Qualidade

Introdução à Administração de Empresas

Prof. Luiz Antonio

01/03/2007

QualidadeQualidadeHistHistóóricorico

Era Artesanal (séc. XIX)

Etapas da produção controladas pelo artesão.

• Compra dos materiais e insumos• Acabamento• Entrega do produto

O artesão é responsável pela qualidade

QualidadeQualidadeHistHistóóricorico

Era Industrial (1930-1980)

Devido a produção em série da indústria, cria-se o Inspetor da qualidade.

O Inspetor é o responsável pela qualidade.

QualidadeQualidadeHistHistóóricorico

Era da Informação (1980…)

O profissional é treinado e informado para produzir e garantir a qualidade do que faz.

Cada profissional é inspetor da qualidade do seu próprio trabalho

QualidadeQualidadeConceitoConceito

Qualidade é um conjunto de características contidas num serviço que, em conformidade com as especificações, atende e, por vezes, supera as expectativas dos clientes.

Qualidade é:

• Causar surpresas ao cliente, superando suas expectativas

• É também prestar o serviço no prazo combinado• E sem erros

QualidadeQualidadeVantagensVantagens

Para o Cliente:

• Recebe os serviços dentro dos prazos, nas especificações corretas e com preço adequado, conforme combinado;

• Pode sugerir melhorias para a Empresa, adequando, cada vez mais, o serviço às suas necessidades

QualidadeQualidadeVantagensVantagens

Para a Empresa:

• Cria sistemas que permitem a produção padrão dos seus serviços, atendendo ao cliente de forma organizada e controlada;

• Ganha fama, mais clientes e mais solidez no mercado

QualidadeQualidadeVantagensVantagens

Para o Profissional:

• Trabalho confiável, seguro e em ambiente saudável;

• As atividades são realizadas por todos de forma integrada e sob controle;

• Desenvolvimento individual dos funcionários

QualidadeQualidadeVantagensVantagens

Para o País:

• Empresas sólidas, lucrativas e competitivas, preparadas para a concorrência internacional e geradoras de novos postos de trabalho.

QualidadeQualidadeIndicadoresIndicadores

Criar indicadores que meçam o andamento dos serviços é uma necessidade para se garantir a qualidade.

Estatísticas:

• Crie indicadores• Colecione os dados obtidos• Dê tratamento estatístico• Elabore gráficos e analise as tendências

QualidadeQualidadeISOISO

A ISO (International Standard Organization) é uma organização internacional presente em mais de 150 países e que aprova normas e padrões internacionais em todos os campos técnicos. Foi criada na Suiçaem 1947.

Alguns membros da ISO:

IPQ (Instituto Português da Qualidade): PortugalDIN (Deutches Institut fur Normung e.V.): AlemanhaANSI (American Notation Standards Institute): Estados UnidosABNT (Associação Brasileira de Normas Técnicas): Brasil

QualidadeQualidadeExemplosExemplos de de NormasNormas

ISO 9001:2000 – Sistema de gestão da qualidadeISO 14000 – Gestão do meio ambienteISO 8583:2003 – Esepcificação da troca eletrônica de mensagens financeiras

ISO/IEC 13335:2004 – Gestão da informação e comunicação em segurança de TIISO/IEC 17799:2005 – Código de prática para a gestão da segurança da informação ISO/IEC 20000:2005 – Gerenciamento de serviços em TIISO/IEC 27001:2005 – Sistema de Gestão de segurança da informaçãoISO/IEC 18028 – Gestão da segurança em redesISO/IEC 18044:2004 – Gestão de incidentes de segurança da informaçãoISO 19011:2002 – Diretrizes para auditoria de sistema de gestão da qualidade e/ou ambiental

QualidadeQualidadeRequisitosRequisitos bbáásicossicos parapara a a certificacertificaççãoão

• Preparar um manual da qualidade descrevendo:

� Política da qualidade� Definição de cargos e responsabilidades� Produtos e serviços� Aspectos tático-estratégicos do ciclo produtivo

• Definir funções e responsabilidades pela qualidade

• Definir meios para medir, corrigir e melhorar o desempenho dos procedimentos

• Preparar manuais descrevendo os procedimentos e instruções de trabalho de cada área, relativos à qualidade

• Definir documentos que garantam a realização dos procedimentos

QualidadeQualidadeCASE CASE –– SeguranSeguranççaa dada InformaInformaççãoão

Cenário Mundial de segurança em 2006

• 90% de todos os e-mails que circularam na internet foram spam;

• O número de novos phishing (ataque em que páginas da web são falsificadas) registrados na internet saltou de 4.367 em outubro de 2005 para 37.444 no mesmo período de 2006, aumento de 757%;

• Apenas no primeiro semestre de 2006, a atividade fraudulenta teve mais de 4,5 milhões de máquinas escravas (redes zumbis);

• O número de vírus para celulares detectados em 2006 chegou a 350, o dobro das 176 pragas detectadas em 2005;

• Foram reportados ao CERT.br (Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil) 137.509 incidentes por parte das Empresas;

• Até 60% dos usuários dos comunicadores instantâneos na China já sofreram ataques por meio das redes destas aplicações;

QualidadeQualidadeCASE CASE –– SeguranSeguranççaa dada InformaInformaççãoão

Cenário previsto para 2007

• O crime organizado se unirá a hackers com o objetivo de formar uma economia de criminalidade virtual mais organizada, negociando kits de ferramentas prontos para ataques virtuais e golpes;

• A próxima onda será de ataques cada vez mais direcionados e discretos;

• A Web continuará a ser o principal vetor de infecções por códigos maliciosos projetados;

• Ocultação avançada de dados para prevenção de vazamentos;

• Aumento no uso de criptografia e certificação digital;

• Maturidade das Empresas na visão sobre segurança, entendo que esta é parte fundamental no processo de negócio;

QualidadeQualidadeCASE CASE –– SeguranSeguranççaa dada InformaInformaççãoão

Termos e definições empregados na auditoria

Confidencialidade [ISO/IEC 13335-1:2004]Propriedade de que a informação não esteja disponível ou revelada a indivíduos, entidades ou processos não autorizados

Integridade [ISO/IEC 13335-1:2004]Propriedade de salvaguarda da exatidão e completeza de ativos

Disponibilidade [ISO/IEC 13335-1:2004]propriedade de estar acessível e utilizável sob demanda por uma entidade autorizada

Risco [ABNT ISO/IEC Guia 73:2005]combinação da probabilidade de um evento e de suas consequências

QualidadeQualidadeCASE CASE –– SeguranSeguranççaa dada InformaInformaççãoão

Avaliação de riscos [ABNT ISO/IEC Guia 73:2005]processo de comparar o risco estimado com critérios de risco predefinidos para determinar a importância do risco

Segurança da informação [ABNT NBR ISO/IEC 17799:2005]preservação da confidencialidade, integridade e disponibilidade da informação

QualidadeQualidadeCASE CASE –– SeguranSeguranççaa dada InformaInformaççãoão

Gestão do Risco

�������

������� ��������������

�����

����������

Controleformar de gerenciar o risco, incluindo políticas, procedimentos, diretrizes, práticas ou estruturas organizacionais, que podem ser de natureza administrativa, técnica, de gestão ou legal.

Ativo [ISO/IEC 13335-1:2004]qualquer coisa que tenha valor para a organização.

Ameaça [ISO/IEC 13335-1:2004]causa potencial de um incidente indesejado, que pode resultar em dano para um sistema ou organização.

Vulnerabilidadefragilidade de um ativo ou grupo de ativos que pode ser explorada por uma ou mais ameaças.

QualidadeQualidadeCASE CASE –– SeguranSeguranççaa dada InformaInformaççãoão

Objetivo da Auditoria

A auditoria interna procurou determinar a eficácia do sistema de gestão de segurança da informação da Empresa e a conformidade ou não conformidade desta em relação à Norma ABNT NBR ISO/IEC 27001:2005 (Tecnologia da informação – Técnicas de segurança – Sistemas de gestão de segurança da informação – Requisitos).

A Norma ABNT ISO/IEC 27001:2005:

• Orienta como estabelecer, implementar e documentar um Sistema degestão de segurança da informação (SGSI);

• Apresenta controles de segurança para serem implementados de acordo com as necessidades de cada organização indivivualmente;

• É a parte auditável.

QualidadeQualidadeCASE CASE –– SeguranSeguranççaa dada InformaInformaççãoão

Requisitos da Norma 27001

Processos

Aplicativos & Sistemas

Infra-estrutura

Pessoas

QualidadeQualidadeCASE CASE –– SeguranSeguranççaa dada InformaInformaççãoão

Metodologia

A metodologia para desenvolvimento da auditoria considera os seguintes requisitos:

• Escopo do Sistema de gestão de segurança da informação (SGSI) da Empresa com foco em pessoas, processos, infra-estrutura e aplicativos e sistemas;

• Declaração documentada da política do SGSI com base no negócio, localização, ativos e tecnologia;

• Descrição da metodologia de análise/avaliação de riscos;• Relatório de análise/avaliação de riscos;• Plano de tratamento dos riscos e possíveis ações;• Declaração de aplicabilidade requeridos pela norma;• Registros requeridos pela norma;• Procedimentos documentados;• Controle de documentos;• Avaliação dos controles e objetivos de controles para tratamento dos riscos

QualidadeQualidadeCASE CASE –– SeguranSeguranççaa dada InformaInformaççãoão

Escopo

Foram considerados os objetivos de controle e controles listados no anexo A da Norma ISO/IEC 27001:2005, derivados diretamente com aqueles listados na ABNT NBR ISO/IEC 17799:2005 – seções 5 a 15 ( 11 seções, 39 categorias e 133 controles).

• Política de segurança• Organizando a segurança da informação• Gestão de ativos• Segurança em recursos humanos• Segurança física e do ambiente• Gerenciamento das operações e comunicação• Controle de acesso• Aquisição, desenvolvimento e manutenção de sistemas de informação• Gestão de incidentes de segurança da informação• Gestão da continuidade de negócios• Conformidade