Gestão de Projetos em Segurança da Informação-PMI_APOSTILA

Prévia do material em texto

Gestão de Projetos em 
Segurança da Informação - PMI 
 
 
 
 
Apresentação 
 
A construção de conhecimento na área de gestão de projetos é, em muitos casos, um 
verdadeiro processo de qualificação que envolve as melhores práticas de gerenciamento de 
projetos. 
 
O desafio é a elaboração de planos de recursos e custos, uma vez que implica em um 
processo de representação de um modelo de projeto, preservando as características que 
permitem ao aluno idealizar projetos que possam ser úteis no seu dia a dia. 
 
Desenvolver essas competências no aluno é o papel da disciplina Gestão de Projetos em 
Segurança da Informação. 
 
O ciclo de vida de um Projeto de Segurança da Informação, como qualquer outro projeto, 
deve ser dividido em fases como: início, planejamento, execução, controle e encerramento. 
 
Unidade 1: Conceitos de gerência de projeto 
 
1.1 Objetivo desta unidade 
 
Nesta unidade, trataremos dos conceitos de PMI (Project Management Institute), 
Certificação PMP (Project Management Professional); projeto e gerenciamento de projeto; 
processo e programa; fases do projeto e o cicio de vida; habilidades gerenciais; processos da 
Gerência de Integração do PMBOK. 
 
1.2 O que é um projeto? 
 
Segundo o PMBOK®, projeto é um esforço temporário empreendido para criar um produto, 
serviço ou resultado exclusivo. 
 
A natureza temporária dos projetos indica que eles têm um início e um término definidos. O 
término é alcançado quando os objetivos do projeto são atingidos ou quando o projeto é 
 
 
 
encerrado, porque os seus objetivos não serão ou não podem ser alcançados, ou quando a 
necessidade do projeto deixar de existir. 
 
Um projeto também poderá ser encerrado se o cliente (cliente, patrocinador ou financiador) 
desejar encerrá-lo. 
 
Cada projeto cria um produto, serviço ou resultado único. O resultado do projeto pode ser 
tangível ou intangível. 
 
Exemplos de projetos: 
 Construção de um prédio; 
 Implantação do ERP; 
 Desenvolvimento de um sistema de segurança da informação; 
 Campanha política; 
 Implantação de um novo processo. 
 
Em virtude da natureza exclusiva dos projetos, pode haver incertezas ou diferenças quanto 
aos produtos, serviços ou resultados criados pelo projeto, conforme mostra esta figura: 
 
 
 
 
 
 
1.3 Qual o significado de programa, projeto, subprojeto e sistema? 
 
Programa, projeto, subprojeto e sistema são empreendimentos semelhantes, de dimensões 
semelhantes. 
 
O relacionamento entre portfólios, programas e projetos é tal que um portfólio se refere a 
uma coleção de projetos, programas, subportfólios e gerenciadas para o alcance de objetivos 
estratégicos. 
 
Os programas são agrupados em um portfólio e englobam subprogramas, projetos ou outros 
trabalhos, que são gerenciados de forma coordenada para apoiar o portfólio. 
 
 
 
 
 
 
 
 
 
 
 
1.4 O que é gerenciamento de projeto? 
 
Gerenciamento de projetos é a aplicação do conhecimento, habilidades, ferramentas e 
técnicas às atividades do projeto para atender aos seus requisitos. 
 
É realizado através da aplicação e integração apropriadas dos 47 processos de 
gerenciamento de projetos, logicamente agrupados em cinco grupos de processos: 
 
• Iniciação; 
• Planejamento; 
• Execução; 
• Monitoramento e controle; 
• Encerramento. 
 
O gerenciamento de um projeto normalmente inclui, mas não se limita a: 
• Identificação dos requisitos; 
 
• Abordagem das diferentes necessidades, preocupações e expectativas das partes 
interessadas no planejamento e execução do projeto; 
 
• Estabelecimento, manutenção e execução de comunicações ativas, eficazes e colaborativas 
entre as partes interessadas; 
 
• Gerenciamento das partes interessadas visando o atendimento aos requisitos do projeto; 
 
• Equilíbrio das restrições conflitantes do projeto que incluem: 
 Escopo; 
 Qualidade; 
 Cronograma; 
 Orçamento; 
 Recursos; 
 Riscos. 
 
 
 
 
1.5 Habilidades do gerente de projetos 
 
O gerenciamento eficaz exige que o gerente de projetos possua as seguintes competências: 
 
• Conhecimento. Refere-se ao que o gerente de projetos sabe sobre gerenciamento de 
projetos; 
 
• Desempenho. Refere-se ao que o gerente de projetos é capaz de fazer ou realizar 
quando aplica o seu conhecimento em gerenciamento de projetos; 
 
• Pessoal. A efetividade pessoal abrange atitudes, liderança e relacionamento interpessoal, 
como: 
 
 Motivação; 
 Comunicação; 
 Influência; 
 Tomada de decisões; 
 Consciência política e cultural; 
 Negociação; 
 Ganho de confiança; 
 Administração de conflitos. 
 
1.6 Base de conhecimento corporativa 
 
A base de conhecimento organizacional corporativa para o armazenamento e recuperação de 
informações inclui: 
 
• Bases de conhecimento de gerenciamento de configuração, contendo as versões e linhas 
de base de todas normas, políticas e procedimentos da organização executora e quaisquer 
documentos do projeto; 
 
 
 
 
• Bancos de dados financeiros, contendo informações como horas de mão de obra, custos 
incorridos, orçamentos e qualquer estouro dos custos do projeto; 
 
• Bases de conhecimento de informações históricas e lições aprendidas (registros e 
documentos de projetos anteriores e informações de atividades de gerenciamento de riscos); 
 
• Bancos de dados de gerenciamento de problemas, informações de controle, solução de 
problemas; 
 
• Arquivos de projetos anteriores (escopo, custo, cronograma, linhas de base de medição do 
desempenho, calendários dos projetos, cronogramas, registros dos riscos e impactos). 
 
1.7 Ciclo de vida de um projeto 
 
Todo projeto se desenvolve através de um ciclo de vida que se constitui numa sequência de 
fases que vão desde a ideia inicial até o seu encerramento. 
 
 
 
 
1.8 Certificações em gerência de projeto 
 
Além dos padrões que estabelecem as diretrizes para os processos de gerenciamento de 
projetos, o código de ética e conduta profissional do PMI (Project Management Institute 
Code of Ethics and Professional Conduct) orienta e descreve as expectativas que eles devem 
ter de si mesmos e dos outros. 
 
 
 
 
O código de ética e conduta profissional do PMI é específico quanto à obrigação básica de 
responsabilidade, respeito, justiça e honestidade. Exige que os praticantes demonstrem um 
compromisso com a conduta ética e profissional. 
 
Ele transmite a obrigação do cumprimento das leis, regulamentos e das políticas 
organizacionais e profissionais. 
 
Os profissionais são provenientes de ambientes e culturas diversas, e o código de ética e 
conduta profissional do PMI se aplica globalmente. 
 
Ao interagir com quaisquer partes interessadas, os profissionais devem estar comprometidos 
com práticas honestas, responsáveis e justas e relacionamentos respeitosos. 
 
A aceitação do código pelos gerentes de projetos é essencial e é um requisito para os 
seguintes exames do PMI e respectivas certificações: 
 
• Profissional técnico certificado em gerenciamento de projetos (CAPM); 
• Profissional de gerenciamento de projetos (PMP); 
• Profissional de gerenciamento de programas (PgMP); 
• Profissional certificado em métodos Ágeis do PMI (PMI-ACP); 
• Profissional de gerenciamento de riscos do PMI (PMI-RMP); 
• Profissional em gerenciamento de cronograma (PMI-SP). 
 
 
 
1.9 Processos do PMBOK e o ciclo de vida do projeto 
 
Iniciação 
 
 
 
 
 Estudar a viabilidade; 
 Determinar o objetivo e as expectativas dos usuários; 
 Definir o escopo do projeto; 
 Selecionar os integrantes da equipe do projeto; 
 Formalizar a constituição do projeto. 
 
Planejamento 
 
 Detalhar o escopo do projeto: resultados, prazo e recursos; 
 Listar e sequenciar as atividades; 
 Elaborar o cronograma e alocação de recursos; 
 Obter aprovação dos envolvidos e interessados no projeto. 
 
Execução 
 
 Gerenciar a equipe do projeto; Reunir-se com a equipe; 
 Solucionar conflitos; 
 Assegurar os recursos necessários (financeiros e pessoais). 
 
Controle 
 
 Monitorar os desvios; 
 
 
 
 Tomar ações corretivas para harmonizar o executado com o programado; 
 Avaliar as alterações do projeto; 
 Reprogramar o projeto e ajustar os recursos, quando necessário,. 
 
Encerramento 
 
 Encerrar as atividades e aprender com a experiência passada; 
 Avaliar os resultados finais do projeto; 
 Emitir o relatório final e dissolver a equipe do projeto. 
 
 
 
 
 
 
 
 
 
 
 
 
1.10 Grupo de processos de gerenciamento de projetos e as áreas de 
conhecimento 
 
 
 
 
 
 
 
1.11 Gerenciamento da integração do projeto 
 
O gerenciamento da integração do projeto inclui os processos para identificar, definir e 
unificar e coordenar os vários processos e atividades do projeto. 
 
Os processos de gerenciamento da integração de projetos são: 
 
Desenvolver o tempo de abertura do projeto – Desenvolver um documento que 
formalmente autoriza a existência de um projeto e dá ao gerente do projeto a autoridade 
necessária para aplicar recursos às atividades do projeto; 
 
Desenvolver o plano de gerenciamento do projeto – Definir, preparar, integrar e 
coordenar todos os demais planos; 
 
Orientar e gerenciar o trabalho do projeto – Liderar e realizar o trabalho definido no 
plano do projeto; 
 
Monitorar e controlar o trabalho do projeto – Acompanhar o progresso do projeto; 
 
 
 
 
Realizar o controle integrado de mudanças – Revisar e aprovar as mudanças; 
 
Encerrar o projeto – Finalização de todas as atividades do projeto. 
 
 
 
Unidade 2: Gerenciamento do escopo, de prazo e de custos 
 
2.1 Objetivo desta unidade 
 
Nesta unidade, abordaremos os processos referentes às áreas de conhecimento do PMBOK: 
Gerência de Escopo, Gerência de Tempo e Gerência de Custos. 
 
2.2 Gerenciamento do escopo do projeto 
 
O que é escopo? 
 
Escopo é a “descrição daquilo que vai ser feito”. 
 
A Gerência do Escopo abrange os processos requeridos para assegurar que o projeto inclua 
todo o trabalho necessário, e tão somente o trabalho necessário. Deve definir e controlar o 
que está ou não incluído no projeto. 
 
 
 
 
Os processos da Gerência de Escopo são: 
 
 Planejar o gerenciamento do escopo 
Criação de um plano de gerenciamento do escopo do projeto, que documenta como tal 
escopo será definido, validado e controlado; 
 
 Coletar os requisitos 
Determinar, documentar e gerenciar as necessidades e requisitos das partes interessadas, 
visando atender aos objetivos do projeto; 
 
 Definir o escopo 
Desenvolvimento de uma descrição detalhada do projeto e do produto; 
 
 Criar a EAP 
Subdivisão das entregas e do trabalho do projeto em componentes menores e mais 
facilmente gerenciáveis; 
 
 Validar o escopo 
Formalização da aceitação das entregas concluídas do projeto; 
 
 Controlar o escopo 
Monitoramento do andamento do escopo do projeto e do produto e gerenciamento das 
mudanças feitas na linha de base do escopo. 
 
Exemplo de um escopo de projeto de desenvolvimento de um novo veículo: 
 
 
 
 
 
 
Escopo do projeto 
Fábrica Fornecedores 
Produto: Veículo Treinamento dos 
distribuidores 
Escopo do produto: 
características do veículo 
 
 
 
 
A Gerência do Escopo começa com uma definição sucinta até o detalhamento. 
 
Seguem os componentes do projeto: 
 
 
 
2.2.2 EAP - Estrutura Analítica do Projeto 
 
EAP é o desdobramento do texto da Declaração do Escopo em um conjunto de componentes 
menores, que identificam todo o trabalho a ser realizado para a obtenção do produto do 
projeto. 
 
O nível de detalhe dos pacotes de trabalho varia com o tamanho e a complexidade do 
projeto. A decomposição do trabalho completo do projeto em pacotes de trabalho envolve as 
seguintes atividades: 
 
• Identificação e análise das entregas de seu trabalho relacionado; 
• Estruturação e organização da EAP; 
• Decomposição dos níveis mais altos da EAP em componentes detalhados em menor nível; 
• Desenvolvimento e designação de códigos de identificação aos componentes da EAP; 
• Verificação de que o grau de decomposição das entregas é apropriado. 
 
 
 
 
Uma parte de uma EAP com alguns ramos decompostos até o nível de pacote de trabalho é 
mostrada nas duas figuras a seguir: 
 
 
 
 
 
 
Declaração de escopo 
 
A declaração do escopo do projeto define o trabalho que será executado. O que será 
excluído pode ajudar a determinar a capacidade da equipe de gerenciamento do projeto de 
controlar seu escopo geral. 
 
A declaração de escopo inclui: 
 
 
 
 
 Descrição do escopo do projeto (progressivamente elaborado); 
 Critérios de aceitação; 
 Entregas do projeto; 
 Exclusões do projeto; 
 Restrições do projeto; 
 Premissas do projeto. 
 
Restrições - Um fator limitador que afeta a execução de um projeto ou processo. 
 
As restrições identificadas com a declaração do escopo do projeto listam e descrevem as 
restrições ou limitações internas e externas específicas associadas com o escopo do projeto 
que afetam sua execução como, por exemplo, um orçamento predefinido ou quaisquer datas 
impostas ou marcos do cronograma comunicados pelo cliente ou pela organização 
executora. 
 
Quando um projeto é feito sob contrato, as cláusulas contratuais geralmente serão 
restrições. As informações sobre as restrições podem ser listadas na declaração do escopo 
do projeto ou em um registro separado. 
 
Premissas - Um fator do processo de planejamento considerado verdadeiro, real ou certo, 
desprovido de prova ou demonstração. Também descreve o impacto potencial desses fatores 
se forem comprovados como falsos. 
 
As equipes de projetos frequentemente identificam, documentam e validam as premissas 
como parte do seu processo de planejamento. As informações sobre as premissas podem ser 
listadas na declaração do escopo do projeto ou em um registro separado. 
 
 
 
 
 
 
 
 
 
2.3 Gerenciamento do tempo do projeto 
 
O gerenciamento do tempo do projeto inclui os processos necessários para gerenciar o 
término pontual do projeto. Os processos de gerenciamento do tempo do projeto são: 
 
Planejar o gerenciamento do cronograma - Estabelecer as políticas, os procedimentos e 
a documentação para o planejamento, desenvolvimento, gerenciamento, execução e 
controle do cronograma do projeto; 
 
Definir as atividades - Identificação e documentação das ações específicas a serem 
realizadas para produzir as entregas do projeto; 
 
Sequenciar as atividades - Identificação e documentação dos relacionamentos entre as 
atividades do projeto; 
 
Estimar os recursos das atividades - Estimativa dos tipos e quantidades de material, 
recursos humanos, equipamentos ou suprimentos que serão necessários para realizar cada 
atividade; 
 
Estimar as durações das atividades - Estimativa do número de períodos de trabalho que 
serão necessários para terminar atividades específicas com os recursos estimados; 
 
Desenvolver o cronograma - Análise das sequências das atividades, suas durações, 
recursos necessários e restrições do cronograma visando criar o modelo do cronograma do 
projeto; 
 
Controlar o cronograma - Monitoramento do andamento das atividades do projeto para a 
atualização no seu progresso e gerenciamento das mudanças feitas na linha de base do 
cronograma para realizar o planejado. 
 
 
 
 
 
 
Desenvolvimento do cronograma 
 
Para desenvolver o cronograma, é necessário construir o diagrama de rede, que é um 
esquema de apresentação das atividades do projeto e dos relacionamentos lógicos 
(dependências) entre elas. 
 
O exemplo a seguir mostra o diagrama de rede para um projeto de jantar beneficente: 
 
 
Diagrama de Gantt 
 
 
 
2.4 Gerenciamento dos custos do projeto 
 
O gerenciamento dos custos do projeto inclui os processos envolvidosem planejamento, 
estimativas, orçamentos, financiamentos, gerenciamento e controle dos custos, de modo que 
o projeto possa ser terminado dentro do orçamento aprovado. 
 
 
 
 
 
Os processos de gerenciamento dos custos do projeto são: 
 
 Planejar o gerenciamento dos custos - Estabelecer as políticas, os procedimentos 
e a documentação para o planejamento, gestão, despesas e controle dos custos do 
projeto; 
 
 Estimar os custos - Desenvolvimento da estimativa de custos dos recursos 
monetários necessários para terminar as atividades do projeto; 
 
 Determinar o orçamento - Agregação dos custos estimados de atividades 
individuais ou pacotes de trabalho para estabelecer uma linha de base dos custos 
autorizada; 
 
 Controlar os custos - Monitoramento do andamento do projeto para atualização no 
seu orçamento e gerenciamento das mudanças feitas na linha de base de custos. 
 
O plano de gerenciamento do projeto contém informações usadas para desenvolver o plano 
de gerenciamento dos custos que incluem: 
 
• Linha de base do cronograma - Define quando os custos do projeto serão incorridos; 
 
• Outras informações - Outras decisões sobre custos, riscos e comunicações relacionadas 
com o desenvolvimento dos custos a partir do plano de gerenciamento do projeto; 
 
• Linha de base do escopo - Inclui o gerenciamento do escopo do projeto e os detalhes 
da EAP para a estimativa e gerenciamento dos custos. Compreende o seguinte: 
 
 Especificação do escopo do projeto - A especificação do escopo do projeto fornece a 
descrição do produto, os critérios de aceitação, as entregas chave, os limites, as premissas e 
restrições do projeto. 
 
 
 
 
Uma premissa básica que precisa ser definida durante a estimativa de custos do projeto é se 
as estimativas serão limitadas somente aos custos diretos do projeto ou se incluirão também 
os custos indiretos. 
 
Os custos indiretos são aqueles que não podem ser diretamente rastreados até um projeto 
específico e, portanto, serão acumulados e igualmente distribuídos entre múltiplos projetos 
através de algum procedimento contábil aprovado e documentado. Uma das restrições mais 
comuns para muitos projetos é um orçamento limitado. 
 
Exemplos de outras restrições são as datas de entregas exigidas, os recursos habilitados 
disponíveis e as políticas organizacionais; 
 
 Estrutura analítica do projeto - A estrutura analítica do projeto (EAP) fornece as relações 
entre todos os componentes do projeto e suas entregas; 
 
 Dicionário da EAP - O dicionário da EAP (Seção 5.43) fornece informações detalhadas 
sobre as entregas e uma descrição do trabalho em cada componente da EAP necessário para 
produzir cada entrega. 
 
Termo de Abertura do Projeto 
 
O termo de abertura do projeto fornece um orçamento de resumo a partir do qual os custos 
detalhados do projeto serão desenvolvidos. 
 
Também define os requisitos de aprovação do projeto que influenciarão o gerenciamento 
dos custos do projeto. 
 
Linha de base de custos 
 
A linha de base dos custos é a versão aprovada do orçamento do projeto referenciado no 
tempo, excluindo quaisquer reservas de gerenciamento, que só pode ser mudada através de 
 
 
 
procedimentos formais de controle de mudanças e usada como base para comparação com 
os resultados reais. 
 
É desenvolvida como um somatório dos orçamentos aprovados para as várias atividades do 
cronograma. 
 
 
 
 
 
 
 
Análise financeira do projeto 
 
A análise financeira deve contempla as seguintes atividades: 
 
 Análise de custo-benefício - Ferramenta de análise financeira usada para 
determinar os benefícios providos por um projeto em relação aos seus custos; 
 
 Análise de decisão envolvendo critérios múltiplos – Esta técnica utiliza uma 
matriz de decisão que fornece uma abordagem analítica sistemática para o 
estabelecimento de critérios, como níveis de risco, incerteza e avaliação, para avaliar 
e classificar muitas ideias; 
 
 Análise de desempenho (Performance Reviews) - Técnica usada para medir, 
comparar e analisar o desempenho real do trabalho do projeto em progresso, em 
relação à linha de base; 
 
 Análise de fazer ou comprar (Make-or-Buy Analysis) - O processo de reunir e 
organizar dados sobre os requisitos do produto e analisá-los em relação às 
alternativas disponíveis, incluindo a compra ou manufatura interna do produto; 
 
 Análise SWOT (de forças, fraquezas, oportunidades e ameaças) - A análise dos 
pontos fortes (strengths), fracos (weaknesses), das oportunidades (opportunities) e 
ameaças (threats) a uma organização, projeto ou opção; 
 
 Análise de listas de verificação (Checklist Analysis) - Técnica para verificar os 
materiais de maneira sistemática, usando uma lista para determinar a exatidão e 
completude; 
 
 Análise de premissas (Assumptions Analysis) - Técnica que explora a exatidão 
das premissas e identifica os riscos para o projeto causados pelo caráter inexato, 
inconsistente ou incompleto das premissas. 
 
 
 
 
Unidade 3: Demais áreas de conhecimento do PMI/PMBOK 
 
3.1 Objetivo desta unidade 
 
Nesta unidade, abordaremos os demais processos referentes às áreas de conhecimento do 
PMBOK, como: gerência de qualidade, gerência de recursos humanos, de comunicação, de 
riscos, de aquisições e gerência das partes interessadas do projeto. 
 
3.1 Gerenciamento da Qualidade do Projeto 
 
Inclui os processos e atividades da organização executora que determinam as políticas de 
qualidade, os objetivos e as responsabilidades, de modo que o projeto satisfaça às 
necessidades para as quais foi empreendido. 
 
Processos de gerenciamento da qualidade do projeto 
 
Planejar o gerenciamento da qualidade - Identificação dos requisitos e/ou padrões da 
qualidade do projeto e suas entregas, além da documentação de como o projeto 
demonstrará a conformidade com os requisitos e padrões de qualidade; 
 
 Realizar a garantia da qualidade - Auditoria dos requisitos de qualidade e dos 
resultados das medições do controle de qualidade, para garantir o uso dos padrões de 
qualidade e das definições operacionais apropriadas; 
 
Realizar o controle da qualidade - Monitoramento e registro dos resultados da execução 
das atividades de qualidade, para avaliar o desempenho e recomendar as mudanças 
necessárias. 
 
Ferramentas de qualidade 
 
• Diagrama Ishikawa (espinha de peixe); 
• Fluxograma; 
• Folhas de verificação; 
 
 
 
• Diagrama de Pareto; 
• Histograma; 
• Diagrama de dispersão; 
• Brainstorming. Essa técnica é usada para gerar ideias (definidas na Seção 11.2.2.2). 
• Análise do campo de força. Esses são diagramas das forças a favor e contra a 
mudança; 
• Técnica de grupo nominal. É usada para permitir que as ideias passem pelo 
brainstorming em pequenos grupos e depois sejam analisadas por um grupo maior; 
• Ferramentas de gerenciamento e controle da qualidade. São usadas para conectar e 
sequenciar as atividades identificadas. 
 
3.3 Gerenciamento dos recursos humanos do projeto 
 
O gerenciamento dos recursos humanos do projeto inclui os processos que organizam, 
gerenciam e guiam a equipe do projeto. 
 
A equipe do projeto consiste sas pessoas com papéis e responsabilidades designadas para 
completar o projeto. 
 
Os membros da equipe do projeto podem ter vários conjuntos de habilidades, atuar em 
regime de tempo integral ou parcial e podem ser acrescentados ou removidos da equipe à 
medida que o projeto progride. Eles também podem ser referidos como pessoal do projeto. 
 
Embora os papéis e responsabilidades específicos para os membros sejam designados, o 
envolvimento de todos os membros da equipe no planejamento do projeto e na tomada de 
decisões pode ser benéfico. 
 
A participação dos membros da equipe durante o planejamento agrega seus conhecimentos 
ao processo e fortalece o compromisso com o projeto. 
 
 
 
 
 
 
Os processos de gerenciamentodos recursos humanos do projeto são: 
 
Desenvolver o plano dos recursos humanos - Identificação e documentação de papéis, 
responsabilidades, habilidades necessárias, relações hierárquicas, além da criação de um 
plano de gerenciamento do pessoal; 
 
Mobilizar a equipe do projeto - Confirmação da disponibilidade dos recursos humanos e 
da obtenção da equipe necessária para terminar as atividades do projeto; 
 
Desenvolver a equipe do projeto - Melhoria de competências, da interação e do 
ambiente geral da equipe para aprimorar o desempenho do projeto; 
 
Gerenciar a equipe do projeto - Acompanhar o desempenho dos membros da equipe, 
fornecer feedback, resolver problemas e gerenciar mudanças para otimizar o desempenho do 
projeto. 
 
3.4 Gerenciamento das comunicações do projeto 
 
O gerenciamento das comunicações do projeto inclui os processos necessários para 
assegurar que as informações sejam planejadas, coletadas, criadas, distribuídas, 
armazenadas, recuperadas, gerenciadas, controladas, monitoradas e finalmente dispostas de 
maneira oportuna e apropriada. 
 
Os gerentes de projetos passam a maior parte do tempo se comunicando com os membros 
da equipe e outras partes interessadas do projeto, quer sejam internas (em todos os níveis) 
ou externas à organização. 
 
A comunicação eficaz cria uma ponte entre as diversas partes interessadas do projeto, que 
podem ter diferenças culturais e organizacionais, diferentes níveis de conhecimento e 
diversas perspectivas e interesses que podem impactar ou influenciar na execução ou 
resultado do projeto. 
 
 
 
 
Os processos do gerenciamento das comunicações do projeto são: 
 
Planejar o gerenciamento das comunicações - Desenvolver uma abordagem 
apropriada e um plano de comunicações do projeto com base nas necessidades de 
informação e requisitos das partes interessadas e nos ativos organizacionais disponíveis; 
 
Gerenciar as comunicações - Criar, coletar, distribuir, armazenar, recuperar as 
informações do projeto de acordo com o plano de gerenciamento das comunicações; 
 
Controlar as comunicações - Monitorar e controlar as comunicações no decorrer do ciclo 
de vida do projeto para assegurar que as necessidades de informação das partes 
interessadas sejam atendidas. 
 
Os cinco passos para o gerenciamento eficaz da comunicação 
 
1) Ouvir atentamente - Observe não apenas o que está sendo dito, mas como está sendo 
dito. A linguagem de corpo e entonação empregada dão subsídios adicionais; 
 
2) Pensar objetivamente - Respire, dê-se um tempo para organizar as ideias. Só 
interrompa se for para obter esclarecimentos e peça para continuar; 
 
3) Discutir abertamente - A discussão aberta permitirá ao GP obter mais esclarecimentos 
a respeito dos problema; 
 
4) Desenvolver sensibilidade - É a percepção; olhe para além dos limites da mensagem e 
entenda em que circunstâncias ela ocorre; 
 
5) Responder rapidamente às necessidades - É frustrante saber que a mensagem foi 
entendida, mas nenhuma ação foi tomada. 
 
 
 
 
 
 
A importância da comunicação no ambiente de projetos 
 
Uma comunicação eficaz acelera os processos internos e facilita a solução de problemas e de 
conflitos, o melhor desempenho e a tomada de decisão. 
 
A comunicação eficaz ocorre quando a mensagem é enviada, recebida e entendida conforme 
pretendida pelo emissor. Ela requer feedback. 
 
O que os clientes esperam do gerente de projetos: 
 
 Interesse e atenção aos seus objetivos; 
 Entender do seu segmento de negócio; 
 Proativo; 
 Respeito mútuo, confiança e credibilidade. 
 
Gerenciar expectativas não é simplesmente identificar o que o cliente quer; é guiar o cliente 
de forma tal que ele espere por aquilo que você pode oferecer (Jolyon Hallows. Information 
Systems Project Management, Amacom, 1998). 
 
3.5 Gerenciamento dos riscos do projeto 
 
O gerenciamento dos riscos do projeto inclui os processos de planejamento, identificação, 
análise, planejamento de respostas e controle de riscos de um projeto. 
 
Seus objetivos são aumentar a probabilidade e o impacto dos eventos positivos e reduzir a 
probabilidade e o impacto dos eventos negativos no projeto. 
 
Os processos de gerenciamento dos riscos do projeto são: 
 
 Planejar o gerenciamento dos riscos - Definição de como conduzir as atividades 
de gerenciamento dos riscos de um projeto; 
 
 
 
 
 Identificar os riscos - Determinação dos riscos que podem afetar o projeto e de 
documentação das suas características; 
 
 Realizar a análise qualitativa dos riscos - Priorização de riscos para análise ou 
ação posterior, através da avaliação e combinação de sua probabilidade de ocorrência 
e impacto; 
 
 Realizar a análise quantitativa dos riscos - Analisar numericamente o efeito dos 
riscos identificados nos objetivos gerais do projeto; 
 
 Planejar as respostas aos riscos - Desenvolvimento de opções e ações para 
aumentar as oportunidades e reduzir as ameaças aos objetivos do projeto; 
 
 Controlar os riscos - Implementar os planos de respostas aos riscos, acompanhar 
os riscos identificados, monitorar riscos residuais, identificar novos riscos e avaliar a 
eficácia do processo de gerenciamento dos riscos durante todo o projeto. 
 
Auditorias de riscos 
 
As auditorias de riscos examinam e documentam a eficácia das respostas para lidar com os 
riscos identificados e suas causas principais, bem como a eficácia do processo de 
gerenciamento dos riscos. 
 
O gerente de projetos é responsável por garantir que sejam realizadas auditorias com uma 
frequência adequada, conforme definido no plano de gerenciamento dos riscos do projeto. 
 
As auditorias de riscos podem ser incluídas nas reuniões rotineiras de revisão do projeto ou a 
equipe pode decidir fazer reuniões de auditoria separadas. 
 
O formato da auditoria e seus objetivos devem ser definidos claramente antes da execução 
da auditoria. 
 
 
 
 
Exemplo de uma análise de riscos: método da ponderação (escore de risco) 
 
IITTEEMM PPEESSOO NNOOTTAA TTOOTTAALL 
Custo do sistema 15 5 75 
Valor diário das transações 15 10 150 
Volume diário das transações 10 9 90 
Visibilidade do cliente 10 10 100 
Impacto 10 10 100 
Extensão do sistema 5 8 40 
Capacitação da equipe 5 8 40 
TOTAL 595 
 
Tabela de prioridade do risco 
 
EESSCCOORREE DDEE RRIISSCCOO PPRRIIOORRIIDDAADDEE 
Até 200 Baixa 
201 a 300 Média 
301 a 500 Alta 
501 e maior Muito Alta 
 
Como a nota total foi 595, o projeto deve ser indicado para auditoria. 
 
3.6 Gerenciamento das aquisições do projeto 
 
O gerenciamento das aquisições do projeto inclui os processos necessários para comprar ou 
adquirir produtos, serviços ou resultados externos à equipe do projeto. A organização pode 
ser tanto o comprador quanto o vendedor dos produtos, serviços ou resultados de um 
projeto. 
 
Abrange os processos de gerenciamento de contratos e controle de mudanças necessários 
para desenvolver e administrar contratos ou pedidos de compra emitidos por membros 
autorizados da equipe do projeto. 
 
 
 
 
Também inclui a administração de todos os contratos emitidos por uma organização externa 
(o comprador), que está adquirindo os resultados do projeto da organização executora (o 
fornecedor), e a administração das obrigações contratuais atribuídas à equipe do projeto 
pelo contrato. 
 
Os processos do gerenciamento das aquisições do projeto são: 
 
 Planejar o gerenciamento das aquisições - Documentação das decisões de compras do 
projeto, especificando a abordagem e identificando fornecedores em potencial; 
 
 Conduzir as aquisições - Obtenção de respostas de fornecedores, seleção de um 
fornecedor e adjudicação de um contrato; 
 
 Controlar as aquisições - Gerenciamento das relações de aquisições, monitoramento do 
desempenho do contrato e realizações de mudanças e correções nos contratos,conforme 
necessário; 
 
 Encerrar as aquisições - Finalizar cada uma das aquisições do projeto. 
 
Critérios para seleção de fornecedores 
 
 Política e custo de atualização de versões (manutenção); 
 Reputação do fornecedor; 
 Nível e disponibilidade de suporte; 
 Flexibilidade do sistema; 
 Facilidade de interação (usabilidade); 
 Disponibilidade e qualidade da documentação; 
 Recursos de hardware e redes necessários; 
 Treinamento necessário (e se está no custo da aquisição); 
 Segurança; 
 Tempo de aprendizado para desenvolvedores e usuários. 
 
 
 
 
3.7 Gerenciamento das partes interessadas do projeto 
 
O gerenciamento das partes interessadas do projeto inclui os processos exigidos para 
identificar todas as pessoas, grupos ou organizações que podem impactar ou serem 
impactados pelo projeto, analisar as expectativas das partes interessadas e seu impacto no 
projeto, e desenvolver estratégias de gerenciamento apropriadas para o engajamento eficaz 
das partes interessadas nas decisões e execução do projeto. 
 
Também se concentra na comunicação contínua com as partes interessadas, para entender 
suas necessidades e expectativas, abordando as questões conforme elas ocorrem, 
gerenciando os interesses conflitantes e incentivando o comprometimento das partes 
interessadas com as decisões e atividades do projeto. 
 
A satisfação das partes interessadas deve ser gerenciada como um objetivo essencial do 
projeto. 
 
Os processos de gerenciamento das partes interessados do projeto são: 
 
 Identificar as partes interessadas - Identificar pessoas, grupos ou organizações 
que podem impactar ou serem impactados por uma decisão, atividade ou resultado do 
projeto e analisar e documentar informações relevantes relativas aos seus interesses, 
nível de engajamento, interdependências, influência, e seu impacto potencial no êxito 
do projeto; 
 
 Planejar o gerenciamento das partes interessadas - Desenvolver estratégias 
apropriadas de gerenciamento para engajar as partes interessadas de maneira eficaz 
no decorrer de todo o ciclo de vida do projeto, com base na análise das suas 
necessidades, interesses, e impacto potencial no sucesso do projeto; 
 
 Gerenciar o engajamento das partes interessadas - Comunicar-se e trabalhar 
com as partes interessadas para atender às suas necessidades/ expectativas, abordar 
 
 
 
as questões à medida que elas ocorrem e incentivar o engajamento apropriado das 
partes interessadas nas atividades do projeto, no decorrer de todo o ciclo de vida do 
projeto; 
 
 Controlar o engajamento das partes interessadas - Monitorar os 
relacionamentos das partes interessadas do projeto em geral e ajustar as estratégias 
e planos para o engajamento das partes interessadas. 
 
Identificação e análise dos stakeholders 
 
 Todas as partes interessadas do projeto (nome, cargo); 
 Definir cada parte interessada e o que vai fazer no projeto; 
 Estabelecer os papéis e responsabilidades de cada um no projeto; 
 Definir o comprometimento que eles devem ter no projeto; 
 Como trabalhar em sintonia com os stakeholders; 
 Qual a importância de cada um no projeto. 
 
Exemplos de stakeholders: 
 
• Acionistas, donos, investidores; 
• Empregados; 
• Fornecedores/ subministradores da empresa; 
• Sindicatos, associações profissionais; 
• Associações de vizinhos; 
• Grupos normativos; 
• Governos federal, estadual e municipal; 
• ONGs; 
• Concorrentes. 
 
 
 
 
 
 
 
Unidade 4: Projeto de segurança da informação 
 
4.1 Introdução 
 
O profissional da área de Tecnologia da Informação atua diretamente no planejamento, 
implementação e implantação de soluções de TI nas organizações. 
 
Dessa forma, é imprescindível que o gerente de projeto entenda a importância das 
necessidades de segurança nas organizações e da própria informação, compreenda o 
conceito de segurança da informação e saiba aplicar as melhores práticas do mercado. 
 
O papel estratégico dos sistemas de informação nas empresas cresce a cada dia e envolve a 
utilização de tecnologia da informação para desenvolver produtos, serviços e capacidades 
que confiram a esta empresa vantagens estratégicas sobre as forças competitivas que ela 
enfrenta no mercado mundial. 
 
As razões fundamentais são: 
 
• Apoio às operações e aos processos; 
• Apoio à tomada de decisão; 
• Apoio às estratégias para vantagem competitiva. 
 
4.2 O que é segurança da informação? 
 
A segurança da informação trata da proteção dos dados e informações contra ações não 
autorizadas (intencionais ou acidentais) relativas à divulgação, transferência, modificação ou 
destruição destes, condição em que pessoas, instalações, equipamentos, sistemas básicos, 
aplicativos, dados, informações e outros recursos significativos encontram-se a salvo de 
desastres ou ameaças naturais, bem como de desastres ou ameaças causados pelo homem. 
 
A segurança de informações está relacionada à proteção dos ativos. Todas as informações 
processadas por uma organização, bem como os equipamentos e sistemas utilizados, 
 
 
 
representam ativos valiosos, no sentido em que a continuidade do funcionamento da 
organização pode depender da preservação destes ativos. 
 
Um projeto de segurança da informação deve garantir a exatidão, a integridade e a 
disponibilidade das informações da organização, como também garantir a confidencialidade e 
a privacidade das informações dos clientes, fornecedores e colaboradores. 
 
4.2 Proteção 
 
A proteção da informação está classificada em: 
 
• Prevenção: evita que acidentes ocorram; 
• Desencorajamento: desencoraja a prática de ações; 
• Monitoramento: monitora o estado e funcionamento dos ativos; 
• Detecção: detecta a ocorrência de incidentes; 
• Limitação: diminui os danos causados; 
• Reação: reage a determinados incidentes; 
• Correção: repara falhas existentes; 
• Recuperação: repara danos causados por incidentes. 
 
4.3 Princípios 
 
• Integridade: trata-se da manutenção das informações tal e qual tenham sido 
geradas. Esta propriedade indica que os dados e informações não deveriam ser alterados ou 
destruídos de maneira não autorizada e aprovada; 
 
• Disponibilidade: consiste na possibilidade de acesso contínuo, ininterrupto, 
constante e atemporal às informações. Esta propriedade indica que o acesso aos serviços 
oferecidos pelo sistema deveria ser sempre possível para um usuário, entidade, sistema ou 
processo autorizado e aprovado. 
 
 
 
 
 
4.4 Fatores que impactam na segurança 
 
Valor: importância do ativo para a organização; 
 
Ameaça: evento que tem potencial em si próprio para comprometer os objetivos da 
organização, seja trazendo danos diretos aos ativos ou prejuízos decorrentes de situações 
inesperadas; 
 
Vulnerabilidade: a ausência de um mecanismo de proteção ou falhas em um mecanismo 
de proteção existente. São as vulnerabilidades que permitem que as ameaças se 
concretizem. 
 
O que irá determinar se uma invasão de computador pode ou não afetar os negócios de uma 
empresa é a ausência ou existência de mecanismos de prevenção, detecção e eliminação, 
além do correto funcionamento destes mecanismos; 
 
Impacto: tamanho do prejuízo, medido através de propriedades mensuráveis ou abstratas, 
que a concretização de uma determinada ameaça causará. 
 
Devemos levar em consideração que diferentes ameaças possuem impactos diferentes e 
que, dependendo do ativo afetado, podemos ter também impactos diferentes para uma 
mesma ameaça. 
 
Exemplo: assalto a residência 
 
Ativos: objetos existentes na casa. 
Vulnerabilidade: porta com fechadura simples. 
Ameaça: pode haver um arrombamento e assalto. 
Impactos: perda de conforto, necessidade de comprar tudo novamente. 
Contramedidas: fechadura quádrupla, portas e janelas blindadas, alarme, cachorro, vigia, 
seguro etc. 
 
 
 
 
4.5 Segurança da Informação segundo a NBR ISO 27.000ISO é uma palavra derivada do grego isos (igual), que aparece como prefixo em termos tais 
como: isometria (qualidade de medidas e dimensões) e isonomia (igualdade das pessoas 
perante à lei). 
 
Por decorrência, associa-se ISO (igual) a "padrão", o que levou a uma linha de pensamento 
que redundou na escolha de ISO como identificação mundial da International Organization 
for Standardization, para evitar a infinidade de siglas resultantes da tradução em diversas 
línguas dessa ONG criada em 1947 e sediada em Genebra, na Suíça. 
 
 ISO 27.001 
Esta norma define os requisitos para a implementação de um projeto de sistema de gestão 
de segurança da informação (SGSI). 
 
Especifica os requisitos para estabelecer, implementar, operar, monitorar, analisar 
criticamente, manter e melhorar um SGSI documentado dentro do contexto dos riscos de 
negócio globais da organização, permitindo que uma empresa construa de forma muito 
rápida uma política de segurança baseada em controles de segurança eficientes. 
 
 ISO 27.002 
Esta norma estabelece um referencial para as organizações desenvolverem, implementarem 
avaliarem a gestão da segurança da informação. Estabelece diretrizes e princípios gerais 
para iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma 
organização. 
 
 Controle de acesso 
A Norma NBR ISO 27.002 orienta que a organização deve controlar o acesso à informação, 
aos recursos de processamento de dados e aos processos de negócios com base nos 
requisitos de negócio e na segurança da informação, levando em consideração as políticas 
para autorização e disseminação da informação. 
 
 
 
 
 
IDS - Intrusion detection system 
DMZ = zona desmilitarizada 
Web service SSL = Security sockets layers - provê uma camada de criptografia ao protocolo 
HTTP 
DNS = Domain name system (sistema de nomes de domínios - grandes bancos de dados 
espalhados em servidores localizados em várias partes mundo). 
VPN = Virtual private network, rede de comunicações privada usada por empresas. 
 
 Desenvolvimento e manutenção de sistemas 
A Norma NBR ISO 27.002 orienta que a organização deve garantir que segurança é parte 
integrante de sistemas de informação seja na aquisição, desenvolvimento ou manutenção 
de sistemas de informação. 
 
Dessa forma, os requisitos de segurança devem ser identificados e acordados antes do 
desenvolvimento do projeto de sistemas de informação. 
 
 Gestão de incidentes de segurança da informação 
A norma NBR ISO 27.002 orienta que a organização deve assegurar que fragilidades e 
eventos de segurança da informação associados aos sistemas de informação sejam 
comunicados, permitindo a tomada de ação corretiva em tempo hábil. 
 
 
 
 
 Gestão da continuidade do negócio 
A norma NBR ISO 27.002 orienta que a organização não deve permitir a interrupção das 
atividades do negócio e deve proteger os processos críticos contra efeitos de falhas ou 
desastres significativos, e assegurar a sua retomada em tempo hábil, se for o caso. 
 
 Conformidade 
A norma NBR ISO 27002 orienta que o projeto deve evitar violação de qualquer lei criminal 
ou civil, estatutos, regulamentações ou obrigações contratuais e de quaisquer requisitos de 
segurança da informação. 
 
 ISO 27.003 
Esta norma fornece orientação para um sistema de gestão de segurança da informação com 
objetivos mais amplos que a norma ISO 27.001, especificamente no que tange à melhoria 
do desempenho global de uma organização e sua eficiência e eficácia. 
 
 ISO 27.004 
Esta norma define métricas e medições para avaliar a eficácia de um SGSI. Fornece 
orientações para elaboração, tabulação e acompanhamento de indicadores do projeto de 
sistema de gestão de segurança da informação. 
 
Visa o acompanhamento dos objetivos de segurança previstos para o sistema de gestão por 
meio da medição da eficácia dos controles de segurança implementados e permite aos 
gestores avaliar se os controles alcançam de forma satisfatória os objetivos de controle 
planejados. 
 
 ISO 27.005 
Fornece diretrizes para o processo de gestão de riscos de segurança da informação. Contém 
a descrição do processo de gestão de riscos de segurança da informação e das suas 
atividades. 
 
 
 
 
 
 ISO 27.006 
Guia para o processo de acreditação de entidades certificadoras. 
 
 ISO 27.007 
Orientações para gestão de um projeto de auditoria de sistemas de segurança da 
informação.