Aprendizagem em Foco

Prévia do material em texto

WBA0053_v2.0
LEGISLAÇÃO DE TI E 
GESTÃO DE CONTRATOS 
APRENDIZAGEM EM FOCO
2
APRESENTAÇÃO DA DISCIPLINA
Autoria: Anderson Souza de Araújo
Leitura crítica: Diego Santos Sanchez
A disciplina de Legislação de TI e gestão de contratos apresenta 
aspectos relacionados aos crimes cibernéticos e legislação correlata 
no Brasil, bem como discute técnicas de investigação de crimes 
cibernéticos e aborda questões relacionadas a proteção de dados 
pessoais. Além disso, a disciplina apresenta tópicos relacionados 
à gestão contratual de soluções de tecnologia da informação e 
comunicação com a introdução a alguns frameworks de gestão de 
contratos utilizados pelo mercado. Por fim, a disciplina apresenta 
aspectos relacionados ao tema acordo de nível de serviço ou Service 
Level Agreement (SLA).
O conteúdo possui referências a normas e padrões nacionais e 
internacionais, bem como leis, instruções normativas e literatura de 
mercado de forma a proporcionar ao aluno uma abordagem o mais 
abrangente possível e capacitá-lo para que possa se aprofundar nos 
aspectos que mais lhe pareçam relevantes. 
O objetivo é que o aluno entenda os conceitos relacionados ao tema 
crime cibernético e gestão de contratos de TIC, possa analisar a 
relação do direito penal e outros dispositivos legais brasileiros com os 
crimes cibernéticos e a segurança no espaço cibernético e também 
conheça técnicas de investigação de crimes cibernéticos. A disciplina 
também tem como objetivo que o aluno compreenda os principais 
conceitos relacionados à gestão de contratos de TIC e seja capaz de 
elaborar acordos de níveis de serviço.
3
INTRODUÇÃO
Olá, aluno (a)! A Aprendizagem em Foco visa destacar, de maneira 
direta e assertiva, os principais conceitos inerentes à temática 
abordada na disciplina. Além disso, também pretende provocar 
reflexões que estimulem a aplicação da teoria na prática profissional. 
Vem conosco!
TEMA 1
O crime cibernético e 
a legislação brasileira
______________________________________________________________
Autoria: Anderson Souza de Araújo
Leitura crítica: Diego Santos Sanchez
5
DIRETO AO PONTO
Um crime digital ou crime cibernético é:
Ato criminoso ou abusivo contra redes ou sistemas de informações, 
seja pelo uso de um ou mais computadores utilizados como 
ferramentas para cometer o delito ou tendo como objetivo uma 
rede ou sistema de informações a fim de causar incidente, desastre 
cibernético ou obter lucro financeiro. BRASIL (2019)
Trata-se de crimes cometidos no âmbito do “espaço cibernético”, 
composto pela internet e dispositivos eletrônicos que, de alguma 
forma, conectam pessoas ou trafegam informação. Também 
conhecido como “mundo digital”.
Espaço cibernético - espaço virtual composto por um conjunto de 
canais de comunicação da internet e outras redes de comunicação 
que garantem a interconexão de dispositivos de TIC e que engloba 
todas as formas de atividades digitais em rede, incluindo o 
armazenamento, processamento e compartilhamento de conteúdo 
além de todas as ações, humanas ou automatizadas, conduzidas 
através desse ambiente. BRASIL (2019)
Nesse sentido, diversos dispositivos legais brasileiros versam 
sobre questões relacionadas ao crime digital ou crime cibernético. 
Dentre eles, os principais que merecem destaque são:
• Código Penal Brasileiro.
• Código Penal Militar.
• Estatuto da Criança e do Adolescente.
• Marco Civil da Internet.
• Política Nacional de Segurança da Informação.
6
• Lei Geral de Proteção da Dados Brasileira.
• Leis que modificaram alguns desses dispositivos legais para 
incluir os crimes cibernéticos no seu conteúdo.
A Figura 1 ilustra essa linha do tempo, relacionando esses 
dispositivos legais com seus respectivos dispositivos 
modificadores.
Figura 1 - Linha do tempo relacionando os principais 
dispositivos legais relacionados ao crime cibernético e seus 
respectivos dispositivos modificadores
Fonte: elaborada pelo autor.
Os dispositivos legais modificadores foram utilizados pelo 
legislador para adequar dispositivos legais já existentes, inserindo 
no seu bojo o tema crime cibernético, uma vez que em seu 
texto original, devido à época em que foram elaborados, não 
contemplavam de maneira explícita esse tipo de crime, até 
porque, alguns nem poderiam ser praticados à época, pois não 
existia tecnologia que permitisse a prática de tais delitos.
O principal produto utilizado para a prática do crime cibernético 
é a informação. Essa informação pode ser usada para que o 
7
criminoso cibernético se passe pela identidade de outra pessoa 
para cometer fraudes bancárias, estelionato, por exemplo. 
Também pode ser usada a informação para prejudicar uma 
pessoa, atingindo sua honra, imagem, divulgando notícias falsas 
ou mesmo promovendo o sequestro de dados de forma a impedir 
o acesso a informações, discos rígidos, bancos de dados de 
pessoas que deveriam ter acesso legítimo a essas informações. O 
criminoso cobra uma quantia para liberar novamente ao acesso a 
essas informações. Ou seja, são crimes contra a imagem, a honra 
e a intimidade das pessoas, pornografia infantil, pedofilia, racismo, 
fraudes bancárias, cyberbullying etc.
Referências bibliográficas
MANDARINO JR., R. Segurança e defesa do espaço cibernético 
brasileiro. Recife: Cuzbac, 2010.
PINHEIRO, P. P. Direito Digital. 6. ed. São Paulo: Saraiva, 2016.
PARA SABER MAIS
A Convenção de Budapeste, conhecida por esse nome por ter sido 
realizada na cidade de Budapeste em 2001, capital da Hungria, é 
uma convenção sobre crime cibernético que versa sobre direito 
penal e direito processual penal relacionados a crimes cometido 
no âmbito do espaço cibernético. O objetivo do documento é 
produzir um entendimento harmônico sobre conceitos e a forma 
de execução processual penal de tais crimes.
O tratado foi produzido pelo Conselho da Europa, que é uma 
organização internacional relacionada à defesa dos direitos 
humanos, a promoção da democracia e estabilidade política e 
social do continente europeu.
8
O documento trata, dentre outras questões, considerações 
sobre terminologias, direito penal material, abordando questões 
como infrações contra a confidencialidade, integridade e 
disponibilidade de sistemas de informação e dados digitais, acesso 
e interceptações de dados ilegítimas, interferência de dados e 
sistemas e uso abusivo de dispositivos eletrônicos. Também são 
tratadas infrações relacionadas ao conteúdo como questões 
relacionadas à pornografia infantil, responsabilidade, sanções e 
cumplicidade.
Além disso, o documento trata sobre questões de direito 
processual no âmbito das disposições processuais, condições e 
salvaguardas.
Além de países-membro do Conselho da Europa, a Convenção 
de Budapeste também foi assinada, posteriormente, por países 
como: Estados Unidos da América, Japão, Austrália, Canadá, Israel, 
dentre outros. 
Em 11 de dezembro de 2019 o Ministério das Relações Exteriores 
do Brasil publicou nota informando que iniciou processo para 
que o Brasil passe a ser signatário da convenção de Budapeste 
também:
O Comitê de Ministros do Conselho da Europa convidou o Brasil a 
aderir à Convenção sobre Crimes Cibernéticos, também conhecida 
como Convenção de Budapeste, celebrada em 2001. O processo foi 
iniciado em julho último, quando o Governo brasileiro manifestou 
sua intenção de aderir ao instrumento internacional. O ingresso 
nesse acordo de cooperação proporcionará às autoridades 
brasileiras acesso mais ágil a provas eletrônicas sob jurisdição 
estrangeira, além de mais efetiva cooperação jurídica internacional 
voltada à persecução penal dos crimes cibernéticos.
9
Referências bibliográficas
BRASIL. Ministério das Relações Exteriores. Processo de adesão à 
Convenção de Budapeste. Disponível em: http://www.itamaraty.gov.
br/pt-BR/notas-a-imprensa/21146-processo-de-adesao-a-convencao-
de-budapeste-nota-conjunta-do-ministerio-das-relacoes-exteriores-e-
do-ministerio-da-justica-e-seguranca-publica. Acesso em: 1 ago. 2020.PINHEIRO, P. P. Direito Digital. 6. ed. São Paulo: Saraiva, 2016.
TEORIA EM PRÁTICA
Atualmente é muito comum recebermos informações digitais em 
aplicativos e redes sociais como: mensagens de texto, arquivos, 
imagens, áudios e/ou vídeos. Na maior parte das vezes esse material 
digital é repassado entre os usuários dos aplicativos ou da rede social 
sem que, em algumas vezes, esse usuário faça a checagem do que 
ele esteja compartilhando com sua rede de contatos.
Entretanto, você recebeu uma dessas mensagens e identificou que 
continha conteúdo pornográfico de um famoso artista menor de 
idade. Como um cidadão consciente, você, obviamente, não repassou 
a mensagem.
Nessa situação, é possível afirmar que a sua conduta está totalmente 
adequada com as leis vigentes no país? Se sim, qual dispositivo legal 
você se baseou para adotar essa conduta? Se não, qual dispositivo 
legal você se baseou para concluir que sua conduta não está 
totalmente adequada com as leis vigentes no país? 
Para conhecer a resolução comentada proposta pelo professor, 
acesse a videoaula deste Teoria em Prática no ambiente de 
aprendizagem.
http://www.itamaraty.gov.br/pt-BR/notas-a-imprensa/21146-processo-de-adesao-a-convencao-de-budapeste
http://www.itamaraty.gov.br/pt-BR/notas-a-imprensa/21146-processo-de-adesao-a-convencao-de-budapeste
http://www.itamaraty.gov.br/pt-BR/notas-a-imprensa/21146-processo-de-adesao-a-convencao-de-budapeste
http://www.itamaraty.gov.br/pt-BR/notas-a-imprensa/21146-processo-de-adesao-a-convencao-de-budapeste
10
Lorem ipsum dolor sit amet
Autoria: Nome do autor da disciplina
Leitura crítica: Nome do autor da disciplina
LEITURA FUNDAMENTAL
Indicação 1
Este trabalho de conclusão de curso busca demonstrar a prática cada 
vez mais freqüente dos crimes cibernéticos no Brasil e a necessidade 
de uma legislação penal para a proteção dos bens jurídicos que 
possam ser ofendidos por meio da Internet. Além disso, busca 
analisar os aspectos que dificultam a identificação de autoria, fator 
importante para o aumento da criminalidade no meio cibernético.
Para realizar a leitura, acesse a plataforma Biblioteca Virtual da 
Kroton e busque pelo título da obra.
LIMA, Samuel Brandão Barros. Crime cibernético e sua prática 
cada vez mais frequente no Brasil. Monografia apresentada à 
Faculdade de Direito da Universidade federal de Juiz de Fora como 
requisitos parcial para obtenção do grau de Bacharel em Direito. 
Universidade Federal de Juiz de Fora, Faculdade de Direito. Juiz de 
Fora: 2011.
Indicação 2
Este trabalho será direcionado às indagações e respostas possíveis 
sobre o que é cibernética, o que é crime cibernético, quais crimes 
são passíveis de ser cometidos com emprego da alta tecnologia 
da informação, o que se pode fazer diante da transnacionalidade 
do delito, o que deveria estar previsto na legislação nacional e 
internacional para a efetividade na repressão ao delito cibernético. 
Ademais, aborda a necessidade do constante estudo das evoluções 
e novidades tecnológicas e sociais para se possibilitar prevenir, 
Indicações de leitura
11
investigar e coligir provas de materialidade e indícios de autoria sobre 
tais delitos.
Para realizar a leitura, acesse a plataforma Biblioteca Virtual da 
Kroton e busque pelo título da obra.
SERQUEIRA, Sílvio Castro.; ROCHA, Claudionor. Crimes cibernéticos: 
desafios da investigação. Cadernos ASLEGIS maio/agosto, p. 131-161, 
2013.
QUIZ
Prezado aluno, as questões do Quiz têm como propósito a 
verificação de leitura dos itens Direto ao Ponto, Para Saber 
Mais, Teoria em Prática e Leitura Fundamental, presentes neste 
Aprendizagem em Foco.
Para as avaliações virtuais e presenciais, as questões serão 
elaboradas a partir de todos os itens do Aprendizagem em Foco 
e dos slides usados para a gravação das videoaulas, além de 
questões de interpretação com embasamento no cabeçalho da 
questão.
1. São crimes cibernéticos que atentam contra o inciso X do caput 
do art. 5o da Constituição da República Federativa do Brasil de 
1988: 
a. Pornografia infantil, pedofilia, fraude bancária e racismo.
b. Pedofilia, sequestro de dados, cyberbullying e fraude bancária.
c. Racismo, fraude bancária, pornografia infantil e cyberbullying.
d. Cyberbullying, pornografia infantil, racismo e pedofilia.
null
12
e. Fraude bancária, cyberbullying, racismo e sequestro de dados.
2. Qual foi o principal objetivo da Convenção de Budapeste? 
a. Definir conceitos como crime cibernético, espaço cibernético, 
terrorismo cibernético etc.
b. Harmonizar o entendimento entre os países signatários sobre 
conceitos e a forma de execução processual penal de crimes 
cibernéticos.
c. Adequar dispositivos legais brasileiros incluindo o tema de 
crime cibernético.
d. Definir penas para crimes cibernéticos no âmbito da União 
Europeia.
e. Obter a adesão e assinatura do maior número possível de 
países.
GABARITO
Questão 1 - Resposta D
Resolução: Pornografia infantil, pedofilia, racismo e 
cyberbullying são crimes cibernéticos que atentam contra 
a intimidade, a vida privada, a honra e a imagem das 
pessoas, conforme previsto no inciso X do caput do art. 5o da 
Constituição da República Federativa do Brasil de 1988. Já a 
fraude bancária visa apenas o prejuízo financeiro da vítima. 
Questão 2 - Resposta B
Resolução: O próprio preâmbulo do documento assinado 
na Convenção de Budapeste afirma a “necessidade de 
prosseguir com uma política criminal comum, com o 
objetivo de proteger a sociedade contra a criminalidade no 
ciberespaço”.
null
TEMA 2
Tipos de crimes cibernéticos e 
suas formas de investigação
______________________________________________________________
Autoria: Anderson Souza de Araújo
Leitura crítica: Diego Santos Sanchez
14
DIRETO AO PONTO
A Lei n. 11.829, de 25 de novembro de 2008, alterou o Estatuto 
da Criança e do Adolescente (ECA) de forma a incluir no rol de 
crimes previstos no art. 240 (crimes de divulgação e publicação 
de imagens pornográficas de crianças e adolescentes) os atos de 
“armazenar, disponibilizar, expor à venda ou transmitir conteúdo 
pornográfico de crianças e adolescentes”.
Cometem o mesmo crime as empresas ou pessoas físicas que 
disponibilizarem os meios necessários para armazenar esse tipo 
de conteúdo e que também permitam que este seja acessado 
por outros usuários. Mas para isso acontecer é preciso que essas 
empresas ou pessoas físicas sejam notificadas.
A Lei n. 11.829/2008 também criminalizou no ECA os atos de 
compra, posse ou guarda de conteúdo pornográfico envolvendo 
criança ou adolescente, independentemente do meio ou local de 
armazenamento desse conteúdo. O mesmo entendimento vale 
para quem adultera ou monta conteúdo pornográfico envolvendo 
criança ou adolescente. Da mesma forma quem convida ou incita 
criança para práticas de sexo ou atos libidinosos ou ainda quem 
incentiva ou facilita o acesso da criança a conteúdo pornográfico, 
independentemente do meio utilizado para isso (chats, salas de bato-
papo, redes sociais etc.), comete crime da mesma natureza.
Outro tipo de crime bastante disseminado nas redes sociais é o 
cyberbullying. Trata-se de atitudes que visam denegrir pessoas, seja 
com violência física ou psicológica, intimidações, humilhações ou 
ameaças intencionais e repetitivas, podendo evoluir para outros 
crimes como o racismo, por exemplo. São praticados via mensagens, 
imagens, comentários em redes sociais, compartilhamento de 
15
conteúdo degradante para a vítima etc. São considerados delitos 
contra a honra e/ou crime de ameaça.
Uma boa prática utilizada na investigação de crime de cyberbullying 
é tentar identificar endereços de Protocolo de Internet (endereço IP 
- Internet Protocol) da origem das postagens criminosas e gravar as 
páginas que contém o conteúdo ofensivo. Após esse procedimento, 
deve-se providenciar a notificação ao provedor para retirada do 
conteúdo ofensivo identificado.
De maneira geral, as investigações de crimes cibernético iniciam-se 
após o recebimentoda denúncia, também conhecida como “notícia 
crime”. A Figura 1 ilustra as etapas de uma investigação de crime 
cibernético.
Figura 1 - Processos de investigação de crimes cibernéticos
Fonte: elaborada pelo autor.
As técnicas de coleta de evidências digitais dependem muito do 
ambiente onde essas evidências vão ser coletadas. Uma informação 
bastante relevante são as trilhas de auditoria armazenadas pelos 
softwares, aplicativos, sites ou sistemas. Nelas será possível 
identificar tarefas executadas pelos usuários desses sistemas e 
comportamentos não usuais.
Uma técnica muito utilizada para preservação de evidências digitais é 
a aplicação de um “resumo criptográfico”, também conhecido como 
hash, no arquivo coletado. Trata-se de uma função matemática que é 
aplicada na sequência de bits do arquivo cujo resultado será sempre 
16
único para aquela sequência de bits do arquivo específico. Portanto, 
caso o arquivo original seja alterado, ao aplicar o hash na sequência 
de bits do novo arquivo, o resultado será diferente do arquivo 
original. Existem algoritmos públicos utilizados para aplicação da 
função hash, como o MD5 e SHA-1.
Já em relação à fase de análise de evidências digitais, o primeiro 
passo é se organizar, realizar a classificação das informações e 
separar o que está realmente relacionado ao que está sendo 
investigado. Esse processo deve ser realizado em cópias dos 
arquivos originais, considerando as necessidades de preservação 
das evidências. As técnicas de análise variam muito de acordo com 
o dispositivo ou ambiente onde as evidências foram coletadas: 
computador pessoal, smartphone, website, e-mail etc.
Outra fonte importante de informação são os chamados metadados, 
que normalmente apresentam informações descritivas sobre a 
evidência digital, tais como: autor do arquivo/documento, data e local 
de criação, forma, dimensões, esquema de cor, versão do aplicativo/
software utilizado, tamanho do arquivo, fabricante do hardware etc.
Por fim, na fase de apresentação de evidências é preciso analisar 
o caso concreto de forma a construir uma narrativa argumentativa 
de qualidade. O documento de apresentação das evidências 
deve ser elaborado em linguagem direta e clara, eximindo-se de 
interpretações ambíguas e suposições, com foco no caso concreto.
Referências bibliográficas
BRASIL. Presidência da República. Gabinete de Segurança 
Institucional. Portaria nº 93, de 26 de setembro de 2019. Disponível 
em: https://www.in.gov.br/en/web/dou/-/portaria-n-93-de-26-de-
setembro-de-2019-219115663. Acesso em: 17 jul. 2020.
https://www.in.gov.br/en/web/dou/-/portaria-n-93-de-26-de-setembro-de-2019-219115663
https://www.in.gov.br/en/web/dou/-/portaria-n-93-de-26-de-setembro-de-2019-219115663
17
BRASIL. Presidência da República. Instituto Nacional de Tecnologia da 
Informação. Visão Geral Sobre Assinaturas Digitais na ICP-Brasil 
v 3.0, 2015. Disponível em: https://antigo.iti.gov.br/legislacao/61-
legislacao/504-documentos -principais. Acesso em: 10 ago. 2020.
PARA SABER MAIS
Os processos envolvidos na realização de uma perícia criminal 
cibernética pertencem a uma disciplina chamada forense digital ou 
informática forense. Segundo o Procedimento Operacional Padrão 
(POP) de Perícia Criminal publicado pelo Ministério da Justiça (MJ) em 
2013, o exame pericial em mídias de armazenamento computacional 
consiste na realização das seguintes etapas: Ações Preliminares, 
Duplicação de Dados, Processamento dos Dados e Análise dos 
Dados. A Figura 2 ilustra esse processo.
Figura 2 - Etapas do processo de exame pericial em mídias de 
armazenamento computacional segundo o POP de Perícia 
Criminal do MJ (Brasil, 2013)
Fonte: elaborada pelo autor.
Na etapa de Ações preliminares o objetivo é verificar “a viabilidade 
de realização do exame e organizar o material recebido”. A etapa 
de Duplicação visa “duplicar os dados contidos na mídia original 
para uma mídia de trabalho”, assegurando assim a preservação das 
evidências digitais. Já a etapa de Processamento dos dados visa:
https://antigo.iti.gov.br/legislacao/61-legislacao/504-documentos -principais
https://antigo.iti.gov.br/legislacao/61-legislacao/504-documentos -principais
18
à preparação dos dados para a análise e pode ser feita por meio de 
ferramentas livres ou proprietárias”. Inclui, a depender do interesse 
pericial, os seguintes procedimentos, entre outros: recuperação de 
arquivos apagados, incluindo data carving; expansão de arquivos 
compostos (.zip,.pst); checagem de assinatura de arquivos; cálculo de 
hashes; indexação de dados. (Brasil, 2013)
A etapa de análise dos dados consiste na realização de duas 
atividades: Extração Direta de Arquivos e Elucidação Técnico-Pericial. 
Na Extração Direta de Arquivos o objetivo é “extrair e converter 
para um formato facilmente legível o maior número possível de 
arquivos que possam ser de interesse para a investigação”. Já a 
Elucidação Técnico-Pericial é uma análise realizada para confirmar ou 
negar hipóteses relacionadas à investigação, quando se pretende o 
esclarecimento de alguma questão. Com base nesta análise o perito 
poderá elaborar suas conclusões sobre o resultado da investigação 
pericial (Brasil, 2013). 
Referências bibliográficas
BRASIL. Ministério da Justiça. Procedimento Operacional Padrão de 
Perícia Criminal. Brasília, 2013. Disponível em: https://www.justica.
gov.br/sua-seguranca/seguranca-publica/senasp-1/pops-de-per_cia-
vers_o-para-internet.pdf/view. Acesso em: 15 ago. 2020.
TEORIA EM PRÁTICA
A coleta e análise de evidências digitais são etapas extremamente 
importantes em um processo de investigação de um crime 
cibernético. Entretanto, as evidências digitais coletadas e analisadas 
podem não ser aceitas em um tribunal se não for assegurada a 
correta cadeia de custódia das evidências. Assim sendo, ao examinar 
https://www.justica.gov.br/sua-seguranca/seguranca-publica/senasp-1/pops-de-per_cia-vers_o-para-inte
https://www.justica.gov.br/sua-seguranca/seguranca-publica/senasp-1/pops-de-per_cia-vers_o-para-inte
https://www.justica.gov.br/sua-seguranca/seguranca-publica/senasp-1/pops-de-per_cia-vers_o-para-inte
19
um computador pessoal de uma possível cibercriminoso, cite três 
procedimentos que você realizaria com vistas a assegurar a correta 
cadeia de custódia de forma a não comprometer a evidência digital, 
mantendo suas propriedades de admissibilidade, autenticidade, 
completude, confiabilidade e criabilidade. 
Para conhecer a resolução comentada proposta pelo professor, 
acesse a videoaula deste Teoria em Prática no ambiente de 
aprendizagem.
LEITURA FUNDAMENTAL
Indicação 1
No confronto entre o Direito e a Comunicação Social optámos por 
analisar um tema premente nos dias de hoje. Cada vez mais as 
pessoas optam por fazer online aquilo que não conseguem fazer 
offline. Este novo mundo, onde todos podem gozar de anonimato, 
pode oferecer uma ilusão de poder e facilitar o ataque ao outro, 
potenciando desse modo a prática dos crimes por nós analisados. 
Este trabalho apresenta uma análise de alguns do perigos e riscos, 
em especial a ofensa à dignidade pessoal do sujeito através da 
Internet. Recomenda-se a leitura do capítulo 1.
Para realizar a leitura, acesse a plataforma Biblioteca Virtual da 
Kroton e busque pelo título da obra.
RAMOS, Carolina Castro. Crimes contra a honra na Internet. 
Dissertação apresentada para cumprimento dos requisitos 
necessários à obtenção do grau de Mestre em Comunicação, Media 
Indicações de leitura
20
e Justiça. Universidade Nova Lisboa, Faculdade de Ciências Sociais e 
Humanas. Lisboa: 2014.
Indicação 2
Trata-se de pesquisa desenvolvida no campo dos direitos 
fundamentais do cidadão, em particular, no que concerne à proteção 
de dados pessoais. O artigo, apresentado em conferência realizada 
no dia 9 de maio da 2017 na Universidade Lusófona, em Lisboa 
apresenta os novos desafios sobre a Proteção de Dados por parte 
de governos e organizações públicas, privadas e do próprio cidadão 
titular dosdados.
BATALHA, José Martinez. Novos desafios sobre a proteção de 
dados. Universidade Lusófona. Lisboa: 2017.
QUIZ
Prezado aluno, as questões do Quiz têm como propósito a 
verificação de leitura dos itens Direto ao Ponto, Para Saber 
Mais, Teoria em Prática e Leitura Fundamental, presentes neste 
Aprendizagem em Foco.
Para as avaliações virtuais e presenciais, as questões serão 
elaboradas a partir de todos os itens do Aprendizagem em Foco 
e dos slides usados para a gravação das videoaulas, além de 
questões de interpretação com embasamento no cabeçalho da 
questão.
21
1. Sobre as atualizações no Estatuto da Criança e do Adolescente 
(ECA) promovidas pela Lei n. 11.829, de 25 de novembro de 
2008, é correto afirmar que: 
a. A Lei n. 11.829, de 25 de novembro de 2008, incluiu no ECA os 
crimes de divulgação e publicação de imagens pornográficas 
de crianças e adolescentes.
b. Cometem crime as empresas ou pessoas físicas que 
disponibilizarem os meios necessários para armazenar esse 
tipo de conteúdo e que também permitam que este seja 
acessado por outros usuários.
c. Os atos de compra, posse ou guarda de conteúdo pornográfico 
envolvendo criança ou adolescente dependem do meio ou 
local de armazenamento desse conteúdo para poderem ser 
considerados crime.
d. Apenas incentivar o acesso da criança a conteúdo 
pornográfico, via rede social, não é considero crime.
e. Comete crime qualquer pessoa que convida ou incita uma 
criança para práticas de atos libidinosos.
2. Assinale a única alternativa que apresenta uma técnica de 
preservação de evidências digitais. 
a. Extração direta de arquivos.
b. Documento de apresentação das evidências.
c. Hash ou resumo criptográfico.
d. Análise de metadados.
e. Trilhas de auditoria.
null
null
22
GABARITO
Questão 1 - Resposta E
Resolução: Os crimes de divulgação e publicação de imagens 
pornográficas de crianças e adolescentes já estavam previstos 
na ECA, mesmo antes das alterações promovidas pela Lei n. 
11.829, de 25 de novembro de 2008.
Cometem crime as empresas ou pessoas físicas que 
disponibilizarem os meios necessários para armazenar esse tipo 
de conteúdo e que também permitam que este seja acessado 
por outros usuários, mas para ser considerado crime é preciso 
que a empresa ou pessoa física primeiro seja notificada para 
retirar o conteúdo do ar. Art. 241-A, § 2o do ECA.
Os atos de compra, posse ou guarda de conteúdo pornográfico 
envolvendo criança ou adolescente independem do meio ou 
local de armazenamento desse conteúdo, pois a lei não define 
essa limitação de meio de armazenamento. Art. 241-B do ECA.
O incentivo ao acesso da criança a conteúdo pornográfico, via 
rede social, é considero crime conforme previsto no art. 241-D, 
parágrafo único, inciso I do ECA.
O caput do art. 241-D do ECA prevê que aliciar, assediar, instigar 
ou constranger, por qualquer meio de comunicação, criança, 
com o fim de com ela praticar ato libidinoso, prevê pena de 
reclusão de 1 (um) a 3 (três) anos e multa (incluído pela Lei n. 
11.829, de 2008).
Questão 2 - Resposta C
Resolução: Extração direta de arquivos e análise de metadados 
são técnicas de análise de evidências. O documento de 
apresentação de evidências é a última etapa do processo de 
investigação e um crime cibernético. Já as trilhas de auditoria 
23
são registros ou conjunto de registros gravados em arquivos de 
log ou outro tipo de documento ou mídia, que possam indicar, 
de forma cronológica e inequívoca, o autor e a ação realizada 
em determinada operação, procedimento ou evento.
TEMA 3
Frameworks de gestão de 
contratos de TI
______________________________________________________________
Autoria: Anderson Souza de Araújo
Leitura crítica: Diego Santos Sanchez
25
DIRETO AO PONTO
De maneira geral, os frameworks de aquisição relacionados a 
ativos ou serviços de TIC possuem três etapas: Planejamento da 
Contratação, Seleção de Fornecedor e Gestão de Contratos. A 
Figura 1 ilustra esse processo.
Figura 1 - Etapas da aquisição de bens ou serviços de TIC
Fonte: elaborada pelo autor.
Uma das atividades mais importantes da etapa de Planejamento 
da Contratação é o alinhamento da contratação com a estratégia 
e o negócio da organização. Segundo Softex (2013, p. 9), para isso 
é preciso: 1. Estabelecer a necessidade; 2. Definir os requisitos; 3. 
Revisar os requisitos; 4. Desenvolver uma estratégia de aquisição; 
5. Definir os critérios de seleção de fornecedores.
Uma vez levantadas as necessidades e definidos os objetivos da 
organização que a aquisição ajudará a atingir, é preciso especificar 
o(s) produto(s) e/ou serviço(s) que será(ão) contratado(s).
Segundo Brasil (2019, p. 2):
Estudo Técnico Preliminar da Contratação: documento que descreve 
as análises realizadas em relação às condições da contratação 
em termos de necessidades, requisitos, alternativas, escolhas, 
resultados pretendidos e demais características, e que demonstra a 
viabilidade técnica e econômica da contratação.
26
Após o levantamento das soluções disponíveis e economicamente 
viáveis, é necessário especificar a solução e definir seus requisitos. 
Segundo Brasil (2019, p. 2), “requisitos: conjunto de características 
e especificações necessárias para definir a solução de TIC a ser 
contratada”. Segundo Softex (2013, p. 14):
Especificação de requisitos é um documento que define os requisitos e 
restrições definidas pelo cliente, incluindo requisitos dos interessados 
(stakeholders), do sistema (quando for o caso), do software, de projeto, 
de manutenção, de treinamento e de implantação, restrições legais, 
financeiras, de prazo e de número de usuários.
Nessa etapa também devem ser avaliados os riscos inerentes à 
contração e à solução (bem ou serviço) escolhida. Além disso, devem 
ser definidos critérios para a etapa seguinte: seleção de fornecedor.
Segundo Brasil (2019, p. 13): “A fase de Gestão do Contrato visa 
acompanhar e garantir a adequada prestação dos serviços e o 
fornecimento dos bens que compõem a solução de TIC durante todo 
o período de execução do contrato”.
De maneira geral, a etapa de gestão contratual envolve a realização 
das seguintes atividades: Iniciação, Encaminhar Demandas, Monitorar 
Execução e Encerrar Contrato.
A iniciação é uma atividade que envolve reuniões com o fornecedor 
para apresentação das partes, pessoas, tirar as dúvidas e esclarecer 
questões operacionais, administrativas, de gestão, prazos, 
substituição de pessoas, disponibilização de recursos para a 
contratada (infraestrutura, acesso à sistemas, redes etc.), acesso da 
contratada à contratante, horários, repasse de conhecimento etc. 
A atividade de encaminhamento de demandas é muito comum 
quando a contratação envolve prestação de serviço e, normalmente, 
é realizada por meio da emissão de Ordens de Serviço (OS).
27
Já o processo de monitoramento da execução contratual é o processo 
mais complexo da etapa de gestão contratual e envolve basicamente 
as seguintes atividades: receber provisoriamente a solução para 
avaliação, avaliar a qualidade do produto ou serviço entregue, 
verificar a aderência aos termos contratuais e proceder o pagamento.
Na avaliação da qualidade é preciso que os técnicos da contratante 
verifiquem se o que foi entregue possui as características 
especificadas no contrato. Uma técnica bastante utilizada aqui é a 
aplicação de checklists e planos de teste que podem ser elaborados 
previamente quando da etapa de Planejamento da Contratação.
A próxima atividade é a verificação da Aderência aos Termos 
Contratuais. Aqui o gestor do contrato deve verificar questões 
como prazos, a forma de execução do serviço, respeito às cláusulas 
contratuais, termos assinados, conduta das pessoas envolvidas na 
execução do serviço ou entregas dos bens etc.
Caso existam pendências ou não conformidades, estas devem ser 
encaminhadas à contratada para correção e eventuais aplicações de 
sanções podem ser necessárias.
Referências bibliográficas
BRASIL. Ministério da Economia. Secretariade Governo Digital. 
Instrução Normativa nº 1, de 4 de abril de 2019. Disponível em: 
https://www.in.gov.br/materia/-/asset_publisher/Kujrw0TZC2Mb/
content/id/70267659/do1-2019-04-05-instrucao-normativa-n-1-de-4-
de-abril-de-2019-70267535. Acesso em: 9 nov. 2020.
SOFTEX. Associação para promoção da excelência do software 
brasileiro, 2013. MPS. BR – Guia de aquisição. Disponível em: 
https://www.in.gov.br/materia/-/asset_publisher/Kujrw0TZC2Mb/content/id/70267659/do1-2019-04-05-inst
https://www.in.gov.br/materia/-/asset_publisher/Kujrw0TZC2Mb/content/id/70267659/do1-2019-04-05-inst
https://www.in.gov.br/materia/-/asset_publisher/Kujrw0TZC2Mb/content/id/70267659/do1-2019-04-05-inst
28
https://www.softex.br/wp-content/uploads/2013/07/MPS.BR_Guia_
de_Aquisicao_2011.pdf. Acesso em: 21 ago. 2020.
PARA SABER MAIS
Quanto mais complexa e custosa for a solução de tecnologia 
da informação e comunicação (TIC) que está sendo adquirida/
contratada, mais importante será a realização de um processo 
de gestão de riscos dessa contratação. Isso vai ajudar a definir 
especificações, níveis de serviço, sanções contratuais etc. Segundo a 
Instrução Normativa SGD/ME no 01/2019:
XVII - gerenciamento de riscos: processo para identificar, avaliar, 
administrar e controlar potenciais eventos ou situações, para fornecer 
razoável certeza quanto ao alcance dos objetivos da organização 
pertinentes com a contratação.
A Instrução Normativa Conjunta MP/CGU nº 1, de 10 de maio de 
2016, define um modelo de gestão de riscos que pode ser aplicado a 
um processo de aquisição de uma solução de TIC. Para isso, é preciso 
entender alguns conceitos:
XIII - risco: possibilidade de ocorrência de um evento que venha a ter 
impacto no cumprimento dos objetivos. O risco é medido em termos 
de impacto e de probabilidade;
III - identificação de eventos: devem ser identificados e relacionados os 
riscos inerentes à própria atividade da organização, em seus diversos 
níveis;
IV - avaliação de riscos: os eventos devem ser avaliados sob a 
perspectiva de probabilidade e impacto de sua ocorrência. A avaliação 
de riscos deve ser feita por meio de análises qualitativas, quantitativas 
https://www.softex.br/wp-content/uploads/2013/07/MPS.BR_Guia_de_Aquisicao_2011.pdf
https://www.softex.br/wp-content/uploads/2013/07/MPS.BR_Guia_de_Aquisicao_2011.pdf
29
ou da combinação de ambas. Os riscos devem ser avaliados quando à 
sua condição de inerentes e residuais;
V - resposta a riscos: o órgão/entidade deve identificar qual estratégia 
seguir (evitar, transferir, aceitar ou tratar) em relação aos riscos 
mapeados e avaliados. A escolha da estratégia dependerá do nível 
de exposição a riscos previamente estabelecido pela organização em 
confronto com a avaliação que se fez do risco. (BRASIL, 2016)
Dessa forma, é preciso identificar os eventos inerentes à aquisição 
que está sendo realizada, avaliar esses eventos sob a perspectiva 
de probabilidade de sua ocorrência e o impacto que esses eventos 
podem causar na aquisição. Além disso, para cada risco é preciso 
definir a resposta a esse risco.
Referências bibliográficas
BRASIL. Ministério do Planejamento, Desenvolvimento e Gestão; 
Controladoria Geral da União. Instrução Normativa Conjunta MP/
CGU nº 1, de 10 de maio de 2016. Disponível em: https://www.in.gov.
br/materia/-/asset_publisher/Kujrw0TZC2Mb/content/id/21519355/
do1-2016-05-11-instrucao-normativa-conjunta-n-1-de-10-de-maio-
de-2016-21519197. Acesso em: o nov. 2020.
TEORIA EM PRÁTICA
Considere a contratação de um serviço de atendimento e suporte ao 
usuário de TI de uma organização. Nesse contexto, o usuário pode 
acionar o suporte no caso de alguma dificuldade com a utilização de 
algum sistema ou equipamento de TIC da organização, por exemplo, 
um equipamento que está com defeito na tela ou um equipamento 
https://www.in.gov.br/materia/-/asset_publisher/Kujrw0TZC2Mb/content/id/21519355/do1-2016-05-11-inst
https://www.in.gov.br/materia/-/asset_publisher/Kujrw0TZC2Mb/content/id/21519355/do1-2016-05-11-inst
https://www.in.gov.br/materia/-/asset_publisher/Kujrw0TZC2Mb/content/id/21519355/do1-2016-05-11-inst
https://www.in.gov.br/materia/-/asset_publisher/Kujrw0TZC2Mb/content/id/21519355/do1-2016-05-11-inst
30
que não está se conectando à internet. O usuário também 
pode acionar o suporte para execução de algum serviço como o 
cadastramento de um novo usuário em algum sistema coorporativo 
ou a troca de senha.
Dessa forma, identifique dois eventos de risco que podem acontecer 
nesse processo de aquisição e para cada evento de risco identificado 
defina uma resposta ao risco, que pode ser no sentido de diminuir a 
probabilidade que esse evento de risco ocorra (resposta preventiva) 
ou diminuir o impacto no caso da ocorrência do evento de risco 
(resposta mitigatória). 
Para conhecer a resolução comentada proposta pelo professor, 
acesse a videoaula deste Teoria em Prática no ambiente de 
aprendizagem.
LEITURA FUNDAMENTAL
Indicação 1
A contratação de soluções de Tecnologia da Informação (TI) 
pela administração pública do Brasil é um processo complexo e 
burocrático. Os órgãos públicos enfrentam dificuldades em decidir, 
de forma eficiente e eficaz, como contratar soluções tecnológicas 
e atender as diretrizes definidas pelos órgãos controladores. Este 
trabalho propõe a definição de um modelo de decisão para tratar o 
problema acerca da continuidade do contrato de serviço de suporte 
técnico de TI (service desk) no Tribunal de Justiça do Estado de Goiás. 
Recomenda-se a leitura do capítulo 2.
Indicações de leitura
31
Para realizar a leitura, acesse a plataforma Biblioteca Virtual da 
Kroton e busque pelo título da obra.
PARREIRA, Glauco Cintra. Modelo de decisão para gestão de riscos 
de contratos de serviços de TI no Poder Judiciário Brasileiro. 
Dissertação apresentada como requisito parcial para conclusão do 
Mestrado Profissional em Computação Aplicada. Universidade de 
Brasília, Instituto de Ciências Exatas. Brasília: 2018.
Indicação 2
Trata-se de artigo que tem como objetivo aplicar uma técnica 
estruturada de tomada de decisão, capaz de tratar riscos e 
julgamentos subjetivos, a fim de que se faça uma escolha em um 
projeto desenvolvido pela empresa de sistemas de informação 
designada por “Consultoria”, em um projeto desenvolvido 
na modalidade de fábrica de software para a companhia de 
telecomunicações “Cliente”. 
Para realizar a leitura, acesse a plataforma Biblioteca Virtual da 
Kroton e busque pelo título da obra.
LIMA-CARDOSO, André., GOMES, Luiz Flavio Autran Monteiro. Análise 
de riscos no projeto de sistemas de informação: utilização da 
teoria dos prospectos In: Revista Tecnológica Fortaleza, 2007, 
Fortaleza.
QUIZ
Prezado aluno, as questões do Quiz têm como propósito a 
verificação de leitura dos itens Direto ao Ponto, Para Saber 
32
Mais, Teoria em Prática e Leitura Fundamental, presentes neste 
Aprendizagem em Foco.
Para as avaliações virtuais e presenciais, as questões serão 
elaboradas a partir de todos os itens do Aprendizagem em Foco 
e dos slides usados para a gravação das videoaulas, além de 
questões de interpretação com embasamento no cabeçalho da 
questão.
1. Sobre a etapa de gestão de contrato, é correto afirmar que: 
a. Envolve a realização dos seguintes processos: Planejamento 
da Contratação, Encaminhar Demandas, Monitorar Execução e 
Encerrar Contrato.
b. A avaliação da qualidade é realizada durante o monitoramento 
da execução contratual, onde os técnicos da contratante 
verificam se o que foi entregue possui as características 
especificadas no contrato.
c. A iniciação é uma tarefa que envolve reuniões com o 
fornecedor com o objetivo de realizar o encaminhamento 
das ordens de serviço para execução do que foi previsto em 
contrato.
d. Antes de ser iniciada a execução contratual devem ser 
verificadas a aderência aos termos contratuais. Isso é feito na 
iniciação contratual, que envolve reuniões entre o gestor do 
contrato e o fornecedor.
e. Caso existam pendênciasou não conformidades, estas devem 
ser encaminhadas ao gestor do contrato para aplicação direta 
de sanções à contratada. 
2. Sobre a alternativa que define corretamente o conceito de 
especificação de requisitos. 
null
33
a. Documento que define os requisitos e restrições definidas pelo 
cliente, incluindo requisitos dos interessados (stakeholders), 
do sistema (quando for o caso), do software, de projeto, de 
manutenção, de treinamento e de implantação, restrições 
legais, financeiras, de prazo e de número de usuários. 
b. Documento que descreve as análises realizadas em relação 
às condições da contratação em termos de necessidades, 
requisitos, alternativas, escolhas, resultados pretendidos e 
demais características, e que demonstra a viabilidade técnica e 
econômica da contratação de apresentação das evidências.
c. Processo para identificar, avaliar, administrar e controlar 
potenciais eventos ou situações, para fornecer razoável certeza 
quanto ao alcance dos objetivos da organização pertinentes 
com a contratação.
d. Documento que apresenta o diagnóstico, planejamento e 
gestão dos recursos e processos de TIC, com o objetivo de 
atender às necessidades finalísticas e de informação de um 
órgão ou entidade para um determinado período.
e. Processo de identificação de qual estratégia seguir (evitar, 
transferir, aceitar ou tratar) em relação aos riscos mapeados e 
avaliados no processo de aquisição de soluções de TIC.
GABARITO
Questão 1 - Resposta B
Resolução: Envolve a realização dos seguintes processos: 
Iniciação, Encaminhar Demandas, Monitorar Execução e 
Encerrar Contrato.
A iniciação é uma tarefa que envolve reuniões com o 
fornecedor, apresentação das partes, pessoas, tirar as 
dúvidas e esclarecer questões operacionais, administrativas, 
null
34
de gestão, prazos, substituição de pessoas, disponibilização 
de recursos para a contratada (infraestrutura, acesso a 
sistemas, redes etc.), acesso da contratada à contratante, 
horários, repasse de conhecimento etc.
A verificação da Aderência aos Termos Contratuais é 
tarefa realizada após a análise da qualidade, durante o 
monitoramento da execução contratual, não na Iniciação.
Caso existam pendências ou não conformidades, estas devem 
ser encaminhadas à contratada para correção, e eventuais 
aplicações de sanções podem ser necessárias. Ou seja, é uma 
boa prática dar chance à contratada de corrigir os problemas 
antes de sair aplicando diretamente as sanções previstas em 
contrato.
Questão 2 - Resposta A
Resolução: A letra B trata da definição do Estudo Técnico 
Preliminar, conforme disposto na IN SGE/ME no 1/2019. 
A letra C apresenta a definição do processo de Gestão de 
Riscos, conforme a Instrução Normativa Conjunta MP/CGU 
nº 1/2016. A letra D trata do Plano Diretor de TI conforme 
definido na IN SGE/ME no 1/2019. A letra E apresenta a 
definição do processo de resposta a riscos, conforme 
disposto na Instrução Normativa Conjunta MP/CGU nº 
1/2016.
TEMA 4
Acordo de Nível de Serviço
______________________________________________________________
Autoria: Anderson Souza de Araújo
Leitura crítica: Diego Santos Sanchez
36
DIRETO AO PONTO
Segundo a ABNT (2011, p. 13), Acordo de Nível de Serviço ou, do 
inglês, Service Level Agreement (SLA) é um “acordo documentado 
entre o provedor de serviço e cliente que identifica serviços e metas 
de serviço”. Ou seja, trata-se de um documento que descreve 
indicadores, metas e objetivos da prestação do serviço. Nesse 
documento podem estar presentes indicadores e métricas referentes 
a desempenho do serviço contratado, tempo de atendimento, 
segurança, disponibilidade, privacidade etc. Esses critérios serão 
utilizados para mensurar a qualidade do serviço que está sendo 
executado pelo provedor do serviço (fornecedor, contratada) e 
também pode servir de referência para eventuais aplicações de 
sanções a contratado, por descumprimento do SLA e prestação de 
um serviço de baixa qualidade, que não atende as necessidades do 
contratante.
Indicador é uma informação que serve para indicar algo, ou seja, 
que apresente indícios ou evidências de algo. O indicador pode ser 
físico (como um sinal de tráfego/semáforo) ou abstrato (como uma 
estatística). São eles efetivamente que vão avaliar o desempenho dos 
serviços que estão sendo executados pelo fornecedor (contratada) 
e normalmente são expressões numéricas relativas ou absolutas 
relacionadas a tempo, percentual, quantitativos etc.
Os indicadores são definidos com base em métricas. Logo, 
depreende-se que as métricas são os parâmetros utilizados 
para elaboração dos indicadores. Indicadores e métricas são 
componentes-chaves de um SLA, pois eles são utilizados para 
verificar se o nível de serviço está sendo atendido. Esse nível de 
serviço que foi acordado anteriormente entre as partes (contratante 
e contratada - fornecedor) é o valor atribuído a um determinado 
indicador, que pode também ser considerado como uma meta a 
null
37
ser alcançada quando da execução de um determinado serviço 
considerando um espaço de tempo (período) predefinido.
Existem vários tipos de indicadores: indicadores de produtividade, 
de desempenho e de qualidade. Um dos tipos de indicadores mais 
utilizados são os Key Performance Indicators (KPI), em português, 
indicador-chave de desempenho. Dentre esses, merece destaque 
alguns já bastante utilizados no mercado, como o tempo de resposta 
de solicitação, que pode ser medido em horas, e o número de 
problemas críticos relatados pelo usuário. Existem algumas fórmulas 
já elaboradas e bastante utilizadas como referência no mercado. O 
Siteware (2018, p. 1) apresenta alguns exemplos bastante utilizados 
no processo de elaboração de um SLA:
Tempo médio entre falhas (MTBF – mean time between failures) é o 
período de tempo perdido na operação de uma máquina. Usando 
a fórmula a seguir, é possível realizar sua média: Fórmula: MTBF = 
(Tempo total disponível – Tempo perdido) / (Número de paradas)
O Tempo médio para reparo (MTTR – mean time to repair). Fórmula: 
MTTR = (Tempo total de reparo) / (quantidade de falhas)
Cálculo do tempo de disponibilidade, aplicado aos seus sistemas 
internos, rede, site, etc. Fórmula: disponibilidade = MTBF/(MTBF + 
MTTR)
Tempo de inatividade relacionado ao problema de segurança. 
Um indicador de atraso para iniciativas de segurança de TI. Para 
as principais ações, podem-se planejar auditorias regulares de 
segurança por especialistas.
Existem diversas técnicas de monitoramento de SLAs e a forma de 
monitoramento também vai depender do requisito que esteja sendo 
executado. Uma das formas mais utilizadas é por meio da geração 
periódica de relatórios ou relatos de serviços. 
null
null
null
38
Uma boa prática bastante utilizada é realizar o monitoramento por 
meio de uma solução integrada para geração dos relatos de serviço, 
mas desde que validada previamente e acordado entre as partes. 
Um dashboard de KPI, ou seja, um painel de indicadores, é bastante 
utilizado, porque que traz mais agilidade e transparência ao processo 
de monitoramento. Nele é possível acompanhar em tempo real a 
evolução dos indicadores, de forma a agir proativamente para evitar 
ou mitigar possíveis desvios de metas. A figura 1 apresenta um 
exemplo de utilização de dashboard de KPI.
Figura 1: exemplo de utilização de dashboard de KPI.
Fonte: NicoElNino/istockphoto.com
Referências bibliográficas
ABNT. Associação Brasileira de Normas Técnicas. NBR ISO/EIC 
20000-1/2011: Tecnologia da Informação — Gerenciamento de 
serviços Parte 1: Requisitos do sistema de gerenciamento de 
serviços. Rio de Janeiro, 2011.
39
SITEWARE. Exemplo de Indicadores de Desempenho de TI, 
2018. Disponível em: https://www.siteware.com.br/produtividade/
exemplos-indicadores-desempenho-ti/. Acesso em: 8 set. 2020.
PARA SABER MAIS
O gerenciamento de riscos é um dos fatores críticos de sucesso 
na elaboração de um SLA. Ele vai influenciar na definição 
dos indicadores e metas que farão parte do SLA.Por meio 
de processos de gerenciamento de riscos é possível definir 
indicadores e metas que reduzam a probabilidade da ocorrência 
de um evento de risco ou que mitiguem o impacto da ocorrência 
desses eventos. Isso permite ao gestor atuar de forma proativa, 
antecipando problemas e executado soluções. Segundo Brasil 
(2017, p. 17), gerenciamento de riscos é o “processo para 
identificar, avaliar, tratar, administrar e controlar potenciais 
eventos ou situações, para fornecer razoável certeza quanto ao 
alcance dos objetivos da organização”.
O gerenciamento de riscos materializa-se num documento 
chamado Mapa de Riscos, que, segundo Brasil (2017, p. 17), é o 
documento “elaborado para identificação dos principais riscos 
que permeiam o procedimento de contratação e das ações para 
controle, prevenção e mitigação dos impactos”. 
A Instrução Normativa nº 5, de 26 de maio de 2017, publicada 
pela Secretaria de Gestão do Ministério do Planejamento, 
Desenvolvimento e Gestão apresenta as atividades para realização 
da gestão de riscos:
Art. 25. O Gerenciamento de Riscos é um processo que consiste nas 
seguintes atividades:
https://www.siteware.com.br/produtividade/exemplos-indicadores-desempenho-ti/
https://www.siteware.com.br/produtividade/exemplos-indicadores-desempenho-ti/
null
40
I - identificação dos principais riscos que possam comprometer 
a efetividade do Planejamento da Contratação, da Seleção do 
Fornecedor e da Gestão Contratual ou que impeçam o alcance dos 
resultados que atendam às necessidades da contratação;
II - avaliação dos riscos identificados, consistindo da mensuração da 
probabilidade de ocorrência e do impacto de cada risco;
III - tratamento dos riscos considerados inaceitáveis por meio da 
definição das ações para reduzir a probabilidade de ocorrência dos 
eventos ou suas consequências;
IV - para os riscos que persistirem inaceitáveis após o tratamento, 
definição das ações de contingência para o caso de os eventos 
correspondentes aos riscos se concretizarem; e
V - definição dos responsáveis pelas ações de tratamento dos riscos 
e das ações de contingência. (BRASIL, 2017)
Referências bibliográficas
BRASIL. Ministério do Planejamento, Desenvolvimento e Gestão. 
Secretaria de Gestão. Instrução Normativa nº 5, de 26 de maio 
de 2017. Disponível em: https://www.in.gov.br/materia/-/asset_
publisher/Kujrw0TZC2Mb/content/id/20239255/do1-2017-05-26-
instrucao-normativa-n-5-de-26-de-maio-de-2017-20237783. Acesso 
em: 9 nov. 2020.
TEORIA EM PRÁTICA
Considere que sua organização está realizando um processo 
de aquisição de uma Solução de Tecnologia da Informação e 
Comunicação (Solução de TIC). Faz parte dessa Solução de TIC o 
https://www.in.gov.br/materia/-/asset_publisher/Kujrw0TZC2Mb/content/id/20239255/do1-2017-05-26-inst
https://www.in.gov.br/materia/-/asset_publisher/Kujrw0TZC2Mb/content/id/20239255/do1-2017-05-26-inst
https://www.in.gov.br/materia/-/asset_publisher/Kujrw0TZC2Mb/content/id/20239255/do1-2017-05-26-inst
41
serviço de sustentação de um determinado sistema de informação 
relacionado a uma área de negócio (unidade organizacional) 
da sua organização. Defina um SLA que assegure um nível 
tolerável de indisponibilidade para o sistema de informação 
correspondente. Defina também ao menos 2 (duas) sanções/
penalidades que devem ser aplicadas à contratada (fornecedor do 
serviço) em caso de não cumprimento do SLA. 
Para conhecer a resolução comentada proposta pelo 
professor, acesse a videoaula deste Teoria em Prática no 
ambiente de aprendizagem.
LEITURA FUNDAMENTAL
Indicação 1
Trata-se de uma tese de doutorado que apresenta aspectos 
do tema Acordo de Nível de Serviço com foco para níveis de 
serviço de segurança da informação relacionados a serviços de 
computação em nuvem. Recomenda-se a leitura dos capítulos 3 e 
4. 
Para realizar a leitura, acesse a plataforma EBSCOhost na 
Biblioteca Virtual da Kroton e busque pelo título da obra. 
ROJAS, M. A. T. Gerenciamento de acordo de nível de serviço 
de segurança para computação em nuvem. Tese apresentada 
à Escola Politécnica da Universidade de São Paulo para obtenção 
do grau de Doutor em Ciências. Universidade de São Paulo, Escola 
Politécnica. São Paulo: 2016.
Indicações de leitura
42
Indicação 2
Os indicadores-chaves de desempenho (KPIs) se revelam 
grandes aliados aos gestores de empresas e auxiliam para elas 
se manterem competitivas e ativas no mercado. Trata-se de um 
Trabalho de Conclusão de Curso que descreve por meio de um 
estudo de caso a definição e implantação de indicadores-chaves 
de desempenho em uma empresa de tecnologia da informação. 
Recomenda-se a leitura do Capítulo 2.
RIBEIRO FILHO, J. Definição e implantação de KPIs para auxiliar 
a gestão de uma empresa de softwares. Trabalho de Conclusão 
de Curso apresentado como requisito parcial para obtenção do 
título de Graduação no Curso Superior de Engenharia de Produção 
da Universidade Federal de Uberlândia. Universidade Federal de 
Uberlândia. Uberlândia: 2014.
QUIZ
Prezado aluno, as questões do Quiz têm como propósito a 
verificação de leitura dos itens Direto ao Ponto, Para Saber 
Mais, Teoria em Prática e Leitura Fundamental, presentes neste 
Aprendizagem em Foco.
Para as avaliações virtuais e presenciais, as questões serão 
elaboradas a partir de todos os itens do Aprendizagem em Foco 
e dos slides usados para a gravação das videoaulas, além de 
questões de interpretação com embasamento no cabeçalho 
da questão.
1. Sobre indicadores e métricas, é correto afirmar que: 
43
a. São as métricas que efetivamente vão avaliar o 
desempenho dos serviços que estão sendo executados 
pelo fornecedor (contratada).
b. As métricas são definidas com base nos indicadores.
c. As métricas são os parâmetros utilizados para elaboração 
dos indicadores. 
d. O nível de serviço que foi acordado anteriormente entre 
as partes é o valor atribuído a uma determinada métrica.
e. Indicadores e métricas são componentes-chaves de um 
SLA, pois eles são utilizados para verificar se os objetivos 
estratégicos da organização estão sendo atingidos.
2. Sobre o processo de gerenciamento de riscos e sua relação 
com a elaboração de SLAs, podemos afirmar que: 
a. O Gerenciamento de Riscos é um dos fatores críticos de 
sucesso na elaboração de um SLA. Ele vai influenciar na 
definição dos indicadores e metas que farão parte do SLA.
b. O gerenciamento de riscos é o processo para identificar, 
avaliar, tratar, administrar e controlar SLAs.
c. Tratamento de riscos consiste da mensuração da 
probabilidade de ocorrência e do impacto de cada risco.
d. A materialização do gerenciamento de riscos se dá por meio 
do Mapa de Riscos, que é o documento que contém todos 
os indicadores e métricas que compõem o SLA.
e. Por meio de processo da gestão de riscos é possível definir 
indicadores e metas que mitigam a probabilidade da 
ocorrência de um evento de risco.
null
null
44
GABARITO
Questão 1 - Resposta C
Resolução: São os indicadores que efetivamente vão avaliar 
o desempenho dos serviços que estão sendo executados pelo 
fornecedor (contratada).
Os indicadores são definidos com base em métricas.
O nível de serviço que foi acordado anteriormente entre as 
partes é o valor atribuído a um determinado indicador.
Indicadores e métricas são componentes-chaves de um SLA, 
pois eles são utilizados para verificar se o nível de serviço está 
sendo atendido.
Questão 2 - Resposta A
Resolução: Gerenciamento de Riscos é um processo que 
consiste nas seguintes atividades:
I - identificação dos principais riscos que possam comprometer 
a efetividade do Planejamento da Contratação, da Seleção do 
Fornecedor e da Gestão Contratual ou que impeçam o alcance 
dos resultados que atendam às necessidades da contratação;
II - avaliação dos riscos identificados, consistindo da mensuração 
da probabilidade de ocorrência e do impacto de cada risco;
III - tratamento dos riscos considerados inaceitáveis por meio da 
definição das ações para reduzir a probabilidadede ocorrência 
dos eventos ou suas consequências;
IV - para os riscos que persistirem inaceitáveis após o 
tratamento, definição das ações de contingência para o caso de 
os eventos correspondentes aos riscos se concretizarem; e
45
V - definição dos responsáveis pelas ações de tratamento dos 
riscos e das ações de contingência. (BRASIL, 2017)
Tratamento dos riscos consiste na definição das ações para 
reduzir a probabilidade de ocorrência dos eventos ou suas 
consequências (BRASIL, 2017).
Mapa de Riscos, que, segundo Brasil (2017, p. 17), é o 
documento “elaborado para identificação dos principais riscos 
que permeiam o procedimento de contratação e das ações para 
controle, prevenção e mitigação dos impactos”.
Por meio de processos de gerenciamento de riscos é possível 
definir indicadores e metas que reduzam a probabilidade da 
ocorrência de um evento de risco ou que mitiguem o impacto 
da ocorrência desses eventos.
BONS ESTUDOS!
	Apresentação da disciplina
	Introdução
	TEMA 1
	Direto ao ponto
	Para saber mais
	Teoria em prática
	Leitura fundamental
	Quiz
	Gabarito
	TEMA 2
	Direto ao ponto
	Teoria em prática
	Leitura fundamental
	Quiz
	Gabarito
	TEMA 3
	Direto ao ponto
	Para saber mais
	Teoria em prática
	Leitura fundamental
	Quiz
	Gabarito
	TEMA 4
	Direto ao ponto
	Teoria em prática
	Leitura fundamental
	Quiz
	Gabarito
	Botão TEMA 5: 
	TEMA 2: 
	Botão 158: 
	Botão TEMA4: 
	Inicio 2: 
	Botão TEMA 6: 
	TEMA 3: 
	Botão 159: 
	Botão TEMA5: 
	Inicio 3: 
	Botão TEMA 7: 
	TEMA 4: 
	Botão 160: 
	Botão TEMA6: 
	Inicio 4: 
	Botão TEMA 8: 
	TEMA 5: 
	Botão 161: 
	Botão TEMA7: 
	Inicio 5: