PIM-VI-GTI

June 2, 2018 | Author: Leonardo Freitas Neiva | Category: Information Security, Cobit, Unified Modeling Language, Information Technology, Technology
Report this link


Description

UNIP INTERATIVAProjeto Integrado Multidisciplinar Cursos Superiores de Tecnologia Projeto Integrado Multidisciplinar UNIP INTERATIVA Senador Canedo – GO 2016 UNIP INTERATIVA Projeto Integrado Multidisciplinar Cursos Superiores de Tecnologia Leonardo Freitas Neiva Ra: 1541335 Gestão da Tecnologia da Informação Segundo Semestre UNIP Senador Canedo - GO 2016 RESUMO Projeto Integrado Multidisciplinar VI – PIM VI. Uni, 2016. Com base na proposta apresentada nesse projeto acredita-se que unindo as técnicas de tecnologia da informação e as ferramentas da consultoria, pode-se proporcionar o crescimento e gerenciamento eficaz da empresa estudada. a company engaged in commercial aviation area. recognized for its considerable standard of operational efficiency . which has strong growth since its inception ten years ago.PIM VI. characterized by low transport . we can provide growth and effective management of the company studied. . good relationship with its customers and exploration of alternative routes . Based on the proposal presented this project is believed that joining the information technology and technical consulting tools. It was evident the importance of IT consultancy with company Lina’s Areas da Paz ( LAP ). to develop competitive advantage in order to remain in the market and achieve stability. 2015. the lack of an integrated information system necessary as a tool in the management process is noticeable. Although the LAP is highlighted in the domestic market .ABSTRACT Multidisciplinary Integrated Project VI . with regard to IT. UNIP. ........................................09 9.............07 5................................. REFERÊNCIAS.................17 ........................................................................... ÉTICA E LEGISLAÇÃO PROFISSIONAL...................07 4........................... APRESENTAÇÃO DO CASO........................................... PROPOSTA DE SOLUÇÃO...............................16 16............ DIAGRAMA SGBD............... GRÁFICO DE EVOLUÇÃO LAP.............................................................................................................................. FUNDAMENTAÇÃO TEÓRICA ERP............................ METODOLOGIAS DE IMPLANTAÇÃO DE UM ERP....10 10.....................08 7.......15 15.............................09 8.. FUNDAMENTAÇÃO TEÓRICA BANCO DE DADOS.....................12 12.......................................08 6..06 3.............................................................13 13................. CONCLUSÃO.............. DIAGRAMA ERP.. FUNDAMENTAÇÃO TEÓRICA MATEMÁTICA APLICADA.................... INTRODUÇÃO.. ANÁLISE GERAL.............................14 14............. DIAGRAMA DE MODELO DE NEGÓCIOS..............................11 11.............................................................................................SUMÁRIO 1...................... FLUXOGRAMA DO SISTEMA DE GESTÃO INTEGRADO..........05 2......... num mercado altamente competitivo. este projeto tem objetivo de apresentar um Plano Estratégico Empresarial. permitem as empresas adotarem soluções integradas que influenciam diretamente nos resultados da empresa e dão suporte a tomadas de decisões fundamentais para o desenvolvimento da mesma. Considerando o caso fictício estabelecido. 5 . Para o desenvolvimento do projeto serão aplicados os conhecimentos adquiridos nas disciplinas de Planejamento Estratégico de TI.1. A busca de vantagens competitivas tem levado as empresas a buscarem novas tecnologias de informação destinada ao gerenciamento dos seus negócios. a modelagem de um Sistema de Informação e a Política de Segurança da Informação. um Plano Estratégico de TI. O Acesso a essas tecnologias associadas aos avanços na área de comunicação e sistemas. assumindo o papel de fator determinante a sobrevivência da empresa. Segurança da Informação e Modelagem de Sistemas de Informação. a consultoria é essencial à Tecnologia de Informação. INTRODUÇÃO Diante de um ambiente de mudanças constantes e de maneira acelerada. atuando como ferramenta importantíssima junto ao processo gerencial. divididos em matutino. expandiu seus negócios em localidades próximas. UNIDADE Bela Vista Interlagos CIDADE Osasco São Paulo PÚBLICO-ALVO Classes A. próximo a um grande e moderno estádio de futebol. fundada em 1970. a Pão Quentinho.2. O público alvo é caracterizado pelas classes sociais A. B e C. A Tabela abaixo mostra os locais onde estão situadas as Filiais e o Público-Alvo. além dos produtos e serviços de padaria e confeitaria. mantendo seu capital fechado até a atualidade. garçom e serviços gerais (limpeza). além de também estar próxima a condomínios residenciais. Ela é considerada uma padaria de serviço e também como padaria de conveniência. com ampliação de espaço físico e aumento na diversidade de produtos e serviços. com faixa etária acima de 30 anos. Por isso ela oferece serviços adequados para essas localidades como restaurante. caixa. Esse total está distribuído em 03 equipes por turno (3 turnos de 8h. pois a demanda do horário do almoço e final da tarde é maior. Para atender a demanda e as novas necessidades dos clientes. B e C 6 . Cada uma das unidades da Pão Quentinho possui aproximadamente 40 colaboradores operacionais. Iniciou suas atividades especializando-se em padaria e confeitaria. surgiu de um empreendedorismo familiar. Cada equipe é composta por profissionais que exercem a função de cozinheiro. A sua matriz está situada no Bairro de Perdizes. As suas filiais estão espalhadas pelos bairros nobre das cidades que compõe a Grande São Paulo. lanchonete e fast-food. B e C Classes A. APRESENTAÇÃO DO CASO A empresa Pão Quentinho. A equipe com maior número de funcionário é do turno vespertino. A Pão Quentinho é considerada de serviço e de conveniência por ter a grande parte de suas unidades situadas em locais de grande circulação e de maior concentração de lojas comerciais ou escritórios. vespertino e noturno) e 1 equipe de folguistas. de ambos os sexos. balconista. “atacar” os seus principais e latentes problemas. Ausência de uma pesquisa de satisfação preenchida pelos clientes. Crescimento de novos entrantes nas regiões nobres. insumos e produtos     acabados. Queda da qualidade dos produtos oferecidos pelos fornecedores. Falta de valorização de questões relacionadas à sustentabilidade. Falta de infraestrutura básica para receber famílias com bebês. B e C Classes A e B Classes A e B Classes A e B Classes A e B Classes A e B Classes A e B Antes do final do ano de 2015. além de preparar um Plano de Crescimento para o futuro. 7 . prejudicando a perenidade do negócio. Falta de acessibilidade para pessoas portadoras de deficiências     físicas.Lapa Tatuapé Granja Viana Alphaville Morumbi Nova Petrópolis Moema Vila São Francisco São Paulo São Paulo Cotia Barueri São Paulo São Bernardo do Campo São Paulo São Paulo Classes A. Ausência de um sistema de informação que automatizasse os   processos de negócio. os donos da Pão Quentinho perceberam. Os principais pontos desta avaliação foram:  Diminuição do número de clientes que faziam as suas refeições  diariamente na padaria. Esta análise do negócio foi muito importante e serviu para detectar muitas situações. a fim de discutir melhor os rumos da Corporação. A partir de tudo o que foi discutido nesta análise. Grave crise econômica que tem afetado a saúde financeira da empresa. Produtos oferecidos aos clientes com altíssima qualidade. que o seu Market Share (Fatia de Mercado) vinha caindo consideravelmente. além de esclarecê-las e apontar um novo caminho para a padaria. ao fazer a análise da situação do negócio. Excessivo turnover de funcionários. um dos sócios sugeriu que a Empresa implementa-se uma Processo de Planejamento Estratégico. Grandes desperdícios de matéria-prima. B e C Classes A. caso ignore o uso de ferramentas tecnológicas. haja vista quaisquer negócios correr sérios riscos de não subsistir. mas complementando a necessidade também de fazer um Plano Estratégico de TI. quando os sócios da Empresa resolveram contratar uma consultoria especializada em Gestão Estratégica para implementar um processo de criação de um Plano Estratégico Corporativo. PLANEJAMENTO ESTRATÉGICO DE TI 8 . 3. concordando com a proposta de contratação da consultoria.Foi. Um outro sócio reforçou esta necessidade. então. Essas exigências forçam as organizações reverem seus valores comerciais. • Definidos os papeis de cada um. é o momento de ter em mãos o máximo de informações que lhe darão uma visão mais completa do mercado.As organizações para serem inteligentes precisam disponibilizar produtos de qualidade. 9 . o capital intelectual e a gestão do conhecimento também aparecem como outros valiosos recursos estratégicos. concorrentes. áreas e mercados para explorar. humanos e tecnológicos. não garantem as principais metas organizacionais e a inteligência empresarial. Juntamente com a TI. A necessidade que as organizações sejam inteligentes. adequar sua política de venda e preços aos clientes. praticar bom atendimento. Esses valores merecem atenção especial com análise estratégica e planejamento efetivo. principalmente no que tange a adoção da TI e respectivos recursos com o objetivo de alcançar estas metas organizacionais. que deve passar por algumas definições simples: • Quem somos? Qual a nossa missão? Qual a relevância do nosso negócio para o mercado? Afinal. A partir da análise da situação do negócio do caso estudado. Saiba de tudo que se refere à análise de mercado. crescimento e desenvolvimento de funcionários. iniciamos uma discussão necessária para o início de todo planejamento estratégico. frente às mudanças constantes da sociedade da informação. cumprir prazos predefinidos e estar atenta às mutações do mercado. envolvendo toda a organização. faz com que as mesmas também se modifiquem e requeiram planejamento das suas informações auxiliadas pelos recursos da TI. Nesse sentido. o que por si só. aonde queremos chegar? • Quais os atores envolvidos nesse planejamento? Quem deve ter participação importante nas análises que traçarão os caminhos da empresa. dois fatores são vitais para as organizações no atual momento de competitividade e globalização: a definição de uma estratégia de posicionamento no mercado e a utilização da TI como valioso recurso para a definição e manutenção desse posicionamento estratégico. esse método auxiliará no conhecimento do contexto organizacional da empresa. destinada ao entendimento do contexto organizacional e à definição de objetivos de negócio e de TI. Atitude. Quanto mais organizada e bem feita for essa execução. No segundo método para um bom planejamento estratégico. através da aplicação de métodos para atender as necessidades de médio e longo prazo da organização. Deve se focar. na identificação de objetivos de TI alinhados aos objetivos de negócios. O primeiro passo deve ser o de alinhar a área de TI com os negócios. ferramenta utilizada para fazer análise do cenário de uma empresa. Também é interessante fazer a análise da matriz de arranjo da governança em prática na corporação. Se aplicado corretamente. O entendimento de mercado é tão bom quanto à compreensão do que ocorre dentro da sua própria empresa. Como resultado. identificar e avaliar a maturidade dos processos considerados críticos na área de TI. a situação atual desses processos e a análise SWOT aplicada a eles. você terá em mãos o conjunto de processos críticos a gerenciar para alcançar os objetivos da área. qual é a forma como conduzimos o processo de pessoas/equipe. conforme orientação hand-on determinada pelo COBIT. Faz parte desse segundo método. 10 . Após a análise da situação e compreensão das definições necessárias para colocar em prática sua estratégia a primeira coisa que devemos levar em consideração na parte da execução é analisar como fazemos o que fazemos. Ou seja. do inglês). será avaliado o desempenho e a capacidade atual da área de TI na organização. Feito isso. mais poderemos medir o nível de maturidade de uma empresa. é mais do que recomendável que uma companhia tenha elaborada consigo um plano de metas para a implantação da governança de tecnologia da informação.• Esteja informado sobre os insumos (internos e externos) para realização de seu negócio. pela própria TI e pela análise FOFA (ou SWOT. e o levará ao próximo passo. se baseando pelas metas estabelecidas pelos negócios. também. a estratégia e nossos planos operacionais. continuamente. você se direcionará à definição de indicadores para medir o alcance aos objetivos e a eficiência dos processos críticos. essa. para definição de objetivos. Pensando nisso. A prioridade para aplicação dessas táticas será definida de acordo com a estrutura de governança presente na companhia. seja sob os aspectos operacionais. controle e monitoramento de programas e projetos de governança. você também irá obter o comprometimento do corpo de colaboradores. capacitação e terceirização. em último caso. Dessa maneira. para toda a empresa. podendo ser destinados ao cumprimento dos objetivos da primeira etapa. 11 . está relacionada ao desenvolvimento de um conjunto estruturado de competências e habilidades estratégicas para profissionais de TI responsáveis pelo planejamento. nas atividades de implantação. para que não cometa erros iguais. é recomendável estabelecer projetos voltados para a aquisição de recursos de TI. Para desenvolver um planejamento tático em tecnologia da informação. é preciso formular os planos de ação para que ambas as estratégias de TI e de negócios sejam alcançadas. você irá obter o Balance ScoreCard (BSC) de TI. 4. Também é muito importante que a empresa aprenda com experiências anteriores e analise o andamento desses processos. seja sob suas implicações legais.na definição de ações estratégicas que devem cobrir a eliminação ou atenuação dos gaps identificados na segunda etapa. nesta que é a terceira etapa. aquisição. requisito fundamental para as organizações. Assim sendo. aprimorando sua governança de TI. O último passo desse processo consiste em avaliar e divulgar os resultados desse planejamento. Governança de TI Governança de TI. Como consequência. além de garantia de continuação desses processos. além de garantir que processo foi adequado à estrutura de governança. implantação. para a terceirização desses recursos e para a capacitação de recursos humanos. o papel da Governança de TI é garantir que a gestão dos recursos humanos e tecnológicos da empresa seja  o mais otimizada possível. Entrega de Valor: benefício importante da Governança de TI. Gerenciamento de Riscos: a Governança de TI permite que a empresa visualize de forma abrangente eventuais riscos para o negócio e dá meios de  minimizá-los. Para execução de um planejamento estratégico de TI existem diversas metodologias e como exemplos de metodologias disponíveis e largamente aceitas 12 . estruturas organizacionais e processos que garantem que a TI sustenta e melhora a estratégia e objetivos da organização”. Gerenciamento de Recursos: neste caso. a Governança de TI assegura uma medição e avaliação precisa dos resultados do negócio.Governança de TI é uma parte integral da Governança Corporativa e é formada pela liderança. assegurando que o setor de tecnologia da informação seja o mais eficiente e eficaz  possível. A Governança de TI se divide nas seguintes áreas:  Alinhamento Estratégico: a Governança de TI garante que tanto os processos de negócio como os de tecnologia da informação trabalhem  conjuntamente. Mensuração de Desempenho: utilizando-se de indicadores que vão muito além dos critérios financeiros. possivelmente automatizados. integração com fornecedores. sistemas já existentes. através da agregação de valor e risco controlado pelo uso da tecnologia da informação e de seus processos”. níveis de maturidade e segurança da informação. sobretudo. O COBIT e a Governança de TI O COBIT [ISACA 2000d] – Control Objectives for Information and Related Technology – tem por missão explícita pesquisar. redes e dispositivos utilizados pela empresa. mas um ponto fundamental para que seja mantida a gestão administrativa e estratégica da organização. custo da tecnologia e retorno esperado. incluindo qualidade de software. que possa ser replicada e. A metodologia COBIT foi criada pelo ISACA – Information Systems Audit and Control Association – através do IT Governance Institute . A análise destes processos deve orientar a organização na decisão de novos projetos e como utilizar tecnologia da informação neles.no mercado. publicar e promover um conjunto atualizado de padrões internacionais de boas práticas referentes ao uso corporativo da TI para os gerentes e auditores de tecnologia. permita evolução. O COBIT funciona como uma entidade de padronização e estabelece métodos documentados para nortear a área de tecnologia das empresas. A Governança Tecnológica considera a área de TI não apenas como um suporte à organização. Os documentos do COBIT definem Governança Tecnológica como sendo “uma estrutura de relacionamentos entre processos para direcionar e controlar uma empresa de modo a atingir objetivos corporativos.organização independente que desenvolveu a metodologia considerada a base da governança tecnológica. podemos citar: o COBIT para gestão da TI inovando através da Governança Tecnológica e o ITIL que padroniza uma série de processos operacionais e de gestão também ligados a TI. A necessidade de integração de sistemas e a evolução tecnológica são fundamentadas nos processos da 13 . que seja entendida e que esteja ao alcance de todos numa organização. 5. O objetivo central é manter processos e práticas relacionados à infra-estrutura de sistemas. considerando também a evolução tecnológica. O objetivo é criar uma sistemática padronizada suportada por processos. atendimento ao cliente (externo e interno). desenvolver. gerência de fornecedores integrados às atividades. garantias de desempenho. Os domínios podem ser caracterizados pelos seus processos e pelas atividades executadas em cada fase de implantação da Governança Tecnológica. desenvolvimento e mapeamento de procedimentos nos sistemas. a definição da estratégia de TI. gerência de projetos  e da qualidade. Possui uma série de processos como. problemas e incidentes. alocação de custos de serviços. gerência de configuração. riscos. Os domínios do COBIT são:  Planejamento e Organização: define as questões estratégicas ligadas ao uso da TI em uma organização.  instalação e gerência de mudanças. 6. identificação de soluções automatizadas a serem aplicadas ou reutilizadas na corporação. trata de vários processos. treinamento de usuários. entre eles. aquisição e manutenção de sistemas e de infra-estrutura. criando-se métricas para auditoria e medição da evolução das atividades destes processos. investimento. arquitetura da informação. que pode operar ou utilizar os serviços da empresa para operação terceirizada. Entrega e Suporte: define as questões operacionais ligadas ao uso da TI para atendimento aos serviços para os clientes. gerência de dados. Aquisição e Implementação: define as questões de implementação da TI conforme as diretivas estratégicas e de projeto pré-definidos no Plano Estratégico de Informática da empresa. O momento destes domínios é após a ativação de um serviço e sua entrega ao cliente.metodologia. manutenção e garantias ligadas a estes serviços. 14 . também conhecido como PDI (Plano Diretor de Informática). direcionamento tecnológico. Os processos relativos a este domínio tratam da definição dos níveis de serviço (SLA – Service Leve Agrément). por exemplo. continuidade e segurança de sistemas. Domínios de Processos do COBIT O COBIT está organizado em quatro domínios para refletir um modelo para os processos de TI. Os processos deste domínio tratam basicamente da supervisão das atividades dos outros processos. O sumário executivo do relatório traz as seguintes informações: se existe um método estabelecido para o processo. Definido: o processo é realizado. Repetível: o processo é repetido de modo intuitivo. quais os controles mínimos para a verificação do desempenho do método. com base em relatórios confiáveis de auditoria e parâmetros de mercado. como pode ser feita auditoria no método. adequações realizadas na empresa para garantia de procedimentos operacionais. Além dos quatro domínios principais que guiam o bom uso da tecnologia da informação na organização. coleta e análise de dados operacionais e estratégicos para auditoria e para controle da organização. depende  mais das pessoas do que de um método estabelecido. de modo não  planejado. Gerenciado: existem métricas de desempenho das atividades. de modo concreto. O resultado do relatório identifica o grau de evolução dos processos na organização que é avaliada. A 15 . Otimizado: as melhores práticas de mercado e automação são utilizadas para a melhoria contínua dos processos. existe também a questão de auditoria que permite verificar. Monitoração: define as questões de auditoria e acompanhamento dos serviços de TI. através de relatórios de avaliação. o  processo é monitorado e constantemente avaliado. quais as ferramentas utilizadas no método e o que avaliar no método para sua melhoria. sob o ponto de vista de validação da eficiência dos processos e evolução dos mesmos em termos de desempenho e automação. como o método é definido e estabelecido. O método de auditoria segue o modelo do CMM que estabelece os seguintes níveis:  Inexistente: significa que o processo de gerenciamento não foi  implantado. Inicial: o processo é realizado sem organização. o nível de maturidade dos processos da organização. documentado e comunicado na  organização. isto é. SEGURANÇA DA INFORMAÇÃO O Plano Estratégico em Segurança Computacional para o caso estudado tem por objetivo definir um plano de atividades que permita implementar e obter melhorias consistentes na percepção interna e externa sobre a segurança no uso dos recursos computacionais desta empresa. Entre os diversos aspectos analisados para o desenvolvimento da política de segurança da informação desta empresa nos baseamos nos seguintes princípios: . a organização define as metas. os objetivos de controle a serem atingidos.partir de então. isto é.Confidencialidade: toda informação mantida em equipamentos sob responsabilidade da PADARIA PÃO QUENTINHO só pode ser acessada por 16 . 7. propõe-se como missão para o desenvolvimento deste projeto: “Sugerir estruturas.Legitimidade: a origem e o destino das mensagens deve pertencer a autores legitimamente identificados nos sistemas de origem e destino. ou que trafega utilizando-se de infra-estrutura de comunicação da PADARIA PÃO QUENTINHO. Missão Considerado o escopo de segurança que se deseja tratar. independente dos recursos utilizados na comunicação (ex: meio físico). padrões. iguais ou superiores às instituições de mesma dimensão. estará sujeita a auditoria para identificação de seus autores. estrutura e escopo de atuação”. para que a PADARIA PÃO QUENTINHO atinja níveis de segurança em TI. . . não podendo ser recuperada por terceiros durante seu trânsito. durante um período definido em lei. a qualquer tempo e sem degradação no desempenho. sem expressa autorização das partes.Disponibilidade: o acesso à informação deve ser possível para o conjunto da comunidade PADARIA PÃO QUENTINHO autorizada. Objetivos e Metas É objetivo deste projeto: 17 .Legalidade: toda informação com origem ou destino em sistema provido pela PADARIA PÃO QUENTINHO. processos e recursos. . tempo e meios utilizados.pessoas formalmente identificadas e autorizadas. Comunicações de/para a PADARIA PÃO QUENTINHO envolvendo ou não pessoas e entidades externas à PADARIA PÃO QUENTINHO só podem ser conhecidas pelos pares autorizados. .Integridade: toda a informação trocada de/para a PADARIA PÃO QUENTINHO deve manter seu conteúdo inalterado desde o momento que deixa a origem até chegar ao seu destino. para grupos responsáveis na PADARIA PÃO QUENTINHO. por área por área de atuação (comercial e administrativo). 2007). Metas para consecução dos objetivos propostos: • Efetuar um diagnóstico da segurança na PADARIA PÃO QUENTINHO. • Propor os elementos constituintes básicos de uma Política de Segurança referencial que ofereça respaldo nas ações e tomada de decisão relativas à segurança. • Prospectar oportunidades e investigar ameaças. que abrange os seguintes aspectos de segurança: 1. • Indicar estruturas e procedimentos para proteger o patrimônio PADARIA PÃO QUENTINHO dependente de recursos computacionais. a Segurança Computacional pode ser entendida sob a Norma NBR 17799 (NBR17799. por área de segurança. Gerenciamento físico e de comunicação 18 . levantando os pontos fracos e fortes. Escopo e Metodologia Como conceito. • Recomendar formas para capacitar os profissionais de TI. Gestão de pessoas e seus papéis em segurança computacional 5. 8. Segurança ambiental e física 6. Organização da segurança 3. Controle e classificação de ativos computacionais 4.• Definir um plano de ações para melhoria continuada em segurança computacional. Política de segurança 2. • Definir o nível de segurança atual e o desejado. uma instrução’ (Dicionário WEB). Manutenção e desenvolvimento de sistemas 9. O sucesso da implementação de regras e controles rígidos de segurança da informação dependem de diversos fatores tais como: comprometimento de todos os níveis gerenciais. É sabido que muitos sistemas de informação não foram projetados para protegerem as informações que geram ou recebem. principalmente através dos meios de comunicação e da internet. dentre outros. e essa é uma realidade tanto do setor Público como Privado. neste ambiente de empresas interligadas e extremamente competitivas. requisitos de segurança claros e objetivos. A segurança da informação é a forma encontrada pelas organizações para proteger os seus dados. É uma norma de Segurança da Informação revisada em 2005 pela ISO e pela IEC. Gerenciamento da continuidade de negócios A ISO/IEC 17799 (NBR17799. Informação significa. a informação se torna um fator essencial para a abertura e manutenção de negócios e como tal. A versão original foi publicada em 2000. Quando levamos em consideração as organizações. implementados e monitorados constantemente. a informação toma uma dimensão extremamente importante. globalizado e interativo. isso porque a computação distribuída acaba se tornando um empecilho à implementação eficaz de um controle de acesso centralizado. a transmissão de notícia e/ou conhecimentos. política de segurança que reflita o negócio da organização. pois decisões importantes são tomadas com base na mesma. Assim. estabelecidos. precisa ser protegida. 2007) foi atualizada para numeração ISO/IEC 27002 em julho de 2007. de acordo com os dicionários vigentes. 19 . temos a capacidade de disponibilizar e absorver uma quantidade considerável de informação. No mundo atual. processo eficaz de gestão dos incidentes da segurança da informação que possam acontecer. através de regras e controles rígidos. A interligação de redes públicas e privadas e o compartilhamento de recursos de informação dificultam o controle e a segurança do acesso.7. Controle de acesso aos sistemas computacionais 8. que por sua vez era uma cópia fiel do padrão britânico BS 7799-1:1999. o ‘ato ou o efeito de informar. Caso seja necessário. Esta família de normas adota um esquema de numeração usando a série de números 27000 em sequência. manter e melhorar a gestão de segurança da informação em uma organização. gestão de riscos. manutenção e segurança das informações. a direção da organização poderá direcionar e identificar as necessidades para a consultoria de um especialista interno ou externo em segurança da informação. o objetivo da política de segurança da informação é "Prover uma orientação e apoio da direção para a segurança da informação de acordo com os requisitos do negócio e com as leis e regulamentações relevantes. Se a orientação e o apoio aos objetivos da segurança da informação devem partir da direção da organização.01) integra uma família de normas de sistema de gestão de segurança da informação SGSI que inclui normas sobre requisitos de sistema de gestão da segurança da informação. Ideal para aqueles que querem criar. Também pode ser utilizada como um guia prático para desenvolver os procedimentos de segurança da informação da organização. A Norma ABNT NBR ISO/IEC-17799 foi elaborada no Comitê Brasileiro de Computadores e Processamento de Dados (ABNT/CB-21) pela Comissão de Estudo de Segurança Física em Instalações de Informática (CE-21:2-4. implementar e manter um sistema. Convém que a direção estabeleça uma política clara. O padrão é um conjunto de recomendações para práticas na gestão de Segurança da Informação. já que uma das principais responsabilidades do mesmo é a gerência. métricas e medidas. 20 . alinhada com os objetivos do negócio e demonstre apoio e comprometimento com a segurança da informação por meio da publicação e manutenção de uma política de segurança da informação para toda a organização". e diretrizes para implementação. fica claro que o profissional de TI é peça chave nesse contexto. A Norma ABNT NBR ISO/IEC-17799 estabelece as diretrizes e princípios gerais para iniciar. analisando e coordenando os resultados desta consultoria por toda a organização. implementar. apoiando ativamente todos os processos e diretrizes implementadas.De acordo com a norma ABNT NBR ISO/IEC 17799:2005. dos servidores e dos equipamentos da rede. Este profissional deverá estar comprometido. as atividades a serem realizadas. estabelecer critérios de seleção e levantar o histórico relativo a evoluções do negócio e vulnerabilidades técnicas e organizacionais. é possível definir um plano de ação corporativo alinhado com os objetivos da direção. Esta identificação das vulnerabilidades pode ser realizada utilizando-se como ferramenta o diagrama de causa e efeito. planejar. planejamento de custos. controlar e encerrar. de qualidade e de aquisições e a formação de equipe. serão apresentadas propostas e soluções tecnológicas que devem somar ao planejamento estratégico desta organização. ajuda a priorizar ações de segurança. Cada uma destas fases é caracterizada por gerar um produto tangível e verificável. como qualquer outro projeto. Nesta etapa. ameaças e riscos. Nesta fase serão definidos o escopo. Para tal. definição dos produtos. é composto por um conjunto de fases: iniciar. Segunda fase do ciclo de vida do projeto: Planejamento. é necessário determinar a especificação do produto. Primeira fase do ciclo de vida do projeto: Iniciação. obtendo-se o cenário de grau de segurança desejado a alcançar. é essencial um mapeamento da Segurança. Assim. executar. 9. análise qualitativa e quantitativa e planejamento de respostas a riscos das Vulnerabilidades de 21 . podendo ajudar na confecção do WBS. constituído da identificação de riscos. Nesta fase também será realizado o planejamento do gerenciamento do risco. O ciclo de vida do projeto O ciclo de vida para se implantar um Projeto de Gestão de Segurança da Informação. elaborar um plano estratégico. e subsidiar a implantação de controles eficazes posteriormente.Após definidas as diretrizes que devem nortear a implantação dos processos de segurança da informação do caso estudado. a elaboração de cronograma. A identificação das vulnerabilidades. O avanço do projeto deve ser medido e monitorado. Quinta fase do ciclo de vida do projeto: Encerramento. O encerramento do projeto acontece após seus objetivos terem sido atingidos. as aquisições e administrar contratos. No nosso caso. Isto poderá ser 22 .Segurança da Informação identificadas na Organização e os riscos do gerenciamento do projeto propriamente dito. Quarta fase do ciclo de vida do projeto: Controle. regras e legislações existentes. realização de ações corretivas imediatas a partir das vulnerabilidades identificadas e preparação da análise de risco. Esta etapa tem como objetivo executar o plano de projeto e de qualidade. exercendo-se o monitoramento e medição dos controles implementados. Terceira fase do ciclo de vida do projeto: Execução. os resultados específicos do projeto e os requisitos de qualidade. Também deve ser acompanhado o retorno dos investimentos (ROI). Para o projeto de implantação da Segurança. medidas deverão ter sido estabelecidas e incorporadas aos processos de negócio da Organização. Os planos de contingência e recuperação de desastres são atualizados e mantidos. Aqui é feita a administração da segurança. além de se garantir a conformidade com normas. O encerramento requer documentação dos resultados a fim de formalizar a aceitação do produto. Nesta fase são executadas ações de coordenação de alterações do escopo e do próprio projeto. O encerramento do projeto requer a confirmação de que os produtos propostos foram atingidos. Também faz parte desta etapa implementar os mecanismos de controle em todos os ambientes de acordo com a política de segurança e planos executivos. Exemplos de ações desta fase: criação do comitê interdepartamental de segurança. formalizações de aceites de produtos e controles de orçamento. criação da política de segurança. início da capacitação em segurança de técnicos e executivos. São acompanhados e monitorados os riscos identificados. capacitação de todos os funcionário envolvendo-os no projeto. o desenvolvimento da equipe. além do esforço de alcançar o comprometimento de cada um. temos como exemplos a divulgação da política de segurança na Organização. A maioria dos incidentes de segurança são ocasionados no ambiente interno. As lições aprendidas também deverão ser descritas. Política de Segurança da Informação Temos a definição do Escopo e Metodologia. mais como já foi discutido e preciso identificar as principais ameaças de segurança de TI e saber como combatê-las. etc). 23 . É importante criar normas rígidas e principalmente treinar toda a equipe interna e externa. sendo muito importantes para a tomada de decisões. O que precisamos colocar numa política de segurança da informação? 1º Precisamos fazer um planejamento. Analisar o que deve ser protegido. É através de uma política de segurança bem elaborada que podemos minimizar problemas e conscientizar melhor essas pessoas. e conhecemos o ciclo de vida para se implantar um Projeto de Gestão de Segurança da Informação. tanto para a empresa quanto para o profissional. com toda documentação das fases anteriores. O bem mais importante que as empresas possuem. Deverá ser preparado um arquivo do projeto. levantando o perfil da empresa. se não for bem treinada. tanto interno como externamente. IDS. são as informações gerenciais. 2º Aprovação da política de segurança pela diretoria. sem dúvida.demonstrado a partir de medições e relatórios com os resultados alcançados e comparados com os propostos. a serem observados por todos os seus integrantes e colaboradores e aplicados a todos os sistemas de informação e processos corporativos. É preciso mostrar como é fundamental proteger as informações gerenciais. A equipe interna pode ser um grande problema. firewall. sendo que atualmente a grande parte dos recursos são investidos no ambiente externo (medidas de proteção. A Política de Segurança da Informação – PSI é um documento que registra os princípios e as diretrizes de segurança adotado pela organização. 10. tais como vulnerabilidades. uso de smartphones e tablets. a fim de buscar informações ou incoerências. Nesta etapa devemos criar as normas relativas à utilização de programas. 4º Elaboração das normas e proibições. bloqueios de sites. recolhendo declaração de comprometimento dos funcionários. 5º Aprovação pelo Recursos Humanos As normas e procedimentos devem ser lidas e aprovadas pelo departamento de Recursos Humanos. 6º Aplicação e Treinamento da Equipe Elaborar um treinamento prático com recursos didáticos. tanto física. utilização dos recursos tecnológicos. para apresentar a política de segurança da informação. Estudar o que deve ser protegido. Mecanismos de segurança 24 . utilização da internet. 8º Feedback A organização deverá designar um colaborador específico para ficar monitorando a política. se houver. enumerando as deficiências e fatores de risco. 3º Análise interna e externa dos recursos a serem protegidos. no que tange a leis trabalhistas e manual interno dos funcionários da organização. utilização do e-mail. nunca pode ficar ultrapassada. 7º Avaliação Periódica A política de segurança da informação deve ser sempre revista. lógica e humana. verificando o atual programa de segurança da empresa. que venham a alterar o sistema. A política deve ficar sempre disponível para todos os colaboradores da organização.Garantir que a diretoria apoie a implantação da política. etc. acessos físicos e lógicos. 11. mudanças em processos gerenciais ou infra-estrutura. o Assinatura digital: Um conjunto de dados criptografados. isto é. o Mecanismos de controle de acesso: Palavras-chave. É uma espécie de 25 . Existem mecanismos de segurança que apoiam os controles físicos: Portas / trancas / paredes / blindagem / guardas / etc . geralmente eletrônico. o Integridade: Medida em que um serviço/informação é genuíno. que está em ambiente controlado. algoritmos determinados e uma chave secreta para. Utiliza-se para tal. A operação inversa é a decifração. Existem mecanismos de segurança que apóiam os controles lógicos: o Mecanismos de cifração ou encriptação: Permitem a transformação reversível da informação de forma a torná-la ininteligível a terceiros. o Mecanismos de garantia da integridade da informação: Usando funções de "Hashing" ou de checagem. ficaria exposta a alteração não autorizada por elemento mal intencionado. cartões inteligentes. firewalls. fazendo-o pensar que esteja de fato explorando uma vulnerabilidade daquele sistema. garantindo a integridade e autenticidade do documento associado. o Honeypot: É uma ferramenta que tem a função de propositalmente simular falhas de segurança de um sistema e colher informações sobre o invasor enganando-o. produzir uma sequência de dados criptografados. a partir de um conjunto de dados não criptografados. o Mecanismos de certificação: Atesta a validade de um documento.. mas não a sua confidencialidade. é garantida a integridade através de comparação do resultado do teste local com o divulgado pelo autor. de outro modo. está protegido contra a personificação por intrusos. Controles físicos: são barreiras que limitam o contato ou acesso direto a informação ou a infraestrutura (que garante a existência da informação) que a suporta. associados a um documento do qual são função.  Controles lógicos: são barreiras que impedem ou limitam o acesso a informação. e que. sistemas biométricos. 26 . contingenciar esses links em momentos críticos. 12. podem representar parcela significativa da banda IP disponível quando todo o tráfego de voz é considerado. dispositivos e sistemas que compõem a rede. havendo tráfegos concorrentes. Segurança da Rede A rede de dados é frequentemente associada a problemas de segurança. ajustando-se a configuração. Tal percepção está relacionada à diversidade de comportamentos. por exemplo. Este tipo de problema é acidental. desde que percebido. não provocado. Alguns exemplos são os detectores de intrusões. embora não consumam muita banda individualmente. ou ter seu desempenho reduzido por má configuração das interfaces. Essas aplicações são sensíveis a atrasos e variações de atraso e. Entretanto. filtros anti-spam. O conhecimento do perfil de tráfego pode ajudar a dimensionar links de comunicação. analisadores de código etc. quando conexões TCP operam em half-duplex (a menor) por descasamento de velocidade nas portas (portas em auto-negociação). fuzzers. aplicações VoIP (Voz sobre IP). o desempenho da rede pode ser também prejudicado pelo excesso de tráfego. Existe hoje em dia um elevado número de ferramentas e sistemas que pretendem fornecer segurança. o Protocolos seguros: Uso de protocolos que garantem um grau de segurança e usam alguns dos mecanismos citados. A rede pode ficar indisponível. principalmente os de natureza orientada a conexão (TCP). firewalls locais. firewalls. os antivírus. Controle de tráfego e rede sem fio Outro aspecto importante da segurança da rede de dados está relacionada com a disponibilidade lógica da infra-estrutura. nos switches e roteadores. terão seu desempenho prejudicado. ou devido a loops de roteamento. prever e gerir sua expansão. e pode ser resolvido. que prejudica em particular algumas aplicações em detrimento de outras.armadilha para invasores. Por exemplo. O HoneyPot não oferece nenhum tipo de proteção. 13. prevenção de intrusões de rede. Dentre as inúmeras opções deste recurso estou sugerindo a utilização de um UTM (Unified Threat Management) que é na tradução literal para o português "Central Unificada de Gerenciamento de Ameaças". "Parede de fogo". filtragem de conteúdo. por assim dizer. balanceamento de carga e geração de relatórios informativos e gerenciais sobre a rede. O UTM é teoricamente uma evolução do firewall tradicional. Firewall Definição: Firewall é uma solução de segurança baseada em hardware ou software (mais comum) que. 27 . é uma solução abrangente. A sua missão. analisa o tráfego de rede para determinar quais operações de transmissão ou recepção de dados podem ser executadas. a partir de um conjunto de regras ou instruções.14. antivírus. criada para o setor de segurança de redes e vem ganhando notoriedade e se tornou a solução mais procurada na defesa das organizações. a tradução literal do nome. VPN. unindo a execução de várias funções de segurança em um único dispositivo: firewall. já deixa claro que o firewall se enquadra em uma espécie de barreira de defesa. consiste basicamente em bloquear tráfego de dados indesejado e liberar acessos bem-vindos. Essa linguagem tornou-se.A sigla UTM teve origem no IDC. UML A UML (Unified Modeling Linguagem ou Linguagem de Modelagem Unificada) é uma linguagem visual utilizada para modelar sistemas computacionais por meio do paradigma de orientação a objetos – OO. Esta unificação das funções permite o gerenciamento da segurança em um único painel. que comercializam este produto no formato appliance. e esta linha de produto tem a vantagem de fundir em um único appliance (hardware + software) os serviços que antes eram feitos por vários softwares dentro do servidor ou então por alguns outros appliances. 28 . Uma forma comum de modelagem de programas procedurais (não orientados a objeto) é através de fluxogramas. ou seja. instituto de pesquisa de mercado. Frequentemente a modelagem de software usa algum tipo de notação gráfica e são apoiados pelo uso de Ferramentas CASE. diminuindo brechas ou falhas de segurança. hardware + software. facilitando a prevenção. MODELAGEM DE SISTEMAS DE INFORMAÇÃO Modelagem de Sistemas é a atividade de construir modelos que expliquem as características ou o comportamento de um software ou de um sistema de software. enquanto que a modelagem de programas orientados a objeto normalmente usam a linguagem gráfica UML. O UTM também garante que as soluções de segurança encontradas nele sejam compatíveis e complementares. Na construção do software os modelos podem ser usados na identificação das características e funcionalidades que o software deverá prover (análise de requisitos). nos últimos anos. e no planejamento de sua construção. detecção e ação contra ameaças de variadas fontes. 15. a linguagem padrão de modelagem de software adotada internacionalmente pela indústria de desenvolvimento de software. A modelagem de software normalmente implica a construção de modelos gráficos que simbolizam os artefatos dos componentes de software utilizados e os seus interrelacionamentos. Os fabricantes de UTM firewall são empresas de TI. especializadas ou não em segurança. De Pacotes: Representa os subsistemas englobados de forma a determinar  partes que o compõem. o De comunicação: Associado ao diagrama de Seqüência. De Atividades: Descreve os passos a serem percorridos para a conclusão de  uma atividade. Fornece uma visão dos valores armazenados pelos objetos de um Diagrama de Classe em um determinado  momento da execução do processo do software. é praticamente um complemento dele. De implantação: Determina as necessidades de hardware e características  físicas do Sistema. Diagramas Estruturais  De Classe: Este diagrama é fundamental e o mais utilizado na UML e serve de apoio aos outros diagramas. De Objeto: O diagrama de objeto esta relacionado com o diagrama de classes e. O Diagrama de Classe mostra o conjunto de  classes com seus atributos e métodos e os relacionamentos entre classes. De Máquina de Estados: Procura acompanhar as mudanças sofridas por um  objeto dentro de um processo. De Estrutura: Descreve a estrutura interna de um classificador. De Componentes: Está associado à linguagem de programação e tem por  finalidade indicar os componentes do software e seus relacionamentos. o Geral interação: Variação dos diagramas de atividades que fornece visão geral dentro do sistema ou processo do negócio. De Interação: Dividem-se em: o De Sequência: Descreve a ordem temporal em que as mensagens são trocadas entre os objetos. o De tempo: Descreve a mudança de estado ou condição de uma instância de uma classe ou seu papel durante o tempo. 29 . Diagramas Comportamentais  De Caso de Uso (Use Case): Geral e informal para fases de levantamento e  análise de requisitos do sistema. complementando-o e concentrando-se em como os objetos estão vinculados.Os Diagramas da UML estão divididos em Estruturais e Comportamentais. um processo de simulação inteligente permite a implementação direcionada de opções de projeto em vários estágios do ciclo de desenvolvimento.A simulação de projeto pode incluir uma ampla variedade de análises que testam o comportamento virtualmente de um produto sob várias condições ambientais e operacionais. estas etapas são conhecidas com analise de requisito. Isto é feito principalmente por meio de entrevista. codificação. abstratos e difusos que representam as 30 . passa-se a fase em que as necessidades apresentadas pelo cliente são analisadas. Diferentemente de tentativa e erro. Um processo de simulação de projeto eficaz ajuda empresas a reduzirem custos de desenvolvimento e apresentarem resultados inovadores de forma mais rápida e eficiente. Devem ser realizadas tantas entrevistas quantas forem necessárias para que as necessidades do usuário sejam bem compreendidas. demorados e de alto custo. quais deverão ser fornecidas e qual o nível de desempenho exigido do software. testes e implantação). Isso reduz drasticamente a necessidade de testes recorrentes. Levantamento e analise de requisitos Umas das primeiras fases de analise de software consistem no levantamento de requisitos como (analise de requisito. caracterizando-se pela dificuldade em conseguir compreender um conjunto de conceitos vagos. Um dos principais problemas enfrentados na fase de levantamento de requisitos é o de comunicação. projeto. Durante as entrevistas o analista deve auxiliar o cliente a definir quais informações deverão ser produzidas. A partir da etapa de analise de requisito. que se constitui na principal etapa da modelagem. e posteriormente reduz o tempo total de desenvolvimento. Logo após o levantamento dos requisitos. A comunicação constitui-se em um dos maiores desafios do analista de software. onde o analista de sistema tenta compreender como funciona atualmente o processo a ser informatizado e quais serviços o cliente precisa que o software forneça. Assim o analista de sistema busca compreender as necessidades do usuário e o que ele deseja que o sistema a ser desenvolvido realize. verificando se estes foram especificados corretamente e se foram realmente bem compreendidos. são determinadas as reais necessidades do sistema. onde o analista examina os requisitos enunciados pelos usuários. da TI e seus recursos (hardware. atuando na configuração das atividades da cadeia de valor. Durante á analise de requisitos. software. as políticas. sistemas de telecomunicações e gestão de dados e informações).necessidades e desejo dos clientes e transformá-los em conceitos concretos e inteligíveis. Estas questões devem ser sanadas o quanto antes. porém as estruturas. nas alianças estratégicas e na integração do mercado. tático e operacional das informações organizacionais. determinando se algum item foi especificado incorretamente ou se algum conceito precisa ser melhorado. fazendo com que as empresas busquem as novidades e que seus negócios cresçam. Para ser relevante nas organizações. sendo por vezes necessários remodelar totalmente o projeto. verificando-se algum tópico deixou de ser abordado. os processos e as culturas organizacionais devem ser consideradas nesse crescimento. o que causa grandes atrasos no desenvolvimento do software. As organizações não podem adiar a necessidade de compreender e aprender a aproveitar os benefícios da TI. Dessa forma. A grande questão é: Como saber se as necessidades dos usuários foram realmente bem compreendidas? Um dos objetivos da analise de requisitos consiste em determinar se a necessidades dos usuários foram atendidas corretamente. dos SI. CONCLUSÃO A globalização ampliou significativamente os negócios mundiais. a necessidade do planejamento da TI é fundamental e pode ajudar as organizações na formulação de estratégias transnacionais. uma linguagem de modelagem auxilia a levantar questões que não foram concebidas durante as entrevistas iniciais. o 31 . para que o projeto do software não tenha que sofrer modificações quando o seu desenvolvimento já estiver em andamento. das pessoas envolvidas e a infraestrutura necessária para o atendimento das decisões e ações da organização. o planejamento de Tecnologia da Informação é um guia dinâmico para o planejamento estratégico. Concluindo. Isto faz com que TI se apresente como um instrumento de coordenação de processos empresariais e como um mecanismo de coalizão dessas atividades empresariais globais. também eleva os riscos de gestão inerentes a qualquer tipo de decisão e ação.com/2010/08/uma-visao-geral-do-cobit/ Manual do PIM III. ao mesmo tempo em que potencializa a capacidade das organizações em obter. explorar a TI para vantagem competitiva. Utilizar a TI sem planejamento é um risco que a organização não deve correr. direcionar os seus recursos para uma gestão efetiva. Disponível em: 32 .Planejamento de TI deve: alinhar os SI e a TI com as metas dos negócios empresariais. 1. pode-se concluir que o trabalho proporcionou um aprendizado distinto e o resultado obtido com o estudo serviu para aumentar o conhecimento e desenvolvimento profissional e intelectual.governancadeti. desenvolver arquiteturas e políticas de tecnologia. REFERÊNCIAS BIBLIOGRÁFICAS http://www. pois o uso crescente da TI. e gerar um ambiente informacional que favorece a geração de estratégias organizacionais. Por fim. manter ou combater vantagens competitivas. aspx?ttCD_CHAVE=7 Fundamentos Teóricos.info/o-que-e-erp/ Portal ANAC. Disponível em: http://erponline. Administração de Banco de Dados. Disponível em: http://www.edu.unip.pdf 33 .unipinterativa.org/wiki/Wikip%C3%A9dia:P%C3%A1gina_principal Guia de normalização para apresentação de trabalhos acadêmicos.br/Area.br/servicos/biblioteca/download/manual_de_normalizacao.jsp? tab_tab_group_id=_80_1 Conceitos de ERP.pdf Conteúdo Acadêmico: Ambiente Virtual de Aprendizagem MÓDULOS: Sistemas de Informação. Matemática Aplicada e Ética e Legislação Profissional.unipinterativa. Disponível em: https://pt.anac.http://ead.br/webapps/portal/frameset. Disponível em: http://ead.wikipedia.edu.br/bbcswebdav/pid-1211110-dt-content-rid25159899_1/courses/3015-50_TI_2015_M01/MPIM_III_GTI%20%28fm %29%20%28RF%29%281%29. Disponível em: http:/www2.gov.


Comments

Copyright © 2024 UPDOCS Inc.