Baixe o app para aproveitar ainda mais
Prévia do material em texto
UNIP INTERATIVA Projeto Integrado Multidisciplinar Cursos Superiores de Tecnologia Projeto Integrado Multidisciplinar UNIP INTERATIVA Senador Canedo – GO 2016 UNIP INTERATIVA Projeto Integrado Multidisciplinar Cursos Superiores de Tecnologia Leonardo Freitas Neiva Ra: 1541335 Gestão da Tecnologia da Informação Segundo Semestre UNIP Senador Canedo - GO 2016 RESUMO Projeto Integrado Multidisciplinar VI – PIM VI. Unip, 2016. Este projeto objetiva desenvolver um plano estratégico de Tecnologia da Informação, que por sua vez deve assegurar que as metas e objetivos da TI estejam fortemente vinculados às metas e objetivos da empresa. Acredita-se que unindo os conhecimentos em Planejamento estratégico de TI, Segurança da Informação e Modelagem de Sistemas, é possível proporcionar o crescimento e gerenciamento eficaz da empresa estudada, além de proporcionar competitividade à organização. Isto significa saber empregar as habilidades e capacidades dos indivíduos vinculados aos recursos da Tecnologia da Informação. A Tecnologia da Informação (TI) pode ser definida como o conjunto de todas as atividades e soluções providas por recursos computacionais que visam permitir a obtenção, o armazenamento, o acesso, o gerenciamento e o uso das informações. A informação é tão importante que pode inclusive determinar a sobrevivência ou a descontinuidade das atividades de um negócio, e é preciso estar ciente de que é um recurso fundamental dentro de uma organização. As Políticas de Segurança da Informação, considerando a informação um patrimônio, um bem que agrega valor e dá sentido às atividades que a utilizam, sendo assim, é necessário fazer uso de recursos de TI de maneira apropriada, ou seja, é preciso utilizar ferramentas, sistemas ou outros meios que façam das informações um diferencial. Além disso, é importante buscar soluções que tragam resultados realmente relevantes, isto é, que permitam transformar as informações em algo com valor maior, sem deixar de considerar o aspecto do menor custo possível. Palavras Chave: Tecnologia da Informação, Planejamento estratégico de TI, Segurança da Informação e Modelagem de Sistemas ABSTRACT Multidisciplinary Integrated Project VI - PIM VI. UNIP, 2015. This project aims to develop a strategic plan for information technology, which in turn should ensure that the goals and IT goals are strongly linked to the goals and objectives of the company. It is believed that combining the knowledge in Strategic IT Planning, Information Security and Systems Modeling, can provide growth and effective management of the company studied. In addition to providing competitiveness to the organization, this means know how to use the skills and capabilities of individuals linked to the resources of the Information Technology. The Information Technology (IT) can be defined as the set of all activities and solutions provided by computing resources that are designed to enable the collection, storage, access, management and use of information. The information is so important that it can even determine the survival or discontinuance of the activities of a business, and you need to be aware that it is a key resource within an organization. The Information Security Policy, considering the information an asset, an asset that adds value and gives meaning to activities that use it, so it is necessary to make use of IT resources properly, ie, we need to use tools, systems or other means to make the information a differential. Moreover, it is important to seek solutions that bring truly relevant results, ie enabling transform information into something with greater value while considering the appearance of the lowest possible cost. Keywords: Information Technology, Strategic IT Planning, Information Security and Systems Modeling SUMÁRIO 1. INTRODUÇÃO.................................................................................................05 2. APRESENTAÇÃO DO CASO..........................................................................06 3. PROPOSTA DE SOLUÇÃO.............................................................................08 4. PLANEJAMENTO ESTRATÉGICO DE TI........................................................09 4.1. Governança de TI......................................................................................12 4.2. O Cobit e a Governança de TI....................................................................13 4.3. Domínios de Processos do Cobit...............................................................14 5. SEGURANÇA DA INFORMAÇÃO...................................................................17 5.1. Missão.......................................................................................................19 5.2. Objetivos e Metas......................................................................................19 5.3. Escopo e Metodologia...............................................................................19 5.4. O Ciclo de vida do projeto........................................................................22 5.4.1. Primeira Fase: Iniciação: ............................................................22 5.4.2. Segunda Fase: Planejamento: ....................................................23 5.4.3. Terceira Fase: Execução: ...........................................................23 5.4.4. Quarta Fase: Controle: ................................................................23 5.4.5. Quinta Fase: Encerramento: .......................................................24 5.5. Política de Segurança da Informação.......................................................24 5.6. Mecanismos de Segurança.......................................................................26 5.7. Segurança de Rede...................................................................................27 5.8. Controle de tráfego e rede sem fio.............................................................27 5.9. Firewall......................................................................................................28 6. MODELAGEM DE SISTEMAS DE INFORMAÇÃO..........................................29 6.1. Abstração..................................................................................................29 6.2. A Modelagem............................................................................................29 6.3. UML...........................................................................................................31 6.3.1. Diagramas Estruturais.................................................................31 6.3.2. A Técnica de Modelagem de Objetos..........................................31 6.3.3. Modelo de Objetos.......................................................................31 6.3.4. Modelo Dinâmico.........................................................................32 6.3.5. Modelo Funcional........................................................................34 6.3.6 Diagramas Comportamentais.......................................................34 6.4. Levantamento e análise de requisitos........................................................35 7. CONCLUSÃO..................................................................................................37 8. REFERÊNCIAS BIBLIOGRÁFICAS.................................................................38 5 1. INTRODUÇÃO Diante de um ambiente de mudançasconstantes e de maneira acelerada, num mercado altamente competitivo, a consultoria é essencial à Tecnologia de Informação, assumindo o papel de fator determinante a sobrevivência da empresa, atuando como ferramenta importantíssima junto ao processo gerencial. A busca de vantagens competitivas tem levado as empresas a buscarem novas tecnologias de informação destinada ao gerenciamento dos seus negócios. O Acesso a essas tecnologias associadas aos avanços na área de comunicação e sistemas, permitem as empresas adotarem soluções integradas que influenciam diretamente nos resultados da empresa e dão suporte a tomadas de decisões fundamentais para o desenvolvimento da mesma. Considerando o caso fictício estabelecido, este projeto tem objetivo de apresentar um Plano Estratégico Empresarial, um Plano Estratégico de TI, a modelagem de um Sistema de Informação e a Política de Segurança da Informação. Para o desenvolvimento do projeto serão aplicados os conhecimentos adquiridos nas disciplinas de Planejamento Estratégico de TI, Segurança da Informação e Modelagem de Sistemas de Informação. 6 2. APRESENTAÇÃO DO CASO A empresa Pão Quentinho, fundada em 1970, surgiu de um empreendedorismo familiar, mantendo seu capital fechado até a atualidade. Iniciou suas atividades especializando-se em padaria e confeitaria. Para atender a demanda e as novas necessidades dos clientes, a Pão Quentinho, expandiu seus negócios em localidades próximas, com ampliação de espaço físico e aumento na diversidade de produtos e serviços. O público alvo é caracterizado pelas classes sociais A, B e C, com faixa etária acima de 30 anos, de ambos os sexos. Ela é considerada uma padaria de serviço e também como padaria de conveniência. A Pão Quentinho é considerada de serviço e de conveniência por ter a grande parte de suas unidades situadas em locais de grande circulação e de maior concentração de lojas comerciais ou escritórios, além de também estar próxima a condomínios residenciais. Por isso ela oferece serviços adequados para essas localidades como restaurante, lanchonete e fast-food, além dos produtos e serviços de padaria e confeitaria. Cada uma das unidades da Pão Quentinho possui aproximadamente 40 colaboradores operacionais. Esse total está distribuído em 03 equipes por turno (3 turnos de 8h, divididos em matutino, vespertino e noturno) e 1 equipe de folguistas. A equipe com maior número de funcionário é do turno vespertino, pois a demanda do horário do almoço e final da tarde é maior. Cada equipe é composta por profissionais que exercem a função de cozinheiro, balconista, caixa, garçom e serviços gerais (limpeza). A sua matriz está situada no Bairro de Perdizes, próximo a um grande e moderno estádio de futebol. As suas filiais estão espalhadas pelos bairros nobre das cidades que compõe a Grande São Paulo. A Tabela abaixo mostra os locais onde estão situadas as Filiais e o Público-Alvo. UNIDADE CIDADE PÚBLICO-ALVO Bela Vista Osasco Classes A, B e C Interlagos São Paulo Classes A, B e C 7 Lapa São Paulo Classes A, B e C Tatuapé São Paulo Classes A, B e C Granja Viana Cotia Classes A e B Alphaville Barueri Classes A e B Morumbi São Paulo Classes A e B Nova Petrópolis São Bernardo do Campo Classes A e B Moema São Paulo Classes A e B Vila São Francisco São Paulo Classes A e B Antes do final do ano de 2015, os donos da Pão Quentinho perceberam, ao fazer a análise da situação do negócio, que o seu Market Share (Fatia de Mercado) vinha caindo consideravelmente, prejudicando a perenidade do negócio. Esta análise do negócio foi muito importante e serviu para detectar muitas situações, além de esclarecê-las e apontar um novo caminho para a padaria. Os principais pontos desta avaliação foram: Diminuição do número de clientes que faziam as suas refeições diariamente na padaria; Ausência de um sistema de informação que automatizasse os processos de negócio; Excessivo turnover de funcionários; Grandes desperdícios de matéria-prima, insumos e produtos acabados; Queda da qualidade dos produtos oferecidos pelos fornecedores; Crescimento de novos entrantes nas regiões nobres; Falta de infraestrutura básica para receber famílias com bebês; Falta de acessibilidade para pessoas portadoras de deficiências físicas; Produtos oferecidos aos clientes com altíssima qualidade; Falta de valorização de questões relacionadas à sustentabilidade; Ausência de uma pesquisa de satisfação preenchida pelos clientes; Grave crise econômica que tem afetado a saúde financeira da empresa; A partir de tudo o que foi discutido nesta análise, um dos sócios sugeriu que a Empresa implementa-se uma Processo de Planejamento Estratégico, a fim de 8 discutir melhor os rumos da Corporação, “atacar” os seus principais e latentes problemas, além de preparar um Plano de Crescimento para o futuro. Foi, então, quando os sócios da Empresa resolveram contratar uma consultoria especializada em Gestão Estratégica para implementar um processo de criação de um Plano Estratégico Corporativo. Um outro sócio reforçou esta necessidade, concordando com a proposta de contratação da consultoria, mas complementando a necessidade também de fazer um Plano Estratégico de TI, haja vista quaisquer negócios correr sérios riscos de não subsistir, caso ignore o uso de ferramentas tecnológicas. 3. PROPOSTA DE SOLUÇÃO Considerando que por maiores que sejam os esforços na busca de novos clientes, assim como a fidelização dos mesmos diante de um mercado competitivo, é um desafio para quem vende alimentos e torna-se ainda mais difícil cumprir essa meta no período de alta dos preços e redução do ritmo da economia. O planejamento estratégico proposto neste projeto irá considerar que as ações trarão melhores resultados se o produto ou serviço oferecido tiver algum diferencial em relação à concorrência. Por exemplo se o diferencial for só o preço, alguém poderá fazer mais barato amanhã e consequentemente acabará perdendo espaço. É preciso ter foco permanente em se diferenciar. O primeiro passo para a captação de clientes é analisar o perfil do seu público alvo, entender o comportamento do consumidor e que tipo de produtos e serviços ele está buscando. A utilização de um software de gestão para ter indicadores que mostrem os resultados das medidas é fundamental considerando que sem um sistema automatizado, corre-se sério risco de desenvolver esforços equivocados, perder contatos e oportunidades. Um sistema comercial integrado irá permitir através de uma única solução de software o controle de vendas, faturamento, estoque, distribuição, cadastro de clientes e fornecedores, além de emissão de notas fiscais eletrônicas e cupons fiscais. 9 Outro ponto relevante considerando na análise da empresa estudada é o excessivo turnover de funcionários. O termo turnover é a medição da rotatividade de pessoal, que mede o giro de entradas e saídas de colaboradores. Se o índice de saída for muito alto, isto se torna muito desgastante, pois a cada saída de funcionário, normalmente, segue de uma nova admissão, e este giro cria um custo alto de mão de obra. O índice de rotatividade, ou turnover, de colaboradores nas empresas depende basicamente da forma na qual administram e motivam seus colaboradores. Não existe um índice de rotatividade adequado, Para reduzir este índice, deve-se, em primeiro lugar, pesquisar as principais causas, diagnosticar cada uma e finalmente atribuir uma solução. É relevante acompanhar as necessidades do funcionário não apenas financeiras maistambém o nível de satisfação e o ambiente de trabalho que é proporcionado para os mesmos. A Consequência da satisfação do colaborador e um ambiente de trabalho favorável terá como resultado a qualificação no atendimento e a resposta dos clientes será satisfatória. É importante também investir na capacitação dos profissionais para evitar desperdícios de matéria-prima, insumos e produtos acabados e acompanhar a qualidade dos produtos oferecidos pelos fornecedores e buscar parcerias que garantam qualidade, quantidade, prazo de entrega e preço. 4. PLANEJAMENTO ESTRATÉGICO DE TI As organizações para serem inteligentes precisam disponibilizar produtos de qualidade, praticar bom atendimento, adequar sua política de venda e preços aos clientes, cumprir prazos predefinidos e estar atenta às mutações do mercado. Essas exigências forçam as organizações reverem seus valores comerciais, humanos e tecnológicos, o que por si só, não garantem as principais metas organizacionais e a inteligência empresarial. Esses valores merecem atenção especial com análise estratégica e planejamento efetivo, envolvendo toda a organização, principalmente no que tange a adoção da TI e respectivos recursos com o objetivo de alcançar estas metas organizacionais. Nesse sentido, dois fatores são vitais para as organizações no atual 10 momento de competitividade e globalização: a definição de uma estratégia de posicionamento no mercado e a utilização da TI como valioso recurso para a definição e manutenção desse posicionamento estratégico. Juntamente com a TI, o capital intelectual e a gestão do conhecimento também aparecem como outros valiosos recursos estratégicos. A necessidade que as organizações sejam inteligentes, frente às mudanças constantes da sociedade da informação, faz com que as mesmas também se modifiquem e requeiram planejamento das suas informações auxiliadas pelos recursos da TI. A partir da análise da situação do negócio do caso estudado, iniciamos uma discussão necessária para o início de todo planejamento estratégico, que deve passar por algumas definições simples: • Quem somos? Qual a nossa missão? Qual a relevância do nosso negócio para o mercado? Afinal, aonde queremos chegar? • Quais os atores envolvidos nesse planejamento? Quem deve ter participação importante nas análises que traçarão os caminhos da empresa; • Definidos os papeis de cada um, é o momento de ter em mãos o máximo de informações que lhe darão uma visão mais completa do mercado. Saiba de tudo que se refere à análise de mercado, crescimento e desenvolvimento de funcionários, concorrentes, áreas e mercados para explorar; • Esteja informado sobre os insumos (internos e externos) para realização de seu negócio. O entendimento de mercado é tão bom quanto à compreensão do que ocorre dentro da sua própria empresa. Após a análise da situação e compreensão das definições necessárias para colocar em prática sua estratégia a primeira coisa que devemos levar em consideração na parte da execução é analisar como fazemos o que fazemos. Ou seja, qual é a forma como conduzimos o processo de pessoas/equipe, a estratégia e nossos planos operacionais. Quanto mais organizada e bem feita for essa execução, mais poderemos medir o nível de maturidade de uma empresa. 11 Pensando nisso, é mais do que recomendável que uma companhia tenha elaborada consigo um plano de metas para a implantação da governança de tecnologia da informação, através da aplicação de métodos para atender as necessidades de médio e longo prazo da organização, continuamente. O primeiro passo deve ser o de alinhar a área de TI com os negócios. Atitude, essa, destinada ao entendimento do contexto organizacional e à definição de objetivos de negócio e de TI, conforme orientação hand-on determinada pelo COBIT, para definição de objetivos. Se aplicado corretamente, esse método auxiliará no conhecimento do contexto organizacional da empresa, na identificação de objetivos de TI alinhados aos objetivos de negócios, e o levará ao próximo passo. No segundo método para um bom planejamento estratégico, será avaliado o desempenho e a capacidade atual da área de TI na organização. Faz parte desse segundo método, identificar e avaliar a maturidade dos processos considerados críticos na área de TI, se baseando pelas metas estabelecidas pelos negócios, pela própria TI e pela análise FOFA (ou SWOT, do inglês), ferramenta utilizada para fazer análise do cenário de uma empresa. Também é interessante fazer a análise da matriz de arranjo da governança em prática na corporação. Como resultado, você terá em mãos o conjunto de processos críticos a gerenciar para alcançar os objetivos da área, a situação atual desses processos e a análise SWOT aplicada a eles. Feito isso, você se direcionará à definição de indicadores para medir o alcance aos objetivos e a eficiência dos processos críticos. Deve se focar, também, na definição de ações estratégicas que devem cobrir a eliminação ou atenuação dos gaps identificados na segunda etapa, podendo ser destinados ao cumprimento dos objetivos da primeira etapa, em último caso. Como consequência, você irá obter o Balance ScoreCard (BSC) de TI, nesta que é a terceira etapa. Para desenvolver um planejamento tático em tecnologia da informação, é preciso formular os planos de ação para que ambas as estratégias de TI e de negócios sejam alcançadas. 12 Assim sendo, é recomendável estabelecer projetos voltados para a aquisição de recursos de TI, para a terceirização desses recursos e para a capacitação de recursos humanos. A prioridade para aplicação dessas táticas será definida de acordo com a estrutura de governança presente na companhia. O último passo desse processo consiste em avaliar e divulgar os resultados desse planejamento, para toda a empresa. Dessa maneira, além de garantir que processo foi adequado à estrutura de governança, você também irá obter o comprometimento do corpo de colaboradores, nas atividades de implantação, aquisição, capacitação e terceirização, além de garantia de continuação desses processos. Também é muito importante que a empresa aprenda com experiências anteriores e analise o andamento desses processos, para que não cometa erros iguais, aprimorando sua governança de TI. 4.1. Governança de TI Governança de TI, está relacionada ao desenvolvimento de um conjunto estruturado de competências e habilidades estratégicas para profissionais de TI responsáveis pelo planejamento, implantação, controle e monitoramento de programas e projetos de governança, requisito fundamental para as organizações, seja sob os aspectos operacionais, seja sob suas implicações legais. Governança de TI é uma parte integral da Governança Corporativa e é formada pela liderança, estruturas organizacionais e processos que garantem que a TI sustenta e melhora a estratégia e objetivos da organização”. A Governança de TI se divide nas seguintes áreas: Alinhamento Estratégico: a Governança de TI garante que tanto os processos de negócio como os de tecnologia da informação trabalhem conjuntamente. Entrega de Valor: benefício importante da Governança de TI, assegurando que o setor de tecnologia da informação seja o mais eficiente e eficaz possível. 13 Gerenciamento de Riscos: a Governança de TI permite que a empresa visualize de forma abrangente eventuais riscos para o negócio e dá meios de minimizá-los. Gerenciamento de Recursos: neste caso, o papel da Governança de TI é garantir que a gestão dos recursos humanos e tecnológicos da empresa seja o mais otimizada possível. Mensuração de Desempenho: utilizando-sede indicadores que vão muito além dos critérios financeiros, a Governança de TI assegura uma medição e avaliação precisa dos resultados do negócio. Para execução de um planejamento estratégico de TI existem diversas metodologias e como exemplos de metodologias disponíveis e largamente aceitas no mercado, podemos citar: o COBIT para gestão da TI inovando através da Governança Tecnológica e o ITIL que padroniza uma série de processos operacionais e de gestão também ligados a TI. O objetivo é criar uma sistemática padronizada suportada por processos, possivelmente automatizados, que seja entendida e que esteja ao alcance de todos numa organização, que possa ser replicada e, sobretudo, permita evolução. 4.2. O COBIT e a Governança de TI O COBIT [ISACA 2000d] – Control Objectives for Information and Related Technology – tem por missão explícita pesquisar, desenvolver, publicar e promover um conjunto atualizado de padrões internacionais de boas práticas 14 referentes ao uso corporativo da TI para os gerentes e auditores de tecnologia. A metodologia COBIT foi criada pelo ISACA – Information Systems Audit and Control Association – através do IT Governance Institute ,organização independente que desenvolveu a metodologia considerada a base da governança tecnológica. O COBIT funciona como uma entidade de padronização e estabelece métodos documentados para nortear a área de tecnologia das empresas, incluindo qualidade de software, níveis de maturidade e segurança da informação. Os documentos do COBIT definem Governança Tecnológica como sendo “uma estrutura de relacionamentos entre processos para direcionar e controlar uma empresa de modo a atingir objetivos corporativos, através da agregação de valor e risco controlado pelo uso da tecnologia da informação e de seus processos”. A Governança Tecnológica considera a área de TI não apenas como um suporte à organização, mas um ponto fundamental para que seja mantida a gestão administrativa e estratégica da organização. O objetivo central é manter processos e práticas relacionados à infra-estrutura de sistemas, redes e dispositivos utilizados pela empresa. A análise destes processos deve orientar a organização na decisão de novos projetos e como utilizar tecnologia da informação neles, considerando também a evolução tecnológica, sistemas já existentes, integração com fornecedores, atendimento ao cliente (externo e interno), custo da tecnologia e retorno esperado. A necessidade de integração de sistemas e a evolução tecnológica são fundamentadas nos processos da metodologia, criando- se métricas para auditoria e medição da evolução das atividades destes processos. 4.3. Domínios de Processos do COBIT O COBIT está organizado em quatro domínios para refletir um modelo para os processos de TI. Os domínios podem ser caracterizados pelos seus processos e pelas atividades executadas em cada fase de implantação da Governança Tecnológica. Os domínios do COBIT são: Planejamento e Organização: define as questões estratégicas ligadas ao uso da TI em uma organização, trata de vários processos, entre eles, a definição 15 da estratégia de TI, arquitetura da informação, direcionamento tecnológico, investimento, riscos, gerência de projetos e da qualidade. Aquisição e Implementação: define as questões de implementação da TI conforme as diretivas estratégicas e de projeto pré-definidos no Plano Estratégico de Informática da empresa, também conhecido como PDI (Plano Diretor de Informática). Possui uma série de processos como, por exemplo, identificação de soluções automatizadas a serem aplicadas ou reutilizadas na corporação, aquisição e manutenção de sistemas e de infra-estrutura, desenvolvimento e mapeamento de procedimentos nos sistemas, instalação e gerência de mudanças. Entrega e Suporte: define as questões operacionais ligadas ao uso da TI para atendimento aos serviços para os clientes, manutenção e garantias ligadas a estes serviços. O momento destes domínios é após a ativação de um serviço e sua entrega ao cliente, que pode operar ou utilizar os serviços da empresa para operação terceirizada. Os processos relativos a este domínio tratam da definição dos níveis de serviço (SLA – Service Leve Agrément); gerência de fornecedores integrados às atividades; garantias de desempenho, continuidade e segurança de sistemas; treinamento de usuários; alocação de custos de serviços; gerência de configuração; gerência de dados, problemas e incidentes. Monitoração: define as questões de auditoria e acompanhamento dos serviços de TI, sob o ponto de vista de validação da eficiência dos processos e evolução dos mesmos em termos de desempenho e automação. Os processos deste domínio tratam basicamente da supervisão das atividades dos outros processos; adequações realizadas na empresa para garantia de procedimentos operacionais; coleta e análise de dados operacionais e estratégicos para auditoria e para controle da organização. Além dos quatro domínios principais que guiam o bom uso da tecnologia da informação na organização, existe também a questão de auditoria que permite verificar, através de relatórios de avaliação, o nível de maturidade dos processos da organização. O método de auditoria segue o modelo do CMM que estabelece os seguintes níveis: 16 Inexistente: significa que o processo de gerenciamento não foi implantado. Inicial: o processo é realizado sem organização, de modo não planejado. Repetível: o processo é repetido de modo intuitivo, isto é, depende mais das pessoas do que de um método estabelecido. Definido: o processo é realizado, documentado e comunicado na organização. Gerenciado: existem métricas de desempenho das atividades, o processo é monitorado e constantemente avaliado. Otimizado: as melhores práticas de mercado e automação são utilizadas para a melhoria contínua dos processos. O resultado do relatório identifica o grau de evolução dos processos na organização que é avaliada, de modo concreto, com base em relatórios confiáveis de auditoria e parâmetros de mercado. O sumário executivo do relatório traz as seguintes informações: se existe um método estabelecido para o processo, como o método é definido e estabelecido, quais os controles mínimos para a verificação do desempenho do método, como pode ser feita auditoria no método, quais as ferramentas utilizadas 17 no método e o que avaliar no método para sua melhoria. A partir de então, a organização define as metas, isto é, os objetivos de controle a serem atingidos. 5. SEGURANÇA DA INFORMAÇÃO O Plano Estratégico em Segurança Computacional para o caso estudado tem por objetivo definir um plano de atividades que permita implementar e obter melhorias consistentes na percepção interna e externa sobre a segurança no uso dos recursos computacionais desta empresa. A Segurança da Informação se refere à proteção existente sobre as informações de uma determinada empresa ou pessoa, isto é, aplicam-se tanto as informações corporativas quanto as pessoais. Entende-se por informação todo e qualquer conteúdo ou dado que tenha valor para alguma organização ou pessoa. Ela pode estar guardada para o uso restrito ou exposta ao público para consulta ou aquisição. 18 A segurança de uma determinada informação pode ser afetada por fatores comportamentais e de uso de quem se utiliza dela, pelo ambiente ouinfra-estrutura que a cerca ou por pessoas mal intencionadas que têm o objetivo de furtar, destruir ou modificar tal informação. O nível de segurança desejado, pode se identificar em uma “política de segurança” que é seguida pela organização ou pessoa, para garantir que uma vez estabelecidos, aquele nível desejado seja perseguido e mantido. Entre os diversos aspectos analisados para o desenvolvimento da política de segurança da informação desta empresa nos baseamos nos seguintes princípios: Confidencialidade: toda informação mantida em equipamentos sob responsabilidade da PADARIA PÃO QUENTINHO só pode ser acessada por pessoas formalmente identificadas e autorizadas. Comunicações de/para a PADARIA PÃO QUENTINHO envolvendo ou não pessoas e entidades externas à PADARIA PÃO QUENTINHO só podem ser conhecidas pelos pares autorizados, não podendo ser recuperada por terceiros durante seu trânsito, sem expressa autorização das partes. Integridade: toda a informação trocada de/para a PADARIA PÃO QUENTINHO deve manter seu conteúdo inalterado desde o momento que deixa a origem até chegar ao seu destino, independente dos recursos utilizados na comunicação (ex: meio físico). Legitimidade: a origem e o destino das mensagens deve pertencer a autores legitimamente identificados nos sistemas de origem e destino. Disponibilidade: o acesso à informação deve ser possível para o conjunto da comunidade PADARIA PÃO QUENTINHO autorizada, a qualquer tempo e sem degradação no desempenho. Legalidade: toda informação com origem ou destino em sistema provido pela PADARIA PÃO QUENTINHO, ou que trafega utilizando-se de infra-estrutura de comunicação da PADARIA PÃO QUENTINHO, estará sujeita a auditoria para identificação de seus autores, tempo e meios utilizados, durante um período definido em lei. 19 5.1. Missão Considerado o escopo de segurança que se deseja tratar, propõe-se como missão para o desenvolvimento deste projeto: “Sugerir estruturas, padrões, processos e recursos, para que a PADARIA PÃO QUENTINHO atinja níveis de segurança em TI, iguais ou superiores às instituições de mesma dimensão, estrutura e escopo de atuação”. 5.2. Objetivos e Metas É objetivo deste projeto: • Definir um plano de ações para melhoria continuada em segurança computacional. Metas para consecução dos objetivos propostos: • Efetuar um diagnóstico da segurança na PADARIA PÃO QUENTINHO, levantando os pontos fracos e fortes, por área de segurança. • Prospectar oportunidades e investigar ameaças. • Definir o nível de segurança atual e o desejado, por área por área de atuação (comercial e administrativo). • Propor os elementos constituintes básicos de uma Política de Segurança referencial que ofereça respaldo nas ações e tomada de decisão relativas à segurança, para grupos responsáveis na PADARIA PÃO QUENTINHO. • Indicar estruturas e procedimentos para proteger o patrimônio PADARIA PÃO QUENTINHO dependente de recursos computacionais. • Recomendar formas para capacitar os profissionais de TI. 5.3. Escopo e Metodologia Como conceito, a Segurança Computacional pode ser entendida sob a Norma NBR 17799 (NBR17799, 2007), que abrange os seguintes aspectos de segurança: 20 1. Política de segurança 2. Organização da segurança 3. Controle e classificação de ativos computacionais 4. Gestão de pessoas e seus papéis em segurança computacional 5. Segurança ambiental e física 6. Gerenciamento físico e de comunicação 7. Controle de acesso aos sistemas computacionais 8. Manutenção e desenvolvimento de sistemas 9. Gerenciamento da continuidade de negócios A ISO/IEC 17799 (NBR17799, 2007) foi atualizada para numeração ISO/IEC 27002 em julho de 2007. É uma norma de Segurança da Informação revisada em 2005 pela ISO e pela IEC. A versão original foi publicada em 2000, que por sua vez era uma cópia fiel do padrão britânico BS 7799-1:1999. No mundo atual, globalizado e interativo, temos a capacidade de disponibilizar e absorver uma quantidade considerável de informação, principalmente através dos meios de comunicação e da internet. Informação significa, de acordo com os dicionários vigentes, o ‘ato ou o efeito de informar, a transmissão de notícia e/ou conhecimentos, uma instrução’ (Dicionário WEB). Quando levamos em consideração as organizações, a informação toma uma dimensão extremamente importante, pois decisões importantes são tomadas com base na mesma. Assim, neste ambiente de empresas interligadas e extremamente competitivas, a informação se torna um fator essencial para a abertura e manutenção de negócios e como tal, precisa ser protegida. A segurança da informação é a forma encontrada pelas organizações para proteger os seus dados, através de regras e controles rígidos, estabelecidos, implementados e monitorados constantemente. É sabido que muitos sistemas de informação não foram projetados para protegerem as informações que geram ou recebem, e essa é uma realidade tanto do setor Público como Privado. A interligação 21 de redes públicas e privadas e o compartilhamento de recursos de informação dificultam o controle e a segurança do acesso, isso porque a computação distribuída acaba se tornando um empecilho à implementação eficaz de um controle de acesso centralizado. O sucesso da implementação de regras e controles rígidos de segurança da informação dependem de diversos fatores tais como: comprometimento de todos os níveis gerenciais; requisitos de segurança claros e objetivos; política de segurança que reflita o negócio da organização; processo eficaz de gestão dos incidentes da segurança da informação que possam acontecer, dentre outros. De acordo com a norma ABNT NBR ISO/IEC 17799:2005, o objetivo da política de segurança da informação é "Prover uma orientação e apoio da direção para a segurança da informação de acordo com os requisitos do negócio e com as leis e regulamentações relevantes. Convém que a direção estabeleça uma política clara, alinhada com os objetivos do negócio e demonstre apoio e comprometimento com a segurança da informação por meio da publicação e manutenção de uma política de segurança da informação para toda a organização". Se a orientação e o apoio aos objetivos da segurança da informação devem partir da direção da organização, fica claro que o profissional de TI é peça chave nesse contexto, já que uma das principais responsabilidades do mesmo é a gerência, manutenção e segurança das informações, dos servidores e dos equipamentos da rede. Este profissional deverá estar comprometido, apoiando ativamente todos os processos e diretrizes implementadas. Caso seja necessário, a direção da organização poderá direcionar e identificar as necessidades para a consultoria de um especialista interno ou externo em segurança da informação, analisando e coordenando os resultados desta consultoria por toda a organização. O padrão é um conjunto de recomendações para práticas na gestão de Segurança da Informação. Ideal para aqueles que querem criar, implementar e manter um sistema. A Norma ABNT NBR ISO/IEC-17799 foi elaborada no Comitê Brasileiro de Computadores e Processamento de Dados (ABNT/CB-21) pela Comissão de Estudo de Segurança Física em Instalações de Informática (CE-21:2-4.01) integra uma família de normas de sistema de gestão de segurança da informação SGSI que inclui normas 22 sobre requisitos de sistema de gestão da segurança da informação, gestão de riscos, métricas e medidas, e diretrizes para implementação. Esta família de normas adota um esquema de numeração usando a série de números 27000 em sequência. A Norma ABNT NBR ISO/IEC-17799estabelece as diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma organização. Também pode ser utilizada como um guia prático para desenvolver os procedimentos de segurança da informação da organização. Após definidas as diretrizes que devem nortear a implantação dos processos de segurança da informação do caso estudado, serão apresentadas propostas e soluções tecnológicas que devem somar ao planejamento estratégico desta organização. 5.4. O ciclo de vida do projeto O ciclo de vida para se implantar um Projeto de Gestão de Segurança da Informação, como qualquer outro projeto, é composto por um conjunto de fases: iniciar, planejar, executar, controlar e encerrar. Cada uma destas fases é caracterizada por gerar um produto tangível e verificável. 5.4.1. Primeira fase do ciclo de vida do projeto: Iniciação. Nesta etapa, é necessário determinar a especificação do produto, elaborar um plano estratégico, estabelecer critérios de seleção e levantar o histórico relativo a evoluções do negócio e vulnerabilidades técnicas e organizacionais. Para tal, é essencial um mapeamento da Segurança. Esta identificação das vulnerabilidades pode ser realizada utilizando-se como ferramenta o diagrama de causa e efeito. Assim, é possível definir um plano de ação corporativo alinhado com os objetivos da direção, obtendo-se o cenário de grau de segurança desejado a alcançar. A identificação das vulnerabilidades, ameaças e riscos, ajuda a priorizar ações de segurança, podendo ajudar na confecção do WBS, definição dos produtos, e subsidiar a implantação de controles eficazes posteriormente. 23 5.4.2. Segunda fase do ciclo de vida do projeto: Planejamento. Nesta fase serão definidos o escopo, as atividades a serem realizadas, a elaboração de cronograma, planejamento de custos, de qualidade e de aquisições e a formação de equipe. Nesta fase também será realizado o planejamento do gerenciamento do risco, constituído da identificação de riscos, análise qualitativa e quantitativa e planejamento de respostas a riscos das Vulnerabilidades de Segurança da Informação identificadas na Organização e os riscos do gerenciamento do projeto propriamente dito. Exemplos de ações desta fase: criação do comitê interdepartamental de segurança, início da capacitação em segurança de técnicos e executivos, criação da política de segurança, realização de ações corretivas imediatas a partir das vulnerabilidades identificadas e preparação da análise de risco. 5.4.3. Terceira fase do ciclo de vida do projeto: Execução. Esta etapa tem como objetivo executar o plano de projeto e de qualidade, o desenvolvimento da equipe, as aquisições e administrar contratos. Para o projeto de implantação da Segurança, temos como exemplos a divulgação da política de segurança na Organização, capacitação de todos os funcionário envolvendo-os no projeto, além do esforço de alcançar o comprometimento de cada um. Também faz parte desta etapa implementar os mecanismos de controle em todos os ambientes de acordo com a política de segurança e planos executivos. 5.4.4. Quarta fase do ciclo de vida do projeto: Controle. O avanço do projeto deve ser medido e monitorado. Nesta fase são executadas ações de coordenação de alterações do escopo e do próprio projeto, formalizações de aceites de produtos e controles de orçamento. São acompanhados e monitorados os riscos identificados, os resultados específicos do projeto e os requisitos de qualidade. Aqui é feita a administração da segurança, exercendo-se o monitoramento e medição dos controles implementados, além de se garantir a conformidade com normas, regras e legislações existentes. Os planos de contingência e recuperação de desastres são atualizados e mantidos. Também deve ser acompanhado o retorno dos investimentos (ROI). 24 5.4.5. Quinta fase do ciclo de vida do projeto: Encerramento. O encerramento do projeto acontece após seus objetivos terem sido atingidos. O encerramento requer documentação dos resultados a fim de formalizar a aceitação do produto. No nosso caso, medidas deverão ter sido estabelecidas e incorporadas aos processos de negócio da Organização. O encerramento do projeto requer a confirmação de que os produtos propostos foram atingidos. Isto poderá ser demonstrado a partir de medições e relatórios com os resultados alcançados e comparados com os propostos. Deverá ser preparado um arquivo do projeto, com toda documentação das fases anteriores. As lições aprendidas também deverão ser descritas. 5.5. Política de Segurança da Informação Temos a definição do Escopo e Metodologia, e conhecemos o ciclo de vida para se implantar um Projeto de Gestão de Segurança da Informação, mais como já foi discutido e preciso identificar as principais ameaças de segurança de TI e saber como combatê-las. O bem mais importante que as empresas possuem, sem dúvida, são as informações gerenciais, sendo muito importantes para a tomada de decisões. É importante criar normas rígidas e principalmente treinar toda a equipe interna e externa. A maioria dos incidentes de segurança são ocasionados no ambiente interno, sendo que atualmente a grande parte dos recursos são investidos no ambiente externo (medidas de proteção, firewall, IDS, etc). A equipe interna pode ser um grande problema, se não for bem treinada. É preciso mostrar como é fundamental proteger as informações gerenciais, tanto para a empresa quanto para o profissional. É através de uma política de segurança bem elaborada que podemos minimizar problemas e conscientizar melhor essas pessoas. A Política de Segurança da Informação – PSI é um documento que registra os princípios e as diretrizes de segurança adotado pela organização, a serem observados por todos os seus integrantes e colaboradores e aplicados a todos os sistemas de informação e processos corporativos. 25 O que precisamos colocar numa política de segurança da informação? 1º Precisamos fazer um planejamento, levantando o perfil da empresa. Analisar o que deve ser protegido, tanto interno como externamente. 2º Aprovação da política de segurança pela diretoria. Garantir que a diretoria apoie a implantação da política. 3º Análise interna e externa dos recursos a serem protegidos. Estudar o que deve ser protegido, verificando o atual programa de segurança da empresa, se houver, enumerando as deficiências e fatores de risco. 4º Elaboração das normas e proibições, tanto física, lógica e humana. Nesta etapa devemos criar as normas relativas à utilização de programas, utilização da internet, uso de smartphones e tablets, acessos físicos e lógicos, bloqueios de sites, utilização do e-mail, utilização dos recursos tecnológicos, etc. 5º Aprovação pelo Recursos Humanos As normas e procedimentos devem ser lidas e aprovadas pelo departamento de Recursos Humanos, no que tange a leis trabalhistas e manual interno dos funcionários da organização. 6º Aplicação e Treinamento da Equipe Elaborar um treinamento prático com recursos didáticos, para apresentar a política de segurança da informação, recolhendo declaração de comprometimento dos funcionários. A política deve ficar sempre disponível para todos os colaboradores da organização. 7º Avaliação Periódica A política de segurança da informação deve ser sempre revista, nunca pode ficar ultrapassada. 26 8º Feedback A organização deverá designar um colaborador específico para ficar monitorando a política, a fim de buscar informações ou incoerências, que venham a alterar o sistema, tais como vulnerabilidades, mudanças em processos gerenciaisou infra-estrutura. 5.6. Mecanismos de segurança o Controles físicos: são barreiras que limitam o contato ou acesso direto a informação ou a infraestrutura (que garante a existência da informação) que a suporta. Existem mecanismos de segurança que apoiam os controles físicos: Portas / trancas / paredes / blindagem / guardas / etc .. o Controles lógicos: são barreiras que impedem ou limitam o acesso a informação, que está em ambiente controlado, geralmente eletrônico, e que, de outro modo, ficaria exposta a alteração não autorizada por elemento mal intencionado. Existem mecanismos de segurança que apóiam os controles lógicos: o Mecanismos de cifração ou encriptação: Permitem a transformação reversível da informação de forma a torná-la ininteligível a terceiros. Utiliza-se para tal, algoritmos determinados e uma chave secreta para, a partir de um conjunto de dados não criptografados, produzir uma sequência de dados criptografados. A operação inversa é a decifração. o Assinatura digital: Um conjunto de dados criptografados, associados a um documento do qual são função, garantindo a integridade e autenticidade do documento associado, mas não a sua confidencialidade. o Mecanismos de garantia da integridade da informação: Usando funções de "Hashing" ou de checagem, é garantida a integridade através de comparação do resultado do teste local com o divulgado pelo autor. o Mecanismos de controle de acesso: Palavras-chave, sistemas biométricos, firewalls, cartões inteligentes. 27 o Mecanismos de certificação: Atesta a validade de um documento. o Integridade: Medida em que um serviço/informação é genuíno, isto é, está protegido contra a personificação por intrusos. o Honeypot: É uma ferramenta que tem a função de propositalmente simular falhas de segurança de um sistema e colher informações sobre o invasor enganando-o, fazendo-o pensar que esteja de fato explorando uma vulnerabilidade daquele sistema. É uma espécie de armadilha para invasores. O HoneyPot não oferece nenhum tipo de proteção. o Protocolos seguros: Uso de protocolos que garantem um grau de segurança e usam alguns dos mecanismos citados. Existe hoje em dia um elevado número de ferramentas e sistemas que pretendem fornecer segurança. Alguns exemplos são os detectores de intrusões, os antivírus, firewalls, firewalls locais, filtros anti-spam, fuzzers, analisadores de código etc. 5.7. Segurança da Rede A rede de dados é frequentemente associada a problemas de segurança. Tal percepção está relacionada à diversidade de comportamentos, dispositivos e sistemas que compõem a rede, 5.8. Controle de tráfego e rede sem fio Outro aspecto importante da segurança da rede de dados está relacionada com a disponibilidade lógica da infra-estrutura. A rede pode ficar indisponível, ou ter seu desempenho reduzido por má configuração das interfaces, nos switches e roteadores, por exemplo, quando conexões TCP operam em half-duplex (a menor) por descasamento de velocidade nas portas (portas em auto-negociação), ou devido a loops de roteamento. Este tipo de problema é acidental, não provocado, e pode ser resolvido, desde que percebido, ajustando-se a configuração. Entretanto, o desempenho da rede pode ser também prejudicado pelo excesso de tráfego, que prejudica em particular algumas aplicações em detrimento de outras. Por exemplo, 28 aplicações VoIP (Voz sobre IP), embora não consumam muita banda individualmente, podem representar parcela significativa da banda IP disponível quando todo o tráfego de voz é considerado. Essas aplicações são sensíveis a atrasos e variações de atraso e, havendo tráfegos concorrentes, principalmente os de natureza orientada a conexão (TCP), terão seu desempenho prejudicado. O conhecimento do perfil de tráfego pode ajudar a dimensionar links de comunicação, contingenciar esses links em momentos críticos, prever e gerir sua expansão. 5.9. Firewall Definição: Firewall é uma solução de segurança baseada em hardware ou software (mais comum) que, a partir de um conjunto de regras ou instruções, analisa o tráfego de rede para determinar quais operações de transmissão ou recepção de dados podem ser executadas. "Parede de fogo", a tradução literal do nome, já deixa claro que o firewall se enquadra em uma espécie de barreira de defesa. A sua missão, por assim dizer, consiste basicamente em bloquear tráfego de dados indesejado e liberar acessos bem-vindos. Dentre as inúmeras opções deste recurso estou sugerindo a utilização de um UTM (Unified Threat Management) que é na tradução literal para o português "Central Unificada de Gerenciamento de Ameaças", é uma solução abrangente, criada para o setor de segurança de redes e vem ganhando notoriedade e se tornou a solução mais procurada na defesa das organizações. O UTM é teoricamente uma evolução do firewall tradicional, unindo a execução de várias funções de segurança em um único dispositivo: firewall, prevenção de intrusões de rede, antivírus, VPN, filtragem de conteúdo, balanceamento de carga e geração de relatórios informativos e gerenciais sobre a rede. 29 A sigla UTM teve origem no IDC, instituto de pesquisa de mercado, e esta linha de produto tem a vantagem de fundir em um único appliance (hardware + software) os serviços que antes eram feitos por vários softwares dentro do servidor ou então por alguns outros appliances. Esta unificação das funções permite o gerenciamento da segurança em um único painel, facilitando a prevenção, detecção e ação contra ameaças de variadas fontes. O UTM também garante que as soluções de segurança encontradas nele sejam compatíveis e complementares, diminuindo brechas ou falhas de segurança. Os fabricantes de UTM firewall são empresas de TI, especializadas ou não em segurança, que comercializam este produto no formato appliance, ou seja, hardware + software. 6. MODELAGEM DE SISTEMAS DE INFORMAÇÃO Modelagem de Sistemas é a atividade de construir modelos que expliquem as características ou o comportamento de um software ou de um sistema de software. Na construção do software os modelos podem ser usados na identificação das características e funcionalidades que o software deverá prover (análise de requisitos), e no planejamento de sua construção. 6.1. Abstração Abstração é o processo seletivo de determinados aspectos de um problema. O objetivo da abstração é isolar aspectos que sejam importantes para algum propósito e suprimir os que não forem. A abstração deve sempre visar um propósito para determinar o que é e o que não é importante. 6.2. A Modelagem Um modelo é uma simplificação da realidade. Os modelos podem realizar planos detalhados, assim como planos mais gerais com uma visão panorâmica do sistema. Um bom modelo inclui detalhes e componentes de grande importância e omite os componentes menores que não necessitam de representação em determinado nível de abstração. 30 Na modelagem, podemos delimitar o problema que estamos estudando, dividindo-o em vários problemas menores, restringindo a atenção a um único aspecto por vez até chegar à solução. Mesmo que não se utilize uma modelagem formal para desenvolver um software, sempre é feito algum tipo de modelo, mesmo que de maneira muito informal. Porém, esses modelos informais não oferecem uma linguagem que pode ser compreendida por outras pessoas facilmente. No setor de softwares comerciais, muitas vezes os programas são inadequados para a empresa e não atendem às necessidades dos usuários, devido à produtividade e facilidade oferecidas pelas linguagens de programação visual, e quanto mais complexo for osistema, maior será a probabilidade de ocorrência de erros, no caso de ter sido feito sem nenhum tipo de modelagem. Na construção de um sistema simples, inicialmente a modelagem pode não ser tão necessária, mas a tendência de um sistema funcional é que ele se torne mais complexo ao longo do tempo, precisando de atualização e aperfeiçoamento. Portanto, à medida que o sistema evoluir e não houver nenhuma documentação com a modelagem, o trabalho será muito maior e ainda com o risco de ter um sistema mal- sucedido. Qualquer projeto será beneficiado pelo uso de algum tipo de modelagem. Os modelos auxiliam a equipe a ter uma visão mais abrangente do funcionamento do sistema, e assim, desenvolvê-lo de forma mais rápida e correta. Frequentemente a modelagem de software usa algum tipo de notação gráfica e são apoiados pelo uso de Ferramentas CASE. A modelagem de software normalmente implica a construção de modelos gráficos que simbolizam os artefatos dos componentes de software utilizados e os seus inter-relacionamentos. Uma forma comum de modelagem de programas procedurais (não orientados a objeto) é através de fluxogramas, enquanto que a modelagem de programas orientados a objeto normalmente usam a linguagem gráfica UML. 31 6.3. UML A UML (Unified Modeling Linguagem ou Linguagem de Modelagem Unificada) é uma linguagem visual utilizada para modelar sistemas computacionais por meio do paradigma de orientação a objetos – OO. Essa linguagem tornou-se, nos últimos anos, a linguagem padrão de modelagem de software adotada internacionalmente pela indústria de desenvolvimento de software. Os Diagramas da UML estão divididos em Estruturais e Comportamentais. 6.3.1. Diagramas Estruturais o De Classe: Este diagrama é fundamental e o mais utilizado na UML e serve de apoio aos outros diagramas. O Diagrama de Classe mostra o conjunto de classes com seus atributos e métodos e os relacionamentos entre classes. o De Objeto: O diagrama de objeto esta relacionado com o diagrama de classes e, é praticamente um complemento dele. Fornece uma visão dos valores armazenados pelos objetos de um Diagrama de Classe em um determinado momento da execução do processo do software. o De Componentes: Está associado à linguagem de programação e tem por finalidade indicar os componentes do software e seus relacionamentos. o De implantação: Determina as necessidades de hardware e características físicas do Sistema. o De Pacotes: Representa os subsistemas englobados de forma a determinar partes que o compõem. o De Estrutura: Descreve a estrutura interna de um classificador. 6.3.2. A técnica de modelagem de objetos A técnica de modelagem de objetos é uma metodologia que combina três tipos de modelos para descrever um sistema: modelo de objetos, modelo dinâmico e modelo funcional. 6.3.3. Modelo de Objetos O modelo de objetos descreve a estrutura estática de um sistema, isto é, a estrutura de seus objetos e os relacionamentos existentes entre eles em um 32 determinado instante de tempo, os atributos e as operações que caracterizam cada classe de objetos. Este é o mais importante dos três modelos porque é o que melhor representa a realidade, sendo mais adaptável às modificações. Os modelos baseados em objetos apresentam uma intuitiva representação gráfica e são úteis para a comunicação com os clientes e para a documentação da estrutura do sistema. Exemplo de um modelo de objetos representado por um diagrama de classes: 6.3.4. Modelo dinâmico O modelo dinâmico descreve os aspectos de um sistema examinado as modificações ocorridas nos seus objetos e seus relacionamentos em relação ao tempo. 33 Os principais conceitos da modelagem dinâmica são os eventos, que representam os estímulos externos, e os estados, que representam o intervalo entre esses eventos e especificam o contexto em que são interpretados. A representação gráfica é feita pelos diagramas de estados. Cada um desses diagramas mostra seqüências de eventos, estados e operações que ocorrem no interior de um sistema para cada classe de objetos. Exemplo de um diagrama de estado: Componentes: 34 6.3.5. Modelo Funcional O modelo funcional abrange o que um sistema faz e mostra como os valores de saída de um processamento derivam do processo de entrada, independente da ordem em que os valores são processados. É representado graficamente por meio do diagrama de fluxo de dados (DFD), que mostra o relacionamento funcional entre dados em um sistema, incluindo-se valores de entrada e saída e depósitos internos de dados. Exemplo de um diagrama de fluxo de dados: 6.3.6. Diagramas Comportamentais De Caso de Uso (Use Case): Geral e informal para fases de levantamento e análise de requisitos do sistema. De Máquina de Estados: Procura acompanhar as mudanças sofridas por um objeto dentro de um processo. De Atividades: Descreve os passos a serem percorridos para a conclusão de uma atividade. De Interação: Dividem-se em: o De Sequência: Descreve a ordem temporal em que as mensagens são trocadas entre os objetos. 35 o Geral interação: Variação dos diagramas de atividades que fornece visão geral dentro do sistema ou processo do negócio. o De comunicação: Associado ao diagrama de Seqüência, complementando-o e concentrando-se em como os objetos estão vinculados. o De tempo: Descreve a mudança de estado ou condição de uma instância de uma classe ou seu papel durante o tempo. A simulação de projeto pode incluir uma ampla variedade de análises que testam o comportamento virtualmente de um produto sob várias condições ambientais e operacionais. Diferentemente de tentativa e erro, um processo de simulação inteligente permite a implementação direcionada de opções de projeto em vários estágios do ciclo de desenvolvimento. Isso reduz drasticamente a necessidade de testes recorrentes, demorados e de alto custo, e posteriormente reduz o tempo total de desenvolvimento. Um processo de simulação de projeto eficaz ajuda empresas a reduzirem custos de desenvolvimento e apresentarem resultados inovadores de forma mais rápida e eficiente. 6.4. Levantamento e análise de requisitos Umas das primeiras fases de análise de software consistem no levantamento de requisitos como (analise de requisito, projeto, que se constitui na principal etapa da modelagem, codificação, testes e implantação). Assim o analista de sistema busca compreender as necessidades do usuário e o que ele deseja que o sistema a ser desenvolvido realize. Isto é feito principalmente por meio de entrevista, onde o analista de sistema tenta compreender como funciona atualmente o processo a ser informatizado e quais serviços o cliente precisa que o software forneça. Devem ser realizadas tantas entrevistas quantas forem necessárias para que as necessidades do usuário sejam bem compreendidas. Durante as entrevistas o analista deve auxiliar o cliente a definir quais informações deverão ser produzidas, quais deverão ser fornecidas e qual o nível de desempenho exigido do software. Logo após o levantamento dos requisitos, passa-se a fase em que as necessidades apresentadas pelo cliente são analisadas, estas etapas são conhecidas com analise de requisito, onde o analista examina os requisitos enunciados pelos 36 usuários, verificando se estes foram especificados corretamente e se foram realmente bem compreendidos. A partir da etapa de análise de requisito, são determinadas as reais necessidades do sistema. Um dos principais problemas enfrentados na fase de levantamento de requisitos é o de comunicação.A comunicação constitui-se em um dos maiores desafios do analista de software, caracterizando-se pela dificuldade em conseguir compreender um conjunto de conceitos vagos, abstratos e difusos que representam as necessidades e desejo dos clientes e transformá-los em conceitos concretos e inteligíveis. A grande questão é: Como saber se as necessidades dos usuários foram realmente bem compreendidas? Um dos objetivos da análise de requisitos consiste em determinar se a necessidades dos usuários foram atendidas corretamente, verificando-se algum tópico deixou de ser abordado, determinando se algum item foi especificado incorretamente ou se algum conceito precisa ser melhorado. Durante á analise de requisitos, uma linguagem de modelagem auxilia a levantar questões que não foram concebidas durante as entrevistas iniciais. Estas questões devem ser sanadas o quanto antes, para que o projeto do software não tenha que sofrer modificações quando o seu desenvolvimento já estiver em andamento, o que causa grandes atrasos no desenvolvimento do software, sendo por vezes necessários remodelar totalmente o projeto. Os modelos são construídos para compreender melhor o sistema que está sendo desenvolvido. A escolha dos modelos tem profunda influência sobre como uma situação é resolvida, pois a modelagem tem que ser adequada para o sistema. Nenhum modelo único é suficiente. Um sistema pode ser analisado sob diferentes perspectivas. 37 7. CONCLUSÃO Concluindo, o planejamento de Tecnologia da Informação é um guia dinâmico para o planejamento estratégico, tático e operacional das informações organizacionais, da TI e seus recursos (hardware, software, sistemas de telecomunicações e gestão de dados e informações), dos SI, das pessoas envolvidas e a infra-estrutura necessária para o atendimento das decisões e ações da organização. As organizações não podem adiar a necessidade de compreender e aprender a aproveitar os benefícios da TI. Para ser relevante nas organizações, o Planejamento de TI deve: alinhar os SI e a TI com as metas dos negócios empresariais; explorar a TI para vantagem competitiva; direcionar os seus recursos para uma gestão efetiva; desenvolver arquiteturas e políticas de tecnologia; e gerar um ambiente informacional que favorece a geração de estratégias organizacionais. Utilizar a TI sem planejamento é um risco que a organização não deve correr, pois o uso crescente da TI, ao mesmo tempo em que potencializa a capacidade das organizações em obter, manter ou combater vantagens competitivas, também eleva os riscos de gestão inerentes a qualquer tipo de decisão e ação. Contudo o planejamento estratégico está diretamente relacionado a necessidade de investimentos em segurança da informação. Segurança da informação compreende um conjunto de medidas que visam proteger e preservar informações e sistemas de informações, assegurando-lhes integridade, legalidade, disponibilidade, autenticidade e confidencialidade. Esses elementos constituem os cinco pilares da segurança da informação e, portanto, são essenciais para assegurar a integridade e confiabilidade em sistemas de informações. Nesse sentido, esses pilares, juntamente com mecanismos de proteção têm por objetivo prover suporte a restauração de sistemas informações, adicionando-lhes capacidades detecção, reação e proteção. Por fim, pode-se concluir que o trabalho proporcionou um aprendizado distinto e o resultado obtido com o estudo serviu para aumentar o conhecimento e desenvolvimento profissional e intelectual. 38 8. REFERÊNCIAS BIBLIOGRÁFICAS 1. Manual do PIM VI. Disponível em: http://ead.unipinterativa.edu.br/bbcswebdav/pid-1329688-dt-content-rid- 25430238_1/courses/3018- 50_TI_2015_M01/ManualPIM_VI_GTI_15022016%20%28PH%29%20%28R F%29.pdf 2. Conteúdo Acadêmico: Ambiente Virtual de Aprendizagem MÓDULOS: Planejamento Estratégico de TI, Segurança da Informação e Modelagem de Sistemas de Informação. Disponível em: http://ead.unipinterativa.edu.br/webapps/portal/frameset.jsp?tab_tab_gro up_id=_80_1 3. Fundamentos Teóricos. Disponível em: https://pt.wikipedia.org/wiki/Wikip%C3%A9dia:P%C3%A1gina_principal 4. PAIVA, Edio Cardoso – Professor do Centro Federal de Educação Tecnológica de Goiás - Curso de Redes de Comunicação. Disponível em: www.google.com.br 5. NETO, H. M. F. Artigo Plano Estratégico de Tecnologia de Informação – PETI. Disponível dia URL: www.designvirtual.com/?ids=Mc9j24v9m&cod_artigo=9 acesso em 06/10/2006 6. O´BRIEN, J. A. Sistemas de informação e as decisões gerenciais na era da Internet. 2ª ed. São Paulo: Saraiva, 2004. 7. REZENDE, Denis Alcides. Planejamento de Sistemas de Informação e Informática, São Paulo: Atlas, 2003. 8. REZENDE, Denis Alcides. Tecnologia da Informação Integrada à Inteligência Empresarial. São Paulo: Atlas, 2002. 9. RUMBAUGH, James; BLAHA, Michael; PREMERLANI, William; EDDY, Frederick; LORENSEN, William. Modelagem e Projetos Baseados em Objetos. Rio de Janeiro: Campus, 1994. 10. http://www.governancadeti.com/2010/08/uma-visao-geral-do-cobit/ 11. Guia de normalização para apresentação de trabalhos acadêmicos. Disponível em: http:/www2.unip.br/servicos/biblioteca/download/manual_de_normalizac ao.pdf
Compartilhar