Baixe o app para aproveitar ainda mais
Prévia do material em texto
1 UNIP/ Campus Manaus – AM Curso Superior Tecnológico em Gestão de Segurança Privada PROJETO INTEGRADO MULTIDISCIPLINAR IV – PIM IV GLACIAL INDÚSTRIA E COMÉRCIO DE SORVETE LTDA MANAUS – AM 2020 2 UNIVERSIDADE PAULISTA – UNIP Curso Superior Tecnológico em Gestão de Segurança Privada PROJETO INTEGRADO MULTIDISCIPLINAR IV – PIM IV GLACIAL INDÚSTRIA E COMÉRCIO DE SORVETE LTDA Composição do grupo: Nome – RA JOSÉ ROBERTO NUNES MEDEIROS RA F0709D3 MAIKE JORDY SEIXAS DE OLIVEIRA RA F038394 WILLIAM ADOLFO ROCHA RA F019209 Projeto Integrado Multidisciplinar IV – PIM IV apresentado como um dos pré-requisitos para aprovação no bimestre vigente no Curso Superior Tecnológico em Gestão de Segurança Privada. Orientador: Osvaldo Ribeiro ] MANAUS – AM 2020 3 PROJETO INTEGRADO MULTIDISCIPLINAR IV - PIM IV GLACIAL INDÚSTRIA E COMÉRCIO DE SORVETE LTDA Aprovado: BANCA EXAMINADORA. Prof(a):_____________________Data:________________Assinatura:_________________ Prof(a):_____________________Data:________________Assinatura:_________________ Prof(a):_____________________Data:________________Assinatura:_________________ MANAUS – AM 2020 4 RESUMO Contemplando o contexto de Gestão de Segurança Privada, foi preparado o Projeto Integrado Multidisciplinar IV - PIM IV, e por meio de um modelo de Relatório Gerencial, que visa apresentar os resultados obtidos durante as visitações realizadas na empresa GLACIAL INDÚSTRIA E COMÉRCIO DE SORVETES LTDA e, ao ponderarmos a capacidade técnica no tocante ao ramo do mercado alimentício, nos motivou a executar este trabalho acadêmico, tendo como objetivo apresentar a metodologia de trabalho da corporação referente às matérias pertinentes, e demonstrar a necessidade e importância de cada uma delas para o bom funcionamento da empresa e auxiliar a empresa em tomadas de decisões e providências necessárias diante dos desafios abordados nas disciplinas de Auditoria e Investigação Sobre Fraudes, Sistemas de Segurança da Informação, Tecnologias Aplicada à Segurança, Desenvolvimento Sustentável, Planejamento Estratégico, e ao final realizar uma análise intraempresarial utilizando as técnicas de Gerenciamento de Crises, além de abordar de forma crítica sobre o atual cenário econômico brasileiro tendo em vista a área da Segurança Privada, seus riscos e oportunidades e o que se espera do ramo para o futuro. Palavras-chave: Intraempresarial, Objetivos, Segurança. 5 ABSTRACT Contemplating the context of Private Security Management, the Integrated Multidisciplinary Project IV - PIM IV was prepared, and using a Management Report model, which aims to present the results obtained during visits to the company GLACIAL INDÚSTRIA E COMÉRCIO DE SORVETES LTDA and , when considering the technical capacity with respect to the branch of the food market, it motivated us to perform this academic work, aiming to present the corporation's work methodology regarding the pertinent subjects, and demonstrate the need and importance of each one for the good functioning of the company and assist the company in making decisions and taking the necessary measures in view of the challenges addressed in the disciplines of Audit and Investigation on Fraud, Information Security Systems, Technologies Applied to Security, Sustainable Development, Strategic Planning, and at the end perform an analysis intra-enterprise using management techniques Crisis, in addition to addressing critically the current Brazilian economic scenario in view of the Private Security area, its risks and opportunities and what is expected of the industry for the future. Keywords: Intra-business, Objectives, Security. 6 SUMÁRIO INTRODUÇÃO ........................................................................................................................ 10 SUMÁRIO EXECUTIVO ........................................................................................................ 11 Razão social .......................................................................................................................... 11 Estrutura organizacional ....................................................................................................... 11 Localização ........................................................................................................................... 11 AUDITORIA E INVESTIGAÇÃO SOBRE FRAUDES ......................................................... 11 Fraude ................................................................................................................................... 11 O que é Fraude? .................................................................................................................... 11 O que é Fraude Empresarial? ................................................................................................ 12 O que é Fraude Corporativa? ................................................................................................ 12 Conceitos sobre Fraude Corporativa ..................................................................................... 12 Fraude Ocupacional .............................................................................................................. 12 Teoria do Triângulo da Fraude ............................................................................................. 13 Componentes da Fraude ........................................................................................................ 13 Motivação dos agentes fraudadores ...................................................................................... 13 Classificação das Fraudes - Árvore da Fraude ...................................................................... 14 Tipos de Fraudes Empresariais ............................................................................................. 15 Furto ...................................................................................................................................... 15 Pirataria ................................................................................................................................. 16 Corrupção: ............................................................................................................................ 16 Falsificação ........................................................................................................................... 16 Espionagem ........................................................................................................................... 16 Conspiração: ......................................................................................................................... 17 Auditoria ............................................................................................................................... 17 Auditoria Interna x Externa .................................................................................................. 17 Estratégia da Glacial Sorveteria para a prevenção e detecção de fraudes ............................ 18 Estratégia Antifraude ............................................................................................................ 18 SISTEMAS DE SEGURANÇA DA INFORMAÇÃO ............................................................ 19 Conceitos fundamentais ........................................................................................................ 19 Informação ............................................................................................................................ 19 7 Segurança da informação ......................................................................................................20 Função do departamento de segurança de Informação de uma empresa .............................. 21 Problemas de segurança da informação ................................................................................ 22 Ameaças ................................................................................................................................ 22 Riscos .................................................................................................................................... 23 Vulnerabilidades ................................................................................................................... 24 Falhas .................................................................................................................................... 24 Controles de pessoal ............................................................................................................. 25 Controles físicos ................................................................................................................... 25 Segurança de equipamentos .................................................................................................. 25 Controles de acesso lógicos .................................................................................................. 26 Outros mecanismos de segurança ......................................................................................... 26 Autorização e controle de acesso .......................................................................................... 26 Sistema de backup ................................................................................................................ 27 Firewall ................................................................................................................................. 27 Atualização de sistemas operacionais e aplicativos .............................................................. 27 Honeypot ............................................................................................................................... 27 Sistemas de autenticação ...................................................................................................... 28 Política de segurança da informação .................................................................................... 28 Características de uma política de segurança........................................................................ 29 Segurança das informações na empresa Glacial ................................................................... 29 TECNOLOGIAS APLICADA À SEGURANÇA .................................................................... 30 O papel do Gestor de Segurança junto ao cliente. ................................................................ 30 Regulamentações Gerais ....................................................................................................... 30 Aplicação das Tecnologias x Eficácia .................................................................................. 31 Classificação dos Sistemas ................................................................................................... 31 Sensores ................................................................................................................................ 34 Comunicação dos sensores ................................................................................................... 34 Alarmes falsos ....................................................................................................................... 35 Tipos de sensores .................................................................................................................. 35 Sensores de abertura ............................................................................................................. 36 Arquiteturas dos sistemas ..................................................................................................... 37 Riscos potenciais ................................................................................................................... 39 8 Escopo do projeto ................................................................................................................. 39 Levantamento de campo ....................................................................................................... 39 Definição das tecnologias do sistema e implantação ............................................................ 40 Operação e manutenção dos sistemas ................................................................................... 40 Definição de perímetros ........................................................................................................ 41 CFTV .................................................................................................................................... 42 Gravadores de vídeo ............................................................................................................. 44 Sistema de controle de acesso ............................................................................................... 46 Monitoramento por imagens ................................................................................................. 49 Administração de acessos ..................................................................................................... 50 Custos operacionais .............................................................................................................. 51 Ferramentas investigativas .................................................................................................... 52 Tecnologias Aplicada à Segurança utilizadas na empresa Glacial ....................................... 52 DESENVOLVIMENTO SUSTENTÁVEL ............................................................................. 53 Políticas de sustentabilidade praticada pela empresa............................................................ 54 Sustentabilidade empresarial na Glacial ............................................................................... 54 Projeto Recicle Legal com a Glacial ..................................................................................... 55 Planejamento ......................................................................................................................... 55 Conhecimento das características locais: .............................................................................. 55 Ações .................................................................................................................................... 55 Consolidação do Projeto RECICLE LEGAL COM A GLACIAL ....................................... 56 PLANEJAMENTO ESTRATÉGICO ...................................................................................... 56 O que é planejamento estratégico? ....................................................................................... 57 Quais são as vantagens de se realizar o planejamento estratégico? ...................................... 57 Quando e com que frequência se deve fazer o planejamento estratégico? ........................... 57 Como faço o planejamento estratégico da minha empresa ................................................... 58 Diagnóstico ........................................................................................................................... 59 Definição da Filosofia e das Diretrizes Estratégicas ............................................................ 59 A importância do planejamento estratégico .......................................................................... 62 O planejamento estratégico na Glacial ................................................................................. 62 GERENCIAMENTO DE CRISES ...........................................................................................63 Simulação de uma situação atípica encontrada na empresa Glacial ..................................... 63 Construção e Fortalecimento da Reputação e da Imagem – Governança, Comunicação e Relacionamento .................................................................................................................... 64 9 Auditoria de Vulnerabilidade ................................................................................................ 64 Comitê de Crise .................................................................................................................... 65 Composição do Comitê de Crise........................................................................................... 65 Atuação do Comitê de Crise ................................................................................................. 65 Estratégias de Mídia .............................................................................................................. 66 Preparação do Público Interno .............................................................................................. 66 Pós-Crise ............................................................................................................................... 67 CONSIDERAÇÕES FINAIS ................................................................................................... 68 REFERÊNCIAS BIBLIOGRÁFICAS ..................................................................................... 69 10 INTRODUÇÃO O seguinte projeto tem como finalidade apresentar um Relatório Gerencial com dados obtidos pelos acadêmicos do curso de Gestão de Segurança Privada da Universidade Paulista – UNIP em cumprimento às disciplinas obrigatórias do referido curso. O Projeto Integrado Multidisciplinar IV – PIM IV, vem expor os elementos de informações adquiridas durante as visitações realizadas na empresa de GLACIAL INDÚSTRIA E COMÉRCIO DE SORVETES LTDA. O Projeto está divido em 04 partes, a primeira é uma introdução que exibe dados da GLACIAL e alguns pontos importantes no projeto, à segunda parte a empresa é avaliada de acordo com as disciplinas específicas, são elas Auditoria e Investigação Sobre Fraudes, Sistemas de Segurança da Informação, Tecnologias Aplicada à Segurança, Desenvolvimento Sustentável, Planejamento Estratégico na terceira parte mostra uma análise gerencial ferramentas peculiares dos processos de Gerenciamento de crise, com todas as prerrogativas relativas a um plano de contingência com suas preceitos e metodologias que são usadas nas situações atípicas enfrentada pela empresa no tocante à necessidade de implantação, o tempo de execução, custo e os resultados que se espera dessa pronta resposta. E por fim, a quarta parte denota a conclusão do projeto acadêmico e referências que ajudaram a confecção do próprio. 11 SUMÁRIO EXECUTIVO O modelo de negócios da empresa Glacial Indústria e Comércio de Sorvetes LTDA. é baseado na venda direta e não depende de crédito, a empresa fabrica e distribui sorvetes naturais de fabricação artesanal. No Amazonas a empresa possui aproximadamente 10 mil consumidores. A razão Social Glacial Indústria e Comércio de sorvetes, sob cadastro do CNPJ 63.700.256/0001-21. Sua missão é oferecer ao público manauara e a todos que nos visitam, sorvetes e picolés artesanais de elevada qualidade com foco nos sabores regionais e pontos de distribuição estratégicos com lojas confortáveis, climatizadas, aprazíveis ao convívio entre família e amigos. A empresa transforma matéria prima cm produtos acabados, com auxílio de máquinas ou de acordo com essas características pertencentes ao setor industrial. Ela é uma empresa organizada por cotas, onde cada sócio tem responsabilidade limitada pelo presente estatuto social pela legislação aplicável e pelo Regulamento De Listagem do Novo Mercado Atualmente, dois comitês auxiliares (Desenvolvimento Organizacional e de Auditoria, Gestão de Riscos e Finanças que têm como objetivo dar suporte ao Diretores de temas estratégicos para os negócios da empresa. Razão social A razão social da empresa é Glacial Indústria e Comércio de sorvetes, através do cadastro do CNPJ 63.700.256/0001-214.21. Estrutura organizacional A Glacial possui estrutura organizacional completa, onde se concentra preponderantemente na industrialização e comercialização dos produtos de sorvetes artesanais da marca Glacial e serviços administrativos e logísticos para as sorveterias e postos de revenda para capital e o interior do Amazonas e outros estados. Localização A sede da empresa está localizada em Manaus (AM), na Avenida Major Gabriel Nº2000, no bairro Praça 14 de Janeiro. AUDITORIA E INVESTIGAÇÃO SOBRE FRAUDES Fraude O que é Fraude? Fraude é um ato ilícito ou de má fé que visa à obtenção de vantagens indevidas ou majoradas, para si ou para terceiros, geralmente através de omissões, inverdades abuso de poder quebra de confiança, burla de regras, dentre outros Qualquer melo usado com a finalidade de 12 se obter vantagem injusta sobre outra pessoa ou organização. Essa vantagem pode ser por ação ou omissão, por meio de conduta intencional ou má-fé Pela norma ISA 240 da Iaasb7, fraude é um “ato intencional praticado por um ou mais indivíduos entre gestores, responsáveis pela governança, empregados ou terceiros, envolvendo o uso de falsidade para obter uma vantagem injusta ou ilegal”. A fraude não é um privilégio da administração pública, pesquisas recentes indicam que empresas perdem, tanto quanto, as empresas e órgãos públicos por ano, desviados por seus próprios executivos e funcionários (Silva Moura, 2004) O que é Fraude Empresarial? A Fraude Empresarial é um ato intencional praticado por um ou mais indivíduos da organizado empresarial (empregados ou terceiros), envolvendo o uso propositado de falsidades para obter uma vantagem injusta ou ilegal. O que é Fraude Corporativa? A Fraude Corporativa é qualquer ato ou omissão intencional destinada a enganar uma Corporação Empresarial resultando em perda para instituição e ganho para o autor Conceitos sobre Fraude Corporativa A fraude, nas suas mais diversas formas é uma das principais causas para que os relatórios financeiros das organizações empresariais não sejam confiáveis, gerando perdas financeiras e de credibilidade para as mesmas As organizações empresariais devem reforçar a prevenção de fraude nos seus sistemas de controles, uma vez que essas causam prejuízos com custos financeiros e de imagem Atos fraudulentos podem envolver esquemas sofisticados e cuidadosamente organizados concebidos para ocultar desvios, como falsificação, falha deliberada do registo de transações ou declarações que sejam intencionalmente enganadoras Quanto mais elevado for o nível hierárquico do fraudador mais significativas tendem a ser as perdas devido a seus atos fraudulentos Fraude Ocupacional Um tema presente e altamente constrangedor no mundo dos negócios é a fraude interna conhecida também como fraude ocupacional. A fraude ocupacional é aquela praticada por colaborador da própria empresa (empregado ou prestador de serviço), no exercício de suas ocupações profissionais. É uma ocorrência preocupante por tratar-se de um desvio de conduta por alguém de confiança de dentro da organização empresarial fato que representa um ato de deslealdade 13 Teoria do Triângulo da Fraude Triângulo da Fraude Donald Cressey na sua obra Other people's money, a study of the social psychology of embezzlement publicada em 1953, desenvolveu a Teoria do Triângulo da Fraude que permite identificar os motivos que originam ou incentivam a ocorrência de fraude, por parte de um ou mais indivíduos. Este autor identificou três fatores que em simultâneo promovem a prática de atos fraudulentos a pressão geralmente associada a necessidades financeiras queo perpetrador possa ter ou quando este pretenda viver com um estatuto acima das suas possibilidades, a oportunidade geralmente associada a fragilidades do sistema de controlo das organizações e a racionalização, geralmente através das razões com que o fraudador procura justificar a fraude. Componentes da Fraude Refletindo-se sobre o conteúdo do tópico anterior, percebe-se que a fraude é um ato planejado para ganhar vantagem ou propriedade de outro e que possuem componentes que favorecem a sua ocorrência, entre estes poderíamos considerar como principais os seguintes: Motivo: Deve haver um motivo para a fraude. Pode ser que o fraudador esteja insatisfeito ou em dificuldades financeiras. Atração: O ganho ou vantagem afiançada têm que ter uma atração para o fraudador. A atração pode se dar pelo dinheiro, por mercadorias ou simplesmente pela possibilidade de encobrimento que a fraude proporciona Oportunidade: Deve haver oportunidade adequada para que alguém pode desejar fraudar uma organização e saber o que será exatamente ganho, contudo se não tiver uma oportunidade a fraude nunca pode acontecer. A oportunidade tem uma relação direta com a fragilidade ou inadequação de medidas preventivas e defectivas que não forem suficientes para coibir os atos fraudulentos. Meio: Esse elemento se refere às habilidades técnicas e outras do perpetrador. Não adianta ter um motivo e uma atração se não tiver capacidade de perceber as fragilidades ou inadequações dos controles internos como meio para detectar a oportunidade de praticar a fraude. Motivação dos agentes fraudadores O Professor GL em seu livro, Como Evitar Fraudes, Pirataria e Conivência destaca três vertentes que devem ser consideradas quanto a método de agentes fraudadores 14 Satisfação pessoal: Natureza da satisfação pessoal que movimenta o agente fraudador, que pode ser: Intelectual; Psicológica; Financeira; Material. Possibilidade de sucesso da fraude: Crença de agente fraudador na impossibilidade de ser descoberto em face dos seguintes fatores: Fragilidade das medidas de proteção; Dificuldade a obtenção de provas / apuração de provas e; Fragilidade técnicas dos responsáveis pela investigação. Baixa expectativa de responsabilização: Expectativa de não ser punido, em virtude da eventualidade de não ser provada sua ação dolosa no evento, em face da: Fragilidade de normas e legislação ou de; Eventuais dificuldades operacionais da organização em adotar ações que conduzam ao ressarcimento dos prejuízos ocorridos. Classificação das Fraudes - Árvore da Fraude A Teoria da ` Árvore da Fraude foi apresentada num estudo desenvolvido por Joseph Wells, em 2009 no seu livro: Fraude na empresa prevenção e detecção. E tem como objetivo classificar as fraudes e os abusos ocupacionais De acordo com a Arvore da Fraude, existem três categorias principais de fraude: Apropriação indevida de ativos: Segundo Wells, apropriação indevida de ativos inclui mais envolve o uso indevido de qualquer bem da empresa para benefício pessoal Esta categoria divide-se em duas formas de apropriação de dinheiro e os outros ativos da empresa Furto consiste em desviar valores em caixa e depósitos: 15 Gastos fraudulentos compreendem esquemas relacionados com falsificações de faturamento, remunerações, reembolsos de despesas, cheques e falsos registos em caixa: Sonegação é ação de deixar de pagar contribuir ou declarar valores, fraudulenta para o benefício próprio. Corrupção: A corrupção consiste na utilização do poder para favorecer o próprio ou terceiros este tipo de fraude divide-se em quatro subcategorias: Conflito de interesses; Suborno; Gratificações ilegais; Extorsão econômica. O conflito de interesses patenteia o favorecimento pessoal ou de um terceiro através do desenvolvimento de esquemas de compras ou de vendas. Suborno representa a prática de oferecer dinheiro ou benefícios a um indivíduo, em troca de um ato ilícito, promovendo a obtenção de vantagens Gratificações ilegais constituem uma recompensa paga, de forma ilícita, pela realização de determinado serviço prestado um Extorsão econômica compreende a obtenção de vantagens por parte de outrem com recurso a coação chantagem ou violência. Relatórios contábeis fraudulentos: As informações financeiras divulgadas apresentam distorções que detém como finalidade induzir os seus utilizadores em erro. Relatórios com adoção de sobrevalorizações ou subvalorizações de ativos e receitas falsificação de documentos organizacionais quer externos. Tipos de Fraudes Empresariais Furto O furto e a apropriação indébita de algo com o objetivo de privar permanentemente a pessoa de sua propriedade: Um exemplo muito comum é a apropriação indébita de dinheiro do caixa. 16 Pirataria Pirataria e copla, inclusive, com presunção do profissional que cometeu o plagio de haver sido autor/mentor do novo conceito ou sistemática. Pirataria e a modalidade de fraude de maior Impacto nos negócios organizacionais do século XXI. Corrupção: Para um melhor entendimento do que é corrupção procuramos dividir o seu conceto em Suborno e Propina Suborno: pode ser entendido como algo, tipo dinheiro ou favor oferecido ou dado a alguém em posição de confiança para induzir a agir desonestamente Propina: normalmente é o pagamento de uma porcentagem para uma pessoa capaz de controlar ou influenciar um negócio. Suborno e propinas se confundem, mas há duas diferenças primárias segundo que as diferenciam: O tempo em que ocorre. Um suborno normalmente e pago ao receptor antes que a ação ilegal aconteça, para induzir a participar em qualquer esquema que a entidade que oferece o suborno tem em mente. O receptor em um esquema de propina normalmente é um sócio no crime e esta disposto a compartilhar dos ganhos advindos da fraude. O valor negociado Um suborno normalmente é uma soma fixa calculada como suficiente para induzir o receptor a participar em um esquema. A propina normalmente é uma porcentagem de qualquer ganho resultante de participação em um esquema e é provável variar com o grau do sucesso do esquema. Falsificação Uma pessoa pode ser culpada de falsificação quando fizer um falso instrumento com a intenção de negocia-lo ou induzir alguém a aceita-lo como genuíno. Espionagem A espionagem pode se dar de duas formas: • A primeira forma se dá quando um funcionário repassa informações confidencias da empresa para um concorrente em troca de dinheiro ou outro benefício; 17 • A segunda forma se dá quando um funcionário tendo informações privilegiadas sobre a empresa faz denúncias com o intuito de prejudica-la. Conspiração: Envolve o acordo ilegal entre duas ou mais pessoas para executar propósitos ilegais ou de confiança, controlam em tempo real o que acontece nas dez lojas da empresa. Auditoria Segundo Santos Lins, 2017, de maneira geral e simplificada, auditoria, seja de qual tipo for, interna ou externa, significa conferência, verificação, análise e avaliação e, acima de tudo, comunicação dos resultados dentro de um determinado objetivo ao qual a auditoria se propõe. Ou de forma ampliada de acordo com Sá (1998, p.25), Auditoria. [...] é uma tecnologia contábil aplicada ao sistemático exame dos registros, demonstrações e de quaisquer informes ou elementos de consideração contábil, visando a apresentar opiniões, conclusões, críticas e orientações sobre situações ou fenômenos patrimoniais da riqueza aziendal, pública ou privada, quer ocorrido, quer por ocorrer ou prospectados e diagnosticados. Auditoria Interna x Externa Auditoria Interna é dirigida por um colaborador da própria empresa na qual a auditoria é executada e em geral envolve a avaliação de desempenho, controles internos, sistemas de computação/informação, qualidade de serviços e produtosentre outros processos que fazem parte do cotidiano empresarial, buscando a identificação de não conformidades, prevenção e/ou detecção de falhas de operação, discrepâncias nas atividades administrativas, possibilitando maior confiabilidade das informações geradas, bem como garantindo a salvaguarda dos ativos da empresa. (Santos Lins, 2017) De maneira geral, a finalidade da auditoria externa é aumentar o grau de confiança nas demonstrações contábeis por parte dos seus usuários. Nesse sentido, compreende expressar uma opinião através da emissão de um relatório sobre as demonstrações contábeis da empresa auditada no(s) período(s) sob exame e assegurar que estas foram elaboradas em todos os aspectos relevantes, em conformidade com as normas brasileiras de Contabilidade e legislação específica aplicável. (Santos Lins, 2017) Na Glacial Sorveteria a auditoria externa é feita pela empresa L.A. Consultoria Contábil e Empresarial, já a auditoria interna é feita no setor contábil da mesma Com as informações repassadas pela a gerencia da empresa Glacial Sorveteria foi possível analisarmos como a empresa trabalha com auditoria e investigação de fraudes, dando ênfase do trabalho de investigações da empresa é em horas extras dos colaboradores, combustível e manutenção de viaturas, contratos com fornecedores e exames periódicos nas movimentações dos caixas. Veja a seguir as áreas, documentos e os departamentos que geralmente são auditados na empresa. 18 Horas extras; Controle de tráfego das viaturas; Controle de documentos de viaturas; Controle de fardamentos equipamentos; Controle de matérias primas (frutas, saborizantes, entre outros); Controle de contratos; Controle de controle de estoques de material carga e expediente; Controle de comodatos. Estratégia da Glacial Sorveteria para a prevenção e detecção de fraudes Para prevenir, apagar e corrigir as ocorrências de fraudes, foi necessário que a organização empresarial estabelecesse uma estratégia antifraude que visasse a adoção de medidas eficazes e proporcionais aos riscos identificados. Essa estratégia antifraude teve como objetivo promover uma cultura de prevenção, detecção e correção e teve como alicerce o princípio da tolerância zero para a prática de atos ilícitos e situações de fraude e na aplicação dos princípios de cultura ética por parte de todos os dirigentes e colaboradores da organização. Estratégia Antifraude Vigilância dos riscos de fraude passando pela avaliação de riscos da sua ocorrência e adoção de medidas preventivas de controle; Detecção no tocante a capacidade proativa de identificar indícios da pratica de fraude com a maior brevidade, ou no ato, se possível; A correção está relacionada a adoção de medidas eficazes e proporcionais a ameaça identificada para a correção de casos detectados de fraude ou suspeita de fraude; A dissuasão que teve como objetivo de desestimular atos fraudulentos em função das medidas de controles implementadas e das prováveis consequências negativas ao fraudar em caso de descoberta da fraude. A estratégia antifraude visa a implementação um sistema de gestão e controles capazes de mitigar A efetivamente a possibilidade de ocorrência de situações de fraudes O sistema antifraude adotado teve como ênfase a qualidade dos controles sobre as atividades exercidas pelos colaboradores e sobre as tarefas delegadas outras organizações terceirizadas. 19 Tendo em vista as dificuldades em provar comportamentos fraudulentos e em reparar os danos a reputação foi implementado uma política de forte compromisso na prevenção, detecção e comunicação, porquanto a sua divulgação poderá até alterar comportamentos de potenciais fraudadores, isso se deu através de um sistema de gestão e controle robusto, associado a uma avaliação de risco de fraude proativa estruturada e orientada, bem como a existência de uma política de formação e sensibilização abrangente que promoveu o desenvolvimento de uma cultura de ética para combater a racionalização de comportamentos. SISTEMAS DE SEGURANÇA DA INFORMAÇÃO Conceitos fundamentais De fato, muitas variações aconteceram com a entrada da Internet em nosso dia-a-dia, a informação, por exemplo, não era um ativo muito importante nas organizações em certos períodos, o importante eram os equipamentos, considerados então como maior patrimônio de uma empresa, porém a modernização das estruturas de trabalho, novos modelos de gestão foram surgindo e alguns ativos, anteriormente sem importância, agora, assumindo a primeira posição. Informação Ultimamente, a informação é um ativo de veras importante, que requer tratamentos especiais e restrições de acessos, por ser um ativo intangível e abstrato, podendo com facilidade sair da empresa em uma lata de lixo, na memória de alguém, em meio magnético, impressa em papel, enfim, é um ativo muito vulnerável, logo, demanda extremo cuidado. O conceito de informação, entende-se por “ativos que, como qualquer outro ativo importante para os negócios, possuem valor para uma organização e consequentemente precisam ser protegidos adequadamente”, conforme ISO (International Organization for Standardization) e a IEC (International Electrotechnical Commission) nº17799. Fontes (2006, p.2) afirma que, “Informação é um recurso que move o mundo, além de nos dar conhecimento de como o universo está caminhando[...] É um recurso crítico para realização do negócio e execução da missão organizacional”. Fontes também acrescenta que: A informação é um recurso que tem valor para a organização e deve ser bem gerenciado e utilizado [...] é necessário garantir que ela esteja sendo disponibilizada apenas para as pessoas que precisam dela para o desempenho de suas atividades profissionais. (2006, p. 2) Em suma, informação é um conjunto de dados que, por sua vez, poderá gerar novas informações, consistindo em um ativo valioso para a organização. 20 Segurança da informação A Segurança da Informação é um tema bastante discutido redes sociais e em outros meios de comunicação, por tratar-se de assegurar informações tanto pessoais como corporativos, que uma vez lidos ou até mesmo distribuídos, poderão ocasionar transtornos diretos e/ou indiretos à vítima. Existem várias definições de Segurança da Informação, uma vez que há vários autores que discorrem a respeito do assunto, vamos então citar algumas: Para Alves (2006, p. 15), a Segurança da Informação “visa proteger a informação de forma a garantir a continuidade dos negócios, minimizando os danos e maximizando o retorno dos investimentos e as oportunidades de negócios”. Há também um sistema especializado para padronização mundial, formado pela ISO (International Organization for Standardization) e a IEC (International Electrotechnical Commission) e definem Segurança da Informação “como uma proteção das informações contra uma ampla gama de ameaças para assegurar a continuidade dos negócios, minimizar prejuízos e maximizar o retorno de investimentos e oportunidade comerciais”. Sêmola (2003, p. 9) define Segurança da Informação como “uma Área do conhecimento dedicada à proteção de ativos da informação contra acessos não autorizados, alterações indevidas ou sua indisponibilidade”. Para Ferreira, a Segurança da Informação: Protege a informação de diversos tipos de ataques que surgem no ambiente organizacional, garante a continuidade dos negócios, reduz as perdas e maximiza o retorno dos investimentos e das oportunidades. (2003, p.162). No que se diz a respeito, a informação é um Ativo muito almejado e precioso tanto para uma pessoa como para uma organização, devendo por obrigação estar protegido de acessos não autorizados. Se regressarmos na narrativa, na época da Revolução Industrial, pouco se refletia em segurança da informação e, se pensavam,o problema era simplesmente solucionado, porque as informações que circundavam em uma empresa eram feitas em formulários, apresentadas em papel, e eram arquivadas em armários com chaves. Mais adiante com o passar do tempo, já no século XX, foram inseridas em pequenos bancos de dados e armazenadas no próprio computador com acesso bastante restrito, porque pouquíssimas pessoas manuseavam a máquina. Mais tarde, com o chegada da Internet, é que esse quadro foi se modificando, no final do século XX o processo intitulado Globalização trouxe drásticas transformações na administração dos negócios, as informações já não podiam circular facilmente pelos computadores em discos flexíveis sem maiores preocupações, pois os sistemas caminhavam pelas redes de computadores, sendo possíveis acessos não autorizados. 21 Presentemente, a dependência pelos sistemas informatizados é colossal, a sobrevivência de muitas organizações depende tão-somente desses ambientes, tornando esses ativos ainda mais valiosos e cobiçados, pois passaram a integrar todos os processos da empresa, ou seja, nesses sistemas armazenam-se, processam-se e transmitem-se dados corporativos, tornando os processos mais rápidos e eficientes, contudo, se usado inadequadamente, tem o poder de inviabilizar resultados satisfatórios. Função do departamento de segurança de Informação de uma empresa As atividades pertinentes a esse setor envolvem a concepção, implementação, controle e monitoramento de políticas que miram assegurar os ativos de informação de uma empresa ou pessoa. As áreas de negócios são seu foco, principalmente os setores que utilizam as tecnologias para o desenvolvimento dos trabalhos, sendo um recurso indispensável aos processos de produção atualmente. Cresce a importância de haver uma sincronização entre o Departamento de Segurança de Informação e as demais divisões de uma empresa, devendo funcionar de forma coordenada. Caso ocorra fragmento dentro da organização, o gerenciamento do negócio pode tornar-se inviável e qualquer prática de segurança da informação estará fadada ao insucesso, danificando toda a organização. Princípios da segurança da informação. A descrição feita pela norma ISO/IEC 17799, a proteção da informação é vital, sendo caracterizada pela trilogia CID, ou seja, Confidencialidade, Integridade e Disponibilidade. Confidencialidade: Garante que somente pessoas autorizadas poderão acessar as informações. Trata-se da não permissão da divulgação de uma informação sem prévia autorização. Disponibilidade: Garante acesso a uma informação no momento desejado. Isso implica no perfeito funcionamento da rede e do sistema. Integridade: Garante que a exatidão e completeza das informações não sejam alteradas ou violadas. Além da trilogia CID, citados anteriormente, Sêmola (2003) acrescenta outros aspectos da segurança da informação, são eles: Legalidade: Garantia de que a informação foi produzida em conformidade com a lei; 22 Autenticidade: Garantia de que num processo de comunicação os remetentes sejam exatamente o que dizem ser e que a mensagem ou informação não foi alterada após o seu envio ou validação. Problemas de segurança da informação Incidente pode ser definido como uma ação que pode interromper os processos normais de negócio, em virtude de alguns aspectos da segurança terem sido violados, seja intencionalmente ou não. Em segurança de informação, a palavra Ativo refere-se a tudo que representa valor para a organização. Caso esse ativo seja violado, poderá trazer impactos negativos para o prosseguimento das atividades da organização. Podemos citar como ativos as pessoas, os programas, os equipamentos, enfim, tudo que na sua ausência gera transtornos, implicando no bom funcionamento dos negócios. Quando falamos em problemas de segurança, há inúmeros fatores que acarretam a perda e/ou violação dos dados de uma empresa, como por exemplo, a má operação do sistema ou mesmo quando a segurança está sofrendo ameaça, risco, vulnerabilidade, falhas e desastres. A seguir abordaremos cada um desses fatores. Ameaças Quando um ativo da informação sofre um ataque potencial, isso imediatamente é entendido como ameaça. Este ataque poderá ser efetuado por agentes externos (empresas, pessoas que não são funcionários da organização) ou internos (pessoas pertencentes à organização), se prevalecendo das vulnerabilidades apresentadas no sistema empresa. As vulnerabilidades são mais nítidas em sistemas de informação online e nos sistemas que utilizam os recursos das telecomunicações, por interligarem seus sistemas em vários locais, as chamadas intranets ou mesmo as extranets. Nesses casos, a exposição é muito grande, pois as ameaças aumentam substancialmente, uma vez que o sistema da empresa está na rede Internet. Muitas pessoas tentarão acessar informações mesmo sem autorização, se houver falhas de segurança. Esses sistemas que utilizam esses novos padrões de rede ampliam consideravelmente as vulnerabilidades, uma vez que a comunicação pode ser feita também pelas redes de dados sem fio, que por sua vez são difíceis de serem protegidas em virtude dos vários pontos de acesso, possibilitando ainda mais a quebra da confidencialidade das informações. As redes empresariais precisam de muitos recursos tanto físicos como lógicos para proteger seus ativos das ameaças e fraquezas. Existem diversos tipos de ameaças, Sêmola (2003) classifica-as em categorias, a saber: 23 Naturais: Decorrentes de fenômenos da natureza, como incêndios naturais, enchentes, terremotos, tempestades, poluição. Involuntárias: São inconscientes, podendo ser causadas por acidentes, erros, falta de energia etc. Voluntárias: São propositais, causadas por agentes humanos como hackers, invasores, espiões, ladrões, criadores e disseminadores de malwares, incendiários etc. Riscos Praticamente, quase toda empresa e/ou usuário doméstico usa a Internet no seu dia a dia, uma ferramenta que possibilita facilidades e oportunidades tanto profissionais como de entretenimento e lazer. Seria muito difícil para estas pessoas viverem sem ela. Infelizmente, para aproveitar todos esses recursos, são necessários certos cuidados, pois os riscos são inúmeros, como por exemplo: Ao acessar a Internet, sua máquina já está exposta na rede, você poderá ter seus dados pessoais expostos, e caso sejam acessados por alguém mal-intencionado, isso poderá lhe proporcionar grandes transtornos. Uma pessoa, uma vez com seus dados, poderá querer se passar por você na rede e usar sua identidade até mesmo para lhe expor, colocando em risco a sua reputação, ou cometer crimes como, estelionato, sequestro, pedofilia. Não é muito prudente você achar que não corre riscos; acreditar que ninguém tem interesse em se apropriar do seu computador, tablet ou celular é mero engano, pois muitos intrusos mal-intencionados têm interesse em acessar grandes quantidades de máquinas, não importando quais. Um exemplo que tivemos aqui no Brasil foi o ataque ao site do governo federal, os sites presidencia.gov.br e o brasil.gov.br, deixando-os indisponíveis em função da grande quantidade de acessos, esses acessos poderiam estar sendo feitos pelo seu computador também, os chamados ataques de spam. As informações na Internet correm numa velocidade muito grande, o que em alguns momentos pode ser benéfico e, em outros, dependendo da situação, pode ser extremamente destrutivo. Para as empresas, isso não seria diferente, pois todo ativo apresenta algum risco para a organização, podendo gerar um impacto grande ou pequeno aos negócios. Para isso, é necessário fazer um levantamento dos ativos e classificá-los quanto aos riscos, de forma que a facilitar a implementação de uma política de segurança mais eficiente. 24 Mas para aproveitarmos esses recursos de formasegura, é importante prevenir-se instalando um bom antivírus e claro atualizando-o diariamente, não acessando qualquer site, sem saber exatamente a procedência dos dados, utilizar softwares originais, evitando a pirataria. Vulnerabilidades Podemos entender por vulnerabilidades as falhas que um sistema possui, podendo provocar a indisponibilidade das informações, ou até mesmo a quebra do sigilo e alteração sem autorização, podendo ser decorrente de uma série de fatores, como falta de treinamento, falta de manutenção, falha nos controles de acesso, ausência de proteção de uma determinada área ameaçada. Por exemplo, a criação de contas no sistema sem especificar as restrições e permissões. A ocorrência de um incêndio poderá também estar associada à vulnerabilidade da empresa quanto a esse tipo de incidente, devido ao fato de a empresa não ter tomado as precauções adequadas contra incêndios. Podemos classificar as vulnerabilidades em três categorias: Tecnológicas: Compreendem as redes de computadores, os computadores, ameaças por vírus, hacker, enfim, todas as atividades que envolvem tecnologia. Físicas: Representadas pelo ambiente em que se encontram os computadores e periféricos. Exemplo: ausência de gerador de energia, normas para senhas, entre outros. Humanas: Esta categoria envolve o fator humano, considerada a mais difícil de avaliar, por envolver características psicológicas, emocionais, socioculturais, que variam de pessoa para pessoa. Exemplos: falta de treinamento, qualificação, ambiente organizacional inapropriado para desenvolvimento das atividades etc. Atualmente, quase todas as empresas são informatizadas e possuem um sistema que faz o seu gerenciamento, embora esses softwares auxiliem muito nas tarefas diárias e na tomada de decisão, porém, apresentam muitas vulnerabilidades em relação aos sistemas manuais. Falhas É quando um sistema permite a quebra de alguns dos princípios da segurança da informação. Essas falhas podem ser humanas ou não, intencionais ou não. Mas a maioria dos problemas de segurança da informação está basicamente relacionada às falhas oriundas das fases de implantação e desenvolvimento de uma política de segurança. 25 As falhas mais comuns que ocorrem são: inexistência de uma política de segurança formalizada, gerenciamento dos acessos efetuados no sistema, backups atualizados, treinamentos e informativos aos usuários sobre como explorar com segurança os recursos tecnológicos e, não menos importante, a definição de uma gerência de Tecnologia da Informação – TI para implementaras regras e fazê-las vivas na empresa. É sempre importante a empresa manter uma política de segurança bem implementada e usual para que, em um momento de necessidade, não sofra nenhum dano, evitando consequências desastrosas aos negócios. Controles de pessoal A questão da segurança das informações em computadores praticamente é inexistente, pois é uma preocupação diária, minuto a minuto, daí a importância da prevenção de riscos, de forma que venha mitigar ao máximo as vulnerabilidades. Segurança 100% só existe se deixarmos os computadores desligados e desconectados, mas infelizmente, ele perderia sua utilidade isso, é importante o funcionário conhecer seus deveres na empresa; um cuidado que o departamento de Recursos Humanos deve ter é em relação à contratação de um novo servidor, constatando os documentos e referências apresentados, propor treinamento adequado aos funcionários, deixando claras as diretrizes de segurança da empresa. Controles físicos Os procedimentos de segurança devem ser tratados em todos os níveis, sejam físicos, lógicos ou pessoais e para assegurar os ativos da informação físicos, são necessários cuidados para prevenir, detectar e solucionar problemas, caso ocorra algum incidente de segurança. Dessa forma, a proteção física são barreiras que servem para restringir o acesso direto à informação ou infraestrutura, de forma que a garantir a existência da informação. A Norma ISO/IEC 17799 define perímetro de segurança como sendo: “Alguma coisa que constitui uma barreira, tal como uma parede, um portão de entrada controlado por cartão ou um balcão de recepção com atendentes”. Há alguns controles que merecem cuidados especiais, tais como: identificar quem entra nas dependências da empresa, os trabalhadores da segurança também devem suas regras de trabalho, os locais de carga e descarga também merecem vigilância, para saber quem entrou e como entrou na empresa e esses aspectos devem ser tratados individualmente e com muita cautela porque muitos crimes ocorrem em virtude da falta de segurança nas dependências da empresa. Segurança de equipamentos Os equipamentos devem ser mais uma preocupação para quem define as diretrizes de segurança de uma empresa, considerando não somente a localização e disposição física, mas também protegendo contra acessos não autorizados, a salvaguarda e descartes de arquivos, 26 manutenção e aquisição de novos equipamentos, falhas de energia, além do cabeamento e toda infraestrutura utilizada. Controles de acesso lógicos Esses problemas geralmente estão relacionados a erros que o próprio programa contém, não garantindo a integridade da base de dados e podem ocorrer também quando o computador está infectado com algum tipo de vírus de computador ou outra forma de ataque. Os controles nada mais são que barreiras que tentam restringir ou limitar o acesso de pessoas não autorizadas ao sistema da empresa. Alguns recursos que devem ser protegidos pelo controle de acesso lógico são: os arquivos-fontes, sistemas operacionais e os aplicativos instalados na máquina, sendo definidos pela ISO/IEC 17799. Outros mecanismos de segurança Identificação de usuários: A identificação do usuário no sistema pode ocorrer diretamente no provedor de serviços. Neste caso, o usuário terá uma identidade para cada serviço, conhecida como modelo tradicional. O modelo centralizado é o que libera o acesso ao sistema ao usuário uma única vez no servidor que, a partir daí poderá utilizar os seus privilégios por tempo determinado. Já o modelo federado permite o acesso dos usuários pela autenticação única, ou seja, uma vez cadastrado em um servidor, o cliente poderá ter sua identidade distribuída a outros servidores, não existindo nenhuma legislação que proíba tal ação e, por fim, o modelo centrado no usuário, no qual quem gerencia a identidade do usuário é o próprio usuário, permitindo ou restringindo determinada informação a um servidor. Essas são as formas de identificação do usuário em um servidor. Autorização e controle de acesso Os controles de acesso e autorização geralmente inspecionam o que o usuário vai fazer, desde que devidamente autorizado. Os mecanismos mais utilizados são os de autenticação, os mais conhecidos são os logins e senhas, não tão seguros, mas atualmente, em mecanismos de autenticação foram criados alguns equipamentos para dar suporte a esse processo, por exemplo, na biometria, nos certificados digitais; vale ressaltar que esses mecanismos são utilizados dentro do ambiente empresarial. Já os mecanismos utilizados para acessar o sistema fora da empresa contam com os firewall, justamente por garantir a proteção de quem acessa tanto de fora como de dentro da empresa. Programas antivírus Uma maneira eficaz de se proteger os dados dentro da empresa é justamente utilizar programas antivírus, pois muitos identificam e deletam não somente arquivos infectados no 27 disco, mas também enviados por e-mail e outros meios lógicos que a empresa utiliza para guardar seus dados, dessa forma, esses aplicativos asseguram a integridade dessas informações. Proteção de dados em curso na internet A tecnologia utilizada para proteger dados que estão trafegando na Internet é a criptografia, cujos dados são codificados, de forma quefiquem totalmente descaracterizados, evitando a sua leitura caso seja interceptado. Detecção de intrusos A detecção de intrusos tem por função analisar os acessos efetuados na rede, observando as inúmeras linhas de logs e diagnosticando em tempo real possíveis ataques. Nesse sentido, os administradores da rede de computadores sabem sobre as invasões que estão ocorrendo ou mesmo as tentativas de invasão ao sistema de computadores, sendo capazes também de identificar possíveis ataques feitos internamente, ou seja, ocorridos na própria empresa, pois essas invasões o firewall não detecta. Sistema de backup O sistema de backup refere-se à criação de cópias de segurança das informações importantes para os negócios que estão gravados nos servidores e computadores dos usuários. Para realização do backup, é necessária instalação de ferramentas específicas para essa tarefa, além disso, é importantíssimo ter certeza de que as cópias agendadas tenham sido realizadas corretamente e que as informações estejam íntegras. Firewall É uma junção de hardware e software aplicados em uma política de segurança que gerencia o tráfego de pacotes entre a rede local e a Internet em tempo real. Não vamos nos estender muito sobre esse assunto, porque o mesmo será abordado mais adiante. Atualização de sistemas operacionais e aplicativos Atualizar o sistema operacional e os aplicativos da máquina minimizam os riscos e vulnerabilidades, pois os mesmos possuem atualizações que corrigem falhas apresentadas nesses aplicativos depois de comercializados. Caso seu aplicativo não seja original ou mesmo de uso livre, você pode estar correndo sérios riscos. Honeypot É um software que tem por função impedir ou mesmo identificar a ação de um invasor, ou qualquer ação estranha ao sistema. Esse sistema faz o invasor acreditar que realmente está invadindo as vulnerabilidades do sistema. 28 Sistemas de autenticação Esta tecnologia faz uso da combinação de logins e senhas, que de certa forma, atualmente, não apresenta tanta dificuldade para descobrir. Sendo assim, foram integradas a esse sistema de autenticação, soluções melhor elaboradas, dificultando a quebra, e instrumentos físicos – hardware – dão suporte a esse mecanismo de segurança. Como exemplos, temos: os recursos da certificação digital, palavras- chaves, cartões inteligentes e os recursos da biometria. A biometria é uma técnica que utiliza características biológicas como recurso de identificação, como a digital de um dedo ou mesmo da mão, ler a íris, reconhecer a voz, e as próprias empresas já estão se organizando para essa mudança tecnológica. Quanto aos mecanismos de controle efetuados para gerenciar acessos externos, pode ser adquirido pelo uso de um firewall, que é uma barreira lógica na entrada da empresa, impedindo ou permitindo acessos. Protocolos seguros É um método que faz uso de protocolos que realmente garantem certo grau de segurança. Atualmente, há inúmeras ferramentas e sistemas disponíveis que têm por objetivo o fornecimento de segurança às redes de computadores onde os próprios softwares antivírus, os firewalls, identificadores de intrusos, programas para filtrar spam. Assinatura digital Este processo garante que a mensagem realmente veio do remetente, confirmando sua autenticidade, este método utiliza técnicas de criptografia, dessa maneira, garante também a integridade e o não repúdio, que tem como característica provar quem foi o emissor da mensagem. Política de segurança da informação Hoje, a informação é considerada um ativo valiosíssimo para as empresas, não importando o ramo de atividade que a mesma exerça, podendo ser comercial, industrial ou financeira, enfim, a informação na hora certa, poderá ajudar na expansão dos negócios, auxiliando na obtenção de maiores lucros, novas perspectivas de negócios e garantindo a sobrevivência dessas organizações. A política de segurança da informação pode ser entendida como um conjunto de diretrizes, princípios e regras que irão dar suporte para criação e manutenção da segurança, obedecendo aos requisitos do negócio, às leis vigentes e aos regulamentos, pois, a política de segurança não define procedimentos específicos de manipulação e proteção da informação, mas atribui direitos e responsabilidades às pessoas (usuários, administradores de redes e sistemas, funcionários, gerentes, etc.) que lidam com essa informação. 29 Desta forma, elas sabem quais as expectativas que podem ter e quais são as suas atribuições em relação à segurança dos recursos computacionais com os quais trabalham. Além disso, a política de segurança também estipula as penalidades às quais estão sujeitos aqueles que a descumprem. É importante fazer um levantamento da informação a ser protegida, a partir de uma análise de riscos que vai diagnosticar onde aplicar a proteção a partir das ameaças e vulnerabilidades. Características de uma política de segurança Para uma boa política de segurança, a mesma deve apresentar algumas características, consistindo na sua abrangência de atuação, nas normas e regulamentos aos quais estará subordinada, definir quem terá autoridade para sancionar, implementar e fiscalizar o cumprimento da política, estabelecer o período para sua revisão e adequação. Outra preocupação deve estar relacionada à política de senhas, devendo as permissões restrições estarem de acordo com as atribuições de cada funcionário, além de especificar claramente os direitos e responsabilidades dos usuários, do provedor dos recursos e estabelecer ações caso a política de segurança seja violada. É importante deixar claro que nem todas as sugestões mencionadas acima são utilizadas, devendo considerar as características de cada empresa, deforma que a política de segurança se adapte às particularidades de cada organização, então, fazer uma análise de riscos e definir a partir daí o que é realmente necessário para assegurar as informações de uma empresa. Segundo a NBR ISO/IEC 17799, o profissional responsável por gerir a política de segurança deve periodicamente verificar se a política implementada está em uso, analisar o impacto dos incidentes de segurança registrados, o custo é impacto dos controles na eficiência do negócio e os efeitos das mudanças na tecnologia, com isso, ajudará a reduzir os riscos proeminentes do uso de tecnologias. Segurança das informações na empresa Glacial A Glacial indústria e comércios de sorvetes conta com uma dupla de colaboradores especializados em tecnologia da informação, com o auxílio de softwares específicos que comandam e controlam as informações sensíveis para que a saúde institucional da empresa não seja comprometida, os principais ativos de informação protegidos são o controle monetário e as receitas especiais. Essas ações vão desde de leitura das as avaliações externas nas redes sociais e controle das mesmas, desenvolvimento de softwares específicos para o controle do estoque, vendas, e ativos da empresa sendo que essas informações são criptografadas e somente a gerência possuem a chave de criptografia. Outro fator de extrema importância são as mais diversas receitas de preparações de produtos que são tratadas como “ouro” pela a empresa, somente alguns funcionários são autorizados a adentrar nessas dependências, inclusive possuem um contrato de 30 confidencialidade, nesses setores são preparadas as caldas que posteriormente são produzidos os sorvetes, paletas mexicanas entre outros produtos. A segurança dessas informações é de suma importância para o futuro da empresa Glacial e por isso é dada a esse assunto uma extrema valorização, inclusive muitas das vezes sendo direcionado uma quantia elevada em valores monetários para esse setor. TECNOLOGIAS APLICADA À SEGURANÇA O papel do Gestor de Segurança junto ao cliente. No contexto geral, existem alguns fatoresque interagem para o sucesso de um projeto de segurança como um todo. Geralmente encontramos a figura do consultor de segurança, que pode ser interno a empresa cliente ou externo, contratado especialmente para o projeto ou para suporte continuado a empresa. Sobre o consultor de segurança é importante compreender que o consultor de segurança e peça chave no processo, realizando uma análise completa de riscos para o cliente, adotando a metodologia mais adequada para essa finalidade, gerando assim, um mapa de riscos e um relatório onde indica quais são as áreas mais vulneráveis e quais são as medidas ativas e passivas a serem adotadas para mitigar os respectivos riscos, Regulamentações Gerais Sobre os profissionais que fazem parte da ABSEG - Associação Brasileira de Profissionais de Segurança e o que é discutido: é uma entidade sem fins lucrativos, reúne os profissionais que atuam como consultores ou gestores de segurança pública e privada num fórum comum no qual são discutidos os temas que envolvem o exercício das atividades de consultoria de segurança, bem como membros das forças públicas policiais, através de um estatuto e código de ética que proporcionam um referencial de conduta aos profissionais da área. Ao consultor de segurança cabe a tarefa de traduzir as orientações e especificações do Plano de Segurança para uma especificação técnica e funcional de equipamentos que devem formar um ou mais sistemas como objetivo de atender ao Plano de Segurança. O trabalho final consiste em produzir um Projeto Básico - PB, com uma definição clara de arquitetura da solução escopo de fornecimento e qualificação dos fornecedores, que será utilizado para a aquisição dos sistemas pela área de compras do cliente final. Ao instalador de segurança eletrônica cabe a tarefa de traduzir as orientações e especificações do Plano de Segurança para uma especificação técnica e funcional de equipamentos que devem formar um ou mais sistemas com o objetivo de atender ao Plano de Segurança 31 Aplicação das Tecnologias x Eficácia Segundo Khalralah (2006), uma análise de riscos proporciona um meio de melhor entender os riscos e ações a serem aplicadas para gerenciar esses riscos de forma mais eficiente numa abordagem em duas dimensões. Qual a probabilidade de um evento ocorrer? Quais as perdas decorrentes do evento? Conhecer os diversos tipos de sistemas, entender sua arquitetura e principalmente, compreender as suas limitações são essenciais ao profissional que vai desenhar. Implementar ou avaliar um sistema eletrônico de segurança. A chamada "aderência" de um sistema eletrônico de segurança a uma determinada demanda identificada no plano de segurança deve se basear em métricas objetivas. Os sistemas eletrônicos de segurança são elementos fundamentais para a implementação de um plano de segurança, representando o melhor investimento neste contexto. A eficácia de um sistema eletrônico baseia-se em três pontos chaves: A aderência do projeto ao plano segurança; Implantação adequada do projeto; Treinamento das equipes de segurança. O Gestor deverá acompanhar todo o processo de elaboração da Requisição de Proposta - RP validar juntamente como Consultor e como Projetista, se as diversas propostas apresentadas atendem tecnicamente ao escopo, especificações e qualificações dos proponentes, sendo assim, o Gestor de Segurança deve, então, ter domínio sobre as diversas tecnologias existentes, suas aplicações e limitações, para que possa desempenhar suas atividades de suporte ao setor de compras, principalmente porque será sua área que irá operar o sistema a ser adquirido. Conhecer os diversos tipos de sistemas, entender sua arquitetura e principalmente compreender as suas limitações são essenciais ao profissional que vá desenhar. Implementar ou avaliar um sistema eletrônico de segurança sobre a chamada "aderência de um sistema de segurança a uma determinada demanda identificada no piano de segurança deve se basear em métricas objetivas. Classificação dos Sistemas Classificação dos sistemas compreende quais são os tipos de sistemas e como são classificados e essencial para o domínio do assunto, pois muitas empresas multinacionais. Sejam na qualidade de clientes ou fornecedores no processo qualificam a segurança eletrônica como uma das disciplinas do que segundo Almeida (2015), são os sistemas eletrônicos de segurança, como parte de um conjunto de sistemas denominado BAS (Building Automation 32 Systems) ou Sistemas de Automação Predial. Alguns itens do conjunto de sistemas BAS (Building Automation Systems): Sistema de Alarme de Intrusão São os equipamentos que protegem o patrimônio contra a Intrusão em ambientes internos BMS ou Building Management Systems - São os sistemas de gerenciamento das utilidades prediais, como elevadores, bombas, iluminação, ar condicionado Sistemas de Proteção Perimetral, que protegem os perímetros externos, em ambientes abertos. O Building Management System - BMS ou Sistema de Gerenciamento Predial É um destes sistemas especializados, compreendendo as utilidades prediais, como sistemas elétricos, sistemas hidráulicos, bombas, ventiladores, exautores, controle de iluminação, sistemas de transporte como elevadores e escadas rolantes, medição de consumos de água, gás e energia elétrica. Sobre a gestão por processos: O BMS fornece informações e status de todos os dispositivos em tempo real aos gerentes operacionais dos empreendimentos, proporcionando melos de supervisão e controle principalmente para melhoria na manutenção dos sistemas, através de históricos de eventos, relatórios gerenciais bem como a Interatividade entre os diversos sistemas que o compõem. Alguns autores se referem ao BMS como SSCP ou Sistema de Supervisão e Controle Predial, ambas as siglas representando as mesmas funcionalidades em relação as utilidades predais. BEMS - Building Energy Management System Em português significa Sistema de Gerenciamento de Energia Predial, um dos módulos do BMS compreende todas as funcionalidades de medição de energia global e individual das unidades consumidoras, controle de iluminação, controle de demanda e acionamento de fontes de energia alternativas como geradores e unidades UPS, bem como a modulação do ar condicionado para fins de otimização do consumo de energia. Sistema de CFTV É uma ferramenta essencial no gerenciamento predial, por oferecer a facilidade da quase onipresença dos elementos de segurança e operadores do BMS - Bulding Management System, ao disponibilizar informações visuais em tempo real sobre diversos locais dentro de uma instalação predial sem a perda do tempo de deslocamento para verificação visual. O CFTV - Circuito Fechado de Televisão é muitas vezes associado a eventos de alarme de outros sistemas, estes sistemas são: SCA - Sistema de Controle de Acesso; SA Sistema do Alarme de Intrusão; SDAI ou BMS Sistema de Detecção do Alarme de Incêndio; 33 Sistemas de controle ambiental Esses sistemas tais como o de condicionamento de ar através do controle de temperatura, umidade, seja para conforto ambiental ou para refrigeração de equipamentos eletrônicos são designados pela sigla HVAC, acrónimo do inglês de Heating Ventilation and Air-Conditioning, incluem-se nesta disciplina os sistemas de ventilação e exaustão, responsáveis por garantir qualidade do ar Sobre Controle ambiental - Ar condicionado (HVAC). No domínio de conhecimento do gestor de segurança deve existir a preocupação com o modo como a fumaça decorrente de um sinistro como incêndio será extraída visando garantir a segurança das pessoas nas situações de risco, portanto compreender como o HVAC Interage com o SDA: Sistema de Detecção de Alarme de Incêndio é de interesse do gestor de segurança. O HVAC é composto por uma parte mecânica com montagem de dutos de circulaçãodo ar uma parte hidráulica para fornecimento do liquido refrigerante adequado e por uma parte eletrônica composta por instrumentos de campo, controladoras e gerenciadoras, todos estes componentes operam de forma conjunta executando algoritmos especializados para disponibilizar no ambiente um ar de qualidade e a uma temperatura agradável. O SDAI - Sistema de Detecção e Alarme de incêndio e um sistema de proteção a vida e ao patrimônio, regulamentado por meio de normativas técnicas, no Brasil a ABNT estabeleceu, através da NBR 17240 2012 as orientações para elaboração e instalação de sistemas especializados de detecção e alarme de incêndio. Estes sistemas são, de acordo com critérios específicos estabelecidos por lei estaduais, interligados aos sistemas de HVAC e exaustão para o controle de fumaça, e ao sistema BMS para fins de comando de elevadores, iluminação de emergência e outros, no sentido de proteção as pessoas, em primeiro lugar e ao patrimônio em segundo lugar (ABNT 2015). O motivo pelo qual gestor de segurança deve ter uma particular atenção a integração, conforme determina a legislação estadual entre o SDAI e os demais sistemas de segurança é a garantia dos processos de evacuação do local em situações de emergência tais como sinistros, incêndios ou mesmo as situações de pânico. Sistemas de Alarme de Intrusão – SAI Possuem a finalidade precípua de proteção patrimonial, estando associado às equipes de vigilância patrimonial do prédio, enviando eventos para os sistemas de CFTV Sistema de Controle de Acesso - SCA ou mesmo BMS (Building Management Systems) com a finalidade de através da associação de eventos gerar informações mais consistentes sobre os eventos em andamento Sobre Segurança Patrimonial (SAI e SCA). Um SAI pode compreender sistemas de alarme de intrusão, que protege áreas internas ou ambientes internos críticos ou sensíveis do cliente ou ainda sistemas de proteção perimetral que são a primeira barreira externa, projetados de acordo com o tipo de barreira física perimetral das ameaças e riscos inerentes ao local. 34 Sistema de Controle de Acesso SCA É especializado no controle do bloqueio ou liberação do acesso de pessoas veículos e ativos com objetivos de segurança mas que pode ser usado para fornecer ao BEMS informações Importantes para o gerenciamento de energia uma vez que através do SCA pode-se saber a localização das pessoas e ocupação das áreas e desta forma antecipar ações de controle sobre iluminação, HVAC (Heating Ventilation and Air-Conditioning) e do BMS (Building Management Systems) permitindo assim uma otimização dos recursos disponíveis. Sensores Os sensores são os elementos de captura das informações no campo, um sensor é qualquer dispositivo que mede ou detecta uma determinada grandeza física como calor luz (imagem), temperatura, pressão, vibração, etc., e gera uma informação ao sistema eletrônico ao qual está ligado o tipo de sensor a ser usado deve ser definido em função do tipo de proteção ou detecção desejado, como por exemplo: Escalada ou corte de cercas tipo alambrado; Quebra de muros ou paredes; Escavação; Invasão de áreas; Proteção de ambientes internos; Proteção de áreas abertas. Comunicação dos sensores Os sensores podem comunicar se com a central de alarme por meio físico (cabos de cobre ou fibra óptica) ou por rádio frequência de acordo com a necessidade de cada projeto, como veremos mais adiante sobre as arquiteturas dos sistemas de alarme O tipo de sensor a ser usado deve ser definido em função do tipo de proteção ou detecção desejado conforme abaixo: Escalada ou corte de cercas tipo alambrado: cabos sensores microfônicos ou de fibra óptica; Quebra de muros ou paredes: sensores sísmicos ou de fibra óptica; Escavação: sensores sísmicos ou cabos eletromagnéticos enterrados; Invasão de áreas: vídeo inteligente, sensores de infravermelho ativo, sensores micro- ondas; Proteção de ambientes internos: sensores de infravermelho passivo dupla tecnologia. Proteção de áreas abertas: vídeo inteligente, câmeras térmicas, etc. 35 Alarmes falsos Alarmes falsos são uma realidade para qualquer tipo de tecnologia de sensor, uma vez que sempre ocorrerão interferências externas, ruídos, vibrações, entre outros fatores perturbantes. Considerando os temas relacionados aos sensores: Um sensor será mais ou menos suscetível conforme a sua Taxa de Alarmes Falsos, definido como a quantidade de eventos de alarmes falsos em relação à quantidade total de eventos de alarme ocorridos; Um sensor será mais ou menos confiável conforme o seu nível de probabilidade de detecção, definido como a quantidade de eventos de alarmes reais em relação à quantidade total de eventos de ocorridos; A tecnologia de sensor mais adequada é definida como a que possui menor taxa de alarmes falsos e maior probabilidade de detecção em uma determinada aplicação ou instalação; Sensores de abertura são os mais usados para detectar aberturas de portas, janelas portões, alçapões, ou qualquer outro meio de acesso que necessite ser controlado. Um sensor pode apresentar valores diferentes de NAR Taxa de Alarmes Falsos e PD Probabilidade de Detecção de acordo com fatores como método de instalação, condições ambientais, eleitos meteorológicos extremos, entre outros Importante todo especialista ter ciência de que falsos alarmes sempre ocorrerão, o que se busca é mante-los dentro de valores gerenciáveis pela equipe de segurança operacional encarregada de verificar e tratar esses eventos. Tipos de sensores Sensores de Micro-ondas Da associação de duas tecnologias de detecção diferentes infravermelho passivo e micro-ondas, surge o sensor denominado dupla tecnologia, ou mais conhecido como duplo IVP - MO Sensores por Infravermelho Passivo Funcionam pela detecção do calor emitido no ambiente por objetos, refletidos ou pelo corpo, numa faixa especifica do infravermelho que é capturado através de uma lente especialmente desenhada, denominada lente de Fresnel, que possui uma construção que permite identificar a movimentação da fonte de calor em relação ao sensor. Sensores de Vibração e Sísmicos Quando existe a possibilidade de tentativas de intrusão através de paredes ou muros, perfuração de lajes ou pisos, O uso de sensores de vibração ou sismicos são aplicáveis Um sensor será mais ou menos suscetível conforme a sua Taxa de Alarmes Falsos, definido como a quantidade de eventos de alarmes falsos em relação a quantidade total de 36 eventos de alarme ocorridos, identificado pela sigla NAR ou Nuisance Alarm Rate Fórmula de cálculo: NAR = Taxa de Alarmes Falsos (%) EAF = Eventos de alarme Falsos TEA = Total de Eventos de Alarme Sensores de abertura Sensores de abertura são os mais usados para detectar aberturas de portas janelas, portões alçapões, ou qualquer outro melo de acesso que necessite ser controlado Estes sensores podem estar vinculados a sistemas de alarme de intrusão de controle de acesso de monitoramento de imagens de automatização de portões O tipo de sensor de abertura mais utilizado e o sensor de campo magnético, composto por um reed with e um ima que gera o campo Quando próximo ao reed, sob o efeito do campo magnético, os contatos do reed se fecham quando o imã se afasta, devido a redução do campo magnético os contatos se afastam e abrem. Os sensores IVP. Infravermelho Passivo funciona pela detecção do calor emitido no ambiente por objetos refletidos ou pelo corpo, numa faixa especifica do infravermelho que e capturado através de uma lente especialmente desenhada denominada lente de Fresnel. que possui uma construção que permite identificar a movimentação da fonte de calor em relação ao sensor o funcionamento do sensor IVP e influenciado pela temperatura ambiente, uma vez que detecta calor Se a temperatura ambiente ficar
Compartilhar