Baixe o app para aproveitar ainda mais
Prévia do material em texto
UNIP INTERATIVA Projeto Integrado Multidisciplinar Cursos Superiores de Tecnologia Projeto Integrado Multidisciplinar VI UNIP São Paulo 2019 UNIP INTERATIVA Projeto Integrado Multidisciplinar III Cursos Superiores de Tecnologia Projeto Integrado Multidisciplinar Gestão de Tecnologia da Informação Segundo Semestre UNIP São Paulo Junho/2019 UNIP INTERATIVA RESUMO O crescimento dos negócios da empresa Odontopalmeira fizeram com que fosse necessária a adoção de um sistema de informação que possa trazer eficácia ao gerenciamento do relacionamento com os clientes, de forma que esse aumento não atrapalhe a qualidade desse relacionamento e permita que o foco no cliente continue sendo o principal diferencial competitivo e estratégico da empresa. Para alcançar essa meta foram necessárias mudanças eficientes na estrutura, com o levantamento correto dos custos, escolha valorada do sistema e banco de dados a serem utilizados, acrescida dos valores éticos e desempenho legal satisfatório. Palavras-chave: CRM, Sistemas de Informação, Bancos de Dados ABSTRACT The businesses’ growth of Odontopalmeira made it necessary to adopt an information system that can effectively manage customer relationships, in a way that this increase does not disrupt the quality of the relationship and allows that the focus on the customer continues being the main competitive and strategic differential of the company. In order to achieve this goal, efficient changes were required in the structure, with correct costing, a valued choice of the system and database to be used, plus ethical values and satisfactory legal performance. Keywords: CRM, Information Systems, Database Lista de figuras Figura 1 – A organização, os níveis e os componentes do ambiente ......................... 4 Figura 2 – Matriz SWOT ................................................................................................ 8 Figura 3 – Mapa de Processo CRM ............................................................................ 16 https://d.docs.live.net/0e4b57680d544a52/Documents/Desktop/Unip/2S/PIM%20VI.docx#_Toc10121449 https://d.docs.live.net/0e4b57680d544a52/Documents/Desktop/Unip/2S/PIM%20VI.docx#_Toc10121450 https://d.docs.live.net/0e4b57680d544a52/Documents/Desktop/Unip/2S/PIM%20VI.docx#_Toc10121451 Lista de Tabelas Tabela 1 – Objetivos, Metas, Estratégias e Ações ..................................................... 10 Tabela 2 – BSC Odontopalmeira ................................................................................. 12 Lista de Abreviaturas e Siglas BSC ................................................................................................................................. 6 CAD ............................................................................................................................... 13 COBIT ............................................................................................................................. 6 CRM .............................................................................................................................. 14 FCS ................................................................................................................................. 7 GDPR ............................................................................................................................ 17 ISO ................................................................................................................................ 18 P2P ............................................................................................................................... 24 PSI ................................................................................................................................ 20 SGBD ............................................................................................................................ 13 SWOT ............................................................................................................................. 5 SUMÁRIO 1 INTRODUÇÃO .............................................................................................. 1 1.1 MOTIVAÇÃO............................................................................................... 1 1.2 OBJETIVO .................................................................................................. 2 1.3 METODOLOGIA .......................................................................................... 2 2 PLANEJAMENTO ESTRATÉGICO ............................................................. 3 2.1 EMBASAMENTO TEÓRICO ........................................................................... 3 2.2 PLANEJAMENTO ESTRATÉGICO .................................................................. 6 2.2.1. Objetivos, Metas, Estratégias e Ações .................................................................. 9 2.3 PLANO ESTRATÉGICO DE TI ..................................................................... 10 2.3.1. Objetivos Estratégicos de TI ................................................................................ 11 3 MODELAGEM DE SISTEMAS DE INFORMAÇÃO .................................. 13 3.1 EMBASAMENTO TEÓRICO ......................................................................... 13 3.2 SISTEMA DE GESTÃO DOS CLIENTES ........................................................ 16 4 SEGURANÇA DA INFORMAÇÃO ............................................................. 17 4.1 EMBASAMENTO TEÓRICO ......................................................................... 17 4.2 POLÍTICA DE SEGURANÇA DA INFORMAÇÃO .............................................. 20 4.2.1. Monitoramento e Auditoria do Ambiente ............................................................. 20 4.2.2. Correio Eletrônico ................................................................................................ 21 4.2.3. Internet ................................................................................................................. 22 4.2.4. Identificação ......................................................................................................... 24 4.2.5. Computadores e Recursos Tecnológicos............................................................ 26 4.2.6. Dispositivos Móveis ............................................................................................. 29 4.2.7. Backup ................................................................................................................. 30 5 CONCLUSÃO .............................................................................................. 32 REFERÊNCIAS ................................................................................................. 33 1 1 INTRODUÇÃO 1.1 MOTIVAÇÃO A Odontopalmeira é uma rede de clínicas odontológicas que nasceu no final da década de 1990 com intuito de oferecer serviços odontológicos de qualidade, com produtos certificados e com toda a segurança e conforto para as populações de classes média e alta na região metropolitana de São Paulo (UNIP, UNIVERSIDADE PAULISTA, 2019, p. 23). O coordenador de operações de TI, junto com os proprietários da Odontopalmeira, percebeu a necessidade de mudanças na infraestrutura e também no quadro de colaboradores deste departamento, uma vez que estes necessitam ter conhecimentos específicos e estarem alinhados à visão estratégica da empresa e à nova estruturação proposta (UNIP, UNIVERSIDADE PAULISTA, 2019, p. 25). Junto a essas mudanças, viu-se necessária a correta avaliação das forças, fraquezas da empresa, assim como das oportunidades e ameaças às quais ela estáexposta. Alinhado a essa visão, percebeu-se que a TI é estratégica para a Odontopalmeira e pode ser a diferença entre o sucesso e o fracasso (UNIP, UNIVERSIDADE PAULISTA, 2019, p. 26). Uma vez que se utilize a tecnologia intensamente, outras preocupações se tornam focais, já que a empresa precisa ter métodos de proteção dos seus ativos de informação e então usar as boas práticas de mercado de maneira que os gestores, colaboradores e terceiros tenham acesso claro e seguro aos dados que trafegam nesta infraestrutura. No decorrer deste trabalho, será apresentado o desdobramento das escolhas feitas com elementos que facilitem a compreensão da estratégia empresarial e de TI, modelos de sistemas de informação e políticas de segurança aplicados à empresa. 2 1.2 OBJETIVO O alvo principal deste trabalho é apresentar o projeto usado para a obtenção dos objetivos de negócios da empresa, descrevendo o sistema de informação usado e suas características, os aspectos legais e de proteção que envolvem o uso da tecnologia da informação na Odontopalmeira. 1.3 METODOLOGIA Para atingir o objetivo proposto, o presente trabalho é composto de cinco fases (UNIP, UNIVERSIDADE PAULISTA, 2019, p. 26): A primeira fase – Apresentação do caso – contextualiza o cenário e faz uma investigação científica das principais fontes teóricas, detalhando aspectos básicos solicitados para o presente trabalho. Na segunda fase – Plano estratégico empresarial – são analisados e apresentados detalhes da estratégia da Odontopalmeira como os fatores-chave de sucesso, as forças e fraquezas e as consequentes oportunidades e ameaças e o documento formal que descreve estes detalhes. A terceira fase – Plano estratégico de TI – detalha os desdobramentos obtidos da fase anterior aplicados ao ambiente de TI condensados no mesmo capítulo de planejamento estratégico como um todo. Na quarta fase – Proposta do sistema de informação – o modelo de sistema de informação específico para a Odontopalmeira é apresentado. A quinta e última fase – Política de segurança da informação – proporciona o documento básico de política da informação criado para atender aos quesitos de salvaguarda dos ativos de informação da empresa. 3 2 PLANEJAMENTO ESTRATÉGICO Este capítulo tem o objetivo de apresentar alguns conceitos sobre planejamento estratégico, suas características, aplicações e as especificidades relacionadas ao presente trabalho. 2.1 EMBASAMENTO TEÓRICO Para chegar-se a uma estratégia, ou seja, ao plano de ação que a empresa vai adotar para dirigir suas operações, os administradores basicamente precisam responder a três questões: Qual a situação atual da empresa? Para onde ir a partir da atual conjuntura? Como chegar nos resultados almejados? (GAMBLE, THOMPSON JR e STRICKLAND III, 2008, p. 33). Tais perguntas incitam a criação de um planejamento onde sejam descritas ações que englobem não só os fatores internos, mas também externos à corporação, afinal, a empresa é influenciada por concorrentes, política econômica do(s) país(es) que atuam, regulações, etc e que sejam voltados ao futuro da empresa. Pode-se dizer então, que a empresa influencia e é influenciada pelo ambiente ao qual está inserida e, portanto, precisa analisá-lo de forma a obter uma visão macro, vantagens competitivas e reduzir riscos que possam interferir nas suas operações atuais e futuras. O cenário como um todo pode ser observado pela Figura 1 – A organização, os níveis e os componentes do ambiente, onde os componentes influenciadores dos diversos ambientes são mostrados: 4 Através desta análise aplicada à Odontopalmeira, os gestores puderam perceber que a empresa vinha perdendo espaço no mercado (UNIP, UNIVERSIDADE PAULISTA, 2019, p. 25). Para exemplificar, no ambiente geral – componente tecnológico, a empresa não tem um sistema de informação automatizado para os processos de negócios. No ambiente operacional, há muita mudança de pessoal e perda de clientes, neste caso, por falta de simetria entre demanda e espaço nas unidades para acomodação, ausência de acessibilidade para clientes portadores de deficiências e gestão de qualidade dos produtos vindos dos fornecedores. A avaliação do ambiente interno e externo leva a empresa a conhecer quais são suas fraquezas e quais ameaças podem impactar diretamente ao negócio, mas também permite verificar quais suas forças e consequentes oportunidades que podem Figura 1 – A organização, os níveis e os componentes do ambiente Fonte: (ROCHA, 2012, p. 61) 5 ser aproveitadas neste ambiente. A este tipo de análise, dá-se o nome de SWOT (do inglês – strenghts, weaknesses, opportunities and threats – forças, fraquezas, oportunidades e ameaças). Esta análise permite o aperfeiçoamento da estratégia através da obtenção dessas quatro listas (GAMBLE, THOMPSON JR e STRICKLAND III, 2008, p. 107). Frente às dificuldades encontradas, também se percebeu a necessidade da comunicação clara, aos clientes internos e externos, de quais são os objetivos da empresa e quais os princípios que norteiam sua existência através da documentação explícita da missão, visão e valores. Foi possível ainda abranger quais são os fatores que, taticamente falando, permitem que a empresa se diferencie e sobreviva neste mercado, sendo primordiais para a estratégia da Odontopalmeira. Os valores da empresa devem refletir sua visão e missão, Estes valores têm de ser comunicados de forma que a busca pelo atingimento da missão seja contínua e esteja sempre em voga entre os colaboradores (GAMBLE, THOMPSON JR e STRICKLAND III, 2008, p. 28). Os fatores-chave de sucesso são os atributos do produto ou serviço, as competências, a capacitação competitiva e as realizações no mercado que, se satisfatórios, exercem o maior impacto sobre o sucesso competitivo futuro no mercado em que a empresa atua (GAMBLE, THOMPSON JR e STRICKLAND III, 2008, p. 87). No que tange ao uso das Tecnologias da Informação, para ser relevante, esta precisa estar alinhada aos objetivos do negócio. Também é de suma importância que o corpo diretivo saiba da relevância do uso da TI para a empresa, disponibilizando recursos para que esta infraestrutura seja adequada ao cenário (FERNANDEZ e ABREU, 2014, p. 13). Desse alinhamento, deriva-se o documento chamado de Plano Estratégico de Tecnologia da Informação, que serve para comunicar claramente os objetivos, produtos e serviços que a TI disponibiliza aos seus clientes e usuários (FERNANDEZ e ABREU, 2014, p. 20). Este plano deve conter estas informações, entre outras: • Arquitetura de TI 6 • Infraestrutura • Necessidades de aplicações • Objetivos de desempenho, níveis de serviço e metas • Capacidade requerida em relação a RH e infraestrutura • Políticas de segurança O Planejamento Estratégico de TI da Odontopalmeira fez uso da metodologia Balanced Scorecard (BSC), bastante mencionada e utilizada nos arcabouços de governança de TI como o COBIT ou ISO 20000. O Balanced Scorecard é uma metodologia desenvolvida pelos professores da Harvard Business School, Robert Kaplan e David Norton, e que, no contexto de TI, torna a estratégia de negócios tangível, guiando sua execução com os projetos, ações e serviços de TI (FERNANDEZ e ABREU, 2014, p. 61) e permitindo que seja medido o desempenho frente ao planejado. O BSC é fundamentado em quatro perspectivas, a saber: • Financeira: descreve os resultados financeiros esperados da estratégia em termos financeiros tradicionais. • Cliente: descreve qual foi a geração de valor para o cliente ou usuário. • Processos Internos: identifica os processos críticos para geração de valor para o cliente. • Aprendizado e Crescimento: identifica os ativos tangíveis que são críticos para os processos internos e consequentemente para geraçãode valor para o cliente. 2.2 PLANEJAMENTO ESTRATÉGICO A Odontopalmeira tem como missão a prestação de serviços odontológicos com excelência e foco total na satisfação do cliente. Com a melhoria contínua dos processos e adequação ao que há de referência em produtos e serviços, tem a visão 7 de estar sempre entre as melhores clínicas do gênero no país sendo referência em qualidade. Os valores em primazia são a observação da segurança de todos os parceiros internos e externos, ética nos relacionamentos, respeito pelas pessoas e cuidado com o meio ambiente. Como fatores-chave ou fatores críticos de sucesso (FCS) temos: • Uso adequado da tecnologia – através de técnicas e insumos modernos, equipamentos atualizados e sistemas de informação aderentes ao que há de novo no mercado odontológico e que permitam o acompanhamento e atendimento rápido em consultas e pós-consultas. • Custo/Benefício apropriado – uma vez que a concorrência é bastante acirrada, não adianta ter modernidade se o custo e, consequentemente, o preço final ao cliente ficar muito elevado. • Acesso a mão-de-obra especializada - por meio de parcerias com universidades referência em Odontologia e contínuo aprimoramento dos doutores presentes em nossas unidades. • Agendamento eletrônico – de forma a agilizar o acesso do cliente e automatizar processos internos. • Atendimento rápido e cortês – por meio de treinamento constante dos colaboradores e uso de tecnologia. • Localização e espaço conveniente – permitindo ao cliente acesso através de diversos meios de transporte, privado ou público. • Adequação às normas de acessibilidade – tornando possível que os clientes portadores de necessidades especiais também possam ser atendidos com a maior comodidade possível. 8 Com a análise SWOT aplicada à Odontopalmeira, foi possível gerar a matriz a seguir, mostrando com que a empresa tem que se preocupar, ao mesmo tempo que mostra quais os pontos que devem ser melhor aproveitados no mercado altamente competitivo de serviços odontológicos: Figura 2 – Matriz SWOT Fonte: - Elaborado pelo Autor 9 2.2.1. OBJETIVOS, METAS, ESTRATÉGIAS E AÇÕES Objetivos e Metas Estratégias Ações Crescer e abrir uma filial por semestre durante os próximos quatro anos • Desenvolver parcerias para a abertura de novas filiais • Estruturar uma base gerencial para o crescimento. • Pesquisar locais potencias para a abertura de novas filiais • Estudar viabilidade de criação de franchising Aquisição e fidelização de clientes • Divulgar a empresa para novos clientes • Divulgar e participar na comunidade • Reter clientes • Fazer propaganda em mídias locais como jornais de bairro, panfletos, etc • Participar de eventos em postos de saúde, exposições e feiras em universidades próximas oferecendo demonstrações • Oferecer descontos e brindes aos clientes em datas festivas, bem como o envio de mensagens nestas datas • Acompanhar a satisfação dos serviços prestados aos clientes Ter uma imagem forte e reconhecimento do mercado • Divulgar uma imagem positiva da empresa • Manter o site atualizado • Participar de eventos relacionados com o fim da empresa para a divulgação da marca • Investir em marketing 10 Desenvolver equipe de dentistas e cirurgiões altamente qualificados Ter todos os dentistas e cirurgiões participando de, no mínimo, um workshop ou evento de aprimoramento por ano Reter talentos • Fornecer treinamento contínuo • Estimular os profissionais para que realizem cursos extras de aperfeiçoamento • Oferecer condições ideias de trabalho • Realizar capacitação mínima de 20 horas com cada profissional novo na empresa • Realizar uma reunião mensal de 2 horas com os médicos para acompanhamento, discussão de casos especiais e novas técnicas • Divulgar para os colaboradores os cursos de atualização • Adequar salários Proporcionar um espaço físico adequado Fazer alterações no ambiente físico e nos equipamentos no mínimo a cada três anos • Renovação do espaço • Renovação de equipamentos • Adequação de áreas aos portadores de necessidades especiais • Planejar e executar alterações no espaço físico com a ajuda de profissionais de ambiente • Trocar equipamentos a cada três a cinco anos • Ajustar os espaços e checar a adequação aos portadores de deficiência física Tabela 1 – Objetivos, Metas, Estratégias e Ações Fonte: Elaborado pelo Autor 2.3 PLANO ESTRATÉGICO DE TI Neste documento é apresentada a estratégia de TI e seu alinhamento com o Planejamento Estratégico da Odontopalmeira com a finalidade de orientar o planejamento e o monitoramento dos objetivos estratégicos de TI e de suas respectivas metas, de maneira a consolidar a importância estratégica da área de TI e garantir seu alinhamento às áreas finalísticas da Instituição. O documento completo teria diversas páginas e, para fins pedagógicos, seria muito extenso no corpo do presente trabalho, então é apresentado de forma mais sucinta, eliminando itens como, por exemplo, a formação das gerências e coordenações da área de TI e análise de ambiente – uma vez que parte desta análise já fora feita no planejamento estratégico da corporação como um todo. 11 2.3.1. OBJETIVOS ESTRATÉGICOS DE TI Objetivo Detalhamento Periodo Indicador Meta Obter recursos e garantir que eles sejam executados para o cumprimento dos objetivos estratégicos de TI Obtenção de recursos orçamentários voltados especificamente para os projetos prioritários de maneira que os objetivos estratégicos sejam efetivamente executados Anual Percentual de execução do orçamento disponibilizado para a TI por ano >90% F in a n c e iro Elevar o nível de satisfação dos usuários, primando pela qualidade dos serviços prestados em TIC Direcionar a excelência nos serviços de TIC, sempre mensurando a percepção do usuário pela satisfação dos serviços que lhe são prestados Anual Nível de satisfação dos clientes e usuários >90% C lie n te s Assegurar o acesso à informação e comunicação Permitir que a informação e comunicação sejam acessíveis aos usuários dos diversos sistemas da Odontopalmeira Mensal Percentual das horas que os sites e sistemas estão ativos em relação ao tempo total disponível >98% Obter maior integração com o negócio da Odontopalmeira Maior integração entre a TI e as áreas de negócio da Odontopalmeira, de forma que a TI possa cada vez mais contribuir com os objetivos institucionais da empresa Mensal Nível de percepção de integração pelos gestores das áreas envolvidas >95% P ro c e s s o s In te rn o s Assegurar a continuidade e a disponibilidade dos serviços de TIC Garantir que todos os serviços e sistemas relacionados à TI estejam sempre disponíveis para os usuários e que no caso de alguma falha, possam ser continuados sem maiores riscos para a Instituição Mensal Percentual de horas ativas dos sistemas frente ao total de horas totais >98% 12 Garantir a segurança de informações da empresa Assegurar que os serviços e processos relacionados à segurança da informação da Odontopalmeira estejam sempre em evolução e conformidade Anual Percentual de aderência às práticas descritas na política de segurança da informação >95% Prover, capacitar e motivar os colaboradores de TI Evolução do quadro de colaboradores de TI em qualificação, através da capacitação e motivação dos colaboradores, de forma a responder aos desafios estratégicos da empresa Mensal Percentual de cumprimento do plano de capacitação para a área TI >90% A p re n d iz e d o e C re s c im e n to Tabela 2 – BSC Odontopalmeira Fonte:Elaborado pelo Autor 13 3 MODELAGEM DE SISTEMAS DE INFORMAÇÃO Este capítulo tem o objetivo de apresentar alguns conceitos sobre sistemas de informação e bancos de dados, suas características, aplicações e as especificidades relacionadas ao presente trabalho de forma sucinta. 3.1 EMBASAMENTO TEÓRICO Os principais tipos de sistemas de informação para empresas são os voltados ao comércio eletrônico e móvel, processamento de transações, gestão de informações e suporte a decisões. Existem também os direcionados a fins específicos, como os sistemas de realidade virtual, inteligência artificial, CAD ou gestão de relacionamento com clientes. É muito comum ver estes sistemas sendo usados de forma integrada e entregues num único pacote de software ou que permitam a integração de maneira facilitada. Por exemplo, alguns pacotes de planejamento de recursos empresariais processam transações, enviam informações e apoiam as decisões além de terem a possibilidade de fornecerem ou tomarem dados de sistemas fabris, de aplicativos de escritório ou de comércio eletrônico. Os sistemas de informação computadorizados, em geral, fazem uso essencial dos chamados bancos de dados. Um banco de dados é uma coleção de dados organizada e, como um dos componentes de um sistema de informação, deve contribuir para fornecer elementos relevantes, precisos e no momento certo para os gestores e tomadores de decisão (STAIR e REYNOLDS, 2016, p. 206). Os bancos de dados eletrônicos ou baseados em computador são gerenciados através do SGBD – Sistema Gerenciador de Banco de Dados, utilizado de forma a fornecer uma interface para manipular os dados e permitir a interpretação destes por gráficos, formulários e outras maneiras de manuseio das informações. 14 Saber qual será a finalidade do banco de dados e suas tabelas é de suma importância para o bom projeto e a escolha do sistema de gerenciamento de banco de dados. O CRM - Customer Relationship Management ou em português, gerenciamento do relacionamento com o cliente - é uma estratégia adotada por organizações com o intuito de satisfazer as necessidades dos seus clientes (JÚNIOR, 2015, p. 186). Embora seja mais conhecido pelos sistemas de informação que adotaram este nome, não são apenas um sistema e sim uma metodologia que busca identificar quem são os clientes, sua área de atuação e seus interesses. Um sistema de CRM, por sua vez, permite que uma empresa gerencie os aspectos do contato com os clientes como: marketing, vendas, publicidade, pós-venda e programas de fidelidade. O sistema permite entender e antecipar as necessidades de clientes atuais e com isso mantê-los fiéis à marca, assim como possibilita a obtenção de clientes potenciais, ao mesmo tempo que afina a maneira como os produtos e serviços são vendidos e, consequentemente, tem impacto direto no faturamento. Os principais softwares de CRM disponível incluem: • Gerenciamento de contato – De onde se pode monitorar os dados sobre cada cliente e as oportunidades de vendas. • Gestão de vendas – Usado para priorizar as oportunidades de vendas potenciais e identificar os passos apropriados para a execução destas. • Atendimento ao cliente – Utilizado para o atendimento dos representantes de serviço ao cliente, para que possam responder às solicitações de forma rápida, completa e adequada, e resolver seus problemas ao mesmo tempo que coletam e armazenam os dados dessas interações para uso futuro. • Automação de marketing – Para que se possa capturar e analisar todas as interações com os clientes, gerar respostas adequadas e coletar dados para criar e construir campanhas direcionadas de marketing eficazes e eficientes. 15 • Análise – Usado para analisar os dados do cliente de maneira a identificar formas de aumento das receitas e diminuição dos custos, modelar os dados sobre os melhores clientes da empresa e como gerar fidelização. • Redes sociais – Capacidade de criar e se juntar a sites como o Facebook, onde os vendedores podem fazer contatos com possíveis clientes. • Acesso por smartphones – Que permite acessar o software de gerenciamento de relacionamento com o cliente baseado na web por dispositivos Android, iOS, etc. • Importação de dados – Facilidade para importar dados de contatos de vários prestadores de serviços de dados e fontes de captação, como o Jigsaw, bancos de dados, etc, diretamente pelo aplicativo CRM. Para o sucesso na implementação de um CRM, é necessário mudar a cultura de simplesmente vender produtos e serviços para outra que coloca o cliente no foco principal. A empresa precisa treinar novamente seus funcionários; determinar quem gerenciará as questões dos clientes; definir quais sistemas computacionais precisam ser integrados para que todas as informações estejam disponíveis quando em atendimento ao cliente, entre outras ações. É possível perceber, portanto, que o CRM não é apenas um software ou aparato tecnológico e sim um conjunto de conhecimentos e abordagens que, unidos à tecnologia, norteia as ações tomadas por uma corporação de forma a atender as exigências do mercado em que atua de forma eficaz e proativa. 16 3.2 SISTEMA DE GESTÃO DOS CLIENTES O sistema que será implantado segue o fluxo da Error! Reference source not found., de maneira que se possa gerar fidelidade dos clientes aos produtos da companhia. Este esquema permite que os dados sejam coletados e se possa oferecer produtos e serviços o mais personalizado possível, conhecendo os gostos dos clientes ao longo do tempo e sua expectativa frente à marca. A necessidade de ter a visão macro e estratégica dos clientes atuais e potenciais norteia a escolha, além da visão de produtos que podem ter maior participação na lucratividade da empresa e, portanto, nos esforços de marketing e vendas. Também há a intenção futura de disponibilizar produtos diferenciados que serão ofertados através das páginas de internet da empresa, assim como a geração de cupons promocionais para clientes frequentes e campanhas para atrair novos clientes. Por permitir que sejam feitos acompanhamentos pós-atendimento, o sistema é de suma importância para saber onde há pontos falhos no relacionamento com o cliente. Através da central de atendimento, os dados de problemas ocorridos serão captados e usados para corrigir eventuais falhas e desvios no padrão de qualidade. Figura 3 – Mapa de Processo CRM Fonte: (LAUDON e LAUDON, 2014, p. 308) 17 4 SEGURANÇA DA INFORMAÇÃO O aumento do uso da internet, o crescimento da classe média e consequentemente o número de dispositivos conectados, fez aumentar também os dados e os crimes praticados neste ambiente. Baseado neste fato, tornou-se necessário a criação de leis para tipificar os crimes e normas para ajudar as empresas e particulares a se prevenir ou minimizar os riscos de uso de redes computacionais. Este capítulo tem o propósito de apresentar os aspectos legais e de boas práticas de mercado relacionados aos colaboradores e clientes no tangente à salvaguarda de dados e o uso da computação de forma que a empresa não tenha problemas futuros e seja bem vista por todos os envolvidos. 4.1 EMBASAMENTO TEÓRICO Os gestores podem responder solidariamente pelo mal-uso do sistema informático da empresa. Ações praticadas a partir das dependências da corporação ou usando os meios de comunicação disponibilizados por esta podem gerar problemas legais e de imagem significativos. Sob esta visão, o acesso à rede e à internet precisam ser monitorados e usar mecanismos de auditoria de forma que a Odontopalmeira esteja protegida legalmente além de controles que permitam que a infraestrutura de TI esteja sempre disponível e operante. A política de segurança da informação está associada ao risco que a TI representa para a continuidade do negócio e esta política deve ser aderenteao quanto a empresa depende da TI para operar os seus negócios, ou seja, quanto mais estratégico a TI for para a empresa, mais abrangente tem que ser a política (FERNANDEZ e ABREU, 2014, p. 97). Este documento deve ser condizente com aspectos de boas práticas, tecnológicos e também legais. No Brasil, seguindo a tendência mundial, especialmente após a publicação, na União Europeia, do GDPR (INTERSOFT CONSULTING, 2018) – General Data Protection Regulation – foram criadas leis para tentar tratar do tema, como a: 18 • Lei de tipificação de crimes informáticos (BRASIL), que versa sobre temas como a invasão de dispositivos, interrupção de serviços, falsificação de documentos ou cartões e coloca esses crimes sob a ótica do código penal. • Marco Civil (BRASIL), que assegura direitos e deveres das empresas e serviços online bem como dos usuários destes. Regulamenta, entre outros, o respeito aos direitos autorais, o direito à privacidade assim como a obrigação das empresas de fornecer a identidade de alguém caso ocorra violação, consequente investigação e coleta de dados, levando em conta o consentimento do usuário. • Lei de proteção de dados (BRASIL), que veio alguns meses após a publicação do GDPR europeu e sua consequente influência no mundo. Esta reforça alguns pontos sobre a coleta e proteção de dados por parte das empresas estendendo alguns itens como, por exemplo, a possibilidade do pedido de exclusão dos dados quando desejado pelo usuário. Outro ponto notório é a regulação da chamada finalidade legítima, pelo qual as empresas somente podem coletar dados quando estes forem usados pra uma finalidade específica e clara aos detentores destes dados. Para manter a boa visibilidade e o futuro da empresa no cenário, tanto nacional quanto internacional, a Odontopalmeira usa os princípios norteadores da HIPAA (Health Insurance Portability and Accountability Act) desenvolvidas especialmente para a área de saúde e que visa proteger os dados dos pacientes. Através dela, o paciente é o detentor e controlador de suas informações, podendo ter acesso as suas informações de saúde com a garantia de sigilo e compartilhar com os profissionais de saúde que desejar (HIPAA for Dummies, 2019). Para haver conformidade às boas práticas de mercado e as normas que regem a segurança da informação e proteção de dados, a Odontopalmeira se norteou especialmente pelas criadas pela ISO – International Organization for Standardization – por serem os preceitos mais utilizados mundialmente. A ISO 27001 (ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS, 2006) e a ISO 27002 (ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS, 2005) são usadas em conjunto, pois a primeira define os requisitos e as práticas adotadas a nível 19 gerencial de forma que a segurança da informação seja planejada, implementada, monitorada e aperfeiçoada. Através dela são especificadas as responsabilidades dos gestores, as métricas que devem ser implantadas de forma a medir a eficiência dos controles adotados, etc. A ISO 27002, por sua vez, detalha os controles a serem implantados, como o controle de acessos físicos e virtuais, a proteção contra códigos maliciosos, o procedimento de cópia e restauração de dados, segurança da rede, controles criptográficos, recuperação de desastres entre outros. Focada nas necessidades do público diversificado, a Odontopalmeira vai adequar suas unidades de negócios para receber pessoas com necessidades especiais como cadeirantes e deficientes audiovisuais. Neste aspecto, a Lei da Acessibilidade (BRASIL, 2000) traz diretrizes legais e o conhecimento necessário para a adequação do ambiente a essas pessoas, através da eliminação dos obstáculos e barreiras existentes, na reforma e construção de novas unidades, no mobiliário e ainda nos meios de comunicação utilizados como o uso de linguagens específicas como braile ou a de sinais. Os documentos serão impressos com o recurso da escrita em braile, permitindo aos deficientes visuais fazerem a leitura dos dados neles escritos, assim como o uso de sinais sonoros para que os mesmos saibam quando tenham sido chamados para o atendimento. Os funcionários foram treinados na linguagem brasileira de sinais podendo atender aos deficientes auditivos bem como no auxílio ao tráfego de pessoas usando cadeiras de roda ou dispositivos de auxílio à locomoção. A reserva de assentos e vagas especiais para atender este público também está prevista e será implementada como parte da gestão estratégica. Estes mesmos colaboradores assinam um termo de confidencialidade e tem conhecimento da política de segurança da informação, disponível na intranet e no departamento de Recursos Humanos. Nestes documentos, são esclarecidos os procedimentos e responsabilidades operacionais, as medidas de proteção adotadas, 20 como é realizada a troca e as cópias de segurança das informações e também, o monitoramento do uso da rede e da internet. Para o acesso dos clientes, são solicitados dados cadastrais de forma a gerar essa ligação entre o que foi acessado e quem acessou, e haver rastreabilidade caso seja imperativo a disponibilização destes dados às autoridades competentes. A ideia principal é que os funcionários, fornecedores e clientes tenham ciência de que a Odontopalmeira age com responsabilidade quanto às informações que trafegam em sua rede dando a devida importância à privacidade. As medidas também são de suma importância, pois é de conhecimento da área de segurança da informação que a maioria dos problemas dessa ordem são gerados pela desatenção dos usuários (GUSMÃO, 2019). 4.2 POLÍTICA DE SEGURANÇA DA INFORMAÇÃO Devido a extensão do documento de PSI, aqui será apresentado as especificidades do documento, não abrangendo itens como: os componentes da política e suas responsabilidades, os departamentos envolvidos e suas apresentações, a quem se destina por estar implícito na apresentação deste capítulo, etc. 4.2.1. MONITORAMENTO E AUDITORIA DO AMBIENTE Para garantir as regras mencionadas nesta PSI. a Odontopalmeira poderá: • implantar sistemas de monitoramento nas estações de trabalho, servidores, correio eletrônico, conexões com a internet, dispositivos móveis ou wireless e outros componentes da rede ‒ a informação gerada por esses sistemas poderá ser usada para identificar usuários e respectivos acessos efetuados, bem como material manipulado; 21 • tornar públicas as informações obtidas pelos sistemas de monitoramento e auditoria, no caso de exigência judicial, solicitação do gerente (ou superior) ou por determinação do Comitê de Segurança da Informação; • realizar, a qualquer tempo, inspeção física nas máquinas de sua propriedade; • instalar sistemas de proteção, preventivos e detectáveis, para garantir a segurança das informações e dos perímetros de acesso. 4.2.2. CORREIO ELETRÔNICO O uso do correio eletrônico é para fins corporativos e relacionados às atividades do colaborador usuário dentro da instituição. A utilização desse serviço para fins pessoais é permitida desde que feita com bom senso e discernimento, sem prejudicar a Odontopalmeira e sua infraestrutura de rede e internet, desta forma, não é permitido: • enviar mensagens não solicitadas para múltiplos destinatários, exceto se relacionadas a uso legítimo da instituição; • enviar mensagem por correio eletrônico pelo endereço de seu departamento ou usando o nome de usuário de outra pessoa ou endereço de correio eletrônico que não esteja autorizado a utilizar; • enviar qualquer mensagem por meios eletrônicos que torne seu remetente e/ou a Odontopalmeira ou suas unidades vulneráveis a ações civis ou criminais; • divulgar informações não autorizadas ou imagens de tela, sistemas, documentos e afins sem autorização expressa e formal concedida pelo proprietário desse ativo de informação; • falsificar informaçõesde endereçamento, adulterar cabeçalhos para esconder a identidade de remetentes e/ou destinatários, com o objetivo de evitar as punições previstas; • apagar mensagens pertinentes de correio eletrônico quando qualquer uma das unidades da Odontopalmeira estiver sujeita a algum tipo de investigação. 22 4.2.3. INTERNET Estas regras visam basicamente o desenvolvimento de um comportamento eminentemente ético e profissional do uso da internet. Embora a conexão direta e permanente da rede corporativa da instituição com a internet ofereça um grande potencial de benefícios, ela abre a porta para riscos significativos para os ativos de informação. Qualquer informação que é acessada, transmitida, recebida ou produzida na internet está sujeita a divulgação e auditoria. Portanto, a Odontopalmeira, em total conformidade legal, reserva-se o direito de monitorar e registrar todos os acessos a ela. Os equipamentos, tecnologia e serviços fornecidos para o acesso à internet são de propriedade da instituição, que pode analisar e, se necessário, bloquear qualquer arquivo, site, correio eletrônico, domínio ou aplicação armazenados na rede/internet, estejam eles em disco local, na estação ou em áreas privadas da rede, visando assegurar o cumprimento de sua Política de Segurança da Informação. A Odontopalmeira, ao monitorar a rede interna, pretende garantir a integridade dos dados e programas. Toda tentativa de alteração dos parâmetros de segurança, por qualquer colaborador, sem o devido credenciamento e a autorização para tal, será julgada inadequada e os riscos relacionados serão informados ao colaborador e ao respectivo gestor. O uso de qualquer recurso para atividades ilícitas poderá acarretar as ações administrativas e as penalidades decorrentes de processos civil e criminal, sendo que nesses casos a instituição cooperará ativamente com as autoridades competentes. A internet disponibilizada pela instituição aos seus colaboradores, independentemente de sua relação contratual, pode ser utilizada para fins pessoais, desde que não prejudique o andamento dos trabalhos nas unidades. Como é do interesse da empresa que seus colaboradores estejam bem informados, o uso de sites de notícias ou de serviços, por exemplo, é aceitável, desde que não comprometa a banda da rede em horários estritamente comerciais, não 23 perturbe o bom andamento dos trabalhos nem implique conflitos de interesse com os seus objetivos de negócio. Somente os colaboradores que estão devidamente autorizados a falar em nome da Odontopalmeira para os meios de comunicação poderão manifestar-se, seja por e-mail, entrevista on-line, podcast, vídeos, etc. Apenas os colaboradores autorizados pela instituição poderão copiar, captar, imprimir ou enviar imagens da tela para terceiros, devendo atender à norma interna de uso de imagens, à Lei de Direitos Autorais, à proteção da imagem garantida pela Constituição Federal e demais dispositivos legais. É proibida a divulgação e/ou o compartilhamento indevido de informações da área administrativa em listas de discussão, sites ou comunidades de relacionamento, salas de batepapo ou chat, comunicadores instantâneos ou qualquer outra tecnologia correlata que venha surgir na internet. Os colaboradores com acesso à internet poderão fazer o download somente de programas ligados diretamente às suas atividades na Odontopalmeira e deverão providenciar o que for necessário para regularizar a licença e o registro desses programas, desde que autorizados pela equipe de TI. O uso, a instalação, a cópia ou a distribuição não autorizada de softwares que tenham direitos autorais, marca registrada ou patente na internet são expressamente proibidos. Qualquer software não autorizado baixado será excluído pela equipe de TI responsável. Os colaboradores não poderão em hipótese alguma utilizar os recursos da Odontopalmeira para fazer o download ou distribuição de software ou dados pirateados, atividade considerada delituosa de acordo com a legislação nacional. Como regra geral, materiais de cunho sexual não poderão ser expostos, armazenados, distribuídos, editados, impressos ou gravados por meio de qualquer recurso. Caso seja necessário, grupos de segurança deverão ser criados para 24 viabilizar esse perfil de usuário especial e seus integrantes definidos pelos respectivos gestores. Colaboradores com acesso à internet não poderão efetuar upload de qualquer software licenciado à Odontopalmeira ou de dados de sua propriedade aos seus parceiros e clientes, sem expressa autorização do responsável pelo software ou pelos dados. Os colaboradores não poderão utilizar os recursos da empresa para deliberadamente propagar qualquer tipo de vírus, worm, cavalo de troia, spam, assédio, perturbação ou programas de controle de outros computadores. O acesso a softwares P2P e afins não serão permitidos. Já os serviços de streaming (rádios on-line, canais de broadcast e afins) serão permitidos a grupos específicos. Porém, os serviços de comunicação instantânea (Skype, Whatsapp e afins) serão inicialmente disponibilizados aos usuários e poderão ser bloqueados caso o gestor requisite formalmente à Gerencia de Sistemas. 4.2.4. IDENTIFICAÇÃO Os dispositivos de identificação e senhas protegem a identidade do colaborador usuário, evitando e prevenindo que uma pessoa se faça passar por outra perante à Odontopalmeira e/ou terceiros, conduta esta tipificada como crime de falsa identidade no Código Penal Brasileiro. Tal norma visa estabelecer critérios de responsabilidade sobre o uso dos dispositivos de identificação e deverá ser aplicada a todos os colaboradores. Todos os dispositivos de identificação utilizados na Odontopalmeira, como o número de registro do colaborador, o crachá, as identificações de acesso aos sistemas, os certificados e assinaturas digitais e os dados biométricos têm de estar associados a uma pessoa física e atrelados inequivocamente aos seus documentos oficiais reconhecidos pela legislação brasileira. 25 O usuário, vinculado a tais dispositivos identificadores, será responsável pelo seu uso correto perante a instituição e a legislação cível e criminal. Todo e qualquer dispositivo de identificação pessoal, portanto, não poderá ser compartilhado com outras pessoas em nenhuma hipótese. Se existir login de uso compartilhado por mais de um colaborador, a responsabilidade perante à Odontopalmeira e a legislação cível e/ou criminal será dos usuários que dele se utilizarem. Somente se for identificado conhecimento ou solicitação do gestor de uso compartilhado ele deverá ser responsabilizado. É proibido o compartilhamento de login para funções de administração de sistemas. O Departamento de Recursos Humanos da Odontopalmeira é o responsável pela emissão e pelo controle dos documentos físicos de identidade dos colaboradores. A equipe de TI responde pela criação da identidade lógica dos colaboradores na instituição, nos termos do Procedimento para Gerenciamento de Contas de Grupos e Usuários. Devem ser distintamente identificados os visitantes, estagiários, empregados temporários, empregados regulares e prestadores de serviços, sejam eles pessoas físicas e/ou jurídicas. Ao realizar o primeiro acesso ao ambiente de rede local, o usuário deverá trocar imediatamente a sua senha conforme as orientações apresentadas. Os usuários deverão ter senha de tamanho variável, possuindo no mínimo 8 caracteres alfanuméricos e 10 para perfis administradores, utilizando caracteres especiais e variação entre maiúsculo e minúsculo obrigatoriamente. É de responsabilidade de cada usuário a memorização de sua própria senha, bem como a proteção e a guarda dos dispositivos de identificação que lhe forem designados. 26 As senhas não devem ser anotadas ou armazenadas em arquivos eletrônicosnão criptografados; não devem ser baseadas em informações pessoais, como próprio nome e de familiares, data de nascimento, endereço, nome da empresa, etc; e não devem ser constituídas de combinações óbvias de teclado, como “abcdefgh”, “87654321”, entre outras. Após três tentativas de acesso, a conta do usuário será bloqueada. Para o desbloqueio é necessário que o usuário entre em contato com a equipe de TI de forma a comprovar sua identidade. Os usuários podem alterar a própria senha, e devem ser orientados a fazê-lo, caso suspeitem que terceiros obtiveram acesso indevido ao seu login/senha. A periodicidade máxima para troca das senhas é quarenta e cinco dias, não podendo ser repetidas as três últimas senhas, através de um processo automatizado. Os sistemas críticos e sensíveis para a instituição e os logins com privilégios administrativos devem exigir a troca de senhas a cada trinta dias. Todos os acessos devem ser imediatamente bloqueados quando se tornarem desnecessários. Portanto, assim que algum usuário for demitido ou solicitar demissão, o Departamento de Recursos Humanos deverá imediatamente comunicar tal fato ao Departamento de TI, a fim de que essa providência seja tomada. A mesma conduta se aplica aos usuários cujo contrato ou prestação de serviços tenha se encerrado, bem como aos usuários de testes e outras situações similares. 4.2.5. COMPUTADORES E RECURSOS TECNOLÓGICOS Os equipamentos disponíveis aos colaboradores são de propriedade da Odontopalmeira, cabendo a cada um utilizá-los e manuseá-los corretamente para as atividades de interesse da instituição, bem como cumprir as recomendações constantes nos procedimentos operacionais fornecidos pelas gerências responsáveis. É proibido todo procedimento de manutenção física ou lógica, instalação, desinstalação, configuração ou modificação, sem o conhecimento prévio e o 27 acompanhamento de um técnico da equipe de TI, ou de quem este determinar. As gerências que necessitarem fazer testes deverão solicitá-los previamente à equipe de TI. Todas as atualizações e correções de segurança do sistema operacional ou aplicativos somente poderão ser feitas após a devida validação no respectivo ambiente de homologação, e depois de sua disponibilização pelo fabricante ou fornecedor. Os sistemas e computadores devem ter versões do software antivírus instaladas, ativadas e atualizadas permanentemente. O usuário, em caso de suspeita de vírus ou problemas na funcionalidade, deverá acionar o departamento técnico responsável mediante registro de chamado no service desk. A transferência e/ou a divulgação de qualquer software, programa ou instruções de computador para terceiros, por qualquer meio de transporte, somente poderá ser realizada com a devida identificação do solicitante, se verificada positivamente e estiver de acordo com a classificação de tal informação e com a real necessidade do destinatário. Arquivos pessoais e/ou não pertinentes ao negócio da Odontopalmeira não deverão ser copiados/movidos para os drives de rede, pois podem sobrecarregar o armazenamento nos servidores. Caso identificada a existência desses arquivos, eles poderão ser excluídos definitivamente por meio de comunicação prévia ao usuário. Documentos imprescindíveis para as atividades dos colaboradores da instituição deverão ser salvos em drives de rede. Tais arquivos, se gravados apenas localmente nos computadores, não terão garantia de backup e poderão ser perdidos caso ocorra uma falha no computador, sendo, portanto, de responsabilidade do próprio usuário. Os colaboradores da Odontopalmeira e/ou detentores de contas privilegiadas não devem executar nenhum tipo de comando ou programa que venha sobrecarregar os serviços existentes na rede corporativa sem a prévia solicitação e a autorização da equipe de TI. 28 No uso dos computadores, equipamentos e recursos de informática, algumas regras devem ser atendidas: • Os colaboradores devem informar ao departamento técnico qualquer identificação de dispositivo estranho conectado ao seu computador. • É vedada a abertura ou o manuseio de computadores ou outros equipamentos de informática para qualquer tipo de reparo que não seja realizado por um técnico da equipe de TI ou por terceiros devidamente contratados para o serviço. • É expressamente proibido o consumo de alimentos, bebidas ou fumo na mesa de trabalho e próximo aos equipamentos. • O colaborador deverá manter a configuração do equipamento disponibilizado pela Odontopalmeira, seguindo os devidos controles de segurança exigidos pela Política de Segurança da Informação e pelas normas específicas da instituição, assumindo a responsabilidade como custodiante de informações. • Deverão ser protegidos por senha quando não estiverem sendo utilizados. • Todos os recursos tecnológicos adquiridos pela Odontopalmeira devem ter imediatamente suas senhas padrões alteradas. • Os equipamentos deverão manter preservados, de modo seguro, os registros de eventos, constando identificação dos colaboradores, datas e horários de acesso. Acrescentamos algumas situações em que é proibido o uso de computadores e recursos tecnológicos da Odontopalmeira: • Tentar ou obter acesso não autorizado a outro computador, servidor ou rede. • Burlar quaisquer sistemas de segurança. • Acessar informações confidenciais sem explícita autorização do proprietário. • Vigiar secretamente outrem por dispositivos eletrônicos ou softwares, como, por exemplo, analisadores de pacotes (sniffers). 29 • Interromper um serviço, servidores ou rede de computadores por meio de qualquer método ilícito ou não autorizado. • Hospedar pornografia, material racista ou qualquer outro que viole a legislação em vigor no país, a moral, os bons costumes e a ordem pública. • Utilizar software pirata, atividade considerada delituosa de acordo com a legislação nacional. 4.2.6. DISPOSITIVOS MÓVEIS Por dispositivo móvel, entende-se qualquer equipamento eletrônico com atribuições de mobilidade de propriedade da instituição, ou aprovado e permitido pela sua equipe de TI, como: notebooks, smartphones e pendrives. A Odontopalmeira deseja facilitar a mobilidade e o fluxo de informação entre seus colaboradores e por isso, permite que se use equipamentos portáteis. Essa norma visa estabelecer critérios de manuseio, prevenção e responsabilidade sobre o uso de dispositivos móveis e deverá ser aplicada a todos os colaboradores que utilizem tais equipamentos. Na qualidade de proprietário dos equipamentos fornecidos, a Odontopalmeira reserva-se o direito de inspecioná-los a qualquer tempo, caso seja necessário realizar uma manutenção de segurança. O colaborador, portanto, assume o compromisso de não utilizar, revelar ou divulgar a terceiros, de modo algum, direta ou indiretamente, em proveito próprio ou de terceiros, qualquer informação, confidencial ou não, que tenha ou venha a ter conhecimento em razão de suas funções na Odontopalmeira, mesmo depois de terminado o vínculo contratual mantido com a instituição. Todo colaborador deverá realizar periodicamente cópia de segurança dos dados de seu dispositivo móvel. Deverá, também, manter estes backups separados de seu dispositivo móvel, ou seja, não os carregar juntos. 30 O suporte técnico aos dispositivos móveis de propriedade da empresa e aos seus usuários deverá seguir o mesmo fluxo de suporte contratado pela instituição. Todo colaborador deverá utilizar senhas de bloqueio automático para seu dispositivo móvel. Não será permitida, em nenhuma hipótese, a alteração da configuração dos sistemas operacionais dos equipamentos, em especial os referentes à segurança e à geração de logs, sem a devida comunicação e a autorização da área responsável e sem a condução, auxílio ou presença de um técnico da equipe de TI. O colaboradordeverá responsabilizar-se em não manter ou utilizar quaisquer programas e/ou aplicativos que não tenham sido instalados ou autorizados por um técnico da equipe de TI. A reprodução não autorizada dos softwares instalados nos dispositivos móveis fornecidos pela instituição constituirá uso indevido do equipamento e infração legal aos direitos autorais do fabricante. É responsabilidade do colaborador, no caso de furto ou roubo de um dispositivo móvel fornecido pela Odontopalmeira, notificar imediatamente seu gestor direto e a equipe de TI. Também deverá procurar a ajuda das autoridades policiais registrando, assim que possível, um boletim de ocorrência (BO). O colaborador deverá estar ciente de que o uso indevido do dispositivo móvel caracterizará a assunção de todos os riscos da sua má utilização, sendo o único responsável por quaisquer danos, diretos ou indiretos, presentes ou futuros, que venha causar à Odontopalmeira e/ou a terceiros. 4.2.7. BACKUP Todos os backups devem ser automatizados por sistemas de agendamento automatizado para que sejam preferencialmente executados fora do horário comercial. 31 Os colaboradores responsáveis pela gestão dos sistemas de backup deverão realizar pesquisas frequentes para identificar atualizações de correção, novas versões do produto, ciclo de vida, sugestões de melhorias, entre outros. As mídias de backup devem ser devidamente identificadas e acondicionadas em cofre disposto em local seco, climatizado, seguro e distantes o máximo possível do Datacenter – preferencialmente a mais de 10 quilômetros. O tempo de vida e uso das mídias de backup deve ser monitorado e controlado pelos responsáveis, com o objetivo de excluir mídias que possam apresentar riscos de gravação ou de restauração decorrentes do uso prolongado, além do prazo recomendado pelo fabricante. É necessária a previsão, em orçamento anual, da renovação das mídias em razão de seu desgaste natural, bem como deverá ser mantido um estoque constante das mídias para qualquer uso emergencial. Na situação de erro de backup e/ou restore é necessário que ele seja feito logo no primeiro horário disponível, assim que o responsável tenha identificado e solucionado o problema. Caso o impacto da lentidão dos sistemas seja extremamente negativo derivados desse backup, eles deverão ser autorizados apenas mediante justificativa de necessidade nos termos do Procedimento de Controle de Backup e Restore. Testes de restauração de backup devem ser executados por seus responsáveis, nos termos dos procedimentos específicos, aproximadamente a cada 30 ou 60 dias, de acordo com a criticidade do backup. Por se tratar de uma simulação, o executor deve restaurar os arquivos em local diferente do original, para que assim não sobreponha os arquivos válidos. Para formalizar o controle de execução de backups e restores, deverá haver um formulário de controle rígido de execução dessas rotinas, o qual deverá ser preenchido pelos responsáveis e auditado pelo coordenador de infraestrutura. 32 5 CONCLUSÃO A necessidade de obter vantagens competitivas frente aos concorrentes, especialmente em mercados onde o contato direto com o consumidor final é crucial como o mercado de saúde, tornou imperativo à Odontopalmeira a adoção de um sistema que permita gerenciar esse contato e tornar a experiência do cliente mais pessoal e imediata. Desta forma, os executivos podem ter uma visão holística desse relacionamento e os colaboradores podem conhecer mais a fundo as preferências dos pacientes e assim, oferecer produtos e serviços direcionados aos gostos subjetivos destes. Para tal, é necessário um planejamento estratégico que adeque a empresa às necessidades mercadológicas e torne claro ao público interno e externo quais é a visão de curto e longo prazo da Odontopalmeira frente aos desafios. Também é preciso que a TI esteja alinhada a essa estratégia e permita que a empresa seja relevante ao longo do tempo através do uso dum planejamento apropriado. Ainda baseado na clareza do uso da TI, a política de segurança da informação permite que a Odontopalmeira seja aderente aderência às normas legais e éticas e que seus clientes internos e externos conheçam e pratiquem os dispositivos que regem essa preocupação da empresa. As escolhas realizadas foram norteadas por essa visão e torna possível que os objetivos da organização sejam efetivados através do uso da tecnologia e conhecimentos acumulados durante a trajetória da empresa. 33 REFERÊNCIAS ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR ISO/IEC 27002-2005 - Código de prática para a gestão de segurança da informação. Rio de Janeiro: ABNT NBR ISO/IEC, 2005. 120 p. ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR ISO/IEC 27001-2006 - Sistemas de gestão de segurança da informação - Requisitos. Rio de Janeiro: ABNT NBR ISO/IEC, 2006. 34 p. AWS. HIPAA Compliance. AWS HIPAA, 2018. Disponivel em: <https://aws.amazon.com/pt/compliance/hipaa-compliance/>. Acesso em: 30 Abr. 2019. BRASIL. LEI No 10.098, DE 19 DE DEZEMBRO DE 2000. Lei da Acessibilidade, 19 Dez. 2000. Disponivel em: <http://www.planalto.gov.br/ccivil_03/LEIS/L10098.htm>. Acesso em: 29 Abr. 2019. BRASIL. LEI Nº 12.737, DE 30 DE NOVEMBRO DE 2012. Lei de Crimes Informáticos, 30 Nov. 2012. Disponivel em: <http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2012/lei/l12737.htm>. Acesso em: 15 Mai. 2019. BRASIL. LEI Nº 12.965, DE 23 DE ABRIL DE 2014. Lei do Marco Civil, San Francisco, 23 Abr. 2014. Disponivel em: <http://www.planalto.gov.br/ccivil_03/_Ato2011-2014/2014/Lei/L12965.htm>. Acesso em: 10 Mai. 2019. BRASIL. LEI Nº 13.709, DE 14 DE AGOSTO DE 2018. Lei de Proteção de Dados, 14 Ago. 2018. Disponivel em: <http://www.planalto.gov.br/ccivil_03/_Ato2015- 2018/2018/Lei/L13709.htm>. Acesso em: 15 Abr. 2019. FERNANDEZ, A. A.; ABREU, V. F. D. Implantando a Governança de TI. 4ª. ed. São Paulo: Brasport Livros e Multimida Ltda, 2014. 34 GAMBLE, J. E.; THOMPSON JR, A. A.; STRICKLAND III, A. J. Administração Estratégica. 15. ed. São Paulo: McGraw-Hill Interamericana do Brasil Ltda, 2008. GUSMÃO, G. Desatenção das pessoas ainda é o maior risco para cibersegurança em empresas. Olhar Digital - Segurança, 2019. Disponivel em: <https://olhardigital.com.br/fique_seguro/noticia/desatencao-das-pessoas-ainda-e-o- maior-risco-para-ciberseguranca-em-empresas/78536>. Acesso em: 25 Abr. 2019. HIPAA for Dummies. The HIPAA Guide, 2019. Disponivel em: <https://www.hipaaguide.net/hipaa-for-dummies/>. Acesso em: 30 Abr. 2019. INTERSOFT CONSULTING. General Data Protection Regulation, 19 Set. 2018. Disponivel em: <https://gdpr-info.eu/>. Acesso em: 05 Mai. 2019. JÚNIOR, C. C. Sistemas Integrados de Gestão - ERP: uma abordagem gerencial. 2ª. ed. Curitiba: Intersaberes, 2015. LAUDON, K. C.; LAUDON, P. J. Sistemas de Informações Gerenciais. Tradução de Célia Taniwaki. 11ª. ed. São Paulo: Pearson Education do Brasil, 2014. ROCHA, Á. G. F. Planejamento e Gestão Estratégica. 1ª. ed. São Paulo: Pearson Education do Brasil, 2012. STAIR, R. M.; REYNOLDS, G. W. Princípios de sistemas de informação. Tradução de Noveritis do Brasil. 11ª. ed. São Paulo: Cencage Learning, 2016. UNIP, UNIVERSIDADE PAULISTA. Manual PIM VI, 2019. Disponivel em: <https://ava.ead.unip.br/bbcswebdav/pid-583415-dt-content-rid- 2936770_1/institution/2019/GRADE%20EAD/PROJETO%20INTEGRADO%20MULT IDISCIPLINAR%20- %20REGULAR/SUP%20TEC%20EM%20GEST%C3%83O%20DA%20TECNOLOGI A%20DA%20INFORMA%C3%87%C3%83O/3018-50_TI_2018_M01%20-%20P>. Acesso em: 25 Abr. 2019. 1 Introdução 1.1 Motivação 1.2 Objetivo 1.3 Metodologia 2 Planejamento Estratégico 2.1 Embasamento Teórico 2.2 Planejamento Estratégico 2.2.1. Objetivos, Metas, Estratégias e Ações 2.3 Plano Estratégico de TI 2.3.1. Objetivos Estratégicos de TI 3 Modelagem de Sistemasde Informação 3.1 Embasamento Teórico 3.2 Sistema de Gestão dos Clientes 4 Segurança da Informação 4.1 Embasamento Teórico 4.2 Política de Segurança da Informação 4.2.1. Monitoramento e Auditoria do Ambiente 4.2.2. Correio Eletrônico 4.2.3. Internet 4.2.4. Identificação 4.2.5. Computadores e Recursos Tecnológicos 4.2.6. Dispositivos Móveis 4.2.7. Backup 5 Conclusão Referências
Compartilhar