Ledir Junior de Almeida Diretor da Divisão de Educação Profissional do Senac Distrito Federal

Transcrição

1

2 Fecomércio - Federação do Comércio Adelmir Araújo Santana Presidente do Conselho Regional do Senac Distrito Federal Departamento Regional Luiz Otávio da Justa Neves Diretor Regional do Senac Distrito Federal Ledir Junior de Almeida Diretor da Divisão de Educação Profissional do Senac Distrito Federal Faculdade de Tecnologia Senac do Distrito Federal Antonia Maria Ribeiro Rodrigues Diretora Geral e Acadêmica da Faculdade de Tecnologia Senac Distrito Federal Francimeire Galdino Bernardo Diretora Financeira e Administrativa da Faculdade de Tecnologia Senac Distrito Federal Composição do Conselho Editorial Revista Eletrônica Interatividade: gestão e tecnologia da Faculdade de Tecnologia Senac DF Profa. Ma. Antonia Maria Ribeiro Rodrigues Prof. Dr. Marcelo Felipe M. Persegona Prof. Me. Nasser Youssif Arabi Prof. Me. Luis Fernando Serique Prof. Me. Rogério Aparecido Silveira Prof. Me. Edilberto Magalhães Silva Profa. Esp. Juliana Olinda Martins Pequeno Prof. Esp. Rogério Gabriel Nogalha de Lima Profa. Ma. Anelise Pereira Shiler Prof. Dr. Máximo Pompermayer Profa. Esp. Marília de Assumpção Profa. Esp. Janaina Leonardo Garcia Prof. Esp. Carlos Manoel Lopes Rodrigues Profa. Ma. Suely Vieira Parrine Sant Ana Profa. Ma. Denise Maria dos Santos Paulinelli Raposo Prof. Esp. Douglas dos Santos de Almeida Prof. Me. Demóstenes Jonatas de Azevedo Junior Profa. Esp. Graciere Pinheiro Quinino Pereira Barroso Assessoria de Comunicação e Marketing: Ana Paula Gontijo Editora Responsável: Denise Maria dos Santos Paulinelli Raposo Revisão Geral: Jussara Helena Magalhães Editoração - Relações Institucionais: Juarez da Silva Aguiar Neto Projeto Gráfico e Diagramação: Tiago Ítalo Melo de Sousa Pinto Endereço: SEPS 703/903, lote A

3 R454 Revista Eletrônica Interatividade: gestão e tecnologia/faculdade de Tecnologia Senac do Distrito Federal. Vol.1, n.1, (2014). Brasília, Periodicidade: Semestral Texto em português. 1. Gestão periódicos. 2. Tecnologia periódicos. I. Faculdade de Tecnologia Senac do Distrito Federal. II. Título. CDU 658:002.6(05) A Revista Eletrônica Interatividade: gestão e tecnologia é uma publicação semestral. Os autores são responsáveis pelos artigos assinados. A reprodução poderá ser veiculada desde que citada a fonte.

4

5 Sumário Artigos

6 6 Ziriguidum nos Dados da Enfermagem: metodologia de tratamento de dados do Cofen 1 Marcelo F. M. Persegona, Gelson L. Albuquerque, João Carlos F. Souza, Neyson P. Freire, Matheus M. Cruz, Gedalias H. O. Valentin, Gustavo R. A. González RESUMO O ziriguidum é uma expressão brasileira para dizer que a união de forma harmoniosa de sons vai dar em samba (música). Dessa maneira, neste artigo, ziriguidum nos dados da Enfermagem brasileira é a utilização integrada e harmoniosa de vários softwares livres e de diversas bases de dados institucionais que permitem a extração de conhecimentos que serão utilizados na gestão e na criação de políticas públicas aplicadas à Enfermagem brasileira. Para a produção desses novos conhecimentos foram utilizados o banco de dados PostgreSQL com PostGIS, o Sistema Pentaho BI Suite e I3Geo. A utilização desses softwares nos dados da pesquisa possibilitou a construção de tabelas, gráficos, cartogramas temáticos e textos descritivos que foram incorporados no Relatório da Análise de dados das inscrições dos profissionais de enfermagem existentes nos Conselhos Regionais no ano de Os dados são provenientes das seguintes fontes: Conselho Federal de Enfermagem, 27 Conselhos Regionais de Enfermagem, Instituto Brasileiro de Geografia e Estatística (IBGE), Secretaria da Receita Federal, Ministério da Saúde e Ministério da Educação. Outro produto foi o LiveCD denominado de Atlas da Enfermagem. Nesse CD são apresentados os gráficos, tabelas e cartogramas temáticos e disponibilizado aos profissionais de enfermagem e ao meio acadêmico. Palavras-chave: Enfermagem, Softwares Livres, Sistemas de Informação Geográfica, Business Intelligence. ABSTRACT Ziriguidum is a Brazilian expression that may be translated as a mixture of harmonious sounds that ends up in samba. In such way, this article, Ziriguidum in Brazilian Nursing Database is the integrated and harmonious use of several free softwares and institutional databases that allow knowledge extraction to be applied in the management and creation of public policies applicable to Brazilian nursing. In order to develop such new knowledge, PostgreSQL with PostGIS, Pentaho BI Suite and I3Geo systems were employed. The appliance of such softwares on survey data resulted in tables, graphics, thematic cartograms and describing texts duly incorporated to the Analysis Report on professional nurse inscription data existent in Regional Nursing Councils during the year Such data was originated from the Federal Council of Nursing, 27 Regional Nursing Councils, as well as the Brazilian Institute for Geography and Statistics (IBGE), Brazilian Internal Revenue Secretary, Health Ministry and Education Ministry. A livecd named Nursing Atlas was also produced and its graphics, tables and thematic cartograms are available for use among nursing professionals and academic milieu. Keywords: Nursing, Free Software, Geographic Information Systems, Business Intelligence. 1 Artigo apresentado no VII CONGEP - Congresso Nacional de Gestão do Conhecimento na Esfera Pública e no 3rd Global TechMining Conference do Georgia Institute of Technology. Revista Interatividade: gestão e tecnologia, Brasília, v.1, n.1, p , jan/jun

7 7 Sistema COFEN/Conselhos Regionais de Enfermagem O Sistema Cofen/Conselhos Regionais de Enfermagem (Sistema Cofen/Conselhos Regionais) está composto de um Conselho Federal de Enfermagem (Cofen) localizado na cidade de Brasília/DF, 26 Conselhos Regionais de Enfermagem (Coren) localizados nas capitais de cada estado, no Distrito Federal e mais 107 subseções distribuídas pelo território nacional, como se pode ver no cartograma 1. Cartograma 1 Sistema Cofen/Conselhos Regionais de Enfermagem. Fonte: COFEN, Os pontos vermelhos do cartograma 1 representam os Conselhos Regionais e os pontos azuis representam as subseções, a estrela amarela representa o Cofen. A grande maioria dos Coren possui subseções localizadas em vários municípios para estarem mais próximos daqueles profissionais de enfermagem que não residem ou trabalham nas capitais. A responsabilidade pelos dados dos profissionais de enfermagem é dos Coren, cabendo ao Cofen a fiscalização e o acompanhamento da emissão das carteiras profissionais definitivas (BRASIL, 1973). Nesse cenário, os Sistemas de Informação, os canais de comunicação e as bases de dados são indispensáveis para a prestação do serviço de registro, cadastro, inscrição, emissão e controle das carteiras profissionais definitivas. Contudo, os dados transacionais contidos nas bases de dados dos Sistemas de Gestão de Profissionais de Enfermagem existentes nos Coren guardam informações e conhecimentos muito úteis para o Cofen e os Coren, no que se refere à gestão estratégica e inteligência de negócio. Revista Interatividade: gestão e tecnologia, Brasília, v.1, n.1, p , jan/jun

8 8 Os dados das bases de dados, uma vez tratados, ajudam a melhorar a qualidade do serviço prestado, a aprimorar as políticas públicas voltadas para a saúde pública brasileira e contribuem para o aumento da satisfação dos profissionais de enfermagem. 1. Infraestrutura A pesquisa utilizou os seguintes softwares livres a fim de montar a infraestrutura tecnológica para o Business Intelligence (BI): SGBD PostgreSQL: é um Sistema de Gerenciamento de Banco de Dados Relacional (SGBD) livre, que está licenciado sob licença BSD (Berkeley Software Distribution). Concorre no mercado de SGBD com sistemas proprietários, tais como Oracle, MS SQL Server e DB2 (PERSEGONA, 2010). PostGIS: é uma extensão do SGBD PostgreSQL que permite que objetos GIS (Sistemas de Informação Geográfica) sejam armazenados em banco de dados (PERSEGONA, 2010). Pentaho BI Suite: é um software de código aberto para inteligência empresarial. A solução cobre as áreas de extração, tratamento e limpeza de dados (ETL), assim como também relatórios, análise e mineração de dados (data mining). I3Geo (Interface Interativa para Internet de Ferramentas de Geoprocessamento): é um sistema desenvolvido pelo Ministério de Meio Ambiente (MMA) para utilização no Sistema Nacional de Informações de Meio Ambiente (Sinima). O I3Geo é um Sistema de Informações Geográficas (SIG) voltado para o ambiente Web que utiliza o software Mapserver+PHPMapscript para o processamento de dados geográficos e uma interface baseada na linguagem Javascript. A interação navegador-servidor é implementada via AJAX (PERSEGONA, 2010). Os dados utilizados para a criação do Data Warehouse (DW) da Enfermagem foram fornecidos pelos: o Conselhos Regionais de Enfermagem (Coren): os 27 Conselhos Regionais de Enfermagem fornecem os dados dos inscritos sob sua jurisdição. o Conselho Federal de Enfermagem (Cofen): integra os dados dos inscritos dos 27 Coren e das instituições parceiras (Secretaria da Receita Federal, INEP, DATASUS, IBGE). o Secretaria da Receita Federal/Ministério da Fazenda: fornece os dados atualizados de contato dos profissionais de enfermagem provenientes da Declaração de Imposto de Renda de Pessoa Física (IRPF). o INEP/Ministério da Educação (Instituto Nacional de Estudos e Pesquisas Educacionais Anísio Teixeira): fornece a lista de Instituições de Ensino Superior (IES), da qual se extrai Revista Interatividade: gestão e tecnologia, Brasília, v.1, n.1, p , jan/jun

9 9 a quantidade de cursos de enfermagem existentes no Brasil e a quantidade de vagas ofertadas por cada curso/instituição. o DATASUS/Ministério da Saúde (Departamento de Informática do Sistema Único de Saúde do Brasil): fornece o Cadastro Nacional de Estabelecimentos de Saúde (CNES), no qual está registrado onde os profissionais de enfermagem trabalham e quem são os representantes técnicos (RT). o Instituto Brasileiro de Geografia e Estatística (IBGE)/Ministério do Planejamento, Orçamento e Gestão (MPOG): fornece dados do Censo 2010, dados geográficos do Brasil Político e metodologia para identificação das áreas geográficas para agregação e desagregação dos dados. A figura 1 apresenta as fontes de dados utilizadas na criação do DW da Enfermagem. Figura 1 Esquema de integração de dados para a Base Nacional de Enfermagem. Fonte: Elaborado pelos autores a partir de dados da pesquisa. Revista Interatividade: gestão e tecnologia, Brasília, v.1, n.1, p , jan/jun

10 10 2. Metodologia Os dados dos 27 Corens foram encaminhados ao Cofen no formato de planilha eletrônica do MS Excel. A coleta de dados foi realizada no período de março a maio de A análise desses dados foi executada no período de junho a agosto de 2012, ver figura 2. Figura 2 Metodologia Ziriguidum para tratamento de dados do Cofen. Fonte: Elaborado pelos autores a partir de dados da pesquisa. A grande dificuldade na coleta de dados foi a inexistência, dentro do Sistema Cofen/Conselhos Regionais de Enfermagem, de um sistema único de Gestão dos Profissionais de Enfermagem. Cada Coren possui autonomia para contratar ou desenvolver sua própria solução de Tecnologia da Informação para essa finalidade (COFEN, 2011-a). A autonomia de aquisição e desenvolvimento de sistemas de gestão causa a proliferação de várias soluções incompatíveis entre si, por terem sido desenvolvidas com tecnologias diferentes, tais como linguagem de programação Delphi, Java, Visual Basic dentre outras, e com bases de dados também heterogêneas, tais como MS SQL Server de várias versões (2000, 2005 e 2008), Oracle, PostgresSQL, Access etc. Esses dois fatos já são suficientes para ilustrar a dificuldade de se realizar a integração de dados dos Corens em uma única base de dados da enfermagem brasileira (COFEN, 2011-b). Revista Interatividade: gestão e tecnologia, Brasília, v.1, n.1, p , jan/jun

11 11 Por esse motivo, foi realizada a normalização e a integração dos dados provenientes dos Corens em uma única base de dados no Cofen, o que deu origem ao Data Warehouse da Enfermagem. Para isso, utilizou-se o banco de dados PostgreSQL com extensão PostGIS utilizando o Sistema Pentaho BI Suite para fazer a carga de dados no DW. A escolha desse banco se fez levando em conta os seguintes critérios: ser uma solução em software livre; estar em consonância com as políticas e especificações técnicas constantes nos Padrões de Interoperabilidade de Governo Eletrônico e-ping; os servidores de aplicação e de banco de dados devem ter a capacidade de serem processados em diferentes arquiteturas de hardware, tendo em vista a necessidade de manter o princípio de independência de fornecedor; ter capacidade de representação dos dados na forma de cartogramas temáticos; os dados devem ser acessíveis e contemplar múltiplos formatos, em especial os suportados por padrões ODBC e JDBC, tendo em vista a necessidade de garantir interoperabilidade entre ambientes; possuir portabilidade e compatibilidade: o sistema deve ser projetado de forma a ser facilmente portado a outro banco de dados. Outra dificuldade identificada foi o conteúdo dos campos das diversas bases de dados dos Corens, nas quais são utilizados domínios de campos (preenchimento dos campos) sem um padrão uniforme pré-estabelecido. Cada Coren utiliza uma denominação própria. Dessa maneira, foi preciso padronizar os conteúdos dos campos, tais como: nome do Coren, categoria profissional, situação profissional, data de nascimento, data da inscrição, sexo, nacionalidade, estado civil e idade. Estes campos foram utilizados para a criação dos indicadores, gráficos e cartogramas. Além da atividade mencionada, também foi necessário padronizar os campos que fazem referência à dimensão espacial/geográfica dos dados para o padrão de geocódigo do IBGE. Os campos que tiveram de ser tratados foram: macrorregiões, UF e município. Após a integração e tratamento dos dados das 27 bases de dados dos Corens, obtivemos registros válidos. Desse universo de dados recebidos, nem todos se referiam a inscrições de profissionais de enfermagem ativos. Portanto, os profissionais não ativos foram retirados do universo da pesquisa. Foi aplicado um novo filtro para discriminar os registros em que estivessem os profissionais ativos. Depois dessa operação, o novo universo da pesquisa foi reduzido para inscrições de profissionais ativos. Entretanto, foi verificado que Revista Interatividade: gestão e tecnologia, Brasília, v.1, n.1, p , jan/jun

12 12 existiam dados duplicados e com o campo Nome do Profissional em branco. Para corrigir essa inconsistência dos dados, foi aplicado um novo filtro. Dessa forma, obteve-se o total de inscrições de profissionais de enfermagem ativos que representam o quantitativo total de inscrições de profissionais de Enfermagem em todo o Sistema Cofen que reúne todos os Conselhos Regionais de Enfermagem (Coren), os quais representam profissionais de Enfermagem cadastrados na base de dados (COFEN, 2012). Os cartogramas produzidos foram coloridos em degradê, para identificar o grupo de informações que representam e indicar o quartil no qual se encontra o dado. Os dados apresentados nas tabelas e gráficos sobre o número de inscrições de profissionais de enfermagem por habitante, obedeceu a relação estabelecida pela Organização Mundial da Saúde (OMS, 2006) que é de 1 profissional de enfermagem para habitantes. A fórmula utilizada para o cálculo foi: x = quantidade_ inscrições _ profissionais quantidade_ habi tan tes x1000 Figura 3 Fórmula para obtenção de proporção de profissionais de enfermagem para cada 1000 habitantes. Fonte: COFEN, A quantidade de habitantes de cada estado e região do Brasil foi obtida no Censo de 2010 do IBGE. A produção de cartogramas temáticos utilizou os shapesfiles produzidos pelo IBGE, os quais foram transformados em banco de dados geográfico no PostgreSQL com PostGIS. Foi utilizado como chave-primária de tabela o campo geocódigo, o qual identifica os objetos espaciais representados em um cartograma ou mapa. Nessa pesquisa, o geocódigo é o código de unidade geográfica do IBGE e segue uma fórmula de construção já existente nesse órgão do governo para a divisão territorial do Brasil, veja-se a figura 4 para se entender a construção do geocódigo. No DW da Enfermagem, os dados da malha territorial utilizam os dados de UF e Município para a construção do geocódigo, ou seja, seis dígitos. Revista Interatividade: gestão e tecnologia, Brasília, v.1, n.1, p , jan/jun

13 13 Figura 4 Formação do geocódigo do IBGE. Fonte: Malha Territorial Censo 2010, CETE/DGC/IBGE/MPOG. Outro campo utilizado é o the_geom, o qual armazena o conteúdo binário para desenhar o cartograma ou mapa em um Sistema de Informações Geográficas (SIG), denominado geocodificação. Esse campo guarda o objeto geográfico que será representado para análise espacial. Ele exprime a localização do objeto espacial com referências geográficas explícitas, por exemplo: uma IES e seu endereço postal, uma instituição de saúde identificada por sua latitude e longitude. A geocodificação é a operação que permite designar sem ambiguidade a localização de um objeto, de acordo com um sistema de referência comum ou geográfico preciso. A geocodificação é também a operação de atribuição automática ou manual de coordenadas geográficas ou códigos de identificação a um atributo de identificação de um conjunto de atributos de um dado objeto de estudo, de modo a garantir seu georreferenciamento e assim sua possível associação ao respectivo objeto espacial, em um SIG. No banco de dados geográfico, a geocodificação é um atributo de uma tabela do tipo geográfico. A seguir são descritos os comandos utilizados para montar as tabelas necessárias ao DW da Enfermagem. Os comandos utilizados foram aqueles para transformar shapefiles em arquivos SQL, os quais foram utilizados para dar carga ao DW. Os comandos 1 e 2 do PostgreSQL a baixo convertem os arquivos shapefiles em arquivos SQL para serem carregados no SGBD PostgreSQL. O primeiro comando gera um arquivo SQL que terá os comandos para criar o banco de dados e carregar a tabela br_area_censitaria_2010 no banco de dados. O comando 2 apenas carrega os dados do censo de 2010 das demais Unidades da Federação (UF) na tabela já criada. Comando 1 Cria e carrega uma tabela do SGBD PostgreSQL. Fonte: Elaborado pelos autores a partir de dados da pesquisa. shp2pgsql.exe s 4291 c I W latin1 c:\areas_censitarias\11see250gc_sir geo_dados.br_area_censitaria_2010 > c:\areas_censitarias\sql\11_area_censitaria_2010.sql Comando 2 Carrega dados na tabela já criada no SGBD PostgreSQL. Fonte: Elaborado pelos autores a partir de dados da pesquisa. Revista Interatividade: gestão e tecnologia, Brasília, v.1, n.1, p , jan/jun

14 14 shp2pgsql.exe s 4291 a W latin1 c:\areas_censitarias\11see250gc_sir geo_dados.br_area_censitaria_2010 > c:\areas_censitarias\sql\11_area_censitaria_2010.sql Para arquivos com tamanho acima de 100 Mb, faz-se necessário utilizar o comando 3 no painel de comando do PostgreSQL para carregar a tabela. Comando 3 Carrega dados no banco de dados já criado no SGBD PostgreSQL. Fonte: Elaborado pelos autores a partir de dados da pesquisa. psql.exe E U postgres cofen < c:\areas_censitarias\sql\31_area_censitaria_2010.sql Com o banco de dados criado e carregado, agora parte-se para a criação do Data Warehouse (DW) da Enfermagem. Para essa tarefa, foi utilizado o Sistema Pentaho BI Suite para integrar as diversas bases de dados, conforme apresentado na figura 5. Figura 5 Criação e carregamento do DW da Enfermagem utilizando o Pentaho BI Suite. Fonte: Elaborado pelos autores a partir de dados da pesquisa. A figura 6 apresenta o DW da Enfermagem criado e com as dimensões a se utilizar nas consultas. As tabelas br_estados e br_regioes são as tabelas que possuem os atributos geográficos. Revista Interatividade: gestão e tecnologia, Brasília, v.1, n.1, p , jan/jun

15 15 Figura 6 Data Warehouse da Enfermagem criado com o Pentaho BI Suite no SGBD PostgreSQL com PostGIS. Fonte: Elaborado pelos autores a partir de dados da pesquisa. A partir do momento que o DW estava criado e carregado, partiu-se para a sua integração com o I3Geo para representar os dados na forma de cartogramas temáticos. Mas antes foram realizados teste de desempenho das consultas a serem utilizadas para determinar a construção da melhor estrutura de consulta aos dados do DW. Foram realizados três testes. O primeiro foi uma consulta simples sem atributo geográfico à tabela categoria-profissional, a qual apresentou o tempo de execução de 1 (um) segundo para retornar como resposta 24 linhas, ver consulta 1. A segunda consulta é a mesma da primeira consulta acrescida do cruzamento com a tabela geo_região para acréscimo do atributo geográfico para obtenção de um cartograma temático, a qual apresentou o tempo de execução de 20 (vinte) minutos, ver consulta 2. A terceira consulta é a otimização da segunda consulta de maneira a reduzir o tempo de resposta, tendo na sua estrutura o atributo geográfico para obtenção do cartograma temático, veja-se a consulta 3. Esta última consulta teve o tempo de execução de 1,371 milissegundos, ou seja, menos de um segundo e meio. CONSULTA 2 - Consulta de dados com atributo geográfico. CONSULTA 1 - View de dados sem atributo geográfico SELECT teste2.categoria_profissional FROM inscricoes.teste2; SELECT fato_inscricao.fk_categoria, dim_categoria.categoria_profissional, fato_inscricao.fk_geo_regiao, br_regioes.nome, br_regioes.the_geom FROM inscricoes.fato_inscricao, inscricoes.dim_categoria, geo_dados.br_regioes WHERE fato_inscricao.fk_categoria = dim_categoria.pk_categoria AND fato_inscricao.fk_geo_regiao = br_regioes.gid GROUP BY fato_inscricao.fk_categoria, dim_categoria.categoria_profissional, br_regioes.nome, br_regioes.the_geom; CONSULTA 3 - View de dados com atributo geográfico SELECT teste2.categoria_profissional, br_regioes.sigla, br_regioes.nome, br_regioes.the_geom FROM inscricoes.teste2, geo_dados.br_regioes WHERE teste2.fk_geo_regiao = br_regioes.gid; O ganho do desempenho foi obtido com a separação do atributo geográfico da consulta. Para isso foi criada uma view (consulta) no SGBD PostgreSQL, que traz o resultado desejado Revista Interatividade: gestão e tecnologia, Brasília, v.1, n.1, p , jan/jun

16 16 sendo depois esse resultado cruzado com a tabela geográfica para acréscimo do atributo geográfico. Resultados Obtidos A utilização da infraestrutura tecnológica junto ao DW da Enfermagem permitiu confeccionar vários produtos, tais como: Base Nacional dos Profissionais de Enfermagem; Relatório dos dados dos profissionais de enfermagem, analisados anualmente; LiveCD denominado Atlas da Enfermagem; Informações sobre o universo de profissionais de enfermagem; Subsídios de informações e conhecimentos sobre a enfermagem brasileira para o processo decisório dos dirigentes do Sistema Cofen Conselhos Regionais de Enfermagem; Subsídios para confecção de políticas públicas de saúde e enfermagem. Os cartogramas 2, 3 e 4 apresentam as saídas georreferenciadas que a infraestrutura implementada tem capacidade de produzir, utilizando o DW e o SIG I3Geo. Dessa maneira, o cartograma 2 apresenta a quantidade de profissionais de enfermagem por macrorregião do Brasil. O cartograma 3 ilustra a quantidade de profissionais de enfermagem por estado e o cartograma 4 apresenta a quantidade de atendentes de enfermagem por estado. Cartograma 2 Total de inscrições de profissionais de enfermagem nas macrorregiões, em Fonte: COFEN, Cartograma 3 Total de profissionais de enfermagem por estados brasileiros, em Fonte: COFEN, Revista Interatividade: gestão e tecnologia, Brasília, v.1, n.1, p , jan/jun

17 17 Cartograma 4 Total de parteiras por estados brasileiros, em Fonte: COFEN, Outra forma de apresentação dos dados que a infraestrutura permite é a tabular, como pode ser visto na tabela 1. Tabela 1 Inscrições de profissionais de enfermagem por categoria no Brasil, em Categoria Profissional Quantidade de inscrições % Enfermeiro ,46% Técnico de Enfermagem ,50% Auxiliar de Enfermagem ,09% Atendente de Enfermagem ,93% Parteira 2 0,0001% Não Informado 285 0,02% Total ,00% Fonte: Elaborado pelos autores a partir de dados da pesquisa. Também é possível a produção de gráficos em diversos formatos (pizza, barras, colunas etc.), como pode ser observado no gráfico 1. Gráfico 1 Quantidade e porcentagem de inscrições de profissionais de enfermagem por categoria profissional no Brasil, em Fonte: Elaborado pelos autores a partir de dados da pesquisa. Revista Interatividade: gestão e tecnologia, Brasília, v.1, n.1, p , jan/jun

18 18 Considerações Finais O Conselho Federal de Enfermagem é o maior conselho de classe do Brasil, com inscrições de profissionais ativos no Sistema Cofen - Conselhos Regionais de Enfermagem, os quais representam profissionais de Enfermagem cadastrados na base de dados de A metodologia Ziriguidum do Cofen para tratamento de dados utilizou softwares livres para a montagem da infraestrutura do Data Warehouse da Enfermagem. Os softwares utilizados foram o PostgreSQL versão 9.1 com PostGIS, Pentaho BI Suite versão CE e I3Geo versão 4.6. Os softwares livres viabilizam a implementação de infraestruturas de TIC sofisticadas para realização de análise de Business Intelligence (BI) que nas plataformas proprietárias seriam inviáveis devido ao alto custo de aquisição dos softwares e das licenças necessárias. A grande quantidade de dados e sua distribuição pelos 27 Conselhos Regionais de Enfermagem fazem com que o trabalho de integração dessas bases de dados seja árduo. Por essa razão, a utilização de softwares especialistas integrados com metodologias avançadas de tratamentos de dados é muito útil para obtenção de respostas e visões dos dados inovadoras que permitem a explicitação de relacionamentos e conhecimentos ocultos na massa de dados dos diversos bancos existentes no Sistema Cofen- Conselhos Regionais de Enfermagem e nos diversos órgãos governamentais. Sem o tratamento adequado da massa de dados, a única coisa que se obtém é a infointoxicação (PERSEGONA, PERSEGONA, 2009). Em algumas situações, os dados tabulares dos sistemas (relatórios e telas) não são suficientes para representar situações do mundo real de forma completa e visual. E daí a necessidade de usar a forma de cartogramas temáticos que ajuda na representação de grandes volumes de dados e permite a percepção de conhecimentos e informações que geralmente estão ocultos nessas massas de dados. Dentre as diversas dificuldades e desafios da implantação do DW da Enfermagem está o processamento de consultas espaciais, haja vista que o atributo geográfico costuma ser um dado muito pesado para ser processado. Por esse motivo, foram realizados testes de desempenho de consultas para encontrar uma estrutura que apresentasse velocidade no seu processamento e, ao mesmo tempo, permitisse ser utilizada para obtenção de cartogramas temáticos no I3Geo. A solução foi a criação de view dos dados de interesse no DW e depois relacionar essa view com a tabela geográfica para agregação do atributo geográfico correspondente à dimensão espacial da qual se deseja o cartograma temático. No exemplo Revista Interatividade: gestão e tecnologia, Brasília, v.1, n.1, p , jan/jun

19 19 apresentado neste artigo, conseguiu-se reduzir o tempo de processamento de 20 minutos para menos de 1,5 segundos. Além disso, o uso de um Sistema de Informações Geográficas (SIG) possibilita entender melhor o comportamento de cidades, regiões e países, pela representação visual dos dados tabulares e a percepção de tendências que no formato textual não seriam percebidas devido ao grande volume de dados a ser analisado. Referências BRASIL. Software Livre. Brasília: ITI, s/d.. Lei nr /73, de 12 de julho de Dispõe sobre a criação dos Conselhos Federal e Regionais de Enfermagem e dá outras providências. Disponível em: < Acessado em: 10/08/ Lei nr /86. Dispõe sobre a regulamentação do exercício da Enfermagem e dá outras providências. Disponível em: < junho normaatualizada-pl.pdf>. Acessado em: 2/08/2012. COFEN. Resolução Cofen nr. 372/2010, de 20 de outubro de Aprova e adota o Manual de Procedimentos Administrativos para Registro e Inscrição dos Profissionais de Enfermagem e dá outras providências. Brasília: Cofen, Análise de dados dos profissionais de enfermagem existentes nos Conselhos Regionais. Brasília: Cofen, 2011-a.. 2ª Pesquisa sobre a Infraestrutura de Tecnologia da Informação e Comunicação dos Conselhos Regionais de Enfermagem. Brasília: Cofen, 2011-b.. 2ª Análise de dados dos profissionais de enfermagem existentes nos Conselhos Regionais. Brasília: Cofen, IBGE. Primeiros dados do Censo Rio de Janeiro: IBGE/Coordenação de População e Indicadores Sociais, Disponível em: < Acessado em: 08/03/2011. OMS. Relatório Mundial de Saúde 2006: Trabalhando juntos pela Saúde/Organização Mundial de Saúde. Brasília: Ministério da Saúde, Disponível em: < Acessado em: 21/03/2011. PERSEGONA, M. F. M. Cadastro Nacional de Inadimplentes Ambientais: Fundamentos e Modo de Operação Tese (Doutorado em Política e Gestão Ambiental) Centro de Desenvolvimento Sustentável, Universidade de Brasília, Brasília. PERSEGONA, M. F. M. e PERSEGONA, A. L. M. Os segredos do Google: Como fazer uma pesquisa inteligente na Internet. Brasília: IP Consultoria, Revista Interatividade: gestão e tecnologia, Brasília, v.1, n.1, p , jan/jun

20 20 Autores Marcelo F. M. Persegona é cientista da computação e doutor em Desenvolvimento Sustentável Conselho Federal de Enfermagem. Contato: marcelo.persegona@gmail.com Gelson L. Albuquerque é enfermeiro e doutor em Filosofia da Enfermagem Conselho Federal de Enfermagem. Contato: gelsonalbuquerque@yahoo.com.br João Carlos F. Souza, é estatístico e doutor em Economia Universidade de Brasília. Contato: jocafs@unb.br Neyson P.Freire é graduado em Comunicação Conselho Federal de Enfermagem. Contato: neysonfreire@gmail.com Matheus M. Cruz é engenheiro de telecomunicações e especialista em Gestão da Tecnologia da Informação Conselho Federal de Enfermagem. Contato: matheusuai@gmail.com Gedalias H.O.Valentin é analista de sistemas e graduado em Analista de Sistemas Conselho Federal de Enfermagem. Contato: gedalias@gmail.com Gustavo R.A. González é administrador e especialista em Métodos Estatísticos Computacionais Conselho Federal de Enfermagem. Contato: gonzalezbsb@gmail.com Revista Interatividade: gestão e tecnologia, Brasília, v.1, n.1, p , jan/jun

21 21 A Utilização da Criptografia em Planos de Continuidade do Negócio: relacionamento com o COBIT 4.1, ITIL V3 e ISO/IEC :2005 e aplicação sob a égide da classificação da informação. Leonardo A. Rodrigues, Robson M. Alves, Edilberto M. Silva RESUMO A grande importância da tecnologia nos dias atuais para o suporte às atividades coorporativas reflete-se na necessidade de técnicas de gerência proporcionadas pela aplicação de um PCN - Plano de Continuidade de Negócio - e frameworks relacionados. Explana-se o PCN, os frameworks ITIL V3, COBIT 4.1, ISO/IEC 27002:2005 e demonstram-se as suas interações, com foco em aspectos que envolvam a criptografia. Comprova-se a força computacional dos sistemas criptográficos apresentados com o objetivo de permitir uma maior compreensão da segurança proporcionada por eles. Por fim, propõe-se o uso de sistemas criptográficos de acordo com a classificação da informação e relaciona-se isso ao possível futuro poder de processamento. Palavras-chave: Criptografia, plano de continuidade de negócios, COBIT 4.1, ISO/IEC :2005 ABSTRACT The great importance of technology today to support corporate activities reflects the need for management techniques offered by the implementation of a BCP - Business Continuity Plan and related frameworks. We explain the BCP and frameworks ITIL V3, COBIT 4.1 and ISO/IEC 27002:2005 and demonstrate their interactions, focusing on aspects that involve encryption. Then we prove the computational strength of cryptographic systems presented in order to allow a better understanding of the security provided by them. Finally, we propose the use of cryptographic systems according to the classification of information and relate it to possible future processing power. Palavras-chave: Encryption, Business Continuity Plan, COBIT 4.1, ISO/IEC :2005 Introdução A única vantagem que uma empresa tem é o que ela coletivamente sabe, aliado à eficiência com que ela usa esses conhecimentos e à prontidão com que ela adquire e usa novos conhecimentos. (DAVENPORT e PRUSAK, 2003). O conhecimento é o principal ativo organizacional e sua gestão é estratégica, pois é por meio dele que as organizações se tornam Revista Interatividade: gestão e tecnologia, Brasília, v.1, n.1, p , jan/jun

22 22 competitivas. (JASPER, 2009). Destarte é de grande importância a realização de procedimentos para a proteção desses conhecimentos. A implantação de um Plano de Continuidade de Negócio é importante, pois segundo (SILVA, 2010), trata-se de uma metodologia elaborada para garantir a recuperação de um ambiente de produção, independentemente de ocorrências que suspendam suas operações e dos danos nos componentes softwares, hardware, infraestrutura, etc. por ele utilizados. De acordo com (SILVA, 2011), o processo de classificação da informação consiste em identificar quais são os níveis de proteção que as informações demandam e estabelecer classes e formas de identificá-las. Além de determinar os controles de proteção necessários a cada uma delas. Será primordial a aplicação de um processo de classificação da informação para que sejam, assim, definidos os níveis de segurança necessários para a organização. A produção deste artigo será realizada através de revisão literária e tratará do controle proporcionado pela interação entre o Plano de Continuidade de Negócio, o ITIL V3, o COBIT 4.1, a ISO/IEC :2005 e o Decreto 4.553/2002, com foco nos aspectos criptográficos da segurança da informação. O uso de sistemas criptográficos que ofereçam a segurança necessária para a manutenção do sigilo de acordo com o nível da classificação da informação é de grande importância, visto que os custos criptográficos computacionais estão relacionados com a complexidade dos algoritmos e da chave usada na criptografia. Como o nível de segurança na classificação da informação pode ser aumentado tanto pela necessidade de confidencialidade quanto pela disponibilidade, devem ser usados algoritmos criptográficos, tamanhos e complexidades de chaves que atendam essas exigências, a fim de garantir o emprego de um custo computacional proporcional à necessidade de segurança. Assim, ao final, serão feitas algumas sugestões que orientam a adoção de algoritmos criptográficos e tamanhos de chaves, de acordo com a classificação da informação. Criptografia A criptologia é a área de conhecimento em que estão reunidos os estudos da criptografia e da criptoanálise. (OLIVEIRA, 2005). Nela estão inclusos conhecimentos de diversas ciências, como matemática e filosofia, necessários aos estudos da criptografia, esteganografia, e criptoanálise (JASPER, 2009). Revista Interatividade: gestão e tecnologia, Brasília, v.1, n.1, p , jan/jun

23 23 A criptografia se desenvolveu ao longo da história, e tem o seu nome devido à junção das palavras Kryptos (oculto) e Graphin (escrita), sendo a criptografia a ciência que se dedica ao estudo das escritas secretas. A partir do pressuposto de que a criptografia é a ciência que se dedica a tornar as mensagens ininteligíveis, percebe-se que ela é de grande importância para o tráfego de mensagens sigilosas em que somente as partes autorizadas podem ter acesso ao seu conteúdo. Uma regra fundamental da criptografia é que se deve supor que o criptoanalista conhece os métodos genéricos de criptografia e descriptografia que são utilizados (TANENBAUM, 2003). O uso de um algoritmo secreto seria muito complicado, pois algoritmos são de difícil criação, necessitando de muito esforço e tempo que pode chegar a alguns anos. Assim, a adoção de chaves é uma solução, já que a chave pode ser facilmente substituída sempre que necessário. A chave consiste em uma string relativamente curta que seleciona uma das muitas formas possíveis de criptografia (TANENBAUM, 2003). Se o sigilo de um criptograma está na chave, o seu tamanho é uma questão muito importante para a dificuldade na descriptografia. Assim, infere-se que o grau de segurança de uma informação criptografada está diretamente relacionado com a segurança proporcionada pelo algoritmo de criptografia, bem como com o tamanho da chave usada. Para que um algoritmo de criptografia possa ser considerado seguro, a sua força deverá estar concentrada, acima de tudo, na força da chave de criptografia. Destarte, é indicado o uso de processos criptográficos mais complexos, porém mais custosos para informações de nível de classificação mais elevada. Plano de Continuidade de Negócios Segundo (ISO GRUPO DE SEGURANÇA DA INFORMAÇÃO, 2011) As operações de negócio das empresas estão, em sua grande maioria, baseadas em serviços e recursos de Tecnologia da Informação. Este cenário se tornou tão crítico, que temos inclusive frameworks e boas práticas que tratam o alinhamento dos negócios com o alinhamento da Tecnologia da Informação.[...] O Plano de Continuidade de Negócios, mais conhecido como PCN, tem por objetivo principal ser um documento que auxilia a organização no tratamento de desastres, tentando diminuir perdas, oferecendo mais disponibilidade, segurança e Revista Interatividade: gestão e tecnologia, Brasília, v.1, n.1, p , jan/jun

24 24 confiabilidade na TI para que suporte com valor e qualidade o negócio da organização. Segundo (SEMOLA, 2003) o PCN (Plano de Continuidade de Negócios) ou BCP (Business Continuity Planning) envolve a Análise de Impacto de Negócios e os planos de contingência, a saber o de Administração de Crises (PAC), de Recuperação de Desastres (PRD) e de Continuidade Operacional (PCO). Dessa forma, o Plano de Continuidade de Negócios deverá estar alinhado com o COBIT 4.1, o ITIL V3 e a ISO/IEC :2005 a fim de proporcionar a aplicabilidade das técnicas de criptografia para a garantia da segurança da informação. A Relação entre a Criptografia e o ITIL V3, COBT 4.1 e a ISO/IEC :2005 Em 2008, a ISACA (COBIT) e a OGC (ITIL) publicaram um trabalho deveras importante para nossa disciplina, quiçá para nosso papel de gestores de TI e de segurança. Trata-se do documento Aligning COBIT 4.1, ITIL V3 and ISO/IEC 27002:2005 for Business Benefit, que trata do alinhamento do COBIT 4.1, ITIL V3 e ISO/IEC 27002:2005 para Benefício Empresarial. O ITIL (Information Technology Infrastructure Library) é um conjunto de melhores práticas para a gestão de serviços em TI e para o alinhamento dessa área com os negócios da empresa (TIMASTER, 2011). O COBIT é um guia para a gestão de TI recomendado pelo ISACF (Information Systems Audit and Control Foundation, O COBIT é orientado ao negócio. Fornece informações detalhadas para gerenciar processos baseados em objetivos de negócios (FAGUNDES, 2012). A norma ISO/IEC 27002:2005 é um padrão internacional sobre as boas práticas na Gestão da Segurança da Informação, que levam empresas ao nível máximo de excelência internacional em Segurança da Informação 2. Nos tópicos seguintes, é feita uma comparação entre processos desses frameworks que abordam a criptografia na segurança da informação. 2 DATASECUR. ISO Disponível em: Acesso em 26 abr Revista Interatividade: gestão e tecnologia, Brasília, v.1, n.1, p , jan/jun

25 25 Objetivo de controle COBIT 4.1 PO 4.8: Responsabilidade por Riscos, Segurança e Conformidade. Relaciona-se ao item 6.4 de Desenho de Serviço do ITIL V3, que trata das regras e responsabilidades da segurança da informação. Possui amparo na ISO/IEC :2005, no tópico , que trata da proteção de dados e privacidade para informações pessoais e no tópico , que trata da Regulação de Controles Criptográficos. Tabela 1: Domínio PO4.8 Planejar e Organizar. CobiT 4.1 Domain: Plan and Organise (PO) PO4 Define the IT Processes, Organisation and Relationships Cobit 4.1 Control Objective Key Areas ITIL V3 Supporting Information ISO/IEC 27002:2005 Supporting Information PO4.8 Responsability for risk, Ownership of it risks in the business; SD 6.4 Roles and Data protection and security and compilance Roles for managing critical risks; responsibilities. privacy of personal Enterprisewide risk and security management; information; System-specific security; Regulation of Direction on risk appetile and acceptance of residual cryptographic controls. risks. Fonte: [5] Objetivo de controle COBIT 4.1 PO 6.2: Risco de TI Coorporativo e Estrutura Interna de Controle. O processo 6.2 do COBIT 4.1 possui alinhamento com a ISO/IEC :2005, no item , que tem como foco a Política de Uso dos Controles Criptográficos. Não possui relacionamento com nenhum item do ITIL V3. Tabela 2: Domínio PO6.2 Planejar e Organizar. CobiT 4.1 Domain: Plan and Organise (PO) PO6 Communicate Management Aims and Direction Cobit 4.1 Control Objective PO6.2 Enterprise IT risk and control framework. ISO/IEC 27002:2005 Supporting Information Policy on the use of cryptographic controls Fonte: (ISACA, 2008) Objetivo de controle COBIT 4.1 AI 2.4: Segurança e Disponibilidade do Aplicativo. Revista Interatividade: gestão e tecnologia, Brasília, v.1, n.1, p , jan/jun

26 26 Relaciona-se ao item de Desenho de Serviço do ITIL V3, que trata do Desenho de Soluções de Serviço, e ao item , de Operação de Serviço do ITIL V3, que trata de Erros Detectados no Ambiente de Desenvolvimento. Possui amparo na ISO/IEC :2005, no tópico , que trata das Políticas no uso de Controles Criptográficos. Tabela 3: Domínio AI2.4 Adquirir e Implementar. CobiT 4.1 Domain: Acquire and Implement (AI) AI2 Acquire and Maintain Application Software Cobit 4.1 Control Objective Key Areas ITIL V3 Supporting Information ISO/IEC 27002:2005 Supporting Information AI2.4 Application security and Security and availability SD Designing service Policy on the use of availability requirements addressed solutions. cryptographic controls SO Errors detected in the development environment Fonte: (ISACA, 2008) Objetivo de controle COBIT 4.1 DS 5.8: Gestão de Chave Criptográfica. Tabela 4: Domínio DS5.8 Entregar e Suportar. CobiT 4.1 Domain: Deliver and Support (DS) DS5 Ensure Systems Security Cobit 4.1 Control Objective Key Areas ITIL V3 Supporting Information DS5.8 Cryptographic key management Life-cycle management of cryptographic keys ISO/IEC 27002:2005 Supporting Information Policy on the use of cryptographic controls Fonte: (ISACA, 2008) Tabela 5: Relação do Domínio DS5.8 com ISO/IEC :2005. CobiT 4.1 Domain: Deliver and Support (DS) DS5 Ensure Systems Security Cobit 4.1 Control Objective DS5.8 Cryptographic key management ISO/IEC 27002:2005 Supporting Information Electronic messaging Message integrity Policy on the use of cryptographic controls Key management Regulaion of cryptographic controls. Fonte: (ISACA, 2008) Revista Interatividade: gestão e tecnologia, Brasília, v.1, n.1, p , jan/jun

27 27 Como descrito nas tabelas acima e compilado no mapa mental apresentado na Figura 1, verifica-se como, em relação à criptografia, estão fortemente relacionados os frameworks COBIT 4.1, ITIL V3 e a norma ISO/IEC :2005. Figura 1: Mapa Mental com Resumo dos Relacionamentos. Observa-se a partir do mapa mental que o COBIT 4.1, em seu objetivo de controle DS 5.8, possui o maior número de relacionamentos cinco juntamente com o item da ISO/IEC :2005. Conclui-se, com isso, que são fatores que necessitam de prioridade ao serem tratados e analisados no Plano de Continuidade de Negócios. O objetivo de controle DS 5.8 trata da Gestão de Chave Criptográfica e visa: Assegurar que sejam estabelecidos políticas e procedimentos de geração, mudança, revogação, destruição, distribuição, certificação, armazenamento, inserção, uso e arquivamento das chaves criptográficas visando proteger contra sua modificação ou revelação pública não autorizada. A ISO/IEC :2005 define em seu item , que trata da Política para uso de Controles Criptográficos, que: Convém que seja desenvolvida e implementada uma política para o uso de controles criptográficos para a proteção da informação. [ ] Identificação do nível requerido de proteção com base em uma análise/avaliação de riscos, levando em consideração o tipo, a força e a qualidade do algoritmo de criptografia requerido. [ ] Controles criptográficos podem ser usados para alcançar diversos objetivos de segurança, como, [...] confidencialidade, usando a criptografia da informação para proteger informações sensíveis ou críticas, armazenadas ou transmitidas; Integridade/autenticidade, usando assinaturas digitais ou códigos de autenticação de mensagens (MAC) para proteger a autenticidade e integridade de informações sensíveis ou críticas, armazenadas ou transmitidas; [ ] o nãorepúdio: usando técnicas de criptografia para obter prova da ocorrência ou não ocorrência de um evento ou ação. Convém que a tomada de decisão para verificar se uma solução de criptografia é apropriada seja vista como parte de um processo de análise/avaliação de riscos e seleção de controles mais amplos. Essa avaliação pode, então, ser usada para determinar se um controle criptográfico é apropriado, que tipo de controle seja usado e para que propósito e processos de negócios. [ ] Uma política sobre o uso de controles criptográficos é necessária para maximizar os benefícios e minimizar os riscos do uso de técnicas criptográficas para evitar o uso incorreto ou inapropriado. [ ] Revista Interatividade: gestão e tecnologia, Brasília, v.1, n.1, p , jan/jun

28 28 Ressalta-se que a abordagem da ISO/IEC :2005, em seu item recomenda a identificação do nível apropriado para a proteção e que sejam definidas as especificações aplicáveis ao nível requerido de proteção. Para tanto, o Decreto 4553/2002 trata da classificação da informação que será detalhada no tópico a seguir. Classificação da Informação O Decreto 4553/2002 dispõe sobre a salvaguarda de dados, informações, documentos e materiais sigilosos de interesse da segurança da sociedade e do Estado. 3 De acordo com (SILVA, 2010), baseado no citado Decreto, pode-se realizar a seguinte classificação da informação: Tabela 6: Classificação da Informação. Tipo Descrição Duração Ostensivos Reservados Confidenciais Secretos Ultra-Secretos Sem classificação, cujo acesso pode ser franqueado a qualquer interessado. Dados ou informações cuja revelação não autorizada possa comprometer planos, operações ou objetivos neles previstos ou referidos. Dados ou informações que, no interesse do Poder Executivo e das partes, devam ser de conhecimento restrito e cuja revelação não autorizada possa frustrar seus objetivos ou acarretar dano à segurança da sociedade e do Estado. Dados ou informações referentes a sistemas, instalações, programas, projetos, planos ou operações de interesse da defesa nacional, a assuntos diplomáticos e de inteligência e a planos ou detalhes, programas ou instalações estratégicos, cujo conhecimento não autorizado possa acarretar DANO GRAVE à segurança da sociedade e do Estado. Dentre outros, dados ou informações referentes à soberania e à integridade territorial nacionais, a planos e operações militares, às relações internacionais do País, a projetos de pesquisa e desenvolvimento científico e tecnológico de interesse da defesa nacional e a programas econônicos, cujo conhecimento não autorizado possa acarretar DANO EXCEPCIONALMENTE GRAVE à segurança da sociedade e do Estado. Máximo de 5 anos Máximo de 10 anos Máximo de 20 anos Máximo de 30 anos Fonte: (SILVA,2010) O Uso de Chaves em Relação à Classificação da Informação 3 BRASIL. Decreto nº 4553/2002, de 27 de dezembro de Revista Interatividade: gestão e tecnologia, Brasília, v.1, n.1, p , jan/jun

29 29 Como visto anteriormente, o tamanho da chave é o fator mais relevante na segurança dos dados criptografados. Desta forma, é importante o uso de uma chave que garanta a segurança dos dados protegidos. Todavia, o uso de chaves excessivamente grandes pode comprometer o desempenho do sistema. Assim, o uso de chaves grandes não deve ser adotado como uma forma incondicional, mas como um procedimento escalável. De acordo com a evolução do poder de processamento dos computadores, pode-se prever o período aproximado de resistência para uma chave. Com isso, não é plausível o uso de uma chave que garanta segurança de apenas 20 anos para a proteção de uma informação ultra secreta e nem tampouco útil o uso de uma chave que garanta a segurança por 30 anos de uma informação reservada. Observando esses fatores, sugere-se o uso da tabela a seguir, como referencial: Tabela 7: Classificação da Informação. Tipo Tamanho da Chave Duração Ostensivos Não é necessário garantir a confidencialidade. Reservados Recomenda-se o uso do Rijndael 4 com 128 bits. Máximo de 5 anos Confidenciais Reomenda-se o uso do Rijndael com 128 bits. Máximo de 10 anos Secretos Recomenda-se o uso do Rijndael com 196 bits. Máximo de 20 anos Ultra-Secretos Recomenda-se o uso do Rijndael com 256 bits. Máximo de 30 anos Conclusão No gráfico abaixo, que apresenta uma estimativa do poder de processamento durante os próximos anos, pode-se observar que em 1976 um supercomputador possuía a capacidade de processamento de 250 MFLOPS e em 1999, MFLOPS (2,3TFLOPS). 4 ¹ Rijndael é o algoritmo de criptografia que venceu o processo de seleção do NIST (National Institute of Standards and Technology). Disponível em: artigos/06_nov_00.html Revista Interatividade: gestão e tecnologia, Brasília, v.1, n.1, p , jan/jun

30 30 Figura 2: Evolução do poder de processamento dos supercomputadores, desde a adoção do DES até a sua quebra. Levando em conta a evolução desse poder de processamento e o tamanho da chave usada no DES, de apenas 56 bits, pode-se perceber que não é comum a quebra da chave / algoritmo de criptografia. Considerando que em 2010 o supercomputador chamado Tinhae-1A desenvolvido na China, atual campeão de processamento, possuía uma capacidade de processamento da ordem de 2.5 PFLOPS ( MFLOPS), que equivale a vezes o poder de processamento do supercomputador de 1979, e considerando que a cada 2 anos o supercomputador dobra o seu poder computacional, pode-se projetar, de acordo com a Figura 3, o seguinte gráfico para a classificação da informação, a partir de 2011: Figura 3: Projeção da evolução do poder de processamento dos computadores para até 30 anos da data atual. Observa-se que a chave de 56 bits do DES sobreviveu por 20 anos e que a complexidade para a quebra das chaves cresce exponencialmente em base 2: Revista Interatividade: gestão e tecnologia, Brasília, v.1, n.1, p , jan/jun

31 de possibilidades (Quebrado por 2,3 TFLOPS) de possibilidades de possibilidades Tendo sido quebrada a chave de 56 bits em uma era em que o supercomputador possuía o poder de processamento de 2,3 TFLOPS, pode-se projetar a quebra das chaves de 128 para quando os supercomputadores puderem processar cerca de de vezes mais poder de processamento, ou seja, ,6 Yottaflopes (ainda não existe unidade de medida superior ao Yotta 5 ). Colocando na escala temporal a evolução dos supercomputadores, pode-se considerar que esta chave (128 bits) provavelmente será quebrada em 2135 quando o supercomputador atingir o poder de processamento de Yottaflopes. Todavia, não são consideradas nesses cálculos, mudanças arquiteturais dos computadores que proporcionem modificações sistemáticas na forma de descobrir as chaves, nem o uso de computadores quânticos. Faz-se a análise evolutiva, a partir dos modelos atuais. Entretanto, isso não compromete o objetivo do trabalho, pois ele se funda em demonstrar a capacidade da chave para períodos pequenos de até 30 anos. Portanto, a sugestão das chaves está adequada à nossa atual realidade (2011), sendo esta proposição capaz de permitir a garantia da segurança da informação pelo período desejado, de acordo com a classificação da informação, ou até mesmo maior. Referências DAVENPORT, T. H. e PRUSAK, L. Conhecimento Empresarial. Rio de Janeiro: Campus, FAGUNDES, Eduardo Mayer. COBIT Um kit de ferramentas para a excelência de TI. 25 de abril de Disponível em: Acesso em 26 abr ISACA. Aligning-COBIT 4.1, ITILV3 and ISO27002 for Business Benefit. 8 de novembro de Disponível em: Center/Research/Documents/Aligning-COBIT,ITILV3,ISO27002-Bus-Benefit-12Nov08- Research.pdf. Acesso em: 7/04/ Yotta = 1000 Zetta, 1 Zetta = 1000 Exa, 1 Exa = 1000 Peta, 1 Peta = 1000 Tera, 1 Tera = 1000 Giga, 1 Giga = 1000 Mega. Revista Interatividade: gestão e tecnologia, Brasília, v.1, n.1, p , jan/jun

32 32 ISO GRUPO DE SEGURANÇA DA INFORMAÇÃO. A importância do Plano de Continuidade de Negócios. Disponível em: &catid=34:seginfartgeral&itemid=53. Acesso em: 06 abr JASPER, Nichols Aron. História, Técnicas e Classificação de Algoritmos Esteganográficos. São Paulo: FATEC-SP, LEMOS, M. Criptografia, números primos e algoritmos. IMPA: Rio de Janeiro, NONAKA, I. e TAKEUCHI, H. Criação de conhecimento na empresa: Como as empresas japonesas geram a dinâmica da inovação. Rio de Janeiro: Campus, OLIVEIRA, B. G. Fundamentos da Criptologia. Parte 1 Introdução e Histórias. GRIS Grupo de Resposta a Incidentes de Segurança. Departamento de Ciência da Computação. Universidade Federal do Rio de Janeiro SEMOLA, M. Gestão da segurança da informação. São Paulo: Campus, SILVA, Aldo. Classificação da Informação. 8 de dezembro de Disponível em: Acesso em 09 abr SILVA, Aldo. Gestão de Continuidade de Negócios. 17 de novembro de Disponível em: Acesso em 09 abr SILVA, Edilberto M. Políticas de Segurança e Planos de Continuidade de Negócios. Texto base da disciplina da Pós-Graduação Segurança da Informação FACSENAC/DF, Disponível em: Acesso em: 09 abr SVEIBY, K. E. A nova riqueza das organizações: Gerenciando e avaliando patrimônios de conhecimento. Rio de Janeiro: Campus, TANENBAUM, A. S. Redes de Computadores. Rio de Janeiro: Campus, TIMASTER. O ITIL é para todos. Disponível em: Acesso em 27 abr Autores Leonardo A. Rodrigues é especialista em Segurança da Informação, Facsenac - DF, Brasília- DF. Contato: leounnamedh@gmail.com Robson Magalhães Alves é especialista em Segurança da Informação na FacSenac DF. Contato: teacher.robsonalves@gmail.com Edilberto M. Silva é mestre em Engenharia Elétrica pela Universidade de Brasília e em Gestão do Conhecimento e da Tecnologia da Informação pela Universidade Católica de Brasília. Docente de graduação e de Pós-Graduação FacSenac - DF. Contato: edilms@yahoo.com Revista Interatividade: gestão e tecnologia, Brasília, v.1, n.1, p , jan/jun

33 33 O Endomarketing como Ferramenta de Motivação em uma Empresa O Endomarketing como Ferramenta Contábil de Motivação em uma Empresa Contábil Marcia R. S. M Amaral,. Hellen C. L Barbosa, Bruna M. L. Guedes, Viniele P. P. Prissinote, Carmem R. A. Silva, Patrícia A. Azevedo Marcia R. S. M Amaral,. Hellen C. L Barbosa, Bruna M. L. Guedes, Viniele P. P. Prissinote, Carmem R. A. Silva, Patrícia A. Azevedo RESUMO Este RESUMO artigo tem o objetivo de evidenciar a importância do Endomarketing como uma ferramenta estratégica capaz de promover a motivação nos colaboradores. Analisamos uma empresa Este de artigo contabilidade tem o que objetivo com o de intuito evidenciar de aumentar a importância a produtividade do Endomarketing e agregar valor como aos uma serviços, ferramenta através de estratégica um maior capaz comprometimento de promover do a motivação seu público nos interno, colaboradores. aplicou estratégias Analisamos de uma Endomarketing empresa de com contabilidade ações dirigidas que com ao o público intuito de interno aumentar que a refletiram produtividade no comportamento e agregar valor aos desse serviços, público trazendo através de benefícios. um maior comprometimento do seu público interno, aplicou estratégias de Endomarketing com ações dirigidas ao público interno que refletiram no comportamento desse público trazendo benefícios. Palavras-chave: Endomarketing, motivação, público interno e externo Palavras-chave: Endomarketing, motivação, público interno e externo ABSTRACT This article ABSTRACT aims to highlight the importance of Endomarketing as a strategic tool to promote employees motivation. We analyzed an accountancy company that in order to increase This productivity article and add aims value to highlight to the service the importance through a of deeply Endomarketing commitment as of a strategic its workforce tool to used promote Endomarketing employees strategies motivation. -- i.e., We actions analyzed directed an to accountancy its internal company stakeholders that --that in order reflected to increase on their behavior productivity and and generated add value benefits. to the service through a deeply commitment of its workforce used Endomarketing strategies -- i.e., actions directed to its internal stakeholders --that reflected on their behavior and generated benefits. Keywords: Internal Marketing, motivation, internal stakeholders and external Keywords: Internal Marketing, motivation, internal stakeholders and external Revista Interatividade: gestão e tecnologia, Brasília, v.1, n.1, p , jan/jun

34 34 Introdução Este artigo tem por objetivo verificar o nível de satisfação dos colaboradores em uma pequena empresa de contabilidade e implantar ações corretivas de endomarketing. Atualmente, as empresas deparam-se com um ambiente caracterizado por constantes transformações e alta competitividade, e com isso, elas enfrentam dificuldades na interação com os públicos interno e externo, dificultando o alcance dos objetivos organizacionais. Surge a necessidade da busca de aprendizagem contínua e produtiva, com o objetivo de uma pronta adaptação às mudanças. Uma nova postura é exigida na relação empresa/clientes, tornando-se necessário o investimento em programas de comunicação interna mais estruturados, de qualificação do público interno e também em ferramentas de interação entre esses para melhorar o clima organizacional, buscando também a melhoria nos relacionamentos com o público externo. A opinião do público interno tem grande influência nas opiniões e perspectivas do público externo, e a partir desse princípio, verifica-se que as empresas precisam investir em estratégias com foco nesses públicos, não simplesmente satisfazendo-os, mas também os motivando. Obter um desempenho máximo passa a ser resultante da valorização do público interno. E, para alcançar esses objetivos é imprescindível informar, preparar, valorizar e satisfazer as necessidades desse público para que se obtenha, por consequência, clientes igualmente informados e satisfeitos. Parafraseando (KOTLER, 1998), é possível afirmar que, nesse cenário, uma empresa não sobrevive sem o marketing, pois este faz parte dela desde o momento em que se cria o projeto de implantação, e na sua mais ampla abrangência está intimamente relacionado à venda da imagem de uma empresa. Assim, o Endomarketing passa a ser um diferencial para todas as empresas, sendo considerada uma importante ferramenta de gestão, geradora de vantagem competitiva e melhoria da imagem no mercado. O Endomarketing consiste na venda interna da imagem da empresa, o que é muito importante para o crescimento dos negócios, e que tem reflexos importantes fora dela. Um processo de comunicação eficiente, com uma atuação sistêmica e integrada, tornase um instrumento de grande valia para incentivar o público interno a trabalhar em prol do sucesso da empresa. Colaboradores motivados e satisfeitos com as condições de trabalho e Revista Interatividade: gestão e tecnologia, Brasília, v.1, n.1, p , jan/jun

35 35 com os produtos/serviços oferecidos por sua empresa farão uma boa divulgação, uma vez que multiplicam seu conhecimento e opinião fora da empresa. Os colaboradores devem ter consciência da importância que a empresa tem no mercado, bem como sua importância para ela, pois só assim poderão ter um bom ambiente de trabalho individual e em equipe. 1. Conceito de Marketing e sua Finalidade Com o aumento da competitividade entre as empresas e o acelerado desenvolvimento do mercado, as organizações desenvolveram estratégias mais ousadas, e com elas a vontade de vender tudo para todos, de gerar demanda através de ações de marketing, objetivando garantir uma fatia desse mercado. Segundo Kother, marketing é o processo social e gerencial através do qual, indivíduos e grupos obtêm aquilo que desejam e de que necessitam, criando e trocando produtos e valores uns com os outros. (KOTTER,1998) Pode-se dizer que marketing tem como finalidade capacitar a empresa a construir bons relacionamentos com os clientes, onde as partes envolvidas constituam confiança mútua. O marketing também busca obter respostas do público-alvo em relação ao que é vendido ou oferecido pela empresa, com o intuito de desenvolver atividades que incorporem conteúdos de valor que possam superar as expectativas do seu público externo e deixá-los encantados e satisfeitos. 2. Recursos Humanos e o Marketing trabalhando juntos Cada vez mais, as empresas veem relevância no estreitamento da relação entre os departamentos de Recursos Humanos e de Marketing para promover mudanças de dentro para fora, já que este por meio da função Endomarketing tem foco no público interno das empresas, Além disso, vêm identificando a importância de investir nesse segmento, e, com isso a parceria com a área de Recursos Humanos é de suma importância para planejar e executar as melhores estratégias e ações junto a esse público. Revista Interatividade: gestão e tecnologia, Brasília, v.1, n.1, p , jan/jun

36 36 O trabalho entre essas duas áreas deve ser complementar, um trabalho conjunto e alinhado, com foco no planejamento de estratégias e ações que valorizem o público interno da empresa. O profissional de Recursos Humanos entra com objetivos de médio a longo prazo, e o Marketing com objetivos a curto prazo. O departamento de Marketing e o de Recursos Humanos podem ser parceiros em diversos momentos como, por exemplo, diante dos incentivos à inovação e à criatividade; qualidade de vida e bem-estar; integração dos colaboradores; redução de custos; ações que focam na motivação; reconhecimento; recompensas; e capacitação dos talentos. 3. Conceito de Endomarketing e sua Finalidade A comunicação interna não tinha grande importância no planejamento estratégico das empresas até bem pouco tempo. Isso ocorria por conta do desconhecimento da maioria das empresas de que uma comunicação rápida, eficiente e participativa é fundamental para o desenvolvimento e agilidade de seus serviços. Porém, nos últimos anos, em decorrência da busca por um serviço eficiente e eficaz, com diferencial no mercado, a comunicação interna tem sido mais valorizada nas empresas. Aquelas que não consideram relevante investir recursos em uma comunicação interna planejada podem estar deixando de explorar um ponto muito importante para o desenvolvimento de seus negócios: a motivação de seus colaboradores. As ações de Endomarketing estão voltadas para o público interno das empresas, com o objetivo de gerar uma maior identificação dos colaboradores com a instituição em que trabalham. O Endomarketing (SILVA, 2006), é toda e qualquer ação de marketing voltada para a satisfação e aliança do público interno com o intuito de melhor atender aos clientes externos. Esse segmento de Marketing interno tem como desafio oferecer aos colaboradores uma relação mais íntima, demonstrando o quanto são fundamentais para que a empresa cresça, e com isso, proporciona o crescimento mútuo entre esse público e a instituição. Na visão de (MEIRA e OLIVEIRA, 2004), o Marketing interno busca três objetivos básicos: Revista Interatividade: gestão e tecnologia, Brasília, v.1, n.1, p , jan/jun

37 37 Geral: manter os colaboradores motivados, conscientes sobre os clientes e bem orientados; Estratégico: criar entre os colaboradores um ambiente interno propício para o atendimento dos clientes; Tático: vender campanhas de serviços e esforços de marketing aos colaboradores; o primeiro mercado da empresa via programas de treinamento. Os colaboradores ficam satisfeitos com a qualidade do serviço interno, tornando-se mais envolvidos e motivados com os negócios das empresas. E, eles são responsáveis pela qualidade dos serviços externos, resultando na satisfação e retenção dos clientes. Surgindo como elemento de ligação entre os colaboradores, os produtos/serviços e os clientes, hoje o Endomarketing está incluso na estratégia empresarial como elemento de evolução e organização do sistema produtivo e de comercialização dos produtos ou serviços. Tornando-se um fator essencial para a sobrevivência das empresas. 4. As ferramentas utilizadas no Endomarketing As ferramentas do Endomarketing são: o desenvolvimento de ações de relacionamento, os treinamentos dos colaboradores, a comunicação interna e externa e o fluxo de informações que possibilita manter os colaboradores a par de tudo o que acontece na empresa, para que possam contribuir com o alcance dos objetivos estratégicos. E, também, pode-se observar que o Endomarketing vai além, e hoje, utiliza tanto as estratégias convencionais como também elementos audiovisuais e impressos mais arrojados e também o meio virtual, para levar as informações aos colaboradores. Toda empresa precisa envolver o público interno em seus objetivos, por meio da promoção da missão, visão e valores. Essa atitude permite um melhor envolvimento desse público com a venda dos produtos/serviços ao público externo. Para isso, utilizam-se ferramentas diversificadas, como por exemplo, vídeos institucionais, deixando o assunto mais interessante e menos monótono, manuais ilustrados de funcionamento da empresa, proporcionando uma compreensão mais rápida, jornal interno comunicando acontecimentos relevantes na empresa para os colaboradores, intranet, palestras e workshops com o propósito de proporcionar aprendizado e também cartazes motivacionais e informativos, em murais atualizados e atraentes. Revista Interatividade: gestão e tecnologia, Brasília, v.1, n.1, p , jan/jun

38 38 Porém, para se obter êxitos nas ações de Endomarketing é necessário fazer uma análise do perfil da empresa e dos seus colaboradores, para que se saiba quais as melhores ferramentas e estratégias a serem aplicadas a fim de alcançar os objetivos de forma mais rápida e eficiente. 5. Metodologia 5.1 Contexto da pesquisa A pesquisa foi realizada em uma empresa familiar do ramo de Contabilidade e Auditoria, localizada em Planaltina DF, que atua no mercado há 16 anos. É responsável pela prestação de serviços contábeis com foco em administradoras de condomínios. A empresa em questão é de pequeno porte e conta com 24 colaboradores. É composta por um chefe de Contabilidade, uma Gestora em Recursos Humanos, três contadores e o restante atua na parte operacional. 5.2 Método Para esse diagnóstico organizacional foi adotado o método quantitativo, e para isto foi utilizada a Escala reduzida de Satisfação no trabalho EST (SIQUEIRA, 2008), com quinze itens, enfatizando as cinco dimensões da satisfação no trabalho. Para avaliação dos itens foi utilizada uma escala que variava de 1 (totalmente insatisfeito) a 7 (totalmente satisfeito). 6. Análise de Dados Na aplicação do método constatou-se que no item Satisfação com o chefe a média foi 6 (muito satisfeito), outros três itens, Satisfação com os colegas, Satisfação com o salário e Satisfação com a natureza do trabalho concentraram-se na média 5 (satisfeito) da escala e apenas um fator no ponto 4 (insatisfeito) que foi Satisfação com as promoções. Desta forma, verifica-se que os colaboradores estão muito satisfeitos com a seriedade e comprometimento de seu chefe, satisfeitos com as relações mantidas com os colegas de trabalho, com o salário e com as tarefas que eles realizam. Conforme tabela abaixo. Revista Interatividade: gestão e tecnologia, Brasília, v.1, n.1, p , jan/jun

39 39 TEMA NIVEL DE SATISFAÇÃO Satisfação com o chefe 6 Satisfação com os colegas 5 Satisfação com o salário 5 Satisfação com a natureza do trabalho 5 Satisfação com Promoções 4 1 Totalmente Insatisfeito 2 Muito Insatisfeito 3 Insatisfeito 4 Indiferente 5 Satisfeito 6 - Muito Satisfeito 7 Totalmente Satisfeito 6.1. Proposta e implantação do Endomarketing Foram desenvolvidas cinco ações de Endomarketing que têm o objetivo de fortalecer as relações entre empresa e colaboradores. Essas ações foram apresentadas e discutidas com a direção da empresa, a fim de que entendessem o processo e autorizassem a implantação de todas listadas a seguir: Aniversariantes do mês Objetivo: Valorizar o colaborador. Ação: A comemoração dos aniversariantes acontecerá na última sexta-feira de cada mês, a partir das 16h30, onde todos os aniversariantes daquele mês serão homenageados. A festa contará com: 01 bolo de 2 kg, 150 salgadinhos, 60 doces e 03 refrigerantes de 2 litros, tudo patrocinado pela empresa, e todos os colaboradores e proprietários estarão presentes. Contudo, é necessário que todos os colaboradores terminem suas tarefas antes do horário da comemoração para que tudo ocorra da melhor maneira possível. Obs.: Nos meses que não houver aniversariantes, será promovido pela empresa um café da tarde, em participarão todos os colaboradores e proprietários da empresa. Custo do kit: R$ 140, Painel de notícias Objetivo: Informar os colaboradores das decisões internas. Ação: A empresa possui um mural de recados com metragem de 120 cm x 60 cm, que fica localizado na copa onde os colaboradores fazem suas refeições. Atualmente, o mural é utilizado para veiculação de algumas normas da empresa, mas o objetivo desse projeto é transformar esse mural em um painel de notícias em que serão veiculadas informações como: novos contratos fechados, metas alcançadas, eventos próximos, perfil de novos colaboradores, Revista Interatividade: gestão e tecnologia, Brasília, v.1, n.1, p , jan/jun

40 40 dicas de saúde e postura, tendências de mercado, entre outros. A responsabilidade pela manutenção desse painel será do RH e poderá contar também, com sugestões dos colaboradores. Custo das impressões: R$ 9, Meu celular é 10 Dentro da empresa, em horário de expediente, o uso do celular só é permitido em casos de emergência, o que deixa os colaboradores alienados do que acontece com seus familiares e amigos durante o dia. A curiosidade por notícias faz com que os colaboradores trabalhem desmotivados e com muita vontade de acelerar o dia e se desvincular logo da empresa, com isso suas tarefas são executadas sem nenhuma excelência. Objetivo: Fornecer aos colaboradores momento de relaxamento e aumento de produção. Ação: Para mudar essa realidade a empresa irá promover o projeto Meu celular é 10. Essa ação acontecerá todos os dias às 16h e os colaboradores poderão desfrutar de 10 minutos para atualizar suas redes sociais, enviar mensagens, fazer ligações, enfim, utilizar seus celulares da forma como preferirem. O tempo ocioso atual é em média 30 minutos e pretende-se com essa ação reduzi-lo para Vale academia Devido à natureza do negócio da empresa os colaboradores trabalham muito tempo sentados e se movimentam com pouca frequência, deixando-os sedentários. Através dessa ação, os colaboradores irão se exercitar mais, cuidar de sua saúde e desenvolver qualidade de vida também no trabalho. Com a saúde em dia os colaboradores irão se ausentar com menos frequência de suas funções por problemas médicos. Objetivo: Promover Qualidade de Vida aos colaboradores Ação: Criar um convênio com uma academia localizada nas proximidades da empresa e oferecer aos colaboradores um desconto progressivo nas mensalidades da academia para ele e também para sua família. Se o colaborador e seu cônjuge, por exemplo, malharem juntos será um incentivo a mais para continuar com mais garra na atividade Concurso de ideias Objetivo: Promover clima organizacional favorável. Ação: A cada seis meses a empresa abrirá um concurso de ideias com tema referente a uma necessidade que exista no momento. Todos os colaboradores poderão criar seus projetos, Revista Interatividade: gestão e tecnologia, Brasília, v.1, n.1, p , jan/jun

41 41 porém, eles não serão obrigados, só ira participar o colaborador que realmente se interessar pelo projeto. A melhor ideia será premiada com um fim de semana em uma pousada e a ideia será instituída na empresa. Custo: duas viagens oferecidas por ano - R$ 480,00 7. Resultados Dentre as cinco ações propostas, somente quatro delas tiveram a implantação aceita pela direção da empresa. O Vale academia foi descartado pela empresa devido ao custo que a ação iria gerar. A empresa reconhece que os exercícios físicos são muito importantes para seus colaboradores, mas no momento a prioridade é a abertura da filial. Todas as ações foram realizadas no primeiro semestre de As demais ações foram implantadas com sucesso obtendo os seguintes resultados: 7.1. Aniversariantes do mês Esta ação teve a participação de todos os colaboradores e três aniversariantes do mês foram homenageados. A ação não ocorreu totalmente conforme o planejado. Não havia sido falado sobre presentes para os aniversariantes no planejamento da ação e devido a isso a festa foi reprovada por 30% dos colaboradores. Em toda empresa há colaboradores que possuem maiores afinidades entre si e se tornam amigos, por causa disso, dois colaboradores compraram um presente para um dos aniversariantes e ao entregá-lo os outros dois homenageados se sentiram constrangidos pelo fato. Por causa disso a ação teve a reprovação de 30% dos colaboradores que sentiram que o constrangimento gerado abalou de forma negativa a comemoração. Para evitar esse problema foi acordado que para as próximas comemorações não deverá haver entrega de presentes, visto que a festa realizada pela empresa já é um presente para os homenageados. No mais, tudo que foi acordado com a empresa foi cumprido e a grande maioria dos colaboradores aprovou a forma como tudo foi conduzido fazendo com que a ação tenha sido um sucesso, alcançando o objetivo estipulado no planejamento Painel de notícias O painel foi instalado em um local estrategicamente pensado para esta ação que foi na copa da empresa. Revista Interatividade: gestão e tecnologia, Brasília, v.1, n.1, p , jan/jun

42 42 Foram divulgadas no painel seis notícias, que são: Ergonomia, como se sentar corretamente 18 maneiras de seguir uma alimentação saudável Lista com informações e telefones dos principais credenciados do plano de saúde da empresa Lista com as estreias do cinema e do teatro na semana 10 mentiras no Imposto de Renda que não enganam a Receita e Principais informações sobre o IR de Essas notícias foram escolhidas para que o painel englobasse cultura, qualidade de vida no trabalho, alimentação, informações úteis do dia a dia e notícias relacionadas à natureza do trabalho, para que os colaboradores fiquem atentos a novas descobertas que possam facilitar suas vidas. Nos dois primeiros dias foi notado um grande burburinho por parte dos colaboradores a respeito das informações, no primeiro dia notamos que seis colaboradores mudaram a posição de suas cadeiras e corrigiram a forma de sentar e no segundo dia três colaboradores já levaram seu almoço com base nas dicas de alimentação expostas no painel. Cinco dias após o início da ação, foi realizada a conferência de como estava o andamento e percebeu-se que ela cumpriu com o que foi planejado. Os seis colaboradores que corrigiram suas posturas de acordo com as dicas de ergonomia relataram que sentiram menos dores na coluna e conseguiram chegar ao fim dos dias menos cansados, e aumentou de três para sete colaboradores a quantidade de colaboradores que mudaram suas dietas, todos em busca de qualidade de vida no trabalho. Além desses fatos positivos a respeito da ação, também houve sugestões para o painel, inclusive uma delas será utilizada, na próxima semana será fixado no mural os horários dos ônibus que os colaboradores utilizam para voltar do trabalho para casa Meu celular é 10 A ação foi muito bem aceita pelos colaboradores, mas os proprietários da empresa ficaram um pouco receosos em aplicá-la, eles aceitaram, porém não acreditaram no seu funcionamento. Devido ao fato de os proprietários não confiarem totalmente na ação, ela foi aplicada por uma semana como um período de teste. Poucos minutos antes do início da ação, explicou-se para os colaboradores como ela seria executada e deixou-se bem claro que sua continuação dependeria dos resultados verificados após sua execução. Caso ultrapassem o período de 10 minutos que teriam disponíveis, a ação seria cancelada. Sabia-se que essa informação poderia influenciar no resultado final, portanto, foram os proprietários que pediram que ela fosse repassada. A ação foi um sucesso. Notou-se que os colaboradores respeitam a norma de não usar o celular durante o horário de trabalho. Quando chegou a hora da pausa para o uso do celular, os Revista Interatividade: gestão e tecnologia, Brasília, v.1, n.1, p , jan/jun

43 43 colaboradores buscaram os aparelhos em suas bolsas e mochilas e não nos bolsos e gavetas, o que mostrou que os 10 minutos de pausa serão usados corretamente. Observou-se também que após essa pausa os colaboradores voltaram mais animados para suas tarefas e enquanto trabalhavam alguns fizeram comentários sobre as notícias das redes sociais, riram e se descontraíram. Por fim, o mais importante foi o cumprimento das tarefas, a cada dia uma média de 90% dos colaboradores terminou suas tarefas, não deixando nada para o próximo dia Concurso de ideias Entre todas as ações propostas, essa foi a mais apreciada pelos diretores, pois já havia a necessidade de diminuir custos mensais na empresa. Por isso, o tema do concurso foi Nos ajude a economizar. Logo após o início do expediente, os colaboradores foram convocados à copa da empresa para que as regras do concurso e os motivos da ideia fossem comunicados. Todas as explicações sobre as finanças foram dadas por um dos diretores e todos os colaboradores ouviram-nas atentamente. Além disso, todas as regras de participação foram fixadas no painel de notícias. Foi determinado aos colaboradores um prazo de quatro dias para que enviassem suas ideias, e o retorno superou todas as expectativas. Todos os colaboradores participaram do concurso. Foram ideias muito variadas, desde as mais simples até as mais complexas, com apresentações de gráficos que mostravam que a empresa não só economizaria como também lucraria em alguns pontos. Ao final, todas as ideias foram aproveitadas de alguma forma, e os colaboradores foram reconhecidos por mérito e pelo esforço empregado no desenvolvimento delas, mas apenas uma foi a vencedora. Foi uma ideia simples, de fácil execução e que lidava não só com a economia da empresa, mas também com sustentabilidade: trocar os copos plásticos utilizados na empresa por canecas que poderiam ser lavadas e reutilizadas. A empresa que utilizava cerca de 350 copos por semana, mandou fabricar uma caneca personalizada com a logo da empresa para cada colaborador e, além disso, ainda encomendou mais canecas para dar de brinde a seus clientes. Revista Interatividade: gestão e tecnologia, Brasília, v.1, n.1, p , jan/jun

44 44 8. Considerações finais Por ser uma empresa familiar de pequeno porte, são poucos os cargos de chefia e por isso, como verificamos na pesquisa, o índice de insatisfação em relação a esse quesito é o mais elevado, entre todos os pesquisados. Não é um problema fácil de ser resolvido, porém, a empresa está desenvolvendo um projeto de expansão com o objetivo de atender a sua carteira de clientes que vem crescendo demasiadamente. Isso se tornará inevitável ao abrir sua filial. Com essa filial, os cargos de chefia dentro da empresa irão aumentar o que irá gerar uma alternativa para solucionar o problema referente às promoções. Esses cargos de chefia, por desejo do proprietário da empresa, serão ocupados pelos colaboradores mais antigos e qualificados. Portanto, como diagnosticado, o longo tempo sem promoções no trabalho fez com que os colaboradores ficassem desmotivados a continuar na empresa. Diante desses fatos percebeu-se que para o bom funcionamento da filial, primeiro deve ser feito um trabalho de Endomarketing em que a empresa será vendida aos colaboradores através da abertura de novas oportunidades de crescimento. O mais importante no momento é fortalecer o interior da empresa através de seu capital humano, para que com todos inteirados a empresa consiga refletir esse fortalecimento externamente ocupando mais espaço no mercado em que atua. Dentro do cenário atual de constantes transformações e alta competitividade, o Endomarketing tornar-se um diferencial para que as empresas alcancem os objetivos almejados, melhorando também sua imagem no mercado. Por meio do diagnóstico percebeu-se que a empresa estudada está passando por um processo de mudanças, e, para que seja concluído com sucesso, sugeriu-se aos diretores que houvesse a mudança de alguns paradigmas. O principal deles é que a empresa deveria trabalhar mais para a satisfação de seu público interno, fazendo com que os colaboradores pensassem e agissem em prol do sucesso da empresa, que consecutivamente, trará seu sucesso profissional. Claro que a empresa se mostrou resistente a essas mudanças e as inovações que surgiriam com os resultados das ações. Entretanto, utilizou-se essa resistência a favor da pesquisa. Argumentou-se com os diretores que a eficácia do projeto de Endomarketing só poderia ser verificada depois de sua implementação e da aferição dos resultados obtidos. A partir dos resultados obtidos após as ações sugeridas e implantadas no objeto de análise, e com base na fundamentação teórica apresentada no artigo, analisou-se todas as informações obtidas, concluindo-se que a aplicação d do Endomarketing, de fato, trará Revista Interatividade: gestão e tecnologia, Brasília, v.1, n.1, p , jan/jun

45 45 resultados positivos para a empresa, como o aumento da produtividade e também agregará valor aos serviços. Concluiu-se que, o Endormaketing foi realmente uma ferramenta estratégica para motivar os colaboradores que mostraram maior comprometimento nas tarefas realizadas. A empresa incentivou seus colaboradores com o intuito de colher bons resultados posteriormente. Referências BRUM, Analisa de Medeiros. Respirando Endomarketing. Porto Alegre: L&PM Editores, BRUM, Analisa de Medeiros. Endomarketing como estratégia de gestão. Porto Alegre: L&PM Editores, HOFFMAN, K. Douglas. Princípios de marketing de serviço: conceitos, estratégias e casos. São Paulo: Cengage Lerging, KOTLER, Philip; ARMOSTRONG, Gary. Princípios de Marketing. 7. Rio de Janeiro: Prentice-Hall do Brasil, KOTLER, Philip. Administração de marketing. São Paulo: Pearson Prentice Hall, MEIRA, Paulo e OLIVEIRA, Renato. O Endomarketing Disponível em: em 15 de maio de Acesso MENDES, Regina Stela Almeida Dias. Endomarketing: Como ferramenta de comunicação com o público interno. Disponível em: Acesso em 17 de maio de SILVA, Fabricio Castro. Instrumento para a prática do endomarketing. Artigo científico publicado pela Universidade Católica de Pelotas em Autores Marcia R. S. M Amaral é graduada em Gestão de Recursos Humanos, Faculdade Senac-DF. Contato: márcia.regina123@hotmail.com Hellen C. L Barbosa é graduada em Gestão de Recursos Humanos, Faculdade Senac-DF. Contato: hellenclb@gmail.com Revista Interatividade: gestão e tecnologia, Brasília, v.1, n.1, p , jan/jun

46 46 Bruna M. L. Guedes é graduada em Gestão de Recursos Humanos, Faculdade Senac-DF. Contato: Viniele P. P. Prissinote é graduada em Gestão de Recursos Humanos, Faculdade Senac-DF. Carmem R. A. Silva é graduada em Gestão de Recursos Humanos, Faculdade Senac-DF Contato: Patrícia A. Azevedo é especialista em Gestão Estratégica de Recursos Humanos, Faculdade Senac-DF. Contato: Revista Interatividade: gestão e tecnologia, Brasília, v.1, n.1, p , jan/jun

47 47 Gestão de Segurança para Proteção de Infraestruturas Críticas de Telecomunicações Adriana Maria da Silva Komar, Ivonete Ferreira de Sousa, Roberto Kazuaki Miyaba, Rozenvaldo Mamede Barbosa (d) e Edilberto Magalhães Silva. RESUMO Os provedores de infraestrutura crítica representam setores importantes para a economia dos países e da sociedade. Caso suas redes sejam atacadas e comprometidas, as consequências teriam alta repercussão, com graves impactos à segurança nacional. O Gerenciamento de Riscos permite às organizações identificarem as ameaças e vulnerabilidades aos recursos de informação, com a análise dos impactos nos negócios. A auditoria da Segurança da Informação é importante para atestar que os controles de segurança são eficientes e eficazes, minimizando a exposição aos riscos. Neste artigo são referenciadas as normas ISO/IEC 27002: 2005 (ABNT, 2005) e ISO/IEC 27005:2008 (ABNT, 2008), voltadas à área de segurança da informação e gestão de riscos, e o COBIT, que trata de uma metodologia que permite representar um modelo de maturidade através de procedimentos específicos auditáveis. Esta matéria apresenta uma abordagem genérica de uma estratégia para controle de riscos em face da Infraestrutura Crítica de Telecomunicações, diante da necessidade de implantação do sistema VOIP em relação a um Sistema de Gestão da Segurança da Informação (SGSI). Palavras-chave: Segurança da Informação. Telecomunicações. Gestão de riscos. Auditoria de processos. Continuidade de negócios. VOIP. ABSTRACT Providers of critical infrastructure represent important sectors to the economy of the countries and society. If your networks were attacked and compromised, the consequences would have high impact with serious damages to national security. Recent studies of software companies Symantec and McAfee highlights a trend in increasing frequency and sophistication of attacks that target critical infrastructure companies. Given the importance of the services provided by these infrastructures - such as telecommunications, water, energy, transport, etc. - we must have as a permanent objective of ensuring its continuity, even in crisis situations. Risk Management enables organizations to identify threats and vulnerabilities to information resources, with the analysis of impacts on business plans and preparation of contingency actions and security as applied to organizational strategy. Audit of Information Security is important to demonstrate that security controls are effective and efficient, minimizing the risk exposure. In this article are referenced to ISO/IEC 27002: 2005 and ISO/IEC 27005:2008, aimed at the area of information security and risk management, and COBIT, which is a methodology that allows to represent a model of maturity through procedures specific auditable. This matter presents a generic approach to a strategy for the Protection of Critical Infrastructure for Telecommunications in Information Security Management System (ISMS). Revista Interatividade: gestão e tecnologia, Brasília, v.1, n.1, p , jan/jun

48 48 1. Introdução Com o novo cenário mundial, em face de todo o processo de globalização, houve um avanço tecnológico em escala mundial e tal avanço proporcionou comodidade à população de uma forma geral, acesso a equipamentos eletrônicos, infraestrutura de água, energia, a possibilidade da utilização da internet etc. Nesse contexto, a infraestrutura crítica é a que deve ter uma maior atenção. São consideradas Infraestruturas Críticas (ICs) as instalações, serviços, bens e sistemas essenciais que, se interrompidos ou destruídos, provocarão sério impacto social, econômico, político, internacional ou à segurança do Estado e da sociedade. Os provedores de infraestrutura crítica são representados por vários setores como: energia, água e saneamento, saúde, telecomunicações, transportes, dentre outros (PURANI, 2011). A proteção das Infraestruturas Críticas é universalmente reconhecida como um componente essencial na política de segurança das nações e representam desafios para governos e operadoras em cada setor. Com essa visão, os países desenvolvidos da América do Norte, Ásia, Europa e Oceania definiram planos de longo prazo, criando órgãos de governo e implantando sistemas de proteção sofisticados e abrangentes. Devido às peculiaridades de cada país, esses modelos não são necessariamente aplicáveis a outros, pelo fato de, entre outras razões, exigirem recursos tecnológicos, financeiros e humanos que não estão ao alcance das nações em desenvolvimento (PURANI, 2011). Eventos recentes como o apagão da rede elétrica em parte do Brasil, a crise dos aeroportos e falhas periódicas nos sistemas de telefonia das operadoras reforçam a necessidade de o país formular e executar uma política de proteção de suas ICs, sintonizada com as iniciativas mundiais. Os serviços de telecomunicações possuem caráter estratégico, pois desempenham papel essencial para a integração cultural e o desenvolvimento econômico, além de representar fator para a segurança e soberania nacional. É importante observar que a proteção da IC não é apenas uma questão de governo, pois a maior parte da infraestrutura de telecomunicação do Brasil é de propriedade da iniciativa privada e de grandes empresas. A implantação do VOIP voz sobre IP, solução apresentada para a telefonia na execução de ligações, tem como foco não apenas a redução de custos em ligações telefônicas, mas traz também uma forma de contingenciamento, caso exista um apagão no sistema de telefonia convencional. O relatório Critical Information Infrastructure Protection (CIP) 2010 (RELATÓRIO SYMANTEC, 2010), divulgado pela Symantec, mostrou que 53% dos provedores de infraestrutura crítica já sofreram ciberataques em suas redes. Segundo a Revista Interatividade: gestão e tecnologia, Brasília, v.1, n.1, p , jan/jun

49 49 pesquisa, os participantes reportaram que passaram por tais ataques, em média, dez vezes nos últimos cinco anos, acarretando um custo médio de US$ 850 mil em seus negócios. 48% esperam sofrer ataques no próximo ano e 80% acreditam que a frequência dos ataques está aumentado. No Brasil, das 180 empresas entrevistadas, todas afirmam que os ataques foram eficazes e acreditam que eles estão aumentando com o tempo. 38% afirmaram estar completamente envolvidos com os planos de infraestrutura crítica, e desses, 32% estão envolvidos com os planos há mais de dois anos. O estudo relatou também que os participantes pertencentes à indústria de energia são os mais bem preparados para tais ataques, enquanto os da indústria de comunicação são os menos. Segundo o relatório Sob fogo cruzado Infraestrutura crítica na era da guerra cibernética (BAKER, WATERMAN, IVANOV, 2010), divulgado pela empresa McAfee, a cada segundo um fornecedor de infraestrutura crítica é alvo de um ciberataque. Mas as companhias que são alvos dessas incursões raramente as revelam porque temem prejudicar suas reputações e incentivar os criminosos. Para a pesquisa da McAfee, o Centro de Estudos Estratégicos e Internacionais ouviu cerca de 600 executivos voltados a áreas de tecnologia da informação e segurança dos setores de energia, transporte, saneamento, governo, telecomunicações e financeiro em 14 países. Cerca de 37% das empresas acreditam que a ameaça à infraestrutura crítica esteja crescendo e 40% esperam um importante incidente de cibersegurança para o próximo ano, afirma a pesquisa. 2. Análise e Gestão de Riscos Segundo o dicionário (MICHAELIS, 2009): "Risco é a possibilidade de perigo incerto, mas previsível, que ameaça de dano a pessoa ou a coisa." Riscos precisam ser identificados, analisados, monitorados, gerenciados e controlados. A análise de riscos, parte do processo de gerenciamento de riscos, é um método importante para determinar o nível de segurança dentro de uma organização. Antes de se pensar em proteger, é necessário avaliar, analisar o que verdadeiramente deve ser protegido. Dentro do foco de gestão de risco, o objetivo principal não é a eliminação por completo do risco, pois estes, dentro das organizações, são aceitáveis e até mesmo benéficos em alguns casos. Os riscos também podem ser transformados, algumas vezes, em oportunidades (FINNCATI, 2008). Revista Interatividade: gestão e tecnologia, Brasília, v.1, n.1, p , jan/jun

50 50 O importante na análise e gestão de riscos é avaliar o grau de criticidade de um risco, minimizando seus impactos negativos. Não adianta mapear todos os ativos da organização e tentar proteger a todos. A análise de riscos busca estruturar de forma mais concreta este processo, atribuindo um grau de risco a cada ativo dentro da organização, e, através desta atribuição efetuar um filtro para separar os ativos que apresentam um maior grau de risco e dessa forma, poder elaborar planos de proteção dentro dos moldes e condições da organização, focando no que realmente representa um maior risco para seu negócio. A norma ISO/IEC 27005:2008 (ABNT. 2008) tem como objetivo determinar diretrizes para que seja possível determinar o nível, avaliar e tratar os riscos, medir e verificar de forma contínua a gestão de riscos, reavaliar e melhorar o tratamento de riscos. Esta norma traz em seu anexo E, dois modelos de tabelas, apresentados nas tabelas 1 e 2, para efetuar a análise do risco e o mapeamento dos ativos Tabela 1 Análise de riscos Legenda: B baixa A alta M - média A análise de riscos, como parte do processo de gerenciamento de riscos, tem como objetivo categorizar cada risco dentro da organização, baseado no levantamento de ativos. Atribuir um grau de risco a cada ativo é um passo fundamental para que a análise de riscos possa trazer resultado prático e positivo, como ilustrado na tabela abaixo. Tabela 2 Mapeamento de ativos Revista Interatividade: gestão e tecnologia, Brasília, v.1, n.1, p , jan/jun

51 51 De acordo com Schmitz (SCHMITZ, ALENCAR e VILLAR, 2010) "A gerência de risco é um conjunto de atividades que tem por objetivo, de forma economicamente racional, maximizar os efeitos do risco positivo e minimizar os efeitos do risco negativo". A gerência de riscos trabalha no intuito de envolver atividades em tempo de planejamento, e também é conhecida por análise de risco e atividades em tempo de execução e também por controle de risco. 3. Voice Over Internet Protocol VOIP Segundo Nunes (NUNES, 2009) VOIP é uma tecnologia de comunicação que permite a transmissão em tempo real de sinais de voz colocados em pacotes de dados sobre redes IP que empregam "Transmission Control Protocol"(TCP), "Real-Time Transport Protocol" (RTP), "User Datagram Protocol"(UDP) e "Internet Protocol"(IP). A comunicação do VOIP consiste em digitalizar a voz em pacotes de dados e trafegar pela rede utilizando o protocolo UDP, na maioria dos casos por ser mais rápido que o protocolo TCP, como protocolo de transporte, e converter em voz novamente em seu destino. A segurança na maioria das soluções VOIP não suporta criptografia, no que resulta a possibilidade de escuta das chamadas alheias ou alteração do seu conteúdo. Uma alternativa para isso seria o uso da técnica de compressão de dados, que torna mais difícil a escuta nas comunicações. A implantação da comunicação de voz entre as organizações com as tecnologias VOIP promete flexibilidade, privacidade, controle e custos menores. Esta comunicação é uma comunicação ponto a ponto, estabelecida por meio de VPN (Virtual Private Network), através do acesso à internet que a organização possui. Os sistemas são compostos de terminais distribuídos entre as tecnologias: Virtual, IP (Internet Protocol) e ATAs (Analog Telephone Adpter) para terminais analógicos, podendo utilizar software livre ou proprietário. A implantação do VOIP necessita de projetos voltados à infraestrutura física da rede de dados, montagem de PABX específico para utilização de telefonia e distribuição de ramais. Em face da implantação do VOIP, é necessário definir políticas de monitoramento, avaliação de desempenho e gerenciamento da rede e do sistema VOIP. Após a implementação dessas políticas é necessário gerenciar de forma constante os riscos, trabalhando pontos de controle para efetuar auditoria do sistema e ajustes, caso haja necessidade. Revista Interatividade: gestão e tecnologia, Brasília, v.1, n.1, p , jan/jun

52 52 4. Auditoria de Sistemas VOIP A auditoria de Sistemas é uma atividade estruturada com objetivo de examinar os controles, emitindo um juízo baseado em condições técnicas de forma a reduzir as vulnerabilidades. (DELLOITE, 2011) Os objetos de auditoria (OA) definem em uma organização o que será auditado. Tais objetos são selecionados de acordo com o contexto e os propósitos da auditoria (LYRA, 2008). Em seguida são elencados pontos de controle (PC) para cada objeto de auditoria selecionado. Um PC caracteriza situações específicas que podem ser relacionadas a produtos, processos, procedimentos, eventos ou qualquer outro item observável e relevante para uma auditoria de segurança (SIMCH, TONETTO, 2014). São os objetos de auditoria e pontos de controle itens que, uma vez categorizados, orientam as observações e testes da auditoria. Pontos de controle podem remeter a artefatos físicos, como placas de sinalização e instalações físicas ou artefatos lógicos tais como senhas de acesso a sistemas. Portanto, podem ser físicos ou lógicos, tangíveis ou intangíveis (SILVA, 2011). O objetivo da auditoria da segurança da informação, aderente ao componente de monitoramento do COSO 6 (COSO, 2007) é então o controle de informações relevantes para o relato da gestão, conforme tais informações são produzidas, identificadas, armazenadas, distribuídas, usadas e processadas, dentro dos parâmetros estabelecidos pelos processos de controle da organização, a fim de suportar o alcance dos objetivos de negócio. Em uma rede de telecomunicações, os ativos (físicos, lógicos ou organizacionais) deverão estar sob controle da organização, para que seja possível detectar possíveis riscos que provoquem danos à corporação. Em face da implantação do sistema VOIP, é necessário mensurar os pontos de controle para posterior auditoria, em toda fase de implantação, tanto na parte do projeto físico, como lógico. De acordo com Silva, (SILVA, 2011), cada tipo de auditoria possui uma gama diferente de objetos de controle a serem auditados. Portanto, os objetos e planos de controle dizem respeito ao Plano de Auditoria, como ilustra a figura abaixo. 6 COSO The Committee of Sponsoring Organizations of the Treadway Commission Revista Interatividade: gestão e tecnologia, Brasília, v.1, n.1, p , jan/jun

53 53 Figura 01 Tipos, objetos e controles de auditoria Os três tipos de auditoria (de gestão, de conformidade e operacional) estão interligados, sendo que, (i) a auditoria de gestão está mais relacionada à gestão na auditoria, (ii) a auditoria de conformidade está baseada nos indicadores de desempenho e nos resultados esperados e (iii) a auditoria operacional, no foco aos controles de segurança. Todos os três tipos avaliam os objetos de auditoria. Há duas formas de controle (SILVA, 2010): Controle Interno É um conjunto de controles que tem por objetivo acompanhar os processos internos. Sempre que necessário é chamado um auditor que analisa esses controles internos emitindo um parecer. Esse controle interno é tão importante que a lei nº 10180/2001 já prevê a auditoria em órgãos públicos. Controle Externo O controle externo também analisa a organização, porém não estando sob a responsabilidade do gestor da empresa. Esse controle muitas vezes sofre pela omissão das informações solicitadas. Revista Interatividade: gestão e tecnologia, Brasília, v.1, n.1, p , jan/jun

54 54 O processo de auditoria pode ser iniciado em qualquer empresa, seja pública ou privada, sendo necessário seguir alguns passos que ajudam o auditor a conseguir as informações necessárias, descritos a seguir: a) Gestão do projeto ou do programa de auditoria: essa primeira fase de gerenciamento do projeto ou programa a ser auditado é importante para o desenvolvimento da auditoria e nele podemos elencar/delimitar o escopo a ser auditado. Vargas, no seu livro Gerenciamento de Projeto define gerenciamento de projetos como um conjunto de ferramentas gerenciais que permita à empresa desenvolver um conjunto de habilidades, incluindo conhecimento e capacidade individuais, destinados ao controle de eventos não repetitivos, únicos e complexos, dentro de um cenário de tempo, custo e qualidade predeterminada. (VARGAS, 2010) Para Meredith um projeto é uma atividade única e exclusiva com um conjunto de resultados desejáveis em seu término. É também complexo o suficiente para necessitar de uma capacidade de coordenação específica e um controle detalhado de prazos, relacionamentos, custos e desempenhos. (MEREDITH, 2003) b) Decisão sobre o propósito da auditoria: o propósito da auditoria é o segundo passo onde o auditor deverá constatar qual é o objeto a ser auditado. c) Identificação de objetos e pontos de controle: essa etapa serve para identificar os objetos e pontos de controles. d) Definição de técnicas para obter evidências e procedimentos de controle: nessa etapa é necessário que constatem quais as técnicas utilizadas para elencar todas as informações relevantes para as tomadas de decisões. e) Montagem do roteiro de auditoria: elaboração dos roteiros e testes executados pelos auditores. f) Coleta e registro de evidências em papéis de trabalho: nessa etapa, são elencadas e registradas informações que poderão ser úteis para finalizar o processo. g) Verificação, validação e avaliação de evidências: nessa etapa a função do auditor é verificar, validar e avaliar os dados encontrados. h) Produção de pareceres e outros entregáveis: elaboração de parecer contendo a conclusão do auditor. i) Acompanhamento pós-auditoria: é o momento em que o auditor acompanhará a instituição após o período de auditoria, e, caso necessário, retorna-se ao passo a). Revista Interatividade: gestão e tecnologia, Brasília, v.1, n.1, p , jan/jun

55 55 5. Modelos de Maturidade Através do COBIT O COBIT 7 Control Objectives for Information and Related Technology- (Objetivos de Controle para a Informação e Tecnologia relacionada), é apresentado como um modelo para efetuar a mensuração da maturidade em processos implantados. Atualmente, na versão 4.1, ele traz 34 processos, com o objetivo de criar um método para autoavaliação versus os graus da escala, situando a organização. A partir dos resultados desta autoavaliação feita a fim de estabelecer metas para desenvolvimentos futuros, baseando-se em como a organização pretende se posicionar, podese criar um método de planejar projetos para atingir essas metas, bem como para priorizar projetos baseado na sua classificação e na análise dos benefícios versus custos. O COBIT utiliza uma escala de seis níveis, conforme o modelo genérico de maturidade, fornecendo as melhores práticas e ferramentas de monitoramento e gerenciamento das atividades da TI. 5.1 COBIT Metas e medidas Cada meta estabelecida 8 é acompanhada por suas respectivas medidas. Essas medidas indicam o desempenho do item, que potencializa o item do nível acima. Na versão 4.1 o COBIT traz 34 de seus processos de forma complementar um ao outro, como ilustrado na figura 2 a seguir 9 : 7 ITGI. COBIT 4.1. IT Governance Institute, Doravante chamado apenas COBIT. 8 Modelo de Maturidade dos Processos de TI Cobit. Disponível em 29/04/11. 9 Fonte: Revista Interatividade: gestão e tecnologia, Brasília, v.1, n.1, p , jan/jun

56 56 Figura 2 Processos COBIT De acordo com Silva (SILVA, 2011) existe uma relação entre os processos, seus objetos e suas métricas como mostrado na figura 3 abaixo: Figura 3 Relacionamento entre Processos, objetivos e Métricas (DSS) 6 COBIT na Gestão de Risco e Auditoria do VOIP O COBIT, como framework de melhores práticas, para mensurar níveis de maturidade em processos de TI, traz em seu escopo através do PO9 Alinhamento de Gestão de Riscos, a forma de estabelecer uma estrutura de gestão de riscos de TI alinhada à estrutura de gestão de riscos da organização. Revista Interatividade: gestão e tecnologia, Brasília, v.1, n.1, p , jan/jun

57 57 O COBIT, no gerenciamento de riscos no processo de implantação do VOIP, tem como foco minimizar os riscos desta implantação, controlá-los e até mesmo mitigá-los 10. Através do conjunto de controles que oferece, é possível efetuar uma adequação da área de TI, dentro do contexto organizacional, de forma sustentada e planejada, focando exatamente o processo de controle de riscos com a utilização de sistemas VOIP. O COBIT em sua edição 4.1 proporciona boas práticas através de um modelo de domínio e processos e apresenta as atividades numa estrutura lógica e gerenciável. Orientação ao negócio é o principal tema do COBIT. Ele foi desenhado para ser empregado não apenas por usuários e auditores, mas também como um guia completo para a administração e para os gestores de processo de negócio. Os auditores podem aplicar as boas práticas do COBIT em organizações que trabalham com sistemas VOIP, pois essas práticas ajudarão satisfazer os requisitos de qualidade, confiança e segurança. A verificação da qualidade de serviço prestada pelos equipamentos VOIP, bem como sua utilização pelos usuários, deve ser auditada periodicamente. A auditoria pode ser realizada através de aplicações especializadas, aplicando alguns processos do COBIT. Os quatro dominios do COBIT (i) Planejar e Organizar, (ii)adquirir e Implementar,(iii) Entregar e Dar Suporte e (iv) Monitorar e Avaliar, totalizam 34 processos. Desses 34 processos, 15 podem ser utilizados de forma eficaz como suporte durante os processos de auditoria em organizações que utilizam VOIP, conforme descrito a seguir: a) Planejar e Organizar: nesse dominio são analisadas as formas organizacionais e a infraestrutura da TI, necessárias para o bom funcionamento de sistemas VOIP. Os quatro processos principais que podem ser utilizados durante o processo de auditoria são (i) PO4- Definir os Processos, Organização e Relacionamentos de TI, (ii) PO8-Gerenciar a Qualidade, (iii) PO9-Avaliar e Gerenciar os Riscos de TI e o (iv) PO10-Gerenciar Projetos. b) Adquirir e Implementar: esse domínio lida com o desenvolvimento de um plano de manutenção, identificando os requisitos de TI, aquisição e implementação. Os processos essenciais em uma auditoria em sistemas VOIP são (i) AI3- Adquirir e Manter Infraestrutura de Tecnologia, (ii) AI3- Gerenciar Mudanças e o (iii) AI7- Instalar e Homologar Soluções e Mudanças. c) Entregar e Suportar: esse executa o domínio de aplicações dentro do sistema de TI e seus resultados, incluindo as questões de segurança e treinamento. Os processos utilizados 10 Modelo de Maturidade do COBIT. Disponível em: dah.com.br%2fcobit_modelo_maturidade.doc&rct=j&q=http%3a%2f%2fwww.madah.com.br&ei=fv7gteq zhyu3tgfhurmgbw&usg=afqjcnhtbexjytao27spts9yjuhbwbjkug. 30/04/2011. Revista Interatividade: gestão e tecnologia, Brasília, v.1, n.1, p , jan/jun

58 58 durante uma auditoria são: (i) DS3- Gerenciar Capacidade e Desempenho, (ii) DS5-Assegurar a Segurança dos Serviços e (iii) DS10- Gerenciar os Problemas. d) Monitorar e Avaliar: esse monitora as necessidades da companhia e avalia se o atual sistema de TI atinge os objetivos para os quais ele foi especificado, controlando os requisitos para atender objetivos regulatórios e processos internos da companhia através de auditores internos e externos. Tanto para as auditorias internas ou externas os processos essenciais desse dominio são: (i) ME1- Monitorar e Avaliar o Desempenho, (ii) ME2- Monitorar e Avaliar os Controles Internos e (iii) ME3- Prover a Governança de TI. 6. Conclusão A utilização do COBIT para a maturidade no processo de implantação do VOIP demonstrou-se eficaz para o gerenciamento e controle dos riscos apenas na sua fase de planejamento e organização, havendo para as demais fases um processo específico que é o PO9. Dentro das outras áreas de processos do COBIT não existe nenhum objeto específico para tratamento de riscos após a fase de implantação. O COBIT até pode ser utilizado para mensurar maturidade no processo de gerenciamento de riscos na implantação de sistemas VOIP, porém é aconselhável buscar uma forma de controle após o planejamento, visando efetuar o controle total desses sistemas. Uma auditoria de sistemas em organizações que disponibilizem a tecnologia VOIP está sujeita a desvios e riscos, que precisam ser monitorados e controlados, visando à produção de resultados com qualidade. Boas políticas aplicadas nessas organizações podem ser uma boa solução, de forma a garantir a qualidade, confiança e segurança dos dados de maneira eficaz, como suporte durante os processos de auditoria. Tendo em vista a crescente evolução da tecnologia VOIP e, para muitas empresas, a dificuldade da definição de um processo completo que possa auxiliar na gestão de riscos, recomenda-se que os auditores apliquem 15 dos 34 processos do COBIT, visando minimizar os riscos deste na fase de implantação. Revista Interatividade: gestão e tecnologia, Brasília, v.1, n.1, p , jan/jun

59 59 Referências ABNT. Associação Brasileira De Normas Técnicas. Nbr Iso/Iec Tecnologia Da Informação Técnicas De Segurança Código De Prática Para A Gestão Da Segurança Da Informação. Rio De Janeiro: ABNT ABNT. Associação Brasileira De Normas Técnicas. Nbr Iso/Iec Tecnologia Da Informação Técnicas De Segurança Gestão De Riscos De Segurança Da Informação. Rio De Janeiro: ABNT BAKER, S, WATERMAN, S., IVANOV, G. Relatório McAffe Sob fogo cruzado - Infraestrutura crítica na era da guerra cibernética Disponível no site Acesso em 23/04/11. COSO. Gerenciamento de Riscos Corporativos, Estrutura Integrada Disponível em: Acesso em 28/10/2014. DELOITTE. Audit, Consulting, Financial Advisory, Risk Management: We Know You Need More than a Functional Solution to Your Business Problems You Need Real Industry Insight. Disponível em: ba42f00arcrd.htm. Acesso em 23/04/2011 Dicionário de Línguas Michaeles. Disponível em: FINNCATI, Lelis Antonio. Quando o Risco Vira Oportunidade. Revela: Revista Acadêmica da Fals, Praia Grande, Número 2, Disponível em: Acesso em 31/10/2014 GAMBÔA, Fernando Alexandre Rodrigues. Método Para Gestão de Riscos em Implementações de Sistemas Erp Baseado em Fatores Críticos de Sucesso. Revista de Gestão da Tecnologia e Sistemas de Informação. Journal Of Information Systems and Technology Management. vol. 1, NO. 1, 2004, PP LAPA, Antonio. Processos De Auditoria Em Organizações Que Utilizam Voip. Disponível em: LYRA, Mauricio Rocha. Segurança e Auditoria em Sistemas de Informação. Ed. Ciência Moderna, MEREDITH, Jac & MANTEL Jr, Samuel. Administração De Projetos, Uma Abordagem Gerencial. LTC, Rio de Janeiro, EGITO, Marcelo. Modelo de Maturidade dos Processos de TI COBIT. Disponível em: Ti-Cobit/. 29/04/11. Revista Interatividade: gestão e tecnologia, Brasília, v.1, n.1, p , jan/jun

60 60 NUNES, Paulo. 31de Janeiro de 2009, Disponível em: Acesso em 23/04/2011 PURANI, Viswas. Relatório Interno Nª 84 APC. Disponível em: Acesso em 23/04/11. Relatório Symantec Critical Information Infrastructure Protection (CIP) Disponível em: Acesso em 23/04/11. SCHMITZ, Eber Assis; ALENCAR, Antonio Juarez E VILLAR, Carlos Badini. Modelos Análise de Riscos em Gerência de Projetos. Ed. Brasport SILVA, Carlos Alberto da. Auditoria Interna Como Ferramenta De Melhoria dos Controles Internos de uma Organização Disponível em: Acesso em 28/10/2014 SILVA, Edilberto M. Segurança da Informação: Políticas de Segurança e Continuidade de Negócios. Facsenac-DF, Disponível em: 23/04/11. SIMCH, Maicon, TONETTO, Tiago. Auditoria De Sistemas De Informação Aliada À Gestão Empresarial. Disponível em: file:///c:/documents%20and%20settings/aluno/meus%20documentos/downloads/ sm.pdf. Acesso em 28/10/2014 VARGAS, Ricardo Vianna. Gerenciamento De Projetos Estabelecendo Diferenciais Competitivos. Ed. Brasport. Rio de Janeiro Autores Adriana Maria da Silva Komar é especialista em Segurança da Informação, bacharel em Sistemas de Informação, tecnóloga em Análise de Sistemas pela UNEB União Educacional de Brasília. Contato: adrimcdf@gmail.com Ivonete Ferreira de Sousa é especialista em Segurança da Informação, bacharel em Sistemas de Informação e licenciado em Informática. Contato: professoraivonete@yahoo.com.br Roberto Kazuaki Miyaba, Graduado em Gestão da Tecnologia da Informação FacSenac - DF. Contato: miyaba@gmail.com Rozenvaldo Mamede Barbosa é especialista em Segurança da Informação, graduado em Gestão da Tecnologia da Informação FacSenac - DF. Atualmente Servidor Público do Ministério da Ciência e Tecnologia. Contato: rmamede@mct.gov.br Edilberto M. Silva é mestre em Engenharia Elétrica pela Universidade de Brasília e em Gestão do Conhecimento e da Tecnologia da Informação pela Universidade Católica de Brasília. Docente de graduação e de Pós-Graduação FacSenac - DF. Contato: edilms@yahoo.com Revista Interatividade: gestão e tecnologia, Brasília, v.1, n.1, p , jan/jun

61 61 Proposta de SGSI para a Faculdade ALFA: aplicação das ISO s 27001,27002, e Auditoria da Segurança da Informação RESUMO Andreia Batista, Bruno Rodrigues Santana, Elder Monteiro dos Santos, Gabriel Depra Galdino, Yury Hans Kelsen Soares de Andrade, Edilberto Magalhães Silva Com o crescimento contínuo do mercado de tecnologia e o surgimento de novas ameaças de crescimento tecnológico, os riscos à segurança da informação nas empresas também cresceram na mesma proporção. Considerando o cenário atual de uma instituição de ensino superior e as suas ameaças, é importante a criação/adoção de um Sistema de Gestão da Segurança da Informação (SGSI) para proteger informações vitais para as atividades da instituição. Este artigo relata, na prática, uma parte da implementação de um SGSI para uma instituição educacional como um estudo de caso, mostrando os passos e atividades para o desenvolvimento desse SGSI,incluindo classificação de ativos e matriz de riscos. Para fazer isso é necessária uma avaliação de ativos, levantando os pontos fracos e ameaças e determinado com precisão o que é importante proteger dentro da instituição. Após essa avaliação é feita uma análise dos riscos que podem correr esses ativos e os consequentes prejuízos da instituição. As regras que regem o estabelecimento do ISMS são ABNT NBR ISO/IEC 27001:2006, ABNT NBR ISO/IEC 27002:2005 e ABNT NBR ISO/IEC 27005:2008. Palavras-chave: Ativos, SGSI, Riscos, Normas. ABSTRACT With continuous growth of the technology market and the emergence of growing new echnological threats, risks to information security in companies also increased in proportion. Taking into consideration the current scenario of a higher education institution and its threats, it is important to the creation/adoption of a Management System Information Security (ISMS) to protect vital information of its actives. The current text relates a part of an ISMS for an educational institution as a case study, showing the steps and activities in order to do this it is necessary to have an evaluation of the assets, establishing the weaknesses and threats to have a more accurate assessment of what is important to protect within the institution. After this evaluation it is done an analysis of the risks of the assets and the damage that could be caused to the institution. The rules governing the establishment of the ISMS are ABNT NBR ISO/IEC 27001:2006, ABTN NBR ISO/IEC 27002:2005 and ABNT NBR ISO/IEC 27005:2008. Revista Interatividade: gestão e tecnologia, Brasília, v.1, n.1, p , jan/jun

62 62 Introdução Conhecer os conceitos da segurança da informação não significa necessariamente saber garantir essa segurança. Muitos têm experimentado esta sensação quando elaboram seus planos de segurança, mas acabam não atingindo os resultados desejados. O Chief Information Security Officer (CISO) trabalha com fatos, com resultados de análise e exames da organização em questão. A partir desses resultados ele estabelece um conjunto de ações coordenadas no sentido de garantir a segurança da informação mediante um conjunto de mecanismos integrados entre si, de fato, um sistema de segurança da informação. A importância de um Sistema de Gerenciamento de Segurança da Informação (SGSI) para uma organização depende de quanto ela preza a segurança dos seus dados, considerandose que a implantação gera um custo muito alto e pode não gerar um produto visivelmente bom. Se a organização decidir que a segurança dos dados é importante, o método para se criar um SGSI está descrito na ABNT NBR ISO/IEC 27002:2005, que estabelece em passos gerais uma forma considerada ideal por muitas empresas para a análise e implantação de um SGSI, visando elevar a segurança dos dados, considerando os riscos ao negócio e a necessidade de mantê-lo. A ABNT NBR ISO/IEC 27005:2008 fornece diretrizes que auxiliam na criação de um SGSI, mas diferente da ABNT NBR ISO/IEC 27002:2006 que apresenta regras gerais de implantação, essa norma foca na gestão de risco. Para se ter uma segurança relativamente alta (é impossível ter segurança total), é necessário ter uma avaliação dos ativos e das ameaças a que se está exposto, para assim poder ter uma gestão de riscos eficiente, que preveja a maioria dos casos para que se consiga agir de acordo com a situação. Todo processo de implantação de um SGSI deve ser verificado e registrado para que, havendo falhas, seja possível restaurar as atividades mantendo o controle e qualidade dos serviços. Os registros devem ser sempre atualizados contendo atividades dos usuários, exceções, eventos relacionados à segurança da informação, tendo esses dados que ser mantidos por um período de tempo para auxiliar em futuras investigações e monitoramento de acesso. Revista Interatividade: gestão e tecnologia, Brasília, v.1, n.1, p , jan/jun

63 63 1. Metodologia de Desenvolvimento SGSI A organização deve estabelecer, implantar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI documentado dentro do contexto das atividades de seus negócio globais e dos riscos que ela enfrenta. Para os efeitos da Norma, o processo usado está baseado no modelo de Plan, Do, Check, Act (PDCA) mostrado na figura 1 (ABNT NBR ISO/IEC 27001:2006). Figura 7 - Modelo do PDCA aplicado aos processos do SGSI Um Sistema de Gerenciamento de Segurança da Informação (SGSI) é uma série de ações tomadas com o objetivo de gerenciar a segurança da informação, incluindo pessoas, infraestrutura e negócios, reduzindo os riscos a um nível aceitável, enquanto mantém, em perspectiva os objetivos do negócio e as expectativas do cliente (Academia Latino-Americana de Segurança da Informação Introdução à ABNT NBR ISO/IEC 17799: Módulo 1) O processo de implantação de um SGSI deve seguir os seguintes passos: 1. Desenho do SGSI: seleção do modelo através do qual o SGSI irá atuar (tipo de norma: BS7799, ABNT NBR ISO/IEC 17799:2005, etc). Planejamento inicial das fases do projeto. Levantamento dos ativos envolvidos (equipamentos, infraestrutura, sistemas, pessoas e serviços); 2. Avaliação dos riscos: identificação e avaliação das ameaças e vulnerabilidades. Para cada ameaça deve ser atribuído um nível de risco; 3. Tratamento dos riscos: é o gerenciamento dos riscos, envolvendo as atividades que tentarão impedir um ataque antes que ele ocorra e/ou reduzirão os efeitos da ameaça; Revista Interatividade: gestão e tecnologia, Brasília, v.1, n.1, p , jan/jun

64 64 4. Definição de controles: a necessidade de controles é um resultado da avaliação de riscos e sua escolha é feita com base na relação custo x benefício de sua implantação. Os controles podem ser baseados em software, hardware, pessoas ou processos; 5. Implementação: implantação em si das contramedidas de segurança; 6. Auditoria: verificação das condições estabelecidas nos passos anteriores, ou seja, se elas são atendidas de maneira satisfatória; 7. Melhoria contínua: aprimoramento contínuo do SGSI através da busca de assertivas que deem mais valor às atividades de segurança da informação. A implantação do SGSI é extremamente facilitada através do uso de softwares que, além de coletar informações importantes, possuem ferramentas para auxílio em todo o ciclo. Algumas destas ferramentas serão tratadas na próxima seção. 1.1 ABNT NBR ISO/IEC 27002:2007 Voltada para Criação de um SGSI A informação é um ativo que, como qualquer outro com grande relevância para os negócios, necessita ser adequadamente protegido. Podendo existir em diversas formas, tais como impressas ou escritas em papel, armazenada eletronicamente, transmitida pelo correio ou por meios eletrônicos, apresentada em filmes ou falada em conversas, a informação, seja qual for a forma em que estiver apresentada ou o meio pelo qual for compartilhada ou armazenada, deve ser sempre protegida adequadamente. Segundo a ABNT NBR ISO/IEC 27002:2005 a informação e os processos de apoio, sistemas e redes são importantes ativos para os negócios. Definir, alcançar, manter e melhorar a segurança da informação podem ser atividades essenciais para assegurar a competitividade, o fluxo de caixa, a lucratividade, o atendimento aos requisitos legais e a imagem da organização junto ao mercado. É essencial que uma organização identifique os seus requisitos de segurança da informação, conforme descrito na tabela 1. Cada categoria principal de segurança da informação deve conter objetivos que definem o que deve ser alcançado e os controles que podem ser aplicados para alcançar o controle. De acordo com a ABNT NBR ISO/IEC 27002, os objetivos de controle e controles deverão ser baseados nos resultados e conclusões dos processos de análise/avaliação de riscos e tratamento de risco, dos requisitos legais ou regulamentares, obrigações contratuais e os requisitos de negócio da organização para que o SGSI possa garantir a segurança da Revista Interatividade: gestão e tecnologia, Brasília, v.1, n.1, p , jan/jun

65 65 informação, mitigar os riscos associados ao negócio e contribuir para o bom andamento das atividades relacionadas a organização. 1.2 ABNT NBR ISSO/IEC 27005:2008 A norma ABNT NBR ISO/IEC 27005:2008 diz que o processo da gestão de riscos consiste na definição do contexto, análise/avaliação de riscos, tratamento do risco, aceitação do risco, comunicação do risco e monitoramento e análise crítica de riscos. A análise/avaliação de riscos consiste em definir o contexto da organização, que é composto por critérios básicos descritos na norma, assim como o escopo da organização em que o SGSI será usado. Além disso, há também a identificação dos ativos, dos riscos, das vulnerabilidades da organização, das possíveis ameaças e das consequências de incidentes. Na análise de riscos há também estimativas para os riscos e o nível deles, e por fim a avaliação da probabilidade dos incidentes. De acordo com a nova norma, o processo de gestão de riscos de SGSI é composto pelas seguintes atividades (ABNT NBR ISO/IEC 27005:2008): Figura 8 - Overview do gerenciamento de Riscos ISO/IEC 27005:2008 Revista Interatividade: gestão e tecnologia, Brasília, v.1, n.1, p , jan/jun

66 66 O tratamento do risco consiste em selecionar as opções mitigar, transferir, aceitar e evitar risco, para que esse seja diminuído ao máximo possível. Essas opções podem ser usadas à vontade e não são mutuamente exclusivas, sendo, às vezes necessário aplicar mais de uma delas. Para o tratamento do risco é possível ter uma redução que prevê controles para diminuição ou a retenção do risco. Se o nível do risco atender aos critérios para a aceitação, não haverá controles ou ações para evitá-lo. A organização pode decidir evitar o risco simplesmente eliminando a atividade que o apresenta ou implementando um controle, o que seria mais custoso. 2. Auditoria de Gestão em Segurança da Informação A Auditoria de segurança da informação utiliza os registros (log) para atestar controles de segurança na prática eficientes e eficazes, minimizando exposições da organização a riscos que podem causar danos. Os registros devem conter atividades dos usuários, exceções, eventos relacionados à segurança da informação, dados que devem ser mantidos por certo tempo para auxiliar em futuras investigações e monitoramento de acesso. A fase de monitorar e analisar criticamente os registros na ABNT NBR ISO/IEC 27001: em que o modelo PDCA está presente é um marco. Ao se atingir este marco passa-se para a próxima fase quando se pode manter e melhorar ações corretivas e preventivas com base nos resultados da auditoria interna do SGSI. Os registros devem conter dados como (ABNT NBR ISO/IEC 27002:2005): A. Identificação de usuários; B. Datas, horários e detalhes de eventos como o horário de entrada (logon) e saída (logoff) no sistema; C. Identidade do terminal, se tratando do acesso wirelles dentro das dependências da instituição, como exemplo: exigir cadastro do MAC. D. Registros de acesso ao sistema aceitas e rejeitadas; E. Uso de aplicações e utilitários do sistema; F. Uso de aplicações e utilitários do sistema; G. Arquivos acessados e tipo de acesso; H. Endereços e protocolos de rede; I. Alarmes provocados pelo sistema de controle de acesso; J. Ativação e desativação dos sistemas de proteção, tais como sistemas de antivírus e sistemas de detecção de intrusos. Revista Interatividade: gestão e tecnologia, Brasília, v.1, n.1, p , jan/jun

67 67 Os objetos ou objetivos de controle são utilizados de forma genérica no plano de auditoria e dependem do tipo de auditoria específico em cada gestão de segurança da informação. Cada tipo de auditoria possui uma gama diferente de objetos de auditoria (OA) e pontos de controle (PC) a serem auditados. Essas relações implicam elementos que têm sua aplicabilidade analisada diante do contexto a ser empregado. Os pontos de controle caracterizam situações específicas que podem estar relacionadas aos produtos, processos, procedimentos, eventos ou quaisquer outros itens observáveis e relevantes para uma auditoria, conforme exemplo que será dado na Tabela 1 e 2. A auditoria trata os controles como forma de gerenciar e utilizar as normas, políticas, práticas, métricas e mecanismos automatizados para facilitar o processo. O programa de auditoria deve ser planejado levando em consideração a situação e a importância dos processos e áreas a serem auditadas, bem como os resultados de auditoria. O responsável pela área auditada deve assegurar que as ações sejam executadas, sem demora indevida para eliminar as não-conformidades detectadas e suas causas. As atividades de acompanhamento devem incluir a verificação das ações executadas e o relato dos resultados. 3. Criação e Implantação de um SGSI em uma Faculdade Para a criação de um SGSI é importante seguir os normativos relativos à segurança da informação. O fluxo apresentado na figura 3 descreve os passos a serem seguidos tendo como base as ISO 27001, e processos de auditoria. Figura 9 - Fluxo para implementação do SGSI A definição do contexto define quais serão os critérios de avaliação de riscos, de impacto e de aceitação de riscos. O presente estudo não incluiu os riscos de impacto e nem de a aceitação. Revista Interatividade: gestão e tecnologia, Brasília, v.1, n.1, p , jan/jun