Com o advento da Internet, a troca de informações passou a ocorrer com muito mais velocidade e entre muito mais pessoas. Em pouco tempo, esse meio de comunicação se tornou o mais utilizado, não só para a comunicação, troca de conhecimentos e pesquisas, mas também como meio de fornecer serviços que envolvem empresas, governos, etc.

Acontece que a divulgação ou o conhecimento não autorizado de tais informações (muitas das quais sigilosas), pode gerar impactos variados nas organizações, desde problemas financeiros, riscos para o negócio, perda de credibilidade, desgaste da imagem, entre outros.

Esteganografia

A esteganografia consiste em ocultar informação de tal forma que sua existência não seja percebida. Estegano, do grego “steganós”, significa “oculto” ou “misterioso”. Conseqüentemente, “esteganografia” é a escrita em cifra (código), com caracteres convencionais (letras e/ou números) ou especiais (símbolos), de textos. Trata-se de um ramo particular da criptologia que consiste em camuflar uma mensagem, mascarando a sua presença, mas que não torna a mensagem ininteligível.

Ao contrário da criptografia, a esteganografia não pode ser detectada. Arquivos como os de imagem e som possuem áreas de dados que não são usadas ou são pouco significativas. A esteganografia tira proveito disso, trocando essas áreas por informação útil.

Essa técnica não é nova. Relatos da Segunda Guerra Mundial informam que os espiões alemães utilizavam micropontos para fazer com que suas mensagens viajassem discretamente dentro de fotografias. Eram mensagens do tamanho de um ponto (.) que, uma vez as fotos ampliadas, apareciam codificadas para seus destinatários.

Atualmente os hackers e crackers também passaram a inovar nas formas de trocarem informações. Hoje, uma das técnicas mais utilizadas por eles é a esteganografia digital, utilizada para esconder informações em textos, imagens, sons e vídeos, de forma que as mesmas passem desapercebidas aos olhos humanos.

Formas de esteganografia

Como mencionado, a esteganografia é a técnica de esconder um arquivo dentro de outro, de forma criptografada. Por exemplo, colocar um texto criptografado dentro de um arquivo de imagem qualquer. Algumas formas de esteganografia são:

Marcação de caracteres: utilização de uma tinta com composto diferente que ao ser colocada frente à luz faz com que os caracteres fiquem de forma diferente, compondo a mensagem secreta;

Tinta invisível: pode-se utilizar uma tinta invisível para a escrita da mensagem em cima de outra pré-existente, aonde, somente com produtos químicos poderíamos obter o conteúdo.

Bits não significativos: A moderna esteganografia (esteganografia digital) utiliza o uso de bits não significativos que são concatenados a mensagem original e faz uso também de área não usada.

Diferença entre esteganografia e criptografia

Ao contrário da criptografia, que procura esconder a informação da mensagem, a esteganografia consiste em ocultar uma determinada informação, seja um arquivo de texto ou uma imagem, dentro de outro arquivo, de tal maneira que não será possível (de forma normal) perceber a existência dessa informação. Apenas o emissor e o destinatário da imagem “esteganografada” conseguem ver o texto, através do uso de um programa apropriado e de posse da chave usada nesse processo.

Assim, contrariamente à criptografia, que cifra as mensagens de modo a torná-las incompreensíveis, a esteganografia esconde as mensagens através de artifícios, por exemplo, imagens ou um texto que tenha sentido, mas que sirva apenas de suporte. A idéia é mesclar a mensagem numa outra e onde apenas determinadas palavras devem ser lidas para descobrir o texto camuflado.

Já a criptografia é uma técnica que consiste em codificar o conteúdo de uma informação. Neste caso, a informação é enxergada, mas não é possível compreender o seu conteúdo. Para isso, é necessário o uso de um programa específico para criptografia.

Existem duas formas básicas de criptografia: usando uma chave única ou usando uma chave pública e uma chave privada. Chave é uma seqüência de caracteres, símbolos e/ou letras, assim como uma senha. Quando nos referimos à chave única, significa dizer que a mesma chave usada para criptografar uma informação, será também usada na hora de descriptografá-la. Neste caso, torna-se necessário que as partes envolvidas combinem qual será a chave usada nesse processo.

A criptografia baseada em chave pública e chave privada é uma garantia de maior segurança e eficácia na medida em que não há a necessidade de um prévio acordo entre as partes. A chave pública, como o próprio nome diz, é feita para ser divulgada livremente. Esta é a chave que devemos usar para criptografar uma informação. A chave privada é mantida em segredo e usada para descriptografar a mensagem.

Por exemplo, um emissor “A” quer trocar informações criptografadas usando o método de chave pública e privada com o destinatário “B”. Neste caso, “A” deve que codificar a informação usando a chave pública de “B” para que “B”, após receber a informação, possa decodificá-la usando uma chave privada correspondente a sua chave pública.

Esteganografia digital

A esteganografia atual consiste em ocultar informações dentro de arquivos de áudio, vídeo ou imagens e a informação é escondida nos bits menos significativos dos bytes do arquivo. Claro que a mensagem esteganografada só pode ser lida por quem saiba onde ela está e conheça o código para decifrá-la. Aparentemente o que parece uma sujeira ou um ruído no caso dos arquivos de áudio, na verdade, são informações ocultas.

A forma mais comum de esconder informações ainda é através de imagens. Arquivos digitais, de maneira geral, possuem áreas não utilizadas, ocupáveis por informação adicional. Uma imagem é formada por um conjunto de pixels de 8 bits cada um. O pixel é a unidade básica de programação de cor em um display de computador ou em um arquivo de imagem. A cor específica que um pixel descreve é uma mistura dos três componentes do espectro de cores – vermelho, verde e azul.

A idéia é que, alterando-se o bit menos significativo não ocorrem mudanças perceptíveis na imagem. Assim é possível codificar em uma imagem uma seqüência de dígitos binários que contenha um texto usando apenas o bit menos significativo de cada componente (canal) da cor dos pixels.

Aplicações

Uma importante aplicação da esteganografia digital é como “marca d’água”, mensagem oculta de direitos autorais usada juntamente com uma “impressão digital” do produto, número de série ou conjunto de caracteres que autentica uma cópia legítima. A falta da “impressão digital” aponta violação de direito autoral e a ausência da “marca d’água” comprova o fato.

Recentemente a empresa japonesa Fujitsu anunciou o desenvolvimento de uma tecnologia capaz de incorporar dados numéricos de 12 dígitos em imagens impressas em cores, de forma totalmente invisível ao olho humano. Tecnicamente, trata-se de uma espécie de esteganografia e não das técnicas convencionais de incorporação de marcas d’água em imagens digitais.

Tal tecnologia torna possível a inclusão de dados, por exemplo, em anúncios de revistas, nos quais um código de identificação invisível poderá ser lido por telefones celulares ou computadores de mão. Esses códigos consistem de barras pretas e brancas ou pontos geometricamente alinhados que foram projetados para serem lidos por máquinas. Com essa nova tecnologia, os códigos de barra simplesmente “desaparecem” no meio das imagens e ilustrações, ficando invisíveis ao olho humano e os dados incorporados nas imagens podem ser lidos em alta velocidade.

Conclusão

As técnicas de esteganografia digital buscam a ocultação da informação ou, ao reverso, como neutralizar essa possibilidade. Muito do desenvolvimento da esteganografia digital aconteceu em função da necessidade de proteção da propriedade intelectual. Outras áreas de aplicação são a comunicação anônima, comércio eletrônico, sigilo dos sistemas de computação, detecção de informação oculta, urnas eleitorais digitais, privacidade & ocultação de informação e cifragem / decifragem.

Os dois métodos (criptografia e esteganografia) podem ser combinados para aumentar a segurança dos sistemas de informação. Por exemplo, pode-se criptografar uma mensagem e em seguida, utilizar a técnica de esteganografia, trocando-se os bits menos significativos de uma imagem digitalizada pelos bits da mensagem criptografada, e então transmitir a imagem. Se a imagem for interceptada, primeiro será necessário descobrir a mensagem oculta entre os bits da imagem, e, somente após isso, poderá ocorrer a tentativa de descriptografá-la.

Mobilidade, acesso sem fio e convergência são as palavras de ordem no atual mercado das redes de comunicação. Trata-se de uma tendência irreversível, que vem se tornando realidade e incorporando-se ao dia-a-dia dos indivíduos, principalmente para aqueles interessados nas facilidades tecnológicas que agregam valor à sua rotina, seja no trabalho, em casa ou no lazer.

A possibilidade da utilização de tecnologias de voz em redes sem fio, por exemplo, torna-se cada vez mais um argumento forte para impulsionar o mercado das redes de computadores e, de quebra, torna-se uma preocupação a mais para os profissionais incumbidos pela administração dos recursos da rede.

A voz como informação

A transmissão de voz em redes sem fio pode não ser uma coisa nova em termos tecnológicos, mas, sem dúvida, é algo novo em termos de serviço. Até pouco tempo atrás limitado às redes tradicionais de telefonia, o serviço de transmissão de voz vem se tornando uma solução viável no ambiente das redes sem fio das empresas e mesmo nas residências.

Para que a voz seja transmitida através de uma rede de computadores, ela deve ser transformada para o formato digital (bits) e enviada na forma de pacotes. Logo passa a ser vista como “informação” e não mais como “voz”. Esse conceito, adaptado à realidade das redes sem fio, herda todas as vantagens e problemas que qualquer transmissão de dados teria, uma vez que não existe qualquer distinção entre ambos os tráfegos (pacotes de voz ou de dados).

Quando essa técnica de transmissão é introduzida sobre uma solução sem fio, os aspectos tecnológicos observados são basicamente os mesmos que já existem para a rede antes destinada ao tráfego exclusivo de dados, uma vez que, na prática, o que estamos implementando é o transporte da voz (no formato digital) utilizando um protocolo específico (neste caso, o protocolo IP) e apresentando os mesmos mecanismos e funcionalidades quando são transportados apenas dados.

Exposição e ameaças

“À medida que a utilização de voz cresce em uma rede, também crescerá a exposição dessa rede às ameaças de segurança”. Por se tratar de uma tecnologia que utiliza a infra-estrutura de uma rede sem fio, é natural pressupor que esta afirmativa seja fundamentada e que o tráfego de voz implique realmente em novos riscos quando abordamos os aspectos de segurança para uma rede de computadores.

Todavia, devemos observar que, se uma rede sem fio segue regras de segurança eficientes para a transmissão das informações, o tráfego de dados é seguro e o de voz também o será, pois, como os canais de comunicação são os mesmos, a voz herda a segurança que a rede sem fio oferece para os dados. Entretanto, se a rede sem fio não oferece nenhum meio de proteção para a informação digital, as transmissões de sinais de voz também não terão qualquer tipo de segurança.

Por exemplo, no caso dos hotspots que oferecem acesso sem fio à internet livremente e sem oferecer qualquer nível de segurança, tanto dados quanto voz estarão sujeitos aos vários tipos de riscos e ataques encontrados nesse ambiente inseguro. Cabe ao usuário do serviço providenciar garantias quanto à privacidade de suas comunicações, estabelecendo políticas de acesso capazes de oferecer segurança para a informação que deseja transmitir.

Na verdade, a união entre voz e redes sem fio não traz ameaças novas ou que não possam ser combatidas com políticas de segurança eficientes, embora essa associação possa, certamente, aumentar os efeitos das vulnerabilidades da rede por várias razões.

Por exemplo, é comum um administrador de rede buscar formas alternativas de prover aos seus usuários funcionalidades de rede adicionais (telefonia, por exemplo). Neste aspecto, a segurança deve tornar-se um dos fatores e característica mais importante dos serviços disponibilizados, sendo que as funcionalidades oferecidas devem considerar a aplicação de políticas de segurança que sejam integradas e capazes de abranger a totalidade da rede.

Por esse motivo, é extremamente importante que as empresas adotem políticas de segurança adequadas para protegerem seus ativos de rede, tanto para a comunicação de dados, quanto para a comunicação de voz.

As formas disponíveis para reduzir os riscos na transmissão de voz em redes sem fio são as mesmas que se aplicam às redes antes destinadas ao tráfego exclusivo de dados, são elas: a autenticação por endereço MAC e a criptografia.

Tanto a autenticação por endereço MAC como algumas chaves de criptografia (WEP, por exemplo), são consideradas como de nível de segurança fraco, estando mais vulneráveis a ataques. Outras especificações mais recentes (série IEEE 802.1x, WPA e WPA2, por exemplo) são consideradas mais seguras, permitindo a autenticação e encriptação do tráfego de dados com maior eficiência.

Projetos de voz em WLAN

Os projetos que envolvem a transmissão de voz sobre redes locais sem fio – WLAN’s – devem buscar funcionalidades cujas principais preocupações devem girar em torno de implementações quanto à mobilidade, segurança e à qualidade de serviço oferecido. A autenticação dos usuários e dos dispositivos de rede, assim como a introdução de protocolos de criptografia mais evoluídos, torna-se igualmente uma necessidade que não pode ser relegada a um plano secundário.

Mobilidade

Em termos de mobilidade, é claramente uma vantagem essa integração entre voz e redes se fio, pois já temos uma infra-estrutura pronta e vamos tirar partido dessa mesma infra-estrutura. A preocupação adicional fica por conta do alcance, da forma de cobertura e da forma de proteção do sistema de rádio escolhido.

Segurança

Ao nível da segurança, os vários mecanismos disponíveis nos dispositivos sem fio devem ser estendidos aos demais dispositivos associados com a transmissão de voz. É fundamental que os administradores da rede se lembrem que é importante (e necessário) configurar as funcionalidades de segurança (tais como criptografia e firewall) para proteger a rede de possíveis ataques.

A segurança deve partir de uma filosofia centrada na necessidade de implementar políticas de acesso aos principais recursos da rede com o objetivo de deter os ataques antes que estes afetem os servidores ou outros dispositivos. Por exemplo, temos freewares e sharewares cujo tráfego de pacotes ou a transferência de arquivos não é detectada pelo tradicional firewall. Usar um aplicativo destes como solução corporativa caracteriza-se, seguramente, como uma falha na segurança.

Sempre é bom lembrar também que os pacotes de voz pode ser um alvo de ataques de spam, DoS, spoofing e phishing, resultando em danos graves como perda de confidencialidade, indisponibilidade dos serviços de comunicação, entre outros.

A utilização de sistemas modulares que permitam lidar com problemas de segurança em qualquer ponto da rede (e não apenas nos pontos de acesso) pode oferecer um maior grau de segurança nesse caso. No entanto, devido à especificidade de algumas soluções e as novas tecnologias emergentes, as soluções devem se preocupar em trabalhar na segurança das redes sem fio, principalmente ao nível da intrusão. Uma vez garantido o nível de segurança no que diz respeito à infra-estrutura, as questões de segurança podem ser tratadas no nível de aplicação e não mais em relação ao meio utilizado.

Qualidade de Serviço

A voz é um tipo de serviço em tempo real que não admite latência na rede, ou seja, o tempo de envio do pacote de voz é o ponto chave para a transmissão em redes onde trafegam pacotes de dados. Os pacotes de voz, ao contrário da maioria dos pacotes de dados, necessitam de uma rede estável que ofereça baixa latência e um mínimo atraso (delay), ou seja, necessitam de redes que ofereçam uma Qualidade de Serviço – QoS (Quality of Service).

É através do QoS que os fluxos de dados das aplicações podem ser categorizados em classes de serviço e assim passam a receber um tratamento diferenciado, de acordo com a importância de cada pacote. Este tratamento se dá normalmente por mecanismos de controle e de priorização de fluxo.

Por exemplo, temos a seguinte situação: uma rede com link de Internet, por onde trafegam vários pacotes de diferentes serviços como: FTP, HTTP, SMTP, etc. Uma estação de trabalho conectada nesta rede consome uma determinada banda de transmissão para enviar e receber informações. Se houver uma conexão de voz ativa nesta mesma máquina, a banda consumida tende a aumentar mesmo que seja usado algum tipo de compressão para os dados.

Se, nesta mesma rede, passamos a ter outras máquinas realizando as mesmas funcionalidades da primeira, mas realizando ainda downloads ou uploads de arquivos de forma simultânea, nesta condição teríamos a possibilidade de um link saturado, com a toda a banda praticamente consumida e, neste caso, a conexão de voz seria certamente prejudicada porque não haveria prioridade para os pacotes de voz.

Isso acontece porque os pacotes de voz precisam sair em tempo real e sem atraso (ou com o mínimo de atraso possível), mas se a rede não oferece uma forma de priorizar os pacotes de voz, simplesmente qualquer pacote que chegar primeiro terá a preferência para ser transmitido. Assim, os pacotes de voz esperariam outros pacotes que estivessem na sua frente disputando a banda disponível e teriam sua saída retardada.

O que se faz na prática é colocar todos os pacotes de voz na frente dos outros pacotes ou disponibilizar uma quantidade específica de banda para que esses pacotes tenham prioridade de transmissão na rede. Neste caso, os pacotes sem prioridade ficam aguardando a sua vez para serem transmitidos, enquanto os prioritários utilizam toda a banda ou uma parte predefinida dela. As outras aplicações ou pacotes, ou aguardam a sua vez, ou recebem uma porcentagem menor da banda. Assim, se um usuário da rede tentar fazer um download ao mesmo tempo em que outro estiver fazendo uma conexão de voz na mesma rede, o QoS dará preferência para a ligação de voz.

Prós e contras

A utilização de voz em redes sem fio é realmente importante pelos benefícios que oferece, seja pela comodidade que traz ao usuário, seja por causa da redução de custos com telecomunicações que possibilita.

A transmissão de voz está sujeita aos mesmos problemas de segurança que uma rede sem fio oferece para a transmissão de dados, estando susceptível aos mesmos tipos de ataques, ou seja, se não for corretamente protegida, a voz (digitalizada sob a forma de pacotes) pode ser igualmente capturada, permitindo aos intrusos a utilização indevida das informações. Essa preocupação com a transmissão de voz é tão importante em termos de segurança como em termos da transmissão de qualquer outro tipo de informação sobre o mesmo ambiente.

Por fim, além dos habituais cuidados com o acesso à informação em uma infra-estrutura sem fio, com a voz temos uma preocupação adicional: os problemas ocasionados pela introdução de atrasos nos pacotes de voz, que podem reduzir a qualidade percebida em termos de conversação e até interromper a própria comunicação.

Garantir o nível do serviço prestado pode ser a chave da satisfação do cliente em relação a qualquer fornecedor de serviços. Porém, normalmente existem algumas diferenças de percepção entre o prestador de serviços e seu cliente sobre os termos que devem ser constar nos contratos que objetivam garantir essa qualidade dos serviços de forma satisfatória, ou, para ser mais preciso, quais as métricas aplicáveis para a implementação de Acordos de Nível de Serviço – ANS (ou, em inglês, SLA – Service Level Agreement).

As dificuldades da negociação

Tanto clientes quanto prestadores de serviços reconhecem a importância do estabelecimento de níveis de serviços para seus respectivos negócios. Contudo, a grande maioria não implementa nenhum tipo de acordo de nível de serviço simplesmente porque não sabe como conduzir uma negociação sobre níveis de serviços nem mesmo como redigir um Acordo de Nível de Serviços.
Se, por um lado, a maioria dos prestadores enfrenta dificuldades para determinar os níveis de serviço a serem garantidos em seus contratos, por outro lado os clientes ficam inseguros quanto à definição das cláusulas que envolvem os aspectos da qualidade do serviço que serão firmadas entre eles e os prestadores de serviços.

Neste ponto é preciso considerar o grau de informação que as partes possuem a respeito do conceito “qualidade de serviço”. Também é importante compreender que o foco e a percepção dos prestadores de serviços, ou sua equipe técnica, são ligeiramente diferentes daqueles considerados pelos clientes, uma vez que a visão do próprio cliente sobre seu negócio é diferente daquela que o prestador de serviços poderá ter.

A verdade é que o prestador de serviços não pode mais se concentrar apenas nos itens firmados no contrato de serviço, mas deve apresentar uma visão mais abrangente e centralizada nas necessidades do cliente, preocupando-se com o nível de atendimento e satisfação deste. O cliente, por sua vez, torna-se o ponto central da negociação e, como tal, deve ser coerente com os objetivos propostos no contrato mantendo um relacionamento mais estreito com o prestador de serviços.

Buscando soluções

A melhor solução sempre será aquela capaz de alcançar níveis coerentes de atendimento e oferecer os resultados esperados, equilibrando os recursos operacionais disponíveis e que esteja totalmente adaptada aos processos internos existentes tanto no negócio do prestador de serviços quanto (e principalmente) no negócio do cliente. Neste contexto, é preciso compreender as limitações de cada processo e ter cautela no alinhamento das expectativas geradas sobre os resultados.

Um relacionamento transparente pode favorecer o real nível de serviço que precisa ser atingido para proteger o negócio do cliente de forma a evitar que pontos críticos do serviço sejam tratados sem o devido destaque, dentro do universo do contrato, bem como vincular objetivos que possam, de fato, serem cumpridos pelo fornecedor do serviço.

É igualmente imprescindível a prática da negociação permanente entre fornecedores e clientes a fim de chegarem a um consenso que favoreça um ambiente com as condições necessárias para o fechamento de Acordos de Níveis de Serviços satisfatórios para os dois lados. Da parte do prestador de serviços é necessário buscar e garantir a satisfação do cliente, oferecendo-lhe um ANS que atenda às suas necessidades específicas. Da parte do cliente, é necessário o entendimento do que realmente precisa ser garantido e até que ponto ele poderá solicitar tais garantias.

Qualidade de Serviço

Em uma abordagem inicial, o termo “Qualidade de Serviço” pode ser entendido como um requisito do negócio do cliente para o qual exige-se que determinados parâmetros estejam dentro de limites bem definidos, solicitados em termos de uma “Solicitação de Serviço” ou “Contrato de Serviço”, materializado sob a forma de um contrato de SLA.

Avançando um pouco mais esta abordagem, podemos afirmar ainda que um contrato de SLA deve definir claramente quais aspectos devem ser garantidos (e os que não serão) para que a atividade possa ser executada com a qualidade esperada pelo cliente. Uma vez que o contrato satisfaça este requisito, tem-se como resultado a garantia do serviço prestado dentro dos parâmetros solicitados pelo cliente e executado dentro de suas expectativas.

Do ponto de vista de quem administra este tipo de contrato, a percepção da qualidade de serviço está mais orientada no sentido da utilização de mecanismos e ferramentas que possibilitem medir e controlar a qualidade dos serviços prestados em benefício dos seus clientes finais, sem causar prejuízos ao prestador de serviços, ou seja, o interesse do administrador do contrato está em definir como as partes podem garantir efetivamente o cumprimento das cláusulas definidas no contrato de SLA sem prejudicarem-se mutuamente.

Por outro lado, do ponto de vista dos clientes, tem-se normalmente que a qualidade obtida com um serviço pode ser variável e, a qualquer momento, pode ser alterada ou ajustada (para melhor ou pior qualidade), o que, em última análise, depende fundamentalmente das expectativas do próprio cliente.

Embora este comportamento possa parecer dinâmico do ponto de vista do cliente, do ponto de vista do prestador de serviço este tipo de contrato, bem como a qualidade do serviço esperada, é estática, podendo, eventualmente, ser alterada mediante nova rodada de negociações.

Dessa forma, a alteração de um contrato SLA implica, normalmente, em uma nova solicitação de qualidade de serviço à atividade em questão, influenciando na escalabilidade e flexibilidade da solução implantada. Essa escalabilidade do contrato se torna particularmente relevante quando consideramos a possibilidade de estender a garantia da qualidade de serviços específicos para outros serviços, associados a estes. Neste caso, a flexibilidade dos mecanismos de controle da qualidade será o fator determinante na aceitabilidade das mudanças tanto pelo cliente quanto pelo prestador do serviço.

A palavra é comprometimento

Negociar níveis de serviços é muito parecido com a prever o tempo. Para a previsão do tempo são necessários profissionais com conhecimento, instrumentos para medição e uma estrutura para concentrar e divulgar os resultados e mesmo assim, ainda há a probabilidade de “mudanças no decorrer do período”. Da mesma forma, para negociar níveis de serviços e alcançar resultados satisfatórios são necessários a participação dos envolvidos, o conhecimento das ferramentas e a disposição em estabelecer os critérios pertinentes. Ainda sim, haverá a possibilidade de ajustes no foco do acordo e, conseqüentemente, mudanças no conteúdo do contrato. Assim, o primeiro passo para o sucesso de um acordo de SLA consiste em agregar os envolvidos no processo de negociação e comprometê-los com a construção do acordo proposto. O bom resultado desta etapa reside na necessidade das pessoas envolvidas conhecerem e estarem totalmente sintonizadas com o objetivo do acordo. Neste ponto o estabelecimento de um diálogo aberto entre prestador de serviços e cliente é fundamental para que o processo ganhe corpo e demonstre confiança e comprometimento mútuos.

Identificando os pontos críticos

Uma vez avançada essa etapa de comprometimento através de diálogos e atitudes e, uma vez estabelecido o respeito mútuo entre as partes, o passo seguinte será buscar identificar que níveis de serviço são, de fato, críticos para o negócio do cliente, focalizando os esforços nos processos ou fases que envolvem o estabelecimento das expectativas de níveis de serviço para o contrato de SLA.

O objetivo desta etapa é estabelecer um ciclo repetitivo para as diversas propostas de expectativas de níveis de serviço, até que se alcance um ponto onde todos concordem com o SLA estabelecido, dentro da realidade e das métricas acordadas entre ambas as partes.

O que esperar

O mundo globalizado em que vivemos trouxe grandes mudanças nas práticas comerciais, mudanças que se aceleram na medida em que novas tecnologias dinamizam os processos e trazem novas abordagens para métodos tradicionais.

Todos nós, em algum momento, somos clientes e, noutro momento, somos prestadores de serviços. Neste contexto, como prestadores de serviços, não ignoramos as necessidades nem o impacto dos serviços que fornecemos aos nossos clientes e, como clientes, buscamos garantir que nossas necessidades sejam plenamente atingidas. Entretanto, muitos de nós ainda estamos limitados em termos de conhecimento e de recursos no momento de avaliar a eficiência do próprio negócio como prestador de serviços e, conseqüentemente, avaliar o negócio até mesmo como cliente.

A análise de componentes individuais de um contrato de serviço pode nos fornecer informações relevantes e importantes para a manutenção de um acordo, porém não nos oferece maiores perspectivas em relação ao nível global do serviço que é prestado ao cliente final. Por esse motivo, seja como cliente ou como fornecedor, a utilização de acordos de nível de serviço será um componente-chave na negociação de serviços com maior qualidade, permitindo, inclusive, um planejamento mais eficiente do negócio.

Instalar equipamentos, dimensionar a infra-estrutura, especificar e instalar sistemas são algumas das principais atividades de um projetista de redes. Além disso, é muito importante conhecer também os conceitos de topologias, protocolos e de segurança de redes.

Estas são algumas atribuições básicas que fazem a diferença. Mas será que isto é tudo?

Atitude profissional

Além da preocupação com a segurança e a funcionalidade do projeto da rede (cabeamento adequado, equipamentos devidamente instalados, rede elétrica convenientemente dimensionada, etc), o trabalho do profissional de redes também exige descobrir e compreender quais são as reais necessidades dos clientes e a melhor forma de atendê-los.

O primeiro passo é ter em mente que cada cliente deseja receber atenção e ter seu problema solucionado conforme sua necessidade, ou melhor, conforme ele havia imaginado. Lembre-se que, quando um sistema da rede falha, compromete a atividade de quem o utiliza, podendo comprometer também o trabalho de outros indivíduos que indiretamente dele dependem. Assim, sua atitude e o seu conhecimento profissional nesse momento são fundamentais.

Saber ouvir

Para atender da melhor maneira possível o cliente, o profissional deve aprender a perguntar, ouvir com atenção e entender qual solução é a mais adequada para o problema apresentado por seu cliente. Nesse momento é importante assumir uma postura que não transmita uma impressão de quem “sabe tudo”, pois cada cliente tem suas próprias necessidades e elas são sempre diferentes.

Atender com qualidade e superar as expectativas

Um contato inicial bem feito é importante, mas não é o bastante. É necessário estar sempre atento ao que o cliente necessita e deseja, mantendo um nível de qualidade desde o início até o final do projeto, e mesmo depois dele. Colocar-se à disposição do cliente e entrar em contato após o trabalho concluído para saber se ele ficou satisfeito com os resultados ou mesmo apenas para sugerir procedimentos de manutenção preventiva é uma atitude que deixa transparecer seriedade e competência. Um atendimento com tal nível de qualidade resulta em maior confiança do cliente e ainda pode garantir que o seu trabalho seja indicado para outras pessoas.

Importante dizer também que fazer o básico, ou seja, apenas o que está estabelecido nas normas e padrões pode não ser o suficiente para atender as reais expectativas do cliente. Na grande maioria das vezes, ele tem pouco ou nenhum conhecimento de como deve proceder.

Auxiliar o cliente para que ele conheça melhor a tecnologia disponível de forma a atender suas necessidades com maior qualidade, conforto e eficiência darão ao projetista um grande diferencial competitivo no mercado.

Conhecer cada vez mais

O bom profissional está em constante aprendizado, aprimorando sempre seus conhecimentos. Quando um profissional trabalha permitindo as chamadas “gambiarras”, seja por limitações materiais ou pior, por desconhecimento da técnica ou da tecnologia envolvida, ele consequentemente estará aumentando os riscos para o insucesso do empreendimento como um todo, o que certamente irá significar problemas para o cliente e para ele próprio ao longo do tempo.

O profissional deve se reciclar constantemente, fazer cursos, procurando ficar sempre atualizado e em sintonia com as novas tecnologias e sobre o que há de novidade no mercado onde atua. Assim, saberá utilizar com maior precisão os recursos que permitirão obter o máximo de desempenho nos seus projetos, trabalhando com qualidade e conquistando o cliente.

1. Governança Corporativa e Governança em TI

Governança é, segundo os dicionários, o ato de governar-se. O conceito de Governança Corporativa surgiu nos Estados Unidos e na Inglaterra no final dos anos 1990 e está relacionado à forma como as empresas são dirigidas e controladas. A governança surgiu visando garantir o componente ético da organização, representado por seus diretores e outros funcionários, na criação e proteção dos benefícios para todos os acionistas. Isto significa dizer que as empresas precisam saber quem toma as decisões e quais os processos pelas quais essas decisões são tomadas. Não vale para qualquer atitude adotada na empresa, deliberações sem grande relevância. Vale para decisões importantes, de grande valor para a organização.

Governança em TI (Tecnologia da Informação) é uma derivação de Governança Corporativa, termo que tem hoje grandes aplicações no mundo empresarial. A Governança em TI inclui estruturas de relacionamentos e processos que tem como objetivos dirigir e controlar a organização para que esta alcance seus objetivos mas que, simultaneamente, devem equilibrar os riscos em relação ao retorno da tecnologia de informação e a seus processos. São estruturas e processos que permitem controlar a execução e a qualidade dos serviços, viabilizando o acompanhamento de contratos internos e externos, ou seja, a Governança em TI define as condições para o exercício eficaz da gestão com base em conceitos consolidados de qualidade.

1.1. Desenvolvendo uma estrutura de Governança em TI

A Governança em TI visa designar os direitos de decisão nas questões relevantes com o propósito de atingir os objetivos de negócio da organização. Em muitas organizações este processo se inicia pela demonstração dos riscos envolvidos na falta de controle sobre o ambiente de TI. Assim, foram identificadas cinco áreas de domínios relevantes para as decisões de TI:

Princípios de TI – regras que norteiam o direcionamento e o controle dos processos dentro da estrutura corporativa;

Arquiteturas de TI – capacidade instalada de tecnologia da informação, padrões de tecnologia, modelos de dados etc;

Aplicações de negócios de TI – como decide e quem decide em relação às soluções de negócios;

Estratégia de infra-estrutura de TI – como vai dispor da capacidade instalada;

Investimentos em TI – como priorizar os recursos aplicados em TI.

Internamente, a governança deve desenvolver competências e designar os direitos de decisão nas questões de real valor tendo por fim atingir os objetivos de negócio. Neste aspecto, a governança em TI se apresenta como uma estrutura bem definida de relações e processos que controlam e dirigem uma organização dentro de um cenário de extrema competitividade. O foco é permitir que as perspectivas de negócios, de infra-estrutura, de pessoas e de operações sejam levadas em consideração no momento de definição do que mais interessa à empresa, alinhando a tecnologia da informação à essa estratégia.

1.2. Dificuldades na adoção da Governança em TI

A adoção acelerada de processos de gestão de infra-estrutura nas empresas, dentro do conceito de Governança em TI, tem como principal motivação, internamente, a cobrança sobre os responsáveis pelas operações de tecnologia da informação quanto à maximização do uso dos investimentos já realizados. Por trás desta iniciativa está a preocupação das empresas com melhorias nos seus processos operacionais, redução de custos, aumento da eficiência de seus colaboradores, aperfeiçoamento de relações com fornecedores, parceiros e clientes.

Entretanto, com a contínua evolução da infra-estrutura de TI, incluindo a tarefa de gerenciar soluções heterogêneas de diferentes fornecedores, as organizações têm hoje uma grande dificuldade em manter os custos operacionais sob controle. A elevada complexidade de gerenciamento é uma das principais razões pelas quais as organizações têm sido forçadas a incrementar seus orçamentos e equipes de TI, dedicando entre 70% a 80% dos recursos disponíveis somente para a manutenção dos sistemas e aplicações existentes.

1.3. Motivação para uma Governança em TI

Recentemente, a Governança em TI ganhou um novo impulso dentro do contexto das corporações devido as crescentes preocupações com a governança corporativa, como resultado dos escândalos financeiros ocorridos nos Estados Unidos com empresas de grande expressão, o que gerou prejuízos financeiros aos investidores comparáveis ao crack da Bolsa de Valores de Nova York em 1929.

Em dezembro de 2001, a empresa norte-americana Enron entrou em falência, dando início a uma série de outros escândalos corporativos envolvendo outras grandes empresas (Tyco, Global Crossing, Qwest, Merck, Halliburton, Lucent, Vivendi, Xerox e Parmalat entre outras), o que colocou na ordem do dia questões como ética nos negócios, transparência, governança corporativa, conflitos de interesse entre acionistas e gestores das corporações, conflitos entre acionistas minoritários e os controladores, conflitos entre as corporações e a sociedade. Por fim, a crise colocou em xeque os sistemas de gestão até então vigentes.

O mercado reagiu à esta onda de escândalos adotando várias iniciativas, próprias ou derivadas de leis, que obrigam uma maior transparência da gestão. Podemos citar o Acordo de Basiléia II, em 2001, voltado para os aspectos financeiros e de transparência das empresas e o Ato Sarbanes-Oxley, de 2002, com leis voltadas para definição de critérios de governança. Essas leis criaram regras que se espalharam pelas organizações no mundo todo e chegaram até as áreas de Tecnologia da Informação.

2. O Ato Sarbanes-Oxley

Em 30 de julho de 2002, o congresso americano promulgou o Ato Sarbanes-Oxley, elaborado pelos senadores americanos Michael Oxley e Paul Sarbanes. O escopo da legislação federal “The U.S. Public Company Accounting Reform and Investor Protection Act of 2002”, mais conhecida como Sarbanes-Oxley Act of 2002, ou simplesmente SOX, contém 11 títulos e foca principalmente a responsabilidade penal da alta administração. Esta lei, que teve como objetivo restabelecer e aumentar a confiança do investidor e a sustentabilidade das corporações, afetou a forma como as empresas de capital aberto passaram a relatar suas operações financeiras.

A SOX acabou apresentando um impacto significativo sobre a área de Tecnologia da Informação das organizações ao nível mundial uma vez que se insere no âmbito da governança corporativa e apresenta artigos diretamente voltados para a área de TI. Com a lei, rígidos parâmetros legais foram impostos às companhias de capital aberto e suas respectivas subsidiárias, cujas ações são negociadas em Bolsas (NYSE e Nasdaq), o que inclui também algumas corporações estrangeiras que negociam ADR’s (American Depositary Receipts – recibos de depósito americano de ações de empresas estrangeiras) não negociáveis no país de origem. No Brasil, essa lei se aplica às empresas com ações negociadas nos mercados de capitais dos Estados Unidos, ou seja, multinacionais de capital americano e empresas brasileiras com ações naquele país. No entanto, as responsabilidades criadas pela lei são de interesse de todas as empresas que queiram se atualizar sobre práticas de gestão de riscos, que estão entrando em vigor nos Estados Unidos e que, em curto prazo, terão ressonância mundial.

2.1. Responsabilidades da Lei

Em suas 1107 seções, o Ato Sarbanes-Oxley imputa responsabilidades nunca vistas perante os diretores de corporações, que vão desde o pagamento de multas ao cumprimento de penas de reclusão e sanções estendidas aos auditores que atestarem balanços com números fraudulentos. As seções 302 e 404 são as mais comentadas, sendo que a seção 302 trata da responsabilidade pessoal dos diretores executivos e diretores financeiros e a seção 404 determina uma avaliação anual dos controles e procedimentos internos para fins de emissão dos relatórios financeiros. É, portanto, a seção que mais impacta a área de TI.

Como não é possível separar processos de negócios e tecnologia no panorama corporativo atual, uma avaliação da infra-estrutura operacional e pessoal de TI das empresas é igualmente requerida. A Seção 404 do Ato Sarbanes-Oxley é o principal foco de atenção das empresas neste particular, por trazer as determinações sobre os controles de processos internos e sistemas contábeis da empresa. Esta seção determina uma avaliação anual dos controles e processos internos para a realização de relatórios financeiros, com a obrigação de emissão de relatório a ser encaminhado à SEC (Security Exchange Comission – órgão regulador das empresas de capital aberto dos EUA), uma instituição equivalente à Comissão de Valores Mobilários (CVM) no Brasil, que ateste estes parâmetros. Este relatório deve conter:

Atestado de responsabilidade dos administradores da empresa e manutenção da estrutura dos controles internos e demais procedimentos;

Avaliação e relatório de cumprimento de metas, ao final de cada ano fiscal, da eficácia dos procedimentos internos adotados para emissão de relatórios financeiros;

Declaração que o auditor independente da companhia atestou a avaliação dos procedimentos elaborada pela administração.

É importante salientar que o Ato Sarbanes-Oxley requer mais do que a documentação citada ou o estabelecimento de controles financeiros. Ao regular a atividade de contabilidade e auditoria das empresas de capital aberto, a SOX reflete diretamente seus dispositivos nos sistemas de tecnologia da informação.

2.2. Segurança da Informação e SOX

Por força do Ato Sarbanes-Oxley, temos a obrigatoriedade da observância de práticas de segurança em sistemas e redes e critérios rígidos para uso de aplicações terceirizadas por companhias que se encontram ao alcance da lei. Invasão de sistemas, ataques, vírus, acesso indevido a bancos de dados, fraudes de senhas e demais ameaças à segurança da informação de uma corporação podem, se não houver prova suficiente de adoção de medidas preventivas coordenadas com os parâmetros da seção 404, implicar em responsabilidade direta dos administradores, surgindo daí possibilidades concretas de sanções civis e penais.

Neste momento, dois pontos devem ser observados cuidadosamente no que se refere ao uso dos sistemas de informação inserido no âmbito do Ato Sarbanes-Oxley:

Segurança de sistemas de informação – A adequação do conteúdo da SOX deve ocorrer entre toda a cadeia de comunicação da empresa, principalmente nos recursos concernentes a informações financeiras. Sistemas de gestão – ERP (Enterprise Resource Planning), aplicativos contábeis, sistemas de relacionamento com clientes – CRM (Customer Relationship Management), Sistemas de gerenciamento de cadeia de suprimentos (Supply Chain Management), em conjunto com as demais aplicações de comunicação, banco de dados e armazenamento de informações precisam estar em sintonia com as regras adotadas na legislação. Consequentemente, a atenção do administrador deve se estender à utilização de todo e qualquer recurso tecnológico da empresa por parte dos funcionários e as políticas de segurança da informação adotadas devem ser adaptadas ao teor do Ato Sarbanes-Oxley. Uma atenção especial também deve ser conferida a terceirização (outsourcing) de serviços;

Controle de registros – Um arquivo de registros de procedimentos é fundamental para a tranqüilidade dos administradores. Estes registros devem ser tanto tangíveis (em papel) ou intangíveis (arquivos digitais e demais mídias) e a redundância em sistemas de backup é altamente recomendada. No bojo da lei encontram-se disposições que penalizam severamente a falsificação, destruição e perda de documentos e registros, bem como prevêem a observação de prazos para seu armazenamento após o fechamento de cada exercício fiscal.

3. SOX é eficaz?

A Lei Sarbanes-Oxley é extensa e detalhada, apresentando diversas regras que devem ser implementadas. No entanto, seu principal objetivo é transformar os princípios de uma boa governança corporativa em leis, evitando assim o surgimento de fraudes nas empresas. Todavia, grande parte da discussão – e das incertezas – em torno da eficácia da SOX está centrada nas seções 302 e 404. Por exemplo, os requisitos da SOX não fazem nenhuma distinção com base no tamanho da receita de uma empresa, ou seja, empresas de tamanho pequeno a médio (departamento de TI) enfrentam os mesmos desafios tanto orçamentários quanto com pessoal, em seus esforços para corresponder a SOX. Isto leva a concluir que empresas de maior porte encontrarão desafios pouco diferentes das de pequeno e médio porte. Entretanto, a proporção da estrutura de controles internos em prática terá influência significativa sobre as atividades de cada uma.

Embora a maioria dos profissionais que conhecem os requisitos para a conformidade com o Ato Sarbanes-Oxley reconheça na lei um objetivo interessante, há controvérsia sobre se os requisitos de relatório existentes seriam suficientes para atender todas as necessidades. Entretanto, todos concordam que o mais importante é que a conformidade SOX seja vista como um processo contínuo, não como um evento único. Se executado adequadamente, o processo dará aos CFO’s (Chief Finance Officer), CIO’s (Chief Information Officer) e CEO’s (Chief Executive Officer) a oportunidade para abordar questões importantes para o fluxo de informações na empresa como sistemas desatualizados, questões de falta de pessoal e de documentação e processos obsoletos. Neste caso, a implementação de novos processos, procedimentos ou aplicativos para a conformidade SOX deve beneficiar a empresa como um todo e a Tecnologia da Informação se torna crítica para o sucesso da conformidade SOX, assim como o suporte dos diversos ambientes empresariais será crítico para o sucesso da TI.

4. Padrões de procedimentos e controles internos

A conformidade Sarbanes-Oxley apresenta um impacto significativo sobre a estrutura de TI da maioria das empresas. No entanto, um grande problema se apresenta: não existem especificações sobre que controles têm de ser estabelecidos dentro da estrutura de TI para a conformidade com a nova legislação.

A seção 404 da SOX determina uma avaliação anual dos controles e procedimentos internos para a emissão de relatórios financeiros. Além disso, o auditor independente da empresa deve emitir um relatório distinto que ateste a asserção da administração sobre a eficácia dos controles internos e dos procedimentos executados para a emissão dos relatórios financeiros. A avaliação fornecida aos auditores independentes deve ser bem documentada e abrangente. Um checklist resumido com essa finalidade inclui:

Informações acerca do ambiente de controles gerais da empresa;

Descrição do processo adotado pela administração para identificar, classificar e avaliar riscos que possam impedir que a empresa alcance seus objetivos de emissão de relatórios financeiros;

Descrição completa dos objetivos de controle criados pela administração para direcionar os riscos identificados e as respectivas atividades de controle;

Descrição dos sistemas de informática e procedimentos de comunicação adotados para fornecer suporte ao tópico anterior;

Resultados e documentação-suporte da avaliação mais recente feita pela administração sobre a eficácia do desenho e das operações das atividades individuais de controle;

Relação de todas as deficiências encontradas no desenho e na implementação das atividades de controle, bem como os procedimentos propostos para sua correção;

Descrição do processo adotado para comunicar deficiências significativas e insuficiências materiais aos auditores independentes e ao Comitê de Auditoria;

Descrição dos procedimentos de monitoramento executados para assegurar que a estrutura de controles internos está operando conforme planejado e que os resultados dos procedimentos de monitoramento são revisados e executados;

Descrição do processo de criação da divulgação e das atividades de controle relacionadas.

Para possibilitar agilidade, flexibilidade e inovação para a organização, uma das necessidades que devem ser satisfeitas é o estabelecimento de uma nova arquitetura de sistemas de informação, aliada aos novos recursos de interconexão, Internet, ferramentas de workflow, bancos de dados e algoritmos de datawarehouse, dataming e sistemas de business intelligence.

4.1. Adoção de padrões de documentação e controle

Como não há menção específica sobre o que a TI precisa fazer para atender a conformidade SOX, existe a possibilidade de utilizar um dos vários padrões disponíveis para definir e documentar os controles internos da empresa. Esta tarefa tem sido facilitada pela adoção de ferramentas, indicadores e metodologias que auxiliam os profissionais no dimensionamento e uso efetivo dos sistemas.

Segundo a seção 404 da SOX, os aplicativos e correspondente infra-estrutura que sustentam processos-chave, objetivos do controle e afirmações relevantes relacionadas a contas e divulgações significativas nas demonstrações financeiras devem ser incluídos no escopo do processo de avaliação dos controles internos da administração. Considerando que os aplicativos de TI freqüentemente suportam o início, a autorização, o registro, o processamento e a divulgação de transações financeiras, os controles de TI devem representar uma parte integrante do controle interno sobre os relatórios financeiros (ICOFR – Internal Control Over Financial Reporting).

Convém ressaltar que aplicativos de TI voltados ao usuário final, tais como planilhas eletrônicas e relatórios, podem apresentar uma empresa com um conjunto exclusivo de necessidades de controles gerais de TI. Isso porque ao disponibilizar para o usuário final tais tipos de ferramentas mais flexíveis, aumenta o risco de erros nas demonstrações financeiras derivados de dados incompletos ou incorretos. Uma vez que o resultado proveniente desses aplicativos freqüentemente toma o caráter de documento oficial, no qual a administração irá confiar no processo de preparação dos seus relatórios financeiros, eles deverão ter os seus controles internos identificados e incluídos no processo de documentação e testes.

Atualmente, somam-se às soluções conhecidas e tradicionais, como BSC (Balanced ScoreCard), ROI (Return on Investment), TCO (Total Cost of Ownership), EVA (Economic Value Added), outros modelos que começam a ser empregados pelo setor corporativo, como o COBIT (Control Objectives for Information and Related Technology), ITIL (IT Infrastructure Library), e CMM (Capability Maturity Model).

A seguir será feita uma breve descrição das principais características das metodologias BSC, COBIT, ITIL E CMM:

4.1.1. BSC

A metodologia BSC foi criada no início da década de 1990 por Robert Kaplan e David Norton, professores da Harvard University (EUA). Ela permite a uma empresa obter uma base mais ampla para a tomada de decisão, considerando quatro perspectivas: a financeira (segundo a visão dos acionistas), a dos clientes, a de processos internos de negócios e a de inovação. Ela permite mostrar o que é mais crítico, possibilitando direcionar os recursos para os processos que de fato adicionarão valor à empresa.

A tecnologia é uma peça importante para colocar o BSC em funcionamento, mas não é suficiente porque a metodologia interage com a cultura da corporação. Por ser complexa e envolver toda a estrutura empresarial, a adoção desse modelo deve partir da alta direção ou mesmo do próprio presidente da empresa.

Trata-se de um modelo flexível, que permite ajustes ao longo do tempo. O emprego dessa metodologia possibilita uma visão ampla, geral e integrada da empresa, através de diversos painéis e o seu projeto de construção se aplica a qualquer empresa, independente do ramo de atividade e porte.

O BSC permite ainda:

Visão dos negócios a partir de perspectivas diferentes;

Melhor elaboração e monitoramento das estratégias;

Análise das relações de causa e efeito a partir de um macro indicador;

Alinhamento e compartilhamento da visão e metas desde o nível estratégico até o tático e operacional;

Melhor definição dos planos de ações;

Agilidade no processo de decisão;

Colaboração por meio de mecanismos para compartilhar a informação analítica.

Tendo a metodologia BSC como uma opção de gestão na Governança em TI pode-se realizar a avaliação e a gestão de uma organização não apenas de forma restrita às medidas tradicionais de resultados e desempenho financeiro, mas, complementá-la com medidas de outras três dimensões: a atenção na satisfação dos clientes, nos processos internos e na capacidade de inovação e aprendizado. Essas dimensões adicionais garantem, quando integradas, resultados futuros e não simplesmente uma visão dos resultados passados, obtidos dentro de uma perspectiva de gestão puramente financeira.

4.1.2. COBIT

Desenvolvida em 1996 nos Estados Unidos, a metodologia COBIT foi criada pelo Information System Audit and Control Association (ISACA) a partir de ferramentas de auditoria, funcionando como uma espécie de guia para a gestão da TI nas empresas.

A metodologia apresenta padrões independentes de plataforma com aproximadamente 300 objetivos genéricos agrupados sob um conjunto de componentes: sumário executivo, framework, controle de objetivos, mapas de auditoria e um conjunto de processos de trabalho já estabelecidos e empregados pelo mercado entre os quais se inclui o CMM, a ISO 9000 (para qualidade), BS7799/ISO 17799 (normas para segurança da informação) e o ITIL (para gestão do departamento de TI).

O COBIT independe das plataformas de TI adotadas pelas empresas e seu uso é orientado a negócios, no sentido de fornecer informações detalhadas para gerenciar processos. Ao examinar e aplicar as diretrizes e práticas do COBIT é necessário personalizar esses objetivos de acordo com as necessidades específicas do ambiente. A maioria dos auditores para a conformidade SOX adotou o COBIT com uma quantidade reduzida de controles visando melhor atender o ambiente.

A metodologia é voltada para três níveis distintos: para gerentes que necessitam avaliar os riscos e controlar os investimentos de TI; para os usuários que precisam assegurar a qualidade dos serviços prestados para clientes internos e externos; e para auditores que necessitam avaliar o trabalho de gestão da TI e aconselhar o controle interno da organização.

O foco principal é apontar onde devem ser feitas melhorias. Nos casos onde é necessário o exame, desenvolvimento e implementação de novos procedimentos e controles manter uma política de revisão constante com o objetivo de manter a eficácia os mesmos é muito importante.

Cabe aqui apresentar algumas recomendações práticas sobre os controles:

A freqüência da revisão dos itens de controle pode ser semanal, mensal, trimestral etc, conforme as necessidades;

Os objetivos de controle devem ser tão simples quanto possível;

As atualizações da revisão devem ser devidamente documentadas e armazenadas;

O processo de revisão deve perturbar o mínimo possível as funções rotineiras;

Preferencialmente o processo de revisão deve ser automatizado e as atualizações produzidas sistematicamente.

4.1.3. ITIL

Criado no final dos anos 1980 pela Central Computing and Telecommunications Agency para o governo britânico, o ITIL reúne um conjunto de recomendações, sendo dividido em dois blocos: suporte de serviços (service support), que inclui cinco disciplinas e uma função e entrega de serviços (service delivery), com mais cinco disciplinas.

Complementar ao COBIT, o ITIL é uma série internacional de documentos usados como auxílio à implementação de uma estrutura de gerenciamento de serviços de TI. Trata-se de uma biblioteca que descreve as melhores práticas de gestão, especificamente elaborada para a área de Tecnologia da Informação. Os pontos focados apresentam as melhores práticas para a central de atendimento, gerenciamento de incidentes, gerenciamento de problemas e gerenciamento financeiro para serviços de TI. O objetivo da estrutura é definir como o gerenciamento de serviços será aplicado dentro de empresas específicas e, como a estrutura é composta por diretrizes, independe de qualquer aplicativo ou plataforma e, portanto, pode ser aplicada em qualquer empresa.

4.1.4. CMM

O CMM destina-se a auxiliar as empresas a melhorar a produtividade dos processos de desenvolvimento de software e a organizar o funcionamento de seus ambientes de tecnologia da informação. É uma metodologia que mostra as metas a serem alcançadas, atuando como um modelo de orientação e qualificação dos estágios de maturidade.

O CMM define cinco níveis de maturidade para os ambientes de desenvolvimento de software (inicial, repetível, definido, gerenciado e otimizado), sendo que cada um deles é composto por um conjunto de áreas-chave de processo (KPA – Key Process Areas) que descrevem as questões e grandes temas que devem ser abordados e resolvidos para se atingir um determinado nível.

5. Por que se adequar a SOX?

O primeiro reflexo para uma empresa que não se adequar ao Ato Sarbanes-Oxley é a possibilidade de se expor a processos legais e pesadas multas para a gerência executiva, além de publicidade negativa. As corporações que se negam a instituir os controles exigidos podem se colocar em situações similares àquelas que levaram à promulgação da SOX, o que poderá vir a acarretar:

Maior exposição à fraude;

Penalidades impostas pela SEC;

Publicidade desfavorável;

Impacto negativo sobre o valor do acionista;

Queixas ou outras ações judiciais impetradas por acionistas.

Por outro lado, uma estrutura de TI que conta com pouco pessoal, onde não se executam políticas e procedimentos de avaliação ou atualização tecnológica (aplicativos / hardware) periódicos e a documentação é colocada em segundo plano, uma adequação a SOX pode ser altamente positiva, uma vez que surgirão oportunidades para resolver as deficiências quanto à própria necessidade de conformidade a Lei, bem como aplicar as boas práticas da Governança Corporativa.

Segundo Souza & Fraga (2003):

As regras contidas na SOX visam, em última análise: (i) transparência na divulgação de informações – full and fair disclosure; (ii) prestação de contas – assegurar a adequada e eficiente laboração e divulgação das demonstrações financeiras e demais informações da companhia e (iii) tratamento justo, e equânime às partes interessadas. Estas indicações representam os princípios fundamentais de boas práticas de Governança Corporativa.

6. Resistência à mudança

Apesar do entendimento da gerência executiva sobre a necessidade de se adequar a SOX, podemos encontrar dentro da estrutura da organização certa resistência à mudança por parte de outros membros e até mesmo a equipe de TI pode não abraçar abertamente a mudança.

De acordo com Lahti & Peterson (2005):

Você pode ter as melhores políticas, aplicativos, ferramentas e controles, no entanto, nunca conseguirá eliminar completamente o “Fator Humano”. Logo, se não conseguir incorporar a área de gerenciamento de mudança, talvez não consiga se adequar ao Ato Sarbanes-Oxley independente de seus outros esforços.

Algumas das principais razões desta resistência à mudança incluem:

Medo do desconhecido;

A crença de que as coisas estão boas e não é preciso mudar;

O desconhecimento dos motivos que levam à mudança;

A idéia de que a mudança é mais outra prática que pode ser ignorada;

A clássica pergunta: “O que eu ganho com isso?”.

Devido a esses fatos, para que o processo de mudança seja bem-sucedido, a comunicação entre os membros da organização é fundamental. Neste ponto é preciso conhecer e gerenciar os processos pessoais para que a comunicação ocorra com facilidade e de várias formas, sejam através de memorandos, e-mails, reuniões presenciais, conversas individuais, etc. O objetivo é produzir um efeito consistente demonstrando a necessidade da conformidade SOX e, principalmente, as conseqüências da não-conformidade.

7. Conclusões

A Lei Sarbanes-Oxley de 2002 reescreveu as regras para a governança corporativa, relativas à divulgação e à emissão de relatórios financeiros. Sob suas páginas encontramos uma premissa muito simples: a boa governança corporativa e as práticas éticas do negócio não são mais requintes – são leis. Na mesma medida, a Governança em TI traz para as empresas uma nova cultura de gestão baseada em medições que consideram aspectos não só financeiros, mas outros que controlam fatores que apontam para o futuro, através de outros indicadores, como a criação e manutenção de capital intelectual, que permitirão garantir a perenidade da corporação.

O cumprimento da Lei Sarbanes-Oxley pode ser uma tarefa difícil, mas com pesquisa e planejamento adequados ela pode ser usada para corrigir deficiências adicionais na estrutura de TI das empresas adequando-as à nova realidade que se apresenta. A partir da promulgação do Ato Sarbanes-Oxley, o que era recomendável passa a ser obrigação legal: uma boa governança corporativa e a ética nos negócios das corporações com presença no mercado financeiro de capital aberto.

8. Referências Bibliográficas

DELOITTE. Lei Sarbanes-Oxley: Guia para melhorar a governança corporativa através de eficazes controles internos. Disponível em http://deloitte.com.br>. Acesso em 08 out. 2005.

FAGUNDES, Eduardo Mayer. A lei Sarbanes-Oxley e seu impacto em TI. Artigo disponível em: http://www.efagundes.com/artigos/Sox_e_o_impacto_em_TI.htm. Acesso em: 08 set. 2006.

lahti, Christian b., PETERSON, Roderick. Sarbanes-Oxley – Conformidade TI usando COBIT e ferramentas open source; tradução de Aldir José Coelho. AltaBooks, Rio de Janeiro, 2005.

NEXT GENERATION CENTER. Módulo Governança de TI. Disponível em: http://www.nextg.com.br/br/modulo.aspx. Acesso em: 18 set. 2005.

PEIXOTO, Rodney de Castro. Implicações da Lei Sarbanes-Oxley na Tecnologia da Informação. Disponível em: http://www.wirelessbrasil.org/wirelessbr/colaboradores/rodney_peixoto/sarbanes_oxley.html. Acesso em 08 set. 2006.

SARBANES, P., OXLEY, M. Sarbanes-Oxley Act of 2002. Disponível em http://www.findlaw.com. Acesso em 08 jul. 2006.

SOUZA, Almir Ferreira, FRAGA, Rodrigo Mariti. Governança Corporativa: Efeitos decorrentes da vigência da Sarbanes-Oxley Act nas empresas brasileiras. Artigo disponível em . Acesso em 07 set. 2006.

WEILL, Peter, ROSS, Jeanne W., Governança de TI, Tecnologia da Informação; tradução de Roger Maioli dos Santos. M Books do Brasil, São Paulo, 2006.

A partir do momento em que a utilização de redes de computadores em instalações residenciais, comerciais e industriais se tornou comum e começou a crescer a utilização de equipamentos eletroeletrônicos em todos os ambientes, a perturbação das freqüências harmônicas nas instalações elétricas ficaram cada vez mais freqüentes.

Equipamentos como fontes de computadores, reatores eletrônicos, variadores de velocidade e fontes de alimentação em geral introduzem deformações na freqüência da rede elétrica. A decomposição desses sinais deformados em somas de sinais perfeitos de diferentes freqüências resulta no aparecimento das componentes harmônicas de um sinal.

Dessa forma, para instalações com sinais na freqüência de 60 Hz, podem existir outros sinais em freqüências múltiplas, como 180, 300, 420 Hz, etc. Se os componentes eletrônicos dos dispositivos alimentados por essa rede elétrica não forem projetados e especificados considerando a presença desses sinais, eles poderão sofrer danos ou ter seu funcionamento e o desempenho afetados.

Os principais efeitos perceptíveis provocados pela presença de tensões e correntes harmônicas no sistema elétrico de uma instalação são os seguintes:

Aquecimento excessivo de condutores, motores, geradores e transformadores;

Desarmes aleatórios de disjuntores e outros dispositivos de proteção;

Queimas inexplicáveis de fusíveis;

Ruídos excessivos em painéis elétricos, transformadores e motores;

Outro efeito é o surgimento de EMI (Interferência Eletromagnética) nas redes de computadores e sistemas de telefonia, bem como o aparecimento de tensões inaceitáveis entre neutro e terra nos circuitos destinados a alimentação dos equipamentos eletrônicos (computadores, impressoras, roteadores, switches, PABX, etc), além da diminuição do fator de potência da instalação e aumento nas quedas de tensão nos condutores elétricos.

Quais providências tomar?

Considerando os diversos problemas causados pelas correntes e tensões harmônicas em uma instalação elétrica destinada a uma rede de computadores, torna-se uma condição fundamental saber lidar com seus efeitos e tentar, tecnicamente, reduzi-los ou isolá-los. O principal é impedir que as harmônicas circulem pelos componentes da instalação ou, caso isso não seja possível, sua existência deve ser considerada no projeto, seleção e dimensionamento dos equipamentos e dispositivos que serão submetidos aos seus efeitos.

Em princípio, temos três formas de abordar o problema: utilizando filtros de harmônicas, utilizando transformadores de separação, dimensionando os componentes para suportar os efeitos.

No primeiro caso, podemos instalar junto às fontes poluidoras (ou internamente a elas), os chamados “filtros de harmônicas”, que podem ser de dois tipos: filtros passivos ou filtros ativos. Quando utilizamos esses filtros, o objetivo é acondicionar as correntes harmônicas entre a fonte poluidora e o filtro, impedindo que o restante da instalação sofra os efeitos indesejados da circulação das harmônicas.

No segundo caso, podemos utilizar transformadores de separação, cuja função é manter determinadas ordens de harmônicas no secundário do transformador, não permitindo que elas se propaguem para o restante do sistema elétrico da instalação. Essa solução pode ser empregada, por exemplo, para conectar quadros de distribuição que alimentam exclusivamente os circuitos de iluminação com lâmpadas fluorescentes, cujos reatores são fontes de freqüências harmônicas. Dessa forma, as harmônicas geradas pelos reatores estarão presentes apenas entre o transformador e as lâmpadas, não afetando o funcionamento de outros equipamentos eletrônicos presentes na instalação.

No terceiro caso, quando a instalação elétrica não apresenta nenhuma filtragem ou confinamento das harmônicas, só nos resta dimensionar os componentes para que suportem os efeitos produzidos pelas correntes harmônicas. Os condutores elétricos e os transformadores devem ser especialmente escolhidos e dimensionados considerando o aquecimento produzido pelas harmônicas. Esse fato resulta normalmente em condutores de fase e neutro com maiores seções (o condutor neutro pode ter sua seção até dobrada em relação à seção do condutor fase, com o objetivo de compensar o aquecimento adicional provocado pelas harmônicas), assim como a instalação de transformadores de alimentação de maior potência ou com componentes internos mais reforçados.

Na grande maioria das vezes a etapa mais complicada na instalação de uma rede de computadores é a passagem de cabos pelos locais onde ficam os pontos da rede. Essa tarefa pode exigir desde obras civis e instalação de pisos elevados até mesmo deixar dutos ou canaletas à mostra, prejudicando o visual do ambiente.

Para quem utiliza equipamentos móveis como, por exemplo, notebooks ou PDA’s, uma rede cabeada apresenta outro inconveniente que é restringir o movimento dos equipamentos (que por natureza são móveis), uma vez que eles se tornam fixos ao conectarem-se aos cabos de rede. Essa dificuldade em lidar com o cabeamento convencional, aliada à necessidade de mobilidade são os motivos para o sucesso e crescimento das redes sem fio.

Os produtos wireless também estão ganhando mais espaço no mercado de redes locais graças à redução dos seus preços e às facilidades oferecidas, como rapidez na instalação e mobilidade propiciada aos usuários. Isso sem contar a vantagem adicional oferecida quanto à preservação do investimento, uma vez que, no caso de mudança de endereço, não é necessário um novo investimento em cabeamento, como aconteceria em uma rede com cabeamento estruturado.

Um dos principais padrões sem fio no momento é o Wi-Fi (Wireless Fidelity), que corresponde à especificação 802.11b do IEEE e que inclui o protocolo de segurança WEP (Wired Equivalency Protocol). Esse protocolo visa proporcionar uma segurança equivalente à da rede com cabeamento. Operando na faixa de 2,4GHz, permite que computadores se comuniquem em rede com velocidades até 11Mbps, com alcance de até 100 metros. Os locais onde os equipamentos Wi-Fi estão comumente disponíveis para prover acessos à internet são conhecidos como “hotspots”. São principalmente os aeroportos, shopping centers, restaurantes, hotéis, etc.

Nos equipamentos, a comunicação sem fio é feita geralmente por meio de um cartão PC Card instalado no notebook ou PDA; no caso de um micro de mesa, este utiliza uma placa com conector PC Card, além do cartão wireless. Atualmente, os principais fabricantes de equipamentos móveis já incorporam em seus modelos mais novos a tecnologia Wi-Fi.

Alguns modelos incluem também uma interface para outra tecnologia sem fio. Esse padrão geralmente é o Bluetooth. Nesse caso, a interface Wi-Fi atende as conexões com maior abrangência e que necessitam de altas velocidades na rede local, enquanto a interface Bluetooth se encarrega de substituir as conexões com equipamentos que necessitam de menor banda (até 1Mbps), em distâncias mais curtas (até 10 metros). A cobertura de uma rede Wi-Fi situa-se entre 60m e 120m, dependendo naturalmente dos obstáculos presentes (paredes, portas, áreas envidraçadas, etc).

Devemos observar que, embora a tecnologia Bluetooth opere na mesma faixa onde funcionam as redes Wi-Fi (2,4GHz), esta não compete diretamente com o padrão Wi-Fi, colocando-se sim como uma alternativa prática para complementar uma rede, estabelecendo conexões temporárias e dispensando o uso de cabos ou configurações mais complexas.

Fisicamente, uma conexão wireless pode ocorrer diretamente entre os equipamentos da rede sem fio (conhecido como modo Ad Hoc) ou, mais comumente, cada equipamento da rede sendo interligado através um ponto de acesso (conhecido como AP – Access Point). Nesse caso, a base da rede é esse ponto de acesso que funciona como concentrador da LAN, substituindo os hubs ou switches convencionais, estando conectado ao restante da rede fixa (criando uma rede mista) e à internet. O AP normalmente é projetado para aplicações internas ou externas, podendo transmitir dados e voz. Dependendo do fabricante, um único AP pode suportar até 256 usuários sem queda de performance da rede.

Dessa maneira, uma rede sem fio pode conectar dois ou mais equipamentos entre si através de uma arquitetura ponto-a-ponto (peer-to-peer), compartilhando uma conexão de internet, impressoras de rede, transferência de arquivos, etc.

Para garantir um padrão único, grandes empresas se uniram e fundaram a Wireless Ethernet Compatibility Alliance (WECA), que é responsável por certificar os produtos Wi-Fi no mercado. Em 2002, o IEEE certificou o padrão 802.11a, chamado de Wi-Fi5, com capacidade de 54Mbps e alcance de até 30 metros, caracterizando-se como uma alternativa ao Wi-Fi de 11Mbps. Entretanto os dois padrões são incompatíveis entre si, ou seja, equipamentos com o padrão Wi-Fi (802.11b) não se comunicam com os equipamentos que utilizam o padrão Wi-Fi5 (802.11a) e vice-versa. A solução é empregar o Wi-Fi de 11Mbps em locais maiores, onde a distância entre os pontos de rede é um fator importante na mobilidade e o Wi-Fi de 54Mbps fica como opção para locais menores, onde é necessário atender aplicações com maiores velocidades.

Em virtude desse problema, um novo padrão foi colocado recentemente no mercado, o IEEE 802.11g, reunindo as melhores características dos padrões anteriores e possibilitando a transmissão de dados até 50Mbps.

Finalizando, podemos observar que as soluções sem fio ainda são mais caras do que as soluções que utilizam o cabeamento convencional para redes (par trançado e fibras ópticas). Mesmo no padrão Wi-Fi mais recente, o 802.11g, a velocidade da rede está limitada aos 50Mbps. Na verdade, a velocidade efetiva de linha de uma rede wireless pode nem ultrapassar os 5Mbps, pois a banda é repartida entre as máquinas que estiverem acessando a rede. Enquanto isso, redes com cabeamento estruturado já chegam à marca do 1Gbps.

Conhecidos genericamente como concentradores, os hubs são equipamentos de rede muito fáceis de instalar e gerenciar e sua principal vantagem é o baixo preço para aquisição, levando em conta o custo por porta.

Largamente utilizados na maioria dos projetos de redes de computadores, os hubs são elementos de conexão que atuam como repetidores, concentrando as conexões físicas em redes locais mas também podem ser considerados como adaptadores de rede usados em topologia estrela. Por exemplo, nas redes Ethernet, cada estação da rede é ligada ao hub através de um cabo de pares trançados, (normalmente UTP).

Entre os motivos para se usar os hubs está a criação de um ponto de conexão central para os meios físicos de conexão (cabeamento) que facilita a instalação e manutenção dos pontos de rede e o aumento da confiabilidade da rede, permitindo que a falha de um ponto não afete o restante da rede. Isso difere da topologia em barramento onde, se houver uma falha no cabo, toda a rede será afetada.

Os hubs são considerados dispositivos da camada 1 do modelo OSI porque apenas geram novamente o sinal e o transmitem para suas portas (conexões da rede). Suas velocidades podem variar de 10, 10/100 ou 1000Mbps e a maioria dos modelos possibilita a interligação dos equipamentos sob duas formas básicas: o empilhamento e o cascateamento.

Vários hubs podem ser interligados em uma configuração hierárquica caracterizando o que se chama de cascateamento. Em interligações com mais de dois hubs, especificam-se os hubs terminais que ficam nas pontas do conjunto como HHub (Header Hub) e os hubs intermediários como IHubs (Intermediary Hubs). Os hubs terminais utilizam uma de suas portas para se conectar ao hub vizinho, já que fazem o papel de terminadores do conjunto. Os hubs intermediários utilizam duas de suas portas para se comunicar com os vizinhos, funcionando como uma ponte para os demais hubs do segmento.

No cascateamento, a interligação se dá através de uma porta de um equipamento com a outra porta de outro equipamento, sendo a largura de banda limitada à velocidade da porta (10/100/1000Mbps).

As regras para o cascateamento dependem das especificações dos dispositivos porque neste tipo de ligação, à medida que vai se “cacasteando”, a performance da rede vai caindo. Alguns fabricantes limitam em cinco metros o comprimento máximo do cabo UTP que conecta os hubs com velocidades até 100Mbps. Também dentro das limitações impostas por cada fabricante, é possível interligar equipamentos distintos e de marcas distintas, obedecendo-se à regra 5-4-3 para hubs. Esta regra limita em distância o número de segmentos ponto a ponto de uma rede em 5 (100 metros por segmento e um máximo de 500 metros), o número de repetidores existentes (no máximo 4), sendo um repetidor para cada par de segmentos e apenas 3 segmentos podem conter hosts.

Normalmente utilizam-se portas frontais que podem ser específicas para este fim, chamadas de portas Up-Link. Essas portas utilizam cabeamento comum, dispensando a utilização de cabo cross-over. Convém observar que em alguns modelos é necessária a ativação desta porta especial, o que obriga ao instalador conhecer o manual de operação do equipamento.

O cascateamento é muito prático e barato, mas pode ocupar portas que poderiam ser usadas para conectar outros equipamentos da rede. O número de portas utilizadas para o cascateamento pode ser obtido pela seguinte expressão: 2n-2, onde n é o número de hubs usados no cascateamento.

Já no empilhamento, a interligação ocorre através de uma porta específica para empilhamento (stack) e cada fabricante possui um tipo de interface própria a qual possui velocidade transmissão maior que a velocidade das portas de conexão. Nesse caso, o empilhamento pode ser feito apenas entre equipamentos de um mesmo fabricante e não ocorre a incidência da regra 5-4-3 na pilha de hubs. Desta forma, os hubs assim empilhados tornam-se um único repetidor.

O empilhamento é mais eficiente do que o cascateamento porque não ocupa as portas frontais para conexão, aumentando com isso a quantidade de portas disponíveis para os equipamentos da rede. Pode-se empilhar até quatro equipamentos, sempre considerando as observações e limitações de cada fabricante.

As redes sem fio surgiram inicialmente como complemento às redes utilizando cabeamento convencional, possibilitando dessa maneira um maior alcance para as redes locais, através das chamadas Wireless Local Area Networks (W-LAN’s). Atualmente o que vemos é a competição entre as redes sem fio e as redes cabeadas nas aplicações em redes locais (LAN’s), nas redes metropolitanas (MAN’s) e mesmo nas redes de cobertura nacional (WAN’s).

Um outro fato que podemos observar é que as tecnologias de redes wireless atuais apontam para um objetivo comum: a implantação de inúmeras redes de comunicação, tantas quanto forem necessárias, para criar uma rede de âmbito mundial e proporcionar a inclusão total das pessoas, em todos os lugares, no ciberespaço (a tão falada inclusão digital). Essa tendência é apontada por diversos pesquisadores que prevêem ainda que, em um futuro bem próximo, onde quer que um indivíduo esteja, ele estará coberto por uma rede, seja ela individual, doméstica ou coletiva, com acesso à Internet vinte e quatro horas por dia, sete dias por semana.

Faz parte dessa idéia de uma rede com cobertura em todos os lugares, uma espécie de trilogia tecnológica iniciada há alguns anos atrás com o desenvolvimento dos padrões wireless. Iniciada com o padrão Bluetooth, desenvolvido inicialmente para uso em redes individuais, seguiram-se nessa trilogia o padrão Wi-Fi, para uso em redes coletivas e, mais recentemente, o padrão UWB (Ultra Wide Band – ou banda ultra-rápida), para utilização nas redes domésticas emergentes.

O padrão Bluetooth visa principalmente facilitar as transmissões de voz e dados em tempo real, assegurar proteção contra interferência e a segurança dos dados transmitidos, além de permitir a interoperabilidade dos dispositivos de rede de forma automática, sem a interferência do usuário. É uma especificação aberta (royalty-free) que estabelece um padrão para comunicação sem fio ad hoc, de curto alcance (até 100 metros) e de baixo custo, estabelecido através de um enlace de rádio na freqüência de 2.4 GHz, que não necessita licença e com velocidade que pode chegar a 721 Kbps. O padrão baseia-se em um chipset conhecido pelo mesmo nome e que se encarrega de estabelecer a conexão com dispositivos que possuam a mesma tecnologia, por exemplo, computadores, impressoras, scanners, PDA’s, telefones celulares, etc, de uma forma simples e segura.

O segundo elemento dessa trilogia é o padrão Wi-Fi, abreviatura para Wireless Fidelity (fidelidade sem fios), utilizado para descrever os produtos que respeitam o conjunto de normas 802.11 criado pelo IEEE. As normas mais conhecidas são a 802.11b, para dispositivos que operam na banda de 2,4GHz (a mesma freqüência usada em microondas e no telefone sem fios), que permite transferir dados com taxas de 11Mbps e o padrão 802.11a, para dispositivos que operam na banda de 5GHz, que permite transferir dados com taxas até 54Mbps. Um padrão mais recente, o 802.11g, é compatível com o 802.11b (trabalha também na banda de 2,4GHz) e com o padrão 802.11a, (pode transferir dados até 54Mbps). Esta tecnologia tem um alcance de cerca de 1 quilômetro.

Devido a ocupação quase total do espectro de bandas de freqüências até 3GHz, o mercado de redes sem fio se voltou recentemente para a UWB – UltraWideBand (banda ultra-larga), o terceiro elemento dessa trilogia.

O UWB opera na faixa de 3,1GHz a 10,6GHz para aplicação em redes de computadores. Primeiramente desenvolvido para aplicações militares, o padrão de transmissão sem fio UWB utiliza sinais de rádio de baixa energia na forma de pulsos curtos. Com a geração de milhões de pulsos por segundo, o UWB pode transmitir grandes quantidades de dados por segundo. Por essa característica, suporta melhor as aplicações de banda larga como, por exemplo, streaming de vídeo. Comparado às demais tecnologias wireless, o UWB pode transmitir dados a mais de 100Mbps, enquanto a máxima velocidade da tecnologia 802.11 é de 11Mbps por segundo ou 1Mbps para o Bluetooth. As aplicações para o UWB incluem as redes locais sem fio, redes multimídia domésticas, comunicação direta entre aparelhos móveis, radares e sensores de proximidade.

A questão que se coloca atualmente é que o padrão UWB uma vez no mercado de redes de computadores vai competir no segmento dominado pelas redes sem fio baseadas no Bluetooth (utilizado em redes locais de curto alcance conhecidas como PAN’s) e com o padrão 802.11 (mais utilizado em redes locais LAN’s). Aguarda-se que essa “competição” represente um novo impulso para uma nova evolução nos padrões de redes sem fio em direção a tecnologias ainda mais eficientes em termos de velocidade de transmissão e segurança para a informação.

A realidade é que, independente da tecnologia, as redes wireless atuais possibilitam soluções viáveis para os projetos de redes onde a utilização de cabeamento convencional não é possível ou economicamente inviável, oferecendo uma melhor relação custo/benefício. Embora ainda permaneçam algumas dúvidas e discussões sobre a confiabilidade e a eficiência das redes sem fio no que diz respeito à segurança na transmissão da informação, as redes wireless atuais oferecem um gerenciamento mais fácil, simplicidade na instalação e configuração quando comparadas às redes estruturadas. Somado a esse fato, a grande maioria das tecnologias de redes wireless permite plena conectividade e atende aos padrões e normas dos organismos internacionais.

Um ponto fundamental no projeto de implantação de uma rede de computadores está no fato de que uma rede nunca será melhor do que sua infra-estrutura. Quer dizer, um projeto de rede realizado sem critérios técnicos poderá até funcionar bem inicialmente, No entanto, um projeto com uma documentação com poucos detalhes, que utiliza equipamentos e acessórios de procedência duvidosa e cuja implantação foi feita por pessoal técnico não qualificado, estará sujeita a problemas freqüentes de difícil localização e solução, criando dificuldades para o gerenciamento e mesmo expansão futura da rede.

A instalação de uma rede de computadores deve envolver a participação do cliente e da empresa integradora de sistemas. Seja qual for o tamanho da rede, é necessária a contratação de uma empresa especializada no fornecimento dos equipamentos e serviços de instalação. Normalmente o integrador é responsável pela elaboração do projeto da rede, pelo fornecimento dos equipamentos e acessórios e pelo seu funcionamento, envolvendo também os distribuidores, fornecedores e demais prestadores de serviços.

É muito importante analisar cuidadosamente as características do negócio do cliente quanto aos aspectos de disponibilidade, operação, manutenção e capacidade de expansão para a elaboração do projeto de implantação da rede. O primeiro passo deve ser o levantamento no campo de trabalho com o objetivo de levantar todas as necessidades do projeto e criar alternativas para possíveis imprevistos. Após essa etapa de levantamento de informações pode-se elaborar uma primeira lista de pendências e desenhos esquemáticos para especificar a rota dos cabos e a alocação de pontos de atendimento e equipamentos.

No caso de um projeto de rede uma rede local em uma área restrita como salas de um mesmo prédio, com o sistema de infra-estrutura documentado, o processo inicial de alocação dos meios físicos de comunicação se torna mais simples. Entretanto, quando o projeto de rede trata da interligação de prédios isolados ou mesmo de uma rede na área de um parque industrial, incluindo sistemas informatizados implantados com aplicativos dedicados por setor, onde ocorrem alterações freqüentes nos desenhos civis e de infra-estrutura, envolvendo ainda a instalação de cabos e equipamentos mais diversificados e em condições menos favoráveis, uma equipe maior, com projetistas, desenhistas e técnicos de instalações se fará necessária para a devida revisão da documentação, certamente prolongando a etapa de implantação.

É importante que se faça uma análise da documentação correspondente durante o processo de implantação do projeto. As condições técnicas especificadas no projeto e a forma de acompanhamento prevista, permitem ao cliente dispensar análises intermediárias da documentação. Entre os documentos exigidos pelo cliente e os apresentados pelo integrador, o mais importante é o “As Built”, contendo o desenho esquemático que especifica a rota dos cabos e o mapa da alocação dos equipamentos na rede.

O tempo gasto para a elaboração desses documentos depende do nível de detalhamento exigido no contrato e do procedimento imposto para a aprovação. Atualmente essa documentação deve ser entregue ao cliente em versão de mídia reproduzível, além da documentação em papel.

O cliente deve buscar a melhor forma de acompanhar os dados referentes à implantação do projeto, de acordo com seu envolvimento técnico, para a manutenção da rede local e, principalmente, para as futuras ampliações. Na verificação desses dados torna-se fundamental conferir a coerência e a suficiência dos dados contidos na documentação e manuais e a avaliação dos relatórios de instalação e testes de aceitação do cabeamento e dos demais componentes da rede. Recomenda-se que a equipe técnica do cliente encarregada da operação e manutenção do sistema acompanhe os todos testes e a configuração dos equipamentos de rede.