CHQAO - GTI Unid 02

Prévia do material em texto

GESTÃO DA 
TECNOLOGIA
DA INFORMAÇÃO
GESTÃO DE 
MATERIAL E 
PATRIMÔNIO
GESTÃO DE 
PESSOAS NA 
ADMINISTRAÇÃO 
PÚBLICA
FUNDAMENTOS
DO DIREITO 
PÚBLICO E PRIVADO
ADMINISTRAÇÃO 
PÚBLICA BRASILEIRA
GESTÃO ORÇAMENTÁRIA 
E FINANCEIRA
GESTÃO DE 
QUALIDADE EM SERVIÇOS
CHQAO
Curso de Habilitação ao Quadro Auxiliar de Oficiais
Coordenação Didático-Pedagógica
Stella M. Peixoto de Azevedo Pedrosa
Redação Pedagógica
Alessandra Muylaert Archer
Frieda Marti
Tito Ricardo de Almeida Tortori 
Revisão
Alessandra Muylaert Archer
Projeto Gráfico e Diagramação 
Romulo Freitas
Coordenação de Conteudistas
Roberto Blaschek
Conteudista
Joaquim Santos Neto
Produção
Pontifícia Universidade Católica do Rio de Janeiro 
Realização 
EsIE – Escola de Instrução Especializada
Exército Brasileiro
Gestão da tecnologia da informação / coordenação 
didático-pedagógica: Stella M. Peixoto de Azevedo Pedrosa ; 
redação pedagógica: Alessandra Muylaert Archer, Frieda Marti, 
Tito Ricardo de Almeida Tortori – Rio de Janeiro : PUC-Rio, 
CCEAD, 2013.
3 v. : il. (color.) ; 21 cm
Inclui bibliografia 
Conteúdo: unidade 2. Infraestrutura, governança e 
segurança de TI / conteudista: Joaquim Santos Neto.
1. Tecnologia da informação. 2. Gestão do conhecimento. 
3. Sistemas de informação gerencial. 4. Comércio eletrônico. I. 
Pontifícia Universidade Católica do Rio de Janeiro.
CDD: 004
GESTÃO DA TECNOLOGIA DA INFORMAÇÃO
Unidade 2 
INFRAESTRuTuRA, GOvERNANÇA E SEGuRANÇA DE TI
CHQAO
Curso de Habilitação ao Quadro Auxiliar de Oficiais
APRESENTAÇÃO
O Curso de Habilitação ao Quadro de Auxiliar de Oficiais (CHQAO), 
conduzido pela Escola de Instrução Especializada (EsIE), visa habilitar os 
subtenentes à ocupação de cargos e ao desempenho de funções previstas 
para o Quadro Auxiliar de Oficiais. 
A disciplina Gestão da Tecnologia da Informação (GTI), iniciada nesta 
apostila, possui carga horária total de 60 horas. 
Os objetivos gerais dessa disciplina são:
•	 Desenvolver a capacidade de planejamento em TI.
•	 Construir competências para a criação e inovação de estratégias 
vencedoras na área de Tecnologia da Informação.
•	 Conhecer os principais sistemas de TI utilizados pelo Exército Brasileiro.
Nesta apostila será apresentada a Unidade II – Infraestrutura, Governança 
e Segurança de TI, cujos objetivos específicos estarão no início de cada 
capítulo.
Boa leitura!
Joaquim Santos Neto é mestre em Ciência da Computação na COPPE – UFRJ, 
atua desde 1999 ministrando aulas nos cursos de extensão da PUC-Rio. Pu-
blicou artigos e realizou palestras no âmbito nacional e internacional. Possui 
experiência de 20 anos na área de Tecnologia da Informação, administração de 
departamento de Informática (Gestão de Pessoal, PDI e Business Plan), desen-
volvimento de sistemas (Sistemas Web, Client/Server, Data Mart, Data Wa-
rehouse e Banco de Dados) e projeto de infraestrutura de redes, fornecendo à 
organização vantagens competitivas através da TI.
CONTEuDISTA
ÍNDICE
1. CONCEITOS BÁSICOS DE TELECOMUNICAÇÕES
1.1 TRANSMISSÃO DE DADOS
1.2 TOPOLOGIA DE REDE
2. BUREAU DE SERVIÇOS
3. INTERNET DATA CENTER
4. SEGURANÇA DA INFORMAÇÃO 
4.1 PRINCÍPIOS DA SEGURANÇA DA INFORMAÇÃO
4.2 NORTI – NORMAS PARA O CONTROLE DA UTILIZAÇÃO 
DOS MEIOS DE TECNOLOGIA DA INFORMAÇÃO NO EXÉRCITO
4.3 ESTRATÉGIAS FUNDAMENTAIS DE PROTEÇÃO 
5. CRIPTOGRAFIA
6. SECURE SOCKETS LAYER
7. OUTSOURCING EM TI
8. GOVERNANÇA CORPORATIVA
8.1 GOVERNANÇA EM TI
9. BIBLIOGRAFIA
09
09
12
17
19
23
23
28
30
33
39
41
45
46
49
GESTÃO DA TECNOLOGIA DA INFORMAÇÃO - U2 
9
Objetivos específicos
•	 Apresentar conceitos básicos de telecomunicações.
1
Desde o início da humanidade o homem se utiliza de meios de comunicação 
para trocar informações, sejam pessoais, de negócio ou vitais à sobrevivência 
como, por exemplo, médicas. Com o surgimento das telecomunicações, 
tais informações puderam chegar mais rápido e mais longe, proporcionando 
conectividade entre as pessoas. A própria internet, rede de computadores 
mundial, é um exemplo disso, sendo um meio de divulgação da informação a 
nível planetário. Computadores no mundo todo trocam informações através 
dessa grande rede.
CONCEITOS báSICOS 
DE TELECOMuNICAÇõES
Vejamos, então, qual a nomenclatura utilizada em transmissão de dados e que 
prefixos e valores são usados para representar as respectivas taxas de transmissão.
1.1 TRANSMISSÃO DE DADOS
As bandas passantes (bandwidth) determinam o volume de dados transmiti-
dos de um computador para outro por unidade de tempo. Os dados são trans-
mitidos em diversas taxas de transferência e essas taxas determinam o número 
de [bits] que são transmitidos por segundo. Originalmente, as taxas de trans-
missão eram de 1.200 bps (1.200 bits por segundo) (GOLENNIEWSKI, 2006). 
bit: uma simplificação 
para o termo “dígito binário”, 
do inglês “binary digit”. É a 
unidade usada na computação 
e na teoria da informação 
para armazenar ou transmitir 
informação. Um bit corres-
ponde a apenas dois valores 
possíveis: 0 (falso) ou 1 
(verdadeiro).
Uma rede de computadores consiste na interligação de disposi-
tivos, cujo volume de dados transmitidos é um fator relevante.
Curso de Habilitação ao Quadro auxiliar de ofiCiais
10
É muito comum em telecomunicações o uso de prefixos para determinar a 
taxa de transferência de uma banda passante. Entretanto, considerando que 
a comunicação eletrônica usa linguagem binária (uso de algarismos 0 e 1), 
os prefixos do Sistema Internacional de medidas (SI), que especifica um con-
junto de métricas para determinadas grandezas (quilo, mega , giga, etc.) não 
se aplicam corretamente, pois estão formulados em base 10 (uso de algaris-
mos de 0 a 9). Isso gera um erro comum em operadoras de telecomunicação 
e fabricantes de equipamentos, que é o uso de prefixos do SI na transmissão 
de dados binários, representado no exemplo a seguir:
•	 Kbps (Kilo bps = 1.000 bits/segundo)
•	 Mbps (Mega bps = 1.000.000 bits/segundo)
•	 Gbps (Giga bps = 1.000.000.000 bits/segundo)
•	 Tbps (Tera bps = 1.000.000.000.000 bits/segundo)
•	 Pbps (Peta bps = 1.000.000.000.000.000 bits/segundo)
•	 Zbps (Zeta bps = 1.000.000.000.000.000.000 bits/segundo)
•	 Ybps (Yotta bps = 1.000.000.000.000.000.000.000 bits/segundo) 
O uso de prefixos do Sistema Internacional (SI) (giga, mega e 
kilo) em telecomunicações não exprime a quantidade correta 
de bits que são transmitidos em uma banda passante, uma 
vez que a base de numeração utilizada é binária (base 2) e não 
a decimal (base 10). Sendo assim:
•	 1 Kbps em telecom não é 1.000 bits por segundo e sim 
1.024 bits por segundo. 
•	 Logo, o prefixo K = 1.000 não pode ser usado, sendo subs-
tituído pelo Ki = 1.024 
•	 1Kibps = 1.024 bits por segundo.
Para atender à necessidade de telecomunicação sem ambiguidades, a norma 
IEC 80000-13:2008 (Information Science and Technology) define os prefixos 
binários apresentados no Quadro 1:
GESTÃO DA TECNOLOGIA DA INFORMAÇÃO - U2 
11
NOME SÍMbOLO POTêNCIA = vALOR
kibi Ki 210 = 1.024
mebi Mi 220 = 1.048.576
gibi Gi 230 = 1.073.741.824
tebi Ti 240 = 1.099.511.627.776
pebi Pi 250 = 1.125.899.906.842.624
exbi Ei 260 = 1.152.921.504.606.846.976
zebi Zi 270 = 1.180.591.620.717.411.303.424
yobi Yi 280 = 1.208.925.819.614.629.174.706.176
Quadro 1 - Prefixos binários - norma IEC 80000-13 (2008)
O Quadro 2 ilustra as diversas taxas de transferência de dados, utilizando os 
prefixos estabelecidos pela IEC 80000-13.
TAxA DE TRANSFERêNCIA DESCRIÇÃO
1.200 bps 1.200 bits por segundo
2.400 bps 2.400 bits por segundo56 Kibps 57.344 bits por segundo
1 Mibps 1.048.576 bits por segundo
1 Gibps 1.073.741.824 bits por segundo
1 Tibps 1.099.511.627.776 bits por segundo
1 Pibps 1.125.899.906.842.624 bits por segundo
1 Eibps 1.152.921.504.606.846.976 bits por segundo
Quadro 2 – Taxas de transferência de acordo com a IEC 80000-13
As taxas de transferência Ki, Mi e Gi são amplamente utilizadas em vários 
equipamentos de rede, como modem, switches, roteadores, entre outros. As 
redes com taxas de transferência Tibps, Pibps e Eibps são esperadas para um 
futuro próximo. 
Curso de Habilitação ao Quadro auxiliar de ofiCiais
12
O aumento contínuo das taxas de transmissão advém do crescimento do uso 
da computação na internet em escala global. As aplicações voltadas às neces-
sidades dos usuários requerem cada vez mais banda passante para atender os 
diversos tipos de tráfego de dados. Cada tipo de tráfego tem um comporta-
mento diferenciado devido ao seu uso. Para tal, alguns requisitos essenciais, 
como por exemplo a banda passante necessária, as considerações de latência 
de transmissão de dados e a perda de dados, devem ser atingidos para possibi-
litar a transmissão e o seu uso correto pelas aplicações. 
Os quatro tipos de tráfego mais utilizados são: 
•	 dados 
•	 voz
•	 imagem 
•	 vídeo
Cada um exige requisitos específicos a serem atendidos. A construção de uma 
rede deve levar em consideração esses aspectos e determinar a topologia mais 
adequada para cada caso. 
1.2 TOPOLOGIA DE REDE 
A topologia de uma rede de computadores pode ser de dois tipos:
•	 Topologia física;
•	 Topologia lógica.
1.2.1 Topologia física
A topologia física depende do cabeamento físico utilizado. O layout do 
cabeamento, a localização dos nós e a sua interligação determinará o formato 
da rede.
Existem oito tipos de topologias físicas de rede:
a) Topologia point-to-point
A topologia de rede point-to-point (conectividade ponto a ponto) é a mais 
simples das topologias. É um modelo convencional de rede telefônica aplicada 
à rede de dados. 
GESTÃO DA TECNOLOGIA DA INFORMAÇÃO - U2 
13
As redes point-to-point podem ser:
•	 Permanentes: as duas extremidades estão sempre conectadas e ativas, 
como ilustrado na Figura 1.
Figura 1 – Topologia 
point-to-point
•	 Comutada (switched): Conforme ilustrado na Figura 2, a comunicação 
acontece quando um nó entra em contato com outro. A rede se estabe-
lece realizando a transmissão de dados. Ao final da transmissão todos os 
nós são desconectados. 
Rede
Comutada
Figura 2 – Topologia 
point-to-point comutada
b) Topologia bus
A topologia de rede em bus utiliza um único cabo coaxial com [conectores 
BNC] (conector Bayonet Neil Concelman), em que todos os dispositivos são 
conectados a ele. Em cada ponta há um terminador de 50 ohm que finaliza a 
rede. Os dados caminham na rede em ambos os sentidos.
Conector bNC (bayonet 
Neil Concelman): é um 
conector para cabos coaxiais 
tipo RG-58 e RG-59 utilizado 
para construir uma rede de 
computadores.
Figura 3 – Topologia bus
Figura 4 – Cabo coaxial Figura 5 – Conectores BNC 
Curso de Habilitação ao Quadro auxiliar de ofiCiais
14
c) Topologia star 
A topologia de rede star (em estrela) possui um ponto central de conexão 
ao qual todos os dispositivos estão conectados. Esse ponto é um equipamento 
denominado hub ou switch. Todo o tráfego passa por esse equipamento para 
ser transmitido entre os dispositivos da rede. Esse tipo de rede é normalmente 
utilizado com cabos de pares trançados (twisted pair cables).
Figura 7 – Cabo de par trançado com conector RJ45 
Figura 6 – Topologia star (em estrela)
d) Topologia ring
A topologia de rede ring (em anel) é uma topologia circular fechada. Cada 
dispositivo conectado à rede é um repetidor do dispositivo conectado a sua 
esquerda. O dado só circula no anel em um único sentido.
Figura 8 – Topologia em anel
e) Topologia mesh
A topologia de rede mesh se divide em dois tipos:
•	 Mesh Partially Connected (parcialmente conectadas): determinados dispo-
sitivos da rede estão conectados de forma ponto a ponto (point-to-point) 
a mais de um dispositivo da rede, criando algumas redundâncias na rede.
GESTÃO DA TECNOLOGIA DA INFORMAÇÃO - U2 
15
•	 Mesh Fully Connected (totalmente conectada): todos os dispositivos da 
rede estão conectados entre si.
Figura 9 – Mesh parcialmente conectada
Figura 10 – Mesh totalmente conectada
f) Topologia tree
A topologia de rede tree (em árvore) é baseada em hierarquia de dispositi-
vos na rede. O mais alto nível da rede é um nó simples, denominado nó raiz 
(root node). Os nós (dispositivos) conectados abaixo do nó raiz são conectados 
a um ou mais nós por meio de conexões point-to-point. 
Figura 11 – Topologia em árvore
Curso de Habilitação ao Quadro auxiliar de ofiCiais
16
g) Topologia hybrid
A topologia de rede hybrid ou híbridas são combinações de duas das topo-
logias já apresentadas, formando uma nova rede. Nesse caso é obrigatório que 
as características das duas topologias estejam presentes. Por exemplo, uma 
rede em estrela que nas pontas possua rede em anel.
h) Topologia daisy chain
Daisy chain é um tipo de topologia linear, na qual um computador é ligado 
após o outro. O último computador é o fim da linha e o primeiro é o início. O 
tipo de topologia aplicado nesse caso é a line (em linha) ilustrada na figura 12.
1.2.2 Topologia lógica 
Na topologia lógica o sentido que o dado flui determina a topologia da rede, 
não importando as conexões físicas realizadas para montá-la. A mesma classi-
ficação de topologia das redes físicas é utilizada, porém o sentido de fluxo dos 
dados é levado em consideração. As topologias lógicas são determinadas pelo 
protocolo de transmissão utilizado na rede e pelo MAC (Media Access Control).
Para que uma rede de computadores possa prover os serviços que hoje a inter-
net realiza, mais protocolos devem ser aplicados. O modelo OSI (Open System 
Interconnection – ISO/IEC 7498-1) define a arquitetura de um sistema de co-
municação e possui sete camadas, nas quais os protocolos são distribuídos. No 
caso da internet, o protocolo TCP/IP é o usado. Distribuído nas sete camadas 
OSI, o protocolo TCP/IP se apresenta da seguinte forma:
CAMADA PROTOCOLO
5. Aplicação
HTTP, SMTP, FTP, SSH, Telnet, SIP, RDP, IRC, SNMP, NNTP, 
POP3, IMAP, BitTorrent, DNS, Ping.
4. Transporte TCP, UDP, RTP, SCTP, DCCP.
3. Rede IP (IPv4, IPv6), ARP, RARP, ICMP, IPsec.
2. Enlace
Ethernet, 802.11 WiFi, IEEE 802.1Q, 802.11g, HDLC, 
Token ring, FDDI, PPP, Switch , Frame relay.
1. Física Modem, RDIS, RS-232, EIA-422, RS-449, Bluetooth, USB.
Figura 12 – Topologia em linha
Quadro 3 – Protocolo TCP/IP
O MaC (Media access Con-
trol) provê o endereçamento 
para acesso de um dispositivo 
na rede. São endereçamentos 
de 48 bits (ex: 00-B0-d0-86-
BB-F7) usados no protocolo 
ethernet. O CSMa/Cd (usado 
no ethernet e ieee 802.3), o 
Token Ring (ieee 802.5) e 
o CSMa/Ca (usado no ieee 
802.11/WiFi Wlans) são 
exemplos desses protocolos. 
GESTÃO DA TECNOLOGIA DA INFORMAÇÃO - U2 
17
buREAu DE SERvIÇOS2
A palavra bureau vem do francês e quer dizer escritório ou empresa. Bureau 
de serviços, então, é uma empresa que presta serviços através da cobrança 
de uma taxa por serviço prestado. Esse termo foi muito usado em Tecnologia 
da Informação no início da computação nos anos 50. Esse conceito vem sendo 
compreendido atualmente como outsourcing, a ser visto ainda nesta Unidade. 
Na década de 50, os mainframes (computadores de grande porte) só eram 
encontrados em grandes organizações. O tamanho desse equipamento era 
enorme, o que exigia uma grande área para sua instalação. A necessidadede 
infraestrutura de energia elétrica, refrigeração, entre outros, tornou a instala-
ção desse equipamento cara e complexa. O preço dos mainframes também era 
elevado, sendo somente adquirido por grandes corporações que tinham fôlego 
financeiro para implantar um sistema computacional. Empresas de médio e 
pequeno porte, apesar de terem necessidades computacionais, não podiam 
montar uma estrutura computacional devido ao custo.
Observando o mercado, algumas empresas entenderam que poderiam prestar 
serviços de computação para médias e pequenas empresas, alocando parte do 
dia do processamento do mainframe para empresas diferentes. Nasce então 
um negócio muito rentável de prestação de serviço: vendia-se tempo de pro-
cessamento para empresas rodarem seus programas, como folha de pagamen-
to, entre outros. Diversos serviços foram criados, como backup, armazenamen-
to de informação, impressão, plotagem, etc. Por conseguinte, os bureaus de 
serviços prestavam uma variedade de serviços diferenciados aos seus clientes.
Com o surgimento da computação pessoal e da tecnologia cliente/servidor, a 
computação começou a atender as empresas de médio e pequeno porte com 
custo adequado. Essas organizações montaram seus núcleos de processamen-
to dentro da própria empresa. 
Objetivos específicos
•	 Conceituar bureau de serviços.
Curso de Habilitação ao Quadro auxiliar de ofiCiais
18
A disseminação do conceito de outsourcing também foi um fator que impulsio-
nou esse segmento. Várias empresas terceirizam seus núcleos de processamen-
to com grandes empresas como a IBM, por exemplo, e os data centers prestam 
serviços de terceirização da infraestrutura de TI visando a redução de custo.
A computação na nuvem veio para redesenhar novamente o cenário de pres-
tação de serviços de TI. Os internet data centers criaram novos serviços para 
oferecer a seus clientes. Tais serviços inovadores, como por exemplo “software 
como serviço”, “plataforma como serviço” e “infraestrutura como serviço”, 
são as principais modalidades disponibilizadas. Os data centers passaram de 
um ambiente para conter os equipamentos para um internet data center que 
presta serviços para muitos usuários.
Observamos que o conceito de bureau de serviços está presente desde a 
década de 50 até hoje nos internet data centers. Essa tendência de prestação 
de serviços será a tônica para os próximos anos.
Para obter mais informações 
sobre data centers, acesse o 
link: <http://www.projeto-
deredes.com.br/artigos/arti-
go_datacenter.php> 
GESTÃO DA TECNOLOGIA DA INFORMAÇÃO - U2 
19
Objetivos específicos
•	 Definir internet data center.
•	 Citar as características do data center.
INTERNET DATA CENTER3
Os data centers são ambientes controlados, que possuem um grande con-
junto de equipamentos para prover serviços computacionais. São normalmente 
grandes salas com piso elevado, refrigeradas e com energia elétrica estabiliza-
da (nobreaks e geradores de energia). 
Os data centers têm uma gestão centralizada, o que permite às empresas 
operarem 24 horas nos 365 dias do ano. Dessa forma, diversos data centers 
espalhados em países diferentes são gerenciados simultaneamente de um pon-
to central. Essa distribuição geográfica proporciona maior segurança contra 
catástrofes em um data center específico. Assim, caso haja a perda de um data 
center, todos os serviços providos por ele podem ser remanejados para outro 
que esteja operando normalmente, proporcionando, então, serviços de Desas-
tre e Recuperação para a organização que opera dentro desses ambientes. Esse 
modelo está esquematizado na Figura 13 (ARREGOCES, 2003).
Centro de
gestão
Data Center 1
Data Center 2 Data Center 3
Data Center 4
Data Center 5Data Center 6
Figura 13 – Modelo de data 
center em conexão estrela
Curso de Habilitação ao Quadro auxiliar de ofiCiais
20
Não é de interesse das empresas que suas operações parem. Para tanto, neces-
sitam de ambientes mais seguros, como os data centers, para implantar seus 
sistemas computacionais. Dependendo do negócio, não há possibilidade de 
interrupção da operação. “Ambientes de Desastre e de Recuperação” são ne-
cessários. Esses ambientes operam em diferentes partes do globo terrestre. São 
diversos data centers prontos para assumir o serviço do outro. Esses serviços 
oferecidos pelos data centers garantem que pelo menos um deles esteja com 
capacidade máxima de atendimento, provendo todos os serviços computacio-
nais que a empresa necessita para operar seu negócio.
Dessa forma, podemos dizer que os objetivos dos data centers são:
•	 Oferecer o suporte de operações para que as organizações alcancem os 
seus objetivos de negócio.
•	 Diminuir os custos de operação e de manutenção do ambiente de TI 
(Tecnologia da Informação).
•	 Implantar rápidas aplicações de negócio.
•	 Consolidar os recursos de TI.
A norma ANSI/TIA942 define os requisitos padrão de um data center. O Qua-
dro 4 apresenta cada nível (tier) de um data center e define suas respectivas 
características.
TIER 1 – báSICO
DISPONIbILIDADE 
DE 99,671%
•	 Suscetível a paradas por atividades planejadas ou não.
•	 Caminho único para alimentação elétrica e distribuição de refrigeração. Não 
há componentes redundantes.
•	 Pode ou não ter piso elevado, nobreak e gerador.
•	 Demora três meses para ser implementado.
•	 Tempo de parada anual de 28,8 horas.
•	 Deve ser desligado completamente para realizar manutenção preventiva.
TIER 2 – COMPONENTES 
REDuNDANTES
DISPONIbILIDADE 
DE 99,741%
•	 Menos suscetível a paradas por atividades planejadas ou não.
•	 Caminho único para alimentação elétrica e distribuição de refrigeração. Inclui 
componentes redundantes.
•	 Piso elevado, nobreak e gerador.
•	 Demora de três a seis meses para ser implementado.
•	 Tempo de parada anual de 22 horas.
•	 Manutenção elétrica e de outras partes da infraestrutura necessitam de um 
processo de desligamento. 
GESTÃO DA TECNOLOGIA DA INFORMAÇÃO - U2 
21
TIER 3 – MANuTENÇÃO 
CONCORRENTE 
DISPONIbILIDADE 
DE 99,982%
•	 Permite que manutenções planejadas não promovam impactos nos dispo-
sitivos computacionais em operação, porém manutenções não planejadas 
causarão paralisação do ambiente. 
•	 Múltiplos caminhos para alimentação elétrica e distribuição de refrigeração. 
Contudo, somente um caminho está ativo. Inclui componentes redundantes.
•	 Demora 15 a 20 meses para ser implementado.
•	 Tempo de parada anual de 1,6 horas.
•	 Inclui piso elevado e capacidade suficiente de distribuição para transferir carga 
de um caminho para outro durante a realização de manutenção.
TIER 4 – TOLERANTE 
A FALhA
DISPONIbILIDADE 
DE 99,995%
•	 Permite que manutenções planejadas não promovam impactos nos dispo-
sitivos críticos computacionais em operação. O data center pode se manter 
operacional com até um caso de problema não planejado.
•	 Múltiplos caminhos para alimentação elétrica e distribuição de refrigeração. 
Inclui componentes redundantes ativos.
•	 Demora de 15 a 20 meses para ser implementado.
•	 Tempo de parada anual de 0,4 horas.
Quadro 4 – Requisitos padrão de data centers por nível
A internet deu um grande impulso nos data centers. Empresas que estavam 
somente interessadas em prover suas aplicações corporativas para usuários de 
dentro de suas organizações começaram a olhar os consumidores finais como 
grandes clientes em potencial.
Os Sistemas de Informação foram adaptados para interagir com os clientes 
e fornecedores, realizando vendas diretas ou negócios pela internet. Assim, 
surgiu o [e-commerce]. Os data centers são vistos atualmente como os gran-
des provedores de serviços na internet, colocando parceiros,fornecedores e 
clientes em contato direto.
Os data centers são importantes polos de informação, pois além de hospeda-
rem os sistemas das organizações, também hospedam rede sociais, sites de 
vídeos, sites na web, entre outros serviços.
A computação na nuvem é a próxima etapa para os data centers. A questão da 
mobilidade faz com que a informação tenha que estar disponível a qualquer 
hora, em qualquer lugar. 
e-commerce: estabele-
cimento de relações comer-
ciais utilizando dispositivos 
eletrônicos e computacionais 
na internet.
Curso de Habilitação ao Quadro auxiliar de ofiCiais
22
Cloud computing é um novo modelo de computação, no qual 
os recursos de hardware e de software para execução do pro-
cessamento estão na internet e são desconhecidos para o usu-
ário final. O processamento, o armazenamento e os softwares 
são fornecidos aos usuários via prestação de serviços.
Internet Data Center
Figura 14 – Cloud computing
GESTÃO DA TECNOLOGIA DA INFORMAÇÃO - U2 
23
Objetivos específicos
•	 Identificar princípios da segurança da informação.
•	 Apresentar as Normas para o Controle da Utilização dos Meios de Tec-
nologia da Informação no Exército (NORTI). 
•	 Apresentar as Instruções Reguladoras para Utilização da Rede Mundial 
de Computadores (internet) por Organizações Militares e Militares do 
Exército (IR 20-26).
SEGuRANÇA DA INFORMAÇÃO4
É inegável para a atual sociedade a relevância dos diversos usos da compu-
tação em todo o mundo. Até meados do séc. XX, as informações eram fun-
damentalmente armazenadas em papel (ex: em livros, escrituras, códigos, 
tratados, apostilas etc.). Atualmente, boa parte da informação disponível está 
armazenada em [formato digital] e acessível a diferentes públicos. A internet 
permitiu compartilhar informações globalmente e instantaneamente, aumen-
tando sensivelmente a produtividade. As informações digitalizadas estão dispo-
níveis em diversos ramos do conhecimento humano. E com essa exposição da 
informação, a necessidade de segurança tornou-se cada vez mais importante.
4.1 PRINCÍPIOS DA SEGuRANÇA DA INFORMAÇÃO
A preocupação com a segurança da informação, contudo, não é um as-
pecto recente. Desde os tempos em que o papel predominava no registro de 
informações, guardamos documentos em cofres para restringir o acesso a eles, 
da mesma forma que hoje temos dispositivos computacionais que restringem 
o acesso a um documento digital.
Nesse sentido, em geral, a segurança é sinônimo de proteger o patrimônio e 
as redes de computadores contra os ataques de “hackers”, desastres naturais, 
condições adversas no ambiente, falhas de energia elétrica, roubo e vandalis-
mo ou contra outras variáveis não desejáveis.
Formato digital: quando 
um elemento do mundo real 
é transformado para o mundo 
digital ele adquire uma forma 
de armazenamento digital. 
Tal formato (ex: doc, ppt, pdf 
entre outros) é a expressão do 
elemento do mundo real no 
mundo digital.
Curso de Habilitação ao Quadro auxiliar de ofiCiais
24
Outro aspecto muito importante em relação à segurança é a determinação 
do nível necessário adequado a cada sistema de informação. Quanto maior o 
nível de segurança aplicado a um determinado documento digital ou rede de 
computadores, por exemplo, maior o custo envolvido. O custo da segurança 
nunca deve ser maior do que o valor daquela informação que está sendo 
protegida, caso contrário estaríamos aplicando muito mais segurança do que 
realmente é preciso.
Para projetarmos um sistema de segurança adequado, é necessário entender 
primeiramente como seremos afetados pela falta de segurança. O modelo da 
Central de Inteligência Americana (CIA), ilustrado na Figura 15 e baseado nos 
princípios de Confidencialidade, Integridade e Disponibilidade, define bem 
esse caso. 
A definição clássica de Segurança da Informação é proteger a 
Informação e os Sistemas de Informação do acesso, uso, inter-
rupção, divulgação, destruição e modificação não autorizados. 
Em linhas gerais, é proteger a informação contra aqueles que 
pretendem fazer um mau uso dos dados.
Integridade
Confidencialidade
Disponibilidade
Figura 15 – Modelo CIA
Vamos considerar esses princípios para analisar os conceitos de segurança a 
seguir.
GESTÃO DA TECNOLOGIA DA INFORMAÇÃO - U2 
25
•	 A Confidencialidade é o conceito de proteção da informação relacio-
nado ao acesso não autorizado. Pode ser implementada em diferentes 
níveis, permitindo maior ou menor visualização dos dados. Um bom 
exemplo é o acesso a uma conta bancária, utilizando login e senha. Essa 
identificação do usuário previne que terceiros não autorizados vejam os 
dados da sua conta.
•	 A Integridade refere-se à capacidade de proteger a informação contra 
alteração, edição ou exclusão por pessoa não autorizada. Para manter 
a Integridade é preciso proibir a alteração não autorizada, bem como 
reverter uma alteração autorizada, por exemplo, por meio de backup.
•	 A Disponibilidade é a competência para acessar a informação quando 
necessário. A falta de disponibilidade pode ser causada por problemas 
de energia elétrica, falhas no sistema operacional, na aplicação e na 
rede de computadores, por ataques de hackers, entre outros fatores que 
comprometem os Sistemas de Informação.
Os ataques aos sistemas de informações são avaliados utilizando o modelo da 
CIA. Cada tipo específico de ataque determina o nível de segurança adequado a 
ser implementado e o risco em potencial que representam. O Quadro 5 ilustra os 
princípios regentes no modelo da CIA e os seus respectivos tipos de ataques.
MODELO CIA TIPO DE ATAquE
Confidencialidade Intercepção
Integridade
Interrupção
Modificação
Fabricação
Disponibilidade
Interrupção
Modificação
Fabricação
Quadro 5 – Tipo de ataques no modelo CIA
Os principais tipos de ataques a que os Sistemas de Informação 
estão sujeitos são: Intercepção, Interrupção, Modificação e 
Fabricação.
Curso de Habilitação ao Quadro auxiliar de ofiCiais
26
O Quadro 6 apresenta os principais tipos de ataques a sistemas de informação 
e as suas respectivas características. 
PRINCIPAIS TIPOS DE ATAquES
Intercepção 
Ocorre quando usuários não autorizados têm acesso a infor-
mações, aplicações ou ambientes. É realizada pela visualização 
de um arquivo ou cópia não autorizada, leitura de e-mail, 
entre outros acessos. São ataques que, se bem executados, 
são muito difíceis de serem identificados.
Interrupção 
Acontece quando o ataque torna dados, aplicações ou 
ambientes não utilizáveis ou indisponíveis para uso de forma 
temporária ou permanente. A Interrupção pode causar proble-
mas de Integridade e até de disponibilidade da informação.
Modificação 
É a adulteração da informação e pode ser considerado como 
ataque de Integridade ou de Disponibilidade.
Fabricação 
É o processo de geração de dados, de processos, de comuni-
cações ou de outras atividades de um sistema de computação. 
A Fabricação pode afetar a Integridade tanto quanto a dispo-
nibilidade da informação. Um bom exemplo de Fabricação é 
a geração de um e-mail que não foi enviado pelo remetente e 
sim fabricado para parecer que ele enviou.
Quadro 6: Tipos e características de ataques a sistemas de informação
Um tipo de ataque também é classificado pelo grau de impacto que propor-
ciona, permitindo, dessa forma, o melhor entendimento sobre o ataque e o 
planejamento da sua prevenção. 
Nesses termos identificamos Riscos, Ameaças, Vulnerabilidades e o Impacto 
que um ataque possui. 
•	 O Risco é a probabilidade de um evento não desejável acontecer. Para tal, 
é necessário que tenhamos ameaça, vulnerabilidade e impacto envolvidos.
•	 As Ameaças têm tendênciaa acontecer em determinados ambientes 
específicos. Um exemplo disso é o vírus. O ambiente Windows tem uma 
suscetibilidade muito maior a ataques de vírus do que os ambientes 
Unix ou Mac.
•	 As Vulnerabilidades são fraquezas que podem ser utilizadas para 
prejudicar um sistema computacional, uma rede de computadores, entre 
outros. Essas vulnerabilidades podem ser exploradas para causar um 
GESTÃO DA TECNOLOGIA DA INFORMAÇÃO - U2 
27
impacto não desejável. Por exemplo, uma vulnerabilidade em um sistema 
operacional pode dar acesso irrestrito a todos os dados daquele sistema.
•	 O Impacto mede o grau do dano proporcionado pelo Risco. Ele pode 
ser Alto ou Baixo, criando um gradiente para análise do impacto entre 
esses dois extremos. Usamos também escalas para determinar o impacto 
(Ex: 0 a 10).
Um exemplo de Risco, Ameaça, Vulnerabilidade e Impacto são apresentados a 
seguir:
•	 Risco: Infecção do computador por Vírus tipo A
•	 Ameaça: a plataforma Windows possui maior suscetibilidade à infecção 
por vírus. 
•	 Vulnerabilidade: não há software antivírus instalado.
•	 Impacto: alto
Para mitigar os riscos é necessária a aplicação de controles. Eles são divididos 
em três categorias: Controles Físicos, Lógicos e Administrativos. O Quadro 7 
ilustra os tipos de controle, como atuam e seus métodos de controle.
TIPO DE 
CONTROLE
COMO ATuAM MéTODO DE CONTROLE
Físicos
Protegem o ambiente no 
qual o sistema computa-
cional está instalado.
Controle de acesso, fecha-
duras eletrônicas ou bio-
métricas, guardas, câmeras, 
salas tipo cofre, supressão de 
incêndio, controle de refrige-
ração, nobreaks e geradores.
Lógicos
São conhecidos como 
controles técnicos.
Senhas, criptografia, 
controle de acesso lógico, 
[firewalls] e sistemas de 
detecção de intrusos.
Administrativos
São políticas e regras 
importantes que devem ser 
seguidas para garantir a se-
gurança da informação que 
não pode ser obtida apenas 
com o uso da tecnologia. 
Leis, regras, normas, proce-
dimentos, guias e contratos.
Quadro 7 – Tipos de controle
Firewall: dispositivo 
que mantém a rede interna 
da organização segura, quan-
do está conectada à internet.
Curso de Habilitação ao Quadro auxiliar de ofiCiais
28
4.2 NORTI - NORMAS PARA O CONTROLE DA uTILIzAÇÃO 
DOS MEIOS DE TECNOLOGIA DA INFORMAÇÃO NO ExéRCITO
A Norma de Segurança da Informação (NORTI) tem como objetivo controlar 
o conteúdo das informações, dos dados armazenados ou daqueles veiculados 
em pastas, dos arquivos ou das mensagens. São utilizados, para tal, dispositi-
vos tecnológicos do Exército que coíbem a inserção de assunto ou de matéria 
considerada ilícita. A norma NORTI expressa o cuidado na utilização de recur-
sos de Tecnologia da Informação por meio da proibição e da vistoria, descritos 
nos artigos a seguir:
•	 Proibição:
Art. 7º É expressamente proibido manter, distribuir ou 
veicular - utilizando, para isso, dispositivos eletrônicos, 
ópticos, gráficos ou magnéticos - arquivos contendo 
matéria considerada ilícita, contrária à disciplina militar, à 
moral e bons costumes, bem como atentatória à ordem 
pública, ou que viole qualquer direito de terceiros.
•	 Vistoria: 
Art. 8º Compete ao Comandante, Chefe ou Diretor de 
OM do Exército realizar pessoalmente, ou delegar, a vis-
toria dos arquivos hospedados em dispositivos de TI, de 
propriedade do Exército Brasileiro, e, desde que haja indí-
cio substancial de infringência a estas Normas, instaurar a 
respectiva sindicância.
Art.9º Não é permitida a vistoria indiscriminada e sistemá-
tica do conteúdo de arquivos, pastas e/ou mensagens, sob 
a responsabilidade do usuário, de modo a preservar-se o 
bom ambiente de trabalho.
A Norma, no título das DISPOSIÇÕES GERAIS, estabelece e regulamenta os 
aspectos da comunicação pessoal sob o domínio das Organizações Militares 
(OM) do Exército Brasileiro como sendo de uso exclusivo para assuntos e ativi-
dades profissionais, considerando que: 
•	 Os direitos do cidadão à privacidade e ao sigilo de correspondência 
envolvem, tão somente, o e-mail pessoal ou particular do militar ou do 
servidor civil;
•	 O arquivamento de jogos, filmes, músicas e imagens é proibido;
GESTÃO DA TECNOLOGIA DA INFORMAÇÃO - U2 
29
•	 O uso de correio-eletrônico (e-mail) é exclusivo para assuntos e ativida-
des profissionais;
•	 O uso de dispositivos de TI - de propriedade do Exército - durante o 
expediente da OM para atividades estranhas ao serviço é proibido. 
Outra norma muito importante é a norma IR 20-26, que instrui sobre o uso da 
rede mundial de computadores, a internet, em organizações Militares do Exér-
cito. As IR (Instruções Reguladoras) regulamentam as condições de acesso e de 
utilização dos recursos da internet em proveito da instituição, em consonância 
com as Instruções Gerais de Segurança da Informação para o Exército Brasileiro 
e com as Instruções Gerais para Salvaguarda de Assuntos Sigilosos.
A IR 20-26 define os seguintes nomes de domínios de primeiro nível para o 
acesso de suas Organizações Militares à internet: 
•	 I - exercito.gov.br 
•	 II - eb.mil.br 
•	 III - eb.br
A elaboração de páginas eletrônicas em um determinado sítio na internet 
também é coberta pela norma IR 20-26, que define a responsabilidade sobre 
as páginas e os programas (softwares) que devem ser utilizados.
Além disso, o artigo 16 dessa norma determina uma sistemática de aprovação 
para elaboração dessas páginas eletrônicas de OM, ilustrado na Figura 16.
O arquivo com as instruções 
Reguladoras para Utilização 
da Rede Mundial de Com-
putadores (internet) por Or-
ganizações Militares e Mili-
tares do exército (iR 20-26) 
está disponível em <http://
www.3cta.eb.mil.br/downlo-
ad/ir_20_26.pdf> Figura 16 – Sistemática de aprovação de página eletrônica
Preparação do
conteúdo da página 
eletrônica
Publicação da
aprovação em BI
Publicação da página
eletrônica na Internet
CComSEx:
informação ao EME
Cadastramento no CComSEx;
OM é EME,
ODS, C Mil A,
CIEx ou SGIEx?
Aprovação?
Solicitação de aprovação
da eletrônica ao EME,
ODS, C Mil A
enquadra ou SGExnte
Análise do conteúdo,
com Asse de Of Intlg
e de OfCom Soc
sim
não
não
sim
Curso de Habilitação ao Quadro auxiliar de ofiCiais
30
4.3 ESTRATéGIAS FuNDAMENTAIS DE PROTEÇÃO
Uma vez identificados os riscos e controles, é possível projetar o tipo de defesa 
necessário e adequado para proteger um ambiente de TI. 
No contexto dessa apostila vamos eleger alguns tipos de defesa mais comuns, 
entre vários existentes, a saber:
a) Defesa em Profundidade
A Defesa em Profundidade é um conceito de segurança em computadores e 
redes, que foi documentado pela primeira vez em 1996 no artigo Information 
Warfare and Dynamic Information Defense e adotado em operações militares. 
É conhecido também como defesa em camadas. Parte do princípio de que os 
controles de segurança são insuficientes ou incompletos e que múltiplos meca-
nismos e controles irão compor uma robusta solução de segurança. Da camada 
mais externa (Rede Externa) para a mais interna (Dado), o ataque deve passar 
por várias camadas de segurança. A Figura 17 ilustra as camadas de segurança 
e seus respectivos mecanismos de controle (ANDRESS, 2011). 
Rede Externa
Rede Perímetro
Rede Interna
Servidor
Aplicação
Dado
Figura 17 – Defesa em Profundidade
GESTÃO DA TECNOLOGIA DA INFORMAÇÃO - U2 
31
Rede Externa
•	 DMZ: zona desmilitarizada é uma rede periférica que expõe serviços ou 
computadores na internet.
•	 VPN (Virtual Private Network): rede virtual que conecta computadores 
de forma segura utilizando a internet como meio de transporte.
•	 Login: atode entrar em um sistema pelo uso de senha.
•	 Auditoria
•	 Teste de Penetração
•	 Análise de Vulnerabilidade
Rede Perímetro
•	 Firewall
•	 Login: ato de entrar em um sistema pelo uso de senha.
•	 Inspeção de Pacotes
•	 Auditoria
•	 Teste de Penetração
•	 Análise de Vulnerabilidade
Rede Interna
•	 IPS: sistema de prevenção à intrusão, protege redes organizacionais 
de ataques.
•	 IDS (Sistema de Detecção de Intrusão): detecta intrusos em redes 
corporativas.
•	 Login: ato de entrar em um sistema pelo uso de senha.
•	 Auditoria
•	 Teste de Penetração
•	 Análise de Vulnerabilidade
Servidor
•	 Antivírus 
•	 Firewalls
•	 IPS: sistema de prevenção à intrusão, protege redes organizacionais 
de ataques.
•	 IDS (Sistema de Detecção de Intrusão): detecta intrusos em redes 
corporativas.
Curso de Habilitação ao Quadro auxiliar de ofiCiais
32
•	 Senha
•	 Login: ato de entrar em um sistema pelo uso de senha.
•	 Auditoria
•	 Teste de Penetração
•	 Análise de Vulnerabilidade
Aplicação
•	 SSO (Single Sign On): acesso a vários sistemas utilizando somente um 
conjunto de usuário e senha.
•	 Filtro de Conteúdo
•	 Validação de Dados
•	 Auditoria
•	 Teste de Penetração
•	 Análise de Vulnerabilidade
Dado
•	 Controle de Acesso
•	 Backup
•	 Teste de Penetração
•	 Análise de Vulnerabilidade
b) Pote de Mel
A estratégia de defesa em Pote de Mel é um conceito de segurança em 
computadores e redes bem conhecido e sofisticado. Consiste em criar falsos 
dispositivos ou “armadilhas” que confundem os agressores no momento da 
quebra de segurança.
Essa técnica leva o agressor ao alvo errado e possibilita que um alerta seja acio-
nado sem prejuízo ao ambiente.
c) Sandbox
A defesa em Sandbox é uma camada de software que fica entre o software 
que está sendo executado e o sistema operacional (SO). Dessa forma, uma 
camada de segurança é criada entre a aplicação e o SO. Assim, pode ser moni-
torada e dar alarmes de segurança quando atacada.
GESTÃO DA TECNOLOGIA DA INFORMAÇÃO - U2 
33
Objetivos específicos
•	 Conhecer os tipos de algoritmos de criptografia. 
•	 Definir criptografia.
CRIPTOGRAFIA5
A criptografia, como uma forma de comunicação secreta entre pessoas, exis-
te há mais 4.500 anos. Os egípcios já a utilizavam em seus hieróglifos, consti-
tuindo um primeiro exemplo de uso cifrado de mensagens. 
Recentemente, os estudos de Claude Shannon, considerado o “pai” da cripto-
grafia moderna, estabeleceram uma base matemática para a criptografia. Esses 
estudos tinham como base uma chave que permitia que duas pessoas pudes-
sem se comunicar usando mensagens cifradas.
A chave desse sistema de criptografia é um algoritmo usado para codificar e 
decodificar a mensagem. Dessa forma, enquanto a chave não fosse perdida, as 
mensagens estavam seguras. 
Esses tipos de algoritmos eram conhecidos como chave-privada (private-key), 
chave-secreta (secret-key) ou chave-simétrica (symmetric-key) e até 1976 eram 
os únicos meios de comunicação criptografada. 
As chaves de criptografia, portanto, são um conjunto de caracteres que, 
alinhados sequencialmente, produzem uma palavra para uso em algoritmos. 
Utilizando essa chave como referência, é possível codificar textos de forma que 
não sejam mais legíveis, pois substituem as letras do texto por outras letras di-
ferentes. Para decodificar o texto, era aplicado o algoritmo-chave sobre o texto 
codificado que retornava as letras ao seu original, tornando o texto legível.
Curso de Habilitação ao Quadro auxiliar de ofiCiais
34
A Figura 18 apresenta o modelo de um sistema de criptografia de chave-simé-
trica. Nesse exemplo, José envia uma mensagem criptografada para Marcos. 
Uma chave de criptografia é gerada pelo Gerador de Chave e o algoritmo de 
codificação a utiliza para criptografar a mensagem. Após a criptografia, a 
mensagem pode ser transmitida por um meio de comunicação público, como 
a internet. A chave de criptografia, então, é enviada por um meio seguro para 
Marcos que, ao receber a mensagem e a chave, utiliza novamente o algoritmo 
para decodificar a mensagem.
Um algoritmo de criptografia trabalha basicamente substituindo letras em 
um [texto plano]. Se considerarmos um texto no idioma em Inglês, o algorit-
mo trabalha substituindo embaralhando as 26 letras do alfabeto por outras. 
Sendo assim, em um texto, o algoritmo troca uma letra por outra, utilizando 
a chave como mapeamento. Cada letra da chave indica um mapeamento para 
outra letra. O algoritmo pega a primeira letra do texto e a primeira letra da 
chave e, por meio de uma operação matemática, obtém a nova letra mapeada. 
A primeira letra do texto pode ser mapeada para 26 possibilidades, a segunda 
25, a terceira 24, até 1 possibilidade. Matematicamente, isso é igual ao fatorial 
de 26 (26!), ou seja, 4,032914611 x 1026 possibilidades. A chave de criptogra-
fia é sempre finita, mas se o texto for grande, é possível continuar aplicando 
seguidamente a chave.
Mensagem Criptografada
Chave
Mensagem Mensagem
Chave
José Codificador Internet Marcos
Gerador
de Chave
Canal
Seguro
Decodificador
Figura 18 – Sistema de criptografia 
de chave-simétrica
Texto plano: texto sem 
recursos de formatação.
Figura 19 – Exemplo de criptografia de chave-simétrica
Texto criptografado
J sief fr ghwr KD ljekl 
v nboety
Texto
O largo da casa
de Paulo é bonito
Chave
XASDFGHKLKJUIOKHGTarfgtyuhgf
GESTÃO DA TECNOLOGIA DA INFORMAÇÃO - U2 
35
Chave
Chave
Mensagem
decodificada
Mensagem
decodificada
José Codificador Decodificador
Mensagem Criptografada
Internet Marcos
Paulo
Gerador
de Chave
Canal
Seguro
Quando um hacker ou outro indivíduo deseja obter acesso às mensagens, 
mas não consegue porque estão criptografadas, eles podem fazer uso da 
análise criptográfica. 
A análise criptográfica é a ação de descobrir a chave de 
criptografia sem que essa esteja disponível.
Na Figura 20 observamos que Paulo deseja interceptar a mensagem entre 
José e Marcos. Porém, ele não tem a chave. Paulo, portanto, terá que empregar 
métodos para identificar a chave para decodificar a mensagem.
Uma das formas de se descobrir a chave é tentar todas as possibilidades de 
chaves para o problema. Contudo, em nosso exemplo de algoritmo de subs-
tituição de letras pelo mapeamento, deduzimos que uma chave pode ter até 
26!, ou seja, 4,032914611 x 1026 possibilidades. Esse tipo de método, conheci-
do como Força Bruta ou Busca Exaustiva da Chave, é ineficiente, pois leva mui-
to tempo para se encontrar a chave correta. Contudo, esse método de busca 
pela chave não precisa de muitas informações sobre o sistema de criptografia 
para ser executado. 
Outros métodos de pesquisa da chave, baseados em análise matemática, 
engenharia social, entre outros, atingem o mesmo resultado com um tempo 
muito menor de execução.
Em 1976, Whitfield Diffie e Martin Hellman propuseram uma nova metodolo-
gia, que levou ao desenvolvimento de uma nova classe de algoritmos, chama-
dos de chave-pública (public-key) ou chave-assimétrica (asymmetric-key). 
Figura 20 – Sistema de 
criptografia chave-simétrica
Curso de Habilitação ao Quadro auxiliar de ofiCiais
36
A chave-pública (ChavePub) é usada para codificar a informação e a segunda 
parte, conhecida como chave-privada (ChavePr), é usada para decodificar a 
mensagem. 
Esse algoritmo se baseia em utilizar, primeiramente, uma 
chave-pública, seguida de uma chave-secreta para fechar a co-
nexão segura. A chave-pública é aberta a todos e, obviamente, 
a segunda chave deve ser secreta. Atualmente as conexões 
criptografadas na internet utilizam chavespúblicas e simétri-
cas, o que torna as conexões rápidas e seguras.
Figura 21 – Sistema de 
criptografia chave-assimétrica
Chave e 
Mensagem 
Criptografada
Mensagem Mensagem
Chave Pub-MarcosChave Pub-Marcos
CodificadorJosé
Gerador 
de Chave
Internet
MarcosDecodificador
Chave Pub-Marcos
Chave Pr-Marcos
Chave Pub-Marcos
Gerador 
de Chave
O processo é realizado da seguinte forma:
1. José e Marcos concordam em usar um sistema de criptografia com 
chave- pública.
2. Marcos transmite sua ChavePub-Marcos para José.
3. José utiliza a ChavePub-Marcos de Marcos no sistema de criptografia para 
codificar a mensagem.
4. José transmite a mensagem criptografada.
5. Marcos usando sua ChavePr-Marcos decodifica a mensagem.
GESTÃO DA TECNOLOGIA DA INFORMAÇÃO - U2 
37
No sistema de criptografia assimétrica, cada participante na comunicação tem 
a sua ChavePub e ChavePr. Os participantes trocam as chaves-públicas, manten-
do em segredo suas chaves-privadas. A codificação é sempre realizada com a 
chave-pública da pessoa que receberá a mensagem (ChavePub-Marcos). A decodifi-
cação é realizada com a ChavePub-Marcos e ChavePr-Marcos. 
O sistema de criptografia utilizando chave-pública pode ser usado para esta-
belecimento de chave, transporte de chave, assinatura digital e criptografia. 
Atualmente usam-se também os sistemas de criptografia híbridos que consis-
tem no uso de criptografia simétrica e assimétrica. A combinação desses dois 
tipos de criptografia vem do problema computacional que a criptografia assi-
métrica possui, pois necessita de muito mais processamento do que a simétri-
ca. Isso pode gerar lentidão em determinadas operações, porém, a criptografia 
assimétrica é muito mais segura do que a simétrica. Utilizando o melhor das 
duas é possível ter um ambiente criptografado seguro e rápido.
Para que isso ocorra, é necessário utilizar primeiro a criptografia assimétrica 
para a troca das chaves. Em seguida, com as chaves estabelecidas, é necessário 
codificar os dados de forma simétrica com a referida chave.
A sequência de criptografia híbrida pode ser resumida nas etapas a seguir e 
estão ilustradas na Figura 22.
•	 Codificação da chave utilizando criptografia assimétrica.
•	 Codificação dos dados utilizando criptografia simétrica.
A decodificação só ocorre quando se tem a chave-privada e 
pública gerada pela mesma pessoa.
Figura 22 – Sistema de 
criptografia chave-assimétrica
Chave e 
Mensagem 
Criptografada
Mensagem
Mensagem
Chave Pub-MarcosChave Pub-Marcos
CodificadorJosé
Gerador 
de Chave
Internet
MarcosDecodificador
Chave Simétrica
Chave Pub-Marcos
Chave simétrica
Chave Pub-Marcos
Curso de Habilitação ao Quadro auxiliar de ofiCiais
38
O processo se estabelece da seguinte forma:
1. José e Marcos concordam em usar um sistema de criptografia com 
chave-pública.
2. Marcos transmite sua ChavePub-Marcos para José.
3. José gera uma chave-simétrica para codificação de dados.
4. José codifica a mensagem utilizando chave-simétrica criada.
5. José utiliza a ChavePub-Marcos de Marcos no sistema de criptografia assi-
métrica para codificar a chave de criptografia simétrica.
6. José transmite a mensagem e a chave-simétrica, ambas criptografadas.
7. Marcos usando sua ChavePr-Marcos decodifica a chave-simétrica.
8. Usando a chave-simétrica, ele decodifica a mensagem.
Observe que somente a chave de criptografia simétrica é 
criptografada usando os algoritmos assimétricos.
Para saber mais informações 
sobre criptografia, acesse o 
link: <http://www.infowes-
ter.com/criptografia.php> 
Os dados são criptografados de forma simétrica, tornando sua codificação e 
decodificação muito mais rápidas. A chave-simétrica transita em um ambiente 
muito seguro. É difícil de ser interceptada.
As mensagens que trafegam na internet, tais como acesso a bancos, por exem-
plo, estão sujeitas a ataques de alto risco. Portanto, as chaves de criptografia 
públicas hoje utilizadas são de 1.024 bits, pois quanto maior a chave de crip-
tografia, mais difícil é decifrar a mensagem por simples processos de tentativa 
e erro. Se considerarmos que uma chave de 80 bits possui 280 = 1.208.925.81
9.614.629.174.706.176 possibilidades, fica claro que uma chave de 1.024 bits 
(21.024) é muito mais difícil de ser decifrada por força bruta.
GESTÃO DA TECNOLOGIA DA INFORMAÇÃO - U2 
39
Objetivos específicos
•	 Conhecer os conceitos de SSL.
SECuRE SOCkETS LAyER6
O protocolo SSL (Secure Socket Layer) foi desenvolvido pela Netscape em 
1995. A [RFC] 601 define as características do SSL, versão 3.0. O sucessor do 
SSL é o TSL (Transport Layer Security) e ambos são protocolos que propor-
cionam segurança em comunicações na internet. 
Os protocolos TSL e SSL permitem que aplicações cliente-servidor estabeleçam 
comunicação segura por meio de uma rede de computadores. A aplicação 
cliente estabelece com o servidor uma conexão e nela são negociados vários 
parâmetros necessários ao protocolo. Uma vez determinados os parâmetros, 
é estabelecida uma comunicação segura entre o cliente e o servidor. Os dados 
podem, então, ser trocados, utilizando a internet como meio.
Quando o SSL está ativo, aparecem indicadores na interface do navegador. 
Um deles é a substituição de http://... por https://... na barra de endereços. O 
outro indicador é o aparecimento, no canto superior direito da tela, de um íco-
ne de cadeado de criptografia estabelecida, indicando conexão segura, como 
ilustrado na Figura 23.
Tanto o protocolo SSL quanto o TSL usam criptografia assi-
métrica para troca de chaves e criptografia simétrica para 
codificar a mensagem, ou seja uma criptografia híbrida. Várias 
versões desses protocolos são usadas em browsers, e-mail, fax 
na internet, Instant Messaging e [VoIP].
RFC (Request for 
Comments): é uma publica-
ção do internet engineering 
Task Force e da internet 
Society, que definem padrões 
para a internet.
VoIP (Voice over internet 
Protocol): sistema de tele-
fonia que usa a internet ou 
outra rede de computadores 
que se baseie no Protocolo 
de internet (iP).
Figura 23 – Indicadores de segurança no Internet Explorer
GESTÃO DA TECNOLOGIA DA INFORMAÇÃO - U2 
41
OuTSOuRCING EM TI7
O outsourcing em TI vem sendo utilizado desde a época em que os mainframes 
realizavam os serviços de computação nas grandes corporações. Os bureau de 
serviços de processamento de dados e de impressão eram muito utilizados na 
prestação de serviços terceirizados.
Em 1989, a Kodak anunciou o outsourcing dos seus Sistemas de Informação 
(SI) para a IBM, DEC e Businessland. A Kodak terceirizou com a IBM seus quatro 
data centers. A decisão da Kodak gerou uma grande movimentação na indús-
tria de TI. Até então nenhuma grande e renomada organização havia terceiriza-
do seus SIs. Depois da Kodak, outras organizações seguiram caminhos similares.
Duas grandes razões impulsionaram as organizações a realizar outsourcing em TI:
•	 As companhias estavam interessadas em focar no negócio (core busi-
ness) e não nas atividades correlatas que poderiam consumir o esforço 
organizacional. Dessa forma, a TI, como atividade de apoio para muitas 
organizações, foi objeto de terceirização.
•	 A percepção dos executivos sobre o custo e esforço gastos em TI. Essas 
atividades são vistas como um [overhead] para a organização. A visão 
era de que empresas especializadas em TI seriam mais eficientes e apre-
sentariam menor custo para a realização dessas atividades.
Alguns dos benefícios organizacionais trazidos pelo outsourcing estão listados 
a seguir:
•	 Aumenta as oportunidades de vendas.
•	 Aprimora a imagem corporativa e a relação com o público.
•Previne perda de oportunidades.
•	 Reduz custos anuais quase que imediatamente.
•	 Possibilita foco nas competências do negócio, deixando a cargo de em-
presas especializadas a operação e desenvolvimento de TI.
•	 Reduz ou elimina reclamações do usuário.
•	 Aumenta a fidelidade do cliente.
•	 Diminui custos de projetos e eventos.
Overhead: termo utiliza-
do para expressar um esforço 
excessivo não ligado direta-
mente ao principal objetivo 
de negócio da organização.
Curso de Habilitação ao Quadro auxiliar de ofiCiais
42
•	 Permite disputa com os competidores do negócio.
•	 Disponibiliza tempo e recursos organizacionais.
Organizações de TI no mundo todo utilizam a prestação de serviços de TI 
dentro de suas operações. É muito normal empresas terem algum nível de 
outsourcing, seja por motivos de redução de custo ou até de estratégia da 
organização. O fato é que a prática de terceirizar serviços de TI estará sempre 
presente. Logo, é necessário entender como funciona essa terceirização e tirar 
o melhor proveito dela.
Existem três níveis de outsourcing e cada um apresenta particularidades pró-
prias. Saiba mais sobre cada um desses níveis a seguir (BROWN, 2005). 
a) Nível tático
O primeiro nível, o Tático, está diretamente relacionado a problemas que a or-
ganização possui. Aparentemente, a melhor forma de endereçar o problema é 
através de um outsourcing. Exemplos desse tipo são: falta de recursos financei-
ros para realizar investimentos, competência gerencial interna inadequada, falta 
de talentos ou desejo de redução de pessoal. O foco desse outsourcing está no 
contrato estabelecido entre as partes, que deve ser feito com extrema cautela, 
endereçando de forma principal os pontos que fazem com que a organização 
atinja seus objetivos de negócio por meio da solução dos problemas.
b) Nível estratégico
O nível estratégico visa relações de longo prazo com fornecedores. Os executi-
vos das organizações entenderam que realizar um outsourcing poderia libe-
rar a atenção da empresa para focos mais direcionados ao negócio, os quais 
trariam mais retorno do que os investimentos em TI. Em vez de a organização 
montar toda a estrutura computacional e prover o material humano para 
operá-la, ela contrata um fornecedor que preste esse serviço (data center). Esse 
fornecedor irá prover os serviços de TI para atender às necessidades de negó-
cio, permitindo que a estrutura de TI interna seja desativada, reduzindo, assim, 
os custos operacionais.
c) Nível de transformação
É a terceira geração de terceirização. Nesse caso, a organização pretende re-
definir o negócio e usa o outsourcing para ajudar na redefinição dos processos 
de negócio e, por conseguinte, na redefinição da empresa.
GESTÃO DA TECNOLOGIA DA INFORMAÇÃO - U2 
43
Contudo, uma abordagem sistemática deve ser utilizada para realizar um 
outsourcing. Terceirizar sem uma avaliação cuidadosa pode levar a uma pres-
tação inadequada dos serviços de TI pelos fornecedores. A Figura 24 propõe 
uma abordagem para a realização de outsourcing em uma organização.
Decisão pelo 
outsourcing Planejamento
Implementação/ 
gestão
Decisão pelo 
outsourcing
Encerramento/
suporte
Figura 24 – Processo de outsourcing
O primeiro passo é a decisão pelo outsourcing, isto é, se deverá ou não ser 
realizado. A melhor forma de abordar esse assunto para tomada de decisão é 
efetuando uma análise de risco. A análise de risco identificará os riscos envol-
vidos no outsourcing e indicará se deve ser feito. Os principais riscos, quando 
um outsourcing é realizado, são:
•	 Controle: a organização não consegue obter a prestação de serviço 
adequada. Os acordos de níveis de qualidade de serviço não são cumpri-
dos, fazendo com que a organização perca o controle sobre a prestação 
do serviço de TI.
•	 Segurança: ao realizar o outsourcing, os dados da organização serão 
manipulados por terceiros (backup), gerando um risco de acesso indevi-
do à informação.
•	 Conhecimento organizacional: é o risco de evasão do conhecimen-
to da empresa. O conhecimento do negócio pode ser absorvido pelos 
fornecedores que prestam serviços de TI.
•	 Reversibilidade: com o outsourcing, a organização vai aos poucos per-
dendo toda a capacidade de prestar o serviço de TI que foi terceirizado. 
Se for necessário retornar a prestação de serviço para dentro da empre-
sa, essa reversão pode ser dispendiosa.
Cada um desses riscos deve ser cuidadosamente mitigado, seja por meio de 
acordos de nível de serviço [SLA] ou de cláusulas contratuais. 
Se não houver a possibilidade de mitigar os riscos, o 
outsourcing não deve ser realizado.
SLA (Service Level 
Agreement): acordo de 
nível de qualidade de serviço 
estabelecido num outsourcing.
Curso de Habilitação ao Quadro auxiliar de ofiCiais
44
Uma vez decidido pelo outsourcing, passamos para as fases necessárias para a 
sua realização. São elas:
•	 Planejamento: envolve uma definição do escopo do que será terceiri-
zado, negociações contratuais, escolha de fornecedor e estabelecimen-
tos de acordos de níveis de serviço. Após o consenso sobre todos esses 
assuntos se estabelecem contratos comerciais entre as empresas para a 
prestação de serviço.
•	 Implementação: transfere a prestação de serviço de TI para o for-
necedor, seguindo o planejamento já elaborado na fase anterior. Gra-
dativamente, os serviços de TI prestados pela organização vão sendo 
transferidos ao fornecedor escolhido. É implementado um processo de 
gestão para regularmente avaliar a qualidade da prestação de serviço do 
fornecedor, baseado nos acordos de níveis de serviços (SLA) estabeleci-
dos em contrato.
•	 Encerramento: se dá ao fim de um contrato de outsourcing no qual é 
realizada novamente uma análise de risco para continuar ou não com 
a prestação de serviços de TI, reiniciando novamente o processo de 
outsourcing.
GESTÃO DA TECNOLOGIA DA INFORMAÇÃO - U2 
45
8 GOvERNANÇA CORPORATIvA
Objetivos específicos
•	 Definir governança corporativa.
•	 Apresentar conceitos de governança corporativa.
Governança corporativa é um processo organizado de exercer as ações de 
comando em uma organização por meio de um Conselho Administrativo. Esse 
Conselho, uma vez interligado às áreas de negócio da empresa, estabelece 
vários processos que devem ser seguidos, para alinhar os objetivos organiza-
cionais com as ações de cada departamento.
Os princípios de governança corporativa foram publicados em três documen-
tos muito conhecidos na área. São eles:
•	 The Cadbury Report (Reino Unido, 1992).
•	 The Principles of Corporate Governance (OECD - Organization for 
Economic Co-operation and Development, Europa, 1998 e 2004).
•	 Sarbanes-Oxley Act of 2002 (Estados Unidos, 2002).
Entre esses documentos, o Sarbanes-Oxley é um dos mais conhecidos. Originá-
rio dos Estados Unidos, é muito utilizado por grandes empresas americanas no 
mundo inteiro.
Nesses documentos, os princípios de governança são descritos como:
•	 As organizações devem respeitar os interesses dos acionistas e auxiliá-los 
a exercer tais interesses.
•	 As organizações devem reconhecer obrigações legais, contratuais, sociais, 
de mercado para indivíduos ou outras organizações que não fazem parte 
do grupo de acionistas (ex: empregados, fornecedores clientes, etc.).
•	 O Conselho de Diretoria deve ter entendimento e habilidade suficientes 
para monitorar e aprimorar a performance gerencial da empresa.
Curso de Habilitação ao Quadro auxiliar de ofiCiais
46
•	 A integridade é um requerimento fundamental para escolha de executi-
vos e membros do Conselho de Diretoria.
•	 A organização deve deixar claro e público o papel e responsabilidadedo 
Conselho de Diretoria.
O propósito da governança corporativa é direcionar e controlar as atividades 
organizacionais estabelecendo estruturas, regras e procedimentos que auxiliem 
no processo de tomada de decisão. Esse direcionamento deve partir do mais 
alto escalão da empresa, o Conselho Administrativo, e atingir até as atividades 
operacionais do dia a dia em seu nível mais operacional, alinhando os objetivos 
de negócio com todas as ações da empresa.
Os Sistemas de Informação do tipo [ERP] possibilitam atingir de forma sistemá-
tica a governança corporativa. O ERP, como, por exemplo, o sistema SAP, possi-
bilita, entre outras coisas, a inclusão de regras, procedimentos e níveis de alçada 
de aprovação e estrutura organizacional nas atividades do dia a dia da empresa. 
Isso facilita que a organização se estruture de forma adequada. Várias organiza-
ções americanas usam o SAP, que é compatível com o Sarbanes-Oxley e oferece 
total segurança no processo de governança.
8.1 GOvERNANÇA EM TI
A área de Tecnologia da Informação tem um fator muito importante na gover-
nança corporativa. Não só pelo uso de Sistemas de Informação para estabele-
cimento da governança, mas para direcionar e controlar as atividades de TI de 
um modo geral, principalmente, alinhar as atividades de TI com os objetivos 
organizacionais. Nesse contexto, a governança em TI torna-se fundamental 
como um subconjunto da governança corporativa.
A governança em TI é um conjunto de disciplinas contidas na governança 
corporativa da organização com foco em Tecnologia da Informação. Essas 
disciplinas estabelecem um alinhamento dos objetivos organizacionais com 
os objetivos da área de TI da empresa, fazendo com que as decisões sejam 
tomadas pelo corporativo da empresa e não pelo [CIO] sem a anuência do 
Conselho de Diretores.
O propósito da governança em TI é direcionar e controlar as atividades organi-
zacionais de TI estabelecendo estruturas, regras e procedimentos que auxiliem 
no processo de tomada de decisão dentro da área de Tecnologia da Informação.
ERP (Enterprise 
Resource Planning): sistema 
de planejamento de recursos 
organizacionais. É o siste-
ma gestão que integra uma 
organização. Os sistemas eRP 
automatizam os processos 
organizacionais por meio de 
um software integrado.
Um exemplo de manual de 
governança corporativa pode 
ser acessado em: <http://
www.bb.com.br/docs/pub/
inst/dwn/manualcorporat.
pdf?codigoMenu=5356> 
CIO (Chief Information 
Officer): executivo respon-
sável pelo departamento de 
Tecnologia da informação de 
uma empresa.
GESTÃO DA TECNOLOGIA DA INFORMAÇÃO - U2 
47
A governança em TI tem seu foco em:
•	 Decidir como devem ser utilizados os recursos monetários destinados a 
TI. Os processos de governança envolvidos incluem: priorização, justifica-
tivas, controle de gastos e autorização para utilizar os recursos.
•	 Gestão dos Projetos de TI.
•	 Implementar e controlar os processos de mudança (ex: alterações em 
projetos), fazendo com que cumpram as normas estabelecidas de avalia-
ção de impacto e de orçamento, entre outras.
•	 Garantir a qualidade do Serviço de TI por meio da gestão dos indicado-
res de nível de serviço (SLA) definidos.
Uma vez implementada a governança em TI, totalmente alinhada com a gover-
nança corporativa, a organização tem seus processos organizacionais alinha-
dos aos objetivos do negócio. Nesse caso, todos na organização trabalham 
para atingir o mesmo objetivo, maximizando esforços e recursos.
GESTÃO DA TECNOLOGIA DA INFORMAÇÃO - U2 
49
REFERêNCIAS bIbLIOGRáFICAS
ANDRESS, Jason. The Basics of Information Security: Understanding the 
Fundamentals of InfoSec in Theory and Practice. Syngress, 1ª ed., 2011.
ANSI/TIA942. Data Center Standard Overview, 2005.
ARREGOCES, Mauricio; PORTOLANI, Maurizio. Data Center Fundamentals. 
Cisco Press, 2003.
BRASIL. Exército Brasileiro. Departamento de Ciência e Tecnologia. Normas 
para o Controle da Utilização dos Meios de Tecnologia da Informação 
no Exército (NORTI). 2007
______. Exército Brasileiro. EME. Instruções Reguladoras para Utilização 
da Rede Mundial de Computadores (Internet) por Organizações Mili-
tares e Militares do Exército (IR 20-26). Disponível em: <http://www.3cta.
eb.mil.br/download/ir_20_26.pdf>. Acesso em 18 de junho de 2013.
BROWN, Douglas. The Black Book of Outsourcing: How to Manage the 
Changes, Challenges, and Opportunities. Wiley, 1ª ed., 2005.
CADBURY REPORT. The Financial Aspects of Corporate Governance. Gee 
and Co. Ltd., London: 1992. Disponível em: <http://www.jbs.cam.ac.uk/cad-
bury/report/>. Acesso em: 14 de junho de 2013.
GOLENNIEWSKI, Lilian; JARRETT, Kitty Wilson. Telecommunications Essential, 
Second Edition: the Complete Global Source. Addison-Wesley Professional, 
2ª ed., 2006.
IEC 80000-13: Quantities and units – Part 13: Information Science and 
Technology, 2008.
OECD - ORGANIZATION FOR ECONOMIC CO-OPERATION AND DEVELOPMENT. 
The Principles of Corporate Governance. 2004. Disponível em: <http://
www.oecd.org/corporate/ca/corporategovernanceprinciples/31557724.pdf>. 
Acesso em: 14 de junho de 2013.
9 bIbLIOGRAFIA
Curso de Habilitação ao Quadro auxiliar de ofiCiais
50
SARBANES-OXLEY ACT. A Guide to the Sarbanes-Oxley Act, 2002. Disponível 
em: <http://www.soxlaw.com>. Acesso em: 14 de junho de 2013.
bIbLIOGRAFIA COMPLEMENTAR 
ANDERSON, Chris. A Cauda Longa. São Paulo: Elsevier, 2006.
DODD, Annabel Z. The Essential Guide to Telecommunications (5th 
Edition). Estados Unidos: Prentice Hall, 5ª ed., 2012.
HALVEY, John K.; MELBY, Barbara Murphy. Information Technology Out-
sourcing Transactions: Process, Strategies, and Contracts. Wiley; 2ª ed., 
2005.JOSYULA, Venkata; ORR, Malcom; PAGE, Greg. Cloud Computing: Au-
tomating the Virtualized Data Center (Networking Technology). Cisco 
Press; 1ª. ed., 2011.
LAUDON, K. C.; TRAVER, C. G. E-commerce: Business, Technology, Society. 
4ª ed., Estados Unidos: Prentice Hall, 2008.
MITNICK, Kevin D.; SIMON, William L. A Arte de Enganar. São Paulo: Pearson, 
2003.
MOELLER, Robert R. Executive’s Guide to IT Governance: Improving 
Systems Processes with Service Management, COBIT, and ITIL. Wiley; 
1ª. ed., 2013.
MONKS, Robert A. G.; MINOW, Nell. Corporate Governance. Wiley, 5ª ed., 
2011.
NIELSEN, Jacob. Projetando Websites. São Paulo: Campus, 2000.
OPPLIGER, Rolf. SSL and Tls: Theory and Practice. Artech House, 2009.
PAAR, Christof; PELZL, Jan; PRENEEL, Bart. Understanding Cryptography: 
A Textbook for Students and Practitioners. Alemanha: Springer, 1ª. ed., 
2010. 
PORTER, Michael. Internet and Strategy. Estados Unidos: Harvard Business 
Review, 2001.
TAPSCOTT, Don. Wikinomics. São Paulo: Nova Fronteira, 2007.
THOMAS, Stephen A., SSL & TLS Essentials: Securing the Web, Wiley, 2000.
GESTÃO DA TECNOLOGIA DA INFORMAÇÃO - U2 
51
TURBAN, Efraim; McLEAN, Ephraim; WETHERBE, James. Tecnologia da Infor-
mação para Gestão. 3ª ed. Porto Alegre: Bookman, 2000.
WALLACE, Michael; WEBBER, Larry. IT Governance: Policies & Procedures, 
2013 Edition, Estados Unidos: Aspen Publishers, 2012.
WHITMAN, Michael E.; MATTORD, Herbert J. Principles of Information 
Security. Cengage Learning, 4ª ed., 2011.
CCEAD – COORDENAçãO CENTRAL DE EDUCAçãO A DISTâNCIA
Coordenação Geral
Gilda Helena Bernardino de Campos
Coordenação de Avaliação e Acompanhamento
Gianna Oliveira Bogossian Roque
Coordenação de Criação e Desenvolvimento
Claudio Perpetuo
Coordenação de Design Didático
Sergio Botelho do Amaral
Coordenação de Material Didático
Stella Maria Peixoto de Azevedo Pedrosa
Coordenação de Tecnologia da Informação
Renato Araujo
Gerente de Projetos
José RicardoBasílio
Equipe CCEAD 
Alessandra Muylaert Archer
Alexander Arturo Mera
Ana Luiza Portes
Angela de Araújo Souza
Camila Welikson
Ciléia Fiorotti
Clara Ishikawa
Eduardo Felipe dos Santos Pereira
Eduardo Quental
Frieda Marti
Gabriel Bezerra Neves
Gleilcelene Neri de Brito
Igor de Oliveira Martins
Joel dos Santos Furtado
Lucas Feliciano
Luiza Serpa
Luiz Claudio Galvão de Andrade
Luiz Guilherme Roland
Maria Letícia Correia Meliga
Neide Gutman
Romulo Freitas
Ronnald Machado
Simone Bernardo de Castro
Tito Ricardo de Almeida Tortori 
Vivianne Elguezabal
EXÉRCITO BRASILEIRO