Estudo_de_Caso(1)

Prévia do material em texto

C aso de Estudo sobre Segurança em Redes de Computadores
A cidente ocorrido em 3/07/2008
G randes empresas sofrem com queda da rede da Telefonica.
Empresas como Marisa, Europ-Assistance, Makro e Eletropaulo estão indefesas diante da queda do sistema da Telefônica e já contabilizam prejuízo
Grandes empresas privadas e órgãos da administração pública nos âmbitos federal, estadual e municipal estão enfrentando problemas desde a tarde de ontem (02/07/08), por conta de falha técnica em equipamentos da Telefonica que está afetando sua rede de transmissão de dados.
Informações preliminares apontam para problemas no backbone da operadora que está impactando todos os usuários - empresas, governo e clientes residenciais - dos serviços de acesso à internet.
A rede de lojas Marisa define a situação como "muito complicada". Segundo o responsável pela área de infra-estrutura de TI da varejista, Sérgio Oliveira, a Telefonica ainda não se pronunciou sobre o motivo da queda do sistema.
"O cartão Marisa, private label, é o único que está em funcionamento. Agora só está mais tranquilo porque os clientes já estão cientes do problema", afirma Oliveira. Segundo ele, as
empresas estão em busca de uma resposta e, diante da falta de informação, já estão procurando a sede da Telefonica na Espanha.
Com todo o relacionamento com clientes e fornecedores automatizado por meio de uma extranet, a Europ-assistance também vem sendo prejudicada pela queda da rede. Adriano Aquino, CIO da empresa, conta que está com problemas de acesso há quase 24 horas e ainda não tem previsão de normalização.
"A comunicação com clientes e fornecedores, todas as aplicações web e o contato com a unidade do Rio de Janeiro (feito via VPN) estão paralisados", revela, explicando que a empresa não possui redundância total do acesso. "Já estávamos fazendo os planos para contingenciar, mas agora certamente colocaremos em prática."
A rede atacadista Makro ficou com pontos-de-venda até dez horas sem links terrestres. Marco Antonio Ferreira Souza, CIO da companhia, afirma que nenhuma loja ficou parada, porque os sistemas estão montados para funcionarem mesmo sem rede, mas "não havia como mudar o preço de nenhum produto ou estabelecer qualquer comunicação por voz". A situação foi normalizada e, hoje, a Makro não registrou nenhum problema.
A AES Eletropaulo, empresa de transmissão e distribuição de energia, também sofre com os problemas na rede da Telefonica. Segundo o atendimento à imprensa da companhia, nenhum sistema ou serviço foi paralisado, mas "as lojas de atendimento, os postos 'Mais' da Eletropaulo e o call center estão atendendo com
dificuldades". A companhia, que presta um serviço público, afirma que mantém contato com a Telefonica e aguarda a estabilização, mas diz ainda não ter previsão de retorno.
P rejuízos
A multinacional varejista francesa Fnac apontava até às 16 horas que o acesso ao seu site havia despencado quase 30%. A empresa, porém, espera recuperar o volume de acessos e vendas à noite - se o sistema já estiver normalizado - período em que a maioria das pessoas geralmente define as compras.
A Marisa já tem uma equipe montada para avaliar os prejuízos. "Já temos gente fazendo contas do impacto no negócio, afinal, estamos fora desde ontem", garante o diretor de infra- estrutura, Sérgio Oliveira. Enquanto tenta resolver a crise, Oliveira afirma que já pensa em um plano de contingência que passem por outra operadora.
h ttps://computerworld.com.br/2008/07/03/grandes-empresas-sofrem-com-queda-da- r ede-da-telefonica/ Acesso em 03/07/2008
B ug da Telefônica deixa órgãos do governo de SP sem sistema
Pane impede registros de Boletins de Ocorrência e outros serviços. Falha na rede atinge outros órgãos públicos e residenciais.
As delegacias da Polícia Civil e unidades do Detran, Poupatempo e Secretaria de Segurança Pública do Estado de São Paulo estão sem sistema desde as 22h da quarta-feira (02/07/08). A pane, supostamente na rede da Telefônica, está impedindo o registro de Boletim de Ocorrência e outros serviços.
A assessoria da Polícia Civil não deu um número exato de quantas delegacias estão enfrentando o problema, mas confirmou que todas as unidades da capital paulista e algumas do interior foram atingidas.
Quem se dirige às delegacias está sendo aconselhado a aguardar ou até mesmo voltar em outro horário, até que o sistema seja restabelecido.
Além dos órgãos públicos, outros estabelecimentos comerciais e muitos usuários residenciais do Speedy não conseguem se conectar.
O atendimento ao consumidor do Speedy informou que a estabilidade da rede deve retornar ao meio-dia desta quinta-feira (03/07/08).
h ttps://computerworld.com.br/2008/07/03/bug-da-telefonica-deixa- o rgaos-do-governo-de-sp-sem-sistema /
Acesso em 03/07/2008
Pane impede registros de Boletins de Ocorrência e outros serviços. Falha na rede atinge outros órgãos públicos e residenciais.
As delegacias da Polícia Civil e unidades do Detran, Poupatempo e Secretaria de Segurança Pública do Estado de São Paulo estão sem sistema desde as 22h da quarta-feira (02/07). A pane, supostamente na rede da Telefônica, está impedindo o registro de Boletim de Ocorrência e outros serviços.
A assessoria da Polícia Civil não deu um número exato de quantas delegacias estão enfrentando o problema, mas confirmou que todas as unidades da capital paulista e algumas do interior foram atingidas.
Quem se dirige às delegacias está sendo aconselhado a aguardar ou até mesmo voltar em outro horário, até que o sistema seja restabelecido.
Além dos órgãos públicos, outros estabelecimentos comerciais e muitos usuários residenciais do Speedy não conseguem se conectar.
O atendimento ao consumidor do Speedy informou que a estabilidade da rede deve retornar ao meio-dia desta quinta-feira (04/07).
A char falha em rede é como procurar "anel na praia", diz p residente da Telefônica
Plantão | Publicada em 03/07/2008 às 20h35m - Valor Online
SÃO PAULO - O presidente da Telefônica, Antonio Carlos Valente, afirmou há pouco que a companhia ainda não conseguiu identificar a falha que provocou uma pane em sua rede de transmissão de dados. Segundo o executivo, não se sabe qual é o defeito nem em qual pedaço da rede ele se encontra. Estamos procurando um anel na praia, disse.
Valente disse que mais de cem funcionários da Telefônica e de seus fornecedores de infra-estrutura estão trabalhando para localizar e contornar o problema. No entanto, não há previsão sobre quando o serviço será normalizado.
O que se sabe é que a falha ocorre na rede de transmissão de dados para clientes empresariais da Telefônica. Indiretamente, o problema acaba afetando assinantes residenciais do serviço de banda larga da companhia. Isso acontece nos casos em que o provedor de acesso à internet usado por esses assinantes é, ele próprio, um cliente da operadora.
(Talita Moreira | Valor Econômico, para o Valor Online)
h ttps://oglobo.globo.com/economia/achar-falha-em-rede-como-procurar-anel-na-praia- d iz-presidente-da-telefonica-3610419
Acesso em 03/07/2008
A plicando soluções de TI, ITIL e Cobit
Segundo Weill e Ross (2006) a Governança de TI consiste em um ferramental para a especificação dos direitos de decisão e responsabilidade, visando encorajar comportamentos desejáveis no uso da TI.
A ISO/IEC 38.500 (ABNT 2009), diz que a Governança de TI "é o sistema pelo qual o uso atual e futuro da TI são dirigidos e controlados. Significa avaliar e direcionar o uso da TI para dar suporte à organização e monitorar seu uso para realizar planos. Inclui a estratégia e as políticas de uso da TI dentro da organização".
Fernandes e Abreu (2012), após analisarem estes conceitos, concluíram que a Governança de TI, como disciplina, busca o direcionamento da TI para atender ao negócio e o monitoramento para verificar a conformidade com o direcionamento tomado pela administração da organização. Afirma ainda, que a governança de TI não é somente de modelos de melhores práticas como ITIL, CobiT.
C OBIT
É um guia de boas práticasapresentado como framework, dirigido para a gestão de tecnologia de informação (TI). Mantido pelo ISACA (Information Systems Audit and Control Association), possui uma série de recursos que podem servir como um modelo de referência para gestão da TI, incluindo um sumário executivo, um framework, objetivos de controle, mapas de auditoria, ferramentas para a sua implementação e principalmente, um guia com técnicas de gerenciamento.
Especialistas em gestão e institutos independentes recomendam o uso do Cobit como meio para otimizar os investimentos de TI, melhorando o retorno sobre o investimento (ROI) percebido, fornecendo métricas para avaliação dos resultados (Key Performance Indicators KPI, Key Goal Indicators KGI e Critical Success Factors CSF).
I TIL
Information Technology Infrastructure Library, (ITIL) é um conjunto de boas práticas para serem aplicadas na infraestrutura, operação e gerenciamento de serviços de tecnologia da informação (ITSM). Foi desenvolvido no final dos anos 1980 pela CCTA (Central Computer and Telecommunications Agency), hoje OGC (Office for Government Commerce) do Reino Unido.
O modelo ITIL busca promover a gestão com foco no cliente e na qualidade dos serviços de tecnologia da informação (TI). O ITIL lida com estruturas de processos para a gestão de uma organização de TI apresentando um conjunto abrangente de processos e procedimentos gerenciais, organizados em disciplinas, com os quais uma organização pode fazer sua gestão tática e operacional em vista de alcançar o alinhamento estratégico com os negócios.
S OX
A lei Sarbanes-Oxley, apelidada de Sarbox ou ainda de SOX, visa garantir a criação de mecanismos de auditoria e segurança confiáveis nas empresas, incluindo ainda regras para a criação de comitês encarregados de supervisionar suas atividades e operações, de modo a mitigar riscos aos negócios, evitar a ocorrência de fraudes ou assegurar que haja meios de identificá-las quando ocorrem, garantindo a transparência na gestão das empresas.
B S7799
British Standard 7799 foi um padrão publicado originalmente pelo BSI Group (BSI) em 1995. Foi escrita pelo Departamento de Industria e Comércio do Governo do Reino Unido e consiste de várias partes.
A primeira parte, contendo as melhores práticas para o Gerenciamento de Segurança da Informação, foi revisada em 1998.
Após uma longa discussão nos órgãos mundiais de padrões, foi adotada eventualmente pela ISO como ISO/IEC 17799, "Tecnologia da Informação - Código de prática para gerenciamento de segurança da informação" em 2000. A ISO/IEC 17799 foi então revisada em junho de 2005 e finalmente incorporada nas séries de padrões ISO 27000 como ISO/IEC 27002 em julho de 2007.
B SC
Balanced Scorecard (BSC) é uma metodologia de medição e gestão de desempenho desenvolvida pelos professores da Harvard Business School (HBS) Robert Kaplan e David Norton, em 1992. Os métodos usados na gestão do negócio, dos serviços e da infra- estrutura baseiam-se normalmente em metodologias consagradas que podem utilizar a TI (tecnologia da informação) e os softwares de ERP (Enterprise Resource Planning) como soluções de apoio, relacionando-a à gerência de serviços e garantia de resultados do negócio.
Os passos dessas metodologias incluem: definição da estratégia empresarial, gerência do negócio, gerência de serviços e gestão da qualidade; passos estes implementados através de indicadores de desempenho.
C MM
Capability Maturity Model (CMM ou Modelo de Maturidade em Capacitação), também conhecido como Software CMM (SW-CMM) pode ser definido como sendo uma soma de "melhores práticas" para diagnóstico e avaliação de maturidade do desenvolvimento de softwares em uma organização.
"CMM" não deve ser entendido como sendo uma metodologia, pois o "CMM" não diz exatamente como fazer, mas sim o que deve ser feito (melhores práticas).
Ele descreve os principais elementos de um processo de desenvolvimento de software. O CMM descreve os estágios de maturidade por que passam as organizações enquanto evoluem no seu ciclo de desenvolvimento de software, através de avaliação contínua, identificação de problemas e ações corretivas, dentro de uma estratégia de melhoria dos processos.
C OSO
O COSO (Committee of Sponsoring Organizations of the Treadway Commission) é uma organização privada criada nos EUA em 1985 para prevenir e evitar fraudes nos procedimentos e processos internos da empresa.
Inicialmente criada como National Commission on Fraudulent Financial Reporting (em português: Comissão Nacional sobre
Fraudes em Relatórios Financeiros), essa comissão era formada por representantes das principais associações de classes de profissionais ligados à área financeira.
O primeiro objeto de estudo da comissão foram os controles internos das empresas. Essa comissão posteriormente tornou-se um comitê e passou a se chamar COSO - Committee of Sponsoring Organizations of the Treadway Commission (em português: Comitê das Organizações Patrocinadoras da Comissão Treadway).
O COSO é uma organização sem fins lucrativos, dedicada a melhoria dos relatórios financeiros, sobretudo pela aplicação da ética e efetividade na aplicação e cumprimento dos controles internos e é patrocinado pelas cinco das principais associações de classe de profissionais ligados à área financeira nos EUA.
Em decorrência da globalização e padronização internacional das técnicas de auditoria, as recomendações da COSO, relativas aos controles internos, bem como seu cumprimento e observância, são amplamente praticados e tidos como modelo e referência no Brasil e na maioria dos países do mundo.
6- SIGMA
Seis Sigma ou Six Sigma (em inglês) é um conjunto de práticas originalmente desenvolvidas pela Motorola para melhorar sistematicamente os processos ao eliminar defeitos.Um defeito é definido como a não conformidade de um produto ou serviço com
suas especificações. Seis Sigma também é definido como uma estratégia gerencial para promover mudanças nas organizações, fazendo com que se chegue a melhorias nos processos, produtos e serviços para a satisfação dos clientes.
Diferente de outras formas de gerenciamento de processos produtivos ou administrativos o Six Sigma tem como prioridade a obtenção de resultados de forma planejada e clara, tanto de qualidade como principalmente financeiros.
S OA
O SOA coloca a prestação de serviço como eixo de todo o negócio, dando destaque à gestão de serviços e ao cliente.
S erviço	É	uma	função	independente,	sem	estado
(stateless) que aceita uma ou mais requisições e devolve uma ou mais respostas através de uma interface padronizada e bem definida.
Serviços podem também realizar partes discretas de um processo tal como editar ou processar uma transação. Serviços não devem depender do estado de outras funções ou processos. A tecnologia utilizada para prover o serviço, tal como uma linguagem de programação, não pode fazer parte da definição do serviço.
O rquestração Processo de sequenciar serviços e prover
uma	lógica	adicional	para	processar	dados.	Não	inclui	uma representação de dados.
S tateless	Não	depende	de	nenhuma	condição	pré-
existente. Os serviços não devem depender de condições de outros serviços. Eles recebem todas as informações necessárias para prover uma resposta consistente.
O objetivo de buscar a característica de stateless dos serviços é possibilitar que o consumidor do serviço possa sequenciá-lo, ou seja, orquestrá-los em vários fluxos (algumas vezes chamados de pipelines) para executar a lógica de uma aplicação.
P rovedor O recurso que executa o serviço em resposta a
uma requisição de um consumidor.
C onsumidor É quem consome ou pede o resultado de um
serviço fornecido por um provedor.
D escoberta SOA se baseia na capacidade de identificar
serviços e suas características. Consequentemente, esta arquitetura depende de um diretório que descreva quais os serviços disponíveis dentro de um domínio.
B inding A relação entre os serviços do provedor e do
consumidor deve ser idealmente dinâmica; ela é estabelecidaem tempo de execução através de um mecanismo de binding.
S OA
Departamentos de TI estão gerenciando portfólios cada vez mais complexos. Contudo, conforme as necessidades dos negócios mudam, esses departamentos ainda precisam assegurar que suas tecnologias continuem alinhadas com as metas comerciais. Deixar de fazer isso compromete a agilidade organizacional.
A orientação a serviços é uma abordagem a organizar recursos de TI distribuídos em uma solução integrada que desmembre silos de informação e maximize a agilidade dos negócios.
A orientação a serviços separa os recursos de TI em módulos, criando processos de negócios do tipo "loosely coupled" e que integram informações entre sistemas de negócios. Cada recurso de TI, seja um aplicativo, sistema ou parceiro comercial, pode ser acessado como um serviço.
Esses recursos são disponíveis através de interfaces; a complexidade surge quando os provedores de serviços diferem em seus sistemas operacionais ou protocolos de comunicação, resultando em inoperabilidade.
P MO
O Escritório de projetos (EP) ou PMO (Project Management Office) nada mais é do que um departamento dentro das organizações que tem por missão de manter uma visão integrada do plano estratégico em toda a cadeia de valor da organização e o objetivo de garantir a implementação dentro do prazo e custo definidos no plano estratégico.
Ele é responsável por reunir todo o portfólio da empresa e conduzir, planejar, organizar, controlar e finalizar as atividades dos projetos da melhor forma possível assim como aprovar novos projetos de acordo com o plano estratégico da empresa.
Ele abriga pessoas com conhecimento de Gerência de Projetos com capacidade para prestarem todo o suporte necessário aos responsáveis por cada projeto assim como para suas equipes.
R OI
Em finanças, retorno sobre investimento (em inglês, return on investment ou ROI), também chamado taxa de retorno (em inglês, rate of return ou ROR), taxa de lucro ou simplesmente retorno, é a relação entre a quantidade de dinheiro ganho (ou perdido) como resultado de um investimento e a quantidade de dinheiro investido.
Existem três formulações possíveis de taxa de retorno, são elas:
· retorno efectivo.
· retorno exigido.
· retorno previsto.
O V PL (Valor Presente Líquido) é um cálculo que é realizado
para determinar se um projecto de investimento é adequado ou não.
A T IR (Taxa Interna de rotorno) é o cálculo que lhe permite saber
o que é a taxa que torna o VPL igual a zero.
O R OI (renda/ativo) permite que a taxa de lucro contábil, mas é
um dado que não leva em conta o valor do dinheiro no tempo, por isso não é um bom indicador.
A relação custo/benefício é o que permite que o rendimento de equilíbrio e despesas, passado, presente e futuro, a fim de obter uma rentabilidade sobre o investimento.
S LA
O SLA consiste num contrato entre duas partes: entre a entidade que pretende fornecer o serviço e o cliente que deseja se beneficiar deste.
Nestes SLA ou ANS estão especificados, detalhadamente, todos os aspectos do tipo de serviço que será prestado, assim como os prazos contratuais, a qualidade do serviço e o preço a ser pago pelo trabalho.
I SO 9000
A expressão ISO 9000 designa um grupo de normas técnicas que estabelecem um modelo de gestão da qualidade para organizações em geral, qualquer que seja o seu tipo ou dimensão.
ISO é uma organização não-governamental fundada em 1947, em Genebra, e hoje presente em cerca de 189 países. A sua função é a de promover a normatização de produtos e serviços, para que a qualidade dos mesmos seja permanentemente melhorada.
A	Gestão de Incidentes
A Gestão de Incidentes (ou Gerenciamento de Incidentes)é um processo ITIL que tem como principal objetivo restaurar a operação normal do serviço o mais rápido possível, minimizando os prejuízos à operação do negócio e garantindo assim o melhor nível de serviço e disponibilidade. A operação normal do serviço é definida dentro do acordo de nível de serviço que é um outro processo ITIL.
Perguntas:
1. O que você entende por Gerenciamento de Redes? Quais os benefícios que uma gerencia de redes “bem feita” pode trazer para uma empresa?
2. Lendo os textos anteriores, descreva qual é a importância de uma rede de computadores para uma empresa. Falhas como esta ocorrida na rede da Telefônica em 2008 podem afetar o negócio de uma empresa até que ponto?
3. O que pode ser feito para minimizar o impacto de falhas desse tipo em uma empresa?
4. O que seria contingência de redes, citado no texto? Qual a importância dela na rede de uma empresa?
5. Você acredita que a falha da rede da Telefônica pode ter sido causada por falha no seu sistema de gerenciamento da rede?
6. Se falhas podem ocorrer a qualquer momento e ocorrem até em uma empresa do porte da Telefônica, por que então investir em Gerenciamento de Redes?
7. Você acha que o presidente da Telefônica está correto ao afirmar que “Achar falha em rede é como procurar anel na praia”?
8. 	O gerenciamento de redes de computadores está diretamente associado à tarefa do administrador, sendo um processo de executar ações com base nos dados coletados. O conceito de gerência total engloba os gerenciamentos de falhas, de configuração, de desempenho, de segurança e de contabilização, onde a informação é a base. Um primeiro tipo está relacionado ao fornecimento de mensagens com a descrição das conexões e equipamentos ativos, enquanto que um segundo está associado à contagem de pacotes, além de solicitações de acesso a disco e acesso a programas específicos.