análise do cms (content management system) moodle quanto a
Transcrição
análise do cms (content management system) moodle quanto a
1 UNIVERSIDADE NOVE DE JULHO DEPARTAMENTO DE PÓS-GRADUAÇÃO MBIS (MASTER IN BUSINESS INFORMATION SYSTEM) EM SEGURANÇA DA INFORMAÇÃO BENEDITO JOSÉ SANTOS ANÁLISE DO CMS (CONTENT MANAGEMENT SYSTEM) MOODLE QUANTO A SEGURANÇA DA INFORMAÇÃO: ESTUDO DE CASO DA ESCOLA DE ENSINO A DISTÂNCIA PROFESSOR BENEDITO SÃO PAULO 2013 2 BENEDITO JOSÉ SANTOS ANÁLISE DO CMS (CONTENT MANAGEMENT SYSTEM) MOODLE QUANTO A SEGURANÇA DA INFORMAÇÃO: ESTUDO DE CASO DA ESCOLA DE ENSINO A DISTÂNCIA PROFESSOR BENEDITO Monografia apresentada à Universidade Nove de Julho - UNINOVE, como requisito parcial para a obtenção do grau de Especialista em Segurança da Informação. Orientador: Prof. Dr. Koiti Egoshi SÃO PAULO 2013 3 Dedico este trabalho a todas as pessoas que direta ou indiretamente me apoiaram: meus pais, amigos e professores. 4 AGRADECIMENTOS Agradeço a Deus, pela misericórdia e amor. Aos meus pais Cícero (in memoriam) e Maria, pelo amor, carinho e incentivo e apoio constante. À minha esposa Eunice, pelo amor e carinho tão importante nos momentos mais difíceis. À minha irmã Andréia e ao meu cunhado Roberto, pelo incentivo, paciência e compreensão. A todos os professores do programa de pós-graduação em MBIS (Master in Business Information System) em Segurança da Informação da Universidade Nove de Julho (UNINOVE) pelas explicações e carinho com que me acolheram. Ao professor Mestre Giocondo Marinho Antonio Gallotti, pelo apoio constante. Ao meu orientador professor Doutor Koity Egoshi, por sua amizade, carinho, dedicação e apoio total para que este trabalho fosse concluído. 5 RESUMO Este trabalho pretende apresentar uma análise do Content Management System (CMS) Moodle quanto a Segurança da Informação. A metodologia usada foi o Estudo de Caso e tem o seu foco centrado na Escola de Ensino a Distância Professor Benedito1. O objetivo da análise é mostrar algumas opções de configurações e cuidados que o administrador de sistemas padrão CMS deve ter ao gerir Ambientes Virtuais de Aprendizagem (AVA) segundo normas e padrões de segurança atuais. Palavras-chave: AVA (Ambientes Virtuais de Aprendizagem), EaD (Ensino a Distância), Moodle, Segurança da informação, SGSI (Sistema de Gestão da Segurança da Informação). 1 Disponível em: <www.benejsan.com.br/moodle> 6 ABSTRACT This paper aims to present na analysis of the Content Management System (CMS) Moodle as Information Security. The methodology used was the case study and its focus has centered on the Distance School Education Professor Benedito. The objective of the analysis is to show some care settings and options that standard CMS systems administrator must have to manage the Virtual Learning Environment (VLE) in accordance with rules and current safety standards. Keywords: Distance Learning, Information Security, ISMS (Information Security Management System), Moodle, VLE (Virtual Learning Environment). 7 LISTA DE ILUSTRAÇÕES Figura 1 - As cinco propriedades da informação segura........................................................ 17 Figura 2- Modelo do PDCA aplicado aos processos do SGSI ............................................... 18 Figura 3 -Processo de gestão de riscos de segurança da informação...................................... 28 Figura 4 -Criação dinâmica de páginas de Websites ............................................................. 31 Figura 5- Distribuição de versões entre os usuários .............................................................. 34 Figura 6- Bloco de Administração do site no Moodle ........................................................... 39 Figura 7- Página de Curso criada no Moodle com destaque para o botão "Ativar Edição" .... 40 Figura 8 - Ícones de edição e botões de recursos e atividades em página de curso Moodle.... 41 Figura 9- Bloco Administração do site Moodle .................................................................... 43 Figura 10 - Funções para controlar usuários no Moodle........................................................ 43 Figura 11 - Funções para controlar os cursos no Moodle ...................................................... 44 Figura 12 - Funções para controlar notas no Moodle ............................................................ 44 Figura 13 - Funções para controlar local no Moodle............................................................. 44 Figura 14 - Funções para controlar idioma no Moodle.......................................................... 45 Figura 15 - Funções para controlar os módulos no Moodle................................................... 45 Figura 16 - Funções para controlar a segurança no Moodle .................................................. 46 Figura 17 - Funções para controlar temas no Moodle ........................................................... 46 Figura 18 - Funções para controlar a página inicial no Moodle............................................. 47 Figura 19 - Funções para controlar o servidor no Moodle..................................................... 47 Figura 20 - Funções para controlar a rede no Moodle ........................................................... 48 Figura 21 : Funções para controlar relatórios no Moodle ...................................................... 48 Figura 22 - Funções para controlar miscelâneas no Moodle.................................................. 49 Figura 23 - Níveis hierárquicos da informação ..................................................................... 52 Figura 24 - Espiral do conhecimento .................................................................................... 54 Figura 25 - Controles da política de senha ............................................................................ 59 Figura 26 - Mensagens de erro na criação de senhas............................................................. 60 Figura 27 - URL da política do site ...................................................................................... 61 Figura 28 - Apresentação do texto da Política do site ........................................................... 62 Figura 29 - Opção ReCaptcha do Moodle............................................................................. 63 Figura 30 - Chaves pública e privada da ReCaptcha no Moodle ........................................... 63 Figura 31 - Recurso de ReCaptcha no Moodle...................................................................... 64 Figura 32 - Informações parâmetros sobre inscrições no Moodle.......................................... 64 Figura 33 - Informações parâmetro sobre grupos no Moodle ................................................ 65 Figura 34 - Informações parâmetros sobre disponibilidade no Moodle ................................. 66 Figura 35 - Página Inicial do site EEaD Professor Benedito ................................................. 70 Figura 36 - Página de acesso ao site ..................................................................................... 72 Figura 37 - Página para Cadastramento de novo usuário....................................................... 73 Figura 38 - Evidência de dados inautênticos......................................................................... 73 Figura 39 - Evidência de falha de autenticidade.................................................................... 74 Figura 40 - Relação de alunos cadastrados no site cujo país é diferente de Brasil.................. 75 Figura 41 - Montagem do filtro de seleção de país................................................................ 75 Figura 42 - Política de senhas do site EEaD Professor Benedito ........................................... 76 Figura 43 - Página de cadastramento com a opção Política de Uso do Site ........................... 79 Figura 44 – URL da Política do site da EEaD Professor Benedito ........................................ 79 Figura 45 - Chave pública e privada fornecidas pelo site da ReCaptcha................................ 80 Figura 46 - Crítica de cadastramento do site da EEaD Professor Benedito ............................ 82 Figura 47 - Solicitação obrigatória do código de inscrição.................................................... 83 8 Quadro 1 - Política de segurança da informação ................................................................... 19 Quadro 2 - Organizando a segurança da informação............................................................. 19 Quadro 3 - Gestão de ativos ................................................................................................. 19 Quadro 4 - Segurança em recursos humanos ........................................................................ 19 Quadro 5 - Segurança física e do ambiente........................................................................... 20 Quadro 6 - Gerenciamento das operações e comunicações ................................................... 21 Quadro 7 - Controle de acessos ............................................................................................ 21 Quadro 8 - Aquisição, desenvolvimento e manutenção de sistemas de informação ............... 22 Quadro 9 - Gestão de incidentes de segurança da informação ............................................... 22 Quadro 10 - Gestão da continuidade do negócio................................................................... 22 Quadro 11 - Conformidade................................................................................................... 23 Quadro 12 - Infrações digitais mais frequentes na vida comum dos usuários ........................ 26 Tabela 1 - Estatísticas Moodle.............................................................................................. 34 9 SUMÁRIO INTRODUÇÃO ................................................................................................................... 11 Capítulo-1 ASPECTOS RELEVANTES SOBRE GESTÃO E SEGURANÇA DA INFORMAÇÃO..... 16 1.1 - Normas e fundamentos de segurança da informação ............................................. 18 1.2 - Relações jurídicas................................................................................................. 23 1.3 – Política da Segurança da Informação ................................................................... 27 1.4 – Gestão de riscos de segurança da informação....................................................... 28 Capítulo-2 UMA ANÁLISE PANORÂMICA DO AMBIENTE DE PRODUÇÃO DE CONTEÚDOS CMS (CONTENT MANAGEMENT SYSTEM) NA ERA INTERNET ................................... 30 2.1 – CMS´s usados na Educação a Distância (EaD)..................................................... 32 Capítulo-3 UMA ANÁLISE CRÍTICA DO CMS MOODLE COMO FERRAMENTA DE EAD (ENSINO A DISTÂNCIA) E ADMINISTRAÇÃO DO CONHECIMENTO ....................... 36 3.1 – Legislação e Educação a distância ....................................................................... 36 3.2 – Educação a distância e o ensino a distância.......................................................... 37 3.3 – O CMS Moodle como ferramenta de EAD........................................................... 39 3.4 - Onde estão definidas no Moodle as funcionalidades de segurança da informação . 42 3.5 – Pontos positivos e negativos da segurança da informação no CMS Moodle ......... 49 3.6 – Administração do Conhecimento ......................................................................... 51 Capítulo-4 IMPLEMENTAÇÃO NECESSÁRIA DE SEGURANÇA DA INFORMAÇÃO AO CMS MOODLE............................................................................................................................ 56 4.1 – Senha forte .......................................................................................................... 58 4.2 – Política de Site..................................................................................................... 60 4.3 – Controle seguro do cadastramento de aluno ......................................................... 62 4.4 – Controle seguro do processo de matrícula ............................................................ 64 Capítulo-5 ESTUDO DE CASO DA ESCOLA DE ENSINO A DISTÂNCIA PROFESSOR BENEDITO ............................................................................................................................................ 68 5.1 - Contexto da Pesquisa ........................................................................................... 68 5.2 – Coleta de evidências ............................................................................................ 71 5.3 – Implantação do controle de acesso com senha forte ............................................. 76 5.4 – Implantação da Política do Site............................................................................ 76 5.5 – Implantação do controle seguro de cadastramento de aluno.................................. 80 5.6 – Implantação do controle seguro de matrícula ....................................................... 81 5.7 – Análise dos resultados obtidos ............................................................................. 81 10 CONSIDERAÇÕES FINAIS ............................................................................................... 84 REFERÊNCIAS .................................................................................................................. 85 ANEXO Código fonte do arquivo índex.php............................................................................... 88 APÊNDICE Política do site EEaD Professor Benedito ..................................................................... 95 11 INTRODUÇÃO O EaD (Ensino a Distância) não é algo novo, suas origens remontam à períodos onde as correspondências eram rudimentares. Contudo, promover o ensino a distância utilizando os recursos computacionais recentes dá-nos um leque enorme de possibilidades e também de desafios. Os avanços tecnológicos atuais, decorrentes em larga escala do desenvolvimento das pesquisas realizadas em áreas como a Eletrônica e as Telecomunicações, têm facilitado o acesso de milhões de pessoas ao redor do mundo à informação. Esse acesso acontece de forma rápida e com custos reduzidos quando comparados aos de anos anteriores. Assim, cada vez mais, as pessoas têm condições de participar do Ciberespaço. No século XX, a humanidade acompanhou o desenvolvimento dos aparelhos digitais de televisão, de projeção (datashow), de telefonia móvel (celular) e de computação móvel (notebook) entre outros. Neste mesmo século, a Internet emerge como um conjunto de redes de comunicação conectadas mundialmente. Esses avanços, promovidos pelas novas tecnologias digitais da informação e da comunicação (TDIC), constituem-se no principal elemento propulsor do desenvolvimento da Educação a Distância (EAD). Essa realidade encurtou as relações entre tempo e espaço e, por isso, ficamos com a sensação de que tudo acontece mais rápido. O computador, exímio executor de ordens préprogramadas, é capaz de realizar várias operações em um átimo de tempo. Assim, técnicos e especialistas em computação trabalham diuturnamente na tentativa de apresentarem um programa inovador, e desta forma, algo que até o momento era tido como impossível ou inviável, de repente já não o é mais. Um simples exemplo dessa nova realidade está na capacidade de processamento gráfico atual da maioria dos equipamentos digitais ou no comando por toque de tela – touch screen – algo impossível de conceber aos primeiros equipamentos. A World Wide Web (WWW), a grande rede mundial – Internet-, possibilitou o desenvolvimento de diversos recursos de uso específicos: navegadores, comunicadores e buscadores de páginas. Dentre essas inovações encontramos os Sistemas de Gestão de Conteúdo ou Content Management System (CMS). Esses sistemas visam facilitar a manutenção dos conteúdos das bases de dados, exigindo do administrador menos domínio técnico das linguagens de programação. 12 O Moodle, sigla para Modular Object-Oriented Dynamic Learning Environment, é um destes sistemas de gestão de conteúdo gratuito e que foi concebido com a finalidade de facilitar a construção de uma escola virtual. Ele tem entre outras características a de permitir o controle de professores, tutores, alunos e cursos de maneira quase intuitiva. Esse controle inclui ainda um conjunto de rotinas administrativas que permitem definir critérios de segurança globais e específicos. Pela sua especificidade o Moodle pode ser considerado um CMS dentro de CMS, isto é, um Course Management System (mais particular) dentro de um Content Management System (mais geral). Objetivos e Justificativas Neste trabalho de pesquisa buscamos dois objetivos: atender ao projeto pedagógico do curso MBIS Segurança da Informação, que exige o desenvolvimento de um Trabalho de Conclusão de Curso (TCC) aprovado por uma banca examinadora; e apresentar um estudo de caso sobre a adoção da Política de Segurança da Informação na Escola de Ensino a Distância Professor Benedito. Visamos como resultado do estudo apontar algumas opções de configuração e cuidados que o administrador de sistemas do tipo Content Management System (CMS) Moodle pode utilizar ao gerir Ambientes Virtuais de Aprendizagem (AVA) quando busca atender às normas e aos padrões de segurança atuais. Há um conjunto de siglas normalmente usadas pela literatura relacionada aos AVA´s, como: Course Management System (CMS), Learning Content Management System (LCMS), Managed Learning Environment (MLE) e Learning Support System (LSS) ou Learning Platform (LP). Todas estas siglas referem-se a sistemas computadorizados que visam de alguma forma prover meios que tornem os processos de aprendizagem mais simples e acessíveis. A construção do site EEaD Professor Benedito teve suas origens nas necessidades apresentadas pelo corpo discente, que na sua maioria, não dispunha de recursos financeiros para ter acesso aos materiais didáticos, tão necessários ao desenvolvimento técnico de programadores de computadores, uma vez que, o contato destes futuros profissionais com manuais, livros e outros textos especializados são constantes depois de concluírem suas formações acadêmicas. Outra justificativa para o desenvolvimento do site advém da inovação promovida pela rede mundial (internet), onde novas formas de interação social são criadas, o que de certa 13 maneira impulsiona as pesquisas para a criação de programas como o Moodle que favorecem em muito a construção de Ambientes Virtuais de Aprendizagem (AVAs). Mais um motivo para a existência do site vem das constantes necessidades de atualização docente, as quais exigem do professor estar atualizado e utilizar as novas ferramentas que se apresentam ao seu dispor. A Metodologia de Estudo de Caso O método científico define a forma como os resultados são obtidos. Nesta pesquisa a metodologia adotada será o Estudo de Caso. Essa metodologia é usada quando o fenômeno é estudado dentro de seu contexto. O estudo de caso é uma abordagem metodológica de investigação indicada quando procuramos descrever, explorar ou compreender fenômenos e contextos complexos, os quais são afetados diretamente por vários fatores. A metodologia de estudo de caso é adequada para este trabalho, porque o caso em estudo envolve a segurança dos ativos da Escola de Ensino a Distância Prof. Benedito, que está em um site da Web e podem ser acessados a qualquer momento, por qualquer usuário da rede, e de qualquer lugar do planeta. Diferentemente dos experimentos realizados em laboratório, nossa pesquisa acontece em um contexto complexo e que reúne informações de diversas naturezas: humanas; técnicas; socioeconômicas etc. Definições para Metodologia de Estudo de Caso Segundo Yin (2001, p.19), “um estudo de caso é uma investigação empírica que investiga um fenômeno contemporâneo dentro de seu contexto da vida real, especialmente quando os limites entre o fenômeno e o contexto não são claramente definidos.”. A pesquisa de estudo de caso pode incluir tanto estudos de caso único quanto de casos múltiplos (YIN, 2001, p.33). Para Gil (2008, p.57), o estudo de caso é caracterizado pelo estudo profundo e exaustivo de um ou poucos objetos de maneira a permitir seu conhecimento amplo e detalhado. Características da Metodologia de Estudo de Caso Para Yin (2001, p.24) três condições revelam qual metodologia é a mais indicada numa pesquisa: o tipo de questão de pesquisa; a extensão do controle que o pesquisador tem 14 sobre eventos comportamentais; e o enfoque em acontecimentos contemporâneos em oposição aos históricos. Para esse autor, estratégias de estudo de caso têm “como” e “por que” na formulação da questão de pesquisa, não exigem controle sobre eventos comportamentais e focalizam acontecimentos contemporâneos. Stake afirma que a natureza do caso, o histórico do caso, o contexto (físico, político, legal, econômico, estético etc.), outros casos pelos quais é reconhecido e os informantes pelos quais é conhecido, constituem-se em aspectos que dão originalidade ao caso (STAKE, 2000, apud ALVES-MAZZOTTI, 2006, p. 642). Yin (2001, p.73) estabelece as seguintes etapas para a metodologia do estudo de caso: definição e planejamento; preparação, coleta e análise dos dados; composição do relatório final (análise e conclusão). Na etapa de definição e planejamento o pesquisador define as questões importantes para o estudo de caso, elabora as proposições possíveis, define a unidade de análise, estabelece as relações lógicas entre os dados e as proposições, e estabelece os critérios de interpretação das descobertas. Na etapa de preparação, coleta e análise dos dados o pesquisador elabora um protocolo de estudo de caso, que contém os procedimentos e as regras gerais do instrumento de pesquisa. A coleta de dados em estudos de caso pode vir de seis fontes diferentes: documentos, registros em arquivos, entrevistas, observação direta, observação participante e artefatos físicos. A análise dos dados busca examinar, categorizar ou classificar as evidências coletadas (YIN, 2001, p.105). Freitas e Jabbour (2011) destacam que um protocolo de pesquisa, em estratégia de estudo de casos deve conter os seguintes itens: (a) questão principal de pesquisa; (b) objetivo principal; (c) temas da sustentação teórica; (d) definição da unidade de análise; (e) potenciais entrevistados e múltiplas fontes de evidência; (f) período de realização; (g) local de coleta de evidências; (h) obtenção de validade interna, por meio de múltiplas fontes de evidências; (i) síntese do roteiro de entrevista. (FREITAS; JABBOUR, 2011, p. 15). Na etapa de composição do relatório final o pesquisador apresenta uma análise conclusiva sobre as evidências encontradas, correlacionando-as às proposições iniciais. 15 Estrutura do trabalho Este trabalho apresenta no Capítulo-1 os aspectos relevantes sobre a gestão e segurança da informação. No Capítulo-2 apresenta uma análise panorâmica do ambiente de produção de conteúdos CMS (Content Management System) na era internet. No Capítulo-3 apresenta uma análise crítica do CMS Moodle como ferramenta de EAD (Ensino a Distância) e administração do conhecimento. No Capítulo-4 apresenta a implementação de segurança da informação necessária ao CMS Moodle. No Capítulo-5 apresenta o estudo de caso e suas análises. No final apresenta as considerações finais e sugestões para trabalhos futuros. 16 Capítulo-1 ASPECTOS RELEVANTES SOBRE GESTÃO E SEGURANÇA DA INFORMAÇÃO Diante do cenário tecnológico veloz e inovador, a segurança dos sistemas em geral é uma preocupação presente e constante no dia a dia dos usuários da rede mundial – internet. Muitas organizações investem bastante dinheiro em tentativas de identificar falhas de segurança em seus sistemas. No entanto, não é raro ter notícias sobre os conhecidos “crimes eletrônicos”. Sêmola (2003, p. 44) chama a atenção para uma ambigüidade existente no termo “Segurança da Informação”. A segurança como meio, e aí ela passa a ser compreendida como uma prática adotada com o objetivo de tornar o ambiente seguro. E a segurança como fim, ou o objetivo a ser atingido. Sendo neste caso, segundo o autor, o resultado da segurança como prática. Daí, podemos inferir ser a segurança resultado da própria segurança. Fontes (2012, p.83-84), aponta cinco razões que motivam as organizações a desenvolverem e implantarem políticas e normas de segurança da informação: legislação; exigência do mercado e/ou dos clientes; adequação às melhores práticas; avanço tecnológico e necessidade do negócio. Essa preocupação se estende aos programas de computador destinados a atender aplicações de ensino a distância, os quais se tornam bastante vulneráveis, quando alguns quesitos de segurança são inadvertidamente esquecidos ou subestimados. Gestão e segurança da informação exigem conhecimento e atenção especial a aspectos diversos, tais como: relações jurídicas; normas e fundamentos; análise de riscos; políticas; arquitetura e funcionamento das redes de computadores; sistemas aplicativos e banco de dados; técnicas de proteção e habilitação; disponibilidade e recuperação de dados; plano de continuidade de negócios; e auditoria de sistemas, entre outros. Neste trabalho apresentamos a seguir alguns aspectos importantes quanto à gestão e segurança da informação e que colaboram para a implantação mais consistente do Sistema de Gestão de Segurança da Informação (SGSI) na organização. A segurança das informações da escola exige a adoção de um SGSI. O SGSI é concebido com o propósito de garantir três propriedades à informação: Confidencialidade; Integridade e Disponibilidade. A confidencialidade assegura que a informação não será disponibilizada ou divulgada sem autorização a indivíduos, entidades ou processos. A 17 integridade é proteção à precisão e perfeição de recursos. A disponibilidade é a garantia de acesso e uso autorizado. Às três propriedades da informação, Sêmola (2003, p.9) acrescenta dois aspectos: Autenticidade e Legalidade. À Autenticidade cumpre “o papel de sinalizar o comprometimento dos aspectos associados à autenticidade das partes envolvidas em troca de informações”, e à Legalidade “a conformidade com a legislação vigente” (SÊMOLA, 2003, p.44). A Figura 1 ilustra iconograficamente as cinco propriedades da informação segura. Figura 1 - As cinco propriedades da informação segura Fonte: do autor E o autor identifica ainda, os quatro momentos vividos pela informação: manuseio; armazenamento; transporte e descarte. (idem, p.10). O momento do manuseio acontece quando a informação é gerada ou manipulada, um exemplo seria: preencher um formulário de cadastro pela internet. O momento de armazenamento se dá quando a informação é guardada, seja numa base de dados eletrônica ou numa mídia digital (Pendrive,CD/DVD etc.). O transporte é caracterizado como o momento em que a informação encontra-se em trânsito. Como exemplo, podemos citar o encaminhamento de mensagens via SMS ou correio eletrônico (email), envio de documentos via correios ou o simples diálogo ao telefone. O descarte corresponde ao momento em que a informação é jogada fora. Este acontece, por exemplo, quando jogamos um papel impresso ou uma mídia no lixo, apagamos um arquivo no computador ou eliminamos um registro no cadastro de clientes. 18 Estes quatro momentos vividos pela informação constituem o seu ciclo de vida e são alvo do interesse dos gestores de sistemas de segurança da informação. 1.1 - Normas e fundamentos de segurança da informação Para atender as necessidades de segurança, cada vez mais emergente no mundo informático em que vivemos, a Associação Brasileira de Normas Técnicas (ABNT) editou em 2006 a Norma NBR ISO/IEC 27001. Essa Norma estimula a adoção de uma estratégia de processo nas organizações para estabelecer e implementar, operar, monitorar, revisar, manter e melhorar o SGSI. A Norma NBR 27001 da Associação Brasileira de Normas Técnicas (2006) adota o modelo de processo Plan-Do-Check-Act (PDCA), ilustrado pela Figura 2, para estruturar todos os processos do SGSI. A dinâmica estabelecida pelo PDCA favorece as mudanças que ocorrem com o passar do tempo e permitem o escalonamento do SGSI. Figura 2- Modelo do PDCA aplicado aos processos do SGSI Fonte: Associação Brasileira de Normas Técnicas (2006, p.3), com adaptações A Norma NBR 27002 da Associação Brasileira de Normas Técnicas (2005) apresenta um código de prática para a gestão de segurança da informação. Um conjunto de 133 controles é descritos na norma e servem como referência na implementação da segurança da informação. Depois de estabelecidos e implementados, os controles precisam ser monitorados e analisados com o propósito de serem continuamente melhorados para que os objetivos da organização sejam atingidos. Os quadros de 1 a 11 apresentam resumidamente os controles da Norma NBR 27002. Os controles indicados no Quadro 1 objetivam dar orientação e apoio da direção para a segurança da informação. 19 1 2 Documento da política de segurança da informação. Análise crítica da política de segurança da informação. Quadro 1 - Política de segurança da informação Fonte: Associação Brasileira de Normas Técnicas (2005) Os controles indicados no Quadro 2 visam organizar para a segurança da informação. 3 4 5 6 7 8 9 10 11 12 13 Comprometimento da direção com a segurança da informação. Coordenação da segurança da informação. Atribuição de responsabilidades para a segurança da informação. Processo de autorização para os recursos de processamento de informação. Acordos de confidencialidade. Contato com autoridades. Contato com grupos especiais. Análise crítica independente de segurança da informação. Identificação dos riscos relacionados às partes externas. Identificando a segurança da informação, quando tratando com os clientes. Identificando a segurança da informação nos acordos com terceiros. Quadro 2 - Organizando a segurança da informação Fonte: Associação Brasileira de Normas Técnicas (2005) Os controles indicados no Quadro 3 referem-se à gestão dos ativos da organização. 14 15 16 17 18 Inventário dos ativos. Proprietário dos ativos. Uso aceitável dos ativos. Classificação da informação – recomendações para classificação. Classificação da informação – Rótulos e tratamento da informação. Quadro 3 - Gestão de ativos Fonte: Associação Brasileira de Normas Técnicas (2005) Os controles indicados no Quadro 4 referem-se à segurança envolvendo os recursos humanos da organização. 19 20 21 22 23 24 25 26 27 Papéis e responsabilidades. Seleção. Termos e condições de contratação. Responsabilidades da direção. Conscientização, educação e treinamento em segurança da informação. Processo disciplinar. Encerramento das atividades. Devolução de ativos. Retirada de direitos de acesso. Quadro 4 - Segurança em recursos humanos Fonte: Associação Brasileira de Normas Técnicas (2005) 20 Os controles indicados no Quadro 5 referem-se à segurança física e do ambiente da organização. 28 29 30 31 32 33 34 35 36 37 38 Perímetro de segurança física. Controles de entrada física. Segurança em escritórios, salas e instalações. Proteção quanto ameaças externas e do meio ambiente. Trabalhando em áreas seguras. Acesso do público, áreas de entrega e de carregamento. Instalação e proteção de equipamento. Utilidades. Segurança do cabeamento. Manutenção dos equipamentos. Segurança de equipamentos fora das dependências da organização. 39 Reutilização e alienação segura de equipamentos. 40 Remoção de propriedade. Quadro 5 - Segurança física e do ambiente Fonte: Associação Brasileira de Normas Técnicas (2005) Os controles indicados no Quadro 6 referem-se ao gerenciamento das operações e comunicações.. 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 Documentação dos procedimentos. Gestão de mudanças. Segregação de funções. Separação dos recursos de desenvolvimento, testes e produção. Entrega de serviços. Monitoramento e análise crítica de serviços terceirizados. Gerenciamento de mudanças para serviços terceirizados. Gestão de capacidade. Aceitação de sistemas. Proteção contra códigos maliciosos e códigos móveis. Controles contra códigos móveis. Cópias de segurança da informação. Controles de redes. Segregação dos serviços de rede. Gerenciamento de mídias removíveis. Descarte de mídias. Procedimentos para tratamento de informação. Segurança da documentação de sistemas. Política e procedimentos para troca de informações. Acordo para trocas de informações. Mídias em trânsito. Mensagens eletrônicas. 21 63 64 65 66 67 68 69 70 71 72 Sistema de informações de negócio. Serviços de comércio eletrônico. Transações on-line. Informações publicamente disponíveis. Registros de auditoria. Monitoramento do uso do sistema. Proteção das informações dos registros (log). Registro (log) de administrador e operador. Registro (log) de falhas. Sincronização dos relógios. Quadro 6 - Gerenciamento das operações e comunicações Fonte: Associação Brasileira de Normas Técnicas (2005) Os controles indicados no Quadro 7 referem-se à segurança dos acessos ao sistema. 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 Política de controle de acesso. Registro de usuário. Uso de privilégios – restritos e controlados. Gerenciamento de senha do usuário. Análise crítica dos direitos de acesso de usuário. Uso de senhas. Equipamento de usuário sem monitoração. Política de mesa limpa e tela limpa. Política de uso de serviços de rede. Autenticação para conexão externa do usuário. Identificação de equipamentos em redes. Proteção de portas de configuração e diagnóstico remotos. Segregação de redes. Controle de conexão de redes. Controle de roteamento de redes. Procedimentos seguros de entrada no sistema (logo n). Identificação e autenticação do usuário. Sistema de gerenciamento de senha. Uso de utilitários de sistema. Limite de tempo de sessão. Limitação de horário de conexão. Restrição de acesso à informação. Isolamento de sistemas sensíveis. Computação e comunicação móvel. Trabalho remoto. Quadro 7 - Controle de acessos Fonte: Associação Brasileira de Normas Técnicas (2005) 22 Os controles indicados no Quadro 8 referem-se à segurança na aquisição, desenvolvimento e manutenção de sistemas. 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 Análise e especificação dos requisitos de segurança. Validação dos dados de entrada. Controle do processamento interno. Integridade de mensagens. Validação dos dados de saída. Política para uso de controles criptográficos. Gerenciamento de chaves. Controle de software operacional. Proteção de dados para teste de sistema. Acesso ao código fonte de programa. Procedimentos para controle de mudanças. Análise crítica técnica das aplicações após mudanças no sistema operacional. Restrições sobre mudanças em pacotes de software. Vazamento de informações. Desenvolvimento terceirizado de software. Controle de vulnerabilidades técnicas. Quadro 8 - Aquisição, desenvolvimento e manutenção de sistemas de informação Fonte: Associação Brasileira de Normas Técnicas (2005) Os controles indicados no Quadro 9 referem-se à gestão dos incidentes de segurança da informação na organização. 114 115 116 117 118 Notificando de eventos de segurança da informação. Notificação de fragilidades de segurança da informação. Responsabilidades de procedimentos. Aprendendo com os incidentes de segurança da informação. Coletas de evidências. Quadro 9 - Gestão de incidentes de segurança da informação Fonte: Associação Brasileira de Normas Técnicas (2005) Os controles indicados no Quadro 10 referem-se à gestão da continuidade dos negócios da organização. 119 Incluindo a segurança da informação no processo de gestão de continuidade de negócio. 120 Continuidade de negócios e análise/avaliação de riscos. 121 Desenvolvimento e implementação de planos de continuidade relativos à segurança da informação. 122 Estrutura do plano de continuidade de negócio. 123 Testes, manutenção e reavaliação dos planos de continuidade do negócio. Quadro 10 - Gestão da continuidade do negócio Fonte: Associação Brasileira de Normas Técnicas (2005) 23 Os controles indicados no Quadro 11 referem-se à conformidade das informações da organização. 124 125 126 127 128 129 130 131 132 133 Identificação da legislação aplicável. Direitos de propriedade intelectual. Proteção de registros organizacionais. Proteção de dados e privacidade de informações pessoais. Prevenção de mau uso de recursos de processamento de informação. Regulamentação de controles de criptografia. Conformidade com as políticas e normas de segurança da informação. Verificação com a conformidade técnica. Controles de auditoria de sistemas de informação. Proteção de ferramentas de auditoria de sistemas de informação. Quadro 11 - Conformidade Fonte: Associação Brasileira de Normas Técnicas (2005) A Norma NBR 27005 da Associação Brasileira de Normas Técnicas (2008) apresenta as diretrizes para o processo de Gestão de Riscos de Segurança da Informação da organização. Fontes (2012) afirma que “Para um funcionamento adequado do SGSI é importante que a gestão de riscos e a política de segurança da informação sejam elementos que estejam bem definidos e explícitos”. Falhas na definição da política podem comprometer toda a gestão de riscos, já que a política de segurança da informação produz subsídios para a construção do SGSI. O SGSI faz parte do plano estratégico das organizações, pois sua especificação e implantação sofrem influência de diversos fatores organizacionais importantes como: objetivo, tipos de processos e estrutura. Ele deve garantir que o conjunto de dados manipulados pelos usuários e processos da escola possibilite um fluxo correto de informações. 1.2 - Relações jurídicas As relações entre os institutos jurídicos e a informação são muitas quando consideramos em ampla análise as diversas facetas existentes. O segredo comercial ou industrial, funcionários e colaboradores, bens e serviços produzidos, meios de comunicação etc., são alguns exemplos de enfoques em que o uso ou manuseio da informação esbarra em questões de legalidade. 24 A proteção do direito à informação, da liberdade de expressão, do direito à intimidade e ao sigilo das comunicações, tem no texto da Constituição Federal (BRASIL, 1988), atenção especial do legislador constituinte, fato este decorrente, segundo Lourenço (2009, p.22), “de anos de regime militar, fortemente marcados pelo desrespeito aos direitos individuais...”. O autor afirma ainda que estas preocupações “fizeram nascer no âmbito da Assembléia Constituinte o temor de que velhos hábitos ditatoriais se incorporassem à incipiente realidade democrática”. A Wikipédia (2013a) declara que o direito divide-se em seguintes ramos de grande diversidade: Direito Administrativo; Direito Aeronáutico; Direito Alternativo; Direito Ambiental; Direito de Águas; Direito Bancário; Direito Canônico; Direito Civil; Direito de Família; Direito das Obrigações; Direito das Sucessões; Direito das Coisas; Direito Imobiliário; Direito do Consumidor; Direito da Criança e do Adolescente; Direito Constitucional; Direito do Estado; Direito Desportivo; Direito Econômico; Direito Eleitoral; Direito Eletrônico; Direito Empresarial ou Comercial; Direito Societário; Direito Marítimo; Direito Financeiro; Direito Fiscal; Direito Tributário; Direitos Humanos; Direito Indígena e o Direito da Informática. O Direito da Informática ou Informacional objetiva “regulamentar as relações sociais ocorridas no âmbito da tecnologia da informação”, (WIKIPÉDIA, 2013a). As Leis do software e dos Direitos Autorais, entre outras, estabelecem diversas normas de conduta que visam proteger a informação. A importância crescente da relação do Direito com o Software (Programas) e o Peopleware (Pessoas), estes entendidos como os usuários, desenvolvedores ou operadores de sistemas etc., advêm do valor que a informação assumiu no mundo globalizado que vivemos. O software por si só não tem valor algum, é o peopleware que dá “vida e significado” aos programas e o seu uso é balizado em relações jurídicas. Aspectos relacionados à informação são apresentados pela Constituição Federal (BRASIL, 1988) quando trata do Direito à Privacidade, à Informação e ao acesso aos registros públicos, do dever do estado de proteger os documentos públicos e da obrigação da administração pública de promover a gestão documental. A proliferação dos bancos de dados e das transmissões de informações são as principais ameaças à privacidade informacional, estas entendidas como protetoras das informações sobre o indivíduo. 25 O direito à informação e ao acesso aos registros públicos, previstos nos incisos XIV, XXXIII, LX do art. 5º e § 3º inciso XXII do art. 37 da Constituição Federal (BRASIL, 1988), relacionam-se tanto ao sigilo quanto à sua disponibilidade. Já o dever do Estado de proteger os documentos e obras, previstos III e IV do art. 23, está relacionado aos aspectos da integridade e disponibilidade da informação. O Código Civil, Lei 10.406 (BRASIL, 2002), ao estabelecer no “... Art. 21. A vida privada da pessoa natural é inviolável, e o juiz, a requerimento do interessado, adotará as providências necessárias para impedir ou fazer cessar ato contrário a esta norma.”, define que nunca devemos violar a vida privada das pessoas. A responsabilidade digital das instituições educacionais tem aumentado como afirmam Pinheiro e Sleiman (2007, p.14): “Cumpre destacar que de acordo com o Novo Código Civil, a responsabilidade civil foi ampliada influenciando diretamente nas questões jurídicas relacionadas aos meios digitais.”, ao se referirem às alterações feitas ao texto do Código Civil Brasileiro em 2002. A Lei 9.609 (BRASIL, 1998a), Lei do Software, que “dispõe sobre a proteção da propriedade intelectual de programa de computador, sua comercialização no País, e dá outras providências”, representou um avanço na direção de coibir atos ilícitos como “a pirataria de software”. A Lei 9.610 (BRASIL, 1998b), Lei do Direito Autoral, que “altera, atualiza e consolida a legislação sobre direitos autorais e dá outras providências”, também regula os direitos de autor, a cessão de direitos, protege versões incluindo as em meio eletrônico e cria mecanismos para combater cópias ilícitas. A alteração e o surgimento de novas Leis são em larga medida, reflexo do apelo social, o que é de se esperar num país democrático como o Brasil. O trecho jornalístico apresentado a seguir, sugere esta reflexão, haja vista a repercussão do ocorrido nos principais veículos de comunicação brasileiros: A Câmara aprovou hoje, dois projetos que tipificam crimes como: a violação de dados pessoais na internet, a clonagem de cartões e o roubo de senhas. A pena pode chegar a seis anos se os dados forem retirados de email particular ou forem sigilosos. Os dois textos que seguem para a sanção presidencial foram votados depois da polêmica sobre o vazamento na internet das fotos da atriz Carolina Dieckmann. (REDE GLOBO, 2013). 26 Os dois projetos referidos no texto retro citado são as Leis 12.735 e 12.737 já em vigor. A Lei 12.735 (BRASIL, 2012), altera o Código Penal, para tipificar condutas realizadas mediante o uso de sistemas eletrônicos, digitais ou similares, que sejam praticadas contra sistemas informatizados. A Lei 12.737 (BRASIL, 2012), altera o Código Penal, para criminalizar a invasão de computadores conectados ou não, o “roubo” de senhas ou arquivos e a falsificação de cartão de crédito ou débito. O Quadro 12 lista algumas das infrações digitais mais freqüentes e cometidas no dia a dia por usuários de sistemas informatizados. Nele podemos observar e notar o quão extenso e complexo são as relações que permeiam a vida num mundo informático com as normas de conduta pré-estabelecidas na Lei. Quadro 12 - Infrações digitais mais frequentes na vida comum dos usuários Fonte: Pinheiro e Sleiman (2007, p.15) 27 1.3 – Política da Segurança da Informação A política é um dos elementos que compõem um sistema de gestão de segurança da informação. Seu principal objetivo é demonstrar compromissos e princípios para as ações que se desenvolvem dentro da organização. As razões que motivam o surgimento e adoção de uma política de segurança da informação nas empresas têm origem, na maioria das vezes, dentro da própria organização quando esta percebe a real importância e vulnerabilidade no trato da mesma. No entanto, há casos em que esta a política nasce influenciada por pressões externas como, por exemplo, quando há uma exigência do parceiro comercial. A Norma NBR 27002 da Associação Brasileira de Normas Técnicas (2005, p.2) define o termo política como: “Intenções e diretrizes globais formalmente expressas pela direção.”. Fontes (2012, p.15) afirma que “o principal documento da política indicará qual é a filosofia da organização para uso da informação pelos seus funcionários, prestadores de serviços, estagiários, diretores, acionistas e até pelo executivo-presidente”. O que significa dizer que todos os envolvidos direta ou indiretamente com a organização estão sob as diretrizes da política de segurança. Quando um problema se apresenta na organização, são os critérios criados pela política que auxiliam , norteiam e definem as tomadas de decisão. Fontes (2012, p.15) defende ainda que “A política é o mais alto nível de declaração do que a organização acredita e quer que exista em todas as suas áreas”. Portanto, as diretrizes da política são abrangentes e não se restringem a uma ou outra área específica. Um programa de segurança da informação com objetivos e responsabilidades nasce a partir das declarações de política da organização. As diretrizes estabelecidas pela política são orientações básicas sobre o que se deseja, sem, contudo, definir como fazer ou implantar. Guardada as devidas proporções, Sêmola (2003, p. 105) compara a Política de Segurança da Informação da organização à Constituição Federal de um país, no propósito de fornecer orientação e dar apoio às ações de gestão. Em termos práticos a política de segurança da informação constitui-se num conjunto de documentos escritos composto por diretrizes, normas e procedimentos. Este conjunto é nomeado regulamentos, por Fontes (2012, p. 89), e são específicos para cada organização. 28 É o que afirma Sêmola, também, ao concluir que pela abrangência que assume a Política de Segurança da Informação, esta é “subdividida em três blocos: diretrizes, normas, procedimentos e instruções, sendo destinados, respectivamente, às camadas estratégica, tática e operacional.” (SÊMOLA, 2003, p. 105). A política deve definir o escopo que determina o alcance, no campo de ação, dos controles. Estabelecer estes limites é importante porque torna o processo de segurança da informação algo finito e, consequentemente, gerenciável. 1.4 – Gestão de riscos de segurança da informação Encontramos na Norma NBR 27005 da Associação Brasileira de Normas Técnicas (2008) as diretrizes para o processo de Gestão de Riscos de Segurança da Informação (GRSI) da organização. Esta gestão constitui-se num conjunto de ações coordenadas para dirigir e controlar a organização, no que se refere aos riscos. A Figura 3 ilustra o processo de gestão de riscos de segurança da informação. Figura 3 -Processo de gestão de riscos de segurança da informação Fonte: Associação Brasileira de Normas Técnicas (2008) A Norma NBR 27005 da Associação Brasileira de Normas Técnicas (2008) sugere as seguintes etapas para um processo de gestão de riscos de segurança da informação: definição de contexto; análise/avaliação de riscos; definição do plano de tratamento de riscos; aceitação do risco; implementação do plano de tratamento de risco; monitoramento contínuo e análise crítica de riscos; manutenção e melhoramento do processo de gestão de riscos de segurança da informação. 29 Fontes (2012, p. 20) afirma que “A gestão de risco, considerando o contexto definido pela política de segurança, identificará os ativos, selecionará os controles apropriados e definirá as prioridades de implantação destes controles”. Existe uma relação estreita entre as normas NBR 27005 e NBR 27002 quanto à definição de contexto e escopo. A definição de contexto e escopo do GRSI é fundamental para a construção dos processos de gestão de riscos e estão relacionados diretamente com os definidos para o SGSI. A análise e avaliação dos riscos envolvem: identificar os ativos; os controles existentes; as vulnerabilidades e ameaças; as consequências; estimar quantitativamente e qualitativamente os riscos e avaliar a probabilidade de incidentes. Sêmola (2003, p. 110) destaca a importância de compreender que “a vulnerabilidade por si só não causa qualquer dano ao ativo, sendo apenas uma situação de fragilidade. O dano só se efetivará mediante a exploração da vulnerabilidade por parte de uma ameaça”. A avaliação detalhada de um risco exige o envolvimento das pessoas para que o processo de comparar o risco estimado com os critérios de riscos pré-definidos possa definir a real importância do risco. O tratamento dos riscos de segurança da informação está restrito a quatro possibilidades: redução; retenção; prevenção e transferência. Qualquer tratamento dado ao risco sempre gera riscos residuais, também conhecidos como riscos remanescentes. Em alguns casos a aceitação do risco pode ser a decisão mais acertada em função da baixa probabilidade de ocorrer o dano ou obter consequências negativas mínimas. O processo contínuo de análise dos riscos permitirá identificar novas vulnerabilidades e ameaças, o que favorece e mantém a gestão em níveis controlados. Este processo colabora também para a manutenção e melhoria dos processos de riscos. 30 Capítulo-2 UMA ANÁLISE PANORÂMICA DO AMBIENTE DE PRODUÇÃO DE CONTEÚDOS CMS (CONTENT MANAGEMENT SYSTEM) NA ERA INTERNET Os CMS’s se apresentam como uma opção rápida e eficiente para quem necessita publicar informações na internet. A facilidade em atualizar os conteúdos do site é a principal característica destes sistemas que permitem aos usuários sem conhecimento técnico incluir, alterar ou excluir conteúdos de forma simples. A adoção de um CMS resulta numa melhor distribuição da carga de trabalho, por eliminar uma parcela considerável das atividades do pessoal técnico em Web. Como resultado direto da opção por este sistema temos os ganhos em recursos humanos, decorrentes em grande parte, desta diminuição no gargalo de geração e manutenção de sites. Em termos gerais, um ambiente de gerenciamento de conteúdo pode ajudar a organização a tornar-se mais competitiva, pois, além da redução das despesas colaborarem para o aumento da sua rentabilidade, a diminuição dos tempos de produção de conteúdo também favorecem em rapidez, a disponibilidade da informação. No início da internet, as páginas apresentadas pelos navegadores2 eram compostas por códigos HTML3 estáticos e documentos de texto. Estes códigos eram escritos manualmente por profissionais técnicos desenvolvedores para Web. Num site estático todo conteúdo apresentado pelas páginas é colocado pelo desenvolvedor na fase de projeto. A criação de páginas por este processo exige profissionais experientes, o que representa aumento de custos no desenvolvimento e na manutenção. Em um site dinâmico, doutra maneira, as páginas tem o seu conteúdo montado em tempo de execução, isto é, no instante em que ela é solicitada pelo navegador. Normalmente os conteúdos apresentados foram previamente armazenados em uma base de dados e um programa de script é usado na construção da página dinâmica para alterar o conteúdo. PHP4 e ASP5 são exemplos de linguagens script utilizadas nestas construções. A Figura 4 apresenta uma ilustração sobre o funcionamento dos sites dinâmicos. 2 Programa utilizado para visualizar páginas da Internet, também chamado de web browser ou browser. Acrônimo de Hypertext Markup Language. Linguagem usada em páginas da Web. 4 PHP: Hypertext Preprocessor. Linguagem interpretada que roda no próprio servidor Web. 5 Active Server Pages. Ambiente de programação que permite criar aplicações que rodam no servidor combinando HTML, scripting e componentes. 3 31 Figura 4 -Criação dinâmica de páginas de Websites Fonte: Boiko (2001, p.11) A Fonte de Dados (Data Source) é representada por uma base de dados relacional no Servidor Web (Web Server) que é consultada em resposta a um clique do usuário num link da página apresentada pelo Navegador (Browser). As páginas modelos (Template Pages) contém código HTML, programação Scripts, objetos e outros programas que interpretam as requisições, conectam à Fonte de Dados, recuperam os conteúdos apropriados e tudo mais para montar a página. (BOIKO, B., 2001, p.11) CMS’s e sites dinâmicos não são a mesma coisa, pois é possível também criar sites estáticos com eles. Os CMS’s são sistemas que oferecem recursos para administrar os conteúdos, controlar o acesso, o fluxo de trabalho e a segurança de aplicações baseadas na WEB. Permitem a customização que é a possibilidade de ajustar a interface gráfica e demais controles funcionais às características específicas do negócio, além da integração com outros sistemas da organização. Em sistemas onde o conteúdo é administrado por um CMS, os recursos disponibilizados pelos repositórios de dados podem ser de diversos tipos como: sons, gráficos, vídeos etc. Além disto, a integração com sistemas legados permite que parte do processamento dos dados seja realizado fora do CMS, como normalmente acontece, por exemplo, quando um sistema de recebimento é acoplado. Como é impossível prever todas as necessidades das organizações, as funcionalidades de um CMS precisam ser ajustadas à sua realidade. Fatores como: tamanho, objetivos, processos e usuários variam muito entre as empresas. Portanto, a seleção, implementação e/ou implantação de CMS’s é resultado direto de uma análise detalhada destes fatores. 32 No entanto é importante destacar que o êxito na gestão de conteúdos depende também das pessoas e do processo, já que a escolha da tecnologia não garante o sucesso. 2.1 – CMS´s usados na Educação a Distância (EaD) Há inúmeros sistemas do tipo CMS usados na Educação a Distância disponíveis, como: Drupal6, Blackboard7, Joomla8, Wordpress9, e Moodle10. Desses sistemas, alguns são proprietários, isto é, são vendidos, enquanto outros são gratuitos. O Drupal é um CMS escrito em PHP. Portanto seu funcionamento exige um servidor HTTP compatível com PHP, como Apache, além de um servidor de banco de dados como o MySQL. Sistemas com estas características são considerados multiplataforma quanto ao Sistema Operacional. O Drupal é distribuído sob licença GNU GPL, sem custos para aquisição e permite o desenvolvimento de módulos de extensão à suas funcionalidades básicas e por este motivo possui uma comunidade grande de desenvolvedores. O nome Drupal deriva da palavra holandesa druppel, cujo significado é gotas em português. Foi criado por Dries Buytaert no ano 2000 e atualmente está em sua versão 7.22. Os módulos do Drupal permitem aos usuários: Criar, revisar, categorizar e buscar o conteúdo; publicar comentários; participar de fóruns e enquetes; colaborar na escrita de projetos; criar e visualizar páginas de perfil pessoal; comunicar com outros sites; 0 gerenciamento de temas; a construção de vários níveis de menus de navegação; configurar idiomas; incluir RSS feeds; o controle total das contas; definir regras de acesso; obter relatórios administrativos e estatísticos e construir regras para filtrar conteúdo entre outras facilidades. O CMS Blackboard foi lançado em junho de 1997 por Michael Chasen e Matthew Pittinsky. É um software proprietário, pois o usuário precisa pagar para adquirir o produto e é mantido pela Blackboard Inc. Sua participação no mercado voltado ao ensino superior é expressiva. Possui uma arquitetura aberta e de design em escalas que favorece a integração com outros sistemas. 6 Disponível para download em: <http://drupal.org>. Maiores informações podem ser obtidas em: < http://www.blackboard.com/>. 8 Disponível para download em: < http://www.joomla.org/>. 9 Disponível para download em: < http://wordpress.org/>. 10 Disponível para download em: < https://moodle.org/>. 7 33 O Blackboard adquiriu em 2006 o WebCT, um outro CMS desenvolvido em 1996 pelo grupo de Murraw W. Goldberg, da Universidade British Columbia. O Joomla é um CMS que permite criar site para lojas virtuais, jornais, catálogos de produtos e serviços, blogs e fóruns entre outros formatos de conteúdos, graças à diversidade de extensões que permitem criar rapidamente novas funcionalidades. Lançado em setembro de 2005, tem licença de uso GNU/GPL e a última versão estável é a 3.0.2. A linguagem utilizada no seu desenvolvimento é o PHP, sendo possível sua execução em servidores Apache ou IIS com base de dados MySQL. O WordPress também é um CMS de código aberto distribuído sob licença GNU/GPL. e Lançado em maio de 2003, foi desenvolvido em linguagem PHP usando base de dados MySQL. Seu uso inicial foi voltado para a criação de blogs, no entanto é possível criar sites de comercio eletrônico, jornais, revistas, serviços e outros conteúdos pela utilização de plugins, temas e programação PHP. Os principais recursos oferecidos pelo WordPress incluem a geração XML, XHTML e CSS em conformidade com os padrões W3C, importação e exportação de dados, controle de nível de usuário, categorias aninhadas e múltiplas entre outros. O Moodle, Modular Object-Oriented Dynamic Learning Environment, é uma ferramenta que permite criar cursos baseados na internet. Seu idealizador e desenvolvedor foi o cientista da computação australiano Martin Dougiamas. Criado em 2001, o Moodle é uma ferramenta que facilita a atividade do profissional de educação ao apresentar um conjunto simples de funções administrativas que permitem obter bons resultados em curto espaço de tempo. Desenvolvido no conceito de Open Source, o Moodle tem o seu código fonte aberto para alterações e é disponibilizado gratuitamente, dispensando o pagamento de licença de aquisição e/ou uso. Sua interface amigável funciona de maneira quase intuitiva e acelera o domínio técnico necessário ao administrador, isto é, sua curva de aprendizagem é bem acentuada. O Moodle é um CMS gratuito que foi concebido com a finalidade básica de facilitar a construção de uma escola na internet, e tem entre outras características a de permitir o controle de professores, tutores, alunos e cursos de maneira quase intuitiva. Esses sistemas CMS´s visam facilitar a manutenção dos conteúdos das bases de dados, exigindo do seu administrador menos domínio técnico das linguagens de programação. 34 O funcionamento do Moodle exige um sistema operacional que suporte a linguagem PHP e uma base de dados gerenciável por MySQL ou outro Sistema Gerenciador de Banco de Dados (SGBD) como: Oracle, Access, Interbase, PostgreSQL etc. Apesar das estatísticas fornecidas pelo site do Moodle estarem distantes do número real de usuários, já que o download é livre e o registro é opcional, sua utilização na administração de atividades educacionais de EAD é expressiva como mostra a Tabela 1. Tabela 1 - Estatísticas Moodle Estatística Valor Sites registrados 75.000 Países 227 Cursos 6.992.506 Usuários 65.425.988 Professores 1.291.922 Fonte: Moodle (2013) O site de estatísticas do Moodle apresenta o Brasil em terceiro lugar na classificação geral de registros por países com a marca de 5.414, superado apenas pelos Estados Unidos com 12.728 e Espanha com 6.500. A Figura 5 ilustra a distribuição de versões do Moodle entre todos os usuários registrados. Notamos que a versão 1.9x, lançada em março de 2008, ainda é a mais usada e este fato reforça a ideia de ser esta a versão mais aceita até a atualidade. Figura 5- Distribuição de versões entre os usuários Fonte: Moodle (2013) 35 Os cursos de EAD que usam internet são dinâmicos e precisam manter esta dinâmica para darem ao estudante a impressão de uma realidade “viva”. O estudante ao notar, a cada acesso, a mudança na página do curso percebe esta realidade. Estas alterações funcionam como estímulo visual que motivam e despertam a curiosidade do aluno. O Moodle oferece recursos que acabam promovendo esta interação. Podemos citar como exemplo, a inclusão de um bloco chamado Atividades na página do curso. Essa inclusão resulta no aparecimento de uma lista que mostra o nome do estudante e a hora em que as atividades (tarefas, exercícios etc.) foram concluídas pelos participantes do grupo de estudos. Assim cada trabalho entregue ou exercício concluído pelos alunos, provoca a atualização da lista e permite também a auto-avaliação pelos alunos quanto a pontualidade nos prazos estabelecidos para a entrega das atividades. Esta seção apresentou uma parte das muitas facilidades que o CMS Moodle oferece aos seus usuários. O estudo mais detalhado dessas facilidades está além do escopo deste trabalho, mas pode ser obtido no site <https://moodle.org/>. 36 Capítulo-3 UMA ANÁLISE CRÍTICA DO CMS MOODLE COMO FERRAMENTA DE EAD (ENSINO A DISTÂNCIA) E ADMINISTRAÇÃO DO CONHECIMENTO No capítulo anterior apresentamos uma análise panorâmica do ambiente de produção de conteúdos CMS em que a internet é considerada como o principal meio de distribuição de conteúdos. Neste capítulo, analisaremos criticamente o CMS Moodle como ferramenta de ensino a distância. Começaremos pelos aspectos legais relacionados à EAD, depois apresentaremos de forma simplificada as funções administrativas do Moodle que permitem a construção de uma escola virtual. E, por último, destacaremos algumas características sobre o modelo de gestão conhecido por Administração do Conhecimento. 3.1 – Legislação e Educação a distância A Constituição Federal (BRASIL, 1988), ao definir os princípios norteadores para os objetivos gerais da Educação Nacional, estes expressos em leis ordinárias específicas, estabelece que: A educação é direito de todos e dever do Estado e da família, devendo ser promovida com a colaboração da sociedade, no sentido do desenvolvimento pleno da pessoa, do preparo para o exercício da cidadania e de sua qualificação para o trabalho (BRASIL, 1988). O texto constitucional torna clara a importância da educação para todos os brasileiros, além de destacar que a sua promoção deve ter o apoio da sociedade. Sem educação é impossível que a pessoa humana atinja desenvolvimento pleno, possa exercer sua cidadania ou trabalhe com qualificação. Segundo Oliveira (1998), “[...] o Direito à Educação, declarado em nível constitucional federal desde 1934, tem sido, do ponto de vista jurídico, aperfeiçoado no Brasil.”. Os avanços de qualidade em relação à legislação anterior, trazidos pela Constituição Federal de 1988, são percebidos na precisão e detalhamento da redação. A Lei nº 9.394, de 02 de dezembro de 1996, estabelece as Diretrizes e Bases da Educação Nacional (LDB), e em seu art. 80 dispõe sobre a Educação a Distância: Art. 80. O Poder Público incentivará o desenvolvimento e a veiculação de programas de ensino a distância, em todos os níveis e modalidades de ensino, e de educação continuada. 37 § 1º - A educação a distância, organizada com abertura e regime especiais, será oferecida por instituições especificamente credenciadas pela União. § 2º - A União regulamentará os requisitos para a realização de exames e registro de diplomas relativos aos cursos de educação a distância. § 3º - As normas para produção, controle e avaliação de programas de educação a distância e a autorização para sua implementação, caberão aos respectivos sistemas de ensino, podendo haver cooperação e integração entre os diferentes sistemas. § 4º - A educação a distância gozará de tratamento diferenciado, que incluirá: I - custos de transmissão reduzidos em canais comerciais de radiodifusão sonora e de sons e imagens; II - concessão de canais com finalidades exclusivamente educativas; III - reserva de tempo mínimo, sem ônus para o Poder Público, pelos concessionários de canais comerciais (BRASIL, 1996). A Secretaria de Educação a Distância (SEED) do Ministério da Educação (MEC), criada oficialmente pelo Decreto nº 1.917, de 27 de maio de 1996, foi responsável pela estreia do canal Tv Escola e na III Reunião Extraordinária do Conselho Nacional de Educação (CONSED) apresentou o documento-base do “programa Informática na Educação”. A SEED foi responsável também pelo lançamento, em 1997, do Programa Nacional de Informática na Educação (Proinfo), cujo objetivo é instalar laboratórios de computadores para as escolas públicas urbanas e rurais de todo o Brasil. Programas como o Proinfo expressam o que sugere a LDB quanto a Educação a Distância se desenvolver por meio de iniciativas do Poder Público. Segundo Giolo (2012, p.1216) a LDB previu a oferta de cursos a distância em todos os níveis, mas não contava com os avanços das instituições privadas verificadas posteriormente. O Decreto 4.494/1998 retrata uma mudança política da SEED em relação a Educação Básica ao prever o Ensino Fundamental a distância apenas para a formação de jovens e adultos. Depois disto, uma sucessão de ações do Estado, por meio de Decretos e Portarias, aconteceu com o objetivo de organizar o setor. A SEED foi extinta em janeiro de 2011, e os seus projetos migraram para a Secretaria de Educação Básica ou de Ensino Superior, conforme o estabelecido em Estrutura Regimental, aprovada pelo Decreto 7.690, de 2 de março de 2012, pelo MEC. 3.2 – Educação a distância e o ensino a distância Ensino a Distância e Educação a Distância são termos, frequentemente, tratados como se fossem sinônimos e expressando um processo de ensino-aprendizagem. Ensino representa instrução, socialização de informação etc. (PRETI, 1996, p.24), enquanto educação é 38 “estratégia básica de formação humana, aprender a aprender, saber pensar, criar, inovar, construir conhecimento, participar etc.” (Maroto, 1995 apud PRETI, 1996, p.24). Para Paulo Freire ensinar exige: “rigorosidade metódica, pesquisa, respeito aos saberes dos educando, criticidade, estética e ética, corporeificação das palavras pelo exemplo, risco, aceitação do novo e rejeição de qualquer forma de discriminação, reflexão crítica sobre a prática, reconhecimento e assunção da identidade cultural, consciência do inacabamento, reconhecimento de ser condicionado, respeito a autonomia do ser do educando, bom senso, humildade, tolerância e luta em defesa dos direitos dos educadores, apreensão da realidade, alegria e esperança, convicção de que a mudança é possível, curiosidade, segurança, competência profissional e generosidade, comprometimento, compreender que a educação é uma forma de intervenção no mundo, liberdade e autoridade, tomada consciente de decisões, saber escutar, reconhecer que a educação é ideológica, disponibilidade para o diálogo e querer bem aos educandos. ” (FREIRE ,1996, pp. 7-9). A construção de um AVA passa certamente por questionamentos filosóficos bastante interessantes. A filosofia aplicada no desenvolvimento do Moodle é o sócio-construtivismo, que defende a ideia de que a construção do conhecimento se dá por meio da interação das pessoas no ambiente. A fundamentação teórica do sócio-construtivismo está na visão da aprendizagem como um processo dinâmico de colaboração recíproca na troca de experiências sociais. A atitude ativa do aluno como construtor integrado do saber contrasta de certa maneira com o modelo tradicional de ensino em que a atitude passiva de receptor predomina. Afirma Preti(1996) que a EAD “oferece serviços educativos aos quais não tiveram acesso diversos setores ou grupos da população, por inúmeros motivos, tais como: localização geográfica ou situação social, falta de oferta de determinados níveis de curso na região onde moram ou ainda questões pessoais, familiares ou econômicas, que impossibilitam o acesso ou continuidade do processo educativo.” (PRETI, 1996, p. 20). Esses motivos certamente apontam para uma EAD complementadora e facilitadora do acesso à educação de uma parcela considerável da população, principalmente quando consideramos um país com dimensões continentais como o Brasil. Num contexto atual, indicam também a importância de se investir em setores de base como o elétrico quando o foco é a EAD. Com relação ao professor, o que a EAD espera é que este vá além da preparação obtida pelo sistema educativo convencional – formação para o magistério. O educador “hi- 39 tech” deverá ter domínio técnico para planejar e manter operacionalmente seu curso11 e ser capaz de atuar como um incentivador/facilitador no processo de ensino-aprendizagem. 3.3 – O CMS Moodle como ferramenta de EAD Após a instalação do Moodle, o super usuário admin é criado e é este usuário que começa a construir toda a estrutura necessária à implantação da EAD. A criação de cursos no Moodle é autorizada, por padrão, aos usuários administradores. Depois de instalado o acesso ao site é sempre feito por uma página que possui características e controles separado das demais páginas do site. O seu nome de referência é Página Inicial. As informações colocadas na Página Inicial são mostradas para todos os usuários que acessam o site. Na Página Inicial do site encontramos o bloco Acesso que permite ao usuário acessar as outras páginas do site, mediante a digitação de usuário e senha. O primeiro acesso é realizado pelo administrador (admin) que tem poderes para criar cursos, alunos, professores etc. Depois de acessar o site como administrador, a página mostrada apresenta um bloco chamado Administração do Site que permite entre outras funções, a criação/modificação dos cursos, como ilustra a Figura 6. Figura 6- Bloco de Administração do site no Moodle Fonte: EEaD Professor Benedito (2013) 11 Aqui a palavra curso tem a conotação de disciplina ou componente curricular, embora outro sentido possa ser dado como na expressão “curso do rio”, o de caminho. 40 O Moodle oferece três opções de formato para a configuração do curso: social, semanal e tópicos. No formato social um fórum é publicado na página principal do curso. No semanal o curso é organizado em semanas, com datas de início e fim. No formato de tópicos não há limite de tempo e cada assunto representa um tópico. Depois de criada, a página de curso mostra o botão “ativar edição” – Figura 7. Somente quando o usuário tem este poder (por default, administrador do site ou professor), e que ao ser clicado faz aparecer na tela as opções que permitem incluir, alterar ou excluir as atividades, os materiais ou a estrutura do curso. Figura 7- Página de Curso criada no Moodle com destaque para o botão "Ativar Edição" Fonte: EEaD Professor Benedito (2013) A Figura 7 mostra os ícones de edição e os botões para acrescentar recursos ou atividades à página de curso. Nesta página notamos que as informações são distribuídas em três colunas, sendo a coluna do meio a mais larga e onde estão os conteúdos principais do curso, neste exemplo, separados semanalmente. Na coluna da esquerda temos os blocos: Participantes, Atividades, Pesquisar nos fóruns, Administração e Categoria de Cursos. Na da direita temos: Calendário, Usuários Online, Próximos eventos, Atividade recente e Blocos. 41 Figura 8 - Ícones de edição e botões de recursos e atividades em página de curso Moodle Fonte: EEaD Professor Benedito (2013) O administrador do curso, seu criador ou o usuário admin, pode alterar a disposição destes blocos como desejar. Por exemplo, mudando a localização de Categoria de Cursos que está na coluna esquerda para a direita. Pode também, pela opção Blocos, incluir novos blocos como: Administrar Favoritos, Alimentador RSS remoto, Calculadora de financiamento, Descrição do Curso etc. Quanto aos recursos oferecidos pelo Moodle encontramos: criar uma página de texto simples, criar uma página web, link a um arquivo ou site, visualizar um diretório, usar um pacote IMS CP ou inserir um rótulo. As atividades, por sua vez são: base de dados, chat, diário, escolha, fórum, glossário, LAMS, lição, pesquisa de avaliação, questionário, SCORM/AICC, wiki e quatro modalidades de tarefas: avançada de carregamento de arquivos, texto online, envio de arquivo único e atividade offline. Esta rápida apresentação de funcionalidades do Moodle nos dá uma noção da variedade de opções e nos possibilita afirmar que esses recursos e atividades permitem a criação e configuração de cursos, nos quais diversos aspectos importantes podem ser ajustados para atender às necessidades específicas dos alunos, da turma, do curso ou da escola. Depois de definido o formato do curso, cabe ao professor incluir os conteúdos de apoio básicos que julgar necessário para ministrar sua aula. Desta maneira a criatividade e o 42 conhecimento técnico de informática e do ambiente Moodle são fatores relevantes para a construção do curso. Durante a construção do curso o professor deve atentar para a natureza da comunicação usada pelo recurso ou atividade escolhida. As comunicações permitidas no Moodle podem ser síncronas como nas salas de bate-papo (chat´s) ou assíncronas como nos fóruns. Na comunicação assíncrona a interação entre usuários (professores, alunos etc.) não acontece em tempo real. Este tipo de comunicação, segundo Veiga et al. (1998, p.4) apresenta as seguintes vantagens: flexibilidade, tempo para reflexão, aprendizagem “local” e custo razoável. Esses autores afirmam também, que as vantagens do modo síncrono são: motivação, telepresença, bom feedback e melhor acompanhamento. Os modos de comunicação síncrona e assíncrona são complementares quando vistos como recursos didáticos que o professor pode usar na construção do seu curso. 3.4 - Onde estão definidas no Moodle as funcionalidades de segurança da informação A implantação e uso de um modelo de SGSI no Moodle irão exigir do administrador do site ou do responsável pela segurança das informações da escola a utilização da maioria das funções fornecidas pelo bloco “Administração do site”. Neste trabalho apresentamos cada função administrativa, com especial atenção àquelas que de alguma maneira possam auxiliar na gestão segura das informações da escola. Apesar de oferecer uma opção de Segurança, a gestão responsável dos ativos da escola requer o uso de funcionalidades como, por exemplo, Usuários que permite o gerenciamento da autenticação e senha. A Figura 9 mostra o conjunto de funções administrativas fornecidas pelo frame “Administração do site” agrupado por: Usuários, Cursos, Notas, Local, Idioma, Módulos, Segurança, Aparência, Página inicial, Servidor, Rede, Relatórios e Miscelânea. 43 Figura 9- Bloco Administração do site Moodle Fonte: EEaD Professor Benedito (2013) Ao clicar na opção Usuários, Figura 10, o administrador tem acesso a três categorias de funções: Autenticação, Contas e Permissões. A Autenticação permite definir os parâmetros relativos à autenticação de usuários dada pelas opções: Gerenciar autenticação, Apenas contas manuais, Autenticação via correio eletrônico e Nenhum login. Em Contas, é possível realizar operações como: Mostrar lista de usuários, Ações em conjunto de usuários, Acrescentar novo usuário, Carregar lista de usuários, Carregar imagens de usuários e Campos de perfil de usuário. E, por último, em Permissões o administrador do site pode tratar as permissões de acesso pelas opções: Definir funções, Designar funções globais do sistema e Políticas para usuários. Figura 10 - Funções para controlar usuários no Moodle Fonte: EEaD Professor Benedito (2013) 44 A opção Cursos do frame Administração do site, Figura 11, permite Acrescentar/ modificar cursos, definir características sobre as Inscrições, parâmetros padrões para os cursos, parâmetros sobre pedido de curso e realizar cópias de segurança (backups). Figura 11 - Funções para controlar os cursos no Moodle Fonte: EEaD Professor Benedito (2013) A opção Notas do frame Administração do site, Figura 12, permite definir Configurações gerais, a Configuração da categoria de nota, Configuração do item de nota, Escalas, Letras e Configurações do relatório de notas. Figura 12 - Funções para controlar notas no Moodle Fonte: EEaD Professor Benedito (2013) A opção Local do frame Administração do site, Figura 13, permite definir Parametrização de local e Atualizar Fuso Horário. Figura 13 - Funções para controlar local no Moodle Fonte: EEaD Professor Benedito (2013) A opção Idioma do frame Administração do site, Figura 14, permite definir Configurações de idiomas, Edição de idiomas e instalar Pacotes de idiomas. 45 Figura 14 - Funções para controlar idioma no Moodle Fonte: EEaD Professor Benedito (2013) A opção Módulos, do frame Administração do site, Figura 15, permite definir três grupos de configurações: Atividades, Blocos e Filtros. Atividades permite: Gerenciar atividades, Base de dados, Chat, Fórum, Glossário, LAMS, Questionário, Recurso, SCORM/AICC e Tarefa. Blocos permite: Gerenciar Blocos, Blocos adesivos, Alimentador RSS remoto, Cursos, Pesquisa Global e Usuários Online. E finalmente, Filtros permite: Gerenciar filtros e Censurar Palavras. Figura 15 - Funções para controlar os módulos no Moodle Fonte: EEaD Professor Benedito (2013) 46 A opção Segurança do frame Administração do site, Figura 16, permite definir Políticas do site, Segurança de HTTP, Módulo de segurança, Notificações e Anti-Vírus. Figura 16 - Funções para controlar a segurança no Moodle Fonte: EEaD Professor Benedito (2013) A opção Aparência do frame Administração do site, Figura 17, permite definir em Temas: Configurações de tema e Seletor de tema. Além de Temas, o administrador do site tem acesso às opções: Calendário, Editor HTML, Configurações HTML, Moodle Docs, Meu Moodle, Administradores de curso, AJAX e Javascript, e Gerenciar tags. Figura 17 - Funções para controlar temas no Moodle Fonte: EEaD Professor Benedito (2013) A opção Página Inicial do frame Administração do site, Figura 18, permite definir: Configurações da página principal, Funções da página principal, Backup da página principal, Restaurar a página principal, Questões da página principal e Arquivos do site. 47 Figura 18 - Funções para controlar a página inicial no Moodle Fonte: EEaD Professor Benedito (2013) A opção Servidor do frame Administração do site, Figura 19, permite definir: Caminhos do sistema, Email, Manipulação de sessão, RSS, Debugging, Estatísticas, HTTP, Modo de manutenção, Limpeza, Ambiente, PHP info, e Performance. Figura 19 - Funções para controlar o servidor no Moodle Fonte: EEaD Professor Benedito (2013) A opção Rede do frame Administração do site, Figura 20, permite definir: Configurações, Pares, Controle de acesso SSO, Inscrições, Hospedeiro XML-RPC. 48 Figura 20 - Funções para controlar a rede no Moodle Fonte: EEaD Professor Benedito (2013) A opção Relatórios do frame Administração do site, Figura 21, permite definir: Backups, Sumário do curso, Logs, Live logs, Questão, Security overview, Spam cleaner, Estatísticas, e Unidades de teste. Figura 21 : Funções para controlar relatórios no Moodle Fonte: EEaD Professor Benedito (2013) A opção Miscelânea do frame Administração do site, Figura 22, permite definir: Experimental e editor XMLDB. 49 Figura 22 - Funções para controlar miscelâneas no Moodle Fonte: EEaD Professor Benedito (2013) O conjunto de funções do CMS Moodle apresentado possibilita aos administradores do site, responsáveis pela segurança da informação, configurar e implementar a maioria dos controles de segurança descritos na Norma NBR 27002 da Associação Brasileira de Normas Técnicas (2005). Além das funções citadas, o fato de o CMS Moodle ser livre e de código aberto, permite que os responsáveis pelo sistema possam modificar o seu código fonte, incluído, excluindo ou alterando as instruções dos módulos de programas. Esta possibilidade permite a personalização ou adequação do CMS Moodle às características específicas de uma organização. A alteração dos códigos fontes do CMS Moodle deve ser vista com cautela, uma vez que a migração futura para novas versões do Moodle pode exigir um esforço em reescrita e adaptação do código fonte, também conhecido pelo termo “retrabalho”. Em Anexo 1, apresentamos o código fonte do arquivo index.php que é o primeiro programa executado quando o CMS Moodle é chamado e tem a função de apresentar a página principal. Este programa foi escrito na linguagem PHP. 3.5 – Pontos positivos e negativos da segurança da informação no CMS Moodle O CMS Moodle apresenta características que contribuem para a segurança das informações manipuladas pelo site, enquanto há outras que a comprometem completamente. Nosso propósito é apresentar uma classificação destas proteções e vulnerabilidades tomando 50 por base as recomendações da Norma NBR 27002 da Associação Brasileira de Normas Técnicas (2005). Embora existam muitas funcionalidades para blindar o sistema da ação de violadores da segurança da informação no CMS Moodle, muitas destas funcionalidades não são préconfiguradas e exigem do administrador atenção especial. Relacionamos abaixo uma lista de alguns pontos positivos e negativos apresentados pelo CMS Moodle e que devem ser considerados relevantes quando estivermos configurando o sistema. Alguns pontos positivos do CMS Moodle: Utiliza PHP como linguagem de programação dos seus diversos módulos. Esta linguagem de script de uso geral e código fonte livre é amplamente utilizada em desenvolvimento Web para gerar páginas dinâmicas no lado servidor; Tem um conjunto de funções administrativas que permitem definir e gerenciar os controles de segurança; Oferece relatórios estatísticos que auxiliam a auditoria e implementação de ajustes técnicos; Permite o desenvolvimento de novos módulos para usos específicos, o que permite a personalização dos sistemas; Permite a instalação de plug-ins específicos como: idiomas e contra plágios; Usa privilégios associados à conta de usuários o que limita suas ações no sistema. Alguns pontos negativos do CMS Moodle: O processo de instalação exige do instalador conhecimentos relevantes sobre o funcionamento geral de sistemas Web; A implementação de algumas medidas de segurança exige conhecimento técnico específico de informática; O controle de acesso de usuários adota o padrão de senha fraca; A Política do Site não é, por padrão, obrigatória; 51 A segurança da fase de autenticação de aluno no processo de cadastramento é fraca; A segurança do processo de matrícula padrão é fraca. 3.6 – Administração do Conhecimento A Administração do Conhecimento ou Gestão do conhecimento é um modelo de gestão empresarial que ganhou ênfase a partir da década de 90, decorrente das mudanças vividas pelas empresas que viram a informação e o conhecimento crescerem em importância. Antes de conceituar a Administração do Conhecimento, se faz necessário compreender o conhecimento. Para Moresi o conhecimento: [...] não é estático, modificando-se mediante a interação com o meio, sendo esse processo denominado aprendizado. Uma visão mais ampla é que o aprendizado é a integração de novas informações em estruturas de conhecimento, de modo a torná-las potencialmente utilizáveis em processos futuros de processamento e elaboração. Além disto, conhecimentos novos podem resultar de um processo de inferência na própria estrutura de conhecimento. (MORESI, 2000, p. 19). Segundo Probst, Raub e Romhardt : Conhecimento é o conjunto total incluindo cognição e habilidades que os indivíduos utilizam para resolver problemas. Ele inclui tanto a teoria quanto a prática, as regras do dia-a-dia e as instruções sobre como agir. O conhecimento baseia-se em dados e informações, mas ao contrário delas, está sempre ligado a pessoas. Ele é construído por indivíduos e representa suas crenças sobre relacionamentos causais. (PROBST; RAUB; ROMHARDT, 2002, p. 29). O valor da informação varia de acordo com o contexto organizacional ao qual pertence. Há situações em que a mesma informação pode ser desprezada numa empresa e considerada vital em outra. Apesar de o termo informação ser usado genericamente para referenciar todas as representações e formas de dados, Urdaneta (1992 apud Moresi, 2000, p. 18) afirma existirem, de fato, quatro classes diferentes de informação: dados, informação, conhecimento e inteligência. Moresi (2000, p. 18) propõe o escalonamento da informação numa hierarquia que garanta um volume sem excessos de informações e dados, pois podem mascarar a solução do problema. A Figura 23 apresenta um diagrama desta hierarquia das classes de informação. 52 Figura 23 - Níveis hierárquicos da informação Fonte: Moresi (2000, p.18) Os escalões inferiores de uma organização ou empresa necessitam de informação quantitativa com baixo valor agregado enquanto os altos escalões necessitam de informação qualitativa e de alto valor agregado o que possibilita ter uma visão global da situação. No nível mais baixo e com menor valor contextual para o processo decisório estão os dados, considerados como a matéria-prima para a produção de informações. Constituem-se então, num conjunto de sinais registrados numa mídia qualquer e que ainda não passaram por processo de interpretação. Depois de processados, os dados tornam-se informação, sendo então inteligíveis às pessoas. Moresi apresenta algumas características para o termo “processamento de dados”: “Processar dados inclui a revelação de fotografias de um filme, as transmissões de rádio transformadas em um formato de relatório padronizado, a exibição de arquivos de computador como texto ou gráfico em uma tela, a grade de coordenadas de um mapa, etc. O processo de transformação envolve a aplicação de procedimentos que incluem formatação, tradução, fusão, impressão e assim por diante. A maior parte deste processo pode ser executada automaticamente.” (MORESI, 2000, p. 19) O processo de transformação inicial de dados em informações pode ser seguido de outro processo chamado elaboração que permite acrescentar novas características ao problema como: hipóteses, conseqüências, explanações e soluções. 53 O próximo nível, o conhecimento, é resultado da análise e avaliação das informações sob os aspectos de confiabilidade, importância e relevância. O conhecimento é fundamental para a organização compreender melhor o problema e tomar decisões mais acertadas. A dinâmica de transformação do conhecimento, resultantes da interação deste com o meio ambiente, é denominada por Moresi (2000, p. 19) aprendizagem, que afirma ainda, ser este aprendizado numa visão mais ampla a junção de novas informações nas estruturas de conhecimento. A inteligência é o último nível desta hierarquia, sendo entendida a informação como oportunidade que permite atuar com vantagem. Para as empresas usa-se o termo “inteligência organizacional” para referir-se ao conhecimento sintetizado dentro da própria organização. Nonaka e Takeuchi afirmam que: A passagem para a Sociedade do Conhecimento elevou o paradoxo, de algo a ser eliminado e evitado para algo a ser aceito e cultivado. As contradições, as inconsistências, os dilemas, as dualidades, as polaridades, as dicotomias e as oposições, não são alheios ao conhecimento, pois o conhecimento em si é formado por dois componentes dicotômicos e aparentemente opostos – isto é, o conhecimento explícito e o conhecimento tácito. (NONAKA; TAKEUCHI, 2004, p. 19) Nas empresas, o conhecimento explícito é organizado e acessível, enquanto o conhecimento tácito está na mente das pessoas e é de difícil representação formal. Contudo, Nonaka e Takeuchi afirmam existir, nas organizações, um esforço em transformar o conhecimento tácito em explícito e de explícito novamente em tácito. A este processo os autores nomearam espiral do conhecimento, ilustrado na Figura 24. Quatro modos de conversão são identificados na espiral do conhecimento: socialização (de tácito para tácito); externalização (de tácito para explícito); combinação (de explícito para explícito) e internalização (de explícito para tácito); A socialização do conhecimento ocorre quando há compartilhamento de experiências, sendo a linguagem opcional. No processo de externalização há o uso de metáforas, conceitos, analogias e modelos. A combinação é resultado da mistura de conhecimentos explícitos. E a internalização resume-se ao aprender fazendo, onde, por exemplo, uma pessoa com o uso de um manual aprende a manusear um aparelho. 54 Figura 24 - Espiral do conhecimento Fonte: NONAKA; TAKEUCHI (2004, p.19) É possível pensar o professor como gestor do conhecimento dos alunos, uma vez que é ele quem está mais próximo dos mesmos e que também possui os elementos avaliativos e individualizados que permitem indicar suas evoluções. A informação é um bem abstrato e intangível, mas o seu valor é real e todas as pessoas se beneficiam dela. Dentro das organizações os executivos tomam suas decisões baseadas em informações previamente processadas. Estes processos pelos quais as informações são submetidas se constituem em um conjunto complexo de investigação, análise e reflexão. Para a tomada de decisão, o executivo precisa ter a disposição a quantidade certa de informações e dados. O excesso ou falta destas informações pode ocasionar erros na decisão. Todo conhecimento advém de uma fonte de informação. Para criar um novo conhecimento é imprescindível que este seja embasado por outro conhecimento já existente e devidamente comunicado em alguma fonte de informação, seja ela oral, escrita ou audiovisual (SALES; ALMEIDA, 2007, p.72). A escola do ponto de vista organizacional pode ser pensada como uma empresa prestadora de serviços educacionais que tem na informação seu produto principal. Numa macro análise identificamos dois grandes grupos de informações que transitam numa organização escolar: as relacionadas diretamente com a gestão da organização e as que constituem o conjunto de dados manipulados pelos professores e alunos, e que objetivam construir o saber dos alunos. 55 No contexto escolar a informação adquire um valor maior, pois pode ser considerada como o princípio e o fim da maioria dos processos de ensino-aprendizagem por ela desencadeados. É pela informação e para a informação que a escola trabalha. Moresi (2000) afirma que: “Hoje em dia, existe o consenso de que na sociedade pós-industrial, cuja economia assume tendências globais, a informação passou a ser considerada um capital precioso equiparando-se aos recursos de produção, materiais e financeiros.” (MORESI, 2000, p. 14) Para atingir seus objetivos, uma organização educacional precisa considerar os valores da informação e do sistema de informação envolvidos na própria gestão. As preocupações das empresas com a segurança das informações indicam, de certa maneira, que a informação tem valor. Segundo Moresi (2000, p. 24) são as diferenças da informação quando comparadas a outros recursos que dificultam ou não permitem a sua classificação em termos econômicos. Quantificar o valor da informação é uma tarefa difícil. No entanto, Cronin (apud Moresi, 2000, p.16) propõe uma classificação nos seguintes tipos: Valor de uso: vem do uso que se fará da informação; Valor de troca: reflete o valor de mercado e varia de acordo com as leis de oferta e procura; Valor de propriedade: representa o custo substitutivo de um bem; Valor de restrição: aparece quando a informação é de uso restrito a um conjunto de usuários. Apesar de a informação ser considerada um bem intangível, a sua segurança exige o controle e monitoramento dos bens tangíveis e intangíveis. Um estudo detalhado da Administração do conhecimento como metodologia ou estratégia de desenvolvimento das empresas e organizações revela a sua conexão com os processos de ensino, na medida em que estes buscam desenvolver nos indivíduos seus processos criativos e de aprendizado. Terra (2005, p.2) afirma que vivemos num ambiente, “[...] onde as vantagens competitivas precisam ser permanentemente, reinventadas e onde setores de baixa intensidade em tecnologia e conhecimento perdem, inexoravelmente, participação econômica.” 56 Capítulo-4 IMPLEMENTAÇÃO NECESSÁRIA DE SEGURANÇA DA INFORMAÇÃO AO CMS MOODLE Cada escola tem uma necessidade específica de segurança que varia de acordo com suas características como: público alvo; metodologia de ensino; área de atuação etc., e é a partir destas necessidades que o SGSI é concebido e estruturado. No Moodle, a existência de um conjunto de rotinas administrativas de segurança que permitem a implantação de um SGSI na escola indica a preocupação dos desenvolvedores com as normas e padrões internacionais. Há, no entanto, algumas alterações importantes relacionadas à segurança das informações que precisam ser realizadas pelo administrador na implantação e/ou manutenção do sistema. No tópico 3.5 – Pontos positivos e negativos da segurança da informação no CMS Moodle, deste trabalho, elencamos um conjunto de características presentes no Moodle que precisam ter suas configurações ajustadas para torná-lo menos vulnerável a ataques. Adiante apresentamos em detalhes uma sequência de operações de configuração do CMS Moodle, necessárias para se conseguir mais segurança e torná-lo adequado aos padrões indicados na Norma NBR 27002 da Associação Brasileira de Normas Técnicas (2005). Nossas ações estarão focadas em: controlar o acesso de usuários com senha forte; implantar uma política de site; estabelecer um processo seguro e controlado de cadastramento de alunos e matrícula. A análise de todos os requisitos da Política de Segurança da Informação é uma tarefa árdua e complexa que exigiria um estudo bastante aprofundado, extrapolando os limites do escopo proposto para este trabalho. Nestes termos, para avançar em nossa pesquisa, buscaremos identificar no CMS Moodle quais são as funções administrativas que permitiriam a implementação e controle seguro do acesso dos usuários com senha forte, da Política do Site e dos processos de cadastramento de alunos e matrícula nos cursos, tomando por base as recomendações estabelecidas pela Norma NBR 27002 da Associação Brasileira de Normas Técnicas (2005). Para controle seguro sobre o acesso dos usuários com senha forte a Norma NBR 27002, apresenta os controles: (73) – Controle: Acesso – Política de controle de acesso. 57 11.1.1 – Convém que a política de controle de acesso seja estabelecida e analisada criticamente, tomando-se como base os requisitos de acesso dos negócios e segurança da informação (ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS, 2005, p. 65). (76) – Controle: Acesso – Gerenciamento de senha do usuário. 11.2.3 – Convém que a concessão de senhas seja controlada através de um processo de gerenciamento formal (ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS, 2005, p. 68). (78) – Controle: Acesso – Uso de senhas. 11.3.1 – Convém que os usuários sejam solicitados a seguir as boas práticas de segurança da informação na seleção e uso de senhas (ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS, 2005, p. 69). (90) – Controle: Acesso – Sistema de gerenciamento de senha. 11.5.3 – Convém que sistemas para gerenciamento de senhas sejam interativos e assegurem senha de qualidade (ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS, 2005, p. 77). Para a Política do Site, identificamos na Norma NBR 27002, os seguintes controles: (59) – Controle: Operações e Comunicações – Políticas e procedimentos para a troca de informações. 10.8.1 – Convém que políticas, procedimentos e controles sejam estabelecidos e formalizados para proteger a troca de informações em todos os tipos de recursos de comunicação (ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS, 2005, p. 53). (60) – Controle: Operações e Comunicações – Acordos para trocas de informações. 10.8.2 – Convém que sejam estabelecidos acordos para a troca de informações e software entre organizações e entidades externas (ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS, 2005, p. 53). Para controle seguro sobre os processos de cadastramento de usuários a Norma NBR 27002, apresenta os controles: 58 (74) – Controle: Acesso – Registro de usuário. 11.2.1 – Convém que exista um procedimento formal de registro e cancelamento de usuário para garantir e revogar acesso em todos os sistemas de informação e serviços (ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS, 2005, p. 66). (89) – Controle: Acesso – Identificação e autenticação de usuário. 11.5.2 – Convém que todos os usuários tenham um identificador único (ID de usuário) para uso pessoal e exclusivo, e convém que uma técnica adequada de autenticação seja escolhida para validar a identidade alegada por um usuário (ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS, 2005, p. 77). Para controle seguro sobre os processos de matrícula dos usuários nos cursos a Norma NBR ISO/IEC 27002/2005, apresenta os controles: (75) – Controle: Acesso – Uso de privilégio – Restritos e controlados. 11.2.2 – Convém que a concessão e o uso de privilégios sejam restritos e controlados (ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS, 2005, p. 67). (77) – Controle: Acesso – Análise crítica dos direitos de acesso de usuário. 11.2.4 – Convém que o gestor conduza a intervalos regulares a análise crítica dos direitos de acesso dos usuários, por meio de um processo formal (ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS, 2005, p. 68). (81) – Controle: Acesso – Política de uso de serviço de rede. 11.4.1 – Convém que os usuários somente recebam acesso para os serviços que tenham sido especificamente autorizados a usar (ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS, 2005, p. 71). 4.1 – Senha forte O uso de senhas de autenticação no acesso lógico à sistemas é um prática bastante utilizada em ambientes informatizados. A falta de cuidados ou atenção nos processos de criação, verificação e uso de senhas deixa a aplicação vulnerável a ataques de hackers. Utilizando uma técnica chamada força bruta, os sistemas que utilizam senhas fracas são facilmente invadidos. 59 Para configurar as senhas definidas pelos usuários, de maneira que atendam ao padrão de senha forte, o administrador deve acessar o conjunto de funções administrativas fornecidas pelo frame “Administração do site” e clicar em Segurança/Política do site. Uma tela de opções de configuração será mostrada, vide Figura 25, onde devemos assinalar Política de senhas, cujo padrão é não. Ao assinalar esta opção, o CMS Moodle passa a verificar as senhas informadas pelos usuários durante o processo de cadastramento e recusa aquelas que não atendam às regras definida nos itens: Comprimento da senha; Dígitos; Letras minúsculas; Letras maiúsculas e Caracteres não alfanuméricos. Figura 25 - Controles da política de senha Fonte: EEaD Professor Benedito (2013) Em Comprimento da senha, uma quantidade mínima de caracteres é definida e qualquer tentativa de criar uma senha menor resultará em mensagem de erro e na não criação da senha. Dígitos estipula a quantidade de dígitos numéricos (0, 1, 2, 3, 4, 5, 6, 7, 8, 9) que a senha deve ter para ser aceita como válida durante o processo de criação. Letras minúsculas e maiúsculas, de forma análoga aos dígitos definem respectivamente a quantidade mínima de letras minúsculas e maiúsculas que a senha válida deve ter para ser criada. Caracteres não numéricos define a quantidade de outros símbolos (!, @, $, %, &, etc.) que devem ser definidos para que a nova senha seja válida. 60 Depois de ativar Política de senha e definir as características da senha, todas as novas senhas geradas atenderão ao padrão estabelecido. Qualquer tentativa de criar uma senha que não atenda a todas estas especificações resultará em mensagem de erro como a ilustrada pela Figura 26. Figura 26 - Mensagens de erro na criação de senhas Fonte: EEaD Professor Benedito (2013) 4.2 – Política de Site A política do site é um documento disponibilizado online para todos os usuários e que apresenta de forma generalizada as normas e regras a serem aceitas por estes antes de terem acesso efetivo às informações do site. Os usuários precisam explicitamente concordar com os termos da política do site antes de prosseguirem no acesso, o que normalmente é feito pela apresentação do texto contendo a política e duas opções de clique: Sim e Não. Este documento deve apresentar regras de conduta a serem seguidas por alunos, professores e demais colaboradores que permitam assegurar que as informações fornecidas ou obtidas do site, estejam em concordância com os princípios apresentados nos capítulos anteriores deste trabalho, e que são: Confidencialidade, Integridade, Disponibilidade, Autenticidade e Legalidade. 61 Para configurar o CMS Moodle de maneira que todos os usuários visitantes ou não tenham que concordar com os termos da Política do site antes de acessarem os conteúdos, o administrador deve acessar o conjunto de funções administrativas fornecidas pelo frame “Administração do site” e clicar em Segurança/Política do site. Na tela apresentada, conforme ilustra a Figura 27, o administrador deve informar a URL12 de onde se encontra o arquivo com as regras da Política do Site. Este arquivo pode a princípio ter qualquer formato, mas tipos que permitam proteção contra a alteração de conteúdos como o Adobe Pdf são mais indicados. Figura 27 - URL da política do site Fonte: EEaD Professor Benedito (2013) O padrão CMS Moodle para a Política do Site é não, o que indica a inexistência de política. No entanto, num ambiente que busca a segurança das informações, tal atitude é inaceitável. Depois de construído o texto da política, o arquivo pode ser colocado em um dos subdiretórios onde o CMS Moodle foi instalado, mas o local mais indicado é em “Arquivos do site”. Este é o lugar público e reservado pelo sistema para guardar os arquivos que necessitam ser acessados por todos. 12 Sigla para Uniform Reource Location, ou Localização Uniforme de Recursos. É o padrão de endereços na internet e cada página do site tem uma URL específica. A URL da EEaD Professor Benedito é: http://www.benejsa.com.br/moodle. 62 Para carregar arquivos no subdiretório “Arquivos do Site” o administrador deve acessar o conjunto de funções administrativas fornecidas pelo frame “Administração do site” e clicar em Página Inicial/Arquivos do site. Na Figura 28, ilustramos como o CMS Moodle apresenta o texto da Política do Site quando o usuário está acessando o sistema pela primeira vez. Figura 28 - Apresentação do texto da Política do site Fonte: EEaD Professor Benedito (2013) 4.3 – Controle seguro do cadastramento de aluno Um ataque de força bruta pode ocorrer na etapa de cadastramento de novo usuário, quando é necessário logar-se ao servidor Moodle. O CMS Moodle adota, por padrão, uma política fraca de segurança nesta fase de autenticação, tornando o sistema bastante vulnerável. Para melhorar o processo e torná-lo mais seguro o CMS Moodle dispõe do recurso de ReCaptcha. Este serviço apresenta uma caixa de diálogo para o aluno, baseado na interface do 63 Captcha13 que solicita a digitação de palavras distorcidas apresentadas na tela do usuário. Permite também a utilização dos serviços por pessoas cegas ou de baixa visão, pois dispõem de recursos sonoros. O serviço de ReCaptcha faz parte atualmente do Google e para utilizá-lo é necessário ter uma conta Google válida. Depois de acessar o site do ReCaptcha e fornecer alguns dados de identificação o interessado obtém dois códigos chamados: Chave Pública e Chave Privada. A habilitação do serviço no Moodle é feita em dois formulários específicos de administração. Primeiro é necessário clicarmos em: Administração/Usuários/Autenticação/ Autenticação Via Correio Eletrônico e em Ativar elemento ReCaptcha. A Figura 29 ilustra esta opção do CMS Moodle. Figura 29 - Opção ReCaptcha do Moodle Fonte: EEaD Professor Benedito (2013) Depois é necessário informarmos os códigos de Chave Pública e Chave Privada em: Administração/Usuários/Autenticação/ Gerenciar Autenticação, conforme ilustra a Figura 30. Figura 30 - Chaves pública e privada da ReCaptcha no Moodle Fonte: EEaD Professor Benedito (2013) Estes dois códigos serão usados pelo CMS Moodle para acrescentar o recurso de ReCaptcha ao formulário padrão de cadastramento, vide Figura 31. 13 CAPTCHA é um acrônimo da expressão "Completely Automated Public Turing test to tell Computers and Humans Apart" (teste de Turing público completamente automatizado para diferenciação entre computadores e humanos): um teste de desafio cognitivo, utilizado como ferramenta anti-spam, desenvolvido pioneiramente na universidade de Carnegie-Mellon. (WIKIPEDIA, 2013b) 64 Figura 31 - Recurso de ReCaptcha no Moodle Fonte: EEaD Professor Benedito (2013) 4.4 – Controle seguro do processo de matrícula O processo de criação de cursos no CMS Moodle é relativamente simples. Basta que o administrador do site acesse a opção: “Administração do site/ Cursos/ Acrescentar/modificar cursos” e clique no botão “Criar um novo curso”. Na sequência, o formulário de Cadastramento de Novo Curso é apresentado e nele o administrador dever incluir dados como: nome completo do curso, nome breve do curso (sigla do curso), data de início e término etc. O conjunto de informações solicitadas para a criação do novo curso é agrupado em: Geral; Inscrições; Aviso de encerramento de inscrição; Grupos; Disponibilidade; Idioma e Mudança de nome da função. Inscrições, Grupos e Disponibilidade merecem maior atenção do administrador quando estiver criando um novo curso, pois suas configurações padrões deixam o acesso livre a qualquer usuário. Em Inscrições é solicitado um conjunto de informações relativas ao processo de inscrição, que permitem definir: um plugin padrão para inscrição interativa no curso; ativar ou desativar as inscrições e definir o período de inscrição. A Figura 32 ilustra as informações solicitadas sobre Inscrições na página de criação de cursos. Figura 32 - Informações parâmetros sobre inscrições no Moodle Fonte: EEaD Professor Benedito (2013) 65 O recurso Grupos do CMS Moodle permite criar na prática grupamentos distintos de participantes, equivalentes às Classes ou Turmas de uma escola física. Depois de criados é possível definir como será o tratamento dado a estes grupos. As opções de configuração dos tipos de grupo são três: Nenhum grupo - não há divisão dos participantes do curso em grupos; Grupos Separados - os participantes de cada grupo vêem apenas os outros membros deste grupo e os documentos e informações relacionados apenas a estes membros. As mensagens e os participantes de outros grupos não são visíveis; Grupos Visíveis - cada usuário pode participar apenas das atividades do seu grupo, mas pode ver as atividades e os participantes dos demais grupos. A configuração dos tipos de grupo é feita em dois níveis: 1. Configuração geral do curso O tipo de grupo definido a nível de configuração de curso é a opção padrão para todas as atividades do curso 2. Configuração de cada atividade Todas as atividades que aceitam configuração da modalidade de acesso dos grupos podem ter o seu tipo de grupo configurado em modo independente. Esta configuração da atividade será ignorada se a configuração geral do curso "forçar o modo de grupo". A Figura 33 ilustra as informações solicitadas sobre Grupos na página de criação de cursos. Figura 33 - Informações parâmetro sobre grupos no Moodle Fonte: EEaD Professor Benedito (2013) Em Disponibilidade o administrador pode desde ocultar completamente o curso, o que impede o acesso à página do curso mesmo que o usuário informe a URL diretamente na barra de endereços do navegador, até criar um código de inscrição obrigatório para a matrícula. 66 A Figura 34 ilustra as informações solicitadas sobre Disponibilidade na página de criação de cursos. Figura 34 - Informações parâmetros sobre disponibilidade no Moodle Fonte: EEaD Professor Benedito (2013) O bloqueio total acontece quando definimos na opção Disponibilidade que os participantes não podem acessar o curso. A opção código de inscrição permite criar um código que precisa ser digitado no primeiro acesso do usuário ao curso. Este código de inscrição no curso impede o acesso de pessoas não autorizadas. Se deixarmos este campo em branco, qualquer usuário registrado no site poderá inscrever-se no curso através de uma simples visita. Se definirmos uma chave de inscrição, cada aluno terá que inseri-la no formulário de ingresso na primeira vez (e só na primeira vez) em que entrar no curso. O padrão do CMS Moodle para o código de inscrição é brancos, o que significa tornar frágil a segurança das informações, uma vez que qualquer usuário poderá acessar estas informações. O mais seguro é criar um código de inscrição e depois fornecê-lo às pessoas autorizadas utilizando meios como: e-mail pessoal; o telefone ou; até mesmo, durante a aula presencial. Se, por qualquer motivo, o código for utilizado por pessoas não autorizadas, o administrador poderá cancelar essas inscrições e, depois, mudar o código. Neste caso, as inscrições anteriores, efetuadas regularmente, não serão afetadas. Disponibilidade permite também tratar o acesso dos usuários que entrarem como visitantes usando o botão "Acessar como Visitante" na tela de acesso. Os visitantes sempre terão acesso apenas para leitura, ou seja, não podem interferir ativamente no curso, enviar mensagens ao fórum, etc. Isto pode ser útil para permitir que usuários conheçam o curso antes de optarem pela inscrição. 67 O administrador pode controlar e limitar o acesso de visitantes, pois existem dois tipos de acesso de visitantes: com código de inscrição ou sem. O visitante com código de inscrição tem que utilizar o código toda vez que entrar no curso, ao contrário dos alunos inscritos, que utilizam o código só na primeira vez. Quando a opção sem código de inscrição é escolhida, qualquer pessoa poderá visitar o curso. No próximo Capítulo apresentaremos um estudo de caso com a Escola de Ensino a Distância Professor Benedito (EEaD Professor Benedito), onde as implementações de segurança da informação apresentadas e propostas neste Capítulo, são efetivamente realizadas. 68 Capítulo-5 ESTUDO DE CASO DA ESCOLA DE ENSINO A DISTÂNCIA PROFESSOR BENEDITO Os conteúdos manipulados numa escola a distância, sejam eles registros acadêmicos ou pedagógicos, constituem um conjunto importante de informações, vitais ao perfeito funcionamento da organização. Os registros acadêmicos formam, por exemplo, o histórico do aluno, enquanto que os pedagógicos dão suporte às aulas, pois reúne a maioria das fontes de consultas e explicações como livros, apostilas e escritos, além de exercícios e testes de avaliação. 5.1 - Contexto da Pesquisa Os alunos do curso Técnico em Informática da Escola Técnica Estadual Doutor Celso Charuri, na cidade de Capão Bonito em São Paulo convivem com uma realidade que apresenta uma deficiência resultante, em grande parte, das rápidas evoluções que afetam os cursos de tecnologia, notadamente os ligados às áreas de Tecnologia da Informação e Comunicação (TIC). Essa evolução faz obsoleta muito rapidamente as publicações técnicas que serviriam como apoio didático aos diversos componentes curriculares que compõem o curso. As novas versões de softwares como: sistemas operacionais, navegadores, processadores de texto, ambientes de desenvolvimento etc. lançadas com frequência impõem a necessidade de se ter recursos didáticos atualizados para evitar que os alunos ao se formarem tenham desenvolvida uma capacidade técnica distante da realidade exigida pelo mercado. A escola possui atualmente quatro laboratórios de informática e em cada um deles tem vinte computadores para os alunos e um para o professor, todos conectados a um Switch14 que provê acesso através de cabos as redes locais e internet. Os laboratórios possuem ainda, quadro-negro, ar-condicionado e quando necessário um projetor digital, que está disponível se solicitado previamente pelo professor. As condições apresentadas são bastante suficientes para que o professor desenvolva a sua aula prática, mesmo considerando que as salas foram projetadas para comportar quarenta alunos, o que resulta no uso de um computador por dois alunos. 14 Equipamento utilizado em redes para conectar computadores. 69 Nestes casos, apesar de um aluno estar sempre acompanhando a atividade prática do outro durante a execução de um exercício no laboratório, o que limita a sua prática efetiva, esta forma de trabalho permite exercitar o cooperativismo e colaborativismo. Contudo, o professor deve redobrar a atenção, no aspecto prático, para evitar que apenas um aluno, normalmente o mais desenvolvido no tema da aula, pratique. O que de certa maneira potencializa tanto o avanço de uns quanto o retrocesso de outros. A configuração atual da rede local permite que os alunos se comuniquem entre si e com os demais microcomputadores instalados nos outros laboratórios. Todos os microcomputadores da rede possuem dual-boot (Windows15 e Linux16) e um programa de proteção que faz com que esses microcomputadores retornem ao estado inicial (configurações, arquivos etc.) toda vez que são desligados. Este programa de proteção foi adotado pela escola com a intenção de evitar as constantes reinstalações de software, sempre necessárias depois que programas maliciosos ou a ação de um aluno provocavam alterações nas configurações básicas dos computadores. Convém destacar que na maioria das vezes em que estas configurações foram alteradas pela ação de alunos, estas ocorreram de forma não intencional, mas como resultado de grande curiosidade. Embora a adoção desta técnica de proteção resolva os problemas com a reinstalação dos programas, ela não colabora com o processo de aprendizagem dos alunos que não têm condições financeiras ou técnicas suficientes para realizar adequadamente as cópias dos projetos ou trabalhos desenvolvidos durante as aulas em mídias digitais (CD, DVD, Pendrive etc.). Neste caso, talvez, o ideal seria que cada aluno tivesse seu próprio portfólio na rede, pois esta medida resultaria em ganhos de tempo, de finanças e pedagógicos, além de permitir melhor acompanhamento prático do aluno pelo professor que poderia a qualquer momento acessar o portifólio do aluno. O Moodle é um CMS que possibilita a construção de um ambiente online capaz de oferecer ao professor estes benefícios. A EEaD Professor Benedito foi implantada sem a adoção de um SGSI. A intenção inicial era ter um repositório organizado de informações que permitisse o acesso dos alunos aos conteúdos tratados durante as aulas, isto é, encontrar uma maneira de facilitar as aulas presenciais ministradas nos laboratórios do curso de técnico em informática, e também permitir o acesso aos conteúdos desenvolvidos mesmo após o término destas aulas. 15 16 Sistema Operacional para microcomputadores desenvolvido e licenciado pela Microsoft ® Corporation. Sistema Operacional para microcomputadores livre e distribuído sob licença GNU / GPL e outras. 70 Para tal, utilizamos o CMS Moodle como opção de implantação e desenvolvimento da EEaD Professor Benedito. Inicialmente o pacote de instalação foi baixado do servidor Moodle para o provedor de hospedagem. Depois, iniciou-se a descompactação e instalação em ambiente operacional Linux. Durante o processo de instalação alguns parâmetros são solicitados como: a senha do usuário admin (administrador de maior nível no CMS Moodle). Depois de instalado, o administrador optou pelo layout da página inicial e realizou alguns ajustes, adequando-a as necessidades estéticas da escola. O resultado final desta etapa revela-nos a Página Inicial do site Escola de Ensino a Distância Professor Benedito, Figura 35, que apresenta Notícias e Novidades de interesse dos alunos, as Categorias de Cursos, Listagem dos usuários online e um bloco para acesso ao sistema, onde o usuário deve informar o Nome e a Senha. Figura 35 - Página Inicial do site EEaD Professor Benedito Fonte: EEaD Professor Benedito (2013) Nesse contexto, a implantação inicial da EEaD Prof. Benedito, aconteceu de forma empírica, tendo os valores default do Moodle definidos para as funcionalidades administrativas de segurança. Os cuidados e preocupações com a segurança das informações da EEaD Prof. Benedito só aconteceram depois que algumas falhas foram detectadas. 71 Nossa questão norteadora reside em identificar como uma Política de Segurança da Informação pode ser adotada numa escola de ensino a distância implantada pelo MOODLE? Para tal, usaremos as observações, testes e análises de segurança pertinentes, do site Escola de Ensino a Distância Professor Benedito (EEaD Prof. Benedito), hospedado em plataforma Linux desde 2009, e que conta atualmente com cerca de oitocentos alunos cadastrados. Estes alunos constituem a base de dados de onde serão extraídas as evidências para a presente pesquisa. 5.2 – Coleta de evidências Apresentamos adiante um conjunto de evidências coletadas do site EEaD Professor Benedito que indicam vulnerabilidades no sistema de segurança de informações, porque não apresentam os controles necessários para tal. Começamos pelo acesso à página inicial do site EEaD Professor Benedito que está disponível a qualquer usuário da internet. Outras páginas também estão disponíveis a usuários não cadastrados no sistema, pois permitem o acesso de usuários visitantes (guest). Esta permissão de acesso precisa ser bem formulada, pois ganhar acesso a outras partes do site pode significar aumentar os riscos de segurança na escola. A Figura 36 ilustra a página de “Acesso ao site”. Nesta página notamos a existência de dois botões que permitem o acesso: Acesso e Acessar como visitante. Se o usuário ainda não tiver cadastro no site, e desejar fazê-lo, deverá preencher o Formulário de cadastramento, cujo link de acesso encontra-se disponível nesta mesma página. 72 Figura 36 - Página de acesso ao site Fonte: EEaD Professor Benedito (2013) O acesso de visitantes é um recurso bastante interessante, porque informações públicas e que precisam ser distribuídas, independentemente do usuário estar ou não cadastrado no sistema, são comuns em muitos sistemas. E “engessar o sistema de acesso”, permitindo que apenas os usuários cadastrados possam acessar tais informações, é sem dúvida fator limitante e complicador de todo o processo. Entretanto, convém destacar que mesmo para os usuários visitantes é necessário que haja controles sobre o acesso e que se possa também rastrear suas atividades no site. Caso o usuário opte por preencher o formulário de cadastramento, uma página solicitando seus dados principais, todos obrigatórios, será apresentada como ilustra a Figura 37. Esta página tem dois grupos de informação: Preencha com um novo nome de usuário e uma nova senha e Complete com alguns dados pessoais. 73 Figura 37 - Página para Cadastramento de novo usuário Fonte: EEaD Professor Benedito (2013) Neste cadastramento o CMS Moodle verifica apenas se o usuário digitou uma senha, mas não efetua nenhuma verificação quanto ao seu tamanho ou constituição, chegando a aceitar senhas de um único caractere, algo muito fácil de ser violado. As configurações padrão do CMS Moodle não exibem na tela de Cadastramento de novo usuário o espaço referente à Política do site. É necessário alterar as configurações para que o usuário passe a ter a oportunidade de ler a Política do site e expressamente dar o seu aceite. As únicas verificações realizadas pelo CMS Moodle quando o usuário clica no botão Cadastrar este novo usuário é se já existe no sistema um usuário cadastrado com o mesmo nome e/ ou email informado. Nestes casos, o sistema retorna a mensagem “Este nome de usuário já existe” e/ou ”Endereço de email inválido“, que para um invasor tem bastante importância, pois revela os nomes dos usuários cadastrados. A Figura 38 ilustra uma situação em que o usuário incluiu em seu cadastro um conjunto de dados inautênticos. Figura 38 - Evidência de dados inautênticos Fonte: EEaD Professor Benedito (2013) 74 Outro controle interessante e necessário é o uso de ReCaptcha para inibir os cadastramentos automatizados ou uso de força bruta na criação de contas. Para isso, o administrador deverá informar novos parâmetros de configuração, apresentados em detalhes mais adiante neste trabalho. Para a matrícula em cursos também há algumas configurações que se fazem necessárias para aumentar a segurança das informações, pois a configuração padrão CMS Moodle permite que qualquer aluno possa se cadastrar num novo curso. Um processo de matrícula seguro deverá exigir do aluno a informação de um código específico do curso, além de vincular a confirmação deste pelo professor ou administrador encarregado desta tarefa. A Figura 39 mostra a ficha de um aluno matriculado em diversos cursos e que informou cidade e país inautênticos. Figura 39 - Evidência de falha de autenticidade Fonte: EEaD Professor Benedito (2013) Na listagem obtida ao clicar na opção: Mostrar lista de usuários que está no frame Administração do site/Usuários/Contas, mostrada na Figura 40, permite identificar facilmente um conjunto de informações sobre países que indicam a existência de algo errado na consistência dos dados. Isto aconteceu porque alguns alunos, ao preencherem suas fichas de cadastro indicaram morarem em outro país e não no Brasil. 75 Figura 40 - Relação de alunos cadastrados no site cujo país é diferente de Brasil Fonte: EEaD Professor Benedito (2013) Esta relação é obtida depois de clicar no botão Mostrar avançados, que permite criar um novo filtro baseado no país cadastrado pelo usuário. Depois de montado o filtro, Figura 41, a listagem apresenta apenas os registros que não contém Brasil como país. Figura 41 - Montagem do filtro de seleção de país Fonte: EEaD Professor Benedito (2013) O fato de o site estar disponível globalmente permite que o usuário ao cadastrar-se indique qualquer país do mundo. Esta violação pode acontecer, antes ou depois da confirmação do cadastramento. 76 Para manter um cadastro consistente acreditamos ser necessário entregar ao professor ou administrador do site a responsabilidade pela manutenção deste ativo. Depois de preenchidas, as informações deverão ser verificadas e confirmadas. 5.3 – Implantação do controle de acesso com senha forte Para tornar a construção de senhas fortes pelos alunos da EEaD Professor Benedito uma operação obrigatória, devemos clicar em Administração do site/ Segurança/ Políticas do site e configurar as opções, vide as apresentadas pela Figura 42. Figura 42 - Política de senhas do site EEaD Professor Benedito Fonte: EEaD Professor Benedito (2013) Notamos na ilustração, Figura 42, o assinalamento de Política de senha, cuja opção padrão do CMS Moodle é não e que o mínimo obrigatório será: oito caracteres para comprimento, um dígito, uma letra minúscula, uma letra maiúscula e um caractere não alfanumérico. 5.4 – Implantação da Política do Site Nosso foco nesta parte do trabalho é reunir subsídios que permitam elaborar e implantar o documento intitulado: política do site. A construção da política do site da Escola de Educação a Distância Professor Benedito tem sua gênesis alicerçada nas orientações da Norma NBR 27002 da Associação Brasileira de Normas Técnicas (2005) – Código de prática para a gestão de segurança da informação, que 77 identifica os objetivos da escola como fator principal no desenvolvimento da política de segurança da informação, à qual está subordinada a política do site. Construir a política de segurança da informação de uma escola baseada na Web é fundamentalmente definir as diretrizes básicas a serem seguidas durante a elaboração das normas e procedimentos. O ponto de partida para esta empreitada deve alicerçar-se na Missão e Visão da escola. Novos tempos trazem consigo mudanças de toda ordem. A sociedade vivida hoje difere em muito daquela de algumas décadas atrás. É, portanto, neste contexto que a Política de Segurança da EEaD Professor Benedito deve ser concebida, respeitando sua missão, visão e valores. A Missão é a razão de existência da escola. É a finalidade ou motivo pela qual a organização foi criada. Deve responder às questões como: Quem é? O que faz? E por quê? A missão da EEaD Professor Benedito é: “Fornecer serviços de ensino para auxiliar a aprendizagem dos alunos”. Esta missão retrata bem o propósito da escola, isto é, buscar meios de ensinar efetivamente os alunos. E isto somente é conseguido quando o aluno aprende. O Moodle oferece algumas formas avaliativas do professor saber se determinado conteúdo foi aprendido ou se o aluno tem domínio aceitável sobre o mesmo. A Visão é a imagem atual da empresa e os seus desejos declarados para o futuro. A visão da EEaD Professor Benedito é: “Ser a melhor escola online do Brasil”. Os valores são qualidades e significados culturais da escola, adquiridos com o passar dos anos. No caso específico da EEaD Professor Benedito, implantada em 24 de junho de 2009, os valores permanentes são: qualidade; seriedade; excelência, competência e melhoria contínua. A política de segurança da informação definida para a EEaD Professor Benedito deve ater-se apenas às relações informativas entre professor e aluno, realizadas através do site. Seu escopo deve limitar-se aos meios que garantam estas relações, apesar da escola estar baseada na internet e ter acesso global garantido, é importante limitar o acesso aos cursos oferecidos apenas aos alunos credenciados pelo professor. Esta questão é tratada em detalhes no próximo tópico. 78 A política do site EEaD Professor Benedito deve expressar claramente as obrigações e os direitos dos usuários e da escola. Neste trabalho definimos que texto que contém a Política do Site deverá abordar os seguintes tópicos: Objeto e objetivo da Política do Site; Missão, Visão e Valores da escola; Glossário de termos técnicos; Conteúdo do Site; Direitos e Obrigações dos usuários; Direitos e Obrigações da escola; Legislação Pertinente; Violação das Regras e Dados para Contato. O tópico Objeto e Objetivo apresentará quais são as partes envolvidas nos processos e o que a Política do Site pretende. A Missão, Visão e Valores da escola apresentam em linhas gerais o serviço a ser prestado e o que se espera dele. Em Glossário de Termos Técnicos, algumas palavras bastante utilizadas pelos usuários e relacionadas com o meio informático são definidas e servem de apoio no entendimento das regras estabelecidas pela Política do Site. Em Conteúdo do Site são abordadas as questões sobre os direitos, tipos e usos dos conteúdos disponibilizados. Em Direitos e Obrigações dos usuários é apresentado o que o usuário pode e também o que deve fazer. O tópico Direitos e Obrigações da escola apresentará de forma análoga aos Direitos e Obrigações dos usuários, os compromissos da escola com seus usuários e o poder das ações que poderá executar. Em Legislação Pertinente serão apresentadas as considerações sobre o alcance legal dos atos praticados pela escola e seus usuários. O tópico Violação das Regras apresentará o tratamento dados para as situações de quebra dos acordos estabelecidos pela Política do Site. E por fim, em Dados para Contatos serão fornecidos os endereços para onde as dúvidas e reclamações que porventura surgirem, deverão ser encaminhadas. O CMS Moodle tem uma função administrativa que permite implementar a Política do site, e torna obrigatória a sua aceitação para que o usuário possa prosseguir no site. Este procedimento não é padrão, no entanto sua implementação é bastante importante quando o foco está no aumento de segurança do site. Apresentamos no tópico 5.3 – Coleta de evidências os procedimentos necessários para esta implementação. 79 No Apêndice 1, encontra-se o texto final que apresenta a Política do Site da Escola de Ensino a Distância Professor Benedito. O Moodle inclui automaticamente mais um grupo de informação, Política de Uso do Site, à página do Formulário de Cadastramento de usuário, Figura 43, quando o administrador assinala como obrigatória a aceitação da Política do Site. Figura 43 - Página de cadastramento com a opção Política de Uso do Site Fonte: EEaD Professor Benedito (2013) Para ativar o grupo Política de Uso do Site, o administrador deve clicar em Administração do site/Segurança/Política do site. E depois de escrever o texto da Política em arquivo, por exemplo: pdf e adicioná-lo à pasta de Arquivos do site, o administrador deve fornecer o caminho para que o CMS Moodle possa encontrar o arquivo quando o sistema solicitar. A Figura 44 apresenta em detalhes o local onde o administrador deve informar este caminho para ativar a Política do Site. Figura 44 – URL da Política do site da EEaD Professor Benedito Fonte: EEaD Professor Benedito (2013) 80 5.5 – Implantação do controle seguro de cadastramento de aluno Para aumentar a segurança das informações da EEaD Professor Benedito durante o processo de cadastramento de alunos, implantamos o serviço de ReCaptcha oferecido gratuitamente pelo Google. Depois de acessar o site ReCaptcha17, devemos fornecer o domínio para o qual se deseja instalar o controle. Este procedimento resulta em uma chave pública e outra privada, conforme ilustra a Figura 45. Figura 45 - Chave pública e privada fornecidas pelo site da ReCaptcha Fonte: ReCaptcha (2013) Nosso próximo passo é informar estas chaves em Administração do site/ Usuários/ Autenticação/ Gerenciar Autenticação e ativar Elemento ReCaptcha do serviço no CMS Moodle em: Administração do site/ Usuários/ Autenticação/ Autenticação Via Correio Eletrônico, conforme descrição feita em 4.3 – Controle seguro do cadastramento de aluno. 17 Disponível em: https://www.google.com/recaptcha/admin/create 81 5.6 – Implantação do controle seguro de matrícula Utilizamos três controles no processo de matrícula para aumentar a segurança das informações do CMS Moodle: Inscrições, Grupos e Disponibilidade. O acesso é feito quando clicamos em “Administração do site/ Cursos/ Acrescentar/modificar cursos”. No frame apresentado, habilitamos a data de início, final e aceite de inscrições; em Grupos optamos por Grupos Visíveis e em Disponibilidade: assinalamos este grupo pode ser acessado pelos participantes, definimos um código de inscrição e Não permitir o acesso de visitantes para a opção Acesso de visitantes, conforme descrição feita em 4.4 – Controle seguro do processo de matrícula. 5.7 – Análise dos resultados obtidos Depois de implementar no site EEaD Professor Benedito as alterações supra descritas, obtivemos os seguintes resultados: maior controle na construção de senhas seguras; uma política de site disponível a todos os usuários e de aceite obrigatório para ter acesso ao sistema; um processo de cadastramento de alunos mais confiável; maior controle do processo de matrícula nos cursos. Podemos deduzir que a soma total dos controles implementados colaboram bastante para o aumento da segurança das informações da escola, mas que há também uma elevação da quantidade de tarefas executadas por administradores de sistemas e professores. Embora este aumento de tarefas traga consigo uma “aversão natural” porque na prática, isto significa acréscimo de trabalho, todo esforço adicional é facilmente justificável. Uma análise rápida de riscos ou prejuízos causados pela instabilidade do sistema, perda ou mau uso de informações, informações inautênticas etc., é suficiente para confirmar a necessidade de tais implementos. Em nossa pesquisa os resultados obtidos apontam para uma aplicação de ensino a distância que oferece ao usuário elementos que lhes garantem maior confidencialidade, integridade, disponibilidade, autenticidade e legalidade no trato das informações. 82 A Figura 46 mostra a tela de cadastramento de novo usuário, obtida depois que as implementações de controles foram feitas. Nela podemos observar que houve um aumento na quantidade de informações solicitadas ao usuário e de verificações para validação de autenticidade. Figura 46 - Crítica de cadastramento do site da EEaD Professor Benedito Fonte: EEaD Professor Benedito (2013) A Figura 47 mostra a tela de matrícula em novo curso, obtida depois que as implementações de controles foram feitas. Observamos que a finalização do processo exige a digitação correta do código de inscrição. 83 Figura 47 - Solicitação obrigatória do código de inscrição Fonte: EEaD Professor Benedito (2013) 84 CONSIDERAÇÕES FINAIS O objetivo proposto para este trabalho foi apresentar um estudo de caso sobre a adoção da Política de Segurança da Informação na Escola de Ensino a Distância Professor Benedito. Visamos como resultado do estudo apontar algumas opções de configuração e cuidados que o administrador de sistemas do tipo Content Management System (CMS) Moodle pode utilizar ao gerir Ambientes Virtuais de Aprendizagem (AVA) quando busca atender às normas e aos padrões de segurança atuais. Consideramos que os objetivos propostos inicialmente foram atingidos, uma vez que o estudo de caso foi realizado na EEaD Professor Benedito e alguns controles foram identificados e implantados de acordo com as recomendações dadas pelas Normas NBR 27001, NBR 27002 e NBR 27005 da Associação Brasileira de Normas Técnicas. A análise dos resultados obtidos indica melhora na segurança das informações da escola proporcionada por: maior controle na construção de senhas seguras; implantação de uma política de site disponível a todos os usuários e de aceite obrigatório para ter acesso ao sistema; adoção de um processo de cadastramento de alunos mais confiável; e maior controle do processo de matrícula nos cursos. A gestão de segurança da informação impõe inúmeros desafios às organizações, muitos deles decorrentes dos avanços tecnológicos, cada vez mais rápidos e surpreendentes. Decorre daí os crescentes esforços das comunidades de TIC em tornar processos, tecnologias e recursos humanos protegidos contra as ameaças e vulnerabilidades existentes. Ressaltamos, porém que o elo mais fraco desta tríade elementar é o fator humano quando se pretende obter a segurança das informações, quer seja como meio ou fim. Como proposta para trabalhos futuros, sugerimos uma investigação sobre os processos de auditoria envolvendo um estudo dos registros de log fornecidos pelo CMS Moodle. Outros estudos envolvendo sistemas de backup e recuperação de falhas, planos de contingências também seriam interessantes. 85 REFERÊNCIAS ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO 27001: Tecnologia da informação – Técnicas de segurança – Sistema de Gestão de segurança da informação – Requisitos. Rio de Janeiro, 2006. ______, NBR 27002: Tecnologia da informação – Técnicas de segurança – Código de prática para a gestão de segurança da informação. Rio de Janeiro, 2005. ______, NBR 27005: Tecnologia da informação – Técnicas de segurança – Gestão de riscos de segurança da informação. Rio de Janeiro, 2008. ALVES-MAZZOTTI, Alda Judith. Usos e abusos dos estudos de caso. Cadernos de Pesquisa, São Paulo, v. 36, n. 129, p.637-651, 2006. BOIKO, Bob. Understanding Content Management. Bulletin of The American Society For Information Science And Technology, [s.l.], p. 8-13. out-nov. 2001. Disponível em <http://onlinelibrary.wiley.com/doi/10.1002/bult.221/pdf>. Acesso em 07 jul. 2013. BRASIL. Constituição (1988). Constituição da República Federativa do Brasil : promulgada em 5 de outubro de 1988. Disponível em <http://www.planalto.gov.br/ccivil_03/Constituicao/Constituicao.htm>. Acesso em 07 fev. 2013. ______. Lei n. 9394, de 30 de dezembro de 1996. Estabelece as diretrizes e bases da educação nacional. Disponível em <http://www.planalto.gov.br/ccivil_03/leis/l9394.htm>. Acesso em 07 fev. 2013. ______. Lei n. 9.609, de 19 de fevereiro de 1998. Dispõe sobre a proteção da propriedade intelectual de programa de computador, sua comercialização no País, e dá outras providências. Disponível em <http://www.planalto.gov.br/ccivil_03/leis/l9609.htm>. Acesso em 9 jan. 2013. ______. Lei n. 9.610, de 19 de fevereiro de 1998. Altera, atualiza e consolida a legislação sobre direitos autorais e dá outras providências. Disponível em <http://www.planalto.gov.br/ccivil_03/leis/l9610.htm>. Acesso em 9 jan. 2013. ______. Lei n. 10.406, de 10 de janeiro de 2002. Institui o Código Civil. Disponível em <http://www.planalto.gov.br/ccivil_03/leis/2002/l10406.htm>. Acesso em 15 fev. 2013. ______. Lei n. 12.735, de 30 de novembro de 2012. Altera o Decreto-Lei no 2.848, de 7 de dezembro de 1940 - Código Penal, o Decreto-Lei no 1.001, de 21 de outubro de 1969 Código Penal Militar, e a Lei no 7.716, de 5 de janeiro de 1989, para tipificar condutas realizadas mediante uso de sistema eletrônico, digital ou similares, que sejam praticadas contra sistemas informatizados e similares; e dá outras providências. Disponível em <http://www.planalto.gov.br/ccivil_03/_Ato2011-2014/2012/Lei/L12735.htm>. Acesso em 18 mar. 2013. 86 ______. Lei n. 12.737, de 30 de novembro de 2012. Dispõe sobre a tipificação criminal de delitos informáticos; altera o Decreto-Lei no 2.848, de 7 de dezembro de 1940 - Código Penal; e dá outras providências. Disponível em <http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2012/lei/l12737.htm>. Acesso em 18 mar. 2013. EEaD PROFESSOR BENEDITO. Escola de Ensino a Distância Professor Benedito. Disponível em <http://www.benejsan.com.br/moodle>. Acesso em 03 de fev. 2013. FONTES, Edison. Políticas e normas para a segurança da informação. Rio de Janeiro: Brasport, 2012. FREIRE, Paulo. Pedagogia da Autonomia: saberes necessários à prática docente. São Paulo: Paz e Terra, 1996. FREITAS, Wesley R. S.; JABBOUR, Charbel J. C. Utilizando Estudo de Caso(s) como estratégia de pesquisa qualitativa: boas práticas e sugestões. Estudo & Debate, Lajeado, v. 18, n. 2, p.7-22, 2011. GIL, Antonio Carlos. Métodos e técnicas de pesquisa social. 6. ed. São Paulo: Atlas, 2008, 216 p. GIOLO, Jaime. A educação a distância e a formação de professores. Educação & Sociedade. Educ. Soc. vol. 29, nº. 105, Campinas Set./Dez. 2008. Disponível em <http://www.scielo.br/scielo.php?pid=S0101-73302008000400013&script=sci_arttext >. Acesso em 10 de mar. 2013. LOURENÇO, Shandor Portella. Aspectos Jurídicos da Segurança da Informação na Empresa. 2009. 92 f. Dissertação (Mestrado) - Curso de Pós-Graduação, Faculdade de Direito Milton Campos, Nova Lima, 2009. MOODLE. Moodle Community. Disponível em <https://moodle.org/>. Acesso em 03 de fev. 2013. MORESI, Eduardo Amadeu Dutra. Delineando o valor do sistema de informação de uma organização. Ciência da Informação, Brasília, v. 29, n. 1, p. 14-24, 2000. NASCIMENTO, Edmar José. Introdução às redes de computadores. Disponível em < http://www.univasf.edu.br/~edmar.nascimento/redes/redes_20112_aula02.pdf>. Acesso em 13 jun. 2013. NONAKA, Ikujiro; TAKEUCHI, Hirotaka. Gestão do conhecimento. Rio Grande do Sul: Artmed, 2004. OLIVEIRA, Marta. Kohl. Vygotsky. Aprendizado e desenvolvimento. Um processo sóciohistórico. São Paulo: Scipione, 1998. PINHEIRO, Patrícia Peck; SLEIMAN, Cristina. Boas práticas legais no uso da tecnologia dentro e fora da sala de aula: guia rápido para as instituições educacionais. Patrícia Peck Pinheiro Advogados, 2007, 35 p. 87 PRETI, Oreste. Educação a Distância: uma prática educativa mediadora e mediatizada. In: PRETI, Oreste (org.). Educação a Distância: inícios e indícios de um percurso. NEAD/UFMT. Cuiabá: UFMT, 1996. PROBST, Gilberto; RAUB, Steffen; ROMHARDT, Kai. Gestão do conhecimento: os elementos construtivos do sucesso. Grupo A, 2002. RECAPTCHA. Disponível em <http://www.google.com/recaptcha>. Acesso em 12 abr. 2013. REDE GLOBO. Jornal Nacional. Disponível em <http://globotv.globo.com/redeglobo/jornal-nacional/v/violacao-de-dados-pessoais-na-internet-vira-crime/2230594/>. Acesso em 2 jul. 2013. SALES, Rodrigo; ALMEIDA, Patrícia Pinheiro. Avaliação de fontes de informação na Internet: avaliando o site NUPILL/UFSC. Revista Digital de Biblioteconomia e Ciência da Informação, Campinas, v. 4, n. 2, pp. 67-87, jan./jun.. 2007. Campinas: Unicamp, 2007. SÊMOLA, Marcos. Gestão da segurança da informação: uma visão executiva. Campus, 2003. TERRA, José Cláudio Cyrineu. Gestão do conhecimento: o grande desafio empresarial. 2005. VEIGA, Ricardo Teixeira et al. O ensino a distância pela internet: conceito e proposta de avaliação. Anais do XXII ENANPAD. Foz do Iguaçu, 1998. WIKIPÉDIA. (2013a) Direito. Disponível em <http://pt.wikipedia.org/wiki/Direito>. Acesso em 26 mar. 2013. ______. (2013b) Captcha. Disponível em <http://pt.wikipedia.org/wiki/Captcha>. Acesso em 12 mar. 2013. YIN, Robert Kuo-zuir. Estudo de Caso Planejamento e Métodos. 2. ed. Porto Alegre: Artmed, 2001. 199 p. 88 ANEXO Código fonte do arquivo índex.php <?php // $Id: index.php,v 1.201.2.9 2009/03/03 01:03:10 dongsheng Exp $ // index.php - the front page. /////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////// // // NOTICE OF COPYRIGHT // // Moodle - Modular Object-Oriented Dynamic Learning Environment // http://moodle.org // // Copyright (C) 1999 onwards Martin Dougiamas http://moodle.com // // This program is free software; you can redistribute it and/or modify // it under the terms of the GNU General Public License as published by // the Free Software Foundation; either version 2 of the License, or // (at your option) any later version. // // This program is distributed in the hope that it will be useful, // but WITHOUT ANY WARRANTY; without even the implied warranty of // MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the // GNU General Public License for more details: // // http://www.gnu.org/copyleft/gpl.html // /////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////// if (!file_exists('./config.php')) { header('Location: install.php'); die; } require_once('config.php'); require_once($CFG->dirroot .'/course/lib.php'); require_once($CFG->dirroot .'/lib/blocklib.php'); if (empty($SITE)) { redirect($CFG->wwwroot .'/'. $CFG->admin .'/index.php'); } 89 // Bounds for block widths // more flexible for theme designers taken from theme config.php $lmin = (empty($THEME->block_l_min_width)) ? 100 : $THEME->block_l_min_width; $lmax = (empty($THEME->block_l_max_width)) ? 210 : $THEME->block_l_max_width; $rmin = (empty($THEME->block_r_min_width)) ? 100 : $THEME->block_r_min_width; $rmax = (empty($THEME->block_r_max_width)) ? 210 : $THEME->block_r_max_width; define('BLOCK_L_MIN_WIDTH', $lmin); define('BLOCK_L_MAX_WIDTH', $lmax); define('BLOCK_R_MIN_WIDTH', $rmin); define('BLOCK_R_MAX_WIDTH', $rmax); // check if major upgrade needed - also present in login/index.php if ((int)$CFG->version < 2006101100) { //1.7 or older @require_logout(); redirect("$CFG->wwwroot/$CFG->admin/"); } // Trigger 1.9 accesslib upgrade? if ((int)$CFG->version < 2007092000 && isset($USER->id) && is_siteadmin($USER->id)) { // this test is expensive, but is only triggered during the upgrade redirect("$CFG->wwwroot/$CFG->admin/"); } if ($CFG->forcelogin) { require_login(); } else { user_accesstime_log(); } if ($CFG->rolesactive) { // if already using roles system if (has_capability('moodle/site:config', get_context_instance(CONTEXT_SYSTEM))) { if (moodle_needs_upgrading()) { redirect($CFG->wwwroot .'/'. $CFG->admin .'/index.php'); } } else if (!empty($CFG->mymoodleredirect)) { // Redirect logged-in users to My Moodle overview if required if (isloggedin() && $USER->username != 'guest') { redirect($CFG->wwwroot .'/my/index.php'); } } } else { // if upgrading from 1.6 or below if (isadmin() && moodle_needs_upgrading()) { redirect($CFG->wwwroot .'/'. $CFG->admin .'/index.php'); } } if (get_moodle_cookie() == '') { 90 set_moodle_cookie('nobody'); // To help search for cookies on login page } if (!empty($USER->id)) { add_to_log(SITEID, 'course', 'view', 'view.php?id='.SITEID, SITEID); } if (empty($CFG->langmenu)) { $langmenu = ''; } else { $currlang = current_language(); $langs = get_list_of_languages(); $langlabel = get_accesshide(get_string('language')); $langmenu = popup_form($CFG->wwwroot .'/index.php?lang=', $langs, 'chooselang', $currlang, '', '', '', true, 'self', $langlabel); } $PAGE = page_create_object(PAGE_COURSE_VIEW, SITEID); $pageblocks = blocks_setup($PAGE); $editing = $PAGE->user_is_editing(); $preferred_width_left = bounded_number(BLOCK_L_MIN_WIDTH, blocks_preferred_width($pageblocks[BLOCK_POS_LEFT]), BLOCK_L_MAX_WIDTH); $preferred_width_right = bounded_number(BLOCK_R_MIN_WIDTH, blocks_preferred_width($pageblocks[BLOCK_POS_RIGHT]), BLOCK_R_MAX_WIDTH); print_header($SITE->fullname, $SITE->fullname, 'home', '', '<meta name="description" content="'. s(strip_tags($SITE->summary)) .'" />', true, '', user_login_string($SITE).$langmenu); ?> <table id="layout-table" summary="layout"> <tr> <?php $lt = (empty($THEME->layouttable)) ? array('left', 'middle', 'right') : $THEME>layouttable; foreach ($lt as $column) { switch ($column) { case 'left': if (blocks_have_content($pageblocks, BLOCK_POS_LEFT) || $editing) { echo '<td style="width: '.$preferred_width_left.'px;" id="left-column">'; print_container_start(); blocks_print_group($PAGE, $pageblocks, BLOCK_POS_LEFT); print_container_end(); echo '</td>'; } 91 break; case 'middle': echo '<td id="middle-column">'. skip_main_destination(); print_container_start(); /// Print Section if ($SITE->numsections > 0) { if (!$section = get_record('course_sections', 'course', $SITE->id, 'section', 1)) { delete_records('course_sections', 'course', $SITE->id, 'section', 1); // Just in case $section->course = $SITE->id; $section->section = 1; $section->summary = ''; $section->sequence = ''; $section->visible = 1; $section->id = insert_record('course_sections', $section); } if (!empty($section->sequence) or !empty($section->summary) or $editing) { print_box_start('generalbox sitetopic'); /// If currently moving a file then show the current clipboard if (ismoving($SITE->id)) { $stractivityclipboard = strip_tags(get_string('activityclipboard', '', addslashes($USER->activitycopyname))); echo '<p><font size="2">'; echo "$stractivityclipboard (<a href=\"course/mod.php?cancelcopy=true&sesskey=$USER->sesskey\">". get_string('cancel') .'</a>)'; echo '</font></p>'; } $options = NULL; $options->noclean = true; echo format_text($section->summary, FORMAT_HTML, $options); if ($editing) { $streditsummary = get_string('editsummary'); echo "<a title=\"$streditsummary\" ". " href=\"course/editsection.php?id=$section->id\"><img src=\"$CFG>pixpath/t/edit.gif\" ". " class=\"iconsmall\" alt=\"$streditsummary\" /></a><br /><br />"; } get_all_mods($SITE->id, $mods, $modnames, $modnamesplural, $modnamesused); print_section($SITE, $section, $mods, $modnamesused, true); if ($editing) { print_section_add_menus($SITE, $section->section, $modnames); 92 } print_box_end(); } } if (isloggedin() and !isguest() and isset($CFG->frontpageloggedin)) { $frontpagelayout = $CFG->frontpageloggedin; } else { $frontpagelayout = $CFG->frontpage; } foreach (explode(',',$frontpagelayout) as $v) { switch ($v) { /// Display the main part of the front page. case FRONTPAGENEWS: if ($SITE->newsitems) { // Print forums only when needed require_once($CFG->dirroot .'/mod/forum/lib.php'); if (! $newsforum = forum_get_course_forum($SITE->id, 'news')) { error('Could not find or create a main news forum for the site'); } if (!empty($USER->id)) { $SESSION->fromdiscussion = $CFG->wwwroot; $subtext = ''; if (forum_is_subscribed($USER->id, $newsforum)) { if (!forum_is_forcesubscribed($newsforum)) { $subtext = get_string('unsubscribe', 'forum'); } } else { $subtext = get_string('subscribe', 'forum'); } print_heading_block($newsforum->name); echo '<div class="subscribelink"><a href="mod/forum/subscribe.php?id='.$newsforum->id.'">'.$subtext.'</a></div>'; } else { print_heading_block($newsforum->name); } forum_print_latest_discussions($SITE, $newsforum, $SITE->newsitems, 'plain', 'p.modified DESC'); } break; case FRONTPAGECOURSELIST: if (isloggedin() and !has_capability('moodle/site:config', get_context_instance(CONTEXT_SYSTEM)) and !isguest() and empty($CFG>disablemycourses)) { print_heading_block(get_string('mycourses')); print_my_moodle(); 93 } else if ((!has_capability('moodle/site:config', get_context_instance(CONTEXT_SYSTEM)) and !isguest()) or (count_records('course') <= FRONTPAGECOURSELIMIT)) { // admin should not see list of courses when there are too many of them print_heading_block(get_string('availablecourses')); print_courses(0); } break; case FRONTPAGECATEGORYNAMES: print_heading_block(get_string('categories')); print_box_start('generalbox categorybox'); print_whole_category_list(NULL, NULL, NULL, -1, false); print_box_end(); print_course_search('', false, 'short'); break; case FRONTPAGECATEGORYCOMBO: print_heading_block(get_string('categories')); print_box_start('generalbox categorybox'); print_whole_category_list(NULL, NULL, NULL, -1, true); print_box_end(); print_course_search('', false, 'short'); break; case FRONTPAGETOPICONLY: break; // Do nothing!! :-) } echo '<br />'; } print_container_end(); echo '</td>'; break; case 'right': // The right column if (blocks_have_content($pageblocks, BLOCK_POS_RIGHT) || $editing || $PAGE>user_allowed_editing()) { echo '<td style="width: '.$preferred_width_right.'px;" id="right-column">'; print_container_start(); if ($PAGE->user_allowed_editing()) { echo '<div style="text-align:center">'.update_course_icon($SITE->id).'</div>'; echo '<br />'; } blocks_print_group($PAGE, $pageblocks, BLOCK_POS_RIGHT); print_container_end(); 94 echo '</td>'; } break; } } ?> </tr> </table> <?php // print_footer('home'); ?> // Please do not modify this line 95 APÊNDICE Política do site EEaD Professor Benedito Objeto e Objetivo A Política do Site da Escola de Ensino a Distância Professor Benedito (EEaD Professor Benedito) baseia-se nos princípios de respeito e segurança nas relações para com seus usuários. A EEaD Professor Benedito garante a proteção das informações pessoais dos usuários, mas estes devem estar cientes de que a internet é falível. O usuário que assinalar “eu concordo” no formulário de exibição desta Política de Site, assume integralmente o compromisso de cumprir as regras aqui estabelecidas. Missão, Visão e Valores A Missão da EEaD Professor Benedito é “Fornecer serviços de ensino para auxiliar a aprendizagem dos alunos” e a sua Visão é “Ser a melhor escola online do Brasil”. Os valores são qualidades e significados culturais da escola, adquiridos com o passar dos anos. No caso específico da EEaD Professor Benedito, implantada em 24 de junho de 2009, os valores permanentes são: qualidade; seriedade; excelência, competência e melhoria contínua. Glossário de Termos Técnicos Escola online: designa um web site com um programa de gerenciamento de cursos que permite a interação entre alunos e professores. IP: sigla para o protocolo Internet Protocol que identifica, localiza e estabelece conexão entre computadores ligados à internet. Site: conjunto de informações disponibilizadas na internet por indivíduo, instituição, empresa etc., pertencente a um mesmo endereço (URL). Spam: termo usado para se referir aos emails enviados automaticamente sem solicitação do destinatário. URL: sigla para Uniform Reource Location, ou Localização Uniforme de Recursos. É o padrão de endereços na internet e cada página do site tem uma URL específica. A URL da EEaD Professor Benedito é: http://www.benejsa.com.br/moodle. 96 Conteúdo do site As informações contidas neste site são fornecidas somente para fins educativos. Portanto, os conteúdos oferecidos pela EEaD Professor Benedito têm caráter educativo e informativo e a eximem de responsabilidades sobre erros, omissões ou inexatidão. Todo o conteúdo disponibilizado no site, inclusive imagens, fotos, logotipos e textos são de propriedade da EEaD Professor Benedito, sendo a esta reservada todos os direitos. A reprodução ou alteração, parcial ou total, de qualquer material contido no site é proibida, exceto quando expressamente autorizada pela EEaD Professor Benedito. Direitos e Obrigações dos usuários Os usuários da EEaD Professor Benedito têm direitos e obrigações, os quais são relacionados abaixo. São considerados direitos dos usuários: Criar, manter e zelar da senha de acesso que deve ser: individual, pessoal, intransferível e de conhecimento exclusivo do próprio usuário; Solicitar seu descredenciamento de usuário; Solicitar autorização para uso de conteúdo do site; Participar de todas as atividades previstas para o curso; Colaborar com o desenvolvimento das atividades do site, enviando sugestões e críticas. São consideradas obrigações dos usuários: Cumprir os prazos estabelecidos para envio e consulta de atividades; usar programas antivírus nos computadores que acessam o site da EEaD Professor Benedito; não praticar e desestimular a pirataria de software, vírus, SPAM, atos terroristas, racistas ou preconceituosos, pedofilia e uso de palavras de baixo calão; não acessar o site usando a senha de outro usuário; não criar uma conta de usuário com informações falsas ou de terceiros; 97 não acessar o sistema usando técnicas de Anonymous que impeçam a identificação correta do número IP; não usar outras técnicas para mascarar ou ocultar a identidade verdadeira do usuário; informar a EEaD Professor Benedito qualquer ocorrência suspeita e que possa colocar em risco a segurança das informações mantidas no site. Direitos e Obrigações da escola A EEaD Professor Benedito tem os direitos e obrigações, os quais são relacionados abaixo. São considerados direitos da EEaD Professor Benedito: Modificar ou alterar, no todo ou em partes, e a qualquer tempo, os conteúdos do site, sem prévio aviso; negar solicitação de usuário de reprodução do material disponibilizado no site; negar a solicitação de cadastramento de usuários por violação das regras estabelecidas nesta Política de Site. coletar dados dos usuários para uso exclusivo da EEaD Professor Benedito; São consideradas obrigações da EEaD Professor Benedito: Fornecer nova senha quando solicitada pelo usuário; Legislação Pertinente As informações do site EEaD Professor Benedito seguem a legislação e regulamentação vigentes no país. O usuário se compromete a utilizar o serviço em conformidade com a lei, seus respectivos regulamentos, acatando aos princípios da moral, ética e bons costumes. Violação das Regras A EEaD Professor Benedito tem autonomia para advertir, suspender temporária ou definitivamente a conta do usuário que violar as regras estabelecidas nesta política, sem prejuízo, quando for o caso, das medidas judiciais cabíveis. Dados para Contato Críticas, sugestões e informações sobre EEaD Professor Benedito podem ser enviadas ou solicitadas no endereço [email protected], A/C. Prof. Benedito José Santos.
Documentos relacionados
moodle como tecnologia social em prol da sustentabilidade
Analisemos, pois, em primeiro lugar, a Sustentabilidade. As preocupações com as questões ambientais e a influência da sociedade no processo econômico no final do século XX foram determinantes para ...
Leia mais