Blog do Márcio d’Ávila

Atualizei agora meu artigo PDF Livre com (ou sem) o Ghostscript, um dos mais úteis e populares de meu site para usuários de Windows. o artigo ensina como utilizar ferramentas gratuitas para gerar facilmente arquivos PDF a partir de qualquer aplicativo no Windows.

O doPDF na nova versão 7.1, passou a suportar também 64-bits em Windows 2000, XP, Vista, 7 e Server 200x. O tamanho do instalador saltou dos modestíssimos 1,73 MB da versão 6.3 build 309 para 4,29 MB na atual versão 7.1 build 330. Ainda assim, é um tamanho muito compacto (o menor download dos gratuitos avaliados no artigo) considerando que inclui tanto o driver de impressão quanto o respectivo conversor para PDF, e inclui suporte para as plataformas 32 e 64 bits. O diálogo de salvar foi ligeiramente aprimorado com novas opções de exibição, mas continua bem limpo e fácil.

O Bullzip Free PDF Printer também foi atualizado para a versão 7.1.0.1159, com melhor suporte a Unicode e UTF-8 no conteúdo de seus arquivos de configuração (ini), em títulos de documentos, nomes de arquivo de saída e nas mensagens exibidas. Também passou oficialmente a suportar o Windows 7 e a API Microsoft.NET.

Também atualizado o software livre PDF Creator para a versão 0.9.9, cujo instalador cresceu apenas 0,1 MB. Esta nova versão adicionou os recursos de permitir que você defina perfis de impressão (cada perfil armazena as configurações de impressão para determinado propósito) e de permitir que sejam criadas múltiplas impressoras PDFCreator, cada uma associada a um perfil. Recurso similar já existia no FreePDF permite usos interessantes, como ter uma impressora interativa para uso geral, que abre a caixa de diálogo padrão e permite definir as propriedades de qualidade e o arquivo de saída, e outra que salva automaticamente e sem interação em determinado formato de qualidade e de pasta/arquivo de saída, ideal para automatizar uma função de geração automática de PDF acionada por de determinada aplicação.

Finalmente! Esperava pela atualização das análises do mercado de ECM pelos principais institutos, desde a aquisição da Vignette pela Open Text, e foram publicados o Quadrante Mágico do Gartner, e o Forrester Wave, para 2009.

No que os dois relatórios 2009 tem consenso: EMC, IBM, Oracle e Open Text mantém forte liderança nesse mercado.

No que divergem: Para o Forrester, Microsoft avança e ganha momento mas tem diversas lacunas de funcionalidade, se posicionando apenas como forte competidor. Além disso, por seus critérios Hyland e HP são alternativas competitivas no nicho de conteúdo transacional e de negócios, sendo competentes em document management, imaging and capture, e records management; mas ficam devendo forte suporte em áreas como Web (WCM), document output management e digital asset management. E o open source Alfresco, embora mais atrás, tem aumentado sua amplitude na cobertura de ECM para desafiar os players proprietários como alternativa de baixo custo.

Já no critério do Gartner, Microsoft se posiciona tão líder quanto os outros quatro grandes, e Hyland (OnBase) e Autonomy (que adquiriu a Interwoven em março 2009) são respectivamente um desafiante e um visionário muito próximos de adentrarem o quadrante líder.

Fonte: Forrester, The Forrester Wave™: Enterprise Content Management Suites, Q4 2009 [PDF]; 2009-11-12; por Stephen Powers, Brian W. Hill, and Craig Le Clair; para profissionais de Information & Knowledge Management; reproduzido por Oracle.

Fonte: Gartner, Quadrante Mágico para Enterprise Content Management, 2009 [PDF]; 2009-10-15; por Toby Bell, Karen M. Shegda, Mark R. Gilbert, Kenneth Chin, Mick MacComascaigh; reproduzido por EMC, também por Oracle.

Veja também o relatório do instituto Datamonitor Documents and Records Management: An Analysis of Market Trends to 2013 (Strategic Focus), fevereiro 2009, em Scribd.

Records Management / Gestão Arquivística Documental

No meio do ano o Forrester já publicara uma análise específica sobre os fornecedores de soluções em Records Management (RM), que em português podemos chamar de Gestão Arquivística de Documentos (GAD). GAD/RM é um dos componentes do universo de ECM.

De acordo como normas como o padrão internacional ISO 15489:2001 - Information and documentation — Records management Part 1: General e Part 2: Guidelines (originário do Padrão Australiano - AS), assim como normas e legislação do Brasil, os documentos arquivísticos são a informação registrada, produzida e recebida no decorrer das atividades de um órgão, entidade ou pessoa, dotada de organicidade e que sirva de prova dessas atividades. Os documentos e arquivos podem ser públicos (relativos ao poder, órgãos, agentes, empresas e serviços públicos) ou privados.

E a gestão arquivística consiste nos procedimentos referentes à produção, tramitação, uso, avaliação e arquivamento destes documentos em fase corrente e intermediária, visando a sua eliminação ou recolhimento para guarda permanente. (Resolução nº 20 Conarq, Art. 1º) Um elemento essencial para a gestão arquivística é a manutenção e aplicação de uma tabela de classificação (por assunto), temporalidade e destinação (ciclo de vida) de documentos.

Os quatro grandes de ECM também se posicionam na liderança desse segmento, mas existem outros dois líderes até mais fortes que os demais quando o foco é RM/GAD: Computer Associates (CA) e Autonomy (baseada na aquisição da Meridio em 2007).

Fonte: Forrester, The Forrester Wave™: Records Management, Q2 2009 [PDF]; 2009-06-23; por Brian W. Hill; para profissionais de Information & Knowledge Management; reproduzido por Oracle.

A área de Records Management nos Estados Unidos é muito direcionada em torno dos padrões de conformidade exigidos pelo Departamento de Defesa Americano (DoD). Mas os fornecedores de GAD também tem buscado certificação aderente aos dois mais proeminentes modelos mundiais: o Victorian Electronic Records Strategy (VERS) do Governo Australiano, e o MoReq2 - Model Requirements for the management of electronic records Europeu.

O MoReq2 é originário do modelo inglês MoReq. Estes modelos foram a base de referência para o padrão brasileiro e-ARQ Brasil [PDF] do CONARQ - Conselho Nacional de Arquivos, bem como o recente MoReq-Jus - Modelo de Requisitos para Sistemas Informatizados de Gestão de Processos e Documentos do Poder Judiciário do CNJ - Conselho Nacional de Justiça.

Para saber mais:

• Lei Federal nº 8.159, de 8 de janeiro 1991, Dispõe sobre a política nacional de arquivos públicos e privados e dá outras providências. Seu Art. 26 cria o Conselho Nacional de Arquivos (Conarq), órgão vinculado ao Arquivo Nacional, para definir a política nacional de arquivos, como órgão central de um Sistema Nacional de Arquivos (Sinar). Lei regulamentada pelo Decreto nº 4.073, de 3 de janeiro de 2002.
• Legislação Arquivística Brasileira, coletânia de referências mantida pelo Conarq.
• Records Management & MoReq2, por Dr. Ulrich Kampffmeyer, PROJECT CONSULT GmbH, apresentação para innova.doc 2009, Barcelona, Espanha, 2009-10-06, disponibilizada em Scribd.
• Dublin Core Metadata Initiative (DCMI), Especificações DCMI padronizadas na norma internacional ISO 15836.

O programa de TV 60 Minutes da rede americana CBS que foi ao ar em 8 de novembro passado apresentou a reportagem “Guerra Cibernética: Sabotando o Sistema”, em que sugere que apagões no Brasil podem ter sido causados por ataques hacker.

Tudo começou com a seguinte declaração recente do presidente dos EUA Barack Obama, que disse (tradução livre minha):

“Nós sabemos que intrusos cibernéticos sondaram nossa rede elétrica, e em outros países ataques cibernéticos fizeram cidades inteiras mergulhar na escuridão.”

Segundo a CBS, fontes militares dizem que ele se referia ao Brasil, aludindo que ataques de hackers teriam sido causa dos apagões ocorridos no país em 2005 e 2007. O jornalista afirma que os dados foram retirados de uma investigação específica sobre casos de ataques e crimes virtuais contra a infraestrutura de diversos governos. Os ataques seriam semelhantes aos sofridos nos Estados Unidos em 2009. (fonte: INFO Online).

A reportagem da CBS é cheia de sensacionalismo e tem pouco enfoque no embasamento e comprovação técnicos. Mas a notícia vem espalhando temores e sucitando teorias da conspiração, impulsionada pela esteira de sensibilização da população pelo blecaute que atingiu dez estados brasileiros — além do Paraguai – na noite de 10 de novembro.

Teoria da conspiração

Um exemplo do alarde provocado é o artigo A verdade sobre o apagão, por Maycon Maia Vitali, no Blog Hack’n Roll. Nele o rapaz de 23 anos, motivado pelo assunto, fez uma sondagem superficial na internet e encontrou uma vulnerabilidade de segurança em um sistema do Operador Nacional do Sistema Elétrico (ONS) do Brasil.

A falha no site apontada por Vitali foi corrigida na sexta-feira, três dias após o apagão que afetou 18 Estados brasileiros, conforme afirmou o diretor-geral do ONS, Hermes Chipp.

Como bem destaca o blogueiro Jomar Silva, não é porque um sistema de administração de contratos de transmissão da ONS está online que outros sistemas críticos de operação da rede elétrica estarão abertos na internet, nem tampouco supor que a falha simples encontrada pelo rapaz corrobore para comprovar que o sistema de energia elétrica do Brasil em si esteja comprometido e vulnerável a ataque de crackers.

A incursão de Vitali apenas reforça o que todo especialista em segurança da informação diz: não há segurança absoluta, não há sistema 100% seguro.

Autoridades brasileiras da ONS, Aneel (Agência Nacional de Energia Elétrica), Min. Minas e Energia e Presidência já afirmaram categoricamente que os sistemas críticos de operação e controle da rede de energia elétrica do Brasil não estão acessíveis através da Internet e descartam a possibilidade de sabotagem virtual.

Portanto, o post pode ser caracterizado como FUD — acrônimo do inglês Fear, Uncertainty and Doubt, para designar a tática de desinformação que visa desacreditar uma entidade ou fonte, incitando medo, incerteza e dúvida nas pessoas. Mas é um exemplo de como o efeito de histeria se espalha.

Relatórios de tendências

Bem mais concreto é o recente relatório de Tendências na Segurança de Aplicações Web para os dois primeiros trimestres de 2009, divulgado pela empresa Cenzic, especializada em segurança: Web Application Security Trends Report, Q1-Q2 2009, divulgado em 2009-11-09.

Publicado periodicamente desde 2007, o relatório revela que mais de 3,1 mil vulnerabilidades foram identificadas no primeiro semestre deste ano, índice 10% superior ao verificado no segundo semestre de 2008. Desse total, 78% são em aplicativos web. 87% das aplicações analisadas tinham falhas sérias que poderiam expor informações críticas ou confidenciais dos usuários durante transações (fonte: IT Web).

De acordo com a Cenzic, as vulnerabilidades SQL Injection — como a identificada por Maycon Maia Vitali na aplicação web do ONS — e Cross Site Scripting tiveram maior participação nos ataques pela web, com 25% e 17%, respectivamente.

Outro documento, o “Top Cyber Security Risks”, do SANS Institute, publicado em setembro, revela que mais de 60% dos ataques na internet focaram aplicativos web. Isto porque nos últimos anos a quantidade de vulnerabilidades identificadas em aplicações tem sido muito superior àquelas em sistemas operacionais e redes.

Segurança

No mínimo, todo esse assunto é um alerta sobre como as ameças em um mundo tecnológico e conectado vão saindo da ficção científica futurística e galgando a realidade dos dias de hoje.

Mas se há ameaças mil à solta, há também informação, produtos e serviços de sobra para as instituições, governos, empresas e pessoas poderem se instruir, preparar, prevenir, mitigar e reagir às possibilidades e incidências de vulnerabilidades e falhas de segurança em sistemas.

Para se ter uma simples ideia, já existe, há um bom tempo:

• Normas, em especial a família de normas NBR ISO/IEC 27000 sobre gestão e melhores práticas em segurança da informação e gestão de riscos, e a norma (disponível gratuitamente) ISO/IEC 15408 - Common Criteria (CC) de critérios para avaliação de segurança de sistemas de tecnologia da informação (TI).
• Manuais de metodologia para testes e análises de segurança, como o Open Source Security Testing Methodology Manual (OSSTMM), criado por Pete Herzog e provido pelo ISECOM, o Instituto para Segurança e Metodologias Abertas, sem fins lucrativos.
• Cursos, como o brasileiro Hackers Expostos: Técnicas de intrusão em redes corporativas, ministrado por Filipe Balestra na empresa 4Linux.
• Serviços, como os de análise de segurança e testes de invasão oferecidos pela empresa brasileira Módulo Security.
• Informação e ferramentas aos montes, em maior parte disponível de forma pública e aberta na Internet. Um exemplo: Vinte Controles Críticos para Efetiva Cyber Defesa: Consenso de Auditoria e Guidelines, trabalho desenvolvido pela colaboração de diversos experts em segurança, atualizado pelo Center for Strategic and International Studies em 2009-08-10.

O mal existe, mas o bem também. Para dissipar presságios do caos, basta que não apenas os crackers (hackers do mal), mas principalmente as instituições e pessoas de bem se preocupem, envolvam, invistam e ajam seriamente em segurança.

Com o início da vigência do Acordo Ortográfico da Língua Portuguesa no Brasil em 2009, uma necessidade decorrente dos usuários de computador é o suporte a esta reforma ortográfica nos programas.

O mais importante são os revisores ortográficos e gramaticais dos editores de texto, bem como dos programas onde há campos de entrada/digitação de texto, como os clientes de e-mail e os campos de texto dos navegadores/browsers internet.

Veja a seguir quais já oferecem suporte ao Acordo Ortográfico da Língua Portuguesa.

BrOffice/OpenOffice e Mozilla

O VERO - Verificador Ortográfico do projeto BrOffice.org inclui suporte ao acordo ortográfico desde a versão 2.0 já disponível em 1º de janeiro de 2009, graças ao trabalho do sergipano Raimundo Santos Moura.

Está disponível para uso com os programas do pacote de escritório BrOffice.org (editor de texto, planilha, apresentações, desenho) versões 3.x e 2.x (inclusive na divisão de sílabas).

Disponível também com os programas de internet da fundação Mozilla — o navegador Firefox, o cliente de e-mail Thunderbird, a suíte Seamonkey — na forma de extensão como dicionário pt_BR para o corretor ortográfico nativo.

• Baixe o VERO aqui.

Microsoft Office

A Microsoft liberou em 14/10/2009 o pacote de atualização KB972854 de 30/09/2009 para o Microsoft Office 2007, provendo suporte ao Acordo Ortográfico.

A página sobre a Atualização para o Verificador Ortográfico, Dicionário de Sinônimos e Verificador Gramatical do Microsoft Office 2007 também apresenta informações adicionais sobre a reforma ortográfica e indica Artigos sobre a Reforma Ortográfica da Língua Portuguesa.

• Baixe a Atualização para o Office 2007 aqui.

Como o Microsoft Office 2003 já encerrou seu ciclo de vida principal de suporte — em 14/04/2009, e entrou em suporte estendido apenas para atualizações de segurança até 2014 — a Microsoft deixou o suporte a essa versão de fora da atualização.

No Office 2007 com a atualização, observei que permanecia a autocorreção ao digitar de “linguiça” para “lingüiça” (com trema). Foi preciso eu remover manualmente: Opções do Word > Revisão de Texto > Opções de AutoCorreção > Substituir texto ao digitar > selecionar a substituição de linguiça > escolher o botão Excluir.

Para saber mais:

• Acordo ortográfico no Office 2007, por Rodrigo P. Ghedin, 2009-10-14, no blog WinAjuda.
• Office 2003 sem novo acordo ortográfico, 2009-10-16, no blog Windows All About.
• Office 2003 está fora da atualização da reforma ortográfica, por Nando Rodrigues, PC World, 2009-10-14, em IDG Now! Brasil.
• Reforma ortográfica para o seu computador, fonte: O Dia Online, 2009-02-04, em BrOffice.org.
• ieSpell – Corretor ortográfico para Internet Explorer, 2009-09-11, no blog Infoescravo. ieSpell, plug-in independente gratuito para uso pessoal; a empresa brasileira Portall disponibiliza um dicionário Português, mas não é atualizado para o Acordo Ortográfico.

O artigo que recomendo é de 11 de setembro, mas a tragédia que ele descreve não é a das torres gêmeas.

Fala da crise na relação entre empresas e seus fornecedores de serviços de desenvolvimento e manutenção de sistemas, que nunca foi muito harmonioso, mas parece estar chegando ao fundo do poço.

Leia o artigo No Fundo do Poço, por Paulo F. Vasconcellos (*), em seu blog Finito. Estou certo que, se você é profissional de TI/software — contratante ou fornecedor — o relato ilustrativo da crônica vai soar no mínimo plausível, quiçá familiar.

Acrescento a seguir minha reflexão sobre o tema.

Terceirização de TI é um caminho de fluxo intenso nas empresas. Já foi do desenvolvimento de software ao SaaS, da consultoria em infraestrutura ao cloud computing.

As motivações mais comuns são economia — de dinheiro, tempo, ou pessoal. Já as mais nobres incluem busca por flexibilidade, eficiência e até agregar valor ao negócio. Mas os resultados concretos muitas vezes são recheados de casos de problemas, frustrações e insucessos.

Para as empresas contratantes, creio que o mais importante é perceber que terceirização não é uma válvula de escape nem eliminação de um trabalho, mas sim a troca de um modelo de trabalho — baseado em produção interna — por outro — baseado em contratação.

Se por um lado libera a empresa da execução interna de uma série de atividades que passam a ser realizados por terceiros, por outro lado cria ou intensifica outras.

A terceirização exige que a empresa invista internamente na inteligência e análise de negócios, no estreitamento das relações da TI com as áreas demandantes e suas reais necessidades — o que costuma ser sintetizado pela expressão “alinhamento estratégico” — e na gestão de projetos e contratações.

O ambiente empresarial propício da contratante ainda suscita boa padronização e maturidade dos seus processos de trabalho (pelo menos das áreas que demandam a TI). E ao lidar com fornecedor, por mais “parceiro” que este seja, deve-se sempre seguir o princípio “confiar mas vigiar”.

Se na terceirização de TI, especialmente em software, não houver a devida preocupação e investimento da empresa contratante nestes aspectos que citei, essa troca corre o sério risco de não ser vantajosa, não colher a economia, a melhoria ou o produto esperados.

(*) Paulo F. Vasconcellos é consultor e palestrante com mais de 20 anos de experiência em projetos de tecnologia da informação, pioneiro na Formação de Analistas de Negócios (FAN).