Software Livre

Muito se fala na área de de tecnologia que a adoção do software livre será a solução dos problemas e que o mundo inteiro está se voltando para o software livre como se fosse a única e que tudo que fosse pago é seria apoiar o imperialismo.

O Software Livre não é tão livre assim e pretendo aqui, apenas suscitar um debate com base em projetos de conversão de software pago para livre, que no final descobriram que gastaram muito mais dinheiro, tempo e principalmente perda de eficiência.

Sistemas Operacionais são a alma dos micro-computadores, senão todos os programadores teriam que criar cada códigos de programação para acessar disco, impressora, monitor, etc. Quando a Microsoft criou o Windows ela fez mais do que um sistema operacional, ela criou funções para serem usadas pelos programadores para acessar recursos do sistema operacional, criou tecnologias como o ActiveX e o DirectX. Digo que o ambiente Windows permite uma interação para desenvolvimento e utilização do usuário final ótimos. Qualquer coisa que facilite a vida do usuário vale muito mais megabytes e megahertz de processadores, visto que o hardware está com os custos em queda. No final o que importa e a compatibilidade e manter seus investimentos.

O software livre, mas precisamente, o sistema operacional Linux, não é um sistema operacional único. Existem várias versões deste sistema operacional, cada um com características, interfaces, configuração próprias, prejudicando a implantação de um ambiente altamente personalizado e gera problemas de falta de padronização para o usuário final e isso é fatal para o gerenciamento de grandes redes.

A segurança é outro ponto questionável. Por ser um código aberto, voce poderia, teoricamente alterar o código para atender a sua necessidade. Será que pode mesmo. Eu nunca consegui fazer isso. Ultimamente o mercado escolheu o Windows mais seguro que o Linux. Se o Windows estiver bem configurado o máximo que se pode fazer e parar o sistema, mas invadir, isso é outra coisa. Visite sites de segurança e encontrará mais correções para Linux do que para Windows.

Empresas que que decidiram utilizar o Linux como solução vertical, todas decidiram mudar suas tecnologias para Windows., devido a falta de documentação padrão e falta de suporte. A documentação encontrada é feita de modo rebuscado, não havendo revisão, sendo que temos que descobrir como deverá ser feito e contar com ajuda de fóruns de discussão ou exemplos sem padrão algum.

Temos ainda a constatação, ainda que empírica, que só temos os casos de sucesso que mudança de ambiente para o software livre. E os fracassos ? Acho que muitas organizações não divulgam e muito menos os gerentes.

Os governos no Brasil estão com projetos para migrar 100% para software livre, mas sem estudos de casos, baseando somente as decisões em valores e tabelas de preços, negligenciando custos como suporte, migração, sistemas e principalmente dos usuários.

O custo de aquisição pode ser zero, mas o suporte é muitas vezes mais caro, e quando há algum problema, você não tem a quem recorrer. Lembrando sempre que o custo de um especialista em Linux é maior que o de Windows, aliás, muito maior.

Grandes empresas, como IBM, SUN, Dell, HP, estão investindo no software livre, mas interessadas em vender seus produtos., isso em bom, mas não esqueçamos que sem investimento, nenhuma tecnologia viverá por muito tempo.

Riberval Saraiva da Silva
Coordenadoria de Informática
Tribunal de Justiça de Rondônia
Office: + 55 69 3217-1022
Fax: + 55 61 3217-1200
e-Mail: riberval@tj.ro.gov.br

Segurança da Informação

A título de conhecimento passo texto do Curso da Academia Latino Americana de Segurança da Informação/TecNet - Microsoft, o qual fiz parte, a respeito de Engenharia Social.

Abraços

Luiz Fernando Viscenheski
Analista de Suporte
TJRO



Academia Latino Americana de Segurança da Informação
Microsoft TechNet Brasil


É indiscutível que a preocupação com os aspectos tecnológicos associados à segurança da informação aumentou consideravelmente no mundo dos negócios. No entanto, são pouquíssimas as pessoas que avançaram na proteção de um dos elos mais fracos na cadeia de segurança, o fator humano. Isso permitiu que, utilizando técnicas de Engenharia Social, uma das antigas técnicas de invasão, fosse possível burlar os controles tecnológicos estabelecidos, simplesmente enganando as pessoas que possuem a informação requerida ou que conhecem a forma de chegar a ela.
Ocorre que a Engenharia Social consiste precisamente nas diversas técnicas com as quais se busca obter informações de outras pessoas sem que estas percebam que estão revelando informações importantes ou realizando ações não-autorizadas. Na realidade, associa-se muito ao que é a espionagem industrial ou corporativa. Um exemplo clássico é o do indivíduo que se faz passar por um alto executivo. Bem-vestido, com elegância e firmeza para falar, quem se negaria a lhe conceder um favor ou, ainda, uma ordem? Assim, ele obtém facilmente as informações ou realiza as ações que necessita para entrar no sistema, o que consiste, na verdade, em seu objetivo final.
A pessoa que entregou as informações fica feliz por ter ajudado ou em paz consigo mesma por ter atendido um superior, não ficando nem com a mais remota suspeita do equívoco cometido.
Presa fácil dessas técnicas são as pessoas que, sem considerar os controles de segurança, são muito confiantes, buscam sempre ajudar ou ser úteis sem avaliar a quem, ou se intimidam facilmente, por medo de perder algo ou ter problemas. Da mesma forma, também são sinônimos de vulnerabilidades a ignorância, a curiosidade excessiva, o manuseio descuidado das informações ou a tentativa de devolver falsos favores.
Em geral, a Engenharia Social tenta fazer com que essas pessoas realizem tarefas não autorizadas como parte de suas tarefas habituais de trabalho e de uma forma natural, para que não se dêem conta que estão apoiando uma ação indevida. Por isso, o primeiro objetivo do invasor é obter a confiança da vítima, que ele pode ganhar construindo uma relação baseada em conversas inocentes. Uma vez conquistada, ele continua a buscar as informações importantes que realmente busca. Não se pode confiar tanto nos outros. Não é necessário ser paranóicos, mas é realmente importante perceber que esses fatos são cada vez mais habituais e é fundamental ficar atento.
Uma boa forma de comprovar se estão fazendo algum ataque é recolher estatísticas de não cumprimento dos procedimentos. Por exemplo, analisar o número de pessoas que ligaram para o Suporte Técnico e aos quais não entregaram as informações porque eles não forneceram todos os dados de identificação solicitados. Outra maneira clara de ficar alerta é poder reconhecer certos sinais típicos de uma ação dessa natureza, como recusar-se a entregar informações de contato, ter muito cuidado, fazer menção a uma pessoa importante e intimar ou requerer informações esquecidas, para enumerar as mais comuns. De qualquer maneira, hoje em dia é fundamental educar, capacitar, sensibilizar e estabelecer políticas e procedimentos relativos a esse tema.
Uma forma de defesa contra esses ataques é conhecer os conceitos básicos que podem ser utilizados contra uma pessoa ou empresa a que ela pertence e que abrem brechas para conseguir dados. Com esse conhecimento, deve-se adotar uma atitude proativa que alerte e conscientize os funcionários para que comuniquem qualquer pergunta ou atitude suspeita.
Assim, as políticas de segurança devem ser realistas, com regras concisas e concretas que possam ser cumpridas.

Modelos, Normas e Padrões de Qualidade de Software

O que é Qualidade? Quando pode-se afirmar que determinado produto/serviço tem qualidade? Como se medir a qualidade? E em relação ao software? Como saber se um software tem ou não qualidade? Para responder estas questões, citaremos a definição da ISO (International Standards Organization), por meio da Norma Técnica ISO 9000:2000, que estabelece os fundamentos e vocabulário de um sistema de gestão da qualidade, e define qualidade como: “o grau no qual um conjunto de características inerentes satisfaz a requisitos”. Característica seria a “propriedade diferenciada”, enquanto que requisito é definido como “necessidade ou expectativa que é expressa, geralmente, de forma implícita ou obrigatória”.
O conceito de qualidade é um tanto complexo de se expressar, visto que, normalmente, a percepção de qualidade varia de acordo com as diferentes características, como ambiente, cultura, valores, etc. Em outras palavras, todas as definições, de uma forma ou de outra, fala de “satisfação da necessidade” ou “atendimento a requisitos”. Desta forma, as empresas, principalmente no setor industrial, já há algum tempo utilizam Modelos, Padrões e Normas de Qualidade definidos por organizações, associações e instituições, como ISO, IEEE (Institute of Electrical and Eletronic Engineering), INMETRO e ABNT. Em relação ao software, nas últimas duas décadas, com o surgimento e incorporação da Engenharia de Software tanto na academia quanto na produção, novos Modelos, Padrões e Normas de Qualidade específicos para a área de software foram paralelamente surgindo, como CMM/CMMI, ISO 12207, ISO 15504, ISO 9126 e MPS-BR, entre outros.
Assim como nos processos da Engenharia tradicional, o objetivo da Engenharia de Software é a melhoria da qualidade do seu produto com propostas de melhores práticas, técnicas, métodos de desenvolvimento de software. Então, as visões de avaliação da Qualidade de Software podem ser divididas em: Qualidade do Processo e Qualidade do Produto de Software.
Um dos grandes problemas históricos da área de software é o seguinte: o não cumprimento de prazos e de custos. Estudos mostraram que quando o processo de desenvolvimento não é bem definido, gerenciado, padronizado, normalmente resulta em um produto de baixa qualidade, seja por que demorou mais ou custou mais que o planejado, ou não atendeu aos requisitos anteriormente definidos, ou pior ainda, nem foi planejado. Diferentemente de um processo de produção industrializado, como a fabricação de um carro, por exemplo, o processo de desenvolvimento de software tem características que aumenta consideravelmente a sua complexidade (por enquanto, não é possível colocar robôs na linha de montagem), principalmente, para o desenvolvimento de software sob encomenda, como é o caso do TJ-RO, em que as soluções são propostas a partir das necessidades específicas do cliente/usuário.
Alguns modelos, padrões e normas para se avaliar a qualidade de um processo de desenvolvimento de software são os seguintes:
· ISO 12207 – padrão de termos, atividades e tarefas para o ciclo de desenvolvimento de software. Dividida em três grupos de processos: Fundamentais, de Apoio e Organizacionais.
· CMMI (Capability and Maturity Model Integration) – modelo proposto pelo Software Engineering Institute da Universidade de Carnegie Mellow, que certifica o nível de maturidade e de capacidade de processo de software em uma organização. É o sucessor do CMM e se constitui no padrão mundial de certificação de qualidade de software.
· ISO 15504 – também conhecida como SPICE (Software Process Improvement Capability ) é uma norma para avaliação da qualidade do processo, semelhante e compatível com o CMMI, que possui níveis de capacidade. É o padrão mais aceito na Europa.
· MR-MPS – modelo de referência do projeto MPS-BR (Melhoria do Processo de Software Brasileiro), proposto pela SOFTEX (Associação Brasileira para a Excelência do Software), que visa à certificação de qualidade do processo em níveis de maturidade, compatíveis com o CMMI, mas com foco na pequena e média empresa.
Quanto à visão de Qualidade do Produto, que é considerada como o resultado de um processo de desenvolvimento com qualidade, possui suas próprias normas, entre elas:
· ISO 12119 – norma específica para pacotes de software (também conhecidos como “software de prateleira”), que estabelece como os requisitos de qualidade devem ser representados e fornece instruções de como testar o produto de software em relação aos requisitos.
· ISO 25505 – nova versão da norma referente a pacotes de software, substituindo e atualizando a norma 12119.
· ISO 9126 – define um modelo de qualidade como referência na avaliação de qualidade do produto. Está subdividida em duas partes: um modelo para características externas e internas; e um modelo para qualidade em uso.
· ISO 14598 – define termos técnicos e fornece os conceitos e funcionamento do processo de avaliação de qualquer produto de software. Pode ser utilizada em complementação à norma ISO 9126.
Como questionamento final, fica a pergunta: como o Tribunal de Justiça de Rondônia pode tirar vantagens e implantar um processo de melhoria da qualidade de seu software? Fica aberto o debate e o espaço para um outro artigo que estou produzindo, aprofundando a visão da qualidade do processo de software.


Milcíades Alves de Almeida
MSc em Informática
Analista de Sistemas – COINF Ji-Paraná

Olá, Bruno

Muito legal a sua preocupação.

Deixa eu "colar" algumas coisas que coletamos no nosso workshop:

[OPORTUNIDADES]
Apoio da alta administraçãoApoio dos usuáriosNovas tecnologias (Software livre, Certificação digital ...)Crescimento profissionalReformulação do PCCS (colaboração na comissão)Ser referência de desenvolvimento de soluções para o Judiciário NacionalSecretaria T. I.Intercâmbio com outros TribunaisContatos com terceirizadosApoio do CNJ nas questões tecnológicasLegislação de incentivo à modernizaçãoCursos específicos e atuais
[FRAQUEZAS]
Recursos Humanos insuficiente.Pouco Planejamento e controle das atividades.Comunicação deficiente entre as divisões.Pouca Integração entre as divisões.Falta definição e implantação de metodologia de desenvolvimento de sistemas de informação.Falta definir e cumprir prioridades.Alta demanda de trabalho.Precisamos nos capacitar e aplicar metodologias em Gestão de recursos de TI
Desigualdade do conhecimento .ErgonomiaTratamento diferenciado (Acesso internet/gratificação).Baixa confiança no profissional (ouvir os dois lados em conflitos).Documentação de sistemas insuficientes.Não aplicamos os conhecimentos adquiridos em treinamentos.Pouco marketing dos produtos e serviços.Falta definição clara das atribuições por setores.
[FORTALEZAS]
Capacidade de superaçãoAdaptaçãoTrabalho em equipeEntusiasmo com o que fazemosComprometimentoAtualização profissionalBusca de conhecimentoUso de tecnologia de pontaApresentação de ótimas soluçõesCriatividadeDomínio de regra de negócioRecursos humanosRecursos tecnológicosRecursos financeiros FUJU
(Resumo)
Equipe setoriaisQualidade de recursos humanosComprometimentoÉticaRecursos tecnológicosRecursos financeiros do FUJU
[AMEAÇAS]
Mal da InternetUtilização de novas tecnologias (pen-driver, CD-R) – instalar programas com virus, copiar arquivos do TJRO,...Violação dos computadores (roubo de memória, etc..)Engenharia Social*Disponibilizar recursos p/ terceiros Uso de note-books particulares (perigo de infectar a rede com vírus).Consultoria externa (detectar um quantidade considerável de softwares não licenciados p/ o TJRO).Realocamento de equipamentos pelos usuários.

O pessoal da área de gestão diz que conhecer isso é bom. Devemos utilizar as oportunidades e as nossa fortalezas e atacar as ameaças e fraquezas.

Mas acredito que você esteja mais preocupado com os objetivos da área fim, o fundamento do Tribunal, aonde nos inserimos no contexto da MISSÃO e VISÃO do Tribunal de Justiça.

Acredito que nós devamos procurar conversar com os nossos usuários, sair de nossas cadeiras, da frente dos computadores e conversar, tentar capturar as necessidades do usuário. Não é fácil, pois o usuário-fim, o cartorário, o assistente e outros, tem geralmente uma visão particular dos objetivos do Tribunal de Justiça.

Temos que conciliar esta distância.

Primeiro tomar consciência da MISSÃO e VISÃO do Tribunal de Justiça (tomar consciência significa um pouco mais que conhecer).
Segundo, identificar as necessidades dos usuários.

A partir daí, conciliar as necessidades do usuário com a MISSÃO e VISÃO do TJ, esclarecendo ao usuário de que as suas ações devem estar alinhadas (estaremos colaborando com o Poder Judiciário para que as ações nas pontas estejam afinadas com o todo).

Isso fará com que entendamos o problema da criança a ser adotada, o problema da mulher que é maltratada pelo marido, o problema do cidadão que quer a JUSTIÇA CÉLERE, do ladrão que mesmo devendo estar recolhido na cadeia, ter condições de saber como anda a execução de sua sentença.

É CLARO que devemos nos preocupar com a nossa atividade profissional: analistas de sistemas. Prefiro pensar um pouco o termo "analista de sistemas" como "engenheiro de software". Devemos aplicar métodos, métricas, modelos e tudo o mais que for necessário para garantir a QUALIDADE de nosso produto condizente com a respectiva ESPECIFICAÇÃO.

No SIGA, no atual momento, estamos observando que o usuário final tem muita necessidade de fazermos interfaces mais simples. Pensamos muito nas exceções do sistema e aplicamos as exceções nas telas... só que 99,0% dos casos não são excessões (levantamos isso recentemente). Não significa esquecer as exceções, mas sim de tratá-las como o são. Teremos que rever isso conforme a necessidade do usuário (e aprender com isso, também).

Quanto à INOVAÇÃO.... bem, devemos ser criativos e para isso, entendo que devamos deixar a nossa mente vagar por idéias que até possam parecer absurdas. Devemos estar LIGADOS nas inovações tecnológicas para ver o quanto elas se adequam aos nossos propósitos. Devemos acompanhar também novas metodologias que são empregadas em diversas áreas, especialmente da computação e da gestão. Não adianta, contudo, saber e conhecer metodologias e tecnologias: devemos saber identificar até quanto elas se ajustam aos nossos processos de negócio, dimensioná-las, pesar os seus custos (pessoal, recursos financeiros, cronograma de implantação) e as vantagens. Verificar o momento se é oportuno para se caminhar nesta linha inovadora e saber articular com os canais certos o seu encaminhamento.

Entendo que esta seja uma visão particular do todo, e é uma das que me norteia atualmente.

Um FORTE abraço,

Sidnei

Como Inovar?

Como Inovar?Estive pensando caros colegas. Como atingir nossos objetivos quanto COINF?Me refiro aos citados em nossa última reunião, ou seja, tornar a justiça mais célere por meio de nossas atividades e os demais objetivos conhecidos.A pergunta que me veio incialmente é : Como Inovar?Sinceramente, sinto-me impotente perante a essa pergunta. Parece que minha principal carência é NÃO conhecer nosso negócio. Enfurnados em nossos computadores não vemos nada alem de linhas de códigos, diagramas e esquemas. A realidade, os verdadeiros problemas, parecem distantes e até inexistentes.Então me pergunto, quais os problemas do TJRO quanto a TI?Acredito que vocês, analistas de negócios devem estar mais por dentro desses assuntos, e como verdadeiros inovadores que são sugiro aqui a criação de um Comite de Inovação em TI no TJ para discussão desses assuntos... Seria interessante que isso fosse a diante, nem que as "reuniões" fossem via email e ele existe apenas virtualmente.O que pensam sobre o assunto?Bruno SpadetoAnalista de Microinformática

Como Inovar?

Em todos os artigos publicados no Blog, este assunto foi abordado, ainda que indiretamente. Vamos debater mais sobre isto! Inclusive explicitar as propostas. Esta semana, o vice-presidente inseriu um artigo sobre MPS.BR no blog. O Debate sobre MPS tem que ser nosso, lembremos as palavras do Des. Marcos Alaor em nosso WorkShop: Coinf proativa. Estou muito interessado em trabalhar primeiro PMBOK, que é voltado a gestão de projetos com uma visão mais genérica. Logo depois vamos melhorando os processos voltados à TI, inclusive aplicando MPS.BR. Quanto à criação da comissão para inovação de TI, vejo que isso realmente é indispensável ao cumprimento de nossa missão, entretanto é prioridade a designação da comissão de modernização da Coinf que entre outras coisas tem a missão de não deixar a chama apagar. Sabemos que outras tentativas de melhorar processos já fracassaram, portanto tem que existir um comitê específico, com competências e atividades bem definidas, para que interferências negativas não prejudiquem o trabalho.

Vamos fazer uma força para arrumar essa casa, colaborar e propor ações ao coordenador é um ótimo caminho, quem tiver idéias já registrem para o próximo encontro, que ocorrerá no Tribunal semana que vem. Quero reiterar minha sugestão sobre a criação de uma comissão permanente para trabalhar a implantação de metodologias de gestão de projetos, desenvolvimento e qualidade.

Uma coisa é certa, seja PMBOK, MPS.BR ou outro método de avaliação e melhoria dos processos, o ganho é geral, do Servidor da Coinf ao jurisdicionado. Produziremos com muito mais qualidade e satisfação. Àqueles que estão aí para pôr terra, A coinf é bem maior.


Tiberio Luiz - Analista de Sistemas

Prêmio Ibest

Caro Desembargador,
Nosso site, www.tj.ro.gov.br, está concorrendo ao Prêmio Ibest, onde está premiando os melhores da internet brasileira. Segue o link onde está o mesmo http://www.premioibest.com.br/ibest/busca.action?query=www.tj.ro.gov.br, para votar basta se cadastrar. É só preencher os seguintes dados no formulário: Nome Completo, Nome de Identificação e E-mail para contato em seguida um link será enviado ao seu email para confirmação do cadastro e uma senha será enviada em seguida e então o processo estará encerrado. Sugiro que seja postado no blog.
att
TIAGO FRANÇA SIQUEIRA
ESTAGIÁRIO
COINF/DIVISÃO DE APOIO/TJRO