Baixe o app para aproveitar ainda mais
Prévia do material em texto
WBA0053_v2.0 LEGISLAÇÃO DE TI E GESTÃO DE CONTRATOS APRENDIZAGEM EM FOCO 2 APRESENTAÇÃO DA DISCIPLINA Autoria: Anderson Souza de Araújo Leitura crítica: Diego Santos Sanchez A disciplina de Legislação de TI e gestão de contratos apresenta aspectos relacionados aos crimes cibernéticos e legislação correlata no Brasil, bem como discute técnicas de investigação de crimes cibernéticos e aborda questões relacionadas a proteção de dados pessoais. Além disso, a disciplina apresenta tópicos relacionados à gestão contratual de soluções de tecnologia da informação e comunicação com a introdução a alguns frameworks de gestão de contratos utilizados pelo mercado. Por fim, a disciplina apresenta aspectos relacionados ao tema acordo de nível de serviço ou Service Level Agreement (SLA). O conteúdo possui referências a normas e padrões nacionais e internacionais, bem como leis, instruções normativas e literatura de mercado de forma a proporcionar ao aluno uma abordagem o mais abrangente possível e capacitá-lo para que possa se aprofundar nos aspectos que mais lhe pareçam relevantes. O objetivo é que o aluno entenda os conceitos relacionados ao tema crime cibernético e gestão de contratos de TIC, possa analisar a relação do direito penal e outros dispositivos legais brasileiros com os crimes cibernéticos e a segurança no espaço cibernético e também conheça técnicas de investigação de crimes cibernéticos. A disciplina também tem como objetivo que o aluno compreenda os principais conceitos relacionados à gestão de contratos de TIC e seja capaz de elaborar acordos de níveis de serviço. 3 INTRODUÇÃO Olá, aluno (a)! A Aprendizagem em Foco visa destacar, de maneira direta e assertiva, os principais conceitos inerentes à temática abordada na disciplina. Além disso, também pretende provocar reflexões que estimulem a aplicação da teoria na prática profissional. Vem conosco! TEMA 1 O crime cibernético e a legislação brasileira ______________________________________________________________ Autoria: Anderson Souza de Araújo Leitura crítica: Diego Santos Sanchez 5 DIRETO AO PONTO Um crime digital ou crime cibernético é: Ato criminoso ou abusivo contra redes ou sistemas de informações, seja pelo uso de um ou mais computadores utilizados como ferramentas para cometer o delito ou tendo como objetivo uma rede ou sistema de informações a fim de causar incidente, desastre cibernético ou obter lucro financeiro. BRASIL (2019) Trata-se de crimes cometidos no âmbito do “espaço cibernético”, composto pela internet e dispositivos eletrônicos que, de alguma forma, conectam pessoas ou trafegam informação. Também conhecido como “mundo digital”. Espaço cibernético - espaço virtual composto por um conjunto de canais de comunicação da internet e outras redes de comunicação que garantem a interconexão de dispositivos de TIC e que engloba todas as formas de atividades digitais em rede, incluindo o armazenamento, processamento e compartilhamento de conteúdo além de todas as ações, humanas ou automatizadas, conduzidas através desse ambiente. BRASIL (2019) Nesse sentido, diversos dispositivos legais brasileiros versam sobre questões relacionadas ao crime digital ou crime cibernético. Dentre eles, os principais que merecem destaque são: • Código Penal Brasileiro. • Código Penal Militar. • Estatuto da Criança e do Adolescente. • Marco Civil da Internet. • Política Nacional de Segurança da Informação. 6 • Lei Geral de Proteção da Dados Brasileira. • Leis que modificaram alguns desses dispositivos legais para incluir os crimes cibernéticos no seu conteúdo. A Figura 1 ilustra essa linha do tempo, relacionando esses dispositivos legais com seus respectivos dispositivos modificadores. Figura 1 - Linha do tempo relacionando os principais dispositivos legais relacionados ao crime cibernético e seus respectivos dispositivos modificadores Fonte: elaborada pelo autor. Os dispositivos legais modificadores foram utilizados pelo legislador para adequar dispositivos legais já existentes, inserindo no seu bojo o tema crime cibernético, uma vez que em seu texto original, devido à época em que foram elaborados, não contemplavam de maneira explícita esse tipo de crime, até porque, alguns nem poderiam ser praticados à época, pois não existia tecnologia que permitisse a prática de tais delitos. O principal produto utilizado para a prática do crime cibernético é a informação. Essa informação pode ser usada para que o 7 criminoso cibernético se passe pela identidade de outra pessoa para cometer fraudes bancárias, estelionato, por exemplo. Também pode ser usada a informação para prejudicar uma pessoa, atingindo sua honra, imagem, divulgando notícias falsas ou mesmo promovendo o sequestro de dados de forma a impedir o acesso a informações, discos rígidos, bancos de dados de pessoas que deveriam ter acesso legítimo a essas informações. O criminoso cobra uma quantia para liberar novamente ao acesso a essas informações. Ou seja, são crimes contra a imagem, a honra e a intimidade das pessoas, pornografia infantil, pedofilia, racismo, fraudes bancárias, cyberbullying etc. Referências bibliográficas MANDARINO JR., R. Segurança e defesa do espaço cibernético brasileiro. Recife: Cuzbac, 2010. PINHEIRO, P. P. Direito Digital. 6. ed. São Paulo: Saraiva, 2016. PARA SABER MAIS A Convenção de Budapeste, conhecida por esse nome por ter sido realizada na cidade de Budapeste em 2001, capital da Hungria, é uma convenção sobre crime cibernético que versa sobre direito penal e direito processual penal relacionados a crimes cometido no âmbito do espaço cibernético. O objetivo do documento é produzir um entendimento harmônico sobre conceitos e a forma de execução processual penal de tais crimes. O tratado foi produzido pelo Conselho da Europa, que é uma organização internacional relacionada à defesa dos direitos humanos, a promoção da democracia e estabilidade política e social do continente europeu. 8 O documento trata, dentre outras questões, considerações sobre terminologias, direito penal material, abordando questões como infrações contra a confidencialidade, integridade e disponibilidade de sistemas de informação e dados digitais, acesso e interceptações de dados ilegítimas, interferência de dados e sistemas e uso abusivo de dispositivos eletrônicos. Também são tratadas infrações relacionadas ao conteúdo como questões relacionadas à pornografia infantil, responsabilidade, sanções e cumplicidade. Além disso, o documento trata sobre questões de direito processual no âmbito das disposições processuais, condições e salvaguardas. Além de países-membro do Conselho da Europa, a Convenção de Budapeste também foi assinada, posteriormente, por países como: Estados Unidos da América, Japão, Austrália, Canadá, Israel, dentre outros. Em 11 de dezembro de 2019 o Ministério das Relações Exteriores do Brasil publicou nota informando que iniciou processo para que o Brasil passe a ser signatário da convenção de Budapeste também: O Comitê de Ministros do Conselho da Europa convidou o Brasil a aderir à Convenção sobre Crimes Cibernéticos, também conhecida como Convenção de Budapeste, celebrada em 2001. O processo foi iniciado em julho último, quando o Governo brasileiro manifestou sua intenção de aderir ao instrumento internacional. O ingresso nesse acordo de cooperação proporcionará às autoridades brasileiras acesso mais ágil a provas eletrônicas sob jurisdição estrangeira, além de mais efetiva cooperação jurídica internacional voltada à persecução penal dos crimes cibernéticos. 9 Referências bibliográficas BRASIL. Ministério das Relações Exteriores. Processo de adesão à Convenção de Budapeste. Disponível em: http://www.itamaraty.gov. br/pt-BR/notas-a-imprensa/21146-processo-de-adesao-a-convencao- de-budapeste-nota-conjunta-do-ministerio-das-relacoes-exteriores-e- do-ministerio-da-justica-e-seguranca-publica. Acesso em: 1 ago. 2020.PINHEIRO, P. P. Direito Digital. 6. ed. São Paulo: Saraiva, 2016. TEORIA EM PRÁTICA Atualmente é muito comum recebermos informações digitais em aplicativos e redes sociais como: mensagens de texto, arquivos, imagens, áudios e/ou vídeos. Na maior parte das vezes esse material digital é repassado entre os usuários dos aplicativos ou da rede social sem que, em algumas vezes, esse usuário faça a checagem do que ele esteja compartilhando com sua rede de contatos. Entretanto, você recebeu uma dessas mensagens e identificou que continha conteúdo pornográfico de um famoso artista menor de idade. Como um cidadão consciente, você, obviamente, não repassou a mensagem. Nessa situação, é possível afirmar que a sua conduta está totalmente adequada com as leis vigentes no país? Se sim, qual dispositivo legal você se baseou para adotar essa conduta? Se não, qual dispositivo legal você se baseou para concluir que sua conduta não está totalmente adequada com as leis vigentes no país? Para conhecer a resolução comentada proposta pelo professor, acesse a videoaula deste Teoria em Prática no ambiente de aprendizagem. http://www.itamaraty.gov.br/pt-BR/notas-a-imprensa/21146-processo-de-adesao-a-convencao-de-budapeste http://www.itamaraty.gov.br/pt-BR/notas-a-imprensa/21146-processo-de-adesao-a-convencao-de-budapeste http://www.itamaraty.gov.br/pt-BR/notas-a-imprensa/21146-processo-de-adesao-a-convencao-de-budapeste http://www.itamaraty.gov.br/pt-BR/notas-a-imprensa/21146-processo-de-adesao-a-convencao-de-budapeste 10 Lorem ipsum dolor sit amet Autoria: Nome do autor da disciplina Leitura crítica: Nome do autor da disciplina LEITURA FUNDAMENTAL Indicação 1 Este trabalho de conclusão de curso busca demonstrar a prática cada vez mais freqüente dos crimes cibernéticos no Brasil e a necessidade de uma legislação penal para a proteção dos bens jurídicos que possam ser ofendidos por meio da Internet. Além disso, busca analisar os aspectos que dificultam a identificação de autoria, fator importante para o aumento da criminalidade no meio cibernético. Para realizar a leitura, acesse a plataforma Biblioteca Virtual da Kroton e busque pelo título da obra. LIMA, Samuel Brandão Barros. Crime cibernético e sua prática cada vez mais frequente no Brasil. Monografia apresentada à Faculdade de Direito da Universidade federal de Juiz de Fora como requisitos parcial para obtenção do grau de Bacharel em Direito. Universidade Federal de Juiz de Fora, Faculdade de Direito. Juiz de Fora: 2011. Indicação 2 Este trabalho será direcionado às indagações e respostas possíveis sobre o que é cibernética, o que é crime cibernético, quais crimes são passíveis de ser cometidos com emprego da alta tecnologia da informação, o que se pode fazer diante da transnacionalidade do delito, o que deveria estar previsto na legislação nacional e internacional para a efetividade na repressão ao delito cibernético. Ademais, aborda a necessidade do constante estudo das evoluções e novidades tecnológicas e sociais para se possibilitar prevenir, Indicações de leitura 11 investigar e coligir provas de materialidade e indícios de autoria sobre tais delitos. Para realizar a leitura, acesse a plataforma Biblioteca Virtual da Kroton e busque pelo título da obra. SERQUEIRA, Sílvio Castro.; ROCHA, Claudionor. Crimes cibernéticos: desafios da investigação. Cadernos ASLEGIS maio/agosto, p. 131-161, 2013. QUIZ Prezado aluno, as questões do Quiz têm como propósito a verificação de leitura dos itens Direto ao Ponto, Para Saber Mais, Teoria em Prática e Leitura Fundamental, presentes neste Aprendizagem em Foco. Para as avaliações virtuais e presenciais, as questões serão elaboradas a partir de todos os itens do Aprendizagem em Foco e dos slides usados para a gravação das videoaulas, além de questões de interpretação com embasamento no cabeçalho da questão. 1. São crimes cibernéticos que atentam contra o inciso X do caput do art. 5o da Constituição da República Federativa do Brasil de 1988: a. Pornografia infantil, pedofilia, fraude bancária e racismo. b. Pedofilia, sequestro de dados, cyberbullying e fraude bancária. c. Racismo, fraude bancária, pornografia infantil e cyberbullying. d. Cyberbullying, pornografia infantil, racismo e pedofilia. null 12 e. Fraude bancária, cyberbullying, racismo e sequestro de dados. 2. Qual foi o principal objetivo da Convenção de Budapeste? a. Definir conceitos como crime cibernético, espaço cibernético, terrorismo cibernético etc. b. Harmonizar o entendimento entre os países signatários sobre conceitos e a forma de execução processual penal de crimes cibernéticos. c. Adequar dispositivos legais brasileiros incluindo o tema de crime cibernético. d. Definir penas para crimes cibernéticos no âmbito da União Europeia. e. Obter a adesão e assinatura do maior número possível de países. GABARITO Questão 1 - Resposta D Resolução: Pornografia infantil, pedofilia, racismo e cyberbullying são crimes cibernéticos que atentam contra a intimidade, a vida privada, a honra e a imagem das pessoas, conforme previsto no inciso X do caput do art. 5o da Constituição da República Federativa do Brasil de 1988. Já a fraude bancária visa apenas o prejuízo financeiro da vítima. Questão 2 - Resposta B Resolução: O próprio preâmbulo do documento assinado na Convenção de Budapeste afirma a “necessidade de prosseguir com uma política criminal comum, com o objetivo de proteger a sociedade contra a criminalidade no ciberespaço”. null TEMA 2 Tipos de crimes cibernéticos e suas formas de investigação ______________________________________________________________ Autoria: Anderson Souza de Araújo Leitura crítica: Diego Santos Sanchez 14 DIRETO AO PONTO A Lei n. 11.829, de 25 de novembro de 2008, alterou o Estatuto da Criança e do Adolescente (ECA) de forma a incluir no rol de crimes previstos no art. 240 (crimes de divulgação e publicação de imagens pornográficas de crianças e adolescentes) os atos de “armazenar, disponibilizar, expor à venda ou transmitir conteúdo pornográfico de crianças e adolescentes”. Cometem o mesmo crime as empresas ou pessoas físicas que disponibilizarem os meios necessários para armazenar esse tipo de conteúdo e que também permitam que este seja acessado por outros usuários. Mas para isso acontecer é preciso que essas empresas ou pessoas físicas sejam notificadas. A Lei n. 11.829/2008 também criminalizou no ECA os atos de compra, posse ou guarda de conteúdo pornográfico envolvendo criança ou adolescente, independentemente do meio ou local de armazenamento desse conteúdo. O mesmo entendimento vale para quem adultera ou monta conteúdo pornográfico envolvendo criança ou adolescente. Da mesma forma quem convida ou incita criança para práticas de sexo ou atos libidinosos ou ainda quem incentiva ou facilita o acesso da criança a conteúdo pornográfico, independentemente do meio utilizado para isso (chats, salas de bato- papo, redes sociais etc.), comete crime da mesma natureza. Outro tipo de crime bastante disseminado nas redes sociais é o cyberbullying. Trata-se de atitudes que visam denegrir pessoas, seja com violência física ou psicológica, intimidações, humilhações ou ameaças intencionais e repetitivas, podendo evoluir para outros crimes como o racismo, por exemplo. São praticados via mensagens, imagens, comentários em redes sociais, compartilhamento de 15 conteúdo degradante para a vítima etc. São considerados delitos contra a honra e/ou crime de ameaça. Uma boa prática utilizada na investigação de crime de cyberbullying é tentar identificar endereços de Protocolo de Internet (endereço IP - Internet Protocol) da origem das postagens criminosas e gravar as páginas que contém o conteúdo ofensivo. Após esse procedimento, deve-se providenciar a notificação ao provedor para retirada do conteúdo ofensivo identificado. De maneira geral, as investigações de crimes cibernético iniciam-se após o recebimentoda denúncia, também conhecida como “notícia crime”. A Figura 1 ilustra as etapas de uma investigação de crime cibernético. Figura 1 - Processos de investigação de crimes cibernéticos Fonte: elaborada pelo autor. As técnicas de coleta de evidências digitais dependem muito do ambiente onde essas evidências vão ser coletadas. Uma informação bastante relevante são as trilhas de auditoria armazenadas pelos softwares, aplicativos, sites ou sistemas. Nelas será possível identificar tarefas executadas pelos usuários desses sistemas e comportamentos não usuais. Uma técnica muito utilizada para preservação de evidências digitais é a aplicação de um “resumo criptográfico”, também conhecido como hash, no arquivo coletado. Trata-se de uma função matemática que é aplicada na sequência de bits do arquivo cujo resultado será sempre 16 único para aquela sequência de bits do arquivo específico. Portanto, caso o arquivo original seja alterado, ao aplicar o hash na sequência de bits do novo arquivo, o resultado será diferente do arquivo original. Existem algoritmos públicos utilizados para aplicação da função hash, como o MD5 e SHA-1. Já em relação à fase de análise de evidências digitais, o primeiro passo é se organizar, realizar a classificação das informações e separar o que está realmente relacionado ao que está sendo investigado. Esse processo deve ser realizado em cópias dos arquivos originais, considerando as necessidades de preservação das evidências. As técnicas de análise variam muito de acordo com o dispositivo ou ambiente onde as evidências foram coletadas: computador pessoal, smartphone, website, e-mail etc. Outra fonte importante de informação são os chamados metadados, que normalmente apresentam informações descritivas sobre a evidência digital, tais como: autor do arquivo/documento, data e local de criação, forma, dimensões, esquema de cor, versão do aplicativo/ software utilizado, tamanho do arquivo, fabricante do hardware etc. Por fim, na fase de apresentação de evidências é preciso analisar o caso concreto de forma a construir uma narrativa argumentativa de qualidade. O documento de apresentação das evidências deve ser elaborado em linguagem direta e clara, eximindo-se de interpretações ambíguas e suposições, com foco no caso concreto. Referências bibliográficas BRASIL. Presidência da República. Gabinete de Segurança Institucional. Portaria nº 93, de 26 de setembro de 2019. Disponível em: https://www.in.gov.br/en/web/dou/-/portaria-n-93-de-26-de- setembro-de-2019-219115663. Acesso em: 17 jul. 2020. https://www.in.gov.br/en/web/dou/-/portaria-n-93-de-26-de-setembro-de-2019-219115663 https://www.in.gov.br/en/web/dou/-/portaria-n-93-de-26-de-setembro-de-2019-219115663 17 BRASIL. Presidência da República. Instituto Nacional de Tecnologia da Informação. Visão Geral Sobre Assinaturas Digitais na ICP-Brasil v 3.0, 2015. Disponível em: https://antigo.iti.gov.br/legislacao/61- legislacao/504-documentos -principais. Acesso em: 10 ago. 2020. PARA SABER MAIS Os processos envolvidos na realização de uma perícia criminal cibernética pertencem a uma disciplina chamada forense digital ou informática forense. Segundo o Procedimento Operacional Padrão (POP) de Perícia Criminal publicado pelo Ministério da Justiça (MJ) em 2013, o exame pericial em mídias de armazenamento computacional consiste na realização das seguintes etapas: Ações Preliminares, Duplicação de Dados, Processamento dos Dados e Análise dos Dados. A Figura 2 ilustra esse processo. Figura 2 - Etapas do processo de exame pericial em mídias de armazenamento computacional segundo o POP de Perícia Criminal do MJ (Brasil, 2013) Fonte: elaborada pelo autor. Na etapa de Ações preliminares o objetivo é verificar “a viabilidade de realização do exame e organizar o material recebido”. A etapa de Duplicação visa “duplicar os dados contidos na mídia original para uma mídia de trabalho”, assegurando assim a preservação das evidências digitais. Já a etapa de Processamento dos dados visa: https://antigo.iti.gov.br/legislacao/61-legislacao/504-documentos -principais https://antigo.iti.gov.br/legislacao/61-legislacao/504-documentos -principais 18 à preparação dos dados para a análise e pode ser feita por meio de ferramentas livres ou proprietárias”. Inclui, a depender do interesse pericial, os seguintes procedimentos, entre outros: recuperação de arquivos apagados, incluindo data carving; expansão de arquivos compostos (.zip,.pst); checagem de assinatura de arquivos; cálculo de hashes; indexação de dados. (Brasil, 2013) A etapa de análise dos dados consiste na realização de duas atividades: Extração Direta de Arquivos e Elucidação Técnico-Pericial. Na Extração Direta de Arquivos o objetivo é “extrair e converter para um formato facilmente legível o maior número possível de arquivos que possam ser de interesse para a investigação”. Já a Elucidação Técnico-Pericial é uma análise realizada para confirmar ou negar hipóteses relacionadas à investigação, quando se pretende o esclarecimento de alguma questão. Com base nesta análise o perito poderá elaborar suas conclusões sobre o resultado da investigação pericial (Brasil, 2013). Referências bibliográficas BRASIL. Ministério da Justiça. Procedimento Operacional Padrão de Perícia Criminal. Brasília, 2013. Disponível em: https://www.justica. gov.br/sua-seguranca/seguranca-publica/senasp-1/pops-de-per_cia- vers_o-para-internet.pdf/view. Acesso em: 15 ago. 2020. TEORIA EM PRÁTICA A coleta e análise de evidências digitais são etapas extremamente importantes em um processo de investigação de um crime cibernético. Entretanto, as evidências digitais coletadas e analisadas podem não ser aceitas em um tribunal se não for assegurada a correta cadeia de custódia das evidências. Assim sendo, ao examinar https://www.justica.gov.br/sua-seguranca/seguranca-publica/senasp-1/pops-de-per_cia-vers_o-para-inte https://www.justica.gov.br/sua-seguranca/seguranca-publica/senasp-1/pops-de-per_cia-vers_o-para-inte https://www.justica.gov.br/sua-seguranca/seguranca-publica/senasp-1/pops-de-per_cia-vers_o-para-inte 19 um computador pessoal de uma possível cibercriminoso, cite três procedimentos que você realizaria com vistas a assegurar a correta cadeia de custódia de forma a não comprometer a evidência digital, mantendo suas propriedades de admissibilidade, autenticidade, completude, confiabilidade e criabilidade. Para conhecer a resolução comentada proposta pelo professor, acesse a videoaula deste Teoria em Prática no ambiente de aprendizagem. LEITURA FUNDAMENTAL Indicação 1 No confronto entre o Direito e a Comunicação Social optámos por analisar um tema premente nos dias de hoje. Cada vez mais as pessoas optam por fazer online aquilo que não conseguem fazer offline. Este novo mundo, onde todos podem gozar de anonimato, pode oferecer uma ilusão de poder e facilitar o ataque ao outro, potenciando desse modo a prática dos crimes por nós analisados. Este trabalho apresenta uma análise de alguns do perigos e riscos, em especial a ofensa à dignidade pessoal do sujeito através da Internet. Recomenda-se a leitura do capítulo 1. Para realizar a leitura, acesse a plataforma Biblioteca Virtual da Kroton e busque pelo título da obra. RAMOS, Carolina Castro. Crimes contra a honra na Internet. Dissertação apresentada para cumprimento dos requisitos necessários à obtenção do grau de Mestre em Comunicação, Media Indicações de leitura 20 e Justiça. Universidade Nova Lisboa, Faculdade de Ciências Sociais e Humanas. Lisboa: 2014. Indicação 2 Trata-se de pesquisa desenvolvida no campo dos direitos fundamentais do cidadão, em particular, no que concerne à proteção de dados pessoais. O artigo, apresentado em conferência realizada no dia 9 de maio da 2017 na Universidade Lusófona, em Lisboa apresenta os novos desafios sobre a Proteção de Dados por parte de governos e organizações públicas, privadas e do próprio cidadão titular dosdados. BATALHA, José Martinez. Novos desafios sobre a proteção de dados. Universidade Lusófona. Lisboa: 2017. QUIZ Prezado aluno, as questões do Quiz têm como propósito a verificação de leitura dos itens Direto ao Ponto, Para Saber Mais, Teoria em Prática e Leitura Fundamental, presentes neste Aprendizagem em Foco. Para as avaliações virtuais e presenciais, as questões serão elaboradas a partir de todos os itens do Aprendizagem em Foco e dos slides usados para a gravação das videoaulas, além de questões de interpretação com embasamento no cabeçalho da questão. 21 1. Sobre as atualizações no Estatuto da Criança e do Adolescente (ECA) promovidas pela Lei n. 11.829, de 25 de novembro de 2008, é correto afirmar que: a. A Lei n. 11.829, de 25 de novembro de 2008, incluiu no ECA os crimes de divulgação e publicação de imagens pornográficas de crianças e adolescentes. b. Cometem crime as empresas ou pessoas físicas que disponibilizarem os meios necessários para armazenar esse tipo de conteúdo e que também permitam que este seja acessado por outros usuários. c. Os atos de compra, posse ou guarda de conteúdo pornográfico envolvendo criança ou adolescente dependem do meio ou local de armazenamento desse conteúdo para poderem ser considerados crime. d. Apenas incentivar o acesso da criança a conteúdo pornográfico, via rede social, não é considero crime. e. Comete crime qualquer pessoa que convida ou incita uma criança para práticas de atos libidinosos. 2. Assinale a única alternativa que apresenta uma técnica de preservação de evidências digitais. a. Extração direta de arquivos. b. Documento de apresentação das evidências. c. Hash ou resumo criptográfico. d. Análise de metadados. e. Trilhas de auditoria. null null 22 GABARITO Questão 1 - Resposta E Resolução: Os crimes de divulgação e publicação de imagens pornográficas de crianças e adolescentes já estavam previstos na ECA, mesmo antes das alterações promovidas pela Lei n. 11.829, de 25 de novembro de 2008. Cometem crime as empresas ou pessoas físicas que disponibilizarem os meios necessários para armazenar esse tipo de conteúdo e que também permitam que este seja acessado por outros usuários, mas para ser considerado crime é preciso que a empresa ou pessoa física primeiro seja notificada para retirar o conteúdo do ar. Art. 241-A, § 2o do ECA. Os atos de compra, posse ou guarda de conteúdo pornográfico envolvendo criança ou adolescente independem do meio ou local de armazenamento desse conteúdo, pois a lei não define essa limitação de meio de armazenamento. Art. 241-B do ECA. O incentivo ao acesso da criança a conteúdo pornográfico, via rede social, é considero crime conforme previsto no art. 241-D, parágrafo único, inciso I do ECA. O caput do art. 241-D do ECA prevê que aliciar, assediar, instigar ou constranger, por qualquer meio de comunicação, criança, com o fim de com ela praticar ato libidinoso, prevê pena de reclusão de 1 (um) a 3 (três) anos e multa (incluído pela Lei n. 11.829, de 2008). Questão 2 - Resposta C Resolução: Extração direta de arquivos e análise de metadados são técnicas de análise de evidências. O documento de apresentação de evidências é a última etapa do processo de investigação e um crime cibernético. Já as trilhas de auditoria 23 são registros ou conjunto de registros gravados em arquivos de log ou outro tipo de documento ou mídia, que possam indicar, de forma cronológica e inequívoca, o autor e a ação realizada em determinada operação, procedimento ou evento. TEMA 3 Frameworks de gestão de contratos de TI ______________________________________________________________ Autoria: Anderson Souza de Araújo Leitura crítica: Diego Santos Sanchez 25 DIRETO AO PONTO De maneira geral, os frameworks de aquisição relacionados a ativos ou serviços de TIC possuem três etapas: Planejamento da Contratação, Seleção de Fornecedor e Gestão de Contratos. A Figura 1 ilustra esse processo. Figura 1 - Etapas da aquisição de bens ou serviços de TIC Fonte: elaborada pelo autor. Uma das atividades mais importantes da etapa de Planejamento da Contratação é o alinhamento da contratação com a estratégia e o negócio da organização. Segundo Softex (2013, p. 9), para isso é preciso: 1. Estabelecer a necessidade; 2. Definir os requisitos; 3. Revisar os requisitos; 4. Desenvolver uma estratégia de aquisição; 5. Definir os critérios de seleção de fornecedores. Uma vez levantadas as necessidades e definidos os objetivos da organização que a aquisição ajudará a atingir, é preciso especificar o(s) produto(s) e/ou serviço(s) que será(ão) contratado(s). Segundo Brasil (2019, p. 2): Estudo Técnico Preliminar da Contratação: documento que descreve as análises realizadas em relação às condições da contratação em termos de necessidades, requisitos, alternativas, escolhas, resultados pretendidos e demais características, e que demonstra a viabilidade técnica e econômica da contratação. 26 Após o levantamento das soluções disponíveis e economicamente viáveis, é necessário especificar a solução e definir seus requisitos. Segundo Brasil (2019, p. 2), “requisitos: conjunto de características e especificações necessárias para definir a solução de TIC a ser contratada”. Segundo Softex (2013, p. 14): Especificação de requisitos é um documento que define os requisitos e restrições definidas pelo cliente, incluindo requisitos dos interessados (stakeholders), do sistema (quando for o caso), do software, de projeto, de manutenção, de treinamento e de implantação, restrições legais, financeiras, de prazo e de número de usuários. Nessa etapa também devem ser avaliados os riscos inerentes à contração e à solução (bem ou serviço) escolhida. Além disso, devem ser definidos critérios para a etapa seguinte: seleção de fornecedor. Segundo Brasil (2019, p. 13): “A fase de Gestão do Contrato visa acompanhar e garantir a adequada prestação dos serviços e o fornecimento dos bens que compõem a solução de TIC durante todo o período de execução do contrato”. De maneira geral, a etapa de gestão contratual envolve a realização das seguintes atividades: Iniciação, Encaminhar Demandas, Monitorar Execução e Encerrar Contrato. A iniciação é uma atividade que envolve reuniões com o fornecedor para apresentação das partes, pessoas, tirar as dúvidas e esclarecer questões operacionais, administrativas, de gestão, prazos, substituição de pessoas, disponibilização de recursos para a contratada (infraestrutura, acesso à sistemas, redes etc.), acesso da contratada à contratante, horários, repasse de conhecimento etc. A atividade de encaminhamento de demandas é muito comum quando a contratação envolve prestação de serviço e, normalmente, é realizada por meio da emissão de Ordens de Serviço (OS). 27 Já o processo de monitoramento da execução contratual é o processo mais complexo da etapa de gestão contratual e envolve basicamente as seguintes atividades: receber provisoriamente a solução para avaliação, avaliar a qualidade do produto ou serviço entregue, verificar a aderência aos termos contratuais e proceder o pagamento. Na avaliação da qualidade é preciso que os técnicos da contratante verifiquem se o que foi entregue possui as características especificadas no contrato. Uma técnica bastante utilizada aqui é a aplicação de checklists e planos de teste que podem ser elaborados previamente quando da etapa de Planejamento da Contratação. A próxima atividade é a verificação da Aderência aos Termos Contratuais. Aqui o gestor do contrato deve verificar questões como prazos, a forma de execução do serviço, respeito às cláusulas contratuais, termos assinados, conduta das pessoas envolvidas na execução do serviço ou entregas dos bens etc. Caso existam pendências ou não conformidades, estas devem ser encaminhadas à contratada para correção e eventuais aplicações de sanções podem ser necessárias. Referências bibliográficas BRASIL. Ministério da Economia. Secretariade Governo Digital. Instrução Normativa nº 1, de 4 de abril de 2019. Disponível em: https://www.in.gov.br/materia/-/asset_publisher/Kujrw0TZC2Mb/ content/id/70267659/do1-2019-04-05-instrucao-normativa-n-1-de-4- de-abril-de-2019-70267535. Acesso em: 9 nov. 2020. SOFTEX. Associação para promoção da excelência do software brasileiro, 2013. MPS. BR – Guia de aquisição. Disponível em: https://www.in.gov.br/materia/-/asset_publisher/Kujrw0TZC2Mb/content/id/70267659/do1-2019-04-05-inst https://www.in.gov.br/materia/-/asset_publisher/Kujrw0TZC2Mb/content/id/70267659/do1-2019-04-05-inst https://www.in.gov.br/materia/-/asset_publisher/Kujrw0TZC2Mb/content/id/70267659/do1-2019-04-05-inst 28 https://www.softex.br/wp-content/uploads/2013/07/MPS.BR_Guia_ de_Aquisicao_2011.pdf. Acesso em: 21 ago. 2020. PARA SABER MAIS Quanto mais complexa e custosa for a solução de tecnologia da informação e comunicação (TIC) que está sendo adquirida/ contratada, mais importante será a realização de um processo de gestão de riscos dessa contratação. Isso vai ajudar a definir especificações, níveis de serviço, sanções contratuais etc. Segundo a Instrução Normativa SGD/ME no 01/2019: XVII - gerenciamento de riscos: processo para identificar, avaliar, administrar e controlar potenciais eventos ou situações, para fornecer razoável certeza quanto ao alcance dos objetivos da organização pertinentes com a contratação. A Instrução Normativa Conjunta MP/CGU nº 1, de 10 de maio de 2016, define um modelo de gestão de riscos que pode ser aplicado a um processo de aquisição de uma solução de TIC. Para isso, é preciso entender alguns conceitos: XIII - risco: possibilidade de ocorrência de um evento que venha a ter impacto no cumprimento dos objetivos. O risco é medido em termos de impacto e de probabilidade; III - identificação de eventos: devem ser identificados e relacionados os riscos inerentes à própria atividade da organização, em seus diversos níveis; IV - avaliação de riscos: os eventos devem ser avaliados sob a perspectiva de probabilidade e impacto de sua ocorrência. A avaliação de riscos deve ser feita por meio de análises qualitativas, quantitativas https://www.softex.br/wp-content/uploads/2013/07/MPS.BR_Guia_de_Aquisicao_2011.pdf https://www.softex.br/wp-content/uploads/2013/07/MPS.BR_Guia_de_Aquisicao_2011.pdf 29 ou da combinação de ambas. Os riscos devem ser avaliados quando à sua condição de inerentes e residuais; V - resposta a riscos: o órgão/entidade deve identificar qual estratégia seguir (evitar, transferir, aceitar ou tratar) em relação aos riscos mapeados e avaliados. A escolha da estratégia dependerá do nível de exposição a riscos previamente estabelecido pela organização em confronto com a avaliação que se fez do risco. (BRASIL, 2016) Dessa forma, é preciso identificar os eventos inerentes à aquisição que está sendo realizada, avaliar esses eventos sob a perspectiva de probabilidade de sua ocorrência e o impacto que esses eventos podem causar na aquisição. Além disso, para cada risco é preciso definir a resposta a esse risco. Referências bibliográficas BRASIL. Ministério do Planejamento, Desenvolvimento e Gestão; Controladoria Geral da União. Instrução Normativa Conjunta MP/ CGU nº 1, de 10 de maio de 2016. Disponível em: https://www.in.gov. br/materia/-/asset_publisher/Kujrw0TZC2Mb/content/id/21519355/ do1-2016-05-11-instrucao-normativa-conjunta-n-1-de-10-de-maio- de-2016-21519197. Acesso em: o nov. 2020. TEORIA EM PRÁTICA Considere a contratação de um serviço de atendimento e suporte ao usuário de TI de uma organização. Nesse contexto, o usuário pode acionar o suporte no caso de alguma dificuldade com a utilização de algum sistema ou equipamento de TIC da organização, por exemplo, um equipamento que está com defeito na tela ou um equipamento https://www.in.gov.br/materia/-/asset_publisher/Kujrw0TZC2Mb/content/id/21519355/do1-2016-05-11-inst https://www.in.gov.br/materia/-/asset_publisher/Kujrw0TZC2Mb/content/id/21519355/do1-2016-05-11-inst https://www.in.gov.br/materia/-/asset_publisher/Kujrw0TZC2Mb/content/id/21519355/do1-2016-05-11-inst https://www.in.gov.br/materia/-/asset_publisher/Kujrw0TZC2Mb/content/id/21519355/do1-2016-05-11-inst 30 que não está se conectando à internet. O usuário também pode acionar o suporte para execução de algum serviço como o cadastramento de um novo usuário em algum sistema coorporativo ou a troca de senha. Dessa forma, identifique dois eventos de risco que podem acontecer nesse processo de aquisição e para cada evento de risco identificado defina uma resposta ao risco, que pode ser no sentido de diminuir a probabilidade que esse evento de risco ocorra (resposta preventiva) ou diminuir o impacto no caso da ocorrência do evento de risco (resposta mitigatória). Para conhecer a resolução comentada proposta pelo professor, acesse a videoaula deste Teoria em Prática no ambiente de aprendizagem. LEITURA FUNDAMENTAL Indicação 1 A contratação de soluções de Tecnologia da Informação (TI) pela administração pública do Brasil é um processo complexo e burocrático. Os órgãos públicos enfrentam dificuldades em decidir, de forma eficiente e eficaz, como contratar soluções tecnológicas e atender as diretrizes definidas pelos órgãos controladores. Este trabalho propõe a definição de um modelo de decisão para tratar o problema acerca da continuidade do contrato de serviço de suporte técnico de TI (service desk) no Tribunal de Justiça do Estado de Goiás. Recomenda-se a leitura do capítulo 2. Indicações de leitura 31 Para realizar a leitura, acesse a plataforma Biblioteca Virtual da Kroton e busque pelo título da obra. PARREIRA, Glauco Cintra. Modelo de decisão para gestão de riscos de contratos de serviços de TI no Poder Judiciário Brasileiro. Dissertação apresentada como requisito parcial para conclusão do Mestrado Profissional em Computação Aplicada. Universidade de Brasília, Instituto de Ciências Exatas. Brasília: 2018. Indicação 2 Trata-se de artigo que tem como objetivo aplicar uma técnica estruturada de tomada de decisão, capaz de tratar riscos e julgamentos subjetivos, a fim de que se faça uma escolha em um projeto desenvolvido pela empresa de sistemas de informação designada por “Consultoria”, em um projeto desenvolvido na modalidade de fábrica de software para a companhia de telecomunicações “Cliente”. Para realizar a leitura, acesse a plataforma Biblioteca Virtual da Kroton e busque pelo título da obra. LIMA-CARDOSO, André., GOMES, Luiz Flavio Autran Monteiro. Análise de riscos no projeto de sistemas de informação: utilização da teoria dos prospectos In: Revista Tecnológica Fortaleza, 2007, Fortaleza. QUIZ Prezado aluno, as questões do Quiz têm como propósito a verificação de leitura dos itens Direto ao Ponto, Para Saber 32 Mais, Teoria em Prática e Leitura Fundamental, presentes neste Aprendizagem em Foco. Para as avaliações virtuais e presenciais, as questões serão elaboradas a partir de todos os itens do Aprendizagem em Foco e dos slides usados para a gravação das videoaulas, além de questões de interpretação com embasamento no cabeçalho da questão. 1. Sobre a etapa de gestão de contrato, é correto afirmar que: a. Envolve a realização dos seguintes processos: Planejamento da Contratação, Encaminhar Demandas, Monitorar Execução e Encerrar Contrato. b. A avaliação da qualidade é realizada durante o monitoramento da execução contratual, onde os técnicos da contratante verificam se o que foi entregue possui as características especificadas no contrato. c. A iniciação é uma tarefa que envolve reuniões com o fornecedor com o objetivo de realizar o encaminhamento das ordens de serviço para execução do que foi previsto em contrato. d. Antes de ser iniciada a execução contratual devem ser verificadas a aderência aos termos contratuais. Isso é feito na iniciação contratual, que envolve reuniões entre o gestor do contrato e o fornecedor. e. Caso existam pendênciasou não conformidades, estas devem ser encaminhadas ao gestor do contrato para aplicação direta de sanções à contratada. 2. Sobre a alternativa que define corretamente o conceito de especificação de requisitos. null 33 a. Documento que define os requisitos e restrições definidas pelo cliente, incluindo requisitos dos interessados (stakeholders), do sistema (quando for o caso), do software, de projeto, de manutenção, de treinamento e de implantação, restrições legais, financeiras, de prazo e de número de usuários. b. Documento que descreve as análises realizadas em relação às condições da contratação em termos de necessidades, requisitos, alternativas, escolhas, resultados pretendidos e demais características, e que demonstra a viabilidade técnica e econômica da contratação de apresentação das evidências. c. Processo para identificar, avaliar, administrar e controlar potenciais eventos ou situações, para fornecer razoável certeza quanto ao alcance dos objetivos da organização pertinentes com a contratação. d. Documento que apresenta o diagnóstico, planejamento e gestão dos recursos e processos de TIC, com o objetivo de atender às necessidades finalísticas e de informação de um órgão ou entidade para um determinado período. e. Processo de identificação de qual estratégia seguir (evitar, transferir, aceitar ou tratar) em relação aos riscos mapeados e avaliados no processo de aquisição de soluções de TIC. GABARITO Questão 1 - Resposta B Resolução: Envolve a realização dos seguintes processos: Iniciação, Encaminhar Demandas, Monitorar Execução e Encerrar Contrato. A iniciação é uma tarefa que envolve reuniões com o fornecedor, apresentação das partes, pessoas, tirar as dúvidas e esclarecer questões operacionais, administrativas, null 34 de gestão, prazos, substituição de pessoas, disponibilização de recursos para a contratada (infraestrutura, acesso a sistemas, redes etc.), acesso da contratada à contratante, horários, repasse de conhecimento etc. A verificação da Aderência aos Termos Contratuais é tarefa realizada após a análise da qualidade, durante o monitoramento da execução contratual, não na Iniciação. Caso existam pendências ou não conformidades, estas devem ser encaminhadas à contratada para correção, e eventuais aplicações de sanções podem ser necessárias. Ou seja, é uma boa prática dar chance à contratada de corrigir os problemas antes de sair aplicando diretamente as sanções previstas em contrato. Questão 2 - Resposta A Resolução: A letra B trata da definição do Estudo Técnico Preliminar, conforme disposto na IN SGE/ME no 1/2019. A letra C apresenta a definição do processo de Gestão de Riscos, conforme a Instrução Normativa Conjunta MP/CGU nº 1/2016. A letra D trata do Plano Diretor de TI conforme definido na IN SGE/ME no 1/2019. A letra E apresenta a definição do processo de resposta a riscos, conforme disposto na Instrução Normativa Conjunta MP/CGU nº 1/2016. TEMA 4 Acordo de Nível de Serviço ______________________________________________________________ Autoria: Anderson Souza de Araújo Leitura crítica: Diego Santos Sanchez 36 DIRETO AO PONTO Segundo a ABNT (2011, p. 13), Acordo de Nível de Serviço ou, do inglês, Service Level Agreement (SLA) é um “acordo documentado entre o provedor de serviço e cliente que identifica serviços e metas de serviço”. Ou seja, trata-se de um documento que descreve indicadores, metas e objetivos da prestação do serviço. Nesse documento podem estar presentes indicadores e métricas referentes a desempenho do serviço contratado, tempo de atendimento, segurança, disponibilidade, privacidade etc. Esses critérios serão utilizados para mensurar a qualidade do serviço que está sendo executado pelo provedor do serviço (fornecedor, contratada) e também pode servir de referência para eventuais aplicações de sanções a contratado, por descumprimento do SLA e prestação de um serviço de baixa qualidade, que não atende as necessidades do contratante. Indicador é uma informação que serve para indicar algo, ou seja, que apresente indícios ou evidências de algo. O indicador pode ser físico (como um sinal de tráfego/semáforo) ou abstrato (como uma estatística). São eles efetivamente que vão avaliar o desempenho dos serviços que estão sendo executados pelo fornecedor (contratada) e normalmente são expressões numéricas relativas ou absolutas relacionadas a tempo, percentual, quantitativos etc. Os indicadores são definidos com base em métricas. Logo, depreende-se que as métricas são os parâmetros utilizados para elaboração dos indicadores. Indicadores e métricas são componentes-chaves de um SLA, pois eles são utilizados para verificar se o nível de serviço está sendo atendido. Esse nível de serviço que foi acordado anteriormente entre as partes (contratante e contratada - fornecedor) é o valor atribuído a um determinado indicador, que pode também ser considerado como uma meta a null 37 ser alcançada quando da execução de um determinado serviço considerando um espaço de tempo (período) predefinido. Existem vários tipos de indicadores: indicadores de produtividade, de desempenho e de qualidade. Um dos tipos de indicadores mais utilizados são os Key Performance Indicators (KPI), em português, indicador-chave de desempenho. Dentre esses, merece destaque alguns já bastante utilizados no mercado, como o tempo de resposta de solicitação, que pode ser medido em horas, e o número de problemas críticos relatados pelo usuário. Existem algumas fórmulas já elaboradas e bastante utilizadas como referência no mercado. O Siteware (2018, p. 1) apresenta alguns exemplos bastante utilizados no processo de elaboração de um SLA: Tempo médio entre falhas (MTBF – mean time between failures) é o período de tempo perdido na operação de uma máquina. Usando a fórmula a seguir, é possível realizar sua média: Fórmula: MTBF = (Tempo total disponível – Tempo perdido) / (Número de paradas) O Tempo médio para reparo (MTTR – mean time to repair). Fórmula: MTTR = (Tempo total de reparo) / (quantidade de falhas) Cálculo do tempo de disponibilidade, aplicado aos seus sistemas internos, rede, site, etc. Fórmula: disponibilidade = MTBF/(MTBF + MTTR) Tempo de inatividade relacionado ao problema de segurança. Um indicador de atraso para iniciativas de segurança de TI. Para as principais ações, podem-se planejar auditorias regulares de segurança por especialistas. Existem diversas técnicas de monitoramento de SLAs e a forma de monitoramento também vai depender do requisito que esteja sendo executado. Uma das formas mais utilizadas é por meio da geração periódica de relatórios ou relatos de serviços. null null null 38 Uma boa prática bastante utilizada é realizar o monitoramento por meio de uma solução integrada para geração dos relatos de serviço, mas desde que validada previamente e acordado entre as partes. Um dashboard de KPI, ou seja, um painel de indicadores, é bastante utilizado, porque que traz mais agilidade e transparência ao processo de monitoramento. Nele é possível acompanhar em tempo real a evolução dos indicadores, de forma a agir proativamente para evitar ou mitigar possíveis desvios de metas. A figura 1 apresenta um exemplo de utilização de dashboard de KPI. Figura 1: exemplo de utilização de dashboard de KPI. Fonte: NicoElNino/istockphoto.com Referências bibliográficas ABNT. Associação Brasileira de Normas Técnicas. NBR ISO/EIC 20000-1/2011: Tecnologia da Informação — Gerenciamento de serviços Parte 1: Requisitos do sistema de gerenciamento de serviços. Rio de Janeiro, 2011. 39 SITEWARE. Exemplo de Indicadores de Desempenho de TI, 2018. Disponível em: https://www.siteware.com.br/produtividade/ exemplos-indicadores-desempenho-ti/. Acesso em: 8 set. 2020. PARA SABER MAIS O gerenciamento de riscos é um dos fatores críticos de sucesso na elaboração de um SLA. Ele vai influenciar na definição dos indicadores e metas que farão parte do SLA.Por meio de processos de gerenciamento de riscos é possível definir indicadores e metas que reduzam a probabilidade da ocorrência de um evento de risco ou que mitiguem o impacto da ocorrência desses eventos. Isso permite ao gestor atuar de forma proativa, antecipando problemas e executado soluções. Segundo Brasil (2017, p. 17), gerenciamento de riscos é o “processo para identificar, avaliar, tratar, administrar e controlar potenciais eventos ou situações, para fornecer razoável certeza quanto ao alcance dos objetivos da organização”. O gerenciamento de riscos materializa-se num documento chamado Mapa de Riscos, que, segundo Brasil (2017, p. 17), é o documento “elaborado para identificação dos principais riscos que permeiam o procedimento de contratação e das ações para controle, prevenção e mitigação dos impactos”. A Instrução Normativa nº 5, de 26 de maio de 2017, publicada pela Secretaria de Gestão do Ministério do Planejamento, Desenvolvimento e Gestão apresenta as atividades para realização da gestão de riscos: Art. 25. O Gerenciamento de Riscos é um processo que consiste nas seguintes atividades: https://www.siteware.com.br/produtividade/exemplos-indicadores-desempenho-ti/ https://www.siteware.com.br/produtividade/exemplos-indicadores-desempenho-ti/ null 40 I - identificação dos principais riscos que possam comprometer a efetividade do Planejamento da Contratação, da Seleção do Fornecedor e da Gestão Contratual ou que impeçam o alcance dos resultados que atendam às necessidades da contratação; II - avaliação dos riscos identificados, consistindo da mensuração da probabilidade de ocorrência e do impacto de cada risco; III - tratamento dos riscos considerados inaceitáveis por meio da definição das ações para reduzir a probabilidade de ocorrência dos eventos ou suas consequências; IV - para os riscos que persistirem inaceitáveis após o tratamento, definição das ações de contingência para o caso de os eventos correspondentes aos riscos se concretizarem; e V - definição dos responsáveis pelas ações de tratamento dos riscos e das ações de contingência. (BRASIL, 2017) Referências bibliográficas BRASIL. Ministério do Planejamento, Desenvolvimento e Gestão. Secretaria de Gestão. Instrução Normativa nº 5, de 26 de maio de 2017. Disponível em: https://www.in.gov.br/materia/-/asset_ publisher/Kujrw0TZC2Mb/content/id/20239255/do1-2017-05-26- instrucao-normativa-n-5-de-26-de-maio-de-2017-20237783. Acesso em: 9 nov. 2020. TEORIA EM PRÁTICA Considere que sua organização está realizando um processo de aquisição de uma Solução de Tecnologia da Informação e Comunicação (Solução de TIC). Faz parte dessa Solução de TIC o https://www.in.gov.br/materia/-/asset_publisher/Kujrw0TZC2Mb/content/id/20239255/do1-2017-05-26-inst https://www.in.gov.br/materia/-/asset_publisher/Kujrw0TZC2Mb/content/id/20239255/do1-2017-05-26-inst https://www.in.gov.br/materia/-/asset_publisher/Kujrw0TZC2Mb/content/id/20239255/do1-2017-05-26-inst 41 serviço de sustentação de um determinado sistema de informação relacionado a uma área de negócio (unidade organizacional) da sua organização. Defina um SLA que assegure um nível tolerável de indisponibilidade para o sistema de informação correspondente. Defina também ao menos 2 (duas) sanções/ penalidades que devem ser aplicadas à contratada (fornecedor do serviço) em caso de não cumprimento do SLA. Para conhecer a resolução comentada proposta pelo professor, acesse a videoaula deste Teoria em Prática no ambiente de aprendizagem. LEITURA FUNDAMENTAL Indicação 1 Trata-se de uma tese de doutorado que apresenta aspectos do tema Acordo de Nível de Serviço com foco para níveis de serviço de segurança da informação relacionados a serviços de computação em nuvem. Recomenda-se a leitura dos capítulos 3 e 4. Para realizar a leitura, acesse a plataforma EBSCOhost na Biblioteca Virtual da Kroton e busque pelo título da obra. ROJAS, M. A. T. Gerenciamento de acordo de nível de serviço de segurança para computação em nuvem. Tese apresentada à Escola Politécnica da Universidade de São Paulo para obtenção do grau de Doutor em Ciências. Universidade de São Paulo, Escola Politécnica. São Paulo: 2016. Indicações de leitura 42 Indicação 2 Os indicadores-chaves de desempenho (KPIs) se revelam grandes aliados aos gestores de empresas e auxiliam para elas se manterem competitivas e ativas no mercado. Trata-se de um Trabalho de Conclusão de Curso que descreve por meio de um estudo de caso a definição e implantação de indicadores-chaves de desempenho em uma empresa de tecnologia da informação. Recomenda-se a leitura do Capítulo 2. RIBEIRO FILHO, J. Definição e implantação de KPIs para auxiliar a gestão de uma empresa de softwares. Trabalho de Conclusão de Curso apresentado como requisito parcial para obtenção do título de Graduação no Curso Superior de Engenharia de Produção da Universidade Federal de Uberlândia. Universidade Federal de Uberlândia. Uberlândia: 2014. QUIZ Prezado aluno, as questões do Quiz têm como propósito a verificação de leitura dos itens Direto ao Ponto, Para Saber Mais, Teoria em Prática e Leitura Fundamental, presentes neste Aprendizagem em Foco. Para as avaliações virtuais e presenciais, as questões serão elaboradas a partir de todos os itens do Aprendizagem em Foco e dos slides usados para a gravação das videoaulas, além de questões de interpretação com embasamento no cabeçalho da questão. 1. Sobre indicadores e métricas, é correto afirmar que: 43 a. São as métricas que efetivamente vão avaliar o desempenho dos serviços que estão sendo executados pelo fornecedor (contratada). b. As métricas são definidas com base nos indicadores. c. As métricas são os parâmetros utilizados para elaboração dos indicadores. d. O nível de serviço que foi acordado anteriormente entre as partes é o valor atribuído a uma determinada métrica. e. Indicadores e métricas são componentes-chaves de um SLA, pois eles são utilizados para verificar se os objetivos estratégicos da organização estão sendo atingidos. 2. Sobre o processo de gerenciamento de riscos e sua relação com a elaboração de SLAs, podemos afirmar que: a. O Gerenciamento de Riscos é um dos fatores críticos de sucesso na elaboração de um SLA. Ele vai influenciar na definição dos indicadores e metas que farão parte do SLA. b. O gerenciamento de riscos é o processo para identificar, avaliar, tratar, administrar e controlar SLAs. c. Tratamento de riscos consiste da mensuração da probabilidade de ocorrência e do impacto de cada risco. d. A materialização do gerenciamento de riscos se dá por meio do Mapa de Riscos, que é o documento que contém todos os indicadores e métricas que compõem o SLA. e. Por meio de processo da gestão de riscos é possível definir indicadores e metas que mitigam a probabilidade da ocorrência de um evento de risco. null null 44 GABARITO Questão 1 - Resposta C Resolução: São os indicadores que efetivamente vão avaliar o desempenho dos serviços que estão sendo executados pelo fornecedor (contratada). Os indicadores são definidos com base em métricas. O nível de serviço que foi acordado anteriormente entre as partes é o valor atribuído a um determinado indicador. Indicadores e métricas são componentes-chaves de um SLA, pois eles são utilizados para verificar se o nível de serviço está sendo atendido. Questão 2 - Resposta A Resolução: Gerenciamento de Riscos é um processo que consiste nas seguintes atividades: I - identificação dos principais riscos que possam comprometer a efetividade do Planejamento da Contratação, da Seleção do Fornecedor e da Gestão Contratual ou que impeçam o alcance dos resultados que atendam às necessidades da contratação; II - avaliação dos riscos identificados, consistindo da mensuração da probabilidade de ocorrência e do impacto de cada risco; III - tratamento dos riscos considerados inaceitáveis por meio da definição das ações para reduzir a probabilidadede ocorrência dos eventos ou suas consequências; IV - para os riscos que persistirem inaceitáveis após o tratamento, definição das ações de contingência para o caso de os eventos correspondentes aos riscos se concretizarem; e 45 V - definição dos responsáveis pelas ações de tratamento dos riscos e das ações de contingência. (BRASIL, 2017) Tratamento dos riscos consiste na definição das ações para reduzir a probabilidade de ocorrência dos eventos ou suas consequências (BRASIL, 2017). Mapa de Riscos, que, segundo Brasil (2017, p. 17), é o documento “elaborado para identificação dos principais riscos que permeiam o procedimento de contratação e das ações para controle, prevenção e mitigação dos impactos”. Por meio de processos de gerenciamento de riscos é possível definir indicadores e metas que reduzam a probabilidade da ocorrência de um evento de risco ou que mitiguem o impacto da ocorrência desses eventos. BONS ESTUDOS! Apresentação da disciplina Introdução TEMA 1 Direto ao ponto Para saber mais Teoria em prática Leitura fundamental Quiz Gabarito TEMA 2 Direto ao ponto Teoria em prática Leitura fundamental Quiz Gabarito TEMA 3 Direto ao ponto Para saber mais Teoria em prática Leitura fundamental Quiz Gabarito TEMA 4 Direto ao ponto Teoria em prática Leitura fundamental Quiz Gabarito Botão TEMA 5: TEMA 2: Botão 158: Botão TEMA4: Inicio 2: Botão TEMA 6: TEMA 3: Botão 159: Botão TEMA5: Inicio 3: Botão TEMA 7: TEMA 4: Botão 160: Botão TEMA6: Inicio 4: Botão TEMA 8: TEMA 5: Botão 161: Botão TEMA7: Inicio 5:
Compartilhar