Embed Size (px)
Citation preview
GERENCIAMENTO DE BACKUP USANDO O SOFTWARE BACULA
SUMÁRIO
1 INTRODUÇÃO 032 JUSTIFICATIVA 053 PROBLEMA 064 HIPÓTESE 075 OBJETIVOS 085.1 Objetivo Geral 085.2 Objetivos Específicos 086 REVISÃO DA LITERATURA 096.1 Sistemas de Informação – Introdução e evolução 096.2 Evolução dos sistemas de informação 146.3 Segurança da informação 156.4 Backup 196.5 O software Bacula 217 PROCEDIMENTOS METODOLÓGICOS 258 ESTUDO DE CASO 288.1 Diagnóstico situacional 288.2 Proposta de proteção da rede 308.2.1 Adequação das ferramentas 318.3 Gerenciamento de backup com software bacula 328.4 Metodologias e protocolos de gestão 349 CONCLUSÃO 4210 CRONOGRAMA 4311 REFERÊNCIAS 44
1 INTRODUÇÃO
O conceito de segurança da informação está relacionado à garantia de que as informações, em qualquer formato (mídias eletrônicas, papel, conversações pessoais), estejam protegidas contra o acesso por pessoas não autorizadas bem como estejam sempre disponíveis quando necessárias e que sejam confiáveis. Neste sentido, as cópias de segurança, denominada do inglês Backup, são elementos fundamentais para o gerenciamento da segurança e da integridade da informação. Em informática backup é a cópia de dados de um dispositivo de armazenamento a outro para que possam ser restaurado em caso da perda dos dados originais, o que pode envolver apagamentos acidentais ou corrupção de dados. Os dispositivos de armazenamento mais comum são o CD, DVD, HD-externo, fitas magnéticas, mídias flash e cópia de segurança externa. Esta forma de uso dos recursos de informática continua sendo explorada de todas as formas, pois o computador tornou-se uma ferramenta de trabalho e de relações entre pessoa tão útil e necessária, quanto a outros equipamentos tradicionais e presentes no dia a dia das empresas e das pessoas. Na nova sociedade, a informática se tornou uma ferramenta cada vez mais imprescindível, sendo caracterizado como o agente de intercâmbio no processo de relacionamento e no processo de transformação para a nova sociedade da informação. Esses aspectos têm grande reflexo no principal componente de qualquer relação: as pessoas. Neste sentido definiu o seguinte problema: o uso de scripts comuns tem causado problemas na gestão dos backups em uma empresa de componentes do PIM? A hipótese de sustentação formulada, relativa ao problema acima definido, é a que aplicando uma ferramenta livre específica de gestão de backup com base em um protocolo, vai proporcionar uma gestão eficiente e eficaz das cópias de segurança podendo, assim, melhorar a segurança e integridade das informações. Assim, possui como objetivo geral propor um sistema de gerenciamento de backup, através de uma ferramenta livre (Bacula), para administração da segurança da informação, que aborde o controle previsto pelas normas de segurança da informação no Brasil, além de especificamente apresentar as relações teóricas e empíricas entre segurança e integridade de informação; analisar como uma ferramenta livre (Bacula) pode estabelecer um controle eficiente e efeicaz de dados, a partir do desenvolvimento de um sistema de gestão de backup e, propor um protocolo para o gerenciamento de backup para a manutenção da segurança e integridade dos dados em uma empresa de componentes do PIM. A relevância dessa pesquisa está na possibilidade de contribuir para o entendimento da questão do gerenciamento de backup, propondo uma relação entre os sistemas livres e a segurança/integridade da informação, propondo uma metodologia para gerenciamento de backup com base nos controles previstos pelas normas de segurança da informação. Em termos práticos, o resultado dessa pesquisa poderá oferecer elementos substanciais para a formação do aluno. Desta forma, será identificada a gestão de informática da empresa como uma forma de organização que deve atender, no plano principal, aos interesses da empresa. Neste sentido, esse entendimento da gestão da informática da empresa como um todo em consonância com os interesses da empresa se faz necessário para a compreensão da mesma como um conjunto
de sistemas e processos que, ao longo do tempo, foram se constituindo em relação ao crescimento da instituição e à demanda imposta pelo mercado.
2 JUSTIFICATIVA
O nível de segurança e integridade da informação será tão alto quanto os dispositivo e mecanismos que forem instalados. Todo o processo de segurança implica custos e mais operações que os sistemas utilizados têm de realizar para verificar, bloquear e registrar o acesso lógico dos usuários. No entanto, ele deve ser encarado como uma espécie de seguro, cujos custos são pequenos se comparados aos custos de eventuais desastres. A filosofia do processo de segurança de uma organização deve ser a de tentar impedir que problemas antecipáveis ocorram e, no caso de não ser antecipável e/ou ocorrer, diminuir ao máximo os problemas ou impactos decorrentes, elaborando e tendo disponível um esquema de recuperação de dados, no caso as cópias de segurança – backup. Os impactos sobre a organização podem ser grandes, tais como: custos financeiros, lucros cessantes por interromper a continuidade das operações, imagem prejudicada, perda da confiabilidade, entre outros. Neste sentido o software Bacula apresenta-se como uma plataforma cliente/servidor completa de Backup, suportando múltiplas plataformas (Windows, Mac, Freebsd, Linux, Solaris, Netware e Unix), uso de discos e/ou fitas para o armazenamento dos dados, diferentes agendamentos para um mesmo trabalho de backup, uso de uma mesma fita para vários backups, e muitas outras opções. No âmbito acadêmico, este estudo se justifica no fato da universidade proporcionar, ao aluno, a possibilidade de realizar uma pesquisa em sua área de atuação que tenha como vetor o mercado de trabalho. No âmbito social, a pesquisa se justifica por relacionar a aplicação de uma ferramenta livre que pode ser muito bem utilizada por diversas empresas, tanto no âmbito privado, como no público. No científico, a pesquisa se justifica por tratar-se de um conhecimento que ainda está em pleno estado de desenvolvimento e aprimoramento na sociedade moderna. E, finalmente no âmbito pessoal, a pesquisa se justifica no fato de servir como elemento qualitativo do corpo discente.
3 PROBLEMA
As atividades comerciais das empresas foram intensificadas pela Tecnologia da Informação e surgiram com a necessidade de uma verdadeira aproximação entre as organizações e seus públicos, conjugando-se com outras atividades para implementar as estratégias de negócio. O crescimento desta premissa é uma realidade que destaca a importância das TIs na economia moderna. No Brasil, às organizações tem procurado se modernizar, adotando novas formas de apresentação e contato com os clientes, instalando-se estratégias que buscam viabilizar o posicionamento competitivo. Esses fatores também são essenciais para o sucesso de um empreendimento, que precisa desenvolver uma nova cultura, baseada na compreensão, concentração e administração de uma contínua colaboração. As informações resultantes dessas interações tornam-se arma estratégica para a empresa na busca da sua melhoria. Assim, a segurança e a integridade dos dados, a partir de um gerenciamento eficiente e eficaz das cópias de segurança – backups, a partir da definição dos protocolos que estabelecerão esse gerenciamento, que não permita um ataque de cross site scripting[1] que objetivam, exclusivamente em incluir scripts ou links com objetivo de transferir o usuário para uma página copiada, crida com a finalidade de enganar o usuário na busca de informações sigilosas deste para o uso criminoso, ou ainda, promover o atacante cookies que promoverão certamente ações destruidoras nos dados do usuário ou da própria empresa. Então, na gestão das cópias de segurança, a equipe de informática deve manter protocolos para a segurança e integridade dos dados que são fundamentais para proteger as informações da empresa, constituindo um sistema que valide os dados. Neste sentido definiu o seguinte problema: o uso de scripts comuns tem causado problemas na gestão dos backups nas empresas?
4 HIPÓTESE
A aplicação de uma ferramenta livre específica de gestão de backup com base em um protocolo, vai proporcionar uma gestão eficiente e eficaz das cópias de segurança, podendo assim melhorar a segurança e integridade das informações.
5 OBJETIVOS
5.1 Objetivo Geral
Propor um sistema de gerenciamento de backup, através de uma ferramenta livre – Bacula, para administração da segurança da informação.
5.2 Objetivos Específicos
- Apresentar as relações teóricas e empíricas entre segurança e integridade de informação; - Analisar como uma ferramenta livre (Bacula) pode estabelecer um controle eficiente e eficaz de dados, a partir do desenvolvimento de um sistema de gestão de backup; - Propor um protocolo para o gerenciamento de backup para a manutenção da segurança e integridade dos dados das empresas. - Identificar as vantagens e desvantagens da implantação da ferramenta livre (bacula) para o gerenciamento de backup.
6 REVISÃO DA LITERATURA
O objetivo desta parte que se inicia é apresentar uma introdução a revisão da literatura, tratando dos Sistemas de Informação (SI) que começa com a sua evolução, tratam de recomendações, possibilidades, segurança com destaque para a segurança e integridade em sistemas de produção, backups e gestão de backups.
6.1 Sistemas de Informação – Introdução e evolução
O desenvolvimento dos SI vem ocorrendo em várias dimensões. O enfoque do início deste capítulo será o de mostrar a evolução através de três destas dimensões: cronológica; organizacional/estágios de informatização; conflitos e consenso na tecnologia. A dimensão cronológica tratará da evolução dos conceitos com uma visão crítica do valor da informação. Os estágios de informatização e as mudanças organizacionais estruturam a evolução da utilização dos SI dentro das organizações. Analisando o aparente conflito nas definições de tipos de SI entre diversos autores, pode-se fornecer uma evolução dos SI e, explorando o estado da arte, chegar a certo consenso que está sendo atingido, apesar das novas definições e conceitos que continuam a emergir. Alguns fatores têm sido críticos na evolução dos SI – Sistemas de Informação. Esses fatores contribuem para viabilizar técnica e economicamente o uso de recursos de informática no tratamento das informações e evidenciam o crescente valor da informação. Atravessamos uma época de mudanças, uma era de “megatendências”, conceito desenvolvido por Naisbitt (1990) ou “terceira onda”, conceito desenvolvido por Toffler (1988). Em boa parte, o administrador bem sucedido de hoje (e especialmente de amanhã) será o administrador efetivo da mudança. Administradores e suas organizações precisam dominar uma aceleração (dobrando aproximadamente a cada 5 anos) na quantidade de informação científica disponível. Em paralelo, o tempo disponível para as pessoas reagirem e tomarem decisões está diminuindo. Chaves (2004, p. 79):
Com períodos de tempo cada vez menores entre a invenção de um produto e seu lançamento no mercado, os administradores precisam atuar rapidamente e de maneira precisa para usufruir as vantagens de novos desenvolvimentos tecnológicos. Para complicar, os riscos associados a essas decisões aumentam conforme diminui o tempo para reagir. Além desses fatores, o número de decisões que devem ser tomadas também está crescendo, uma vez que os ambientes organizacionais interno e externo estão se tornando mais complexos, e envolvendo mais fatores relevantes que precisam ser incorporados às decisões.
Esse processo de decisão do executivo envolve muito mais do que somente análises de dados; ele engloba o estabelecimento de metas e critérios, a assimilação de informação relevante para as metas e critérios, e o fornecimento de julgamento baseado em experiência
profissional. Pesquisas têm mostrado que esses julgamentos são freqüentemente inconsistentes e não-confiáveis devido à falta de apoio de SI adequados. Em outros termos, os requisitos básicos para a qualidade do processo de decisão são competência, motivação e informação pertinente. Assumindo que o responsável é competente e motivado, o foco deve recair sobre o papel crítico que a informação na qualidade da decisão e como conseqüência na habilidade de um indivíduo ou organização atingir seus objetivos. Examinando as funções clássicas da administração – planejamento, organização, assessoria e controle – como definido por Fayol em 1949, por Koontz & O’Donnell em 1972 e por muitos outros, conforme informa Chiavenato (2006), encontra-se um denominador comum para todas as funções – a informação. John Diebold apud De Maio (2003, p. 131):
As empresas bem-sucedidas na passagem para a era da informação – serão as mais capazes de enxergar informação como um ativo – um recurso – e desenvolver uma estratégia para lidar efetivamente com a alocação do recurso informação.
O valor da administração da informação é o valor da mudança no comportamento decisório causado por esta informação menos o custo de tornar essa informação disponível. Para valorizar a administração da informação, os critérios importantes são se a informação é relevante, oportuna, objetiva e precisa. Os elementos críticos no processo de administração são informações e pessoas. O elemento crítico no processo de decisão é a informação. Até meados da década de 70 do século XX, os custos dos Sistemas de Informação ainda eram superiores aos benefícios para a grande maioria das aplicações. Entretanto, as mudanças na sociedade e a evolução tecnológica alteraram rapidamente esta relação desfavorável. Dois fatores, segundo Chaves (2004), são apontados como causas predominantes destas mudanças e também como causas do crescente distanciamento entre a tecnologia disponível e a sua utilização. Isto é, são fatores que provocam e ao mesmo tempo viabilizam as mudanças, mas que também aumentam a defasagem entre a tecnologia disponível e as empresas que não têm conseguido acompanhá-la. Esses dois fatores são tecnologia e mão de obra. Além deles, outros fatores, são apontados pelo autor em questão, também são considerados críticos; ao todo quatro são relacionados: Tecnologia e recursos de informática; mão de obra; mudanças de natureza dos problemas; e, aspectos psicológicos, políticos e organizacionais. Uma evolução sem precedentes vem causando um gigantesco e dinâmico aumento na aplicabilidade e desempenho/custo das tecnologias da informação (TI), o que tem criado oportunidades estratégicas crescentes para muitas organizações. O primeiro fator crítico está relacionado, portanto, com a tecnologia e recursos de informática que têm apresentado nas últimas décadas uma dramática evolução em termos de capacidades de processamento em conjunto com uma não menos espantosa redução nos custos relativos e com o aumento na facilidade de uso (CHAVES, 2004). O segundo fator crítico é a mão de obra em geral, incluindo desde o executivo até a mão de obra técnica e especializada. A maioria dos executivos tem pequena ou nenhuma experiência ou formação na administração da informação e outras tecnologias correlatas. Assim, eles inda não têm uma base experimental para relacionar ou à qual aplicar essa
nova forma de oportunidade estratégica nas suas empresas. Exigem demais das TIs, mas não a utilizam de forma sistemática (CHAVES, 2004). Um terceiro fator crítico está relacionado com as mudanças da natureza dos problemas. Esta outra tendência, que vai interagir com a anterior, é o novo ambiente econômico onde as empresas estão operando e que incluem competição e novas condições econômicas. Isto tudo, aliado a alterações na estrutura das relações entre capital, trabalho e Estado e no comércio e economia internacionais, contribui para acelerar mais ainda a natureza e a incerteza dos problemas que a empresa moderna tem de gerenciar (CHAVES, 2004). A evolução da informática e as tecnologias convergentes podem ser resumidas em algumas tendências, que também são apontadas como agentes que ampliam os impactos da informática, no mundo globalizado, favorecendo a gestão da tecnologia da informação, criando um espaço de segurança. Segundo Dytz (2007, p. 64):
- melhoramentos contínuos nas características de capacidade e custo/desempenho no nível de componentes básicos da informática; - Idem, para o nível de sistemas, aplicações e facilidade de uso software; desenvolvimento na infra-estrutura de telecomunicações e sua interação cada vez maior com a informática; - redução gradual das barreiras sociais e institucionais para a introdução e utilização da informática.
O quarto fator crítico está relacionado aos aspectos psicológicos, políticos e organizações. Este fator é conseqüência dos anteriores e interage nesse conjunto, criando novas necessidades que devem ser orientadas para os indivíduos e adequadas a toda uma nova dinâmica de relacionamento. Essas transformações geram uma organização diferente e obrigam ao estabelecimento de uma nova cultura da empresa para refletir esta estrutura organizacional que a TI exige, segundo a figura 1 abaixo descreve:
Figura 1 – Administração da informação. Fonte: Chaves (2004, p. 82).
Como se pode observar na figura 1, o processo de gestão passa pelas etapas da informação, da decisão, da ação em um sistema de retro-alimentação. A Informação se caracteriza pela reunião de todos os fatores fundamentais que vão embasar a decisão. A decisão envolve a escolha da melhor opção levando-se em consideração as informações processadas. Por fim vem a ação que é a aplicação da decisão tomada,de forma racional ou intuitiva, de acordo com as informações processadas e a cultura da organização. Esta ação, passa a fazer parte do rol de informações da empresa e, funcionará como jurisprudência para novas decisões e ações em um sistema de informação (SI) retro-alimentado. Entender o papel da informação no processo de decisão é a chave para entender a administração da informação. Todos esses fatores, tendências e mudanças convergem para o fator mais relevante, que é o valor da informação. A essência dos impactos é um aumento crescente no valor da informação. Cresce o valor da informação para a empresa e para os indivíduos. Fica evidente o valor no processo decisório Aumenta a recompensa pelo uso estratégico da informação. Esta perspectiva, correta, enfatiza o conceito de informação como um recurso e, portanto, informação tem custo e valor; informação tem taxa de retorno; existe um custo de oportunidade de não se ter informação; pode existir uma sinergia ao combinar dados. Assim, o valor estratégico da informação é difícil de ser medido, mais fácil de ser justificado quando se avaliam os benefícios em potencial. Esse valor estratégico tem uma dinâmica complexa no seu uso pela empresa e ao longo do tempo. Seu valor difere para cada empresa e é também diferente para cada setor. Ela tem duas dimensões, segundo Dytz (2007, p. 81):
Utilização interna, para melhorar a qualidade da administração e o que consiste em servir de elo entre os diversos setores da organização, fomentando, por meio de informações, a integração e melhor estruturação desses setores e a formação de uma visão convergente da situação atual e do futuro da empresa. Utilização externa, um instrumento para melhorar a posição da empresa com relação às demais do seu setor e uma ferramenta estratégica para aproveitar as novas oportunidades que estão sendo oferecidas, identificando-as ou criando-as.
A informação é o combustível para mudanças estratégicas necessárias à evolução natural da estrutura organizacional da empresa moderna e a TI é o meio para a realização dessas mudanças e uma das mais importantes interfaces com o mundo exterior. Neste sentido, a informação se constitui no principal elemento na formatação da gestão das organizações, pois, permite, que o gestor tenha a sua disposição um leque de opções para tomar a decisão mais racional e coerente de acordo com a cultura da organização e, com as necessidades da empresa em determinado momento. Um sistema de informação coeso, permite uma decisão mais ajustada.6.2 Evolução dos sistemas de informação
A evolução dos estágios do processo de informatização pode ser explicada pela figura 2, abaixo.
Integração banco de dados Automação Manual Racionalização (estruturação) Figura 2 – Estágio do processo de informatização. Fonte: Chaves (2004, p. 83).
O processo de informatização de qualquer atividade deve passar necessariamente por uma série de estágios ou etapas. Os três mais importantes estão na figura 2. A figura ilustra uma escala que as aplicações têm necessariamente de percorrer para formar o SI da empresa. A primeira etapa é uma racionalização e estruturação da atividade manual. Sem vencer esse estágio é muito difícil atingir o estágio seguinte, que seria automatizá-la. Nesse primeiro degrau do processo, os profissionais de informática desempenham um papel fundamental na identificação de uma estrutura racional adequada tanto para esse estágio manual como para o sistema que irá automatizar essa atividade (CHAVES, 2004). Então, tentar eliminar ou pular o primeiro degrau, automatizando uma atividade que não funciona bem anualmente, só resulta numa confusão automatizada. É claro que a passagem para o segundo grau constitui uma excelente oportunidade para aperfeiçoar o processo existente, mas não deve ser encarada como a solução para uma atividade que não funciona manualmente. No estágio da automação, as atividades costumam ser colocadas de início em sistemas isolados e ganhos podem ser significativos. Contudo, não são comparáveis aos advindos do próximo estágio que integra os sistemas antes independentes. Com a integração é possível eliminar várias tarefas que antes haviam sido simplesmente automatizadas (CHAVES, 2004). Da mesma forma que é muito difícil saltar o primeiro degrau, é também difícil pular o segundo, ou seja, partir direto para um sistema totalmente integrado. A dificuldade está na complexidade das mudanças organizacionais e na implementação e desenvolvimento dos sistemas necessários. A empresa precisa de tempo para amadurecer com relação ao uso desta tecnologia. Uma aceleração excessiva desse processo aumenta até um nível intolerável à complexidade e os custos da integração. A integração deve ser sem dúvida, o objetivo final a ser almejado. Entretanto, a passagem por alguns estágios não retarda o processo; ela pode maximizar as recompensas e custar menos. A ferramenta padrão utilizada para atingir a integração é o banco de dados, que é ao mesmo tempo o instrumento e o produto final do processo de integração e automação. Naturalmente, partes ou subsistemas de uma determinada empresa podem estar, e em geral estão em estágio diferentes. Entretanto, o objetivo final deverá ser o de atingir certa homogeneidade conforme a empresa encaminha ao longo dessa evolução. Esses sistemas naturais são os que vão surgindo aos pedaços pela criação de processos isolados. Num sistema natural não há evidência de planejamento global (CHAVES, 2004).
6.3 Segurança da informação
O nível de segurança das informações de uma organização será tão alto quanto os dispositivos e mecanismos que forem instalados em uma rede de computadores. Todo o processo de segurança e auditoria implica custos e mais operações que o sistema deve realizar para verificar, bloquear e registrar o acesso lógico dos usuários autorizados de acordo com a hierarquia determinada pela gestão da tecnologia da informação. No entanto, ele deve ser encarado como uma espécie de seguro, cujos custos são pequenos se comparados aos custos de eventuais desastres. Não se pode esperar um alto grau de segurança se não se atentar para isso. A filosofia do processo de segurança deve ser a de tentar impedir que problemas antecipáveis ocorram e, no caso de não ser antecipável e/ou ocorrer, diminuir ao máximo os problemas ou impactos decorrentes, elaborando e tendo disponível um esquema para recuperar o sistema. O impacto sob a organização podem ser grandes, tais como: custos financeiros, lucros cessantes por interromper a continuidade das operações, imagem prejudicada, perda da confiabilidade, entre outros. Os principais motivos que podem causar esses tipos de problemas podem ser divididos em: a) erros ou descuidos (falha acidental pequena; falha proposital, fraude, sabotagem, vingança e outros, todos com conseqüência média ou grande; e, falha acidental grande, danos permanentes e irrecuperáveis, desastres, sinistros). Com relação à segurança de sistemas em linhas de produção, Oliveira (2000, p. 32) observa com muita propriedade:
A conceituação de segurança das informações é, talvez, a mais complexa da informática, por envolver, obrigatoriamente, todos os produtos associados aos computadores e processos automatizados, abrangendo políticas, ferramentas, tecnologias e procedimentos.
Dessa forma as medidas e os mecanismos de segurança na produção de sistemas devem englobar o hardware, o software e principalmente as informações armazenadas para: proteger a segurança; proteger economicamente, efetuando, sempre que viável, o seguro de todos os componentes do sistema contra os diferentes tipos de ocorrências; impedir o acesso lógico e físico não-autorizado e conseqüentemente o uso indevido; identificar quem fez o que, quem realizou a transação, quem autorizou a modificação ou acesso, e assim por diante; manter um esquema de cópias de segurança – backup (griffo nosso); planejar para recuperação no caso de falhas; e, fiscalizar – auditar. Os tipos de segurança para sistemas aplicáveis, principalmente em empresas industriais, podem ser classificados, quanto ao aspecto a que se relacionam: acesso, integridade; transporte e transmissão de informações; parte jurídica; ações de prevenção e de efeito psicológico; auditoria. Oliveira (2000, p. 33) explica:
As definições mais importantes para segurança de sistemas em redes de
computadores em linhas de produção são descritas geralmente em documentos de orientação para implementação de políticas e procedimentos de tratamento de senhas. Tal orientação diz respeito a três modos clássicos pelos quais são tratados esses mecanismos. Esses modos são aplicáveis com maior abrangência e intensidade nos sistemas informatizados multiusuário e referem-se às características de classificação, que podem ser utilizadas como determinantes do método dos softwares aplicados.
O autor supracitado ressalta que os sistemas monousuários também podem ser considerados com as mesmas características apresentadas, mas não necessitam do destaque dado aos multiusuários. São os seguintes modos pelos quais um sistema informatizado identifica e autentica um usuário: 1) Algo que ele sabe - É a classificação do esquema de senha. A partir da inclusão do usuário em um sistema, ele recebe uma identificação e, associada a essa identificação, uma seqüência de caracteres que constituem uma senha. A teoria fundamenta-se na suposição de que se alguém conhece a senha é porque esse alguém é seu dono e está autorizado a usar a respectiva identificação de usuário. A fragilidade dessa premissa refere-se à possibilidade de que o usuário tenha a senha roubada por interceptação, através de algum programa nocivo, por divulgação indevida através de anotações feitas por ele mesmo em função de não memorização por programas de adivinhação de senhas, ou, ainda, por divulgação voluntária. 2) Algo que ele tem - É a forma de identificar alguém através de algo que ele possui, tal como um cartão magnético, um cartão inteligente ou uma chave específica. A premissa básica é bastante parecida com a anterior: se alguém apresenta alguma coisa que é sua propriedade para se identificar e obter autenticação, pressupõe-se que esse alguém seja o responsável e detentor autorizado dessa coisa. Da mesma forma que no modo anterior, se ocorrer a perda do elemento físico de identificação, perde-se a garantia de que o usuário seja realmente seu proprietário. Em adição à posse do objeto de identificação de usuário, pode ser necessária uma informação complementar para ocorrer a autenticação, como a exigência de que seja apresentada uma senha. Nesses casos ocorre o que é denominado modo de autenticação duplo 3) Algo que ele é - É a forma teórica mais forte. Parte do princípio de que a pessoa que solicita o recurso informacional é portador de alguma característica biológica que o sistema de identificação conhece antecipadamente, e que somente essa pessoa possui. São exemplos desse tipo de identificação, que podem também ser associadas ao processo de autenticação, características físicas humanas como impressão digital, relevo da palma da mão, padrões da íris, voz, face e assinaturas. Os mecanismos de proteção quanto ao acesso devem impedir que pessoas não autorizadas tenham acesso a hardware, software ou informações. O acesso físico pode ser controlado e protegido de diversas maneiras, indo desde a segurança por meio de identificação visual ou por documentos realizados por pessoas, até mecanismos mais sofisticados como identificação de senhas, impressão vocal, reflexão na retina, entre outros. Tudo com o propósito de evitar que pessoas que não tenham um bom motivo para estar junto ao sistema possam causar danos. Processos semelhantes são utilizados para o controle do acesso lógico ao sistema, ou seja, quem pode acessar e quem pode realizar determinadas operações como a de autorizar um usuário a consultar um determinado arquivo ou alterá-lo.
O mecanismo usado pela grande maioria dos sistemas é o de senhas. Nota-se que, tanto no acesso como nos casos de integridade e transmissão da informação, a segurança pode ser física ou lógica, usando para cada tipo um processo lógico ou físico. Exemplificando:
Quadro 1 – Exemplos de segurança física ou lógica quanto ao acesso|Tipo de segurança |Senha lógica |Senha física ||Segurança física ao acesso |Um código que autoriza o acesso à sala do |Identificação visual ou pela resistência || |computador ou do arquivo de discos |elétrica do corpo ||Segurança lógica ao acesso |Um código que autoriza um usuário a |Idem, mas com identificação pela impressão || |consultar, de determinado terminal, no |digital ou vocal || |horário especificado, certos arquivos | |
Fonte: Chaves (2004, p. 101).
Há três itens que costumam estarem presentes em normas de grandes empresas que utilizam em suas linhas de produção: a) Todos os usuários que venham a ter acesso devem ser identificados por senhas que só permitam um nível de acesso adequado às necessidades e funções do usuário, obedecendo aos mecanismos de autorização e controle do sistema central contido no protocolo de acessos; b) restrições que garantam a segurança do sistema nas aplicações que afetam dados corporativos. c) o mecanismo de autorização de acesso deve diferenciar as operações com dados somente para consulta daquelas para uso em outra aplicação.
6.4 Backup
Os procedimentos de segurança das informações têm como base a existência de ações diárias para a possível necessidade de recuperação de dados. As Cópias de segurança dos arquivos e da documentação dos sistemas são providenciadas e deslocadas para um local externo de armazenamento, com freqüência suficiente para evitar problemas em caso de perda ou dano dos arquivos em uso. Na realidade Faria (2010, p. 1) define as cópias de segurança, denominadas de backup
“consiste na cópia de dados específicos (redundância) para serem restauradas no caso de perda dos originais”. Prossegue o autor:
A cópia pode ser realizada para o mesmo computador, para um dispositivo de armazenamento ou, ainda, em outro prédio ou localidade protegendo, desta forma, os dados também contra acidentes que possam acontecer à estrutura. [...] Os dispositivos mais comuns são DVD, disco rígido, disco rígido externo, fitas magnéticas e a cópia de segurança externa. Esta última transporta os dados por uma rede como a Internet para outro ambiente, geralmente para equipamentos mais sofisticados, de grande porte e segurança.
Assim como se pode observar, as cópias de segurança – backup – tem por objetivo garantir a segurança e a integridade das informações. Segurança refere-se à proteção de dados contra a divulgação, alteração ou destruição; integridade refere-se à pressão ou validade dos dados. Para Reis Júnior (2010, p. 3) “para que se possa entender o funcionamento de um backup é necessário o esclarecimento que constituem um sistema de gestão de backup”, conhecido como JOB. Continua o autor:
JOB – caracteriza-se uma ação (backup, restore, verificação). O JOB trabalha com Pools e não com volumes. Caso o backup definido o JOB mais do que o espaço físico de um (1) volume, o sistema deve ser programado para mostrar o próximo volume e finalizar a cópia (REIS JÚNIOR, 2010, p. 3).
Faria (2010, p. 6) conceitua volume como:
Divisão lógica (arquivo), projetada para o armazenamento de dados. Os volumes podem ser criados em qualquer dispositivo de backup. Na utilização de fitas, somente é possível a criação de um único volume lógico. Todo dispositivo precisa ser “etiquetado” junto ao sistema, com isso a média estará pronta para a gravação. [...] A princípio, um software de gestão de backup não impõe limitação de gravação no volume, ou seja, o processo é contínuo até o final da mídia. È necessário a definição do tempo de duração no uso do volume. Após esse período, a retenção começa a ser contabilizada.
Barros (2007, p. 5) apud Reis Júnior (2010, p. 3) conceitua período de retenção como:
Tempo que as informações são retidas na mídia de armazenamento. Os dados não podem ser subscritos pelo sistema, a não ser por intervenção humana. Um tempo prolongado aumenta a quantidade de restaurantes de dados específicos, contudo haverá um maior custo em mídias de armazenamento.
O sistema de backup é uma técnica de armazenamento de dados, contra a possível perda deles em um sistema central, seja por que motivo for. Esta estrutura de armazenamento das informações podem ser classificadas, de maneira geral, em: 1º) Todo registro armazenado deve possuir um registro oculto, contendo (primeiramente) ponteiros para a participação do registro como proprietário ou membro nos vários conjuntos disponíveis, principalmente aqueles denominados como conjuntos encadeados[2] e conjuntos indexados[3]; 2º) em seguida, o sistema de gestão de backup deve proporcionar duas representações principais de armazenamento para a construção de conjunto, a saber: conjuntos encadeados e conjuntos indexados. A representação para um conjunto é especificada em um sistema de gestão de backup; 3º) Mode in chain, onde o armazenamento segue a lógica de uma cadeia de ponteiros para cada ocorrência de conjunto, ligando o proprietário ao primeiro membro, o primeiro membro ao segundo membro e, assim sucessivamente, até o último membro que volta ao proprietário. 4º) Mode in índex, significa que cada ocorrência do conjunto utiliza um índice ao invés de uma cadeia de ponteiros, a fim de identificar (e seqüenciar) os membros naquela ocorrência. 5º) Via set que tem uma interpretação extensa se o conjunto em questão, mas pode ser definido de forma genérica como cada registro- membro deve ser armazenado perto do seu correspondente proprietário, o mesmo também determina que todos os registros-membro para um proprietário em particular que devem ser armazenados em ordem física que se aproxima da ordem lógica. Estas formas de armazenamento devem ser seguidas pelo sistema de gerenciamento de backup. Esses backup podem ser de vários tipos, segundo Reis Júnior (2010, p. 5):
1º) Backup full – è a cópia completa de dados de todos os arquivos definidos na configuração (fileset). Geralmente realizado nos fins de semana, por ser um backup de longa duração; 2º) Backup diferencial – realiza apenas o backup apenas dos arquivos alterados desde o último backup full. Um exemplo fazendo o backup full no domingo e um diferencial na segunda, apenas as alterações da segunda serão gravadas. A maior vantagem está na restauração do sistema, que precisa apenas de backup full mais o último diferencial; 3º) Backup incremental – cópia dos dados adicionais ao backup imediatamente anterior, ou seja, acréscimo das informações não contidas no último backup diferencial, a restauração pode ser demasiadamente lenta, exigindo vários volumes (último backup full, mais todos os incrementais); e, 4º) Backup cópia – geração de um segundo backup (redundância). Normalmente utilizado em backups off-site.
Assim, os sistemas de backup caracterizam-se pelo controle das informações contra todo tipo de problema que podem acontecer, justamente no sentido de preservar as informações das organizações e, sua gestão deve ser sistemática, como forma de garantia das segurança e
integridade das informações.
6.5 O software Bacula
O desenvolvimento de um sistema de gestão de backup deve ser projetado para executar a operação como um nível de segurança e integridade muito alto, principalmente para estabelecer condições de recuperação e casos de perda. Tipicamente, suas aplicações podem operar dentro de um mesmo conjunto de sistema. a gestão sobre as operações do backup ajudam a garantir que somente programas e modificações autorizadas sejam implementadas. Sem um controle sistemático, existe o risco de que características de segurança possam ser esquecidas ou contornadas, de forma acidental ou não, e que processamentos equivocados ou códigos inadequados sejam introduzidos. Por exemplo: um programador pode modificar código de programa para desviar os controles e obter acesso indevido; invasões externas podem ser implementadas, estabelecendo processamentos errados; e, um vírus pode ser introduzido, prejudicando o processamento. Então, a principal preocupação com o controle exercido sobre a gestão dos backup em operação devem sofrer constante controle. Entretanto, os mesmos riscos e controles se aplicam aos sistemas em desenvolvimento. Os elementos críticos para a avaliação dos controles em operação e desenvolvimento são: características de processamento e modificações no programa são devidamente autorizadas; todos os elementos contidos no processo devem ser revisados, testados e aprovados; e, existência de documentação de controle. Os princípios de controle exigem que qualquer evidência seja confiável, relevante e suficiente. O teste de controle tem o objetivo de estabelecer a consistência deles em relação ao uso planejado. O teste é necessário quando se pretende avaliar a confiabilidade do sistema de gestão de backup. Mesmo quando os controles são bem projetados e, de modo geral, eficazes, a exatidão dos dados não é garantida. A seguir é apresentado, um roteiro com os aspectos mais importantes desses controles: 1 - controles gerais - são controles que se aplicam a todos os processamentos executados, visando garantir que o ambiente computacional como um todo seja eficiente, eficaz, seguro e confiável. 2 - controles organizacionais: tem por objetivo garantir a organização das responsabilidades do pessoal envolvido nas funções de processamento de dados e os padrões estabelecidos para o seu funcionamento eficiente. 3 - procedimentos de controle com objetivo de verificar a existência dos seguintes elementos de controle: participação ativa da alta administração no desenvolvimento e dos gestores nas decisões; avaliações rotineiras internas e externas das funções; evidência de ações efetivas de acompanhamento em relação à segurança; e adequação de funções dentro da operação de backup. As seguintes funções devem ser preferivelmente executadas: análise; programação de aplicações; teste de aceitação; controle de alteração; controle de dados; manutenção; e, manutenção de arquivos e, operação do equipamento de informática. 4 - controles de projeto, desenvolvimento e modificação de sistemas que tem como objetivo assegurar que o sistema atenda às necessidades, sejam de economicidade, sejam totalmente documentados e testados e incluam os controles internos apropriados. 5 - procedimentos de controle que buscam verificar a existência dos seguintes elementos
de controle: procedimentos formais para requisitar, aprovar, testar e implementar mudanças; método formal de abordagem para a gestão de backup; documentação atualizada sobre o sistema utilizado, incluindo: documentos de requisitos funcionais; requisitos de coleta de dados; características do sistema e, subsistemas; manual de operação; estratégia para teste do sistema automatizado, incluindo procedimentos de teste e critérios de avaliação; e, relatórios de análise de teste, documentando os resultados e conclusões dos testes efetuados. O software Bacula apresenta-se como uma plataforma cliente/servidor completa de backup, suportando múltiplas plataformas (Windows, Mac, FreeBSD, Linux, Solaris, Netware e Unix), uso de discos e/ou fitas para o armazenamento dos dados, diferentes agendamentos para um mesmo trabalho de cópia, uso de uma mesma fita para várias cópias e, muitas outras opções. Bacula é uma completa solução para criação de trabalhos de backup em rede, com poderosos recursos, múltiplas funções e de fácil configuração. As cópias de segurança devem obedecer a vários parâmetros, tais como: o tempo de execução, a periodicidade, a quantidade de exemplares das cópias armazenadas, o tempo que as cópias devem ser mantidas, a capacidade de armazenamento, o método de rotatividade entre os dispositivos, a compressão e criptografia dos dados. Segundo Reis Júnior (2010, p. 8) o bacula é um ”software cliente-servidor de backup em rede. Possui características modulares que funciona de maneira independente em máquinas diversas, inclusive com sistemas operacionais diferentes”. O autor em voga destaca as principais características do bacula:
- estrutura modular independente; - software livre (GPL); - Suporte à maioria dos dispositivos de storage do mercado; - envio de mensagens, com informações sobre os Jobs (monitoramento); - ferramenta multibanco; - criação livre de addons por terceiros que aumentam os recursos da ferramenta. Possui plugin para os nágios (monitoração).
Desta forma, o bacula é um sistema de gerenciamento de backup com inúmeras vantagens, principalmente com relação aos aspectos econômicos e, pela facilidade de manipulação e, para sua efetivação em uma empresa, deve seguir a seguinte metodologia: 1) Definição do Projeto: 1.1) Avaliação preliminar – definição dos objetivos e garantia do envolvimento de todos; 1.2) Estudo do projeto – organização, programas de trabalho. 2) Definição dos requisitos básicos: 2.1) Esboço das funções da segurança e integridade do backup; 2.2) Avaliação de recursos tecnológicos – definição dos requisitos técnicos e parâmetros e critérios de funcionamento; 2.3) Planejamento do desenvolvimento – atividades, equipe, cronograma; 2.4) Análise de viabilidade econômica; 2.5) Revisão e aprovação.
3) Desenvolvimento: 3.1) Organização e administração – definição de técnicas e métodos, programas de trabalho e ferramentas; 3.2) Projeto lógico – projeto conceitual da base de dados e avaliação do protótipo; 3.3) Projeto físico – definição detalhada da base de dados e dicionário de dados, definição da linguagem, codificação e teste. 4) Implantação: 4.1) Planejamento da implantação; 4.2) Teste piloto com instalação e desativação do sistema anterior, acompanhamento e auditoria de segurança. Dez passos são de suma importância para uso do software bacula em uma empresa: 1) Exame das possibilidades e prioridades – levantamento da situação atual; 2) Identificação de suas necessidades específicas, oportunidades e aplicações atuais, potenciais e estratégias; 3) Projetar a segurança, alocando recursos e estimulando os requisitos – técnicos e organizacionais; 4) Determinação do que se pode executar, elaborando um cronograma e estabelecendo prioridades; 5) seleção e avaliação do software bacula e sua tipografia antes ou em conjunto com o hardware; 6) seleção e classificação de equipamentos recomendada para as suas aplicações e necessidades, porte, classe, centralização ou descentralização; 7) investimento em requisitos organizacionais, fundamentais para a segurança e integridade; 8) Elaboração do orçamento e uma análise custo/benefício do desenvolvimento e aplicação; 9) Planejamento das ampliações potenciais futuras, analisando a capacidade de expansão; e, 10) Teste, depuração absoluta da segurança.
7 METODOLOGIA
Segundo Beuren (2006, p. 79):
Uma pesquisa deve considerar as particularidades do seu objeto na determinação de sua tipologia que se acredita serem mais aplicáveis a esta área do conhecimento, agrupadas em três categorias: pesquisa quanto aos objetivos, que contempla a pesquisa exploratória, descritiva e explicativa; pesquisa quanto aos procedimentos, que aborda o estudo de caso, o levantamento, a pesquisa bibliográfica, documental, participante e experimental; e a pesquisa quanto abordagem do problema.
Neste aspecto, a pesquisa pode ser definida quanto aos objetivos como pesquisa de caráter descritiva exploratória, pois englobará a identificação, o relato, a comparação das variáveis do problema central, conforme determina Beuren (2006, p. 81). O caráter exploratório foi definido por se tratar de uma pesquisa que identificará todos os elementos substanciais para a sua execução, procurando responder ao problema central, a confirmação ou não da hipótese e os objetivos (geral e específico) da pesquisa. Com relação à questão dos procedimentos a pesquisa se caracterizará como estudo de caso, pois se concentrará apenas em um caso específico (BEUREN, 2006, p. 84). Vergara (2001, p. 26), observa que este tipo de pesquisa se fundamenta pela descrição interpretativa dos fatos observados no campo, com apoio bibliográfico com base em material publicado em livros e redes eletrônicas, que estão acessíveis ao público em geral, e de campo porque será realizada in loco (VERGARA 2001, p. 30). Quanto à abordagem do problema, a pesquisa será quali-quantitativa que, segundo Beuren (2006, p. 91) é: o estudo que emprega uma metodologia que pode descrever a complexidade de determinado problema, analisar a interação de certas variáveis, compreendendo e classificando processos dinâmicos vividos. Neste aspecto a pesquisa foi realizada pessoalmente junto a uma empresa privada do setor de equipamentos de informática e comunicação. A técnica utilizada será o estudo de caso, que tem como característica o estudo aprofundado de um ou de poucos objetos, permitindo, assim um amplo e detalhado conhecimento do assunto ou do tema. O estudo de caso também pode ser visto como método de pesquisa, sendo definido como um conjunto de dados que descrevem uma fase ou a totalidade do processo social de uma unidade, em suas várias relações internas e nas suas fixações culturais, quer seja esta unidade uma pessoa, uma família, um profissional, uma instituição social, uma comunidade ou uma nação (BEUREN, 2006). O estudo de caso apresenta as seguintes vantagens: a) Estimula novas descobertas por ser flexível no seu planejamento. É comum o pesquisador iniciar seu trabalho com um plano e durante a execução atentar para novos aspectos antes não previstos; pode até ocorrer que estes aspectos tornem-se mais importantes para a resolução do problema. b) Dá ênfase à totalidade: o multiplicador volta-se para a multiplicidade de dimensões do problema, focalizando-o como um todo.
c) Apresenta-se um grau de simplicidade dos procedimentos bastante elevado, o que facilita, consideravelmente, o trabalho do pesquisador. A forma de investigação utilizada será a análise de conteúdo, que segundo Moraes (2004) é um conjunto de técnicas e instrumentos utilizados para interpretar dados pesquisados. Esta metodologia de pesquisa, de acordo com o mesmo autor, tem por finalidade compreender profunda e criticamente os significados das comunicações, em seus conteúdos expressos e latentes. Para isso será realizada a leitura crítica e profunda dos dados e, conseqüentemente a descrição e interpretação desses, possibilitando deduções e conclusões sobre a sua recepção e produção. Os resultados foram apresentados a partir da análise do conteúdo, fazendo inter-relação entre os aspectos convergentes e divergentes dos resultados da pesquisa, o que segundo Vergara (2001, p. 34), pode ser feito por meio de um relato conciso do tema estudado. Segundo Beuren (2006), os resultados de uma pesquisa devem ser apresentados de forma coesa, concisa e que facilite o entendimento.
8 ESTUDO DE CASO
Aqui será apresentado um estudo de caso a respeito da proposta de utilização do software bacula para gerenciamento de backup, seguindo algumas premissas básicas, relatadas a seguir:
8.1 Diagnóstico situacional
Para a implantação de um sistema de gerenciamento de backups foi necessário a realização de diagnóstico com base em duas premissas: os fatores estruturais da empresa e os fatores organizacionais de Tecnologia da Informação – TI. Com relação aos fatores estruturais da empresa: a) Tipo de operação da empresa – a empresa trabalha com componentes em duas fábricas
na cidade de Manaus, ambas localizadas no Distrito Industrial. Uma fábrica trabalha com peças e componentes para apenas duas empresas: 78% de sua produção para a EMPRESA-H e 22% para a EMPRESA-Y. A outra fábrica trabalha para a indústria de bicicletas com a fabricação de correntes para os pedais. b) Fatores geográficos- a indústria é uma empresa nacional com tecnologia nacional que está localizada em três estados brasileiros: - Amazonas, na cidade de Manaus, trabalhando com a produção de peças e componentes para a indústria de duas rodas; - Rio Grande do Sul na cidade de Caxias do Sul com a produção de peças e componentes para a indústria de caminhões e ônibus; - São Paulo, na cidade de São Bernardo do Campo para a revenda em atacado de peças e componentes para motocicletas, bicicletas, caminhões e ônibus. c) Perfil de processos e produtos – por se tratar de uma produção estratégica a empresa não disponibiliza o seu perfil de processos e produtos, permitindo apenas a identificação visual na fase do diagnóstico. d) Estratégia mercadológica – Preço tem como base o custeio pleno, onde são definidos pelo método de custeio denominado absorção; o preço com base no custo total, onde são confrontadas as receitas com os custos e as despesas variáveis e no retorno sobre o capital investido. Desta forma, como principais itens que comporão a planilha de custos em primeiro lugar, os insumos, depois a mão-de-obra, em seguida as despesas com tributos. - Praça - A praça de atendimento é o Estado do Amazonas (peças e componentes para o setor de duas rodas e o resto do Brasil (peças e componentes de caminhões e ônibus); - Promoção – A empresa só trabalha com pessoas jurídicas. e) Papel da informática na empresa – Por se tratar de uma empresa que trabalha exclusivamente para outras empresas, a informática ganha contornos de imensa funcionalidade, sendo fundamental em todos os segmentos da mesma, que adotou investir na informática para oferecer um serviço mais rápido e de melhor qualidade para seus clientes e, também no ambiente interno. Diante disto, podemos afirmar que o uso de computadores facilitou muito o trabalho dos profissionais da empresa, pois, permitiu executar um maior número de tarefas em um intervalo de tempo bem menor. Com relação aos fatores organizacionais da TI foram considerados alguns aspectos importantes como a infra-estrutura de TI que é à base da capacidade da tecnologia de informação, tida como serviços confiáveis compartilhados pela empresa e coordenados centralmente, geralmente pelo grupo de sistemas de informação. Logo, tomou-se por base que a visão de infra-estrutura identificada combinando-se dois conceitos: conjunto de serviços de infra-estrutura de TI considerando o seguinte questionamento: com quem se pode facilmente conectar-se? Esse questionamento considerou as seguintes respostas: a) Qualquer um em qualquer lugar; b) Clientes e Fornecedores não importando a base de TI; c) Clientes e fornecedores com a mesma base de TI que a nossa; d) Por diferentes unidades empresariais no Brasil e no exterior; e) Por diferentes unidades empresariais domesticamente; d) Por uma unidade de negócios geograficamente espalhada; e) Dentro de uma única unidade empresarial. O questionamento envolveu também o: envio de mensagens; acessibilidade a informações
armazenadas s/ intranet; execução de transações simples; execução de transações complexas em aplicações múltiplas. A partir do modelo acima descrito, foram extraídos alguns resultados da unidade de análise estudada. Estes resultados foram representativos, apontando as seguintes necessidades de solução: - Administrar os serviços de rede de comunicações da empresa; - Administrar serviços de mensagem entre grupos e em toda a extensão da empresa; - Recomendar padrões para ao menos um componente da arquitetura de TI (ex: hardware, sistemas operacionais e comunicação de dados); - Prover segurança, planejamento contra desastres, e serviços de recuperação de negócio para as instalações e aplicações da empresa; - Reforçar a arquitetura e padrões de TI; - Implementar segurança plano de desastre e recuperação para as unidades de análise com gerenciamento de backups; - Prover administração de informação eletrônica; - Desenvolver e administrar links eletrônicos com fornecedores e clientes; - Desenvolver um ambiente comum de desenvolvimento de sistemas; - Prover serviços de educação tecnológica; - Prover a capacitação da intranet na empresa (ex: acesso a informações, acesso de sistemas múltiplos). Esse conjunto de serviços representa a maneira como os serviços básicos de infra-estrutura são oferecidos e utilizados na empresa. Seguindo a apresentação dos resultados, foram adicionados os pontos encontrados em cada momento aferindo que, a empresa analisada apresentou duas visões de Infra-estrutura de TI: utilidade e facilitadora. Estas duas visões mostram que a empresa precisa urgentemente melhorar seu controle de acesso.
8.2 Propostas de proteção da rede
Este ITEM aborda as questões relativas às técnicas e ferramentas utilizadas pela empresa estudada com base em sua política de segurança, considerando todos os aspectos mais importantes de sua rede de computadores ligada na conexão virtual Manaus (Amazonas) - Caxias do Sul (Rio Grande do Sul) - São Bernardo do Campo (São Paulo), considerando todos os aspectos relacionados ao acesso internos (as três localidades) e os acessos internos (resto do país e do mundo). Nesse sentido, foi considerado na proposta apresentada o estágio de vulnerabilidade do sistema de segurança anterior, tanto no ambiente interno, quanto no ambiente Internet, determinando uma metodologia e um protocolo de segurança da mesma.
8.2.1 Adequação de Ferramentas
Quando do diagnóstico inicial da questão da segurança da rede de computadores da empresa, a preocupação inicial foi direcionada para a identificação da vulnerabilidade do
sistema. Neste sentido, a escolha de um novo sistema de gerenciamento de backups, necessariamente, passou por uma profunda formatação da adequação de ferramentas, ou seja, a verificação de ferramentas bem específicas com relação ao fato da identificação e autenticação. A empresa considerou o que diz, por exemplo, Oliveira (2000, p. 103):
Quando se trata de proteção de redes de computadores e de ferramentas requer mais do que a sua simples implantação. Quando se trata de proteção, as ferramentas são mais específicas e dotadas de várias formas de apresentação. É necessário o estudo prévio do ambiente de redes a ser protegido e, depois de definidas as políticas e arquitetura do sistema de segurança, a implementação envolve uma combinação de hardware e software, que pode ser obtida a partir de fornecedores diferentes para que atendam às políticas de segurança dos vários ambientes e sistemas.
Desta forma, com a escola da ferramenta BACULA foi possível dimensionar toda a política e a arquitetura de segurança a partir da formatação de todo um protocolo se segurança, inclusive com a publicação da norma do controle de acesso, amplamente discutida entre o setor de informática e todos os setores da empresa, tendo como consequência imediata a utilização de uma ferramenta perfeitamente adequada às necessidades e características da empresa. Neste ponto Oliveira (2000, p. 104) estabelece:
A utilização de tecnologias suportadas somente por uma única plataforma pode levar à limitação da utilização de somente programas e sistemas específicos, colocando a rede dependente de um único fornecedor de software de gerenciamento e segurança.
Observação neste sentido também foi efetuada na empresa quando o setor de tecnologia da informação foi encarregado de pesquisar ferramentas que possibilitasse aos sistemas aplicativos. Assim, foi encaminhada a proposta de solução com base em um sistema para qualquer ambiente, com linguagem de programação bastante acessível que é um mecanismo de comunicação entre os programas com o sistema gerenciador de backups Bacula. A empresa levou em consideração o que diz Oliveira (2000, p. 105) em seu trabalho a respeito de mecanismos de segurança para combater a vulnerabilidade:
Ao adotar esta solução como ferramenta de gerenciamento de backup foi colocada a limitação de sistema operacional e linguagem de desenvolvimento, o que não é adequado para ambientes que se pretendem ser heterogêneos.
Desta forma, em sua proposta de implementação do novo sistema de gerenciamento de backups, a empresa considerou, mesmo com todos os avanços na tecnologia da informação, todos os usuários, internos e externos, como clientes do sistema, justamente por que as
pessoas na empresa, não trabalham isoladamente e dependem de informações de outras. Mesmo setores da empresa que são entusiastas no uso indiscriminado os recursos de TI, também sentem a necessidade de compartilhar informações e recursos, o que foi considerado na proposta de implementação. A eficiência do sistema como um todo deve permitir detectar não somente irregularidades de atos intencionais, como também erros de atos não intencionais. Esses erros podem ser: de interpretação como, por exemplo, a aplicação de um mecanismo equivocado no tratamento de informações; de omissão por não aplicar um procedimento prescrito nas normas em vigor; decorrentes da má aplicação de uma norma ou procedimento.
8.3 Gerenciamento de backup com software bacula
O gerenciamento de backup inclui os processos necessários para assegurar que o projeto inclui todo o trabalho necessário. Este gerenciamento está relacionado com a definição e controle do que está e do que não está incluso no projeto, fornecendo um resumo de processos de gerenciamento, que incluiu o seguinte: coletar os requisitos; definir o escopo; criar a EAP; verificar; controlar. A coleta de requisitos incluiu as necessidades quantificadas e documentadas, e as expectativas gerais. Sendo que os requisitos precisam ser obtidos, analisados e registrados com detalhes para serem medidos uma vez que a execução do projeto se inicie. Estes requisitos se transformaram na fundação da EAP - Estrutura Analítica do Projeto, sendo que o planejamento dos custos cronograma e da qualidade foram todos constituídos com base no requisito. Os requisitos neste trabalho foram obtidos por meio de entrevistas, realizadas por meio de perguntas preparadas e espontâneas e do registro de suas respostas. A definição do escopo é um processo de desenvolvimento de uma descrição detalhada do projeto e do produto, durante o planejamento. O escopo é definido e descrito com maior especificidade conforme as instruções do projeto são conhecidas. Além de fornecer uma baseline, em termos de escopo do projeto, para que posa ter o escopo mensurado em seu desempenho e controlado, este processo possui outras finalidades: melhorar a precisão das estimativas de custo, duração e recursos; facilitar as designações de responsabilidades. Baseando-se nas técnicas de decomposição que se consegue dividir os principais produtos do projeto em nível de detalhe suficiente para auxiliar e equipe de gerenciamento do projeto na definição das atividades do projeto. A decomposição envolve os seguintes passos: identificar os resultados principais do projeto, incluindo o seu próprio gerenciamento; decidir se o nível de detalhe de cada resultado principal é o adequado para desenvolver estimativas de custo e duração; identificar os componentes constituintes para cada um dos resultados principais considerados com nível de detalhe ainda inadequado; verificar a precisão da decomposição realizada. Um pacote de trabalho pode ser agendado, ter seu custo estimado, monitorado, e controlado. Denominados pacotes de trabalho, os requisitos principais e aprovador do projeto servirão para definir e organizar os trabalhos na EAP. Para a criação da EAP são necessários os seguintes processos: declaração do escopo do projeto; documentação dos requisitos; ativos de
processos organizacionais. Decomposição é a subdivisão das entregas do projeto em componentes menores e mais gerenciáveis, até que as entregas do trabalho estejam definidas no nível de pacotes de trabalho (VALERIANO, 2001, p.105). A decomposição do trabalho completo do projeto em pacotes de trabalhos geralmente envolve as seguintes atividades: identificação e analise das entregas e seu trabalho relacionado; estruturação e organização da EAP; decomposição dos níveis mais altos da EAP em componentes detalhados em menor nível; desenvolvimento e designação de códigos de componentes da EAP; verificar de que grau de decomposição do trabalho e necessário e suficiente. Segundo Valeriano (2001), a verificação é o processo de obtenção da aceitação formal pelas partes interessadas do escopo do projeto terminado e das entregas associadas. Este processo deve ocorrer ao final de cada fase e do ciclo de vida a fim de revisar os resultados principais entregues e os resultados do trabalho, garantindo assim que o trabalho foi entregue de maneira satisfatória. Quando a verificação é feita por fase do ciclo vida do projeto, os produtos ou resultados da fase são observados. O controle envolve processos, procedimentos e padrões que são usados para gerenciar as mudanças do escopo. Sem gerenciamento de alteração formal é impossível garantir que as mudanças propostas de escopo tenha suporte nas metas fundamentais de negócio. O processo de gerenciamento de mudanças de escopo consiste em um conjunto de procedimentos para documentação, relatos, analise custeamento, aprovação e implementação das mudanças no projeto.
8.4 Metodologias e protocolos de gestão
O nível de segurança na rede da empresa será tão alto quanto os dispositivos e mecanismos que forem instalados. Todo o processo de segurança implica custos e mais operações que o sistema utilizado tem de realizar para verificar, bloquear e registrar o acesso lógico dos usuários (funcionários, clientes). No entanto, ele deve ser encarado como uma espécie de seguro cujos custos são pequenos se comparados aos custos de eventuais desastres. A filosofia do processo de segurança deve ser a de tentar impedir que problemas antecipáveis ocorram e, no caso de não ser antecipável e/ou ocorrer, diminuir ao máximo os problemas ou impactos decorrentes, elaborando e tendo disponível um esquema de recuperação de dados. Os impactos sobre a organização podem ser grandes, tais como: custos financeiros, lucros cessantes por interromper a continuidade das operações, imagem prejudicada, perda da confiabilidade, entre outros. Segundo Feliciano (2008, p. 69), os principais motivos que podem causar esses tipos de problemas podem ser divididos em: “erro ou descuido; falha acidental pequena; falha proposital, fraude, sabotagem, vingança e outros todos com conseqüências médias ou grandes; falha acidental grande, danos permanentes e irrecuperáveis, desastres e sinistros”. O autor supracitado (p. 70) aponta as medidas e os mecanismos de segurança que devem
englobar o hardware, o software e principalmente as informações, para: proteger fisicamente; proteger economicamente, efetuando, sempre que viável, o seguro de todos os componentes do sistema e contra os diferentes tipos de ocorrência; impedir o acesso lógico e físico não-autorizado e conseqüentemente o uso indevido; identificar quem fez o que, quem realizou a transação, quem autorizou a modificação ou acesso, e assim por diante; manter um esquema de cópias de segurança – backup; planejar para recuperação no caso de falhas; fiscalizar – auditar. Os tipos de gestão podem ser assim classificados, quando ao aspecto a que se relacionam, segundo Feliciano (2008, p. 75): “I – acesso; II – integridade; III – transporte e transmissão de informações; IV – parte jurídica; V – ações de prevenção; e VI – auditoria. Os mecanismos de proteção interna, como o acesso, devem impedir que pessoas não autorizadas tenham acesso a hardware, software ou informações. Para Feliciano (2008) o acesso físico pode ser controlado e protegido de diversas maneiras, indo deste a segurança por meio de identificação visual ou por documentos realizados por pessoas, até mecanismos mais sofisticados como identificação por senhas, impressão vocal, reflexão na retina, entre outros. Tudo com o propósito de evitar que pessoas sem boas intenções estando junto ao sistema possam causar danos ao desenvolvimento e sua manutenção. No caso da empresa em estudo será a identificação por senhas. Processos semelhantes devem ser utilizados para o controle do acesso lógico, quem pode acessar o que e quem pode realizar determinadas operações como a de autorizar um usuário a consultar um determinado arquivo ou até de alterá-lo. Assim, o sistema de gestão de cópias de segurança deve incorporar em sua metodologia de segurança externa a integridade física da mesma, pois, os processos também são muitos e às vezes misturam-se como os classificados como sendo de prevenção e de recuperação em casos de falhas ou perda. Destacam-se, segundo Feliciano (2008) dois tipos: os voltados a evitar roubo e sinistros e os voltados às técnicas de cópias ou duplicações de segurança – backup. O autor informa que no primeiro caso, utilizam-se no ambiente físico seguros, enquanto que no segundo caso, os mecanismos incluem dispositivos estratégicos como elaborar esquemas para backup de arquivos de recuperação; guardar cópias em locais distintos; previsão de que pode parar de funcionar, mantendo um processo de manutenção preventiva e corretiva, além de planejar procedimentos para estar preparado para a indisponibilidade. Por fim, quanto à segurança externa tem-se a integridade da própria página na WEB, ou seja, se os dados armazenados são confiáveis, representam à realidade dos fatos. As maiores causas advêm de erros e falhas na entrada de dados. Para evitar esses problemas são também usadas muitas técnicas de consistências, além de verificações automáticas realizadas cotidianamente. Então, a política de segurança, quando dá sua implantação, incorporou ter as seguintes características gerais: sua implantação foi precedida de publicação de instrumentos administrativos e métodos apropriados de divulgação; possui ferramentas apropriadas; definiu claramente o acesso para os usuários. É importante reconhecer que sempre existem expectativas para cada regra de uma política, portanto este conjunto de regras deve permitir a flexibilidade de serem alteradas, excluídas além da inclusão de novas regras na política, de forma que a mesma não fique obsoleta nem tecnicamente inviável com o passar do tempo. Então para implantar um sistema de gerenciamento de cópias de segurança, como o
Bacula, é necessário seguir uma metodologia. A metodologia é um conjunto de conceitos, normas e regras destinadas a orientar um processo de trabalho. Geralmente está baseada numa seqüência de atividades para gerar produtos predeterminados e de formato padronizado. Uma metodologia pode englobar diversas técnicas. Sua ênfase é sobre atividades, etapas, recursos, prazos, sob a ótica do controle (MORAES, 2004). Para Cautela (2006, p. 64), as metodologias em informática apresentam as seguintes características: - são baseadas no ciclo de vida; - podem englobar técnicas de modelagem de dados (diagrama entidade-relacionamento), análise estruturada, projetos estruturados etc. - apresentam uma estrutura funcional sob a qual um projeto pode ser subdividido em fases, atividades e etapas. Para selecionar a abordagem mais adequada deve-se considerar a utilização de padrões, o que representa, unicamente, utilizar cada tecnologia para a finalidade única para a qual está sendo desenvolvida. Então a empresa, estabeleceu como metodologia para implantação do Bacula: 1) Definição do Projeto: avaliação preliminar (definição dos objetivos e garantia do envolvimento de todos); estudo do projeto (organização, programas de trabalho). 2) Definição dos requisitos básicos: esboço das funções (exame das funções, identificação do público, fontes de dados e documentos); avaliação de recursos tecnológicos (definição dos requisitos técnicos e parâmetros e critérios de funcionamento); planejamento do desenvolvimento (atividades, equipe, cronograma; análise de viabilidade econômica); revisão e aprovação. 3) Desenvolvimento: organização e administração (definição de técnicas e métodos, programas de trabalho e ferramentas); projeto lógico (projeto conceitual da base de dados e avaliação do protótipo); projeto físico (definição detalhada da base de dados e dicionário de dados, definição da linguagem, codificação e teste). 4) Implantação: planejamento da implantação; teste piloto com instalação e desativação do sistema anterior, acompanhamento e auditoria de segurança. Dez passos são de suma importância para melhor seleção, implantação e uso na gestão das cópias de segurança: 1) exame das possibilidades e prioridades (levantamento da situação atual); 2) identificação de suas necessidades específicas, oportunidades e aplicações atuais, potenciais e estratégias; 3) projetar a gestão, alocando recursos e estimulando os requisitos (técnicos e organizacionais); 4) determinação do que se pode executar, elaborando um cronograma e estabelecendo prioridades; 5) seleção e avaliação do software antes ou em conjunto com o hardware; 6) seleção e classificação de equipamentos recomendada para as suas aplicações e necessidades, porte, classe, centralização ou descentralização; 7) investimento em requisitos organizacionais, fundamentais para a gestão; 8) Elaboração do orçamento e uma análise custo/benefício do desenvolvimento e aplicação; 9) planejamento das ampliações potenciais futuras, analisando a capacidade de expansão; 10) teste, depuração absoluta da gestão.
O protocolo de gestão inclui suas políticas de segurança e o respectivo plano de sua implementação. Esse protocolo estabelece uma estrutura para a avaliação do risco, o desenvolvimento e implementação de procedimentos eficazes de segurança e a supervisão da eficácia desses procedimentos. Sem um protocolo bem elaborado, os controles de gestão podem ser insuficientes, as responsabilidades podem não estar claras, não serem compreendidas e propriamente implementadas, e os controles podem ser aplicados de forma inconsistente. Tais condições podem levar a uma proteção insuficiente de recursos críticos ou vulneráveis e, possivelmente, a um desperdício de recursos para implantação de controles em situações de baixo risco. Então o protocolo segue os seguintes pressupostos rígidos: a) os dispositivos de proteção da segurança na rede da empresa devem possuir muita consistência com as possíveis vulnerabilidades existentes; b) a proteção de segurança tem que está presente em todas as etapas e, em todas as situações. Estes princípios são postos em prática a partir da determinação do estágio da vulnerabilidade dos dados, sob o ponto de vista de sua integridade, caráter confidencial e disponibilidade, e através da aplicação concreta do Plano de Segurança da empresa que abrange os seguintes aspectos de proteção: elemento humano, fatores físicos, práticas e procedimentos, hardware, software, aplicações e elementos de apoio à segurança. Então a empresa deve considerar a avaliação de risco a primeira etapa de seu protocolo. A quadro 2 apresenta esta dinâmica:Quadro 2 - Determinação do risco de confiabilidade de sistemas de gestão de cópias de segurança|Risco de confiabilidade inicialmente |Avaliação dos controles do sistema |Risco de confiabilidade ajustado ||calculado | | ||Alto |Fracos/Indeterminados |Baixo ||Moderado |Indeterminados |Baixo ||Baixo |Adequados |Muito baixo ||Muito baixo |Sólidos |Inexistentes |
Fonte: Cautela (2006, p. 100)
A gestão da informação possui características próprias e que devem seguir as seguintes premissas: confidencialidade que determina quem possa ter acesso às informações; integridade que permite a uma precisão nas informações; disponibilidade que dê garantia de que os usuários tenham acesso à informação e aos recursos associados, quando necessário. Algum teste sempre será necessário quando se pretende avaliar a confiabilidade de
informações. Mesmo quando os controles são bem projetados e de modo geral, eficientes e eficazes, quanto à procedência dos dados. Ainda que a equipe de desenvolvimento trabalhe com bons elementos de controle, essa avaliação não pode deixar de existir, justamente porque é muito difícil que qualquer sistema desenvolvido, não contenha erros, pois a definição de dados confiável não quer dizer 100% (cem por cento) de um produto perfeito. Pelo contrário, dados confiáveis indicam uma constante avaliação da integridade e autenticidade e a exatidão do seu processamento por computador, abrangendo. Segundo Cautela (2006, p. 101).
- Testes da integridade dos dados: determinam se o universo contém todos os elementos de dados e registros relevantes para a WEB em desenvolvimento. A omissão de dados é particularmente danosa se ela representar um segmento específico. - Testes de autenticidade dos dados: verificam se os dados refletem com exatidão sua fonte. - Testes de exatidão do processamento: informam se todos os registros relevantes foram processados de forma completa, e se todos os processamentos atenderam aos objetivos pré-estabelecidos.
Desta forma, a gestão sugere uma série de procedimentos fundamentais para que não se corra riscos que promovam uma vulnerabilidade constante. A seguir é apresentado um resumo executivo do protocolo se segurança da empresa: Implementação de medidas de segurança tradicionais; sistema de gestão de cópias de segurança; aplicar testes de segurança; aplicar os controles da norma de segurança da empresa; um fluxograma de aplicação que traduzem com extrema clareza quais são as fases a serem seguidas; estabelecimento de uma unidade de classificação da segurança com processos racionais de escolha das ferramentas de desenvolvimento e de segurança necessárias de forma simples e rápida; identificação de métodos de análises de riscos que, produzam o estabelecimento de riscos e vulnerabilidades em cada nível de segurança do modelo; criar uma política de política de segurança eficiente para manutenção da segurança da informação; implementar um modelo que descreva a arquitetura de segurança básica para a gestão da segurança. Desta forma a implantação do sistema bacula foi dividida em três etapas fundamentais: planejamento: análise de riscos, classificação do nível de segurança necessário e aplicação dos controles de segurança; Implementação: implementação das ferramentas de segurança, montagem, configuração, testes e validação dos sistemas; gerenciamento: treinamento, auditorias e reavaliações periódicas do sistema. Assim, o protocolo de gestão inclui: 1) Padrão 1 - básico. As ferramentas de segurança são simples e contemplam um firewall corporativo e um antivírus e outra ferramenta que garanta a autenticação e a confidencialidade das comunicações. 2) Padrão 2 se aplica somente onde grau da informação e o grau de risco justificam maior investimento financeiro e operacional, exigindo, além dos itens especificados para o Nível 1, uma metodologia de segurança complexa na empresa, empregando, ferramentas mais complexas para serem disponibilizadas de serviços pouco seguros, que detecte e elimine a possibilidade de problemas.
3) Padrão 3 é aplicável onde o valor das informações e o grau de risco justificam a aplicação de ferramentas extras de forma a maximizar a segurança, principalmente no aspecto da segurança física. Incorpora os itens especificados para os padrões 1 e 2. Assim, no padrão 1 todas as ferramentas relacionadas são de uso obrigatório. Essas ferramentas são de uso mais freqüente e, portanto, de mais fácil implementação. O backup pode ser feito diariamente no servidor da empresa. São ferramentas de uso obrigatório: No padrão 1: Firewall; Antivírus com atualização sistemática; Backup diário; Arquitetura de segurança simples. No padrão 2: Certificação Digital (PKI); Call-Back; Arquitetura de segurança complexa. No padrão 3: Criptografia de arquivos sensíveis em desktops; Biometria; Monitoração do Acesso; Arquitetura de segurança mais complexa. Desta forma, o a gestão por meio do bacula se aplica a todos os padrões de segurança e devem envolver: recursos: estabelecer a origem dos equipamentos que serão utilizados; supervisão: determinar os testes que serão realizados e com que freqüência para combater ameaças; acesso: determinar a política de senhas para o acesso; suporte: o suporte deve ser fornecido pela equipe de informática; manutenção: A manutenção no hardware deve ser sistemática em parceria com o representante legal do fabricante; cópia de Segurança: deve ser especificada a forma como serão criadas cópias backup; disponibilidade: estabelecer os procedimentos cotidianos para os casos de indisponibilidade de dados; testes de consistência: deve ser realizados testes de consistência para monitorar tentativas de acessos indevidos; segurança física: verificar as instalações constantemente; segurança lógica: A segurança lógica deve ser garantida por meio do emprego obrigatório das ferramentas utilizadas na rede da empresa. Assim foi estabelecido como controle de segurança na rede da empresa: - Equipamento: O computador-servidor sofre testes de consistência simples a cada 72 horas; - Supervisão: são realizadas no computador-servidor uma supervisão mensal para avaliação das condições de segurança do sistema; - Acesso: O acesso poderá ser feito 7 dias por semana, 24 horas por dia com senha obedecendo aos mesmos parâmetros de comprimento, duração e bloqueio, somente para gerentes e cargos de diretoria; Outros cargos o acesso poderá ocorrer apenas, nos seguintes horários: - Setor administrativo: Horário comercial (7:00h às 17:00h) de segunda a sexta-feira; - Setor de produção: Turnos de trabalho: - Segunda a sábado das 6:00h as 22:00h - Suporte: O suporte deve ser fornecido pela equipe de informática.
9 CONCLUSÃO
O problema de selecionar e usar adequadamente boas ferramentas de gestão está ficando mais importante a cada dia, pois, delas dependem o controle eficaz do acesso a informação. São controles que se aplicam a todos os processamentos executados em um ambiente de tecnologia da informação, visando garantir que o ambiente como um todo seja eficiente, eficaz, seguro e confiável. Sistema de gerenciamento de cópias de segurança deficientes acarretam uma diminuição da confiabilidade dos dados. Por essa razão, um bom sistema de gestão de cópias de segurança deve ser normalmente avaliado, e antes da avaliação deve ser examinados em uma auditoria de sistemas que considera os controles de TI com suas políticas, procedimentos e arquitetura estabelecidos para organizar as responsabilidades de todos os envolvidos nas atividades relacionadas à TI. Nele devem constar 1) programa geral de segurança: oferece a estrutura para: gerência do risco; desenvolvimento de políticas de segurança; atribuição das responsabilidades de segurança, e (3) supervisão da adequação dos controles gerais da entidade. 2) Continuidade do serviço: controles que garantem que, na ocorrência de eventos inesperados, as operações críticas não sejam interrompidas, ou sejam imediatamente retomadas, e os dados críticos sejam protegidos. Essas prerrogativas devem ser consideradas pela empresa, em sua completa mudança em seu sistema de gerenciamento de cópias de segurança, demonstrando que a empresa busca a proteção de rede forma bastante ousada. Selecionar e usar um sistema de gestão de cópias de segurança pode ser controvertido ou complexo, mas está se tornando mais fácil e mais barato, e as recompensas valem o risco na grande maioria das vezes.
10 CRONOGRAMA
11 REFERÊNCIAS
BEUREN, Ilse Maria. Como elaborar trabalhos monográficos: teoria e prática. São Paulo: Atlas, 2006.
CAUTELA, Alciney L. Sistemas de informação: um enfoque atual. Rio de Janeiro: LTC, 2006.
CHAVES, Eduardo O. C. Informática: micro revelações. Campinas-SP: Cartograf, 2004.
DE MAIO, Adriano. A informática e os processos de tomada de decisão: uma metodologia sócio-técnica de individualização das necessidades da informação. São Paulo: Max Limonad, 2003.
DYTZ, Edison. O desenvolvimento seguro em informática. São Paulo: Nobel, 2007.
FARIA Hector Medrado de. Bacula: ferramenta livre de backup. São Paulo; Brasport, 2010.
FELICIANO, Acácio. Engenharia da informação: metodologias, técnicas e ferramentas. São Paulo: McGraw Hill, 2008.
http://www3.di.ufpb.br/liliane/aulas/listas.html Acesso em 20/10/2011 às 11:10h.
http://pt.wikipedia.org/wiki/Cross-site_scripting Acesso em 09/11/2011 às 6:45h.
LIMA, Paulo de Salles Morais. Auditoria em sistemas de controles de TI. São Paulo: Summus, 2006.
MORAES, Roque. Análise de Conteúdo: possibilidades e limites. In.: ENGERS, Maria Emília Amaral (Org.). Paradigmas e metodologias de pesquisa. Porto Alegre: EDIPUCRS, 2004.
NAISBITT, John. Megatendências. São Paulo: McGraw Hill, 1990.
OLIVEIRA, Evandro Luiz. Senhas: Projetos de segurança para a redução de Vulnerabilidades. Belo Horizonte: Escola de Governo Fundação João Pinheiro, 2000.
OLIVEIRA, Luiz E. Microcomputadores: contatos imediatos. São Paulo: Unicórnio, 2000.
REIS JÚNIOR, Julival Santos. Bacula: um sistema de gestão de backup livre aplicado em uma organização. Artigo. 2010. Disponível em http://www.universidadejorgeamado.com.br Acesso em 20/10/2011 às 12:11h.
TOFLER, Alvin. Gestão da modernidade. São Paulo: McGraw Hill, 1988.
VALERIANO, D. L. Gerenciamento estratégico e administração por projetos. São Paulo: Makron Books. 2001.
VERGARA, Sylvia. Pesquisa de Campo. São Paulo: Saraiva, 2001.
-----------------------[1] Cross-site scripting (XSS) é um tipo de vulnerabilidade do sistema de segurança de um computador, encontrado normalmente em aplicações web que ativam ataques maliciosos ao injetarem client-side script dentro das páginas web vistas por outros usuários. Um script de exploração de vulnerabilidade cross-site pode ser usado pelos atacantes para escapar aos controles de acesso que usam a mesma política de origem (http://pt.wikipedia.org/wiki/Cross-site_scripting).
[2] Segundo o site http://www3.di.ufpb.br/liliane/aulas/listas.html conjuntos encadeados são conjuntos onde cada elemento contém uma ligação com um ou mais elementos da lista. A forma de organização e acesso aos elementos de uma lista podem caracterizarem pilhas, filas, árvores binárias e grafos. A grande diferença entre as listas e as pilhas ou filas é que as listas não possuem regras para o acesso de seus elementos. Ou seja, a inclusão, exclusão ou consulta dos elementos da lista podem acontecer de forma aleatória. Isso implica numa série de cuidados durante os processos de inclusão e exclusão, devido à necessidade de não destruir a ordem da lista com ponteiros "perdidos".2 Segundo o site http://www3.di.ufpb.br/liliane/aulas/listas.html conjuntos indexados são conjuntos suplementares que dependem um do outro.
![[FAQSUN-0010 2016] [Backup, Restauração, Desinstalação e ...€¦ · [FAQSUN-0010_2016] [Backup, Restauração, Desinstalação e Instalação Magellan] 1. Backup de restauração](https://img.document.onl/doc/110x75/5f9c96bc89fd5e725f10e26e/faqsun-0010-2016-backup-restaurao-desinstalao-e-faqsun-00102016.jpg)
