as seguintes medidas de segurana devem ser tomadas:
uso da criptografia no envio de dados, monitoramento do sistema, cuidados com a
criao de novos usurios e uso de firewall, pois o firewall um sistema desenvolvido
para prevenir acessos no autorizados a uma rede local de computadores. Os firewalls
so implementados atravs de programas de computador e dispositivos eletrnicos.
Atravs dele, os dados que entram ou saem da rede so examinados com a finalidade de
bloquear os dados que no esto de acordo com os critrios de segurana.
Apenas usurios autorizados podem ter acesso rede e dentro da rede, eles s podem ter
acesso aos recursos realmente necessrios para a execuo de suas tarefas. Sendo que os
recursos crticos devem ser monitorados e seu acesso restrito a poucas pessoas..
119
Segurana Fsica
importante a segurana fsica dos computadores. Deve-se avaliar o grau de segurana
proporcionado aos recursos envolvidos no ambiente de sistemas em relao s ameaas
externas existentes, como o caso de um sinistro ou de um incndio.
O ambiente onde os servidores ficam deve ter restrio de acesso fsico, limpeza e
organizao, dispositivos para monitoramento vinte e quatro horas por dia e
equipamentos de combate a sinistros. A infra-estrutura para os servidores deve contar
com rede eltrica estabilizada e cabeamento estruturado. As estaes de trabalho devem
ter moblia adequada, equipamentos protegidos com lacres ou cadeados, limpeza e
configurao compatvel com a carga de trabalho.
Vulnerabilidade
A vulnerabilidade na computao significa ter brecha em um sistema computacional,
tambm conhecida como bug.
Esta mesma pode ser explorada em um determinado sistema ou servio vulnervel que
esteja rodando na mquina.
As vulnerabilidades mais exploradas nos dias de hoje, so as do tipo buffer overflow,
que muitas vezes pode dar privilgios de administrador para o invasor, rodar cdigos
maliciosos remotamente, burlar particularidades de cada sistema, ataques de Negao de
Servios (DDoS), e acesso irestrito ao sistema.
Alm dessas, outra vulnerabilidade bastante recorrente nos sistemas a enumerao de
usurios. Essa vulnerabilidade ser apresentada a seguir.
Vulnerabilidade: enumerao de usurios
A enumerao de usurio uma prtica utilizada para identificar os usurios ativos em
um determinado sistema. Geralmente ela utilizada para viabilizar ataques de
Fora_bruta. A constatao da vulnerabilidade se d atravs da possibilidade de
discernir entre usurio vlidos e invlidos em uma aplicao. Existem vrias falhas nas
aplicaes que permitem a explorao dos usurios, no entanto, esse tipo de falha mais
comum ser encontradas nos mecanismo de autenticao.
Comumente, um atacante ir interagir com o mecanismo de autenticao da aplicao
na tentativa de identificar o comportamento do sistema em resposta s requisies
efetuadas em diferentes cenrios de autenticao, por exemplo, utilizando um usurio
vlido e outro invlido. Em alguns casos, as aplicaes fornecem respostas que revelam
se um determinado usurio existe na base de dados quando uma credencial invlida
utilizada na requisio de autenticao.
Os testes de enumerao de usurios valida se a aplicao fornece, direta ou
indiretamente, alguma informao que permita a distino entre usurios vlidos de uma
120
aplicao. Abaixo sero apresentadas algumas abordagens que podem ser utilizadas
para nortear os testes no sentido de verificar a vulnerabilidade da aplicao quanto
Cenrios de teste para a enumerao de usurios com base nas respostas
das pginas
Autenticao com um usurio vlido e senha vlida
Registre a resposta fornecida pela aplicao quando um usurio vlido e uma senha
correta sejam utilizados no request da autenticao. Verifique o tamanho e a resposta
do servidor;
Autenticao com um usurio vlido e senha vlida
Nesse cenrio, o tester deve utilizar um usurio vlido e uma senha invlida e registrar
a resposta de erro enviada pelo servidor para analisar o comportamento da aplicao
para esse caso. Geralmente as aplicaes apresentam mensagens como: Falha na
autenticao; Senha invlida. Verifique o tamanho e a resposta do servidor
Autenticao com um usurio invlido
Nesse outro cenrio, o tester deve utilizar um usurio invlido e senha invlida e
registrar o response do servidor. Geralmente as aplicaes apresentam mensagens
como: Usurio invlido; Login no encontrado; Conta invlida. Verifique o
tamanho e a resposta do servidor;
Uma aplicao bem implementada deve retornar o mesmo tamanho e a mesma
mensagem de erro para requisies de autenticao invlida. Caso o tester perceba
que a aplicao apresenta tamanho e cdigos de resposta diferentes para cenrios de
requisies mal sucedidas de autenticao, como nos cenrios 2 e 3 acima, indcios
de vulnerabilidade na aplicao
Exemplo de indicio de vulnerabilidade:
Request: Usurio Vlido / Senha Invlida
Response: Senha incorreta (tamanho: 1500)
Request: Usurio Invlido / Senha Invlida
Response: Usurio no encontrado (tamanho: 1780)
No exemplo acima perceptvel que no primeiro request a aplicao revela que o
usurio vlido (portanto existente na base de dados) j que a resposta identifica que
apenas a senha estava incorreta. O segundo response tambm revela claramente que
o usurio requisitado no vlido. Com essas informaes j possvel a um atacante
interagir com a aplicao realizando requests com nomes variados de usurios para
verificar qual deles a aplicao ir identificar como usurio vlido (com base no
response retornado).
121
Enumerao de usurios com base nos cdigos de erros das pginas de
login
Algumas aplicaes web apresentam cdigos de erros ou mensagens especficas que
podem ser analisadas pelos atacantes;
Enumerao de usurios com base em URLs
Algumas aplicaes web realizam redirecionamento de pgina quando falhas de
autenticao acontecem. As URLs utilizadas para redirecionamentos podem ser
analisadas para identificar os usurios vlidos.
Usurio Vlido / Senha Invlida:
http:// www.teste.com/err.jsp?User=usuario&Error=0
Usurio Invlido / Senha Invlida:
http:// www.teste.com/err.jsp?User=usuario&Error=2
Enumerao de usurios com base nos cdigos de respostas do servidor
(Response Code)
Geralmente os servidores de aplicao, quando no so configurados de forma
adequada, acabam apresentando mensagem de erro padro para requisio
recursos/diretrios. Esses response na maioria das vezes so:
403 Forbidden, para indicar que o recurso existe, porm no h permisso suficiente
para que a requisio possa acess-lo;
Ou
404 Not found, para indicar que o recurso no existe.
Algumas aplicaes so desenvolvidas utilizando princpios REST, permitindo assim
que os recursos da aplicao, como a conta do usurio, possam ser associados URLs .
(Exemplo: A URL http:// www.teste.com.br/usuario01 faz referencia conta do
usurio 01). Dessa forma, um atacante pode utilizar os response code retornado pelo
servidor para enumerar os usurios da aplicao.
Usurio Vlido:
Request: http:// www.teste.com/usuario01
Response: 403 Forbidden
Usurio Invlido:
122
Request: http:// www.teste.com/usuario01
Response: 404 Not Found
No primeiro caso o usurio existi mas a pgina no exibida visto que o servidor
responde com o cdigo 403 Forbidden. J no segundo caso, o cdigo 404 Not
Found indica que o usurio no existe na base da aplicao. Com essas informaes
possvel a enumerao dos usurios da aplicao por um atacante.
Nota: Nem sempre o servidor apresenta um response code 404 Not Found quando um
recurso no existente for solicitado. Ao invs, ele responde com o response code 200
OK mas com um imagem que representa o erro. Para esses casos, um atacante atente
associar a imagem de erro um usurio no existente. Esse mesmo raciocnio pode ser
utilizado para qualquer resposta enviado pelo servidor, bastando diferenciar qual tipo de
resposta representa um usurio vlido e qual representa um usurio invlido.
Enumerao de usurios com base nas funcionalidades de recuperao de
senha
Aplicaes que disponibilizam funcionalidades de recuperao de senhas, muitas vezes
permitem que os usurios possam ser enumerados com base nas mensagens que
apresentam:
Usurio Vlido / Senha Invlida:
Mensagem: Sua nova senha foi enviada com sucesso para o email cadastrado
Usurio Invlido / Senha Invlida:
Mensagem: O email informado no foi encontrado
Ferramentas para explorao de vulnerabilidades
Existem ferramentas especficas para se explorar as vulnerabilidades, cada ferramenta
para a sua respectiva vulnerabilidade a ser explorada (na maioria das vezes escritas em
linguagem C e Assembly), essas ferramentas so chamadas de exploits.
Rede de computadores
Uma rede de computadores formada por um conjunto de mdulos processadores
capazes de trocar informaes e partilhar recursos, interligados por um sub-sistema de
comunicao, ou seja, quando h pelo menos 2 ou mais computadores e outros
dispositivos interligados entre si de modo a poderem compartilhar recursos fsicos e
lgicos, estes podem ser do tipo: dados, impressoras, mensagens (e-mails),entre outros.
1

123
A Internet um amplo sistema de comunicao que conecta muitas redes de
computadores. Existem vrias formas e recursos de vrios equipamentos que podem ser
interligados e compartilhados, mediante meios de acesso, protocolos e requisitos de
segurana.
Os meios de comunicao podem ser: linhas telefnicas, cabo, satlite ou comunicao
sem fios (wireless).
O objectivo das redes de computadores permitir a troca de dados entre computadores e
a partilha de recursos de hardware e software.
2

conectores RJ-45 usados para conectar redes em informtica.

Imagem de um backbone, usado para interligar grandes redes, como a prpria internet.
Histria
Antes do advento de computadores dotados com algum tipo de sistema de
telecomunicao, a comunicao entre mquinas calculadoras e computadores antigos
era realizada por usurios humanos atravs do carregamento de instrues entre eles.
Em setembro de 1940, George Stibitz usou uma mquina de teletipo para enviar
instrues para um conjunto de problemas a partir de seu Model K na Faculdade de
Dartmouth em Nova Hampshire para a sua calculadora em Nova Iorque e recebeu os
resultados de volta pelo mesmo meio. Conectar sistemas de sada como teletipos a
computadores era um interesse na Advanced Research Projects Agency (ARPA)
124
quando, em 1962, J. C. R. Licklider foi contratado e desenvolveu um grupo de trabalho
o qual ele chamou de a "Rede Intergalctica", um precursor da ARPANET.
Em 1964, pesquisadores de Dartmouth desenvolveram o Sistema de Compartilhamento
de Tempo de Dartmouth para usurios distribudos de grandes sistemas de
computadores. No mesmo ano, no MIT, um grupo de pesquisa apoiado pela General
Electric e Bell Labs usou um computador (DECs PDP-8) para rotear e gerenciar
conexes telefnicas.
Durante a dcada de 1960, Leonard Kleinrock, Paul Baran e Donald Davies, de maneira
independente, conceituaram e desenvolveram sistemas de redes os quais usavam
datagramas ou pacotes, que podiam ser usados em uma rede de comutao de pacotes
entre sistemas de computadores.
Em 1969, a Universidade da Califrnia em Los Angeles, SRI (em Stanford), a
Universidade da Califrnia em Santa Brbara e a Universidade de Utah foram
conectadas com o incio da rede ARPANET usando circuitos de 50 kbits/s.
Redes de computadores e as tecnologias necessrias para conexo e comunicao
atravs e entre elas continuam a comandar as indstrias de hardware de computador,
software e perifricos. Essa expanso espelhada pelo crescimento nos nmeros e tipos
de usurios de redes, desde o pesquisador at o usurio domstico.
Atualmente, redes de computadores so o ncleo da comunicao moderna. O escopo
da comunicao cresceu significativamente na dcada de 1990 e essa exploso nas
comunicaes no teria sido possvel sem o avano progressivo das redes de
computadores.
Classificao
Segundo a Arquitetura de Rede:
o Arcnet (Attached Resource Computer Network)
o Ethernet
o Token ring
o FDDI (Fiber Distributed Data Interface)
o ISDDN (Integrated Service Digital Network)
o Frame Relay
o ATM (Asynchronous Transfer Mode)
o X.25
o DSL (Digital Subscriber Line)
* Segundo a extenso geogrfica (ver mais detalhes abaixo em: Modelagem de rede de
computadores segundo Tanenbaum):

o SAN (Storage Area Network)
o LAN (Local Area Network)
o PAN (Personal Area Network)
o MAN (Metropolitan Area Network)
125
o WMAN Wireless Metropolitan Area Network, uma rede boa sem fio de maior
alcance em relao a WLAN
o WAN (Wide Area Network)
o WWAN (Wireless Wide Area Network)
o RAN (Regional Area Network)
o CAN (Campus Area Network)
* Segundo a topologia:

o Rede em anel (Ring)
o Rede em barramento (Bus)
o Rede em estrela (Star)
o Rede em malha (Mesh)
o Rede em ponto-a-ponto (ad-hoc)
o Rede em rvore
* Segundo o meio de transmisso:

o Rede por cabo
Rede de Cabo coaxial
Rede de Cabo de fibra ptica
Rede de Cabo de par tranado
o Rede sem fios
Rede por infravermelhos
Rede por microondas
Rede por rdio
Hardware de Rede
Elementos de Cabeamento:
o Cabo coaxial
o Cabo de fibra ptica
o Cabo de par tranado
o Repetidor
o Transceptor
Estao de trabalho
Placa de rede
Concentrador (hub)
Comutador (switch)
Roteador (router/gateway)
Modem
Porta de Ligao (gateway router)
Ponte (bridge)
Servidor
o Servidor de arquivos
o Servidor de comunicaes
o Servidor de disco
o Servidor de impresso
o Servidor de bluetooth
126
html
Nvel site
blaque
o Ethernet
o PPP
Nvel de Rede
o IP
o IPX
Nvel de transporte
o TCP
o UDP
Nvel de sesso
o NetBIOS
o IPX
o Appletalk
Nvel de apresentao
Nvel de aplicao
o SMTP
o FTP
o Telnet
o SSH
o IRC
o HTTP
o POP3
o VFRAD
Normas
IEEE 802
X.25
Tcnicas de transmisso
Banda larga
Banda base
Modelagem de rede de computadores segundo
Tanenbaum
Uma rede pode ser definida por seu tamanho, topologia, meio fsico e protocolo
utilizado.
PAN (Personal Area Network, ou rede pessoal). Uma PAN uma rede de
computadores usada para comunicao entre dispositivos de computador (incluindo
telefones e assistentes pessoais digitais) perto de uma pessoa.
LAN (Local Area Network, ou Rede Local). uma rede onde seu tamanho se limita a
apenas uma pequena regio fsica.
127
VAN (Vertical Area Network, ou rede de vertical). Uma VAN usualmente utilizada em
redes prediais, vista a necessidade de uma distribuio vertical dos pontos de rede.
CAN (Campus Area Network, ou rede campus). Uma rede que abrange uma rea mais
ampla, onde pode-se conter vrios prdios dentro de um espao continuos ligados em
rede. Esta segundo Tanenbaum em seu livro "Redes de computadores" uma LAN,
justamente porque esta rea dita ampla, quando muito grande abrange 10 quarteires
ou aproximadamente 2.500m quadrados. Essa pequena quando comparado a uma
cidade. Logo CAN no seno Car Area Net. onde funciona o software local, regulando
motores e seus componentes eletronicos.
MAN (Metropolitan Area Network, ou rede metropolitana). A MAN uma rede onde
temos por exemplo, uma rede de farmcias, em uma cidade, onde todas acessam uma
base de dados comum.
WAN (Wide Area Network, ou rede de longa distncia). Uma WAN integra
equipamentos em diversas localizaes geogrficas (hosts, computadores,
routers/gateways, etc.), envolvendo diversos pases e continentes como a Internet.
SAN (Storage Area Network, ou Rede de armazenamento). Uma SAN serve de conexo
de dispositivos de armazenamento remoto de computador para os servidores de
forma a que os dispositivos aparecem como locais ligados ao sistema operacional.
Topologia
Ver artigo principal: Topologia de rede
Topologia em Estrela
Ver artigo principal: Rede em estrela

Topologia de rede em estrela
Neste tipo de rede, todos os usurios comunicam-se com um nodo (n) central, tem o
controle supervisor do sistema, chamado host. Por meio do host os usurios podem se
comunicar entre si e com processadores remotos ou terminais. No segundo caso, o host
funciona como um comutador de mensagens para passar dados entre eles.
128
O arranjo em estrela a melhor escolha se o padro de comunicao da rede for de um
conjunto de estaes secundrias que se comunicam com o n central. As situaes nas
quais isso acontece so aquelas em que o n central est restrito s funes de gerente
das comunicaes e a operaes de diagnsticos.
O gerenciamento das comunicaes por este n central pode ser por chaveamento de
pacotes ou de circuitos.
O n central pode realizar outras funes alm das de chaveamento e processamento
normal. Por exemplo, pode compatibilizar a velocidade de comunicao entre o
transmissor e o receptor. Se o protocolo dos dispositivos fonte e destino for diferente, o
n central pode atuar como um roteador, permitindo duas redes de fabricantes diferentes
se comunicar.
No caso de ocorrer falha em uma estao ou na ligao com o n central, apenas esta
estao fica fora de operao.
Entretanto, se uma falha ocorrer no n central, todo sistema pode ficar fora do ar. A
soluo deste problema seria a redundncia, mas isto acarreta um aumento considervel
de custos.
A expanso de uma rede desse tipo s pode ser feita at um certo limite, imposto pelo
n central: em termos de capacidade de chaveamento, nmero de circuitos concorrentes
que podem ser gerenciados e nmeros de ns que podem ser servidos.
O desempenho obtido numa rede em estrela depende da quantidade de tempo requerido
pelo n central para processar e encaminhar mensagens, e da carga de trfego de
conexo, ou seja, limitado pela capacidade de processamento do n central.
Esta configurao facilita o controle da rede e a maioria dos sistemas de computao
com funes de comunicao; possuem um software que implementa esta configurao.
Topologia em Barramento ou bus
Ver artigo principal: Rede em bus

Topologia de rede em barramento - Simples
Ela consiste em estaes conectadas atravs de um circuito fechado, em srie, formando
um circuito fechado (anel). O anel no interliga as estaes diretamente, mas consiste de
129
uma srie de repetidores ligados por um meio fsico, sendo cada estao ligada a estes
repetidores. uma configurao em desuso.
Topologia em Anel
Ver artigo principal: Rede em anel

Topologia de rede em anel
A topologia em anel como o prprio nome diz tem um formato circular.
Meio fsico
O meio mais utilizado hoje o Ethernet. O padro Ethernet vem subdividido em:
Coax/10base2, UTP (Unshielded Twisted Pair - Par Tranado No Blindado)/10BaseT
e UTP/100baseT e Gigabit ethernet.
Tambm pode ser conectado por Fibra ptica, um fino filamento contnuo de vidro com
uma cobertura de proteo que pode ser usada para conectar longas distncias.
E ainda h as redes sem fios, que se subdividem em diversas tecnologias: Wi-fi,
bluetooth, wimax e outras.
Protocolo
Hoje, o protocolo mais usado o TCP/IP, verso IPv4, e espera-se que passemos a
utilizar o IPv6.
Referncias
1. Mendes, Douglas Rocha. Redes de Computadores. Em Livraria Cultura
2. http://blog.wolkartt.com/
Bibliografia
Redes de Coputadores Locais e de Longa Distncia, Autor: Liane M. R. Tarouco, 1986,
Editora McGraw-Hill, ISBN 0-07-450477-0
130
Pequenas Redes com Microsoft Windows, Para Casa e Escritrio, Autor: Joo Eriberto
Mota Filho, 2001, Editora Cincia Moderna, ISBN 85-7393-134-5
Virtualizao
Em computao, virtualizao a simulao de uma plataforma de hardware, sistema
operacional, dispositivo de armazenamento ou recursos de rede.
Cada vez mais empresas esto buscando formas de reduzir os custos e complexidade
com o ambiente de TI. A virtualizao se tornou um componente chave para o
desenvolvimento de uma estratgia eficiente na busca destes objetivos. Dentre os
desafios enfrentados nos datacenters podemos destacar:
datacenters atingiram a capacidade mxima;
servidores subutilizados;
gerenciamento e Segurana complexa dos servidores;
hardware e sistemas legados;
problemas de compatibilidade de aplicaes.

O que virtualizao?
Virtualizao, basicamente, a tcnica de separar aplicao e sistema operacional dos
componentes fsicos. Por exemplo, uma mquina virtual possui aplicao e sistema
operacional como um servidor fsico, mas estes no esto vinculados ao software e pode
ser disponibilizado onde for mais conveniente. Uma aplicao deve ser executada em
um sistema operacional em um determinado software. Com virtualizao de aplicao
ou apresentao, estas aplicaes podem rodar em um servidor ou ambiente centralizado
e ser deportada para outros sistemas operacionais e hardwares.
1

2

Solues de virtualizao
Abaixo, as formas mais comuns de virtualizao:
virtualizao de servidor tcnica de execuo de um ou mais servidores virtuais
sobre um servidor fsico; permite maior densidade de utilizao de recursos
(hardware, espao e etc), enquanto permite que isolamento e segurana sejam
mantidos;
virtualizao de aplicao a virtualizao de aplicao permite executar aplicaes
em um ambiente virtualizado no desktop do usurio, isolando a aplicao do Sistema
Operacional; isso possvel atravs do encapsulamento da aplicao no ambiente
virtual quando a soluo completa de virtualizao de aplicaes implantada,
possvel distribuir aplicaes de um servidor central;
virtualizao de desktop consiste na execuo de mltiplos sistemas operacionais
em uma nica workstation e permitindo que uma aplicao de linha de negcio seja
executada em um sistema operacional no compatvel;
131
virtualizao de apresentao a virtualizao de apresentao permite executar e
manter o armazenamento das aplicaes em servidores centralizados, enquanto prov
uma interface familiar para o usurio em sua estao.
Infraestrutura de desktop virtual (Virtual Desktop Infrastructure - VDI) o VDI
permite que voc hospede mquinas virtuais cliente em uma estrutura de virtualizao
como virtualizao de servidores.
virtualizao de perfil com a virtualizao de perfil, os usurios podem ter os
documentos e perfil separados de uma mquina especfica, o que permite a fcil
movimentao do usurio para novas estaes em caso de roubo ou quebra de
equipamento; a virtualizao de perfil tambm permite ter uma experincia de
desktop nica quando utilizando outras tecnologias de virtualizao, como VDI.
Um dos componentes crticos para a implantao de um projeto de virtualizao,
independente da tecnologia utilizada, so as ferramentas de gerenciamento. As
ferramentas que gerenciam o ambiente Virtual devem gerenciar tanto o ambiente fsico
como o virtual, assim como Sistema Operacional e Aplicaes.

Lista de implementaes de mquinas virtuais
Em soma aos mtodos de virtualizao portvel descritas acima, as mquinas virtuais
so usualmente utilizadas como modelo de execuo para linguagens individuais de
script. Esta tabela descreve as implementaes de mquinas virtuais, ambos da categoria
de mquinas virtuais portveis e mquinas virtuais de linguagens de script.
Mquina virtual
Linguagen
s
Comentrios
Interpreta
dor
Compila
o Just
in Time
Linguagem
implementa
o
Linhas de
cdio fonte
Adobe Flash
Player (aka
Tamarin)
ActionScri
pt, SWF
(formato
ficheiro)
interactive web
authoring tool.
bytecode is
named
"ActionScript
Byte Code
(.abc)"
Sim Sim C++
135k
(initially
released)
BEAM
Erlang,
Reia, Lisp
Flavoured
Erlang,
Elixir
There exists a
native-code
compiler, HiPE.
Sim No C 247k
Clipper p-code
Clipper,
Harbour
plankton, HVM Sim No C

132
Mquina virtual
Linguagen
s
Comentrios
Interpreta
dor
Compila
o Just
in Time
Linguagem
implementa
o
Linhas de
cdio fonte
Dis (Inferno) Limbo
Dis Virtual
Machine
Specification
Sim Sim C
15k + 2850
per JIT arch +
500 per host
OS
DotGNU/Portabl
e.NET
Linguagen
s de
programa
o CLI
incluindo:
C#
Clone of
Common
Language
Runtime
No Sim C, C#

Forth Forth
Funes esto
simplificadas,
normalmente
contm
assemblador,
compilador,
interpretadores
de nvel-textos e
nvel-binarios,
algumas vezes
com editor,
debugador e
sistema
operativo.somet
imes editor,
debugger and
OS. Compilation
speeds are >20
SKLOC/S and
behave much
like JIT.
Sim No
Forth, Forth
Assembler
2.8K to 5.6K;
advanced,
professional
implementat
ions are
smaller.
Glulx
Glulx, Z-
code

Icon Icon

JVM
Java,
Jython,
Groovy,
Reference
implementation
by Sun ;
Sim Sim
JDK,
OpenJDK &
IcedTea
JVM contm
cerca de
6500k linhas;
133
Mquina virtual
Linguagen
s
Comentrios
Interpreta
dor
Compila
o Just
in Time
Linguagem
implementa
o
Linhas de
cdio fonte
JRuby, C,
C++,
Clojure,
Scala e e
outros
OpenJDK: code
under GPL ;
IcedTea: code
and tools under
GPL
com JIT
regular :
Java, C,
ASM ;
IcedTea
com o
"Zero" JIT :
Java, C
TCK 80k de
testes e tm
cerca de
1000k linhas
LLVM
C, C++,
Objective-
C, Ada,
and
Fortran
MSIL, C and C++
output are
supported.
ActionScript
Byte Code
output is
supported by
Adobe Alchemy.
bytecode is
named "LLVM
Bytecode (.bc)".
assembly is
named "LLVM
Assembly
Language (*.ll)".
Sim Sim C++ 811k
3

Lua Lua

Sim LuaJIT C
13k + 7k
LuaJIT
MMIX MMIXAL

Mono
CLI
languages
including:
C#,
VB.NET,
IronPytho
n,
IronRuby,
e outros
clone do
Common
Language
Runtime.
Sim Sim C#, C 2332k
Oz Oz, Alice

134
Mquina virtual
Linguagen
s
Comentrios
Interpreta
dor
Compila
o Just
in Time
Linguagem
implementa
o
Linhas de
cdio fonte
NekoVM
currently
Neko and
haXe

Sim x86 only C 46k
O-code machine BCPL

UCSD p-System Pascal
UCSD Pascal,
muito utilizado
no final da
dcada de 1970
incluindo o
Apple II

Parrot
Perl (6 &
5), NQP-
rx, PIR,
PASM,
PBC,
BASIC, bc,
C,
ECMAScri
pt, Lisp,
Lua, m4,
Tcl,
WMLScrip
t, XML, e
outros

Sim Sim C, Perl
111k C,
240k Perl
Perl virtual
machine
Perl
op-code tree
walker
Sim No C, Perl
175k C,
9k Perl
CPython Python

Sim Psyco C
387k C,
368k Python,
10k ASM,
31k Psyco
PyPy Python
Self-hosting
implementation
of Python, next
generation of
Psyco
Sim Sim Python

135
Mquina virtual
Linguagen
s
Comentrios
Interpreta
dor
Compila
o Just
in Time
Linguagem
implementa
o
Linhas de
cdio fonte
Rubinius Ruby
para outra
implementao
Virtual machine
for another
Ruby
Sim Sim C++, Ruby

Silverlight
C#,
VB.NET
A Micro-version
of Microsoft
.NET Framework
to let
applications run
sandboxed
inside browser
Sim Sim C++
7MB (initially
released)
SEAM Alice

ScummVM Scumm
Computer game
engine

SECD
ISWIM,
Lispkit
Lisp

Squirrel Squirrel

Sim
Squirrel_
JIT
C++ 12k
Smalltalk Smalltalk

SQLite
SQLite
opcodes
Virtual database
engine

Squeak
Squeak
Smalltalk
Self hosting
implementation
of Squeak
virtual machine.
Rich multi-
media support.
Sim
Cog[1] &
Exupery
Smalltalk/Sl
ang
110k
Smalltalk,
~300K C
TaoGroup
VP/VP2
C, Java
Proprietary
embedded VM

TraceMonkey JavaScript
Based on
No Sim C++ 173k
136
Mquina virtual
Linguagen
s
Comentrios
Interpreta
dor
Compila
o Just
in Time
Linguagem
implementa
o
Linhas de
cdio fonte
Tamarin
TrueType TrueType
Motor
visualizao de
fontes
Sim No C (tpico)

Valgrind
x86/x86-
64
binaries
Verificando
acessos de
memria e
falhas de
indicadores
sobre o Linux

C 467k
4

VisualWorks Smalltalk

No Sim C

VMKit

JVM and CLI
virtual machine
based on LLVM.
No Sim

Vx32 virtual
machine
x86
binaries
Application-
level
virtualization for
native code
No Sim

Waba

Virtual machine
for small
devices, similar
to Java

Yet Another
Ruby VM (YARV)
Ruby
Virtual machine
of the reference
implementation
for Ruby 1.9 and
newer versions
Sim Sim C

Z-machine Z-Code

Zend Engine PHP

Sim No C 75k
libJIT Library for
Just-In-Time
compilation
Common
Intermedi
ate
Virtual machine
is used in
Portable.NET
Sim Sim
C, ia32,
arm,
amd64,

137
Mquina virtual
Linguagen
s
Comentrios
Interpreta
dor
Compila
o Just
in Time
Linguagem
implementa
o
Linhas de
cdio fonte
Language
Java
bytecode
Domain-
specific
programm
ing
language
Just-In-Time
compiler, ILDJIT,
HornetsEye
alpha, low-
level CPU
architecture
specific
machine
code
Referncias
1. Virtualization in education (PDF) (em ingles). IBM (Outubro 2007).
2. Microsoft, VMware, Citrix Battle for Hypervisor Cloud | Virtualization (em ingles).
ITBusinessEdge.com. Pgina visitada em 2010-12-10.
3. A infraestrutura compilador LLVM, ohloh.net, 2011 Nov 30
4. Valgrind, ohloh.net, 2011 Nov 30.
Bibliografia
VMware paravirtualization
Guia Virtualizao

138

Apostila Tecnologia Informacao

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Apostila Tecnologia Informacao

Uploaded by

Copyright:

Available Formats

APOSTILA

, do ingls, Control Objectives for Information and related Technology, um

You might also like