UNIVERSIDADE FEDERAL FLUMINENSE MBA EM GERENCIAMENTO DE PROJETOS LEONARDO OLIVEIRA MOREIRA MARCOS AURELIO DE SANTANA MONTEIRO

Tamanho: px
Começar a partir da página:

Download "UNIVERSIDADE FEDERAL FLUMINENSE MBA EM GERENCIAMENTO DE PROJETOS LEONARDO OLIVEIRA MOREIRA MARCOS AURELIO DE SANTANA MONTEIRO"

Transcrição

1 UNIVERSIDADE FEDERAL FLUMINENSE MBA EM GERENCIAMENTO DE PROJETOS LEONARDO OLIVEIRA MOREIRA MARCOS AURELIO DE SANTANA MONTEIRO YVENS MARQUES GONÇALVES PINTO ANÁLISE COMPARATIVA DE RISCOS EM SEGURANÇA DA INFORMAÇÃO DE UM ERP DE UMA INDÚSTRIA FARMACÊUTICA Dissertação apresentada à Universidade Federal Fluminense para obtenção do título de Master Business Administrator em Gerenciamento de Projetos RIO DE JANEIRO 2009

2 LEONARDO OLIVEIRA MOREIRA MARCOS AURELIO DE SANTANA MONTEIRO YVENS MARQUES GONÇALVES PINTO ANÁLISE COMPARATIVA DE RISCOS EM SEGURANÇA DA INFORMAÇÃO DE UM ERP DE UMA INDÚSTRIA FARMACÊUTICA Dissertação apresentada à Universidade Federal Fluminense para obtenção do título de Master Business Administrator em Gerenciamento de Projetos Área de concentração: Gerenciamento de Riscos Orientador: Prof. Sérgio Ricardo de Magalhães Souza RIO DE JANEIRO 2009

3 Dedicamos este trabalho, Aos novos amigos que fizemos durante este curso e aos amigos, companheiras e familiares que sempre estiveram ao nosso lado.

4 AGRADECIMENTO Ao nosso orientador Prof. Sérgio Ricardo de Magalhães Souza por sua atenção e paciência na condução das orientações, e ao Prof. Luciano Ramalho pelas especiais contribuições quanto à formatação, dúvidas e expectativas referentes a este trabalho. Às nossas companheiras, familiares e amigos pessoais pelo apoio, incentivo e companheirismo. À empresa e profissionais que nos proporcionaram conteúdo para a realização do trabalho. Àqueles que, mesmo não citados aqui, estão cientes que de forma direta ou indireta tiveram participação para que este estudo se efetivasse.

5 A mente que se abre a uma nova ideia jamais voltará ao seu tamanho original. Albert Einstein

6 RESUMO Um Sistema Integrado de Gestão Empresarial (ERP) é uma forma de agrupar dados e processos de uma empresa em um único sistema de informação. Possui muitos componentes, de hardware e software, e utiliza um banco de dados unificado para armazenar e disponibilizar informações para diversos setores e níveis de tomada de decisão de uma organização. Por este motivo, a alta disponibilidade de um sistema tão crítico torna-se importante e significativamente necessária para a saúde financeira e o eficiente funcionamento das atividades e operações de negócio. Para garantir esta alta disponibilidade é necessário conhecer e mensurar os riscos que possam afetá-la, o que pode ser feito através de modelos de análise de riscos. O objetivo deste estudo é efetuar análise crítico-comparativa entre dois modelos, de mercado, de análise de riscos, com enfoque sobre riscos cujas naturezas possam afetar a disponibilidade, integridade e confidencialidade das informações contidas em um ERP, utilizando para isto a metodologia de estudo de caso com propósito exploratório. Como objeto foi utilizado uma indústria do setor farmacêutico, cujos riscos mais relevantes de seu ERP foram mapeados por meio de levantamentos e analisados sob os enfoques do Gerenciamento de Riscos constante no capítulo 11 do PMBOK e da Análise de Impacto nos Negócios do Plano de Continuidade dos Negócios (BIA/BCP). A comparação entre estes modelos mostrou, enquanto resultado e hiato mais expressivo, a existência de uma variável importante para avaliação da dimensão do impacto financeiro provocado pela indisponibilidade do ERP: a tendência no tempo. Palavras-chave: riscos, informação, ERP.

7 ABSTRACT An Enterprise Resource Planning (ERP) is a way to join corporation s data and process into only one information system. It has many components, of hardware and software, and uses a unified database to store and distribute information through different organization s sectors and decision s levels. For this reason, the high availability and imperfection s immunity of a so critical system become extremely necessary for the financial health and the efficient activities functioning and business operations. To ensure this high availability is necessary to know and measure the risks that may affect it, what can be done using risks' analysis models. The objective of this study is to perform a critical and comparative analysis between two market risks' analysis models, focusing on risks whose nature could affect the availability, integrity and confidentiality of the information contained in an ERP, using the study case methodology with exploratory purpose. A pharmaceutical industry was used as object, whose most relevant ERP risks were mapped by surveys and analyzed based on the approaches of Risks' Management constant in PMBOK 's chapter 11 and the Business Impact Analisys of Business Continuity Plan (BCP/BIA). The comparison between these models has shown, as a result and most significant gap, the existence of an important variable for assessing the size of the financial impact caused by the ERP's unavailability: the trend over time. Keywords: risks, information, ERP.

8 LISTA DE FIGURAS Figura 1 - Modelo PDCA aplicado para processos ISMS (Information Security Management System) Figura 2 - Gráfico de frequência x perdas esperadas/inesperadas Figura 3 - Sistema Integrado de Gestão Empresarial (ERP) Figura 4 - Distribuição física e estrutura de comunicação das unidades Figura 5 - Evolução das perdas da indústria farmacêutica por consequência da indisponibilidade do ERP... 85

9 LISTA DE TABELAS Tabela 1 - Business Continuity Management Tabela 2 - Matriz impacto x probabilidade Tabela 3 - Ameaças e objetivos de segurança Tabela 4 - Exemplo de escala de impactos Tabela 5 - Exemplo de tipos de impactos Tabela 6 - Exemplo de escala de probabilidades Tabela 7 - Controle recomendado pela norma ABNT NBR ISO/IEC 27001:2005 para a ameaça de manutenção indevida de dados Tabela 8 - Exemplo de matriz de relacionamento entre ameaças, impactos e probabilidades Tabela 9 - Escala de tipo de impacto Tabela 10 - Escala de probabilidade Tabela 11 - Controle recomendado pela norma ABNT NBR ISO/IEC 27001:2005 para a ameaça de falha no fornecimento de energia elétrica Tabela 12 - Controle recomendado pela norma ABNT NBR ISO/IEC 27001:2005 para a ameaça de corrupção de dados Tabela 13 - Controle recomendado pela norma ABNT NBR ISO/IEC 27001:2005 para a ameaça de vírus Tabela 14 - Controle recomendado pela norma ABNT NBR ISO/IEC 27001:2005 para a ameaça de corrupção de dados Tabela 15-Controle recomendado pela norma ABNT NBR ISO/IEC 27001:2005 para a ameaça de falha na rede interna Tabela 16 - Controle recomendado pela norma ABNT NBR ISO/IEC 27001:2005 para a ameaça de falha no sistema de refrigeração do ambiente Tabela 17 - Controle recomendado pela norma ABNT NBR ISO/IEC 27001:2005 para a ameaça de falha cópia de segurança de dados Tabela 18 - Matriz de Probabilidade x Impacto Tabela 19 - Composição do valor do ERP da empresa Tabela 20 - Análises qualitativa e quantitativa da ameaça ao ativo ERP Tabela 21 - Tendência do custo de paralisação do ERP para o Setor de Vendas Tabela 22 - Tendência do custo de paralisação do ERP para o Setor de Crédito e Cobrança Tabela 23 - Tendência do custo de paralisação do ERP para o Setor de Faturamento Tabela 24 - Tendência do custo de paralisação do ERP para o Setor de Contas a Pagar... 84

10 LISTA DE ABREVIATURAS E SIGLAS ADSL - Asymmetric Digital Subscriber Line ABNT - Associação Brasileira de Normas Técnicas BCP - Business Continuity Plan BI - Business Intelligence BIA - Business Impact Analysis BSI - British Standard Institute CPD - Centro de Processamento de Dados DBA - Database Administrator DRP - Disaster Recovery Plan ERP - Enterprise Resource Planning FEBRAFARMA - Federação Brasileira da Indústria Farmacêutica GB - Gigabyte IDC - Internet Data Center IEC - International Electro Technical Commission ISMS - Information Security Management System ISO - International Organization for Standardization ITIL - Information Technology Infrastructure Library JIT - Just In Time NBR - Norma Brasileira aprovada pela ABNT OCP - Operational Continuity Plan PCO - Plano de Continuidade Operacional PCN - Plano de Continuidade dos Negócios PDCA - Plan, Do, Check, Act PMI - Project Management Institute PN - Processo de Negócio SGSI - Sistema de Gestão da Segurança da Informação TI - Tecnologia da Informação WEB - www (World Wide Web)

11 SUMÁRIO 1 - INTRODUÇÃO Problema Formulação da Situação Objetivos Objetivo Geral Objetivo Específico Delimitações do Estudo Justificativa e Relevância do Estudo Questões da Pesquisa Organização do Estudo FUNDAMENTAÇÃO TEÓRICA A Norma ABNT NBR ISO/IEC 27001: Gestão da Continuidade do Negócio de Acordo com a Norma ABNT NBR ISO/IEC 27001: O Gerenciamento de Projetos Segundo o PMBOK Projeto e seu Gerenciamento: Conceitos e Definições Características de um Projeto O Gerenciamento de Riscos em Projetos Identificação dos Riscos Análise Qualitativa dos Riscos Análise Quantitativa dos Riscos Plano de Respostas aos Riscos Monitoramento e Controle dos Riscos Plano de Continuidade dos Negócios (BCP) Passos para o Desenvolvimento de um BCP Planejamento Análise de Riscos e Vulnerabilidades Análise de Impacto nos Negócios (BIA) O Contexto Os Benefícios Plano de Continuidade Operacional (OCP) Plano de Recuperação de Desastres (DRP) Testes e Manutenção O Sistema Integrado de Gestão Empresarial (ERP) e sua Importância no Contexto dos Negócios METODOLOGIA DE PESQUISA Estratégia de Pesquisa: O Estudo de Caso A Pesquisa Exploratória Instrumentos de Pesquisa Aplicação dos Instrumentos de Pesquisa Análise dos Dados Limitações das Pesquisas Aplicadas ESTUDO DO CASO Caracterização da Empresa Estrutura e Distribuição Física Caracterização do Negócio... 64

12 4.4 - Gestão do Negócio Estratégia x Tecnologia da Informação Infraestrutura de TI Avaliação do Ambiente e Infraestrutura Situação Atual do CPD Infraestrutura de Comunicação e Acesso às Informações Riscos Expostos do ERP Levantamento e Classificação dos Riscos de Acordo com a Norma ABNT NBR ISO/IEC 27001: I. Falha no Fornecimento de Energia Elétrica II. Corrupção dos Dados III. Vírus IV. Falha de Aplicativos (Software) V. Falha na Rede Interna VI. Falha no Sistema de Refrigeração do Ambiente VII. Falha de Equipamentos (Hardware) VIII. Falha na Cópia de Segurança de Dados Análise dos Riscos Segundo o PMBOK Análise dos Riscos Segundo o BCP/BIA CONCLUSÕES E TRABALHOS FUTUROS Aspectos Conclusivos Considerações Sobre as Questões Formuladas Sugestões de Futuros Trabalhos REFERÊNCIAS BIBLIOGRÁFICAS APÊNDICE... 92

13 1 - INTRODUÇÃO Problema Hoje em dia, no mundo dos negócios, muitas empresas enfrentam a necessidade vital de operar continuamente. Qualquer interrupção nos processos de produção pode causar prejuízos financeiros com sérias consequências como, por exemplo, o enfraquecimento da imagem da empresa perante o mercado e parceiros, a queda na carteira de clientes e a redução do potencial competitivo perante seus concorrentes. Diante do quadro competitivo atual, as organizações enxergam a necessidade de uma análise profunda de seus processos de negócio, realizando seu mapeamento de acordo com a criticidade e potencial de impacto na saúde financeira da empresa e a escolha de tecnologias que aumentem a disponibilidade dos serviços e o controle dos processos. Em suma, tecnologias capazes de fornecer confiabilidade, integridade e disponibilidade das informações se traduzem, de forma atualmente bastante difundida e eficiente, em sistemas computacionais. Em diversas empresas do setor farmacêutico, os sistemas de informação são ferramentas importantes nas transações comerciais diárias, nos serviços e nos processos industriais. Controle de Estoque, Pessoal, Faturamento, Produção, Contas a Pagar e a Receber e Gerenciamento de Relacionamento com Clientes são exemplos de atividades diárias que estas empresas confiam a seus sistemas computacionais para serem executadas. Segundo dados compilados pela Federação Brasileira da Indústria Farmacêutica (FEBRAFARMA) relativos ao ano de 2008, o setor farmacêutico investiu R$ 1,72 bilhão em modernização e ampliação das unidades fabris. Isso significa um acréscimo de 14,8% sobre o total anunciado para o ano de Muitas empresas do setor (inclusive de capital nacional) estão investindo no desenvolvimento de

14 novas tecnologias e produtos, fator que tem impacto positivo direto nos investimentos em Tecnologia da Informação. Um levantamento da FEBRAFARMA indica ainda, para o mesmo ano de 2008, que os investimentos em Tecnologia da Informação e treinamento, entre outros, cresceu 20% em relação a 2007, alcançando R$ 102 milhões. Sistemas de Informações Gerenciais (mais conhecidos como ERP s 1 ), em termos gerais, integram todos os dados e processos de uma organização em um único sistema computacional, possibilitando a automação e armazenamento de todas as informações de negócios. De acordo com pesquisa realizada pela consultoria IDC, os ERP's estavam no topo da lista de prioridades dos diretores de tecnologia das companhias de grande porte com mais de 500 funcionários em Estes sistemas foram citados como o principal foco de investimentos de 18% das grandes empresas do país. Muitas organizações não seriam capazes de sobreviver no mercado competitivo sem suas bases e sistemas computacionais, tamanha suas dependências de seus sistemas e bases de informações. A indisponibilidade de um sistema tão importante quanto o ERP pode ocasionar consequências bastante graves. Perdas de equipamentos e/ou acesso aos mesmos e, consequentemente, interrupções nos processos de negócios, curtas ou prolongadas, causam impactos que muitas vezes são irreversíveis. Falhas com impacto na produtividade dos funcionários, no relacionamento com os clientes e na qualidade dos produtos podem significar desde a perda de mercado para a concorrência até a dissolução da organização, passando inclusive por possíveis consequências legais. Buscando manter elevada a disponibilidade de suas infraestruturas computacionais em ambientes de produção contínua e de processos de negócio acoplados, no mercado atual as empresas têm procurado investir, cada vez mais, no levantamento e análise dos riscos aos quais seus CPD's e, consequentemente, seus ERP's estão 1 ERP (Enterprise Resource Planning) são sistemas computacionais que integram todos os dados e processos de uma organização.

15 expostos. Políticas de Segurança da Informação permitem uma maior agilidade na tomada de decisões, reduzindo assim a probabilidade ou as consequências decorrentes de paradas não-programadas. Modelos e padrões internacionalmente conhecidos ajudam a estabelecer políticas de Segurança da Informação dentro de uma organização. Utilizando-se de alguns destes modelos, este trabalho busca elaborar Análises de Riscos na indústria farmacêutica em estudo sobre dois enfoques distintos: o do Gerenciamento de Riscos, constante no capítulo 11, do PMBOK 2 e o do BIA/BCP 3, utilizando-se, para isso, de possíveis cenários e eventos que possam afetar a organização com interrupções. Estes cenários foram levantados através do guia fornecido pela norma ABNT NBR ISO/IEC 27001:2005 4, que é a principal norma para implementação da Gestão em Segurança da Informação, e de entrevistas realizadas em áreas estratégicas da organização. E, por fim, ainda como parte deste estudo foi realizada uma análise crítico-comparativa dos resultados obtidos através das duas análises citadas Formulação da Situação O caso em estudo é sobre uma indústria do setor farmacêutico, constituída de uma matriz, uma fábrica e três filiais, que conta com representantes vendas e distribuidores a nível nacional. Esta indústria tem realizado altos investimentos em Tecnologia da Informação nos últimos anos, informatizando todo o processo produtivo, controlando de forma mais eficiente desde a chegada da manufatura até a entrega do produto final às farmácias e clientes. Visto a necessidade de se manter seu sistema computacional mais importante, o 2 Documento padrão do PMI, Project Management Institute, para Gerenciamento de Projetos. A Guide to the Project Management Body of Knowledge (PMBOK Guide). 3 A Análise de Impacto no Negócio (BIA - Business Impact Analisys) é parte de um Plano de Continuidade de Negócios (BCP - Business Continuity Plan). 4 A ABNT NBR ISO/IEC 27001:2005 é a principal norma para implementação da Gestão em Segurança da Informação.

16 ERP, com alta disponibilidade para não haver interrupção do fluxo de vendas e produção, em face dos muitos prejuízos que poderiam advir caso o mesmo ficasse fora do ar (pois a indústria farmacêutica em estudo trabalha com estoque mínimo), a empresa busca replicar este sistema crítico de seu CPD e garantir acesso a esta réplica, no menor tempo possível, em situações de contingência. A garantia de alta disponibilidade é uma necessidade constatada e assumida pela alta direção da empresa, como parte da estratégia necessária para minimizar perdas por exposição a riscos em face de um desastre, calamidade, acidente ou quaisquer outras falhas que possam causar interrupção no canal de comunicação de dados, danos ou perdas de informações, redundando assim em atrasos e consequentes reduções na produção. Diante deste cenário, os problemas expostos pela indústria farmacêutica e postos em estudo neste trabalho são o levantamento e a análise dos principais riscos aos quais seu Sistema de Informações Gerenciais, ERP, está exposto, já que atualmente a empresa não tem conhecimento destas vulnerabilidades e nem da extensão da gravidade que seus acontecimentos podem ter sobre as metas financeiras e, até mesmo, sobre a sobrevivência da organização Objetivos Objetivo Geral O objetivo deste estudo é efetuar análise crítico-comparativa entre dois modelos, de mercado, de análise de riscos, com enfoque nos riscos aos quais está exposto o sistema de informação mais crítico da organização em estudo: o ERP. Este objetivo passa pelo conhecimento e entendimento das vulnerabilidades existentes no ambiente do CPD e na infraestrutura computacional existente para salvaguarda das informações, pela estimativa do impacto financeiro provocado por

17 cada uma destas vulnerabilidades, pela avaliação da extensão da exposição às mesmas e pela identificação da adequabilidade de cada um dos modelos de análises estudados no âmbito da manutenção da alta disponibilidade do sistema de informações supracitado Objetivo Específico 1) Levantar as vulnerabilidades mais relevantes do CPD da indústria farmacêutica em estudo quanto à alta disponibilidade de seu ERP; 2) Analisar estas vulnerabilidades sob dois modelos de análise de risco distintos e, por fim; 3) Comparar criticamente os resultados encontrados. Os modelos a serem utilizados são: o da Gestão de Risco do PMBOK e o do Plano de Continuidade de Negócios, tomando por base os riscos levantados através dos pontos de auditoria da norma ABNT NBR ISO/IEC 27001:2005 junto ao gerente do setor de Tecnologia da Informação e de um formulário de pesquisa (constante do item Apêndice), aplicado em entrevistas realizadas com gerentes de áreas estratégicas da organização (Vendas, Crédito e cobrança, Faturamento e Contas a pagar), utilizado com o objetivo de medir o custo da indisponibilidade do ERP no tempo para cada setor Delimitações do Estudo Foram identificadas delimitações no desenvolvimento deste trabalho, o que reduz seu espectro e o traduz como uma análise acadêmica não abrangente de um cenário hoje existente em uma indústria farmacêutica. O nome da empresa e dos funcionários que apoiaram as pesquisas de levantamento de riscos foram aqui omitidos, com a finalidade de preservar as fontes. Outra restrição, por parte da

18 empresa em estudo, a ser observada é a de que a organização não aceita a possibilidade de se terceirizar o serviço de hospedagem de sua base de informações, base esta que serve ao ERP, pois julga estratégica a manutenção e acesso à mesma. Os valores levantados nestas pesquisas são bem próximos dos reais, atualizados à época em que foram estimados (mês de outubro do ano de 2008), sem, no entanto, ter sido exigido qualquer rigor numérico por parte do pesquisador. Por se tratar de um Trabalho de Conclusão de Curso de MBA, o escopo foi restrito a levantamento e análises de riscos e de impacto nos negócios, reduzindo o esforço de trabalho que a construção de um Plano de Gerenciamento de Riscos ou de Continuidade de Negócios ocasionaria Justificativa e Relevância do Estudo A abordagem atual, internacionalmente reconhecida, para o Gerenciamento de Riscos é "identificar, estimar, mitigar, re-estimar e estabelecer recuperação". O benefício de envolver todos os indivíduos de uma organização no processo do gerenciamento dos riscos é que melhora o trabalho em equipe (e, consequentemente, a eficácia do mesmo), assim como a quantidade e a qualidade das informações operacionais que são passadas para os níveis gerenciais superiores, stakeholders 5 e executivos da organização. Em resumo, gerenciar riscos é relevante pois permite que, em nível executivo, sejam tomadas decisões melhores e mais eficientes. Os ganhos potenciais possíveis pela adoção de um processo eficaz de Gerenciamento dos Riscos dependem muito da organização que estiver implementando o processo. Um negócio irá procurar resolver questões muito diferentes que outro, relacionadas à sua realidade. Uma amostra dos benefícios que podem ser esperados pela implementação de um processo de gerenciamento de 5 Stakeholder (parte interessada ou interveniente) é um termo usado em administração que se refere a qualquer pessoa ou entidade que afeta ou é afetada pelas atividades de uma empresa.

19 riscos inclui: Apoio ao planejamento estratégico e do negócio; Apoio ao uso eficaz dos recursos, promovendo economia; Promoção de melhoria continuada; Menos choques e surpresas desagradáveis; Maior rapidez para aproveitar novas oportunidades de mercado; Melhoria nas comunicações; Tranquilizar e trazer segurança para as partes interessadas; Auxiliar o foco de um programa interno de auditoria. Em termos tecnológicos, o que também se observa é a cada vez mais forte dependência dos Sistemas de Informação. A infraestrutura de TI é base para os processos críticos das empresas, dessa maneira a elaboração de um Plano de Continuidade de Negócios (BCP), com foco na continuidade dos Sistemas de Informação, mais particularmente na continuidade dos Sistemas Integrados de Gestão Empresarial (ERP), é importante garantir a continuidade correta e imediata destes sistemas mediante a ocorrência de falhas de quaisquer proporções, para, com isto, garantir a continuidade das operações da própria empresa. Por se tratar de uma indústria do setor farmacêutico com foco na produção de medicamentos que, muitas vezes, são altamente perecíveis e que, além disso, trabalha sob demanda direta de seus distribuidores (com estoque JIT 6 e ordem de produção emitida via ERP), é importante tomar todas as medidas necessárias para prevenir e reduzir os efeitos de uma possível perda ou indisponibilidade de sua base de informações, buscando proteger os sistemas críticos contra os efeitos de possíveis falhas Questões da Pesquisa 6 O conceito de JIT (Just In Time) está relacionado ao de produção por demanda, onde o estoque de matérias primas é mínimo, suficiente apenas para algumas horas de produção.

20 Analisando comparativamente os resultados das análises de riscos efetuadas, utilizando o PMBOK e o BCP/BIA, observa-se algum hiato entre as mesmas? Como o conhecimento da variável tendência no tempo pode contribuir para a necessidade de alta disponibilidade de um sistema ERP? Organização do Estudo No capítulo 1 encontram-se a introdução deste estudo, mostrando a importância dos sistemas de informação e a consequente mudança de mentalidade das empresas com relação à aplicação de modelos de Gestão de Risco. Neste capítulo encontramse, também, a formulação do problema estudado, os objetivos e delimitações do estudo, sua justificativa e relevância, as questões que nortearam a pesquisa e esta apresentação da organização do trabalho. Já no capítulo 2 está contida a fundamentação teórica, que começa mostrando o que é a norma ABNT NBR ISO/IEC 27001:2005. Em seguida, a visão de Gerenciamento de Projetos do PMBOK, com enfoque no Gerenciamento de Riscos (capítulo 11), e as etapas para identificação, avaliação e resposta aos riscos. Ainda neste capítulo, é apresentado o Plano de Continuidade de Negócios (BCP), os passos para seu desenvolvimento e as análises e planos necessários para sua composição, com ênfase no BIA. Para finalizar, o Sistema Integrado de Gestão Empresarial é contextualizado quanto a sua importância para os negócios. O capítulo 3 apresenta a metodologia de pesquisa adotada na confecção deste estudo, com a teoria utilizada para embasar o tipo e o formato do trabalho realizado, a aplicação dos instrumentos de pesquisa, a forma de análise dos dados e as limitações dos instrumentos aplicados. O capítulo 4 apresenta o estudo de caso, onde é caracterizada a indústria farmacêutica, seu ramo de atuação, tipo de negócio, situação de mercado, quantidade de funcionários, estrutura e distribuição física e outras informações que

21 possibilitem situar a empresa no contexto em que se encontra inserida. Neste mesmo capítulo, são mostrados os riscos levantados segundo a norma ABNT ISO/IEC 27001:2005 as informações extraídas das entrevistas com os gerentes das áreas estratégicas e suas análises segundo o capítulo de Gerenciamento de Riscos do PMBOK e o BCP/BIA. Em Conclusões e Trabalhos Futuros, o capítulo 5, encontram-se aspectos conclusivos do trabalho, as considerações sobre as questões formuladas no capítulo 1 e as sugestões para trabalhos que futuramente tomem por base este estudo. Em Apêndice encontra-se o formulário da pesquisa que foi aplicada aos gerentes dos setores estratégicos, utilizada para aumentar o embasamento e confiabilidade da análise realizada no Estudo de Caso (capítulo 4 - item 4.6.3).

22 2 - FUNDAMENTAÇÃO TEÓRICA A Norma ABNT NBR ISO/IEC 27001:2005 A informação é um ativo muito importante nas organizações, e atualmente, no competitivo ambiente de negócios, as informações estão constantemente sob a ameaça de diferentes fontes. Com o crescente uso de novas tecnologias, as organizações devem garantir a preservação de suas informações através dos princípios básicos da Segurança da Informação: Confidencialidade, Integridade e Disponibilidade. Confidencialidade: garantir que o acesso à informação seja obtido somente por pessoas autorizadas; Integridade: garantir que a informação acessada esteja completa, sem alterações e, portanto, seja confiável; e, Disponibilidade: garantir que a informação e os ativos correspondentes estejam disponíveis, para pessoas autorizadas, sempre que necessário. Para tanto, existe a necessidade de se estabelecer uma política detalhada de Segurança da Informação dentro da organização, visando assegurar esses princípios e organizar as informações vitais da empresa de forma padronizada. A adoção das políticas de Segurança da Informação proporciona a transparência e fornece credibilidade à empresa perante a sociedade. A norma ABNT NBR ISO/IEC 27001:2005 é a evolução natural da norma BS7799-2:2002, um padrão britânico (BSI - British Standard Institute) que trata da definição de requisitos para um Sistema Gestão de Segurança da Informação, que possibilita implementar um sistema de gestão da segurança baseado em controles e práticas definidos por normas internacionais. A revisão da BS7799-2:2002 resultou na ISO 27001:2005, contemplando o ciclo PDCA 7 de melhorias e a visão de processos que 7 Técnica que visa o controle de processos, melhor descrita na pág. 25 deste estudo.

23 as normas de sistemas de gestão já incorporaram. Em 2000, a BS7799 foi incorporada pela The International Organization for Standardization/International Electro Technical Commission (ISO/IEC). Instituição internacional com sede na Suíça que cuida do estabelecimento de padrões internacionais de certificação em diversas áreas, sob o código de ISO/IEC: No ano seguinte o Brasil adotou essa norma ISO como seu padrão, através do órgão regulamentador ABNT (Associação Brasileira de Normas Técnicas) sob o código de NBR ISO/IEC:17799 e, a partir de então, tem sido feitas revisões e melhorias até chegar a atual ISO/IEC 27001:2005 (Tecnologia da Informação - Técnicas de segurança - Sistema de gestão da Segurança da Informação - Requisitos). É importante salientar que a NBR ISO/IEC 17799:2001 é um "código de práticas" e a ISO/IEC 27001:2005 é composta de requisitos para sistema de gestão de Segurança da Informação. Assim, devido a ISO/IEC 27001:2005 ter definições muito abrangentes, levando a várias interpretações, é aconselhável consultar também a NBR ISO/IEC 17799:2001, pois ela contém todos os controles da ISO/IEC 27001:2005, porém com explicações e exemplos, o que ajuda muito na implementação da norma em uma corporação. No aspecto normativo, a ABNT NBR ISO/IEC 27001:2005 (e sua equivalente, a NBR ISO/IEC 27001) é a principal norma para implementação da Gestão em Segurança da Informação e que está sendo adotada pela maioria das empresas. Consiste em um guia que fornece recomendações para a gestão da Segurança da Informação e tem como propósito prover uma base comum para o desenvolvimento de normas de segurança organizacional e das práticas efetivas de gestão da segurança, além de prover confiança nos relacionamentos entre as organizações. A ABNT NBR ISO/IEC 27001:2005 é uma especificação para Sistemas de Gestão da Segurança da Informação que pode ser adotada por organizações de qualquer porte e de diferentes setores industriais e de serviços, para a realização de auditorias e consequente certificação para um ambiente seguro. Esta norma contém as seguintes seções:

Políticas de Segurança da Informação. Aécio Costa

Políticas de Segurança da Informação. Aécio Costa Aécio Costa A segurança da informação é obtida a partir da implementação de um conjunto de controles adequados, incluindo políticas, processos, procedimentos, estruturas organizacionais e funções de software

Leia mais

Sistemas de Informação

Sistemas de Informação Sistemas de Informação Segurança da Informação Norma: ISO/IEC NBR 27001 e ISO/IEC NBR 27002 Norma: ISO/IEC NBR 27001 e ISO/IEC NBR 27002 Histórico O BSi (British Standard Institute) criou a norma BS 7799,

Leia mais

SEGURANÇA DA INFORMAÇÃO

SEGURANÇA DA INFORMAÇÃO SEGURANÇA DA INFORMAÇÃO NBR ISO/IEC 27002: 2005 (antiga NBR ISO/IEC 17799) NBR ISO/IEC 27002:2005 (Antiga NBR ISO/IEC 17799); 27002:2013. Metodologias e Melhores Práticas em SI CobiT; Prof. Me. Marcel

Leia mais

BANCO CENTRAL DO BRASIL 2009/2010

BANCO CENTRAL DO BRASIL 2009/2010 BANCO CENTRAL DO BRASIL 2009/2010 CONTINUIDADE DE NEGÓCIOS E PLANOS DE CONTINGÊNCIA Professor: Hêlbert A Continuidade de Negócios tem como base a Segurança Organizacional e tem por objeto promover a proteção

Leia mais

Alinhando ABNT-NBR-ISO/IEC 17799 e 27001 para a Administração Pública -USP

Alinhando ABNT-NBR-ISO/IEC 17799 e 27001 para a Administração Pública -USP Alinhando ABNT-NBR-ISO/IEC 17799 e 27001 para a Administração Pública -USP César Augusto Asciutti Agência USP de Inovação, São Paulo (SP), 3091-2933, asciutti@usp.br Resumo Este artigo apresenta uma breve

Leia mais

Segurança da Informação

Segurança da Informação INF-108 Segurança da Informação Gestão de Segurança da Informação Prof. João Henrique Kleinschmidt (slides cedidos pelo Prof. Carlos Kamienski - UFABC) Gerenciamento e Avaliação de Riscos Terminologia

Leia mais

Gestão de T.I. GESTÃO DE T.I. ITIL. José Luís Padovan jlpadovan@gmail.com

Gestão de T.I. GESTÃO DE T.I. ITIL. José Luís Padovan jlpadovan@gmail.com GESTÃO DE T.I. José Luís Padovan jlpadovan@gmail.com 1 Information Technology Infrastructure Library 2 O que é o? Information Technology Infrastructure Library é uma biblioteca composta por sete livros

Leia mais

Tópico 30 e 31 Plano de Continuidade dos Negócios (PCN) Continuidade do Negócio

Tópico 30 e 31 Plano de Continuidade dos Negócios (PCN) Continuidade do Negócio Tópico 30 e 31 Plano de Continuidade dos Negócios (PCN) Plano de Continuidade de Negócios (PCN). Metodologia de levantamento de requisitos para o plano. Métodos de construção do documento. 2 Continuidade

Leia mais

POLÍTICA DE SEGURANÇA, MEIO AMBIENTE E SAÚDE - SMS. Versão Data Histórico Aprovação 00 20/10/09 Emissão de documento Aldo Guedes

POLÍTICA DE SEGURANÇA, MEIO AMBIENTE E SAÚDE - SMS. Versão Data Histórico Aprovação 00 20/10/09 Emissão de documento Aldo Guedes POLÍTICA DE SEGURANÇA, MEIO AMBIENTE E SAÚDE - SMS. Elaboração Luiz Guilherme D CQSMS 10 00 Versão Data Histórico Aprovação 00 20/10/09 Emissão de documento Aldo Guedes Avaliação da Necessidade de Treinamento

Leia mais

SEGURANÇA FÍSICA & LÓGICA DE REDES. Material Complementar de Estudos

SEGURANÇA FÍSICA & LÓGICA DE REDES. Material Complementar de Estudos SEGURANÇA FÍSICA & LÓGICA DE REDES Material Complementar de Estudos O que é a Organização ISO A ISO - Internacional Organization for Stardardization - é maior organização para Desenvolvimento e publicação

Leia mais

ABNT NBR ISO/IEC 27001

ABNT NBR ISO/IEC 27001 ABNT NBR ISO/IEC 27001 Para Dataprev e Senado 1/63 As Normas NBR ISO/IEC 27001 - Requisitos para implantar um SGSI NBR ISO/IEC 27002 - Práticas para a gestão de SI NBR ISO/IEC 27005 - Gestão de riscos

Leia mais

Código de prática para a gestão da segurança da informação

Código de prática para a gestão da segurança da informação Código de prática para a gestão da segurança da informação Edição e Produção: Fabiano Rabaneda Advogado, professor da Universidade Federal do Mato Grosso. Especializando em Direito Eletrônico e Tecnologia

Leia mais

Fundamentos em Segurança de Redes de Computadores NBR ISO 27001

Fundamentos em Segurança de Redes de Computadores NBR ISO 27001 Fundamentos em Segurança de Redes de Computadores 1 É a norma de certificação para SGSI ( Sistemas de Gestão da Segurança da Informação), editada em português em abril de 2006 e que substituiu a BS 7799-2.

Leia mais

Auditoria e Segurança da Informação GSI536. Prof. Rodrigo Sanches Miani FACOM/UFU

Auditoria e Segurança da Informação GSI536. Prof. Rodrigo Sanches Miani FACOM/UFU Auditoria e Segurança da Informação GSI536 Prof. Rodrigo Sanches Miani FACOM/UFU Políticas de Segurança Tópicos 1. Necessidade de uma Política de Segurança de Informação; 2. Definição de uma Política de

Leia mais

GERENCIAMENTO DE RISCOS EM PROJETOS: UMA COMPARAÇÃO ENTRE O PMBOK E A ISO-31000

GERENCIAMENTO DE RISCOS EM PROJETOS: UMA COMPARAÇÃO ENTRE O PMBOK E A ISO-31000 GERENCIAMENTO DE RISCOS EM PROJETOS: UMA COMPARAÇÃO ENTRE O E A -31000 Maildo Barros da Silva 1 e Fco.Rodrigo P. Cavalcanti 2 1 Universidade de Fortaleza (UNIFOR), Fortaleza-CE, Brasil phone: +55(85) 96193248,

Leia mais

Política de Segurança da Informação

Política de Segurança da Informação Política de Segurança da Informação 29 de janeiro 2014 Define, em nível estratégico, diretivas do Programa de Gestão de Segurança da Informação. ÍNDICE 1 OBJETIVO... 3 2 PÚBLICO ALVO... 3 3 RESPONSABILIDADES

Leia mais

Prof. Walter Cunha. Segurança da Informação. Não-Escopo. Escopo. Prof. Walter Cunha Rede LFG

Prof. Walter Cunha. Segurança da Informação. Não-Escopo. Escopo. Prof. Walter Cunha Rede LFG Segurança da Informação Prof. Walter Cunha Rede LFG Prof. Walter Cunha Contatos: E-mail: falecomigo@waltercunha.com timasters@yahoogoups.com Atividades: http://www.waltercunha.com/blog/ http://twitter.com/timasters/

Leia mais

Gerenciamento de Serviços em TI com ITIL. Gerenciamento de Serviços de TI com ITIL

Gerenciamento de Serviços em TI com ITIL. Gerenciamento de Serviços de TI com ITIL Gerenciamento de Serviços de TI com ITIL A Filosofia do Gerenciamento de Serviços em TI Avanços tecnológicos; Negócios totalmente dependentes da TI; Qualidade, quantidade e a disponibilidade (infra-estrutura

Leia mais

Prof. MSc. Edilberto Silva edilms@yahoo.com/ http://edilms.eti.br Pós-Graduação

Prof. MSc. Edilberto Silva edilms@yahoo.com/ http://edilms.eti.br Pós-Graduação Políticas de Segurança e Planos de Continuidade de Negócios Prof. MSc. Edilberto Silva edilms@yahoo.com/ http://edilms.eti.br Pós-Graduação Introdução e apresentação da disciplina Ementa: Conceitos e definições.

Leia mais

efagundes com GOVERNANÇA DE TIC Eduardo Mayer Fagundes Aula 3/4

efagundes com GOVERNANÇA DE TIC Eduardo Mayer Fagundes Aula 3/4 GOVERNANÇA DE TIC Eduardo Mayer Fagundes Aula 3/4 1 CobIT Modelo abrangente aplicável para a auditoria e controle de processo de TI, desde o planejamento da tecnologia até a monitoração e auditoria de

Leia mais

Política de Sistemas Corporativos e Serviços da Rede Governamental

Política de Sistemas Corporativos e Serviços da Rede Governamental Dezembro de 2006 1.0 02/12/2006-2 - Índice 1 Objetivo... 3 2 Abrangência... 3 3 Considerações Gerais... 4 4 Exigências de Segurança para sistemas governamentais... 4 4.1 Exigências dos Níveis de Segurança...

Leia mais

GESTÃO DE CONTINUIDADE DOS NEGÓCIOS EM SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÃO

GESTÃO DE CONTINUIDADE DOS NEGÓCIOS EM SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÃO Número da Norma Complementar Revisão Emissão Folha ICMBio Instituto Chico Mendes De Conservação da Biodiversidade Diretoria de Planejamento, Administração e Logística ORIGEM GESTÃO DE CONTINUIDADE DOS

Leia mais

Vital para a Competitividade da sua Organização

Vital para a Competitividade da sua Organização ISO 27001 Segurança da Informação Vital para a Competitividade da sua Organização Quem Somos? Apresentação do Grupo DECSIS Perfil da Empresa Com origem na DECSIS, Sistemas de Informação, Lda., fundada

Leia mais

Governança de TI Prof. Carlos Henrique Santos da Silva, MSc

Governança de TI Prof. Carlos Henrique Santos da Silva, MSc Governança de TI Prof. Carlos Henrique Santos da Silva, MSc PMP, PMI-RMP, PMI-ACP, CSM, ITIL & CobiT Certified Carlos Henrique Santos da Silva, MSc, PMP Especializações Certificações Mestre em Informática

Leia mais

ISO 14001:2015 SAIBA O QUE MUDA NA NOVA VERSÃO DA NORMA

ISO 14001:2015 SAIBA O QUE MUDA NA NOVA VERSÃO DA NORMA ISO 14001:2015 SAIBA O QUE MUDA NA NOVA VERSÃO DA NORMA SUMÁRIO Apresentação ISO 14001 Sistema de Gestão Ambiental Nova ISO 14001 Principais alterações e mudanças na prática Estrutura de alto nível Contexto

Leia mais

Security Officer Foundation

Security Officer Foundation Security Officer Foundation As comunicações e os meios de armazenamento das informações evoluíram mais nestes últimos anos do que em outro tempo na história conhecida. A internet comercial foi consolidada

Leia mais

Questões Comentadas ISO 27001

Questões Comentadas ISO 27001 2012 Questões Comentadas ISO 27001 LhugoJr Versão 1.0 05/12/2012 Introduça o Vale ressaltar que alguns comentários sobre as questões foram retiradas das seguintes fontes: TECNOLOGIA DA INFORMAÇÃO - QUESTÕES

Leia mais

Qualidade. Introdução à Administração de Empresas. Prof. Luiz Antonio 01/03/2007

Qualidade. Introdução à Administração de Empresas. Prof. Luiz Antonio 01/03/2007 Introdução à Administração de Empresas Prof. Luiz Antonio 01/03/2007 Histórico Era Artesanal (séc. XIX) Etapas da produção controladas pelo artesão. Compra dos materiais e insumos Acabamento Entrega do

Leia mais

Gestão de Riscos. Risco

Gestão de Riscos. Risco Gestão de Riscos A crescente importância da TI para os processos de negócio de uma empresa trouxe em paralelo, também, um aumento de problemas de segurança em relação à informação. Assim, a necessidade

Leia mais

Segurança e Auditoria de Sistemas

Segurança e Auditoria de Sistemas Segurança e Auditoria de Sistemas ABNT NBR ISO/IEC 27002 4. Análise, Avaliação e Tratamento de Riscos 1 Roteiro (1/1) Definições Análise e Avaliação de Riscos Tratamento de Riscos Matriz de Análise de

Leia mais

Governança e Qualidade em Serviços de TI COBIT Governança de TI

Governança e Qualidade em Serviços de TI COBIT Governança de TI Governança e Qualidade em Serviços de TI COBIT Governança de TI COBIT Processos de TI Aplicativos Informações Infraestrutura Pessoas O que é o CObIT? CObIT = Control Objectives for Information and Related

Leia mais

COBIT. Governança de TI. Juvenal Santana, PMP tecproit.com.br

COBIT. Governança de TI. Juvenal Santana, PMP tecproit.com.br COBIT Governança de TI Juvenal Santana, PMP tecproit.com.br Sobre mim Juvenal Santana Gerente de Projetos PMP; Cobit Certified; ITIL Certified; OOAD Certified; 9+ anos de experiência em TI; Especialista

Leia mais

Por que utilizar o modelo ITIL

Por que utilizar o modelo ITIL Por que utilizar o modelo ITIL... O que não é definido não pode ser controlado... O que não é controlado não pode ser medido... O que não é medido não pode ser melhorado Empregado para definir, controlar,

Leia mais

Um Modelo de Sistema de Gestão da Segurança da Informação Baseado nas Normas ABNT NBR ISO/IEC 27001:2006, 27002:2005 e 27005:2008

Um Modelo de Sistema de Gestão da Segurança da Informação Baseado nas Normas ABNT NBR ISO/IEC 27001:2006, 27002:2005 e 27005:2008 REVISTA TELECOMUNICAÇÕES, VOL. 15, Nº01, JUNHO DE 2013 1 Um Modelo de Sistema de Gestão da Segurança da Baseado nas Normas ABNT NBR ISO/IEC 27001:2006, 27002:2005 e 27005:2008 Valdeci Otacilio dos Santos

Leia mais

GERENCIAMENTO ESTRATÉGICO DE SEGURANÇA DA INFORMAÇÃO

GERENCIAMENTO ESTRATÉGICO DE SEGURANÇA DA INFORMAÇÃO 1 GERENCIAMENTO ESTRATÉGICO DE SEGURANÇA DA INFORMAÇÃO RESUMO DO ARTIGO Este artigo se propõe a apresentar uma panorâmica do uso da Segurança da Informação e sua importância como diferencial competitivo

Leia mais

TERCEIRIZAÇÃO, OUTSOURCING, INFRAESTRUTURA DESENVOLVIMENTO DE SISTEMAS E SITES, AUDITORIAS E SEGURANÇA DA INFORMAÇÃO.

TERCEIRIZAÇÃO, OUTSOURCING, INFRAESTRUTURA DESENVOLVIMENTO DE SISTEMAS E SITES, AUDITORIAS E SEGURANÇA DA INFORMAÇÃO. TERCEIRIZAÇÃO, OUTSOURCING, INFRAESTRUTURA DESENVOLVIMENTO DE SISTEMAS E SITES, AUDITORIAS E SEGURANÇA DA INFORMAÇÃO. OneIT A gente trabalha para o seu crescimento. Rua Bento Barbosa, n 155, Chácara Santo

Leia mais

Faculdade de Tecnologia SENAI Porto Alegre Aula 1

Faculdade de Tecnologia SENAI Porto Alegre Aula 1 Faculdade de Tecnologia SENAI Porto Alegre Aula 1 Prof. Me. Humberto Moura humberto@humbertomoura.com.br Evolução da TI Postura TI Níveis de TI Princípios de TI (papel da TI perante o negócio) Arquitetura

Leia mais

Gestão de Segurança da Informação

Gestão de Segurança da Informação Gestão de Segurança da Informação NORMAS NBR ISO/IEC 27001, 27002 e 27005 @thiagofagury www.fagury.com.br http://groups.yahoo.com/group/timasters As Normas NBR ISO/IEC 27001 - Requisitos para implantar

Leia mais

Política de. Segurança. Informação

Política de. Segurança. Informação Política de Segurança da Informação Diretrizes para a conduta adequada no manuseio, controle e proteção das informações contra a destruição, modificação, divulgação indevida e acessos não autorizados,

Leia mais

Carlos Henrique Santos da Silva

Carlos Henrique Santos da Silva GOVERNANÇA DE TI Carlos Henrique Santos da Silva Mestre em Informática em Sistemas de Informação UFRJ/IM Certificado em Project Management Professional (PMP) PMI Certificado em IT Services Management ITIL

Leia mais

Os requisitos de SEGURANÇA DA INFORMAÇÃO dentro de uma organização passaram por duas mudanças importantes nas últimas décadas:

Os requisitos de SEGURANÇA DA INFORMAÇÃO dentro de uma organização passaram por duas mudanças importantes nas últimas décadas: $XWDUTXLD(GXFDFLRQDOGR9DOHGR6mR)UDQFLVFR± $(96) )DFXOGDGHGH&LrQFLDV6RFLDLVH$SOLFDGDVGH3HWUROLQD± )$&$3( &XUVRGH&LrQFLDVGD&RPSXWDomR 6(*85$1d$($8',725,$'(6,67(0$6 ³6HJXUDQoDGH,QIRUPDo}HV &\QDUD&DUYDOKR

Leia mais

TREINAMENTO ITAIM INTERPRETAÇÃO DA NORMA NBR ABNT ISO 9001:2008. Maria das Graças Ferreira mgferreira@prefeitura.sp.gov.

TREINAMENTO ITAIM INTERPRETAÇÃO DA NORMA NBR ABNT ISO 9001:2008. Maria das Graças Ferreira mgferreira@prefeitura.sp.gov. TREINAMENTO ITAIM INTERPRETAÇÃO DA NORMA NBR ABNT ISO 9001:2008 Maria das Graças Ferreira mgferreira@prefeitura.sp.gov.br 11 3104-0988 Este treinamento tem por objetivo capacitar os participantes para

Leia mais

GERENCIAMENTO E PROCESSO Porque adotá-los? Onivaldo Roncatti e Leonardo Noshi

GERENCIAMENTO E PROCESSO Porque adotá-los? Onivaldo Roncatti e Leonardo Noshi GERENCIAMENTO E PROCESSO Porque adotá-los? Onivaldo Roncatti e Leonardo Noshi 1 Sobre a empresa A Business Station é uma provedora de soluções de tecnologia. Possui 5 filiais: São Paulo (matriz), Campinas,

Leia mais

Segurança e Auditoria de Sistemas Normas de Segurança. Profa. Cynara Carvalho cynaracarvalho@yahoo.com.br

Segurança e Auditoria de Sistemas Normas de Segurança. Profa. Cynara Carvalho cynaracarvalho@yahoo.com.br $XWDUTXLD(GXFDFLRQDOGR9DOHGR6mR)UDQFLVFR $(96) )DFXOGDGHGH&LrQFLDV$SOLFDGDVH6RFLDLVGH3HWUROLQD )$&$3( Segurança e Auditoria de Sistemas Normas de Segurança Profa. Cynara Carvalho cynaracarvalho@yahoo.com.br

Leia mais

3 Metodologia de Gerenciamento de Riscos

3 Metodologia de Gerenciamento de Riscos 3 Metodologia de Gerenciamento de Riscos Este capítulo tem como objetivo a apresentação das principais ferramentas e metodologias de gerenciamento de riscos em projetos, as etapas do projeto onde o processo

Leia mais

Proposta. ISO 20.000 / 2011 Fundamentos. Apresentação Executiva. ISO 20.000 / 2011 - Fundamentos

Proposta. ISO 20.000 / 2011 Fundamentos. Apresentação Executiva. ISO 20.000 / 2011 - Fundamentos ISO 20.000 / 2011 Fundamentos Apresentação Executiva 1 O treinamento de ISO 20.000 Foundation tem como premissa fornecer uma visão geral da publicação da norma ISO/IEC 20000 capacitando o aluno a entender

Leia mais

ISO/IEC 20000:2005. Introdução da Norma ISO/IEC 20000 no Mercado Brasileiro Versão 1.1, 15.09.2006

ISO/IEC 20000:2005. Introdução da Norma ISO/IEC 20000 no Mercado Brasileiro Versão 1.1, 15.09.2006 ISO/IEC 20000:2005 Introdução da Norma ISO/IEC 20000 no Mercado Brasileiro Versão 1.1, 15.09.2006 André Jacobucci andre.jacobucci@ilumna.com +55 11 5087 8829 www.ilumna.com Objetivos desta Apresentação

Leia mais

FACULDADE DE TECNOLOGIA SENAC GOIÁS GESTÃO DA TECNOLOGIA DA INFORMAÇÃO EDUARDO ROCHA BRUNO CATTANY FERNANDO BAPTISTA

FACULDADE DE TECNOLOGIA SENAC GOIÁS GESTÃO DA TECNOLOGIA DA INFORMAÇÃO EDUARDO ROCHA BRUNO CATTANY FERNANDO BAPTISTA FACULDADE DE TECNOLOGIA SENAC GOIÁS GESTÃO DA TECNOLOGIA DA INFORMAÇÃO EDUARDO ROCHA BRUNO CATTANY FERNANDO BAPTISTA Descrição da(s) atividade(s): Indicar qual software integrado de gestão e/ou ferramenta

Leia mais

Lista de Exercícios - COBIT 5

Lista de Exercícios - COBIT 5 Lista de Exercícios - COBIT 5 1. O COBIT 5 possui: a) 3 volumes, 7 habilitadores, 5 princípios b) 3 volumes, 5 habilitadores, 7 princípios c) 5 volumes, 7 habilitadores, 5 princípios d) 5 volumes, 5 habilitadores,

Leia mais

I Seminário sobre Segurança da Informação e Comunicações

I Seminário sobre Segurança da Informação e Comunicações I Seminário sobre Segurança da Informação e Comunicações GABINETE DE SEGURANÇA INSTITUCIONAL DA PRESIDÊNCIA DA REPÚBLICA (GSI/PR) OBJETIVO Identificar a Metodologia de Gestão de SIC na APF AGENDA Gestão

Leia mais

Simulado ITIL V3 Português Sicoob

Simulado ITIL V3 Português Sicoob Simulado ITIL V3 Português Sicoob Dezembro 2009 1 de 40 A Implementação do Gerenciamento de Serviços Baseados na ITIL requer preparação e planejamento do uso eficaz e eficiente de quais dos seguintes?

Leia mais

SOLUÇÕES AMBIENTE SEGURO SEUS NEGÓCIOS DEPENDEM DISSO!

SOLUÇÕES AMBIENTE SEGURO SEUS NEGÓCIOS DEPENDEM DISSO! SOLUÇÕES AMBIENTE SEGURO SEUS NEGÓCIOS DEPENDEM DISSO! O ambiente de Tecnologia da Informação (TI) vem se tornando cada vez mais complexo, qualquer alteração ou configuração incorreta pode torná-lo vulnerável

Leia mais

PREVIEW DAS PRINCIPAIS SEÇÕES DA NBR ISO 19011

PREVIEW DAS PRINCIPAIS SEÇÕES DA NBR ISO 19011 CENTRO DA QUALIDADE, SEGURANÇA E PRODUTIVIDADE PARA O BRASIL E AMÉRICA LATINA PREVIEW DAS PRINCIPAIS SEÇÕES DA NBR ISO 19011 Diretrizes para auditorias de sistemas de gestão da qualidade e/ou ambiental

Leia mais

Questionário de Governança de TI 2014

Questionário de Governança de TI 2014 Questionário de Governança de TI 2014 De acordo com o Referencial Básico de Governança do Tribunal de Contas da União, a governança no setor público compreende essencialmente os mecanismos de liderança,

Leia mais

Política de Segurança da Informação da Entidade

Política de Segurança da Informação da Entidade Estrutura Nacional de Segurança da Informação (ENSI) Política de Segurança da Informação da Entidade Fevereiro 2005 Versão 1.0 Público Confidencial O PRESENTE DOCUMENTO NÃO PRESTA QUALQUER GARANTIA, SEJA

Leia mais

Gerenciamento de Serviços de TI com base na ITIL

Gerenciamento de Serviços de TI com base na ITIL Gerenciamento de Serviços de TI com base na ITIL Information Technology Infrastructure Library ou Biblioteca de Infraestrutura da Tecnologia da Informação A TI de antes (ou simplesmente informática ),

Leia mais

Tópico 28 e 29 Política de Segurança da Informação. Política de Segurança da Informação

Tópico 28 e 29 Política de Segurança da Informação. Política de Segurança da Informação Tópico 28 e 29 Política de Segurança da Informação Política de segurança da Informação. Metodologia de levantamento da política de segurança. Objetivos e responsabilidades sobre a implementação. Métodos

Leia mais

ivirtua Solutions 4 ITIL

ivirtua Solutions 4 ITIL ivirtua Solutions 4 ITIL ivirtua Solutions ITIL WHITEPAPER ITIL INTRODUÇÃO O ITIL é o modelo de referência para endereçar estruturas de processos e procedimentos à gestão de TI, organizado em disciplinas

Leia mais

Gerenciamento de Projetos

Gerenciamento de Projetos Gerenciamento de Projetos PMI, PMP e PMBOK PMI (Project Management Institute) Estabelecido em 1969 e sediado na Filadélfia, Pensilvânia EUA, o PMI é a principal associação mundial, sem fins lucrativos,

Leia mais

UNIP UNIVERSIDADE PAULISTA

UNIP UNIVERSIDADE PAULISTA UNIP UNIVERSIDADE PAULISTA GERENCIAMENTO DE REDES Segurança Lógica e Física de Redes 2 Semestre de 2012 NORMAS ABNT ISSO/IEC 27001 E 27002 (Antiga ISSO/IEC 17799) A norma ISO/IEC 27001. A norma ISO/IEC

Leia mais

Profa. Celia Corigliano. Unidade IV GERENCIAMENTO DE PROJETOS DE TI

Profa. Celia Corigliano. Unidade IV GERENCIAMENTO DE PROJETOS DE TI Profa. Celia Corigliano Unidade IV GERENCIAMENTO DE PROJETOS DE TI Agenda da disciplina Unidade I Gestão de Projetos Unidade II Ferramentas para Gestão de Projetos Unidade III Gestão de Riscos em TI Unidade

Leia mais

COBIT (CONTROL OBJECTIVES FOR INFORMATION AND RELATED TECHNOLOGY)

COBIT (CONTROL OBJECTIVES FOR INFORMATION AND RELATED TECHNOLOGY) Universidade Federal de Santa Catarina Departamento de Informática e Estatística INE Curso: Sistemas de Informação Disciplina: Projetos I Professor: Renato Cislaghi Aluno: Fausto Vetter Orientadora: Maria

Leia mais

ABNT NBR ISO/IEC 27002:2005

ABNT NBR ISO/IEC 27002:2005 ABNT NBR ISO/IEC 27002:2005 Código de prática para a gestão da segurança da informação A partir de 2007, a nova edição da ISO/IEC 17799 será incorporada ao novo esquema de numeração como ISO/IEC 27002.

Leia mais

Continuidade de Negócio de TI O Sucesso da sua empresa também depende disso. Qual é sua necessidade...

Continuidade de Negócio de TI O Sucesso da sua empresa também depende disso. Qual é sua necessidade... Continuidade de Negócio de TI O Sucesso da sua empresa também depende disso. Qual é sua necessidade... Reduzir custo de TI; Identificar lentidões no ambiente de TI Identificar problemas de performance

Leia mais

Política de Segurança da Informação

Política de Segurança da Informação ÍNDICE 1. INTRODUÇÃO 3 2. AUDIÊNCIA 3 3. VALOR DA INFORMAÇÃO 4 4. IMPORTÂNCIA DA SEGURANÇA DA INFORMAÇÃO 5 5. MODELO DE SEGURANÇA DA INFORMAÇÃO 6 6. RESPONSABILIDADES NA SEGURANÇA DA INFORMAÇÃO 7 7. MANUTENÇÃO

Leia mais

A IMPORTÂNCIA DO TESTE DE SOFTWARE PARA A QUALIDADE DO PROJETO

A IMPORTÂNCIA DO TESTE DE SOFTWARE PARA A QUALIDADE DO PROJETO A IMPORTÂNCIA DO TESTE DE SOFTWARE PARA A QUALIDADE DO PROJETO Autora: LUCIANA DE BARROS ARAÚJO 1 Professor Orientador: LUIZ CLAUDIO DE F. PIMENTA 2 RESUMO O mercado atual está cada vez mais exigente com

Leia mais

ITIL - Por que surgiu? Dependências de TI; A qualidade, quantidade e disponibilidade de infra-estrutura de TI afetam diretamente;

ITIL - Por que surgiu? Dependências de TI; A qualidade, quantidade e disponibilidade de infra-estrutura de TI afetam diretamente; ITIL ITIL - Por que surgiu? Dependências de TI; A qualidade, quantidade e disponibilidade de infra-estrutura de TI afetam diretamente; ITIL Mas o que gerenciar? Gerenciamento de Serviço de TI. Infra-estrutura

Leia mais

Combinando a norma ISO 10006 e o guia PMBOK para garantir sucesso em projetos

Combinando a norma ISO 10006 e o guia PMBOK para garantir sucesso em projetos Combinando a norma ISO 10006 e o guia PMBOK para garantir sucesso em projetos Combining the ISO 10006 and PMBOK to ensure successful projects 1 Por Michael Stanleigh Tradução e adaptação para fins didáticos

Leia mais

ITIL. Information Technology Infrastructure Library

ITIL. Information Technology Infrastructure Library Information Technology Infrastructure Library 34929 - Daniel Aquere de Oliveira 34771 - Daniel Tornieri 34490 - Edson Gonçalves Rodrigues 34831 - Fernando Túlio 34908 - Luiz Gustavo de Mendonça Janjacomo

Leia mais

COBIT FOUNDATION - APOSTILA DE RESUMO

COBIT FOUNDATION - APOSTILA DE RESUMO COBIT FOUNDATION - APOSTILA DE RESUMO GOVERNANÇA DE TI O QUE É GOVERNANÇA DE TI É um conjunto de estruturas e processos que visa garantir que a TI suporte e maximize adequadamente os objetivos e estratégias

Leia mais

TRANSQUALIT GERENCIAMENTO DE RISCOS

TRANSQUALIT GERENCIAMENTO DE RISCOS TRANSQUALIT Transqualit GRIS GERENCIAMENTO DE RISCOS INTRODUÇÃO Organizações de todos os tipos estão cada vez mais preocupadas em atingir e demonstrar um desempenho em termos de gerenciamento dos riscos

Leia mais

Porquê na ITIL nas empresas? o Para termos uma resposta efetiva é preciso entender o porque da governança; o Entender gerenciamento de riscos.

Porquê na ITIL nas empresas? o Para termos uma resposta efetiva é preciso entender o porque da governança; o Entender gerenciamento de riscos. ITIL V3 Porquê na ITIL nas empresas? o Para termos uma resposta efetiva é preciso entender o porque da governança; o Entender o gerenciamento de riscos. Porquê Governança? Porque suas ações e seus requisitos

Leia mais

GESTÃO DE RISCOS DA SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES

GESTÃO DE RISCOS DA SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES Número da Norma Complementar Revisão Emissão Folha ICMBio Instituto Chico Mendes De Conservação da Biodiversidade Diretoria de Planejamento, Administração e Logística ORIGEM COTEC - Coordenação de Tecnologia

Leia mais

ISO/IEC 20000. Curso e-learning. Sistema de Gerenciamento de Serviços da Tecnologia da Informação

ISO/IEC 20000. Curso e-learning. Sistema de Gerenciamento de Serviços da Tecnologia da Informação Curso e-learning ISO/IEC 20000 Sistema de Gerenciamento de Serviços da Tecnologia da Informação Este é um curso independente desenvolvido pelo TI.exames em parceria com a CONÊXITO CONSULTORIA que tem grande

Leia mais

Segurança da Informação

Segurança da Informação Segurança da Informação Frederico Sauer, D.Sc. Conceito Por quê investir em Segurança? RISCO Ameaças Vulnerabilidades Impactos R = V x A x I M CONTROLES Mecanismos para reduzir o Risco 1 IMPACTOS IMPACTOS

Leia mais

CobiT 4.01 OBJETIVOS DE CONTROLE PARA INFORMAÇÃO E TECNOLOGIAS RELACIONADAS

CobiT 4.01 OBJETIVOS DE CONTROLE PARA INFORMAÇÃO E TECNOLOGIAS RELACIONADAS CobiT 4.01 OBJETIVOS DE CONTROLE PARA INFORMAÇÃO E TECNOLOGIAS RELACIONADAS METODOLOGIA DE AUDITORIA PARA AVALIAÇÃO DE CONTROLES E CUMPRIMENTO DE PROCESSOS DE TI NARDON, NASI AUDITORES E CONSULTORES CobiT

Leia mais

Política de Segurança da Informação

Política de Segurança da Informação ÍNDICE INTRODUÇÃO 3 AUDIÊNCIA 3 IMPORTÂNCIA DA INFORMAÇÃO E DA SEGURANÇA DA INFORMAÇÃO 3 POLÍTICA DE SEGURANÇA DA INFORMAÇÃO 5 RESPONSABILIDADES NA SEGURANÇA DA INFORMAÇÃO 6 MANUTENÇÃO E COMUNICAÇÃO DAS

Leia mais

Conceitos Básicos e Implementação. Entrega de Serviços. Professor Gledson Pompeu (gledson.pompeu@gmail.com)

Conceitos Básicos e Implementação. Entrega de Serviços. Professor Gledson Pompeu (gledson.pompeu@gmail.com) Conceitos Básicos e Implementação Pref. Mun. Vitória 2007 Analista de Suporte 120 A ITIL (information technology infrastructure library) visa documentar as melhores práticas na gerência, no suporte e na

Leia mais

IMPACTO NA IMPLEMENTAÇÃO DA NORMA NBR ISO/IEC 17799 PARA A GESTÃO DA SEGURANÇA DA INFORMAÇÃO EM COLÉGIOS: UM ESTUDO DE CASO

IMPACTO NA IMPLEMENTAÇÃO DA NORMA NBR ISO/IEC 17799 PARA A GESTÃO DA SEGURANÇA DA INFORMAÇÃO EM COLÉGIOS: UM ESTUDO DE CASO ! "#$ " %'&)(*&)+,.- /10.2*&4365879&4/1:.+58;.2*=?5.@A2*3B;.- C)D 5.,.5FE)5.G.+ &4- (IHJ&?,.+ /?=)5.KA:.+5MLN&OHJ5F&4E)2*EOHJ&)(IHJ/)G.- D - ;./);.& IMPACTO NA IMPLEMENTAÇÃO DA NORMA NBR ISO/IEC 17799

Leia mais

SISTEMAS DE GESTÃO PARA SEGURANÇA E SAÚDE OCUPACIONAL - ESPECIFICAÇÃO

SISTEMAS DE GESTÃO PARA SEGURANÇA E SAÚDE OCUPACIONAL - ESPECIFICAÇÃO OHSAS 18001 SISTEMAS DE GESTÃO PARA SEGURANÇA E SAÚDE OCUPACIONAL - ESPECIFICAÇÃO IMPORTANTE: A BSI-OHSAS 18001 não é uma Norma Britânica. A BSI-OHSAS 18001 será cancelada quando da inclusão do seu conteúdo

Leia mais

Governança AMIGA. Para baixar o modelo de como fazer PDTI: www.microsoft.com/brasil/setorpublico/governanca/pdti

Governança AMIGA. Para baixar o modelo de como fazer PDTI: www.microsoft.com/brasil/setorpublico/governanca/pdti e d a id 4 m IN r fo a n m Co co M a n ua l Governança AMIGA Para baixar o modelo de como fazer PDTI: www.microsoft.com/brasil/setorpublico/governanca/pdti Um dos grandes desafios atuais da administração

Leia mais

MASTER IN PROJECT MANAGEMENT

MASTER IN PROJECT MANAGEMENT MASTER IN PROJECT MANAGEMENT PROJETOS E COMUNICAÇÃO PROF. RICARDO SCHWACH MBA, PMP, COBIT, ITIL Atividade 1 Que modelos em gestão de projetos estão sendo adotados como referência nas organizações? Como

Leia mais

9 RECURSOS HUMANOS 10 COMUNICAÇÕES

9 RECURSOS HUMANOS 10 COMUNICAÇÕES 10 COMUNICAÇÕES O gerenciamento das comunicações do projeto é a área de conhecimento que emprega os processos necessários para garantir a geração, coleta, distribuição, armazenamento, recuperação e destinação

Leia mais

Alinhando NBR-ISO/IEC 17799 e 27001 na Administração Pública - USP

Alinhando NBR-ISO/IEC 17799 e 27001 na Administração Pública - USP Alinhando NBR-ISO/IEC 17799 e 27001 na Administração Pública - USP 3 3 Apresentação : Introdução. NBR ISO/IEC 27001 e 17799. Proposta de Plano de Trabalho/Ação. Referências. Confidencialidade Permitir

Leia mais

Avenida Presidente Wilson, 231 11 andar 20030-905 Rio de Janeiro- RJ ESTRUTURA DE GERENCIAMENTO DE RISCO OPERACIONAL

Avenida Presidente Wilson, 231 11 andar 20030-905 Rio de Janeiro- RJ ESTRUTURA DE GERENCIAMENTO DE RISCO OPERACIONAL ESTRUTURA DE GERENCIAMENTO DE RISCO OPERACIONAL MARÇO, 2015 ÍNDICE OBJETIVO 3 ESCOPO 3 DEFINIÇÕES Risco Inerente 4 DEFINIÇÕES Risco Operacional 4 DEFINIÇÕES Evento de Risco Operacional 4 FUNÇÕES E RESPONSABILIDADES

Leia mais

Administração de Ativos de TI. Prof. André Montevecchi

Administração de Ativos de TI. Prof. André Montevecchi Administração de Ativos de TI Prof. André Montevecchi Introdução a ITIL Em um mundo altamente competitivo, de mudanças constantes e inesperadas, é preciso ter flexibilidade e agilidade suficientes para

Leia mais

PODER JUDICIÁRIO. PORTARIA Nº CJF-POR-2015/00104 de 6 de março de 2015

PODER JUDICIÁRIO. PORTARIA Nº CJF-POR-2015/00104 de 6 de março de 2015 PODER JUDICIÁRIO JUSTIÇA FEDERAL CONSELHO DA JUSTIÇA FEDERAL PORTARIA Nº CJF-POR-2015/00104 de 6 de março de 2015 Dispõe sobre a aprovação do documento acessório comum "Política de Segurança para Desenvolvimento,

Leia mais

Normas de Segurança da Informação Processo de Certificação ISO 27001:2006. Ramon Gomes Brandão Janeiro de 2009

Normas de Segurança da Informação Processo de Certificação ISO 27001:2006. Ramon Gomes Brandão Janeiro de 2009 Normas de Segurança da Informação Processo de Certificação ISO 27001:2006 Ramon Gomes Brandão Janeiro de 2009 Agenda Elementos centrais da Seg. da Informação O Par ABNT:ISO 27001 e ABNT:ISO 17799 Visão

Leia mais

MBA Gestão da Tecnologia de Informação

MBA Gestão da Tecnologia de Informação MBA Gestão da Tecnologia de Informação Informações: Dias e horários das aulas: Segundas e Terças-feiras das 18h00 às 22h00 aulas semanais; Sábados das 08h00 às 12h00 aulas quinzenais. Carga horária: 600

Leia mais

Módulo 6. Todos os direitos de cópia reservados. Não é permitida a distribuição física ou eletrônica deste material sem a permissão expressa do autor.

Módulo 6. Todos os direitos de cópia reservados. Não é permitida a distribuição física ou eletrônica deste material sem a permissão expressa do autor. Módulo 6 Módulo 6 Desenvolvimento do projeto com foco no negócio BPM, Análise e desenvolvimento, Benefícios, Detalhamento da metodologia de modelagem do fluxo de trabalho EPMA. Todos os direitos de cópia

Leia mais

Análise de Riscos de Segurança da Informação. Prof. Paulo Silva UCEFF

Análise de Riscos de Segurança da Informação. Prof. Paulo Silva UCEFF Análise de Riscos de Segurança da Informação Prof. Paulo Silva UCEFF Roteiro 1. Conceitos Fundamentas de Seg. Informação 2. Identificação e Avaliação de Ativos 3. Identificação e Avaliação de Ameaças 4.

Leia mais

MODELOS DE MELHORES GOVERNANÇA DE T.I. PRÁTICAS DA. Prof. Angelo Augusto Frozza, M.Sc. http://about.me/tilfrozza

MODELOS DE MELHORES GOVERNANÇA DE T.I. PRÁTICAS DA. Prof. Angelo Augusto Frozza, M.Sc. http://about.me/tilfrozza MODELOS DE MELHORES PRÁTICAS DA GOVERNANÇA DE T.I. Prof. Angelo Augusto Frozza, M.Sc. http://about.me/tilfrozza MELHORES PRÁTICAS PARA T.I. MODELO DE MELHORES PRÁTICAS COBIT Control Objectives for Information

Leia mais

Gestão por Processos. Gestão por Processos Gestão por Projetos. Metodologias Aplicadas à Gestão de Processos

Gestão por Processos. Gestão por Processos Gestão por Projetos. Metodologias Aplicadas à Gestão de Processos Gestão por Processos Gestão por Projetos Gestão por Processos Gestão de Processos de Negócio ou Business Process Management (BPM) é um modelo de administração que une gestão de negócios à tecnologia da

Leia mais

OHSAS-18001:2007 Tradução livre

OHSAS-18001:2007 Tradução livre SISTEMAS DE GESTÃO DE SAÚDE E SEGURANÇA OCUPACIONAL - REQUISITOS (OCCUPATIONAL HEALTH AND SAFETY MANAGEMENT SYSTEMS - REQUIREMENTS) OHSAS 18001:2007 Diretrizes para o uso desta tradução Este documento

Leia mais

Material de Apoio. Sistema de Informação Gerencial (SIG)

Material de Apoio. Sistema de Informação Gerencial (SIG) Sistema de Informação Gerencial (SIG) Material de Apoio Os Sistemas de Informação Gerencial (SIG) são sistemas ou processos que fornecem as informações necessárias para gerenciar com eficácia as organizações.

Leia mais

Gestão de Incidentes de Segurança da Informação - Coleta de evidências

Gestão de Incidentes de Segurança da Informação - Coleta de evidências Gestão de Incidentes de Segurança da Informação - Coleta de evidências Incidente de SI Ação de Acompanhamento contra pessoa/organização Envolvendo ação legal (civil ou criminal) Evidências coletadas, armazenadas

Leia mais

NORMA NBR ISO 9001:2008

NORMA NBR ISO 9001:2008 NORMA NBR ISO 9001:2008 Introdução 0.1 Generalidades Convém que a adoção de um sistema de gestão da qualidade seja uma decisão estratégica de uma organização. O projeto e a implementação de um sistema

Leia mais

Gestão de Risco e Planejamento de Continuidade de Negócios

Gestão de Risco e Planejamento de Continuidade de Negócios 1. Introdução A Gestão de risco desempenha um papel crucial na proteção do acervo de informações da organização na era digital tendo em vista que as mesmas dependem cada vez mais de sistemas de tecnologia

Leia mais

A estrutura do gerenciamento de projetos

A estrutura do gerenciamento de projetos A estrutura do gerenciamento de projetos Introdução O Guia do Conhecimento em Gerenciamento de Projetos (Guia PMBOK ) é uma norma reconhecida para a profissão de gerenciamento de projetos. Um padrão é

Leia mais

MANUAL DE CONTROLES INTERNOS POLÍTICAS CORPORATIVAS

MANUAL DE CONTROLES INTERNOS POLÍTICAS CORPORATIVAS 8 - Política de segurança da informação 8.1 Introdução A informação é um ativo que possui grande valor para a COOPERFEMSA, devendo ser adequadamente utilizada e protegida contra ameaças e riscos. A adoção

Leia mais