UNIP INTERATIVAProjeto Integrado Multidisciplinar III

Curso Superior em Gestão da Tecnologia da Informação

CHAMPIONS INDÚSTRIA FARMACÊUTICA S.A

Nome: RA:

Curso: Gestão da Tecnologia da InformaçãoSemestre: 3º

Polo de Muriaé2013

RESUMO.

Este trabalho é a respeito de um projeto desenvolvido pela empresa Champions Indústria Farmacêutica S.A, desejando abrir no Brasil uma filial, a fim de dar um “salto” em sua abrangência no mercado compreendido pelo MERCOSUL. Este trabalho envolveu um projeto completo de implantação de um sistema ERP com suas respectivas fases. Também foi definido o plano de implantação e de gerenciamento da infraestrutura com foco na segurança das informações (física e lógica) que serão utilizadas. Uma parte importante também deste trabalho foi a Definição de um Plano de Continuidade de Negócios para o ambiente físico e lógico de TI. Por ser uma empresa do ramo farmacêutico existe o risco constante de ações de espionagem industrial e a preocupação com a Segurança da Informação é prioritária. Os gestores elaboraram uma Política Corporativa de Segurança da Informação, bem como um plano de conscientização baseado nas melhores práticas para criação e uso de senhas de acesso, engenharia social, verbalização e utilização de informações privilegiadas.

Palavras-chave: Sistema ERP, Segurança da Informação, Gerenciamento.·········.

ABSTRACT.

AlphaThis work is about a project developed by Champions Pharmaceutical Industry SA, wishing to open a branch in Brazil in order to take a "leap" in scope in the market understood by MERCOSUR. This work involved a complete project deployment of an ERP system with their respective phases. Was also defined the deployment plan and infrastructure management with a focus on information security (physical and logical) that will be used. Also an important part of this work was the definition of Business Continuity Plan for the physical and logical IT. Being a pharmaceutical company there is the constant risk of industrial espionage and the concern for information security is a priority. Managers developed a Corporate Policy on Information Security, as well as an awareness plan based on best practices for creating and using passwords, social engineering, verbalization and insider trading.

Keywords: ERP System, Information Security, Management.

SUMÁRIO

1.INTRODUÇÃO............................................................................................................ 52. SISTEMAS ERP – ENTERPRISE RESOURCEPLANNING…................................ 6 2.1. Vantagens de um Sistema ERP................................................................................ 7 2.2. Projeto de Implantação e suas Fases....................................................................... 82.3. Sistema Comercial.................................................................................................... 93. PLANO DE IMPLANTAÇÃO E DE GERENCIAMENTO DE INFRA.................. 11 3.1. Priorizando a Segurança das informações........................................................... 113.2. Política de Segurança e Normas de Segurança da Informação.......................... 124. SEGURANÇA FÍSICA E LÓGICA........................................................................... 164.1. Segurança Física...................................................................................................... 164.2. Segurança Lógica.................................................................................................... 174.3. Rede Virtual Privada - VPN.................................................................................. 194.4. Plano de Continuidade de Negócios (PCN)........................................................... 215. ARQUITETURA DE DISTRIBUIÇÃO DE BANCO DE DADOS.......................... 226.CONCLUSÃO............................................................................................................ 24REFERÊNCIAS............................................................................................................. 25

1. INTRODUÇÃO.

Atualmente as empresas do mundo todo vêm buscando conquistar um espaço no mercado, em um mundo cada vez mais competitivo e globalizado, os gestores e administradores buscam novas estratégias e inovações que possam manter seus produtos e ou serviços competitivos e atraentes para seus consumidores. A empresa Champions Indústria Farmacêutica S.A que possui sua matriz no Japão pretende fazer parte do MERCOSUL abrindo no Brasil uma filial em um grande centro urbano. Um dos desafios dos seus gestores é exatamente se estabilizar e conquistar esse mercado que também é muito competitivo e vem evoluindo em suas exigências em qualidade e em responsabilidades socioeconômicas e ambientais.Neste projeto veremos quais as estratégias utilizadas pelos gestores da empresa Champions Indústria Farmacêutica S.A para que obtenham sucesso nessa etapa de ampliação.Será envolvida nesse projeto a definição do plano de gerenciamento de infraestrutura com foco na segurança das informações, a implantação de um sistema ERP, dentre outros projetos.Neste trabalho será apresentada a técnicas de modelagem de sistemas de informação, aspectos de segurança da informação e ao final deste projeto veremos se realmente esta empresa terá condições de obter o sucesso esperado.

2. SISTEMAS ERP - ENTERPRISE RESOURCE PLANNING.

A Empresa Champions Indústria Farmacêutica S.A. com sede em Tóquio está visando conquistar o mercado sul americano e decidiu abrir no Brasil uma filial comercial que será responsável em operacionalizar suas transações e ampliar abrangência no mercado compreendido pelo MERCOSUL. A Empresa se caracteriza por uma forte dinâmica centrada em pesquisa e desenvolvimento, produção e comercialização com um alto investimento e estratégia de competição focada na diferenciação de produtos. A Empresa Champions Indústria Farmacêutica S.A implantará um sistema ERP, no início somente com o módulo de vendas, mas que futuramente será acoplado ao sistema ERP da sua sede em Tóquio.Os sistemas ERP são sistemas de informação que integram todos os dados e processos de uma organização em um único sistema. Os ERPs são projetados para possibilitar aos gestores a tomada de decisão e realização de análises eficientes sobre questões importantes da organização sob o ponto de vista da satisfação dos clientes, do desempenho, da rentabilidade operacional, da qualidade e da disponibilidade.Para o bom funcionamento dessa tecnologia, é necessário que a empresa realize a criação de uma cultura focada nessa ferramenta. Após a aquisição e implantação do sistema a Champions Indústria Farmacêutica fará a capacitação e treinamento adequado dos membros da equipe e das pessoas responsáveis pela suautilização, lembrando que a capacitação terá que ser em alguns casos específicos devido aos níveis hierárquicos existentes na organização.Para implantar a ferramenta é preciso ter certeza de que todas as partes que se conectam com outras ferramentas estarão funcionando e que se realmente os módulos do sistema instalados aqui no Brasil se conecte com a matriz.Depois da realização dos processos de implantar a cultura dessa tecnologia, realizar o treinamento de todos os colaboradores, acompanhar a implantação e fazer a sua manutenção, a ferramenta disponibilizará de forma organizada e estruturada para toda a empresa as informações de seu banco de dados. 2.1. Vantagens de um sistema ERP.

A Champions Indústria Farmacêutica valorizará a implantação de um sistema ERP por dois motivos:O ERP cria uma estrutura de integração e aperfeiçoamento dos processos internos e externos;O ERP permite a obtenção rápida de informações para uma tomada de decisão ágil e eficaz pelos gestores da organização.Existem inúmeras vantagens na implantação de um ERP numa empresa, entre elas a eliminação do uso de interfaces manuais, otimização do processo de tomada de decisão, redução do tempo dos processos gerenciais, redução de custo e a implementação das melhores práticas gerenciais. Isso sem falar na eliminação de sistemas legados antigo sem possibilidade de manutenção ou

atualização e que custam caro para a organização. Elencam-se como vantagens de implementação deum sistema ERP:Otimização do fluxo da informação e sua qualidade dentro da organização (eficiência na tomada de decisão);Eliminação de redundância de atividades;Redução dos limites de tempo de resposta ao mercado e atendimento ao cliente;Aperfeiçoamento dos processos de trabalho,pois a competição exige que as companhias estruturem seus processos de negócios de modo que estes sejam tão eficazes e orientados ao cliente quanto for possível.Padronização e atualização da infraestrutura de TI: com a implantação de um ERP a organização verá a necessidade de atualização de sua planta de TI de forma a compatibilizar as necessidades e as demandas do novo sistema à infraestrutura existente. A padronização reduz os custos de manutenção e treinamento dos usuários.

2.2. Projeto de Implantação e suas Fases.

O ciclo de vida de desenvolvimento de sistemas é composto por uma sequência de fases como se fosse a trajetória da vida humana, com a concepção, desenvolvimento e a fase final, ou seja, a sua morte. Mediante isso, veremos como essas etapas devem acontecer.Em toda metodologia de desenvolvimento deve-se respeitar pontos de avaliação de qualidade e realizar a revisão da qualidade do projeto e a validação formal com os envolvidos. Fases da metodologia de desenvolvimento de sistemas de informação:

Estudo preliminar;Análise do sistema atual;Projeto lógico;Projeto físico;Projeto de implantação.

O estudo preliminar tem por objetivocompreender a necessidade e a estrutura do sistema a partir de suas origens e envolvidos concebendo através de uma visão global um protótipo com a primeira definição dos requisitos funcionais desejados, abrangências, objetivos, integrações, limitações, impactos e áreas englobadas.No caso da Champions Indústria Farmacêutica pularemos a fase de análise de sistema atual não será necessária por se tratar de uma implementação do zero, ou seja, não há sistemas anteriores para analisar.Na fase de projeto lógico define-se o que o sistema fará, é apresentada uma proposta de solução macro, os requisitos reais funcionais são definidos e o detalhamento da lógica ideal do projeto é desenhado. É nesse ponto que se conhece o ambiente e o produto existente.

No projeto físico define-se como o sistema fará o que se propõe a fazer, como será sua execução, como se dará a confecção de seus respectivos subsistemas e como será a configuração do layout de entrada e saída. Essa etapa é elaborada para que se obtenha uma visão sistêmica do ponto de vista físico e de segurança dos resultados.Iniciada a conclusão da metodologia de desenvolvimento, é na fase de implantação que se elabora o plano real entre usuário com características reais de qualidade, produtividade e continuidade. Nesse momento de disponibilização, é feito o planejamento de implantação, o treinamento, a capacitação do cliente e/ou usuário e o acompanhamento pós-implantação. Cada fase é constituída desuas respectivas subfases e é importante no início de cada fase fazer uma revisão da fase anterior, pois, com esse procedimento, pode-se encontrar algum ponto que precisa ser melhorado e com isso a fase em questão terá um rendimento melhor.

2.3. Sistema Comercial.

Como já visto anteriormente, a Champions Indústria Farmacêutica iniciará suas atividades somente com o sistema comercial e futuramente será acoplado ao sistema ERP da matriz em Tóquio. O sistema comercial pode ser representado como ilustrado com seus módulos abaixo.

Figura 1: Exemplo de representação de um Sistema Comercial.

O marketing realiza controle total do perfil dos clientes, faz um acompanhamento dos negócios, controla a concorrência, prospecta novos clientes, controla orçamentos e a lucratividade e prepara o material de divulgação para o cliente por meio de mala direta. Possui integração com os módulos de faturamento, contabilidade e vendas.O módulo de clientes acompanha detalhadamente cada cliente e suas particularidades. Seu intuito é garantir a personalização dos dados da organização e possui integração com os módulos de faturamento, de vendas, financeiro e marketing.Geralmente as empresas trabalham com pedidos que serão remetidos posteriormente à produção e só depois gerarão faturamento. O sistema de pedido realiza o controle do pedido de venda do cliente e faz todo o acompanhamento de sua localização, orçamentos e ligação com os negócios daorganização. Possui integração com os módulos financeiros e de faturamento.

O módulo de faturamento realiza o acompanhamento dos pedidos, visando manter a carteira dos clientes monitorando os pedidos de venda, os dados dos clientes e vendedores e as emissões de notas fiscais ou faturas e possui integração com os módulos financeiros, de livros fiscais, de estoque e de contabilidade.O módulo de vendas busca controlar os pedidos de venda, o contrato com o cliente e as formas de entrega de seus pedidos. Nele cabe também realizar uma avaliação financeira dos negócios e esse acompanhamento possui integração com os módulos financeiros, faturamento e de clientes.Uma empresa que realiza vendas fora do seu território nacional precisa seguir também uma série de outros controles, como o acompanhamento de seus clientes internacionais e suas respectivas vendas e a regulação de seus contratos de câmbio e processos. O módulo de exportação possui integração com os módulos financeiros, faturamento, clientes, estoque e módulos que envolvem o Siscomex e a Cacex. Para que uma organização seja competitiva, é necessário que se realizem pesquisas de vendas e de mercado e que se gerem números para a tomada de decisão. Em razão disso, as estatísticas, que fazem parte da pesquisa, também são importantes e precisam ser elaboradas com atenção nos mai variados fatores. Este módulo possui integração com os módulos financeiros, faturamento e de clientes.3. PLANO DEIMPLANTAÇÃO E DE GERENCIAMENTO DE INFRA.

3.1. Priorizando a Segurança das Informações.

A informação é um dos bens mais valiosos de uma empresa, tanto que para garantir a sua proteção, confiabilidade, integridade e disponibilidade são utilizados métodos e padrões. Uma das ferramentas para proteção das informações é a Política de Segurança, que determina de uma forma clara e simples o método de proteção de suas informações que a empresa pretende executar.Essa política orienta de forma consciente a conduta das pessoas e serve de base para criação de normas, padrões e procedimentos de segurança que auxiliam o usuário no atendimento da política de segurança.Com o avanço das novas tecnologias de informação, as empresas começaram a disponibilizar computadores a todos os funcionários para que as atividades fossem realizadas com mais rapidez e precisão. No entanto, as informações que antes eram centralizadas passaram a ser descentralizadas, pois cada funcionário passou a ter acesso à informação a partir de sua própria mesa.Um aspecto importante a ser considerado é a grande miscigenação de raças no mundo, inclusive no Brasil. O fato de as pessoas serem diferentes uma das outras em razão de suas culturas e percepções diferentes não é algo ruim, pois isso agrega diversidade de informações aos ambientes, mas dentro das empresas, se cada funcionário tratar uma informação conforme sua percepção haverá uma

grande confusão e as informações poderão ficarvulneráveis. Daí a importância da Política de Segurança como orientadora da conduta de todos.Dentro das empresas há uma interação constante entre as informações e as pessoas, que as ouvem, visualizam, verbalizam e manipulam. Essa interação precisa ser regulamentada pela empresa para que haja a segurança de que seus funcionários tratem as suas informações de ativos de forma a garantir a sua confidencialidade, integridade e disponibilidade.3.2. Política de Segurança e Normas de Segurança da Informação.

A Política de Segurança deve ser elaborada com base nas melhores práticas de mercado (ISO 27001, ISO 27002, entre outras), na legislação local e na realidade do ambiente da empresa. É importante que haja publicação dessa Política em programas de divulgação e de conscientização sobre a segurança da informação e canais disponíveis para todo o quadro de funcionários. Tendo como objetivo principal direcionar um programa efetivo de proteção dos ativos de informação, tais como base de dados, documentos, arquivos e outros, a Política de Segurança, a partir da sua existência, estabelece os procedimentos operacionais, as instruções de trabalho e os padrões de segurança a serem adotados pela empresa.Portanto, trata-se de um conjunto de diretrizes dentro de uma empresa que visam à proteção das informações da organização e de seus clientes, com base nos princípios de segurança da informação (confidencialidade, integridade e disponibilidade), nasmelhores práticas de mercado, bem como nos padrões nacionais e internacionais.Após a sua aprovação é de extrema importância que essa política seja divulgada a todos os colaboradores da empresa, do nível executivo ao operacional, para que todos estejam conscientes da importância do seu seguimento, pois é a partir dela que será possível proporcionar ao ambiente da empresa regras e procedimentos que devem ser seguidos para a garantia da segurança das informações.As Normas de Segurança da Informação estão um nível abaixo da Política de Segurança da Informação, que por sua vez serve de base para sua criação. As normas tratam de assuntos específicos dentro da empresa e são elaboradas com base na própria Política de Segurança. Para a proteção da informação podem ser elaboradas normas como o exemplo a seguir:• Classificação da informação: regras para tratamento e rotulação das informações conforme seu nível de criticidade para empresa;• Usuários de rede: regras que orientam o comportamento do usuário na rede da empresa, desde sua criação, inclusão, alteração, manuseio, armazenamento e descarte de informações na rede, até a conexão de equipamentos, uso de senhas e bloqueio de estações de trabalho na ausência do funcionário; Unidade I• Administradores de redes: regras que orientam os administradores de rede em suas atividades com base nas regras estabelecidas aos usuários;• Uso de internet: regras que determinam o que usuário pode ou não fazer no

usoda Internet concedida pela empresa para fins exclusivos do trabalho;• Uso de e-mail: regras que determinam o que usuário pode ou não fazer durante o uso do e-mail corporativo concedido pela empresa para fins exclusivos do trabalho;• Uso de equipamentos portáteis: regras que determinam o que o usuário devem ou não fazer quando do uso de equipamentos portáteis (notebooks, smartphones, tablets, entre outros) concedidos pela empresa para o desenvolvimento das atividades laborais;• Redes sem fio (Wireless): regras que determinam o uso correto de redes sem fio disponibilizadas pela empresa aos seus funcionários para atividade exclusiva de trabalho;• Acesso remoto: regras que determinam o que fazer quando do uso do acesso remoto externo e interno à rede da empresa nas situações em que o usuário não está em seu local de trabalho e necessita acessar a rede da empresa;• Segurança lógica: norma que orienta usuários não autorizados que não se conectem ou que não obtenham acesso lógico aos sistemas e aplicações da empresa. Recomenda também a monitoração periódica dos acessos e privilégios concedidos;• Segurança física: norma que define os padrões de segurança física para as instalações da empresa. Descreve os controles necessários para acesso e circulação dos usuários e de terceiros dentro da empresa;• Dispositivos de armazenamento: regras que orientam os usuários quando estes precisarem utilizar um dispositivo de armazenamento (DVD, CD,pendrive etc.) dentro do ambiente da empresa;• Mesa limpa: regras que orientam os usuários na organização da sua mesa trabalho, evitando que documentos confidenciais fiquem expostos quando de sua ausência ou sem necessidade;• Desenvolvimento de sistemas: norma que determina as regras para criação de qualquer novo sistema ou aplicação no ambiente da empresa. Essas regras devem ser aplicadas nas fases de produção, teste e validação do sistema;• Controle de acessos: norma que define as responsabilidades e critérios para a concessão, manutenção, revisão e revogação de acessos a sistemas de informação em produção, processados, armazenados e/ou acessados em ambientes de alta ou de baixa plataforma, próprios ou de terceiros, de forma a garantir que apenas usuários autorizados tenham acesso à informação;• Certificação digital: norma que determina a gestão de certificado digital dentro da empresa, descrevendo as responsabilidades de usuários e gestores envolvidos no processo;• Manuseio e troca de dados: norma que determina o manuseio e a troca de dados no âmbito da empresa, inseridas ou retiradas da rede por alguém interno ou externo; rança a. • Remanejamento e descarte de equipamentos: documento que orienta o usuário no descarte ou no remanejamento de um equipamento que não utilizará mais ou que será substituído por outro;

• Plano de continuidade de negócio: regras que determinam e orientam sobre a necessidade de existir um plano de continuidade denegócio da empresa em caso de interrupção inesperada do serviço, especificando tanto os responsáveis pelo plano como as medidas a serem tomadas no caso de ocorrência.Convém que as normas de segurança e a política sejam acompanhadas dos termos e definições específicos que são utilizados na composição da referida Norma. Em alguns casos a empresa pode disponibilizar um documento específico sobre termos e definições, porém é necessária a citação nas normas do referido documento.A área de recursos humanos da Empresa Champions Indústria Farmaceutica S.A trabalha não só no campo burocrático, mas principalmente para manter seu quadro de funcionários motivado e satisfeito, trabalhando no sentido de inspirar o comprometimento e a criatividade, catalisar mudanças essenciais e principalmente no alinhamento coletivo de objetivos individuais organizacionais. Há uma preocupação com os recursos humanos da empresa, com isso o RH trabalha com treinamentos, planejamento, recrutamento, seleção, avaliação, envolvimento estratégico operacional, etc. E será uma peça muito importante e estratégica que atuará também na área da segurança da informação junto aos colaboradores de todas as áreas da filial. A área de RH ficará incumbida de montar e apresentar em forma de palestra uma cartilha contendo aspectos éticos e legais do uso tecnológico, onde serão abordados assuntos como direito digital, segurança da informação, crimes digitais, direitos autorais, dentreoutros.A área de Recursos Humanos ficará responsável pela reciclagem periódica dos funcionários em relação a Política de Segurança da Informação.

4. SEGURANÇA FÍSICA E LÓGICA.

A segurança da informação também está associada à proteção dos ativos de

informação nos estados físico e lógico. Assim, criar mecanismos para proteger as informações nesses dois estágios de vida representa um desafio para os profissionais de segurança da informação por se tratarem de ativos de informação diferentes em sua concepção, mas que da mesma forma requerem uma combinação de medidas preventivas, reativas ou detectivas. Ou seja, a segurança física e a lógica trabalham juntas para evitar que as ameaças explorem alguma vulnerabilidade existente.

4.1. Segurança Física.

Quando nos referimos a segurança física, a primeira palavra que vem à mente é prevenção, já que medidas preventivas, as quais podem ser chamadas de barreiras de segurança, devem ser tomadas. Uma barreira de segurança é um obstáculo que serve para prevenir um ataque e que compõem um perímetro de segurança.A Champions Indústria Farmaceutica S.A utilizará algumas barreiras que juntas podem formar um perímetro de segurança, como por exemplo:Roletas de controle de acesso que utilizam a liberação através de passagem do crachá magnético ou mesmo de um leitor biométrico para autenticar a entrada de funcionários no ambiente empresarial;Circuitos internos de TV (CFTV)em todos os ambientes da empresa incluindo área externa. As imagens captadas serão armazenadas em discos;Sensores de presença através de detectores ultrassônicos, que estarão constantemente ligados (acionados) nas salas/ambientes de segurança, tais como: salas de arquivos de documentos impressos e mídias digitais (CD/DVD) e sala dos servidores e equipamentos de telecomunicação. Serão acionados pelo responsável após o expediente nos outros ambientes da empresa.Além dos sensores de presença nas salas de arquivo e de servidores terá também dispositivos biométricos para liberação de entrada.Descarte seguro de mídias e discos rígidos (trituração ou incineração).Mídias que serão levadas para fora das instalações devem se sujeitar a procedimentos de proteção e normas para que sejam devidamente protegidas fora do ambiente organizacional.Implantação de lacres ou cadeados nos equipamentos evitando assim qualquer tipo de furto de componentes ou violação física do mesmo.Quando houver a necessidade de intervenção técnica por meio de empresa contratada todo o processo deve ser supervisionado.A organização considerará a adoção de uma política de mesa limpa para papéis e mídias removíveis e uma política de tela limpa para os recursos de processamento da informação, de forma a reduzir riscos de acessos não autorizados, perda e danos à informação durante e fora do horário de trabalho.

4.2. Segurança Lógica.

Quando falamos em controle deacesso lógico e na interligação em redes os problemas de segurança aumentam muito, basta um único usuário descuidado para comprometer a segurança de uma rede inteira. Quando as redes estão conectadas à Internet as delimitações e dispositivos de segurança física já não podem garantir a segurança da informação, pois nesse ambiente as ameaças são multiplicadas e potencializadas, tanto ameaças externas como invasões, quanto internas como erros, fraudes, abusos de privilégios.A Champions Indústria Farmacêutica S.A tomará várias medidas preventivas e uma delas é a estratégia de privilégio mínimo, que parte da ideia de que os funcionários tenham apenas os privilégios necessários para desempenhar suas tarefas e nunca possuam privilégios adicionais desnecessários.Outra estratégia utilizada será a da participação universal, que busca a uniformidade na aplicação, envolvendo procedimentos de treinamento e conscientização de usuários.A Champions Indústria Farmacêutica S.A contará com elementos básicos para proteção de rede que incluem dispositivos como: roteador de borda, firewall, VPN, dentre outros;Roteador de Borda: É o último Gateway (dispositivo que interconecta redes diferentes) que conecta a rede da empresa à Internet. É a primeira linha de defesa da empresa contra ameaças externas.Firewall: É um conjunto de hardware e software que permite a criação de regras definindo que tipos de serviço e tráfegos são permitidos por entre as redes que eleconecta. São dispositivos de controle de acesso que possui como uma das suas funções principais a proteção das estações e da segmentação de perímetros, geralmente colocado na junção de duas redes com níveis de confiança distintos. Porém o firewall sozinho não consegue inibir todos os acessos indevidos, mas unido a outras ferramentas de controle acesso pode evitar a entrada de vírus na rede e até mesmo detectar uma tentativa de invasão na rede interna. A função do firewall é analisar pacotes que passam por ele e compará-los a um conjunto de regras para saber qual decisão tomar, fazendo uso de tecnologias existentes para integrá-lo a uma rede.VPN (Redes Virtuais Privadas): se referem ao acesso entre redes por meio seguro através de uma rede insegura (Internet).As preocupações da Champions Indústria Farmacêutica vão além de software maliciosos relacionados a downloads de anexos infectados ou o uso do correio eletrônico, já que a introdução de um dispositivo infectado em uma estação ou a instalação de software não confiável pode colocar em risco a segurança da informação.Diante dessa situação a empresa julga necessária medidas de proteção contra esse tipo de ameaça, e adotará programa de conscientização dos usuários, procedimentos controlados para importação de arquivos e softwares, instalando e atualizando regularmente softwares antivírus e exames periódicos de computadores e mídias.Dentre as orientações aos usuários se fará alusão a chamadaengenharia social

que é um método de ataque em que alguém faz uso da persuasão para conseguir informações pessoais ou confidenciais.Fará parte da Política de Segurança da Champions Indústria Farmacêutica os controles de acesso lógicos que visa proteger o acesso ligado aos sistemas corporativos, aos sistemas de gerenciamento de banco de dados e aplicações, aos arquivos de dados, ao sistema operacional e utilitário e aos arquivos de log.A autenticação dos usuários nos mais diversos sistemas é um fator importante para a administração do controle de acesso no qual devem ser criadas credenciais exclusivas aos colaboradores, ou seja, as contas de usuários às quais estão associadas todas as suas permissões de acesso.Os métodos de autenticação que serão utilizados pela Champions Indústria Farmacêutica serão:Método de autenticação baseado no que você sabe: Que é o uso de senhas para autenticação. Nas redes, a permissão de acesso só é liberada com a inserção de uma identificação (usuário) e de uma senha validada.Método de autenticação que utiliza o que você tem: Baseados em dispositivos físicos como tokens ou smartcards, que são entregues aos usuários e que devem ser guardados para uso no momento em que o sistema fizer a requisição.Método de autenticação pelo que você é: Baseia-se em características físicas (reconhecimento biométrico), como o uso de impressão digital para acesso a sistemas.

4.3. Rede Virtual Privada – VPN.

A criptografia éuma ciência fundamental para a segurança, servindo de base para diversas tecnologias e protocolos. Suas propriedades de confidencialidade, autenticidade, integridade, autenticação e o não repúdio garantem o armazenamento, a comunicação e as transmissões de forma segura.A segurança de um sistema de criptografia não deve ser baseada nos algoritmos que cifram as mensagens, mas no tamanho das chaves usadas. Podemos dizer que um algoritmo é considerado forte quando é praticamente impossível quebrá-lo em um determinado espaço de tempo em que as informações sejam ainda relevantes e que possam ser utilizadas por pessoas não autorizadas.A VPN é uma rede de comunicações privada normalmente utilizada por uma empresa ou um conjunto de empresas e/ou instituições, construída em cima de uma rede de comunicações pública (como por exemplo, a Internet). O tráfego de dados é levado pela rede pública utilizando protocolo padrão, não necessariamente seguro.VPNs seguras usam protocolos de criptografia por tunelamento que fornecem a confidencialidade, autenticação e integridade necessárias para garantir a privacidade das comunicações requeridas. Quando adequadamente implementados, estes protocolos podem assegurar comunicações seguras através de redes inseguras.Hoje diversas empresas interligam suas bases operacionais através de um VPN

na internet. Um sistema de comunicação por VPN tem um custo de implementação e manutenção insignificantes, se comparados aosantigos sistemas de comunicação física, como o frame-relay, por exemplo, que tem um custo exorbitante e segurança muito duvidosa. Por este motivo muitos sistemas de comunicação estão sendo substituídos por uma VPN, que além do baixo custo, oferece também uma alta confiabilidade, integridade e disponibilidade dos dados trafegados.A Champions Indústria Farmacêutica fará uso também de uma Intranet VPN, que é uma VPN que liga os escritórios regionais e remotos à rede interna da matriz através de uma infraestrutura compartilhada com a utilização de conexões dedicadas. Uma Intranet VPN difere da Extranet VPN dado que só permite o acesso aos funcionários da empresa.A VPN pode ser acessada remotamente através de um provedor de acesso. Esta tecnologia permite o acesso à Intranet ou Extranet de uma empresa, por funcionários localizados remotamente, através de uma infraestrutura compartilhada. Uma "Remote Access VPN" pode utilizar tecnologias analógicas, de discagem (linha discada dial-up), ISDN, DSL (Digital Subscriber Line), IP móvel e de cabo, para fazer a conexão segura dos usuários móveis, tele comutadores e filiais.

4.4. Plano de continuidade de Negócios (PCN).

O plano de continuidade de negócios faz parte da política de segurança da empresa, uma organização pode estar sujeita a diversos incidentes, os quais podem apresentar grandes prejuízos ainda não previstos e nem imaginados causados como, por exemplo, pordesastres civis e naturais, manifestações e passeatas, privações de recursos básicos (água, energia elétrica), greves de fornecedores e prestadores de serviço, etc.A filial brasileira da Champions Indústria Farmacêutica S.A terá como competência única em seu início a atuação comercial, ou seja, vendas. Visando conquistar o mercado sul americano compreendido pelo MERCOSUL a empresa através da pessoa de seus gestores identificou a operacionalidade da filial como um aspecto crítico a ser preservado, pois, se a filial parar suas atividades por um período considerável de tempo poderá comprometer seus lucros e deixar de fazer grandes negócios. Foi estipulada a tolerância de no máximo uma hora para a falta de fornecimento de energia elétrica, será utilizado como recurso o acionamento de dois geradores particulares, sendo um para os aparelhos de ar condicionado e outro para o restante da filial. Também será utilizado no-break para os servidores e equipamentos de telecomunicação.A Champions Indústria Farmacêutica S.A trabalhará também em seu PCN com hipótese de desastres naturais e civis, no caso onde os colaboradores forem impedidos de entrarem na empresa ou ter que fazer a evacuação por conta de manifestações, incêndios, enchentes demolições, dentre outros eventos, todos se

dirigirão ao Hot Site.Hot Site consiste em uma estrutura igual ao ambiente de produção em termos de infraestrutura aguardando apenas a ocorrência de um incidente para entrar emfuncionamento. Entretanto suas informações não estão sincronizadas, sendo necessário o envio dos dados para seu completo funcionamento.

5. ARQUITETURA DE DISTRIBUIÇÃO DE BANCO DE DADOS.

A Empresa Champions Indústria Farmacêutica S.A tratará os seus dados e suas informações com muita importância, por isso terá um cuidado especial com seu banco de dados. Haja vista que um banco de dados não é composto somente de dados, pois, se é por meio dele que serão geradas as informações necessárias para a tomada de decisão da empresa. Apenas ter um repositório de dados não agregaria valor significativo à organização.Os bancos de dados vão além, eles organizam os dados por meio de um sistema gerenciador de banco de dados (SGBD) que, por sua vez, abrange programas que armazenam, recuperam e administram o banco de dados. O SGBD tem como funções: administrar os dados da organização, recuperar dados, controlar redundância no sistema, compartilhar simultaneamente os dados, realizar backup, aplicar as regras de negócio, contribuir para a segurança dos dados.A Empresa Champions Indústria Farmacêutica S.A utilizará um servidor exclusivo para banco de dados e outro servidor para os demais serviços tais como: servidor web, de impressão, de arquivos, de email, de rede. Estes servidores ficarão localizados nas próprias dependências da empresa, e contará com todos os níveis de segurança física e lógica de acesso e privilégio.A arquitetura de distribuiçãoadotada pela Empresa Champions Indústria Farmacêutica S.A será a de cliente-servidor, pois serão nesse computador que todas as informações da rede serão centralizadas, os computadores clientes solicitarão ao banco de dados as informações que necessitarem.Dessa forma, o servidor é responsável por armazenar de forma centralizada o banco de dados com todas as informações sendo possível consultar as informações através do SGBD quando algum computador cliente necessitar.A Champions Indústria Farmacêutica S.A optou por terceirizar os serviços de manutenção e suporte das redes dos servidores e das estações de trabalho, contrato de Service Level Agreement (SLA) que opera em 24/7 e são classificados como missão crítica e definidos em 99%.Por meio de um SLA podemos ter garantia real de qualidade em serviços. Quando se utilizam SLAs, há também a necessidade de se realizar medições e utilizar indicadores, os quais devem ser acompanhados pelas partes interessadas. Neste sentido, serão designadas pessoas para realizar o acompanhamento dos parâmetros e o acionamento de alarmes para o caso de não cumprimento dos

valores acordados através do Service Level Objective (SLO) que é a métrica que determina o nível aceitável de um serviço.

6. CONCLUSÃO.

Neste trabalho, que objetivou a realização de um projeto de ampliação e instalação de uma nova filial no Brasil da empresa Champions Indústria Farmacêutica S.A quevisa conquistar uma fatia econômica do MERCOSUL, vimos diversos passos importantes para que essa nova meta empresarial seja alcançada.Este projeto priorizou a segurança da informação, se exigiu muita cautela, mas se conseguiu através de um bom planejamento e gerenciamento realizar um bom trabalho.Vimos também que a Champions Indústria Farmacêutica S.A contará com uma excelente arquitetura de distribuição de banco de dados e um sistema ERP que com certeza contribuirá positivamente para alavancar seus negócios e será o seu diferencial em relação aos seus concorrentes. 

REFERÊNCIAS.

Oliveira, Luis Rodolfo Marques de. Princípios de Sistema de Informação. São Paulo: Sol, 2011.Sewaybriker, Ricardo. Segurança da Informação. São Paulo: Sol, 2012.Costa, Ivanir; Palmeira, Antônio. Planejamento Estratégico de TI. São Paulo: Sol, 2013.Barros, Gislaine Stachissini. Modelagem de Sistemas de Informações. São Paulo: Sol, 2013.Home Page. Disponível em: . Acessado em 15/05/2013. Home Page. Disponível em: . Acessado em 15/05/2013.Home Page. Disponível em: . Acessado em 20/05/2013.Home Page. Disponível em: . Acessado em 20/05/2013.Home Page. Disponível em: . Acessado em 22/05/2013.Home Page. Disponível em: . Acessado em 22/05/2013.Home Page. Disponível em: . Acessado em 23/05/2013.Figura 1 - Barros, Gislaine Stachissini. Modelagem de Sistemas de Informações. São Paulo: Sol, 2013, p.137.