2.5 Metodologias de Migração – exemplos de sucesso
2.5.2 Auditoria Geral do Estado de Minas Gerais
A Auditoria Geral do Estado de Minas Gerais é o órgão responsável pelo controle interno. Sua estrutura atual advém da incorporação de duas superintendências centrais e de seus
11http://www.gnu.org/software/octave/ 12http://klogoturtle.sourceforge.net/index_p.htm 13http://www.broffice.org/ 14http://java.sun.com/ 15http://www.mysqlbrasil.com.br/ 16http://gcc.gnu.org/
desdobramentos (RIBEIRO, 2004).
Em sua pesquisa, RIBEIRO(2004), constatou que enquanto a Auditoria Geral dependia do apoio da Secretaria da Casa Civil, seu parque computacional restringia-se a um servidor de arquivos utilizando o Windows NT e também a uma quantidade em torno de 6 estações conectadas. A superintendência central de administrativa não operava em rede e a superintendência centra de auditoria operacional, foco principal da pesquisa, contava com aproximadamente 15 estações de trabalho e um servidor de arquivos rodando Samba.
Em seus relatos, RIBEIRO (2004) verificou que a superintendência central de auditoria operacional precisava desenvolver uma solução para controlar, criar e manipular arquivos em meio magnético. A chegada de uma máquina capaz de executar a função de um servidor para autenticação de usuários e armazenamento de arquivos criou uma boa perspectiva para a resolução do problema. Essa nova máquina utilizava o sistema operacional Solaris e as demais máquinas, destinadas como estação de trabalho utilizavam o Windows.
Em virtude de haver a necessidade de treinamentos para funcionários, não cogitada a migração dos sistemas operacionais das estações, visto que os atuais funcionários operavam com certa tranqüilidade o sistema atual.
Outro ponto importante que foi levado em consideração para a não migração do sistema operacional das estações foi com relação ao custo psicológico. FERRAZ (2002) apud RIBEIRO (2004), menciona que o “medo pode surgir como resposta, caso haja alguma percepção de que a novidade possa não ser tão boa quanto parece, o que é estimulado por campanhas de medo, incertezas e dúvidas”.
Conforme supra citado, a superintendência central de auditoria operacional desempenhava diretamente a função de auditoria e controle interno do estado de Minas Gerais. Em anos anteriores a 1995, todo a informação era guardada em microfilmes, porém a partir de 1995, a informática começou a ser utilizada pelos auditores como instrumento de auxílio, e os relatórios passaram a ser armazenados nos computadores. Sendo assim, pode-se dizer que o ambiente computacional passou a ser fator crítico de sucesso nas atividades desempenhadas pela superintendência. Deste modo, destacou-se a importância de se ter informações armazenadas nos computadores e estabelecer mecanismos de controle de acesso aos arquivos que garantam confiabilidade, confidencialidade e integridade dos dados.
Como a solução a ser apresentada deveria manter todos os equipamentos com os sistemas operacionais instalados, a solução precisaria abordar algo que pudesse fazer a comunicação entre as estações Windows e o servidor Solaris, caso este fosse utilizado. Também era necessário considerar que não existiam recursos
orçamentários e financeiros disponíveis para a compra de
software nem podia se cogitar o uso de software não licenciado.
Deste modo, a solução encontrada foi a utilização do Samba. A superintendência central de auditoria operacional elegeu o Samba para suprir às necessidades de autenticação de usuários e controle de acesso aos arquivos de trabalho em meio magnético.
Em 1999, RIBEIRO (2004) estabeleceu uma política de utilização dos recursos computacionais disponíveis que pode ser considerada um marco inicial da evolução do sistema de compartilhamento e autenticação da superintendência. Sendo assim, não haveria compra de software para auxiliar na administração da rede interna, e todos os sistemas operacionais deveria permanecer instalados, não houve cogitação da adoção de software livre.
Como o sistema operacional disponível para uso era o Windows 95, foi estabelecido a centralização de arquivos utilizando o compartilhamento do próprio sistema operacional. Dois computadores serviram de repositório de arquivos. O principal objetivo deste momento era eliminar a disputa de estações por parte do usuário, eliminando assim duplicidades de arquivos, teria-se uma melhoria com relação a backups, uma vez que os documentos estaria centralizados e começaria a se estabelecer uma cultura de trabalho armazenado em rede. Porém,
como não foi utilizadas restrições para o armazenamento de senhas, pouco tempo depois todas as estações de trabalho já haviam armazenado as senhas de acesso aos dois “servidores”. Devido a este fator, foi constatado que alguns riscos ainda persistiam, tais como: falta de controle de acesso, risco de perdas de informações e risco de alterações de informações. Vale dizer também que neste caso uma pasta particular poderia ser acessada por todos usuários e não havia como identificar o autor de um arquivo.
Foi neste cenário que a ferramenta Samba foi escolhida, pois ela permitiria uma melhor capacidade de promover compartilhamento de arquivo locados no Solaris para as estações Windows.
RIBEIRO (2004), constatou que a centralização dos arquivos no servidor Solaris contribuiu consideravelmente para a produtividade no processo de backup. Outra grande contribuição foi na qualidade nos trabalhos de auditoria pois a capacidade de armazenamento e processamento do servidor era muito superior às estações utilizadas inicialmente.
A baixa adesão por parte dos usuários em relação ao controle de acesso aos trabalhos impediu a conclusão deste objetivo estabelecido. Na prática, foi detectado que quanto aos compartilhamentos para as equipes, nem todos os usuários passaram a utilizá-los. Segundo o autor da pesquisa, a maioria
dos auditores continuaram a armazenas seus trabalhos em pastas pessoais.
Entretanto, mesmo diante da não utilização de compartilhamentos com senha, a proposta tornou-se viável por ter atingido pelo menos três objetivos: funcionalidade do servidor de arquivos; automatização de backup e melhoria na disponibilização de arquivos.
O Samba não era uma ferramenta completamente dominada pelos funcionário da superintendência central de auditoria operacional. Em fevereiro de 2002, a versão 2.2.4 do Samba foi instalada no servidor, e o uso da diretiva security = user marcou o início de uma nova política de utiização de recursos computacionais na superintendência central de auditoria operacional, chamada era do controle.
Com essas novas diretrizes, o Samba foi configurado para ser o controlador de domínio da rede interna. As estações Windows foram configuradas para efetuarem logon no domínio Samba; foi criado um login, no Solaris, para cada funcionário e criado compartilhamento pessoal para cada usuário. Para cada trabalho de auditoria foi criado um compartilhamento específico, contendo a lista dos usuários que iriam acessá-lo e criadas rotinas para monitoramento de acesso aos compartilhamentos.
controle de acesso individual aos compartilhamentos. Essa nova dinâmica de operação de rede de computadores possibilitou mudanças significativas na utilização do servidor de arquivos e na forma de trabalho das equipes de auditoria. Deste modo, o uso do Samba possibilitou criar um mecanismo de controle de acesso aos arquivos armazenados, garantindo confiabilidade, integridade, confidencialidade, alcançando os objetivos iniciais.
Mesmo sem ter um corpo técnico especializado na área de Tecnologia da Informação, a superintendência central de auditoria operacional foi capaz de promover melhorias para incrementar segurança na sua rede interna.
De acordo com RIBEIRO (2004), a utilização do Samba como solução para autenticação de usuários e controle de acesso aos arquivos de Auditoria Geral do Estado de Minas Gerais, possibilitou uma avaliação da aplicabilidade da ferramenta. Com isto esse estudo de caso pode servir de referência para adoção de plataformas livres pela administração pública.