Baixe o app para aproveitar ainda mais
Prévia do material em texto
70 Re vi sã o: N om e do re vi so r - D ia gr am aç ão : N om e do d ia gr am ad or - d at a Unidade III Unidade III 5 SISTEMAS DE INFORMAÇÕES NAS EMPRESAS 5.1 Introdução Os avanços tecnológicos por meio de inovações na TI, as novas formas de conduzir uma empresa e as decisões gerenciais que utilizam dados em tempo real permitem que as empresas obtenham receitas de um modo diferente à abordagem tradicional praticada pela grande maioria das organizações. Nestas, os dados que faziam parte de relatórios, via de regra, atrasavam, provocando a tomada de decisão negativa; ademais, alteravam a forma pela qual o mercado consumidor recebia os bens e os serviços. Observando-se o desenvolvimento das telecomunicações e os canais que utiliza, em especial ao longo das duas últimas décadas, tais como redes de celulares, redes com alta velocidade (com ou sem fio) e as plataformas de dispositivos eletrônicos e periféricos extremamente potentes, constatamos modificações no modo como as pessoas trabalham e o que fazem quando trabalham. Diante dessa realidade, com a tecnologia fazendo parte da rotina de todos – empresários, executivos ou consumidores –, tais avanços estão transformando os hábitos das pessoas ou o modo de gerir negócios, absorvendo funções pelas quais seja possível que a máquina execute as mesmas atividades ou até mesmo com o fechamento de lojas físicas. Em uma empresa, parece correto supor que nem todos os departamentos têm as mesmas necessidades de informações. No dia a dia, alguns setores precisam de registros pontuais, voltados à tomada de decisões mais imediatas, ao passo que outros desejam obter relatórios para tomar decisões de longo prazo. Esse é o motivo pelo qual as empresas são distribuídas em camadas hierárquicas, pois são nessas camadas que se distinguem as decisões estratégicas, táticas e operacionais. Distinguem-se também no prazo de ações e na influência no resultado geral da organização. O nível estratégico define as estratégias de longo prazo, contribuindo na definição de visão, missão e valores da instituição, além de colaborar com a concepção dos objetivos e análise dos fatores internos e externos da empresa. O processo estratégico é permanente e tem o intuito de racionalizar tomadas de decisão e alocar recursos institucionais da forma mais eficiente possível, gerando inovações. O nível tático permeia o nível estratégico e o operacional, traduzindo e interpretando as decisões do planejamento estratégico, efetivando planos concretos a médio prazo. De modo geral, tem por finalidade especificar de que modo seu departamento, processo ou projeto auxiliará no alcance dos objetivos gerais da entidade. 71 Re vi sã o: N om e do re vi so r - D ia gr am aç ão : N om e do d ia gr am ad or - d at a SISTEMAS DE INFORMAÇÃO EM COMÉRCIO E SERVIÇOS O nível operacional almeja colocar em prática os planos táticos de cada departamento em um curto prazo, criando condições para a realização mais adequada na rotina da organização. A figura a seguir representa as camadas hierárquicas com seus papéis e objetivos. Alta direção: definem o que fazer • Finanças • Marketing • Desenvolvimento organizacional Gestores: definem como fazer • Controle • Gestão de pessoas • Sistemas de informação gerencial Colaboradores: executam • Executam o planejado • Propõem mudanças Nível estratégico Nível tático Nível operacional Figura 38 – Camadas hierárquicas Segundo Audy et al. (2011), dentro da perspectiva dos processos de negócio e das funções organizacionais (marketing, produção, recursos humanos, finanças, contabilidade), os sistemas de informação disponibilizam registros para o gerenciamento (planejamento, direção, ordenação e controle) e execução das operações da instituição. Do ponto de vista interno, esses sistemas de informação propiciam a integração entre as diversas áreas e processos de negócio da empresa. No panorama externo, permitem a inserção da organização dentro de uma cadeia de suprimentos através da aproximação com clientes e fornecedores. A figura a seguir ilustra os objetivos desses sistemas. Suporte a estratégias competitivas e obtenção de vantagens competitivas Suporte ao processo decisório dos diversos níveis organizacionais Suporte, controle e integração dos processos de negócio e funções organizacionais Figura 39 – Objetivos dos sistemas de informação 72 Re vi sã o: N om e do re vi so r - D ia gr am aç ão : N om e do d ia gr am ad or - d at a Unidade III No tocante ao processo decisório, os sistemas de informação são responsáveis pela disponibilização de referências necessárias para a tomada de decisão nos diversos níveis organizacionais. Considerando a divisão clássica das empresas (nível operacional, tático e estratégico,) a informação é o insumo básico para o processo decisório que ocorre em cada um desses níveis (AUDY et al., 2011). No nível operacional, os sistemas suprem os gestores e os executores com informações referentes aos processos operacionais da empresa, permitindo avaliar e controlar essas atividades rotineiras e realizar o ajuste das ações durante sua execução. No nível tático, qualificam os processos decisórios com as informações necessárias para o controle em médio prazo dos processos de negócio, permitindo certificar o alcance de metas e atuar sobre desvios que sejam detectados. Em termos estratégicos, fornecem as informações a respeito do ambiente externo e interno da empresa com vistas ao planejamento de longo prazo. Tal planejamento deve considerar as tendências políticas, econômicas, sociais e tecnológicas, bem como as competências da própria entidade, com o intuito de traçar metas e estratégias para que ela mantenha ou amplie sua participação no mercado. Segundo Laudon e Laudon (2004), a arquitetura da informação é um “projeto para as aplicações de sistemas empresariais que atendem a cada especialidade funcional e nível da organização e os modos específicos como são utilizados por cada organização”. A figura a seguir ilustra os componentes mais importantes da arquitetura da informação (LAUDON; LAUDON, 2004). Processos Processos Processos Processos Coordenação FinançasFabricação Contabilidade Recursos humanos Nível estratégico Nível de administração Nível do conhecimento Nível operacional Vendas e marketing ClientesParceiros de negócios, fornecedores Arquitetura de informação da organização Estrutura de TI Hardware Software Tecnologia de dados e de armazenagem Redes Infraestrutura pública Figura 40 – Arquitetura de informação e infraestrutura de TI O maior desafio da pauta de um CIO (chief information office – gestor de TI) não é mais escolher e avaliar os melhores sistemas de informação, mas desenvolver um ambiente de comunicação 73 Re vi sã o: N om e do re vi so r - D ia gr am aç ão : N om e do d ia gr am ad or - d at a SISTEMAS DE INFORMAÇÃO EM COMÉRCIO E SERVIÇOS que os faça trocar dados de forma eficaz, suprindo a sucessiva demanda dos negócios por comunicação em tempo real. Assim, os processos na organização encontram-se cada vez mais sujeitos às funções exercidas pelos softwares. 5.2 Sistemas de gestão empresarial (SGE) A hierarquia das instituições tem muitos interesses e especialidades, exigindo diversos tipos de sistemas, pois nenhum sistema individual pode atender a todas as exigências de uma empresa. Logo, para cada tipo de nível organizacional, deve existir um tipo específico de sistema de informação (SI). A integração de SI tem sua importânciaassociada aos processos da entidade, buscando-se contribuir na melhoria dos resultados, por exemplo: redução de custos, gerenciamento da produtividade, comunicação entre os pares, qualidade dos produtos e/ou serviços, otimização e controle. Desse modo, os aspectos facilitadores que devem ser levados em consideração em uma proposta de integração são: cultura organizacional, tempo de aprendizagem, resistência a mudanças, treinamento, custo de implantação e comprometimento da alta gerência perante a execução. Esses são alguns fatores primordiais para um bom resultado quando se propõe adotar sistemas de gestão empresarial integrada nas instituições. A integração de SI é uma área complexa, é preciso visualizá-la sob várias perspectivas. Para contextualizá-la, deve-se avaliar o tipo de empresa e/ou tecnologia aplicada, pois cada entidade possui diferentes necessidades de integração de SI que dependem do tipo de atividade e da tecnologia utilizada. Em primeira instância, a integração de SI trata do compartilhamento de informações e processos entre aplicativos ou fontes de dados tanto internas quanto externas. Existem várias soluções cabíveis que são adotadas conforme as características e exigências de cada empresa. Por outro lado, cada fornecedor de soluções tecnológicas determina a integração de SI segundo sua visão da corporação, dos processos e soluções que têm a oferecer. Os processos das empresas, os SI e a informação devem ser ajustados para suprir as necessidades da instituição. Como os processos são a combinação de todas as atividades organizacionais, toda e qualquer estratégia referente à integração de SI deve analisar cada uma dessas realidades – tanto em termos de estratégia e exame quanto o aspecto da implementação – para obter a solução mais adequada. Ademais, a integração de SI propicia que a tecnologia sirva de sustentáculo efetivo em seus processos e que estejam preparadas para serem responsivas às constantes exigências e mudanças de seu ambiente. Assim, integrar sistemas de forma eficaz tornou-se imperativo para as operações nos negócios. Quando se fala em SI para dar suporte ao ambiente de negócios, não se trata apenas de sistemas que controlam o setor financeiro e o estoque das empresas, mas de sistemas que provêm, de forma rápida e precisa, informações e estatísticas para dar suporte a decisões de negócio e agilidade aos processos. No âmbito geral, esse tipo de SI precisa colher dados de diversos setores da empresa, e esses setores comumente são geridos por SI distintos, tornando os dados dissociados. Para resolver esse problema, surge um ramo da TI especializado em integrar sistemas de informação da melhor forma possível para cada cenário. Tais desafios fazem com que a indústria de TI adote novos conceitos, metodologias, técnicas e aplicativos voltados exclusivamente à integração entre os SI, tendo como consequência o 74 Re vi sã o: N om e do re vi so r - D ia gr am aç ão : N om e do d ia gr am ad or - d at a Unidade III uso de peritos e tratamento sistemático na integração entre os SI e até mesmo empresas direcionadas apenas à questão da integração entre sistemas de informação. As corporações implantam SI que operam sozinhos – independentes dos outros sistemas –, pois a maioria dos departamentos têm processos diferentes para criar informações necessárias para gerir o negócio. Existem diversas metodologias de integração de sistemas, e uma delas é por meio de uma camada de integração; nesta, em vez de haver diversas integrações, sistema a sistema, um a um, há um ambiente lógico central no qual os sistemas depositam e recebem os dados, integrando-os. Essa camada é disponibilizada por softwares para gerenciamento e implementação, e suas principais funcionalidades são: transporte e transformação de informações entre uma ou mais aplicações, disponibilidade de regras de sequenciamento e tempo, que governam quando o transporte e a transformação devem acontecer, e tratamento de restrições da integridade das informações que determinam o sucesso ou falha de uma integração executada (HASSELBRING, 2000). Projetos de integração entre aplicações recorrem a uma combinação de metodologias, cujas alternativas podem ser disponibilidade e propósitos quanto à ligação entre sistemas a serem integrados, pelas exigências tecnológicas de cada conexão, por exemplo, necessidade de haver sincronismo ou não. Tais aspectos são orientados pelo fluxo dos processos de negócio e pelos SI usados em cada atividade, que podem implicar diversas etapas da integração, recorrendo-se a várias fontes de informação, tanto internas como externas. Quanto às formas de integração de SI, podem ser classificadas de acordo com os critérios inerentes às organizações. É possível catalogar genérica e tecnologicamente a integração de SI consoante o seu nível de execução: • Sistemas integrados de gestão: aplicativos fechados e compostos de módulos internos totalmente integrados e autônomos. • Informação centralizada: diferentes aplicações acessam repositórios de informação centralizados, partilhando o seu conteúdo. • Aplicações compostas: integradas através de suas interfaces de programação (application programming interface – API). Estas invocam, ou incorporam, entre si, funções, métodos ou procedimentos, disponibilizando lógica computacional de forma direta. • Sistemas transacionais: coordenam entre si as suas transações operacionais, garantindo a atualização com sucesso e sincronia da informação em cada sistema interligado. • Sistemas distribuídos: sistemas autônomos integrados através de serviços de aplicativos que concedem partes de lógica computacional. Tais serviços estão identificados e catalogados em um repositório específico e sua invocação é feita dinamicamente. Essa catalogação tem seu foco nas abordagens técnicas para a integração de aplicações e permite ter uma primeira visão de algumas alternativas. 75 Re vi sã o: N om e do re vi so r - D ia gr am aç ão : N om e do d ia gr am ad or - d at a SISTEMAS DE INFORMAÇÃO EM COMÉRCIO E SERVIÇOS A classificação dos recursos de integração ocorre de muitas formas. Considera-se a diversidade de infraestrutura computacional, em que há necessidade de integração entre os SI. Entre os recursos exigidos, há pessoas, ferramentas e procedimentos específicos para a estruturação de um ambiente favorável à gestão de integração de sistemas. Esse ambiente pode ser vislumbrado sob duas abordagens: a tradicional e a metodológica. Na abordagem tradicional, a integração é realizada em cada sistema, fazendo parte de uma das fases do projeto do sistema. A cada nova necessidade de integração, realizam-se análises, especificações e gerenciamento das integrações requeridas. Então, é executada uma nova funcionalidade à aplicação. Essa abordagem torna a aplicação mais custosa e trabalhosa e, ao longo do tempo, a aplicação estará interligada a várias outras, gerando muitas integrações entrelaçadas por meio das conexões entre diferentes SI. Na abordagem metodológica, há uma área responsável pela administração das necessidades de integração, composta de profissionais especializados que recorrem a conceitos, técnicas, ferramentas e metodologias de integração. A metodologia de trabalho consiste em estudar a demanda de integração, efetuar análise quanto a tecnologias e dispositivos apropriados para seu desenvolvimento e implantação. Entre os benefícios dessa abordagem, podemos citar: • Reutilização dos dados, reduzindo o retrabalho e automatizando as atividades, pois os sistemas usam a mesma fonte de dados sem intervenção humana. • Aumenta a capacidade da empresa em se adaptar às novas regras de negócio. Em geral, as entidades possuem uma variedade de sistemas deinformação, e o ambiente de integração possibilita alterações de forma rápida, segura e com menos custos. • Nos casos de novas aquisições de empresas ou até mesmo fusões, a integração de todos os sistemas torna-se factível, promovendo segurança no crescimento da organização. • Qualifica a empresa na gestão de seus processos de negócio, uma vez que propicia o planejamento e controle do processo. Nos últimos anos, as instituições têm aumentado a quantidade de SI implantados em seus processos de negócio. Vejamos alguns dos mais conhecidos: • Gestão empresarial integrada ou planejamento de recursos empresariais (enterprise resource planning – ERP). • Gestão do relacionamento com clientes (customer relationship management – CRM). • Gestão do relacionamento com fornecedores (suppliers relationship management – SRM). • Gestão da cadeia de suprimentos (supply chain management – SCM). • Gestão do desenvolvimento colaborativo de produtos. • Gestão de comércio eletrônico (e-commerce). 76 Re vi sã o: N om e do re vi so r - D ia gr am aç ão : N om e do d ia gr am ad or - d at a Unidade III Ilustramos os conceitos relacionados a modelos, informação e sistemas, mas a questão é: como esses conceitos são aplicados na prática nas corporações que utilizam os sistemas de informação? Como exposto, para cada nível organizacional existe um tipo específico de SI. Para o nível estratégico, são designados os sistemas de informação executiva (SIE); no nível tático, temos dois tipos, os sistemas de informação gerencial (SIG) e os sistemas de apoio à decisão (SAD); já o nível operacional está amparado pelos sistemas de processamento de transações (SPT). Essa divisão se dá pelo propósito e nível organizacional, e o sistema vai contribuir nos processos de negócio. Os SIE subsidiam a direção da empresa no tocante às questões de médio e longo prazo. Nesse nível, as decisões são mais abrangentes e de longo prazo, e suas consequências têm um impacto maior para a entidade. Em geral, as decisões são bem menos estruturadas e levam em consideração uma série de fatores – tanto internos quanto externos –, procurando definir um panorama e facilitar a resolução de questões. Os sistemas de nível tático são utilizados na tomada de decisões e no controle de atividades e processos. O nível tático funciona como um intermediário que traduz as decisões estratégicas em ações que serão desenvolvidas no nível operacional. Na criação de ações táticas, trabalha-se com uma dimensão de tempo um pouco maior, o fluxo de informações amplia-se horizontalmente, obtendo inputs de outros sistemas ou módulos localizados no mesmo nível hierárquico. Isso demanda uma abordagem dilatada dos SI. Os sistemas de nível operacional são utilizados pelos gerentes operacionais no suporte a transações elementares da instituição (realização de vendas, elaboração de folha de pagamento, concessão de crédito, controle de materiais de estoque, por exemplo). Os assuntos e decisões operacionais envolvem questões de ordem prática, necessárias ao dia a dia das empresas. Nesse nível, trabalha-se em geral com dados brutos, que, uma vez processados, dão origem a informações elementares e pontuais. Outro tipo de sistema é o sistema de nível de conhecimento, que permite a empresa integrar sistemas, conhecimentos e controlar fluxos de documentos. 5.3 Sistemas de processamento de transações (SPT) Conforme Audy et al. (2011), no campo dos sistemas de informação, uma transação é uma troca de informações que ocorre quando duas partes estão envolvidas em alguma atividade. As operações rotineiras que ocorrem em um ambiente organizacional abrangem transações de diversos tipos: o fechamento de um pedido com um cliente, a matrícula de um aluno em uma universidade, a emissão de uma receita por um médico ou a baixa de uma quantidade do estoque de uma matéria-prima. As transações constituem os eventos básicos da vida de uma organização. Os SPT atendem às equipes operacionais: as tarefas, os procedimentos e as metas são predefinidas e muito estruturadas. Por exemplo: pedidos de vendas, expedição de produtos, reservas de passagens e hotéis, folha de pagamento, registro de funcionários, matrícula de um aluno, registro de saída de um 77 Re vi sã o: N om e do re vi so r - D ia gr am aç ão : N om e do d ia gr am ad or - d at a SISTEMAS DE INFORMAÇÃO EM COMÉRCIO E SERVIÇOS produto no estoque. Segundo Audy et al. (2011), os SPT executam e registram as transações cotidianas que a entidade realiza como parte de seus processos de negócio. Essas rotinas são executadas pelo nível operacional da instituição, razão pela qual esses sistemas também são denominados sistemas operativos ou transacionais. Os componentes de um SPT incluem pessoas, procedimentos, software, banco de dados e hardware: sua finalidade é registrar as transações empresariais realizadas durante o funcionamento da organização. Essas transações são rotineiras e repetitivas, mas de grande valia para a empresa, pois representam a entrada dos dados iniciais para todos os outros sistemas, sejam integrados pela abordagem tradicional, sejam pela metodológica. São nesses sistemas que a qualidade do dado é verificada. Todas essas atividades geram dados que são coletados, processados, armazenados e distribuídos pelos SI. Os registros que servem como entrada de SPT são padronizados e descrevem as transações efetuadas. O processamento desses dados segue cálculos que permitem automatizar a maioria das transações rotineiras de uma corporação, seguindo operações (como decisões estruturadas e algoritmos) que são repetidas a cada transação. Essas ações promovem atualizações nos dados, emissão de relatórios e envio dos relatórios a outros sistemas. O armazenamento dos dados concebidos pelos SPT efetiva-se na forma de banco de dados, guardando um histórico com a série de transações ocorridas na organização. O resultado criado por um sistema de processamento de transações resulta em documentos que formalizam a efetivação da transação (faturas, duplicatas, orçamentos, notas fiscais), podendo gerar relatórios acerca dessas transações para fins de avaliação, conferência ou auditoria. Os SPT podem também enviar dados para outros sistemas. O controle e feedback desses sistemas inclui o uso de ferramentas de desenvolvimento de software (linguagens de programação e sistemas de gerenciamento de banco de dados – SGBD) para fazer a consistência dos dados inseridos e gerados pelo sistema. A figura a seguir ilustra o fluxo de funcionamento de um SPT nos procedimentos de folha de pagamento, pois é um sistema típico de transações que ocorrem em qualquer organização. O objetivo de um sistema de folha de pagamento é administrar com competência os processos operacionais nesse âmbito e a vida funcional das pessoas – colaboradores e contratados. O arquivo-mestre da figura é composto de dados básicos, tais como: número da funcional, nome, endereço, departamento, cargo e outros. Os dados são inseridos no sistema, atualizando o arquivo. Então, eles são combinados de várias formas, fornecendo pesquisas, relatórios e fiscalização para a gerência. 78 Re vi sã o: N om e do re vi so r - D ia gr am aç ão : N om e do d ia gr am ad or - d at a Unidade III Dados dos funcionários (diversos departamentos) Sistema de folha de pagamento Para o livro-razão: honorários e salários Relatórios gerenciais Documentos fiscais Cheques de pagamento Arquivo-mestre da folha de pagamento Consultas on-line: relação de rendimentos Elementos de dados no arquivo- mestre da folha de pagamento Funcionário Número Nome Endereço DepartamentoCargo Salário-base Programação de férias Salário bruto Rendimentos líquidos (anual até a data) Descontos Previdência Outros Folha de pagamento Número do funcionário Nome do funcionário Salário bruto Imposto de renda Imposto estadual Previdência Rendimentos líquidos (anual até a data) 46.848 Stoker, K. 2.000 400 50 140 6.000 Figura 41 – Representação simbólica de um SPT para folha de pagamento Vejamos os sistemas que são exclusivos de determinado departamento: • Vendas e marketing. • Fabricação e produção. • Finanças e contabilidade. • Recursos Humanos. A imagem a seguir destaca as cinco categorias de um SPT. Existem subfunções dentro de cada uma delas, e para cada uma há outro sistema envolvido. 79 Re vi sã o: N om e do re vi so r - D ia gr am aç ão : N om e do d ia gr am ad or - d at a SISTEMAS DE INFORMAÇÃO EM COMÉRCIO E SERVIÇOS Quadro 9 – Aplicações típicas de um SPT Tipos de SPT Sistemas de vendas/marketing Sistemas de fabricação/ produção Sistemas financeiros/de contabilidade Sistemas de recursos humanos Outros tipos (por exemplo, universidade) Funçoes mais importantes do sistema Principais sistemas de aplicação Gerenciamento de vendas Programação Orçamento Registro de pessoal Matrículas Pesquisa de mercado Compras Livro-razão Benefícios Registro de notas Promoção Expedição/ recebimento Faturamento Remuneração Registro de cursos Atribuição de preço Engenharia Contabilidade de custo Relações trabalhistas Ex-alunos Novos produtos Operações Treinamento Sistema de informação de pedidos Sistema de controle de maquinário Livro-razão Folha de pagamento Sistema de registro Sistema de pesquisa de mercado Sistema de ordens de compra Contas a receber/ pagar Histórico de funcionários Sistema de histórico escolar Sistema de comissõessobre vendas Sistemas de controle de qualidade Sistema de gerenciamento de investimentos Sistema de benefícios Sistema de controle acadêmico Sistema de acompanhamento de carreira Sistema de antigos alunos benfeitores Fonte: Laudon e Laudon (2004, p. 44) Os sistemas de processamento de transações imprimem maior velocidade ao processamento das atividades empresariais e podem justificar os custos das empresas no tocante a equipamentos, profissionais de informática, softwares e suprimentos. Lembrete Os SPT são sistemas básicos que servem para o nível operacional da organização, realizando e gravando transações de rotina diárias necessárias para conduzir o negócio. 5.4 Sistemas de informações gerenciais (SIG) São utilizados pelos gerentes de nível médio e subsidiam o planejamento e o controle, possibilitando a tomada de decisão. São voltados para as questões internas das empresas, tendo como usuários os gerentes preocupados com medidas mais imediatas (que demandam decisões ou orientações semanais, mensais ou anuais, e não diárias). São sistemas que resumem, registram e relatam a situação das operações da corporação, dando aos gerentes subsídios para o planejamento, o controle da qualidade, a obtenção das metas estipuladas e a decisão. 80 Re vi sã o: N om e do re vi so r - D ia gr am aç ão : N om e do d ia gr am ad or - d at a Unidade III Audy et al. (2011) dizem que os SIG sintetizam, registram e relatam a situação das operações da instituição. Promovem aos gerentes de nível tático da organização relatórios com indicadores sobre o desempenho de uma área em especial. A origem dos dados que constituem a base desses sistemas é proveniente dos SPT e condensam as operações realizadas pela empresa, expondo sua situação em uma data passada. Eles são processados para propiciar a comparação com outros pareceres de mesma categoria ou com metas preestabelecidas e, como resultado, são lançados gráficos que permitem monitorar uma área específica a partir de alguns indicadores. Esses informes podem ser programados previamente, sendo emitidos por demanda (ad hoc), mediante solicitação, por exceção, em situações não usuais ou críticas. O relatório de indicadores principais resume o desempenho de atividades críticas. O feedback desses sistemas permite verificar se uma área vem alcançando as metas estipuladas ou se alguma situação incomum está ocorrendo. A figura a seguir ressalta como um SIG transforma dados de um SPT para que sejam gerados registros para os gerentes. No sistema ilustrado, há três SPT, sistema de processamento de pedidos, sistema de planejamento de recursos de materiais e sistema de livro-razão, e estes fornecem dados resumidos de transações ao sistema de relatórios do SIG no fim de um período de tempo determinado. Por sua vez, os gerentes têm acesso às informações da empresa por meio do SIG, que disponibiliza os relatórios necessários. RelatóriosSIG Sistema de processamento de pedidos Sistema de planejamento de recursos materiais Sistema de livro-razão Gerentes Sistemas de processamento de transações Sistemas de informações gerenciais Arquivos do SIGArquivo de pedidos Dados de vendas Dados de custo unitário de produtos Dados de despesas Dados de modificação de produtos Arquivos de contabilidade Arquivos-mestre de produção Figura 42 – Dados de um SPT para um SIG Assim, de acordo com Audy et al. (2011), os SIG são ferramentas para o controle das atividades rotineiras da organização. Seu desenvolvimento e utilização é facilitado quando a entidade dispõe de sistemas de processamento de transações já́ implementados e uma cultura de gestão pautada no uso de indicadores ou na avaliação por resultados. Os SIG permitem oferecer suporte a decisões estruturadas. Uma decisão estruturada envolve procedimentos padronizados e se caracteriza como repetitiva e rotineira. 81 Re vi sã o: N om e do re vi so r - D ia gr am aç ão : N om e do d ia gr am ad or - d at a SISTEMAS DE INFORMAÇÃO EM COMÉRCIO E SERVIÇOS 5.5 Sistemas de apoio à decisão (SAD) Também são utilizados pelos gerentes, porém com mais poder analítico do que os outros sistemas em uso na empresa, trabalhando ainda com dados externos. É um sistema de informação que combina modelos e dados em uma tentativa de resolver problemas semiestruturados e alguns não estruturados, com intenso envolvimento do usuário. Como exemplo de SAD, temos o sistema de apoio a decisões logísticas, que avalia rotas, capacidade de carga dos veículos disponíveis, valores de frete, prazos de entrega etc. Se o sistema for sofisticado e o processo estiver bem delimitado sob o ponto de vista analítico ou matemático, o sistema poderá efetuar automaticamente simulações e interações, buscando as melhores alternativas para determinado problema. Observação Podemos entender como dados semiestruturados aqueles que possuem uma estrutura pré-definida, porém não com o mesmo rigor dos dados relacionais. Em geral, essas estruturas são usadas apenas como um meio de marcação dos dados, como é o caso dos arquivos no formato JSON (JavaScript object notation) e XML (eXtensible markup language). Na classe de dados não estruturados, estão inclusos vídeos, imagens e alguns formatos de textos. Por não terem um formato que pode ser facilmente arquivado em tabelas, eles se tornam complexos para serem processados em ferramentas tradicionais de armazenamento e controle de dados. Saiba mais Para mais informações, leia os artigos: INTRODUÇÃO ao formato JSON. Devmedia, [s.d.]. Disponível em: <http://www. devmedia.com.br/introducao-ao-formato-json/25275>. Acesso em: 21 jan. 2018.PEREIRA, A. P. O que é XML? Tecmundo, 18 mar. 2009. Disponível em: <https://www.tecmundo.com.br/programacao/1762-o-que-e-xml-.htm>. Acesso em: 21 jan. 2018. O foco de um SAD incide sobre a eficácia da tomada de decisão, pois enquanto um SIG ajuda a organização a fazer as coisas certas, um SAD auxilia o gerente a fazer a coisa certa em um determinado momento. A competência de um SAD está na análise e sensibilidade, tornando o sistema flexível e adaptável a condições mutantes e as diversas exigências das diferentes situações de tomada de decisão. Examina variações hipotéticas, tenta definir o impacto que uma mudança nas suposições (dados de entrada) causa sobre a solução proposta e avalia a busca de metas, tentando descobrir o valor das entradas necessárias para alcançar determinado nível de saída. 82 Re vi sã o: N om e do re vi so r - D ia gr am aç ão : N om e do d ia gr am ad or - d at a Unidade III A origem dos dados de um SAD provém de banco de dados, data warehouse e fontes de outros sistemas – tanto internos quanto externos. Uma das características essenciais desse sistema é a capacidade de aprendizagem: quanto mais problemas são resolvidos, mais conhecimento é acumulado. Observação Data warehouse é o conjunto de ferramentas técnicas de projeto. Tais ferramentas, quando aplicadas às necessidades específicas dos usuários e aos bancos de dados específicos, permitem o planejamento e a construção de um data warehouse. Audy et al. (2011) reforçam que os SAD auxiliam os gerentes de uma organização a tomar decisões semiestruturadas, com base em dados obtidos dos SIG, dos SPT e de fontes externas. Além disso, disponibilizam ferramentas que permitem ao usuário realizar análises e simulações como forma de comparar o impacto de diferentes decisões. 5.6 Sistemas de informação executiva (SIE) Também chamados de sistemas de apoio ao executivo (SAE ou Executive Information Systems – EIS), são projetados para dar suporte à tomada de decisão no mais alto escalão empresarial, amparando as ações dos membros da diretoria e presidência ou do conselho diretor. Auxiliam os responsáveis no nível estratégico de uma organização, que têm necessidade de informações diferenciadas sobre os demais níveis da empresa. Isso porque a decisão estratégica envolve decisões não estruturadas, ou seja, aquelas nas quais não há um bom nível de compreensão da situação ou não há concordância a respeito do procedimento a ser adotado. O SAE é uma tecnologia computadorizada projetada em resposta às necessidades específicas dos altos executivos. Fornece acesso rápido a informações atuais e acesso aos relatórios gerencias. Bastante fácil de usar, baseia-se em gráficos, pois o vital aos grandes executivos é aquele sistema que oferece as habilidades de relatório de exceção e de expansão. Para entrada do sistema, os dados mostram a realidade interna e externa da empresa. A realidade interna é indicada pelos registros dos demais sistemas de informação existentes na empresa, e os dados externos são obtidos a partir de fontes externas e dizem respeito a tendências e previsões políticas, econômicas e tecnológicas. O processamento desses dados permite ao executivo uma visão geral da situação ou, quando necessário, uma visão detalhada de algum aspecto. Tal ação é possível com o uso de ferramentas de inclusão de dados sobre eventos externos, bem como a obtenção de dados resumidos obtidos a partir dos demais sistemas de informação usados pela corporação. Então, são lançados gráficos a partir dessas informações condensadas dos demais sistemas (internos e externos). O objetivo é transmitir informações internas e externas sobre o mercado e os concorrentes, sobre a corporação e as novas direções que a empresa deve seguir em busca da vantagem para o seu progresso. 83 Re vi sã o: N om e do re vi so r - D ia gr am aç ão : N om e do d ia gr am ad or - d at a SISTEMAS DE INFORMAÇÃO EM COMÉRCIO E SERVIÇOS Um SAE é bastante interativo, fornecendo ao usuário relatórios que indiquem situações fora dos parâmetros estipulados pelos planos da empresa. Além disso, pela análise de tendências, permite que o executivo antecipe situações que alterem o panorama de negócios no qual a organização atua. Esse, portanto, é o mecanismo de feedback de um sistema de informação executiva. Podemos acrescentar às características anteriores a interface amigável, a exploração de recursos gráficos (botões, imagens, ícones, som, símbolos etc.) e a capacidade de multivisão. A multivisão cria possibilidades de visualização ou extração de dados, por meio de customização ou parametrização, navegação em telas do sistema, dados externos e informais e data mining. Observação Data mining ou mineração de dados é a utilização dos recursos de business intelligence para a obtenção de dados e geração de relatórios visando auxiliar a tomada de decisão. Efetivam-se a pesquisa dos dados associados a determinado assunto e seu cruzamento, fazendo com que as informações importantes sejam identificadas para serem usadas em análise posterior. Os SAE são formados por vários componentes de software. Permitem estudar muitas características específicas, tais como: • capacidade de obter detalhes; • acesso às informações completas e relacionadas; • acesso aos dados históricos dos concorrentes e dos parceiros; • obtenção e uso de dados externos; • geração de indicadores de problemas; • emissão de indicadores de tendências, taxas e critérios; • criação e apresentação em gráficos e textos na tela; • produção de relatórios de exceção; • simulações e projeções de cenários. Audy et al. (2011) destacam que os SAE são os sistemas de informação que auxiliam os executivos do nível estratégico da instituição a tomar decisões não estruturadas, a partir da disponibilização de um ambiente computacional e de comunicação que promove fácil acesso a dados internos e externos da empresa. Desse modo, o sistema propicia ao executivo uma visão tanto da situação atual quanto 84 Re vi sã o: N om e do re vi so r - D ia gr am aç ão : N om e do d ia gr am ad or - d at a Unidade III das tendências na área de negócio da organização. Esses sistemas, a princípio, não são projetados para resolver problemas específicos, mas para fornecer ferramentas que permitam aos executivos compreender as situações de negócio, identificar problemas e oportunidades, decidir por alternativas de atuação e planejar e acompanhar ações. 5.7 Sistemas de gestão empresarial integrada Um sistema de informação é composto de um conjunto de recursos humanos, materiais, tecnológicos e financeiros agrupados segundo uma sequência lógica que permita o processamento de dados e sua correspondente tradução em informação. Esse conjunto pode ser chamado de sistemas de gestão empresarial (SGE), que também é conhecido como SIG ou ERP (enterprise resource planning – planejamento de recursos empresariais). Todas essas siglas são relacionadas a um pacote de programas para dar suporte às necessidades de informação da organização. A integração de sistemas torna as empresas mais eficientes e eficazes, pois integram os dados para simplificarem os processos por meio de banco de dados centralizado, consolidando todas as operações em um único ambiente por meio da ferramenta ERP. A figura a seguir mostra a interação de um ERP. Cliente/ funcionários Vendas, distribuição, gerenciamento de pedidos Logística integrada Planejamento de produção Recursos humanos Contabilidade e finanças Figura 43 – Interações de um ERP O uso de ERP pelas organizações dos mais variados tipos tem se tornado cada vez mais frequente,trazendo ganhos valiosos para os mais diversos níveis. Embora essa tendência tenha se acentuado a partir da segunda metade dos anos 1990, sobretudo com a evolução dos microcomputadores, a verdade é que ela nasceu na década de 1960, mais especificamente para a área de produção industrial. Evoluiu a partir de sistemas de controle de produção. De início, os sistemas de gestão abrangiam apenas as necessidades do chão de fábrica, tendo como seu precursor os sistemas MRP (material requirements planning), cuja principal função era verificar a disponibilidade de matérias-primas, peças e componentes vitais à produção prevista pela programação da produção. É certo considerar que a falta de um item da estrutura de produtos pode inviabilizar a produção dentro do prazo pré-estabelecido. Da mesma forma, é importante levar em conta a premência de outros recursos, como a capacidade de equipamentos ou a disponibilidade de mão de obra. Por conta dessa carência, em meados dos anos 1980, nasce o MRP II (manufacturing resource planning), que não planeja apenas os recursos materiais, mas também os dispositivos e a mão de obra necessária para atender ao projeto da produção. 85 Re vi sã o: N om e do re vi so r - D ia gr am aç ão : N om e do d ia gr am ad or - d at a SISTEMAS DE INFORMAÇÃO EM COMÉRCIO E SERVIÇOS Vejamos o que ressaltam O’Brien e Marakas (2013, p. 270): [...] O planejamento de recursos empresariais (ERP) é um sistema interfuncional que atua como uma estrutura para integrar e automatizar muitos dos processos de negócios que devem ser realizados pelas funções de produção, logística, distribuição, contabilidade, finanças e de recursos humanos de uma empresa. Prosseguindo, destacam que “o programa ERP é uma família de módulos de software que apoia as atividades da empresa envolvidas nesses processos vitais internos” (O’BRIEN; MARAKAS, 2013, p. 270). [...] Organizações têm processos de negócios e fluxos de informação internos que também podem se beneficiar de uma integração mais estreita. Uma organização de grande porte caracteristicamente tem muitos processos de negócios. A maioria desses sistemas é montada com base em funções, níveis organizacionais e processos de negócios diferentes que não “falam” entre si, e os gerentes podem encontrar dificuldades para reunir os dados de que precisam para ter uma visão geral abrangente das operações da organização [...]. Muitas organizações estão montando sistemas integrados, também conhecidos como sistemas de planejamento de recursos empresariais (enterprise resource planning – ERP) [...]. O sistema integrado coleta dados dos principais processos de negócios e os armazena em um único arquivo de dados abrangente, e estes podem ser usados por outros setores da empresa (LAUDON; LAUDON, 2004, p. 61). Uma constante nos conceitos abordados é a abrangência e a integração desse tipo de sistema. Nesse sentido, o objetivo do software é colocar a informação uma única vez no sistema, permitindo que a maior parte dos envolvidos utilize sempre a mesma informação e tenha acesso a ela em tempo real; por conseguinte, o programa elimina possíveis erros, uma vez que não é preciso realizar reentradas de dados, bem como abole registros contraditórios, garantindo unicidade e integridade. Quando optam pelo ERP, as organizações desejam obter vários benefícios. Entre eles, podemos citar: • eliminação do uso de interfaces manuais; • otimização do fluxo da informação e da qualidade; • aperfeiçoamento dos processos de tomada de decisão; • integração entre as diversas atividades da cadeia de valor; • uso de base de dados unificada; 86 Re vi sã o: N om e do re vi so r - D ia gr am aç ão : N om e do d ia gr am ad or - d at a Unidade III • incremento dos controles nos processos produtivos; • melhor utilização e exploração dos recursos tecnológicos; • redução dos custos; • eliminação de redundância de atividades; • adoção de boas práticas; • acesso à informação de qualidade para a tomada de decisão. Contudo, o ERP tem pontos negativos: • sua utilização não torna uma empresa verdadeiramente integrada, pois não engloba o CRM; • tempo de aprendizagem; • altos custos, que muitas vezes não comprovam a relação custo-benefício (ROI – return over investiment); • resistência às mudanças; • dependência do fornecedor do pacote; • custos de implantação; • torna os módulos dependentes uns dos outros, pois cada departamento depende das informações do módulo anterior. Saiba mais Saiba mais sobre o ROI: SEUS INVESTIMENTOS estão valendo a pena? A resposta pode estar no ROI. Endeavor Brasil, 27 ago. 2015. Disponível em: <https://endeavor.org. br/roi/>. Acesso em: 20 jan. 2018. Para que ocorra maior integração entre os sistemas e os processos, o ERP deve ser implantado em todos os departamentos da organização. Cada usuário tem sua senha, assim se evita que dados sejam corrompidos de forma proposital ou acidental. Além dessa vantagem, a ferramenta permite à alta direção o acesso a uma quantidade de informações, simplificando o fluxo dos dados e eliminando problemas. 87 Re vi sã o: N om e do re vi so r - D ia gr am aç ão : N om e do d ia gr am ad or - d at a SISTEMAS DE INFORMAÇÃO EM COMÉRCIO E SERVIÇOS A adoção de um sistema de informação põe fim aos vários controles paralelos na instituição, que normalmente funcionam de maneira isolada em vários programas. Desse modo, para maior controle nos processos, no ERP todos os dados são contabilizados em um único banco de dados, tornando-os menos vulneráveis. Outro fator essencial é que, além de compor diversos módulos para relacionar as tarefas e funções empresariais dentro dos departamentos, proporciona aos gestores maior confiabilidade dos dados, que são avaliados em tempo real e de forma significativa, reduzindo o retrabalho. Hoje, argumenta-se que é impensável uma organização funcionar sem o uso de um bom software de gestão integrado, pois as decisões precisam ser encontradas em um único “órgão” para definir o que produzir (produto), quanto produzir (volume), como produzir (ferramentas) e quando produzir (tempo). Percebe-se facilmente a extensão do problema. A maioria das empresas fabrica/entrega mais de um produto/serviço, e muitas vezes utilizam um grande número de matérias-primas (componentes) para obtenção dos produtos finais. Assim, é preciso considerar os estoques disponíveis, as entregas previstas, as compras em andamento, os prazos de entrega e a perspectiva de atrasos nos processos. Sem o auxílio do software, seria praticamente impossível gerir esse conjunto de informações. A decisão de contratar sistemas versus desenvolver internamente pode trazer grandes problemas, tais como inflexibilidade, porque nem sempre os fornecedores do software estão dispostos a realizar alterações nos programas, e a questão do valor, por causa do alto custo de adequação. Outro fator relevante para o sucesso de um ERP é a fase de implantação, que deve ser muito bem definida e planejada em todas as suas etapas. Depois, é preciso comunicar a todos os departamentos os benefícios que poderão ser alcançados por meio de sua utilização. Não se deve esquecer de que o projeto não é uma ação isolada do departamento de informática, a alta direção, os usuários e o gerenciamento de mudanças são protagonistas nesse processo. Por se tratar de organização, conforme Laudon e Laudon (2004), deve-se observar em uma ferramenta de gestão a facilidade e praticidade de uso, pois quanto mais fácil for sua utilização, melhor será treinar e manter os funcionários atualizados. É por isso que o treinamento não pode ser negligenciado. No entanto, é importanteconhecer a cultura da instituição na qual tal dispositivo está inserido, fazendo uma análise da estrutura e dos processos com foco na visão do negócio. Assim, será possível compreender os requisitos organizacionais que vão interferir na execução e na aceitação do sistema ERP, promovendo sua aceitação. Por fim, os objetivos da implantação do sistema ERP devem suportar os processos redesenhados da empresa e ser algo que garanta a consistência, a confiabilidade e a rapidez na obtenção dos objetivos e da programação. 5.8 Sistemas de gestão da cadeia de suprimentos (SCM) O SCM representa processos de negócios que gerenciam os fluxos de bens, serviços e informações dentro de uma cadeia integrada. Procura eleger matérias-primas e transformá-las em produtos intermediários e acabados, concatenando clientes, varejo, transporte, indústrias e fornecedores. Assim, articula os serviços ou produtos desde a fonte até o consumidor. O supply chain management (SCM), como também é conhecido, é a integração de todos os processos envolvidos em uma cadeia 88 Re vi sã o: N om e do re vi so r - D ia gr am aç ão : N om e do d ia gr am ad or - d at a Unidade III de suprimentos aliados ao conjunto de técnicas utilizadas nas etapas desta cadeia, incluindo transporte, estoque e custo. Segundo O’Brien e Marakas (2013), como cada processo da cadeia de suprimentos agrega valor aos produtos ou serviços produzidos por uma empresa, essa cadeia muitas vezes é denominada cadeia de valores, um conceito diferente, porém relacionado. Hoje, em qualquer situação, muitas companhias usam a tecnologia da internet para criar sistemas de negócios eletrônicos interempresariais que agilizem a administração da cadeia de gestão. A cadeia de suprimentos tem como objetivo auxiliar na redução dos custos ao longo de todo o processo, bem como atender às exigências dos clientes de forma mais assertiva e com maior qualidade. Atualmente, o foco das empresas é em seu cliente, por isso o SCM busca uma gestão de qualidade, entregando o que o cliente deseja, no preço e nas condições estabelecidas. Nesse contexto, é vital entender a logística. Logística é a parte do processo da cadeia de suprimento que planeja, implementa e controla os fluxos e armazenagem de bens, serviços e informações de forma eficiente e eficaz, desde a aquisição de matéria-prima até o consumo final. O objetivo da logística é garantir a sincronização e continuidade das atividades, evitando falhas e interrupções (BALLOU, 2007, p. 45). Existem dois processos na logística no setor de serviços, supply chain logistics (SCL) e service response logistics (SRL). O primeiro diz respeito ao desenvolvimento do serviço, na coordenação dos materiais e produtos, incluindo atividades associadas a compras, transporte, armazenagem e estoque, além dos serviços aos clientes. O SRL está relacionado ao planejamento e gestão da entrega do serviço; atua na coordenação das atividades não materiais e inclui gestão do tempo de espera, da capacidade e dos canais de distribuição. Para assegurar qualidade no gerenciamento e na execução da cadeia de suprimentos, é necessário que os membros da cadeia atuem em conjunto para atingir os mesmos objetivos e coordenar melhor os processos de negócio. Para tal, as empresas estão recorrendo ao processo colaborativo, que é o uso de tecnologias digitais como internet, intranet e extranet para capacitar as organizações a desenvolver, montar e gerenciar os produtos durante seu ciclo de vida. Muitas entidades são responsáveis por sua própria rede, assim diminuem custos e facilitam o compartilhamento de informações, informações essas com algumas restrições de acesso; utilizam as redes chamadas departamentais para coordenar pedidos e outras atividades com fornecedores, distribuidores, empresas parceiras e até mesmo alguns clientes. A figura a seguir destaca os processos empresariais básicos do ciclo de vida da cadeia de suprimentos e os processos funcionais de apoio do SCM. Ela também acentua como as instituições hoje estão renovando os processos da cadeia de suprimentos com a ajuda da tecnologia da internet e de software de gestão da cadeia de suprimentos. Por exemplo, as demandas do atual ambiente empresarial competitivo estão pressionando os fabricantes a utilizar intranets, extranets e portais de e-commerce 89 Re vi sã o: N om e do re vi so r - D ia gr am aç ão : N om e do d ia gr am ad or - d at a SISTEMAS DE INFORMAÇÃO EM COMÉRCIO E SERVIÇOS da web para reformular suas relações com fornecedores, distribuidores e revendedores. O objetivo é reduzir significativamente os custos, aumentar a eficácia e melhorar o tempo de ciclo da cadeia de suprimentos. O software SCM também ajuda a melhorar a coordenação entre as empresas envolvidas nesse processo. Desse modo, observa-se uma melhoria na eficácia das redes de distribuição e dos canais entre os parceiros comerciais. Compromisso ExecuçãoProgramação Entrega Ciclo de vida da cadeia de suprimentos Processos funcionais SCM Solução integrada SCM Pesquisa de fornecedores e requisição de compras estratégicas Planejamento e previsão de demanda Atendimento do pedido do cliente/serviço Geração da rede de distribuição e armazenagem Logística de produção Gerenciamento de transporte e entrega Internet Atendimento colaborativo Dados compartilhados de mercado Fornecedor Fabricante Varejista Cliente Figura 44 – Fluxo de informações na cadeia de suprimentos • Internet: é um conjunto de redes de computadores interligados geograficamente pelo mundo inteiro, são redes organizadas individuais, cada uma delas é administrada e sustentada por seu próprio usuário. Cada rede colabora com outras redes para dirigir o tráfego da internet, de modo que as informações possam percorrê-las. Juntas, todas elas formam o mundo conectado da internet. • Intranet: é uma rede corporativa que utiliza a tecnologia da internet; é uma rede de computadores particular ou privada que permite a rápida comunicação e disponibilização de dados e informações dentro de uma mesma empresa. • Extranet: é uma extensão da intranet, compreendendo uma linha de ligação exclusiva entre redes locais, desde que devidamente autorizados, permitindo a inclusão de parceiros de confiança no âmbito das redes. Uma extranet requer segurança e privacidade, o que pressupõe administração de servidores de firewall, a emissão e o uso de certificados digitais ou meios semelhantes de autenticação de usuário, encriptação de mensagens e o uso de redes privadas virtuais (VPNs). 90 Re vi sã o: N om e do re vi so r - D ia gr am aç ão : N om e do d ia gr am ad or - d at a Unidade III 6 PRIVACIDADE E SEGURANÇA EM SISTEMAS DE INFORMAÇÃO Tem como principal objetivo conscientizar sobre a importância da preservação do patrimônio informacional por meio de métodos e normas técnicas, para garantir a confidencialidade, a integridade e a disponibilidade da informação. Com a evolução da TI e dos meios de comunicação, os sistemas integrados exigem conhecimento dos processos e níveis empresariais, bem como fluxos de informações, e são os gerentes que determinam quais setores devem estar ligados para atender às necessidades da empresa de acordo com os recursos tecnológicos e administrativos que ela possui. Ao interligar uma enorme quantidade de dados no formato eletrônico por meio das redes de telecomunicações, as organizações tornam-se vulneráveis a vários tipos de ameaças. A informação é considerada o principal patrimônio da empresa e está sob constante risco. As entidades perceberam que o domínio da tecnologia é vital para o controleda informação, pois é um fator estratégico. As empresas passaram a se preocupar muito mais com a conscientização do funcionário e em se manter a ética profissional, pois um funcionário insatisfeito pode trazer inúmeros problemas, inclusive levando um dado valioso ou uma estratégia que foi usada para atingir novos resultados, por exemplo. A informação expressa a inteligência competitiva dos negócios e é reconhecido como ativo crítico para a continuidade operacional da empresa. Podemos classificá-la em quatro tipos: • Pública: distribuídas sem restrições. • Interna: são aquelas de interesse específico. • Particular: possui um âmbito mais pessoal; se cair em mãos erradas, prejudicará não somente a empresa, mas sobretudo o próprio funcionário. • Confidencial: é a mais valorizada de uma empresa. Apenas alguns membros devem ter conhecimento dela. Representa as informações operacionais da entidade, de marketing, enfim, são os segredos comerciais da empresa (aquisição de ações, código fonte etc). 6.1 Segurança da informação É uma área do conhecimento dedicada à proteção de ativos da informação contra acessos não autorizados, alterações indevidas ou sua indisponibilidade. Deve proteger não somente os dados de determinada instituição, bem como suas informações pessoais. A informação possui três atributos básicos: confidencialidade, integridade e disponibilidade. A confidencialidade limita o acesso exclusivamente a entidades autorizadas pelo proprietário da informação. A integridade não permite que ela sofra alterações, ou seja, a informação manipulada deve manter todas as características originais fixadas por seu proprietário. A disponibilidade garante que ela esteja sempre disponível às entidades autorizadas pelo proprietário. 91 Re vi sã o: N om e do re vi so r - D ia gr am aç ão : N om e do d ia gr am ad or - d at a SISTEMAS DE INFORMAÇÃO EM COMÉRCIO E SERVIÇOS O risco à segurança é a probabilidade de ameaças explorarem vulnerabilidades e provocarem perdas de confidencialidade, integridade e disponibilidade, causando, possivelmente, impactos nos negócios. A perda de confidencialidade ocorre quando existe uma quebra de sigilo de uma informação específica, ou seja, deixa de ser segredo para determinado grupo e passa a ser acessível a outro(s) usuário(s). A perda de integridade efetiva-se quando uma informação perde sua forma original: uma pessoa não autorizada faz alterações sem a aprovação e o controle do proprietário (corporativo ou privado). Já a perda de disponibilidade ocorre quando a informação não está mais disponível para a entidade que necessita dela, na maioria das vezes acontece a perda de comunicação com um sistema importante para a empresa, como a queda de um servidor de uma aplicação crítica ao negócio. Outros fatores relevantes são a autenticidade, que garante a identidade do usuário e efetua o controle das operações individuais de cada usuário através de log, e a prevenção de interrupções na operação de todo o sistema, tanto de hardware quanto de software. Observação Log é um arquivo armazenado em um servidor que contém os registros de todas as operações, data e hora que o usuário realizou no sistema. Log de dados é uma expressão utilizada para descrever o processo de registro de eventos relevantes em um sistema computacional. No tocante à segurança da informação, há diversos aspectos de segurança a considerar: segurança contra vírus de computador; contra furtos de informação e/ou equipamentos e/ou software; contra fraudes informatizadas etc. Quanto aos métodos de segurança, são as formas de obter ou planejar segurança. Na maioria das vezes, são baseados na política de segurança definida pela empresa, por meio da qual são fixados princípios que devem ser perseguidos e mantidos. Existem dois tipos de métodos de segurança: • Controles físicos: são barreiras que limitam o contato ou acesso direto à informação ou à infraestrutura, que garante a existência da informação, que a suporta, tais como portas, trancas, paredes, blindagem etc. • Controles lógicos: são mecanismos que impedem ou limitam o acesso à informação, que está em ambiente controlado, geralmente eletrônico, e que, de outro modo, ficaria exposta à alteração não autorizada por elemento mal-intencionado, tais como criptografia e assinatura digital. Observação Criptografia é a ciência e a arte de escrever mensagens em forma cifrada ou em código; é um dos principais mecanismos de segurança para a proteção dos riscos associados ao uso da internet (CERT, [s.d.]). 92 Re vi sã o: N om e do re vi so r - D ia gr am aç ão : N om e do d ia gr am ad or - d at a Unidade III A política de segurança atribui direitos e responsabilidades às pessoas que lidam com os recursos computacionais de uma instituição e com as informações neles armazenados. Ela define as obrigações de cada um em relação à segurança dos recursos com os quais trabalham. Também deve prever o que pode ser feito na rede da instituição e o que será avaliado como inaceitável. Tudo o que descumprir a política de segurança pode ser considerado um incidente de segurança. Por fim, nela são fixadas as penalidades às quais estão sujeitos aqueles que não cumprirem a política. A política de segurança é um conjunto formal de normas e regras estabelecidas pela empresa que devem ser seguidas pelos usuários dos recursos de uma organização, a fim de evitar possíveis ameaças e combatê-las de modo eficaz. Existem duas filosofias por trás de qualquer política de segurança: a proibitiva, em que tudo que não é expressamente permitido é proibido; e a permissiva, em que tudo que não é proibido é permitido. O conteúdo básico de uma política de segurança são orientações sobre análise e gerência dos riscos, princípios de conformidade dos sistemas com a política de segurança de informações (PSI), classificação das informações e padrões mínimos de qualidade. A PSI deve seguir diretrizes legais e éticas quanto ao direito à propriedade intelectual, direitos sobre softwares, normas de implementação de segurança, políticas de controle de acesso a recursos e sistemas e princípios de supervisão das tentativas de violação aos sistemas de informação. Ademais, é vital identificar quais recursos necessitam ser protegidos e quais são os mais importantes, recursos esses que englobam hardware, software, dados, pessoas, documentação e suprimentos. A política de uso aceitável (AUP – acceptable use policy) é um documento que estipula como os recursos computacionais de uma organização podem ser usados. Ela ainda define os direitos e responsabilidades dos usuários. Os provedores de acesso à internet normalmente deixam suas políticas de uso aceitável disponíveis em suas páginas. Empresas costumam dar conhecimento da política de uso aceitável no momento da contratação ou quando o funcionário começa a utilizar seus recursos computacionais. Situações que caracterizam o uso abusivo da rede também estão fixadas nela. Na internet, os comportamentos em geral considerados como uso abusivo são: • envio de spam; • envio de correntes da felicidade e de correntes para ganhar dinheiro rápido; • envio de e-mails de phishing/scam; • cópia e distribuição não autorizada de material protegido por direitos autorais; • utilização da internet para fazer difamação, calúnia e ameaças; • ataques a outros computadores; • comprometimento de computadores ou redes. 93 Re vi sã o: N om e do re vi so r - D ia gr am aç ão : N om e do d ia gr am ad or - d at a SISTEMAS DE INFORMAÇÃO EM COMÉRCIO E SERVIÇOS A política de segurança é a expressão formal das regras pelas quais é fornecido o acesso aos recursostecnológicos da empresa. Seu principal propósito é notificar usuários, equipe e gerentes de suas obrigações para a proteção da tecnologia e do acesso à informação. Ela deve especificar os mecanismos por meio dos quais esses requisitos podem ser alcançados. As características de uma boa política de segurança são: • deve ser exequível através de procedimentos de administração, publicação das regras de uso aceitáveis ou outros métodos apropriados; • deve ser exigida com ferramentas de segurança apropriadas, e com sanções onde a prevenção efetiva não seja tecnicamente possível; • deve definir claramente as áreas de responsabilidade para usuários, administradores e gerentes. A auditoria é uma área que engloba o exame das operações, processos, sistemas e responsabilidades gerenciais de uma determinada organização, com o intuito de verificar sua conformidade com certos objetivos e políticas institucionais, orçamentos, regras ou padrões. Na área da TI, a auditoria analisa a gestão de recursos com foco em eficiência, eficácia, economia e efetividade, podendo abranger o ambiente de informática como um todo – organização do departamento de informática, controle de banco de dados, redes e diversos aplicativos. A auditoria da segurança da informação determina a postura da empresa com relação à segurança, avalia a política de segurança e os controles relacionados com aspectos de segurança institucional. Há consenso geral de que a internet precisa de maior segurança, sobretudo nas áreas de infraestrutura de rede contra monitoração e controle não autorizado de tráfego da rede e proteção do tráfego de usuário final usando mecanismos de autenticação e criptografia. As informações devem estar disponíveis no momento e em local estabelecido, serem confiáveis, corretas e mantidas fora do alcance de pessoas não autorizadas. A vulnerabilidade é definida como uma falha no projeto, na execução ou na configuração de um software ou sistema operacional; quando explorada por um atacante, resulta na violação da segurança de um computador. Existem casos nos quais um sistema operacional instalado em um computador pode conter uma vulnerabilidade que permite seu acesso remoto, ou seja, através da rede. Portanto, um atacante conectado à internet pode obter acesso não autorizado ao computador vulnerável. É possível haver danos quando um usuário introduz erros ou acessa sistemas sem permissão, já que é plausível acessar dados enquanto trafegam na rede, roubar registros importantes durante uma transmissão ou modificar mensagens sem autorização. Intrusos podem deflagrar ataques de recusa de serviço ou inserir softwares mal-intencionados e assim suspender a operação de sites. Além disso, fabricantes também costumam manter páginas na internet com considerações a respeito de possíveis vulnerabilidades em seus softwares. Portanto, a ideia é estar sempre atento aos sites peritos em acompanhá-las, aos sites dos fabricantes, às revistas especializadas e aos cadernos 94 Re vi sã o: N om e do re vi so r - D ia gr am aç ão : N om e do d ia gr am ad or - d at a Unidade III de informática dos jornais, para verificar a existência de vulnerabilidades no sistema operacional e nos softwares instalados no computador. A melhor forma de evitar danos é mantê-los atualizados. Entretanto, fabricantes em muitos casos não disponibilizam novas versões de seus softwares quando é descoberta alguma vulnerabilidade, mas sim correções específicas (patches). Estes patches, também chamados de hot fixes ou service packs, têm por finalidade corrigir os problemas de segurança referentes às vulnerabilidades descobertas. Desse modo, é vital que os responsáveis, além de manter o sistema operacional e os softwares atualizados, instalem os patches sempre que forem disponibilizados. Há outras situações relevantes, tais como a quebra de um hardware. Caso tenha sua configuração inadequada ou seja danificado por uso impróprio ou atividades criminosas, os sistemas não funcionam como deveriam. Por outro lado, os softwares podem conter erros de programação, instalação inadequada ou alterações não autorizadas. A vulnerabilidade também pode ocorrer por quedas de energia, enchentes, incêndios ou outros desastres naturais, que prejudicam os sistemas. Quando a internet passa a fazer parte da rede corporativa, os sistemas da organização ficam mais suscetíveis a ataques, expondo sua vulnerabilidade. Esta, por sua vez, permite que softwares desenvolvidos com más intenções penetrem por barreiras de antivírus. A intenção é anular tal ação, identificar e corrigir falhas desses softwares, não prejudicando o funcionamento do sistema. Contudo, o procedimento pode ser dispendioso e demorado. Os softwares mal-intencionados são criados rapidamente e as empresas têm pouco tempo para agir na divulgação da vulnerabilidade e das atualizações dos softwares com falhas. A vulnerabilidade também está associada a políticas de procedimentos e medidas técnicas utilizadas para impedir acesso não autorizado, alteração, roubo ou danos físicos, que podem tanto manter quanto extrair a segurança de ativos organizacionais. A segurança de uma rede pode ser fornecida por pacotes de software de sistemas especializados conhecidos como monitores de segurança de sistemas, que são programas que monitoram o uso de sistemas e redes de computadores e os protegem do uso não autorizado, fraude e destruição. Eles fornecem as medidas necessárias para permitir que apenas usuários autorizados acessem as redes. Códigos e senhas de identificação, por exemplo, são frequentemente usados para essa finalidade. Os monitores de segurança também controlam o uso dos recursos de hardware, software e dados de um sistema de computador. Mesmo usuários autorizados podem estar restritos ao uso de certos dispositivos, programas e arquivos de dados. Além disso, os programas de segurança monitoram o uso de redes de computadores e coletam estatísticas sobre quaisquer tentativas de uso impróprio. Em seguida, produzem relatórios para ajudar na manutenção da segurança da rede. Segundo Stallings (2015), essencialmente, os desafios da segurança de computadores e redes é [...] uma batalha de inteligência entre um criminoso que tenta encontrar buracos e o projetista ou administrador que tenta fechá-los. A grande vantagem que o atacante possui é que ele ou ela precisa encontrar uma simples brecha, enquanto o projetista tem que encontrar e eliminar todas as possíveis brechas para garantir uma segurança perfeita (STALLINGS, 2015, p. 9). 95 Re vi sã o: N om e do re vi so r - D ia gr am aç ão : N om e do d ia gr am ad or - d at a SISTEMAS DE INFORMAÇÃO EM COMÉRCIO E SERVIÇOS 6.2 Privacidade A internet está colocando em extinção dois direitos inegáveis de qualquer um: segurança e privacidade. Se fizermos uma investigação rápida sobre a quantidade de informações pessoais, e até sigilosas, que passamos para desconhecidos sempre que acessamos a internet, teríamos dificuldade em dormir. Mesmo que nunca tenhamos, por exemplo, digitado o número do cartão de crédito em uma homepage, nossos passeios pela web são um livro escancarado, repleto de informações que podem ser utilizadas sem nosso conhecimento e, o que é muito pior, sem consentirmos nada. A verdade é que hoje as informações e dados pessoais de milhões de internautas são uma mercadoria à disposição de quem estiver disposto a pagar por ela. Você por acaso já preencheu um formulário com seus dados pessoais ao fazer uma inscrição em uma homepage? Já recebeu e-mail de empresa vendendo produto ou fazendo algum tipo de marketing? Se a resposta a essas duas perguntas é sim, então as informações transmitidas, de livre e espontânea vontade, são mercadorias on-line. Alémdesses dados, ainda há registros que são “pescados” pelos sites que visitamos. No mundo todo o número de empresas que arquivam e fornecem dados pessoais coletados via internet está crescendo assustadoramente. Os maiores compradores desse tipo de informação são empresas de marketing, mas nada impede que qualquer internauta pague entre US$ 7 e US$ 25 por informações como o nome completo de uma determinada pessoa, data de aniversário, endereço, telefone. Um negócio absolutamente dentro da lei, uma vez que não existe nenhuma regulamentação sobre o direito de privacidade on-line. Existem cuidados que devem ser tomados por um usuário ao acessar ou disponibilizar páginas na internet. É possível que informações pessoais sejam expostas e que seu browser receba ou envie dados a respeito de suas preferências e sobre o seu computador. Tais ações podem afetar sua privacidade, a segurança de seu computador e até mesmo a própria segurança. Com o avanço da informatização em todos os setores, qualquer passo que dermos significa um arquivo criado sobre nós de um usuário em algum lugar. O simples ato de “surfar” na web é um dos maiores exemplos disso. Quer verificar? Basta reconfigurar o browser para avisá-lo sempre que um cookie estiver sendo instalado em seu sistema. Cookies são linhas de códigos que os web sites transmitem para o browser e permitem que eles façam um acompanhamento eletrônico de todos os passos do usuário. A esmagadora maioria das homepages fornece esses dados para empresas de marketing e propaganda, além de usá-los como monitoramento do público. A quantidade de cookies e seus efeitos são enormes. Suponhamos que o usuário configurou o menu de preferências do browser para alertá-lo sobre os cookies. À medida que navegamos na web, vão aparecendo caixas de diálogo pedindo permissão para a instalação dos cookies. Precisamos responder sim ou não. O problema é o seguinte: se respondemos não, alguns sites não permitem que acessemos sua página. Caixas de diálogo aparecendo a todo instante é chato, mas isso nos dá uma ideia de como nossos passos são eletronicamente marcados. 96 Re vi sã o: N om e do re vi so r - D ia gr am aç ão : N om e do d ia gr am ad or - d at a Unidade III Os cookies foram criados para facilitar sua movimentação nos sites. Antes deles, cada movimento em diferentes páginas de uma homepage era como se o usuário tivesse acabado de entrar. Os cookies ajudam a identificar a entrada inicial no site, o que nos permite abrir as páginas com mais rapidez. Eles são uma identificação eletrônica; em alguns sites, duram apenas o tempo de sua visita, mas em outros eles ficam anos. Os sites não identificam o cookie simplesmente pelo nome, mas através dele podem monitorar todos os movimentos. 6.3 Invasão de sistemas Mais de 100 milhões de pessoas acessam a internet no Brasil, sendo que 89 milhões o fazem por celulares. Quanto mais gente on-line, mais criminosos digitais enxergam na rede um ótimo lugar para roubar dados e dinheiro. Além das pragas digitais, eles apostam, acima de tudo, no desconhecimento em tecnologia e nas empresas que não investem muito em segurança digital. Pesquisas indicam que foram descobertos 430 milhões de pragas para computadores em 2015. Nos smartphones, as ameaças ultrapassaram 10 milhões em 2016, segundo a McAfee Labs, outra empresa do setor. Ou seja, estamos navegando em um mar de pragas. Só no Brasil, por exemplo, os golpes virtuais causaram prejuízos de 2,4 milhões de dólares só em 2015 (mais que o dobro do total do ano anterior), segundo relatório da consultoria PricewaterhouseCoopers (apud ARCOVERDE, 2016). Como você pode ver, os ataques virtuais estão por toda a parte: e-mails, redes sociais, sites de download, jogos on-line, aplicativos de banco e muitos outros. Os criminosos estão atentos o tempo todo. O objetivo maior é encontrar usuários desatentos para roubar informações e dinheiro deles. Os motivos pelos quais alguém tentaria invadir seu computador são inúmeros. Vejamos alguns deles: • apagar arquivos ou destruir informações; • instalar spyware que coleta informações particulares, como número do cartão de crédito, senhas, combinação de teclas, informações confidenciais (segredos comerciais e mensagens pessoais) e as enviar para pessoas mal-intencionadas; • causar problemas e danificar computadores; • violar a privacidade; • tornar inoperantes serviços de rede (ataques de recusa de serviços distribuídos); • infectar computadores por meio de vírus; • fazer com que o computador-alvo faça parte de uma rede de milhares de computadores comprometidos, tornando-o um repositório de dados; • enviar mensagens sem autorização do remetente, disseminando informações falsas e alarmantes; • esconder a real identidade e localização do invasor para se passar por alguém de sua confiança. 97 Re vi sã o: N om e do re vi so r - D ia gr am aç ão : N om e do d ia gr am ad or - d at a SISTEMAS DE INFORMAÇÃO EM COMÉRCIO E SERVIÇOS Um incidente é um acontecimento não previsto, ocorre por causa de um descuido, mas que não é algo grave. No caso de segurança da informação, tem alta probabilidade de comprometer as operações do negócio ou a privacidade pessoal. A Cartilha de Segurança para Internet, publicada pelo Centro de Estudos para Resposta e Tratamento de Incidentes em Computadores (CERT), cita exemplos: – Tentativas de ganhar acesso não autorizado a sistemas ou dados. – Ataques de negação de serviço. – Uso ou acesso não autorizado a um sistema. – Modificações em um sistema, sem o conhecimento, instruções ou consentimento prévio do dono do sistema. – Desrespeito à política de segurança ou à política de uso aceitável de uma empresa ou provedor de acesso (CERT, 2006, p. 59). O incidente de segurança da informação ocorre quando há confirmação ou suspeita de que alguma informação perdeu ou comprometeu um dos três atributos básicos que sustentam a segurança da informação: integridade, confidencialidade ou disponibilidade. Diversas corporações sofrem com a política de senhas, mais especificamente sobre sua composição. Alguns profissionais têm dificuldade em memorizar várias senhas de acesso, e há funcionários displicentes que anotam a senha no teclado, em papéis no fundo de gavetas, chegando a colocá-la até no monitor. Para maior segurança, várias organizações adotam um tempo de vida útil, que é pré-determinado pela equipe de segurança: caso o usuário não trocar sua senha, fica com acesso bloqueado. Todas as senhas são testadas diariamente pela equipe para detectar fragilidades. Contudo, de nada adianta tanto esforço se o usuário continuar a cometer os equívocos citados. A forma mais comum de verificar a identidade de alguém é por meio de senhas ou palavras-chaves. Alguns cuidados são necessários tanto na criação quanto em sua manutenção. Caso sejam ignorados, podem trazer sérios problemas de segurança. Ter uma senha fraca ou não mantê-la em sigilo é o mesmo que não ter nenhuma. É preciso evitar as obviedades em sua criação. Por exemplo: senhas que se referem ao próprio nome, à data de aniversário, à informação pessoal, a palavras de dicionário em qualquer língua ou ordem (natural ou inversa), à substituição de vogais ou consoantes por números ou sequência e/ou repetição de números e/ou caracteres. Outro aspecto relevante é que usuários utilizam a mesma senha para todos os acessos, ou seja, se uma for descoberta, todos os sistemas estarão comprometidos. Elas também não devem ser armazenadas em dispositivos móveis, a não ser que haja aprovação da empresa e isso seja feito com um método seguro. O uso de senha padrão, aquela que já vem configurada nos aplicativos e/ou equipamentos, é outra brecha para invasores: se é padrão, todos
Compartilhar