analises e gestão do risco na área de · pdf fileuniversidade candido mendes...
TRANSCRIPT
UNIVERSIDADE CANDIDO MENDES
INSTITUTO A VEZ DO MESTRE
PÓS –GRADUAÇÃO “LATO SENSU”
ANALISES E GESTÃO DO RISCO NA ÁREA DE
TECNOLOGIA DA INFORMAÇÃO
Prof. Jorge Vieira
Rio de Janeiro
2010
UNIVERSIDADE CANDIDO MENDES
INSTITUTO A VEZ DO MESTRE
PÓS –GRADUAÇÃO “LATO SENSU”
ANALISES E GESTÃO DO RISCO NA ÁREA DE
TECNOLOGIA DA INFORMAÇÃO
OBJETIVOS:
Trabalho apresentado para conclusão de
curso Gestão Empresarial, na universidade
Candido Mendes – Instituto A Vez do Mestre.
AGRADECIMENTOS
A todo corpo docente do “Institutos a Vez do Mestre”
.Ao professores Jorge Vieira pelas excelentes aulas
de marketing e ao professor pela grande força e
motivação nas aulas .
4
DEDICATÓRIA
Dedico este trabalho primeiramente a Jesus, pois sem ele nada é viável e seria muito difícil para eu superar sozinho todas as barreiras que se apresentaram e se apresentam em minha caminhada.
Aos meus pais; pelo esforço e a dedicação, em todos os momentos, para que eu fosse antes de um profissional realizado, fosse uma pessoa de bem.
A todas as pessoas e tantas outras que contribuíram de alguma forma para que eu chegasse até aqui os meus sinceros votos de gratidão.
5
RESUMO
Este trabalho visa gerar um estudo que apresente soluções concretas
baseadas no estudo e analise do ambiente de tecnologia alinhado com a
gestão e mitigação dos riscos que geram impactos na organização e está
dividido em partes distintas que tratam de referenciais teóricos, estudo de caso,
modelagem do processo original (as is), modelagem do processo proposto (to
be) e as matrizes de risco e controles (as is e to be).
Mapear e modelar o processo de interação com o ambiente de tecnologia da
Informação do colaborador da Alfa & Omega , identificando os riscos gerados
pelos pontos de falha em Segurança, propondo a utilização de pacotes de
processos e políticas de gestão norteados principalmente pelas normas
apresentadas na ISO 17799 e ISO 27001: Estes processos serão baseados em
análise e necessidades específicas do ambiente de Tecnologia, que possam
garantir à organização a mitigação e gestão do risco pelo trinômio de
Confidencialidade, Integridade e Disponibilidade das informações.
6
METODOLOGIA
Serão utilizadas técnicas de modelagem de processos e matrizes de
identificação e controle de riscos para a realização da analises e proposição de
valor. Baseado nestes dados serão propostas as políticas para a gestão do
risco.Este trabalho será implantado em caráter experimental no ambiente da
Alfa & Omega valendo-se das entrevistas realizadas de forma qualitativa juntos
aos steakholders.
Os dados serão coletados a partir de observações feitas no ambiente
corporativo habilitado por tecnologia da Informação. Estas informações serão
insumos básicos para a criação dos desenhos de processos e das matrizes de
risco.
7
SUMARIO
INTRODUÇÃO 8
CAPITILO I
CONTEXTUALIZAÇÃO DO PROBLEMA 9
CAPITULO II
ANALISE E GESTÃO DE RISCO 16
CAPITULO III
TERMOS E DEFINIÇÕES 21
CAPITULO IV 28
APLICAÇÃO ALFA E OMEGA – A EMPRESA
CONCLUSÃO 39
BIBLIOGRAFIA 42
INTRODUÇÃO
8
Segurança da Informação está diretamente relacionada com a proteção de um
conjunto de dados, no sentido de preservar o valor que possuem para um
indivíduo ou uma organização. São características básicas da segurança da
informação os atributos de confidencialidade, integridade e disponibilidade não
sendo esta segurança restrita somente a sistemas computacionais,
informações eletrônicas ou sistemas de armazenamento. O conceito se aplica
a todos os aspectos de proteção de informações e dados.
O conceito de Segurança Informática ou Segurança de Computadores que será
abordado neste trabalho está intimamente relacionado com o de Segurança da
Informação, incluindo não apenas a segurança dos dados/informação, mas
também a dos sistemas em si.
O conceito de Segurança da Informação está padronizado pela norma ISO/IEC
17799:2005, influenciada pelo padrão inglês (British Standard) BS 7799. A
série de normas ISO/IEC 27000 foram reservadas para tratar de padrões de
Segurança da Informação, incluindo a complementação ao trabalho original do
padrão inglês. A ISO/IEC 27002:2005 continua sendo considerada formalmente
como 17799:2005 para fins históricos.
Em muitos casos as medidas para mitigar riscos de quebra da segurança da
informação não são seguidas como deveriam. É muito comum desde grandes
empresas até pequenos usuários adquirirem equipamentos de segurança, mas
no futuro não se preocupam com atualizações ou até mesmo com seus mais
comuns erros de configurações.
É imprescindível que uma empresa ou até mesmo um usuário doméstico que
usa como ferramenta de trabalho e/ou diversão internet tenha normas,
políticas, procedimentos e ferramentas devidamente configuradas e atualizadas
para a garantia da proteção das informações que possua.
CAPITULO I
9
CONTEXTUALIZAÇÃO DO PROBLEMA
A Empresa Alfa & Omega por percepção de seus colaboradores, por
intermédio de sua Gerencia de TI e sua diretoria, entende que existe
atualmente na organização um ambiente desalinhado com as exigências de
mercado frente à mitigação de riscos em questões de segurança da informação
em níveis pessoais, gerenciais e estratégicos relacionados as praticas e
operações no ambiente de tecnologia da informação.
É fato que este ambiente pode propiciar diversos tipos de incidentes de
segurança, levando a perdas financeiras, de clientes e principalmente da
credibilidade da organização junto a seus clientes internos e externos.
Entende-se que os maiores problemas estão relacionados à falta de uma
política estruturada de segurança da informação, implementada e divulgada de
forma objetiva aos colaboradores, quanto a normas apresentadas por
organizações que regulamentam e certificam os níveis de segurança das
organizações como são a ISO 17799 e algumas sessões da ISO 27001, ambas
utilizadas pontualmente como arcabouço para este trabalho
2. Modelagem de Processos de Negócios
2.1 Introdução
O Cenário econômico orientado à globalização e o foco na competitividade da
empresa, vem levando as organizações a definirem seus processos como
sendo um importante fator de redução de custos e melhoria da qualidade
operacional e produtiva. Esta visão faz com que as organizações entrem numa
busca contínua da otimização e constante rejuvenescimento de seus
processos, resultando em diferenciais competitivos importantes para o
posicionamento da empresa em seu mercado.
O conceito de BPM surgiu nos Estados Unidos como resposta a um grande
vazio quando se tratava de gestão de processos organizacionais e inter-
organizacionais e a modelagem de processo veio agregar um conjunto de
práticas e soluções que promovem a integração dos processos da organização
10
com pessoas e sistemas dentro de um fluxo contínuo e transparente de
informações.
2.2-Business Process Management
O Business Process Management (BPM) é, em síntese, um conceito que une
gestão de negócio e tecnologia da informação voltado à melhoria dos
processos de negócio das organizações através do uso de métodos, técnicas e
ferramentas para modelar, publicar, controlar e analisar processos operacionais
envolvendo humanos, aplicações, documentos e outras fontes de informação.
2.3Utilidades do BPM
A utilização do BPM, ao longo dos últimos anos, vem crescendo de forma
bastante significativa, dada a sua utilidade e rapidez com que melhora estes
processos nas empresas onde foi implementado. A sua perspectiva de
crescimento é muito grande, visto que ainda é um conceito pouco conhecido,
principalmente no Brasil.
O termo 'processos operacionais' se refere aos processos de rotina (repetitivos)
desempenhados pelas organizações no seu dia-a-dia, ao contrário de
'processos de decisão estratégica', os quais são desempenhados pela alta
direção. O BPM difere da remodelagem de processos de negócio, uma
abordagem sobre gestão bem popular na década de 90, cujo enfoque não
eram as alterações revolucionárias nos processos de negócio, mas a sua
melhoria contínua.
Adicionalmente, as ferramentas denominadas sistemas de gestão de
processos do negócio (sistemas BPM) monitoram o andamento dos processos
de uma forma rápida e barata tal que os gestores possam analisar e alterar
processos baseado em dados reais e não apenas por intuição.
Assim, estas pessoas de altos cargos que podem enxergar, por exemplo, onde
estão os gargalos, quem está atrasando a sua tarefa, o quanto está atrasando
e com que frequência isso ocorre, o percentual de processos concluídos e em
andamento, entre outros. Como conseqüência disto, fatores cruciais para o
11
bom desempenho de uma empresa podem ser analisados com extrema
facilidade e rapidez o que geralmente não ocorre com outras ferramentas que
não o BPM.
Além disso, as pessoas participantes do processo também são beneficiadas:
com o BPM, elas têm o seu trabalho facilitado uma vez que recebem tarefas e
devem simplesmente executá-las, sem preocupar-se com para onde devem
enviá-la, por exemplo, dado que o processo já foi desenhado e todas as
possíveis situações de seguimento deste já estão registradas. Além disso,
podem enxergar como foi o caminho realizado até a sua atividade e em que
status está. Os softwares responsáveis pela automação destas atividades são
chamados de Business Process Management Suites, ou BPMS.
Outra visão sobre BPM: O Business Process Management (BPM), Gestão por
processos de negócios, tem como objetivo prover o alinhamento dos processos
de negócios com a estratégia (os processos são a execução da estratégia), os
objetivos e a cadeia de valor das organizações.
2.4 O que é um Processo de Negócio (Business Process)?
Um processo de negócio pode ser caracterizado como um conjunto de tarefas
que envolvem pessoas e recursos para que possa se atingir um objetivo
previamente traçado. Como resultado deste, é gerado um produto ou serviço
que vai ao encontro dos desejos dos clientes. Muitas empresas não dão a
importância devida a estes processos, o que se caracteriza em um grande erro,
uma vez que estes são cruciais à sua sobrevivência.
2.5 Sistemas de BPM
Esta tecnologia permite analisar, desenvolver, implementar e rever processos
de negócio garantindo o respeito a prazos e normas. Desde empresas de
serviços até industrias petroquímicas, qualquer negócio pode beneficiar com
esta solução. Metodologia IBPM
2.6 O papel das pessoas no BPM
Uma das vertentes do BPM, tem grande foco voltado para pessoas (human-
centric), sendo estas o centro dos processos de negócio. Alguns BPMS vêm
12
seguindo esta corrente buscando oferecer aos usuários maior facilidade e
flexibilidade no uso, o que torna a experiência mais agradável, com
ferramentas simples e intuitivas.
2.7 Automação de Processos
A automação de processos de negócio é uma prática extremamente eficaz.
Quando se automatiza processos, rapidamente é possível obter-se um controle
mais rígido e adaptado às necessidades da empresa. É realizada pelos BPMS
(Business Process Management Suites) e têm baixo custo. Algumas empresas
comercializam os suites por processos, e não pelo pacote completo, o que
torna ainda mais acessível. Através da automação, um serviço melhor é
oferecido ao cliente, dada a rapidez e organização que a empresa passará a
apresentar. Além disso, terá seus custos reduzidos.
2.8 Modelagem
A modelagem de processos é feita no próprio BPMS. Alguns destes seguem a
notação mais usada atualmente, o BPMN (Business Process Modeling
Notation). Esta notação trata-se de uma série de ícones padrões para o
desenho de processos, o que facilita o entendimento do usuário. A modelagem
é uma etapa importante da automação pois é nela que os processos são
descobertos e desenhados. É nela também que pode ser feita alguma
alteração no percurso do processo visando a sua otimização.
2.9 Simulação
Após o desenho e o estabelecimento dos usuários responsáveis pela
conclusão de cada tarefa, pode ser feita uma simulação, onde pode-se testar
se as regras pré-estabelecidas estão de acordo com o objetivo da empresa e
se as tarefas estão sendo encaminhadas para as pessoas corretas.
2.9.1 Execução
A execução do processo ocorre após as etapas anteriores já terem sido
realizadas. O BPMS utilizado faz com que as tarefas sejam enviadas para os
13
seus devidos responsáveis, controlando o seu tempo de execução por pessoa
e pelo processo em geral. Podem ser utilizadas também regras de negócio
(Business Rules) pré-estabelecidas.
2.9.2Controle
O controle ideal de BPM é aquele que está presente durante todas as etapas
do processo: antes, durante e depois. Desde o início da modelagem até a
análise pós-conclusão da execução, o controle deve ser realizado. Um tipo de
controle que existe em alguns BPMS são relatórios de fluxos em andamento,
onde é fornecido o status do fluxo, com quem está parado, há quanto tempo
está parado, etc. Isso é importante para evitar que os erros sejam encontrados
somente quando o processo é concluído. Há também relatórios de fluxos
concluídos, onde se pode ter uma noção geral de como se desenvolveu o
processo. Alguns softwares apresentam gráficos e relatórios com bastantes
detalhes dos processos.
2.9.3 Otimização
A otimização tem crucial importância quando se trata de BPM. É essencial para
que sejam feitas melhorias nos processos de modo a alcançar resultados
positivos mais rapidamente, melhorando o serviço aos clientes e,
possivelmente, com menores custos. Depende, obviamente, das etapas
anteriores, principalmente do controle, onde deve haver uma busca pela
perfeição. Para acompanhar a implantação de um BPM poderemos utilizar o
BPMS (Business Process Management System) que nada mais é do que
softwares que permitem a gestão dos processos.
O BPMS possibilita que a organização mapeie, execute e acompanhe
processos internos e externos de forma automatizada após a sua modelagem.
O conjunto de práticas e soluções que vêm acopladas ao BPM trouxe o
conhecimento de diversas áreas de tecnologia para o mundo da automação de
processos; tais como:
• Workflow (automação dos processos)
14
• Business Process Modeling and Analysis (entendimento detalhado do
processo e o impacto da mudança do processo)
• Enterprise Application Integration (troca de informações entre sistemas)
• Business Activity (monitoramento dos processos).
Em outros tempos os Workflows eram vistos apenas pela área de TI por causa
da sua complexidade e com isso obrigavam que as regras de negócios fossem
programadas dentro do próprio fluxo do workflow. Com as soluções de BPM as
regras de negócio ficam sob o controle dos analistas de processos, fazendo
com que a área de TI preste apenas consultoria técnica (montagem de fluxos
mais complexos) e suporte.
O BPM é uma solução robusta e definitiva que integra todas as evoluções e
conceitos da Gestão de Processos. Adapta os processos de negócios à
tecnologia existente na empresa e ajuda aos usuários a modelarem,
automatizarem e gerenciarem seus próprios processos.
2.9.4 BPMS – Business Process Management System
Os BPMS geralmente são softwares que auxiliam na gestão (mapear, executar
e acompanhar) dos processos organizacionais.
Esses softwares devem ser capazes de gerar grandes volumes de informações
gerenciais sobre os processos executados na organização, possibilitando a
identificação de gargalos, controle de desempenho e seu monitoramento,
gerando integração com outros sistemas e com a administração dos processos
(tempo real), permitindo que os analistas de processos desenhem (modelem) e
configurem os processos de negócios via automatização de processos
utilizando, Workflow, EAI, BI, e outras ferramentas de apoio a decisão.
15
2.9.5-BPMN – Business Process Modeling Notation
BPMN é uma notação gráfica que tem por objetivo prover instrumentos para
que o processo de mapeamento seja realizado de maneira padronizada. Deve
ser capaz de mapear os processos internos e externos da organização.
A organização deve ser capaz de atualizar seus modelos de acordo com suas
regras e interesses sem prejudicar as especificações anteriores.
O BPMN pode ser traduzido para padrões técnicos de processos como o BPEL
que atualmente se tornou o mais popular no mercado. Para cada objeto no
BPMN existe um correspondente em BPEL ou outro código. Essa
correspondência entre o padrão visual e o técnico é que irá permitir que os
analistas de processo modelem seus processos e os analistas de sistemas
interajam em outras ferramentas com o mesmo modelo.
16
CAPITULO III
ANALISE DE RISCO
Conforme Vesely (1984), o risco pode ser entendido como o perigo,
probabilidade ou possibilidade de um infortúnio, insucesso ou resultado
indesejado. Já a analise e gestão do risco, segundo definição do PMI (PMBOK,
2000), pode ser entendida como um processo sistemático de identificar,
analisar e responder aos riscos do projeto, procurando obter vantagem das
oportunidades de melhoria sempre que possível. De acordo com duas
importantes referências a norma NBR ISO 10006:2000 e o PMBOK (PMI,
2000), a analise e gestão do risco envolve os seguintes processos:
• Identificação de riscos: consiste na determinação de quais riscos, internos
externos, são mais prováveis de afetar um projeto ou organização e quais são
os limites aceitáveis para cada um deles;
• Avaliação de riscos: análise da probabilidade de ocorrência e impacto dos
riscos identificados, de maneira quantitativa e qualitativa;
• Desenvolvimento de reação ao risco: devem ser criados planos de
contingência para os riscos identificados e avaliados, com a finalidade de
eliminar ou minimizar os impactos causados. É necessário avaliar sempre os
efeitos positivos e negativos da implementação dos planos de contingência;
• Controle de riscos: estabelecer um processo formal de identificação,
avaliação e desenvolvimento de respostas aos riscos do projeto, para que a
situação dos riscos associados seja constantemente monitorada e os planos de
contingência estejam sempre atualizados e prontos para serem
implementados.
A NBR ISO 10006:2000 cita ainda que todo o processo de analise e gestão do
risco deve ser formalmente documentado e fazer parte das avaliações de
progresso do projeto ou da organização.
17
As normas
Este capítulo aborda as normas para implantação de segurança da informação
numa empresa e como se dá o processo de certificação de empresas e de
pessoas nessa área.
A certificação é um documento emitido por uma entidade certificadora
independente garantindo que uma dada empresa implantou corretamente todos
os controles definidos na norma de certificação. No caso da segurança da
informação existe uma norma internacional chamada Brithish Standart 7799
(BS 7799) que foitraduzida no Brasil e denominada NBR ISO/IEC 17799. A
certificação para segurança da informação é emitida após um procedimento de
verificação de conformidade das normas na empresa pela entidade
certificadora.
A certificação faz com que a empresa certificada comprove que a segurança da
informação está assegurada de forma efetiva, o que não significa, contudo, que
a empresa esteja imune a violações de segurança, a qual deverá ser realizada
por pessoal que esteja tecnicamente habilitado a verificar a capacidade do
sistema em termos dos requisitos de segurança. Além disso, a certificação
comprova, para os clientes e fornecedores da empresa o zelo que estas tem
com a segurança da informação, reforçando a imagem da empresa junto ao
mercado. Dependendo da atividade da empresa, essa certificação pode ser
essencial para realização de certos negócios.
3.2-Normalizações de Segurança da Informação
Normalizações são documentos que possuem regras que devem ser seguidas
conforme descritas, visando o sucesso de uma organização em determinado
aspecto.
No caso da gestão da segurança da informação o objetivo das normas é
fornecer recomendações para serem usadas por aqueles que são responsáveis
pela introdução, implementação ou manutenção da segurança em suas
empresas.
As normas criadas se adaptam bem a organizações comerciais. Porém,
instituições de ensino, instituições públicas e outras assemelhadas podem ter
18
dificuldades em implantar certos controles da norma devido a seus ambientes
serem diferentes dos de uma empresa comercial. Apesar disso, qualquer
organização pode aproveitar grande parte dos controles da norma para
implementar segurança da informação em suas instalações.
Sabe-se que segurança total não existe, no entanto, a implantação dos
controles da norma assegura um bom nível de segurança sobre aspectos
comohardware, software e pessoas.
A implantação de uma norma traz vários benefícios internos através da
melhoria do gerenciamento da informação. Garante aos sócios e parceiros da
empresa uma avaliação competente e imparcial sobre seu sistema de
segurança da informação, outra vantagem é possibilitar conformidade com a
legislação nacional na área de segurança da informação do país de origem,
como, por exemplo, ajudar as organizações a cumprirem as exigências de leis
sobre privacidade de dados, além dos benefícios externos que adquire frente
aos clientes.
3.3 Norma BS 7799
O Brithish Standart 7799 é uma norma de segurança da informação criada na
Inglaterra. Teve seu desenvolvimento iniciado em 1995. Divide-se em duas
partes, estando a primeira parte homologada desde 2000 e, a segunda parte
homologado em 2002, segundo Alberto Bastos, considerada o mais completo
padrão para o gerenciamento da Segurança da informação no mundo
(BASTOS, 2002). A preparação para certificação BS 7799 representa um
grande passo para garantir os requisitos de segurança dos ativos da
informação considerados críticos para o negócio. A primeira parte da norma é
composta por recomendações de segurança da informação, não sendo objeto
de certificação. No entanto, é parte muito importante para se alcançar a
certificação. Foi planejada como um documento de referência para implementar
"boas práticas" de segurança na empresa. Na segunda parte, que é objeto de
certificação, é definido o escopo de um Sistema de gestão de Segurança da
informação (SGSI). Para isso deve-se fazer um mapeamento da empresa para
identificar instalações e processos de negócio, sejam eles sistemas,
dispositivos físicos, processos e atitudes comportamentais. Este trabalho é
19
realizado através de entrevistas com gestores de processos de negócio da
empresa. Segundo o gerente para desenvolvimento de novos negócios da
DNV, Samuel Andrade, são necessárias seis medidas para uma empresa obter
certificação BS 7799 (ANDRADE, 2002):
1. Definição da política de segurança de informação.
2. Definição do escopo do sistema de gestão de segurança de informação
(perímetro de abrangência).
3. Análise de risco (identificação de ameaças e vulnerabilidade).
4. Gestão do risco.
5. Seleção dos controles.
6. Preparo da declaração de aplicabilidade (quais itens da norma serão
aplicáveis).
3.4 Norma NBR ISO/IEC 17799
A International Standartization Organization (ISO) trata-se de uma organização
internacional formada por um conselho e comitês com membros oriundos da
maioria dos países. Seu objetivo é criar normas e padrões universalmente
aceitos sobre como realizar as mais diversas atividades comerciais, industriais,
científicas e tecnológicas. O International Engineering Consortium (IEC) é uma
organização voltada para o aprimoramento da indústria da informação. A
associação entre as duas instituições tem produzido diversas normas e
padronizações internacionais. Após anos de trabalhos em torno da BS 7799,
percebeu-se que ela poderia atender a organizações de todo mundo e não só
do Reino Unido. De fato, esta norma foi levada para apreciação da ISO/IEC
que homologou um draft da norma que passou a ser denominada ISO 17799.
No Brasil a norma ISO/IEC 17799 corresponde basicamente à primeira parte
da BS 7799. Traz consigo a experiência da prática das maiores organizações
diferentes segmentos de mercado. É uma padronização dos controles mínimos
devendo ser implementada e gerenciada pelas empresas que consideram as
suas informações como de importância crítica na sua estratégia de negócio.
20
A aplicação da análise normativa da ISO/IEC 17799 pode ser aplicada a
qualquer organização, não importando o segmento, tamanho ou a tecnologia
utilizada na gestão do seu negócio. Já é comum a aplicação dos padrões em
setores (ex: financeiro) para depois estender a toda empresa. A norma provê
padrões consistentes para as organizações avaliarem qual o nível de
segurança aplicado às suas regras de negócio em comparação ao mercado
internacional. A ISO17799 é bem abrangente, pretendendo contemplar todos
os aspectos da segurança da informação. Nesse sentido, a NBR ISO/IEC
17799 divide-se em 12 capítulos ou partes (A3 SEG, 2002), cada qual
abordando um aspecto da segurança da informação. Os capítulos que
compõem a norma são os seguintes:
3.5 Objetivo:
É essencial que uma organização identifique as suas necessidades de
segurança antes de implantar qualquer controle. Segundo Marcos Prado,
existem três fontes principais a serem analisadas:
a) A primeira fonte é obtida a partir da análise de risco dos ativos de
informação. Pela análise de risco é que são identificadas as vulnerabilidades e
ameaças a que a informação está sujeita, bem como a probabilidade de
ocorrência. Com isso, pode-se dimensionar o impacto quando da ocorrência
dessas falhas;
b) A segunda fonte é a legislação vigente, os estatutos, as regulamentações e
as clausulas contratuais que a organização tem que cumprir;
c) A terceira fonte é o conjunto particular de princípios, objetivos e exigências
para processamento da informação que uma organização tem que desenvolver
para apoiar suas operações.
CAPITULO IV
TERMOS E DEFINIÇÕES
Define a segurança da informação e os termos ligados a tal processo.
21
4.1Política de segurança:
A administração deve estabelecer uma política clara e demonstrar apoio e
comprometimento com a segurança da informação através da definição e
manutenção de uma política que deverá ser seguida por toda a organização.
Este documento deve ser claro. Será dividido em grupos, conforme o enfoque
estratégico, tático e operacional.
4.2 Segurança organizacional:
Aborda a estrutura de uma gerência para segurança da informação, define as
responsabilidades dos usuários pela segurança da informação, incluindo
agentes externos e fornecedores de serviços.
4.3 Classificação e controle dos ativos de informação:
Define a classificação, o registro e o controle das informações da organização.
4.4 Segurança em pessoas:
Reduz os riscos de falha humana, roubo, fraude ou uso impróprio das
instalações; assegura que os usuários, de acordo com seus cargos, estejam
cientes das ameaças à segurança da informação.
4.5 Segurança ambiental e física:
Segurança das áreas de circulação restrita e à necessidade de se protegerem
os equipamentos e a infra estrutura de um Ambiente Computacional Complexo.
4.6 Gerenciamento das operações e comunicações:
Aborda as principais áreas que devem ser objeto de especial atenção da
segurança. Dentre estas áreas destacam-se:
procedimentos operacionais e respectivas responsabilidades, homologação e
implementação de sistemas, gerência de redes, controle e prevenção de vírus,
controle de mudanças, execução e guarda de cópias de segurança, controle de
documentação, segurança de correio eletrônico etc.
22
4.7 Controle de acesso:
Controla o acesso a informação, prevenindo contra acesso não autorizado a
sistemas, equipamentos e rede; Define sistemas de senhas para
monitoramento de acesso e uso; assegura a segurança da informação quando
usada em notebooks e recursos de tele-processamento.
4.8 Desenvolvimento de sistemas e manutenção:
Aborda os requisitos de segurança dos sistemas, desenvolvimento, dados e
suporte, garantindo a confidencialidade, autenticidade e integridade da
informação, assegurando que projetos de tecnologia da informação e suporte
de atividades sejam conduzidos de maneira segura.
4.9 Gestão de continuidade do negócio:
Previne para que não ocorram interrupções nas atividades e processos críticos
do negócio devido às falhas e desastres, reforça a necessidade de se ter um
plano de continuidade e contingência desenvolvido, implementado, testado e
atualizado.
4.9.1 Conformidade:
Evita, por parte da organização, as seguintes violações: às leis civis ou
criminais; às obrigações legais ou contratuais de propriedade intelectual; de
segurança a sistemas e informações de terceiros. Também visa a maximizar a
efetividade e minimizar a interferência em sistema de auditagem.
4.9.1 Certificações em Empresas
Segundo Alberto Bastos, sócio-fundador e diretor de tecnologia Módulo,
quando uma empresa certifica seu sistema de Gestão de Segurança da
informação, está reforçando ao mercado seu compromisso com a
implementação de controles e sua preocupação com a proteção das
informações de seus clientes (BASTOS, 2002). O número de empresas pelo
mundo certificadas BS 7799 tem aumentado consideravelmente A constatação
está presente no site da ISMS International User Group , que gerencia uma
lista atualizada e completa das empresas que obtiveram tal certificado.
Atualmente tal lista contempla 202 empresas do mundo. O Reino Unido é o
23
país com o maior número de organizações certificadas (86), seguido de Japão
(20), Itália (11), Índia (10), Coréia (9), Alemanha (8), Finlândia (8), Singapura
(7), Noruega (6), Hong Kong (6) e outros (31). O Brasil está presente com duas
empresas:
A Módulo, primeira empresa certificada BS 7799 da América Latina, e a Serasa
(A-
COMP W). Para que uma empresa se certifique em segurança da informação é
necessário que a organização opte por uma norma. No caso do Brasil deve-se
optar pela NBR ISO/IEC 17799, que além das etapas previstas na
normalização, exige a implementação de um sistema de gestão de segurança
da informação.
Durante o processo de certificação é necessária a presença de profissionais
especialistas no assunto que tenham conhecimento dos conceitos
referendados na norma. Devido a este fato recomenda-se a contratação de
consultores ou empresas especializadas, como a Módulo e a Symantec, entre
outras mais. Depois de decorrido este processo, é solicitado a visita de um
profissional, geralmente um auditor, autorizado a emitir o certificado. Ocorrerá
um processo de auditoria que é dividido em duas etapas: uma visita inicial para
revisão da documentação do Sistema de Gerenciamento da Segurança da
informação para observar se o procedimento da organização está de acordo ao
solicitado em norma, e o planejamento da próxima visita de auditoria. Após a
segunda visita se tudo estiver de acordo, a empresa é certificada e
acompanhada para a permanência. Caso contrario, são colocadas algumas
observações de procedimentos que não estão de acordo com a normalização.
A empresa terá que fazer modificações passando pelo processo de
certificação novamente em data futura para nova tentativa certificação.
O custo depende de vários fatores, tais como a conscientização da
administração da empresa, quanto tempo o responsável pela certificação
levará para se convencer sobre a conformidade das instalações da empresa
com relação à norma, ao tamanho e à complexidade da empresa e de seus
sistemas, em qual nível de segurança a organização se encontra, e outros
mais. O processo de certificação é longo e demanda conscientização de todos,
24
incluindo a alta gerência. Por isso deve ser estudado e analisado sempre antes
do seu início de forma a se obter um bom planejamento para a implementação
dos procedimentos.
4.9.2 Certificações em Pessoas
Nos dias de hoje, com o aumento da competitividade do mercado, as
organizações foram levadas a buscarem mais eficiência e qualidade para seus
funcionários. É necessário que os profissionais encarregados da segurança da
empresa sejam habilitados e capazes principalmente no que diz respeito às
informações que hoje se tornaram um ponto crucial entre concorrentes.
Existem vários métodos empregados por empresas certificadoras em pessoas,
sendo que cada uma tem a sua forma de avaliação gerando a sua própria
certificação. Entre as empresas que oferecem certificações em segurança
estão a Internet Security Systems (ISS), Check Point, Módulo Security
Solutions, Associação de Auditoria e Controle de Sistemas de Informação
(ISACA), International Information Systems Security Certification Consortium
(ICS), entre outras mais. Devido ao fato de ser muitas as empresas
certificadoras, também são muitas ascertificações, onde podemos encontrar
algumas mais valorizadas e populares, ao contrário de outras.
O Certified Information Systems Security Professional (CISSP) é um dos mais
importantes certificados internacionais sendo emitido pelo International
Information Systems Security Certification Consortium. Apesar de cobiçado, o
CISSP é uma certificação muito pouco comum no Brasil. Segundo o site da ISC
havia no Brasil apenas 33 profissionais certificados até 2002. Este certificado
tem o custo aproximado de U$450, e além de passar em uma prova, o
candidato deve atender aos seguintespré-requisitos (COMPUTER, 2002):
1. Concordar e assinar o código de ética do ISC.
2. Ter, no mínimo, três anos de experiência profissional em alguns dos 10
domínios de conhecimento em segurança da informação testados pela prova
de certificação.
25
3. Ser indicado por outro CISSP, empregador ou outra fonte digna de
confiança, como objetivo preservar a certificação e diferenciá-la ainda mais das
demais certificações.
Superado o desafio da prova, o CISSP exige do profissional certificado um
novo esforço determinando que todos os profissionais certificados ou façam as
provas a cada três anos, ou desenvolvam um mecanismo de educação
continuada, através do Continuing Professional Education (CPE).
A ISACA introduziu a nova designação de Gerente Habilitado em Segurança de
Informações (Certified Information Security Manager - CISM). O foco da
certificação
CISM em nível gerencial diferencia-se de outras habilitações em segurança de
TI. Se concentra em aptidões baseadas em profissionais que gerenciam a
segurança das informações de uma organização e possuem o conhecimento e
a experiência para instalar, implementar e dirigir a estrutura de segurança com
eficácia.
Para obterem a designação CISM, os profissionais devem concluir com
sucesso o exame, aderirem a um código de ética e submeterem evidência
verificável de cinco anos de experiência relacionada com trabalho em
segurança de informações. A Certificação Módulo Certified Security Officer
(MCSO), foi criada pela área de serviços educacionais da Módulo Security
Solutions, especializada em tecnologias para segurança dos dados. O
profissional que desejar este certificado pode escolher entre fazer um curso ou
comprovar dois anos de experiência na área de segurança da informação.
Após esta etapa é submetido a uma prova que procura atestar a capacidade
dos profissionais em organizar a infra-estrutura responsável pelo tratamento da
segurança, planejar investimentos, definir índices e indicadores para análise do
retorno de investimento e coordenar consultorias terceirizadas.
26
CAPITULO IV
APLICAÇÃO ALFA & OMEGA – A Empresa
A empresa possui 50 anos de atuação, e é uma organização privada de fins
não econômicos, que conta com 229 empresas associadas, e tem seu foco na
promoção do desenvolvimento do setor de energia, visando uma indústria
competitiva, sustentável, ética e socialmente responsável. Ao longo desse
tempo, a Alfa & Omega construiu reconhecida credibilidade junto à sociedade e
ao Governo não apenas por seu singular conhecimento técnico, mas também
por fomentar as discussões de grandes temas afins para a constante
estruturação do perfil do setor.
A partir de 2003, passou por uma profunda reestruturação organizacional para
garantir maior sintonia de suas atividades e produtos com o setor, sendo estes
o resultado do trabalho desenvolvido por 42 comissões, subcomissões e
comissões ad-hoc, nas quais
participam voluntariamente mais de 950 profissionais, entre executivos e
especialistas da indústria, instituições científicas e acadêmicas, órgãos do
Governo e associações congêneres.
5.1 Princípios e Valores
- Consistência e embasamento técnico
- Orientação ao desenvolvimento auto-sustentável
- Respeito às opiniões
5.2 Atividades Técnicas
As Comissões Técnicas iniciaram suas atividades em 1958, quando foi
implantada a Comissão de Armazenamento de Petróleo.
Hoje a organização conta com 15 Comissões Técnicas que discutem temas
ligados a toda cadeia produtiva, desde a exploração e produção de petróleo até
27
a qualidade de derivados, passando pelo gás natural, e outros tipos de geração
de energia, logística, meio ambiente e responsabilidade social, entre outros
temas de igual importância. Atuando como "inteligência" da Alfa & Omega, as
Comissões Técnicas atuam de forma isenta, congregando especialistas de
instituições de pesquisa, universidades, órgãos do governo e da indústria, em
fóruns de intensa troca de experiências.
Dada a importância de suas atividades para o desenvolvimento do setor
energético, as Comissões coordenam estudos, debates, cursos e eventos,
contando com a participação voluntária de mais de 900 técnicos, escolhidos
entre aqueles que mais se destacam em seu campo de atuação.
5.3 Atividades Setoriais
As comissões setoriais de 220 representantes em empresas que atuam nos
diferentes segmentos da cadeia de geração de energia. Têm como objetivo
colaborar com autoridades governamentais no processo de regulamentação
dessas atividades, oferecendo sugestões para tornar a legislação brasileira
adequada, estável e competitiva para a atração de investimentos.
A seguir relatamos as atividades das comissões de:
• Regulamentação de E&P
• Conselho Consultivo para Política de Desenvolvimento do Gás Natural,
• Comercializadores de Gás Natural, Gás Natural Veicular
• Comissão de Transportadores Dutoviários e Refino (esta última em fase
de reestruturação).
A Alfa & Omega organiza anualmente cerca de 15 grandes eventos de
relevância anualmente na área de energia.
Com o objetivo de atender às necessidades da indústria, o Instituto, com a
ajuda de suas Comissões Técnicas e Setoriais, procura sempre abordar os
temas mais atuais em seus eventos, valorizando assuntos de natureza técnica
e de gestão.
1 - MODELAGEM DE PROCESSOS AS IS x TO BE
28
Foram realizadas com a finalidade de explicitar os processos, seus gaps e
pontos de melhoria, duas modelagens distintas, uma do cenário original (as is)
e outra do cenário proposto (to be).
A ação foi orientada pelas entrevistas com os colaboradores diretamente
ligados a este processo, deu origem as duas matrizes de risco onde mostram-
se os cenários originais e propostos. Desta forma a organização obtém de
forma clara uma visão concreta do ambiente, dos riscos que estes estão
expostos, dos controles a serem implementados e principalmente dos pontos
de melhorias.
Cadeia de Valores
Ficou evidente nas analises que a Alfa & Omega é uma empresa com foco em
certificações importantes para o mercado de energia, bem como treinamentos
e especificações de normas para este mercado.
Os “inputs” principais para a cadeia de valor da empresa são exatamente as
necessidades constantes de treinamento e normatizações ligadas a indústria
do petróleo, gás e mas recentemente os bicombustíveis.
CAPTAÇÃO DEASSOCIADOS
Alfa & Omega - Cadeia de Valores da Organização
ESTUDO DASNECESSIDADES
RECURSOSHUMANOS
ADERENCIA AOSPROCESSOS
GOVERNAMENTAIS
SUPORTE DE TI
CRIAÇÃO DENORMAS,
TREINAMENTOSE EVENTOS
CERTIFICAÇÕES DEPROFISSIONAIS E
EMPRESAS
NECESIDADES DETREINAMENTOS EPADRÕES PARAEMPRESAS DO
SETOR DEENERGIA
CERTIFICAÇÕES,TREINAMENTOS,
EVENTOS ENORMAS
GESTÃOFINANCEIRA
FINANCEIRO
Management processes
Primary processes
Supporting processes
DEPTO.PEDAGÓGICO
GESTÃO ADM GERENCIA DETECNOLOGIA
GERENCIAPEDAGOGICA
29
Modelagem de Processos – Criação e Envio de Senhas (as is)
Modelagem de processos – Acesso a rede corporativa - (as is)
30
Modelagem de processos – Acesso a WEB - (as is)
Matriz de Risco – Indicadores e Métricas
Para que a matriz de risco e seus controles sejam fieis em retratar os
incidentes e problemas do ambiente é muito importante que seja mensurada
sobre informações consistentes.
Utilizou-se alguns parâmetros importantes para esta analise e gerados scores
para cada uma e suas variações, Utilizando a formula básica de mensuração
do risco:
RISCO = PROBABILIDADE x IMPACTO
Impacto Nível Caracteristicas
1 Insignificante Sem danos , prejuizos. Perda finaceira pequena
2 Mínimo Eventos desgastantes sem impacto no planejamento, tratados com pequenas despesas, com pouco impacto de performance.
31
3 Moderado Demanda tratamento especializado e significativo despendio financeiro
4 Elevado Gera grandes prejuizos operacionais e financeiros
5 Catastrófico
Eventos de grandes proporções que geram impacto no planejamento e comprometem a organização operacionalmente, financeiramente e mercadologicamente.
Probabilidade Nível Caracteristicas
0,95 Certo Acontecerá em várias circunstancias
0,75 Provável Provavelmente acontecerá
0,50 Possível Em algum momento acontecerá
0,25 Improvável Pode acontecer pontualmente
0,10 Raro Pode acontecer excepcionalmente
Eficácia Nível Caracteristicas 1 Total Mitiga totalmente o risco 2 Controlada Evita o Risco na maior parte dos casos 3 Média Em algum momento acontecerá 4 Regular Acontecerá pontualmente 5 Ineficaz Certamente acontecerá
Consequencias - Risco Nível Caracteristicas 1 Baixa De 0,10 à 0,75 2 Média De 0,95 à 1,90 3 Alta De 2,00 á 4,75
32
Matriz de Risco - Ambiente Original (as is)
Matriz de Risco - Ambiente Original Função / Atividade Procedimentos em TI Autor Cesar Paiva Data 25/11/2008
Atividade Evento inicial Consequências Controles existentes
Eficacia dos controles existentes
Analise Risco
Probabilidade Impacto
Criação e disponibilização de login's e Senhas
Envio da senha em papel impresso
Quebra da confidencialidade Inexistente 5 0,95 3 2,85
Utilização aleatórea de escolha de senha
Baixos padrões de segurança das senhas
Recomendações verbais 4 0,50 3 1,50
Acesso a rede corporativa
Compartilhamento de Login e Senha
Quebra do principio de pessoalidade na rede
Recomendações verbais 3 0,75 3 2,25
Acesso ao ambiente internet
Acessos via estações sem anti-vírus
Incidentes relacionados a problemas de software e hardware
Verificações pontuais por parte dos técnicos de TI
3 0,75 2 1,50
Infecção do sistema via Trojans e Spy's
Perda de confidencialidade e/ou de informações estratégicas para a empresa
Recomendações verbais 4 0,75 5 3,75
Acessos a Sites improprios ao ambiente corporativo
Perda de produção, infecção por códigos maliciosos e perda de credibilidade corporativa
Recomendações verbais 5 0,90 2 1,80
Compartilhamento de ativos físicos
Acesso a documentos pessoais e/ou corporativos sigilosos
Perda de confidencialidade e/ou de informações estratégicas para a empresa
Inexistente 5 0,90 4 3,60
Instalação de códigos maliciosos de invasão como key logers
Captura de senhas e quebra de sigilo e pessoalidade no ambiente
Inexistente 5 0,75 4 3,00
Compartilhamento de ativos lógicos
Alteração indevidas e/ou não autorizadas em arquivos pessoais ou corporativos
Perda de confidencialidade e/ou de informações estratégicas para a empresa
Inexistente 5 0,50 3 1,50
33
Alteração indevidas e/ou não autorizadas em configurações
Incidentes relacionados a problemas de software e hardware ou perda de performance e paralizações
Verificações pontuais por parte dos técnicos de TI
3 0,50 4 2,00
Rotinas de Back-up
Não cumprimento das rotinas de Back-up
Perda de dados, capacidade de recuperação e confiabilidade de informações operacionais e/ou s estratégicas para a empresa
Verificações pontuais por parte dos técnicos de TI
3 0,50 5 2,50
Instalações de programas (Software)
Instalação de códigos maliciosos de invasão como key logers
Captura de senhas e quebra de sigilo e pessoalidade no ambiente
Inexistente 5 0,75 4 3,00
Instalação de softwares em não conformidade com o ambiente operacional
Perda de produção, infecção por códigos maliciosos e perda de credibilidade corporativa
Verificações pontuais por parte dos técnicos de TI
5 0,75 3 2,25
Heterogeneidade impossibilitando um padrão visando integração dos sistemas corporativos
Incidentes relacionados a problemas de software e hardware ou perda de performance e paralizações
Verificações pontuais por parte dos técnicos de TI
5 0,90 3 2,70
Controle de requisitos legais
Controle de licenças de uso
Implicações legais quanto a penalizações por uso indevido de softwares licenciados
Verificações pontuais por parte dos técnicos de TI
4 0,75 3 2,25
34
Modelagem de Processos – Criação e Envio de Login e Senhas (To Be)
Modelagem de processos – Acesso a rede corporativa - (To Be)
35
Modelagem de processos – Acesso a WEB - (To Be)
Matriz de Risco - Ambiente Proposto (to be)
Matriz de Risco - Ambiente Proposto Função / Atividade Procedimentos em TI Autor Cesar Paiva Data 25/11/2008
Atividade Evento inicial Consequências Controles existentes
Eficacia dos controles existentes
Analise Risco
Probabilidade Impacto
Criação e disponibilização de login's e Senhas
Envio da senha para o e-mail do usuário
Quebra da confidencialidade
Alerta de recebimento 2 0,10 3 0,30
Criação de senha utilizando 4 letras + 1 Número + 1 Caracter especial
Baixos padrões de segurança das senhas
Controle aplicado (regra) no sistema
1 0,10 3 0,30
Acesso a rede corporativa
Compartilhamento de Login e Senha
Quebra do principio de pessoalidade na rede
Políticas de seguança e assinatura do termo de utilização
2 0,25 3 0,75
Acesso ao ambiente internet
Acessos via estações sem anti-vírus
Incidentes relacionados a problemas de software e hardware
Políticas de instalação e manutenção de Anti-Vírus
1 0,10 2 0,20
Infecção do sistema via Trojans e Spy's
Perda de confidencialidade e/ou de informações estratégicas para a empresa
Políticas de instalação e manutenção de Anti-Vírus
1 0,10 5 0,50
36
Acessos a Sites improprios ao ambiente corporativo
Perda de produção, infecção por códigos maliciosos e perda de credibilidade corporativa
Controle aplicado (regra) no sistema
1 0,10 2 0,20
Compartilhamento de ativos físicos
Acesso a documentos pessoais e/ou corporativos sigilosos
Perda de confidencialidade e/ou de informações estratégicas para a empresa
Controle aplicado (regra) no sistema + Políticas de seguança e assinatura do termo de utilização
1 0,10 4 0,40
Instalação de códigos maliciosos de invasão como key logers
Captura de senhas e quebra de sigilo e pessoalidade no ambiente
Controle aplicado (regra) no sistema + Políticas de seguança e assinatura do termo de utilização
1 0,10 4 0,40
Compartilhamento de ativos lógicos
Alteração indevidas e/ou não autorizadas em arquivos pessoais ou corporativos
Perda de confidencialidade e/ou de informações estratégicas para a empresa
Controle aplicado (regra) no sistema + Políticas de seguança e assinatura do termo de utilização
1 0,25 3 0,75
Alteração indevidas e/ou não autorizadas em configurações
Incidentes relacionados a problemas de software e hardware ou perda de performance e paralizações
Controle aplicado (regra) no sistema + Políticas de seguança e assinatura do termo de utilização
1 0,10 4 0,40
Rotinas de Back-up
Não cumprimento das rotinas de Back-up
Perda de dados, capacidade de recuperação e confiabilidade de informações operacionais e/ou s estratégicas para a empresa
Controle aplicado (regra) no sistema, software de controle de back-up
1 0,10 5 0,50
Instalações de programas (Software)
Instalação de códigos maliciosos de invasão como key logers
Captura de senhas e quebra de sigilo e pessoalidade no ambiente
Controle aplicado (regra) no sistema + Políticas de seguança e assinatura do termo de utilização
1 0,10 4 0,40
Instalação de softwares em não conformidade com o ambiente operacional
Perda de produção, infecção por códigos maliciosos e perda de credibilidade corporativa
Políticas de seguança e assinatura do termo de utilização
2 0,25 3 0,75
Heterogeneidade impossibilitando um padrão visando integração dos sistemas corporativos
Incidentes relacionados a problemas de software e hardware ou perda de performance e
Política de paronização de aplicações
2 0,50 3 1,50
37
paralizações
Controle de requisitos legais
Controle de licenças de uso
Implicações legais quanto a penalizações por uso indevido de softwares licenciados
Controle aplicado (regra) no sistema + Políticas de seguança e assinatura do termo de utilização
2 0,25 3 0,75
Case ALFA & OMEGA
A Empresa Alfa & Omega é a centralizadora de uma grande associação que se
relaciona com as maiores organizações ligada à área de energia em território
nacional e em países onde estas empresas desenvolvem projetos. Por conta
desta característica se faz necessário a adoção de processos e regras bem
definidas de gestão do risco em contextos de segurança da informação. A
empresa entende que atualmente seus níveis de segurança da informação e a
gestão do risco proveniente
Problema
Foi detectado pela diretoria da ALFA & OMEGA uma grande vulnerabilidade
nos sistemas e acessos em relação à segurança da informação da empresa,
levando todos os gestores a direcionar uma atenção maior para este fato.
Após este movimento foram detectadas diversas falhas na segurança de
informações e dados, desde simples trocas de arquivos lógicos até acessos
indevidos a áreas de servidores onde estão armazenadas informações
confidenciais e estratégicas da organização.
Sugestões
Com base nas informações adquiridas junto a empresa foi proposto um projeto
de revisão dos processos, analisados e desenhados pelo viés da gestão de
risco utilizando como base de consulta e modelo de referência a norma
ISO/IEC 17799:2005.
38
CONCLUSÃO
A apresentação do projeto de Segurança da Informação a ALFA & OMEGA
contribui para colocar a organização em um patamar de maturidade onde a
empresa, colaboradores e fornecedores passam a estar se relacionando em
um ambiente mais seguro e assim com menos possibilidades de incidentes e
problemas que afetem a operação ou mesmo a relação entre as partes
envolvidas. A matriz de risco e a modelagem dos eventos mais críticos poderão
direcionar as ações realizadas pela área de tecnologia para o conjunto
confidencialidade, integridade e disponibilidade.
Foi decisivo para o desenvolvimento de idéias e modelos aqui apresentados o
envolvimento dos gestores de TI e de RH, fornecendo os modelos utilizados
sem restrições nas informações que são nossa matéria prima principal para o
sucesso definitivo deste trabalho.
Dada a baixa maturidade dos processos e a quase inexistência de controles de
risco aliados a impossibilidade de realizar entrevistas mais estruturadas com os
colaboradores e fornecedores, foi necessário realizar um projeto que atendesse
de forma mais generalista e menos especifica para cada área gerando
segurança mais superficial e menos apurada, para um ambiente onde não
existiam quaisquer controles e/ou políticas de segurança e controle do risco.
Ficou claro para a Alfa & Omega que entender sua área tecnológica e os riscos
que se precipitam sobre ela pelo viés de processos, gerou uma maior
credibilidade para a área e maior maturidade para a organização como um
todo.
Os avanços operacionais e de gestão, inseridos na empresa por meio destas
técnicas acabaram se refletindo para outras áreas.
Quase que instintivamente, uns departamentos mais e outros menos passaram
também a ter maior interesse por elevarem seus níveis de maturidade
corporativa, acabando por integrar toda a empresa numa grande
movimentação orientada a processos que com certeza terá como maior reflexo
positivo posicionar a Alfa & Omega num status de empresa moderna e alinhada
39
com as melhores praticas de mercado, gerando um percepção de valor mais
alta para colaboradores, fornecedores e clientes.
BIBLIOGRAFIA
40
ABREU, Aline frança de Rezende, DENIS Alcides, Tecnologia da Informação –
Aplicada a Sistema de Informação Empresariais- Atlas, São Paulo,6ª Ed. 2009.
ALBERTIN, Rosa Maria De Moura, Estratégias de Governaça de Tecnologia
de Informação, Campus, 2001.
BATISTA, Emerson de O.- Sistemas de Informação- O uso Consciente da
tecnologia para gerenciamento, São Paulo, Saraiva,2000.
BARROS, Daniela Melaré Vieira,Guia Pratico Sobre as Tecnologias da
Comunicação e Informação, Viera e Lent, São Paulo, 2002.
BRITO,Osias, Gestão de Risco – Uma Abordagem Orientada a Riscos
Operacionais, Atlas, São Paulo,2005.
CARR, Nicholas G.- Será que ti É Tudo?Repensando o Papel da Tecnologia da
informação, Rio de Janeiro, 2005.
COIMBRA, Fabio, Riscos Operacionais- Estrutura para Gestão em Bancos, Rio
de Janeiro, Saint Paul ,1999.
DAMODARAN, Aswath, Gestão estratégica de risco- referencia para a Tomada
de Riscos Empresariais, São Paulo, Bookman,1999.
FOINA, Paulo Rogerio, tecnologia de informação – Planejamento e gestão -,
SP Atlas,2ª Ed.2006.
JUNIOR, Antonio M.Duarte , Gestão de Riscos – Para Fundos de
Investimentos, São Paulo, Premntice Hall, 2000
NOGUEIRA, Marcelo, Engenharia de Software- Um framework para a gestão
de Riscos em Projetos de Software,São Paulo, Ciencia Moderna, 2003.
OLIVEIRA, Alexandre Martins Silva de, Contabilidade – gestão de Risco,
Governança Corporativa, Rio de Janeiro, Atlas,2000
PRADO, Darcie, Gerencia de Projetos em Tecnologia da informação Volume 5.
São Paulo,Atlas, 1997.
POTTER, R. Governaça de TI- Tecnologia da Informação.São Paulo,M.books,
2001.
41
REZENDE, Denis Alcides, Tecnologia da Informação e Planejamento
Estrategico, São Paulo Brasport, 2004.
SILVA, Jose Pereira de – Gestão e Analise de risco de Credito- São paulo
Atlas, 5ª Ed.2008.
STAUFFER, Davi e GRIGGS, Michal, Tecnologia e Gestão da Informação,Rioo
de Janeiro, Campus 2003.
WEILL, Peter, ROSS, Jeanne W. Administração da Tecnologia da Informação,
São Paulo, Campus 2000.