analises e gestão do risco na área de · pdf fileuniversidade candido mendes...

UNIVERSIDADE CANDIDO MENDES

INSTITUTO A VEZ DO MESTRE

PÓS –GRADUAÇÃO “LATO SENSU”

ANALISES E GESTÃO DO RISCO NA ÁREA DE

TECNOLOGIA DA INFORMAÇÃO

Prof. Jorge Vieira

Rio de Janeiro

2010

UNIVERSIDADE CANDIDO MENDES

INSTITUTO A VEZ DO MESTRE

PÓS –GRADUAÇÃO “LATO SENSU”

ANALISES E GESTÃO DO RISCO NA ÁREA DE

TECNOLOGIA DA INFORMAÇÃO

OBJETIVOS:

Trabalho apresentado para conclusão de

curso Gestão Empresarial, na universidade

Candido Mendes – Instituto A Vez do Mestre.

AGRADECIMENTOS

A todo corpo docente do “Institutos a Vez do Mestre”

.Ao professores Jorge Vieira pelas excelentes aulas

de marketing e ao professor pela grande força e

motivação nas aulas .

4

DEDICATÓRIA

Dedico este trabalho primeiramente a Jesus, pois sem ele nada é viável e seria muito difícil para eu superar sozinho todas as barreiras que se apresentaram e se apresentam em minha caminhada.

Aos meus pais; pelo esforço e a dedicação, em todos os momentos, para que eu fosse antes de um profissional realizado, fosse uma pessoa de bem.

A todas as pessoas e tantas outras que contribuíram de alguma forma para que eu chegasse até aqui os meus sinceros votos de gratidão.

5

RESUMO

Este trabalho visa gerar um estudo que apresente soluções concretas

baseadas no estudo e analise do ambiente de tecnologia alinhado com a

gestão e mitigação dos riscos que geram impactos na organização e está

dividido em partes distintas que tratam de referenciais teóricos, estudo de caso,

modelagem do processo original (as is), modelagem do processo proposto (to

be) e as matrizes de risco e controles (as is e to be).

Mapear e modelar o processo de interação com o ambiente de tecnologia da

Informação do colaborador da Alfa & Omega , identificando os riscos gerados

pelos pontos de falha em Segurança, propondo a utilização de pacotes de

processos e políticas de gestão norteados principalmente pelas normas

apresentadas na ISO 17799 e ISO 27001: Estes processos serão baseados em

análise e necessidades específicas do ambiente de Tecnologia, que possam

garantir à organização a mitigação e gestão do risco pelo trinômio de

Confidencialidade, Integridade e Disponibilidade das informações.

6

METODOLOGIA

Serão utilizadas técnicas de modelagem de processos e matrizes de

identificação e controle de riscos para a realização da analises e proposição de

valor. Baseado nestes dados serão propostas as políticas para a gestão do

risco.Este trabalho será implantado em caráter experimental no ambiente da

Alfa & Omega valendo-se das entrevistas realizadas de forma qualitativa juntos

aos steakholders.

Os dados serão coletados a partir de observações feitas no ambiente

corporativo habilitado por tecnologia da Informação. Estas informações serão

insumos básicos para a criação dos desenhos de processos e das matrizes de

risco.

7

SUMARIO

INTRODUÇÃO 8

CAPITILO I

CONTEXTUALIZAÇÃO DO PROBLEMA 9

CAPITULO II

ANALISE E GESTÃO DE RISCO 16

CAPITULO III

TERMOS E DEFINIÇÕES 21

CAPITULO IV 28

APLICAÇÃO ALFA E OMEGA – A EMPRESA

CONCLUSÃO 39

BIBLIOGRAFIA 42

INTRODUÇÃO

8

Segurança da Informação está diretamente relacionada com a proteção de um

conjunto de dados, no sentido de preservar o valor que possuem para um

indivíduo ou uma organização. São características básicas da segurança da

informação os atributos de confidencialidade, integridade e disponibilidade não

sendo esta segurança restrita somente a sistemas computacionais,

informações eletrônicas ou sistemas de armazenamento. O conceito se aplica

a todos os aspectos de proteção de informações e dados.

O conceito de Segurança Informática ou Segurança de Computadores que será

abordado neste trabalho está intimamente relacionado com o de Segurança da

Informação, incluindo não apenas a segurança dos dados/informação, mas

também a dos sistemas em si.

O conceito de Segurança da Informação está padronizado pela norma ISO/IEC

17799:2005, influenciada pelo padrão inglês (British Standard) BS 7799. A

série de normas ISO/IEC 27000 foram reservadas para tratar de padrões de

Segurança da Informação, incluindo a complementação ao trabalho original do

padrão inglês. A ISO/IEC 27002:2005 continua sendo considerada formalmente

como 17799:2005 para fins históricos.

Em muitos casos as medidas para mitigar riscos de quebra da segurança da

informação não são seguidas como deveriam. É muito comum desde grandes

empresas até pequenos usuários adquirirem equipamentos de segurança, mas

no futuro não se preocupam com atualizações ou até mesmo com seus mais

comuns erros de configurações.

É imprescindível que uma empresa ou até mesmo um usuário doméstico que

usa como ferramenta de trabalho e/ou diversão internet tenha normas,

políticas, procedimentos e ferramentas devidamente configuradas e atualizadas

para a garantia da proteção das informações que possua.

CAPITULO I

9

CONTEXTUALIZAÇÃO DO PROBLEMA

A Empresa Alfa & Omega por percepção de seus colaboradores, por

intermédio de sua Gerencia de TI e sua diretoria, entende que existe

atualmente na organização um ambiente desalinhado com as exigências de

mercado frente à mitigação de riscos em questões de segurança da informação

em níveis pessoais, gerenciais e estratégicos relacionados as praticas e

operações no ambiente de tecnologia da informação.

É fato que este ambiente pode propiciar diversos tipos de incidentes de

segurança, levando a perdas financeiras, de clientes e principalmente da

credibilidade da organização junto a seus clientes internos e externos.

Entende-se que os maiores problemas estão relacionados à falta de uma

política estruturada de segurança da informação, implementada e divulgada de

forma objetiva aos colaboradores, quanto a normas apresentadas por

organizações que regulamentam e certificam os níveis de segurança das

organizações como são a ISO 17799 e algumas sessões da ISO 27001, ambas

utilizadas pontualmente como arcabouço para este trabalho

2. Modelagem de Processos de Negócios

2.1 Introdução

O Cenário econômico orientado à globalização e o foco na competitividade da

empresa, vem levando as organizações a definirem seus processos como

sendo um importante fator de redução de custos e melhoria da qualidade

operacional e produtiva. Esta visão faz com que as organizações entrem numa

busca contínua da otimização e constante rejuvenescimento de seus

processos, resultando em diferenciais competitivos importantes para o

posicionamento da empresa em seu mercado.

O conceito de BPM surgiu nos Estados Unidos como resposta a um grande

vazio quando se tratava de gestão de processos organizacionais e inter-

organizacionais e a modelagem de processo veio agregar um conjunto de

práticas e soluções que promovem a integração dos processos da organização

10

com pessoas e sistemas dentro de um fluxo contínuo e transparente de

informações.

2.2-Business Process Management

O Business Process Management (BPM) é, em síntese, um conceito que une

gestão de negócio e tecnologia da informação voltado à melhoria dos

processos de negócio das organizações através do uso de métodos, técnicas e

ferramentas para modelar, publicar, controlar e analisar processos operacionais

envolvendo humanos, aplicações, documentos e outras fontes de informação.

2.3Utilidades do BPM

A utilização do BPM, ao longo dos últimos anos, vem crescendo de forma

bastante significativa, dada a sua utilidade e rapidez com que melhora estes

processos nas empresas onde foi implementado. A sua perspectiva de

crescimento é muito grande, visto que ainda é um conceito pouco conhecido,

principalmente no Brasil.

O termo 'processos operacionais' se refere aos processos de rotina (repetitivos)

desempenhados pelas organizações no seu dia-a-dia, ao contrário de

'processos de decisão estratégica', os quais são desempenhados pela alta

direção. O BPM difere da remodelagem de processos de negócio, uma

abordagem sobre gestão bem popular na década de 90, cujo enfoque não

eram as alterações revolucionárias nos processos de negócio, mas a sua

melhoria contínua.

Adicionalmente, as ferramentas denominadas sistemas de gestão de

processos do negócio (sistemas BPM) monitoram o andamento dos processos

de uma forma rápida e barata tal que os gestores possam analisar e alterar

processos baseado em dados reais e não apenas por intuição.

Assim, estas pessoas de altos cargos que podem enxergar, por exemplo, onde

estão os gargalos, quem está atrasando a sua tarefa, o quanto está atrasando

e com que frequência isso ocorre, o percentual de processos concluídos e em

andamento, entre outros. Como conseqüência disto, fatores cruciais para o

11

bom desempenho de uma empresa podem ser analisados com extrema

facilidade e rapidez o que geralmente não ocorre com outras ferramentas que

não o BPM.

Além disso, as pessoas participantes do processo também são beneficiadas:

com o BPM, elas têm o seu trabalho facilitado uma vez que recebem tarefas e

devem simplesmente executá-las, sem preocupar-se com para onde devem

enviá-la, por exemplo, dado que o processo já foi desenhado e todas as

possíveis situações de seguimento deste já estão registradas. Além disso,

podem enxergar como foi o caminho realizado até a sua atividade e em que

status está. Os softwares responsáveis pela automação destas atividades são

chamados de Business Process Management Suites, ou BPMS.

Outra visão sobre BPM: O Business Process Management (BPM), Gestão por

processos de negócios, tem como objetivo prover o alinhamento dos processos

de negócios com a estratégia (os processos são a execução da estratégia), os

objetivos e a cadeia de valor das organizações.

2.4 O que é um Processo de Negócio (Business Process)?

Um processo de negócio pode ser caracterizado como um conjunto de tarefas

que envolvem pessoas e recursos para que possa se atingir um objetivo

previamente traçado. Como resultado deste, é gerado um produto ou serviço

que vai ao encontro dos desejos dos clientes. Muitas empresas não dão a

importância devida a estes processos, o que se caracteriza em um grande erro,

uma vez que estes são cruciais à sua sobrevivência.

2.5 Sistemas de BPM

Esta tecnologia permite analisar, desenvolver, implementar e rever processos

de negócio garantindo o respeito a prazos e normas. Desde empresas de

serviços até industrias petroquímicas, qualquer negócio pode beneficiar com

esta solução. Metodologia IBPM

2.6 O papel das pessoas no BPM

Uma das vertentes do BPM, tem grande foco voltado para pessoas (human-

centric), sendo estas o centro dos processos de negócio. Alguns BPMS vêm

12

seguindo esta corrente buscando oferecer aos usuários maior facilidade e

flexibilidade no uso, o que torna a experiência mais agradável, com

ferramentas simples e intuitivas.

2.7 Automação de Processos

A automação de processos de negócio é uma prática extremamente eficaz.

Quando se automatiza processos, rapidamente é possível obter-se um controle

mais rígido e adaptado às necessidades da empresa. É realizada pelos BPMS

(Business Process Management Suites) e têm baixo custo. Algumas empresas

comercializam os suites por processos, e não pelo pacote completo, o que

torna ainda mais acessível. Através da automação, um serviço melhor é

oferecido ao cliente, dada a rapidez e organização que a empresa passará a

apresentar. Além disso, terá seus custos reduzidos.

2.8 Modelagem

A modelagem de processos é feita no próprio BPMS. Alguns destes seguem a

notação mais usada atualmente, o BPMN (Business Process Modeling

Notation). Esta notação trata-se de uma série de ícones padrões para o

desenho de processos, o que facilita o entendimento do usuário. A modelagem

é uma etapa importante da automação pois é nela que os processos são

descobertos e desenhados. É nela também que pode ser feita alguma

alteração no percurso do processo visando a sua otimização.

2.9 Simulação

Após o desenho e o estabelecimento dos usuários responsáveis pela

conclusão de cada tarefa, pode ser feita uma simulação, onde pode-se testar

se as regras pré-estabelecidas estão de acordo com o objetivo da empresa e

se as tarefas estão sendo encaminhadas para as pessoas corretas.

2.9.1 Execução

A execução do processo ocorre após as etapas anteriores já terem sido

realizadas. O BPMS utilizado faz com que as tarefas sejam enviadas para os

13

seus devidos responsáveis, controlando o seu tempo de execução por pessoa

e pelo processo em geral. Podem ser utilizadas também regras de negócio

(Business Rules) pré-estabelecidas.

2.9.2Controle

O controle ideal de BPM é aquele que está presente durante todas as etapas

do processo: antes, durante e depois. Desde o início da modelagem até a

análise pós-conclusão da execução, o controle deve ser realizado. Um tipo de

controle que existe em alguns BPMS são relatórios de fluxos em andamento,

onde é fornecido o status do fluxo, com quem está parado, há quanto tempo

está parado, etc. Isso é importante para evitar que os erros sejam encontrados

somente quando o processo é concluído. Há também relatórios de fluxos

concluídos, onde se pode ter uma noção geral de como se desenvolveu o

processo. Alguns softwares apresentam gráficos e relatórios com bastantes

detalhes dos processos.

2.9.3 Otimização

A otimização tem crucial importância quando se trata de BPM. É essencial para

que sejam feitas melhorias nos processos de modo a alcançar resultados

positivos mais rapidamente, melhorando o serviço aos clientes e,

possivelmente, com menores custos. Depende, obviamente, das etapas

anteriores, principalmente do controle, onde deve haver uma busca pela

perfeição. Para acompanhar a implantação de um BPM poderemos utilizar o

BPMS (Business Process Management System) que nada mais é do que

softwares que permitem a gestão dos processos.

O BPMS possibilita que a organização mapeie, execute e acompanhe

processos internos e externos de forma automatizada após a sua modelagem.

O conjunto de práticas e soluções que vêm acopladas ao BPM trouxe o

conhecimento de diversas áreas de tecnologia para o mundo da automação de

processos; tais como:

• Workflow (automação dos processos)

14

• Business Process Modeling and Analysis (entendimento detalhado do

processo e o impacto da mudança do processo)

• Enterprise Application Integration (troca de informações entre sistemas)

• Business Activity (monitoramento dos processos).

Em outros tempos os Workflows eram vistos apenas pela área de TI por causa

da sua complexidade e com isso obrigavam que as regras de negócios fossem

programadas dentro do próprio fluxo do workflow. Com as soluções de BPM as

regras de negócio ficam sob o controle dos analistas de processos, fazendo

com que a área de TI preste apenas consultoria técnica (montagem de fluxos

mais complexos) e suporte.

O BPM é uma solução robusta e definitiva que integra todas as evoluções e

conceitos da Gestão de Processos. Adapta os processos de negócios à

tecnologia existente na empresa e ajuda aos usuários a modelarem,

automatizarem e gerenciarem seus próprios processos.

2.9.4 BPMS – Business Process Management System

Os BPMS geralmente são softwares que auxiliam na gestão (mapear, executar

e acompanhar) dos processos organizacionais.

Esses softwares devem ser capazes de gerar grandes volumes de informações

gerenciais sobre os processos executados na organização, possibilitando a

identificação de gargalos, controle de desempenho e seu monitoramento,

gerando integração com outros sistemas e com a administração dos processos

(tempo real), permitindo que os analistas de processos desenhem (modelem) e

configurem os processos de negócios via automatização de processos

utilizando, Workflow, EAI, BI, e outras ferramentas de apoio a decisão.

15

2.9.5-BPMN – Business Process Modeling Notation

BPMN é uma notação gráfica que tem por objetivo prover instrumentos para

que o processo de mapeamento seja realizado de maneira padronizada. Deve

ser capaz de mapear os processos internos e externos da organização.

A organização deve ser capaz de atualizar seus modelos de acordo com suas

regras e interesses sem prejudicar as especificações anteriores.

O BPMN pode ser traduzido para padrões técnicos de processos como o BPEL

que atualmente se tornou o mais popular no mercado. Para cada objeto no

BPMN existe um correspondente em BPEL ou outro código. Essa

correspondência entre o padrão visual e o técnico é que irá permitir que os

analistas de processo modelem seus processos e os analistas de sistemas

interajam em outras ferramentas com o mesmo modelo.

16

CAPITULO III

ANALISE DE RISCO

Conforme Vesely (1984), o risco pode ser entendido como o perigo,

probabilidade ou possibilidade de um infortúnio, insucesso ou resultado

indesejado. Já a analise e gestão do risco, segundo definição do PMI (PMBOK,

2000), pode ser entendida como um processo sistemático de identificar,

analisar e responder aos riscos do projeto, procurando obter vantagem das

oportunidades de melhoria sempre que possível. De acordo com duas

importantes referências a norma NBR ISO 10006:2000 e o PMBOK (PMI,

2000), a analise e gestão do risco envolve os seguintes processos:

• Identificação de riscos: consiste na determinação de quais riscos, internos

externos, são mais prováveis de afetar um projeto ou organização e quais são

os limites aceitáveis para cada um deles;

• Avaliação de riscos: análise da probabilidade de ocorrência e impacto dos

riscos identificados, de maneira quantitativa e qualitativa;

• Desenvolvimento de reação ao risco: devem ser criados planos de

contingência para os riscos identificados e avaliados, com a finalidade de

eliminar ou minimizar os impactos causados. É necessário avaliar sempre os

efeitos positivos e negativos da implementação dos planos de contingência;

• Controle de riscos: estabelecer um processo formal de identificação,

avaliação e desenvolvimento de respostas aos riscos do projeto, para que a

situação dos riscos associados seja constantemente monitorada e os planos de

contingência estejam sempre atualizados e prontos para serem

implementados.

A NBR ISO 10006:2000 cita ainda que todo o processo de analise e gestão do

risco deve ser formalmente documentado e fazer parte das avaliações de

progresso do projeto ou da organização.

17

As normas

Este capítulo aborda as normas para implantação de segurança da informação

numa empresa e como se dá o processo de certificação de empresas e de

pessoas nessa área.

A certificação é um documento emitido por uma entidade certificadora

independente garantindo que uma dada empresa implantou corretamente todos

os controles definidos na norma de certificação. No caso da segurança da

informação existe uma norma internacional chamada Brithish Standart 7799

(BS 7799) que foitraduzida no Brasil e denominada NBR ISO/IEC 17799. A

certificação para segurança da informação é emitida após um procedimento de

verificação de conformidade das normas na empresa pela entidade

certificadora.

A certificação faz com que a empresa certificada comprove que a segurança da

informação está assegurada de forma efetiva, o que não significa, contudo, que

a empresa esteja imune a violações de segurança, a qual deverá ser realizada

por pessoal que esteja tecnicamente habilitado a verificar a capacidade do

sistema em termos dos requisitos de segurança. Além disso, a certificação

comprova, para os clientes e fornecedores da empresa o zelo que estas tem

com a segurança da informação, reforçando a imagem da empresa junto ao

mercado. Dependendo da atividade da empresa, essa certificação pode ser

essencial para realização de certos negócios.

3.2-Normalizações de Segurança da Informação

Normalizações são documentos que possuem regras que devem ser seguidas

conforme descritas, visando o sucesso de uma organização em determinado

aspecto.

No caso da gestão da segurança da informação o objetivo das normas é

fornecer recomendações para serem usadas por aqueles que são responsáveis

pela introdução, implementação ou manutenção da segurança em suas

empresas.

As normas criadas se adaptam bem a organizações comerciais. Porém,

instituições de ensino, instituições públicas e outras assemelhadas podem ter

18

dificuldades em implantar certos controles da norma devido a seus ambientes

serem diferentes dos de uma empresa comercial. Apesar disso, qualquer

organização pode aproveitar grande parte dos controles da norma para

implementar segurança da informação em suas instalações.

Sabe-se que segurança total não existe, no entanto, a implantação dos

controles da norma assegura um bom nível de segurança sobre aspectos

comohardware, software e pessoas.

A implantação de uma norma traz vários benefícios internos através da

melhoria do gerenciamento da informação. Garante aos sócios e parceiros da

empresa uma avaliação competente e imparcial sobre seu sistema de

segurança da informação, outra vantagem é possibilitar conformidade com a

legislação nacional na área de segurança da informação do país de origem,

como, por exemplo, ajudar as organizações a cumprirem as exigências de leis

sobre privacidade de dados, além dos benefícios externos que adquire frente

aos clientes.

3.3 Norma BS 7799

O Brithish Standart 7799 é uma norma de segurança da informação criada na

Inglaterra. Teve seu desenvolvimento iniciado em 1995. Divide-se em duas

partes, estando a primeira parte homologada desde 2000 e, a segunda parte

homologado em 2002, segundo Alberto Bastos, considerada o mais completo

padrão para o gerenciamento da Segurança da informação no mundo

(BASTOS, 2002). A preparação para certificação BS 7799 representa um

grande passo para garantir os requisitos de segurança dos ativos da

informação considerados críticos para o negócio. A primeira parte da norma é

composta por recomendações de segurança da informação, não sendo objeto

de certificação. No entanto, é parte muito importante para se alcançar a

certificação. Foi planejada como um documento de referência para implementar

"boas práticas" de segurança na empresa. Na segunda parte, que é objeto de

certificação, é definido o escopo de um Sistema de gestão de Segurança da

informação (SGSI). Para isso deve-se fazer um mapeamento da empresa para

identificar instalações e processos de negócio, sejam eles sistemas,

dispositivos físicos, processos e atitudes comportamentais. Este trabalho é

19

realizado através de entrevistas com gestores de processos de negócio da

empresa. Segundo o gerente para desenvolvimento de novos negócios da

DNV, Samuel Andrade, são necessárias seis medidas para uma empresa obter

certificação BS 7799 (ANDRADE, 2002):

1. Definição da política de segurança de informação.

2. Definição do escopo do sistema de gestão de segurança de informação

(perímetro de abrangência).

3. Análise de risco (identificação de ameaças e vulnerabilidade).

4. Gestão do risco.

5. Seleção dos controles.

6. Preparo da declaração de aplicabilidade (quais itens da norma serão

aplicáveis).

3.4 Norma NBR ISO/IEC 17799

A International Standartization Organization (ISO) trata-se de uma organização

internacional formada por um conselho e comitês com membros oriundos da

maioria dos países. Seu objetivo é criar normas e padrões universalmente

aceitos sobre como realizar as mais diversas atividades comerciais, industriais,

científicas e tecnológicas. O International Engineering Consortium (IEC) é uma

organização voltada para o aprimoramento da indústria da informação. A

associação entre as duas instituições tem produzido diversas normas e

padronizações internacionais. Após anos de trabalhos em torno da BS 7799,

percebeu-se que ela poderia atender a organizações de todo mundo e não só

do Reino Unido. De fato, esta norma foi levada para apreciação da ISO/IEC

que homologou um draft da norma que passou a ser denominada ISO 17799.

No Brasil a norma ISO/IEC 17799 corresponde basicamente à primeira parte

da BS 7799. Traz consigo a experiência da prática das maiores organizações

diferentes segmentos de mercado. É uma padronização dos controles mínimos

devendo ser implementada e gerenciada pelas empresas que consideram as

suas informações como de importância crítica na sua estratégia de negócio.

20

A aplicação da análise normativa da ISO/IEC 17799 pode ser aplicada a

qualquer organização, não importando o segmento, tamanho ou a tecnologia

utilizada na gestão do seu negócio. Já é comum a aplicação dos padrões em

setores (ex: financeiro) para depois estender a toda empresa. A norma provê

padrões consistentes para as organizações avaliarem qual o nível de

segurança aplicado às suas regras de negócio em comparação ao mercado

internacional. A ISO17799 é bem abrangente, pretendendo contemplar todos

os aspectos da segurança da informação. Nesse sentido, a NBR ISO/IEC

17799 divide-se em 12 capítulos ou partes (A3 SEG, 2002), cada qual

abordando um aspecto da segurança da informação. Os capítulos que

compõem a norma são os seguintes:

3.5 Objetivo:

É essencial que uma organização identifique as suas necessidades de

segurança antes de implantar qualquer controle. Segundo Marcos Prado,

existem três fontes principais a serem analisadas:

a) A primeira fonte é obtida a partir da análise de risco dos ativos de

informação. Pela análise de risco é que são identificadas as vulnerabilidades e

ameaças a que a informação está sujeita, bem como a probabilidade de

ocorrência. Com isso, pode-se dimensionar o impacto quando da ocorrência

dessas falhas;

b) A segunda fonte é a legislação vigente, os estatutos, as regulamentações e

as clausulas contratuais que a organização tem que cumprir;

c) A terceira fonte é o conjunto particular de princípios, objetivos e exigências

para processamento da informação que uma organização tem que desenvolver

para apoiar suas operações.

CAPITULO IV

TERMOS E DEFINIÇÕES

Define a segurança da informação e os termos ligados a tal processo.

21

4.1Política de segurança:

A administração deve estabelecer uma política clara e demonstrar apoio e

comprometimento com a segurança da informação através da definição e

manutenção de uma política que deverá ser seguida por toda a organização.

Este documento deve ser claro. Será dividido em grupos, conforme o enfoque

estratégico, tático e operacional.

4.2 Segurança organizacional:

Aborda a estrutura de uma gerência para segurança da informação, define as

responsabilidades dos usuários pela segurança da informação, incluindo

agentes externos e fornecedores de serviços.

4.3 Classificação e controle dos ativos de informação:

Define a classificação, o registro e o controle das informações da organização.

4.4 Segurança em pessoas:

Reduz os riscos de falha humana, roubo, fraude ou uso impróprio das

instalações; assegura que os usuários, de acordo com seus cargos, estejam

cientes das ameaças à segurança da informação.

4.5 Segurança ambiental e física:

Segurança das áreas de circulação restrita e à necessidade de se protegerem

os equipamentos e a infra estrutura de um Ambiente Computacional Complexo.

4.6 Gerenciamento das operações e comunicações:

Aborda as principais áreas que devem ser objeto de especial atenção da

segurança. Dentre estas áreas destacam-se:

procedimentos operacionais e respectivas responsabilidades, homologação e

implementação de sistemas, gerência de redes, controle e prevenção de vírus,

controle de mudanças, execução e guarda de cópias de segurança, controle de

documentação, segurança de correio eletrônico etc.

22

4.7 Controle de acesso:

Controla o acesso a informação, prevenindo contra acesso não autorizado a

sistemas, equipamentos e rede; Define sistemas de senhas para

monitoramento de acesso e uso; assegura a segurança da informação quando

usada em notebooks e recursos de tele-processamento.

4.8 Desenvolvimento de sistemas e manutenção:

Aborda os requisitos de segurança dos sistemas, desenvolvimento, dados e

suporte, garantindo a confidencialidade, autenticidade e integridade da

informação, assegurando que projetos de tecnologia da informação e suporte

de atividades sejam conduzidos de maneira segura.

4.9 Gestão de continuidade do negócio:

Previne para que não ocorram interrupções nas atividades e processos críticos

do negócio devido às falhas e desastres, reforça a necessidade de se ter um

plano de continuidade e contingência desenvolvido, implementado, testado e

atualizado.

4.9.1 Conformidade:

Evita, por parte da organização, as seguintes violações: às leis civis ou

criminais; às obrigações legais ou contratuais de propriedade intelectual; de

segurança a sistemas e informações de terceiros. Também visa a maximizar a

efetividade e minimizar a interferência em sistema de auditagem.

4.9.1 Certificações em Empresas

Segundo Alberto Bastos, sócio-fundador e diretor de tecnologia Módulo,

quando uma empresa certifica seu sistema de Gestão de Segurança da

informação, está reforçando ao mercado seu compromisso com a

implementação de controles e sua preocupação com a proteção das

informações de seus clientes (BASTOS, 2002). O número de empresas pelo

mundo certificadas BS 7799 tem aumentado consideravelmente A constatação

está presente no site da ISMS International User Group , que gerencia uma

lista atualizada e completa das empresas que obtiveram tal certificado.

Atualmente tal lista contempla 202 empresas do mundo. O Reino Unido é o

23

país com o maior número de organizações certificadas (86), seguido de Japão

(20), Itália (11), Índia (10), Coréia (9), Alemanha (8), Finlândia (8), Singapura

(7), Noruega (6), Hong Kong (6) e outros (31). O Brasil está presente com duas

empresas:

A Módulo, primeira empresa certificada BS 7799 da América Latina, e a Serasa

(A-

COMP W). Para que uma empresa se certifique em segurança da informação é

necessário que a organização opte por uma norma. No caso do Brasil deve-se

optar pela NBR ISO/IEC 17799, que além das etapas previstas na

normalização, exige a implementação de um sistema de gestão de segurança

da informação.

Durante o processo de certificação é necessária a presença de profissionais

especialistas no assunto que tenham conhecimento dos conceitos

referendados na norma. Devido a este fato recomenda-se a contratação de

consultores ou empresas especializadas, como a Módulo e a Symantec, entre

outras mais. Depois de decorrido este processo, é solicitado a visita de um

profissional, geralmente um auditor, autorizado a emitir o certificado. Ocorrerá

um processo de auditoria que é dividido em duas etapas: uma visita inicial para

revisão da documentação do Sistema de Gerenciamento da Segurança da

informação para observar se o procedimento da organização está de acordo ao

solicitado em norma, e o planejamento da próxima visita de auditoria. Após a

segunda visita se tudo estiver de acordo, a empresa é certificada e

acompanhada para a permanência. Caso contrario, são colocadas algumas

observações de procedimentos que não estão de acordo com a normalização.

A empresa terá que fazer modificações passando pelo processo de

certificação novamente em data futura para nova tentativa certificação.

O custo depende de vários fatores, tais como a conscientização da

administração da empresa, quanto tempo o responsável pela certificação

levará para se convencer sobre a conformidade das instalações da empresa

com relação à norma, ao tamanho e à complexidade da empresa e de seus

sistemas, em qual nível de segurança a organização se encontra, e outros

mais. O processo de certificação é longo e demanda conscientização de todos,

24

incluindo a alta gerência. Por isso deve ser estudado e analisado sempre antes

do seu início de forma a se obter um bom planejamento para a implementação

dos procedimentos.

4.9.2 Certificações em Pessoas

Nos dias de hoje, com o aumento da competitividade do mercado, as

organizações foram levadas a buscarem mais eficiência e qualidade para seus

funcionários. É necessário que os profissionais encarregados da segurança da

empresa sejam habilitados e capazes principalmente no que diz respeito às

informações que hoje se tornaram um ponto crucial entre concorrentes.

Existem vários métodos empregados por empresas certificadoras em pessoas,

sendo que cada uma tem a sua forma de avaliação gerando a sua própria

certificação. Entre as empresas que oferecem certificações em segurança

estão a Internet Security Systems (ISS), Check Point, Módulo Security

Solutions, Associação de Auditoria e Controle de Sistemas de Informação

(ISACA), International Information Systems Security Certification Consortium

(ICS), entre outras mais. Devido ao fato de ser muitas as empresas

certificadoras, também são muitas ascertificações, onde podemos encontrar

algumas mais valorizadas e populares, ao contrário de outras.

O Certified Information Systems Security Professional (CISSP) é um dos mais

importantes certificados internacionais sendo emitido pelo International

Information Systems Security Certification Consortium. Apesar de cobiçado, o

CISSP é uma certificação muito pouco comum no Brasil. Segundo o site da ISC

havia no Brasil apenas 33 profissionais certificados até 2002. Este certificado

tem o custo aproximado de U$450, e além de passar em uma prova, o

candidato deve atender aos seguintespré-requisitos (COMPUTER, 2002):

1. Concordar e assinar o código de ética do ISC.

2. Ter, no mínimo, três anos de experiência profissional em alguns dos 10

domínios de conhecimento em segurança da informação testados pela prova

de certificação.

25

3. Ser indicado por outro CISSP, empregador ou outra fonte digna de

confiança, como objetivo preservar a certificação e diferenciá-la ainda mais das

demais certificações.

Superado o desafio da prova, o CISSP exige do profissional certificado um

novo esforço determinando que todos os profissionais certificados ou façam as

provas a cada três anos, ou desenvolvam um mecanismo de educação

continuada, através do Continuing Professional Education (CPE).

A ISACA introduziu a nova designação de Gerente Habilitado em Segurança de

Informações (Certified Information Security Manager - CISM). O foco da

certificação

CISM em nível gerencial diferencia-se de outras habilitações em segurança de

TI. Se concentra em aptidões baseadas em profissionais que gerenciam a

segurança das informações de uma organização e possuem o conhecimento e

a experiência para instalar, implementar e dirigir a estrutura de segurança com

eficácia.

Para obterem a designação CISM, os profissionais devem concluir com

sucesso o exame, aderirem a um código de ética e submeterem evidência

verificável de cinco anos de experiência relacionada com trabalho em

segurança de informações. A Certificação Módulo Certified Security Officer

(MCSO), foi criada pela área de serviços educacionais da Módulo Security

Solutions, especializada em tecnologias para segurança dos dados. O

profissional que desejar este certificado pode escolher entre fazer um curso ou

comprovar dois anos de experiência na área de segurança da informação.

Após esta etapa é submetido a uma prova que procura atestar a capacidade

dos profissionais em organizar a infra-estrutura responsável pelo tratamento da

segurança, planejar investimentos, definir índices e indicadores para análise do

retorno de investimento e coordenar consultorias terceirizadas.

26

CAPITULO IV

APLICAÇÃO ALFA & OMEGA – A Empresa

A empresa possui 50 anos de atuação, e é uma organização privada de fins

não econômicos, que conta com 229 empresas associadas, e tem seu foco na

promoção do desenvolvimento do setor de energia, visando uma indústria

competitiva, sustentável, ética e socialmente responsável. Ao longo desse

tempo, a Alfa & Omega construiu reconhecida credibilidade junto à sociedade e

ao Governo não apenas por seu singular conhecimento técnico, mas também

por fomentar as discussões de grandes temas afins para a constante

estruturação do perfil do setor.

A partir de 2003, passou por uma profunda reestruturação organizacional para

garantir maior sintonia de suas atividades e produtos com o setor, sendo estes

o resultado do trabalho desenvolvido por 42 comissões, subcomissões e

comissões ad-hoc, nas quais

participam voluntariamente mais de 950 profissionais, entre executivos e

especialistas da indústria, instituições científicas e acadêmicas, órgãos do

Governo e associações congêneres.

5.1 Princípios e Valores

- Consistência e embasamento técnico

- Orientação ao desenvolvimento auto-sustentável

- Respeito às opiniões

5.2 Atividades Técnicas

As Comissões Técnicas iniciaram suas atividades em 1958, quando foi

implantada a Comissão de Armazenamento de Petróleo.

Hoje a organização conta com 15 Comissões Técnicas que discutem temas

ligados a toda cadeia produtiva, desde a exploração e produção de petróleo até

27

a qualidade de derivados, passando pelo gás natural, e outros tipos de geração

de energia, logística, meio ambiente e responsabilidade social, entre outros

temas de igual importância. Atuando como "inteligência" da Alfa & Omega, as

Comissões Técnicas atuam de forma isenta, congregando especialistas de

instituições de pesquisa, universidades, órgãos do governo e da indústria, em

fóruns de intensa troca de experiências.

Dada a importância de suas atividades para o desenvolvimento do setor

energético, as Comissões coordenam estudos, debates, cursos e eventos,

contando com a participação voluntária de mais de 900 técnicos, escolhidos

entre aqueles que mais se destacam em seu campo de atuação.

5.3 Atividades Setoriais

As comissões setoriais de 220 representantes em empresas que atuam nos

diferentes segmentos da cadeia de geração de energia. Têm como objetivo

colaborar com autoridades governamentais no processo de regulamentação

dessas atividades, oferecendo sugestões para tornar a legislação brasileira

adequada, estável e competitiva para a atração de investimentos.

A seguir relatamos as atividades das comissões de:

• Regulamentação de E&P

• Conselho Consultivo para Política de Desenvolvimento do Gás Natural,

• Comercializadores de Gás Natural, Gás Natural Veicular

• Comissão de Transportadores Dutoviários e Refino (esta última em fase

de reestruturação).

A Alfa & Omega organiza anualmente cerca de 15 grandes eventos de

relevância anualmente na área de energia.

Com o objetivo de atender às necessidades da indústria, o Instituto, com a

ajuda de suas Comissões Técnicas e Setoriais, procura sempre abordar os

temas mais atuais em seus eventos, valorizando assuntos de natureza técnica

e de gestão.

1 - MODELAGEM DE PROCESSOS AS IS x TO BE

28

Foram realizadas com a finalidade de explicitar os processos, seus gaps e

pontos de melhoria, duas modelagens distintas, uma do cenário original (as is)

e outra do cenário proposto (to be).

A ação foi orientada pelas entrevistas com os colaboradores diretamente

ligados a este processo, deu origem as duas matrizes de risco onde mostram-

se os cenários originais e propostos. Desta forma a organização obtém de

forma clara uma visão concreta do ambiente, dos riscos que estes estão

expostos, dos controles a serem implementados e principalmente dos pontos

de melhorias.

Cadeia de Valores

Ficou evidente nas analises que a Alfa & Omega é uma empresa com foco em

certificações importantes para o mercado de energia, bem como treinamentos

e especificações de normas para este mercado.

Os “inputs” principais para a cadeia de valor da empresa são exatamente as

necessidades constantes de treinamento e normatizações ligadas a indústria

do petróleo, gás e mas recentemente os bicombustíveis.

CAPTAÇÃO DEASSOCIADOS

Alfa & Omega - Cadeia de Valores da Organização

ESTUDO DASNECESSIDADES

RECURSOSHUMANOS

ADERENCIA AOSPROCESSOS

GOVERNAMENTAIS

SUPORTE DE TI

CRIAÇÃO DENORMAS,

TREINAMENTOSE EVENTOS

CERTIFICAÇÕES DEPROFISSIONAIS E

EMPRESAS

NECESIDADES DETREINAMENTOS EPADRÕES PARAEMPRESAS DO

SETOR DEENERGIA

CERTIFICAÇÕES,TREINAMENTOS,

EVENTOS ENORMAS

GESTÃOFINANCEIRA

FINANCEIRO

Management processes

Primary processes

Supporting processes

DEPTO.PEDAGÓGICO

GESTÃO ADM GERENCIA DETECNOLOGIA

GERENCIAPEDAGOGICA

29

Modelagem de Processos – Criação e Envio de Senhas (as is)

Modelagem de processos – Acesso a rede corporativa - (as is)

30

Modelagem de processos – Acesso a WEB - (as is)

Matriz de Risco – Indicadores e Métricas

Para que a matriz de risco e seus controles sejam fieis em retratar os

incidentes e problemas do ambiente é muito importante que seja mensurada

sobre informações consistentes.

Utilizou-se alguns parâmetros importantes para esta analise e gerados scores

para cada uma e suas variações, Utilizando a formula básica de mensuração

do risco:

RISCO = PROBABILIDADE x IMPACTO

Impacto Nível Caracteristicas

1 Insignificante Sem danos , prejuizos. Perda finaceira pequena

2 Mínimo Eventos desgastantes sem impacto no planejamento, tratados com pequenas despesas, com pouco impacto de performance.

31

3 Moderado Demanda tratamento especializado e significativo despendio financeiro

4 Elevado Gera grandes prejuizos operacionais e financeiros

5 Catastrófico

Eventos de grandes proporções que geram impacto no planejamento e comprometem a organização operacionalmente, financeiramente e mercadologicamente.

Probabilidade Nível Caracteristicas

0,95 Certo Acontecerá em várias circunstancias

0,75 Provável Provavelmente acontecerá

0,50 Possível Em algum momento acontecerá

0,25 Improvável Pode acontecer pontualmente

0,10 Raro Pode acontecer excepcionalmente

Eficácia Nível Caracteristicas 1 Total Mitiga totalmente o risco 2 Controlada Evita o Risco na maior parte dos casos 3 Média Em algum momento acontecerá 4 Regular Acontecerá pontualmente 5 Ineficaz Certamente acontecerá

Consequencias - Risco Nível Caracteristicas 1 Baixa De 0,10 à 0,75 2 Média De 0,95 à 1,90 3 Alta De 2,00 á 4,75

32

Matriz de Risco - Ambiente Original (as is)

Matriz de Risco - Ambiente Original Função / Atividade Procedimentos em TI Autor Cesar Paiva Data 25/11/2008

Atividade Evento inicial Consequências Controles existentes

Eficacia dos controles existentes

Analise Risco

Probabilidade Impacto

Criação e disponibilização de login's e Senhas

Envio da senha em papel impresso

Quebra da confidencialidade Inexistente 5 0,95 3 2,85

Utilização aleatórea de escolha de senha

Baixos padrões de segurança das senhas

Recomendações verbais 4 0,50 3 1,50

Acesso a rede corporativa

Compartilhamento de Login e Senha

Quebra do principio de pessoalidade na rede


Acesso ao ambiente internet

Acessos via estações sem anti-vírus

Incidentes relacionados a problemas de software e hardware

Verificações pontuais por parte dos técnicos de TI

3 0,75 2 1,50

Infecção do sistema via Trojans e Spy's

Perda de confidencialidade e/ou de informações estratégicas para a empresa


Acessos a Sites improprios ao ambiente corporativo

Perda de produção, infecção por códigos maliciosos e perda de credibilidade corporativa


Compartilhamento de ativos físicos

Acesso a documentos pessoais e/ou corporativos sigilosos


Inexistente 5 0,90 4 3,60

Instalação de códigos maliciosos de invasão como key logers

Captura de senhas e quebra de sigilo e pessoalidade no ambiente


Compartilhamento de ativos lógicos

Alteração indevidas e/ou não autorizadas em arquivos pessoais ou corporativos



33

Alteração indevidas e/ou não autorizadas em configurações

Incidentes relacionados a problemas de software e hardware ou perda de performance e paralizações


3 0,50 4 2,00

Rotinas de Back-up

Não cumprimento das rotinas de Back-up

Perda de dados, capacidade de recuperação e confiabilidade de informações operacionais e/ou s estratégicas para a empresa


3 0,50 5 2,50

Instalações de programas (Software)




Instalação de softwares em não conformidade com o ambiente operacional



5 0,75 3 2,25

Heterogeneidade impossibilitando um padrão visando integração dos sistemas corporativos



5 0,90 3 2,70

Controle de requisitos legais

Controle de licenças de uso

Implicações legais quanto a penalizações por uso indevido de softwares licenciados


4 0,75 3 2,25

34

Modelagem de Processos – Criação e Envio de Login e Senhas (To Be)

Modelagem de processos – Acesso a rede corporativa - (To Be)

35

Modelagem de processos – Acesso a WEB - (To Be)

Matriz de Risco - Ambiente Proposto (to be)

Matriz de Risco - Ambiente Proposto Função / Atividade Procedimentos em TI Autor Cesar Paiva Data 25/11/2008

Atividade Evento inicial Consequências Controles existentes

Eficacia dos controles existentes

Analise Risco

Probabilidade Impacto

Criação e disponibilização de login's e Senhas

Envio da senha para o e-mail do usuário

Quebra da confidencialidade

Alerta de recebimento 2 0,10 3 0,30

Criação de senha utilizando 4 letras + 1 Número + 1 Caracter especial

Baixos padrões de segurança das senhas

Controle aplicado (regra) no sistema

1 0,10 3 0,30

Acesso a rede corporativa

Compartilhamento de Login e Senha

Quebra do principio de pessoalidade na rede

Políticas de seguança e assinatura do termo de utilização

2 0,25 3 0,75

Acesso ao ambiente internet

Acessos via estações sem anti-vírus

Incidentes relacionados a problemas de software e hardware

Políticas de instalação e manutenção de Anti-Vírus

1 0,10 2 0,20

Infecção do sistema via Trojans e Spy's


Políticas de instalação e manutenção de Anti-Vírus

1 0,10 5 0,50

36

Acessos a Sites improprios ao ambiente corporativo


Controle aplicado (regra) no sistema

1 0,10 2 0,20

Compartilhamento de ativos físicos

Acesso a documentos pessoais e/ou corporativos sigilosos


Controle aplicado (regra) no sistema + Políticas de seguança e assinatura do termo de utilização

1 0,10 4 0,40




1 0,10 4 0,40

Compartilhamento de ativos lógicos

Alteração indevidas e/ou não autorizadas em arquivos pessoais ou corporativos



1 0,25 3 0,75

Alteração indevidas e/ou não autorizadas em configurações



1 0,10 4 0,40

Rotinas de Back-up

Não cumprimento das rotinas de Back-up

Perda de dados, capacidade de recuperação e confiabilidade de informações operacionais e/ou s estratégicas para a empresa

Controle aplicado (regra) no sistema, software de controle de back-up

1 0,10 5 0,50

Instalações de programas (Software)




1 0,10 4 0,40

Instalação de softwares em não conformidade com o ambiente operacional


Políticas de seguança e assinatura do termo de utilização

2 0,25 3 0,75

Heterogeneidade impossibilitando um padrão visando integração dos sistemas corporativos

Incidentes relacionados a problemas de software e hardware ou perda de performance e

Política de paronização de aplicações

2 0,50 3 1,50

37

paralizações

Controle de requisitos legais

Controle de licenças de uso

Implicações legais quanto a penalizações por uso indevido de softwares licenciados


2 0,25 3 0,75

Case ALFA & OMEGA

A Empresa Alfa & Omega é a centralizadora de uma grande associação que se

relaciona com as maiores organizações ligada à área de energia em território

nacional e em países onde estas empresas desenvolvem projetos. Por conta

desta característica se faz necessário a adoção de processos e regras bem

definidas de gestão do risco em contextos de segurança da informação. A

empresa entende que atualmente seus níveis de segurança da informação e a

gestão do risco proveniente

Problema

Foi detectado pela diretoria da ALFA & OMEGA uma grande vulnerabilidade

nos sistemas e acessos em relação à segurança da informação da empresa,

levando todos os gestores a direcionar uma atenção maior para este fato.

Após este movimento foram detectadas diversas falhas na segurança de

informações e dados, desde simples trocas de arquivos lógicos até acessos

indevidos a áreas de servidores onde estão armazenadas informações

confidenciais e estratégicas da organização.

Sugestões

Com base nas informações adquiridas junto a empresa foi proposto um projeto

de revisão dos processos, analisados e desenhados pelo viés da gestão de

risco utilizando como base de consulta e modelo de referência a norma

ISO/IEC 17799:2005.

38

CONCLUSÃO

A apresentação do projeto de Segurança da Informação a ALFA & OMEGA

contribui para colocar a organização em um patamar de maturidade onde a

empresa, colaboradores e fornecedores passam a estar se relacionando em

um ambiente mais seguro e assim com menos possibilidades de incidentes e

problemas que afetem a operação ou mesmo a relação entre as partes

envolvidas. A matriz de risco e a modelagem dos eventos mais críticos poderão

direcionar as ações realizadas pela área de tecnologia para o conjunto

confidencialidade, integridade e disponibilidade.

Foi decisivo para o desenvolvimento de idéias e modelos aqui apresentados o

envolvimento dos gestores de TI e de RH, fornecendo os modelos utilizados

sem restrições nas informações que são nossa matéria prima principal para o

sucesso definitivo deste trabalho.

Dada a baixa maturidade dos processos e a quase inexistência de controles de

risco aliados a impossibilidade de realizar entrevistas mais estruturadas com os

colaboradores e fornecedores, foi necessário realizar um projeto que atendesse

de forma mais generalista e menos especifica para cada área gerando

segurança mais superficial e menos apurada, para um ambiente onde não

existiam quaisquer controles e/ou políticas de segurança e controle do risco.

Ficou claro para a Alfa & Omega que entender sua área tecnológica e os riscos

que se precipitam sobre ela pelo viés de processos, gerou uma maior

credibilidade para a área e maior maturidade para a organização como um

todo.

Os avanços operacionais e de gestão, inseridos na empresa por meio destas

técnicas acabaram se refletindo para outras áreas.

Quase que instintivamente, uns departamentos mais e outros menos passaram

também a ter maior interesse por elevarem seus níveis de maturidade

corporativa, acabando por integrar toda a empresa numa grande

movimentação orientada a processos que com certeza terá como maior reflexo

positivo posicionar a Alfa & Omega num status de empresa moderna e alinhada

39

com as melhores praticas de mercado, gerando um percepção de valor mais

alta para colaboradores, fornecedores e clientes.

BIBLIOGRAFIA

40

ABREU, Aline frança de Rezende, DENIS Alcides, Tecnologia da Informação –

Aplicada a Sistema de Informação Empresariais- Atlas, São Paulo,6ª Ed. 2009.

ALBERTIN, Rosa Maria De Moura, Estratégias de Governaça de Tecnologia

de Informação, Campus, 2001.

BATISTA, Emerson de O.- Sistemas de Informação- O uso Consciente da

tecnologia para gerenciamento, São Paulo, Saraiva,2000.

BARROS, Daniela Melaré Vieira,Guia Pratico Sobre as Tecnologias da

Comunicação e Informação, Viera e Lent, São Paulo, 2002.

BRITO,Osias, Gestão de Risco – Uma Abordagem Orientada a Riscos

Operacionais, Atlas, São Paulo,2005.

CARR, Nicholas G.- Será que ti É Tudo?Repensando o Papel da Tecnologia da

informação, Rio de Janeiro, 2005.

COIMBRA, Fabio, Riscos Operacionais- Estrutura para Gestão em Bancos, Rio

de Janeiro, Saint Paul ,1999.

DAMODARAN, Aswath, Gestão estratégica de risco- referencia para a Tomada

de Riscos Empresariais, São Paulo, Bookman,1999.

FOINA, Paulo Rogerio, tecnologia de informação – Planejamento e gestão -,

SP Atlas,2ª Ed.2006.

JUNIOR, Antonio M.Duarte , Gestão de Riscos – Para Fundos de

Investimentos, São Paulo, Premntice Hall, 2000

NOGUEIRA, Marcelo, Engenharia de Software- Um framework para a gestão

de Riscos em Projetos de Software,São Paulo, Ciencia Moderna, 2003.

OLIVEIRA, Alexandre Martins Silva de, Contabilidade – gestão de Risco,

Governança Corporativa, Rio de Janeiro, Atlas,2000

PRADO, Darcie, Gerencia de Projetos em Tecnologia da informação Volume 5.

São Paulo,Atlas, 1997.

POTTER, R. Governaça de TI- Tecnologia da Informação.São Paulo,M.books,

2001.

41

REZENDE, Denis Alcides, Tecnologia da Informação e Planejamento

Estrategico, São Paulo Brasport, 2004.

SILVA, Jose Pereira de – Gestão e Analise de risco de Credito- São paulo

Atlas, 5ª Ed.2008.

STAUFFER, Davi e GRIGGS, Michal, Tecnologia e Gestão da Informação,Rioo

de Janeiro, Campus 2003.

WEILL, Peter, ROSS, Jeanne W. Administração da Tecnologia da Informação,

São Paulo, Campus 2000.

analises e gestão do risco na área de · pdf fileuniversidade candido mendes...

Documents