Baixe o app para aproveitar ainda mais
Prévia do material em texto
LEGISLAÇÃO DE TI E GESTÃO DE CONTRATOS W B A 00 53 _v 2. 0 2 Anderson Souza de Araújo Londrina Editora e Distribuidora Educacional S.A. 2020 LEGISLAÇÃO DE TI E GESTÃO DE CONTRATOS 1ª edição 3 2020 Editora e Distribuidora Educacional S.A. Avenida Paris, 675 – Parque Residencial João Piza CEP: 86041-100 — Londrina — PR e-mail: editora.educacional@kroton.com.br Homepage: http://www.kroton.com.br/ Presidente Rodrigo Galindo Vice-Presidente de Pós-Graduação e Educação Continuada Paulo de Tarso Pires de Moraes Conselho Acadêmico Carlos Roberto Pagani Junior Camila Braga de Oliveira Higa Carolina Yaly Giani Vendramel de Oliveira Henrique Salustiano Silva Juliana Caramigo Gennarini Mariana Gerardi Mello Nirse Ruscheinsky Breternitz Priscila Pereira Silva Tayra Carolina Nascimento Aleixo Coordenador Tayra Carolina Nascimento Aleixo Revisor Diego Santos Sanchez Editorial Alessandra Cristina Fahl Beatriz Meloni Montefusco Gilvânia Honório dos Santos Mariana de Campos Barroso Paola Andressa Machado Leal Dados Internacionais de Catalogação na Publicação (CIP) _________________________________________________________________________________________ Araújo, Anderson Souza de. A663l Legislação de TI e gestão de contratos/ Anderson Souza de Araújo, – Londrina: Editora e Distribuidora Educacional S.A. 2020. 42 p. ISBN 978-65-5903-044-6 1. Crime por computador 2. Contratos eletrônicos 3. Gerenciamento de níveis de serviço I. Título. CDD 004 ____________________________________________________________________________________________ Raquel Torres – CRB 6/2786 © 2020 por Editora e Distribuidora Educacional S.A. Todos os direitos reservados. Nenhuma parte desta publicação poderá ser reproduzida ou transmitida de qualquer modo ou por qualquer outro meio, eletrônico ou mecânico, incluindo fotocópia, gravação ou qualquer outro tipo de sistema de armazenamento e transmissão de informação, sem prévia autorização, por escrito, da Editora e Distribuidora Educacional S.A. 4 SUMÁRIO O crime cibernético e a legislação brasileira _________________________ 05 Tipos de crimes cibernéticos e suas formas de investigação ________ 22 Frameworks de gestão de contratos de TIC __________________________ 38 Acordo de nível de serviço __________________________________________ 54 LEGISLAÇÃO DE TI E GESTÃO DE CONTRATOS 5 O crime cibernético e a legislação brasileira Autoria: Anderson Souza de Araújo Leitura crítica: Diego Santos Sanchez Objetivos • Entender os conceitos relacionados ao tema de crime cibernético. • Analisar a relação do Direito Penal e outros dispositivos legais brasileiros com os crimes digitais e a segurança no espaço cibernético. null null 6 1. Crime cibernético 1.1 O que é um crime cibernético Um crime cibernético ou crime de computador é definido pelo Glossário de Segurança da Informação do Gabinete de Segurança Institucional da Presidência da República (GSI/PR), publicado pela Portaria GSI/PR nº 93, de 26 de setembro de 2019, como um: Ato criminoso ou abusivo contra redes ou sistemas de informações, seja pelo uso de um ou mais computadores utilizados como ferramentas para cometer o delito ou tendo como objetivo uma rede ou sistema de informações a fim de causar incidente, desastre cibernético ou obter lucro financeiro. (BRASIL, 2019, [s.p.]) De maneira geral, pode-se entender como crime cibernético qualquer ilícito cometido no âmbito do “mundo cibernético” ou do “espaço cibernético”, sendo este conceito também definido pelo Glossário de Segurança da Informação do GSI/PR (BRASIL, 2019): ESPAÇO CIBERNÉTICO–espaço virtual composto por um conjunto de canais de comunicação da internet e outras redes de comunicação que garantem a interconexão de dispositivos de TIC e que engloba todas as formas de atividades digitais em rede, incluindo o armazenamento, processamento e compartilhamento de conteúdo além de todas as ações, humanas ou automatizadas, conduzidas através desse ambiente. (BRASIL, 2019, [s.p.]) Diante do exposto, depreende-se que os ilícitos cometidos no âmbito do espaço cibernético, ou que se utilizem de dispositivos eletrônicos, meios ou dados digitais e que, de alguma forma ou em algum momento, estejam ou estiveram conectados ao espaço cibernético, podem ser considerados como crimes cibernéticos ou crimes digitais. null null 7 Na maioria das vezes, esses crimes visam a obtenção de recursos financeiros de outrem ou simplesmente a degradação da honra e da imagem da pessoa para obtenção de vantagens ilícitas, vingança e outros objetivos espúrios. Quase sempre, violam direitos constitucionais e atingem, não somente suas vítimas, mas outros que fazem parte do seu ciclo familiar, de amizade ou profissional. Também existem os crimes contra pessoas jurídicas, que visam obter vantagens financeiras, segredos de negócio, patentes etc. Outra definição interessante trazida pelo Glossário de Segurança da Informação do GSI/PR (BRASIL, 2019) é a definição de “terrorismo cibernético”, qual seja: TERRORISMO CIBERNÉTICO – crime cibernético perpetrado por razões políticas, religiosas ou ideológicas contra qualquer elemento da infraestrutura cibernética com os objetivos de: provocar perturbação severa ou de longa duração na vida pública; causar danos severos à atividade econômica com a intenção de intimidar a população; forçar as autoridades públicas ou uma organização a executar, a tolerar, a revogar ou a omitir um ato; ou abalar ou destruir as bases políticas, constitucionais, econômicas ou sociais de um Estado, organização ou empresa. É principalmente realizado por atos de sabotagem cibernética organizados e gerenciados por indivíduos, grupos político- fundamentalistas, ou serviços de inteligência estrangeiros. (BRASIL, 2019) Aqui fica clara a intenção do legislador na tipificação do crime cibernético de terrorismo, incluindo os temas de política, religião, razões ideológicas e prejuízo econômico. Percebe-se uma clara preocupação com questões de Estado, especialmente no que diz respeito a segurança da sociedade brasileira. null 8 1.2 A relação do crime cibernético com o Direito Penal 1.2.1 A relação do crime cibernético com o Código Penal Brasileiro e com o Código Penal Militar É possível encontrar na legislação brasileira, diversos dispositivos legais que foram elaborados no sentido de tipificar certos crimes relacionados ao mundo cibernético ou espaço cibernético. Seja porque os criminosos utilizam-se desse espaço para cometer algum crime já previsto no Decreto-Lei nº 2.848, de 7 de dezembro de 1940 (Código Penal Brasileiro) ou no Decreto-Lei nº 1.001, de 21 de outubro de 1969 (Código Penal Militar), ou porque se utilizam de tecnologias computacionais, dados digitais ou afins para o cometimento de crimes. Nesse sentido, as leis n. 12.735 e n. 12.737, de 30 de novembro de 2012, modificaram o Código Penal Brasileiro e o Código Penal Militar, bem como a Lei n. 7.716, de 5 de janeiro de 1989. O objetivo dessas leis foi tipificar criminalmente os delitos informáticos e “condutas realizadas mediante uso de sistema eletrônico, digital ou similares, que sejam praticadas contra sistemas informatizados e similares” (BRASIL, 2012, [s.p.]). A Lei n. 12.735/2012, trata do uso de sistemas de informação para atacar outros sistemas de informação ou similares. No caso específico da Lei n. 12.737/2012, trata-se dos crimes de “invasão de dispositivo informático”, “interrupção ou perturbação de serviço telegráfico, telefônico, informático, telemático ou de informação de utilidade pública e equipara ao crime de “falsificação de documento particular” a falsificação de cartão de crédito ou débito. null 9 1.2.2 A relação do crime cibernético com o Estatuto da Criança e do Adolescente O Estatuto da Criança e do Adolescente(ECA) é uma lei brasileira publicada no ano de 1990 (Lei n. 8.069, de 13 de julho de 1990) que trata dos direitos humanos de crianças e adolescentes. O principal objetivo do ECA é estabelecer medidas protetivas para crianças e adolescentes no sentido de orientar os juízes a lidarem com casos que envolvam esse tipo de público. Nesse contexto, a Lei n. 11.829, de 25 de novembro de 2008 alterou o Estatuto da Criança e do Adolescente, no sentido de “aprimorar o combate à produção, venda e distribuição de pornografia infantil, bem como criminalizar a aquisição e a posse de tal material e outras condutas relacionadas à pedofilia na internet (BRASIL, 2008, [s.p.])”. O art. 241 original do Estatuto da Criança e do Adolescente previa apenas como crime em espécie: Art. 241. Fotografar ou publicar cena de sexo explícito ou pornográfica envolvendo criança ou adolescente: Pena–reclusão de um a quatro anos. (BRASIL, 1990) Com a nova redação dada pela Lei n. 11.829/2008, não só aumentou a pena para esse tipo de crime, como também foi ajustada a redação do caput para acompanhar as inovações tecnológicas para a atualidade, com a inclusão dos termos como veda, exposição vídeo, quais sejam: Art. 241. Vender ou expor à venda fotografia, vídeo ou outro registro que contenha cena de sexo explícito ou pornográfica envolvendo criança ou adolescente: (Redação dada pela Lei nº 11.829, de 2008) Pena – reclusão, de 4 (quatro) a 8 (oito) anos, e multa. (Redação dada pela Lei nº 11.829, de 2008). (BRASIL, 1990) 10 Além disso, a Lei n. 11.829/2008 incluiu os artigos 241 A, B, C, D e E com uma série de crimes em espécie que se enquadram perfeitamente na definição de crime cibernético apresentada anteriormente, quais sejam: Art. 241-A. Oferecer, trocar, disponibilizar, transmitir, distribuir, publicar ou divulgar por qualquer meio, inclusive por meio de sistema de informática ou telemático, fotografia, vídeo ou outro registro que contenha cena de sexo explícito ou pornográfica envolvendo criança ou adolescente: (Incluído pela Lei nº 11.829, de 2008) Pena – reclusão, de 3 (três) a 6 (seis) anos, e multa. (Incluído pela Lei nº 11.829, de 2008) § 1o Nas mesmas penas incorre quem: (Incluído pela Lei nº 11.829, de 2008) I – assegura os meios ou serviços para o armazenamento das fotografias, cenas ou imagens de que trata o caput deste artigo; (Incluído pela Lei nº 11.829, de 2008) II – assegura, por qualquer meio, o acesso por rede de computadores às fotografias, cenas ou imagens de que trata o caput deste artigo. (Incluído pela Lei nº 11.829, de 2008) § 2o As condutas tipificadas nos incisos I e II do § 1 o deste artigo são puníveis quando o responsável legal pela prestação do serviço, oficialmente notificado, deixa de desabilitar o acesso ao conteúdo ilícito de que trata o caput deste artigo. (Incluído pela Lei nº 11.829, de 2008) Art. 241-B. Adquirir, possuir ou armazenar, por qualquer meio, fotografia, vídeo ou outra forma de registro que contenha cena de sexo explícito ou pornográfica envolvendo criança ou adolescente: (Incluído pela Lei nº 11.829, de 2008) Pena – reclusão, de 1 (um) a 4 (quatro) anos, e multa. (Incluído pela Lei nº 11.829, de 2008) null 11 § 1o A pena é diminuída de 1 (um) a 2/3 (dois terços) se de pequena quantidade o material a que se refere o caput deste artigo. (Incluído pela Lei nº 11.829, de 2008) § 2o Não há crime se a posse ou o armazenamento tem a finalidade de comunicar às autoridades competentes a ocorrência das condutas descritas nos arts. 240, 241, 241-A e 241-C desta Lei, quando a comunicação for feita por: (Incluído pela Lei nº 11.829, de 2008) I – agente público no exercício de suas funções; (Incluído pela Lei nº 11.829, de 2008) II – membro de entidade, legalmente constituída, que inclua, entre suas finalidades institucionais, o recebimento, o processamento e o encaminhamento de notícia dos crimes referidos neste parágrafo; (Incluído pela Lei nº 11.829, de 2008) III – representante legal e funcionários responsáveis de provedor de acesso ou serviço prestado por meio de rede de computadores, até o recebimento do material relativo à notícia feita à autoridade policial, ao Ministério Público ou ao Poder Judiciário. (Incluído pela Lei nº 11.829, de 2008) § 3o As pessoas referidas no § 2 o deste artigo deverão manter sob sigilo o material ilícito referido. (Incluído pela Lei nº 11.829, de 2008) Art. 241-C. Simular a participação de criança ou adolescente em cena de sexo explícito ou pornográfica por meio de adulteração, montagem ou modificação de fotografia, vídeo ou qualquer outra forma de representação visual: (Incluído pela Lei nº 11.829, de 2008) Pena – reclusão, de 1 (um) a 3 (três) anos, e multa. (Incluído pela Lei nº 11.829, de 2008) Parágrafo único. Incorre nas mesmas penas quem vende, expõe à venda, disponibiliza, distribui, publica ou divulga por qualquer meio, adquire, possui ou armazena o material produzido na forma do caput deste artigo. (Incluído pela Lei nº 11.829, de 2008) null 12 Art. 241-D. Aliciar, assediar, instigar ou constranger, por qualquer meio de comunicação, criança, com o fim de com ela praticar ato libidinoso: (Incluído pela Lei nº 11.829, de 2008) Pena – reclusão, de 1 (um) a 3 (três) anos, e multa. (Incluído pela Lei nº 11.829, de 2008) Parágrafo único. Nas mesmas penas incorre quem: (Incluído pela Lei nº 11.829, de 2008) I – facilita ou induz o acesso à criança de material contendo cena de sexo explícito ou pornográfica com o fim de com ela praticar ato libidinoso; (Incluído pela Lei nº 11.829, de 2008) II – pratica as condutas descritas no caput deste artigo com o fim de induzir criança a se exibir de forma pornográfica ou sexualmente explícita. (Incluído pela Lei nº 11.829, de 2008) Art. 241-E. Para efeito dos crimes previstos nesta Lei, a expressão “cena de sexo explícito ou pornográfica” compreende qualquer situação que envolva criança ou adolescente em atividades sexuais explícitas, reais ou simuladas, ou exibição dos órgãos genitais de uma criança ou adolescente para fins primordialmente sexuais. (Incluído pela Lei nº 11.829, de 2008). (BRASIL, 1990, [s.p.]) Diante do exposto, evidencia-se a criminalização da publicação, troca ou divulgação de foto ou vídeo que contenha pornografia ou de cenas de sexo explícito envolvendo criança ou adolescente, independentemente do meio da comunicação, inclusive internet. Da mesma forma, imputará nesse mesmo crime aqueles que assegurarem os mecanismos necessários para armazenar esse tipo de material com sites, blogs etc., permitindo seu acesso a usuários da internet. Significa dizer que as empresas ou qualquer organização (pessoa jurídica) que mantêm esse tipo de material armazenados em 13 seus servidores, computadores, bases de dados etc., está sujeita às penalidades previstas na lei. Entretanto, essa penalidade só pode ser aplicada se, mesmo após uma notificação oficial efetuada pelo representante legal da criança ou adolescente, o material não for retirado do ar (ficar indisponível). 1.2.3 A Lei Geral de Proteção de Dados Pessoais brasileira Em agosto de 2018, o Governo brasileiro publicou a Lei n. 13.709, de 14 de agosto de 2018: a Lei Geral de Proteção de Dados Pessoais (LGPD) brasileira. Inspirada no modelo da União Europeia, General Data Protection Regulation (GDPR), a LGPD dispõe sobre a proteção de dados pessoais promove algumas alterações no Marco Civil da Internet. Assim: Art. 1º Esta Lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural. (BRASIL, 2018) A LGPD define requisitos para o tratamento de dados pessoais em geral, dados pessoais sensíveis e dados pessoais de crianças e de adolescentes. Além disso, a lei introduz no arcabouço legalbrasileiro uma série de direitos ao titular dos dados, bem como responsabilizações, ressarcimentos e sanções àqueles que tratam dados pessoais e, porventura, violem direitos dos titulares dos dados que são objetos de tratamento. Sua abrangência é toda a sociedade brasileira, pessoas físicas e jurídicas, órgãos públicos e iniciativa privada, ou seja, qualquer um que trate dados pessoais de cidadãos brasileiros. A LGPD tem relação direta com a evolução tecnológica e do espaço cibernético (mundo digital) e o inciso X do art. 5o da Constituição de 1988 (BRASIL, 1988). null null 14 Art. 5º Todos são iguais perante a lei, sem distinção de qualquer natureza, garantindo-se aos brasileiros e aos estrangeiros residentes no País a inviolabilidade do direito à vida, à liberdade, à igualdade, à segurança e à propriedade, nos termos seguintes: [...] X–são invioláveis a intimidade, a vida privada, a honra e a imagem das pessoas, assegurado o direito a indenização pelo dano material ou moral decorrente de sua violação; [...]. (BRASIL, 2018) A LGPD também cria a Autoridade Nacional de Proteção de Dados Pessoais (ANPD) e o Conselho Nacional de Proteção de dados Pessoais e da Privacidade. As principais competências da ANPD são: Art. 55-J. Compete à ANPD: (Incluído pela Lei nº 13.853, de 2019) I–zelar pela proteção dos dados pessoais, nos termos da legislação; (Incluído pela Lei nº 13.853, de 2019) II–zelar pela observância dos segredos comercial e industrial, observada a proteção de dados pessoais e do sigilo das informações quando protegido por lei ou quando a quebra do sigilo violar os fundamentos do art. 2º desta Lei; (Incluído pela Lei nº 13.853, de 2019) [...] IV – fiscalizar e aplicar sanções em caso de tratamento de dados realizado em descumprimento à legislação, mediante processo administrativo que assegure o contraditório, a ampla defesa e o direito de recurso; (Incluído pela Lei nº 13.853, de 2019) [...] VII–promover e elaborar estudos sobre as práticas nacionais e internacionais de proteção de dados pessoais e privacidade; (Incluído pela Lei nº 13.853, de 2019) null 15 VIII–estimular a adoção de padrões para serviços e produtos que facilitem o exercício de controle dos titulares sobre seus dados pessoais, os quais deverão levar em consideração as especificidades das atividades e o porte dos responsáveis; (Incluído pela Lei nº 13.853, de 2019) [...] XI–solicitar, a qualquer momento, às entidades do poder público que realizem operações de tratamento de dados pessoais informe específico sobre o âmbito, a natureza dos dados e os demais detalhes do tratamento realizado, com a possibilidade de emitir parecer técnico complementar para garantir o cumprimento desta Lei; (Incluído pela Lei nº 13.853, de 2019) [...] XIII–editar regulamentos e procedimentos sobre proteção de dados pessoais e privacidade, bem como sobre relatórios de impacto à proteção de dados pessoais para os casos em que o tratamento representar alto risco à garantia dos princípios gerais de proteção de dados pessoais previstos nesta Lei; (Incluído pela Lei nº 13.853, de 2019) [...] XVI–realizar auditorias, ou determinar sua realização, no âmbito da atividade de fiscalização de que trata o inciso IV e com a devida observância do disposto no inciso II do caput deste artigo, sobre o tratamento de dados pessoais efetuado pelos agentes de tratamento, incluído o poder público; (Incluído pela Lei nº 13.853, de 2019) XVII–celebrar, a qualquer momento, compromisso com agentes de tratamento para eliminar irregularidade, incerteza jurídica ou situação contenciosa no âmbito de processos administrativos, de acordo com o previsto no Decreto-Lei nº 4.657, de 4 de setembro de 1942; (Incluído pela Lei nº 13.853, de 2019) [...] null null 16 XXI–comunicar às autoridades competentes as infrações penais das quais tiver conhecimento; (Incluído pela Lei nº 13.853, de 2019) XXII–comunicar aos órgãos de controle interno o descumprimento do disposto nesta Lei por órgãos e entidades da administração pública federal; (Incluído pela Lei nº 13.853, de 2019) [...] (BRASIL, 2018) Já ao Conselho Nacional de Proteção de Dados Pessoais e da Privacidade, compete o seguinte: Art. 58-B. Compete ao Conselho Nacional de Proteção de Dados Pessoais e da Privacidade: (Incluído pela Lei nº 13.853, de 2019) I–propor diretrizes estratégicas e fornecer subsídios para a elaboração da Política Nacional de Proteção de Dados Pessoais e da Privacidade e para a atuação da ANPD; (Incluído pela Lei nº 13.853, de 2019) II–elaborar relatórios anuais de avaliação da execução das ações da Política Nacional de Proteção de Dados Pessoais e da Privacidade; (Incluído pela Lei nº 13.853, de 2019) III–sugerir ações a serem realizadas pela ANPD; (Incluído pela Lei nº 13.853, de 2019) IV–elaborar estudos e realizar debates e audiências públicas sobre a proteção de dados pessoais e da privacidade; e (Incluído pela Lei nº 13.853, de 2019) V–disseminar o conhecimento sobre a proteção de dados pessoais e da privacidade à população. (BRASIL, 2018) 1.2.4 Outros dispositivos legais e a segurança jurídica do uso da internet Além dos dispositivos legais citados anteriormente, outros merecem destaque. Apesar de não lidarem de maneira explícita com o tema null null 17 de crime cibernético, ou crime digital, servem como balizadores de comportamento, boas práticas e condutas que, se negligenciadas, podem imputar em ilícitos penais e crimes cibernéticos. A Lei n. 12.965, de 23 de abril de 2014, mais conhecida como Marco Civil da Internet, estabelece princípios, garantias, direitos e deveres para o uso da internet no Brasil. O principal objetivo quando de sua criação era trazer mais segurança jurídica para utilização da rede. A lei trata temas como: • Direitos e garantias dos usuários. • Proteção aos registros, aos dados pessoais e às comunicações privadas. • Responsabilidade por danos decorrentes de conteúdo gerado por terceiros. • Requisição judicial de registros. Da mesma forma, o Decreto n. 9.637, de 26 de dezembro de 2018 instituiu a Política Nacional de Segurança da Informação, tratando temas como: • Segurança cibernética. • Defesa cibernética. • Segurança física e a proteção de dados organizacionais. • Ações destinadas a assegurar a disponibilidade, a integridade, a confidencialidade e a autenticidade da informação. Em cumprimento ao Decreto n. 9.637/2018, o Gabinete de Segurança Institucional da Presidência da República publicou, por meio do Decreto n. 10.222, de 5 de fevereiro de 2020, a Estratégia Nacional de Segurança null null null null 18 Cibernética do Brasil. Dentre os temas tratados no documento, destacam-se: • Prevenção e mitigação de ameaças cibernéticas. • Promoção de um ambiente participativo, colaborativo, confiável e seguro, entre setor público, setor privado e sociedade. • Elevar o nível de proteção das infraestruturas críticas nacionais. • Elevar o nível de maturidade da sociedade em segurança cibernética. A Figura 1 ilustra a relação do crime cibernético com os principais dispositivos legais brasileiros. Figura 1 – Relação do crime cibernético com os principais dispositivos legais brasileiros Fonte: elaborada pelo autor. null 19 1.3 Características dos crimes cibernéticos Existem diversas classificações e tipificações para os crimes digitais ou crimes cibernéticos. Essas classificações levam em consideração os diversos pontos de vista a que se pretendem apresentar os crimes cibernéticos. Uma classificação bastante utilizada, do ponto de vista da segurança da informação e da segurança cibernética, é a que diz respeito aos tipos de ataques cibernéticos que um determinado sistema, aplicação, organização ou indivíduo pode sofrer. Essa classificação considera, basicamente, quatro aspectos à informação, ao dado cibernético ou ao sistema/aplicação: a disponibilidade, a integridade, a confidencialidade e a autenticidade. Conforme dispostona Instrução Normativa GSI/PR nº 1, de 13 de junho de 2008: Art. 2º Para fins desta Instrução Normativa, entende-se por: III–disponibilidade: propriedade de que a informação esteja acessível e utilizável sob demanda por uma pessoa física ou determinado sistema, órgão ou entidade; IV–integridade: propriedade de que a informação não foi modificada ou destruída de maneira não autorizada ou acidental; V–confidencialidade: propriedade de que a informação não esteja disponível ou revelada a pessoa física, sistema, órgão ou entidade não autorizado e credenciado; VI–autenticidade: propriedade de que a informação foi produzida, expedida, modificada ou destruída por uma determinada pessoa física, ou por um determinado sistema, órgão ou entidade. (BRASIL, 2008, [s.p.]) Assim, pode-se entender que, independentemente da classificação utilizada, os ataques cibernéticos possuem como objetivo, inicialmente: 20 • Prejudicar a disponibilidade de um sistema, dados ou informação, tornando seu acesso impossível para quem precisa dela. • Adulterar, indevidamente, fraudar uma informação ou dado, deixando de ser íntegra a informação. • Vazar ou divulgar informações a pessoas ou organizações não autorizadas a ter acesso a essas informações, seja porque são informações pessoais, informações que violam a intimidade, a honra a privacidade de pessoas, segredos de negócio, patentes etc. • Fraudar a origem (o remetente) das informações, fazendo com que aqueles que recebem a informação acreditem que ela foi enviada ou produzida por outra pessoa ou organização. Nesse sentido, diversos crimes podem ser cometidos, por exemplo, os crimes contra a imagem, a honra e a intimidade das pessoas, pornografia infantil, pedofilia, racismo, fraudes bancárias, cyberbullying etc. Referências Bibliográficas BRASIL. Presidência da República. Portaria nº 93, de 26 de setembro de 2019. Aprova o Glossário de Segurança da Informação. Brasília: D.O.U., 2019. Disponível em: http://www.in.gov.br/en/web/dou/-/portaria-n-93-de-26-de-setembro- de-2019-219115663. Acesso em: 17 jul. 2020. BRASIL. Presidência da República. Lei nº 12.735, de 30 de novembro de 2012. Altera o Decreto-Lei nº 2.848, de 7 de dezembro de 1940–Código Penal [...]. Brasília: D.O.U., 2012. Disponível em: http://www.planalto.gov.br/ccivil_03/_Ato2011- 2014/2012/Lei/L12735.htm. Acesso em: 17 jul. 2020. BRASIL. Presidência da República. Lei nº 8.069, de 13 de julho de 1990. Dispõe sobre o Estatuto da Criança e do Adolescente e dá outras providências. Brasília: D.O.U., 1990. Disponível em: http://www.planalto.gov.br/ccivil_03/leis/l8069.htm. Acesso em: 17 jul. 2020. BRASIL. Presidência da República. Lei no 12.737, de 30 de novembro de 2012. Dispõe sobre a tipificação criminal de delitos informáticos; altera o Decreto-Lei nº 2.848, de 7 de dezembro de 1940–Código Penal; e dá outras providências. Brasília: http://www.in.gov.br/en/web/dou/-/portaria-n-93-de-26-de-setembro-de-2019-219115663 http://www.in.gov.br/en/web/dou/-/portaria-n-93-de-26-de-setembro-de-2019-219115663 http://www.planalto.gov.br/ccivil_03/_Ato2011-2014/2012/Lei/L12735.htm http://www.planalto.gov.br/ccivil_03/_Ato2011-2014/2012/Lei/L12735.htm http://www.planalto.gov.br/ccivil_03/leis/l8069.htm null 21 D.O.U., 2012. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2011- 2014/2012/lei/l12737.htm. Acesso em: 18 jul. 2020. BRASIL. Presidência da República. Lei no 13.709, de 14 de agosto de 2018. Dispõe sobre a proteção de dados pessoais e altera a Lei nº 12.965, de 23 de abril de 2014 (Marco Civil da Internet). Lei Geral de Proteção de Dados Pessoais (LGPD). Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709. htm. Acesso em: 19 jul. 2020. BRASIL. Gabinete de Segurança Institucional da Presidência da República. Departamento de Segurança da Informação. Instrução Normativa GSI/PR nº 1, de 13 de junho de 2008. Disponível em: http://dsic.planalto.gov.br/legislacao/in_01_gsi dsic.pdf. Acesso em: 19 jul. 2020. MANDARINO JR, Raphael. Segurança e a Defesa do Espaço Cibernético Brasileiro. Recife: Cuzbac, 2010. PINHEIRO, Patrícia P. Direito cibernético. 6. ed. São Paulo: Editora Saraiva, 2016. PINHEIRO, Patrícia P. Proteção de Dados Pessoais: comentários à Lei n. 13.709/2018 (LGPD). 2. ed. São Paulo: Editora Saraiva Jur, 2020. http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2012/lei/l12737.htm http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2012/lei/l12737.htm http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm http://dsic.planalto.gov.br/legislacao/in_01_gsi dsic.pdf http://dsic.planalto.gov.br/legislacao/in_01_gsi dsic.pdf 22 Tipos de crimes cibernéticos e suas formas de investigação Autoria: Anderson Souza de Araújo Leitura crítica: Diego Santos Sanchez Objetivos • Entender os conceitos relacionados ao tema de crime cibernético. • Conhecer as técnicas de investigação dos crimes cibernéticos. null null 23 1. Tipos de crimes cibernéticos 1.1 Os crimes cibernéticos previstos no Estatuto da Criança e do Adolescente O Estatuto da Criança e do Adolescente (ECA) já elencava, no seu art. 241, os crimes de divulgação e publicação de imagens pornográficas de crianças e adolescentes por meio da internet. Entretanto, com a publicação da Lei n. 11.829, de 25 de novembro de 2008, esse entendimento foi aumentado para abranger também os atos de armazenar, disponibilizar, expor à venda ou transmitir conteúdo pornográfico de crianças e adolescentes. Portanto, fica criminalizada a publicação, troca ou divulgação de quaisquer conteúdos (imagem, foto, vídeo) que contenha cenas de sexo explícito ou pornografia com crianças ou adolescentes, independentemente do meio de comunicação que seja utilizado, incluindo a internet. Vale destacar, ainda, que a pessoa física ou jurídica que disponibilizar os meios necessários para armazenar esse tipo de conteúdo e que permita acesso aos mesmos internautas, por exemplo, fica enquadrada na prática do mesmo crime citado acima. Isso inclui, por exemplo, provedores de acesso à internet, aplicativos ou empresas que usam a rede e que possui infraestrutura como data centers, servidores de rede etc. Entretanto, as organizações citadas acima só incorrem em crime caso, após serem notificados oficialmente por um representante legal da criança e/ou do adolescente envolvido, ou ainda por decisão judicial, não excluírem o acesso ao conteúdo. De toda forma, é importante entender que o acesso ao conteúdo não é relevante, uma vez que a simples existência deste já caracteriza o crime cibernético. 24 Na prática, esse tipo de crime cibernético se consome no local e no momento que é realizado o acesso por parte de usuários da internet. Dessa forma, é importante que a denúncia contenha evidências que permitam o acesso ao conteúdo criminoso por parte dos órgãos de investigação competentes. A Lei n. 11.829/2008, também criminalizou, por meio do Estatuto da Criança e Adolescente, os atos de compra, posse ou guarda de conteúdo pornográfico envolvendo criança ou adolescente. Esses podem se dar na residência do criminoso ou na nuvem (cloud computing). Não importa onde o conteúdo esteja armazenado, se no computador pessoal, smartphone, pen-drive, CDs, DVDs etc. A montagem de conteúdo pornográfico de criança ou adolescente, a partir da adulteração de imagens ou vídeos, também é considerada crime da mesma forma que quem comercializa, adquire ou guarda esse tipo de material, ainda que não adulterado. O convite ou a incitação da criança para práticas de sexo ou atos libidinosos também é considerado crime. Também comete crime quem incentiva ou facilita o acesso da criança a conteúdo pornográfico ou à prática de atos libidinosos em chats, salas de bate papo, redes sociais etc. 1.2 O cyberbullying Tipo de crime surgido juntamente com a internet e bastante disseminado nas redes sociais. Vindo do chamadobullying, trata- se de atitudes que visam denegrir pessoas, seja com violência física ou psicológica, intimidações, humilhações ou ameaças intencionais e repetitivas, podendo evoluir para outros crimes como o racismo. Pode ser praticado por uma ou mais pessoas ao mesmo tempo contra uma ou mais vítimas. Os meios utilizados podem ser mensagens, imagens, comentários em redes sociais, compartilhamento de conteúdo degradante para a vítima visualizado por muitas pessoas, de forma null null null 25 a prejudicar a vida pessoal e/ou profissional da vítima, causando constrangimento perante a sociedade. São considerados delitos contra a honra e/ou crime de ameaça. Na maioria das vezes, o dano causado à vítima acaba sendo de difícil reparação, pois mesmo que o conteúdo seja retirado, ele pode ter sido armazenado por qualquer pessoa do mundo que o tenha visualizado. Não se trata apenas de um crime associado apenas ao ambiente escolar, como era o caso do bullying, pois no caso do cyberbullying, refere- se ao ambiente da internet em que existe uma sensação aparente de anonimato e que as pessoas adultas têm sido tanto autores quanto vítimas de cyberbullying. Uma das formas de se praticar tal crime é a partir de um perfil falso da vítima criado por alguém em uma rede social para submetê-la a situações constrangedoras ou humilhantes. E, ainda, o criminoso pode criar um perfil falso qualquer para disparar postagens vexatórias, difamatórias, ameaças ou notícias falsas (fake news) contra as vítimas. De qualquer forma, não importa se o criminoso utiliza de perfil falso ou do seu próprio para realizar a prática do cyberbullying. O crime é o mesmo, e apenas e altera o modus operandi. Do ponto de vista da investigação, uma boa prática é que o investigador tente identificar endereços de Protocolo de Internet (endereço IP – Internet Protocol) da origem das postagens criminosas e grave as páginas que contém o conteúdo ofensivo. Obviamente, é preciso, após esse procedimento, providenciar a notificação ao provedor para retirada do conteúdo ofensivo identificado. Importante destacar que o cyberbullying pode ser cometido por crianças e adolescentes, sendo esta situação bastante comum, até pela natureza e origem do delito. Nesse caso, a conduta passa a ser considerada ato null 26 infracional, podendo serem aplicadas medidas socioeducativas para adolescentes ou medidas protetivas caso a conduta tenha sido cometida por uma criança. 2. Técnicas de investigação de crimes cibernéticos 2.1 Visão geral Toda investigação relacionada a crimes cometidos no âmbito do espaço cibernético, deve ser iniciada com a chamada “notícia crime”. Essa notificação do cometimento de um crime cibernético pode ser realizada por qualquer cidadão, inclusive a própria vítima. Uma vez recebida a denúncia, o agente responsável por recepcioná-la deve orientar o queixante a não apagar as possíveis provas do crime cibernético. Ou seja, é importante que as páginas, mensagens, imagens, vídeos, postagens, e-mails etc., ainda que estejam armazenadas no computador do queixante, permaneçam inalteradas. Como a internet existe em nível global, o conteúdo pode estar disponível para ser acessado por qualquer pessoa em qualquer lugar do mundo. Portanto, é possível que o mesmo crime tenha sido reportado por outra pessoa em outro local. Logo, é preciso que o agente responsável pela investigação verifique, inicialmente, se não há duplicidade de “notícias crimes”. Isso é importante, apesar das providências. Após a fase de verificação da duplicidade de denúncia, a investigação de um crime cibernético consiste, basicamente, na realização de mais quatro etapas: coleta de evidências, preservação de evidências, análise de evidências e apresentação de evidências. A Figura 1 ilustra esse processo. 27 Figura 1 – Processos de investigação de crimes cibernético Fonte: elaborada pelo autor. Observe que todas as etapas ilustradas na Figura 1 possuem, como foco principal, de seu objeto a evidência digital. Segundo o Glossário de Segurança da Informação do Gabinete institucional da Presidência da República (BRASIL, 2019): EVIDÊNCIA DIGITAL – informação ou dado, armazenado ou transmitido eletronicamente, em modo binário, que pode ser reconhecida como parte de um evento. (BRASIL, 2019, [s.p.]) Quando falamos de evento, estamos falando de qualquer ato: Ação ou omissão, que tenha permitido, ou possa vir a permitir, acesso não autorizado, interrupção ou mudança nas operações (inclusive pela tomada de controle), destruição, dano, deleção ou mudança da informação protegida, remoção ou limitação de uso da informação protegida ou ainda a apropriação, disseminação e publicação indevida de informação protegida de algum ativo de informação crítico ou de alguma atividade crítica por um período de tempo inferior ao tempo objetivo de recuperação. (BRASIL, 2019, [s.p.]) Além disso, é importante conhecer alguns conceitos constante do Glossário de Segurança da Informação do Gabinete institucional da Presidência da República relacionados aos processos apresentados na Figura 1. São eles: AQUISIÇÃO DE EVIDÊNCIA–processo de coleta e cópia das evidências de incidente de segurança em redes computacionais; null 28 CADEIA DE CUSTÓDIA – processo que acompanha o movimento de evidência através de sua coleta, salvaguarda e ciclo de análise, documentando cada indivíduo que manuseou a evidência, o momento (data/hora) em que a evidência foi coletada ou transferida, além do propósito de cada transferência; COLETA DE EVIDÊNCIAS DE SEGURANÇA EM REDES COMPUTACIONAIS– processo de obtenção de itens físicos que contém uma potencial evidência, mediante a utilização de metodologia e de ferramentas adequadas. Esse processo inclui a aquisição, ou seja, a geração das cópias das mídias, ou a coleção de dados que contenham evidências do incidente; PRESERVAÇÃO DE EVIDÊNCIA DE INCIDENTES EM REDES COMPUTACIONAIS–processo que compreende a salvaguarda das evidências e dos dispositivos, de modo a garantir que os dados ou metadados não sofram alteração, preservando-se a integridade e a confidencialidade das informações. (BRASIL, 2019, [s.p.]) Por fim, é preciso atentar, também, para algumas características necessárias para que as evidências sejam consideradas legítimas e possam ser aceitas num processo judicial. A RFC 3227 (FAQS.ORG, 2002) apresenta essas características: Admissível: deve estar em conformidade com certas regras legais antes de ser levada a um tribunal. Autêntica: deve ser possível vincular positivamente o material de prova ao incidente. Completa: deve contar toda a história e não apenas uma perspectiva particular. Confiável: não deve haver nada sobre como as evidências foram coletadas e subsequentemente tratadas que lance dúvidas sobre sua autenticidade e veracidade. null null null null null 29 Crível: deve ser facilmente crível e compreensível por um tribunal. (FAQS. ORG, 2002) 2.2 Coleta de evidências As técnicas de coleta de evidências digitais dependem muito do ambiente onde essas evidências vão ser coletadas. Apesar de estarmos sempre falando do espaço cibernético, esse espaço é composto por diversos ambientes com características próprias e bastante dinâmico. Uma técnica definida hoje para a coleta de evidências digitais em um determinado ambiente, pode estar obsoleta no dia seguinte, considerando a rápida evolução tecnológica que acontece nesses ambientes digitais. Uma coleta de evidências em um smartphone é diferente de uma coleta realizada em um computador pessoal ou em um website, por exemplo. Portanto, cada ambiente possui técnicas diferentes e que podem mudar rapidamente em virtude da evolução dessas tecnologias. A seguir, citaremos algumas técnicas utilizadas nos ambientes mais comuns do espaço cibernético. 2.2.1 Logs e trilhas de auditoria Segundo o Glossário de Segurança da Informação do Gabinete institucional da Presidência da República (BRASIL, 2019): LOGOU REGISTRO DE AUDITORIA–registro de eventos relevantes em um dispositivo ou sistema computacional; TRILHA DE AUDITORIA – registro ou conjunto de registros gravados em arquivos de log ou outro tipo de documento ou mídia, que possam indicar, de forma cronológica e inequívoca, o autor e a ação realizada em determinada operação, procedimento ou evento. (BRASIL, 2019, [s.d.]) A maioria dos softwares, sistemas operacionais ou aplicativos possuem trilhas de auditoria que precisam ser coletadas e examinadas com null null null 30 vistas a identificar tarefas executadas pelos usuários desses sistemas e comportamentos não usuais. Os logs e trilhas de auditoria são uma importante fonte de informação para as investigações de crimes cibernéticos. 2.2.2 Websites e e-mails Um website contém mídias de texto, imagem, áudio e vídeo. Além disso, existem links (ligações) para outros websites e para arquivos de diversos tipos, inclusive executáveis. Portanto, nesse ambiente é preciso considerar todos esses componentes na coleta de evidências digitais. Basicamente, é preciso coletar todo conteúdo relevante para a investigação e os dados relacionados à identificação do website como domínio e endereço de protocolo de internet (Internet Protocol – IP), por exemplo. Além disso, a fim de preservar as características de admissibilidade, autenticidade, completude, confiabilidade e criabilidade das evidências digitais, é necessário que esses procedimentos sejam realizados em cópias instantâneas completas e incrementais de volume (do inglês snapshot). Dessa forma, mantêm-se localmente todas as informações do website para coleta e análise de evidências digitais. Já o chamado correio eletrônico, popularmente conhecido como e-mail, é um arquivo digital estruturado em quatro campos de dados: endereço de e-mail do remetente; endereço(s) de e-mail(s) do(s) destinatário(s); assunto da mensagem; corpo (conteúdo) da mensagem, que pode conter além de texto, arquivos e/ou mídias como imagens, áudios e vídeos. Além disso, é preciso analisar os metadados do e-mail, que são utilizados para processar a mensagem pelos softwares e/ou aplicativos de envio e leitura de mensagens eletrônicas. Aqui é possível, identificar, por exemplo, data e hora que a mensagem foi enviada e recebida, os endereços IPs da máquina que enviou a mensagem e as máquinas que null null 31 receberam ou transmitiram a mensagem, refazendo todo o trajeto que a mensagem percorreu na internet até chegar ao seu destinatário. 2.2.3 Phishing e Malwares Phishing é um tipo de ataque cibernético em que o atacante envia uma mensagem para a vítima de forma a induzi-la ao acesso a sites maliciosos ou softwares ou aplicativos maliciosos, vírus, que se instalam no computador ou dispositivo eletrônico da vítima, com o objetivo de capturar dados e informações sigilosas que serão usadas em fraudes posteriores. Dessa forma, a mensagem eletrônica funciona como uma espécie de isca para “pescar” a vítima. Daí o termo em inglês phishing (pescaria). Assim, é necessário, ao examinar dispositivos eletrônicos (computador, notepad, smartphone etc.), identificar códigos, aplicativos ou softwares maliciosos, também conhecidos como malware. Nesse caso é necessário que o investigador acesse o website fraudulento ou execute o malware para verificar seu comportamento e coletar os resultados. Dessa forma, uma técnica bastante utilizada é a utilização de uma máquina virtual (Virtual Machine – VM) para assegurar que a máquina original não será afetada pela execução do malware. Diversas técnicas são utilizadas para análises de malwares como engenharia reversa, localização de padrões textuais (strings matching), descompilação, desmontagem do código executável, depuração de código etc. Também é possível monitorar a rede para descobrir a origem e o destino desses pacotes maliciosos. 2.3 Preservação de evidências Para que uma evidência digital possa ser admissível e confiável é necessário utilizar-se de mecanismos que assegurem que ela não foi null null null 32 alterada quando realizada sua coleta. Além disso, é preciso assegurar, também, que ela não foi alterada após a coleta e que permanece a mesma até ser apresentada como prova, considerando toda sua cadeia de custódia. Independentemente da fonte de coleta (notebooks, smartphones, discos rígidos, dispositivo de memória flash ou na própria internet) é preciso assegurar a admissibilidade e confiabilidade da prova (evidência digital). Uma técnica muito utilizada é aplicar um resumo criptográfico, conhecida como hash, assinatura ou marca d’água no arquivo coletado. Conforme tal conceito: Função de resumo criptográfico é uma transformação matemática que faz o mapeamento de uma sequência de bits de tamanho arbitrário para uma sequência de bits de tamanho fixo conhecido como resultado hash ou resumo criptográfico, de forma que seja muito difícil encontrar duas mensagens produzindo o mesmo resumo criptográfico (resistência à colisão) e que o processo inverso também não seja realizável (dado um resumo criptográfico, não é possível recuperar a mensagem que o gerou). (BRASIL, 2015, [s.p.]) Trata-se de uma função matemática que é aplicada na sequência de bits do arquivo cujo resultado será sempre único para aquela sequência de bits do arquivo específico. Portanto, caso o arquivo original seja alterado, ao aplicar a mesma função matemática na sequência de bits do novo arquivo, o resultado será diferente do obtido quando aplicada a mesma função no arquivo original. Esse mecanismo assegura que eventuais alterações ou adulterações na evidência sejam detectadas. Existem algoritmos públicos utilizados para aplicação da função hash, como o MD5 e SHA-1. A Figura 2 ilustra uma operação de hash. null null 33 Figura 2 – Modelo simplificado da aplicação de um resumo criptográfico (hash) Fonte: elaborada pelo autor. Há várias outras técnicas que podem ser utilizadas para preservar evidências digitais, mas os algoritmos de resumos criptográficos são os mais utilizados. Qualquer procedimento a ser realizado na evidência digital (arquivo) após a coleta e geração do hash, deve ser realizado em cópias idênticas as originais. 2.4 Análise de evidências O primeiro passo para analisar as evidências digitais é se organizar, realizar a classificação das informações e separar o que está realmente relacionado ao que está sendo investigado. Esse processo deve ser realizado em cópias dos arquivos originais, considerando as necessidades descritas no item anterior: preservação de evidências. As evidências devem ser reduzidas ao mínimo necessário relacionado à investigação para análise de um investigador. Por exemplo, ao se examinar um computador pessoal, os arquivos do sistema operacional, na maioria das vezes, não precisam ser analisados. Arquivos duplicados ou várias cópias do mesmo arquivo, podem ser dispensadas, selecionando-se apenas um arquivo. Outra técnica bastante utilizada é a consulta por padrões e/ou palavras-chave. Nos null null 34 casos de crimes de pornografia infantil, por exemplo, é interessante identificar os e-mails que possuem imagens ou arquivos anexados. Classificar arquivos por data de criação, nome, tamanho, tipo etc., também é uma técnica bastante eficiente. Além disso, existe a possibilidade de o investigador realizar consultas ou cruzamento de dados com outras bases de dados nacionais e até internacionais como as disponibilizadas pela Organização Internacional de Polícia Criminal (INTERPOL). Os chamados metadados também são uma fonte importante de informações sobre as evidências digitais. Portanto, sua análise deve ser considerada. Os metadados são informações inteligíveis para uma máquina, mas, também, podem ser lidas por humanos. Normalmente, apresentam informações descritivas sobre a evidência digital tais como: autor do arquivo/documento, data e local de criação, forma, dimensões, esquema de cor, versão do aplicativo/software utilizado, tamanho do arquivo, fabricante do hardware etc. A Figura 3 apresenta um exemplo de metadados retirados de um arquivo do tipo Portable Document Format (PDF). 35 Figura 3 – Exemplo de metadados retirados de um arquivo tipo PDF Fonte: elaborada pelo autor. 2.5 Apresentação de evidências Uma vez analisadas as evidências digitais, deve-se preparar a apresentação desses resultados para análise do poder judiciário. Nesta etapa é preciso analisar o caso concreto de forma a construir uma narrativa argumentativa de qualidade. O documento deve ser elaborado em linguagem direta e clara, eximindo-se de interpretações ambíguas e suposições, com foco no caso concreto. O documento de apresentação das evidências digitais, deve estar estruturado da seguinte forma: 1. Campos de identificação contendo dados como número do processo, inquérito, identificação do solicitante, identificação do null 36 elaborador, data, local, número de protocolo da instituição que analisou as evidências etc. 2. Um resumo inicial descrevendo a origem das informações coletadas, forma de coleta, as técnicas de preservação de evidência utilizadas, sumário acerca das evidências examinadas. 3. Descrição detalhada das técnicas utilizadas para análise das evidências digitais, apontando as ferramentas e tecnologias utilizadas. 4. Descrição do histórico de busca das evidências digitais, procedimentos utilizados e eventuais ausências de evidências buscadas e não localizadas. 5. Descrição da correlação entre as evidências digitais apresentadas, das hipóteses definidas, confirmadas e negadas e seus respectivos metadados. 6. Conclusão, contendo um resumo do que foi apresentado e concluindo de forma clara e objetiva por um determinado posicionamento da equipe que realizou os procedimentos e elaborou o documento. O documento, ainda deve conter referências bibliográficas utilizadas e um glossário de termos técnicos utilizados ao longo do documento. As evidências, principalmente em áudio e vídeo, podem ser apresentadas em mídia digital não alterável, mas precisam estar indexadas no documento de apresentação de evidências. Referências Bibliográficas BRASIL. Presidência da República. Portaria nº 93, de 26 de setembro de 2019. Aprova o Glossário de Segurança da Informação. Brasília: D.O.U., 2019. Disponível em: http://www.in.gov.br/en/web/dou/-/portaria-n-93-de-26-de-setembro- de-2019-219115663. Acesso em: 17 jul. 2020. http://www.in.gov.br/en/web/dou/-/portaria-n-93-de-26-de-setembro-de-2019-219115663 http://www.in.gov.br/en/web/dou/-/portaria-n-93-de-26-de-setembro-de-2019-219115663 null 37 BRASIL. Presidência da República. Casa Civil da Presidência da República. Instituto Nacional de Tecnologia da Informação. Visão Geral Sobre Assinaturas Digitais na ICP-Brasil. DOC-ICP-15. v. 3.0, 2015. Disponível em: https://antigo.iti.gov.br/images/ repositorio/legislacao/documentos-principais/15/DOC-ICP-15_-_v.3.0_VISAO_GERAL_ SOBRE_ASSIN_DIG_NA_ICP-BRASIL.pdf. Acesso em: 10 ago. 2020. FAQS.ORG. RFC 3227 – Guidelines for Evidence Collection and Archiving. The Internet Society, 2002. Disponível em: http://www.faqs.org/rfcs/rfc3227.html. Acesso em: 9 ago.2020. MANDARINO JR, Raphael. Segurança e a Defesa do Espaço Cibernético Brasileiro. Recife: Cuzbac, 2010. PINHEIRO, Patrícia P. Direito cibernético. 6. ed. São Paulo: Editora Saraiva, 2016. https://antigo.iti.gov.br/images/repositorio/legislacao/documentos-principais/15/DOC-ICP-15_-_v.3.0_VISAO_GERAL_SOBRE_ASSIN_DIG_NA_ICP-BRASIL.pdf https://antigo.iti.gov.br/images/repositorio/legislacao/documentos-principais/15/DOC-ICP-15_-_v.3.0_VISAO_GERAL_SOBRE_ASSIN_DIG_NA_ICP-BRASIL.pdf https://antigo.iti.gov.br/images/repositorio/legislacao/documentos-principais/15/DOC-ICP-15_-_v.3.0_VISAO_GERAL_SOBRE_ASSIN_DIG_NA_ICP-BRASIL.pdf http://www.faqs.org/rfcs/rfc3227.html 38 Frameworks de gestão de contratos de TIC Autoria: Anderson Souza de Araújo Leitura crítica: Diego Santos Sanchez Objetivos • Compreender os principais conceitos relacionados à gestão de contratos de TIC. • Aplicar processos de gestão de contratos de TIC. null null 39 1. Frameworks de aquisições de TIC Segundo Michaelis (2020), um framework é um conjunto de normas ou diretrizes que estabelecem algum tipo de orientação para resolução de um problema ou conjunto de problemas específicos. Existem vários frameworks que tratam da aquisição de bens ou serviços de Tecnologia da Informação e Comunicação (TIC). Alguns tratam o assunto de forma isolada e outros são parte de um framework maior relacionado à TIC. 1.1 COBIT O Control Objectives for Information and Related Technologies (COBIT) é um framework criado pela Information Systems Audit and Control Association (ISACA) que trata da governança de Tecnologia de Informação (TI) para uma organização por inteiro. Esse framework é bastante utilizado no mercado como um modelo de referência para prover o alinhamento da TI com o negócio. A primeira versão do COBIT foi lançada pela ISACA em 1996. O framework estava estruturado como um conjunto de objetivos de controle com foco em auditoria financeira relacionada a ambientes de Tecnologia da Informação. A versão 2 do COBIT foi lançada pela ISACA em 1998, tendo como principal característica a expansão do framework para além do tema de auditoria financeira. As versões 4 e 4.1 do COBIT foram lançadas, respectivamente, nos anos de 2005 e 2007, e a principal característica dessas versões é que, além das melhorias relacionadas às diretrizes de gestão, o modelo incorporou boas práticas de padrões internacionais como o ISO/IEC 38.500, que é uma norma internacional para a governança corporativa de Tecnologia da Informação. Aqui merece destaque à incorporação de práticas de gestão de riscos. Em 2012 foi lançado o COBIT 5 com a incorporação de melhores práticas internacionais, tanto da International Organization for Standardization (ISO) quanto da Information Technology Infrastructure Library (ITIL). null null null 40 O COBIT, na sua versão 2019, tem como princípios: prover valor para as partes interessadas; abordagem holística; sistema de governança dinâmico; governança distinta da gestão; ajustado às necessidades da organização; sistema de governança. O modelo está estruturado em 35 objetivos de governança e gestão, distribuídos em quatro domínios: alinhar, planejar e organizar; construir, adquirir e implementar; entrega, serviço e suporte; monitorar e avaliar (ISACA, 2019). O domínio de construir, adquirir e implementar trata, dentre outros assuntos, do tema de aquisição de TI. Esse domínio possui objetivos e diretrizes para realização de aquisições de software aplicativo, infraestrutura tecnológica e recursos de TI (ISACA, 2019). 1.2 MPS.BR Outro framework bastante utilizado no Brasil é o Melhoria de Processo do Software Brasileiro (MPS.BR). Segundo SOFTEX (2013): O Programa MPS.BR é um programa mobilizador, de longo prazo, criado em dezembro de 2003, coordenado pela Associação para Promoção da Excelência do Software Brasileiro (SOFTEX), com apoio do Ministério da Ciência, Tecnologia e Inovação (MCTI). O objetivo do programa MPS.BR é a melhoria do processo de software brasileiro. (SOFTEX, 2013, p. 4) O MPS.BR possui uma série de guias que descrevem processos e atividades a serem realizadas pela organização que está em avaliação, tais como: Guia Geral MPS de Software: contém a descrição da estrutura dos modelos MPS e detalha o Modelo de Referência MPS para Software (MR-MPS- SW), seus componentes e as definições comuns necessárias para seu entendimento e aplicação; Guia Geral MPS de Serviços: contém a descrição da estrutura dos modelos MPS e detalha o Modelo de Referência MPS para Serviços (MR-MPS- null null null 41 SV), seus componentes e as definições comuns necessárias para seu entendimento e aplicação; Guia de Avaliação: descreve o processo e o método de avaliação MA- MPS, os requisitos para avaliadores líderes, avaliadoresadjuntos e Instituições Avaliadoras (IA); Guias de Implementação: série de documentos que fornecem orientações para implementar, nas organizações, os níveis de maturidade descritos nos Modelos de Referência; Guia de Aquisição de Software: descreve um processo de aquisição de software e serviços correlatos. É descrito como forma de apoiar as instituições que queiram adquirir produtos de software e serviços correlatos. (SOFTEX, 2013, [s.p.]) Especificamente sobre o Guia de Aquisição, esse framework descreve um processo bem estruturado de aquisição, abordando temas como preparação da aquisição, seleção do fornecedor, monitoração do contrato, plano de aquisição, proposta dos fornecedores, contrato, aspectos relevantes na aquisição, problemas comuns na aquisição etc. O guia é baseado no padrão ISO/IEC 12.207:2008, que define processos de Engenharia de Software, e na série de padrões de qualidade definidos na norma ISO/IEC 25.000 (SOFTEX, 2013). 1.3 Instrução Normativa SGD/ME no 01/2019 Na Administração Pública Federal (APF) brasileira, existe um framework publicado pela Secretaria de Governo Digital do Ministério da Economia (SGD/ME) por meio da Instrução Normativa no 1, de 4 de abril de 2019 (IN SGD/ME no 1/2019). Essa Instrução Normativa: Dispõe sobre o processo de contratação de soluções de Tecnologia da Informação e Comunicação–TIC pelos órgãos e entidades integrantes do null null null null 42 Sistema de Administração do Recursos de Tecnologia da Informação– SISP do Poder Executivo Federal. (BRASIL, 2019, [s.p.]) A IN SGD/ME no 1/2019 apresenta alguns conceitos relacionados ao tema, processos e fluxos de trabalho para realização de planejamento das contratações públicas de soluções de TIC, práticas para seleção de fornecedores e um modelo detalhado de gestão e fiscalização contratual. O framework também apresenta modelos de documentos (templates) e fluxos desenhados na notação Business Process Model and Notation (BPMN). Trata-se da quarta versão desse framework, sendo a primeira lançada em 2008 pelo então Ministério do Planejamento, Orçamento e Gestão. Essa versão, tratava apenas do modelo de contratação para serviços de TI. Na versão 2010 foi incorporado o termo Solução de Tecnologia da Informação, atualmente Solução de TIC, que é o “conjunto de bens e/ou serviços que apoiam processos de negócio, mediante a conjugação de recursos, processos e técnicas utilizados para obter, processar, armazenar, disseminar e fazer uso de informações” (BRASIL, 2019, [s.p.]). Essa nova definição aumentou a abrangência, fazendo que sua aplicação não ficasse restrita somente a serviços de TI mas, também, a quaisquer bens ou serviços de TI. Foi nessa versão que foi lançado, pela primeira vez, O Guia Prático para Contratação de Soluções de TI, que contém os desenhos dos processos de planejamento da contratação, seleção de fornecedor e gestão de contratos. Também nesse guia estão disponíveis os templates para os documentos que são gerados ao longo da execução do processo. O framework foi revisado novamente em 2014 e em 2019, resultando na atual IN SGD/ ME no 1/2019. null null null null 43 2. Gestão de contratos de Tecnologia da Informação e Comunicação 2.1 Visão geral De maneira geral, os frameworks de aquisição relacionados a ativos ou serviços de TIC (Soluções de TIC) possuem três etapas: planejamento da contratação, seleção de fornecedor e gestão de contratos. A Figura 1 ilustra esse processo. Figura 1 – Etapas do processo de aquisição de Soluções de TIC Fonte: elaborada pelo autor. Na Figura 1, observa-se claramente um fluxo sequencial onde o sucesso da execução de uma etapa depende da boa execução da etapa anterior. Portanto, um bom planejamento da contratação conduzirá a organização a selecionar um bom fornecedor que, por consequência, fará com que a etapa de gestão contratual seja o mais célere possível. Logo, conclui-se que uma boa gestão contratual só ocorrerá se o planejamento da contratação for realizado da forma mais efetiva possível. Um planejamento ruim pode deixar a gestão contratual bastante complicada, ainda que se tenha realizado uma boa seleção de fornecedor, embora essa probabilidade seja remota, considerando que um mau planejamento influencia negativamente todas as etapas subsequentes do fluxo de aquisição. Uma das atividades mais importantes da etapa de planejamento da contratação é o alinhamento da contratação com a estratégia e o negócio da organização conforme preconizado em Isaca (2019, p. null null 44 17). Segundo Softex (2013, p. 9), para isso, é preciso: 1. Estabelecer a necessidade; 2. Definir os requisitos; 3. Revisar os requisitos; 4. Desenvolver uma estratégia de aquisição; 5. Definir os critérios de seleção de fornecedores. Segundo Brasil (2019): Art. 10. A fase de Planejamento da Contratação terá início com o recebimento pela Área de TIC do Documento de Oficialização da Demanda, elaborado pela Área Requisitante da solução, que conterá no mínimo: I–necessidade da contratação, considerando os objetivos estratégicos e as necessidades corporativas do órgão ou entidade, bem como o seu alinhamento ao Plano Diretor de Tecnologia da Informação e Comunicação e ao Plano Anual de Contratações; II–explicitação da motivação e dos resultados a serem alcançados com a contratação da solução de TIC; III–indicação da fonte dos recursos para a contratação; e IV–indicação do Integrante Requisitante para composição da Equipe de Planejamento da Contratação. (BRASIL, 2019, p. 5) Dessa forma, fica clara a necessidade de que a aquisição da solução de TIC esteja devidamente prevista e alinhada aos planos, estratégias, diretrizes e necessidades de negócio da organização. 2.2 Planejamento da contratação Uma vez levantadas as necessidades e definidos os objetivos da organização que a aquisição ajudará a atingir, é preciso especificar o(s) produto(s) e/ou serviço(s) que será(ão) contratado(s). Para isso, faz-se necessário, inicialmente, prospectar e estudar soluções disponíveis no mercado. Uma técnica bastante utilizada é a análise do custo total de null 45 propriedade (Total Cost of Ownership – TCO). A técnica consiste em avaliar os custos diretos e indiretos relacionados à aquisição. Por exemplo, na compra de um computador portátil, além do custo de aquisição existem custos relacionados a manutenção, garantia, energia, softwares etc. De maneira geral, recomenda-se que se analise o custo relacionado a todo o ciclo de vida da solução a ser adquirida, não somente o custo da aquisição. Conforme Brasil (2016), essa análise também é importante para verificar a viabilidade econômica da aquisição. Segundo Brasil (2019): Estudo Técnico Preliminar da Contratação: documento que descreve as análises realizadas em relação às condições da contratação em termos de necessidades, requisitos, alternativas, escolhas, resultados pretendidos e demais características, e que demonstra a viabilidade técnica e econômica da contratação. (BRASIL, 2019, p. 2) Após o levantamento das soluções disponíveis e economicamente viáveis, é necessário especificar a solução, definir seus requisitos. Segundo Brasil (2019, p. 2), “requisitos: conjunto de características e especificações necessárias para definir a solução de TIC a ser contratada”. Segundo Softex (2013, p. 14): Especificação de requisitos é um documento que define os requisitos e restrições definidas pelo cliente, incluindo requisitos dos interessados (stakeholders), do sistema (quando for o caso), do software, de projeto, de manutenção, de treinamento e de implantação, restrições legais, financeiras, de prazo e de número de usuários. (SOFTEX, 2013, p. 14) Nessa etapa, também devem ser avaliados os riscos inerentes à contração e a Solução de TIC escolhida. Além disso, devem ser definidos critérios para a etapa seguinte: seleção de fornecedor. Segundo Softex (2013), trata-se de: null 46 Estabelecer e acordar os critérios de seleçãode fornecedores, bem como a forma de avaliação a ser aplicada. Como fatores que podem influenciar na escolha do fornecedor podem ser citados: localização geográfica do fornecedor; registro de desempenho em trabalhos similares; equipe e infraestrutura disponíveis para o desenvolvimento do produto desejado; tempo de mercado; experiência no domínio do problema; nível de qualidade de seus processos utilizados; e certificações exigidas. (SOFTEX, 2013, p. 13) Outra tarefa importante dessa etapa e que tem bastante influência na etapa de gestão contratual é a definição do Acordo de Nível de Serviço (Service Level Agreement – SLA), para os casos em que a solução a ser adquirida envolver a prestação de algum tipo de serviço. Trata-se de uma descrição dos níveis de qualidade do serviço, bem como definição de responsabilidades entre as partes envolvidas na prestação e recepção do serviço. Aspectos como tempo de atendimento, disponibilidade do serviço etc. 2.3 Seleção de fornecedor Segundo Softex (2013), a etapa de seleção de fornecedor, consiste basicamente na realização de três atividades: avaliar a capacidade dos fornecedores, selecionar o fornecedor e preparar e negociar um contrato. A Figura 2 ilustra essa etapa: 47 Figura 2 – Atividades da etapa de seleção de fornecedor Fonte: elaborada pelo autor. Na avaliação da capacidade dos fornecedores, deve-se aplicar os critérios de seleção de fornecedor definidos na etapa de planejamento da contratação, considerando um conjunto de potenciais fornecedores selecionados previamente. Para selecionar um fornecedor é necessário analisar, comparativamente, as competências de cada um que passou nos critérios de seleção. Analisar, também, se o produto e/ou serviço ofertado pelo fornecedor atende plenamente aos requisitos da Solução de TIC definidos na etapa anterior. Dependendo da complexidade da solução que está sendo contratada, pode ser necessária a análise de processos utilizados pelo fornecedor, avaliação da qualidade de seus produtos ou até mesmo a realização de uma prova de conceito (Proof of Concept – PoC) com a solução ofertada. É importante que os potenciais fornecedores, apresentem propostas técnicas e de preço, que devem ser avaliadas e que servirão de base para elaboração do contrato entre as partes. Além da proposta, o contrato deve conter todos os aspectos especificados quando do planejamento da contratação além de aspectos jurídicos, cláusulas de sanções e rescisão etc. Neste momento, será de grande importância a análise de riscos realizada durante a etapa de planejamento da contratação, pois essas informações influenciaram em diversos aspectos do documento contratual, inclusive nos aspectos jurídicos. null 48 2.4 Gestão de contrato de TI Após a assinatura do contrato, se inicia, para o fornecedor selecionado, a etapa de execução contratual. Para a organização contratante, se inicia a etapa de gestão do contrato. Para os casos que envolvem aquisições de bens/produtos, essa etapa pode ser bastante simples. Entretanto, em casos que envolvem prestação de serviço, principalmente serviços continuados, a gestão contratual pode ser um tanto quanto complexa. Segundo Brasil (2019, p. 13): “A fase de Gestão do Contrato visa acompanhar e garantir a adequada prestação dos serviços e o fornecimento dos bens que compõem a solução de TIC durante todo o período de execução do contrato”. De maneira geral, a etapa de gestão contratual envolve a realização das seguintes atividades: Figura 3 – Atividades da etapa de gestão de contratos Fonte: elaborada pelo autor. A iniciação é uma atividade que envolve reuniões com o fornecedor para apresentação das partes, pessoas, tirar as dúvidas e esclarecer questões operacionais, administrativas, de gestão, prazos, substituição de pessoas, disponibilização de recursos para a contratada (infraestrutura, acesso à sistemas, redes etc.), acesso da contratada à contratante, horários, repasse de conhecimento etc. Além disso, nessas atividades podem ser realizadas, se for o caso, as assinaturas de termos de compromisso, termo de sigilo etc. null null null null 49 A tarefa de encaminhamento de demandas é muito comum quando a contratação envolve prestação de serviço e, normalmente, é realizada por maio da emissão de Ordens de Serviço (OS). As OS contêm a especificação dos serviços que devem ser executados e o volume estimado conforme métricas definidas em contrato, prazos e identificação de responsáveis. Aqui é importante atentar para os prazos definidos em contrato. Já o processo de monitoramento da execução processual é a atividade mais complexa da etapa de gestão contratual. Segundo Brasil (2019): Art. 33. O monitoramento da execução deverá observar o disposto no Modelo de Gestão do Contrato, e consiste em: I–confecção e assinatura do Termo de Recebimento Provisório, a cargo do Fiscal Técnico do Contrato, quando da entrega do objeto constante na Ordem de Serviço ou de Fornecimento de Bens; II–avaliação da qualidade dos serviços realizados ou dos bens entregues e justificativas, a partir da aplicação das listas de verificação e de acordo com os critérios de aceitação definidos em contrato, a cargo dos Fiscais Técnico e Requisitante do Contrato; III–identificação de não conformidade com os termos contratuais, a cargo dos Fiscais Técnico e Requisitante do Contrato; IV–verificação de aderência aos termos contratuais, a cargo do Fiscal Administrativo do Contrato; V–verificação da manutenção das condições classificatórias referentes à pontuação obtida e à habilitação técnica, a cargo dos Fiscais Administrativo e Técnico do Contrato; VI–encaminhamento das demandas de correção à contratada, a cargo do Gestor do Contrato ou, por delegação de competência, do Fiscal Técnico do Contrato; null 50 VII–encaminhamento de indicação de glosas e sanções por parte do Gestor do Contrato para a Área Administrativa; VIII–confecção e assinatura do Termo de Recebimento Definitivo, a cargo do Fiscal Requisitante e Fiscal Técnico do Contrato, com base nas informações produzidas nos incisos I a VII deste artigo; IX–autorização para o faturamento, a cargo do Gestor do Contrato com base nas informações produzidas no inciso VIII deste artigo, a ser encaminhada ao preposto da contratada; X–verificação das regularidades fiscais, trabalhistas e previdenciárias para fins de pagamento, a cargo do Fiscal Administrativo do Contrato; XI–verificação da manutenção da necessidade, economicidade e oportunidade da contratação, a cargo do Fiscal Requisitante do Contrato, com apoio dos Fiscais Técnico e Administrativo do Contrato; XII–verificação de manutenção das condições definidas nos Modelos de Execução e de Gestão do Contrato, a cargo dos Fiscais Técnico e Requisitante do Contrato; XIII–encaminhamento à Área Administrativa de eventuais pedidos de modificação contratual, a cargo do Gestor do Contrato; e XIV–manutenção do Histórico de Gestão do Contrato, contendo registros formais de todas as ocorrências positivas e negativas da execução do contrato, por ordem histórica, a cargo do Gestor do Contrato, com apoio dos Fiscais Requisitante, Técnico e Administrativo. (BRASIL, 2019, p. 14) A Figura 4, a seguir, ilustra o fluxo de trabalho do processo de monitoramento da execução do contrato. 51 Figura 4 – Atividades do processo de monitoramento do contrato Fonte: elaborada pelo autor. Uma vez entregue os bens/produtos da Solução de TIC ou executado o serviço, é preciso formalizar o recebimento provisório dos bens ou serviços constantes da OS emitida para posterior avaliação da qualidade. Na avaliação da qualidade é preciso que os técnicos da contratante verifiquem se o que foi entregue, possui as características especificadas no contrato. Uma técnica bastante utilizada aqui é a aplicação de checklists e planos de teste que podem ser elaborados previamente quando da etapa de planeamento da contratação. Caso sejam identificadas pendências ounão conformidade, estas devem ser encaminhadas para a contratada para correção e eventuais aplicações de sanções podem ser necessárias. A próxima atividade é a verificação da aderência aos termos contratuais. Aqui o gestor do contrato deve verificar questões como prazos, a forma de execução do serviço, respeito às cláusulas contratuais, termos assinados, conduta das pessoas envolvidas na execução do serviço ou entregas dos bens. Caso existam pendências ou não conformidades, estas devem ser encaminhadas à contratada para correção e eventuais aplicações de sanções podem ser necessárias. A qualquer momento, nas atividades de avaliação da qualidade e verificação de aderência ao contrato, podem ser identificadas necessidades de alteração contratual, seja por questões técnicas ou força maior identificadas quando da execução do serviço ou entrega dos bens. Por exemplo, pode haver restrição orçamentária que impacte em redução do escopo do contrato; podem ser identificadas outras 52 necessidades não previstas no contrato original que precisam ser supridas no contrato atual, o que também impactaria em alteração do escopo do contrato. Essas possibilidades são reais e não são incomuns, considerando que, quanto mais se avança no processo de execução contratual, mais se conhece sobre a solução que está sendo contratada, fazendo com que a visão que se tinha inicialmente sobre a solução, seja alterada. Por isso, é importante, neste caso, a utilização de metodologias ágeis, e que esses eventos estejam previstos na análise de riscos da contratação, com as respectivas contramedidas previamente definidas. Por fim, procede-se o pagamento à contratada. Entretanto, nos casos em que a contratante for um órgão público, esse processo é um pouco mais complexo, conforme pode ser observado nos incisos IX e X do art. 33 da IN SGD/ME no 1/2019. Em relação à atividade de encerramento do contrato, segundo Brasil (2019), essa atividade deve observar, dentre outros aspectos: I–a manutenção dos recursos materiais e humanos necessários à continuidade do negócio por parte da Administração; II–a entrega de versões finais dos produtos e da documentação; III–a transferência final de conhecimentos sobre a execução e a manutenção da solução de TIC; IV–a devolução de recursos; V–a revogação de perfis de acesso; VI–a eliminação de caixas postais. (BRASIL. 2019, p. 15) null null null 53 Referências Bibliográficas ASSOCIAÇÃO PARA PROMOÇÃO DA EXCELÊNCIA DO SOFTWARE BRASILEIRO – SOFTEX. MPS.BR – Guia de Aquisição. 2013. Disponível em: www.softex.br. Acesso em: 21 ago. 2020. BRASIL. Ministério da Economia. Secretaria de Governo Digital. Instrução Normativa nº 1, de 4 de abril de 2019. Brasília: D.O.U., 2019. Disponível em: https://www.in.gov.br/materia/-/asset_publisher/Kujrw0TZC2Mb/ content/id/70267659/do1-2019-04-05-instrucao-normativa-n-1-de-4-de-abril- de-2019-70267535. Acesso em: 22 ago. 2020. BRASIL. Ministério do Planejamento, Desenvolvimento e Gestão; Secretária de Tecnologia da Informação e Comunicação. Guia de Boas Práticas em Contratação de Soluções de Tecnologia da Informação V3.0–2016. Disponível em: http://www. mdic.gov.br/images/REPOSITORIO/SEMPE/DREI/ DOCUMENTOS/Guia-de-Boas- Prticas-em-Contratao-de-Solues-de-Tecnologia-da-Informao.pdf. Acesso em: 23 ago. 2020 INFORMATION SYSTEMS AUDIT AND CONTROL ASSOCIATION. COBIT 2019 Framework: Introduction and Methodology. ISACA, 2019. MICHAELIS, 2016. Moderno Dicionário da Língua Portuguesa. São Paulo: Melhoramentos. Disponível em: http://michaelis.uol.com.br. Acesso em: 21 ago. 2020. http://www.softex.br https://www.in.gov.br/materia/-/asset_publisher/Kujrw0TZC2Mb/content/id/70267659/do1-2019-04-05-inst https://www.in.gov.br/materia/-/asset_publisher/Kujrw0TZC2Mb/content/id/70267659/do1-2019-04-05-inst https://www.in.gov.br/materia/-/asset_publisher/Kujrw0TZC2Mb/content/id/70267659/do1-2019-04-05-inst http://www.mdic.gov.br/images/REPOSITORIO/SEMPE/DREI/ DOCUMENTOS/Guia-de-Boas-Prticas-em-Contratao-d http://www.mdic.gov.br/images/REPOSITORIO/SEMPE/DREI/ DOCUMENTOS/Guia-de-Boas-Prticas-em-Contratao-d http://www.mdic.gov.br/images/REPOSITORIO/SEMPE/DREI/ DOCUMENTOS/Guia-de-Boas-Prticas-em-Contratao-d http://michaelis.uol.com.br 54 Acordo de nível de serviço Autoria: Anderson Souza de Araújo Leitura crítica: Diego Santos Sanchez Objetivos • Elaborar acordos de níveis de serviço. • Entender o ciclo e vida do Service Level Agreement (SLA). null null 55 1. Acordo de nível de serviço Segundo ABNT (2011, p. 13), Acordo de Nível de Serviço (ANS) ou, do inglês, Service Level Agreement (SLA) é um “acordo documentado entre o provedor de serviço e cliente que identifica serviços e metas de serviço”. Ou seja, trata-se de um documento que descreve indicadores, metas e objetivos da prestação do serviço. Nesse documento, podem estar presentes indicadores e métricas referentes ao desempenho do serviço contratado, tempo de atendimento, segurança, disponibilidade, privacidade etc. Esses critérios serão utilizados para mensurar a qualidade do serviço que está sendo executado pelo provedor do serviço (fornecedor, contratada), e também pode servir de referência para eventuais aplicação de sanções à contratado, por descumprimento do ANS e prestação de uma serviço de baixa qualidade, que não atende as necessidades do contratante. 1.1 Ciclo de vida do SLA Segundo Rojas (2016), o SLA possui um ciclo de vida de, basicamente quatro fases: definir e especificar o SLA, negociar a implantar o SLA, executar e gerenciar o SLA e finalizar e bilhetar o SLA. O autor descreve: Fase 1–Definir e especificar o SLA: Nesta fase é realizada a especificação dos requisitos que contemplam o SLA, identificando as necessidades do consumidor e as características do modelo de serviço adotado e suportado pelo provedor, bem como aspectos legais; Fase 2–Negociar e implantar o SLA: Nesta fase, são negociadas, entre o provedor de serviço e o consumidor, as condições financeiras e os níveis aceitáveis de atendimento das necessidades do consumidor. Além disso, são definidas sanções para ambas as partes em caso de não atendimento de alguma cláusula definida., bem como a periodicidade e o conteúdo dos relatórios a serem entregues pelo provedor de serviço. null null 56 Fase 3–Executar e gerenciar o SLA: Nesta fase, é efetuada a operacionalização do serviço que está ativo e sendo executado, atendendo os requisitos especificados no SLA. Simultaneamente a execução são realizados: a monitoração em tempo real da instância em execução, o gerenciamento dos requisitos a serem atendidos, a emissão de relatórios de controle, a aplicação de política de uso, ações corretivas a serem tomadas, ações reativas a serem adotadas e o controle de violações; Fase 4–Finalizar e bilhetar o SLA: Nesta fase, é tratado o encerramento dos serviços em função do fim do contrato ou violação do mesmo. A desativação da instância é realizada, além da liberação dos recursos alocados e da revogação dos acessos ao consumidor. Também são tratados assunto relacionados a bilhetagem dos recursos consumidos e emissão de faturas de cobranças. Em caso de penalidade em função do não atendimento de algum requisito por parte do provedor, o mesmo pode ser revertido como desconto para o consumidor ou ser oferecido outro mecanismo de compensação. (ROJAS, 2016, p. 39) A Figura 1 ilustra esse processo: Figura 1 – Fases do ciclo de vida do SLA Fonte: adaptada de Rojas (2016, p. 39). Observe que durante a execução da fase de finalização e bilhetagem, pode ser necessário “requisitar novos recursos”, ou seja, alterar a especificação do SLA devido o surgimento de novas necessidades durante a execução do serviço, o que pode impactar na alteração do preço do serviço. É possível, ainda, que seja necessário renegociar o null null 57 SLA, evento esse também provocado pela alteração das necessidades iniciais da contratante. Essa renegociação provavelmente irá impactar o
Compartilhar