Baixe o app para aproveitar ainda mais
Prévia do material em texto
Gestão de Tecnologia da Informação Material Teórico Responsável pelo Conteúdo: Prof. Me. Fabio Peppe Beraldo Prof. Me. Artur Marques Revisão Textual: Prof. Esp. Claudio Brites Gestão de Tecnologia da Informação • Introdução a Tecnologia da Informação; • Sistemas Integrados de Gestão; • Classificação de Sistema Integrados; • Fundamentos Segurança da Informação em T.I. · Macro-conceitos referentes à própria gestão da tecnologia da informação; · Uso de Sistema de Informação (SI) de Gestão ou Sistema de Informa- ções Gerenciais; · Segurança da informação. OBJETIVO DE APRENDIZADO Gestão de Tecnologia da Informação Orientações de estudo Para que o conteúdo desta Disciplina seja bem aproveitado e haja maior aplicabilidade na sua formação acadêmica e atuação profissional, siga algumas recomendações básicas: Assim: Organize seus estudos de maneira que passem a fazer parte da sua rotina. Por exemplo, você poderá determinar um dia e horário fixos como seu “momento do estudo”; Procure se alimentar e se hidratar quando for estudar; lembre-se de que uma alimentação saudável pode proporcionar melhor aproveitamento do estudo; No material de cada Unidade, há leituras indicadas e, entre elas, artigos científicos, livros, vídeos e sites para aprofundar os conhecimentos adquiridos ao longo da Unidade. Além disso, você também encontrará sugestões de conteúdo extra no item Material Complementar, que ampliarão sua interpretação e auxiliarão no pleno entendimento dos temas abordados; Após o contato com o conteúdo proposto, participe dos debates mediados em fóruns de discus- são, pois irão auxiliar a verificar o quanto você absorveu de conhecimento, além de propiciar o contato com seus colegas e tutores, o que se apresenta como rico espaço de troca de ideias e de aprendizagem. Organize seus estudos de maneira que passem a fazer parte Mantenha o foco! Evite se distrair com as redes sociais. Mantenha o foco! Evite se distrair com as redes sociais. Determine um horário fixo para estudar. Aproveite as indicações de Material Complementar. Procure se alimentar e se hidratar quando for estudar; lembre-se de que uma Não se esqueça de se alimentar e de se manter hidratado. Aproveite as Conserve seu material e local de estudos sempre organizados. Procure manter contato com seus colegas e tutores para trocar ideias! Isso amplia a aprendizagem. Seja original! Nunca plagie trabalhos. UNIDADE Gestão de Tecnologia da Informação Contextualização Sergio (2002, p. 142) versa que a percepção da importância do conhecimento nas atividades que uma organização deve realizar, bem como o fato de que se trata de uma habilidade inerentemente ligada a pessoas, faz parte do pensamento admi- nistrativo desde quando se iniciou a articulação desta área de estudo. A Tecnologia de Informação (TI) tem papel destacado nas empresas modernas, em parte por sua importância inerente e também pela dependência que os processos de negócio e as pessoas possuem dessa tecnologia. Nesse contexto, é natural pensarmos em considerar aspectos da gestão da TI, incluindo sua governança, que aborda a tecnologia da informação intra e interde- partamentais que ela participa ativamente do ciclo de negócios das corporações. Esses aspectos de gestão e governança são os que mantêm a TI vinculada à em- presa, para tanto, são necessários alinhamentos de processos e verificação de con- formidades com os objetivos internos e externos da empresa. Podemos claramente perceber seu contexto de aplicação que, apesar de amplo, é estratégico, decisões erradas comprometem a empresa e jogam dinheiro, difícil de arrumar, fora. Mais uma vez o ambiente onde esse drama se desenvolve é estratégico. Entendere- mos um pouco mais sobre a importância e o uso da gestão da TI e suas implicações acrescentando fundamentos. 8 9 Introdução a Tecnologia da Informação Utilizaremos definições clássicas e modernas, empregando os recursos computa- cionais e de internet existentes, começando a definição de tecnologia da informação do meio mais popular e difundido no mundo. Muitos autores definem o termo tecno- logia da informação como o conjunto de recursos tecnológicos e computacionais para geração e uso da informação. A TI não é apenas processamento de dados, também considera um leque de dispo- sitivos e aparatos de hardware, processos e suas otimizações, através da construção de softwares. Aspectos relativos às pessoas devem ser levados em conta – liderança, estrutura organizacional, ativos de conhecimento e competências, entre outros. A TI também envolve operações e metodologias para armazenamento, edição, criação, transmissão, troca e consumo da informação em seus formatos existentes. Se formos levar em consideração, esse termo agrega computadores e telecomunicações. Podemos afirmar que toda essa convergência é o que direciona as revoluções pelas quais a informação tem passado de forma acelerada em nosso tempo. Aprendemos que a definição não pode ser restritiva levando em consideração ape- nas os aspectos tecnológicos “software e hardware”, ou seja, seus aspectos tangíveis e intangíveis deverão considerar que, sob a luz da teoria dos sistemas, de forma indireta, TI é responsável pela forma com que as pessoas realizando seus trabalhos em processos atuando sobre a eficiência com que esse fluxo de informação é tratado. Ou seja, recur- sos computacionais utilizados pela TI precisam estar compatibilizados em nível estratégi- co com os objetivos da organização, para que haja eficácia nos processos e sistemas de forma que sua influência ajude a estratégia do negócio. Para gerir esse pool de artefatos, tecnologias, métodos e aplicá-los para o benefício das organizações, o gestor deve ter em mente o seguinte ciclo que promove o sucesso: Clientes Resultados Informações e Conhecimento Liderança Sociedade Processos Pessoas Estratégias e Planos Figura 1 – Informações e Conhecimento Marcos Aurélio Pchek, 2005 9 UNIDADE Gestão de Tecnologia da Informação A aplicação das informações, transformando-as em conhecimento, obedece a ci- clos históricos dentro das organizações. Mas não temos apenas um tipo de conheci- mento, segundo Klaus North, conhecimento significa interagir e entender o que uma empresa tem de conhecimento, ou seja, o que acumula de conhecimento. Para que se construa uma empresa inteligente, que utilize de forma coerente os recursos computa- cionais para gerar valor para o mercado, a cultura interna deve ser a de compartilhar e, nessa ação, está implícita a troca de conhecimento, promovendo o aprimoramento de todos da organização. A tecnologia da informação foi uma das áreas que mais evoluiu no mundo todo. Vejamos rapidamente essa evolução: · Anos 1960: centralização de sistemas, foco em automatizar operações para incrementar a eficiência nos processos. · Anos 1970: o foco era a redução dos custos, incrementar a velocidade dos processamentos, criar e utilizar relatórios em nível gerenciais para melhorar a tomada de decisão dos gerentes. · Anos 1980: advento dos microcomputadores e a consequente descentraliza- ção dos dados levando a computação até o usuário final em suas Workstations. Percebe-se que os sistemas de informação passaram a ser considerados como estratégicos, pois causavam possibilidades de impacto nos níveis de produção e de competitividade empresarial. · Anos 1990: TI distribuída em larga escala nas empresas alinhada aos negó- cios e utilizando as possibilidades das telecomunicações, levando a humanida- de a uma nova era. · Anos 2000: incorporação em nível mundial da TI nas empresas, o que exi- giu novas estratégias e métodos para sua gestão, além disso, novas necessi- dades de otimização acabaram por levar à terceirização de atividades como alternativa de foco da empresa em seu negócio principal. · Anos 2010: as telecomunicações, lideradas pela internet, permeiam toda a corporação, possibilitando a globalização a qual vivemose a possibilidade de execução de negócios à longa distância, como o comércio eletrônico e as interações sociais, mediante emprego das redes sociais. Portanto, podemos perceber que o uso da tecnologia da informação nas empresas tem o viés de gerar vantagem competitiva mediante redução de custos e melhoria de processos. Atualmente, o foco está na melhoria da qualidade das informações que es- tão disponíveis dentro da organização; o novo foco é a diferenciação entre empresas e o gerar barreiras de entrada para evitar que competidores possam interferir, assegu- rando mercado para a corporação. Então, a computação distribuída e a necessidade de interligação dos clientes por causa da globalização colocam a tecnologia da informação em lugar de destaque na estratégia empresarial. Nos dias de hoje, podemos afirmar que os Gestores de TI empregam quatro papéis: · Liderar e influenciar equipes a cumprirem seus objetivos organizacionais; · Elaborar planejamentos otimizados que permitam a execução mais assertiva dos projetos nas organizações; 10 11 · Gerenciar projetos utilizando técnicas que levem em conta principalmente os fatores de riscos, pois TI possui elementos de incerteza muito complexos e impactantes aos negócios; · Coordenar não apenas as equipes atuantes em seu range de comando, mas os esforços multidisciplinares que envolvem a corporação como um todo. Sistemas Integrados de Gestão A gestão empresarial precisa cada dia mais do apoio de sistemas, pois esses dão segurança, agilidade e versatilidade para a empresa no momento em que se processam as decisões. As empresas precisam estar preparadas para lidar com os problemas internos e externos do ambiente em que estão inseridas, para tanto, buscam no desenvolvimento de sistemas de informações suporte para a resolução desses problemas. Os sistemas de informação objetivam a resolução de problemas organizacionais internos, e a consequente preparação para enfrentar as tendências da crescente competitividade de mercado. A razão mais forte pelas quais as empresas constroem os sistemas, então, é para resolver problemas organizacionais e para reagir a uma mudança no ambiente. (LAUDON; 1999) Os sistemas de informação têm por finalidade a captura e/ou a recuperação de dados e sua análise em função de um processo de decisão. Envolvem, de modo geral, o decisor, o contexto, o objetivo da decisão e a estrutura de apresentação das informações. (PEREIRA; FONSECA, 1997) A exigência do mercado, competitivo, dinâmico e principalmente globalizado moti- va as empresas a operarem com um sistema de informação eficiente, garantindo níveis mais elevados de produtividade e eficácia. O objetivo de usar os sistemas de informação é a criação de um ambiente empresarial em que as informações sejam confiáveis e possam fluir na estrutura organizacional. (BATISTA, 2004) Na era da informação, o diferencial das empresas e dos profissionais está direta- mente ligado à valorização da informação e do conhecimento, proporcionando solu- ções e satisfação no desenvolvimento das atividades. Para serem efetivos, os sistemas de informação precisam corresponder às seguintes expectativas: · atender às reais necessidades dos usuários; · estar centrados no usuário (cliente), e não no profi ssional que o criou; · atender ao usuário com presteza; · apresentar custos compatíveis; · adaptar-se constantemente às novas tecnologias de informação; · estar alinhados com as estratégias de negócios da empresa. Conforme Borges et al. (2005, p. 5), Sistemas Integrados de Gestão (SIG) são 11 UNIDADE Gestão de Tecnologia da Informação conjuntos de sistemas que atendem a várias áreas administrativas e funcionais de uma empresa/organização, ao mesmo tempo em que integram essas áreas entre si. Os Sistemas Integrados de Gestão, também conhecidos pela sigla ERP (Enterprise Resource Planning), em inglês, evoluíram dos sistemas de MRP e MRP II da década de 1960 e 1970. Inicialmente, com ênfase na parte fabril e de manufatura, hoje em dia os ERPs podem ser aplicados em qualquer tipo de empresa: indústria, serviços, comércio, ONGs e até governamentais. Nos sistemas ERP as funções que atendem a uma área também colhem dados e informações que serão úteis a outras áreas. Por exemplo, a parte do sistema que atende a área de compras atende os requisitos de cadastro de fornecedores, relaciona os fornecedores com os materiais/produtos que eles fornecem, registra as operações de cotação e seleção do fornecedor vencedor da compra ao mesmo tempo em que colhe informações que serão utilizadas pelo módulo de estoques, pelo módulo financeiro (contas a pagar) e até com a contabilidade (contabilidade de custos, despesas, estoques, etc.). Os sistemas ERP hoje em dia estão bem mais acessíveis e as pequenas e médias empresas já podem adotar essa tecnologia. Há 10 anos, os siste- mas ERP ainda não tinham a maturidade que tem hoje e as necessidades de ajustes e adaptação às realidades das empresas usuárias era tão grande que tais necessidades resultavam num custo muito alto, inviabilizando o ERP para pequenas empresas. Hoje com a tecnologia avançada de construção de software, com a parametrização e possibilidade de adequação do sistema as peculiaridades da empresa sem a necessidade de reprogramar o sistema, os ERPs ficaram mais baratos. Veríssimo (2007) explica que, A gestão precisa estar alinhada a vários princípios, com boas práticas, ética, sustentabilidade, transparência, confiabilidade, rapidez, eficiência, responsabilidade socioam- biental econômica e tributária e — o mais importante do ponto de vista do mercado de tecnologia e gestão de TI — Governança Corporativa. Para se enquadrar em padrões de gestão que garantam a aprovação de um IPO, é necessário estar ajustado às práticas de Governança Corporativa, através de modelos internacionais com a Lei Sarbanes-Oxley (SOX) e práticas como ITIL e CobiT. Na maioria das vezes as empresas precisam mapear processos e gerenciar projetos de melhoria para ajustar opera- ções ao nível exigido para a aprovação. O Sarbanes-Oxley Act (SOA) e os futuros requerimentos dos padrões internacionais de contabilidade (IAS) exigem das companhias um enfoque mais rigoroso em relação ao controle interno nos processos de auditoria. Sem uma gestão apoiada em uma ferramenta de gestão integrada de sistemas e um sistema de trabalho/produção (processo) muito bem alinhada e enxuta, as empresas raramente conseguem enquadrar-se nos padrões mínimos de exigência. Mendes e Escrivão filho (2002, 278) dizem que ao adotar um ERP, o objetivo básico não é colocar o software em produção, mas melhorar os processos de negócios usando tecnologia da informação. Mais do que uma mudança de tecnologia, a adoção desses sistemas implica um pro- cesso de mudança organizacional. (BORGES et al. 2005, p. 5) O ERP deve integrar o sistema fluido de informações que cruzam toda a empresa através dos processos, obedecendo à lógica, os ativos organizacionais e a cultura em- presarial em vigor. 12 13 Tabela 3 – ERPs caracterização Autores Características 1 2 3 4 5 6 7 8 9 10 11 12 13 14 Auxilia a Tomada de Decisão ♦ ♦ ♦ Atende a Todas as Áreas da Empresa ♦ ♦ ♦ ♦ ♦ ♦ ♦ ♦ ♦ ♦ Possui Base de Dados Única e Centralizada ♦ ♦ ♦ ♦ ♦ ♦ ♦ Possibilita Maior Controle Sobre a Empresa ♦ ♦ ♦ ♦ ♦ Evolução do MRP II ♦ ♦ ♦ Obtém a Informação em Tempo Real ♦ ♦ ♦ ♦ Permite a Integração das Áreas da Empresa ♦ ♦ ♦ ♦ ♦ ♦ ♦ ♦ ♦ Possui Modelos de Referência ♦ ♦ ♦ É um Sistema Genérico ♦ ♦ ♦ Oferece Suporte ao Planejamento Estratégico ♦ ♦ ♦ ♦ Suporta a Necessidade de Informações das Áreas ♦ ♦ ♦ ♦ ♦ ♦ ♦ ♦ ♦ Apóia as Operações da Empresa ♦ ♦ É uma Ferramenta de Mudança Organizacional ♦ ♦ Orientação a Processos ♦ ♦ ♦ ♦ ♦ ♦ ♦ ♦ ♦ ♦ Legenda: 1 - Buckhout et al. (1999) 2 - Centola & Zabeu (1999) 3 - Corrêa et al. (1997) 4 - Cunha (1998) 5 - Davenport (1998) 6 - Deloitte Consulting (1998) 7 - Dempsey (1999) 8 - Informática Exame (1997) 9 - Hehn (1999)10 - Lima et al. (2000) 11 - Miltello (1999) 12 - Souza & Zwicker (2000) 13 - Stamford (2000) 14 - Wood Jr. (1999) Fonte: Mendes e Escrivão filho (2002) Podemos observar, na Tabela 3, que devemos realizar uma análise profunda dos processos empresariais antes de adotar um ERP, pois esses, com certeza, precisarão sofrer atualizações, alterações e, em alguns casos, precisará ser recriado conforme os desejos da direção da empresa e estratégias. Portanto é necessária a conferência da existência das funcionalidades desejadas, pois em alguns casos deverão sofrer adapta- ções para atender a empresa. Por vezes isso pode impactar no incremento do custo da implantação, além do quê, sempre haverá a necessidade da capacitação dos usuários e do pessoal de TI que deverá prestar o suporte de primeiro nível. Tabela 4 – Características importantes para o êxito na implementação de um ERP Autores Características 1 2 3 4 5 6 7 8 9 10 Análise dos Processos ♦ ♦ ♦ ♦ ♦ Adequação de Funcionalidades ♦ ♦ ♦ ♦ ♦ ♦ Etapa Crítica ♦ ♦ ♦ ♦ ♦ Estratégia ♦ ♦ Confiabilidade no Fornecedor ♦ Gerência do Projeto ♦ ♦ Mudança Organizacional ♦ ♦ ♦ ♦ ♦ ♦ ♦ ♦ 13 UNIDADE Gestão de Tecnologia da Informação Profissionais com Conhecimento Técnico e de Negócio ♦ ♦ ♦ ♦ ♦ Treinamento ♦ ♦ ♦ Comprometimento da Alta Direção ♦ ♦ ♦ ♦ ♦ Compremetimento dos Usuários ♦ ♦ ♦ ♦ ♦ ♦ Legenda: 1 - Buckhout et al. (1999) 2 - Mendes & Escrivão Filho (2000) 3 - Centola & Zabeu (1999) 4 - Corrêa (1998) 5 - Lima et al. (2000) 6 - Lopes et al. (1999) 7 - Souza & Zwicker (2000) 8 - Stamford (2000) 9 - Taurion (1999) 10 - Wood Jr. (1999) Fonte: Mendes e Escrivão filho (2002) Classificação de Sistemas Integrados Os sistemas podem ser classificados de acordo com a sua forma de utilização e o tipo de retorno dado ao processo de tomada de decisões. Os sistemas podem ser de contexto operacional ou gerencial, ou seja: · Sistemas de Apoio às Operações » Sistema de Processamento de Transações (SPT); » Sistemas de Trabalho do Conhecimento e de Automação de Escritório (STC e SAE). · Sistema de Apoio Gerencial » Sistema de Suporte da Decisão (SSD); » Sistema de Suporte Executivo (SSE); » Sistema de Informação Gerencial (SIG). Veremos agora cada um dos sistemas de forma mais clara. • Sistema de Apoio às Operações Os sistemas de Apoio às Operações de uma empresa têm por principais metas processar transações, controlar processos industriais e atualizar banco de dados, for- necendo informações de âmbito interno e externo. Apesar da sua importância para o desenvolvimento normal das atividades da empresa, não consegue desenvolver infor- mações específicas, necessitando do apoio do sistema de informação gerencial. • Sistema de Processamento de Transações (SPT) A automatização dos trabalhos repetitivos e rotineiros comuns aos negócios da empresa agiliza e facilita a realização dos trabalhos. Além de oferecer uma gama maior de informações. Como exemplo, pode-se citar a emissão de notas fiscais e o controle de estoque. 14 15 » Sistemas de Trabalho do Conhecimento e de Automação de Escritório (STC e SAE) Os aplicativos dos escritórios são projetados com base na necessidade de manipu- lação e gerenciamento de documentos, aumentando assim a produtividade dos en- volvidos com a atividade, por exemplo, a editoração eletrônica, arquivamento digital, planilhas de cálculo e outros, favorecem a qualidade e agilidade das tarefas. • Sistema de Apoio Gerencial Quando se fala em fornecer informações para a tomada de decisão, toda a empre- sa deve estar envolvida nesse processo. A complexa relação entre os diversos gerentes de uma organização deve ser facilitada pelos sistemas de apoio gerencial, são eles: » Sistema de Suporte da decisão (SSD) Os sistemas de suporte da decisão são munidos de grande quantidade de dados e ferramentas de modelagem, permitindo uma flexibilidade, adaptabilidade e capacidade de resposta rápida ao nível gerencial da organização. Os sistemas de suporte a decisão oferecem recursos cruciais que viabilizam o suporte às decisões de nível gerencial. » Sistema de Suporte Executivo (SSE) Os sistemas de suporte executivo dão suporte ao nível estratégico da empresa e aju- dam a definir os objetivos a serem estabelecidos, utilizando-se de tecnologia avançada para a elaboração de gráficos e relatórios. Os usuários desse sistema são os executivos seniores. Os sistemas de suporte executivo não são projetados para resolver problemas específicos, em vez disso, fornecem uma capacidade de computação e telecomunica- ções que pode mudar a estrutura dos problemas. » Sistema de Informação Gerencial (SIG) O sistema de informação gerencial dá suporte às funções de planejamento, controle e organização de uma empresa, fornecendo informações seguras e em tempo hábil para tomada de decisão. Os executivos devem buscar projetar os sistemas de informa- ção gerencial inserindo dados de origem interna e externa, existindo portando, uma interação entre os meios, resultando na concretização dos objetivos preestabelecidos pela empresa. As fontes externas advêm do relacionamento com fornecedores, acionistas, clientes e concorrentes, facilitadas nas atuais circunstâncias pela evolução tecnológica. As fontes internas estão relacionadas aos bancos de dados mantidos pela organização. Os bancos de dados são atualizados pela captura e armazenamento dos dados resultantes da integração dos diversos sistemas que compõem a organização, entre eles, sistemas de finanças, sistemas de contabilidade, sistemas de recursos humanos, sistemas de venda e marketing. A seguir, duas tabelas que resumem as classificações dos sistemas para uma com- preensão mais detalhada: 15 UNIDADE Gestão de Tecnologia da Informação Tabela 5 – Tipificação dos Sistemas de Informação Vendas e Marketing Produção Finanças Contabilidade Recursos Humanos Sistemas de Nível Estratégico Sistema de Suporte Executivo (SSE) Previsão de Tendência de Vendas Quinquenais Plano Operacional Quinquenal Planejamento de Lucros Planejamento de Força de Trabalho Sistemas de Nível Gerencial Sistema de Informações Gerenciais (SIG) Administração de Vendas Controle de Estoque Análise de Investimento Capital Análise de Recolocação Sistema de Suporte a Decisão (SSD) Análise de Regiões de Venda Programação da Produção Análise de Preço Lucratividade Análise de Custo Contratual Sistemas de Nível de Conhecimento Sistema de Trabalho do Conhecimento (STC) Egenharia de Estação de Trabalho Estações de Trabalho Gráfica Estações de Trabalho Gerencial Sistema de Automação de Escritório (SSD) Processador de Texto Documentação de Imagem Calendários Eletrônicos Sistema de Nível Operacional Sistema de Processamento de Transação (STP) Controle de Máquina Negociação de Títulos Folha de Pagamento Compensação Monitoramento de Pedido Programação de Fábrica Contas a Pagar Treinamento e Desenvolvimento Processamento de Pedido Controle de Movimentação Material Administração do Caixa Contas a Receber Manutenção de Registro de Empregado Tabela 6 – Características dos Sistemas de Processamento de Informação Tipos de Sistema Informações Entrada para Processamento Informações Saída para Usuários SSE Dados Agregados Internos e Externos Imagens, Simulações Projeções; Respostas para questões Gerentes Sr. SSD Baixos volumes de Dados ou Banco de Dados Volumosos Organizados para análise de dados; modelos analíticos e ferramentas de análise de dados Interatividade; Simulações e Análise Relatórios Especiais; Análise de Decisões; Respostas para as Questões Profissionais; Gerência Administrativa SIG Dados de Transação resumidos; grandes volumes de dados; modelo simples Relatórios rotineiros; modelo simples analise de nível inferior Resumo e Relatórios de Execução Gerentes de Nível Médio STC Especificações de Projeto e Base de Conhecimento Modelagem; Simulações Modelos; GráficosProfissionais e Pessoal Técnico SAE Documentos; Prazos Gerenciamento de Documentos; Programações; Comunicações Documentos; Programações e Correio Trabalhadores de Escritório e Administrativo SPT Transações e Eventos Ordenação; Listagem; Fusão; Atualização Relatórios Detalhados Listas e Resumos Pessoal Operacional; Supervisores 16 17 Fundamentos Segurança de Informação em T.I. De forma geral, segurança em TI diz respeito a como manter informação privada protegida de indivíduos não autorizados e/ou maliciosos. Isso se consegue mediante o cumprimento de regras, normativas e instruções feitas pelos governos e pelas empre- sas que criam políticas de segurança em TI. Quando escrevemos sobre segurança em TI, principalmente segurança de internet, temos o foco nas preocupações dos gover- nos, organizações mistas e iniciativa privada em geral. Atualmente, manipulamos uma quantidade de informações cada vez maior. Por essa razão, a demanda por segurança digital tem crescido em função das sérias preo- cupações a respeito do uso não-autorizado de informações sigilosas e das respectivas consequências. Na verdade, o uso de senhas, como forma mais comum de controlar o acesso a informações privilegiadas, envolve dois mundos muito diferentes - tecnológico e humano - que precisam conviver um com o outro e cuja interação tem gerado inúme- ros problemas. Essa aula se propõe a questionar a validade e a eficácia do tratamento desses problemas ao longo da história, pelas pessoas encarregadas. Nesse momento, focamos em elementos como os intrusos não-autorizados que ten- tam burlar a segurança de uma empresa ou um indivíduo, por qualquer que seja a razão, conhecidos como hackers. Ataques de hackers vêm sendo noticiados com uma frequên- cia cada vez maior. As vítimas de tais ataques não mais se restringem a grandes compa- nhias ou departamentos governamentais, já que hoje qualquer indivíduo pode ser alvo de um ataque. Da mesma forma, quando o número de códigos secretos que uma pessoa precisa armazenar e ser capaz de lembrar aumenta muito, a memória pode falhar. Conforme dados do site da universidade federal fluminense, temos a seguinte situação: · Houve violação de dados em 112 universidades dos Estados Unidos no ano de 2007, o que representou um incremento de 72,30% comparado a 2006. · Praticamente metade das violações no ano de 2009 foi de- corrente de pessoal que trabalhava na própria universidade o que caracteriza infi delidade, fraude, ruptura de confi denciali- dade e principalmente falta de conhecimento de legislação e direitos de propriedade sobre a informação. · O roubo de identidade digital nos Estados Unidos ultrapassou 8 milhões de indivíduos somente no ano de 2007, ou seja, quase 3,5% dos indivíduos adultos do país. O valor referente a essas perdas soma 45 bilhões de dólares. Fonte: https://goo.gl/PwXt27 Grande parte dessas perdas se dá devido a construções e características com que as redes de comunicação são exploradas. Veja a imagem a seguir: 17 UNIDADE Gestão de Tecnologia da Informação Figura 2 – Vulnerabilidades das redes de comunicação Fonte: Marcos Aurélio Pchek (2005, p. 19). Muitos autores definem a Segurança da Informação como a proteção contra o uso ou acesso não-autorizado à informação, bem como a proteção contra a negação do serviço a usuários autorizados, enquanto a integridade e a confidencialidade dessa informação são preservadas. A SI não está confinada a sistemas de computação, nem à informação em formato eletrônico. Ela se aplica a todos os aspectos de proteção da informação ou dados, em qualquer forma. O nível de proteção deve, em qualquer situação, corresponder ao valor dessa informação e aos prejuízos que poderiam decorrer do uso impróprio da mesma. É importante lembrar que a SI também cobre toda a infraestrutura que permite o seu uso, como processos, sistemas, serviços, tecnologias e outros. Em conformidade com a ISO 27002, definimos segurança da informação como sendo a proteção da informação contra vários tipos de ameaças para garantir a continuidade do negócio, minimizar riscos, maximizar o retorno sobre os investimentos e as oportunidades de negócios. A informação tem um valor altamente significativo por que: • quem a possui supostamente tem grande poder. • encontra-se associada a tecnologias, pessoal e processos e por isso possui grande valor. A norma da ISO, cuja contraparte no Brasil instituída pela ABNT sob a referência NBR 17999, data de 2003, trata a informação como um ativo importante para os negócios, portanto precisa de proteção adequada. As informações devem ser protegidas durante seu ciclo de vida, ou seja: Manuseio, Armazenamento, Transporte e Descarte. 18 19 Para proteger informações, laçamos mãos dos meios possíveis como: • Meios de suporte físicos: agenda, sala, arquivo físico, cofre; • Meios de suporte lógicos (HW e SW): sistemas, servidores, computadores, SGBDs; • Meios de suporte humanos: colaboradores, funcionários, secretárias etc. Na Tríade C.I.A., são definidas três características da informação que geram valor às organizações: Confidencialidade, Integridade e Disponibilidade (do inglês, Confidentiality, Integrity e Availability). A segurança dessas três características da informação é tão importante hoje como sempre foi, mas o modelo C.I.A. já não aborda adequadamente o ambiente em constante mudança. As ameaças à confidencialidade, integridade e disponibilidade de informações evoluíram para uma vasta coleção de eventos, incluindo danos acidentais ou intencionais, destruição, roubo, modificação não intencional ou não autorizada ou outro uso indevido de ameaças humanas ou não humanas. Esse novo ambiente de muitas ameaças em constante evolução levou ao desenvolvimento de um modelo mais robusto que aborda as complexidades do atual ambiente de segurança da informação. As propriedades básicas da segurança da informação são: • Confidencialidade: acesso somente por pessoal autorizado de forma explícita, ou seja, as pessoas devem estar identificadas e autorizadas. • Integridade: uma vez armazenada, a informação deve estar em sua conformação original. Isso é uma forma de garantir alterações com intencionalidade ou por acidente por pessoas sem autorização. • Disponibilidade: informação e sistemas prontos no tempo em que serão utilizadas. • Autenticidade: o usuário que acessou a informação deve possuir autenticidade de identidade. • Não Repúdio: quando uma operação é realizada sobre a informação que a alterou ou criou, não se pode nesse caso haver negação da recepção e do envio dessa informação. • Legalidade: trata-se da garantia jurídica da legalidade, ou seja, legislação. • Privacidade: a informação só pode ser visualizada ou alterada pelo seu dono, além da não disponibilização para outras pessoas, definindo, assim, um esquema de Políticas de Segurança empresarial. • Auditoria: permitir possibilidade de tracking ou rastreabilidade dos caminhos, incluindo passos de um ou vários processos de negócio por onde a informação ou dado passou. Ou seja, manter o registro ou log de todos os eventos pelos quais a informação ou dado foram submetidos em seu ciclo de vida. 19 UNIDADE Gestão de Tecnologia da Informação Para podermos implementar mecanismos de segurança, existe uma classificação de formas de ataques: • Interceptação: é como chamamos o acesso aos dados por pessoas não autorizadas. • Interrupção: bloqueio ou quebra do fluxo de mensagens ao seu destino. • Modificação: quando ocorre alteração dos dados ou mensagens por pessoas não autorizadas, ou seja, ocorre violação da integridade. • Personificação: quando alguém consegue acesso à informação, utilizando uma identidade que não lhe pertence, o que caracteriza uma violação. Quais as possibilidades para defender as informações e de que forma isso pode ser feito? Segundo Gradvohl (2011, p. 14), das seguintes maneiras: • Autorização: trata-se em se dar ou negar direitos para pessoas, usuáriose demais entidades utilizando-se, para tal, listas de acessos (Acess Control Lists), elencando quais atividades podem ser feitas de acordo com o perfil de acesso definido; • Autenticação: forma de confirmar que o usuário é ele mesmo. Trata-se de algo essencial para o processo de segurança de informação, pois dessa forma saberemos que está apto ou não. Pode ser realizada de 3 maneiras: » Identidade positiva é o que você sabe: por exemplo, uma senha; » Identidade proprietária é o que você possui: por exemplo, cartão de acesso, impressão digital; » Identidade biométrica é o que você é: por exemplo, uma impressão digital ou a íris dos olhos. Gradvohl (2011, p. 16) ainda nos elucida que, quanto à centralização do controle da informação, podemos ter os seguintes controles: • Acesso Centralizado: os responsáveis decidem quem pode ou não ter acesso a áreas e entidades determinadas. • Acesso Descentralizado: responsabilidade de controle passado pelas entidades ou pessoas mais próximas dos gestores do departamento e em muitas vezes pelo usuário, produzindo um relacionamento entre pontos conhecidos (sempre 2 pontos), porém isso traz problemas como: » Ausência de padronização; » Sobreposição dos direitos; » Brechas na segurança. • MAC ou Acesso Mandatório (MAC): a determinação de quem possui o aces- so baseado em regras como: » Direito do usuário; » Suscetibilidade do objeto; » Necessidade de etiquetagem do dado ou informação baseada nas normas de segurança e determinação de limites a quem autoriza; 20 21 » Atributos: • Para sistemas que devem proteger informações extremamente relevantes; • Atribuição de protocolos/carimbos para os atores e o objeto; • Qual o nível de sensibilidade e prerrogativa que determinarão o acesso; • Multiplicidade de níveis de processamento. » Normativas: • Que instala os níveis é o administrador; • Acessos e privilégios atribuídos pelo gestor; • Quem estabelece as autenticações é o gestor da informação; • A política e suas normas são aplicadas por um sistema. » Tipos: • TBI (Time-Based Isolation), isolação baseada no tempo; • Regras determinam o acesso ao conteúdo; • Controle de Acesso Baseado em Regras; • ACL (Access Control List), lista de controle de acesso; • RBAC, controle sobre o perfil para permitir ou não o acesso; • Access Control Matrix, controle baseado no acesso ao conteúdo; • Interface construída para restringir o acesso; • Tabela de Competência. Vamos conhecer a definição de alguns instrumentos usados nos dias atuais para incrementar a segurança da informação: • Firewall: são hardwares e softwares que incrementam a segurança da informação entre redes (interna e externa, como a internet), podem ser classificados entre: » Filtros de Pacotes; » Servidores Proxy. • Intruder Detector: usa dados gerados em logs para que um rastreamento seja realizado seguindo uma ordem de tempo. Ajudam a reconhecer padrões e comportamentos suspeitos para verificar se pessoas não autorizadas acessaram. São classificados da seguinte forma: » IDS Host based: identificam ataques no próprio computador; » Network based IDS: servem para identificar ataques à rede como um todo. • Forma de Detectar: » Assinatura: compara dados do ataque com uma lista já existente; » Anomalia: compara dados do ataque contra atividades cotidianas; » Híbrida: utiliza a abordagem por Assinatura e por Anomalia. 21 UNIDADE Gestão de Tecnologia da Informação Outra forma de proteger as informações é através da criptografia, que pode ser: • Simétrica ou de Chave Privada: » Algoritmos de bloco; » Algoritmos de fluxo. Os algoritmos mais comuns em uso atualmente são: » DES: Data Encryption Standard; » Triple DES; » Idea: International data encryption algorithm; » RC2; » RC4; » RC5; » Blowfish. • Assimétrica ou de chave pública » Diffie-Hellman; » EIGamal; » DSS: Digital Signature Standard; » RSA: Assinatura Digital. 22 23 Material Complementar Indicações para saber mais sobre os assuntos abordados nesta Unidade: Vídeos Gestão do Conhecimento – Primeira Parte https://youtu.be/sGYunwLdfOE Gestão do Conhecimento – Segunda Parte https://youtu.be/GQrwKt5Kb1s Leitura A gestão da tecnologia nas pequenas e médias empresas – fatores limitantes e formas de superação Entender como ocorrem os processos de desenvolvimento de tecnologia, incluindo a da informação dentro das PMEs (Pequenas e Médias Empresas) que são, hoje, a maior parte das empresas onde um aluno começará sua carreira. https://goo.gl/RNTbA4 Apostila sobre o tema da UFRJ https://goo.gl/Vqq5ma 23 UNIDADE Gestão de Tecnologia da Informação Referências BERTINO, E.; SANDHU R. Database Security. Concepts, Approaches, and Chal- lenges. IEEE Transactions on dependable and secure computing, v. 2, n. 1, 2005, p. 2-19. BORGES, T. N.; PARISI, C.; GIL, A. L. O Controller como gestor da Tecnologia da Informação - realidade ou ficção? Rev. Adm. Contemp., v. 9, n. 4. Curitiba. Oct./ Dec. 2005. Disponível em: <http://redalyc.uaemex.mx/pdf/840/84090407.pdf>. Acesso em: 6 de jul. 2012. DARWIN, J. A. Equipe CIO. CIO Insight. Disponível em: <http://www.cioinsight. com/article2/0139745753200asp>. Acesso em: 6 de jul. 2012. DAVENPORT, T. H. Putting de enterprise into the enterprise system. Harvard Business Review., p. 1221-123, jul./ago. 1998. GRADVOHL, A. L. S. Introdução e conceitos básicos de segurança. UNICAMP: Limeira, 2011. IGURE, V.; WILLIAMS, R. Taxonomies of attacks and vulnerabilities in computer systems. Communications Surveys & Tutorials, IEEE, v.10, n. 1, p. 6-19. 2008. LAUDON, K. C; LAUDON, J. P. Gerenciamento de Sistemas de Informação. 3. ed. Rio de Janeiro: LTC, 2001. LAUREANO, M. A. P. Gestão de segurança de informação. Cidade: Editora, 2005. MENDES; ESCRIVÃO FILHO. Sistemas Integrados de Gestão ERP em Pequenas Empresas: Um Confronto Entre O Referencial Teórico e a Prática Empresarial. Revista Gestão e Produção, v. 9, n. 3, p. 277-296, dez. 2002. Disponível em: <http:// www.scielo.br/pdf/gp/v9n3/14570.pdf>. Acesso em: 6 de jul. 2012. SILVA, Sergio Luis. Informação e competitividade: a contextualização da gestão do conhecimento nos processos organizacionais. Disponível em: <http://www.scielo. br/pdf/ci/v31n2/12917.pdf>. SOUZA, C. A.; ZWICKER, R. Ciclo de vida de sistemas ERP. Caderno de pesquisas em administração, São Paulo. v. 1, n. 11, 1º trim. 2000. STAIR, R. M. Princípios de Sistemas de Informação. 2 ed. Rio de Janeiro: LTC, 1998. VERÍSSIMO, R. TI: uma visão prática sobre os sistemas integrados. 23 ago. 2007. Disponível em: <http://webinsider.uol.com.br/2007/08/23/ti-uma-visao-pratica- sobre-os-sistemas-integrados>. Acesso em: 9 de jul. 2012. WIKIPEDIA. Disponível em: <http://pt.wikipedia.org/wiki/Tecnologia_da_ informa%C3%A7%C3%A3o>. Acessado em: 9 jul. 2012. 24
Compartilhar