5  

Introdução

A Empresa Champions Indústria Farmacêutica S.A. com sede em Tóquio,

visando conquistar o mercado sul americano decidiu abrir no Brasil uma filial

comercial que será responsável em operacionalizar suas transações e ampliar

abrangência no mercado compreendido pelo Mercosul.

Para o desenvolvimento do projeto de instalação da filial, a Champions

contratou a Empresa Tech Soluções para os estudos. A Tech Soluções é sediada

em São Paulo, conta com mais de 15 anos de experiência no ramo de consultoria de

TI, tendo ao longo desses desenvolvidos vários projetos de ponta.

A Champions necessita de um projeto completo de implantação e suporte de

um sistema ERP (Enterprise Resource Planning) no Brasil e que futuramente será

acoplado ao ERP da sede em Tóquio, sendo que o ERP brasileiro terá apenas o

módulo de vendas.

A Champions, por motivos de segurança, escolheu que o banco de dados e

os demais serviços como servidor de Internet, correio eletrônico, gerenciador de

arquivos e de impressão deverão ser alocados em servidores específicos localizados

no próprio ambiente da empresa, deixando de lado outras opções como computação

em nuvem ou fornecido por empresa terceirizada (outsourcing).

A empresa definiu que o plano de implantação e gerenciamento da infra

estrutura deve ter seu foco na priorização da segurança das informações (física e

lógica) que serão utilizadas, modificadas, transitadas, armazenadas e/ou

descartadas.

Quanto ao suporte técnico para os usuários do ambiente, será formado uma

equipe própria, com o processo de atendimento e suporte seguindo as práticas

definidas no ITIL (Information Technology Infrastructure Library): incidente,

problema, configuração, mudança e liberação.

Com o objetivo de preservar processos importantes da filial em caso de

sinistros, a alta gerência solicitou que fosse elaborado um PCN (Plano de

6  

Continuidade de Negócios) para o ambiente físico e lógico de TI e para os recursos

humanos envolvidos.

O presente estudo se faz então necessário para a construção do projeto, já

que este são as etapas que devemos seguir na implantação do sistema, ajustando o

cronograma e os custos de acordo com a necessidade do cliente. Evitando-se

assim, gastos descontrolados e etapas de implantação demasiadamente longas. De

acordo com Barros (2013, p.43) “... se mal estruturados ou mal desenvolvidos ou

mesmo se não aprimorados e bem conservados, os sistemas de gestão empresarial

tendem a ter uma vida curta e um fim natural por descrédito...”

Por ser uma empresa do ramo farmacêutico existe o risco constante de ações

de espionagem industrial e a preocupação com a Segurança da Informação é

primordial. Foi então, elaborada a Política Corporativa de Segurança da Informação

e um como o Plano de Conscientização em Segurança da Informação baseado nas

melhores práticas para criação e uso de senhas de acesso, engenharia social,

verbalização e utilização de informações privilegiadas.

O presente estudo tem por objetivo definir o projeto de implantação do módulo

de vendas do sistema ERP da filial da empresa Champions no Brasil, definindo os

planos de implantação e suporte do sistema, localização da infraestrutura

(servidores e bancos de dados), priorizando a segurança das informações, o plano

específico de suporte técnico para os usuários baseado no ITIL e também um PCN

(Plano de Continuidade de Negócios).

Para isso, foram feitas pesquisas teóricas nas disciplinas de Modelagem de

Sistemas de Informação, Planejamento Estratégico de TI e Segurança da

Informação, definindo-se o marco teórico do estudo. A partir daí, foram realizadas

pesquisas na internet sobre projetos de implantações semelhantes para

comparação, de maneira a complementar na prática o conteúdo estudado.

O capitulo 1 refere-se ao Plano de Implantação e Gerenciamento de

Infraestrutura, iniciando-se pelo projeto da infraestrutura física e sua implantação,

focalizando a segurança da informação.

7  

No capitulo 2 temos a descrição do projeto de implantação e suporte do ERP

do Brasil, que futuramente será acoplado ao ERP da sede em Tóquio.

O capítulo 3 descreve o Plano de Gerenciamento específico para o suporte

técnico para os usuários no ambiente proposto, especificando o processo completo

de atendimento e suporte seguindo as práticas definidas no ITIL (incidente,

problema, configuração, mudança e liberação).

O capítulo 4 apresenta o Plano de Continuidade de Negócio, elaborado com a

finalidade de definir os processos importantes, que em caso de sinistro não podem

ser interrompidos.

O capítulo 5 aborda os fatores ligados à Segurança da Informação da filial, a

definição da Política Corporativa da Segurança da Informação e o Plano de

Conscientização em Segurança da Informação.

Capítulo 1 – Plano de implantação e gerenciamento de infraestrutura

A decisão sobre o tipo de infraestrutura a ser empregada na filial foi tomada

pela empresa Champions tendo em vista o ramo de negócio em que opera a ser

altamente estratégico, levando-se em consideração os critérios de

Confidencialidade, Integridade e Disponibilidade, que segundo Sewaybriker (2012),

formam os pilares da Segurança da Informação.

Sendo assim, os executivos decidiram por implantar os seus próprios

servidores de banco de dados e os demais serviços como Internet, correio

eletrônico, gerenciador de arquivos e de impressão, que ficarão localizados no

próprio ambiente da empresa.

Uma equipe de funcionários próprios serão responsáveis pela manutenção,

disponibilidade e integridade tanto da parte física quanto lógica dos sistemas.

8  

1.1 – Revisão do Projeto Físico

A arquitetura de rede utilizada será cliente-servidor com banco de dados

centralizado em uma máquina com Hard Disk em Raid (espelhamento). Será criado

um perímetro de segurança, pois os servidores serão instalados dentro de uma sala

cofre, com controle de entrada através de mecanismos eletrônicos e câmeras de

monitoração (CFTV). Além disso, também teremos barreiras lógicas como senha de

administrador e perfis restritos de usuários. De acordo com Sewaybriker (2012, p.

85) quando combinamos segurança física com lógica teremos o chamado perímetro

de segurança. Serão utilizadas medidas de proteção por camadas.

Para garantir a qualidade da energia elétrica serão utilizados no-break´s. A

sala também terá controle de temperatura através de ar-condicionado exclusivo.

Assim estaremos minimizando a ameaça de interrupção de serviços básicos.

Deverá ser configurado um servidor de domínio para que somente as

máquinas e os usuários autorizados possam realizar logon na rede. A autenticação

dos usuários será, conforme Sewaybriker (2012) no Método de Autenticação

baseado no que você sabe, que é o uso de senhas para a autenticação.

O acesso à internet e serviço de e-mail de provedor externo será realizado

através de servidor Proxy, que Sewaybriker (2012, p.101) define como dispositivos

criados para resolver problemas dos filtros de pacotes. Esses servidores intercedem

a conexão entre clientes e servidores impedindo a comunicação direta entre eles.

Para a interconexão da rede interna da empresa com a internet do ISP, será

utilizado um roteador de borda ou gateway, funcionando como a primeira defesa da

rede interna.

Entre o roteador de borda e o servidor Proxy, temos ainda a utilização de um

Firewall. Na definição de Sewaybriker (2012, p.100), o firewall é um dispositivo de

acesso com a função principal a proteção da estações e da segmentação de

perímetros, geralmente colocado na junção de duas redes com níveis de confiança

distintos.

9  

Será utilizado um servidor de arquivos na rede interna, em máquina separada

do servidor do banco de dados, na tentativa de isolar os acessos a uma e a outra

máquina. No mesmo hardware será configurado um servidor de impressão.

Figura 1 – Disposição dos equipamentos de entrada da rede

1.2 – Cronograma de Implantação

Ação Dias

Montagem do hardware 15

Montagem da rede 10

Ativação da rede 5

Testes Sistema operacional 10

Tabela 1 – Cronograma de implantação da rede

1.3 – Concluir o sistema

10  

Segundo Barros (2013), nessa etapa devemos realizar testes que devem ser

feitos com grande intensidade, com a finalidade de corrigir os erros e finalizar a

documentação, o que inclui o manual técnico.

1.4 – Entregar definitivamente

No modelo proposto por Barros (2013) nessa etapa ocorre a instalação da

versão definitiva do software. No nosso caso, essa é o momento de conclusão da

instalação da composição definitiva do sistema operacional.

1.5 – Pós-implantação

Nessa etapa é realizado o acompanhamento com o cliente, medindo a

satisfação do mesmo. Também deve-se verificar se todos os requisitos funcionais

solicitados foram atendidos (Barros, 2013).

Capítulo 2 - Projeto de Implantação e Suporte do Sistema ERP (Enterprise Resource Planning)

A filial da empresa Champions irá operar no Brasil com o Sistema ERP, mas

somente com o módulo de vendas.

No modelo de desenvolvimento de software proposto por Barros (2013, p.55)

na etapa de implantação é feito o planejamento da implantação, o treinamento, a

capacitação do cliente e/ou usuário e o acompanhamento pós-implantação.

Segundo o autor, ainda, o projeto de implantação é formado pelas seguintes

etapas: rever o projeto físico, refinar o plano de implantação, concluir o sistema,

entregar o sistema definitivamente, pós-implantação e finalizar o projeto. De acordo

com a sua visão, foi montado o projeto descrito a seguir.

11  

2.1 – Modelagem dos processos do módulo de vendas

Segundo Barros (2013), o módulo de acompanhamento de vendas, contrato

e distribuição busca controlar os pedidos de vendas, o contrato com o cliente e as

formas de entrega de seus pedidos. Temos ainda a opção de que ele realize uma

avaliação financeira dos negócios. Esse módulo deve possuir integração com os

seguintes módulos: financeiro, faturamento e de clientes.

De acordo com o autor, ainda, os modelos de sistema de informação tem por

objetivo auxiliar as organizações nos processos de tomada de decisão e tem

enfoque de ordem estratégica e tática (Barros, 2013, p.17).

Modelagem dos Processos:

1- Autenticação: executar o logon e autenticar na rede

1.1- vendedor acessa o sistema

1.2- o sistema autentica o mesmo

1.3- loga-se na filial

1.4- a filial autentica o vendedor

2 – Cadastro: insere dados de novo cliente ou recupera de antigos

2.1- vendedor recupera ou inicia/conclui o cadastro do cliente

3 – Pedido: captar os dados do pedido

3.1 – o módulo carrega o formulário de pedido

3.2 – o vendedor preenche o pedido

3.3 – sistema valida o pedido e emite a fatura.

4 - Encaminhamento: fecha a fatura e envia aos outros módulos

4.1 - caso exista produto em estoque, faz o pedido ao mesmo, caso não exista, faz à

fabrica.

12  

4.2– o cliente escolhe o método de entrega, por meios próprios ou a ser contratado.

4.3 - o sistema acrescenta o valor do frete à fatura e envia a mesma ao módulo

contábil.

4.4 - o sistema envia os dados da compra e dados da fatura ao módulo de cliente

para ser arquivado no histórico do cliente.

Mapa de processos:

Figura 2 - Mapa de processos do módulo de venda

2.2 – Rever o projeto físico

No caso da Champions é necessário um adaptação do modelo de Barros

(2013), visto que não haverá desenvolvimento de software e sim, aquisição de um

comercial. Sendo assim, inicialmente, termos a etapa de escolha do sistema ERP a

ser adquirido, partido da análise das alternativas que existem no mercado, conforme

outro modelo proposto por Oliveira (2009)1. No momento de rever o projeto físico,

                                                            1 Oliveira, Glaucia Nalva Borges de. Um Modelo de Processo de Implantação de Sistemas ERP, Trabalho de Conclusão de Curso apresentado à Escola de Engenharia de São Carlos, da Universidade de São Paulo, 2009

13  

nós podemos rever o projeto de infraestrutura necessário, se o hardware é

compatível com o software escolhido para obter um bom desempenho. Como se

trata da instalação de uma nova filial da empresa não há localmente um sistema já

em funcionamento para ser analisado.

Mas também deve ser feita a análise do ERP a ser implantado em relação à

possibilidade da conexão futura com o software da matriz em Tóquio.

2.3 – Refinar o plano de implantação

2.3.1 - Definição do cronograma de implantação:

Ação Nº de dias Verificação da compatibilidade do hardware

5

Instalação do Software ERP 5

Modelagem do negócio 10

Treinamento da equipe de manutenção local

15

Treinamento dos usuários 15

Entrega 5

Pós - implantação 30

Tabela 2 – Cronograma de implantação do software ERP

2.3.2 - Recursos humanos

Deverá ser contratada uma empresa especializada em recrutamento e

seleção de recursos humanos para selecionar os funcionários a serem contratados

para trabalhar na filial. Destaca-se que além dos colaboradores operacionais, serão

contratados funcionários que irão compor a equipe técnica de infraestrutura para o

14  

sistema ERP, já que a empresa Champions optou por gerenciar esses recursos com

equipe própria.

A empresa fornecedora do sistema ERP será a responsável pelo treinamento

dos recursos humanos que irão operar o sistema e também da equipe técnica que

fará a manutenção, seguindo o cronograma de implantação estipulado.

O material necessário para essa etapa é composto de apostilas de

treinamento confeccionadas pela empresa fornecedora do sistema ERP.

Será de atribuição de um dos gerentes da matriz o acompanhamento do

treinamento e avaliação, se o conteúdo está de acordo com o processo de negócio

da empresa e seus objetivos com a filial.

2.4 – Concluir o sistema

Segundo Barros (2013), nessa etapa devemos refinar os testes que devem

ser feitos com grande intensidade, com a finalidade de corrigir os erros.

Também finalizar a documentação, o que inclui o manual técnico, o de

negócio, o operacional e os guias rápidos.

2.5 – Entregar o sistema definitivamente

Nessa etapa será feita a instalação da versão definitiva do software

2.6 – Pós-implantação

Após a entrada em operação do software deverá haver assistência técnica da

empresa fornecedora de forma presencial durante o período estipulado no

cronograma ou seja, 30 dias.

15  

Segundo Barros (2013), nesse momento deve-se medir se todos os requisitos

funcionais solicitados e acordados estão sendo atendidos de forma completa,

correta e com qualidade.

2.7 – Finalizar o projeto

No modelo proposto por Barros (2013), nessa etapa é realizada a avaliação

final do projeto, se ele está em conformidade com todos os requisitos funcionais

solicitados e se a qualidade implantada atende ao acordado.

A documentação do projeto deve ser consolidada numa pasta e manter uma

cópia digital dela em local seguro.

Também é o momento de se realizar a reunião de fechamento do projeto,

envolvendo todos os stakeholders, entre eles o cliente, responsáveis pela equipe do

projeto (gestor, gerente e toda a equipe). Deve ser apresentado um parecer de como

o projeto se desenvolveu, indicando os pontos fortes e fracos, salientando que o

projeto foi bem sucedido, e que houve ganho em aprendizado.

Essa reunião torna-se de grande importância, pois o parecer final será

assinado por todos e será esse que completa e conclui a pasta do projeto

(Barros,2013).

Capítulo 3 – Plano de gerenciamento específico para o suporte técnico para os usuários no ambiente proposto.

Com base no Framework ITIL – Information Tecnology Infraestructure Library

será constituída a Central de Serviços (Service Desk) com o objetivo de proporcionar

o suporte técnico para os usuários. A equipe de atendimento será formada pelos

funcionários da área de infraestrutura de redes da própria filial. Já que a empresa

optou por manter equipe própria.

16  

Será implementada uma Central Service Desk pois esta tem uma maior gama

de objetivos, que é o nosso caso. Ela vai atender a Gerenciamento de Configuração,

mudanças de clientes, infra-estrutura, licenças de software e outros.

3.1 - Plano de gerenciamento de suporte

3.1.1 - Incidente

Definição :

Qualquer evento que não faça parte da operação padrão de um serviço e que

causa, ou possa causar, uma interrupção, ou redução, na qualidade daquele serviço

Requisição do serviço:

Eventos que acarretam parada da entrega do serviço entregue ao cliente –

registrado através de contato via telefone com a central

Eventos que não acarretam a parada do serviço: além de contato telefônico,

meios extras como e-mail à central e registro em página da intranet com essa função

específica.

Prioridade

Prioridade é definida como a seqüência em que um incidente, problema, ou

mudança necessita ser resolvido, baseado no impacto sobre o negócio e a urgência

Classificação e Suporte Inicial

Classificar incidentes e comparar com erros conhecidos e problemas

Priorizar incidentes

Informar o Gerenciamento de Problemas sobre novos problemas ou

incidentes múltiplos e que não tenham referencia de comparação.

Fornecer suporte inicial (resolução rápida).

17  

Fechar ou encaminhar o incidente para um grupo especialista e informar

clientes/usuários.

Investigação e Diagnóstico

Avaliar detalhes do incidente

Reunir e analisar informação/resolução relacionada com a solução de

contorno ou escalada.

Resolução e Recuperação

Resolver o incidente e elaborar uma Requisição de Mudança (RM) e tomar

ações corretivas.

Fechamento do Incidente

Confirmar resolução para o cliente ou originador e atualizar o status para

fechado.

3.1.2 Problema:

Definição:

São incidentes sem causa conhecida. Uma condição identificada a partir de

múltiplos incidentes que demonstram sintomas comuns, ou a partir de um único

Incidente importante, indicativo de um erro específico da infraestrutura de TI. Seu

objetivo é evitar que novas falhas ocorram, a partir de soluções temporárias ou

definitivas.

O Gerenciamento de Incidentes, na procura de resolver os incidentes o mais

breve possível, deverá realizar o processo de comparação de incidentes, na

tentativa de achar uma solução já conhecida. Caso não encontre envia um alerta

para Gerenciamento de Problemas sobre o novo incidente.

18  

Gerenciamento Reativo de Problemas

O Controle do Problema identifica as causas fundamentais dos incidentes

para prevenir repetições futuras.

Controle de Erro

O Controle de Erro abrange os processos envolvidos em lidar com os erros

conhecidos até que estes sejam eliminados pela implementação bem sucedida de

uma mudança sob controle do processo de Gerenciamento de Mudanças.

Gerenciamento Pró-Ativo de Problemas

- Análise de tendências.

- Foco em ação preventiva

- Importantes revisões de problemas.

3.1.3 - Mudança

Definição:

Uma ação que resulta em um novo status para um ou mais Itens de

configuração da infra-estrutura de TI.

Tipos de Mudanças:

Padrão: com roteiro pré-definido, não necessita de aprovação, pode ser

executada pelo Service Desk

Normal: segue procedimentos normais

19  

Urgente: cria procedimento de urgência, deverão apenas as que implicam na

indisponibilidade atual ou imediata do serviço.

Programação Futura de Mudanças: um cronograma com detalhes de todas as

mudanças aprovadas para implementação e suas datas propostas de

implementação.

Responsáveis pelas mudanças:

Gerente de Mudanças e mudanças menores – mudanças de menores

impactos, menores custos e riscos.

Gerencia Executiva e mudanças maiores - são caracterizadas como tendo

enorme impacto e/ou necessidades de grandes quantidades de recursos de

desenvolvimento.

Relação entre Incidentes, Problemas e mudanças

Incidente Problema Mudança

Figura 3 – Relação entre Incidentes, Problemas e Mudanças - Elaborado pelo autor

A figura a seguir mostra o fluxograma de atendimento do Service Desk.

20  

Fluxograma do plano de suporte técnico.

Figura 4 - Fluxograma do plano de suporte técnico. Elaborado pelo autor

3.1.4 - Liberação

Definição:

Uma liberação é uma coleção de mudanças autorizadas em um serviço de TI.

Normalmente uma liberação consiste em correções de problemas e melhorias de

serviço.

Registro de Incidente

Causas conhecidas

Registro de Problema

Mudança

Fechamento

Monitoração

SIM

Investigação Não

21  

Tipos de Liberação:

Completa: possui todos os componentes da liberação. É uma liberação mais

confiável pois todos os componentes foram testados juntos.

Delta: liberação parcial de CI’s que têm mudado ou são novos desde a última

liberação. É uma liberação não muito confiável porque não foi testado com todos os

componentes juntos.

Pacote: inclui pelo menos duas liberações (Delta e Completa). Uma liberação

Pacote tem a intenção de oferecer um período mais longo de estabilidade, reduzindo

afreqüência das liberações.

Liberação de Emergência: normalmente contém as correções para um

número pequeno de problemas conhecidos, se refere a solução de problemas com

alta prioridade.

O Gerenciamento de mudanças controla todas as mudanças e determina

quando um nova liberação será implantada e quais mudanças estarão em cada

liberação.

Capítulo 4 – Plano de continuidade de negócio (PCN)

De acordo com Sewaybriker (2012, p.158) o objetivo do PCN é minimizar as

perdas decorrentes de um possível desastre e o que define a sua implantação ou

não é o tempo máximo de parada em um processo crítico da organização. O autor

define, ainda as etapas a serem seguidas na elaboração do PCN. Seguindo seu

modelo foram definidas as etapas a seguir:

4.1 – Análise e avaliação de risco

Inicialmente, é muito importante para justificar a execução do plano e identificar os processos críticos da empresa que devem ser considerados na sua

elaboração, realizar uma análise de riscos.

22  

4.2 – Identificação dos principais objetivos e aspectos críticos a serem preservados.

O objetivo dessa etapa é de garantir a sua continuidade em caso de

incidentes ou desastres.

Os processos críticos são: emissão das faturas, fechamento das faturas,

envio para a área contábil e solicitação ao estoque e diretamente à fábrica. Também

podemos definir que é de extrema importância que o funcionamento da rede e os

servidores de banco de dados não pare.

Um dos aspectos mais importantes quando se trata de uma industria

farmacêutica é com relação à sua imagem associada à saúde das pessoas. Caso

algum de seus produtos venha a ocasionar problemas de saúde, o impacto

financeiro direto e na imagem da empresa pode ser desastroso e de elevada monta

de recursos.

4.3 – Equipe e coordenador

O coordenador do plano de continuidade de negócios deve ser um funcionário

com amplo conhecimento do processo de negócio da empresa e que tenha

familiaridade com a área de sistemas de informação. Para isso, também deverá

receber treinamento da empresa responsável pelo ERP, sobre a arquitetura do

sistema.

A equipe será composta, além do coordenador, pelo gerente da área de

vendas, mais o CIO e a equipe de infraestrutura de redes e componentes da

gerência da filial. Assim cada um dentro de sua área de atuação buscará a

alternativa para manter o processo em funcionamento.

Para episódios relacionados à qualidade dos produtos, o gerente da área de

marketing deve assumir uma posição estratégica no time que vai dar continuidade

aos negócios.

23  

4.4 – Análise de impacto nos negócios

Segundo Sewaybriker (2012) a Análise de Impacto nos negócios tem por

objetivo de avaliar quais impactos a organização sofrerá por conta da ocorrência de

um incidente ou desastre, além de analisar o tempo máximo permitido de parada.

No caso de uma parada da rede, por exemplo, temos a parada total do

funcionamento dos recursos do sistema de informação, pois todos os ativos de

informação estarão inacessíveis. Portanto, é do componente rede que temos a

parada mais crítica, devendo ser no tempo mais curto possível a ação para tornar o

recursos ativo novamente. Podemos classificar a parada da rede como de alto

impacto.

Em seguida, podemos observar que o processo que fecha as faturas e envia

os pedidos ao estoque e conseqüentemente à linha de produção também é de alto

impacto. Pois ao perdê-lo, perdemos os pedidos feitos e as requisições de produtos

para a linha de produção e as baixas no estoque local.

No caso de algum de seus produtos venha a ocasionar problemas de saúde

na população, o impacto financeiro direto e na imagem da empresa pode ser

desastroso e de elevada monta de recursos. Podemos classificar essa ocorrência

como de alto impacto. Serão necessários muitos recursos e uma campanha muito

bem planejada para conseguir diminuir esse impacto.

4.5 – Definição estratégica de disponibilidade de recursos

Os recursos estarão alocados em Ativo / backup, porém com máquinas de

backup estocadas e reservadas para esse fim.

4.6 – PAC (programa de administração de crises)

Define as ações de resposta a serem tomadas durante a ocorrência de um

desastre. Este será um centro responsável em tomar todas as decisões, inclusive

realizando contato com agentes externos, como defesa civil, imprensa e outros.

24  

Respostas a fatores técnicos:

Mobilizar a equipe e coordenador restaurando os processos em servidores de

backup que estão estocadas e prontas para serem instaladas em substituição ao

hardware defeituoso que ocasionou a parada. Como os HD´s das máquinas estão

em espelhamento, os HD´s secundários podem ser retirados e alocados nas

máquinas substitutas a fim de levantar os serviços.

Resposta a fatores associados à qualidade dos produtos:

A postura da empresa Champions é de tomar medidas de apoio ao

consumidor imediatamente. Evitar negar o fato e procura mostrar a seriedade com

que produz seus produtos para cuidar da saúde dos consumidores. A empresa

imediatamente suspende a comercialização do produto com problema e ativa um

canal de comunicação para o publico obter informações. Oferece ainda assistência

médica e psicológica para os consumidores afetados.

Através de comunicado nos órgãos de divulgação oficiais como TV e internet

atua explicando os fatos e como o consumidor pode reverter a situação.

4.7 – Revisão

O plano deve ser revisto anualmente, pela equipe, coordenador e gerentes

do nível estratégico.

Capítulo 5 – Segurança da Informação

Definir perfis de acesso para os usuários, de maneira que seu acesso fique

restrito a documentos utilizados por ele mesmo, ou seja, sem acesso aos

documentos que não lhe dizem respeito.

5.1 – Política Corporativa da Segurança da Informação

Segundo Sewaybriker (2012, p.50) essa política “...orienta de forma

consciente a conduta das pessoas e serve de base para a criação de normas,

25  

padrões e procedimentos de segurança que auxiliam o usuário no atendimento da

Política de Segurança.”

A partir da descentralização das informações mais pessoas passaram a ter

acesso às mesmas e o controle se tornou mais complicado. Por esse motivo a

política é tão importante, pois determina como todos devem agir. É uma forma da

empresa regulamentar a interação dos funcionários, de maneira que os mesmos

tratem as informações garantindo a confidencialidade, integridade e disponibilidade

(Sewaybriker 2012, p.50).

A estratégia de proteção a ser utilizada pela empresa Champions em sua

filial no Brasil é a de privilégio mínimo. De acordo com Sewaybriker (2012)essa

estratégia consiste em dar permissão mínima de acesso aos usuários dos sistemas,

fornecendo apenas o acesso necessário para que o usuário desenvolva suas

atividades e nada mais.

Como meio de divulgação da Política de Segurança da Informação da

empresa, a mesma deverá ministrar duas palestras anuais com os seus

colaboradores, a fim de introduzir o tema aos recém contratados do semestre e para

reforçar os aspectos aos funcionários mais antigos.

Além disso, serão fixados cartazes em locais de circulação chamando a

atenção para a importância do tema. Também serão enviados e-mail´s informativos

mensais explicando os itens da política de segurança da empresa.

De acordo com Sewaybriker (2012), a Política de Segurança é composta de

regras gerais que se aplicam a toda empresa. Ela que norteia a criação das normas

de segurança. Para o autor, ela deve ser baseada nas recomendações da norma

ABNT NBR ISSO/IEC 27002. Sendo assim, temos os seguinte itens:

Política de Segurança da Informação:

- A Política de Segurança da Informação da Empresa Champions tem como alvo

proteger os ativos de informação da mesma e a própria informação utilizada e

arquivada.

26  

- As possíveis ameaças são o vazamento de informações sigilosas classificadas

como restritas, secretas e confidenciais, seja por qualquer motivo.

- Todas as informações classificadas são categorizadas como de alto

valor/importância para a empresa, mais alto ou mais baixo.

- O grau de proteção desejado é o máximo possível dentro das possibilidades, visto

o setor estratégico em que atua.

- Os possíveis impactos no caso de perda de informações pode ser medido através

da observação da classificação da informação X impacto financeiro (direto ou

indireto).

- O custo para investimento em prevenção é de 3% do lucro total anual obtido pela

mesma.

- Será mantido uma comissão permanente de auditoria, com a finalidade de observar

a efetividade da Política, sendo que anualmente será realizada a auditoria interna.

- Caso a Política esteja sendo descumprida, haverá sanções de origem disciplinares,

iniciando por advertência por escrito, suspensão, multa e até demissão do

funcionário, cabendo as ações criminal e cível correspondente.

- Deverá ocorrer periodicamente (caso possível a cada semestre) revisão para

realinhar a política com o negócio da empresa, dado o avanço tecnológico.

- A Política de Segurança Interna é de responsabilidade de todos os envolvidos,

desde a direção executiva até os funcionários operacionais e terceirizados.

5.2 – Plano de Conscientização em Segurança da Informação

Nos seminários semestrais previstos na Política de Segurança da Informação,

deverão ser abordados itens contidos no Plano de Conscientização de Segurança

da Informação descrito a seguir.

Plano de Conscientização de Segurança da Informação:

27  

Para a Champions todo tipo de informação é considerado de alto valor e

portanto protegida de ataques visando o aproveitamento por terceiros e podendo

assim, causar prejuízos financeiros ou de imagem. Para a salvaguarda das

informações serão seguidos os seguintes itens:

Senhas: as senhas para login de rede são pessoais e intransferíveis, o dono

da senha é responsável por mantê-la em segredo. Na sua criação devem ser

seguidos determinados critérios: no mínino 8 caracteres, sendo uma letra maiúscula

e ao menos um caracter especial. Por padrão, as senhas se expirarão em 6 meses e

não podem ser repetidas. O funcionário que deixar a empresa, imediatamente terá

sua senha e seu perfil apagados do banco de dados.

Engenharia Social: atenção especial deve ser dado à técnica conhecida como

Engenharia Social, que segundo Sewaybriker (2012), explora os valores e

sentimentos humanos com a intenção de obter informações, concretizando um

ataque. Ou seja, evitar fornecer informações restritas a pessoas que não tem

autorização ao acesso e tentar identificar se essas estão de valendo da proximidade

pessoal e de métodos persuasivos para conseguir a informação.

Acesso a informações privilegiadas ou restritas: o conhecimento é poder e

pessoas de posse de informações privilegiadas muitas vezes valem-se desse

conhecimento para demonstrar que tem um valor maior para a empresa, sem

perceber que podem estar contribuindo para um ataque de engenharia social ao

comentar com outras sobre essas informações de que tem conhecimento. A ação

recomendada é evitar comentários sobre assuntos de nível de sigilo com pessoas

que não tem o porquê de acessar o mesmo.

As mídias usadas e que devem ser descartadas, deverão ser destruídas.

Os equipamentos como computadores e outros que tenham disco rígido, os

mesmos devem ser retirados e destruídos, para evitar que a informação residual

venha a ser reutilizada.

Os funcionários devem cultivar o hábito da mesa limpa, ou seja, evitar de

deixar documentos que não estão sendo utilizados no momento em cima da mesa

ao alcance de terceiros.

28  

Conclusão

A elaboração do trabalho foi de grande importância para a sedimentação dos

conhecimentos adquiridos nas disciplinas de Segurança da Informação, Modelagem

de Sistemas de Informação e Planejamento Estratégico de TI. Podemos colocá-los

em prática e verificar as dificuldades e estratégias na elaboração do documento, o

que contribui para o nosso aprimoramento profissional, pois estamos testando de

maneira prática o nosso conhecimento e capacidade de interpretação dos

problemas.

O tema apresentado reflete uma situação que cada vez é mais comum na

atualidade. Fruto da globalização, as empresas ampliam sua abrangência no

mercado mundial montando estratégias de crescimento, como neste caso, onde a

mesma optou por englobar o mercado do Mercosul, tendo em vista, por exemplo, a

crise pela qual passa a Europa. Dessa maneira a empresa busca, através da

implantação de uma filial no Brasil facilitar a sua operação nesta região.

Foi definida uma infraestrutura composta por rede de computadores formada

por servidores de banco de dados, de arquivos, de e-mail e Proxy próprios, com

equipe de manutenção própria, com a finalidade de garantir a Disponibilidade,

Integralidade e Confiabilidade das informações. O plano de implantação e

gerenciamento de infraestrutura teve como foco principal a priorização da segurança

das informações físicas e lógicas.

Para a implantação e suporte do sistema ERP, o módulo de vendas teve seus

processos identificados e modelados, sendo que no futuro ele deverá ser integrado

ao sistema da matriz em Tóquio.

Em relação ao suporte técnico para os usuários do ambiente, foi definida uma

Central de Serviços (Service Desk) baseada no Framework ITIL.

Para reagir em casos de infortúnios, foi definido um Plano de Continuidade

de Negócios para a filial brasileira, a fim de evitar a paralisação dos processos

importantes para a empresa.

Finalmente, na tentativa de mitigar ações de espionagem industrial, foi criada

a Política Corporativa de Segurança da Informação, norteadora das ações em

29  

relação à segurança da informação da empresa. Para definir as ações individuais foi

definido o Plano de Conscientização em Segurança da Informação.

Com as definições propostas neste estudo, acredita-se que ter conseguido

criar as estratégias para que o sistema de informação da filial brasileira venha a

contribuir para a geração de vantagens competitivas para a empresa Champions e

venha agregar valor ao seu produto.

Bibliografia:

SEWAYBRIKER, Ricardo. Segurança da Informação. São Paulo: Editora Sol, 2012,

176 p. In: Cadernos de Estudos e Pesquisas da Unip, Série Didática, ano XVII, n. 2-

036/12.

BARROS, Gislaine Stachissini. Modelagem de Sistemas de Informação. São Paulo:

Editora Sol, 2013, 168 p. In: Cadernos de Estudos e Pesquisas da Unip, Série

Didática, ano XIX, n. 2-008/13.

COSTA, Ivanir e PALMEIRA, Antonio. Planejamento Estratégico de TI. Edição

Eletrônica. S/Ed. In: Cadernos de Estudos e Pesquisas da Unip, Série Didática.

OLIVEIRA, Glaucia Nalva Borges de. Um Modelo de Processo de Implantação de

Sistemas ERP, Trabalho de Conclusão de Curso apresentado à Escola de

Engenharia de São Carlos, da Universidade de São Paulo, 2009. Disponível em:

http://www.tcc.sc.usp.br/tce/.../97/.../Oliveira_Glaucia_Nalva_Borges_de.pdf. Acesso

em 25/05/2013.

http://www.pedrofcarvalho.com.br/PDF/ITIL_OPERACAO_SERVICOS.pdf

VALE, Renato. Kit Preparatório ITIL Foundation Apostila Resumo – Revisão dos

Pontos Chaves - Modificada a partir da versão orientada para prova em inglês em

27/02/2008. Versão eletrônica, disponível em:

http://www.slideshare.net/bccarvalho/resumo-itil-foundation-portugues