PROJETO INTEGRADO MULTIDISCIPLINAR 6 GTI PIMVI

Prévia do material em texto

UNIP INTERATIVA 
Projeto Integrado Multidisciplinar 
Cursos Superiores de Tecnologia 
 
 
 
 
Projeto Integrado Multidisciplinar 
 
 
 
 
 
 
 
 
 
UNIP INTERATIVA 
Senador Canedo – GO 
2016 
UNIP INTERATIVA 
 
 
Projeto Integrado Multidisciplinar 
Cursos Superiores de Tecnologia 
 
 
 
 
Leonardo Freitas Neiva 
Ra: 1541335 
Gestão da Tecnologia da Informação 
Segundo Semestre 
 
 
 
 
UNIP 
Senador Canedo - GO 
2016 
 
 
 
RESUMO 
Projeto Integrado Multidisciplinar VI – PIM VI. Unip, 2016. 
Este projeto objetiva desenvolver um plano estratégico de Tecnologia da 
Informação, que por sua vez deve assegurar que as metas e objetivos da TI estejam 
fortemente vinculados às metas e objetivos da empresa. 
 Acredita-se que unindo os conhecimentos em Planejamento estratégico de 
TI, Segurança da Informação e Modelagem de Sistemas, é possível proporcionar o 
crescimento e gerenciamento eficaz da empresa estudada, além de proporcionar 
competitividade à organização. Isto significa saber empregar as habilidades e 
capacidades dos indivíduos vinculados aos recursos da Tecnologia da Informação. 
A Tecnologia da Informação (TI) pode ser definida como o conjunto de todas 
as atividades e soluções providas por recursos computacionais que visam permitir a 
obtenção, o armazenamento, o acesso, o gerenciamento e o uso das informações. A 
informação é tão importante que pode inclusive determinar a sobrevivência ou a 
descontinuidade das atividades de um negócio, e é preciso estar ciente de que é um 
recurso fundamental dentro de uma organização. 
As Políticas de Segurança da Informação, considerando a informação um 
patrimônio, um bem que agrega valor e dá sentido às atividades que a utilizam, sendo 
assim, é necessário fazer uso de recursos de TI de maneira apropriada, ou seja, é 
preciso utilizar ferramentas, sistemas ou outros meios que façam das informações um 
diferencial. Além disso, é importante buscar soluções que tragam resultados 
realmente relevantes, isto é, que permitam transformar as informações em algo com 
valor maior, sem deixar de considerar o aspecto do menor custo possível. 
 
 
 
Palavras Chave: Tecnologia da Informação, Planejamento estratégico de TI, 
Segurança da Informação e Modelagem de Sistemas 
 
 
ABSTRACT 
Multidisciplinary Integrated Project VI - PIM VI. UNIP, 2015. 
This project aims to develop a strategic plan for information technology, which 
in turn should ensure that the goals and IT goals are strongly linked to the goals and 
objectives of the company. 
 It is believed that combining the knowledge in Strategic IT Planning, Information 
Security and Systems Modeling, can provide growth and effective management of the 
company studied. In addition to providing competitiveness to the organization, this 
means know how to use the skills and capabilities of individuals linked to the resources 
of the Information Technology. 
The Information Technology (IT) can be defined as the set of all activities and 
solutions provided by computing resources that are designed to enable the collection, 
storage, access, management and use of information. The information is so important 
that it can even determine the survival or discontinuance of the activities of a business, 
and you need to be aware that it is a key resource within an organization. 
The Information Security Policy, considering the information an asset, an asset 
that adds value and gives meaning to activities that use it, so it is necessary to make 
use of IT resources properly, ie, we need to use tools, systems or other means to make 
the information a differential. Moreover, it is important to seek solutions that bring truly 
relevant results, ie enabling transform information into something with greater value 
while considering the appearance of the lowest possible cost. 
 
 
 
 
 
Keywords: Information Technology, Strategic IT Planning, Information Security and Systems 
Modeling 
 
 
SUMÁRIO 
 
1. INTRODUÇÃO.................................................................................................05 
2. APRESENTAÇÃO DO CASO..........................................................................06 
3. PROPOSTA DE SOLUÇÃO.............................................................................08 
4. PLANEJAMENTO ESTRATÉGICO DE TI........................................................09 
4.1. Governança de TI......................................................................................12 
4.2. O Cobit e a Governança de TI....................................................................13 
4.3. Domínios de Processos do Cobit...............................................................14 
5. SEGURANÇA DA INFORMAÇÃO...................................................................17 
5.1. Missão.......................................................................................................19 
5.2. Objetivos e Metas......................................................................................19 
5.3. Escopo e Metodologia...............................................................................19 
5.4. O Ciclo de vida do projeto........................................................................22 
 5.4.1. Primeira Fase: Iniciação: ............................................................22 
 5.4.2. Segunda Fase: Planejamento: ....................................................23 
 5.4.3. Terceira Fase: Execução: ...........................................................23 
 5.4.4. Quarta Fase: Controle: ................................................................23 
 5.4.5. Quinta Fase: Encerramento: .......................................................24 
5.5. Política de Segurança da Informação.......................................................24 
5.6. Mecanismos de Segurança.......................................................................26 
5.7. Segurança de Rede...................................................................................27 
5.8. Controle de tráfego e rede sem fio.............................................................27 
5.9. Firewall......................................................................................................28 
6. MODELAGEM DE SISTEMAS DE INFORMAÇÃO..........................................29 
6.1. Abstração..................................................................................................29 
6.2. A Modelagem............................................................................................29 
6.3. UML...........................................................................................................31 
 6.3.1. Diagramas Estruturais.................................................................31 
 6.3.2. A Técnica de Modelagem de Objetos..........................................31 
 6.3.3. Modelo de Objetos.......................................................................31 
 6.3.4. Modelo Dinâmico.........................................................................32 
 6.3.5. Modelo Funcional........................................................................34 
 6.3.6 Diagramas Comportamentais.......................................................34 
6.4. Levantamento e análise de requisitos........................................................35 
7. CONCLUSÃO..................................................................................................37 
8. REFERÊNCIAS BIBLIOGRÁFICAS.................................................................38
5 
 
1. INTRODUÇÃO 
Diante de um ambiente de mudançasconstantes e de maneira acelerada, 
num mercado altamente competitivo, a consultoria é essencial à Tecnologia de 
Informação, assumindo o papel de fator determinante a sobrevivência da empresa, 
atuando como ferramenta importantíssima junto ao processo gerencial. 
A busca de vantagens competitivas tem levado as empresas a buscarem 
novas tecnologias de informação destinada ao gerenciamento dos seus negócios. O 
Acesso a essas tecnologias associadas aos avanços na área de comunicação e 
sistemas, permitem as empresas adotarem soluções integradas que influenciam 
diretamente nos resultados da empresa e dão suporte a tomadas de decisões 
fundamentais para o desenvolvimento da mesma. 
Considerando o caso fictício estabelecido, este projeto tem objetivo de 
apresentar um Plano Estratégico Empresarial, um Plano Estratégico de TI, a 
modelagem de um Sistema de Informação e a Política de Segurança da Informação. 
 Para o desenvolvimento do projeto serão aplicados os conhecimentos 
adquiridos nas disciplinas de Planejamento Estratégico de TI, Segurança da 
Informação e Modelagem de Sistemas de Informação. 
 
 
 
 
 
 
 
 
 
6 
 
2. APRESENTAÇÃO DO CASO 
A empresa Pão Quentinho, fundada em 1970, surgiu de um 
empreendedorismo familiar, mantendo seu capital fechado até a atualidade. Iniciou 
suas atividades especializando-se em padaria e confeitaria. Para atender a demanda 
e as novas necessidades dos clientes, a Pão Quentinho, expandiu seus negócios em 
localidades próximas, com ampliação de espaço físico e aumento na diversidade de 
produtos e serviços. 
O público alvo é caracterizado pelas classes sociais A, B e C, com faixa etária 
acima de 30 anos, de ambos os sexos. 
Ela é considerada uma padaria de serviço e também como padaria de 
conveniência. A Pão Quentinho é considerada de serviço e de conveniência por ter a 
grande parte de suas unidades situadas em locais de grande circulação e de maior 
concentração de lojas comerciais ou escritórios, além de também estar próxima a 
condomínios residenciais. Por isso ela oferece serviços adequados para essas 
localidades como restaurante, lanchonete e fast-food, além dos produtos e serviços 
de padaria e confeitaria. 
Cada uma das unidades da Pão Quentinho possui aproximadamente 40 
colaboradores operacionais. Esse total está distribuído em 03 equipes por turno (3 
turnos de 8h, divididos em matutino, vespertino e noturno) e 1 equipe de folguistas. A 
equipe com maior número de funcionário é do turno vespertino, pois a demanda do 
horário do almoço e final da tarde é maior. 
Cada equipe é composta por profissionais que exercem a função de 
cozinheiro, balconista, caixa, garçom e serviços gerais (limpeza). 
A sua matriz está situada no Bairro de Perdizes, próximo a um grande e 
moderno estádio de futebol. As suas filiais estão espalhadas pelos bairros nobre das 
cidades que compõe a Grande São Paulo. A Tabela abaixo mostra os locais onde 
estão situadas as Filiais e o Público-Alvo. 
UNIDADE CIDADE PÚBLICO-ALVO 
Bela Vista Osasco Classes A, B e C 
Interlagos São Paulo Classes A, B e C 
7 
 
Lapa São Paulo Classes A, B e C 
Tatuapé São Paulo Classes A, B e C 
Granja Viana Cotia Classes A e B 
Alphaville Barueri Classes A e B 
Morumbi São Paulo Classes A e B 
Nova Petrópolis São Bernardo do Campo Classes A e B 
Moema São Paulo Classes A e B 
Vila São Francisco São Paulo Classes A e B 
 
Antes do final do ano de 2015, os donos da Pão Quentinho perceberam, ao 
fazer a análise da situação do negócio, que o seu Market Share (Fatia de Mercado) 
vinha caindo consideravelmente, prejudicando a perenidade do negócio. 
Esta análise do negócio foi muito importante e serviu para detectar muitas 
situações, além de esclarecê-las e apontar um novo caminho para a padaria. Os 
principais pontos desta avaliação foram: 
 Diminuição do número de clientes que faziam as suas refeições 
diariamente na padaria; 
 Ausência de um sistema de informação que automatizasse os 
processos de negócio; 
 Excessivo turnover de funcionários; 
 Grandes desperdícios de matéria-prima, insumos e produtos 
acabados; 
 Queda da qualidade dos produtos oferecidos pelos fornecedores; 
 Crescimento de novos entrantes nas regiões nobres; 
 Falta de infraestrutura básica para receber famílias com bebês; 
 Falta de acessibilidade para pessoas portadoras de deficiências físicas; 
 Produtos oferecidos aos clientes com altíssima qualidade; 
 Falta de valorização de questões relacionadas à sustentabilidade; 
 Ausência de uma pesquisa de satisfação preenchida pelos clientes; 
 Grave crise econômica que tem afetado a saúde financeira da 
empresa; 
A partir de tudo o que foi discutido nesta análise, um dos sócios sugeriu que 
a Empresa implementa-se uma Processo de Planejamento Estratégico, a fim de 
8 
 
discutir melhor os rumos da Corporação, “atacar” os seus principais e latentes 
problemas, além de preparar um Plano de Crescimento para o futuro. 
Foi, então, quando os sócios da Empresa resolveram contratar uma 
consultoria especializada em Gestão Estratégica para implementar um processo de 
criação de um Plano Estratégico Corporativo. 
Um outro sócio reforçou esta necessidade, concordando com a proposta de 
contratação da consultoria, mas complementando a necessidade também de fazer um 
Plano Estratégico de TI, haja vista quaisquer negócios correr sérios riscos de não 
subsistir, caso ignore o uso de ferramentas tecnológicas. 
3. PROPOSTA DE SOLUÇÃO 
Considerando que por maiores que sejam os esforços na busca de novos 
clientes, assim como a fidelização dos mesmos diante de um mercado competitivo, é 
um desafio para quem vende alimentos e torna-se ainda mais difícil cumprir essa meta 
no período de alta dos preços e redução do ritmo da economia. O planejamento 
estratégico proposto neste projeto irá considerar que as ações trarão melhores 
resultados se o produto ou serviço oferecido tiver algum diferencial em relação à 
concorrência. Por exemplo se o diferencial for só o preço, alguém poderá fazer mais 
barato amanhã e consequentemente acabará perdendo espaço. É preciso ter foco 
permanente em se diferenciar. 
O primeiro passo para a captação de clientes é analisar o perfil do seu público 
alvo, entender o comportamento do consumidor e que tipo de produtos e serviços ele 
está buscando. 
A utilização de um software de gestão para ter indicadores que mostrem os 
resultados das medidas é fundamental considerando que sem um sistema 
automatizado, corre-se sério risco de desenvolver esforços equivocados, perder 
contatos e oportunidades. 
Um sistema comercial integrado irá permitir através de uma única solução de 
software o controle de vendas, faturamento, estoque, distribuição, cadastro de clientes 
e fornecedores, além de emissão de notas fiscais eletrônicas e cupons fiscais. 
9 
 
Outro ponto relevante considerando na análise da empresa estudada é o 
excessivo turnover de funcionários. O termo turnover é a medição da rotatividade de 
pessoal, que mede o giro de entradas e saídas de colaboradores. Se o índice de saída 
for muito alto, isto se torna muito desgastante, pois a cada saída de funcionário, 
normalmente, segue de uma nova admissão, e este giro cria um custo alto de mão de 
obra. 
O índice de rotatividade, ou turnover, de colaboradores nas empresas 
depende basicamente da forma na qual administram e motivam seus colaboradores. 
Não existe um índice de rotatividade adequado, Para reduzir este índice, deve-se, em 
primeiro lugar, pesquisar as principais causas, diagnosticar cada uma e finalmente 
atribuir uma solução. É relevante acompanhar as necessidades do funcionário não 
apenas financeiras maistambém o nível de satisfação e o ambiente de trabalho que 
é proporcionado para os mesmos. 
A Consequência da satisfação do colaborador e um ambiente de trabalho 
favorável terá como resultado a qualificação no atendimento e a resposta dos clientes 
será satisfatória. É importante também investir na capacitação dos profissionais para 
evitar desperdícios de matéria-prima, insumos e produtos acabados e acompanhar a 
qualidade dos produtos oferecidos pelos fornecedores e buscar parcerias que 
garantam qualidade, quantidade, prazo de entrega e preço. 
4. PLANEJAMENTO ESTRATÉGICO DE TI 
As organizações para serem inteligentes precisam disponibilizar produtos de 
qualidade, praticar bom atendimento, adequar sua política de venda e preços aos 
clientes, cumprir prazos predefinidos e estar atenta às mutações do mercado. Essas 
exigências forçam as organizações reverem seus valores comerciais, humanos e 
tecnológicos, o que por si só, não garantem as principais metas organizacionais e a 
inteligência empresarial. 
Esses valores merecem atenção especial com análise estratégica e 
planejamento efetivo, envolvendo toda a organização, principalmente no que tange a 
adoção da TI e respectivos recursos com o objetivo de alcançar estas metas 
organizacionais. Nesse sentido, dois fatores são vitais para as organizações no atual 
10 
 
momento de competitividade e globalização: a definição de uma estratégia de 
posicionamento no mercado e a utilização da TI como valioso recurso para a definição 
e manutenção desse posicionamento estratégico. Juntamente com a TI, o capital 
intelectual e a gestão do conhecimento também aparecem como outros valiosos 
recursos estratégicos. 
A necessidade que as organizações sejam inteligentes, frente às mudanças 
constantes da sociedade da informação, faz com que as mesmas também se 
modifiquem e requeiram planejamento das suas informações auxiliadas pelos 
recursos da TI. 
A partir da análise da situação do negócio do caso estudado, iniciamos uma 
discussão necessária para o início de todo planejamento estratégico, que deve passar 
por algumas definições simples: 
• Quem somos? Qual a nossa missão? Qual a relevância do nosso 
negócio para o mercado? Afinal, aonde queremos chegar? 
• Quais os atores envolvidos nesse planejamento? Quem deve ter 
participação importante nas análises que traçarão os caminhos da empresa; 
• Definidos os papeis de cada um, é o momento de ter em mãos o máximo 
de informações que lhe darão uma visão mais completa do mercado. Saiba de tudo 
que se refere à análise de mercado, crescimento e desenvolvimento de funcionários, 
concorrentes, áreas e mercados para explorar; 
• Esteja informado sobre os insumos (internos e externos) para realização 
de seu negócio. O entendimento de mercado é tão bom quanto à compreensão do 
que ocorre dentro da sua própria empresa. 
Após a análise da situação e compreensão das definições necessárias para 
colocar em prática sua estratégia a primeira coisa que devemos levar em 
consideração na parte da execução é analisar como fazemos o que fazemos. Ou seja, 
qual é a forma como conduzimos o processo de pessoas/equipe, a estratégia e nossos 
planos operacionais. Quanto mais organizada e bem feita for essa execução, mais 
poderemos medir o nível de maturidade de uma empresa. 
11 
 
Pensando nisso, é mais do que recomendável que uma companhia tenha 
elaborada consigo um plano de metas para a implantação da governança de 
tecnologia da informação, através da aplicação de métodos para atender as 
necessidades de médio e longo prazo da organização, continuamente. 
O primeiro passo deve ser o de alinhar a área de TI com os negócios. Atitude, 
essa, destinada ao entendimento do contexto organizacional e à definição de objetivos 
de negócio e de TI, conforme orientação hand-on determinada pelo COBIT, para 
definição de objetivos. Se aplicado corretamente, esse método auxiliará no 
conhecimento do contexto organizacional da empresa, na identificação de objetivos 
de TI alinhados aos objetivos de negócios, e o levará ao próximo passo. 
No segundo método para um bom planejamento estratégico, será avaliado o 
desempenho e a capacidade atual da área de TI na organização. Faz parte desse 
segundo método, identificar e avaliar a maturidade dos processos considerados 
críticos na área de TI, se baseando pelas metas estabelecidas pelos negócios, pela 
própria TI e pela análise FOFA (ou SWOT, do inglês), ferramenta utilizada para fazer 
análise do cenário de uma empresa. Também é interessante fazer a análise da matriz 
de arranjo da governança em prática na corporação. Como resultado, você terá em 
mãos o conjunto de processos críticos a gerenciar para alcançar os objetivos da área, 
a situação atual desses processos e a análise SWOT aplicada a eles. 
Feito isso, você se direcionará à definição de indicadores para medir o alcance 
aos objetivos e a eficiência dos processos críticos. Deve se focar, também, na 
definição de ações estratégicas que devem cobrir a eliminação ou atenuação dos gaps 
identificados na segunda etapa, podendo ser destinados ao cumprimento dos 
objetivos da primeira etapa, em último caso. 
Como consequência, você irá obter o Balance ScoreCard (BSC) de TI, nesta 
que é a terceira etapa. 
Para desenvolver um planejamento tático em tecnologia da informação, é 
preciso formular os planos de ação para que ambas as estratégias de TI e de negócios 
sejam alcançadas. 
12 
 
Assim sendo, é recomendável estabelecer projetos voltados para a aquisição 
de recursos de TI, para a terceirização desses recursos e para a capacitação de 
recursos humanos. A prioridade para aplicação dessas táticas será definida de acordo 
com a estrutura de governança presente na companhia. 
O último passo desse processo consiste em avaliar e divulgar os resultados 
desse planejamento, para toda a empresa. Dessa maneira, além de garantir que 
processo foi adequado à estrutura de governança, você também irá obter o 
comprometimento do corpo de colaboradores, nas atividades de implantação, 
aquisição, capacitação e terceirização, além de garantia de continuação desses 
processos. 
Também é muito importante que a empresa aprenda com experiências 
anteriores e analise o andamento desses processos, para que não cometa erros 
iguais, aprimorando sua governança de TI. 
4.1. Governança de TI 
Governança de TI, está relacionada ao desenvolvimento de um conjunto 
estruturado de competências e habilidades estratégicas para profissionais de TI 
responsáveis pelo planejamento, implantação, controle e monitoramento de 
programas e projetos de governança, requisito fundamental para as organizações, 
seja sob os aspectos operacionais, seja sob suas implicações legais. 
Governança de TI é uma parte integral da Governança Corporativa e é 
formada pela liderança, estruturas organizacionais e processos que garantem que a 
TI sustenta e melhora a estratégia e objetivos da organização”. 
A Governança de TI se divide nas seguintes áreas: 
 Alinhamento Estratégico: a Governança de TI garante que tanto 
os processos de negócio como os de tecnologia da informação trabalhem 
conjuntamente. 
 Entrega de Valor: benefício importante da Governança de TI, 
assegurando que o setor de tecnologia da informação seja o mais eficiente e 
eficaz possível. 
13 
 
 Gerenciamento de Riscos: a Governança de TI permite que a 
empresa visualize de forma abrangente eventuais riscos para o negócio e dá 
meios de minimizá-los. 
 Gerenciamento de Recursos: neste caso, o papel da 
Governança de TI é garantir que a gestão dos recursos humanos e 
tecnológicos da empresa seja o mais otimizada possível. 
 Mensuração de Desempenho: utilizando-sede indicadores que 
vão muito além dos critérios financeiros, a Governança de TI assegura uma 
medição e avaliação precisa dos resultados do negócio. 
 
Para execução de um planejamento estratégico de TI existem diversas 
metodologias e como exemplos de metodologias disponíveis e largamente aceitas no 
mercado, podemos citar: o COBIT para gestão da TI inovando através da Governança 
Tecnológica e o ITIL que padroniza uma série de processos operacionais e de gestão 
também ligados a TI. O objetivo é criar uma sistemática padronizada suportada por 
processos, possivelmente automatizados, que seja entendida e que esteja ao alcance 
de todos numa organização, que possa ser replicada e, sobretudo, permita evolução. 
4.2. O COBIT e a Governança de TI 
O COBIT [ISACA 2000d] – Control Objectives for Information and Related 
Technology – tem por missão explícita pesquisar, desenvolver, publicar e 
promover um conjunto atualizado de padrões internacionais de boas práticas 
14 
 
referentes ao uso corporativo da TI para os gerentes e auditores de tecnologia. 
A metodologia COBIT foi criada pelo ISACA – Information Systems Audit and 
Control Association – através do IT Governance Institute ,organização 
independente que desenvolveu a metodologia considerada a base da governança 
tecnológica. O COBIT funciona como uma entidade de padronização e 
estabelece métodos documentados para nortear a área de tecnologia das 
empresas, incluindo qualidade de software, níveis de maturidade e segurança da 
informação. Os documentos do COBIT definem Governança Tecnológica como 
sendo “uma estrutura de relacionamentos entre processos para direcionar e 
controlar uma empresa de modo a atingir objetivos corporativos, através da 
agregação de valor e risco controlado pelo uso da tecnologia da informação e de seus 
processos”. 
A Governança Tecnológica considera a área de TI não apenas como um 
suporte à organização, mas um ponto fundamental para que seja mantida a 
gestão administrativa e estratégica da organização. O objetivo central é manter 
processos e práticas relacionados à infra-estrutura de sistemas, redes e dispositivos 
utilizados pela empresa. A análise destes processos deve orientar a organização na 
decisão de novos projetos e como utilizar tecnologia da informação neles, 
considerando também a evolução tecnológica, sistemas já existentes, 
integração com fornecedores, atendimento ao cliente (externo e interno), custo da 
tecnologia e retorno esperado. A necessidade de integração de sistemas e a 
evolução tecnológica são fundamentadas nos processos da metodologia, criando-
se métricas para auditoria e medição da evolução das atividades destes 
processos. 
4.3. Domínios de Processos do COBIT 
O COBIT está organizado em quatro domínios para refletir um modelo para 
os processos de TI. Os domínios podem ser caracterizados pelos seus processos e 
pelas atividades executadas em cada fase de implantação da Governança 
Tecnológica. Os domínios do COBIT são: 
 Planejamento e Organização: define as questões estratégicas ligadas ao uso 
da TI em uma organização, trata de vários processos, entre eles, a definição 
15 
 
da estratégia de TI, arquitetura da informação, direcionamento tecnológico, 
investimento, riscos, gerência de projetos e da qualidade. 
 Aquisição e Implementação: define as questões de implementação da TI 
conforme as diretivas estratégicas e de projeto pré-definidos no Plano 
Estratégico de Informática da empresa, também conhecido como PDI (Plano 
Diretor de Informática). Possui uma série de processos como, por exemplo, 
identificação de soluções automatizadas a serem aplicadas ou reutilizadas na 
corporação, aquisição e manutenção de sistemas e de infra-estrutura, 
desenvolvimento e mapeamento de procedimentos nos sistemas, instalação e 
gerência de mudanças. 
 Entrega e Suporte: define as questões operacionais ligadas ao uso da 
TI para atendimento aos serviços para os clientes, manutenção e garantias 
ligadas a estes serviços. O momento destes domínios é após a ativação de um 
serviço e sua entrega ao cliente, que pode operar ou utilizar os serviços da 
empresa para operação terceirizada. Os processos relativos a este domínio 
tratam da definição dos níveis de serviço (SLA – Service Leve Agrément); 
gerência de fornecedores integrados às atividades; garantias de desempenho, 
continuidade e segurança de sistemas; treinamento de usuários; alocação de 
custos de serviços; gerência de configuração; gerência de dados, problemas e 
incidentes. 
 Monitoração: define as questões de auditoria e acompanhamento dos serviços 
de TI, sob o ponto de vista de validação da eficiência dos processos e evolução 
dos mesmos em termos de desempenho e automação. Os processos deste 
domínio tratam basicamente da supervisão das atividades dos outros 
processos; adequações realizadas na empresa para garantia de 
procedimentos operacionais; coleta e análise de dados operacionais e 
estratégicos para auditoria e para controle da organização. 
Além dos quatro domínios principais que guiam o bom uso da tecnologia da 
informação na organização, existe também a questão de auditoria que permite 
verificar, através de relatórios de avaliação, o nível de maturidade dos processos da 
organização. O método de auditoria segue o modelo do CMM que estabelece os 
seguintes níveis: 
16 
 
 Inexistente: significa que o processo de gerenciamento não foi implantado. 
 Inicial: o processo é realizado sem organização, de modo não planejado. 
 Repetível: o processo é repetido de modo intuitivo, isto é, depende mais das 
pessoas do que de um método estabelecido. 
 Definido: o processo é realizado, documentado e comunicado na organização. 
 Gerenciado: existem métricas de desempenho das atividades, o processo é 
monitorado e constantemente avaliado. 
 Otimizado: as melhores práticas de mercado e automação são utilizadas para 
a melhoria contínua dos processos. 
 O resultado do relatório identifica o grau de evolução dos processos na 
organização que é avaliada, de modo concreto, com base em relatórios confiáveis de 
auditoria e parâmetros de mercado. O sumário executivo do relatório traz as seguintes 
informações: se existe um método estabelecido para o processo, como o método é 
definido e estabelecido, quais os controles mínimos para a verificação do desempenho 
do método, como pode ser feita auditoria no método, quais as ferramentas utilizadas 
17 
 
no método e o que avaliar no método para sua melhoria. A partir de então, a 
organização define as metas, isto é, os objetivos de controle a serem atingidos. 
5. SEGURANÇA DA INFORMAÇÃO 
O Plano Estratégico em Segurança Computacional para o caso estudado tem 
por objetivo definir um plano de atividades que permita implementar e obter melhorias 
consistentes na percepção interna e externa sobre a segurança no uso dos recursos 
computacionais desta empresa. 
A Segurança da Informação se refere à proteção existente sobre as 
informações de uma determinada empresa ou pessoa, isto é, aplicam-se tanto as 
informações corporativas quanto as pessoais. Entende-se por informação todo e 
qualquer conteúdo ou dado que tenha valor para alguma organização ou pessoa. Ela 
pode estar guardada para o uso restrito ou exposta ao público para consulta ou 
aquisição. 
18 
 
A segurança de uma determinada informação pode ser afetada por fatores 
comportamentais e de uso de quem se utiliza dela, pelo ambiente ouinfra-estrutura 
que a cerca ou por pessoas mal intencionadas que têm o objetivo de furtar, destruir 
ou modificar tal informação. 
O nível de segurança desejado, pode se identificar em uma “política de 
segurança” que é seguida pela organização ou pessoa, para garantir que uma vez 
estabelecidos, aquele nível desejado seja perseguido e mantido. 
Entre os diversos aspectos analisados para o desenvolvimento da política de 
segurança da informação desta empresa nos baseamos nos seguintes princípios: 
 Confidencialidade: toda informação mantida em equipamentos sob 
responsabilidade da PADARIA PÃO QUENTINHO só pode ser acessada por 
pessoas formalmente identificadas e autorizadas. Comunicações de/para a 
PADARIA PÃO QUENTINHO envolvendo ou não pessoas e entidades externas 
à PADARIA PÃO QUENTINHO só podem ser conhecidas pelos pares 
autorizados, não podendo ser recuperada por terceiros durante seu trânsito, 
sem expressa autorização das partes. 
 Integridade: toda a informação trocada de/para a PADARIA PÃO 
QUENTINHO deve manter seu conteúdo inalterado desde o momento que 
deixa a origem até chegar ao seu destino, independente dos recursos utilizados 
na comunicação (ex: meio físico). 
 Legitimidade: a origem e o destino das mensagens deve pertencer a autores 
legitimamente identificados nos sistemas de origem e destino. 
 Disponibilidade: o acesso à informação deve ser possível para o conjunto da 
comunidade PADARIA PÃO QUENTINHO autorizada, a qualquer tempo e sem 
degradação no desempenho. 
 Legalidade: toda informação com origem ou destino em sistema provido pela 
PADARIA PÃO QUENTINHO, ou que trafega utilizando-se de infra-estrutura de 
comunicação da PADARIA PÃO QUENTINHO, estará sujeita a auditoria para 
identificação de seus autores, tempo e meios utilizados, durante um período 
definido em lei. 
 
19 
 
5.1. Missão 
Considerado o escopo de segurança que se deseja tratar, propõe-se como 
missão para o desenvolvimento deste projeto: 
“Sugerir estruturas, padrões, processos e recursos, para que a PADARIA PÃO 
QUENTINHO atinja níveis de segurança em TI, iguais ou superiores às instituições de 
mesma dimensão, estrutura e escopo de atuação”. 
5.2. Objetivos e Metas 
É objetivo deste projeto: 
• Definir um plano de ações para melhoria continuada em segurança 
computacional. 
Metas para consecução dos objetivos propostos: 
• Efetuar um diagnóstico da segurança na PADARIA PÃO QUENTINHO, 
levantando os pontos fracos e fortes, por área de segurança. 
• Prospectar oportunidades e investigar ameaças. 
• Definir o nível de segurança atual e o desejado, por área por área de 
atuação (comercial e administrativo). 
• Propor os elementos constituintes básicos de uma Política de Segurança 
referencial que ofereça respaldo nas ações e tomada de decisão relativas à 
segurança, para grupos responsáveis na PADARIA PÃO QUENTINHO. 
• Indicar estruturas e procedimentos para proteger o patrimônio PADARIA 
PÃO QUENTINHO dependente de recursos computacionais. 
• Recomendar formas para capacitar os profissionais de TI. 
5.3. Escopo e Metodologia 
Como conceito, a Segurança Computacional pode ser entendida sob a Norma 
NBR 17799 (NBR17799, 2007), que abrange os seguintes aspectos de segurança: 
20 
 
1. Política de segurança 
2. Organização da segurança 
3. Controle e classificação de ativos computacionais 
4. Gestão de pessoas e seus papéis em segurança computacional 
5. Segurança ambiental e física 
6. Gerenciamento físico e de comunicação 
7. Controle de acesso aos sistemas computacionais 
8. Manutenção e desenvolvimento de sistemas 
9. Gerenciamento da continuidade de negócios 
A ISO/IEC 17799 (NBR17799, 2007) foi atualizada para numeração ISO/IEC 
27002 em julho de 2007. É uma norma de Segurança da Informação revisada em 
2005 pela ISO e pela IEC. A versão original foi publicada em 2000, que por sua vez 
era uma cópia fiel do padrão britânico BS 7799-1:1999. 
No mundo atual, globalizado e interativo, temos a capacidade de disponibilizar 
e absorver uma quantidade considerável de informação, principalmente através dos 
meios de comunicação e da internet. Informação significa, de acordo com os 
dicionários vigentes, o ‘ato ou o efeito de informar, a transmissão de notícia e/ou 
conhecimentos, uma instrução’ (Dicionário WEB). Quando levamos em consideração 
as organizações, a informação toma uma dimensão extremamente importante, pois 
decisões importantes são tomadas com base na mesma. Assim, neste ambiente de 
empresas interligadas e extremamente competitivas, a informação se torna um fator 
essencial para a abertura e manutenção de negócios e como tal, precisa ser protegida. 
A segurança da informação é a forma encontrada pelas organizações para 
proteger os seus dados, através de regras e controles rígidos, estabelecidos, 
implementados e monitorados constantemente. É sabido que muitos sistemas de 
informação não foram projetados para protegerem as informações que geram ou 
recebem, e essa é uma realidade tanto do setor Público como Privado. A interligação 
21 
 
de redes públicas e privadas e o compartilhamento de recursos de informação 
dificultam o controle e a segurança do acesso, isso porque a computação distribuída 
acaba se tornando um empecilho à implementação eficaz de um controle de acesso 
centralizado. O sucesso da implementação de regras e controles rígidos de segurança 
da informação dependem de diversos fatores tais como: comprometimento de todos 
os níveis gerenciais; requisitos de segurança claros e objetivos; política de segurança 
que reflita o negócio da organização; processo eficaz de gestão dos incidentes da 
segurança da informação que possam acontecer, dentre outros. 
De acordo com a norma ABNT NBR ISO/IEC 17799:2005, o objetivo da 
política de segurança da informação é "Prover uma orientação e apoio da direção para 
a segurança da informação de acordo com os requisitos do negócio e com as leis e 
regulamentações relevantes. Convém que a direção estabeleça uma política clara, 
alinhada com os objetivos do negócio e demonstre apoio e comprometimento com a 
segurança da informação por meio da publicação e manutenção de uma política de 
segurança da informação para toda a organização". 
Se a orientação e o apoio aos objetivos da segurança da informação devem 
partir da direção da organização, fica claro que o profissional de TI é peça chave nesse 
contexto, já que uma das principais responsabilidades do mesmo é a gerência, 
manutenção e segurança das informações, dos servidores e dos equipamentos da 
rede. Este profissional deverá estar comprometido, apoiando ativamente todos os 
processos e diretrizes implementadas. Caso seja necessário, a direção da 
organização poderá direcionar e identificar as necessidades para a consultoria de um 
especialista interno ou externo em segurança da informação, analisando e 
coordenando os resultados desta consultoria por toda a organização. 
O padrão é um conjunto de recomendações para práticas na gestão de 
Segurança da Informação. Ideal para aqueles que querem criar, implementar e manter 
um sistema. 
A Norma ABNT NBR ISO/IEC-17799 foi elaborada no Comitê Brasileiro de 
Computadores e Processamento de Dados (ABNT/CB-21) pela Comissão de Estudo 
de Segurança Física em Instalações de Informática (CE-21:2-4.01) integra uma família 
de normas de sistema de gestão de segurança da informação SGSI que inclui normas 
22 
 
sobre requisitos de sistema de gestão da segurança da informação, gestão de riscos, 
métricas e medidas, e diretrizes para implementação. Esta família de normas adota 
um esquema de numeração usando a série de números 27000 em sequência. 
A Norma ABNT NBR ISO/IEC-17799estabelece as diretrizes e princípios 
gerais para iniciar, implementar, manter e melhorar a gestão de segurança da 
informação em uma organização. Também pode ser utilizada como um guia prático 
para desenvolver os procedimentos de segurança da informação da organização. 
Após definidas as diretrizes que devem nortear a implantação dos processos 
de segurança da informação do caso estudado, serão apresentadas propostas e 
soluções tecnológicas que devem somar ao planejamento estratégico desta 
organização. 
5.4. O ciclo de vida do projeto 
O ciclo de vida para se implantar um Projeto de Gestão de Segurança da 
Informação, como qualquer outro projeto, é composto por um conjunto de fases: 
iniciar, planejar, executar, controlar e encerrar. 
Cada uma destas fases é caracterizada por gerar um produto tangível e 
verificável. 
5.4.1. Primeira fase do ciclo de vida do projeto: Iniciação. 
Nesta etapa, é necessário determinar a especificação do produto, elaborar um 
plano estratégico, estabelecer critérios de seleção e levantar o histórico relativo a 
evoluções do negócio e vulnerabilidades técnicas e organizacionais. Para tal, é 
essencial um mapeamento da Segurança. Esta identificação das vulnerabilidades 
pode ser realizada utilizando-se como ferramenta o diagrama de causa e efeito. 
Assim, é possível definir um plano de ação corporativo alinhado com os 
objetivos da direção, obtendo-se o cenário de grau de segurança desejado a alcançar. 
A identificação das vulnerabilidades, ameaças e riscos, ajuda a priorizar ações de 
segurança, podendo ajudar na confecção do WBS, definição dos produtos, e subsidiar 
a implantação de controles eficazes posteriormente. 
23 
 
5.4.2. Segunda fase do ciclo de vida do projeto: Planejamento. 
Nesta fase serão definidos o escopo, as atividades a serem realizadas, a 
elaboração de cronograma, planejamento de custos, de qualidade e de aquisições e 
a formação de equipe. Nesta fase também será realizado o planejamento do 
gerenciamento do risco, constituído da identificação de riscos, análise qualitativa e 
quantitativa e planejamento de respostas a riscos das Vulnerabilidades de Segurança 
da Informação identificadas na Organização e os riscos do gerenciamento do projeto 
propriamente dito. Exemplos de ações desta fase: criação do comitê 
interdepartamental de segurança, início da capacitação em segurança de técnicos e 
executivos, criação da política de segurança, realização de ações corretivas imediatas 
a partir das vulnerabilidades identificadas e preparação da análise de risco. 
5.4.3. Terceira fase do ciclo de vida do projeto: Execução. 
Esta etapa tem como objetivo executar o plano de projeto e de qualidade, o 
desenvolvimento da equipe, as aquisições e administrar contratos. Para o projeto de 
implantação da Segurança, temos como exemplos a divulgação da política de 
segurança na Organização, capacitação de todos os funcionário envolvendo-os no 
projeto, além do esforço de alcançar o comprometimento de cada um. Também faz 
parte desta etapa implementar os mecanismos de controle em todos os ambientes de 
acordo com a política de segurança e planos executivos. 
5.4.4. Quarta fase do ciclo de vida do projeto: Controle. 
O avanço do projeto deve ser medido e monitorado. Nesta fase são 
executadas ações de coordenação de alterações do escopo e do próprio projeto, 
formalizações de aceites de produtos e controles de orçamento. São acompanhados 
e monitorados os riscos identificados, os resultados específicos do projeto e os 
requisitos de qualidade. Aqui é feita a administração da segurança, exercendo-se o 
monitoramento e medição dos controles implementados, além de se garantir a 
conformidade com normas, regras e legislações existentes. Os planos de contingência 
e recuperação de desastres são atualizados e mantidos. Também deve ser 
acompanhado o retorno dos investimentos (ROI). 
 
24 
 
5.4.5. Quinta fase do ciclo de vida do projeto: Encerramento. 
O encerramento do projeto acontece após seus objetivos terem sido atingidos. 
O encerramento requer documentação dos resultados a fim de formalizar a aceitação 
do produto. No nosso caso, medidas deverão ter sido estabelecidas e incorporadas 
aos processos de negócio da Organização. O encerramento do projeto requer a 
confirmação de que os produtos propostos foram atingidos. Isto poderá ser 
demonstrado a partir de medições e relatórios com os resultados alcançados e 
comparados com os propostos. Deverá ser preparado um arquivo do projeto, com toda 
documentação das fases anteriores. As lições aprendidas também deverão ser 
descritas. 
5.5. Política de Segurança da Informação 
Temos a definição do Escopo e Metodologia, e conhecemos o ciclo de vida 
para se implantar um Projeto de Gestão de Segurança da Informação, mais como já 
foi discutido e preciso identificar as principais ameaças de segurança de TI e saber 
como combatê-las. 
O bem mais importante que as empresas possuem, sem dúvida, são as 
informações gerenciais, sendo muito importantes para a tomada de decisões. É 
importante criar normas rígidas e principalmente treinar toda a equipe interna e 
externa. 
A maioria dos incidentes de segurança são ocasionados no ambiente interno, 
sendo que atualmente a grande parte dos recursos são investidos no ambiente 
externo (medidas de proteção, firewall, IDS, etc). A equipe interna pode ser um grande 
problema, se não for bem treinada. É preciso mostrar como é fundamental proteger 
as informações gerenciais, tanto para a empresa quanto para o profissional. É através 
de uma política de segurança bem elaborada que podemos minimizar problemas e 
conscientizar melhor essas pessoas. 
A Política de Segurança da Informação – PSI é um documento que registra 
os princípios e as diretrizes de segurança adotado pela organização, a serem 
observados por todos os seus integrantes e colaboradores e aplicados a todos os 
sistemas de informação e processos corporativos. 
25 
 
O que precisamos colocar numa política de segurança da informação? 
1º Precisamos fazer um planejamento, levantando o perfil da empresa. 
Analisar o que deve ser protegido, tanto interno como externamente. 
2º Aprovação da política de segurança pela diretoria. 
Garantir que a diretoria apoie a implantação da política. 
3º Análise interna e externa dos recursos a serem protegidos. 
Estudar o que deve ser protegido, verificando o atual programa de segurança 
da empresa, se houver, enumerando as deficiências e fatores de risco. 
4º Elaboração das normas e proibições, tanto física, lógica e humana. 
Nesta etapa devemos criar as normas relativas à utilização de programas, 
utilização da internet, uso de smartphones e tablets, acessos físicos e lógicos, 
bloqueios de sites, utilização do e-mail, utilização dos recursos tecnológicos, etc. 
5º Aprovação pelo Recursos Humanos 
As normas e procedimentos devem ser lidas e aprovadas pelo departamento 
de Recursos Humanos, no que tange a leis trabalhistas e manual interno dos 
funcionários da organização. 
6º Aplicação e Treinamento da Equipe 
Elaborar um treinamento prático com recursos didáticos, para apresentar a 
política de segurança da informação, recolhendo declaração de comprometimento dos 
funcionários. A política deve ficar sempre disponível para todos os colaboradores da 
organização. 
7º Avaliação Periódica 
A política de segurança da informação deve ser sempre revista, nunca pode 
ficar ultrapassada. 
 
26 
 
8º Feedback 
A organização deverá designar um colaborador específico para ficar 
monitorando a política, a fim de buscar informações ou incoerências, que venham a 
alterar o sistema, tais como vulnerabilidades, mudanças em processos gerenciaisou 
infra-estrutura. 
5.6. Mecanismos de segurança 
o Controles físicos: são barreiras que limitam o contato ou acesso direto a 
informação ou a infraestrutura (que garante a existência da informação) que a 
suporta. Existem mecanismos de segurança que apoiam os controles físicos: 
Portas / trancas / paredes / blindagem / guardas / etc .. 
o Controles lógicos: são barreiras que impedem ou limitam o acesso a 
informação, que está em ambiente controlado, geralmente eletrônico, e que, de 
outro modo, ficaria exposta a alteração não autorizada por elemento mal 
intencionado. Existem mecanismos de segurança que apóiam os controles 
lógicos: 
o Mecanismos de cifração ou encriptação: Permitem a 
transformação reversível da informação de forma a torná-la ininteligível 
a terceiros. Utiliza-se para tal, algoritmos determinados e uma chave 
secreta para, a partir de um conjunto de dados não criptografados, 
produzir uma sequência de dados criptografados. A operação inversa é 
a decifração. 
o Assinatura digital: Um conjunto de dados criptografados, 
associados a um documento do qual são função, garantindo a 
integridade e autenticidade do documento associado, mas não a sua 
confidencialidade. 
o Mecanismos de garantia da integridade da informação: 
Usando funções de "Hashing" ou de checagem, é garantida a 
integridade através de comparação do resultado do teste local com o 
divulgado pelo autor. 
o Mecanismos de controle de acesso: Palavras-chave, 
sistemas biométricos, firewalls, cartões inteligentes. 
27 
 
o Mecanismos de certificação: Atesta a validade de um 
documento. 
o Integridade: Medida em que um serviço/informação é 
genuíno, isto é, está protegido contra a personificação por intrusos. 
o Honeypot: É uma ferramenta que tem a função de 
propositalmente simular falhas de segurança de um sistema e colher 
informações sobre o invasor enganando-o, fazendo-o pensar que esteja 
de fato explorando uma vulnerabilidade daquele sistema. É uma espécie 
de armadilha para invasores. O HoneyPot não oferece nenhum tipo de 
proteção. 
o Protocolos seguros: Uso de protocolos que garantem um 
grau de segurança e usam alguns dos mecanismos citados. 
Existe hoje em dia um elevado número de ferramentas e sistemas que 
pretendem fornecer segurança. Alguns exemplos são os detectores de intrusões, os 
antivírus, firewalls, firewalls locais, filtros anti-spam, fuzzers, analisadores de código 
etc. 
5.7. Segurança da Rede 
A rede de dados é frequentemente associada a problemas de segurança. Tal 
percepção está relacionada à diversidade de comportamentos, dispositivos e sistemas 
que compõem a rede, 
5.8. Controle de tráfego e rede sem fio 
Outro aspecto importante da segurança da rede de dados está relacionada 
com a disponibilidade lógica da infra-estrutura. A rede pode ficar indisponível, ou ter 
seu desempenho reduzido por má configuração das interfaces, nos switches e 
roteadores, por exemplo, quando conexões TCP operam em half-duplex (a menor) 
por descasamento de velocidade nas portas (portas em auto-negociação), ou devido 
a loops de roteamento. Este tipo de problema é acidental, não provocado, e pode ser 
resolvido, desde que percebido, ajustando-se a configuração. Entretanto, o 
desempenho da rede pode ser também prejudicado pelo excesso de tráfego, que 
prejudica em particular algumas aplicações em detrimento de outras. Por exemplo, 
28 
 
aplicações VoIP (Voz sobre IP), embora não consumam muita banda individualmente, 
podem representar parcela significativa da banda IP disponível quando todo o tráfego 
de voz é considerado. Essas aplicações são sensíveis a atrasos e variações de atraso 
e, havendo tráfegos concorrentes, principalmente os de natureza orientada a conexão 
(TCP), terão seu desempenho prejudicado. O conhecimento do perfil de tráfego pode 
ajudar a dimensionar links de comunicação, contingenciar esses links em momentos 
críticos, prever e gerir sua expansão. 
5.9. Firewall 
 Definição: Firewall é uma solução de segurança baseada em hardware ou 
software (mais comum) que, a partir de um conjunto de regras ou instruções, analisa 
o tráfego de rede para determinar quais operações de transmissão ou recepção de 
dados podem ser executadas. "Parede de fogo", a tradução literal do nome, já deixa 
claro que o firewall se enquadra em uma espécie de barreira de defesa. A sua missão, 
por assim dizer, consiste basicamente em bloquear tráfego de dados indesejado e 
liberar acessos bem-vindos. 
Dentre as inúmeras opções deste recurso estou sugerindo a utilização de um 
UTM (Unified Threat Management) que é na tradução literal para o português "Central 
Unificada de Gerenciamento de Ameaças", é uma solução abrangente, criada para o 
setor de segurança de redes e vem ganhando notoriedade e se tornou a solução mais 
procurada na defesa das organizações. O UTM é teoricamente uma evolução do 
firewall tradicional, unindo a execução de várias funções de segurança em um único 
dispositivo: firewall, prevenção de intrusões de rede, antivírus, VPN, filtragem de 
conteúdo, balanceamento de carga e geração de relatórios informativos e gerenciais 
sobre a rede. 
29 
 
A sigla UTM teve origem no IDC, instituto de pesquisa de mercado, e esta 
linha de produto tem a vantagem de fundir em um único appliance (hardware + 
software) os serviços que antes eram feitos por vários softwares dentro do servidor ou 
então por alguns outros appliances. Esta unificação das funções permite o 
gerenciamento da segurança em um único painel, facilitando a prevenção, detecção 
e ação contra ameaças de variadas fontes. O UTM também garante que as soluções 
de segurança encontradas nele sejam compatíveis e complementares, diminuindo 
brechas ou falhas de segurança. Os fabricantes de UTM firewall são empresas de TI, 
especializadas ou não em segurança, que comercializam este produto no formato 
appliance, ou seja, hardware + software. 
6. MODELAGEM DE SISTEMAS DE INFORMAÇÃO 
Modelagem de Sistemas é a atividade de construir modelos que expliquem as 
características ou o comportamento de um software ou de um sistema de software. 
Na construção do software os modelos podem ser usados na identificação das 
características e funcionalidades que o software deverá prover (análise de requisitos), 
e no planejamento de sua construção. 
6.1. Abstração 
Abstração é o processo seletivo de determinados aspectos de um problema. 
O objetivo da abstração é isolar aspectos que sejam importantes para algum 
propósito e suprimir os que não forem. 
A abstração deve sempre visar um propósito para determinar o que é e o que 
não é importante. 
6.2. A Modelagem 
Um modelo é uma simplificação da realidade. Os modelos podem realizar 
planos detalhados, assim como planos mais gerais com uma visão panorâmica do 
sistema. Um bom modelo inclui detalhes e componentes de grande importância e 
omite os componentes menores que não necessitam de representação em 
determinado nível de abstração. 
30 
 
Na modelagem, podemos delimitar o problema que estamos estudando, 
dividindo-o em vários problemas menores, restringindo a atenção a um único aspecto 
por vez até chegar à solução. 
Mesmo que não se utilize uma modelagem formal para desenvolver um 
software, sempre é feito algum tipo de modelo, mesmo que de maneira muito informal. 
Porém, esses modelos informais não oferecem uma linguagem que pode ser 
compreendida por outras pessoas facilmente. 
No setor de softwares comerciais, muitas vezes os programas são 
inadequados para a empresa e não atendem às necessidades dos usuários, devido à 
produtividade e facilidade oferecidas pelas linguagens de programação visual, e 
quanto mais complexo for osistema, maior será a probabilidade de ocorrência de 
erros, no caso de ter sido feito sem nenhum tipo de modelagem. 
Na construção de um sistema simples, inicialmente a modelagem pode não 
ser tão necessária, mas a tendência de um sistema funcional é que ele se torne mais 
complexo ao longo do tempo, precisando de atualização e aperfeiçoamento. Portanto, 
à medida que o sistema evoluir e não houver nenhuma documentação com a 
modelagem, o trabalho será muito maior e ainda com o risco de ter um sistema mal-
sucedido. 
Qualquer projeto será beneficiado pelo uso de algum tipo de modelagem. Os 
modelos auxiliam a equipe a ter uma visão mais abrangente do funcionamento do 
sistema, e assim, desenvolvê-lo de forma mais rápida e correta. 
Frequentemente a modelagem de software usa algum tipo de notação gráfica 
e são apoiados pelo uso de Ferramentas CASE. 
A modelagem de software normalmente implica a construção de modelos 
gráficos que simbolizam os artefatos dos componentes de software utilizados e os 
seus inter-relacionamentos. Uma forma comum de modelagem de programas 
procedurais (não orientados a objeto) é através de fluxogramas, enquanto que a 
modelagem de programas orientados a objeto normalmente usam a linguagem gráfica 
UML. 
31 
 
6.3. UML 
A UML (Unified Modeling Linguagem ou Linguagem de Modelagem Unificada) 
é uma linguagem visual utilizada para modelar sistemas computacionais por meio do 
paradigma de orientação a objetos – OO. Essa linguagem tornou-se, nos últimos anos, 
a linguagem padrão de modelagem de software adotada internacionalmente pela 
indústria de desenvolvimento de software. 
Os Diagramas da UML estão divididos em Estruturais e Comportamentais. 
6.3.1. Diagramas Estruturais 
o De Classe: Este diagrama é fundamental e o mais utilizado na UML e serve de 
apoio aos outros diagramas. O Diagrama de Classe mostra o conjunto de 
classes com seus atributos e métodos e os relacionamentos entre classes. 
o De Objeto: O diagrama de objeto esta relacionado com o diagrama de classes 
e, é praticamente um complemento dele. Fornece uma visão dos valores 
armazenados pelos objetos de um Diagrama de Classe em um determinado 
momento da execução do processo do software. 
o De Componentes: Está associado à linguagem de programação e tem por 
finalidade indicar os componentes do software e seus relacionamentos. 
o De implantação: Determina as necessidades de hardware e características 
físicas do Sistema. 
o De Pacotes: Representa os subsistemas englobados de forma a determinar 
partes que o compõem. 
o De Estrutura: Descreve a estrutura interna de um classificador. 
 
6.3.2. A técnica de modelagem de objetos 
A técnica de modelagem de objetos é uma metodologia que combina três tipos 
de modelos para descrever um sistema: modelo de objetos, modelo dinâmico e 
modelo funcional. 
6.3.3. Modelo de Objetos 
O modelo de objetos descreve a estrutura estática de um sistema, isto é, a 
estrutura de seus objetos e os relacionamentos existentes entre eles em um 
32 
 
determinado instante de tempo, os atributos e as operações que caracterizam cada 
classe de objetos. 
Este é o mais importante dos três modelos porque é o que melhor representa 
a realidade, sendo mais adaptável às modificações. 
Os modelos baseados em objetos apresentam uma intuitiva representação 
gráfica e são úteis para a comunicação com os clientes e para a documentação da 
estrutura do sistema. 
Exemplo de um modelo de objetos representado por um diagrama de classes: 
 
 
6.3.4. Modelo dinâmico 
O modelo dinâmico descreve os aspectos de um sistema examinado as 
modificações ocorridas nos seus objetos e seus relacionamentos em relação ao 
tempo. 
33 
 
Os principais conceitos da modelagem dinâmica são os eventos, que 
representam os estímulos externos, e os estados, que representam o intervalo entre 
esses eventos e especificam o contexto em que são interpretados. 
A representação gráfica é feita pelos diagramas de estados. Cada um desses 
diagramas mostra seqüências de eventos, estados e operações que ocorrem no 
interior de um sistema para cada classe de objetos. 
Exemplo de um diagrama de estado: 
 
Componentes: 
 
34 
 
6.3.5. Modelo Funcional 
O modelo funcional abrange o que um sistema faz e mostra como os valores 
de saída de um processamento derivam do processo de entrada, independente da 
ordem em que os valores são processados. 
É representado graficamente por meio do diagrama de fluxo de dados (DFD), 
que mostra o relacionamento funcional entre dados em um sistema, incluindo-se 
valores de entrada e saída e depósitos internos de dados. 
Exemplo de um diagrama de fluxo de dados: 
 
6.3.6. Diagramas Comportamentais 
 De Caso de Uso (Use Case): Geral e informal para fases de levantamento e 
análise de requisitos do sistema. 
 De Máquina de Estados: Procura acompanhar as mudanças sofridas por um 
objeto dentro de um processo. 
 De Atividades: Descreve os passos a serem percorridos para a conclusão de 
uma atividade. 
 De Interação: Dividem-se em: 
o De Sequência: Descreve a ordem temporal em que as 
mensagens são trocadas entre os objetos. 
35 
 
o Geral interação: Variação dos diagramas de atividades 
que fornece visão geral dentro do sistema ou processo do negócio. 
o De comunicação: Associado ao diagrama de Seqüência, 
complementando-o e concentrando-se em como os objetos estão 
vinculados. 
o De tempo: Descreve a mudança de estado ou condição de 
uma instância de uma classe ou seu papel durante o tempo. 
A simulação de projeto pode incluir uma ampla variedade de análises que 
testam o comportamento virtualmente de um produto sob várias condições ambientais 
e operacionais. Diferentemente de tentativa e erro, um processo de simulação 
inteligente permite a implementação direcionada de opções de projeto em vários 
estágios do ciclo de desenvolvimento. Isso reduz drasticamente a necessidade de 
testes recorrentes, demorados e de alto custo, e posteriormente reduz o tempo total 
de desenvolvimento. Um processo de simulação de projeto eficaz ajuda empresas a 
reduzirem custos de desenvolvimento e apresentarem resultados inovadores de forma 
mais rápida e eficiente. 
6.4. Levantamento e análise de requisitos 
Umas das primeiras fases de análise de software consistem no levantamento 
de requisitos como (analise de requisito, projeto, que se constitui na principal etapa 
da modelagem, codificação, testes e implantação). Assim o analista de sistema busca 
compreender as necessidades do usuário e o que ele deseja que o sistema a ser 
desenvolvido realize. Isto é feito principalmente por meio de entrevista, onde o 
analista de sistema tenta compreender como funciona atualmente o processo a ser 
informatizado e quais serviços o cliente precisa que o software forneça. Devem ser 
realizadas tantas entrevistas quantas forem necessárias para que as necessidades 
do usuário sejam bem compreendidas. Durante as entrevistas o analista deve auxiliar 
o cliente a definir quais informações deverão ser produzidas, quais deverão ser 
fornecidas e qual o nível de desempenho exigido do software. 
Logo após o levantamento dos requisitos, passa-se a fase em que as 
necessidades apresentadas pelo cliente são analisadas, estas etapas são conhecidas 
com analise de requisito, onde o analista examina os requisitos enunciados pelos 
36 
 
usuários, verificando se estes foram especificados corretamente e se foram realmente 
bem compreendidos. A partir da etapa de análise de requisito, são determinadas as 
reais necessidades do sistema. 
Um dos principais problemas enfrentados na fase de levantamento de 
requisitos é o de comunicação.A comunicação constitui-se em um dos maiores 
desafios do analista de software, caracterizando-se pela dificuldade em conseguir 
compreender um conjunto de conceitos vagos, abstratos e difusos que representam 
as necessidades e desejo dos clientes e transformá-los em conceitos concretos e 
inteligíveis. A grande questão é: Como saber se as necessidades dos usuários foram 
realmente bem compreendidas? Um dos objetivos da análise de requisitos consiste 
em determinar se a necessidades dos usuários foram atendidas corretamente, 
verificando-se algum tópico deixou de ser abordado, determinando se algum item foi 
especificado incorretamente ou se algum conceito precisa ser melhorado. Durante á 
analise de requisitos, uma linguagem de modelagem auxilia a levantar questões que 
não foram concebidas durante as entrevistas iniciais. Estas questões devem ser 
sanadas o quanto antes, para que o projeto do software não tenha que sofrer 
modificações quando o seu desenvolvimento já estiver em andamento, o que causa 
grandes atrasos no desenvolvimento do software, sendo por vezes necessários 
remodelar totalmente o projeto. 
Os modelos são construídos para compreender melhor o sistema que está 
sendo desenvolvido. 
A escolha dos modelos tem profunda influência sobre como uma situação é 
resolvida, pois a modelagem tem que ser adequada para o sistema. 
Nenhum modelo único é suficiente. Um sistema pode ser analisado sob 
diferentes perspectivas. 
 
 
 
 
37 
 
7. CONCLUSÃO 
Concluindo, o planejamento de Tecnologia da Informação é um guia dinâmico 
para o planejamento estratégico, tático e operacional das informações 
organizacionais, da TI e seus recursos (hardware, software, sistemas de 
telecomunicações e gestão de dados e informações), dos SI, das pessoas envolvidas 
e a infra-estrutura necessária para o atendimento das decisões e ações da 
organização. 
As organizações não podem adiar a necessidade de compreender e aprender 
a aproveitar os benefícios da TI. Para ser relevante nas organizações, o Planejamento 
de TI deve: alinhar os SI e a TI com as metas dos negócios empresariais; explorar a 
TI para vantagem competitiva; direcionar os seus recursos para uma gestão efetiva; 
desenvolver arquiteturas e políticas de tecnologia; e gerar um ambiente informacional 
que favorece a geração de estratégias organizacionais. Utilizar a TI sem planejamento 
é um risco que a organização não deve correr, pois o uso crescente da TI, ao mesmo 
tempo em que potencializa a capacidade das organizações em obter, manter ou 
combater vantagens competitivas, também eleva os riscos de gestão inerentes a 
qualquer tipo de decisão e ação. 
Contudo o planejamento estratégico está diretamente relacionado a 
necessidade de investimentos em segurança da informação. Segurança da 
informação compreende um conjunto de medidas que visam proteger e preservar 
informações e sistemas de informações, assegurando-lhes integridade, legalidade, 
disponibilidade, autenticidade e confidencialidade. Esses elementos constituem os 
cinco pilares da segurança da informação e, portanto, são essenciais para assegurar 
a integridade e confiabilidade em sistemas de informações. Nesse sentido, esses 
pilares, juntamente com mecanismos de proteção têm por objetivo prover suporte a 
restauração de sistemas informações, adicionando-lhes capacidades detecção, 
reação e proteção. 
Por fim, pode-se concluir que o trabalho proporcionou um aprendizado distinto 
e o resultado obtido com o estudo serviu para aumentar o conhecimento e 
desenvolvimento profissional e intelectual. 
38 
 
8. REFERÊNCIAS BIBLIOGRÁFICAS 
1. Manual do PIM VI. Disponível em: 
http://ead.unipinterativa.edu.br/bbcswebdav/pid-1329688-dt-content-rid-
25430238_1/courses/3018-
50_TI_2015_M01/ManualPIM_VI_GTI_15022016%20%28PH%29%20%28R
F%29.pdf 
2. Conteúdo Acadêmico: Ambiente Virtual de Aprendizagem MÓDULOS: 
Planejamento Estratégico de TI, Segurança da Informação e Modelagem de 
Sistemas de Informação. Disponível em: 
http://ead.unipinterativa.edu.br/webapps/portal/frameset.jsp?tab_tab_gro
up_id=_80_1 
3. Fundamentos Teóricos. Disponível em: 
https://pt.wikipedia.org/wiki/Wikip%C3%A9dia:P%C3%A1gina_principal 
4. PAIVA, Edio Cardoso – Professor do Centro Federal de Educação Tecnológica 
de Goiás - Curso de Redes de Comunicação. Disponível em: 
www.google.com.br 
5. NETO, H. M. F. Artigo Plano Estratégico de Tecnologia de Informação – PETI. 
Disponível dia URL: www.designvirtual.com/?ids=Mc9j24v9m&cod_artigo=9 
acesso em 06/10/2006 
6. O´BRIEN, J. A. Sistemas de informação e as decisões gerenciais na era da 
Internet. 2ª ed. São Paulo: Saraiva, 2004. 
7. REZENDE, Denis Alcides. Planejamento de Sistemas de Informação e 
Informática, São Paulo: Atlas, 2003. 
8. REZENDE, Denis Alcides. Tecnologia da Informação Integrada à Inteligência 
Empresarial. São Paulo: Atlas, 2002. 
9. RUMBAUGH, James; BLAHA, Michael; PREMERLANI, William; EDDY, 
Frederick; LORENSEN, William. Modelagem e Projetos Baseados em Objetos. 
Rio de Janeiro: Campus, 1994. 
10. http://www.governancadeti.com/2010/08/uma-visao-geral-do-cobit/ 
11. Guia de normalização para apresentação de trabalhos acadêmicos. Disponível 
em: 
http:/www2.unip.br/servicos/biblioteca/download/manual_de_normalizac
ao.pdf