Pim 6
-
Upload
luis-fernando-chiavegati -
Category
Documents
-
view
336 -
download
0
Transcript of Pim 6
5
Introdução
A Empresa Champions Indústria Farmacêutica S.A. com sede em Tóquio,
visando conquistar o mercado sul americano decidiu abrir no Brasil uma filial
comercial que será responsável em operacionalizar suas transações e ampliar
abrangência no mercado compreendido pelo Mercosul.
Para o desenvolvimento do projeto de instalação da filial, a Champions
contratou a Empresa Tech Soluções para os estudos. A Tech Soluções é sediada
em São Paulo, conta com mais de 15 anos de experiência no ramo de consultoria de
TI, tendo ao longo desses desenvolvidos vários projetos de ponta.
A Champions necessita de um projeto completo de implantação e suporte de
um sistema ERP (Enterprise Resource Planning) no Brasil e que futuramente será
acoplado ao ERP da sede em Tóquio, sendo que o ERP brasileiro terá apenas o
módulo de vendas.
A Champions, por motivos de segurança, escolheu que o banco de dados e
os demais serviços como servidor de Internet, correio eletrônico, gerenciador de
arquivos e de impressão deverão ser alocados em servidores específicos localizados
no próprio ambiente da empresa, deixando de lado outras opções como computação
em nuvem ou fornecido por empresa terceirizada (outsourcing).
A empresa definiu que o plano de implantação e gerenciamento da infra
estrutura deve ter seu foco na priorização da segurança das informações (física e
lógica) que serão utilizadas, modificadas, transitadas, armazenadas e/ou
descartadas.
Quanto ao suporte técnico para os usuários do ambiente, será formado uma
equipe própria, com o processo de atendimento e suporte seguindo as práticas
definidas no ITIL (Information Technology Infrastructure Library): incidente,
problema, configuração, mudança e liberação.
Com o objetivo de preservar processos importantes da filial em caso de
sinistros, a alta gerência solicitou que fosse elaborado um PCN (Plano de
6
Continuidade de Negócios) para o ambiente físico e lógico de TI e para os recursos
humanos envolvidos.
O presente estudo se faz então necessário para a construção do projeto, já
que este são as etapas que devemos seguir na implantação do sistema, ajustando o
cronograma e os custos de acordo com a necessidade do cliente. Evitando-se
assim, gastos descontrolados e etapas de implantação demasiadamente longas. De
acordo com Barros (2013, p.43) “... se mal estruturados ou mal desenvolvidos ou
mesmo se não aprimorados e bem conservados, os sistemas de gestão empresarial
tendem a ter uma vida curta e um fim natural por descrédito...”
Por ser uma empresa do ramo farmacêutico existe o risco constante de ações
de espionagem industrial e a preocupação com a Segurança da Informação é
primordial. Foi então, elaborada a Política Corporativa de Segurança da Informação
e um como o Plano de Conscientização em Segurança da Informação baseado nas
melhores práticas para criação e uso de senhas de acesso, engenharia social,
verbalização e utilização de informações privilegiadas.
O presente estudo tem por objetivo definir o projeto de implantação do módulo
de vendas do sistema ERP da filial da empresa Champions no Brasil, definindo os
planos de implantação e suporte do sistema, localização da infraestrutura
(servidores e bancos de dados), priorizando a segurança das informações, o plano
específico de suporte técnico para os usuários baseado no ITIL e também um PCN
(Plano de Continuidade de Negócios).
Para isso, foram feitas pesquisas teóricas nas disciplinas de Modelagem de
Sistemas de Informação, Planejamento Estratégico de TI e Segurança da
Informação, definindo-se o marco teórico do estudo. A partir daí, foram realizadas
pesquisas na internet sobre projetos de implantações semelhantes para
comparação, de maneira a complementar na prática o conteúdo estudado.
O capitulo 1 refere-se ao Plano de Implantação e Gerenciamento de
Infraestrutura, iniciando-se pelo projeto da infraestrutura física e sua implantação,
focalizando a segurança da informação.
7
No capitulo 2 temos a descrição do projeto de implantação e suporte do ERP
do Brasil, que futuramente será acoplado ao ERP da sede em Tóquio.
O capítulo 3 descreve o Plano de Gerenciamento específico para o suporte
técnico para os usuários no ambiente proposto, especificando o processo completo
de atendimento e suporte seguindo as práticas definidas no ITIL (incidente,
problema, configuração, mudança e liberação).
O capítulo 4 apresenta o Plano de Continuidade de Negócio, elaborado com a
finalidade de definir os processos importantes, que em caso de sinistro não podem
ser interrompidos.
O capítulo 5 aborda os fatores ligados à Segurança da Informação da filial, a
definição da Política Corporativa da Segurança da Informação e o Plano de
Conscientização em Segurança da Informação.
Capítulo 1 – Plano de implantação e gerenciamento de infraestrutura
A decisão sobre o tipo de infraestrutura a ser empregada na filial foi tomada
pela empresa Champions tendo em vista o ramo de negócio em que opera a ser
altamente estratégico, levando-se em consideração os critérios de
Confidencialidade, Integridade e Disponibilidade, que segundo Sewaybriker (2012),
formam os pilares da Segurança da Informação.
Sendo assim, os executivos decidiram por implantar os seus próprios
servidores de banco de dados e os demais serviços como Internet, correio
eletrônico, gerenciador de arquivos e de impressão, que ficarão localizados no
próprio ambiente da empresa.
Uma equipe de funcionários próprios serão responsáveis pela manutenção,
disponibilidade e integridade tanto da parte física quanto lógica dos sistemas.
8
1.1 – Revisão do Projeto Físico
A arquitetura de rede utilizada será cliente-servidor com banco de dados
centralizado em uma máquina com Hard Disk em Raid (espelhamento). Será criado
um perímetro de segurança, pois os servidores serão instalados dentro de uma sala
cofre, com controle de entrada através de mecanismos eletrônicos e câmeras de
monitoração (CFTV). Além disso, também teremos barreiras lógicas como senha de
administrador e perfis restritos de usuários. De acordo com Sewaybriker (2012, p.
85) quando combinamos segurança física com lógica teremos o chamado perímetro
de segurança. Serão utilizadas medidas de proteção por camadas.
Para garantir a qualidade da energia elétrica serão utilizados no-break´s. A
sala também terá controle de temperatura através de ar-condicionado exclusivo.
Assim estaremos minimizando a ameaça de interrupção de serviços básicos.
Deverá ser configurado um servidor de domínio para que somente as
máquinas e os usuários autorizados possam realizar logon na rede. A autenticação
dos usuários será, conforme Sewaybriker (2012) no Método de Autenticação
baseado no que você sabe, que é o uso de senhas para a autenticação.
O acesso à internet e serviço de e-mail de provedor externo será realizado
através de servidor Proxy, que Sewaybriker (2012, p.101) define como dispositivos
criados para resolver problemas dos filtros de pacotes. Esses servidores intercedem
a conexão entre clientes e servidores impedindo a comunicação direta entre eles.
Para a interconexão da rede interna da empresa com a internet do ISP, será
utilizado um roteador de borda ou gateway, funcionando como a primeira defesa da
rede interna.
Entre o roteador de borda e o servidor Proxy, temos ainda a utilização de um
Firewall. Na definição de Sewaybriker (2012, p.100), o firewall é um dispositivo de
acesso com a função principal a proteção da estações e da segmentação de
perímetros, geralmente colocado na junção de duas redes com níveis de confiança
distintos.
9
Será utilizado um servidor de arquivos na rede interna, em máquina separada
do servidor do banco de dados, na tentativa de isolar os acessos a uma e a outra
máquina. No mesmo hardware será configurado um servidor de impressão.
Figura 1 – Disposição dos equipamentos de entrada da rede
1.2 – Cronograma de Implantação
Ação Dias
Montagem do hardware 15
Montagem da rede 10
Ativação da rede 5
Testes Sistema operacional 10
Tabela 1 – Cronograma de implantação da rede
1.3 – Concluir o sistema
10
Segundo Barros (2013), nessa etapa devemos realizar testes que devem ser
feitos com grande intensidade, com a finalidade de corrigir os erros e finalizar a
documentação, o que inclui o manual técnico.
1.4 – Entregar definitivamente
No modelo proposto por Barros (2013) nessa etapa ocorre a instalação da
versão definitiva do software. No nosso caso, essa é o momento de conclusão da
instalação da composição definitiva do sistema operacional.
1.5 – Pós-implantação
Nessa etapa é realizado o acompanhamento com o cliente, medindo a
satisfação do mesmo. Também deve-se verificar se todos os requisitos funcionais
solicitados foram atendidos (Barros, 2013).
Capítulo 2 - Projeto de Implantação e Suporte do Sistema ERP (Enterprise Resource Planning)
A filial da empresa Champions irá operar no Brasil com o Sistema ERP, mas
somente com o módulo de vendas.
No modelo de desenvolvimento de software proposto por Barros (2013, p.55)
na etapa de implantação é feito o planejamento da implantação, o treinamento, a
capacitação do cliente e/ou usuário e o acompanhamento pós-implantação.
Segundo o autor, ainda, o projeto de implantação é formado pelas seguintes
etapas: rever o projeto físico, refinar o plano de implantação, concluir o sistema,
entregar o sistema definitivamente, pós-implantação e finalizar o projeto. De acordo
com a sua visão, foi montado o projeto descrito a seguir.
11
2.1 – Modelagem dos processos do módulo de vendas
Segundo Barros (2013), o módulo de acompanhamento de vendas, contrato
e distribuição busca controlar os pedidos de vendas, o contrato com o cliente e as
formas de entrega de seus pedidos. Temos ainda a opção de que ele realize uma
avaliação financeira dos negócios. Esse módulo deve possuir integração com os
seguintes módulos: financeiro, faturamento e de clientes.
De acordo com o autor, ainda, os modelos de sistema de informação tem por
objetivo auxiliar as organizações nos processos de tomada de decisão e tem
enfoque de ordem estratégica e tática (Barros, 2013, p.17).
Modelagem dos Processos:
1- Autenticação: executar o logon e autenticar na rede
1.1- vendedor acessa o sistema
1.2- o sistema autentica o mesmo
1.3- loga-se na filial
1.4- a filial autentica o vendedor
2 – Cadastro: insere dados de novo cliente ou recupera de antigos
2.1- vendedor recupera ou inicia/conclui o cadastro do cliente
3 – Pedido: captar os dados do pedido
3.1 – o módulo carrega o formulário de pedido
3.2 – o vendedor preenche o pedido
3.3 – sistema valida o pedido e emite a fatura.
4 - Encaminhamento: fecha a fatura e envia aos outros módulos
4.1 - caso exista produto em estoque, faz o pedido ao mesmo, caso não exista, faz à
fabrica.
12
4.2– o cliente escolhe o método de entrega, por meios próprios ou a ser contratado.
4.3 - o sistema acrescenta o valor do frete à fatura e envia a mesma ao módulo
contábil.
4.4 - o sistema envia os dados da compra e dados da fatura ao módulo de cliente
para ser arquivado no histórico do cliente.
Mapa de processos:
Figura 2 - Mapa de processos do módulo de venda
2.2 – Rever o projeto físico
No caso da Champions é necessário um adaptação do modelo de Barros
(2013), visto que não haverá desenvolvimento de software e sim, aquisição de um
comercial. Sendo assim, inicialmente, termos a etapa de escolha do sistema ERP a
ser adquirido, partido da análise das alternativas que existem no mercado, conforme
outro modelo proposto por Oliveira (2009)1. No momento de rever o projeto físico,
1 Oliveira, Glaucia Nalva Borges de. Um Modelo de Processo de Implantação de Sistemas ERP, Trabalho de Conclusão de Curso apresentado à Escola de Engenharia de São Carlos, da Universidade de São Paulo, 2009
13
nós podemos rever o projeto de infraestrutura necessário, se o hardware é
compatível com o software escolhido para obter um bom desempenho. Como se
trata da instalação de uma nova filial da empresa não há localmente um sistema já
em funcionamento para ser analisado.
Mas também deve ser feita a análise do ERP a ser implantado em relação à
possibilidade da conexão futura com o software da matriz em Tóquio.
2.3 – Refinar o plano de implantação
2.3.1 - Definição do cronograma de implantação:
Ação Nº de dias Verificação da compatibilidade do hardware
5
Instalação do Software ERP 5
Modelagem do negócio 10
Treinamento da equipe de manutenção local
15
Treinamento dos usuários 15
Entrega 5
Pós - implantação 30
Tabela 2 – Cronograma de implantação do software ERP
2.3.2 - Recursos humanos
Deverá ser contratada uma empresa especializada em recrutamento e
seleção de recursos humanos para selecionar os funcionários a serem contratados
para trabalhar na filial. Destaca-se que além dos colaboradores operacionais, serão
contratados funcionários que irão compor a equipe técnica de infraestrutura para o
14
sistema ERP, já que a empresa Champions optou por gerenciar esses recursos com
equipe própria.
A empresa fornecedora do sistema ERP será a responsável pelo treinamento
dos recursos humanos que irão operar o sistema e também da equipe técnica que
fará a manutenção, seguindo o cronograma de implantação estipulado.
O material necessário para essa etapa é composto de apostilas de
treinamento confeccionadas pela empresa fornecedora do sistema ERP.
Será de atribuição de um dos gerentes da matriz o acompanhamento do
treinamento e avaliação, se o conteúdo está de acordo com o processo de negócio
da empresa e seus objetivos com a filial.
2.4 – Concluir o sistema
Segundo Barros (2013), nessa etapa devemos refinar os testes que devem
ser feitos com grande intensidade, com a finalidade de corrigir os erros.
Também finalizar a documentação, o que inclui o manual técnico, o de
negócio, o operacional e os guias rápidos.
2.5 – Entregar o sistema definitivamente
Nessa etapa será feita a instalação da versão definitiva do software
2.6 – Pós-implantação
Após a entrada em operação do software deverá haver assistência técnica da
empresa fornecedora de forma presencial durante o período estipulado no
cronograma ou seja, 30 dias.
15
Segundo Barros (2013), nesse momento deve-se medir se todos os requisitos
funcionais solicitados e acordados estão sendo atendidos de forma completa,
correta e com qualidade.
2.7 – Finalizar o projeto
No modelo proposto por Barros (2013), nessa etapa é realizada a avaliação
final do projeto, se ele está em conformidade com todos os requisitos funcionais
solicitados e se a qualidade implantada atende ao acordado.
A documentação do projeto deve ser consolidada numa pasta e manter uma
cópia digital dela em local seguro.
Também é o momento de se realizar a reunião de fechamento do projeto,
envolvendo todos os stakeholders, entre eles o cliente, responsáveis pela equipe do
projeto (gestor, gerente e toda a equipe). Deve ser apresentado um parecer de como
o projeto se desenvolveu, indicando os pontos fortes e fracos, salientando que o
projeto foi bem sucedido, e que houve ganho em aprendizado.
Essa reunião torna-se de grande importância, pois o parecer final será
assinado por todos e será esse que completa e conclui a pasta do projeto
(Barros,2013).
Capítulo 3 – Plano de gerenciamento específico para o suporte técnico para os usuários no ambiente proposto.
Com base no Framework ITIL – Information Tecnology Infraestructure Library
será constituída a Central de Serviços (Service Desk) com o objetivo de proporcionar
o suporte técnico para os usuários. A equipe de atendimento será formada pelos
funcionários da área de infraestrutura de redes da própria filial. Já que a empresa
optou por manter equipe própria.
16
Será implementada uma Central Service Desk pois esta tem uma maior gama
de objetivos, que é o nosso caso. Ela vai atender a Gerenciamento de Configuração,
mudanças de clientes, infra-estrutura, licenças de software e outros.
3.1 - Plano de gerenciamento de suporte
3.1.1 - Incidente
Definição :
Qualquer evento que não faça parte da operação padrão de um serviço e que
causa, ou possa causar, uma interrupção, ou redução, na qualidade daquele serviço
Requisição do serviço:
Eventos que acarretam parada da entrega do serviço entregue ao cliente –
registrado através de contato via telefone com a central
Eventos que não acarretam a parada do serviço: além de contato telefônico,
meios extras como e-mail à central e registro em página da intranet com essa função
específica.
Prioridade
Prioridade é definida como a seqüência em que um incidente, problema, ou
mudança necessita ser resolvido, baseado no impacto sobre o negócio e a urgência
Classificação e Suporte Inicial
Classificar incidentes e comparar com erros conhecidos e problemas
Priorizar incidentes
Informar o Gerenciamento de Problemas sobre novos problemas ou
incidentes múltiplos e que não tenham referencia de comparação.
Fornecer suporte inicial (resolução rápida).
17
Fechar ou encaminhar o incidente para um grupo especialista e informar
clientes/usuários.
Investigação e Diagnóstico
Avaliar detalhes do incidente
Reunir e analisar informação/resolução relacionada com a solução de
contorno ou escalada.
Resolução e Recuperação
Resolver o incidente e elaborar uma Requisição de Mudança (RM) e tomar
ações corretivas.
Fechamento do Incidente
Confirmar resolução para o cliente ou originador e atualizar o status para
fechado.
3.1.2 Problema:
Definição:
São incidentes sem causa conhecida. Uma condição identificada a partir de
múltiplos incidentes que demonstram sintomas comuns, ou a partir de um único
Incidente importante, indicativo de um erro específico da infraestrutura de TI. Seu
objetivo é evitar que novas falhas ocorram, a partir de soluções temporárias ou
definitivas.
O Gerenciamento de Incidentes, na procura de resolver os incidentes o mais
breve possível, deverá realizar o processo de comparação de incidentes, na
tentativa de achar uma solução já conhecida. Caso não encontre envia um alerta
para Gerenciamento de Problemas sobre o novo incidente.
18
Gerenciamento Reativo de Problemas
O Controle do Problema identifica as causas fundamentais dos incidentes
para prevenir repetições futuras.
Controle de Erro
O Controle de Erro abrange os processos envolvidos em lidar com os erros
conhecidos até que estes sejam eliminados pela implementação bem sucedida de
uma mudança sob controle do processo de Gerenciamento de Mudanças.
Gerenciamento Pró-Ativo de Problemas
- Análise de tendências.
- Foco em ação preventiva
- Importantes revisões de problemas.
3.1.3 - Mudança
Definição:
Uma ação que resulta em um novo status para um ou mais Itens de
configuração da infra-estrutura de TI.
Tipos de Mudanças:
Padrão: com roteiro pré-definido, não necessita de aprovação, pode ser
executada pelo Service Desk
Normal: segue procedimentos normais
19
Urgente: cria procedimento de urgência, deverão apenas as que implicam na
indisponibilidade atual ou imediata do serviço.
Programação Futura de Mudanças: um cronograma com detalhes de todas as
mudanças aprovadas para implementação e suas datas propostas de
implementação.
Responsáveis pelas mudanças:
Gerente de Mudanças e mudanças menores – mudanças de menores
impactos, menores custos e riscos.
Gerencia Executiva e mudanças maiores - são caracterizadas como tendo
enorme impacto e/ou necessidades de grandes quantidades de recursos de
desenvolvimento.
Relação entre Incidentes, Problemas e mudanças
Incidente Problema Mudança
Figura 3 – Relação entre Incidentes, Problemas e Mudanças - Elaborado pelo autor
A figura a seguir mostra o fluxograma de atendimento do Service Desk.
20
Fluxograma do plano de suporte técnico.
Figura 4 - Fluxograma do plano de suporte técnico. Elaborado pelo autor
3.1.4 - Liberação
Definição:
Uma liberação é uma coleção de mudanças autorizadas em um serviço de TI.
Normalmente uma liberação consiste em correções de problemas e melhorias de
serviço.
Registro de Incidente
Causas conhecidas
Registro de Problema
Mudança
Fechamento
Monitoração
SIM
Investigação Não
21
Tipos de Liberação:
Completa: possui todos os componentes da liberação. É uma liberação mais
confiável pois todos os componentes foram testados juntos.
Delta: liberação parcial de CI’s que têm mudado ou são novos desde a última
liberação. É uma liberação não muito confiável porque não foi testado com todos os
componentes juntos.
Pacote: inclui pelo menos duas liberações (Delta e Completa). Uma liberação
Pacote tem a intenção de oferecer um período mais longo de estabilidade, reduzindo
afreqüência das liberações.
Liberação de Emergência: normalmente contém as correções para um
número pequeno de problemas conhecidos, se refere a solução de problemas com
alta prioridade.
O Gerenciamento de mudanças controla todas as mudanças e determina
quando um nova liberação será implantada e quais mudanças estarão em cada
liberação.
Capítulo 4 – Plano de continuidade de negócio (PCN)
De acordo com Sewaybriker (2012, p.158) o objetivo do PCN é minimizar as
perdas decorrentes de um possível desastre e o que define a sua implantação ou
não é o tempo máximo de parada em um processo crítico da organização. O autor
define, ainda as etapas a serem seguidas na elaboração do PCN. Seguindo seu
modelo foram definidas as etapas a seguir:
4.1 – Análise e avaliação de risco
Inicialmente, é muito importante para justificar a execução do plano e identificar os processos críticos da empresa que devem ser considerados na sua
elaboração, realizar uma análise de riscos.
22
4.2 – Identificação dos principais objetivos e aspectos críticos a serem preservados.
O objetivo dessa etapa é de garantir a sua continuidade em caso de
incidentes ou desastres.
Os processos críticos são: emissão das faturas, fechamento das faturas,
envio para a área contábil e solicitação ao estoque e diretamente à fábrica. Também
podemos definir que é de extrema importância que o funcionamento da rede e os
servidores de banco de dados não pare.
Um dos aspectos mais importantes quando se trata de uma industria
farmacêutica é com relação à sua imagem associada à saúde das pessoas. Caso
algum de seus produtos venha a ocasionar problemas de saúde, o impacto
financeiro direto e na imagem da empresa pode ser desastroso e de elevada monta
de recursos.
4.3 – Equipe e coordenador
O coordenador do plano de continuidade de negócios deve ser um funcionário
com amplo conhecimento do processo de negócio da empresa e que tenha
familiaridade com a área de sistemas de informação. Para isso, também deverá
receber treinamento da empresa responsável pelo ERP, sobre a arquitetura do
sistema.
A equipe será composta, além do coordenador, pelo gerente da área de
vendas, mais o CIO e a equipe de infraestrutura de redes e componentes da
gerência da filial. Assim cada um dentro de sua área de atuação buscará a
alternativa para manter o processo em funcionamento.
Para episódios relacionados à qualidade dos produtos, o gerente da área de
marketing deve assumir uma posição estratégica no time que vai dar continuidade
aos negócios.
23
4.4 – Análise de impacto nos negócios
Segundo Sewaybriker (2012) a Análise de Impacto nos negócios tem por
objetivo de avaliar quais impactos a organização sofrerá por conta da ocorrência de
um incidente ou desastre, além de analisar o tempo máximo permitido de parada.
No caso de uma parada da rede, por exemplo, temos a parada total do
funcionamento dos recursos do sistema de informação, pois todos os ativos de
informação estarão inacessíveis. Portanto, é do componente rede que temos a
parada mais crítica, devendo ser no tempo mais curto possível a ação para tornar o
recursos ativo novamente. Podemos classificar a parada da rede como de alto
impacto.
Em seguida, podemos observar que o processo que fecha as faturas e envia
os pedidos ao estoque e conseqüentemente à linha de produção também é de alto
impacto. Pois ao perdê-lo, perdemos os pedidos feitos e as requisições de produtos
para a linha de produção e as baixas no estoque local.
No caso de algum de seus produtos venha a ocasionar problemas de saúde
na população, o impacto financeiro direto e na imagem da empresa pode ser
desastroso e de elevada monta de recursos. Podemos classificar essa ocorrência
como de alto impacto. Serão necessários muitos recursos e uma campanha muito
bem planejada para conseguir diminuir esse impacto.
4.5 – Definição estratégica de disponibilidade de recursos
Os recursos estarão alocados em Ativo / backup, porém com máquinas de
backup estocadas e reservadas para esse fim.
4.6 – PAC (programa de administração de crises)
Define as ações de resposta a serem tomadas durante a ocorrência de um
desastre. Este será um centro responsável em tomar todas as decisões, inclusive
realizando contato com agentes externos, como defesa civil, imprensa e outros.
24
Respostas a fatores técnicos:
Mobilizar a equipe e coordenador restaurando os processos em servidores de
backup que estão estocadas e prontas para serem instaladas em substituição ao
hardware defeituoso que ocasionou a parada. Como os HD´s das máquinas estão
em espelhamento, os HD´s secundários podem ser retirados e alocados nas
máquinas substitutas a fim de levantar os serviços.
Resposta a fatores associados à qualidade dos produtos:
A postura da empresa Champions é de tomar medidas de apoio ao
consumidor imediatamente. Evitar negar o fato e procura mostrar a seriedade com
que produz seus produtos para cuidar da saúde dos consumidores. A empresa
imediatamente suspende a comercialização do produto com problema e ativa um
canal de comunicação para o publico obter informações. Oferece ainda assistência
médica e psicológica para os consumidores afetados.
Através de comunicado nos órgãos de divulgação oficiais como TV e internet
atua explicando os fatos e como o consumidor pode reverter a situação.
4.7 – Revisão
O plano deve ser revisto anualmente, pela equipe, coordenador e gerentes
do nível estratégico.
Capítulo 5 – Segurança da Informação
Definir perfis de acesso para os usuários, de maneira que seu acesso fique
restrito a documentos utilizados por ele mesmo, ou seja, sem acesso aos
documentos que não lhe dizem respeito.
5.1 – Política Corporativa da Segurança da Informação
Segundo Sewaybriker (2012, p.50) essa política “...orienta de forma
consciente a conduta das pessoas e serve de base para a criação de normas,
25
padrões e procedimentos de segurança que auxiliam o usuário no atendimento da
Política de Segurança.”
A partir da descentralização das informações mais pessoas passaram a ter
acesso às mesmas e o controle se tornou mais complicado. Por esse motivo a
política é tão importante, pois determina como todos devem agir. É uma forma da
empresa regulamentar a interação dos funcionários, de maneira que os mesmos
tratem as informações garantindo a confidencialidade, integridade e disponibilidade
(Sewaybriker 2012, p.50).
A estratégia de proteção a ser utilizada pela empresa Champions em sua
filial no Brasil é a de privilégio mínimo. De acordo com Sewaybriker (2012)essa
estratégia consiste em dar permissão mínima de acesso aos usuários dos sistemas,
fornecendo apenas o acesso necessário para que o usuário desenvolva suas
atividades e nada mais.
Como meio de divulgação da Política de Segurança da Informação da
empresa, a mesma deverá ministrar duas palestras anuais com os seus
colaboradores, a fim de introduzir o tema aos recém contratados do semestre e para
reforçar os aspectos aos funcionários mais antigos.
Além disso, serão fixados cartazes em locais de circulação chamando a
atenção para a importância do tema. Também serão enviados e-mail´s informativos
mensais explicando os itens da política de segurança da empresa.
De acordo com Sewaybriker (2012), a Política de Segurança é composta de
regras gerais que se aplicam a toda empresa. Ela que norteia a criação das normas
de segurança. Para o autor, ela deve ser baseada nas recomendações da norma
ABNT NBR ISSO/IEC 27002. Sendo assim, temos os seguinte itens:
Política de Segurança da Informação:
- A Política de Segurança da Informação da Empresa Champions tem como alvo
proteger os ativos de informação da mesma e a própria informação utilizada e
arquivada.
26
- As possíveis ameaças são o vazamento de informações sigilosas classificadas
como restritas, secretas e confidenciais, seja por qualquer motivo.
- Todas as informações classificadas são categorizadas como de alto
valor/importância para a empresa, mais alto ou mais baixo.
- O grau de proteção desejado é o máximo possível dentro das possibilidades, visto
o setor estratégico em que atua.
- Os possíveis impactos no caso de perda de informações pode ser medido através
da observação da classificação da informação X impacto financeiro (direto ou
indireto).
- O custo para investimento em prevenção é de 3% do lucro total anual obtido pela
mesma.
- Será mantido uma comissão permanente de auditoria, com a finalidade de observar
a efetividade da Política, sendo que anualmente será realizada a auditoria interna.
- Caso a Política esteja sendo descumprida, haverá sanções de origem disciplinares,
iniciando por advertência por escrito, suspensão, multa e até demissão do
funcionário, cabendo as ações criminal e cível correspondente.
- Deverá ocorrer periodicamente (caso possível a cada semestre) revisão para
realinhar a política com o negócio da empresa, dado o avanço tecnológico.
- A Política de Segurança Interna é de responsabilidade de todos os envolvidos,
desde a direção executiva até os funcionários operacionais e terceirizados.
5.2 – Plano de Conscientização em Segurança da Informação
Nos seminários semestrais previstos na Política de Segurança da Informação,
deverão ser abordados itens contidos no Plano de Conscientização de Segurança
da Informação descrito a seguir.
Plano de Conscientização de Segurança da Informação:
27
Para a Champions todo tipo de informação é considerado de alto valor e
portanto protegida de ataques visando o aproveitamento por terceiros e podendo
assim, causar prejuízos financeiros ou de imagem. Para a salvaguarda das
informações serão seguidos os seguintes itens:
Senhas: as senhas para login de rede são pessoais e intransferíveis, o dono
da senha é responsável por mantê-la em segredo. Na sua criação devem ser
seguidos determinados critérios: no mínino 8 caracteres, sendo uma letra maiúscula
e ao menos um caracter especial. Por padrão, as senhas se expirarão em 6 meses e
não podem ser repetidas. O funcionário que deixar a empresa, imediatamente terá
sua senha e seu perfil apagados do banco de dados.
Engenharia Social: atenção especial deve ser dado à técnica conhecida como
Engenharia Social, que segundo Sewaybriker (2012), explora os valores e
sentimentos humanos com a intenção de obter informações, concretizando um
ataque. Ou seja, evitar fornecer informações restritas a pessoas que não tem
autorização ao acesso e tentar identificar se essas estão de valendo da proximidade
pessoal e de métodos persuasivos para conseguir a informação.
Acesso a informações privilegiadas ou restritas: o conhecimento é poder e
pessoas de posse de informações privilegiadas muitas vezes valem-se desse
conhecimento para demonstrar que tem um valor maior para a empresa, sem
perceber que podem estar contribuindo para um ataque de engenharia social ao
comentar com outras sobre essas informações de que tem conhecimento. A ação
recomendada é evitar comentários sobre assuntos de nível de sigilo com pessoas
que não tem o porquê de acessar o mesmo.
As mídias usadas e que devem ser descartadas, deverão ser destruídas.
Os equipamentos como computadores e outros que tenham disco rígido, os
mesmos devem ser retirados e destruídos, para evitar que a informação residual
venha a ser reutilizada.
Os funcionários devem cultivar o hábito da mesa limpa, ou seja, evitar de
deixar documentos que não estão sendo utilizados no momento em cima da mesa
ao alcance de terceiros.
28
Conclusão
A elaboração do trabalho foi de grande importância para a sedimentação dos
conhecimentos adquiridos nas disciplinas de Segurança da Informação, Modelagem
de Sistemas de Informação e Planejamento Estratégico de TI. Podemos colocá-los
em prática e verificar as dificuldades e estratégias na elaboração do documento, o
que contribui para o nosso aprimoramento profissional, pois estamos testando de
maneira prática o nosso conhecimento e capacidade de interpretação dos
problemas.
O tema apresentado reflete uma situação que cada vez é mais comum na
atualidade. Fruto da globalização, as empresas ampliam sua abrangência no
mercado mundial montando estratégias de crescimento, como neste caso, onde a
mesma optou por englobar o mercado do Mercosul, tendo em vista, por exemplo, a
crise pela qual passa a Europa. Dessa maneira a empresa busca, através da
implantação de uma filial no Brasil facilitar a sua operação nesta região.
Foi definida uma infraestrutura composta por rede de computadores formada
por servidores de banco de dados, de arquivos, de e-mail e Proxy próprios, com
equipe de manutenção própria, com a finalidade de garantir a Disponibilidade,
Integralidade e Confiabilidade das informações. O plano de implantação e
gerenciamento de infraestrutura teve como foco principal a priorização da segurança
das informações físicas e lógicas.
Para a implantação e suporte do sistema ERP, o módulo de vendas teve seus
processos identificados e modelados, sendo que no futuro ele deverá ser integrado
ao sistema da matriz em Tóquio.
Em relação ao suporte técnico para os usuários do ambiente, foi definida uma
Central de Serviços (Service Desk) baseada no Framework ITIL.
Para reagir em casos de infortúnios, foi definido um Plano de Continuidade
de Negócios para a filial brasileira, a fim de evitar a paralisação dos processos
importantes para a empresa.
Finalmente, na tentativa de mitigar ações de espionagem industrial, foi criada
a Política Corporativa de Segurança da Informação, norteadora das ações em
29
relação à segurança da informação da empresa. Para definir as ações individuais foi
definido o Plano de Conscientização em Segurança da Informação.
Com as definições propostas neste estudo, acredita-se que ter conseguido
criar as estratégias para que o sistema de informação da filial brasileira venha a
contribuir para a geração de vantagens competitivas para a empresa Champions e
venha agregar valor ao seu produto.
Bibliografia:
SEWAYBRIKER, Ricardo. Segurança da Informação. São Paulo: Editora Sol, 2012,
176 p. In: Cadernos de Estudos e Pesquisas da Unip, Série Didática, ano XVII, n. 2-
036/12.
BARROS, Gislaine Stachissini. Modelagem de Sistemas de Informação. São Paulo:
Editora Sol, 2013, 168 p. In: Cadernos de Estudos e Pesquisas da Unip, Série
Didática, ano XIX, n. 2-008/13.
COSTA, Ivanir e PALMEIRA, Antonio. Planejamento Estratégico de TI. Edição
Eletrônica. S/Ed. In: Cadernos de Estudos e Pesquisas da Unip, Série Didática.
OLIVEIRA, Glaucia Nalva Borges de. Um Modelo de Processo de Implantação de
Sistemas ERP, Trabalho de Conclusão de Curso apresentado à Escola de
Engenharia de São Carlos, da Universidade de São Paulo, 2009. Disponível em:
http://www.tcc.sc.usp.br/tce/.../97/.../Oliveira_Glaucia_Nalva_Borges_de.pdf. Acesso
em 25/05/2013.
http://www.pedrofcarvalho.com.br/PDF/ITIL_OPERACAO_SERVICOS.pdf
VALE, Renato. Kit Preparatório ITIL Foundation Apostila Resumo – Revisão dos
Pontos Chaves - Modificada a partir da versão orientada para prova em inglês em
27/02/2008. Versão eletrônica, disponível em:
http://www.slideshare.net/bccarvalho/resumo-itil-foundation-portugues