Baixe o app para aproveitar ainda mais
Prévia do material em texto
Vanessa Gomes Albuquerque TECNOLOGIA PARA INTERNET E-book 4 Neste E-Book: INTRODUÇÃO ����������������������������������������������������������� 3 CONCEITOS GERAIS DE GESTÃO ����������������������� 5 Gestão de risco em projetos ����������������������������������������������������6 CONSIDERAÇÕES FINAIS ����������������������������������� 32 REFERÊNCIAS BIBLIOGRÁFICAS & CONSULTADAS �������������������������������������������������������34 2 INTRODUÇÃO Neste módulo, estudaremos o conceito de Gestão de Projetos� Saber construir um bom projeto não é simplesmente sentar ao computador e programar conforme aquilo que o cliente solicita, nem mesmo seguir um documento com briefing do projeto. Existe uma série de questões que devemos aprender para que o projeto seja bem-sucedido� Não devemos deixar de comentar os riscos de projetos, pois todo projeto tem chance de insucesso, mas é claro que não queremos que isso aconteça� Sendo assim, neste tópico aprofundaremos nosso estudo nos projetos, o que implica também sua ges- tão e os riscos de projetos, que devem ser documen- tados, pois servem como guia de acompanhamento de projeto� Em seguida, abordaremos os principais guias de boas práticas para o gerenciamento de projetos em Tecnologia da Informação, como o Project Management Institute (PMI) e o Project Management Body of Knowledge (PMBOK), os mais importantes e reconhecidos no mercado de trabalho para a área de Gestão de Tecnologia da Informação� A Engenharia Social, é nosso próximo tópico, pois é a área em que diversos ataques acabam ocorrendo durante a fase de implementação de projetos, deven- do ser monitorados e controlados por funcionários altamente qualificados. 3 Mencionaremos, ainda, a importância de se pro- porcionar treinamento aos demais funcionários da empresa, mesmo não havendo qualquer interação interna dos criminosos, estes podem utilizar dados informados em redes sociais para terem acesso às vítimas, fazendo parte do grupo de risco ao sucesso de implantação do projeto, bem como apresentare- mos as ferramentas mais utilizadas para o monito- ramento de vulnerabilidades da Engenharia Social� 4 CONCEITOS GERAIS DE GESTÃO Estamos na era das organizações, em que o ser hu- mano, ao não ser capaz de resolver seus problemas sozinhos, encontrou nas associações de pessoas, métodos de trabalho e bens de capital uma forma de atender suas necessidades, criando assim os chamados grupos� Essa constante evolução, em conjunto com as ne- cessidades humanas, faz com que haja associações das mais variadas� Some-se a isso o surgimento da internet� A evolução organizacional passou a ser dos mais variados portes e nichos de mercado� Por isso, identificar as necessidades das empresas é saber gerenciá-las e levar elementos que possam atender a seus objetivos, ou seja, evidenciar-se dentro dessa necessidade empresarial é conhecer o modelo de negócio empregado a ela� Observe, no entanto, que, para isso, existem na ges- tão guias de boas práticas para sanar as necessi- dades e gerenciar os projetos nas organizações, trazendo as concepções de documentação, imple- mentação, avaliação, riscos e tantos outros que tra- balharemos neste tópico� Buscar o conhecimento na gestão é reconhecer a responsabilidade de assumir os riscos envolvidos em 5 um projeto empresarial� Assim, cabe-nos trabalhar es- sas questões de responsabilidade de gerenciamento� Oliveira (2011) afirma que gerenciar é um processo administrativo, ou seja, implica pensar em planeja- mento, organização, direção e controle, voltado a atingir resultados� Nesse sentido, gerenciar é o que toda empresa precisa, de resultados que satisfaçam às suas necessidades para otimizar o processo de transformação empresarial e que faça parte do grupo universal de oportunidade aos seus negócios� Para o gestor de Tecnologia da Informação (TI), trabalhar bem em equipe e manter o processo de comunicação aberto fazem parte de todo processo decisório ao longo do projeto, para que sua tomada decisão seja a mais assertiva possível� Para o gestor, o foco decisório deve ser um elemen- to para o profissional dotado de conhecimento, na expertise requerida para efetuar a escolha das me- lhores alternativas de ação, envolvendo um processo contínuo de fornecimento de informações e riscos� Gestão de risco em projetos IT Risk Management, ou Gestão de Riscos em TI, é um conjunto de métodos e processos utilizado para equilibrar os riscos e custos de operações emprega- dos na Tecnologia da Informação (TI)� Com a utilização tecnológica cada vez mais presente nas empresas, com seus equipamentos e softwares de TI, foi preciso criar uma área gerencial em que os 6 profissionais pudessem viabilizar as verdadeiras ne- cessidades empresariais aos recursos devidos da TI� Desde o final da década de 1990, muitas empresas buscaram se ajustar à era tecnológica, com equipa- mentos e recursos que, naquele momento, eram o mais recomendado� Dessa época para cá, porém, o avanço tecnológico ficou muito mais rápido do que o imaginado� Logo, as empresas que investiam em novos equipamentos para os mais atuais naquele momento, em poucos meses já estavam ultrapassa- dos, havendo necessidade de adequação de equipa- mentos com mais recursos� Para algumas empresas, a metodologia utilizada para a troca de equipamentos era aguardar o momento certo para investir; outras, no entanto, faziam altos investimentos e aguardavam seu retorno lucrativo para uma nova troca� Como não existia um profissional ou departamento que fizesse um estudo naquele momento, percebeu- -se a necessidade dos profissionais de TI que pudes- sem estudar os conceitos de Gestão Empresarial, considerando o melhor entendimento das necessi- dades das empresas e fazer estudos de requisitos para um investimento em TI sem perdas ou danos em investimentos tecnológicos� Pode-se dizer que esses estudos viabilizaram a utili- zação dos equipamentos e softwares empresariais de cinco a dez anos, ou seja, a troca de equipamentos ou nova atualização de sistema deve ocorrer em um prazo superior, viabilizando o uso total dos recursos 7 e lucratividade, devido aos elevados investimentos empresariais� Quando se fala de planejamento empresarial para investimento em recursos de TI, fala-se de Planejamento Estratégico da Tecnologia da Informação (PETI), que estabelece qual é o melhor caminho para alcançar os objetivos finais do negócio. Para isso, existem fases a considerar na elaboração do plano estratégico em TI: ● Análise de ambiente: analisa tanto o ambiente in- terno quanto o externo da TI, com o intuito de auxiliar no processo da situação da empresa: ○ Análise do ambiente interno: implica avaliações de situações como fragilidades, vulnerabilidades e capacidade, verificando se a equipe de TI está mo- tivada e qualificada para a satisfação dos usuários, clientes e demais stakeholder em relação à TI� ○ Análise do ambiente externo: implica a verificação da direção do negócio empresarial, seus concorren- tes diretos e indiretos e quais são as tecnologias emergentes que podem beneficiar o negócio. ● Formulação das Estratégias de TI: definem quais são os objetivos estratégicos da TI para a organi- zação� Com base nos resultados das análises dos ambientes, inicia-se o planejamento estratégico, de- finindo os objetivos, os quais devem estar alinhados com a estratégia de negócio da empresa� Para isso, é preciso estimar seu uso, ou seja, perguntar “qual uso da TI que a empresa vai precisar daqui a 5 anos?”� 8 Essa é a pergunta-chave, a qual deve estar alinhada aos dados e informações precisas da empresa� Para guiar o caminho do “futuro” da empresa, é necessá- rio ter conhecimento para traçar as estratégias de tomada de grandes decisões, ou seja, saber o que direciona, orienta e facilita a comunicação em equipe� ● Plano de execução: detalha as estratégias defi- nidas na fase de Formulação das Estratégias de TI, estabelecendoquais indicadores e iniciativas de- vem ser tomados para os indicadores de execução� Podemos resumir como um detalhamento das es- tratégias para que torne seu monitoramento claro� Esta fase trabalha com dois elementos principais, os Indicadores-chave de Performance (KPIs) e as iniciativas� Os indicadores medem a estratégia, isto é, se ocorrem dentro do tempo esperado; as iniciativas, por seu turno, podem revelar questões de estrutura da TI para os negócios� ● Monitoramento da execução: é a fase em que há acompanhamento das metas indicadas, se estão sendo atingidas no tempo e da maneira conforme o planejamento� Esse monitoramento é, na verdade, uma avaliação da frequência predetermina dos ob- jetivos propostos (metas), estabelecendo períodos ou metas parciais e totais� Caso a performance não esteja dentro dos padrões correspondentes, é pos- sível traçar ações de respostas para melhorar os indicadores� ● Ajustes do plano: segundo o monitoramento, precisa-se de ajustes e correções do plano estra- tégico de TI para adequá-lo às mudanças e ajustes 9 da rota do projeto� Anteriormente, comentamos que a tecnologia continua em rápida evolução, e essas mudanças não só podem como devem ocorrer duran- te a implantação das estratégias� Por tudo isso, os ajustes no projeto podem ser feitos com frequência, necessidades de ajustes no plano devem definir as mudanças na rota para uma visão clara do futuro, não devendo engessar por completo o projeto, parte dos conceitos de agilidade, flexibilidade e adaptabilidade estratégica para a TI� Sabemos que nenhuma empresa é igual a outra, por isso, a depender de tamanho e estrutura da TI, a cons- trução do plano estratégico pode ser feita robusta ou simplificadamente. Em todo caso, não importa o método, o que vale lembrar é que o plano deve ser um instrumento para a estratégica se concretizar, a TI conseguir elaborar ações e entregar as metas estabelecidas� Outro fator muito importante para que a estratégia siga dentro dos padrões esperados é ter uma boa Governança de TI (GTI)� A governança e a estratégia devem caminhar lado a lado, sendo fundamental para garantir que a área de TI agregue valor à organização� Os conceitos de Planejamento Estratégico Empresarial (PEE) determinam objetivos, políticas e estratégias das funções empresariais, bem como os procedimentos de uma organização, ao utilizar estratégias e técnicas administrativas de análise dos 10 ambientes internos e externos, possíveis ameaças, oportunidades e pontos fortes e fracos� Todo esse processo foca a continuidade dos negó- cios com comprometimento das pessoas e com suas mudanças (BOAR, 2002; REZENDE, 2002)� O PEE é auxiliado pelos Sistemas de Suporte Executivo, envol- ve o alcance dos objetivos em longo prazo ao seguir as previsões de tendências futuras� Para alinhar o PETI com o PEE, é necessário apontar algumas informações pertinentes: ● Ciclo de vida da empresa: cada empresa tem seu nível de mercado com as próprias características de produtos e/ou serviços, podendo ser de pequeno, médio ou grande porte� ● Indicadores de negócios: estão intimamente liga- dos aos objetivos estratégicos e, por esse motivo, devem ser acompanhados de maneira constante� ● Papel transformador esperado com a TI: a impor- tância do PETI deve ser transformadora e atuar como agente de mudança no negócio� A partir desses indicadores, podemos alinhas algu- mas vantagens do uso do PETI com o PEE: 1. Comunicação transparente: o PETI traz visibili- dade à área do negócio, servindo como ferramenta de comunicação, promovendo mais rapidamente os resultados esperados com a TI e melhorando a governança como um todo� 11 2. Agilidade no negócio: é a capacidade de as em- presas responderem rapidamente utilizando tecno- logias estratégicas para agilizar e tornar o negócio resiliente� 3. Crescimento organizacional: é a garantia de me- lhoria contínua nos negócios, aumentando a segu- rança da informação e a competitividade perante o mercado� 4. Uso correto de recursos: os recursos devem ser exatos, não exagerados, pois grandes investimen- tos geram gastos� Assim, tanto o mau uso quanto a compra de produtos sem ter um profissional que saiba operá-lo podem gerar problemas infindáveis, a ponto de levar à falência da empresa� Nesse sentindo, devemos recorrer à máxima: nem es- cassez, nem desperdício nos recursos, visto que pen- sar pequeno demais pode gerar investimentos altos com pouco tempo de utilização pela empresa, além disso, pode resultar em metas pouco desafiadoras. Por outro lado, pensar grande demais absorve re- cursos que podem nunca ser utilizados, gerando alto custo e, na maioria dos casos, o lucro sobre o investimento demora anos para retornar, podendo resultar em metas irrealistas e incapazes de atingir� Portanto, devemos manter um meio-termo, ou seja, fazer uma previsão baseada nos últimos anos da empresa, com análises e cálculos, para buscar estra- tégias com as quais seus objetivos sejam factíveis, executáveis e desejáveis pela empresa� 12 Ainda que se usem todos os planos de estratégias conhecidos com base em dados e avaliações, todo projeto é diferente um do outro, sem maneiras de padronizá-los� O que existe, no entanto, são as boas práticas dentro da governança; logo, o conhecimento na área é essencial para a tomada de decisão em caso de problema no projeto� Todo projeto corre riscos; são esses eventos de in- certezas quanto à sua implantação que o tornam fora dos padrões� Conhecer o projeto e a gestão mi- nimiza os impactos de reparação a danos, tornando os riscos cada vez menores� Assim, o risco negativo chama-se “ameaça”, e o risco de impacto positivo chama-se “oportunidade”� Esses eventos ocorrem o tempo todo, podem ser qualquer um dos riscos vigentes� Note, porém, que, com o passar do tempo e a experiência, somos capa- zes de assumir um projeto e, rapidamente, saber que em determinado ponto uma ameaça vai ocorrer� Com isso, podemos nos antecipar e ajustá-lo previamente� Isso acontece, mas só é possível identificar as ame- aças antecipadamente com a experiência, por isso, devemos identificar sempre os riscos positivos e negativos como conhecimento e transformá-los em experiências� Dessa forma, podemos determinar nos- so futuro como profissional de gestão de projetos em TI� 13 Gestão de projetos em TI A gestão de projetos é muito importante para com- preender todos os processos de planejamento es- tratégico em criação, planejamento e gerenciamento dos seus projetos� Conforme já mencionado, a soma conhecimento e experiência é fundamental para ad- quirir boas práticas de gerenciamento� E o que seriam essas boas práticas? Temos em TI o guia Project Management Body of Knowledge (PMBOK), ou Guia para o Conjunto de Conhecimentos de Gerenciamento de Projetos, e o Project Management Institute (PMI), com boas práticas específicas para o gerenciamento em TI, além de encontrar outros cursos, que podem não só auxiliar, mas também complementar esse processo de gerenciamento de projetos� São eles: Information Tecnology Infrastructure Library (ITIL) e o Control Objectives for Information and Related Tecnology (COBIT)� O PMBOK foca o gerenciamento de projetos e é fun- damental para os projetos que envolvam atividades humanas, com conhecimentos e necessidades de profissionais especializados para o gerenciamento de projetos� O PMI é uma associação profissional sem fins lu- crativos, voltada para o gerenciamento de projetos, publicações e portfólios, padronizados mundialmente e reconhecidos através de certificações, recursos, ferramenta, entre outros� 14 Em outras palavras, o PMI é um “[���] conjunto do conhecimento em gerenciamento amplamente re- conhecido como boa prática” (PMI, 2013, p� 2)� Esse guia, segundo Dias (2014, p� 48), “organiza as boas práticas em gerenciamento de projetos e o conheci- mento associado segundo um quadro de referência cuja unidade estrutural, ou cédula, é o processode gerenciamento de projetos”� Esse processo é a transformação de entradas em saídas, ou melhor dizendo, a transformação dos ob- jetivos propostos em resoluções assertivas e ade- quadas ao que foi determinado ao projeto� Às vezes, os objetivos relacionados aos processos caminham separadamente, mas constituem, ao final, o objetivo conjunto ou geral� Vamos a um exemplo que compreenda o problema� Pensemos o seguinte: temos de implementar um sis- tema em uma empresa de médio porte� Todo o pro- blema já foi verificado e, com isso, criou-se um plano de estratégia para a eficácia da implementação. Na prática, não basta criar um sistema de acordo com o documento de planejamento, é necessário criar pontos considerados relevantes e que estejam alinhados aos objetivos da empresa, para que não arruínem todo o projeto� Dentro da viabilidade, observou-se que esse projeto deve ser iniciado pelos setores financeiros, pessoas e produção� O melhor a fazer seria criar o sistema do setor de contas, compras, RH etc� 15 Cada setor tem uma especificação e deve ser testa- do com o departamento, a fim de verificar se o que realmente foi descrito no projeto está funcionando e se está completo dentro das especificações neces- sárias para o setor� Assim, o setor reconhece o novo sistema e passa a adequá-lo segundo as necessidades do departa- mento� O mesmo deve ser feito a cada setor antes da implementação, ou seja, avançar parte por parte até que o sistema esteja completo� Parece um tanto ilusório esse processo, pois, na maioria das vezes, as equipes de desenvolvimento de software não o seguem� Estudos apontam, porém, que esse é o melhor processo de adequação de ob- jetivos, uma vez que evita diversos erros futuros que só perceberíamos após sua implementação� Nesse caso, projetos que tinham uma estimativa de dois anos para sua total implementação acabam se transformando em três, quatro ou cinco anos, o que é inaceitável pelas empresas, porque tal atraso gera grandes custos e desconfortos tanto para a empresa desenvolvedora quanto para a empresa cliente� Dessa forma, os projetos podem ocorrer separada- mente por categorias ou prioridades, mas ao final existe um único objetivo� Entre os processos men- cionados, podemos separá-los pela frequência com que ocorrem: ● Orientado ao produto: ocorre geralmente em projetos da mesma área de aplicação, nos pro- 16 dutos que dependem das tecnologias para o seu desenvolvimento� ● Gerenciamento: não depende das tecnologias, por isso, ocorre na maioria dos projetos� O guia do PMBOK é uma lista das melhores práticas de gerenciamento de projetos, devem contar com a participação de gerentes de projetos de todas as partes envolvidas, sendo documentada a cada passo com as descrições de entrada e saída� As áreas estabelecidas agrupam os processos em conformidade com categorias, assuntos, prioridades, temas etc�, podendo ser gerenciados por grupos de conhecimentos� Por exemplo, gerenciamento da in- tegração, escopo, tempo, custos, qualidade, RH, co- municação, riscos, aquisições e partes interessadas� Cada área estabelece seus objetivos, os quais serão monitorados até seu encerramento� A Figura 1 ilustra as áreas do conhecimento e seus respectivos riscos de projetos: 17 Planejar o gerenciamento dos riscos Planejar as respostas aos riscos Planejar as respostas aos riscos Registro dos riscos Planejar o gerenciamento dos riscos Identificar os riscos Realizar a análise qualitativa dos riscos Realizar a análise quantitativa dos riscos Figura 1: Processos de Gerenciamento dos Riscos do Projeto� Fonte: PMI (2013)� Podemos definir da seguinte forma a Figura 1: ● Planejar o gerenciamento dos riscos: definir de que modo conduzir os demais processos de geren- ciamento dos riscos� ● Identificar os riscos: identificar as possíveis ame- aças que podem afetar o projeto� ● Realizar a análise quantitativa dos riscos: analisar os riscos e possíveis impactos dos riscos� ● Planejar as respostas aos riscos: definir e desen- volver as ações a serem tomadas em resposta aos riscos analisados� Para isso, deve-se saber quais são as prioridades e planejar a redução à exposição do projeto, transformando ameaças (riscos negativos) em oportunidades (riscos positivos)� ● Controlar os riscos: definir e controlar os riscos, garantindo a execução das ações de respostas, que passam constantemente por reavaliação, para que o 18 projeto volte a seguir seu curso, bem como avaliar a eficácia do gerenciando seus riscos. Riscos e incertezas do ciclo de vida do projeto Deve-se entender que o PMI visa a servir de guia para o uso de ferramentas, técnicas e processos identifica- dos pelo Guia PMBOK, mas também “com o propósito descritivo, em vez de ser usado para propósitos de treinamento ou capacitação” (PMI, 2009, p. 2). Por isso, o Practice Standard for Project Risk Management é um padrão do PMI� Este aponta seis fatores considerados críticos no decorrer do geren- ciamento de riscos, ou seja, quando um desses fa- tores não for apontado, considera-se um risco que precisa ser tratado devidamente, sendo um ciclo con- tínuo no gerenciamento de projeto� Analise a Figura 2: Integração com o gerenciamento dos riscos Compromentimento e responsabilidade individuais Comunicação aberta e honesta Esforço ajustado ao tamanho do projeto Comprometimento organizacional Sucesso no gerenciamento dos riscos Reconhecimento do valor do gerenciamento dos riscos Figura 2: Fatores críticos de sucesso para o gerenciamento dos riscos de um projeto� Fonte: Adaptada de PMI (2009, p� 6)� 19 Os fatores críticos de gerenciamento de riscos são classificados como: ● Reconhecimento do valor do gerenciamento dos riscos: é importante que o gestor de projeto saiba classificar os fatores de riscos para que consiga con- tribuir com o sucesso do projeto� ● Comprometimento e responsabilidade individuais: o valor do gerenciamento é um dos riscos que a alta direção deve reconhecer� Não reconhecer o seu valor implica um risco ao projeto, por isso, o gerente deve analisá-lo periodicamente, realizando os compromis- sos formais e a reavaliação de riscos� ● Comunicação aberta e honesta: a comunicação é um dos fatores mais importantes para a equipe, dado que todos devem saber sobre o projeto, ou seja, é preciso haver uma comunicação aberta e honesta entre os envolvidos no projeto e os envolvidos no gerenciamento dos riscos� A informação deve ser mantida em segredo dentro dos padrões de éticas e questões legais da empresa, pois um vazamento pode pôr em riscos não só competitividade, mas também o acordo do que foi determinado para o projeto, trazendo desmotivação à equipe e outros problemas para a empresa� ● Comprometimento organizacional: o comporta- mento organizacional concretiza-se se a gestão de riscos estiver alinhada aos objetivos, metas e valores estabelecidos pela organização� Para isso, é neces- sário que o gerenciamento dos riscos de um projeto requeira o apoio da gerência� 20 ● Esforço ajustado ao tamanho do projeto: processo de gerenciamento de um projeto que deve ser pro- porcional ao tamanho do orçamento, pois o risco de elevar os custos em projetos é um fator de risco tanto para o projeto quanto para os empregados� Esta pode ser uma medida de proteção, dependendo do valor financeiro envolvido, ou seja, mesmo com projetos considerados pequenos, os benefícios de práticas mais simples têm um custo menor; já com projetos muito grandes, é possível se perder com os prazos e determinações estabelecidas no projeto� ● Integração com o gerenciamento do projeto: o gerenciamento de riscos ocorre paralelamente ao gerenciamento de projetos, mas não juntos� Por isso, o gerenciamento de riscos deve ser executado em conjunto com outros processos de gerenciamento do projeto, integrando os principais conceitos de processos, de gerenciamento e das áreas de conhe- cimento envolvidos no decorrer do projeto�Outras áreas do conhecimento são apresentadas como “problemas de gerenciamento” do guia PMBOK e podem ser fonte de risco para o projeto, impactan- do fortemente as áreas diretas e indiretas do projeto: ● Escopo: estabelece o que o projeto define para sua realização, ou seja, seu conjunto de entregas� O escopo pode ser afetado por fatores de risco quando a entrega não é efetuada, geralmente por conta de es- copos novos ou por serem complexos� Podem ainda não ser entregues devido ao cancelamento ou à invia- bilização de projeto. Assim, o importante é verificar 21 o motivo do insucesso com uma resposta plausível ao tipo de risco, buscando uma solução simplificada. O escopo pode ser considerado “premissas”, isto é, um fator que, no processo de planejamento, pode ser considerado verdadeiro, real ou certo sem a ne- cessidade de provas ou demonstração� O gestor de projeto considera um sucesso sem declarar que, em geral, se aprovada nos documentos dos projetos com a premissa de clientes, patrocinadores ou qualquer parte interessada, quando se comprometem a aten- der uma determinada necessidade para alcançar seus objetivos� ● Qualidade: a qualidade do projeto dá-se por meio dos resultados do sucesso das entregas, dos seus processos com prazos e uso eficiente de seus re- cursos. É difícil mensurar a qualificação, por isso, ela é acrescentada aos riscos do projeto a serem verificados, se os itens de requisitos de importância como custos, orçamentos, entregas, cancelamen- tos, atrasos, entre outros� A qualidade pode ser um dos impactos da entrega, principalmente quando o projeto ocorre dentro do que foi determinado, mas a capacitação da equipe deixou a desejar, podendo levar à má qualidade de sua entrega� ● Tempo: as informações dos projetos são o tempo que se deve cumprir o cronograma durante a realiza- ção das atividades� Deve-se calcular o tempo para não haver retrabalhos ou insatisfação ao cliente� ● Custos: quando se cria um projeto, o fator mais importante são os custos, que devem ser controla- dos de perto, pois são eles que definem o consumo 22 necessário da realização das atividades do projeto; sendo assim, no seu cumprimento não pode haver ameaças como perda de prazos, com qualidade ou de desempenho da equipe� ● Recursos Humanos: estão ligados à composição da equipe e devem ser avaliados constantemente seu desempenho, motivação, capacitação e gestão de conflitos. ● Partes interessadas: quando falamos de organiza- ção, precisamos notar que podem ser várias outras as partes que a compõem, como clientes, fornecedo- res, patrocinadores, terceirizados etc� Essas partes podem ser das mais variadas, são uma fonte de risco para o projeto� Logo, deve-se conhecer bem a empre- sa e todos que a compõem direta ou indiretamente� ● Comunicação: a comunicação entre equipes e demais envolvidos no projeto é de extrema impor- tância a todos� Diante de qualquer risco, seja positivo ou negativo, pode-se informá-lo para a tomada de decisão o mais rápido possível. Assim, a certificação de que o projeto está no caminho correto é o fator de progresso e sucesso da equipe� ● Aquisições: sempre que temos um projeto, é pre- ciso ter fornecedores de produtos e serviços, o que implica também a montagem de equipes qualificadas para a realização do projeto� No caso de produtos, o departamento de compras de uma organização deve ser informado o quanto antes a respeito da impor- tância de prazos, qualidade e entrega dos produtos para o cumprimento do cronograma� 23 ● Integração: o gerenciamento da integração é res- ponsável por iniciar as outras áreas do conhecimento; pode haver falhas na integração, como ineficácia do controle de mudança, assim, ser uma grande fonte de risco ao projeto� Os riscos podem ser os mais diversos ao longo do projeto� E qualquer fator fora de cronograma envolve um fator de risco� Cabe dizer que, a cada apontamen- to de risco, é necessário constar na documentação como devem ser contornados os possíveis proble- mas� Com isso, toda a equipe já possui um fator de risco com uma solução, minimizando qualquer tipo de evento e risco de insucesso do projeto� Engenharia social Durante a implantação de um projeto ou ao acom- panhá-lo, é fundamental que todos os envolvidos estejam cercados de boas práticas, pois, ao lidarmos com projetos, lidamos com várias informações em- presariais� Dependendo do tipo de projeto de TI, é pre- ciso ter acesso a todas as informações da empresa; logo, é essencial prover a segurança da informação para os profissionais envolvidos. A primeira etapa de desenvolvimento de projetos é a questão dos profissionais, consequentemente, é necessário manter toda a segurança de informação com seus acessos e permissões, além de assegurar dados empresariais de qualquer natureza� 24 Durante a implantação de sistemas, é comum receber e-mails de phishing enviados por criminosos virtuais para a indução ao erro ou infectar os computado- res com malware� Além disso, é comum os hackers procurarem brechas para atacar, portanto, deve-se submeter constantemente a testes e treinamentos de segurança� Em alguns casos, os invasores usam a engenharia social para conseguir acessar a rede de computado- res da empresa por meio de fornecedores, clientes ou terceirizados� Assim, a equipe envolvida no pro- jeto deve monitorar constantemente seus contatos internos e externos� Muitos funcionários e clientes não percebem que, com poucas informações, até com informações acrescentadas em perfil de redes sociais, os invasores conseguem acesso a diversas redes, disfarçando-se de usuários legítimos para o pessoal do suporte de TI� A proteção contra a engenharia social deve ser efe- tiva a todos os funcionários, não apenas aos envol- vidos na implantação do projeto� Para tanto, faz-se necessário passar por treinamento, sendo condicio- nados a nunca clicar em links suspeitos e proteger suas credenciais� Como já mencionado, os ataques podem surgir em softwares e hardwares, por isso, as equipes de arqui- tetura devem estar atentas às vulnerabilidades� Por meio da engenharia social, foi possível reconhecer al- guns ataques efetuados por criminosos cibernéticos 25 que usam a interação humana para a manipulação de usuários para conseguir informações confidenciais. A engenharia se baseia no ser humano e suas rea- ções emocionais, como o medo� Desse modo, os invasores utilizam-se de técnicas tanto on-line como off-line para ter acesso às informações� Vamos ve- rificar algumas dessas técnicas: ● Baiting (iscas): os seres humanos são curiosos, e os criminosos cibernéticos se aproveitam dessa condição para infetar seus dispositivos (pen-drives, cartões de memória etc�), que contêm malware� Esses dispositivos podem ser usados em diversos computadores; logo, podem espalhar o vírus� ● Phishing: é um truque bem antigo, mas muito usa- do ainda. Os usuários acabam infectados, confir- mando que essa é uma ferramenta de sucesso dos invasores� Os criminosos buscam de várias formas convencer os usuários a divulgar informações, por meio de uma tática de intimidação, como uma situ- ação de emergência, conta bancária ou demais da- dos pessoais� Outros tipos de acesso são utilizados por pessoas importantes para a companhia, como chefes, gestores� Há empresas que solicitam log-in e senha por e-mail, e a vítima prontamente responde enviando as informações solicitadas� O senso de urgência é o que determina a técnica de phishing e uma pessoa que não esteja atenta ao endereço de e-mail, por exemplo, pode enviar os seus dados, como log-in e senha� ● Spam: era muito comum, no final da década de 1990, receber e-mails de contatos totalmente desco- 26 nhecimento� O aumento de envio de spams tornou- -se uma violação dos contados, o que chamamos de hacking de e-mails� Os criminosos utilizam-se do endereço de e-mail para enviar um phishing ou infectar o computador com malwares� ● Quid Pro Quo ou Tomar uma coisapor outra: é o tipo de ataque que seduz o usuário com prêmios e descontos, geralmente com produtos, mas o que os criminosos querem, de fato, são os dados do usuário para roubar sua identidade� Assim, para “ganhar” o prêmio, é necessário preencher um formulário com os dados pessoais� ● Spear phishing: é uma campanha direcionada a funcionários de uma determinada empresa, por meio dos quais os criminosos tentam roubar dados ou credenciais� Em geral, os criminosos usam como alvo os funcionários da empresa e buscam informações nas redes sociais para ter acesso interno à empresa na rede de computadores� ● Vishing: é um dos processos que mais envolvem a interação humana, ou seja, a engenharia social� Os criminosos geralmente ligam para os funcionários da empresa fingindo ser um fornecedor e/ou represen- tante de banco ou instituição parceria, mostrando-se uma pessoa confiável. Com isso, tenta obter infor- mações da vítima� Pode até ter uma segunda ligação informando ser um colega de trabalho que perdeu a senha ou solicitando a senha da vítima, já que o sua foi bloqueada e precisa fazer algo urgente para seu chefe� Esse é apenas um exemplo, mas demonstra que os ataques não precisam ser necessariamente 27 via internet ou e-mails, podem ser usados a partir de qualquer dado ou pessoa desavisada� A engenharia social pode ocorrer como um ataque único (e-mail de phishing) ou de outra forma mais complexa, utilizada para as empresas� Esses métodos são chamados de hunting (caça) e farming (cultivo): ○ Hunting: quando há pouca interação ou o mínimo possível, ocorrem os ataques por phishing, baiting e hacking de e-mails� ○ Farming: tipo de ataque mais elaborado pelos criminosos, pois precisa estabelecer um relaciona- mento com a vítima. Os criminosos analisam o perfil das vítimas por redes sociais e todos os dados en- contrados em sua pesquisa, podendo utilizar esses dados para enganar ou ter algum tipo de acesso� ○ Smishing: muito parecido com o vishing, é uma variação do phishing enviado por SMS� Ou seja, envia- -se uma mensagem de texto ao usuário solicitando uma ligação, um cadastro ou alguma promoção� ○ Ransomware: bloqueios de computador ou cripto- grafia de arquivos, para que a vítima tenha de pagar um “resgate” para a liberação do computador� No caso da empresa, toda rede é bloqueada� ○ Hoaxing (boato): utilizado para a divulgação em massa por e-mails falsos com informações não ver- dadeiras, ou seja, boatos� Comumente chamado de fake News, é um método utilizado de engenharia so- cial a fim de fazer com que os usuários encaminhem a “informação” para o maior número de contatos possível� 28 Esses são alguns tipos de ataque aos quais os cri- minosos recorrem� A taxa de sucesso é alta quando se conta com a ajuda de funcionários mal treinados ou desavisados� A melhor defesa, nesses casos, é se informar e se manter consciente sobre os possíveis sinais de ataque e invasão� Não é raro criminosos, ao saberem das mudanças de sistema ou mudanças na gestão empresarial, buscarem novas brechas para ataques� Em 2017, o Brasil foi alvo de 205 milhões de ciberata- ques, que afetaram tanto os computadores pessoais quanto os de empresas, chegando a atingir hospitais, deixando um rastro de dezenas de bilhões de reais em prejuízos� Isso tudo ocorreu devido a cliques de links enviados aos usuários por e-mail� Só nos aplicativos de mensagens como o WhatsApp, o número de ataques duplicou no quarto semestres, passando de 21,3 milhões para 44,1 milhões segun- do o relatório DFNDR Lab da empresa de segurança PSafe, ou seja, mais de 107% de crescimento em ataques via aplicativo� Não é novidade que muitas empresas têm distribui- ção de celulares, notebooks ou tablets corporativos a alguns usuários, sendo necessário seu uso cons- ciente, bem como o controle e monitoramento desses dispositivos� A Pesquisa Nacional sobre Conscientização Corporativa em Segurança da Informação mostra que 27% dos gestores de segurança da informação, nos últimos 12 meses, 200 das maiores empresas 29 do país registraram um aumento no número de in- cidentes de segurança por meio de e-mails, SMS, aplicativos, entre outros� A pesquisa mostra ainda que, cerca de 58% das violações ocorridas, são o resultado de falha humana� Os ataques ocorridos pela engenharia social ba- seiam-se sempre na interação humana, chamada de no-tech hacking� Não necessariamente utiliza recursos tecnológicos, mas exige a interação pessoal para atingir as metas com técnicas como drumpster diving, shoulder surfing e tailgating: ● Dumpster Diving (mergulho na lixeira): refere-se ao ato de criminosos vasculharem o lixo para recu- perar algo de valor� Em empresas, é muito comum, pois constantemente muitos papéis são impressos com gráficos e dados que podem ser sigilosos. As informações encontradas nas lixeiras podem ser uti- lizadas também em outros ataques, como o phishing, spear phishing, vishing ou fraudes� ● Shouder Surfing (espiar sobre os ombros): é um ataque interno, pois existe a espionagem da tela dos usuários em busca de senhas ou informações que possam ser usadas internamente para acesso� Esse tipo de ataque ocorre muito em notebooks, tablets ou celulares, pois não necessariamente o usuário precisa estar dentro da empresa� ● Tailgating: é uma técnica física de engenharia so- cial, quando o criminoso segue o indivíduo autorizado até a localização de acesso restrito, explorando a boa vontade ou a distração, dando a oportunidade 30 de o criminoso ver sua senha ou dados importantes para qualquer tipo de acesso� Existem diversos tipos de ataque na engenharia so- cial, por isso, é preciso haver diversas ferramentas para a utilização em segurança da informação� O Kali Linux, Browser Exploition Framework (BeEF), Ghost Phisher, MSFpayload, Social Engineering Toolkit (SET), U3-Pwn, entre outros� Essas ferramentas são utilizadas para a segurança baseada em sistemas operacionais, cada um com seu perfil, oferecendo varreduras e coleta de infor- mações por meio de bibliotecas que permitem a identificação prévia. O que verificamos, nesse quesito, é a conscientiza- ção dos usuários sobre a segurança de informação, bem como os possíveis ataques cibernéticos via internet, que podem causar prejuízos não apenas às empresas, mas também aos indivíduos� Portanto, é preciso haver uma mudança de comportamento quanto ao uso de websites e redes sociais, o que pode beneficiar a todos e às organizações. 31 CONSIDERAÇÕES FINAIS Neste módulo, estudamos os muitos conceitos de gestão empresarial, agregando-os à área de Tecnologia da Informação (TI)� Assim, abordamos pontos importantes, mas ainda há muito a estudar e reconhecer nos conformes dos planos de desen- volvimento de projetos do que se espera em gestor de tecnologias e todas as suas atribuições, princi- palmente na questão do conhecimento� Discutimos de que modo podemos conseguir as cer- tificações de ITIL, COBIT, PMI e PMBOK, bem como outras certificações que complementam o conheci- mento na área de TI e que abrangem a atuação na área de gestão� Não basta ser um gestor somente no título ou com várias certificações, é preciso ter muito conhecimen- to técnico em todos os níveis de estratégias a serem empregadas em um projeto, aumentando os riscos e o insucesso na resolução de problemas� Aprender com os problemas faz parte da capacidade de evolução do processo cognitivo e, com ele, o co- nhecimento e a experiência em projetos� Nenhuma certificação trará a experiência necessária para se tornar um grande gestor, mas é um caminho viável para reconhecer os principais pontos dos projetos, além de seu acompanhamento em busca do sucesso em qualquer tipo de projeto de TI� 32 A princípio, pode até parecer meio complicado tantas certificações e responsabilidades, mas com a experi- ência tudo fica mais fácil e, conforme já mencionado, conseguimos enxergar o problema antes mesmo de ele vir a acontecer�Conhecimento é à base de tudo e por isso os es- tudos na área são cada vez mais importantes� As empresas ainda estão em processo de adaptação de equipamentos, softwares, produtos e serviços que possam atender seus clientes, sendo a junção de todo o material aqui explorado nesta disciplina, um conjunto de conhecimentos que facilitarão a criação, desenvolvimento, implantação e gerenciamento de projetos� 33 Referências Bibliográficas & Consultadas BASTA, A�; BASTA, N�; BROWN, M� Segurança de computadores e teste de invasão� São Paulo: Cengage Learning, 2014 [Minha Biblioteca]� BOAR, B� H� Tecnologia da Informação: a arte do planejamento Estratégico� São Paulo: Berkeley Brasil, 2002� CARDOSO, A� L�; SALVADOR, D� O�; SIMONIADES, R� Planejamento de marketing digital� Rio de Janeiro: Brasport, 2017 [Biblioteca Virtual]� DIAS, F� R� T� Gerenciamento dos Riscos em Projetos� São Paulo: GEN/Atlas, 2014 [Biblioteca Virtual]� FRANCO JUNIOR, C� F� E-business na infoera: o impacto da infoera na Administração de Empresas: Internet e tele-comunicação multimídia digital, tecnologia e sistemas de informação� 4� ed� São Paulo: Atlas, 2006 [Minha Biblioteca]� GALLOTTI, G� M� A� Sistemas Multimídias� São Paulo: Pearson Education do Brasil, 2017 [Biblioteca Virtual]� OLIVEIRA, D� P� R� Sistemas de Informações Gerenciais� São Paulo: Atlas, 2011� OGDEN, J� R�; CRESCITELLI, E� Comunicação in- tegrada de marketing: conceitos, técnicas e práti- cas� 2� ed� São Paulo: Pearson Prentice Hall, 2007 [Biblioteca Virtual]� PMI� PROJECT MANAGEMENT INSTITUTE� A Guide to the Project Management of Body of Knowledge (Guia PMBOK)� 5� ed� Pensilvânia: Project Management Institute, 2013� PMI� PROJECT MANAGEMENT INSTITUTE� Practice Standard for Project Risk Management� Pensilvânia: Project Management Institute, 2009. REZENDE, D� A� Alinhamento do planejamento estratégico da tecnologia da informação ao pla- nejamento empresarial: proposta de um modelo e verificação da prática em grandes empresas brasi- leiras� 278 f� Tese (Doutorado)� Programa de Pós- Graduação em Engenharia de Produção - Gestão da Tecnologia da Informação da Universidade Federal de Santa Catarina� Florianópolis, 2002� Disponível em: https://repositorio.ufsc.br/xmlui/ bitstream/handle/123456789/83083/PEPS2214-T. pdf?sequence=1&isAllowed=y� Acesso em: 26 nov� 2020� REZENDE, D� A�; ABREU, A� F� Tecnologia da Informação Aplicada a Sistemas de Informações Empresariais� 3� ed� São Paulo: Atlas, 2003� SHARMA, V�; SHARMA, R� Desenvolvendo sites de e-Commerce� São Paulo: Makron Books, 2001 [Biblioteca Virtual]� TEIXEIRA, T� Comércio eletrônico: conforme o mar- co civil da internet e a regulamentação do e-com- merce no Brasil� São Paulo: Saraiva, 2015 [Minha Biblioteca]� TURBAN, E�; KING, D� Comércio eletrônico: estra- tégia e gestão� São Paulo: Pearson Prentice Hall, 2004 [Biblioteca Virtual]� INTRODUÇÃO CONCEITOS GERAIS DE GESTÃO Gestão de risco em projetos CONSIDERAÇÕES FINAIS Referências Bibliográficas & Consultadas
Compartilhar