benedito josÉ santos anÁlise do cms (content …quanto a seguranÇa da informaÇÃo: estudo de...
TRANSCRIPT
1
UNIVERSIDADE NOVE DE JULHO DEPARTAMENTO DE PÓS-GRADUAÇÃO
MBIS (MASTER IN BUSINESS INFORMATION SYSTEM) EM SEGURANÇA DA INFORMAÇÃO
BENEDITO JOSÉ SANTOS
ANÁLISE DO CMS (CONTENT MANAGEMENT SYSTEM) MOODLE
QUANTO A SEGURANÇA DA INFORMAÇÃO:
ESTUDO DE CASO DA
ESCOLA DE ENSINO A DISTÂNCIA PROFESSOR BENEDITO
SÃO PAULO 2013
2
BENEDITO JOSÉ SANTOS
ANÁLISE DO CMS (CONTENT MANAGEMENT SYSTEM) MOODLE
QUANTO A SEGURANÇA DA INFORMAÇÃO:
ESTUDO DE CASO DA
ESCOLA DE ENSINO A DISTÂNCIA PROFESSOR BENEDITO
Monografia apresentada à Universidade Nove de Julho - UNINOVE, como requisito parcial para a obtenção do grau de Especialista em Segurança da Informação. Orientador: Prof. Dr. Koiti Egoshi
SÃO PAULO 2013
3
Dedico este trabalho a todas as pessoas que direta ou indiretamente me apoiaram:
meus pais, amigos e professores.
4
AGRADECIMENTOS
Agradeço a Deus, pela misericórdia e amor.
Aos meus pais Cícero (in memoriam) e Maria, pelo amor, carinho e incentivo e apoio
constante.
À minha esposa Eunice, pelo amor e carinho tão importante nos momentos mais difíceis.
À minha irmã Andréia e ao meu cunhado Roberto, pelo incentivo, paciência e compreensão.
A todos os professores do programa de pós-graduação em MBIS (Master in Business
Information System) em Segurança da Informação da Universidade Nove de Julho
(UNINOVE) pelas explicações e carinho com que me acolheram.
Ao professor Mestre Giocondo Marinho Antonio Gallotti, pelo apoio constante.
Ao meu orientador professor Doutor Koity Egoshi, por sua amizade, carinho, dedicação e
apoio total para que este trabalho fosse concluído.
5
RESUMO
Este trabalho pretende apresentar uma análise do Content Management System (CMS) Moodle quanto a Segurança da Informação. A metodologia usada foi o Estudo de Caso e tem o seu foco centrado na Escola de Ensino a Distância Professor Benedito1. O objetivo da análise é mostrar algumas opções de configurações e cuidados que o administrador de sistemas padrão CMS deve ter ao gerir Ambientes Virtuais de Aprendizagem (AVA) segundo normas e padrões de segurança atuais. Palavras-chave: AVA (Ambientes Virtuais de Aprendizagem), EaD (Ensino a Distância), Moodle, Segurança da informação, SGSI (Sistema de Gestão da Segurança da Informação).
1 Disponível em: <www.benejsan.com.br/moodle>
6
ABSTRACT
This paper aims to present na analysis of the Content Management System (CMS) Moodle as Information Security. The methodology used was the case study and its focus has centered on the Distance School Education Professor Benedito. The objective of the analysis is to show some care settings and options that standard CMS systems administrator must have to manage the Virtual Learning Environment (VLE) in accordance with rules and current safety standards.
Keywords: Distance Learning, Information Security, ISMS (Information Security Management System), Moodle, VLE (Virtual Learning Environment).
7
LISTA DE ILUSTRAÇÕES Figura 1 - As cinco propriedades da informação segura........................................................ 17 Figura 2- Modelo do PDCA aplicado aos processos do SGSI ............................................... 18 Figura 3 -Processo de gestão de riscos de segurança da informação...................................... 28 Figura 4 -Criação dinâmica de páginas de Websites ............................................................. 31 Figura 5- Distribuição de versões entre os usuários .............................................................. 34 Figura 6- Bloco de Administração do site no Moodle ........................................................... 39 Figura 7- Página de Curso criada no Moodle com destaque para o botão "Ativar Edição" .... 40 Figura 8 - Ícones de edição e botões de recursos e atividades em página de curso Moodle.... 41 Figura 9- Bloco Administração do site Moodle .................................................................... 43 Figura 10 - Funções para controlar usuários no Moodle........................................................ 43 Figura 11 - Funções para controlar os cursos no Moodle ...................................................... 44 Figura 12 - Funções para controlar notas no Moodle ............................................................ 44 Figura 13 - Funções para controlar local no Moodle............................................................. 44 Figura 14 - Funções para controlar idioma no Moodle.......................................................... 45 Figura 15 - Funções para controlar os módulos no Moodle................................................... 45 Figura 16 - Funções para controlar a segurança no Moodle .................................................. 46 Figura 17 - Funções para controlar temas no Moodle ........................................................... 46 Figura 18 - Funções para controlar a página inicial no Moodle............................................. 47 Figura 19 - Funções para controlar o servidor no Moodle..................................................... 47 Figura 20 - Funções para controlar a rede no Moodle ........................................................... 48 Figura 21 : Funções para controlar relatórios no Moodle ...................................................... 48 Figura 22 - Funções para controlar miscelâneas no Moodle.................................................. 49 Figura 23 - Níveis hierárquicos da informação ..................................................................... 52 Figura 24 - Espiral do conhecimento .................................................................................... 54 Figura 25 - Controles da política de senha ............................................................................ 59 Figura 26 - Mensagens de erro na criação de senhas............................................................. 60 Figura 27 - URL da política do site ...................................................................................... 61 Figura 28 - Apresentação do texto da Política do site ........................................................... 62 Figura 29 - Opção ReCaptcha do Moodle............................................................................. 63 Figura 30 - Chaves pública e privada da ReCaptcha no Moodle ........................................... 63 Figura 31 - Recurso de ReCaptcha no Moodle...................................................................... 64 Figura 32 - Informações parâmetros sobre inscrições no Moodle.......................................... 64 Figura 33 - Informações parâmetro sobre grupos no Moodle ................................................ 65 Figura 34 - Informações parâmetros sobre disponibilidade no Moodle ................................. 66 Figura 35 - Página Inicial do site EEaD Professor Benedito ................................................. 70 Figura 36 - Página de acesso ao site ..................................................................................... 72 Figura 37 - Página para Cadastramento de novo usuário....................................................... 73 Figura 38 - Evidência de dados inautênticos......................................................................... 73 Figura 39 - Evidência de falha de autenticidade.................................................................... 74 Figura 40 - Relação de alunos cadastrados no site cujo país é diferente de Brasil.................. 75 Figura 41 - Montagem do filtro de seleção de país................................................................ 75 Figura 42 - Política de senhas do site EEaD Professor Benedito ........................................... 76 Figura 43 - Página de cadastramento com a opção Política de Uso do Site ........................... 79 Figura 44 – URL da Política do site da EEaD Professor Benedito ........................................ 79 Figura 45 - Chave pública e privada fornecidas pelo site da ReCaptcha................................ 80 Figura 46 - Crítica de cadastramento do site da EEaD Professor Benedito ............................ 82 Figura 47 - Solicitação obrigatória do código de inscrição.................................................... 83
8
Quadro 1 - Política de segurança da informação................................................................... 19 Quadro 2 - Organizando a segurança da informação............................................................. 19 Quadro 3 - Gestão de ativos ................................................................................................. 19 Quadro 4 - Segurança em recursos humanos ........................................................................ 19 Quadro 5 - Segurança física e do ambiente........................................................................... 20 Quadro 6 - Gerenciamento das operações e comunicações ................................................... 21 Quadro 7 - Controle de acessos ............................................................................................ 21 Quadro 8 - Aquisição, desenvolvimento e manutenção de sistemas de informação ............... 22 Quadro 9 - Gestão de incidentes de segurança da informação............................................... 22 Quadro 10 - Gestão da continuidade do negócio................................................................... 22 Quadro 11 - Conformidade................................................................................................... 23 Quadro 12 - Infrações digitais mais frequentes na vida comum dos usuários ........................ 26
Tabela 1 - Estatísticas Moodle.............................................................................................. 34
9
SUMÁRIO INTRODUÇÃO ................................................................................................................... 11
Capítulo-1
ASPECTOS RELEVANTES SOBRE GESTÃO E SEGURANÇA DA INFORMAÇÃO..... 16
1.1 - Normas e fundamentos de segurança da informação ............................................. 18 1.2 - Relações jurídicas................................................................................................. 23 1.3 – Política da Segurança da Informação ................................................................... 27 1.4 – Gestão de riscos de segurança da informação....................................................... 28
Capítulo-2
UMA ANÁLISE PANORÂMICA DO AMBIENTE DE PRODUÇÃO DE CONTEÚDOS
CMS (CONTENT MANAGEMENT SYSTEM) NA ERA INTERNET ................................... 30
2.1 – CMS´s usados na Educação a Distância (EaD)..................................................... 32 Capítulo-3
UMA ANÁLISE CRÍTICA DO CMS MOODLE COMO FERRAMENTA DE EAD
(ENSINO A DISTÂNCIA) E ADMINISTRAÇÃO DO CONHECIMENTO ....................... 36
3.1 – Legislação e Educação a distância ....................................................................... 36 3.2 – Educação a distância e o ensino a distância.......................................................... 37 3.3 – O CMS Moodle como ferramenta de EAD........................................................... 39 3.4 - Onde estão definidas no Moodle as funcionalidades de segurança da informação . 42 3.5 – Pontos positivos e negativos da segurança da informação no CMS Moodle ......... 49 3.6 – Administração do Conhecimento ......................................................................... 51
Capítulo-4
IMPLEMENTAÇÃO NECESSÁRIA DE SEGURANÇA DA INFORMAÇÃO AO CMS
MOODLE............................................................................................................................ 56
4.1 – Senha forte .......................................................................................................... 58 4.2 – Política de Site..................................................................................................... 60 4.3 – Controle seguro do cadastramento de aluno ......................................................... 62 4.4 – Controle seguro do processo de matrícula ............................................................ 64
Capítulo-5
ESTUDO DE CASO DA ESCOLA DE ENSINO A DISTÂNCIA PROFESSOR BENEDITO
............................................................................................................................................ 68
5.1 - Contexto da Pesquisa ........................................................................................... 68 5.2 – Coleta de evidências ............................................................................................ 71 5.3 – Implantação do controle de acesso com senha forte ............................................. 76 5.4 – Implantação da Política do Site............................................................................ 76 5.5 – Implantação do controle seguro de cadastramento de aluno.................................. 80 5.6 – Implantação do controle seguro de matrícula ....................................................... 81 5.7 – Análise dos resultados obtidos ............................................................................. 81
10
CONSIDERAÇÕES FINAIS ............................................................................................... 84
REFERÊNCIAS .................................................................................................................. 85
ANEXO
Código fonte do arquivo índex.php............................................................................... 88 APÊNDICE
Política do site EEaD Professor Benedito ..................................................................... 95
11
INTRODUÇÃO
O EaD (Ensino a Distância) não é algo novo, suas origens remontam à períodos onde
as correspondências eram rudimentares. Contudo, promover o ensino a distância utilizando os
recursos computacionais recentes dá-nos um leque enorme de possibilidades e também de
desafios.
Os avanços tecnológicos atuais, decorrentes em larga escala do desenvolvimento das
pesquisas realizadas em áreas como a Eletrônica e as Telecomunicações, têm facilitado o
acesso de milhões de pessoas ao redor do mundo à informação. Esse acesso acontece de
forma rápida e com custos reduzidos quando comparados aos de anos anteriores. Assim, cada
vez mais, as pessoas têm condições de participar do Ciberespaço.
No século XX, a humanidade acompanhou o desenvolvimento dos aparelhos digitais
de televisão, de projeção (datashow), de telefonia móvel (celular) e de computação móvel
(notebook) entre outros. Neste mesmo século, a Internet emerge como um conjunto de redes
de comunicação conectadas mundialmente. Esses avanços, promovidos pelas novas
tecnologias digitais da informação e da comunicação (TDIC), constituem-se no principal
elemento propulsor do desenvolvimento da Educação a Distância (EAD).
Essa realidade encurtou as relações entre tempo e espaço e, por isso, ficamos com a
sensação de que tudo acontece mais rápido. O computador, exímio executor de ordens pré-
programadas, é capaz de realizar várias operações em um átimo de tempo. Assim, técnicos e
especialistas em computação trabalham diuturnamente na tentativa de apresentarem um
programa inovador, e desta forma, algo que até o momento era tido como impossível ou
inviável, de repente já não o é mais. Um simples exemplo dessa nova realidade está na
capacidade de processamento gráfico atual da maioria dos equipamentos digitais ou no
comando por toque de tela – touch screen – algo impossível de conceber aos primeiros
equipamentos.
A World Wide Web (WWW), a grande rede mundial – Internet-, possibilitou o
desenvolvimento de diversos recursos de uso específicos: navegadores, comunicadores e
buscadores de páginas. Dentre essas inovações encontramos os Sistemas de Gestão de
Conteúdo ou Content Management System (CMS). Esses sistemas visam facilitar a
manutenção dos conteúdos das bases de dados, exigindo do administrador menos domínio
técnico das linguagens de programação.
12
O Moodle, sigla para Modular Object-Oriented Dynamic Learning Environment, é um
destes sistemas de gestão de conteúdo gratuito e que foi concebido com a finalidade de
facilitar a construção de uma escola virtual. Ele tem entre outras características a de permitir o
controle de professores, tutores, alunos e cursos de maneira quase intuitiva. Esse controle
inclui ainda um conjunto de rotinas administrativas que permitem definir critérios de
segurança globais e específicos.
Pela sua especificidade o Moodle pode ser considerado um CMS dentro de CMS, isto
é, um Course Management System (mais particular) dentro de um Content Management
System (mais geral).
Objetivos e Justificativas
Neste trabalho de pesquisa buscamos dois objetivos: atender ao projeto pedagógico do
curso MBIS Segurança da Informação, que exige o desenvolvimento de um Trabalho de
Conclusão de Curso (TCC) aprovado por uma banca examinadora; e apresentar um estudo
de caso sobre a adoção da Política de Segurança da Informação na Escola de Ensino a
Distância Professor Benedito. Visamos como resultado do estudo apontar algumas opções
de configuração e cuidados que o administrador de sistemas do tipo Content Management
System (CMS) Moodle pode utilizar ao gerir Ambientes Virtuais de Aprendizagem (AVA)
quando busca atender às normas e aos padrões de segurança atuais.
Há um conjunto de siglas normalmente usadas pela literatura relacionada aos AVA´s,
como: Course Management System (CMS), Learning Content Management System (LCMS),
Managed Learning Environment (MLE) e Learning Support System (LSS) ou Learning
Platform (LP). Todas estas siglas referem-se a sistemas computadorizados que visam de
alguma forma prover meios que tornem os processos de aprendizagem mais simples e
acessíveis.
A construção do site EEaD Professor Benedito teve suas origens nas necessidades
apresentadas pelo corpo discente, que na sua maioria, não dispunha de recursos financeiros
para ter acesso aos materiais didáticos, tão necessários ao desenvolvimento técnico de
programadores de computadores, uma vez que, o contato destes futuros profissionais com
manuais, livros e outros textos especializados são constantes depois de concluírem suas
formações acadêmicas.
Outra justificativa para o desenvolvimento do site advém da inovação promovida pela
rede mundial (internet), onde novas formas de interação social são criadas, o que de certa
13
maneira impulsiona as pesquisas para a criação de programas como o Moodle que favorecem
em muito a construção de Ambientes Virtuais de Aprendizagem (AVAs).
Mais um motivo para a existência do site vem das constantes necessidades de
atualização docente, as quais exigem do professor estar atualizado e utilizar as novas
ferramentas que se apresentam ao seu dispor.
A Metodologia de Estudo de Caso
O método científico define a forma como os resultados são obtidos. Nesta pesquisa a
metodologia adotada será o Estudo de Caso. Essa metodologia é usada quando o fenômeno é
estudado dentro de seu contexto.
O estudo de caso é uma abordagem metodológica de investigação indicada quando
procuramos descrever, explorar ou compreender fenômenos e contextos complexos, os quais
são afetados diretamente por vários fatores.
A metodologia de estudo de caso é adequada para este trabalho, porque o caso em
estudo envolve a segurança dos ativos da Escola de Ensino a Distância Prof. Benedito, que
está em um site da Web e podem ser acessados a qualquer momento, por qualquer usuário da
rede, e de qualquer lugar do planeta.
Diferentemente dos experimentos realizados em laboratório, nossa pesquisa acontece
em um contexto complexo e que reúne informações de diversas naturezas: humanas; técnicas;
socioeconômicas etc.
Definições para Metodologia de Estudo de Caso
Segundo Yin (2001, p.19), “um estudo de caso é uma investigação empírica que
investiga um fenômeno contemporâneo dentro de seu contexto da vida real, especialmente
quando os limites entre o fenômeno e o contexto não são claramente definidos.”.
A pesquisa de estudo de caso pode incluir tanto estudos de caso único quanto de casos
múltiplos (YIN, 2001, p.33). Para Gil (2008, p.57), o estudo de caso é caracterizado pelo
estudo profundo e exaustivo de um ou poucos objetos de maneira a permitir seu conhecimento
amplo e detalhado.
Características da Metodologia de Estudo de Caso
Para Yin (2001, p.24) três condições revelam qual metodologia é a mais indicada
numa pesquisa: o tipo de questão de pesquisa; a extensão do controle que o pesquisador tem
14
sobre eventos comportamentais; e o enfoque em acontecimentos contemporâneos em
oposição aos históricos. Para esse autor, estratégias de estudo de caso têm “como” e “por que”
na formulação da questão de pesquisa, não exigem controle sobre eventos comportamentais e
focalizam acontecimentos contemporâneos.
Stake afirma que a natureza do caso, o histórico do caso, o contexto (físico, político,
legal, econômico, estético etc.), outros casos pelos quais é reconhecido e os informantes pelos
quais é conhecido, constituem-se em aspectos que dão originalidade ao caso (STAKE, 2000,
apud ALVES-MAZZOTTI, 2006, p. 642).
Yin (2001, p.73) estabelece as seguintes etapas para a metodologia do estudo de caso:
definição e planejamento; preparação, coleta e análise dos dados; composição do relatório
final (análise e conclusão).
Na etapa de definição e planejamento o pesquisador define as questões importantes
para o estudo de caso, elabora as proposições possíveis, define a unidade de análise,
estabelece as relações lógicas entre os dados e as proposições, e estabelece os critérios de
interpretação das descobertas.
Na etapa de preparação, coleta e análise dos dados o pesquisador elabora um protocolo
de estudo de caso, que contém os procedimentos e as regras gerais do instrumento de
pesquisa. A coleta de dados em estudos de caso pode vir de seis fontes diferentes:
documentos, registros em arquivos, entrevistas, observação direta, observação participante e
artefatos físicos. A análise dos dados busca examinar, categorizar ou classificar as evidências
coletadas (YIN, 2001, p.105).
Freitas e Jabbour (2011) destacam que um protocolo de pesquisa, em estratégia de
estudo de casos deve conter os seguintes itens:
(a) questão principal de pesquisa; (b) objetivo principal; (c) temas da sustentação teórica;
(d) definição da unidade de análise; (e) potenciais entrevistados e múltiplas fontes de evidência; (f)
período de realização; (g) local de coleta de evidências; (h) obtenção de validade interna, por meio
de múltiplas fontes de evidências; (i) síntese do roteiro de entrevista. (FREITAS; JABBOUR,
2011, p. 15).
Na etapa de composição do relatório final o pesquisador apresenta uma análise
conclusiva sobre as evidências encontradas, correlacionando-as às proposições iniciais.
15
Estrutura do trabalho
Este trabalho apresenta no Capítulo-1 os aspectos relevantes sobre a gestão e
segurança da informação.
No Capítulo-2 apresenta uma análise panorâmica do ambiente de produção de
conteúdos CMS (Content Management System) na era internet.
No Capítulo-3 apresenta uma análise crítica do CMS Moodle como ferramenta de
EAD (Ensino a Distância) e administração do conhecimento.
No Capítulo-4 apresenta a implementação de segurança da informação necessária ao
CMS Moodle.
No Capítulo-5 apresenta o estudo de caso e suas análises.
No final apresenta as considerações finais e sugestões para trabalhos futuros.
16
Capítulo-1
ASPECTOS RELEVANTES SOBRE GESTÃO E SEGURANÇA DA INFORMAÇÃO
Diante do cenário tecnológico veloz e inovador, a segurança dos sistemas em geral é
uma preocupação presente e constante no dia a dia dos usuários da rede mundial – internet.
Muitas organizações investem bastante dinheiro em tentativas de identificar falhas de
segurança em seus sistemas. No entanto, não é raro ter notícias sobre os conhecidos “crimes
eletrônicos”.
Sêmola (2003, p. 44) chama a atenção para uma ambigüidade existente no termo
“Segurança da Informação”. A segurança como meio, e aí ela passa a ser compreendida como
uma prática adotada com o objetivo de tornar o ambiente seguro. E a segurança como fim, ou
o objetivo a ser atingido. Sendo neste caso, segundo o autor, o resultado da segurança como
prática. Daí, podemos inferir ser a segurança resultado da própria segurança.
Fontes (2012, p.83-84), aponta cinco razões que motivam as organizações a
desenvolverem e implantarem políticas e normas de segurança da informação: legislação;
exigência do mercado e/ou dos clientes; adequação às melhores práticas; avanço tecnológico e
necessidade do negócio.
Essa preocupação se estende aos programas de computador destinados a atender
aplicações de ensino a distância, os quais se tornam bastante vulneráveis, quando alguns
quesitos de segurança são inadvertidamente esquecidos ou subestimados.
Gestão e segurança da informação exigem conhecimento e atenção especial a aspectos
diversos, tais como: relações jurídicas; normas e fundamentos; análise de riscos; políticas;
arquitetura e funcionamento das redes de computadores; sistemas aplicativos e banco de
dados; técnicas de proteção e habilitação; disponibilidade e recuperação de dados; plano de
continuidade de negócios; e auditoria de sistemas, entre outros.
Neste trabalho apresentamos a seguir alguns aspectos importantes quanto à gestão e
segurança da informação e que colaboram para a implantação mais consistente do Sistema de
Gestão de Segurança da Informação (SGSI) na organização.
A segurança das informações da escola exige a adoção de um SGSI. O SGSI é
concebido com o propósito de garantir três propriedades à informação: Confidencialidade;
Integridade e Disponibilidade. A confidencialidade assegura que a informação não será
disponibilizada ou divulgada sem autorização a indivíduos, entidades ou processos. A
17
integridade é proteção à precisão e perfeição de recursos. A disponibilidade é a garantia de
acesso e uso autorizado.
Às três propriedades da informação, Sêmola (2003, p.9) acrescenta dois aspectos:
Autenticidade e Legalidade. À Autenticidade cumpre “o papel de sinalizar o
comprometimento dos aspectos associados à autenticidade das partes envolvidas em troca de
informações”, e à Legalidade “a conformidade com a legislação vigente” (SÊMOLA, 2003,
p.44). A Figura 1 ilustra iconograficamente as cinco propriedades da informação segura.
Figura 1 - As cinco propriedades da informação segura Fonte: do autor
E o autor identifica ainda, os quatro momentos vividos pela informação: manuseio;
armazenamento; transporte e descarte. (idem, p.10).
O momento do manuseio acontece quando a informação é gerada ou manipulada, um
exemplo seria: preencher um formulário de cadastro pela internet.
O momento de armazenamento se dá quando a informação é guardada, seja numa base
de dados eletrônica ou numa mídia digital (Pendrive,CD/DVD etc.).
O transporte é caracterizado como o momento em que a informação encontra-se em
trânsito. Como exemplo, podemos citar o encaminhamento de mensagens via SMS ou correio
eletrônico (email), envio de documentos via correios ou o simples diálogo ao telefone.
O descarte corresponde ao momento em que a informação é jogada fora. Este
acontece, por exemplo, quando jogamos um papel impresso ou uma mídia no lixo, apagamos
um arquivo no computador ou eliminamos um registro no cadastro de clientes.
18
Estes quatro momentos vividos pela informação constituem o seu ciclo de vida e são
alvo do interesse dos gestores de sistemas de segurança da informação.
1.1 - Normas e fundamentos de segurança da informação
Para atender as necessidades de segurança, cada vez mais emergente no mundo
informático em que vivemos, a Associação Brasileira de Normas Técnicas (ABNT) editou em
2006 a Norma NBR ISO/IEC 27001. Essa Norma estimula a adoção de uma estratégia de
processo nas organizações para estabelecer e implementar, operar, monitorar, revisar, manter
e melhorar o SGSI.
A Norma NBR 27001 da Associação Brasileira de Normas Técnicas (2006) adota o
modelo de processo Plan-Do-Check-Act (PDCA), ilustrado pela Figura 2, para estruturar
todos os processos do SGSI. A dinâmica estabelecida pelo PDCA favorece as mudanças que
ocorrem com o passar do tempo e permitem o escalonamento do SGSI.
Figura 2- Modelo do PDCA aplicado aos processos do SGSI Fonte: Associação Brasileira de Normas Técnicas (2006, p.3), com adaptações
A Norma NBR 27002 da Associação Brasileira de Normas Técnicas (2005) apresenta
um código de prática para a gestão de segurança da informação. Um conjunto de 133
controles é descritos na norma e servem como referência na implementação da segurança da
informação. Depois de estabelecidos e implementados, os controles precisam ser monitorados
e analisados com o propósito de serem continuamente melhorados para que os objetivos da
organização sejam atingidos.
Os quadros de 1 a 11 apresentam resumidamente os controles da Norma NBR 27002.
Os controles indicados no Quadro 1 objetivam dar orientação e apoio da direção para a
segurança da informação.
19
1 Documento da política de segurança da informação. 2 Análise crítica da política de segurança da informação.
Quadro 1 - Política de segurança da informação Fonte: Associação Brasileira de Normas Técnicas (2005)
Os controles indicados no Quadro 2 visam organizar para a segurança da informação.
3 Comprometimento da direção com a segurança da informação. 4 Coordenação da segurança da informação. 5 Atribuição de responsabilidades para a segurança da informação. 6 Processo de autorização para os recursos de processamento de
informação. 7 Acordos de confidencialidade. 8 Contato com autoridades. 9 Contato com grupos especiais. 10 Análise crítica independente de segurança da informação. 11 Identificação dos riscos relacionados às partes externas. 12 Identificando a segurança da informação, quando tratando com
os clientes. 13 Identificando a segurança da informação nos acordos com
terceiros. Quadro 2 - Organizando a segurança da informação
Fonte: Associação Brasileira de Normas Técnicas (2005) Os controles indicados no Quadro 3 referem-se à gestão dos ativos da organização.
14 Inventário dos ativos. 15 Proprietário dos ativos. 16 Uso aceitável dos ativos. 17 Classificação da informação – recomendações para classificação. 18 Classificação da informação – Rótulos e tratamento da
informação. Quadro 3 - Gestão de ativos
Fonte: Associação Brasileira de Normas Técnicas (2005)
Os controles indicados no Quadro 4 referem-se à segurança envolvendo os recursos
humanos da organização.
19 Papéis e responsabilidades. 20 Seleção. 21 Termos e condições de contratação. 22 Responsabilidades da direção. 23 Conscientização, educação e treinamento em segurança da
informação. 24 Processo disciplinar. 25 Encerramento das atividades. 26 Devolução de ativos. 27 Retirada de direitos de acesso.
Quadro 4 - Segurança em recursos humanos Fonte: Associação Brasileira de Normas Técnicas (2005)
20
Os controles indicados no Quadro 5 referem-se à segurança física e do ambiente da
organização.
28 Perímetro de segurança física. 29 Controles de entrada física. 30 Segurança em escritórios, salas e instalações. 31 Proteção quanto ameaças externas e do meio ambiente. 32 Trabalhando em áreas seguras. 33 Acesso do público, áreas de entrega e de carregamento. 34 Instalação e proteção de equipamento. 35 Utilidades. 36 Segurança do cabeamento. 37 Manutenção dos equipamentos. 38 Segurança de equipamentos fora das dependências da
organização. 39 Reutilização e alienação segura de equipamentos. 40 Remoção de propriedade.
Quadro 5 - Segurança física e do ambiente Fonte: Associação Brasileira de Normas Técnicas (2005)
Os controles indicados no Quadro 6 referem-se ao gerenciamento das operações e
comunicações..
41 Documentação dos procedimentos. 42 Gestão de mudanças. 43 Segregação de funções. 44 Separação dos recursos de desenvolvimento, testes e produção. 45 Entrega de serviços. 46 Monitoramento e análise crítica de serviços terceirizados. 47 Gerenciamento de mudanças para serviços terceirizados. 48 Gestão de capacidade. 49 Aceitação de sistemas. 50 Proteção contra códigos maliciosos e códigos móveis. 51 Controles contra códigos móveis. 52 Cópias de segurança da informação. 53 Controles de redes. 54 Segregação dos serviços de rede. 55 Gerenciamento de mídias removíveis. 56 Descarte de mídias. 57 Procedimentos para tratamento de informação. 58 Segurança da documentação de sistemas. 59 Política e procedimentos para troca de informações. 60 Acordo para trocas de informações. 61 Mídias em trânsito. 62 Mensagens eletrônicas.
21
63 Sistema de informações de negócio. 64 Serviços de comércio eletrônico. 65 Transações on-line. 66 Informações publicamente disponíveis. 67 Registros de auditoria. 68 Monitoramento do uso do sistema. 69 Proteção das informações dos registros (log). 70 Registro (log) de administrador e operador. 71 Registro (log) de falhas. 72 Sincronização dos relógios.
Quadro 6 - Gerenciamento das operações e comunicações Fonte: Associação Brasileira de Normas Técnicas (2005)
Os controles indicados no Quadro 7 referem-se à segurança dos acessos ao sistema.
73 Política de controle de acesso. 74 Registro de usuário. 75 Uso de privilégios – restritos e controlados. 76 Gerenciamento de senha do usuário. 77 Análise crítica dos direitos de acesso de usuário. 78 Uso de senhas. 79 Equipamento de usuário sem monitoração. 80 Política de mesa limpa e tela limpa. 81 Política de uso de serviços de rede. 82 Autenticação para conexão externa do usuário. 83 Identificação de equipamentos em redes. 84 Proteção de portas de configuração e diagnóstico remotos. 85 Segregação de redes. 86 Controle de conexão de redes. 87 Controle de roteamento de redes. 88 Procedimentos seguros de entrada no sistema (logo n). 89 Identificação e autenticação do usuário. 90 Sistema de gerenciamento de senha. 91 Uso de utilitários de sistema. 92 Limite de tempo de sessão. 93 Limitação de horário de conexão. 94 Restrição de acesso à informação. 95 Isolamento de sistemas sensíveis. 96 Computação e comunicação móvel. 97 Trabalho remoto.
Quadro 7 - Controle de acessos Fonte: Associação Brasileira de Normas Técnicas (2005)
22
Os controles indicados no Quadro 8 referem-se à segurança na aquisição,
desenvolvimento e manutenção de sistemas.
98 Análise e especificação dos requisitos de segurança. 99 Validação dos dados de entrada. 100 Controle do processamento interno. 101 Integridade de mensagens. 102 Validação dos dados de saída. 103 Política para uso de controles criptográficos. 104 Gerenciamento de chaves. 105 Controle de software operacional. 106 Proteção de dados para teste de sistema. 107 Acesso ao código fonte de programa. 108 Procedimentos para controle de mudanças. 109 Análise crítica técnica das aplicações após mudanças no sistema
operacional. 110 Restrições sobre mudanças em pacotes de software. 111 Vazamento de informações. 112 Desenvolvimento terceirizado de software. 113 Controle de vulnerabilidades técnicas.
Quadro 8 - Aquisição, desenvolvimento e manutenção de sistemas de informação Fonte: Associação Brasileira de Normas Técnicas (2005)
Os controles indicados no Quadro 9 referem-se à gestão dos incidentes de segurança
da informação na organização.
114 Notificando de eventos de segurança da informação. 115 Notificação de fragilidades de segurança da informação. 116 Responsabilidades de procedimentos. 117 Aprendendo com os incidentes de segurança da informação. 118 Coletas de evidências.
Quadro 9 - Gestão de incidentes de segurança da informação Fonte: Associação Brasileira de Normas Técnicas (2005)
Os controles indicados no Quadro 10 referem-se à gestão da continuidade dos
negócios da organização.
119 Incluindo a segurança da informação no processo de gestão de continuidade de negócio.
120 Continuidade de negócios e análise/avaliação de riscos. 121 Desenvolvimento e implementação de planos de continuidade
relativos à segurança da informação. 122 Estrutura do plano de continuidade de negócio. 123 Testes, manutenção e reavaliação dos planos de continuidade do
negócio. Quadro 10 - Gestão da continuidade do negócio
Fonte: Associação Brasileira de Normas Técnicas (2005)
23
Os controles indicados no Quadro 11 referem-se à conformidade das informações da
organização.
124 Identificação da legislação aplicável. 125 Direitos de propriedade intelectual. 126 Proteção de registros organizacionais. 127 Proteção de dados e privacidade de informações pessoais. 128 Prevenção de mau uso de recursos de processamento de
informação. 129 Regulamentação de controles de criptografia. 130 Conformidade com as políticas e normas de segurança da
informação. 131 Verificação com a conformidade técnica. 132 Controles de auditoria de sistemas de informação. 133 Proteção de ferramentas de auditoria de sistemas de informação.
Quadro 11 - Conformidade Fonte: Associação Brasileira de Normas Técnicas (2005)
A Norma NBR 27005 da Associação Brasileira de Normas Técnicas (2008) apresenta
as diretrizes para o processo de Gestão de Riscos de Segurança da Informação da organização.
Fontes (2012) afirma que “Para um funcionamento adequado do SGSI é importante
que a gestão de riscos e a política de segurança da informação sejam elementos que estejam
bem definidos e explícitos”. Falhas na definição da política podem comprometer toda a gestão
de riscos, já que a política de segurança da informação produz subsídios para a construção do
SGSI.
O SGSI faz parte do plano estratégico das organizações, pois sua especificação e
implantação sofrem influência de diversos fatores organizacionais importantes como:
objetivo, tipos de processos e estrutura. Ele deve garantir que o conjunto de dados
manipulados pelos usuários e processos da escola possibilite um fluxo correto de
informações.
1.2 - Relações jurídicas
As relações entre os institutos jurídicos e a informação são muitas quando
consideramos em ampla análise as diversas facetas existentes. O segredo comercial ou
industrial, funcionários e colaboradores, bens e serviços produzidos, meios de comunicação
etc., são alguns exemplos de enfoques em que o uso ou manuseio da informação esbarra em
questões de legalidade.
24
A proteção do direito à informação, da liberdade de expressão, do direito à intimidade
e ao sigilo das comunicações, tem no texto da Constituição Federal (BRASIL, 1988), atenção
especial do legislador constituinte, fato este decorrente, segundo Lourenço (2009, p.22), “de
anos de regime militar, fortemente marcados pelo desrespeito aos direitos individuais...”. O
autor afirma ainda que estas preocupações “fizeram nascer no âmbito da Assembléia
Constituinte o temor de que velhos hábitos ditatoriais se incorporassem à incipiente realidade
democrática”.
A Wikipédia (2013a) declara que o direito divide-se em seguintes ramos de grande
diversidade: Direito Administrativo; Direito Aeronáutico; Direito Alternativo; Direito
Ambiental; Direito de Águas; Direito Bancário; Direito Canônico; Direito Civil; Direito de
Família; Direito das Obrigações; Direito das Sucessões; Direito das Coisas; Direito
Imobiliário; Direito do Consumidor; Direito da Criança e do Adolescente; Direito
Constitucional; Direito do Estado; Direito Desportivo; Direito Econômico; Direito Eleitoral;
Direito Eletrônico; Direito Empresarial ou Comercial; Direito Societário; Direito Marítimo;
Direito Financeiro; Direito Fiscal; Direito Tributário; Direitos Humanos; Direito Indígena e o
Direito da Informática.
O Direito da Informática ou Informacional objetiva “regulamentar as relações sociais
ocorridas no âmbito da tecnologia da informação”, (WIKIPÉDIA, 2013a).
As Leis do software e dos Direitos Autorais, entre outras, estabelecem diversas normas
de conduta que visam proteger a informação. A importância crescente da relação do Direito
com o Software (Programas) e o Peopleware (Pessoas), estes entendidos como os usuários,
desenvolvedores ou operadores de sistemas etc., advêm do valor que a informação assumiu no
mundo globalizado que vivemos.
O software por si só não tem valor algum, é o peopleware que dá “vida e significado”
aos programas e o seu uso é balizado em relações jurídicas.
Aspectos relacionados à informação são apresentados pela Constituição Federal
(BRASIL, 1988) quando trata do Direito à Privacidade, à Informação e ao acesso aos registros
públicos, do dever do estado de proteger os documentos públicos e da obrigação da
administração pública de promover a gestão documental.
A proliferação dos bancos de dados e das transmissões de informações são as
principais ameaças à privacidade informacional, estas entendidas como protetoras das
informações sobre o indivíduo.
25
O direito à informação e ao acesso aos registros públicos, previstos nos incisos XIV,
XXXIII, LX do art. 5º e § 3º inciso XXII do art. 37 da Constituição Federal (BRASIL, 1988),
relacionam-se tanto ao sigilo quanto à sua disponibilidade. Já o dever do Estado de proteger
os documentos e obras, previstos III e IV do art. 23, está relacionado aos aspectos da
integridade e disponibilidade da informação.
O Código Civil, Lei 10.406 (BRASIL, 2002), ao estabelecer no “... Art. 21. A vida
privada da pessoa natural é inviolável, e o juiz, a requerimento do interessado, adotará as
providências necessárias para impedir ou fazer cessar ato contrário a esta norma.”, define que
nunca devemos violar a vida privada das pessoas.
A responsabilidade digital das instituições educacionais tem aumentado como afirmam
Pinheiro e Sleiman (2007, p.14): “Cumpre destacar que de acordo com o Novo Código Civil,
a responsabilidade civil foi ampliada influenciando diretamente nas questões jurídicas
relacionadas aos meios digitais.”, ao se referirem às alterações feitas ao texto do Código Civil
Brasileiro em 2002.
A Lei 9.609 (BRASIL, 1998a), Lei do Software, que “dispõe sobre a proteção da
propriedade intelectual de programa de computador, sua comercialização no País, e dá outras
providências”, representou um avanço na direção de coibir atos ilícitos como “a pirataria de
software”.
A Lei 9.610 (BRASIL, 1998b), Lei do Direito Autoral, que “altera, atualiza e
consolida a legislação sobre direitos autorais e dá outras providências”, também regula os
direitos de autor, a cessão de direitos, protege versões incluindo as em meio eletrônico e cria
mecanismos para combater cópias ilícitas.
A alteração e o surgimento de novas Leis são em larga medida, reflexo do apelo
social, o que é de se esperar num país democrático como o Brasil. O trecho jornalístico
apresentado a seguir, sugere esta reflexão, haja vista a repercussão do ocorrido nos principais
veículos de comunicação brasileiros:
A Câmara aprovou hoje, dois projetos que tipificam crimes como: a violação de
dados pessoais na internet, a clonagem de cartões e o roubo de senhas. A pena pode
chegar a seis anos se os dados forem retirados de email particular ou forem sigilosos. Os
dois textos que seguem para a sanção presidencial foram votados depois da polêmica
sobre o vazamento na internet das fotos da atriz Carolina Dieckmann. (REDE GLOBO,
2013).
26
Os dois projetos referidos no texto retro citado são as Leis 12.735 e 12.737 já em
vigor.
A Lei 12.735 (BRASIL, 2012), altera o Código Penal, para tipificar condutas
realizadas mediante o uso de sistemas eletrônicos, digitais ou similares, que sejam praticadas
contra sistemas informatizados.
A Lei 12.737 (BRASIL, 2012), altera o Código Penal, para criminalizar a invasão de
computadores conectados ou não, o “roubo” de senhas ou arquivos e a falsificação de cartão
de crédito ou débito.
O Quadro 12 lista algumas das infrações digitais mais freqüentes e cometidas no dia a
dia por usuários de sistemas informatizados. Nele podemos observar e notar o quão extenso e
complexo são as relações que permeiam a vida num mundo informático com as normas de
conduta pré-estabelecidas na Lei.
Quadro 12 - Infrações digitais mais frequentes na vida comum dos usuários Fonte: Pinheiro e Sleiman (2007, p.15)
27
1.3 – Política da Segurança da Informação
A política é um dos elementos que compõem um sistema de gestão de segurança da
informação. Seu principal objetivo é demonstrar compromissos e princípios para as ações que
se desenvolvem dentro da organização.
As razões que motivam o surgimento e adoção de uma política de segurança da
informação nas empresas têm origem, na maioria das vezes, dentro da própria organização
quando esta percebe a real importância e vulnerabilidade no trato da mesma. No entanto, há
casos em que esta a política nasce influenciada por pressões externas como, por exemplo,
quando há uma exigência do parceiro comercial.
A Norma NBR 27002 da Associação Brasileira de Normas Técnicas (2005, p.2) define
o termo política como: “Intenções e diretrizes globais formalmente expressas pela direção.”.
Fontes (2012, p.15) afirma que “o principal documento da política indicará qual é a
filosofia da organização para uso da informação pelos seus funcionários, prestadores de
serviços, estagiários, diretores, acionistas e até pelo executivo-presidente”. O que significa
dizer que todos os envolvidos direta ou indiretamente com a organização estão sob as
diretrizes da política de segurança.
Quando um problema se apresenta na organização, são os critérios criados pela
política que auxiliam , norteiam e definem as tomadas de decisão.
Fontes (2012, p.15) defende ainda que “A política é o mais alto nível de declaração do
que a organização acredita e quer que exista em todas as suas áreas”. Portanto, as diretrizes da
política são abrangentes e não se restringem a uma ou outra área específica.
Um programa de segurança da informação com objetivos e responsabilidades nasce a
partir das declarações de política da organização. As diretrizes estabelecidas pela política são
orientações básicas sobre o que se deseja, sem, contudo, definir como fazer ou implantar.
Guardada as devidas proporções, Sêmola (2003, p. 105) compara a Política de
Segurança da Informação da organização à Constituição Federal de um país, no propósito de
fornecer orientação e dar apoio às ações de gestão.
Em termos práticos a política de segurança da informação constitui-se num conjunto
de documentos escritos composto por diretrizes, normas e procedimentos. Este conjunto é
nomeado regulamentos, por Fontes (2012, p. 89), e são específicos para cada organização.
28
É o que afirma Sêmola, também, ao concluir que pela abrangência que assume a
Política de Segurança da Informação, esta é “subdividida em três blocos: diretrizes, normas,
procedimentos e instruções, sendo destinados, respectivamente, às camadas estratégica, tática
e operacional.” (SÊMOLA, 2003, p. 105).
A política deve definir o escopo que determina o alcance, no campo de ação, dos
controles. Estabelecer estes limites é importante porque torna o processo de segurança da
informação algo finito e, consequentemente, gerenciável.
1.4 – Gestão de riscos de segurança da informação
Encontramos na Norma NBR 27005 da Associação Brasileira de Normas Técnicas
(2008) as diretrizes para o processo de Gestão de Riscos de Segurança da Informação (GRSI)
da organização. Esta gestão constitui-se num conjunto de ações coordenadas para dirigir e
controlar a organização, no que se refere aos riscos. A Figura 3 ilustra o processo de gestão de
riscos de segurança da informação.
Figura 3 -Processo de gestão de riscos de segurança da informação Fonte: Associação Brasileira de Normas Técnicas (2008)
A Norma NBR 27005 da Associação Brasileira de Normas Técnicas (2008) sugere as
seguintes etapas para um processo de gestão de riscos de segurança da informação: definição
de contexto; análise/avaliação de riscos; definição do plano de tratamento de riscos; aceitação
do risco; implementação do plano de tratamento de risco; monitoramento contínuo e análise
crítica de riscos; manutenção e melhoramento do processo de gestão de riscos de segurança da
informação.
29
Fontes (2012, p. 20) afirma que “A gestão de risco, considerando o contexto definido
pela política de segurança, identificará os ativos, selecionará os controles apropriados e
definirá as prioridades de implantação destes controles”.
Existe uma relação estreita entre as normas NBR 27005 e NBR 27002 quanto à
definição de contexto e escopo. A definição de contexto e escopo do GRSI é fundamental
para a construção dos processos de gestão de riscos e estão relacionados diretamente com os
definidos para o SGSI.
A análise e avaliação dos riscos envolvem: identificar os ativos; os controles
existentes; as vulnerabilidades e ameaças; as consequências; estimar quantitativamente e
qualitativamente os riscos e avaliar a probabilidade de incidentes.
Sêmola (2003, p. 110) destaca a importância de compreender que “a vulnerabilidade
por si só não causa qualquer dano ao ativo, sendo apenas uma situação de fragilidade. O dano
só se efetivará mediante a exploração da vulnerabilidade por parte de uma ameaça”.
A avaliação detalhada de um risco exige o envolvimento das pessoas para que o
processo de comparar o risco estimado com os critérios de riscos pré-definidos possa definir a
real importância do risco.
O tratamento dos riscos de segurança da informação está restrito a quatro
possibilidades: redução; retenção; prevenção e transferência. Qualquer tratamento dado ao
risco sempre gera riscos residuais, também conhecidos como riscos remanescentes.
Em alguns casos a aceitação do risco pode ser a decisão mais acertada em função da
baixa probabilidade de ocorrer o dano ou obter consequências negativas mínimas.
O processo contínuo de análise dos riscos permitirá identificar novas vulnerabilidades
e ameaças, o que favorece e mantém a gestão em níveis controlados. Este processo colabora
também para a manutenção e melhoria dos processos de riscos.
30
Capítulo-2
UMA ANÁLISE PANORÂMICA DO AMBIENTE DE PRODUÇÃO DE CONTEÚDOS CMS (CONTENT MANAGEMENT SYSTEM) NA ERA INTERNET
Os CMS’s se apresentam como uma opção rápida e eficiente para quem necessita
publicar informações na internet. A facilidade em atualizar os conteúdos do site é a principal
característica destes sistemas que permitem aos usuários sem conhecimento técnico incluir,
alterar ou excluir conteúdos de forma simples.
A adoção de um CMS resulta numa melhor distribuição da carga de trabalho, por
eliminar uma parcela considerável das atividades do pessoal técnico em Web. Como resultado
direto da opção por este sistema temos os ganhos em recursos humanos, decorrentes em
grande parte, desta diminuição no gargalo de geração e manutenção de sites.
Em termos gerais, um ambiente de gerenciamento de conteúdo pode ajudar a
organização a tornar-se mais competitiva, pois, além da redução das despesas colaborarem
para o aumento da sua rentabilidade, a diminuição dos tempos de produção de conteúdo
também favorecem em rapidez, a disponibilidade da informação.
No início da internet, as páginas apresentadas pelos navegadores2 eram compostas por
códigos HTML3 estáticos e documentos de texto. Estes códigos eram escritos manualmente
por profissionais técnicos desenvolvedores para Web. Num site estático todo conteúdo
apresentado pelas páginas é colocado pelo desenvolvedor na fase de projeto. A criação de
páginas por este processo exige profissionais experientes, o que representa aumento de custos
no desenvolvimento e na manutenção.
Em um site dinâmico, doutra maneira, as páginas tem o seu conteúdo montado em
tempo de execução, isto é, no instante em que ela é solicitada pelo navegador. Normalmente
os conteúdos apresentados foram previamente armazenados em uma base de dados e um
programa de script é usado na construção da página dinâmica para alterar o conteúdo. PHP4 e
ASP5 são exemplos de linguagens script utilizadas nestas construções. A Figura 4 apresenta
uma ilustração sobre o funcionamento dos sites dinâmicos.
2 Programa utilizado para visualizar páginas da Internet, também chamado de web browser ou browser. 3 Acrônimo de Hypertext Markup Language. Linguagem usada em páginas da Web. 4 PHP: Hypertext Preprocessor. Linguagem interpretada que roda no próprio servidor Web. 5 Active Server Pages. Ambiente de programação que permite criar aplicações que rodam no servidor combinando HTML, scripting e componentes.
31
Figura 4 -Criação dinâmica de páginas de Websites Fonte: Boiko (2001, p.11)
A Fonte de Dados (Data Source) é representada por uma base de dados relacional no
Servidor Web (Web Server) que é consultada em resposta a um clique do usuário num link da
página apresentada pelo Navegador (Browser). As páginas modelos (Template Pages) contém
código HTML, programação Scripts, objetos e outros programas que interpretam as
requisições, conectam à Fonte de Dados, recuperam os conteúdos apropriados e tudo mais
para montar a página. (BOIKO, B., 2001, p.11)
CMS’s e sites dinâmicos não são a mesma coisa, pois é possível também criar sites
estáticos com eles. Os CMS’s são sistemas que oferecem recursos para administrar os
conteúdos, controlar o acesso, o fluxo de trabalho e a segurança de aplicações baseadas na
WEB. Permitem a customização que é a possibilidade de ajustar a interface gráfica e demais
controles funcionais às características específicas do negócio, além da integração com outros
sistemas da organização.
Em sistemas onde o conteúdo é administrado por um CMS, os recursos
disponibilizados pelos repositórios de dados podem ser de diversos tipos como: sons, gráficos,
vídeos etc. Além disto, a integração com sistemas legados permite que parte do
processamento dos dados seja realizado fora do CMS, como normalmente acontece, por
exemplo, quando um sistema de recebimento é acoplado.
Como é impossível prever todas as necessidades das organizações, as funcionalidades
de um CMS precisam ser ajustadas à sua realidade. Fatores como: tamanho, objetivos,
processos e usuários variam muito entre as empresas. Portanto, a seleção, implementação e/ou
implantação de CMS’s é resultado direto de uma análise detalhada destes fatores.
32
No entanto é importante destacar que o êxito na gestão de conteúdos depende também
das pessoas e do processo, já que a escolha da tecnologia não garante o sucesso.
2.1 – CMS´s usados na Educação a Distância (EaD)
Há inúmeros sistemas do tipo CMS usados na Educação a Distância disponíveis,
como: Drupal6, Blackboard7, Joomla8, Wordpress9, e Moodle10. Desses sistemas, alguns são
proprietários, isto é, são vendidos, enquanto outros são gratuitos.
O Drupal é um CMS escrito em PHP. Portanto seu funcionamento exige um servidor
HTTP compatível com PHP, como Apache, além de um servidor de banco de dados como o
MySQL. Sistemas com estas características são considerados multiplataforma quanto ao
Sistema Operacional.
O Drupal é distribuído sob licença GNU GPL, sem custos para aquisição e permite o
desenvolvimento de módulos de extensão à suas funcionalidades básicas e por este motivo
possui uma comunidade grande de desenvolvedores.
O nome Drupal deriva da palavra holandesa druppel, cujo significado é gotas em
português. Foi criado por Dries Buytaert no ano 2000 e atualmente está em sua versão 7.22.
Os módulos do Drupal permitem aos usuários: Criar, revisar, categorizar e buscar o
conteúdo; publicar comentários; participar de fóruns e enquetes; colaborar na escrita de
projetos; criar e visualizar páginas de perfil pessoal; comunicar com outros sites; 0
gerenciamento de temas; a construção de vários níveis de menus de navegação; configurar
idiomas; incluir RSS feeds; o controle total das contas; definir regras de acesso; obter
relatórios administrativos e estatísticos e construir regras para filtrar conteúdo entre outras
facilidades.
O CMS Blackboard foi lançado em junho de 1997 por Michael Chasen e Matthew
Pittinsky. É um software proprietário, pois o usuário precisa pagar para adquirir o produto e é
mantido pela Blackboard Inc. Sua participação no mercado voltado ao ensino superior é
expressiva. Possui uma arquitetura aberta e de design em escalas que favorece a integração
com outros sistemas.
6 Disponível para download em: <http://drupal.org>. 7 Maiores informações podem ser obtidas em: < http://www.blackboard.com/>. 8 Disponível para download em: < http://www.joomla.org/>. 9 Disponível para download em: < http://wordpress.org/>. 10 Disponível para download em: < https://moodle.org/>.
33
O Blackboard adquiriu em 2006 o WebCT, um outro CMS desenvolvido em 1996 pelo
grupo de Murraw W. Goldberg, da Universidade British Columbia.
O Joomla é um CMS que permite criar site para lojas virtuais, jornais, catálogos de
produtos e serviços, blogs e fóruns entre outros formatos de conteúdos, graças à diversidade
de extensões que permitem criar rapidamente novas funcionalidades. Lançado em setembro
de 2005, tem licença de uso GNU/GPL e a última versão estável é a 3.0.2. A linguagem
utilizada no seu desenvolvimento é o PHP, sendo possível sua execução em servidores
Apache ou IIS com base de dados MySQL.
O WordPress também é um CMS de código aberto distribuído sob licença GNU/GPL.
e Lançado em maio de 2003, foi desenvolvido em linguagem PHP usando base de dados
MySQL. Seu uso inicial foi voltado para a criação de blogs, no entanto é possível criar sites
de comercio eletrônico, jornais, revistas, serviços e outros conteúdos pela utilização de
plugins, temas e programação PHP.
Os principais recursos oferecidos pelo WordPress incluem a geração XML, XHTML e
CSS em conformidade com os padrões W3C, importação e exportação de dados, controle de
nível de usuário, categorias aninhadas e múltiplas entre outros.
O Moodle, Modular Object-Oriented Dynamic Learning Environment, é uma
ferramenta que permite criar cursos baseados na internet. Seu idealizador e desenvolvedor foi
o cientista da computação australiano Martin Dougiamas.
Criado em 2001, o Moodle é uma ferramenta que facilita a atividade do profissional de
educação ao apresentar um conjunto simples de funções administrativas que permitem obter
bons resultados em curto espaço de tempo. Desenvolvido no conceito de Open Source, o
Moodle tem o seu código fonte aberto para alterações e é disponibilizado gratuitamente,
dispensando o pagamento de licença de aquisição e/ou uso.
Sua interface amigável funciona de maneira quase intuitiva e acelera o domínio
técnico necessário ao administrador, isto é, sua curva de aprendizagem é bem acentuada.
O Moodle é um CMS gratuito que foi concebido com a finalidade básica de facilitar a
construção de uma escola na internet, e tem entre outras características a de permitir o
controle de professores, tutores, alunos e cursos de maneira quase intuitiva. Esses sistemas
CMS´s visam facilitar a manutenção dos conteúdos das bases de dados, exigindo do seu
administrador menos domínio técnico das linguagens de programação.
34
O funcionamento do Moodle exige um sistema operacional que suporte a linguagem
PHP e uma base de dados gerenciável por MySQL ou outro Sistema Gerenciador de Banco de
Dados (SGBD) como: Oracle, Access, Interbase, PostgreSQL etc.
Apesar das estatísticas fornecidas pelo site do Moodle estarem distantes do número
real de usuários, já que o download é livre e o registro é opcional, sua utilização na
administração de atividades educacionais de EAD é expressiva como mostra a Tabela 1.
Tabela 1 - Estatísticas Moodle
Estatística Valor
Sites registrados 75.000
Países 227
Cursos 6.992.506
Usuários 65.425.988
Professores 1.291.922
Fonte: Moodle (2013)
O site de estatísticas do Moodle apresenta o Brasil em terceiro lugar na classificação
geral de registros por países com a marca de 5.414, superado apenas pelos Estados Unidos
com 12.728 e Espanha com 6.500.
A Figura 5 ilustra a distribuição de versões do Moodle entre todos os usuários
registrados. Notamos que a versão 1.9x, lançada em março de 2008, ainda é a mais usada e
este fato reforça a ideia de ser esta a versão mais aceita até a atualidade.
Figura 5- Distribuição de versões entre os usuários Fonte: Moodle (2013)
35
Os cursos de EAD que usam internet são dinâmicos e precisam manter esta dinâmica
para darem ao estudante a impressão de uma realidade “viva”. O estudante ao notar, a cada
acesso, a mudança na página do curso percebe esta realidade. Estas alterações funcionam
como estímulo visual que motivam e despertam a curiosidade do aluno.
O Moodle oferece recursos que acabam promovendo esta interação. Podemos citar
como exemplo, a inclusão de um bloco chamado Atividades na página do curso. Essa inclusão
resulta no aparecimento de uma lista que mostra o nome do estudante e a hora em que as
atividades (tarefas, exercícios etc.) foram concluídas pelos participantes do grupo de estudos.
Assim cada trabalho entregue ou exercício concluído pelos alunos, provoca a atualização da
lista e permite também a auto-avaliação pelos alunos quanto a pontualidade nos prazos
estabelecidos para a entrega das atividades.
Esta seção apresentou uma parte das muitas facilidades que o CMS Moodle oferece
aos seus usuários. O estudo mais detalhado dessas facilidades está além do escopo deste
trabalho, mas pode ser obtido no site <https://moodle.org/>.
36
Capítulo-3
UMA ANÁLISE CRÍTICA DO CMS MOODLE COMO FERRAMENTA DE EAD (ENSINO A DISTÂNCIA) E ADMINISTRAÇÃO DO CONHECIMENTO
No capítulo anterior apresentamos uma análise panorâmica do ambiente de produção
de conteúdos CMS em que a internet é considerada como o principal meio de distribuição de
conteúdos.
Neste capítulo, analisaremos criticamente o CMS Moodle como ferramenta de ensino
a distância. Começaremos pelos aspectos legais relacionados à EAD, depois apresentaremos
de forma simplificada as funções administrativas do Moodle que permitem a construção de
uma escola virtual. E, por último, destacaremos algumas características sobre o modelo de
gestão conhecido por Administração do Conhecimento.
3.1 – Legislação e Educação a distância
A Constituição Federal (BRASIL, 1988), ao definir os princípios norteadores para os
objetivos gerais da Educação Nacional, estes expressos em leis ordinárias específicas,
estabelece que:
A educação é direito de todos e dever do Estado e da família, devendo ser promovida com a colaboração da sociedade, no sentido do desenvolvimento pleno da pessoa, do preparo para o exercício da cidadania e de sua qualificação para o trabalho (BRASIL, 1988).
O texto constitucional torna clara a importância da educação para todos os brasileiros,
além de destacar que a sua promoção deve ter o apoio da sociedade. Sem educação é
impossível que a pessoa humana atinja desenvolvimento pleno, possa exercer sua cidadania
ou trabalhe com qualificação.
Segundo Oliveira (1998), “[...] o Direito à Educação, declarado em nível
constitucional federal desde 1934, tem sido, do ponto de vista jurídico, aperfeiçoado no
Brasil.”. Os avanços de qualidade em relação à legislação anterior, trazidos pela Constituição
Federal de 1988, são percebidos na precisão e detalhamento da redação.
A Lei nº 9.394, de 02 de dezembro de 1996, estabelece as Diretrizes e Bases da
Educação Nacional (LDB), e em seu art. 80 dispõe sobre a Educação a Distância:
Art. 80. O Poder Público incentivará o desenvolvimento e a veiculação de programas de ensino a distância, em todos os níveis e modalidades de ensino, e de educação continuada.
37
§ 1º - A educação a distância, organizada com abertura e regime especiais, será oferecida por instituições especificamente credenciadas pela União. § 2º - A União regulamentará os requisitos para a realização de exames e registro de diplomas relativos aos cursos de educação a distância. § 3º - As normas para produção, controle e avaliação de programas de educação a distância e a autorização para sua implementação, caberão aos respectivos sistemas de ensino, podendo haver cooperação e integração entre os diferentes sistemas. § 4º - A educação a distância gozará de tratamento diferenciado, que incluirá: I - custos de transmissão reduzidos em canais comerciais de radiodifusão sonora e de sons e imagens; II - concessão de canais com finalidades exclusivamente educativas; III - reserva de tempo mínimo, sem ônus para o Poder Público, pelos concessionários de canais comerciais (BRASIL, 1996).
A Secretaria de Educação a Distância (SEED) do Ministério da Educação (MEC),
criada oficialmente pelo Decreto nº 1.917, de 27 de maio de 1996, foi responsável pela estreia
do canal Tv Escola e na III Reunião Extraordinária do Conselho Nacional de Educação
(CONSED) apresentou o documento-base do “programa Informática na Educação”. A SEED
foi responsável também pelo lançamento, em 1997, do Programa Nacional de Informática na
Educação (Proinfo), cujo objetivo é instalar laboratórios de computadores para as escolas
públicas urbanas e rurais de todo o Brasil.
Programas como o Proinfo expressam o que sugere a LDB quanto a Educação a
Distância se desenvolver por meio de iniciativas do Poder Público.
Segundo Giolo (2012, p.1216) a LDB previu a oferta de cursos a distância em todos os
níveis, mas não contava com os avanços das instituições privadas verificadas posteriormente.
O Decreto 4.494/1998 retrata uma mudança política da SEED em relação a Educação Básica
ao prever o Ensino Fundamental a distância apenas para a formação de jovens e adultos.
Depois disto, uma sucessão de ações do Estado, por meio de Decretos e Portarias, aconteceu
com o objetivo de organizar o setor.
A SEED foi extinta em janeiro de 2011, e os seus projetos migraram para a Secretaria
de Educação Básica ou de Ensino Superior, conforme o estabelecido em Estrutura
Regimental, aprovada pelo Decreto 7.690, de 2 de março de 2012, pelo MEC.
3.2 – Educação a distância e o ensino a distância
Ensino a Distância e Educação a Distância são termos, frequentemente, tratados como
se fossem sinônimos e expressando um processo de ensino-aprendizagem. Ensino representa
instrução, socialização de informação etc. (PRETI, 1996, p.24), enquanto educação é
38
“estratégia básica de formação humana, aprender a aprender, saber pensar, criar, inovar,
construir conhecimento, participar etc.” (Maroto, 1995 apud PRETI, 1996, p.24).
Para Paulo Freire ensinar exige:
“rigorosidade metódica, pesquisa, respeito aos saberes dos educando, criticidade, estética e ética, corporeificação das palavras pelo exemplo, risco, aceitação do novo e rejeição de qualquer forma de discriminação, reflexão crítica sobre a prática, reconhecimento e assunção da identidade cultural, consciência do inacabamento, reconhecimento de ser condicionado, respeito a autonomia do ser do educando, bom senso, humildade, tolerância e luta em defesa dos direitos dos educadores, apreensão da realidade, alegria e esperança, convicção de que a mudança é possível, curiosidade, segurança, competência profissional e generosidade, comprometimento, compreender que a educação é uma forma de intervenção no mundo, liberdade e autoridade, tomada consciente de decisões, saber escutar, reconhecer que a educação é ideológica, disponibilidade para o diálogo e querer bem aos educandos. ” (FREIRE ,1996, pp. 7-9).
A construção de um AVA passa certamente por questionamentos filosóficos bastante
interessantes. A filosofia aplicada no desenvolvimento do Moodle é o sócio-construtivismo,
que defende a ideia de que a construção do conhecimento se dá por meio da interação das
pessoas no ambiente. A fundamentação teórica do sócio-construtivismo está na visão da
aprendizagem como um processo dinâmico de colaboração recíproca na troca de experiências
sociais. A atitude ativa do aluno como construtor integrado do saber contrasta de certa
maneira com o modelo tradicional de ensino em que a atitude passiva de receptor predomina.
Afirma Preti(1996) que a EAD
“oferece serviços educativos aos quais não tiveram acesso diversos setores ou grupos da população, por inúmeros motivos, tais como: localização geográfica ou situação social, falta de oferta de determinados níveis de curso na região onde moram ou ainda questões pessoais, familiares ou econômicas, que impossibilitam o acesso ou continuidade do processo educativo.” (PRETI, 1996, p. 20).
Esses motivos certamente apontam para uma EAD complementadora e facilitadora do
acesso à educação de uma parcela considerável da população, principalmente quando
consideramos um país com dimensões continentais como o Brasil. Num contexto atual,
indicam também a importância de se investir em setores de base como o elétrico quando o
foco é a EAD.
Com relação ao professor, o que a EAD espera é que este vá além da preparação
obtida pelo sistema educativo convencional – formação para o magistério. O educador “hi-
39
tech” deverá ter domínio técnico para planejar e manter operacionalmente seu curso11 e ser
capaz de atuar como um incentivador/facilitador no processo de ensino-aprendizagem.
3.3 – O CMS Moodle como ferramenta de EAD
Após a instalação do Moodle, o super usuário admin é criado e é este usuário que
começa a construir toda a estrutura necessária à implantação da EAD. A criação de cursos no
Moodle é autorizada, por padrão, aos usuários administradores.
Depois de instalado o acesso ao site é sempre feito por uma página que possui
características e controles separado das demais páginas do site. O seu nome de referência é
Página Inicial. As informações colocadas na Página Inicial são mostradas para todos os
usuários que acessam o site.
Na Página Inicial do site encontramos o bloco Acesso que permite ao usuário acessar
as outras páginas do site, mediante a digitação de usuário e senha. O primeiro acesso é
realizado pelo administrador (admin) que tem poderes para criar cursos, alunos, professores
etc.
Depois de acessar o site como administrador, a página mostrada apresenta um bloco
chamado Administração do Site que permite entre outras funções, a criação/modificação dos
cursos, como ilustra a Figura 6.
Figura 6- Bloco de Administração do site no Moodle Fonte: EEaD Professor Benedito (2013)
11 Aqui a palavra curso tem a conotação de disciplina ou componente curricular, embora outro sentido possa ser dado como na expressão “curso do rio”, o de caminho.
40
O Moodle oferece três opções de formato para a configuração do curso: social,
semanal e tópicos. No formato social um fórum é publicado na página principal do curso. No
semanal o curso é organizado em semanas, com datas de início e fim. No formato de tópicos
não há limite de tempo e cada assunto representa um tópico.
Depois de criada, a página de curso mostra o botão “ativar edição” – Figura 7.
Somente quando o usuário tem este poder (por default, administrador do site ou professor), e
que ao ser clicado faz aparecer na tela as opções que permitem incluir, alterar ou excluir as
atividades, os materiais ou a estrutura do curso.
Figura 7- Página de Curso criada no Moodle com destaque para o botão "Ativar Edição"
Fonte: EEaD Professor Benedito (2013)
A Figura 7 mostra os ícones de edição e os botões para acrescentar recursos ou
atividades à página de curso. Nesta página notamos que as informações são distribuídas em
três colunas, sendo a coluna do meio a mais larga e onde estão os conteúdos principais do
curso, neste exemplo, separados semanalmente. Na coluna da esquerda temos os blocos:
Participantes, Atividades, Pesquisar nos fóruns, Administração e Categoria de Cursos. Na da
direita temos: Calendário, Usuários Online, Próximos eventos, Atividade recente e Blocos.
41
Figura 8 - Ícones de edição e botões de recursos e atividades em página de curso Moodle Fonte: EEaD Professor Benedito (2013)
O administrador do curso, seu criador ou o usuário admin, pode alterar a disposição
destes blocos como desejar. Por exemplo, mudando a localização de Categoria de Cursos que
está na coluna esquerda para a direita. Pode também, pela opção Blocos, incluir novos blocos
como: Administrar Favoritos, Alimentador RSS remoto, Calculadora de financiamento,
Descrição do Curso etc.
Quanto aos recursos oferecidos pelo Moodle encontramos: criar uma página de texto
simples, criar uma página web, link a um arquivo ou site, visualizar um diretório, usar um
pacote IMS CP ou inserir um rótulo. As atividades, por sua vez são: base de dados, chat,
diário, escolha, fórum, glossário, LAMS, lição, pesquisa de avaliação, questionário,
SCORM/AICC, wiki e quatro modalidades de tarefas: avançada de carregamento de arquivos,
texto online, envio de arquivo único e atividade offline.
Esta rápida apresentação de funcionalidades do Moodle nos dá uma noção da
variedade de opções e nos possibilita afirmar que esses recursos e atividades permitem a
criação e configuração de cursos, nos quais diversos aspectos importantes podem ser
ajustados para atender às necessidades específicas dos alunos, da turma, do curso ou da
escola.
Depois de definido o formato do curso, cabe ao professor incluir os conteúdos de
apoio básicos que julgar necessário para ministrar sua aula. Desta maneira a criatividade e o
42
conhecimento técnico de informática e do ambiente Moodle são fatores relevantes para a
construção do curso.
Durante a construção do curso o professor deve atentar para a natureza da
comunicação usada pelo recurso ou atividade escolhida. As comunicações permitidas no
Moodle podem ser síncronas como nas salas de bate-papo (chat´s) ou assíncronas como nos
fóruns. Na comunicação assíncrona a interação entre usuários (professores, alunos etc.) não
acontece em tempo real. Este tipo de comunicação, segundo Veiga et al. (1998, p.4) apresenta
as seguintes vantagens: flexibilidade, tempo para reflexão, aprendizagem “local” e custo
razoável. Esses autores afirmam também, que as vantagens do modo síncrono são: motivação,
telepresença, bom feedback e melhor acompanhamento.
Os modos de comunicação síncrona e assíncrona são complementares quando vistos
como recursos didáticos que o professor pode usar na construção do seu curso.
3.4 - Onde estão definidas no Moodle as funcionalidades de segurança da informação
A implantação e uso de um modelo de SGSI no Moodle irão exigir do administrador
do site ou do responsável pela segurança das informações da escola a utilização da maioria
das funções fornecidas pelo bloco “Administração do site”.
Neste trabalho apresentamos cada função administrativa, com especial atenção àquelas
que de alguma maneira possam auxiliar na gestão segura das informações da escola.
Apesar de oferecer uma opção de Segurança, a gestão responsável dos ativos da
escola requer o uso de funcionalidades como, por exemplo, Usuários que permite o
gerenciamento da autenticação e senha.
A Figura 9 mostra o conjunto de funções administrativas fornecidas pelo frame
“Administração do site” agrupado por: Usuários, Cursos, Notas, Local, Idioma, Módulos,
Segurança, Aparência, Página inicial, Servidor, Rede, Relatórios e Miscelânea.
43
Figura 9- Bloco Administração do site Moodle
Fonte: EEaD Professor Benedito (2013)
Ao clicar na opção Usuários, Figura 10, o administrador tem acesso a três categorias
de funções: Autenticação, Contas e Permissões.
A Autenticação permite definir os parâmetros relativos à autenticação de usuários
dada pelas opções: Gerenciar autenticação, Apenas contas manuais, Autenticação via correio
eletrônico e Nenhum login.
Em Contas, é possível realizar operações como: Mostrar lista de usuários, Ações em
conjunto de usuários, Acrescentar novo usuário, Carregar lista de usuários, Carregar imagens
de usuários e Campos de perfil de usuário.
E, por último, em Permissões o administrador do site pode tratar as permissões de
acesso pelas opções: Definir funções, Designar funções globais do sistema e Políticas para
usuários.
Figura 10 - Funções para controlar usuários no Moodle
Fonte: EEaD Professor Benedito (2013)
44
A opção Cursos do frame Administração do site, Figura 11, permite Acrescentar/
modificar cursos, definir características sobre as Inscrições, parâmetros padrões para os
cursos, parâmetros sobre pedido de curso e realizar cópias de segurança (backups).
Figura 11 - Funções para controlar os cursos no Moodle
Fonte: EEaD Professor Benedito (2013)
A opção Notas do frame Administração do site, Figura 12, permite definir
Configurações gerais, a Configuração da categoria de nota, Configuração do item de nota,
Escalas, Letras e Configurações do relatório de notas.
Figura 12 - Funções para controlar notas no Moodle
Fonte: EEaD Professor Benedito (2013)
A opção Local do frame Administração do site, Figura 13, permite definir
Parametrização de local e Atualizar Fuso Horário.
Figura 13 - Funções para controlar local no Moodle
Fonte: EEaD Professor Benedito (2013)
A opção Idioma do frame Administração do site, Figura 14, permite definir
Configurações de idiomas, Edição de idiomas e instalar Pacotes de idiomas.
45
Figura 14 - Funções para controlar idioma no Moodle Fonte: EEaD Professor Benedito (2013)
A opção Módulos, do frame Administração do site, Figura 15, permite definir três
grupos de configurações: Atividades, Blocos e Filtros.
Atividades permite: Gerenciar atividades, Base de dados, Chat, Fórum, Glossário,
LAMS, Questionário, Recurso, SCORM/AICC e Tarefa.
Blocos permite: Gerenciar Blocos, Blocos adesivos, Alimentador RSS remoto, Cursos,
Pesquisa Global e Usuários Online.
E finalmente, Filtros permite: Gerenciar filtros e Censurar Palavras.
Figura 15 - Funções para controlar os módulos no Moodle
Fonte: EEaD Professor Benedito (2013)
46
A opção Segurança do frame Administração do site, Figura 16, permite definir
Políticas do site, Segurança de HTTP, Módulo de segurança, Notificações e Anti-Vírus.
Figura 16 - Funções para controlar a segurança no Moodle
Fonte: EEaD Professor Benedito (2013)
A opção Aparência do frame Administração do site, Figura 17, permite definir em
Temas: Configurações de tema e Seletor de tema. Além de Temas, o administrador do site
tem acesso às opções: Calendário, Editor HTML, Configurações HTML, Moodle Docs, Meu
Moodle, Administradores de curso, AJAX e Javascript, e Gerenciar tags.
Figura 17 - Funções para controlar temas no Moodle
Fonte: EEaD Professor Benedito (2013)
A opção Página Inicial do frame Administração do site, Figura 18, permite definir:
Configurações da página principal, Funções da página principal, Backup da página principal,
Restaurar a página principal, Questões da página principal e Arquivos do site.
47
Figura 18 - Funções para controlar a página inicial no Moodle
Fonte: EEaD Professor Benedito (2013)
A opção Servidor do frame Administração do site, Figura 19, permite definir:
Caminhos do sistema, Email, Manipulação de sessão, RSS, Debugging, Estatísticas, HTTP,
Modo de manutenção, Limpeza, Ambiente, PHP info, e Performance.
Figura 19 - Funções para controlar o servidor no Moodle
Fonte: EEaD Professor Benedito (2013)
A opção Rede do frame Administração do site, Figura 20, permite definir:
Configurações, Pares, Controle de acesso SSO, Inscrições, Hospedeiro XML-RPC.
48
Figura 20 - Funções para controlar a rede no Moodle
Fonte: EEaD Professor Benedito (2013)
A opção Relatórios do frame Administração do site, Figura 21, permite definir:
Backups, Sumário do curso, Logs, Live logs, Questão, Security overview, Spam cleaner,
Estatísticas, e Unidades de teste.
Figura 21 : Funções para controlar relatórios no Moodle Fonte: EEaD Professor Benedito (2013)
A opção Miscelânea do frame Administração do site, Figura 22, permite definir:
Experimental e editor XMLDB.
49
Figura 22 - Funções para controlar miscelâneas no Moodle Fonte: EEaD Professor Benedito (2013)
O conjunto de funções do CMS Moodle apresentado possibilita aos administradores
do site, responsáveis pela segurança da informação, configurar e implementar a maioria dos
controles de segurança descritos na Norma NBR 27002 da Associação Brasileira de Normas
Técnicas (2005).
Além das funções citadas, o fato de o CMS Moodle ser livre e de código aberto,
permite que os responsáveis pelo sistema possam modificar o seu código fonte, incluído,
excluindo ou alterando as instruções dos módulos de programas. Esta possibilidade permite a
personalização ou adequação do CMS Moodle às características específicas de uma
organização.
A alteração dos códigos fontes do CMS Moodle deve ser vista com cautela, uma vez
que a migração futura para novas versões do Moodle pode exigir um esforço em reescrita e
adaptação do código fonte, também conhecido pelo termo “retrabalho”.
Em Anexo 1, apresentamos o código fonte do arquivo index.php que é o primeiro
programa executado quando o CMS Moodle é chamado e tem a função de apresentar a página
principal. Este programa foi escrito na linguagem PHP.
3.5 – Pontos positivos e negativos da segurança da informação no CMS Moodle
O CMS Moodle apresenta características que contribuem para a segurança das
informações manipuladas pelo site, enquanto há outras que a comprometem completamente.
Nosso propósito é apresentar uma classificação destas proteções e vulnerabilidades tomando
50
por base as recomendações da Norma NBR 27002 da Associação Brasileira de Normas
Técnicas (2005).
Embora existam muitas funcionalidades para blindar o sistema da ação de violadores
da segurança da informação no CMS Moodle, muitas destas funcionalidades não são pré-
configuradas e exigem do administrador atenção especial.
Relacionamos abaixo uma lista de alguns pontos positivos e negativos apresentados
pelo CMS Moodle e que devem ser considerados relevantes quando estivermos configurando
o sistema.
Alguns pontos positivos do CMS Moodle:
Utiliza PHP como linguagem de programação dos seus diversos módulos. Esta
linguagem de script de uso geral e código fonte livre é amplamente utilizada
em desenvolvimento Web para gerar páginas dinâmicas no lado servidor;
Tem um conjunto de funções administrativas que permitem definir e gerenciar
os controles de segurança;
Oferece relatórios estatísticos que auxiliam a auditoria e implementação de
ajustes técnicos;
Permite o desenvolvimento de novos módulos para usos específicos, o que
permite a personalização dos sistemas;
Permite a instalação de plug-ins específicos como: idiomas e contra plágios;
Usa privilégios associados à conta de usuários o que limita suas ações no
sistema.
Alguns pontos negativos do CMS Moodle:
O processo de instalação exige do instalador conhecimentos relevantes sobre o
funcionamento geral de sistemas Web;
A implementação de algumas medidas de segurança exige conhecimento
técnico específico de informática;
O controle de acesso de usuários adota o padrão de senha fraca;
A Política do Site não é, por padrão, obrigatória;
51
A segurança da fase de autenticação de aluno no processo de cadastramento é
fraca;
A segurança do processo de matrícula padrão é fraca.
3.6 – Administração do Conhecimento
A Administração do Conhecimento ou Gestão do conhecimento é um modelo de
gestão empresarial que ganhou ênfase a partir da década de 90, decorrente das mudanças
vividas pelas empresas que viram a informação e o conhecimento crescerem em importância.
Antes de conceituar a Administração do Conhecimento, se faz necessário compreender
o conhecimento. Para Moresi o conhecimento:
[...] não é estático, modificando-se mediante a interação com o meio, sendo esse processo denominado aprendizado. Uma visão mais ampla é que o aprendizado é a integração de novas informações em estruturas de conhecimento, de modo a torná-las potencialmente utilizáveis em processos futuros de processamento e elaboração. Além disto, conhecimentos novos podem resultar de um processo de inferência na própria estrutura de conhecimento. (MORESI, 2000, p. 19).
Segundo Probst, Raub e Romhardt :
Conhecimento é o conjunto total incluindo cognição e habilidades que os indivíduos utilizam para resolver problemas. Ele inclui tanto a teoria quanto a prática, as regras do dia-a-dia e as instruções sobre como agir. O conhecimento baseia-se em dados e informações, mas ao contrário delas, está sempre ligado a pessoas. Ele é construído por indivíduos e representa suas crenças sobre relacionamentos causais. (PROBST; RAUB; ROMHARDT, 2002, p. 29).
O valor da informação varia de acordo com o contexto organizacional ao qual
pertence. Há situações em que a mesma informação pode ser desprezada numa empresa e
considerada vital em outra.
Apesar de o termo informação ser usado genericamente para referenciar todas as
representações e formas de dados, Urdaneta (1992 apud Moresi, 2000, p. 18) afirma
existirem, de fato, quatro classes diferentes de informação: dados, informação, conhecimento
e inteligência.
Moresi (2000, p. 18) propõe o escalonamento da informação numa hierarquia que
garanta um volume sem excessos de informações e dados, pois podem mascarar a solução do
problema. A Figura 23 apresenta um diagrama desta hierarquia das classes de informação.
52
Figura 23 - Níveis hierárquicos da informação
Fonte: Moresi (2000, p.18)
Os escalões inferiores de uma organização ou empresa necessitam de informação
quantitativa com baixo valor agregado enquanto os altos escalões necessitam de informação
qualitativa e de alto valor agregado o que possibilita ter uma visão global da situação.
No nível mais baixo e com menor valor contextual para o processo decisório estão os
dados, considerados como a matéria-prima para a produção de informações. Constituem-se
então, num conjunto de sinais registrados numa mídia qualquer e que ainda não passaram por
processo de interpretação.
Depois de processados, os dados tornam-se informação, sendo então inteligíveis às
pessoas. Moresi apresenta algumas características para o termo “processamento de dados”:
“Processar dados inclui a revelação de fotografias de um filme, as transmissões de rádio transformadas em um formato de relatório padronizado, a exibição de arquivos de computador como texto ou gráfico em uma tela, a grade de coordenadas de um mapa, etc. O processo de transformação envolve a aplicação de procedimentos que incluem formatação, tradução, fusão, impressão e assim por diante. A maior parte deste processo pode ser executada automaticamente.” (MORESI, 2000, p. 19)
O processo de transformação inicial de dados em informações pode ser seguido de
outro processo chamado elaboração que permite acrescentar novas características ao problema
como: hipóteses, conseqüências, explanações e soluções.
53
O próximo nível, o conhecimento, é resultado da análise e avaliação das informações
sob os aspectos de confiabilidade, importância e relevância. O conhecimento é fundamental
para a organização compreender melhor o problema e tomar decisões mais acertadas.
A dinâmica de transformação do conhecimento, resultantes da interação deste com o
meio ambiente, é denominada por Moresi (2000, p. 19) aprendizagem, que afirma ainda, ser
este aprendizado numa visão mais ampla a junção de novas informações nas estruturas de
conhecimento.
A inteligência é o último nível desta hierarquia, sendo entendida a informação como
oportunidade que permite atuar com vantagem. Para as empresas usa-se o termo “inteligência
organizacional” para referir-se ao conhecimento sintetizado dentro da própria organização.
Nonaka e Takeuchi afirmam que:
A passagem para a Sociedade do Conhecimento elevou o paradoxo, de algo a ser
eliminado e evitado para algo a ser aceito e cultivado. As contradições, as inconsistências,
os dilemas, as dualidades, as polaridades, as dicotomias e as oposições, não são alheios ao
conhecimento, pois o conhecimento em si é formado por dois componentes dicotômicos e
aparentemente opostos – isto é, o conhecimento explícito e o conhecimento tácito.
(NONAKA; TAKEUCHI, 2004, p. 19)
Nas empresas, o conhecimento explícito é organizado e acessível, enquanto o
conhecimento tácito está na mente das pessoas e é de difícil representação formal. Contudo,
Nonaka e Takeuchi afirmam existir, nas organizações, um esforço em transformar o
conhecimento tácito em explícito e de explícito novamente em tácito. A este processo os
autores nomearam espiral do conhecimento, ilustrado na Figura 24.
Quatro modos de conversão são identificados na espiral do conhecimento: socialização
(de tácito para tácito); externalização (de tácito para explícito); combinação (de explícito para
explícito) e internalização (de explícito para tácito);
A socialização do conhecimento ocorre quando há compartilhamento de experiências,
sendo a linguagem opcional. No processo de externalização há o uso de metáforas, conceitos,
analogias e modelos. A combinação é resultado da mistura de conhecimentos explícitos. E a
internalização resume-se ao aprender fazendo, onde, por exemplo, uma pessoa com o uso de
um manual aprende a manusear um aparelho.
54
Figura 24 - Espiral do conhecimento Fonte: NONAKA; TAKEUCHI (2004, p.19)
É possível pensar o professor como gestor do conhecimento dos alunos, uma vez que é
ele quem está mais próximo dos mesmos e que também possui os elementos avaliativos e
individualizados que permitem indicar suas evoluções.
A informação é um bem abstrato e intangível, mas o seu valor é real e todas as pessoas
se beneficiam dela.
Dentro das organizações os executivos tomam suas decisões baseadas em informações
previamente processadas. Estes processos pelos quais as informações são submetidas se
constituem em um conjunto complexo de investigação, análise e reflexão. Para a tomada de
decisão, o executivo precisa ter a disposição a quantidade certa de informações e dados. O
excesso ou falta destas informações pode ocasionar erros na decisão.
Todo conhecimento advém de uma fonte de informação. Para criar um novo
conhecimento é imprescindível que este seja embasado por outro conhecimento já
existente e devidamente comunicado em alguma fonte de informação, seja ela oral, escrita
ou audiovisual (SALES; ALMEIDA, 2007, p.72).
A escola do ponto de vista organizacional pode ser pensada como uma empresa
prestadora de serviços educacionais que tem na informação seu produto principal.
Numa macro análise identificamos dois grandes grupos de informações que transitam
numa organização escolar: as relacionadas diretamente com a gestão da organização e as que
constituem o conjunto de dados manipulados pelos professores e alunos, e que objetivam
construir o saber dos alunos.
55
No contexto escolar a informação adquire um valor maior, pois pode ser considerada
como o princípio e o fim da maioria dos processos de ensino-aprendizagem por ela
desencadeados. É pela informação e para a informação que a escola trabalha.
Moresi (2000) afirma que:
“Hoje em dia, existe o consenso de que na sociedade pós-industrial, cuja economia assume tendências globais, a informação passou a ser considerada um capital precioso equiparando-se aos recursos de produção, materiais e financeiros.” (MORESI, 2000, p. 14)
Para atingir seus objetivos, uma organização educacional precisa considerar os valores
da informação e do sistema de informação envolvidos na própria gestão.
As preocupações das empresas com a segurança das informações indicam, de certa
maneira, que a informação tem valor. Segundo Moresi (2000, p. 24) são as diferenças da
informação quando comparadas a outros recursos que dificultam ou não permitem a sua
classificação em termos econômicos.
Quantificar o valor da informação é uma tarefa difícil. No entanto, Cronin (apud
Moresi, 2000, p.16) propõe uma classificação nos seguintes tipos:
Valor de uso: vem do uso que se fará da informação;
Valor de troca: reflete o valor de mercado e varia de acordo com as leis de oferta e
procura;
Valor de propriedade: representa o custo substitutivo de um bem;
Valor de restrição: aparece quando a informação é de uso restrito a um conjunto de
usuários.
Apesar de a informação ser considerada um bem intangível, a sua segurança exige o
controle e monitoramento dos bens tangíveis e intangíveis.
Um estudo detalhado da Administração do conhecimento como metodologia ou
estratégia de desenvolvimento das empresas e organizações revela a sua conexão com os
processos de ensino, na medida em que estes buscam desenvolver nos indivíduos seus
processos criativos e de aprendizado.
Terra (2005, p.2) afirma que vivemos num ambiente, “[...] onde as vantagens
competitivas precisam ser permanentemente, reinventadas e onde setores de baixa intensidade
em tecnologia e conhecimento perdem, inexoravelmente, participação econômica.”
56
Capítulo-4
IMPLEMENTAÇÃO NECESSÁRIA DE SEGURANÇA DA INFORMAÇÃO AO CMS MOODLE
Cada escola tem uma necessidade específica de segurança que varia de acordo com
suas características como: público alvo; metodologia de ensino; área de atuação etc., e é a
partir destas necessidades que o SGSI é concebido e estruturado.
No Moodle, a existência de um conjunto de rotinas administrativas de segurança que
permitem a implantação de um SGSI na escola indica a preocupação dos desenvolvedores
com as normas e padrões internacionais.
Há, no entanto, algumas alterações importantes relacionadas à segurança das
informações que precisam ser realizadas pelo administrador na implantação e/ou manutenção
do sistema. No tópico 3.5 – Pontos positivos e negativos da segurança da informação no CMS
Moodle, deste trabalho, elencamos um conjunto de características presentes no Moodle que
precisam ter suas configurações ajustadas para torná-lo menos vulnerável a ataques.
Adiante apresentamos em detalhes uma sequência de operações de configuração do
CMS Moodle, necessárias para se conseguir mais segurança e torná-lo adequado aos padrões
indicados na Norma NBR 27002 da Associação Brasileira de Normas Técnicas (2005).
Nossas ações estarão focadas em: controlar o acesso de usuários com senha forte;
implantar uma política de site; estabelecer um processo seguro e controlado de cadastramento
de alunos e matrícula.
A análise de todos os requisitos da Política de Segurança da Informação é uma tarefa
árdua e complexa que exigiria um estudo bastante aprofundado, extrapolando os limites do
escopo proposto para este trabalho. Nestes termos, para avançar em nossa pesquisa,
buscaremos identificar no CMS Moodle quais são as funções administrativas que permitiriam
a implementação e controle seguro do acesso dos usuários com senha forte, da Política do Site
e dos processos de cadastramento de alunos e matrícula nos cursos, tomando por base as
recomendações estabelecidas pela Norma NBR 27002 da Associação Brasileira de Normas
Técnicas (2005).
Para controle seguro sobre o acesso dos usuários com senha forte a Norma NBR
27002, apresenta os controles:
(73) – Controle: Acesso – Política de controle de acesso.
57
11.1.1 – Convém que a política de controle de acesso seja estabelecida e
analisada criticamente, tomando-se como base os requisitos de acesso dos negócios e
segurança da informação (ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS, 2005,
p. 65).
(76) – Controle: Acesso – Gerenciamento de senha do usuário.
11.2.3 – Convém que a concessão de senhas seja controlada através de
um processo de gerenciamento formal (ASSOCIAÇÃO BRASILEIRA DE NORMAS
TÉCNICAS, 2005, p. 68).
(78) – Controle: Acesso – Uso de senhas.
11.3.1 – Convém que os usuários sejam solicitados a seguir as boas
práticas de segurança da informação na seleção e uso de senhas (ASSOCIAÇÃO
BRASILEIRA DE NORMAS TÉCNICAS, 2005, p. 69).
(90) – Controle: Acesso – Sistema de gerenciamento de senha.
11.5.3 – Convém que sistemas para gerenciamento de senhas sejam
interativos e assegurem senha de qualidade (ASSOCIAÇÃO BRASILEIRA DE NORMAS
TÉCNICAS, 2005, p. 77).
Para a Política do Site, identificamos na Norma NBR 27002, os seguintes controles:
(59) – Controle: Operações e Comunicações – Políticas e procedimentos para a
troca de informações.
10.8.1 – Convém que políticas, procedimentos e controles sejam
estabelecidos e formalizados para proteger a troca de informações em todos os tipos de
recursos de comunicação (ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS, 2005,
p. 53).
(60) – Controle: Operações e Comunicações – Acordos para trocas de
informações.
10.8.2 – Convém que sejam estabelecidos acordos para a troca de
informações e software entre organizações e entidades externas (ASSOCIAÇÃO
BRASILEIRA DE NORMAS TÉCNICAS, 2005, p. 53).
Para controle seguro sobre os processos de cadastramento de usuários a Norma NBR
27002, apresenta os controles:
58
(74) – Controle: Acesso – Registro de usuário.
11.2.1 – Convém que exista um procedimento formal de registro e
cancelamento de usuário para garantir e revogar acesso em todos os sistemas de informação e
serviços (ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS, 2005, p. 66).
(89) – Controle: Acesso – Identificação e autenticação de usuário.
11.5.2 – Convém que todos os usuários tenham um identificador único
(ID de usuário) para uso pessoal e exclusivo, e convém que uma técnica adequada de
autenticação seja escolhida para validar a identidade alegada por um usuário (ASSOCIAÇÃO
BRASILEIRA DE NORMAS TÉCNICAS, 2005, p. 77).
Para controle seguro sobre os processos de matrícula dos usuários nos cursos a Norma
NBR ISO/IEC 27002/2005, apresenta os controles:
(75) – Controle: Acesso – Uso de privilégio – Restritos e controlados.
11.2.2 – Convém que a concessão e o uso de privilégios sejam restritos
e controlados (ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS, 2005, p. 67).
(77) – Controle: Acesso – Análise crítica dos direitos de acesso de usuário.
11.2.4 – Convém que o gestor conduza a intervalos regulares a análise
crítica dos direitos de acesso dos usuários, por meio de um processo formal (ASSOCIAÇÃO
BRASILEIRA DE NORMAS TÉCNICAS, 2005, p. 68).
(81) – Controle: Acesso – Política de uso de serviço de rede.
11.4.1 – Convém que os usuários somente recebam acesso para os
serviços que tenham sido especificamente autorizados a usar (ASSOCIAÇÃO BRASILEIRA
DE NORMAS TÉCNICAS, 2005, p. 71).
4.1 – Senha forte
O uso de senhas de autenticação no acesso lógico à sistemas é um prática bastante
utilizada em ambientes informatizados. A falta de cuidados ou atenção nos processos de
criação, verificação e uso de senhas deixa a aplicação vulnerável a ataques de hackers.
Utilizando uma técnica chamada força bruta, os sistemas que utilizam senhas fracas
são facilmente invadidos.
59
Para configurar as senhas definidas pelos usuários, de maneira que atendam ao padrão
de senha forte, o administrador deve acessar o conjunto de funções administrativas fornecidas
pelo frame “Administração do site” e clicar em Segurança/Política do site.
Uma tela de opções de configuração será mostrada, vide Figura 25, onde devemos
assinalar Política de senhas, cujo padrão é não. Ao assinalar esta opção, o CMS Moodle passa
a verificar as senhas informadas pelos usuários durante o processo de cadastramento e recusa
aquelas que não atendam às regras definida nos itens: Comprimento da senha; Dígitos; Letras
minúsculas; Letras maiúsculas e Caracteres não alfanuméricos.
Figura 25 - Controles da política de senha Fonte: EEaD Professor Benedito (2013)
Em Comprimento da senha, uma quantidade mínima de caracteres é definida e
qualquer tentativa de criar uma senha menor resultará em mensagem de erro e na não criação
da senha.
Dígitos estipula a quantidade de dígitos numéricos (0, 1, 2, 3, 4, 5, 6, 7, 8, 9) que a
senha deve ter para ser aceita como válida durante o processo de criação.
Letras minúsculas e maiúsculas, de forma análoga aos dígitos definem
respectivamente a quantidade mínima de letras minúsculas e maiúsculas que a senha válida
deve ter para ser criada.
Caracteres não numéricos define a quantidade de outros símbolos (!, @, $, %, &, etc.)
que devem ser definidos para que a nova senha seja válida.
60
Depois de ativar Política de senha e definir as características da senha, todas as novas
senhas geradas atenderão ao padrão estabelecido. Qualquer tentativa de criar uma senha que
não atenda a todas estas especificações resultará em mensagem de erro como a ilustrada pela
Figura 26.
Figura 26 - Mensagens de erro na criação de senhas
Fonte: EEaD Professor Benedito (2013)
4.2 – Política de Site
A política do site é um documento disponibilizado online para todos os usuários e que
apresenta de forma generalizada as normas e regras a serem aceitas por estes antes de terem
acesso efetivo às informações do site.
Os usuários precisam explicitamente concordar com os termos da política do site antes
de prosseguirem no acesso, o que normalmente é feito pela apresentação do texto contendo a
política e duas opções de clique: Sim e Não.
Este documento deve apresentar regras de conduta a serem seguidas por alunos,
professores e demais colaboradores que permitam assegurar que as informações fornecidas ou
obtidas do site, estejam em concordância com os princípios apresentados nos capítulos
anteriores deste trabalho, e que são: Confidencialidade, Integridade, Disponibilidade,
Autenticidade e Legalidade.
61
Para configurar o CMS Moodle de maneira que todos os usuários visitantes ou não
tenham que concordar com os termos da Política do site antes de acessarem os conteúdos, o
administrador deve acessar o conjunto de funções administrativas fornecidas pelo frame
“Administração do site” e clicar em Segurança/Política do site.
Na tela apresentada, conforme ilustra a Figura 27, o administrador deve informar a
URL12 de onde se encontra o arquivo com as regras da Política do Site. Este arquivo pode a
princípio ter qualquer formato, mas tipos que permitam proteção contra a alteração de
conteúdos como o Adobe Pdf são mais indicados.
Figura 27 - URL da política do site Fonte: EEaD Professor Benedito (2013)
O padrão CMS Moodle para a Política do Site é não, o que indica a inexistência de
política. No entanto, num ambiente que busca a segurança das informações, tal atitude é
inaceitável.
Depois de construído o texto da política, o arquivo pode ser colocado em um dos
subdiretórios onde o CMS Moodle foi instalado, mas o local mais indicado é em “Arquivos
do site”. Este é o lugar público e reservado pelo sistema para guardar os arquivos que
necessitam ser acessados por todos.
12 Sigla para Uniform Reource Location, ou Localização Uniforme de Recursos. É o padrão de endereços na internet e cada página do site tem uma URL específica. A URL da EEaD Professor Benedito é: http://www.benejsa.com.br/moodle.
62
Para carregar arquivos no subdiretório “Arquivos do Site” o administrador deve
acessar o conjunto de funções administrativas fornecidas pelo frame “Administração do site”
e clicar em Página Inicial/Arquivos do site.
Na Figura 28, ilustramos como o CMS Moodle apresenta o texto da Política do Site
quando o usuário está acessando o sistema pela primeira vez.
Figura 28 - Apresentação do texto da Política do site Fonte: EEaD Professor Benedito (2013)
4.3 – Controle seguro do cadastramento de aluno
Um ataque de força bruta pode ocorrer na etapa de cadastramento de novo usuário,
quando é necessário logar-se ao servidor Moodle. O CMS Moodle adota, por padrão, uma
política fraca de segurança nesta fase de autenticação, tornando o sistema bastante vulnerável.
Para melhorar o processo e torná-lo mais seguro o CMS Moodle dispõe do recurso de
ReCaptcha. Este serviço apresenta uma caixa de diálogo para o aluno, baseado na interface do
63
Captcha13 que solicita a digitação de palavras distorcidas apresentadas na tela do usuário.
Permite também a utilização dos serviços por pessoas cegas ou de baixa visão, pois dispõem
de recursos sonoros.
O serviço de ReCaptcha faz parte atualmente do Google e para utilizá-lo é necessário
ter uma conta Google válida. Depois de acessar o site do ReCaptcha e fornecer alguns dados
de identificação o interessado obtém dois códigos chamados: Chave Pública e Chave Privada.
A habilitação do serviço no Moodle é feita em dois formulários específicos de
administração. Primeiro é necessário clicarmos em: Administração/Usuários/Autenticação/
Autenticação Via Correio Eletrônico e em Ativar elemento ReCaptcha. A Figura 29 ilustra
esta opção do CMS Moodle.
Figura 29 - Opção ReCaptcha do Moodle Fonte: EEaD Professor Benedito (2013)
Depois é necessário informarmos os códigos de Chave Pública e Chave Privada em:
Administração/Usuários/Autenticação/ Gerenciar Autenticação, conforme ilustra a Figura 30.
Figura 30 - Chaves pública e privada da ReCaptcha no Moodle Fonte: EEaD Professor Benedito (2013)
Estes dois códigos serão usados pelo CMS Moodle para acrescentar o recurso de
ReCaptcha ao formulário padrão de cadastramento, vide Figura 31. 13 CAPTCHA é um acrônimo da expressão "Completely Automated Public Turing test to tell Computers and Humans Apart" (teste de Turing público completamente automatizado para diferenciação entre computadores e humanos): um teste de desafio cognitivo, utilizado como ferramenta anti-spam, desenvolvido pioneiramente na universidade de Carnegie-Mellon. (WIKIPEDIA, 2013b)
64
Figura 31 - Recurso de ReCaptcha no Moodle Fonte: EEaD Professor Benedito (2013)
4.4 – Controle seguro do processo de matrícula
O processo de criação de cursos no CMS Moodle é relativamente simples. Basta que o
administrador do site acesse a opção: “Administração do site/ Cursos/ Acrescentar/modificar
cursos” e clique no botão “Criar um novo curso”. Na sequência, o formulário de
Cadastramento de Novo Curso é apresentado e nele o administrador dever incluir dados
como: nome completo do curso, nome breve do curso (sigla do curso), data de início e
término etc.
O conjunto de informações solicitadas para a criação do novo curso é agrupado em:
Geral; Inscrições; Aviso de encerramento de inscrição; Grupos; Disponibilidade; Idioma e
Mudança de nome da função. Inscrições, Grupos e Disponibilidade merecem maior atenção
do administrador quando estiver criando um novo curso, pois suas configurações padrões
deixam o acesso livre a qualquer usuário.
Em Inscrições é solicitado um conjunto de informações relativas ao processo de
inscrição, que permitem definir: um plugin padrão para inscrição interativa no curso; ativar ou
desativar as inscrições e definir o período de inscrição. A Figura 32 ilustra as informações
solicitadas sobre Inscrições na página de criação de cursos.
Figura 32 - Informações parâmetros sobre inscrições no Moodle Fonte: EEaD Professor Benedito (2013)
65
O recurso Grupos do CMS Moodle permite criar na prática grupamentos distintos de
participantes, equivalentes às Classes ou Turmas de uma escola física. Depois de criados é
possível definir como será o tratamento dado a estes grupos.
As opções de configuração dos tipos de grupo são três:
Nenhum grupo - não há divisão dos participantes do curso em grupos;
Grupos Separados - os participantes de cada grupo vêem apenas os outros
membros deste grupo e os documentos e informações relacionados apenas a
estes membros. As mensagens e os participantes de outros grupos não são
visíveis;
Grupos Visíveis - cada usuário pode participar apenas das atividades do seu
grupo, mas pode ver as atividades e os participantes dos demais grupos.
A configuração dos tipos de grupo é feita em dois níveis:
1. Configuração geral do curso
O tipo de grupo definido a nível de configuração de curso é a opção padrão para todas
as atividades do curso
2. Configuração de cada atividade
Todas as atividades que aceitam configuração da modalidade de acesso dos grupos
podem ter o seu tipo de grupo configurado em modo independente. Esta configuração da
atividade será ignorada se a configuração geral do curso "forçar o modo de grupo".
A Figura 33 ilustra as informações solicitadas sobre Grupos na página de criação de
cursos.
Figura 33 - Informações parâmetro sobre grupos no Moodle Fonte: EEaD Professor Benedito (2013)
Em Disponibilidade o administrador pode desde ocultar completamente o curso, o que
impede o acesso à página do curso mesmo que o usuário informe a URL diretamente na barra
de endereços do navegador, até criar um código de inscrição obrigatório para a matrícula.
66
A Figura 34 ilustra as informações solicitadas sobre Disponibilidade na página de
criação de cursos.
Figura 34 - Informações parâmetros sobre disponibilidade no Moodle Fonte: EEaD Professor Benedito (2013)
O bloqueio total acontece quando definimos na opção Disponibilidade que os
participantes não podem acessar o curso.
A opção código de inscrição permite criar um código que precisa ser digitado no
primeiro acesso do usuário ao curso. Este código de inscrição no curso impede o acesso de
pessoas não autorizadas.
Se deixarmos este campo em branco, qualquer usuário registrado no site poderá
inscrever-se no curso através de uma simples visita.
Se definirmos uma chave de inscrição, cada aluno terá que inseri-la no formulário de
ingresso na primeira vez (e só na primeira vez) em que entrar no curso.
O padrão do CMS Moodle para o código de inscrição é brancos, o que significa tornar
frágil a segurança das informações, uma vez que qualquer usuário poderá acessar estas
informações. O mais seguro é criar um código de inscrição e depois fornecê-lo às pessoas
autorizadas utilizando meios como: e-mail pessoal; o telefone ou; até mesmo, durante a aula
presencial.
Se, por qualquer motivo, o código for utilizado por pessoas não autorizadas, o
administrador poderá cancelar essas inscrições e, depois, mudar o código. Neste caso, as
inscrições anteriores, efetuadas regularmente, não serão afetadas.
Disponibilidade permite também tratar o acesso dos usuários que entrarem como
visitantes usando o botão "Acessar como Visitante" na tela de acesso.
Os visitantes sempre terão acesso apenas para leitura, ou seja, não podem interferir
ativamente no curso, enviar mensagens ao fórum, etc. Isto pode ser útil para permitir que
usuários conheçam o curso antes de optarem pela inscrição.
67
O administrador pode controlar e limitar o acesso de visitantes, pois existem dois tipos
de acesso de visitantes: com código de inscrição ou sem. O visitante com código de inscrição
tem que utilizar o código toda vez que entrar no curso, ao contrário dos alunos inscritos, que
utilizam o código só na primeira vez.
Quando a opção sem código de inscrição é escolhida, qualquer pessoa poderá visitar o
curso.
No próximo Capítulo apresentaremos um estudo de caso com a Escola de Ensino a
Distância Professor Benedito (EEaD Professor Benedito), onde as implementações de
segurança da informação apresentadas e propostas neste Capítulo, são efetivamente
realizadas.
68
Capítulo-5
ESTUDO DE CASO DA ESCOLA DE ENSINO A DISTÂNCIA PROFESSOR BENEDITO
Os conteúdos manipulados numa escola a distância, sejam eles registros acadêmicos
ou pedagógicos, constituem um conjunto importante de informações, vitais ao perfeito
funcionamento da organização. Os registros acadêmicos formam, por exemplo, o histórico do
aluno, enquanto que os pedagógicos dão suporte às aulas, pois reúne a maioria das fontes de
consultas e explicações como livros, apostilas e escritos, além de exercícios e testes de
avaliação.
5.1 - Contexto da Pesquisa
Os alunos do curso Técnico em Informática da Escola Técnica Estadual Doutor Celso
Charuri, na cidade de Capão Bonito em São Paulo convivem com uma realidade que
apresenta uma deficiência resultante, em grande parte, das rápidas evoluções que afetam os
cursos de tecnologia, notadamente os ligados às áreas de Tecnologia da Informação e
Comunicação (TIC). Essa evolução faz obsoleta muito rapidamente as publicações técnicas
que serviriam como apoio didático aos diversos componentes curriculares que compõem o
curso.
As novas versões de softwares como: sistemas operacionais, navegadores,
processadores de texto, ambientes de desenvolvimento etc. lançadas com frequência impõem
a necessidade de se ter recursos didáticos atualizados para evitar que os alunos ao se
formarem tenham desenvolvida uma capacidade técnica distante da realidade exigida pelo
mercado.
A escola possui atualmente quatro laboratórios de informática e em cada um deles tem
vinte computadores para os alunos e um para o professor, todos conectados a um Switch14 que
provê acesso através de cabos as redes locais e internet.
Os laboratórios possuem ainda, quadro-negro, ar-condicionado e quando necessário
um projetor digital, que está disponível se solicitado previamente pelo professor.
As condições apresentadas são bastante suficientes para que o professor desenvolva a
sua aula prática, mesmo considerando que as salas foram projetadas para comportar quarenta
alunos, o que resulta no uso de um computador por dois alunos. 14 Equipamento utilizado em redes para conectar computadores.
69
Nestes casos, apesar de um aluno estar sempre acompanhando a atividade prática do
outro durante a execução de um exercício no laboratório, o que limita a sua prática efetiva,
esta forma de trabalho permite exercitar o cooperativismo e colaborativismo. Contudo, o
professor deve redobrar a atenção, no aspecto prático, para evitar que apenas um aluno,
normalmente o mais desenvolvido no tema da aula, pratique. O que de certa maneira
potencializa tanto o avanço de uns quanto o retrocesso de outros.
A configuração atual da rede local permite que os alunos se comuniquem entre si e
com os demais microcomputadores instalados nos outros laboratórios. Todos os
microcomputadores da rede possuem dual-boot (Windows15 e Linux16) e um programa de
proteção que faz com que esses microcomputadores retornem ao estado inicial
(configurações, arquivos etc.) toda vez que são desligados.
Este programa de proteção foi adotado pela escola com a intenção de evitar as
constantes reinstalações de software, sempre necessárias depois que programas maliciosos ou
a ação de um aluno provocavam alterações nas configurações básicas dos computadores.
Convém destacar que na maioria das vezes em que estas configurações foram alteradas pela
ação de alunos, estas ocorreram de forma não intencional, mas como resultado de grande
curiosidade.
Embora a adoção desta técnica de proteção resolva os problemas com a reinstalação
dos programas, ela não colabora com o processo de aprendizagem dos alunos que não têm
condições financeiras ou técnicas suficientes para realizar adequadamente as cópias dos
projetos ou trabalhos desenvolvidos durante as aulas em mídias digitais (CD, DVD, Pendrive
etc.). Neste caso, talvez, o ideal seria que cada aluno tivesse seu próprio portfólio na rede,
pois esta medida resultaria em ganhos de tempo, de finanças e pedagógicos, além de permitir
melhor acompanhamento prático do aluno pelo professor que poderia a qualquer momento
acessar o portifólio do aluno. O Moodle é um CMS que possibilita a construção de um
ambiente online capaz de oferecer ao professor estes benefícios.
A EEaD Professor Benedito foi implantada sem a adoção de um SGSI. A intenção
inicial era ter um repositório organizado de informações que permitisse o acesso dos alunos
aos conteúdos tratados durante as aulas, isto é, encontrar uma maneira de facilitar as aulas
presenciais ministradas nos laboratórios do curso de técnico em informática, e também
permitir o acesso aos conteúdos desenvolvidos mesmo após o término destas aulas. 15 Sistema Operacional para microcomputadores desenvolvido e licenciado pela Microsoft ® Corporation. 16 Sistema Operacional para microcomputadores livre e distribuído sob licença GNU / GPL e outras.
70
Para tal, utilizamos o CMS Moodle como opção de implantação e desenvolvimento da
EEaD Professor Benedito. Inicialmente o pacote de instalação foi baixado do servidor Moodle
para o provedor de hospedagem. Depois, iniciou-se a descompactação e instalação em
ambiente operacional Linux. Durante o processo de instalação alguns parâmetros são
solicitados como: a senha do usuário admin (administrador de maior nível no CMS Moodle).
Depois de instalado, o administrador optou pelo layout da página inicial e realizou
alguns ajustes, adequando-a as necessidades estéticas da escola. O resultado final desta etapa
revela-nos a Página Inicial do site Escola de Ensino a Distância Professor Benedito, Figura
35, que apresenta Notícias e Novidades de interesse dos alunos, as Categorias de Cursos,
Listagem dos usuários online e um bloco para acesso ao sistema, onde o usuário deve
informar o Nome e a Senha.
Figura 35 - Página Inicial do site EEaD Professor Benedito Fonte: EEaD Professor Benedito (2013)
Nesse contexto, a implantação inicial da EEaD Prof. Benedito, aconteceu de forma
empírica, tendo os valores default do Moodle definidos para as funcionalidades
administrativas de segurança.
Os cuidados e preocupações com a segurança das informações da EEaD Prof.
Benedito só aconteceram depois que algumas falhas foram detectadas.
71
Nossa questão norteadora reside em identificar como uma Política de Segurança da
Informação pode ser adotada numa escola de ensino a distância implantada pelo
MOODLE?
Para tal, usaremos as observações, testes e análises de segurança pertinentes, do site
Escola de Ensino a Distância Professor Benedito (EEaD Prof. Benedito), hospedado em
plataforma Linux desde 2009, e que conta atualmente com cerca de oitocentos alunos
cadastrados. Estes alunos constituem a base de dados de onde serão extraídas as evidências
para a presente pesquisa.
5.2 – Coleta de evidências
Apresentamos adiante um conjunto de evidências coletadas do site EEaD Professor
Benedito que indicam vulnerabilidades no sistema de segurança de informações, porque não
apresentam os controles necessários para tal.
Começamos pelo acesso à página inicial do site EEaD Professor Benedito que está
disponível a qualquer usuário da internet. Outras páginas também estão disponíveis a usuários
não cadastrados no sistema, pois permitem o acesso de usuários visitantes (guest). Esta
permissão de acesso precisa ser bem formulada, pois ganhar acesso a outras partes do site
pode significar aumentar os riscos de segurança na escola.
A Figura 36 ilustra a página de “Acesso ao site”. Nesta página notamos a existência de
dois botões que permitem o acesso: Acesso e Acessar como visitante. Se o usuário ainda não
tiver cadastro no site, e desejar fazê-lo, deverá preencher o Formulário de cadastramento, cujo
link de acesso encontra-se disponível nesta mesma página.
72
Figura 36 - Página de acesso ao site Fonte: EEaD Professor Benedito (2013)
O acesso de visitantes é um recurso bastante interessante, porque informações públicas
e que precisam ser distribuídas, independentemente do usuário estar ou não cadastrado no
sistema, são comuns em muitos sistemas. E “engessar o sistema de acesso”, permitindo que
apenas os usuários cadastrados possam acessar tais informações, é sem dúvida fator limitante
e complicador de todo o processo.
Entretanto, convém destacar que mesmo para os usuários visitantes é necessário que
haja controles sobre o acesso e que se possa também rastrear suas atividades no site.
Caso o usuário opte por preencher o formulário de cadastramento, uma página
solicitando seus dados principais, todos obrigatórios, será apresentada como ilustra a Figura
37. Esta página tem dois grupos de informação: Preencha com um novo nome de usuário e
uma nova senha e Complete com alguns dados pessoais.
73
Figura 37 - Página para Cadastramento de novo usuário Fonte: EEaD Professor Benedito (2013)
Neste cadastramento o CMS Moodle verifica apenas se o usuário digitou uma senha,
mas não efetua nenhuma verificação quanto ao seu tamanho ou constituição, chegando a
aceitar senhas de um único caractere, algo muito fácil de ser violado.
As configurações padrão do CMS Moodle não exibem na tela de Cadastramento de
novo usuário o espaço referente à Política do site. É necessário alterar as configurações para
que o usuário passe a ter a oportunidade de ler a Política do site e expressamente dar o seu
aceite.
As únicas verificações realizadas pelo CMS Moodle quando o usuário clica no botão
Cadastrar este novo usuário é se já existe no sistema um usuário cadastrado com o mesmo
nome e/ ou email informado. Nestes casos, o sistema retorna a mensagem “Este nome de
usuário já existe” e/ou ”Endereço de email inválido“, que para um invasor tem bastante
importância, pois revela os nomes dos usuários cadastrados.
A Figura 38 ilustra uma situação em que o usuário incluiu em seu cadastro um
conjunto de dados inautênticos.
Figura 38 - Evidência de dados inautênticos Fonte: EEaD Professor Benedito (2013)
74
Outro controle interessante e necessário é o uso de ReCaptcha para inibir os
cadastramentos automatizados ou uso de força bruta na criação de contas. Para isso, o
administrador deverá informar novos parâmetros de configuração, apresentados em detalhes
mais adiante neste trabalho.
Para a matrícula em cursos também há algumas configurações que se fazem
necessárias para aumentar a segurança das informações, pois a configuração padrão CMS
Moodle permite que qualquer aluno possa se cadastrar num novo curso.
Um processo de matrícula seguro deverá exigir do aluno a informação de um código
específico do curso, além de vincular a confirmação deste pelo professor ou administrador
encarregado desta tarefa.
A Figura 39 mostra a ficha de um aluno matriculado em diversos cursos e que
informou cidade e país inautênticos.
Figura 39 - Evidência de falha de autenticidade Fonte: EEaD Professor Benedito (2013)
Na listagem obtida ao clicar na opção: Mostrar lista de usuários que está no frame
Administração do site/Usuários/Contas, mostrada na Figura 40, permite identificar facilmente
um conjunto de informações sobre países que indicam a existência de algo errado na
consistência dos dados. Isto aconteceu porque alguns alunos, ao preencherem suas fichas de
cadastro indicaram morarem em outro país e não no Brasil.
75
Figura 40 - Relação de alunos cadastrados no site cujo país é diferente de Brasil Fonte: EEaD Professor Benedito (2013)
Esta relação é obtida depois de clicar no botão Mostrar avançados, que permite criar
um novo filtro baseado no país cadastrado pelo usuário. Depois de montado o filtro, Figura
41, a listagem apresenta apenas os registros que não contém Brasil como país.
Figura 41 - Montagem do filtro de seleção de país Fonte: EEaD Professor Benedito (2013)
O fato de o site estar disponível globalmente permite que o usuário ao cadastrar-se
indique qualquer país do mundo. Esta violação pode acontecer, antes ou depois da
confirmação do cadastramento.
76
Para manter um cadastro consistente acreditamos ser necessário entregar ao professor
ou administrador do site a responsabilidade pela manutenção deste ativo. Depois de
preenchidas, as informações deverão ser verificadas e confirmadas.
5.3 – Implantação do controle de acesso com senha forte
Para tornar a construção de senhas fortes pelos alunos da EEaD Professor Benedito
uma operação obrigatória, devemos clicar em Administração do site/ Segurança/ Políticas do
site e configurar as opções, vide as apresentadas pela Figura 42.
Figura 42 - Política de senhas do site EEaD Professor Benedito Fonte: EEaD Professor Benedito (2013)
Notamos na ilustração, Figura 42, o assinalamento de Política de senha, cuja opção
padrão do CMS Moodle é não e que o mínimo obrigatório será: oito caracteres para
comprimento, um dígito, uma letra minúscula, uma letra maiúscula e um caractere não
alfanumérico.
5.4 – Implantação da Política do Site
Nosso foco nesta parte do trabalho é reunir subsídios que permitam elaborar e
implantar o documento intitulado: política do site.
A construção da política do site da Escola de Educação a Distância Professor Benedito
tem sua gênesis alicerçada nas orientações da Norma NBR 27002 da Associação Brasileira de
Normas Técnicas (2005) – Código de prática para a gestão de segurança da informação, que
77
identifica os objetivos da escola como fator principal no desenvolvimento da política de
segurança da informação, à qual está subordinada a política do site.
Construir a política de segurança da informação de uma escola baseada na Web é
fundamentalmente definir as diretrizes básicas a serem seguidas durante a elaboração das
normas e procedimentos. O ponto de partida para esta empreitada deve alicerçar-se na Missão
e Visão da escola.
Novos tempos trazem consigo mudanças de toda ordem. A sociedade vivida hoje
difere em muito daquela de algumas décadas atrás. É, portanto, neste contexto que a Política
de Segurança da EEaD Professor Benedito deve ser concebida, respeitando sua missão, visão
e valores.
A Missão é a razão de existência da escola. É a finalidade ou motivo pela qual a
organização foi criada. Deve responder às questões como: Quem é? O que faz? E por quê?
A missão da EEaD Professor Benedito é: “Fornecer serviços de ensino para auxiliar
a aprendizagem dos alunos”. Esta missão retrata bem o propósito da escola, isto é, buscar
meios de ensinar efetivamente os alunos. E isto somente é conseguido quando o aluno
aprende.
O Moodle oferece algumas formas avaliativas do professor saber se determinado
conteúdo foi aprendido ou se o aluno tem domínio aceitável sobre o mesmo.
A Visão é a imagem atual da empresa e os seus desejos declarados para o futuro. A
visão da EEaD Professor Benedito é: “Ser a melhor escola online do Brasil”.
Os valores são qualidades e significados culturais da escola, adquiridos com o passar
dos anos. No caso específico da EEaD Professor Benedito, implantada em 24 de junho de
2009, os valores permanentes são: qualidade; seriedade; excelência, competência e
melhoria contínua.
A política de segurança da informação definida para a EEaD Professor Benedito deve
ater-se apenas às relações informativas entre professor e aluno, realizadas através do site. Seu
escopo deve limitar-se aos meios que garantam estas relações, apesar da escola estar baseada
na internet e ter acesso global garantido, é importante limitar o acesso aos cursos oferecidos
apenas aos alunos credenciados pelo professor. Esta questão é tratada em detalhes no próximo
tópico.
78
A política do site EEaD Professor Benedito deve expressar claramente as obrigações e
os direitos dos usuários e da escola. Neste trabalho definimos que texto que contém a Política
do Site deverá abordar os seguintes tópicos: Objeto e objetivo da Política do Site; Missão,
Visão e Valores da escola; Glossário de termos técnicos; Conteúdo do Site; Direitos e
Obrigações dos usuários; Direitos e Obrigações da escola; Legislação Pertinente; Violação
das Regras e Dados para Contato.
O tópico Objeto e Objetivo apresentará quais são as partes envolvidas nos processos e
o que a Política do Site pretende.
A Missão, Visão e Valores da escola apresentam em linhas gerais o serviço a ser
prestado e o que se espera dele.
Em Glossário de Termos Técnicos, algumas palavras bastante utilizadas pelos usuários
e relacionadas com o meio informático são definidas e servem de apoio no entendimento das
regras estabelecidas pela Política do Site.
Em Conteúdo do Site são abordadas as questões sobre os direitos, tipos e usos dos
conteúdos disponibilizados.
Em Direitos e Obrigações dos usuários é apresentado o que o usuário pode e também o
que deve fazer.
O tópico Direitos e Obrigações da escola apresentará de forma análoga aos Direitos e
Obrigações dos usuários, os compromissos da escola com seus usuários e o poder das ações
que poderá executar.
Em Legislação Pertinente serão apresentadas as considerações sobre o alcance legal
dos atos praticados pela escola e seus usuários.
O tópico Violação das Regras apresentará o tratamento dados para as situações de
quebra dos acordos estabelecidos pela Política do Site.
E por fim, em Dados para Contatos serão fornecidos os endereços para onde as
dúvidas e reclamações que porventura surgirem, deverão ser encaminhadas.
O CMS Moodle tem uma função administrativa que permite implementar a Política do
site, e torna obrigatória a sua aceitação para que o usuário possa prosseguir no site. Este
procedimento não é padrão, no entanto sua implementação é bastante importante quando o
foco está no aumento de segurança do site. Apresentamos no tópico 5.3 – Coleta de
evidências os procedimentos necessários para esta implementação.
79
No Apêndice 1, encontra-se o texto final que apresenta a Política do Site da Escola de
Ensino a Distância Professor Benedito.
O Moodle inclui automaticamente mais um grupo de informação, Política de Uso do
Site, à página do Formulário de Cadastramento de usuário, Figura 43, quando o administrador
assinala como obrigatória a aceitação da Política do Site.
Figura 43 - Página de cadastramento com a opção Política de Uso do Site Fonte: EEaD Professor Benedito (2013)
Para ativar o grupo Política de Uso do Site, o administrador deve clicar em
Administração do site/Segurança/Política do site. E depois de escrever o texto da Política em
arquivo, por exemplo: pdf e adicioná-lo à pasta de Arquivos do site, o administrador deve
fornecer o caminho para que o CMS Moodle possa encontrar o arquivo quando o sistema
solicitar.
A Figura 44 apresenta em detalhes o local onde o administrador deve informar este
caminho para ativar a Política do Site.
Figura 44 – URL da Política do site da EEaD Professor Benedito Fonte: EEaD Professor Benedito (2013)
80
5.5 – Implantação do controle seguro de cadastramento de aluno
Para aumentar a segurança das informações da EEaD Professor Benedito durante o
processo de cadastramento de alunos, implantamos o serviço de ReCaptcha oferecido
gratuitamente pelo Google.
Depois de acessar o site ReCaptcha17, devemos fornecer o domínio para o qual se
deseja instalar o controle. Este procedimento resulta em uma chave pública e outra privada,
conforme ilustra a Figura 45.
Figura 45 - Chave pública e privada fornecidas pelo site da ReCaptcha Fonte: ReCaptcha (2013)
Nosso próximo passo é informar estas chaves em Administração do site/ Usuários/
Autenticação/ Gerenciar Autenticação e ativar Elemento ReCaptcha do serviço no CMS
Moodle em: Administração do site/ Usuários/ Autenticação/ Autenticação Via Correio
Eletrônico, conforme descrição feita em 4.3 – Controle seguro do cadastramento de aluno. 17 Disponível em: https://www.google.com/recaptcha/admin/create
81
5.6 – Implantação do controle seguro de matrícula
Utilizamos três controles no processo de matrícula para aumentar a segurança das
informações do CMS Moodle: Inscrições, Grupos e Disponibilidade.
O acesso é feito quando clicamos em “Administração do site/ Cursos/
Acrescentar/modificar cursos”. No frame apresentado, habilitamos a data de início, final e
aceite de inscrições; em Grupos optamos por Grupos Visíveis e em Disponibilidade:
assinalamos este grupo pode ser acessado pelos participantes, definimos um código de
inscrição e Não permitir o acesso de visitantes para a opção Acesso de visitantes, conforme
descrição feita em 4.4 – Controle seguro do processo de matrícula.
5.7 – Análise dos resultados obtidos
Depois de implementar no site EEaD Professor Benedito as alterações supra descritas,
obtivemos os seguintes resultados:
maior controle na construção de senhas seguras;
uma política de site disponível a todos os usuários e de aceite obrigatório para
ter acesso ao sistema;
um processo de cadastramento de alunos mais confiável;
maior controle do processo de matrícula nos cursos.
Podemos deduzir que a soma total dos controles implementados colaboram bastante
para o aumento da segurança das informações da escola, mas que há também uma elevação da
quantidade de tarefas executadas por administradores de sistemas e professores.
Embora este aumento de tarefas traga consigo uma “aversão natural” porque na
prática, isto significa acréscimo de trabalho, todo esforço adicional é facilmente justificável.
Uma análise rápida de riscos ou prejuízos causados pela instabilidade do sistema, perda ou
mau uso de informações, informações inautênticas etc., é suficiente para confirmar a
necessidade de tais implementos.
Em nossa pesquisa os resultados obtidos apontam para uma aplicação de ensino a
distância que oferece ao usuário elementos que lhes garantem maior confidencialidade,
integridade, disponibilidade, autenticidade e legalidade no trato das informações.
82
A Figura 46 mostra a tela de cadastramento de novo usuário, obtida depois que as
implementações de controles foram feitas. Nela podemos observar que houve um aumento na
quantidade de informações solicitadas ao usuário e de verificações para validação de
autenticidade.
Figura 46 - Crítica de cadastramento do site da EEaD Professor Benedito Fonte: EEaD Professor Benedito (2013)
A Figura 47 mostra a tela de matrícula em novo curso, obtida depois que as
implementações de controles foram feitas. Observamos que a finalização do processo exige a
digitação correta do código de inscrição.
83
Figura 47 - Solicitação obrigatória do código de inscrição
Fonte: EEaD Professor Benedito (2013)
84
CONSIDERAÇÕES FINAIS
O objetivo proposto para este trabalho foi apresentar um estudo de caso sobre
a adoção da Política de Segurança da Informação na Escola de Ensino a
Distância Professor Benedito. Visamos como resultado do estudo apontar algumas
opções de configuração e cuidados que o administrador de sistemas do tipo Content
Management System (CMS) Moodle pode utilizar ao gerir Ambientes Virtuais de
Aprendizagem (AVA) quando busca atender às normas e aos padrões de segurança
atuais.
Consideramos que os objetivos propostos inicialmente foram atingidos, uma
vez que o estudo de caso foi realizado na EEaD Professor Benedito e alguns controles
foram identificados e implantados de acordo com as recomendações dadas pelas
Normas NBR 27001, NBR 27002 e NBR 27005 da Associação Brasileira de Normas
Técnicas.
A análise dos resultados obtidos indica melhora na segurança das informações
da escola proporcionada por: maior controle na construção de senhas seguras;
implantação de uma política de site disponível a todos os usuários e de aceite
obrigatório para ter acesso ao sistema; adoção de um processo de cadastramento de
alunos mais confiável; e maior controle do processo de matrícula nos cursos.
A gestão de segurança da informação impõe inúmeros desafios às
organizações, muitos deles decorrentes dos avanços tecnológicos, cada vez mais
rápidos e surpreendentes. Decorre daí os crescentes esforços das comunidades de TIC
em tornar processos, tecnologias e recursos humanos protegidos contra as ameaças e
vulnerabilidades existentes.
Ressaltamos, porém que o elo mais fraco desta tríade elementar é o fator
humano quando se pretende obter a segurança das informações, quer seja como meio
ou fim.
Como proposta para trabalhos futuros, sugerimos uma investigação sobre os
processos de auditoria envolvendo um estudo dos registros de log fornecidos pelo
CMS Moodle. Outros estudos envolvendo sistemas de backup e recuperação de falhas,
planos de contingências também seriam interessantes.
85
REFERÊNCIAS ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO 27001: Tecnologia da informação – Técnicas de segurança – Sistema de Gestão de segurança da informação – Requisitos. Rio de Janeiro, 2006. ______, NBR 27002: Tecnologia da informação – Técnicas de segurança – Código de prática para a gestão de segurança da informação. Rio de Janeiro, 2005. ______, NBR 27005: Tecnologia da informação – Técnicas de segurança – Gestão de riscos de segurança da informação. Rio de Janeiro, 2008. ALVES-MAZZOTTI, Alda Judith. Usos e abusos dos estudos de caso. Cadernos de Pesquisa, São Paulo, v. 36, n. 129, p.637-651, 2006. BOIKO, Bob. Understanding Content Management. Bulletin of The American Society For Information Science And Technology, [s.l.], p. 8-13. out-nov. 2001. Disponível em <http://onlinelibrary.wiley.com/doi/10.1002/bult.221/pdf>. Acesso em 07 jul. 2013. BRASIL. Constituição (1988). Constituição da República Federativa do Brasil : promulgada em 5 de outubro de 1988. Disponível em <http://www.planalto.gov.br/ccivil_03/Constituicao/Constituicao.htm>. Acesso em 07 fev. 2013. ______. Lei n. 9394, de 30 de dezembro de 1996. Estabelece as diretrizes e bases da educação nacional. Disponível em <http://www.planalto.gov.br/ccivil_03/leis/l9394.htm>. Acesso em 07 fev. 2013. ______. Lei n. 9.609, de 19 de fevereiro de 1998. Dispõe sobre a proteção da propriedade intelectual de programa de computador, sua comercialização no País, e dá outras providências. Disponível em <http://www.planalto.gov.br/ccivil_03/leis/l9609.htm>. Acesso em 9 jan. 2013. ______. Lei n. 9.610, de 19 de fevereiro de 1998. Altera, atualiza e consolida a legislação sobre direitos autorais e dá outras providências. Disponível em <http://www.planalto.gov.br/ccivil_03/leis/l9610.htm>. Acesso em 9 jan. 2013. ______. Lei n. 10.406, de 10 de janeiro de 2002. Institui o Código Civil. Disponível em <http://www.planalto.gov.br/ccivil_03/leis/2002/l10406.htm>. Acesso em 15 fev. 2013. ______. Lei n. 12.735, de 30 de novembro de 2012. Altera o Decreto-Lei no 2.848, de 7 de dezembro de 1940 - Código Penal, o Decreto-Lei no 1.001, de 21 de outubro de 1969 - Código Penal Militar, e a Lei no 7.716, de 5 de janeiro de 1989, para tipificar condutas realizadas mediante uso de sistema eletrônico, digital ou similares, que sejam praticadas contra sistemas informatizados e similares; e dá outras providências. Disponível em <http://www.planalto.gov.br/ccivil_03/_Ato2011-2014/2012/Lei/L12735.htm>. Acesso em 18 mar. 2013.
86
______. Lei n. 12.737, de 30 de novembro de 2012. Dispõe sobre a tipificação criminal de delitos informáticos; altera o Decreto-Lei no 2.848, de 7 de dezembro de 1940 - Código Penal; e dá outras providências. Disponível em <http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2012/lei/l12737.htm>. Acesso em 18 mar. 2013. EEaD PROFESSOR BENEDITO. Escola de Ensino a Distância Professor Benedito. Disponível em <http://www.benejsan.com.br/moodle>. Acesso em 03 de fev. 2013. FONTES, Edison. Políticas e normas para a segurança da informação. Rio de Janeiro: Brasport, 2012. FREIRE, Paulo. Pedagogia da Autonomia: saberes necessários à prática docente. São Paulo: Paz e Terra, 1996. FREITAS, Wesley R. S.; JABBOUR, Charbel J. C. Utilizando Estudo de Caso(s) como estratégia de pesquisa qualitativa: boas práticas e sugestões. Estudo & Debate, Lajeado, v. 18, n. 2, p.7-22, 2011. GIL, Antonio Carlos. Métodos e técnicas de pesquisa social. 6. ed. São Paulo: Atlas, 2008, 216 p. GIOLO, Jaime. A educação a distância e a formação de professores. Educação & Sociedade. Educ. Soc. vol. 29, nº. 105, Campinas Set./Dez. 2008. Disponível em <http://www.scielo.br/scielo.php?pid=S0101-73302008000400013&script=sci_arttext >. Acesso em 10 de mar. 2013. LOURENÇO, Shandor Portella. Aspectos Jurídicos da Segurança da Informação na Empresa. 2009. 92 f. Dissertação (Mestrado) - Curso de Pós-Graduação, Faculdade de Direito Milton Campos, Nova Lima, 2009. MOODLE. Moodle Community. Disponível em <https://moodle.org/>. Acesso em 03 de fev. 2013. MORESI, Eduardo Amadeu Dutra. Delineando o valor do sistema de informação de uma organização. Ciência da Informação, Brasília, v. 29, n. 1, p. 14-24, 2000. NASCIMENTO, Edmar José. Introdução às redes de computadores. Disponível em < http://www.univasf.edu.br/~edmar.nascimento/redes/redes_20112_aula02.pdf>. Acesso em 13 jun. 2013. NONAKA, Ikujiro; TAKEUCHI, Hirotaka. Gestão do conhecimento. Rio Grande do Sul: Artmed, 2004. OLIVEIRA, Marta. Kohl. Vygotsky. Aprendizado e desenvolvimento. Um processo sócio-histórico. São Paulo: Scipione, 1998. PINHEIRO, Patrícia Peck; SLEIMAN, Cristina. Boas práticas legais no uso da tecnologia dentro e fora da sala de aula: guia rápido para as instituições educacionais. Patrícia Peck Pinheiro Advogados, 2007, 35 p.
87
PRETI, Oreste. Educação a Distância: uma prática educativa mediadora e mediatizada. In: PRETI, Oreste (org.). Educação a Distância: inícios e indícios de um percurso. NEAD/UFMT. Cuiabá: UFMT, 1996. PROBST, Gilberto; RAUB, Steffen; ROMHARDT, Kai. Gestão do conhecimento: os elementos construtivos do sucesso. Grupo A, 2002. RECAPTCHA. Disponível em <http://www.google.com/recaptcha>. Acesso em 12 abr. 2013. REDE GLOBO. Jornal Nacional. Disponível em <http://globotv.globo.com/rede-globo/jornal-nacional/v/violacao-de-dados-pessoais-na-internet-vira-crime/2230594/>. Acesso em 2 jul. 2013. SALES, Rodrigo; ALMEIDA, Patrícia Pinheiro. Avaliação de fontes de informação na Internet: avaliando o site NUPILL/UFSC. Revista Digital de Biblioteconomia e Ciência da Informação, Campinas, v. 4, n. 2, pp. 67-87, jan./jun.. 2007. Campinas: Unicamp, 2007. SÊMOLA, Marcos. Gestão da segurança da informação: uma visão executiva. Campus, 2003. TERRA, José Cláudio Cyrineu. Gestão do conhecimento: o grande desafio empresarial. 2005. VEIGA, Ricardo Teixeira et al. O ensino a distância pela internet: conceito e proposta de avaliação. Anais do XXII ENANPAD. Foz do Iguaçu, 1998. WIKIPÉDIA. (2013a) Direito. Disponível em <http://pt.wikipedia.org/wiki/Direito>. Acesso em 26 mar. 2013. ______. (2013b) Captcha. Disponível em <http://pt.wikipedia.org/wiki/Captcha>. Acesso em 12 mar. 2013. YIN, Robert Kuo-zuir. Estudo de Caso Planejamento e Métodos. 2. ed. Porto Alegre: Artmed, 2001. 199 p.
88
ANEXO
Código fonte do arquivo índex.php
<?php // $Id: index.php,v 1.201.2.9 2009/03/03 01:03:10 dongsheng Exp $ // index.php - the front page. /////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////// // // NOTICE OF COPYRIGHT // // Moodle - Modular Object-Oriented Dynamic Learning Environment // http://moodle.org // // Copyright (C) 1999 onwards Martin Dougiamas http://moodle.com // // This program is free software; you can redistribute it and/or modify // it under the terms of the GNU General Public License as published by // the Free Software Foundation; either version 2 of the License, or // (at your option) any later version. // // This program is distributed in the hope that it will be useful, // but WITHOUT ANY WARRANTY; without even the implied warranty of // MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the // GNU General Public License for more details: // // http://www.gnu.org/copyleft/gpl.html // /////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////// if (!file_exists('./config.php')) { header('Location: install.php'); die; } require_once('config.php'); require_once($CFG->dirroot .'/course/lib.php'); require_once($CFG->dirroot .'/lib/blocklib.php'); if (empty($SITE)) { redirect($CFG->wwwroot .'/'. $CFG->admin .'/index.php'); }
89
// Bounds for block widths // more flexible for theme designers taken from theme config.php $lmin = (empty($THEME->block_l_min_width)) ? 100 : $THEME->block_l_min_width; $lmax = (empty($THEME->block_l_max_width)) ? 210 : $THEME->block_l_max_width; $rmin = (empty($THEME->block_r_min_width)) ? 100 : $THEME->block_r_min_width; $rmax = (empty($THEME->block_r_max_width)) ? 210 : $THEME->block_r_max_width; define('BLOCK_L_MIN_WIDTH', $lmin); define('BLOCK_L_MAX_WIDTH', $lmax); define('BLOCK_R_MIN_WIDTH', $rmin); define('BLOCK_R_MAX_WIDTH', $rmax); // check if major upgrade needed - also present in login/index.php if ((int)$CFG->version < 2006101100) { //1.7 or older @require_logout(); redirect("$CFG->wwwroot/$CFG->admin/"); } // Trigger 1.9 accesslib upgrade? if ((int)$CFG->version < 2007092000 && isset($USER->id) && is_siteadmin($USER->id)) { // this test is expensive, but is only triggered during the upgrade redirect("$CFG->wwwroot/$CFG->admin/"); } if ($CFG->forcelogin) { require_login(); } else { user_accesstime_log(); } if ($CFG->rolesactive) { // if already using roles system if (has_capability('moodle/site:config', get_context_instance(CONTEXT_SYSTEM))) { if (moodle_needs_upgrading()) { redirect($CFG->wwwroot .'/'. $CFG->admin .'/index.php'); } } else if (!empty($CFG->mymoodleredirect)) { // Redirect logged-in users to My Moodle overview if required if (isloggedin() && $USER->username != 'guest') { redirect($CFG->wwwroot .'/my/index.php'); } } } else { // if upgrading from 1.6 or below if (isadmin() && moodle_needs_upgrading()) { redirect($CFG->wwwroot .'/'. $CFG->admin .'/index.php'); } } if (get_moodle_cookie() == '') {
90
set_moodle_cookie('nobody'); // To help search for cookies on login page } if (!empty($USER->id)) { add_to_log(SITEID, 'course', 'view', 'view.php?id='.SITEID, SITEID); } if (empty($CFG->langmenu)) { $langmenu = ''; } else { $currlang = current_language(); $langs = get_list_of_languages(); $langlabel = get_accesshide(get_string('language')); $langmenu = popup_form($CFG->wwwroot .'/index.php?lang=', $langs, 'chooselang', $currlang, '', '', '', true, 'self', $langlabel); } $PAGE = page_create_object(PAGE_COURSE_VIEW, SITEID); $pageblocks = blocks_setup($PAGE); $editing = $PAGE->user_is_editing(); $preferred_width_left = bounded_number(BLOCK_L_MIN_WIDTH, blocks_preferred_width($pageblocks[BLOCK_POS_LEFT]), BLOCK_L_MAX_WIDTH); $preferred_width_right = bounded_number(BLOCK_R_MIN_WIDTH, blocks_preferred_width($pageblocks[BLOCK_POS_RIGHT]), BLOCK_R_MAX_WIDTH); print_header($SITE->fullname, $SITE->fullname, 'home', '', '<meta name="description" content="'. s(strip_tags($SITE->summary)) .'" />', true, '', user_login_string($SITE).$langmenu); ?> <table id="layout-table" summary="layout"> <tr> <?php $lt = (empty($THEME->layouttable)) ? array('left', 'middle', 'right') : $THEME->layouttable; foreach ($lt as $column) { switch ($column) { case 'left': if (blocks_have_content($pageblocks, BLOCK_POS_LEFT) || $editing) { echo '<td style="width: '.$preferred_width_left.'px;" id="left-column">'; print_container_start(); blocks_print_group($PAGE, $pageblocks, BLOCK_POS_LEFT); print_container_end(); echo '</td>'; }
91
break; case 'middle': echo '<td id="middle-column">'. skip_main_destination(); print_container_start(); /// Print Section if ($SITE->numsections > 0) { if (!$section = get_record('course_sections', 'course', $SITE->id, 'section', 1)) { delete_records('course_sections', 'course', $SITE->id, 'section', 1); // Just in case $section->course = $SITE->id; $section->section = 1; $section->summary = ''; $section->sequence = ''; $section->visible = 1; $section->id = insert_record('course_sections', $section); } if (!empty($section->sequence) or !empty($section->summary) or $editing) { print_box_start('generalbox sitetopic'); /// If currently moving a file then show the current clipboard if (ismoving($SITE->id)) { $stractivityclipboard = strip_tags(get_string('activityclipboard', '', addslashes($USER->activitycopyname))); echo '<p><font size="2">'; echo "$stractivityclipboard (<a href=\"course/mod.php?cancelcopy=true&sesskey=$USER->sesskey\">". get_string('cancel') .'</a>)'; echo '</font></p>'; } $options = NULL; $options->noclean = true; echo format_text($section->summary, FORMAT_HTML, $options); if ($editing) { $streditsummary = get_string('editsummary'); echo "<a title=\"$streditsummary\" ". " href=\"course/editsection.php?id=$section->id\"><img src=\"$CFG->pixpath/t/edit.gif\" ". " class=\"iconsmall\" alt=\"$streditsummary\" /></a><br /><br />"; } get_all_mods($SITE->id, $mods, $modnames, $modnamesplural, $modnamesused); print_section($SITE, $section, $mods, $modnamesused, true); if ($editing) { print_section_add_menus($SITE, $section->section, $modnames);
92
} print_box_end(); } } if (isloggedin() and !isguest() and isset($CFG->frontpageloggedin)) { $frontpagelayout = $CFG->frontpageloggedin; } else { $frontpagelayout = $CFG->frontpage; } foreach (explode(',',$frontpagelayout) as $v) { switch ($v) { /// Display the main part of the front page. case FRONTPAGENEWS: if ($SITE->newsitems) { // Print forums only when needed require_once($CFG->dirroot .'/mod/forum/lib.php'); if (! $newsforum = forum_get_course_forum($SITE->id, 'news')) { error('Could not find or create a main news forum for the site'); } if (!empty($USER->id)) { $SESSION->fromdiscussion = $CFG->wwwroot; $subtext = ''; if (forum_is_subscribed($USER->id, $newsforum)) { if (!forum_is_forcesubscribed($newsforum)) { $subtext = get_string('unsubscribe', 'forum'); } } else { $subtext = get_string('subscribe', 'forum'); } print_heading_block($newsforum->name); echo '<div class="subscribelink"><a href="mod/forum/subscribe.php?id='.$newsforum->id.'">'.$subtext.'</a></div>'; } else { print_heading_block($newsforum->name); } forum_print_latest_discussions($SITE, $newsforum, $SITE->newsitems, 'plain', 'p.modified DESC'); } break; case FRONTPAGECOURSELIST: if (isloggedin() and !has_capability('moodle/site:config', get_context_instance(CONTEXT_SYSTEM)) and !isguest() and empty($CFG->disablemycourses)) { print_heading_block(get_string('mycourses')); print_my_moodle();
93
} else if ((!has_capability('moodle/site:config', get_context_instance(CONTEXT_SYSTEM)) and !isguest()) or (count_records('course') <= FRONTPAGECOURSELIMIT)) { // admin should not see list of courses when there are too many of them print_heading_block(get_string('availablecourses')); print_courses(0); } break; case FRONTPAGECATEGORYNAMES: print_heading_block(get_string('categories')); print_box_start('generalbox categorybox'); print_whole_category_list(NULL, NULL, NULL, -1, false); print_box_end(); print_course_search('', false, 'short'); break; case FRONTPAGECATEGORYCOMBO: print_heading_block(get_string('categories')); print_box_start('generalbox categorybox'); print_whole_category_list(NULL, NULL, NULL, -1, true); print_box_end(); print_course_search('', false, 'short'); break; case FRONTPAGETOPICONLY: // Do nothing!! :-) break; } echo '<br />'; } print_container_end(); echo '</td>'; break; case 'right': // The right column if (blocks_have_content($pageblocks, BLOCK_POS_RIGHT) || $editing || $PAGE->user_allowed_editing()) { echo '<td style="width: '.$preferred_width_right.'px;" id="right-column">'; print_container_start(); if ($PAGE->user_allowed_editing()) { echo '<div style="text-align:center">'.update_course_icon($SITE->id).'</div>'; echo '<br />'; } blocks_print_group($PAGE, $pageblocks, BLOCK_POS_RIGHT); print_container_end();
94
echo '</td>'; } break; } } ?> </tr> </table> <?php // print_footer('home'); // Please do not modify this line ?>
95
APÊNDICE
Política do site EEaD Professor Benedito
Objeto e Objetivo
A Política do Site da Escola de Ensino a Distância Professor Benedito (EEaD
Professor Benedito) baseia-se nos princípios de respeito e segurança nas relações para com
seus usuários. A EEaD Professor Benedito garante a proteção das informações pessoais dos
usuários, mas estes devem estar cientes de que a internet é falível.
O usuário que assinalar “eu concordo” no formulário de exibição desta Política de
Site, assume integralmente o compromisso de cumprir as regras aqui estabelecidas.
Missão, Visão e Valores
A Missão da EEaD Professor Benedito é “Fornecer serviços de ensino para
auxiliar a aprendizagem dos alunos” e a sua Visão é “Ser a melhor escola online do
Brasil”. Os valores são qualidades e significados culturais da escola, adquiridos com o passar
dos anos. No caso específico da EEaD Professor Benedito, implantada em 24 de junho de
2009, os valores permanentes são: qualidade; seriedade; excelência, competência e
melhoria contínua.
Glossário de Termos Técnicos
Escola online: designa um web site com um programa de gerenciamento de cursos que
permite a interação entre alunos e professores.
IP: sigla para o protocolo Internet Protocol que identifica, localiza e estabelece
conexão entre computadores ligados à internet.
Site: conjunto de informações disponibilizadas na internet por indivíduo, instituição,
empresa etc., pertencente a um mesmo endereço (URL).
Spam: termo usado para se referir aos emails enviados automaticamente sem
solicitação do destinatário.
URL: sigla para Uniform Reource Location, ou Localização Uniforme de Recursos. É
o padrão de endereços na internet e cada página do site tem uma URL específica. A URL da
EEaD Professor Benedito é: http://www.benejsa.com.br/moodle.
96
Conteúdo do site
As informações contidas neste site são fornecidas somente para fins educativos.
Portanto, os conteúdos oferecidos pela EEaD Professor Benedito têm caráter educativo e
informativo e a eximem de responsabilidades sobre erros, omissões ou inexatidão.
Todo o conteúdo disponibilizado no site, inclusive imagens, fotos, logotipos e textos
são de propriedade da EEaD Professor Benedito, sendo a esta reservada todos os direitos. A
reprodução ou alteração, parcial ou total, de qualquer material contido no site é proibida,
exceto quando expressamente autorizada pela EEaD Professor Benedito.
Direitos e Obrigações dos usuários
Os usuários da EEaD Professor Benedito têm direitos e obrigações, os quais são
relacionados abaixo.
São considerados direitos dos usuários:
Criar, manter e zelar da senha de acesso que deve ser: individual, pessoal,
intransferível e de conhecimento exclusivo do próprio usuário;
Solicitar seu descredenciamento de usuário;
Solicitar autorização para uso de conteúdo do site;
Participar de todas as atividades previstas para o curso;
Colaborar com o desenvolvimento das atividades do site, enviando sugestões e
críticas.
São consideradas obrigações dos usuários:
Cumprir os prazos estabelecidos para envio e consulta de atividades;
usar programas antivírus nos computadores que acessam o site da EEaD
Professor Benedito;
não praticar e desestimular a pirataria de software, vírus, SPAM, atos
terroristas, racistas ou preconceituosos, pedofilia e uso de palavras de baixo
calão;
não acessar o site usando a senha de outro usuário;
não criar uma conta de usuário com informações falsas ou de terceiros;
97
não acessar o sistema usando técnicas de Anonymous que impeçam a
identificação correta do número IP;
não usar outras técnicas para mascarar ou ocultar a identidade verdadeira do
usuário;
informar a EEaD Professor Benedito qualquer ocorrência suspeita e que possa
colocar em risco a segurança das informações mantidas no site.
Direitos e Obrigações da escola
A EEaD Professor Benedito tem os direitos e obrigações, os quais são relacionados
abaixo.
São considerados direitos da EEaD Professor Benedito:
Modificar ou alterar, no todo ou em partes, e a qualquer tempo, os conteúdos
do site, sem prévio aviso;
negar solicitação de usuário de reprodução do material disponibilizado no site;
negar a solicitação de cadastramento de usuários por violação das regras
estabelecidas nesta Política de Site.
coletar dados dos usuários para uso exclusivo da EEaD Professor Benedito;
São consideradas obrigações da EEaD Professor Benedito:
Fornecer nova senha quando solicitada pelo usuário;
Legislação Pertinente
As informações do site EEaD Professor Benedito seguem a legislação e
regulamentação vigentes no país. O usuário se compromete a utilizar o serviço em
conformidade com a lei, seus respectivos regulamentos, acatando aos princípios da moral,
ética e bons costumes.
Violação das Regras A EEaD Professor Benedito tem autonomia para advertir, suspender temporária ou
definitivamente a conta do usuário que violar as regras estabelecidas nesta política, sem
prejuízo, quando for o caso, das medidas judiciais cabíveis.
Dados para Contato Críticas, sugestões e informações sobre EEaD Professor Benedito podem ser enviadas
ou solicitadas no endereço [email protected], A/C. Prof. Benedito José Santos.