Baixe o app para aproveitar ainda mais
Prévia do material em texto
112 Unidade III Unidade III 7 COMPUTAÇÃO EM NUVEM (CLOUD COMPUTING): SAAS, PAAS E IAAS A computação em nuvem pode trazer diversas vantagens competitivas para as empresas. SaaS, PaaS e IaaS são as três principais modalidades dos serviços de cloud computing e cada formato tem características e aplicações próprias. As siglas indicam o modelo de serviço prestado na nuvem: software como serviço (SaaS), plataforma como serviço (PaaS) e infraestrutura como serviço (IaaS). Tal como indicado pelas siglas, a principal diferença entre essas três modalidades de computação em nuvem é o tipo de serviço oferecido por um fornecedor. Podemos pensar como uma escalada tecnológica, em que uma organização vai ampliando os serviços utilizados na nuvem, partindo de ferramentas básicas de colaboração em SaaS, passando pela utilização de softwares em PaaS, até chegar à migração completa da infraestrutura de TI para a nuvem (IaaS). Assim, as diferenças entre os modelos estão mais relacionadas às necessidades e à maturidade digital das organizações. Na prática, esses serviços atendem necessidades específicas das empresas: • SaaS (do inglês, software as a service): nesse primeiro padrão de computação em nuvem, você tem acesso ao software sem imposição de comprar sua licença, utilizando-o a partir da computação em nuvem. Mas há planos de pagamento nos quais é cobrada uma taxa fixa ou um valor que varia de acordo com o uso. Muitos CRMs ou ERPs trabalham no sistema SaaS, e até mesmo sites como o Facebook e o Twitter ou aplicativos como o Google Docs e o Office 365 funcionam dessa forma. Assim, a aquisição desses softwares é feita via internet. Os dados e demais informações podem ser acessados de qualquer dispositivo, dando mais mobilidade à equipe. Um dos mais conhecidos é o tipo de serviço on-line mais utilizado, por exemplo, por serviços de e-mail, sendo esta uma recomendação para pequenas empresas, que não podem gastar uma pequena fortuna com a compra de licenças; trabalhos que durem apenas um curto período de tempo; necessidades de acesso remoto aos aplicativos, como no caso de softwares de CRM. O SaaS não é aconselhável quando as organizações seguem uma legislação que não permite a hospedagem de dados fora da empresa ou os requisitos de segurança e o service level agreement (SLA) – ou acordo de nível de serviço – são críticos e não podem ser oferecidos pelo provedor dos serviços. Figura 11 – Facebook, um exemplo de SaaS 113 TECNOLOGIAS DA INFORMAÇÃO • PaaS (do inglês, platform as a service): esse segundo padrão pode ser entendido como uma plataforma que pode criar, hospedar e gerir um aplicativo. Nesse modelo, contrata-se um ambiente de desenvolvimento completo, sendo possível criar, modificar e aperfeiçoar softwares e aplicações utilizando a infraestrutura na nuvem. O time de desenvolvimento tem uma infraestrutura completa à disposição, sem que sejam necessários altíssimos investimentos. No entanto, o PaaS não é indicado quando o desempenho do software pede algum hardware ou outros aplicativos específicos. Além disso, se, no futuro, sua empresa precisar migrar para outro fornecedor, poderá ter dificuldades, devido ao uso de determinadas linguagens. Entre as principais características desse padrão de computação nas nuvens temos: o acesso aos dados via web ou aplicativos móveis; o gerenciamento centralizado; as aplicações seguindo o modelo “um para muitos”; a possibilidade de realizar integrações; e a personalização das ferramentas por meio de application programming interfaces (APIs). Entre as vantagens desse modelo, podemos citar o gerenciamento e acesso a um grande volume de dados extensos e muitas vezes complexos, bem como a atualização e o acesso aos aplicativos hospedados na rede via dispositivos móveis. O melhor é não utilizá-lo quando a linguagem proprietária puder dificultar a mudança no futuro para outro fornecedor, ou ainda se a organização utilizar linguagens proprietárias ou abordagens que influenciam no processo de desenvolvimento. O seu uso é desaconselhável também nos casos de personalização avançada, em que o desempenho do aplicativo exige hardwares ou softwares específicos. Figura 12 • IaaS (do inglês, infrastructure as a service): nesse terceiro padrão dos modelos de nuvem, a empresa contrata uma capacidade de hardware que correspondente à sua necessidade de armazenamento, processamento etc. Podem entrar nesse pacote de serviços de contratações os servidores, roteadores, entre outros. Dependendo da escolha do fornecedor e do modelo, sua empresa pode ser tarifada pelo número de servidores utilizados e pela quantidade de dados armazenados ou em tráfego. Em geral, tudo é fornecido por meio de um data center com servidores virtuais, em que você paga somente por aquilo que usar. Você pode utilizá-lo quando a demanda de infraestrutura é variável, como nas lojas virtuais que têm picos de acessos sazonais. Com o IaaS, a escalabilidade da nuvem é total e não há serviços ociosos, permitindo que a empresa pague apenas por aquilo que consome. Também é aconselhável para empresas que crescem rápido e não têm capital para investir em infraestrutura, manutenção ou mão de obra especializada. A desvantagem está em que esse modelo exige muito cuidado com a legislação. Às vezes, não é permitida a terceirização ou o armazenamento de dados fora da organização. 114 Unidade III É ainda desaconselhável quando os níveis de desempenho necessários para as aplicações tiverem limites exigidos pelo provedor inferiores às necessidades da organização contratante. O IaaS pode ser dividido em outras três subcategorias para adoção nas empresas: — Nuvem pública: toda a infraestrutura dos servidores da empresa é compartilhada e gerenciada de modo seguro pelo provedor de serviços em nuvem. Na nuvem pública, toda a infraestrutura de TI, sua manutenção, seus mecanismos de segurança e a atualização são de responsabilidade do provedor do serviço. — Nuvem privada: a infraestrutura em nuvem da empresa é particular e usada apenas pela organização. O ambiente físico pode ser de terceiros, mas há maior controle e possibilidade de personalização. Assim, a nuvem privada é de propriedade da empresa e fica instalada em sua área física, requerendo infraestrutura de hardware, software, segurança e pessoal próprios para seu gerenciamento. — Nuvem híbrida: combina as duas primeiras, utilizando as características da nuvem pública e privada conforme a conveniência da empresa. A nuvem híbrida combina o melhor dos dois tipos anteriores; com isso, parte dos dados é disponibilizada na nuvem privada – aqueles que exigem sigilo – e outra parte fica na nuvem pública – dados não confidenciais. Figura 13 7.1 Internet das coisas Em 1999, o termo internet of things (IoT) – internet das coisas (IdC) – foi criado por Kevin Ashton, pioneiro tecnológico da Inglaterra que concebeu um sistema de sensores universais conectando o mundo físico à internet, enquanto trabalhava em radio frequency identification (RFID) – identificação por radiofrequência. Há duas tecnologias importantes que proporcionaram a criação conceitual da IoT. São elas a combinação da RFID e o wireless sensor network (WSN). Esse termo retrata um campo em que muitos objetos do dia a dia estarão conectados à internet e se comunicando reciprocamente. São sistemas que, ao conectar coisas animadas ou inanimadas à 115 TECNOLOGIAS DA INFORMAÇÃO internet com identificadores exclusivos, oferecem uma situação que proporciona visibilidade à rede, aos dispositivos e ao ambiente. Faça um rápido exercício: tente se lembrar dos objetos que você usa para se conectar à internet. Smartphone, tablet, notebook, desktop. Você provavelmente deve utilizar pelo menos um desses dispositivos, de acordo? Provavelmente você estará usando um notebook, desktop ou smartphone para ver suas aulas na plataforma de EaD. Figura 14 Há outros equipamentos que se conectam à internet para realizar atividades essenciais. Por exemplo, câmerasde segurança on-line, que permitem que uma pessoa observe sua casa à distância. Outro exemplo: smart TV. Com ela, pode-se acessar serviços como Netflix ou YouTube de modo direto, sem ligá-la ao PC ou smartphone. Pode ser que você tenha um video game de última geração que se conecta à internet. Consoles antigos como Super Nintendo ou Mega Drive não tinham toda essa conectividade. Imagine um cenário em que, além da TV, vários objetos da casa se conectam à internet: geladeira, forno de micro-ondas, alarme de incêndio, termostato, sistema de som, lâmpadas, enfim, tudo o que existe em sua residência. A conectividade serve para que os objetos possam receber atributos complementares. Assim, a geladeira com internet pode avisar quando um alimento está perto de terminar e, ao mesmo tempo, pesquisar na web mercados que oferecem os melhores preços para aquele item. Também poderia pesquisar e exibir receitas. E, no caminho, seu carro carregou informações sobre promoções do mercado mais próximo. Pense agora em um termostato, que é um dispositivo com a função de impedir que a temperatura de determinado sistema varie além de certos limites preestabelecidos. O dispositivo pode verificar na internet as condições climáticas do bairro para deixar o ar-condicionado na temperatura adequada. O aparelho também pode enviar informações ao seu smartphone por meio de um aplicativo específico e exibir relatórios que mostram como o ar-condicionado vem sendo usado. Com a IoT, também é possível obter dados sobre eventos que já foram invisíveis – por exemplo, a correlação de padrões climáticos com a produção industrial. Vejamos algumas aplicações da IoT: 116 Unidade III • Hospitais e clínicas: pacientes podem utilizar dispositivos conectados que medem batimentos cardíacos, por exemplo, e os dados coletados ser enviados em tempo real para o sistema que controla os exames; a IoT pode ser usada na criação de sistemas eficazes que mantêm as vacinas protegidas, bem como de sensores e monitores que controlam as práticas de higiene nesses ambientes ou ainda monitoram o progresso do tratamento de cada paciente. • Agropecuária: sensores espalhados em plantações podem ajudar a monitorar o campo de cultivo, a quantidade de luz, a umidade do ar e do solo, a temperatura etc. e automatizar o sistema de irrigação, promovendo o uso mais eficiente da água. De igual forma, sensores conectados aos animais conseguem ajudar no bem-estar e na saúde do gado, possibilitando o rastreamento do animal e informando seu histórico de vacinas; podem ainda monitorar a gestação das vacas, por exemplo. • Fábricas: a IoT permite conectar informações em geral de dispositivos na internet, podendo ajudar a medir a produtividade de máquinas ou indicar setores que precisam de mais equipamentos ou suprimentos. Ela permite também apoiar o setor de manutenção, com a digitalização de todos os elementos ativos e documentos. Ajuda na supervisão de locais remotos, alimentando informações com interconexão de logística, fornecedores e suprimentos, e ainda contribui para a gestão em tempo real da produção, inclusive de atividades anteriormente fora do alcance. • Lojas: prateleiras inteligentes podem informar quando determinado item está começando a faltar, qual produto tem menos saída (exigindo medidas de reposicionamento ou criação de promoções) ou em quais horários determinados itens vendem mais (ajudando na elaboração de estratégias de vendas), melhorando o controle de estoque. • Transporte público: usuários podem saber pelo smartphone ou em telas instaladas nos pontos a localização de determinado ônibus, usando rastreadores GPS. Os sensores também podem ajudar a empresa a descobrir se um veículo apresenta defeitos mecânicos, se estão sendo cumpridos os horários, o que indica se há necessidade ou não de reforçar a frota; podem responder questões das operações, em tempo real, como quais veículos precisam de manutenção, as linhas mais lotadas, o número exato de usuários e quanto tempo o ônibus levará para chegar ao próximo ponto. • Logística: dados de sensores instalados em caminhões, contêineres e até caixas individuais combinados com informações do trânsito otimizam a cadeia de produção, garantindo a chegada do produto ao destino. Por exemplo, podem ajudar uma empresa de logística, em relação à frota, a saber a posição exata dos veículos, as viagens realizadas, as melhores rotas, a escolher caminhões mais adequados para determinada área e quais encomendas distribuir entre a frota ativa. • Serviços públicos: sensores em lixeiras podem ajudar a prefeitura a aperfeiçoar a coleta de lixo; já carros podem se conectar a uma central de monitoramento de trânsito para obter a melhor rota para aquele momento, assim como para ajudar o departamento de controle de tráfego. A IoT potencializa o levantamento de dados sobre questões de zoneamento da cidade, abastecimento de água e alimentos, transporte coletivo, serviços sociais, segurança, entre outros. 117 TECNOLOGIAS DA INFORMAÇÃO 7.1.1 IoT como tecnologia Um conjunto de fatores determina como o conceito da IoT é constituído. Três componentes precisam ser combinados para sua aplicação: dispositivos, redes e tecnologias de comunicação e sistemas de controle. • Dispositivos: vão de itens grandes, como geladeiras e carros, a pequenos, como lâmpadas e relógios. É importante que esses dispositivos estejam equipados com os itens para proporcionar a comunicação: chips, sensores, antenas, entre outros. • Redes e tecnologias de comunicação: as redes de comunicação não fogem daquilo que você já usa: tecnologias como wi-fi, bluetooth e near field communication (NFC) – perto de comunicação de campo, tecnologia que permite a troca de informações entre dispositivos sem a necessidade de cabos ou fios, ou seja, wireless – são usadas para IoT. Mas como essas redes oferecem alcance limitado, determinadas aplicações dependem de redes móveis como 3G e 4G/LTE (long term evolution – evolução a longo prazo, nome da tecnologia de quarta geração conhecida como 4G). Redes móveis atuais como 2G, 3G (a primeira tecnologia que nasceu para levar internet rápida para os celulares) e 4G, e futuramente a rede 5G, são direcionadas a dispositivos como smartphones, tablets e laptops. O foco está em aplicações de texto, voz, imagem e vídeo. Mas esse aspecto não impede as redes atuais de serem utilizadas para IoT. Isso deve vir com a próxima onda de redes móveis, 5G. Em um cenário em que a IoT é amplamente difundida, poderá haver sensores, chips e dispositivos relacionados por todos os lugares, e cada um desses itens precisará estar interligado. Com o IPv6, criado em 1998 e lançado oficialmente em 2012, oferece-se um número extremamente elevado de endereços para os dispositivos, e conectá-los não será problema. Segundo o IPv6Test (2019), os cinco principais provedores de serviços de internet para IPv6 no Brasil são: Claro, Vivo, Telemar Norte Leste, Copel Telecomunicações e Tremnet Fibra. A limitação vem das tecnologias de comunicação: as redes 4G não foram projetadas para permitir tantas conexões de dispositivos tão diferentes. Daí a perspectiva esperançosa sobre o 5G, que consegue enviar dados à velocidade de 1 terabit por segundo (Tbps). A taxa de conexão obtida é 65 mil vezes mais rápida do que a média dos downloads em redes 4G. Além de oferecer altíssima velocidade para transmissão de dados, as redes 5G permitirão que cada dispositivo baseado em IoT utilize apenas os recursos necessários. Isso evitará desperdício de energia, especialmente para dispositivos que funcionam com bateria. • Sistemas de controle: não basta que o dispositivo se conecte à internet ou troque informações com outros objetos. Esses dados precisam ser processados, ou seja, devem ser enviados a um sistema que os trate, e isso depende da aplicação. Imagine uma casa que tem monitoramento de segurança, controle de temperatura ambiente e gerenciamento de iluminação integrada. Os dados de câmeras, alarmes contraincêndio, aparelhos de ar-condicionado, lâmpadas e outros itens são enviados para um sistema que controla cada função. Esse sistema pode ser um serviço nas nuvens, o que garante o acesso a ele a partir de qualquer lugar, assim como livra o dono da casa da tarefa de atualizá-lo. Uma empresa, porém, pode contar com um sistema machine to machine (M2M), um mecanismo de comunicação de máquina a máquina. Se a unidade industrial for imensa, um sistema de big data pode ser usado para aperfeiçoar a produção indicando que 118 Unidade III tipo de peça dá mais defeitos, quais máquinas produzem mais, se a matéria-prima de determinado fornecedor tem um histórico de problemas mais expressivo, e assim por diante. Saiba mais Conheça outros fatos da IoT no site da Associação Brasileira de Internet das Coisas (Abinc): https://abinc.org.br 7.1.2 Padronização As tecnologias a serem usadas na IoT variam de acordo com a utilização. Isso não quer dizer que estipular um padrão não seja necessário. A indústria já vem se organizando para estabelecer padrões tecnológicos que trazem viabilidade, interoperabilidade, segurança, integridade, disponibilidade, escalabilidade e desempenho para aplicações de IoT. Se as cidades tiverem um sistema que monitora os automóveis para melhorar o fluxo dos carros nas ruas, o sistema de controle poderá ter dificuldades para operar se cada fabricante de automóvel adotar padrões de comunicação que não atestam uma plena integração. As tentativas de estabelecimento de padrões têm levado à formação de consórcios para lidar com esse imenso trabalho, assim como com outras questões relacionadas à IoT. 7.1.3 Possíveis riscos da IoT Se a IoT representa um cenário em que tudo está conectado, é claro que há grandes riscos relacionados. Por isso, as práticas devem levar em consideração vários parâmetros preventivos e corretivos, especialmente sobre segurança e privacidade. Imagine os transtornos que uma pessoa teria se o sistema de segurança de sua casa fosse desligado inesperadamente por conta de uma falha de software. Os riscos não são apenas individuais. Pode haver problemas de ordem coletiva. Pense em uma cidade com todos os semáforos conectados. O sistema de gerenciamento de trânsito controla cada um deles de modo inteligente para diminuir congestionamentos, oferecer desvios em vias bloqueadas e criar rotas alternativas. Se esse sistema for atacado ou falhar, o trânsito da cidade se tornará um caos em questão de minutos. A indústria precisa definir os critérios que garantirão a disponibilidade dos serviços, incluindo a rápida recuperação em caso de falhas ou ataques, a proteção de comunicações, a definição de normas para privacidade, a confidencialidade de dados, já que ninguém pode ter acesso a dados sem a devida autorização, a integridade, que deve assegurar que os dados não serão modificados, entre outros. 119 TECNOLOGIAS DA INFORMAÇÃO Considerar todos os aspectos está longe de ser uma tarefa comum. Além dos desafios tecnológicos, a indústria precisa tratar cada ponto levando em conta as práticas e a legislação de cada país. Vários segmentos da indústria já tratam dessas questões, mas este é um trabalho em desenvolvimento. É primordial que outro aspecto não seja esquecido: a transparência. Empresas e usuários devem estar cientes dos riscos associados às soluções de IoT, assim como receber orientação para mitigá-los. 7.1.4 Um mar de oportunidades A IoT possibilita inúmeras oportunidades e conexões, muitas delas não conseguimos sequer imaginar nem entender completamente seu impacto nos dias de hoje. Os dispositivos vestíveis, como relógios inteligentes, acessórios com sensores e fones de ouvido para monitoramento de exercício, estão recentemente sendo mais adotados e usados pelas pessoas. Esses objetos são clássicos exemplos de dispositivos conectados que integram a IoT. Porém, há outras possibilidades que muitas vezes nem consideramos – por exemplo, estruturas de plataformas de extração de petróleo e gás que podem ser conectadas à internet para prevenção de acidentes e detecção de problemas em tempo real. Em geral, se um objeto é eletrônico, ele tem potencial para ser integrado à IoT. Assim, não é difícil perceber por que esse assunto é tão comentado atualmente. Certamente, abre portas para muitas oportunidades e, ao mesmo tempo, para alguns desafios. 7.1.5 Smart cities A ideia das chamadas smart cities é direcionar os avanços na tecnologia e armazenamento de dados – que fazem da IoT uma realidade – para o ambiente e infraestrutura em que vivemos. Observação Smart cities é uma expressão inglesa que significa cidades inteligentes. Elas são planejadas com processos eficientes, para melhoria da qualidade de vida de seus moradores. É possível desenvolver sistemas de transporte, de controle de resíduos líquidos e sólidos, principalmente os resíduos perigosos, de energia, que sejam movidos a dados para torná-los mais eficientes e melhorar a qualidade de vida nas metrópoles. No Brasil, segundo o Ministério do Meio Ambiente, temos a Política Nacional de Resíduos Sólidos, implementada pela Lei n. 12.305, de 2 de agosto de 2010, que conta com dois decretos regulamentadores, Decretos n. 7.404 e 7.405, de 23 de dezembro de 2010. 120 Unidade III É possível interagir e obter informações desses métodos inteligentes usando smartphones, relógios e outros wearables (dispositivos tecnológicos utilizados como peças do vestuário). Mais do que isso, os sistemas se comunicam uns com os outros. Caminhões de coleta de lixo podem ser informados onde o lixo precisa ser recolhido, sensores nos carros podem direcionar para vagas em estacionamento, assim como ônibus podem atualizar sua localização em tempo real. Nessa lógica, o mercado de veículos autônomos de passeio e para transporte de carga é um grande passo de mobilidade urbana possibilitado pelo avanço da IoT. 7.1.6 Big data Vários dispositivos conectados à IoT estão o tempo todo emitindo e recebendo dados. Observação De acordo com Coelho (2016), anualmente, o mundo produz o mesmo volume de informações que a humanidade levou 40 mil anos para acumular. Não podemos deixar de olhar para a área de negócios, que será igualmente afetada pela noção de IoT. Vale lembrar que a maior empresa de hotéis do mundo, a Airbnb, não é dona de nenhum hotel; a maior empresa de varejo, a Alibaba, não é dona de nenhuma loja; e a maior empresa de aluguel de carros do mundo, a Uber, não tem nenhum veículo. Essas três, e muitas outras empresas que já navegam na onda da informação como estrutura de negócio, são verdadeiramente donas de dados. Um problema que muitas empresas irão confrontar é a imensa quantidade de informação que todos esses dispositivos irão gerar. Elas deverão descobrir meios de armazenar, analisar e fazer uso dessa enorme quantidade de dados. E para fazerem sentido todos esses dados, a análise de big data tem papel fundamental, já que isso significa que há ainda um grande potencial para extrair dados importantes dessas informações. Se já era um assunto crítico para as empresas de todos os portes, a IoT veio abreviar esse processo. 7.1.7 Segurança e privacidade Se tudo é um computador, então segurança da computação é segurança de tudo. O mesmo vale para a informação, ainda mais para IoT. A maior preocupação é em relação à segurança e privacidade dos sensores usados em IoT e dos dados que eles armazenam. Além disso, a integração de dispositivos para transferir todos os dados considerados críticos também apresenta impasses. Com bilhões de dispositivos conectados, o que as pessoas podem fazer para garantir que seus dados irão permanecer seguros? 121 TECNOLOGIAS DA INFORMAÇÃO A IoT também poderá aumentar os riscos à segurança da informação, envolvendo ameaças à segurança de empresas de todo o mundo. Estaríamos, assim, vivendo a morte da privacidade. 7.1.8 Vamos brincar com a imaginação Isso tudo pode parecer um pouco longe da nossa realidade, assustar e não serfácil de assimilar. Contudo, não só está próximo de nós como os exemplos que demos (Uber, Airbnb e Alibaba) já são parte da nossa realidade. Para ilustrar melhor esse conceito e abrir um pouco nossa mente, vamos usar um exemplo do nosso dia a dia, em que é possível perceber que, na verdade, a IoT pode ser uma boa mudança. Vamos dizer que você tem uma reunião de manhã cedo e seu despertador, interligado com seu calendário, o acorda na hora certa. As luzes do quarto se acendem automaticamente. Antes disso, a cafeteira já começou a fazer o café, e a torradeira, a esquentar o pão. Ao entrar no carro, sua música favorita começa a tocar. O veículo terá acesso a seu calendário e contatos, e saberá a melhor rota para o destino. Se estiver um trânsito muito pesado, seu carro enviará uma mensagem às pessoas envolvidas, notificando-as de atraso. Durante o trajeto, você poderá ir lendo os relatórios a serem debatidos na reunião, pois seu carro faz parte da IoT e é um veículo autônomo, sem motorista – dirige sozinho, de forma segura, comunicando-se com outros carros e com a infraestrutura da cidade. Quando os objetos passam a se antecipar às nossas necessidades, as tarefas rotineiras são otimizadas. Sempre existem aqueles com reservas quanto a esse estilo de vida, mas tudo tem suas vantagens. Podemos pensar sobre essa questão de outra forma. E se, em vez de perder tempo diariamente com pequenas decisões da nossa vida, nosso foco puder ser direcionado para uma coisa mais produtiva e que faça a diferença em nossa carreira, nossas relações ou até mesmo nossa realização pessoal? 7.1.9 Inteligência artificial (IA) A IA, também conhecida pela sigla inglesa AI (artificial intelligence), é um ramo de pesquisa da ciência da computação que busca, por meio de símbolos computacionais, construir dispositivos que aparentem a capacidade do ser humano de ser inteligente. O desenvolvimento desse ramo da tecnologia teve início na Segunda Guerra Mundial. Os principais idealizadores foram os cientistas Herbert Simon e Allen Newell, que tinham como objetivo criar um ser que simulasse a vida do ser humano, ao fundarem o primeiro laboratório de IA na Universidade de Carnegie Mellon (Pensilvânia, EUA). A ambição de construir máquinas capazes de reproduzir a competência humana de pensar e agir tem muitos anos. Esse fato pode ser comprovado pela existência das chamadas máquinas autônomas. Com a evolução dos computadores, a IA ganhou força. Seu desenvolvimento possibilitou um grande avanço na análise computacional, podendo a máquina chegar a fazer análise e síntese da voz humana. 122 Unidade III No início, os estudos sobre IA buscavam apenas uma forma de reproduzir a capacidade humana de pensar. Percebendo, no entanto, que esse ramo da ciência tinha muito mais a oferecer, os pesquisadores e cientistas se envolveram com a ideia de fazer uma máquina que pudesse reproduzir não só a capacidade de um ser humano pensar como também a capacidade de sentir e de ter autoaperfeiçoamento, além do uso da linguagem. O progresso nessa área de pesquisa é lento. Porém, os estudos têm surtido efeito em várias outras áreas, como planejamento, jogos, programas de diagnóstico médico, controle autônomo, robótica, entre outras. Esse tipo pesquisa apresenta muitos conflitos éticos. Existem os que apoiam as pesquisas e a ideia de a máquina ter vida própria, como também existem os que não apoiam essa ideia. Para muitos, a existência de máquinas com o poder de pensar, sentir e até ter a capacidade de realizar atividades humanas é um fato inaceitável. 7.1.10 História da IA O termo inteligência artificial foi criado em 1956, mas só se popularizou hoje devido aos crescentes volumes de dados disponíveis e melhorias no poder e no armazenamento dos computadores. Segundo o SAS Institute Inc. (s.d.): As primeiras pesquisas de IA nos anos 1950 exploraram temas como a resolução de problemas e métodos simbólicos. Na década de 1960, o Departamento de Defesa dos EUA se interessou por este tipo de tecnologia e começou a treinar computadores para imitar o raciocínio humano básico. Por exemplo, a Defense Advanced Research Projects Agency (Darpa) completou um projeto de mapeamento de ruas nos anos 1970. E a Darpa criou assistentes pessoais inteligentes em 2003, muito tempo antes de Siri, Alexa ou Cortana serem nomes comuns do nosso cotidiano. Esses primeiros trabalhos prepararam o caminho para a automação e o raciocínio formal que vemos nos computadores de hoje, incluindo sistemas de apoio à decisão e sistemas inteligentes de pesquisa que podem ser projetados para complementar e expandir as capacidades humanas. Enquanto os filmes de Hollywood e os romances de ficção científica retratam a inteligência artificial como robôs humanoides que dominam o mundo, a evolução atual das tecnologias de IA não é tão assustadora – ou tão inteligente assim. Em vez disso, a IA evoluiu para fornecer muitos benefícios específicos para todas as indústrias. A IA não apenas automatiza a aprendizagem repetitiva. Ela é diferente da automação robótica, pois, em vez de automatizar tarefas manuais, realiza tarefas frequentes, volumosas e computadorizadas, de modo confiável e sem apresentar fadiga. Na maioria dos casos, a IA não será vendida como uma aplicação individual. Ao contrário, os produtos que você já utiliza serão aprimorados com funcionalidades de IA. 123 TECNOLOGIAS DA INFORMAÇÃO Automação, plataformas de conversa e aparelhos inteligentes podem ser combinados com grandes quantidades de dados para aprimorar muitas tecnologias para casa e escritório, desde a inteligência em segurança à análise de investimentos. A IA se adapta por meio de algoritmos de aprendizagem progressiva para deixar que os dados façam a programação. Ela busca estruturas e regularidades nos dados para que o algoritmo adquira a capacidade de se tornar um classificador deles. O algoritmo pode ensinar a si mesmo e se adaptar quando receber mais dados. Propagação retroativa é uma técnica de IA que permite que o modelo se ajuste, e com a entrada de novos dados, quando a primeira resposta não é considerada a correta. A IA analisa mais dados e em maior profundidade usando redes neurais com muitas subcamadas. Alguns anos atrás, era quase impossível construir um sistema de detecção de fraudes com cinco subcamadas. Tudo isso mudou com o impressionante poderio computacional e o big data. Muitos dados são necessários para treinar modelos de deep learning, uma vez que eles aprendem diretamente com os dados. Quanto mais dados nesses modelos, mais precisos eles se tornam. Observação Deep learning é um tipo de aprendizado de máquina que automatiza a construção de modelos analíticos e treina computadores para realizar tarefas como seres humanos, o que inclui reconhecimento de fala, identificação de imagem e previsões. A IA atinge uma precisão incrível por meio de redes neurais profundas, o que antes era impossível. Por exemplo, as pesquisas do Google e Google Fotos são todas baseadas em deep learning. Elas se tornam ainda mais precisas à medida que as utilizamos. Na área médica, técnicas de IA baseadas em deep learning na classificação de imagens e reconhecimento de objetos podem ser usadas para encontrar cânceres em ressonâncias com a mesma precisão de radiologistas muito bem treinados. Quando algoritmos aprendem sozinhos, os dados em si podem se tornar propriedade intelectual. As respostas estão nos dados e você só precisa aplicar a IA para extraí-las. Uma vez que o papel dos dados é mais importante do que nunca, eles podem criar uma vantagem competitiva. Numa indústria competitiva, ainda que todos estiverem colocando técnicas semelhantes em prática, ganha quem tiver o melhor conjunto de dados. 7.1.11 Desafios da IA A principal limitação da IA é que ela aprende com os dados. Não há outra maneira de integrar conhecimento a ela. Isso significa que a imprecisão nos dados se reflete nos resultados. Os sistemas de IA são treinados para realizartarefas definidas. Assim, o sistema que joga paciência não pode jogar xadrez. O mesmo sistema que detecta fraudes não pode dar conselhos jurídicos. Na verdade, um sistema de IA que detecta fraudes no setor de saúde não pode precisamente detectar 124 Unidade III fraudes sobre sinistros de garantia, pois é específico, foca em uma única tarefa e está longe de se comportar como um ser humano. As tecnologias de IA mostradas em filmes e na TV ainda são histórias de ficção científica, mas computadores que podem examinar dados complexos para aprender e aperfeiçoar tarefas específicas estão se democratizando. Saiba mais Recomendamos que você assista aos seguintes filmes sobre IA: 2001: uma odisseia no espaço. Direção: Stanley Kubrick. EUA, 1968. 149 min. A.I.: inteligência artificial. Direção: Steven Spielberg. EUA, 2001. 146 min. MATRIX. Direção: Lana Wachowski e Lilly Wachowski. EUA, 1999. 136 min. 7.1.12 Como a IA funciona A IA combina imensas quantidades de dados com processamento rápido e algoritmos inteligentes, permitindo ao software aprender com padrões ou informações nos dados. Segundo o SAS Institute Inc. (s.d.), ela é um campo de estudo que engloba os seguintes subcampos: Machine learning automatiza a construção de modelos analíticos. Ela usa métodos de redes neurais, estatística, pesquisas de operações e física para encontrar insights escondidos em dados, sem ser especificamente programada para olhar um determinado lugar ou chegar a uma determinada conclusão. Uma rede neural é um tipo de machine learning composta de unidades interconectadas (como neurônios), que processam informações ao responder a entradas externas, retransmitindo-as entre as unidades. O processo requer passagens múltiplas nos dados para encontrar conexões e extrair significados de dados não definidos. Deep learning utiliza grandes redes neurais com muitas camadas de unidades de processamento, aproveitando-se de avanços no poder computacional e em técnicas de treinamento aprimoradas para aprender padrões complexos em grandes quantidades de dados. Aplicações comuns incluem reconhecimento de imagem e fala. Computação cognitiva é um subcampo de IA que almeja uma interação natural e humana com máquinas. Utilizando IA e computação cognitiva, o 125 TECNOLOGIAS DA INFORMAÇÃO objetivo final é que a máquina simule processos humanos através da capacidade de interpretar imagens e fala – e, então, falar coerentemente em resposta. Visão computacional depende do reconhecimento de padrões e de deep learning para entender o que há em uma imagem ou vídeo. Quando máquinas podem processar, analisar e entender imagens, eles podem capturar imagens ou vídeos em tempo real e interpretar o que há ao redor delas. Processamento de linguagem natural (PLN) é a capacidade que os computadores têm de analisar, entender e gerar linguagem humana, incluindo fala. O próximo estágio do PLN é a interação de linguagem natural, que permite que seres humanos se comuniquem com computadores utilizando linguagem normal, de uso diário, para realizar tarefas. Adicionalmente, diversas tecnologias possibilitam e oferecem suporte à IA: Unidades de processamento gráfico são essenciais para a IA, porque fornecem o poder computacional pesado que é necessário para o processamento contínuo. Treinar redes neurais requer big data e poder computacional. A internet das coisas gera grandes quantidades de dados a partir de aparelhos conectados, sendo que a maioria deles não são analisados. Automatizar modelos com IA permitirá um maior uso deles. Algoritmos avançados estão sendo desenvolvidos e combinados em novas maneiras para analisar mais dados, mais rapidamente e em múltiplos níveis. Esse processamento inteligente é essencial para identificar e prever eventos raros, entendendo sistemas complexos e otimizando cenários únicos. APIs são pacotes portáteis de códigos que possibilitam a adição de funcionalidades de IA a produtos existentes e pacotes de software. Eles podem adicionar capacidades de reconhecimento de imagens a sistemas de segurança doméstica e capacidades de perguntas e respostas que descrevem dados, criam legendas e títulos ou chamam atenção para padrões interessantes e insights nos dados. Lembrete O objetivo da IA é fornecer softwares que possam raciocinar sobre as entradas e explicar as saídas de dados. Ela proporciona interações quase humanas com softwares e oferece apoio a decisões para tarefas específicas, mas não é uma substituição aos seres humanos, e sim um grande auxílio para as pessoas. 126 Unidade III 7.1.13 Blockchain Apesar de hoje a aplicação do blockchain estar se separando do bitcoin, essa tecnologia começou junto com a criptomoeda (moeda virtual utilizada para pagamentos em transações comerciais). O conceito de blockchain nasceu com Sakamoto (s.d.), ao tratar de um sistema que elimina o banco de dados central do modelo cliente-servidor em que cada usuário mantém seu próprio banco de dados local. Criado em um cenário de crise econômica mundial, o bitcoin surgiu para prevenir o gasto duplo de valores e aumentar a confiança das transações financeiras, e acabou levando-as para a internet. No ambiente digital, os dados podem ser copiados, alterados e trocados. O blockchain foi a solução para eliminar as duas primeiras características. Por exemplo: uma pessoa não pode gastar 10 bitcoin duas vezes ou dizer que enviou 10 bitcoin mas transferir apenas 0,1 bitcoin. O blockchain é uma rede que funciona com blocos encadeados, bem seguros, que sempre carregam um conteúdo junto com uma assinatura digital única. No caso do bitcoin, esse conteúdo é uma transação financeira. O bloco posterior vai conter a assinatura digital do bloco anterior mais seu próprio conteúdo e, com essas duas informações, gerar sua própria assinatura digital, e assim por diante. Para tratar de blockchain, é preciso entender como funciona o hash (em TI, é traduzido como resumo). Em linhas gerais, o hash é uma função matemática que transforma uma mensagem ou arquivo em um código com letras e números que representam os dados inseridos. O hash recebe uma grande quantidade de dados e a converte em uma pequena quantidade de informações. Observação Hash é a unidade de medida do poder de processamento da rede bitcoin, em que a rede deve fazer operações matemáticas para fins de segurança. Se a rede atinge uma taxa de 10 Th/s, significa que ela pode processar 10 trilhões de cálculos por segundo. Essa é a assinatura (ou impressão) digital de um arquivo; no caso do blockchain, de um bloco. Nesse sistema de blocos encadeados, essa impressão digital é fundamental. Conforme Prado (2017): O hash vai assinar o conteúdo do bloco; caso qualquer informação seja alterada, o hash muda. Quando você gera um novo bloco que também contém o hash do anterior, cria uma espécie de selo: é possível verificar e sinalizar se algum bloco foi alterado, para então invalidá-lo. Essas informações de blocos são escritas no ledger, que pode ser traduzido para livro-razão; é onde todas as transações, no caso do bitcoin, ficam gravadas. Depois de escritas, elas não podem ser apagadas. 127 TECNOLOGIAS DA INFORMAÇÃO Cada rede de blockchain também tem “nós”, que agrupam participantes que têm o mesmo interesse; no bitcoin, é transferir dinheiro. Esses nós podem ser tanto transacionais, que escrevem ou geram blocos, quanto mineradores, que verificam se o bloco escrito é válido. [...] Desde o começo, o blockchain é tão seguro por um mecanismo de consenso de prova de trabalho (PoW, na sigla em inglês [proof-of-work]), que usa poder de processamento para resolver cálculos matemáticos muito complicados para assegurar que o hash criptográfico do bloco é válido. Quando alguém resolve a operação e consegue validar o bloco, recebe uma recompensa – as outras pessoas da rede também conseguem confirmar que o resultado é correto. Eis a definição técnica de blockchain proposta por André Salém, pesquisador do IBM Blockchain(apud Prado, 2017): O blockchain é uma rede de negócios segura, na qual os participantes transferem itens de valor (ativos), por meio de um ledger (livro-razão) comum distribuído, do qual cada participante possui uma cópia, e cujo conteúdo está em constante sincronia com os outros. 7.1.14 Vantagens do blockchain Blockchain e bitcoin eliminam intermediários, mas com algumas diferenças. O primeiro é mais prático e assegura a confiança entre as empresas. Segundo Prado (2017), os quatro conceitos principais de blockchain são: Ledger distribuído: o livro-razão, sistema de registro das transações e blocos, é compartilhado por toda a rede e todos podem ver; Privacidade: é possível garantir a visibilidade adequada para a rede, já que as transações conseguem ser verificáveis. O termo “adequado” é importante; no bitcoin, todas as informações da transação são públicas. No blockchain, partes sensíveis do ledger podem ser ocultadas (como o endereço de alguém), sem prejudicar a verificação do bloco; Contrato inteligente: um documento que não pode ser alterado depois de escrito. É possível firmar contratos e autorizar (ou não) transações de acordo com os termos estabelecidos; Consenso: as transações são verificadas pelos participantes da rede e não podem ser fraudadas. 128 Unidade III As vantagens e aplicações do blockchain são muito grandes. Por exemplo, é um sistema que agiliza pagamentos internacionais. Ao eliminar intermediários, as transações acontecem com menos custos e sem perda de segurança, já que elas podem ser auditáveis. O risco de fraudes é reduzido por meio de contratos inteligentes. O setor financeiro já se beneficia de uma característica principal dos blocos que evita gastos duplos e fraudes na escrita. O dinheiro não pode ser copiado, diferentemente de um arquivo. O blockchain não serve somente para registrar transações financeiras. Essa tecnologia tem potencial para criar contratos inteligentes, que garantem que diversas negociações de determinado produto sejam efetivadas conforme acordado entre as partes. Algumas aplicações em que a IBM vem trabalhando com algumas empresas vão além do sistema financeiro. O principal uso do blockchain para a IBM é o de trade finance (financiamento do comércio), que abrange toda a parte financeira do processo de importação e exportação. São dois projetos, o we.trade e o Batavia. O we.trade é um consórcio da IBM com oito bancos que gerencia o financiamento para importação e exportação de pequenas e médias empresas na Europa. Quando você toma um empréstimo para importar uma mercadoria, há todo um fluxo do lado físico, incluindo fabricação, exportação, transporte, importação e recepção da mercadoria. Graças ao blockchain, as partes envolvidas têm visibilidade de em qual etapa o comércio está e, como é um processo internacional, envolve várias moedas, que são convertidas de forma automática. Toda essa implementação promove uma redução tanto de custos quanto de riscos. Além do sistema bancário, o blockchain traz benefícios para o comércio internacional, ao permitir que as concorrências colaborem para tornar o mercado como um todo mais eficiente. Você tem concorrentes usando uma tecnologia que permite que eles colaborem para atender aos seus clientes finais de um modo acessível, testado e ajustado de maneira ágil, o que com outra tecnologia talvez fosse impossível ou muito caro de ser feito. Consequentemente, ainda que a tecnologia tenha um nome difícil e aspectos técnicos complexos, ela já é usada por empresas para agilizar operações financeiras, inclusive no Brasil. Entre os entusiastas, muito se fala em uma revolução blockchain. A tecnologia introduzida com o bitcoin tem milhares de aplicações práticas em diversas áreas. No momento, são as do sistema bancário e a de comércio exterior que se mostram mais promissoras e avançadas. 7.1.15 Qualidade e segurança da informação Atualmente, a informação é um recurso valioso, importante e fator imprescindível para a integração da empresa, a inovação e a tomada de decisões. Para transformar dados primários em informação é necessário arranjá-los e organizá-los para se tornarem patrimônio de valor. Para isso, a TI é vital e deve ser encarada como um recurso estratégico para a organização. Por meio da organização da informação pode-se chegar a conhecimentos primordiais para a tomada de decisões e a continuidade e desenvolvimento da empresa. 129 TECNOLOGIAS DA INFORMAÇÃO Características de uma informação qualificada: • Precisa: não contém erro. • Acessível: possui facilidade de acesso. • Completa: contém o necessário. • Flexível: pode ser manejada com facilidade. • Segura: deve ser garantida. • Verificável: deve ser mensurável. • Veloz: deve ser rápida. • Relevante: deve conter o essencial. • Confiável: deve ser exata. Saiba mais Conheça mais sobre a informatização de empresas com o livro: O’BRIEN, J. A.; MARAKAS, G. M. Administração de sistemas de informação. 15. ed. Porto Alegre: AMGH, 2013. 7.1.16 Qual a necessidade de segurança da informação? Os problemas criados pelo phishing (fraude on-line utilizada por criminosos da informática para roubar senhas de banco e demais informações pessoais) para empresas e clientes são algumas razões pelas quais as empresas precisam prestar atenção especial à segurança dos sistemas de informação. O phishing e o roubo de identidade disseminaram-se porque muitas pessoas e empresas usam a internet para transações financeiras e comerciais on-line. Esses crimes têm representado custos de bilhões de dólares para os serviços financeiros e muita agonia e preocupação para a vítima das fraudes. Segundo Convergência Digital (2019), o medo de fraudes faz com que 61% dos compradores on-line gastem menos do que gostariam. Os produtores de sites começaram a usar produtos e serviços antiphishing. Alguns serviços eliminaram o junk e-mail (lixo e-mail). Outros tentam extirpar os sites falsos da web. Alguns ainda monitoram o serviço on-line de banco para verificar se não há golpes. 130 Unidade III 7.1.17 O que é segurança da informação? Segurança da informação é um conjunto de práticas e recursos utilizados para proteger sistemas, dados e informações contra o acesso indevido, o ataque de criminosos e o uso impróprio, assim como para prevenir a perda ou o roubo de dados. Nenhuma empresa é capaz de alcançar um nível de controle de cem por cento das ameaças à segurança da informação, especialmente pelo fato de haver uma dinâmica de inovação constante de hardware e software. Mudanças na segurança cibernética vão requerer novos tipos de habilidades para combater ameaças, como ataques cibernéticos ou ações praticadas por hackers (pessoa com interesse e conhecimento nessa área, capaz de fazer hack – uma modificação – em um sistema) e transmissão de vírus que infectam, danificam e roubam informações de computadores e demais bancos de dados on-line. Investimentos em segurança da informação devem ser distribuídos equitativamente entre a prevenção e a detecção e resposta, já que não é possível conter todas as ameaças, mas é necessário saber como superá-las. 7.1.18 Quais são os princípios da segurança da informação? Segundo Positivo Tecnologia (2017), para entender o que representa a segurança da informação, é necessário conhecer seus princípios básicos: • Confidencialidade: a informação só pode ser acessada e atualizada por pessoas autorizadas e credenciadas. A empresa precisa contar com mecanismos de segurança de TI capazes de impedir que pessoas não autorizadas acessem informações confidenciais, principalmente por má-fé. • Confiabilidade: é o caráter de autenticidade da informação. Deve ser assegurada ao usuário a boa qualidade da informação em que ele estará trabalhando. • Integridade: é a garantia de que a informação sempre estará completa, certa e conservada contra alterações indevidas, fraudes ou até mesmo a sua destruição, sendo possível evitar violações da informação, de forma acidental ou proposital.• Disponibilidade: é a certeza de que a informação estará acessível e disponível para as pessoas autorizadas. Hoje em dia, os mecanismos de acesso remoto tornam possível a disponibilidade da informação a qualquer hora e em qualquer lugar. Esse mecanismo viabilizou o gerenciamento remoto de TI. • Autenticidade: é saber, por meio de registro apropriado, quem realizou qualquer tipo de acesso e efetuou atualizações e exclusões de informações, de modo que haja confirmação da sua autoria e originalidade. Todos os aspectos da segurança da informação precisam ser tratados com o máximo de critério e cuidado para que os gestores e colaboradores da empresa sejam beneficiados, bem como os parceiros e clientes que interagem com ela. 131 TECNOLOGIAS DA INFORMAÇÃO 7.1.19 Principais ameaças à segurança da informação Todo dia surgem novas ameaças à segurança da informação. Elas são bem abrangentes. Podemos destacar: • Falhas: no desenvolvimento, na implementação ou na configuração de mecanismos de segurança em softwares. • Negação de serviço: bloqueio de acesso por hackers. • Phishing: captura de dados para realização de fraudes. • Malwares: roubo ou sequestro de dados por meio de invasões a computadores e bases de dados. • Vírus: danos a sistemas e aplicativos. 7.1.20 Melhores práticas de segurança da informação As práticas de segurança vão do básico ao sofisticado e dependem do mecanismo adotado pelo gestor de TI. Algumas são tradicionais e conhecidas pela maioria das pessoas, e outras, somente pelos especialistas da área. Com base em Positivo Tecnologia (2017), vamos mostrar as melhores práticas de segurança da informação, descritas da forma mais simples e objetiva: • Detecção de vulnerabilidades de hardware e software: os equipamentos de TI (hardwares) e os sistemas e aplicativos (softwares) passam por uma evolução tecnológica contínua e precisam ser substituídos periodicamente. Sua aquisição tem que levar em conta aspectos técnicos e de qualidade, e não apenas o quesito preço. A defasagem tecnológica torna vulnerável toda a infraestrutura e a segurança de TI e gera consequências como perda de competitividade, ineficiência operacional, insatisfação de funcionários e clientes, morosidade e ineficácia no processo de decisão. Os equipamentos estão sujeitos a defeitos de fabricação, instalação ou utilização incorreta, quebra ou queima de componentes e má conservação, o que pode comprometer um ou mais dos princípios da segurança da informação. Os softwares estão sujeitos a falhas técnicas (estas mais ligadas ao hardware, como rede inacessível ou queda de energia) e de configurações de segurança, e a uso equivocado de login e senha de acesso. Devem ser adotadas ações de segurança específicas para cada elemento da infraestrutura de TI: servidores, computadores, rede, softwares e componentes de comunicação, entre outros. As ações de segurança precisam do suporte de uma arquitetura estruturada de acordo com o propósito da empresa. É preciso providenciar treinamento e atualização de conhecimentos para a equipe de TI e os usuários dos recursos tecnológicos. Inabilidade técnica também gera vulnerabilidades de hardware e software. É imprescindível detectar de forma rápida as possíveis fragilidades de hardware e software, para tomar providências imediatas para sua solução. • Cópias de segurança (backup): mecanismo indispensável para garantir a disponibilidade da informação caso as bases de armazenamento sejam danificadas ou roubadas. O backup pode ser armazenado em dispositivos físicos como servidores de backup, CD, pen drive, HD externo 132 Unidade III ou em nuvem. O mais importante é que haja pelo menos duas cópias dos dados, em locais seguros e distintos da instalação original. Com o backup, é possível recuperar, em pouco tempo, informações perdidas acidentalmente ou em consequência de sinistros (enchentes, incêndio etc.), sabotagens ou roubos. • Redundância de sistemas: a disponibilidade das informações é garantida com a redundância de sistemas, quando a empresa dispõe de infraestrutura replicada física ou virtual. Se um servidor ou outro equipamento de TI falhar, seu substituto entra em operação de imediato, permitindo a continuidade dos trabalhos, de forma imperceptível para o usuário. • Eficácia no controle de acesso: temos mecanismos físicos, lógicos ou uma combinação destes para o controle de acesso à informação. Os mecanismos físicos podem ser uma sala de infraestrutura de TI com acesso limitado e com sistemas de câmeras de monitoramento. • Política de segurança da informação: documento que estabelece orientações de comportamento para os colaboradores da organização no que tange às regras de uso dos recursos de TI. Essas regras devem servir para impedir invasões de criminosos, que podem resultar em fraudes ou vazamento de informações, evitar a entrada de vírus na rede ou a captura de dados e garantir a confidencialidade, confiabilidade, integridade, autenticidade e disponibilidade das informações. • Decisão pela estrutura de nuvem pública/privada/híbrida: uma das formas mais desenvolvidas para garantir a segurança da informação é a utilização de uma estrutura de computação em nuvem. Essa estrutura tem três categorias distintas, conforme mencionamos anteriormente: nuvem pública, privada ou híbrida. Sua instalação é rápida e os recursos escalonáveis, de acordo com o perfil de demanda da empresa contratante. • Gestão de riscos: conhecer as principais fontes de risco é o ponto de partida para mapear as situações que podem configurar ameaças à segurança da informação e para tornar possível o desenvolvimento de boas práticas de gestão de riscos. Os principais riscos à segurança da informação estão relacionados a: — Falta de orientação: não saber operar os recursos de TI coloca em risco a segurança da informação. Treinamento em tecnologias novas ou recursos de TI aos usuários comuns e à equipe de informática é uma boa prática. Vale a pena desenvolver profissionais C-Level que possam ampliar os horizontes tecnológicos da empresa, tornando a área de TI alinhada à estratégia da organização. Com a ajuda desses especialistas, os recursos tecnológicos serão aplicados para impulsionar a produtividade das equipes e facilitar o alcance das metas, sem perder de vista o aprimoramento contínuo da segurança da informação. Lembrete C-Level é o termo utilizado para designar os mais altos executivos de uma empresa. Em português, a letra C significa chefe. 133 TECNOLOGIAS DA INFORMAÇÃO — Erros de procedimentos internos: procedimentos da gestão da segurança da informação mal constituídos ou desatualizados podem acarretar fragilidades e perda de dados. Essas fragilidades podem se manifestar nos hardwares, nos softwares e mesmo nas pessoas mal preparadas para fazer frente às ameaças que se renovam a cada dia. — Negligência: deixar de cumprir regras da política de segurança da informação ou procedimentos internos de TI por mera negligência pode custar muito caro, seja em prejuízos financeiros, de imagem ou de materiais. Campanhas de conscientização dos colaboradores para redobrar o cuidado com ameaças cibernéticas – especialmente em e-mails, sites e arquivos maliciosos, que provocam a propagação de vírus, malwares, trojans, e outros, na rede de informática – são fundamentais. — Malícia: ações mal-intencionadas de funcionários internos e de pessoas externas à empresa tornam instável a segurança da informação, especialmente se não houver mecanismos de detecção de invasões. • Cultura da organização: a terceira plataforma de TI combinou tecnologias sociais, computação em nuvem, dispositivos móveis (smartphones, tablets) e tecnologias de análise de dados, como BI e big data, para promover a conectividade e gerar a informação em tempo real sobre o comportamento dos consumidores. Esse movimento fez com que os métodos de gestão da segurança da informação ganhassem uma nova dinâmica de readaptação constante, para bloquear as novas rotas deataques aos sistemas e às bases de dados das empresas, proporcionadas por novas tecnologias. Isso impacta na cultura da empresa, que precisa se adequar a essa transformação digital, modernizando processos internos sem descuidar da segurança. • Regras de negócio bem definidas: as informações críticas devem ser identificadas e as regras do negócio referentes a acesso, manutenção (inclusão, alteração, exclusão) de dados e tempo de guarda devem ser estabelecidas de forma fundamentada, para garantir total segurança. As regras do negócio são indispensáveis para a configuração de permissões de acesso em softwares, hardwares e rede de computadores. • Contratos de confidencialidade: colaboradores internos de uma organização, incluindo terceirizados, especialmente vinculados à área de TI, muitas vezes, têm acesso a informações sigilosas. A melhor forma de preservar a segurança da informação é fazer um contrato de confidencialidade com todas as pessoas que conhecem e acessam essas informações. O contrato de confidencialidade deve ser redigido considerando requisitos legais aplicáveis à empresa e eventuais acordos com clientes, fornecedores, prestadores de serviços e parceiros de negócio. • Gestão de continuidade de negócios (GCN): informações do negócio são essenciais para garantir sua continuidade. São compostas de dados de clientes, produtos ou serviços, parceiros comerciais, transações financeiras e demais assuntos pertinentes ao funcionamento da empresa. Sua perda pode tornar impossível o negócio. A GCN visa estabelecer planos de ação de emergência a eventos adversos como desastres naturais, explosões, incêndios, fraudes financeiras, atentados, sabotagens, falhas nos sistemas informatizados etc. Os planos de ação traçados devem evitar ou 134 Unidade III ao menos minimizar os impactos negativos, tais como: paralisações na produção e/ou prestação de serviços, perdas financeiras e danos à imagem ou credibilidade do negócio. A GCN é uma ferramenta de ação preventiva, mediante a adoção de mudanças em processos, produtos ou serviços de TI. Pequenas mudanças podem resultar em grandes saltos na segurança da informação. • Benchmarking: importante instrumento de gestão que parte do princípio de comparação de produtos, serviços, processos e práticas empresariais próprios de uma organização com os de terceiros, concorrentes ou não. Dados fantásticos surgem da análise de situações das empresas de ramos diferentes de atividade e que podem ser replicadas como casos de sucesso, ou evitadas como casos de fracasso, com as devidas adaptações. O benchmarking foca não somente nas situações de sucesso do mercado empresarial para gerar conhecimento, mas também nas lições das experiências ruins que são divulgadas. • Mecanismos de segurança eficazes: são uma forma de restrição de acesso – por exemplo, o uso de travas especiais nas portas, acionadas por senha. As instalações elétricas e o sistema de refrigeração são indispensáveis para assegurar condições ideais de funcionamento da infraestrutura de TI, evitando perda de dados por falta ou sobrecarga de energia ou por superaquecimento, que danificam os equipamentos de informática. Para garantir o funcionamento contínuo dos recursos de TI, alguns equipamentos entram em cena. O nobreak (dispositivo alimentado a bateria, capaz de fornecer energia elétrica a um sistema por certo tempo) garante o funcionamento da infraestrutura o suficiente para que nenhuma informação seja perdida quando ocorre falta de energia elétrica. Há também os mecanismos lógicos para garantir a segurança da informação. Os principais são: — Firewall: mecanismo de controle do tráfego de dados entre os computadores de uma rede interna e com outras redes externas. Ele trabalha segundo protocolos de segurança (TCP/IP, IPSec, HTTP etc.) que garantem o correto funcionamento da comunicação entre as duas redes, visando impedir invasões. Estas geralmente são praticadas por pessoas mal-intencionadas, que desejam acessar dados confidenciais para apropriação indevida de recursos financeiros, venda de informações privilegiadas, bloqueio de acesso a dados ou mesmo para demonstrar sua inteligência destrutiva. — Assinatura digital: forma de identificação do usuário que está acessando os recursos de TI, dando validade legal aos documentos digitais e assegurando a autenticidade do emitente da informação. — Biometria: o acesso às informações é liberado somente para a pessoa autorizada, levando em consideração características físicas (impressão digital, voz ou padrões da íris do olho ou do rosto inteiro). Outra faceta do controle de acesso é o uso de equipamentos próprios dos colaboradores para operação de sistemas e aplicativos empresariais de forma remota, conhecido como bring your own device (BYOD) – em português, traga seu próprio dispositivo. Como a empresa não tem controle sobre as configurações de segurança e os aplicativos dos dispositivos particulares dos funcionários, ela tem que reforçar os mecanismos de validação da autenticidade do usuário e as barreiras contra ataques 135 TECNOLOGIAS DA INFORMAÇÃO aos dados, para se proteger da shadow IT (TI nas sombras, prática de utilizar aplicativos, softwares ou dispositivos de tecnologia sem a homologação do departamento de TI). 7.1.21 Política de segurança da informação Conforme Positivo Tecnologia (2017), a política de segurança da informação é um documento que estabelece as instruções para os membros da organização no que tange às regras de acesso e uso dos recursos de TI. O documento que fixa a política de segurança da informação pode ter muitos capítulos, entre eles: papéis e responsabilidades; uso do correio eletrônico; acesso à internet e intranet; distribuição, acesso e renovação de computadores; backup e política de senhas. É indispensável que a política tenha um texto curto e objetivo em cada assunto tratado, para facilitar e estimular a leitura e tornar mais eficazes o processo de divulgação e o treinamento das pessoas. Observação A política de senhas deve determinar uma configuração que permita induzir a criação de senhas fortes, a fim de dificultar a ação de hackers. A política de segurança da informação deve definir um mecanismo que obrigue a troca de senhas de tempos em tempos pelos usuários, fazendo também o cancelamento de senhas de usuários inativos/desligados da organização. Essa é uma das práticas de segurança mais esquecidas. Lembrete As regras contidas na política de segurança da informação servem para impedir invasões de criminosos, que podem resultar em fraudes ou vazamento de informações, evitar a entrada de vírus na rede ou a captura de dados e garantir a confidencialidade, confiabilidade, integridade, autenticidade e disponibilidade das informações. Essa política deve ser desenvolvida de forma participativa entre a equipe de TI e os funcionários dos outros departamentos e ser aprovada pela alta direção da organização. De comum acordo, fica mais fácil gerir a segurança da informação. Vejamos alguns casos de grande repercussão de invasões na internet, conforme Positivo Tecnologia (2017): eBay Em maio de 2014 a base de dados de usuários do eBay sofreu a violação das senhas de 112 milhões de pessoas, que foram obrigadas a trocá-las, e ocasionou a perda de dados pessoais ali armazenados. Foram preservadas apenas as informações financeiras. 136 Unidade III Esse tipo de ocorrência gera transtornos a um contingente enorme de usuários e abala seriamente a confiança dos clientes na credibilidade da empresa. Snapchat O Snapchat passou por maus momentos em janeiro e outubro de 2014. No primeiro evento de ataque cibernético, foram vazados os dados pessoais de 4,6 milhões de usuários, o que gerou um pedido de desculpas por parte da empresa e a promessa de melhorias nos mecanismos de segurança. Já o segundo evento resultou de falhas de segurança em um parceiro de negócios do Snapchat, que estava responsável por armazenar imagens compartilhadas pelo app,o que possibilitou a divulgação indevida de 13 GB de fotos dos usuários na web. Kickstarter A Kickstarter foi vítima da quebra de segurança dos dados pessoais e senhas de 6 milhões de usuários cadastrados, também no ano de 2014. A reação rápida da empresa conseguiu evitar a perda dos dados dos cartões dos clientes. Mas os impactos não deixaram de ser imensos. Nasdaq Nem mesmo o sistema de segurança da Nasdaq, considerado um dos mais robustos do mercado, ficou imune à intrusão, alteração e roubo de 160 milhões de registros, no ano de 2013, gerando enormes prejuízos financeiros de alta monta. Há também o caso da WikiLeaks sobre a Agência Nacional de Segurança dos EUA (NSA). Em 2013, um ex-consultor da NSA, Edward Snowden, vazou documentos que demonstraram atos de espionagem sobre cidadãos americanos e estrangeiros via internet, por meio de acesso indevido às bases de dados de nove empresas: Apple, AOL, Microsoft, Yahoo, Google, Facebook, Skype, YouTube e PalTalk. Ainda segundo Positivo Tecnologia (2017), eventos como esses ligam o sinal de alerta da equipe de TI para a percepção de riscos internos e externos, que podem estremecer o moral dos colaboradores e, principalmente, dos clientes da organização, e, em alguns casos, podem sentenciar a falência de uma empresa. É possível evitar invasão ou roubo de dados, fraudes, alteração ou exclusão imprópria de informações. Serão prevenidos a perda de centenas de clientes, com os consequentes prejuízos financeiros e de imagem, e o repasse indesejado de estratégias de negócio para os concorrentes. Ao mesmo tempo que produzem novos recursos para proteção da informação, as atualizações tecnológicas também abrem lacunas que podem ser aproveitadas por pessoas mal-intencionadas para realizar crimes. 137 TECNOLOGIAS DA INFORMAÇÃO Inúmeros casos de violação da segurança da informação são divulgados todos os anos. Eles servem como estudo de caso e para buscar novas práticas de proteção, tanto no campo das máquinas e aplicativos quanto nas ações das pessoas. Outro ponto de atenção é a adoção de critérios para seleção e monitoramento dos parceiros de negócio da área de TI, pois eles são solidários na responsabilidade pelo atendimento aos princípios da segurança da informação. É preciso também garantir a segurança jurídica das relações de trabalho e de parceria, por meio da aplicação de contratos de confidencialidade. A segurança da informação tem muitas facetas: tecnológicas, jurídicas, humanas, físicas e virtuais, e todas devem ser alvo de medidas que colaborem para melhorá-la. 7.1.22 Segurança dos sistemas de informação A avaliação de riscos (ou análise de riscos) é provavelmente a parte mais complicada da implementação da norma ISO 27001. Ao mesmo tempo, essa avaliação (e tratamento) de riscos é a etapa mais importante no início do projeto de segurança da informação, pois define os fundamentos para a segurança da informação em sua organização. De acordo com a norma ISO 27002, a segurança da informação eficaz reduz riscos, protegendo a organização das ameaças e vulnerabilidades e, assim, reduzindo o impacto aos seus ativos. A questão é: por que ela é tão importante? A resposta é bem simples, embora não compreendida por muitas pessoas: a principal filosofia da norma ISO 27001 é identificar incidentes que poderiam ocorrer, e avaliar os riscos, e então encontrar formas apropriadas de evitá-los. Deve-se avaliar cada risco e focar nos mais importantes. A família de padrões da information security management system (ISMS) – sistema de gerenciamento de segurança da informação (SGSI) – destina-se a auxiliar organizações de todos os tipos e tamanhos a implementar e operar um SGSI e, conforme Palma (2014), consiste nas seguintes normas internacionais: • ISO/IEC 27000: sistemas de gerenciamento de segurança da informação – visão geral e vocabulário. • ISO/IEC 27001: sistemas de gerenciamento de segurança da informação – requisitos. • ISO/IEC 27002: código de práticas para controles de segurança da informação. • ISO/IEC 27003: orientação para implementação do sistema de gerenciamento de segurança da informação. • ISO/IEC 27004: gerenciamento de segurança da informação – medição. • ISO/IEC 27005: gerenciamento de risco de segurança da informação. 138 Unidade III • ISO/IEC 27006: requisitos para organismos que fornecem auditoria e certificação de sistemas de gerenciamento de segurança da informação. • ISO/IEC 27007: diretrizes para auditoria de sistemas de gerenciamento de segurança da informação. • ISO/IEC TS 27008: diretrizes para auditores em controles de segurança da informação. • ISO/IEC 27010: gerenciamento de segurança da informação para comunicações intersetoriais e interorganizacionais. • ISO/IEC 27011: diretrizes de gerenciamento de segurança da informação para organizações de telecomunicações baseadas na ISO/IEC 27002. • ISO/IEC 27013: orientação sobre a implementação integrada da ISO/IEC 27001 e ISO/IEC 20000-1. • ISO/IEC 27014: governança da segurança da informação. • ISO/IEC TR 27015: diretrizes de gerenciamento de segurança da informação para serviços financeiros. • ISO/IEC TR 27016: gerenciamento de segurança da informação – economia organizacional. Embora a avaliação e o tratamento de riscos, que juntos formam a gestão de riscos, sejam um trabalho complexo, estas seis etapas básicas – elaboradas por Kosutic (2015) e dispostas no trecho a seguir – jogarão uma luz sobre o que você tem que fazer: 1. Metodologia de análise de risco da ISO 27001 Esta é a primeira etapa em sua viagem através da gestão de riscos. Você precisa definir regras sobre como você irá realizar a gestão de riscos, porque você quer que toda a organização faça isso da mesma forma – o maior problema com a gestão de riscos acontece se diferentes partes da organização realizam a gestão de formas diferentes. Desta forma, você precisa definir se você quer uma avaliação de riscos qualitativa ou quantitativa, quais escalas você irá usar para a avaliação qualitativa, qual será o nível aceitável de risco etc. 2. Implementação da avaliação de riscos Uma vez que você saiba as regras, você pode iniciar identificando quais problemas poderiam acontecer a você – você precisa listar todos os seus ativos, depois ameaças e vulnerabilidades relacionadas a estes ativos, avaliar o impacto e a probabilidade para cada combinação de ativos/ameaças/vulnerabilidades e finalmente calcular o nível de risco. Em minha experiência, organizações estão conscientes de apenas 30% de seus riscos. Assim, você provavelmente descobrirá este exercício como revelador [...]. 139 TECNOLOGIAS DA INFORMAÇÃO 3. Implementação do tratamento de riscos Claro que nem todos os riscos são criados de forma igual – você deve focar nos mais importantes, os assim chamados “riscos inaceitáveis”. Existem quatro opções que você pode escolher para reduzir cada risco inaceitável: 1. Aplicar controles de segurança do Anexo A [da ISO 27001:2013] para reduzir os riscos [...]. 2. Transferir o risco para terceiro – e.g., para uma companhia de seguro ao adquirir uma apólice de seguro. 3. Evitar o risco parando uma atividade que é muito arriscada, ou realizando-a de modo completamente diferente. 4. Aceitar o risco – se, por exemplo, o custo para mitigar aquele risco for maior do que o próprio dano. Aqui é onde você precisa ser criativo – como mitigar os riscos com o mínimo de investimento. Seria mais fácil se o seu orçamento fosse ilimitado, mas isso nunca irá acontecer. [...] infelizmente sua direção está correta – é possível atingir o mesmo resultado com menos dinheiro – você apenas precisa descobrir como. 4. Relatório de avaliação de riscos do SGSI Diferente das etapas anteriores, esta é bem monótona – você precisa documentar tudo que você fez até agora. Não apenas para os auditores, mas você talvez queira checar por você mesmo estes resultados dentro de um ano ou dois. 5. Declaração de aplicabilidade Este documento na verdade mostra o perfilde segurança de sua organização – baseado nos resultados do tratamento de riscos, você precisa listar todos os controles que você implementou, por que você os implementou e como. Este documento é também muito importante porque o auditor de certificação o usará como a principal orientação para a auditoria. [...] 6. Plano de tratamento de risco [...] Este é o propósito do plano de tratamento de risco – definir exatamente quem irá implementar cada controle, em que espaço de tempo, com qual orçamento etc. [...] Uma vez que você tenha escrito este documento, é crucial obter a aprovação de sua direção, porque uma quantidade considerável de tempo e esforço (e dinheiro) será dedicada 140 Unidade III para implementar todos os controles que você planejou aqui. E sem o comprometimento da direção você não terá nada destes recursos. E é isso – você começou sua jornada partindo de não conhecer nada sobre como definir sua segurança da informação até ter uma visão clara do que você precisa para implementá-la. O ponto é – a ISO 27001 força você a fazer esta jornada de forma sistemática. Fonte: Kosutic (2015). 7.1.23 Norma ISO 27000 Conforme Palma (2014), vejamos as principais normas da ISO 27000. ISO 27000: é a introdução à família ISO 27000. É uma norma interessante sobretudo para profissionais de primeira viagem na gestão da segurança da informação. Inclui um glossário de termos que ajuda, inclusive, a quem está se preparando para a certificação profissional ISO 27002 Foundation. ISO 27001: é a principal norma que uma organização deve utilizar para obter a certificação empresarial em gestão da segurança da informação. Por isso, é conhecida como a única norma internacional auditável que define os requisitos para um SGSI. ISO 27002: é um código de práticas com um conjunto completo de controles que auxiliam na aplicação do SGSI. É recomendável que a norma seja utilizada em conjunto com a ISO 27001, mas pode ser também consultada de forma independente com fins de adoção das boas práticas. ISO 27003: contém um conjunto de diretrizes para a implementação do SGSI. Enquanto a 27001 disponibiliza apenas requisitos, aqui obtemos uma orientação detalhada. ISO 27004: define métricas de medição para a gestão da segurança da informação. ISO 27006: define requisitos para organizações que trabalham com auditoria e certificação de SGSI. ISO 27007: aborda diretrizes para a auditoria do SGSI. Ela deve ser usada junto com a ISO 27006, assim como a ISO 27002 deve ser usada junto com a ISO 27001. ISO 27008: complementa a ISO 27007, ao concentrar-se na auditoria dos controles em segurança da informação (dispostos na ISO 27002), enquanto a 27007 concentra-se na auditoria dos requisitos do SGSI (definidos na 27001). ISO 27009: apoia indústrias específicas que pretendem trabalhar com base nas normas ISO 27000. ISO 27010: guia para a comunicação em gestão da segurança da informação tanto no escopo da organização como fora dela (sobretudo entre empresas do mesmo setor). O objetivo não é delimitar controles de segurança para a informação, e sim prover auxílio para quem deseja evoluir com as 141 TECNOLOGIAS DA INFORMAÇÃO práticas, por meio de contatos e network entre partes de um mesmo segmento de mercado que buscam aprimorar a gestão da segurança da informação. ISO/IEC 27011: guia de gestão da segurança da informação para empresas de telecomunicações. ISO 27012: essa norma foi proposta para a gestão da segurança da informação em organizações da administração pública, mas foi cancelada. Hoje, no site oficial da ISO, ela não está entre as normas publicadas oficialmente. ISO 27013: guia para implementar a ISO 27001 em uma organização de forma integrada com a ISO 20000 (norma que atribui os requisitos para gestão de serviços de TI). ISO 27014: técnicas para governança da segurança da informação. Esse objetivo é buscado por tal norma por meio de uma especificação de como avaliar, dirigir, controlar e comunicar todas as práticas internas da empresa relacionadas à segurança da informação, de forma que sejam compreendidas e estejam alinhadas com necessidades da área de negócio. ISO 27015: aborda a gestão da segurança da informação para serviços financeiros. Pode ser interpretada como uma norma que fornece controles e diretrizes complementares à ISO 27002 para empresas e departamentos desse segmento. ISO 27016: o mesmo raciocínio da 27015, só que para o setor de economia. A partir da próxima norma, o foco muda para tópicos específicos em TI. ISO/IEC 27017: controles específicos para cloud computing. ISO/IEC 27018: cobre especificamente a privacidade – personally identifiable information (PII) – para serviços em cloud computing. É uma norma que complementa a ISO 27017. ISO 27019: controles específicos para a indústria de energia. Observação As normas numeradas entre 27020 e 27030 não estão publicadas ou já estão publicadas para temas que não dizem respeito à gestão da segurança da informação. A ISO 27020, por exemplo, é aplicável a suportes e tubos para uso em aparelhos ortodônticos fixos. ISO 27031: guia de princípios da segurança da informação para TIC no sentido de garantir a continuidade dos negócios. ISO 27032: aborda a cibersegurança, a preservação da confidencialidade, integridade e disponibilidade da informação no ciberespaço. 142 Unidade III ISO 27033-1: trata sobre a introdução e conceitos gerais da segurança em redes. Esta é uma das seis partes da norma 27033. O conjunto de normas 27033-1 a 27033-6 é derivado das cinco partes da norma de segurança em redes ISO/IEC 18028. ISO 27033-2: guia para planejamento, desenho, implementação e documentação da segurança em redes. ISO 27033-3: tem o objetivo de definir riscos específicos, técnicas de projetos e controles relacionados à segurança em redes. ISO 27033-4: visão geral e requisitos para identificação e análise de ameaças para a segurança da informação relacionadas a gateways de segurança da informação que compõem a arquitetura de segurança em redes. ISO 27033-5: protege a comunicação entre redes usando a virtual private networks (VPNs). ISO 27033-6: define riscos, técnicas de projeto e desenho e controles específicos para a segurança da informação em redes sem fio e rádio. ISO 27034-1: segurança da informação em aplicações – parte 1. Nessa primeira parte, é abordada uma introdução e são definidos conceitos. As partes 2 a 6 encontram-se em desenvolvimento, mas já é possível obter informações sobre elas, conforme descrições a seguir. ISO 27034-2: segurança da informação em aplicações – parte 2. A segunda parte trata sobre a organização normativa para a segurança em aplicações. ISO 27034-3: guia para o processo de gestão da segurança em aplicações. ISO 27034-4: validação de requisitos de segurança em aplicações. ISO 27034-5: protocolos e estrutura de dados de controle de segurança de aplicativos. ISO 27034-6: guia de segurança da informação para aplicações específicas. ISO 27035: guia detalhado para a gestão de incidentes de segurança da informação, cobrindo o processo de mapeamento de eventos, incidentes e vulnerabilidades em segurança. Inclui guias para declaração de uma política de gestão de incidentes de segurança, divisão das responsabilidades envolvidas, entre outros aspectos relevantes para quem adota as boas práticas de gestão da segurança. ISO 27036: segurança da informação para o relacionamento com fornecedores. Oferece orientações sobre a avaliação e o tratamento de riscos de segurança da informação envolvidos na aquisição de informações ou produtos relacionados com a TIC de outras organizações. ISO 27037: orientações para a identificação, coleta, aquisição e preservação de evidências forenses digitais. Essa norma está focada na manutenção da integridade dessas evidências. 143 TECNOLOGIAS DA INFORMAÇÃO ISO 27038: especificação para redação digital. Trata sobre requisitos para a redação e o compartilhamento da informação digital de forma adequada, seja ela publicada
Compartilhar