Guia de Estudos da Unidade 4 - Sistemas de Informação

Prévia do material em texto

Sistemas de Informação
UNIDADE 4
2
SISTEMA DA INFORMAÇÃO
UNIDADE 4
PARA INÍCIO DE CONVERSA
Olá querido (a) aluno (a)! 
Chegamos finalmente na Unidade IV de nossa disciplina. No livro-texto o conteúdo desta unidade se 
encontra entre as páginas 103 e 121, e está com o título “Como gerenciar e desenvolver sistemas de 
informação”.
 
Neste guia de estudos, voltaremos a explorar a parte relativa à segurança em Sistemas de Informações, 
crimes de computador e ética, assim como sobre auditoria de sistemas de informações.
Lembre-se de que na Unidade II já começamos a abordar o tema relativo à segurança em sistemas de 
informação. Por isso, recomendamos que você faça uma revisão do que já foi abordado anteriormente. 
Recomendamos que acesse a Biblioteca Virtual e consulte o livro “Fundamentos em Segurança da 
Informação” (organizadora - Michele da Costa Galvão), lendo a Unidade IV (Gestão da Segurança da 
Informação), entre as páginas 87 e 109.
Pronto (a) para começar? Espero que sim!
Vamos lá!
CRIMES DE INFORMÁTICA 
Com a expansão da utilização dos computadores, e a utilização cada vez mais intensiva da INTERNET, 
tornam-se cada vez mais frequentes os casos nos quais as pessoas se utilizam dessas ferramentas para 
cometer atos que causem danos a terceiros. Os crimes cometidos, também conhecidos como crimes 
cibernéticos, não tem fronteiras, pois a partir de um computador situado em um país pode-se acessar um 
sistema e manipular seus dados, sendo que os dados oriundos da manipulação indevida podem estar em 
outro país.
 
VEjA O VÍDEO!
Na Unidade II falamos de vírus. Assista ao vídeo: Os Invasores - que tem 
aproximadamente seis minutos.
Em fração de segundos um computador pode processar milhões de dados. Nessa mesma fração de tempo 
https://www.youtube.com/watch?v=0Zxt7kS5miQ&list=PLf80UJJXumg2NSO0WFZiQadixaXY3AQ35
3
ele também pode estar sendo utilizado para furtar milhares de reais. 
Os crimes cometidos com o auxílio do computador, costumam ser chamados de “crimes limpos”. 
Normalmente, não são fáceis de ser detectados, e muitas vezes somente são detectados bastante tempo 
depois de sua ocorrência.
No estudo da literatura sobre esse assunto, existem diversos denominações para este tipo de crime: 
crimes eletrônicos, crimes de Informática, cybercrimes, crimes informáticos, crimes com computador, 
e-crime, entre diversas outras denominações.
PRIVACIDADE DA INFORMAÇÃO 
Uma questão que também se discute quando falamos em segurança da informação é a questão da 
privacidade, que trata basicamente da coleta e inadequada utilização de dados. É comum encontrarmos 
situações onde dados sobre as pessoas são coletados, armazenados e distribuídos, sem o conhecimento 
ou o consentimento da pessoa a quem eles se referem ou a quem eles pertençam.
Muitas vezes, estamos recebendo em nossas casas correspondência de empresas, ou fazendo propaganda 
de algum produto, ou nos “ofertando” produtos, e na grande maioria das vezes ficamos nos perguntando 
como tiveram acesso aos nossos dados.
Hoje em dia, fornecemos muitos dados pessoais em uma quantidade enorme de transações comerciais, 
quando, por exemplo, é confeccionado um cadastro em um banco ou uma loja na qual estejamos fazendo 
uma compra. E apesar de muitas vezes, no documento no qual fornecemos os dados, contar uma declaração 
de que aqueles dados não serão fornecidos para ninguém, qual a garantia que temos que aqueles dados 
efetivamente não estão sendo fornecidos ou utilizados para uma destinação diferente daquela para a qual 
os fornecemos?
Encontra-se na INTERNET, por exemplo, uma consulta através de site que fornece a situação do CPF das 
pessoas. A princípio isso deveria ser objeto apenas da Receita Federal? 
 
Muitas empresas solicitam aos funcionários que assinem, um Termo de Confidencialidade e Sigilo de 
Informações, juntamente com o contrato de trabalho. Veja abaixo um modelo:
4
ACORDO DE CONFIDENCIALIDADE E SIGILO DE INFORMAÇÕES
Pelo presente instrumento aditivo ao contrato de trabalho firmado em ___ / ___/ ____, entre (nome 
da empresa) doravante denominada EMPRESA, e (nome do empregado), doravante denominado 
EMPREGADO, mediante as seguintes cláusulas e condições: 
1. DEFINIÇÕES
1.1. “Informações Confidenciais” significam todas as informações, know-how, documentos, 
programas de computador e documentação, códigos fonte, relatórios, dados financeiros ou outros 
dados, registros, formulários, ferramentas, produtos, serviços, metodologias, pesquisa presente e 
futura, conhecimento técnico, planos de marketing, segredos comerciais e outros materiais tangíveis 
ou intangíveis, armazenados ou não, compilados ou reduzidos a termo, seja física, eletrônica ou 
graficamente, por escrito, ou por qualquer meio, que esteja em poder da EMPRESA, e que seja 
revelado ao EMPREGADO.
1.2. As Informações Confidenciais incluem, sem limitação, arquivos e informações, bem como 
Informações da EMPRESA:
a) que contenham a especificação de propriedade exclusiva ou confidencial;
b) cuja natureza confidencial tenha sido informada pela EMPRESA; 
c) que consistam na solução, nas inovações e aperfeiçoamento, que sejam de criação e 
desenvolvimento individual, ou em conjunto entre as Partes; ou
d) que, em virtude de suas características e natureza, seriam consideradas confidenciais em 
circunstâncias semelhantes.
2. OBjETO
2.1. O EMPREGADO acorda em receber Informações das quais a EMPRESA é titular, em caráter 
de confidencialidade, para efeitos da prestação de serviços relativos ao Projeto (especificar), para 
todos os fins.
2.2. O EMPREGADO reconhece a natureza confidencial de toda Informação recebida pela 
EMPRESA e/ou de que tenha tomado conhecimento ou lhe tenha sido dado conhecimento durante 
a execução do presente Acordo, obrigando-se a guardar segredo sobre tal Informação, não podendo 
utilizar em seu próprio benefício, revelar, ceder, partilhar ou permitir a sua duplicação, uso ou 
divulgação, no todo ou em parte, a terceiros. 
2.3. Nos termos do presente Acordo, o EMPREGADO compromete-se a:
a) tomar todas as providências necessárias para impedir a reprodução ou revelação de Informações 
confidenciais da EMPRESA, pelo menos de forma equivalente às providências que toma para 
proteger suas próprias informações, durante a vigência deste Acordo e por um período de 5 (cinco) 
5
anos após seu término ou rescisão;
b) não revelar tais informações a terceiro ou a pessoa alguma que não aquelas que, em razão de 
suas funções, necessitem conhecê-las;
c) não utilizar tais informações em proveito próprio ou de terceiros;
d) deixar imediatamente de utilizar tais informações em caso de rescisão, resolução ou resilição 
deste Acordo e dos contratos dele decorrentes, devolvendo imediatamente a EMPRESA todas as 
listas, arquivos, Cds, fitas, disquetes, aplicativos, códigos fonte e demais materiais que contenham 
tais informações ou relativos a elas e informando todos os seus parceiros, contatos e outros 
envolvidos que as informações confidenciais de propriedade da EMPRESA já não poderão ser 
utilizadas
e) não tomar qualquer medida com vistas a obter, para si ou para terceiros, os direitos de propriedade 
intelectual e/ou industrial relativos às informações confidenciais que venham a ser reveladas.
f) na hipótese de contratação do EMPREGADO pela EMPRESA, para o desenvolvimento e/
ou aprimoramenteo de programas de computador, softwares e similares, declara desde já o 
EMPREGADO, não ter qualquer direito a reclamar acerca da titularidade da propriedade intelectual 
referente ao programa desenvolvido, na medida em que a titular deste Direito é a EMPRESA, sendo 
certo que esta oferecerá todos os subsidios necessários para a realização eficaz do “Projeto”, tanto 
no campo técnico quanto no financeiro. 
2.4. As partes concordam que a violação do presente Acordo, pelo uso de qualquer informação 
confidencial pertencente a EMPRESA, sem sua expressa autorização, causar-lhe-á danos e prejuízos 
irreparáveis. Desta forma, a EMPRESA seráimediatamente considerada legítima detentora do 
direito a tomar todas as medidas extrajudiciais e judiciais, nas esferas cíveis e criminais, inclusive 
de caráter cautelar ou de antecipação de tutela jurisdicional, que julgar cabíveis à defesa de seus 
direitos, inclusive autorais, independentemente da tomada das medidas judiciais tendentes a obter 
a reparação pelo dano causado, sem qualquer limite.
3. DURAÇÃO 
3.1. Este Acordo inicia-se na presente data com a duração de 5 (cinco) anos após encerrados os 
serviços que originaram sua assinatura.
4. FORO
4.1. Fica eleito o Foro da Comarca da cidade de Recife, com exclusão de qualquer outro, por mais 
especial que seja, para processar e julgar qualquer ação ou dirimir questões decorrentes ou 
relacionadas ao presente Acordo.
E, por estarem assim justas e acertadas, as partes firmam o presente em duas vias de igual teor e 
forma, na presença das testemunhas abaixo.
6
Recife, ___ de ____________ de _______.
______________________________________________
EMPRESA
______________________________________________
EMPREGADO
Testemunhas:
PIRATARIA DE SOFTWARE 
No Brasil, a pirataria de software é tratada crime contra a propriedade intelectual. Assim como os livros 
e filmes, os programas de computador (software) são protegidos por leis de direitos autorais. 
A legislação que trata sobre a pirataria de software é a Lei nº 9.609/98), chamada de Lei do Software.
Art. 1º - Programa de computador é a expressão de um conjunto organizado de instruções em 
linguagem natural ou codificada, contida em suporte físico de qualquer natureza, de emprego 
necessário em máquinas automáticas de tratamento da informação, dispositivos, instrumentos 
ou equipamentos periféricos, baseados em técnica digital ou análoga, para fazê-los funcionar de 
modo e para fins determinados. 
Normalmente, pessoas que jamais pensariam em plagiar uma obra escrita por outro autor não 
hesitam em usar e copiar programas pelos quais nada pagaram. As pessoas que fazem essas 
cópias ilegais são chamadas de “piratas”, e o ato de realizar tais cópias chama-se “pirataria de 
software”.
Quem adquire um software recebe, somente, o direito de utilizá-lo sob certas condições, ou seja, 
não o possui de fato. Geralmente, essas condições permitem que seja feita uma cópia de segurança 
(backup) para uso no caso da ocorrência de problemas ou de destruição do programa original. 
Qualquer cópia além dessa é passível de sanção.
Fonte: http://www.planalto.gov.br/ccivil_03/leis/L9609.htm
 
 
VEjA O VÍDEO!
Assista ao vídeo Pirataria de Software: um Tiro no Pé - que tem aproximadamente 
dois minutos.
PENSE!! Qual a motivação de uma pessoa para gerar um dano em um sistema de informações?
http://www.planalto.gov.br/ccivil_03/leis/L9609.htm
https://www.youtube.com/watch?v=kjD143Cy6QM
7
AUDITORIA DE SISTEMAS DE INFORMAÇÃO 
Para uma empresa ser bem sucedida ela precisa em primeiro lugar de um bom e efetivo sistema de 
controle interno. 
E, apesar de toda a disseminação nos dias atuais, da utilização dos computadores, ainda surge o 
questionamento: Investir em tecnologia de informação é seguro e confiável? 
A função da Auditoria de Sistemas procura trazer essa posição de confiabilidade e segurança. A Auditoria 
de Sistemas consiste na:
•	 Avaliação do sistema de informação utilizado, com a finalidade de conferir se este possui 
capacidade de suportar adequadamente às necessidades empresa;
•	 Elaboração e monitoramento de metas;
•	 Fiscalização do cumprimento de regulamentações e leis estabelecidas pelo serviço de TI 
utilizado;
•	 Detecção de pontos críticos que possam arriscar o cumprimento de objetivos;
•	 Identificação de necessidades, processos repetidos, custos e barreiras que atrapalhem a 
eficiência dos fluxos de dados;
•	 Certificação de informações confiáveis e oportunas;
•	 Redução dos riscos de erros e fraudes.
A Auditoria de Sistemas de Informação não busca verificar a conformidade dos aspectos contábeis da 
organização, mas sim do próprio ambiente informatizado, garantindo a integridade dos dados manipulados 
pelo computador, assim como do manuseio da informação pelas partes envolvidas (funcionários, 
fornecedores, clientes). 
Desta forma, estabelece e mantém procedimentos documentados para planejamento e utilização dos 
recursos computacionais da empresa, verificando aspectos de segurança e qualidade. 
Segundo o COBIT1, as metas a serem alcançadas em uma auditoria de Sistemas de Informação se 
enquadrarão em algum dos itens abaixo:
•	 Estrutura de Gerenciamento de Programa;
•	 Estrutura de Gerenciamento de Projeto;
•	 Abordagem de Gerenciamento de Projeto;
•	 Comprometimento dos Participantes;
•	 Escopo do Projeto;
•	 Fase de Início do Projeto;
•	 Planejamento do Projeto Integrado;
•	 Recursos do Projeto;
•	 Gerenciamento de Riscos do Projeto;
•	 Planejamento do Projeto Integrado;
•	 Recursos do Projeto;
8
•	 Gerenciamento de Riscos do Projeto;
•	 Planejamento da Qualidade do Projeto;
•	 Controle de Mudanças no Projeto;
•	 Métodos de Planejamento de Garantia do Projeto;
•	 Avaliação, Relatórios e Monitoramento do Desempenho do Projeto;
•	 Conclusão do Projeto.
COBIT®, do inglês, Control Objectives for Information and Related Technology, é um guia de boas práticas 
apresentado como framework, teste dirigido para a gestão de Tecnologia de Informação (TI). Mantido pelo 
ISACA (Information Systems Audit and Control Association), possui uma série de recursos que podem 
servir como um modelo de referência para gestão da TI, incluindo um sumário executivo, um framework, 
objetivos de controle, mapas de auditoria, ferramentas para a sua implementação e principalmente, um 
guia com técnicas de gerenciamento. Especialistas em gestão e institutos independentes recomendam o 
uso do COBIT® como meio para otimizar os investimentos de TI, melhorando o retorno sobre o investimento 
(ROI) percebido, fornecendo métricas para avaliação dos resultados (Key Performance Indicators KPI, Key 
Goal Indicators KGI e Critical Success Factors CSF). O COBIT® independe das plataformas adotadas nas 
empresas, tal como independe do tipo de negócio e do valor e participação que a tecnologia da informação 
tem na cadeia produtiva da empresa. (https://pt.wikipedia.org/wiki/COBIT). 
Governança Corporativa de TI 
Vamos falar um pouco sobre o conceito de governança e gestão corporativa de Tecnologia da Informação 
(TI). Afinal, o que vem a ser Governança Corporativa de TI? 
A norma ISO/IEC 38500, que estabelece um modelo para a Governança Corporativa de TI, no qual o COBIT 
se baseia, define Governança Corporativa de TI como: 
“O sistema pelo qual o uso atual e futuro da TI é dirigido e controlado. A governança corporativa de TI 
envolve a avaliação e a direção do uso da TI para dar suporte à organização no alcance de seus objetivos 
estratégicos e monitorar seu uso para realizar os planos. A governança inclui a estratégia e as políticas 
para o uso de TI dentro de uma organização.”
A norma orienta que os gestores das organizações governem a TI por meio de três tarefas principais, 
conforme pode observado na Figura 1: 
•	 Avaliar o uso atual e futuro da TI;
•	 Dirigir a preparação e a implementação de planos e políticas para garantir que o uso da TI 
atenda aos objetivos do negócio;
•	 Monitorar o cumprimento das políticas e o desempenho em relação aos planos.
 
9
Figura 1
Fonte: ISO/IEC 38500, pág. 13
Segundo a norma, temos:
•	 Avaliar (Evaluate): Significa que os dirigentes devem avaliar o uso atual e futuro da TI, incluindo 
as estratégias, propostas e arranjos de fornecimento (interno, externo ou ambos). Na avaliação 
do uso da TI, convém que os dirigentes considerem as pressões externas e internas que 
influenciam o negócio (mudanças tecnológicas, tendências econômicas e sociais e influências 
políticas), e levem em conta as necessidades atuais e futuras do negócio. 
•	 Dirigir (Direct): Significa que os dirigentes devem atribuir responsabilidades para a preparaçãoe implementação dos planos e políticas que estabeleçam o direcionamento dos investimentos 
nos projetos e operações de TI. 
•	 Monitorar (Monitor): Significa que os dirigentes devem monitorar o desempenho da TI por meio 
de sistemas de mensuração apropriados, garantindo que esse desempenho esteja de acordo 
com os planos e objetivos corporativos e que a TI esteja em conformidade com as obrigações 
externas e práticas internas de trabalho.
Governança Corporativa de TI X Gestão de TI 
Existem dois conceitos que algumas vezes se confundem: Governança Corporativa de TI e Gestão de TI.
A Governança Corporativa de TI não deve ser confundida com o conceito de Gestão de TI. A Governança 
Corporativa de TI está inserida na governança corporativa da organização, sendo dirigida por esta, e busca 
o direcionamento da TI para atender ao negócio; e o monitoramento para verificar a conformidade com o 
direcionamento tomado pela administração da organização. Em relação à Gestão de TI, conforme definido 
pela ISO/IEC 38500, temos: 
10
“A gestão de TI implica a utilização sensata de meios (recursos, pessoas, processos, práticas) pra alcançar 
um objetivo. Atua no planejamento, construção, organização e controle das atividades operacionais e se 
alinha com a direção definida pela organização.”
Portanto, a gestão controla tarefas operacionais, enquanto a governança controla a gestão.
Por que utilizar a Governança Corporativa de TI 
Você deve estar se perguntando por que as organizações necessitam de governança corporativa de TI? 
As organizações existem para atender as necessidades de suas partes interessadas, ou seja, partes que 
se interessam ou são afetadas pela organização, tais como acionistas, funcionários, seus clientes, dentre 
outros. 
Para atender aos seus objetivos estratégicos, as organizações se esforçam para:
•	 Manter informações de alta qualidade para apoiar decisões corporativas;
•	 Agregar valor ao negócio a partir dos investimentos em TI, ou seja, atingir os objetivos 
estratégicos e obter benefícios para a organização através da utilização eficiente e inovadora 
de TI;
•	 Alcançar excelência operacional por meio da aplicação confiável e eficiente da tecnologia; 
manter o risco de TI em um nível aceitável;
•	 Otimizar o custo da tecnologia e dos serviços de TI;
•	 Cumprir as leis, regulamentos, acordos contratuais e políticas pertinentes cada vez mais 
presentes. 
A Governança Corporativa de TI auxilia as organizações no alcance de seus objetivos estratégicos, por 
meio da geração de valor obtido pelo uso da TI, mantendo equilíbrio entre a realização de benefícios 
e a otimização dos níveis de risco e de utilização dos recursos. Para se obter essa geração de valor, 
é necessária a avaliação do uso da TI e das necessidades de investimentos nessa área; fornecer o 
direcionamento para que a TI atenda aos objetivos corporativos e monitorar as ações relacionadas a TI 
para estar em conformidade com o que foi planejado e para dar transparências às partes interessadas 
sobre os resultados alcançados. 
Organizações bem-sucedidas reconhecem que os gestores devem entender / aceitar que a TI é tão 
significativa para os negócios como qualquer outra parte da organização, devendo trabalhar em conjunto 
no sentido de garantir que a TI esteja inclusa na abordagem de governança e gestão. Paralelamente 
um número cada vez maior de normas, leis e regulamentos vem sendo aprovados e estabelecidos para 
atender a essa necessidade. 
 
11
PALAVRAS DO PROFESSOR
Estamos encerrando aqui o guia de estudos da Unidade IV. Não custa nada relembrar aqui algumas 
observações e sugestões que julgo importantes para o desenvolvimento de nossa disciplina:
•	 Nos cursos de Educação a Distância, é fundamental a disciplina, o interesse e esforço de cada 
um, para que possamos ter sucesso em nossa empreitada.
•	 Tente organizar seu tempo de estudo diário para o curso, distribuindo-o entre as diversas 
disciplinas. Recomendamos que seja elaborada uma tabela com os dias e horas da semana 
disponíveis para o estudo de cada disciplina.
•	 O material de apoio (livro-texto e guias de estudo) e as leituras complementares constituem a 
referência básica da disciplina.
•	 Em cada guia de estudos, indicamos também alguns vídeos. Assista cada um, faça anotações. 
Esses vídeos representam também material complementar para cada unidade. Para um melhor 
aproveitamento, é importante você estudar atentamente todo o conteúdo disponibilizado. 
Sempre faça anotações daquilo que não ficou claro para você. Lembre-se: sempre que surgir 
alguma dúvida entre em contato com o seu tutor virtual.
 
ACESSE O AMBIENTE VIRTUAL
É importante estar em dia com a entrega das atividades. A participação nas atividades virtuais 
(questionários e fóruns) é muito importante, porque elas garantem a interação entre o professor, tutores, 
o aluno e os demais colegas. 
Bons estudos!