UNIP INTERATIVA

Projeto Integrado Multidisciplinar Cursos Superiores de Tecnologia

Empresa Champions Indstria Farmacutica S.A.

SO CAETANO DO SUL 2013

UNIP INTERATIVA
Projeto Integrado Multidisciplinar Cursos Superiores de Tecnologia

Empresa Champions Indstria Farmacutica S.A.

Alexandre Trostli Ronze....................RA 1201593 Anderson Alves da Costa...................RA 1202709 Marco Miranda...................................RA 1217310 Mauricio Gutierrez Capel...................RA 1207458 Rafael Vieira Leite de Almeida..........RA 1215088 Curso: Gesto de Tecnologia da Informao 3 Semestre

SO CAETANO DO SUL 2013

RESUMO

De acordo com os conhecimentos adquiridos durante as aulas, o grupo se empenhou em desenvolver um trabalho dinmico e objetivo, assim o desenvolvimento do projeto para a empresa Champions Indstria Farmacutica S.A ser para filial no Brasil. Pensamos em alguns conceitos como cloud computing, que seriam: armazenamento e processamento de servidores em Data Center compartilhado e interligado por meio da Web e outros Data Centers. Dentre diversas opes, o grupo escolheu o sistema ERP (Enterprise Resource Planning) por se tratar de um mdulo de vendas especfico para negcios de empresa. Foi desenvolvido um plano de estratgia para garantir a total integridade de informaes contra perdas e desastres, como o Plano de Continuidade de Negcios (PCN), os procedimentos operacionais como: PRD - Plano de Recuperao de Desastres, PCO - Plano de Continuidade Operacional, PAC - Plano de Administrao de Crises entre outros.

Palavras Chave: Implementao Clud Computing Performance - Infraestrutura

ABSTRACT

According to the knowledge gained during lessons, the group has endeavored to develop a dynamic and objective work, so the project development company for the Pharmaceutical Industry SA Champions to be subsidiary in Brazil. Think of some concepts such as cloud computing, which are: storage and processing servers in Data Center shared and interconnected through the Web and other data centers. Among various options, the group chose the ERP (Enterprise Resource Planning) because it is a module specific sales business enterprise. We developed a strategic plan to ensure the full integrity of information against loss and disaster, as the Business Continuity Plan (BCP), the operating procedures as: PRD - Disaster Recovery Plan, PCO - Operational Continuity Plan, CAP - Plan Crisis Management among others.

Keywords: Implementation - Clud Computing - Performance - Infrastructure

SUMRIO 1. Introduo..Pg. 6 2. Desenvolvimento...Pg. 7 3. ERP Administrao de vendas...................................Pg. 7 4. Cadastro de prospects................................................... Pg. 8 5. Cadastro de Contatos....................................................Pg. 8 6. Cadastro de parceiros/representantes.............................Pg. 9 7. Cadastro de concorrentes...............................................Pg. 10 8. Cadastro de previso de venda.......................................Pg. 10 9. Cadastro de pedido de venda.........................................Pg. 11

INTRODUO

Com base nas matrias de Modelagem de Sistema de Informao, Planejamento Estratgico de TI e Segurana da Informao, estudadas esse bimestre, nos foi proposto o desafio da Empresa Champions Indstria Farmacutica S.A., com sede em Tquio, esta visando conquistar o mercado sul americano e decidiu abrir no Brasil uma filial comercial que ser responsvel em operacionalizar suas transaes e ampliar abrangncia no mercado compreendido pelo Mercosul. Foi proposto que o grupo pesquisasse, aprofundasse e propusesse solues para atender aos seguintes requisitos: *Definir um projeto completo de implantao e suporte de um sistema empresarial, podendo ser ERP ou SIGE. *Identificar o banco de dados e os demais servios, alm de manter todos alocados e, servidores especficos dentro ou fora da empresa. *Plano de implantao e gerenciamento de infraestrutura, priorizando a segurana da informao fsica e lgica. *Plano de gerenciamento especfico para o suporte tcnico, propondo solues prprias ou terceirizadas para isso. *Definir um PCN para o ambiente fsico e lgico de TI e recursos humanos. *Propor solues para a Segurana da Informao contra espionagem industrial. A Proposta interessante e desafiadora, o grupo se empenhar ao mximo para atender todos os requisitos propostos nesse trabalho, fornecendo assim a melhor e mais vivel soluo para a filial da Empresa Champions no Brasil.

O projeto desenvolvido pelo nosso grupo para a empresa Champions Indstria Farmacutica S.A foi elaborado utilizando-se o conceito de cloud computing que se refere utilizao das capacidades de armazenamento e processamento de servidores em Data Center compartilhado e interligado por meio da Web a outros Data Centers, sendo que o provedor escolhido para o projeto em questo o (amazon.com)

Em referncia ao curso UNIP de Gesto em Tecnologia da Informao, mencionaremos as disciplinas de Planejamento Estratgico de TI, Modelagem de Sistemas da Informao e Segurana da Informao onde abordaremos nesse projeto os elementos para a implementao desse projeto na Champions Indstria Farmacutica S.A.

O sistema escolhido pelo grupo para implementao na Champions Indstria Farmacutica S.A foi o ERP (Enterprise Resource Planning) que ser implementado na filial brasil somente com o mdulo de vendas para atender aos requisitos de negcio do cliente.

Nessa parte de implementao do projeto estamos introduzindo os conhecimentos adquiridos na disciplina de Modelagem de Sistema da Informao que contriburam para o desenvolvimento da soluo.

ERP ADMINISTRAO DE VENDAS Os principais cadastros do mdulo de vendas so:

CADASTRO DE PROSPECTS Em todo processo de venda o prospect cliente em potencial que deve ser trabalhado para a formao de uma oportunidade de venda. Dessa forma, pode-se dizer que um prospect bem trabalhado pode resultar em um futuro cliente. Esse cadastro tem como objetivo armazenar as informaes relevantes sobre essas entidades nos processos de oportunidades de vendas. Com isso, as informaes gerenciais sobre o andamento da negociao possibilitaro um estudo sobre qual estratgia tomar no fechamento de um contrato.

CAMPOS DA TABELA Cdigo: cdigo para identificao do prospect. Razo Social: nome completo do prospect. Nome Fantasia: nome reduzido do prospect. Tipo: define o tipo de atuao do prospect, consumidor final, exportao, produtor rural, revendedor e solidrio. Endereo: endereo do prospect. Municpio: municpio do prospect. Estado: unidade federativa do prospect. Status Atual: status atual do prospect (Ativo / Inativo).

CADASTRO DE CONTATOS O cadastro de contatos permite cadastrar pessoas ligadas ou que representam as entidades de interesse das empresas no desenvolvimento de suas operaes.

Um cliente comprador de uma empresa pode possuir inmeros contatos, como por exemplo, um contato de compras responsvel por aprovar s compras, um contato comercial

responsvel por decidir quem sero os fornecedores e um contato de cobrana responsvel por receber s cobranas e efetuar os pagamentos.

Os contatos podem ser vinculados s entidades: clientes, fornecedores, prospects, suspects, parceiros, concorrentes e transportadoras, permitindo que diversos contatos sejam associados s entidades.

CAMPOS DA TABELA Nome: Nome completo do contato Endereo: Endereo do contato (Logradouro, nmero, bairro, cidade, estado, CEP) Telefone residencial: Telefone residencial do contato Telefone celular: Telefone celular do contato Telefone comercial: Telefone comercial do contato Fax: Fax do contato E-mail: E-mail do contato

CADASTRO DE PARCEIROS/REPRESENTANTES Este cadastro permite determinar os parceiros da empresa em suas negociaes ou oportunidades de vendas, tendo como objetivo principal alavancar as vendas de um produto, com base em parcerias que efetuem o seu complemento.

Campos da tabela: Cdigo: Cdigo do parceiro Razo social: Razo social do parceiro Nome fantasia: Nome fantasia do parceiro

10

Telefone celular: Telefone celular do parceiro Telefone comercial: Telefone comercial do parceiro Fax: Fax do parceiro E-mail: E-mail do parceiro

CADASTRO DE CONCORRENTES O cadastro de concorrentes, tem como objetivo fornecer subsdios para que o representante comercial elabore a melhor proposta para seus clientes em oportunidades de venda, com base no conhecimento de seus concorrentes.

Campos da tabela: Cdigo: Cdigo do concorrente Razo social: Razo social do concorrente Nome fantasia: Nome fantasia do concorrente

CADASTRO DE PREVISO DE VENDAS O cadastro previso de vendas permite ao PCP (Planejamento e Controle da Produo) programar a quantidade de produto a ser fabricada em um determinado espao de tempo e quantificar as necessidades de material, mo de obra e equipamentos.

A Previso de Vendas utilizada principalmente por empresas que trabalham com estocagem de produtos (make to stock); ou seja, fabricao contra previso de demanda.

A previso pode ser um instrumento que ajuda a empresa a definir o total a ser produzido, visando conceder objetivos de venda a serem alcanados num futuro prximo, juntando

11

informaes sobre a tendncia do mercado atual (previso) e registros das vendas histricas (aquelas ocorridas em perodos semelhantes no passado).

Campos da tabela: Produto: cdigo do produto da previso de vendas. Documento: nmero do documento gerador da previso. Quantidade: quantidade prevista de venda. Valor: valor referente previso de vendas. Data Previso: data de previso da sada do produto. Observao: campo informativo para registro de observaes.

CADASTRO DE PEDIDO DE VENDAS O cadastro pedido de vendas registra as vendas realizadas. Campos da tabela: Documento: nmero do pedido. Data: data do pedido. Cliente: cdigo do cliente que solicitou o pedido. Parceiro: cdigo do representante que realizou a venda. Valor: valor do pedido. Produto: cdigo do produto. Quantidade: quantidade pedida do produto. Observao: observao do pedido.

Nessa parte de implementao do projeto estamos introduzindo os conhecimentos adquiridos na disciplina de Planejamento Estratgico de TI que contriburam para o desenvolvimento da soluo.

12

O ambiente que estamos implementando na Champions Indstria Farmacutica S.A ser desenvolvido em cloud computing, e buscamos evitar o risco da dependncia de um nico recurso fsico e, ao mesmo tempo, proporcionar escalabilidade ao cliente para crescer o ambiente como um todo em relao ao processamento, armazenamento dos dados de forma isolada para cada necessidade. A arquitetura da computao em nuvem tambm reduz o consumo de energia do Data Center, e isso contribui para preservao do meio ambiente.

O modelo computacional do cloud computing possui um formato orgnico, pois formado por um conjunto de servios, modelos de negcio e processos, e como resultado, gera novos componentes que agregam valor ao modelo computacional e infraestrutura da empresa.

Fonte: http://www.grusi.com.br/docs/Cloud_35.pdf

Os servios explorados em nuvem so divididos nas estratgias abaixo: Armazenamento em nuvem explora a capacidade de utilizar o storage que existe fisicamente em um site remoto, utilizaremos nesse projeto servios de Internet, correio eletrnico,

13

gerenciador de arquivos e impresso, com ambiente compartilhado cloud computing e ambiente terceirizado com a presa. amazon.com

Banco de dados na nuvem, teremos a capacidade de utilizar os servios de um banco de dados Microsoft SQL Server 2012 do nosso ambiente ERP e das demais aplicaes de nossa empresa hospedada remotamente, compartilhando-o com outros usurios e/ou aplicaes. A vantagem do servio de banco de dados em nuvem o baixo custo de implantao com a ausncia de licenas de alto valor.

A soluo desenvolvida na Champions, utilizaremos o SQL Server 2012 da Microsoft em infraestrutura como servio (IaaS) que utiliza o recurso banco de dados que ajuda a armazenar, toda a infraestrutura necessria para efetuar transaes e gerenciar grandes volumes de dados com alto desempenho e a robustez, gerenciar e analisar todas as informaes, em qualquer lugar e a qualquer hora.

O grande diferencial que podemos adquirir o servio de acordo com a demanda, pagando somente pelo uso.

O SQL Server 2012 uma plataforma completa e integrada de fim-a-fim para gesto e anlise de dados, totalmente pronta para a nuvem e ambientes de Misso Crtica alm de uma excelente performance possui uma ferramenta de BI (Business Intelligence) completa e familiar para auxiliar nas anlises das informaes e tomadas de decises por toda a organizao.

Foi disponibilizada a oferta de infraestrutura terceirizada como servio (IaaS), na qual utilizada a capacidade de um ambiente de servidores, contemplando uma srie de recursos

14

computacionais como processamento, memria e disco sob demanda, autogesto e auto provisionamento e contratao de servios agregados, dentre os quais segurana e gerenciamento.

Gesto e governana como servio na nuvem, teremos qualquer servio e implementao sob demanda que permita gerenciar um ou mais servios de computao em nuvem, como gerenciamento de tempo de atividade, topologia, utilizao de recursos e virtualizao, h tambm sistemas de gesto e governana.

Infraestrutura como servio, contaremos com toda a disponibilidade do Data Center amazon.com como servio com capacidade de acessar recursos de computao remotamente. Como exemplo, a hospedagem de um site em um servidor dedicado e remoto. Plataforma como servio, incluindo desenvolvimento de aplicativos, interfaces, banco de dados, armazenamento e testes em uma plataforma hospedada remotamente. Algumas plataformas como servio oferecem a capacidade de criar aplicativos corporativos para uso local ou sob demanda.

Processo como servio, utilizao do recurso remoto que pode reunir muitos outros servios e dados, sejam eles hospedados no mesmo recurso de cloud computing ou remotamente, para criar processos de negcio.

Segurana na nuvem, o servio explora a capacidade de fornecer servios de segurana essenciais remotamente via web. A sofisticao do servio para exemplo o gerenciamento de identidade tema abordado em nosso curso de TI (Segurana da Informao).

15

Software como servio (ou Aplicativo em nuvem), implementao de qualquer aplicativo oferecido sobre a plataforma web para um usurio final, geralmente explorando o aplicativo pelo browser. Os aplicativos de automao de escritrio, disponveis na web, tambm so aplicativos como servio, entre eles o Google Docs, Gmail e Google Calendar. Manuteno de aplicaes de computao em nuvem mais fcil, porque eles no precisam ser instalados no computador de cada usurio. Teste como servio, teremos a capacidade de testar sistemas locais ou fornecidos em nuvem empregando software e servios de teste hospedados remotamente, sendo que um servio de cloud deve ser testado localmente, os sistemas de teste como servio podem verificar outros aplicativos em nuvem, websites e sistemas empresariais internos, e costumam utilizar pouco espao para hardware e/ou software na empresa.

16

O armazenamento em nuvem ou cloud storage ser formado por modelo de concentrao de dados fsicos e armazenados on-line em pools virtualizados e especializados em armazenamento (estoque) de dados fsicos.

A empresa de hospedagem contratada pela Champions Indstria Farmacutica S.A que opera grandes Datas Centers e possuem engenheiros e analistas requeridos para manter o ambiente estvel e com capacidade escalonvel de armazenamento para suprir demandas.

O Data Center contratado pela Champions Indstria Farmacutica S.A totalmente confivel e especializado em armazenamento em nuvem, virtualizam recursos de acordo com requisies e demandas de clientes, como tambm disponibilizam controles para autogesto do estoque de dados, para exemplo, o servio de FTP, lhe permite o armazenamento na nuvem seus arquivos.

VANTAGENS DE ARMAZENAMENTO EM NUVEM PARA A CHAMPIONS INDSTRIA FARMACUTICA S.A Reduo de custos, sendo que a empresa precisa pagar apenas para o armazenamento que realmente usar. Ao optar pelo cloud computing, evita-se o superdimensionamento de recursos fsicos, paga-se apenas pelo que usar e elimina a necessidade de investir em infraestrutura prpria.

Dispensa instalao de dispositivos de armazenamento fsico em seu ambiente de TI Os custos de localizao offshore costumam ser mais baixos.

17

Tarefas de armazenamento de manuteno, como backup, replicao de dados e compra dispositivos de armazenamento adicionais so transferidas para a responsabilidade de um prestador de servios. Permite a organizao se concentrar em seu core business (empresa farmacutica).

PONTOS DE ATENO NO AMBIENTE CLOUD COMPUTING O desempenho pode ser menor do que o armazenamento local, dependendo de quanto o cliente est disposto a investir com a banda larga e infraestrutura de rede. Confiabilidade e disponibilidade dependem da infraestrutura do prestador de servio. Armazenamento em nuvem oferece aos usurios acesso imediato, a contingncia deve ser imediata tambm, em caso de falhas.

Como parte da matria estudada no curso de Gesto em Tecnologia da Informao, temos a disciplina de Segurana da Informao, onde abordaremos os elementos de segurana para a implementao do projeto na Champions Indstria Farmacutica S.A.

Para evitar ou diminuir o risco de informaes confidenciais serem acessadas indevidamente, perdidas ou at mesmo adulteradas dentro das organizaes, necessrio que haja uma srie de procedimentos claramente estabelecidos aonde quer que estas informaes venham transitar.

A segurana de informaes visa garantir a integridade, confidencialidade, autenticidade e disponibilidade das informaes processadas pela organizao. A integridade, a

confidencialidade e a autenticidade de informaes esto intimamente relacionadas com os controles de acesso.

18

Armazenar dados confidenciais em Data Centers de terceiros podem solicitar polticas de segurana dos dados armazenados e os dados em trnsito.

As empresas que fornecem servios em nuvem, para citar as mais relevantes do mercado: Akamai, Limelight Networks, Microsoft e Amazon so especializadas no que fazem, e h muito tempo. Servios como streaming, CDN e web storage so maduros, utilizados pelas maiores corporaes do mundo, e utilizam as melhores prticas no que tange a segurana. Podemos arriscar a afirmar que os servios em nuvem desses fornecedores e outros do mesmo porte so, na maioria das vezes, ainda mais seguros do que os recursos locais utilizados em muitas empresas com infraestrutura prpria, que na maioria dos casos no so administrados corretamente.

Fonte: https://hostedendpoint.spn.com/ ambiente Cloud Computing com mxima segurana utilizando produtos Symantec Cloud.

19

OBJETIVOS DE NEGCIO Proteo dos valores de negcio associados aos ativos crticos de TI. Reduo dos riscos e impactos de perda de ativos de TI para nveis aceitveis. Atendimento das necessidades de negcio relativas a requisitos de auditorias e cdigos de boas prticas de segurana da informao. Insero dos princpios bsicos de gesto de segurana da informao na cultura empresarial

AES DE IMPLEMENTAO Anlise e identificao de situaes de perda, comprometimento, acesso indevido, mau uso, desperdcio, retrabalho, dependncia, falta de transparncia, questes culturais e aumento de custos, relacionadas a falhas em segurana da informao, elaborando um diagnstico do estado atual.

Mapeamento de necessidades de negcio sobre aspectos de segurana da informao (integridade, disponibilidade e sigilosidade) aplicados aos ativos crticos de TI, identificando oportunidades e riscos de implantao da gesto de segurana da informao.

Anlise e adoo de normas e cdigos de boas prticas de segurana da informao visando a proteo de ativos de TI, reduo de riscos, atendimento de requisitos de auditorias e conscientizao em segurana.

20

Definio e implementao de um modelo de gesto de segurana da informao, definindo, entre outros pontos: polticas especficas, processos, procedimentos, riscos, identificao de ativos de TI, requisitos, impactos, estrutura de registros, caractersticas de bases de dados, documentao de suporte, papis e responsabilidades dos agentes envolvidos.

Definio e aplicao de critrios de classificao e de avaliao do nvel atual de criticidade de ativos de TI para os negcios, considerando os diferentes processos de negcio da empresa.

Definio e aplicao de critrios de classificao e de avaliao do nvel atual de criticidade de riscos e impactos nos processos (BIA - Business Impact Analysis) relativos a falhas em aspectos de segurana (integridade, disponibilidade e sigilosidade) de ativos de TI, considerando as diferentes reas de negcio da empresa.

Definio de requisitos, metas de curto e longo prazo, bem como estratgias a serem adotadas para implantao da gesto de segurana de ativos de TI em acordo com princpios, decises e experincias anteriores da organizao.

Elaborao e implementao de um plano de aes de gesto de segurana de ativos de TI para atender as necessidades de negcio, identificando posteriormente os pontos fortes e fracos das estratgias adotadas no que tange proteo dos valores associados aos ativos de TI, reduo de riscos de falha da segurana, atendimento a requisitos de auditorias e conscientizao em segurana, definindo, entre outros pontos: papis e responsabilidades, participantes selecionados, esforo estimado, marcos de projeto, riscos de implementao e aes de mitigao, rotina de comunicao entre grupos de trabalho, investimentos, cronograma fsico-financeiro,

21

detalhamento das atividades, atas e registros, tipos e estruturas de documentos acessrios, objetos finais entregues ao final dos trabalhos e regras de apresentao e aprovao.

Especificao e implementao de uma base de dados para suporte gesto de segurana da informao para proteo de ativos crticos de TI, contendo, entre outras coisas: identificao e descrio de ativos de TI, riscos e impactos associados, identificao de processos de negcio associados, criticidade para os negcios, nvel de segurana, responsveis pela administrao e proteo, permisses de acesso, controles de auditoria aplicados, registros, incidentes e problemas relacionados.

Elaborao e implementao de um plano de capacitao de profissionais para gesto de segurana de ativos crticos de TI, bem como de um programa de conscientizao em segurana da informao, visando a insero dos princpios bsicos de segurana na cultura empresarial. Avaliao peridica do nvel de criticidade e de segurana de ativos crticos de TI visando atendimento das necessidades de negcio.

Especificao e implementao de controles de segurana da informao para garantia da proteo de ativos de TI e atendimento a requisitos de auditorias, incluindo implementao de polticas de controle de acesso, salvamento e recuperao, desenvolvimento de sistemas de TI e segregao de funes.

Elaborao e implementao de um plano de aes visando o desenvolvimento e a implantao efetiva de um Plano de Continuidade de Negcios (BCP Business Continuity Plan), para a preveno de falhas em ativos de TI, evitando a ocorrncia de situaes emergenciais de alto impacto (desastres) e assegurando nveis mnimos de prestao de servios de TI, definindo, entre outros pontos: polticas especficas, processos, procedimentos, registros,

22

bases de dados, documentao de suporte, papis e responsabilidades dos agentes envolvidos, aplicada aos ativos da infra-estrutura de suporte.

Elaborao e implementao de um plano de aes visando o desenvolvimento e a implantao efetiva de um Plano de Recuperao de Desastres (DRP Disaster Recovery Plan), para reduo de impactos e recuperao das funes de suporte de reas crticas de negcio dependentes de ativos de TI, durante a ocorrncia de situaes emergenciais de alto impacto (desastres), assegurando nveis mnimos de prestao de servios de TI, definindo, entre outros pontos: polticas especficas, processos, procedimentos, registros, bases de dados, documentao de suporte, papis e responsabilidades dos agentes envolvidos, aplicada aos ativos da infraestrutura de suporte.

Elaborao e implementao de um plano de aes visando o desenvolvimento e a implantao efetiva de um Plano de Manuteno Preventiva e Corretiva de ativos de TI, definindo, entre outros pontos: papis e responsabilidades, participantes selecionados, esforo estimado, marcos de projeto, riscos de implementao e aes de mitigao, rotina de comunicao entre grupos de trabalho, investimentos, cronograma fsico-financeiro,

detalhamento das atividades, atas e registros, tipos e estruturas de documentos acessrios, objetos finais entregues ao final dos trabalhos e regras de apresentao e aprovao.

Elaborao e implementao de um plano de aes visando o desenvolvimento e a implantao efetiva de um Plano de Conformao de Auditoria, para atendimento das necessidades de negcio quanto conformao com requisitos de auditorias e cdigos de boas prticas de segurana da informao, definindo, entre outros pontos: papis e responsabilidades, participantes selecionados, esforo estimado, marcos de projeto, riscos de implementao e aes de mitigao, rotina de comunicao entre grupos de trabalho, investimentos, cronograma fsico-

23

financeiro, detalhamento das atividades, atas e registros, tipos e estruturas de documentos acessrios, objetos finais entregues ao final dos trabalhos e regras de apresentao e aprovao.

Anlise dos resultados finais obtidos frente ao esperado, considerando, por um lado, os investimentos e esforos de desenvolvimento das aes visando a gesto de requisitos de processos e, por outro, a efetiva gerao e proteo de valores de negcio para a empresa.

Fonte: https://hostedendpoint.spn.com/ ambiente Cloud Computing com mxima segurana utilizando produtos Symantec Cloud.

24

MELHORES PRTICAS EM SEGURANA DA INFORMAO 1. Identifique quais informaes e demais ativos sua empresa precisa proteger e defina critrios e prioridades de controle de acordo seus nveis de criticidade. 2. Crie normas para o gerenciamento de emergncias (plano de contingncia). 3. Eduque seus funcionrios, parceiros, fornecedores e clientes e dissemine uma "cultura de segurana da informao" (o sucesso de atual preocupao da humanidade com a proteo do meio ambiente resultado de campanhas de conscientizao). A 1 ameaa devida execuo de qualquer processo o ser humano - sobretudo se ele no entender o porqu do que est fazendo... 4. Certifique-se de cada funcionrio possui apenas uma conta de usurio na rede e que a mesma no possua privilgios de acesso desnecessrios ou incompatveis com seu cargo ou funo (como pertencer ao grupo "administradores"). 5. Remova contas de rede in

25

6. ativas (como contas de ex-funcionrios). 7. Certifique-se que todas as contas de usurio de sua rede utilizam senhas "fortes" (de difcil suposio) e que sejam obrigatoriamente trocadas regularmente. 8. Faa cpias de segurana (backup) de dados regularmente e teste que as mesmas podem ser recuperadas com integridade. 9. Remova de seus computadores todos os programas e recursos nativos que no faam parte das necessidades de sua rotina trabalho ou que no contribuam para o aumento de produtividade de seus funcionrios (ou no permita a instalao). Geralmente, quanto mais programas instalados um computador possuir, mais lento e mais sujeito incidentes de segurana ele est. 10. Habilite, mantenha e frequentemente verifique "arquivos de log" que possam ajud-lo a detectar anomalias, problemas e aes indevidas executadas em seus computadores e em sua rede em geral. 11. Evite instalar software encomendado (tais como sistemas de gesto, controle de estoque, ERP etc.) sem que seus desenvolvedores forneam seus cdigos-fonte para fins de anlise de vulnerabilidades e ameaas. 12. Desabilite todos os recursos de rede que no estiver utilizando. 13. Mantenha um bom programa antivrus instalado e atualizado em todas os computadores de sua empresa - especialmente naqueles que operam como servidores. 14. Estabelea regras para utilizao do acesso Internet e e-mail. Mensagens de correio eletrnico contendo arquivos infectados por vrus e acesso a websites que automaticamente executam e instalam cdigos maliciosos em micros so duas das maiores causas de perda de dados nas empresas. 15. Se pelo menos um computador de sua rede local encontra-se conectado Internet (ou se sua empresa troca dados com filiais, fornecedores e clientes atravs de redes de comunicao pblica), instale entre esse micro e a conexo Internet dispositivos lgicos e/ou

26

fsicos (tais como firewalls, sistemas de IDS, roteadores) que impeam que tentativas de acesso indevido de origem externa tenham acesso a seus sistema e ao ambiente dos demais computadores da rede. 16. Se sua empresa troca dados confidenciais entidades externas (filiais, fornecedores, clientes) atravs de redes de comunicao pblica (Internet, LP - linha privada), cuide para que essas informaes trafeguem criptografadas, de forma a garantir sua devida confidencialidade no caso de extravio ou interceptao. 17. Nunca conecte seu servidor de banco de dados ou controlador de domnio diretamente Internet - por mais tentador, prtico e econmico que isso possa parecer... 18. Se sua rede utiliza roteador, troque sua senha de fbrica (bem como o nome do administrador), seguindo as mesmas regras para senhas e nomes de usurio - especialmente antes de lig-lo definitivamente Internet. 19. Desabilite todos os protocolos de rede desnecessrios.

PLANO DE CONTINUIDADE DE NEGCIO (PCN) O Plano de Continuidade de Negcios (PCN), o qual a traduo de Business Continuity Plan (BCP), o desenvolvimento preventivo de um conjunto de estratgias e planos de ao de maneira a garantir que os servios essenciais sejam devidamente identificados e preservados aps a ocorrncia de um desastre, e at o retorno situao normal de funcionamento da empresa dentro do contexto do negcio do qual ela faz parte. Alm disso, sob o ponto de vista do PCN, o funcionamento de uma empresa deve-se a duas variveis: Infra Estrutura de TI e os processos. 1. 2. 3. 4. 5. Focado na sustentao de funes de negcio durante e aps a interrupo. Sistemas de TI so considerados no PCN como suporte aos processos de negcio. Em alguns casos o PCN pode no tratar de processos de recuperao e retorno s Operaes normais, apenas nos requisitos de continuidade de negcios. Podem ser adicionados ao PCN:

27

6. 7. 8.

Plano de Recuperao de Desastre (PRD) Plano de Recuperao de Negcio Plano de Emergncia dos Ocupantes

O PCN abrange procedimentos operacionais de: 1. PRD - Plano de Recuperao de Desastres 2. PCO - Plano de Continuidade Operacional 3. PAC - Plano de Administrao de Crises Recurso Humano da Segurana: o levantamento do nvel de qualificao,quantidade, posicionamento ttico da equipe. Este critrio projeta o nvel da equipe de segurana da empresa, na concretizao do perigo em estudo. Deve-se levar em considerao o efetivo existente, perfil, qualificao e posicionamento ttico.

O processo de seleo e recrutamento (conjunto de procedimentos que visa atrair candidatos potencialmente qualificados e capazes para ocupar um determinado cargo/funo dentro da organizao Chiavenato) necessita ser norteado de outros protocolos de segurana para minimizar os riscos de problemas futuros aps a contratao, alguns itens devem ser abordados com nfase, mas sem ferir os direitos garantidos na Constituio Federal de 1988, na Consolidao das Leis Trabalhistas de 01 de maio de 1943, Normas Regulamentadoras do MTe Ministrio do Trabalho e Emprego, alm de outras leis que no podem se deixadas de lado, tipo o CPB Cdigo Penal Brasileiro.

Alguns pontos importantes que devem ser observados pelo departamento de Recursos humanos antes de contratar um profissional:

28

Conscientizao e treinamento Aqui, o responsvel pelo programa deve desenvolver aes para incrementar a cultura corporativa no que se refere manuteno, implementao e execuo do PCN.

A melhor forma de conscientizar os colaboradores por meio do seu envolvimento e comprometimento com o programa. Para tal, o responsvel deve contar com as reas de Recursos Humanos e Marketing. aconselhvel criar um espao na Intranet corporativa para a divulgao denotcias, textos etc. sobre o programa. Importante tambm realizar campanhas internas com a distribuio de vdeos, psteres, brindes, organizar palestras que divulguem as razes do PCN, quais etapas j foram cumpridas, os responsveis pelo programa etc.

A disseminao do conhecimento sobre o programa aumenta a segurana nas aes de recuperao numa situao real, diminui as dvidas, reduz os tempos de recuperao e os impactos previstos no BIA diante de um desastre real.

- Seleo: Aps a escolha dos candidatos, a aplicao de testes tcnicos, quando a funo exigir, parte fundamental para avaliao dos candidatos, porm a participao do departamento solicitante na elaborao do teste outro fator de sucesso para avaliar qual dos candidatos est realmente capacitado para ocupar a vaga em questo. Muitas empresas no fazem este tipo de procedimento, no h essa interao entre os departamentos, o que muito prejudicial na hora da escolha final.

- Pesquisa social: Ao encerramento da etapa da seleo, outro ponto no pode ser esquecido, este tipo de pesquisa da vida pregressa do candidato visa ratificar as informaes contidas no seu currculo e na sua CTPS (Carteira de Trabalho e Previdncia Social), para que

29

esta coleta de informaes seja bem sucedida, o gestor da rea de recursos humanos tem que observar alguns pontos cruciais:

1) Manter contato com as demais empresas por onde o profissional que est sendo contratado j passou, muito importante ratificar as informaes que esto sendo fornecidas, as dvidas devem ser dirimidas neste momento. Porm as informaes obtidas so confidenciais e sigilosas, e algumas vezes, quem est fornecendo estas informaes esta movido por uma forte emoo, e pode ocorrer mistura entre o lado profissional e o lado pessoal, por este motivo cabe ao gestor de recursos humanos, quando bem treinado e experiente, realizar o que os profissionais de segurana corporativa que atuam no seguimento da inteligncia competitiva (processo informal, pr-ativo e tico que conduz a melhor tomada de deciso, seja ela estratgica ou operacional) chamam de analise de forma filtrada e integrada da informao. Neste caso cruzar as informaes cooptadas das diversas empresas, e de forma imparcial chegar tomada de deciso estratgica. Contratar ou no contratar? Se mesmo assim a dvida persistir, elaborar um relatrio com todas as informaes sobre o candidato e recorrer ao seu superior imediato ou ao departamento de segurana empresarial, para que a finalizao do processo seja de forma consensual, inclusive da alta cpula da empresa, para evitar maus entendidos aps a contratao, esta aprovao de preferncia deve ser obtida por escrito.

2) Lembramos neste artigo que pesquisas ao SPC e SERASA (Servio de Proteo ao Crdito) entre outros, so permitidas, porm o candidato pesquisado no pode ser excludo por estar com alguma restrio deste tipo (Artigo 1 da Lei n 9.029.1995).

3) Observar atentamente todas as assinaturas que esto na CTPS, verificar se no houve nenhum tipo de adulterao grosseira ou o acrscimo de outra empresa para completar o perodo de servio, o que chamamos vulgarmente de esquentar a carteira profissional, detectar este tipo de fraude muito difcil, mesmo assim, o profissional da rea de recursos humanos perspicaz e extremamente observador ir novamente pesquisar se a empresa que consta na CTPS realmente

30

existe, e se realmente aquele funcionrio que realizou a assinatura, trabalhou naquele perodo, e mais, se o funcionrio tinha a competncia legal para realizar tal procedimento funcional. Sim uma tarefa rdua e desgastante, porm necessrio e prudente a existncia de tais protocolos de segurana no processo seletivo, a fim de minimizar os riscos de contratar a pessoa errada para uma funo/cargo chave dentro da organizao, principalmente se este pretendente tiver acesso irrestrito a informaes sigilosas do departamento financeiro, pesquisa e desenvolvimento, logstica, recursos humanos, tecnologia da informao, tesouraria, comercial e operacional entre outros. Lembramos que a informao um ativo valioso atualmente, e merece uma ateno especial.

Mesmo aps a pesquisa social e aprovao da contratao do profissional pela diretoria da empresa, chegou o momento da contratao, inicia-se uma nova etapa, porm de suma importncia, que podemos chamar de ambientao ou integrao, poucas empresa tm a preocupao de realizar essa apresentao formal do novo funcionrio aos Stakeholders ou mais conhecido como CEO (Chef Executive Officer), para saber o nvel de influncia de cada um nos processos internos da organizao, se a organizao usa a tcnica do Benchmarking, qual o tipo de cultura organizacional que a organizao adota (misso e valores), e principalmente qual o Core Bunisess (negcio principal ou atividade principal da empresa).

Todas essas informaes devem ser passadas com clareza para novo funcionrio, neste momento a presena de um Coach (professor ou treinador) muito importante, caso contrrio o processo de cognio (ato ou ao de conhecer, aquisio de um conhecimento) pode estar seriamente comprometido.

E finalmente, monitorar se a passagem de funo est ocorrendo de forma clara e objetiva, se o ocupante da funo tem todo o conhecimento produzido armazenado de forma segura e correta (backup), para que no haja represlias ou retaliaes por parte de quem esta saindo da empresa. Essa medida preventiva segue o que chamamos de poltica de segurana das

31

informaes (conjunto de medidas utilizadas nas empresas para proteger as informaes sigilosas contra ameaas internas e externas).

So inmeros os cuidados que o departamento de recursos humanos estratgico de uma organizao deve ter ao realizar um processo seletivo seguro e eficiente, e ao mesmo tempo atender as expectativas da alta cpula, com relao ao profissional que est sendo contratado, mesmo aps a contratao.

Estes cuidados devem ser tomados em qualquer nova aquisio para o quadro funcional, em qualquer nvel hierrquico, e principalmente deve se tornar uma rotina administrativa, de forma a minimizar problemas, mesmo aps o trmino do prazo de experincia estipulado em lei (90 dias). Essa viso holstica dos processos de recrutamento e seleo favorece a vantagem competitiva de uma empresa sobre as demais concorrentes (Michael Potter), reduzindo o Turnover (ferramenta utilizada pelo departamento de recursos humanos para mensurar as admisses e demisses em determinado perodo) a empresa poder obter um bom ndice de produtividade.

Essa preocupao no processo de recrutamento e seleo uma premissa bsica que deve ser observada com muito cuidado pelo departamento de recursos humanos que atua de forma estratgica, por esse motivo se torna uma poderosa ferramenta para segurana corporativa para empresas/organizaes que atuam em mercado altamente competitivo, essas medidas preventivas as vezes podem definir o futuro de empresa.

32

PLANO DE RECUPERAO DE DESASTRE (PRD) 9. 10. por um 11. 12. centro 13. 14. para TI 15. requerem 16. 17. mudanas de locais De acordo com a organizao, vrios PRDs podem ser adicionados ao PCN PRD possui escopo restrito, no tratando de interrupes menores que no computacional atingido em um site alternativo aps uma emergncia O escopo da PRD em TI pode ter sobreposies com um plano de contingncia perodo estendido PRD focado em TI trata da recuperao operacional do sistema, aplicao ou Disaster Recovery Plan (DRP) Eventos grandes, normalmente catastrficos, que negam o acesso s instalaes

PLANO DE CONTINUIDADE DOS NEGCIOS RECURSOS NECESSRIOS Os recursos necessrios para continuidade e recuperao dos negcios so identificados em pontos no tempo como: a) pessoas - segurana, - logstica de transporte, - necessidades de bem-estar - gastos de emergncia; b) instalaes; c) tecnologia, incluindo comunicaes; d) informaes, o que pode incluir: - detalhes financeiros (por exemplo, folha de pagamento), - registros de contas de clientes, - detalhes de fornecedores e partes interessadas,

33

- documentos legais (por exemplo, contratos, aplices de seguro, escrituras etc.), e - outros documentos de servios (por exemplo, acordos de nvel de servios); e) suprimentos f) gesto das partes interessadas e da comunicao com estas.

Responsveis: A administrao vai escolher e designar um responsvel para gerenciar as fases da continuidade e da recuperao dos negcios que aconteceram aps a descontinuidade do trabalho. aconselhvel a administrao escolher a mesma pessoa para planos de gerenciamento de incidentes e questes de longo prazo.

Formulrios e anexos: Quando apropriado, o PCN (Plano de Continuidade de Negcios) deve possuir contato atualizado das prprias agncias internas e externas, organizaes e fornecedores que possam ser necessrios para a ajuda da organizao.

O plano de continuidade de negcios insira um registro de incidentes ou formulrios para o registro de informaes vitais, basicamente como efeito de decises tomadas durante sua execuo.

Pode ter tambm formulrios para guardar dados administrativos, como: recursos usados, material para controle de despesas, mapas, desenhos e plantas do local e do escritrio, principalmente os relacionados a instalaes alternativas, tais como reas de recuperao do local de trabalho e de armazenagem.

O Data Base deve ser definido como o centralizador dos processos, pois possui todos os dados principais da empresa. No caso da Empresa Champion o Data Base que utilizaremos ser hospedado em Cloud Computing, especificamente Nuvem privada por ser mais segura onde a mesma configurada para uso exclusivo por uma nica empresa.

34

Poltica e Segurana: A implantao de um Sistema de Segurana de Informao envolve a anlise de riscos na infraestrutura de TI.

Esta anlise permite identificar os pontos vulnerveis e as falhas nos sistemas, que devero ser corrigidos. Alm disso, no SSI, so definidos processos para detectar e responder a incidente de segurana e procedimentos para auditorias.

Um assunto bastante relevante no SSI a implementao de um programa de treinamento e conscientizao dos usurios nas questes relativas Segurana da Informao. Isto se deve ao fato do usurio ser um ponto fraco para os casos de invaso de sistemas devido falta de conhecimento das principais tcnicas utilizadas pelos invasores. Como exemplo podemos citar o ataque atravs de spam ( mensagens no solicitadas), onde o usurio recebe um e-mail com o objetivo de fazer o usurio executar um programa ou a acessar um site que pode coletar informaes, onde as mesmas sero enviadas a um destinatrio ou invasor, normalmente conhecido como Hacker. No SSI, tambm importante a definio de uma Poltica de Segurana. Essa poltica consiste de um documento que formaliza os procedimentos para a segurana da informao e que devem ser de conhecimento de todos os usurios. Em tal documento so definidas algumas regras, responsabilidades e penalidades para os casos de alguma regar ser violada, alm de conter um termo de responsabilidades onde o funcionrio (usurio) confirma seu conhecimento a respeito das normas ali estabelecidas.

Normas dos usurios Uma questo muito importante o procedimento que deve ser aplicado aos usurios no que diz respeito ao uso dos equipamentos e acesso ao sistema. Muitas vezes os funcionrios no se conscientizam da forma que utilizam os acessos que so permitidos, e por fim acabam gerando vrios inconvenientes. Todos os tpicos abaixo devem ser relacionados nas normas do regimento interno da corporao:

35

Controle de usurio/senha todos os funcionrios devem ter um usurio e senha para acesso ao sistema, e a responsabilidade de uso de cada um.

Autenticao dos usurios deve ter um controle de senha e contas

Autorizao usurios deve-se definir um nvel de acesso para cada usurio, para que os que no esto envolvidos no tenham permisso, uma forma preservao de informaes confidenciais.

Acesso internet deve orientar os usurios sobre o acesso para que no se desvie o foco das suas funes. Sabemos que a internet uma grande fonte, e deve ser bem aproveitada.

Controle acesso do e-mail deve ser definido o uso do e-mail da empresa, porque tambm um ponto muito vulnervel. Na figura abaixo mostra como deve ser tratada a relao com a rede de uma organizao.

1. Planejamento Estratgico de Continuidade

Consiste no desenvolvimento, em nvel estratgico, com a respectiva documentao, de um projeto de continuidade operacional e integridade das informaes, de modo a conscientizar os principais executivos da instituio sobre os riscos potenciais de falhas operacionais que podem interromper os seus negcios, e propor-lhes solues para enfrent-las, bem como inform-los sobre o esforo de trabalho e custos estimados para implementao dessas solues.

Devero ser contemplados nessa fase os seguintes aspectos:

36

1.1. Designao de grupo de trabalho, que dever estar subordinado ao diretor estatutrio; 1.2. Definio da estratgia para a continuidade dos negcios da instituio.

1.3. Avaliao dos procedimentos utilizados atualmente para continuidade dos negcios em situaes emergenciais, para eventual aproveitamento no projeto.

1.4. Estabelecimento de cronograma para o projeto de continuidade supra citado, com detalhamento das atividades, prazos e responsveis.

1.5. Identificao dos processos operacionais crticos da instituio, com o levantamento das respectivas interdependncias, principalmente daqueles nos quais participam fornecedores, empresas subcontratadas e parceiras no desenvolvimento de negcios, entre outros.

1.6. Identificao dos sistemas de processamento de dados que suportam os processos crticos e mapeamento de seus inter-relacionamentos.

1.7. Avaliao do impacto adicional causado pela interrupo no fornecimento de servios pblicos essenciais, tais como, energia eltrica, comunicaes, transportes, segurana e nos servios financeiros de infra-estrutura, tais como, liquidao e compensao.

1.8. Identificao de datas crticas nas quais os sistemas podero apresentar interrupes ou falhas, de modo a possibilitar a definio de estratgia de distribuio das operaes e de compromissos, com vistas a evitar-se sobrecarga dos sistemas naquelas datas.

1.9. Elaborao de planos de reviso para anlise e validao dos procedimentos desenvolvidos.

1.10. Indicao, para cada processo crtico, das pessoas envolvidas e respectivos

37

substitutos, e definio de esquema de convocao, em caso de sobrevir uma situao crtica.

2. Anlise de Riscos Potenciais O objetivo dessa fase estimar, com a pertinente documentao, a probabilidade de que os sistemas de processamento de dados sofram interrupo ou mau funcionamento, quer devido a maior susceptibilidade s alteraes nos campos de data, quer devido a maior dependncia ou influncia de outros sistemas, e avaliar o impacto dessas eventuais falhas em seus processos operacionais crticos.

Devero ser contemplados nessa fase os seguintes aspectos:

2.1. Levantamento e documentao de informaes a respeito dos processos operacionais crticos, necessrias posterior anlise e utilizao no desenvolvimento do plano de continuidade dos negcios, contendo: a) esquemas de funcionamento; b) interdependncias; c) riscos existentes; d) alternativas que poderiam ser implementadas em situaes de contingncia.

2.2. Comprovao da existncia de planos de contingncia documentados e de solues alternativas para o atendimento aos clientes mantidos pelos provedores de servios.

2.3. Avaliao das conseqncias para os negcios da instituio caso ocorra uma situao extrema, provocada pela interrupo de todos os sistemas que suportam os processos crticos e de todos os servios essenciais. Adicionalmente, considerar a possibilidade de que um provedor de servios afete vrias instituies simultaneamente.

2.4. Anlise quanto forma de ocorrncia de eventuais falhas, considerando que: a) o sistema poder ser capaz de processar apenas informao no sensvel a datas;

38

b) o sistema poder produzir resultados incorretos; c) o sistema poder produzir resultados imprevisveis; d) ocorra falha completa do sistema.

2.5. Anlise e estimativa do nvel de impacto (alto, mdio, baixo) que a interrupo dos processos crticos causados por falhas em seu ambiente computacional (hardware, software, infra-estrutura, etc.) poder causar aos negcios e a terceiros, visando o estabelecimento de prioridades e a alocao de recursos humanos e materiais para o desenvolvimento dos diversos planos de contingncia que iro compor o plano de continuidade.

2.6. Construo de uma matriz "impacto versus probabilidade" que permita definir prioridades para as aes corretivas que se fizerem necessrias em cada um desses sistemas e nos processos crticos de negcios.

2.7. Estabelecimento de nveis de abrangncia e desempenho para os planos de contingncia a serem desenvolvidos (servios a serem oferecidos, padro de qualidade desses servios, tempo mximo para disponibilizao do sistema aps a ocorrncia de falhas, etc.).

3. PLANOS DE CONTINGNCIA

Com base no levantamento obtido na fase anterior, na presente fase deve ser procedida a identificao, o desenvolvimento e a documentao dos planos de contingncia, a definio dos respectivos procedimentos de ativao, o estabelecimento de prazos para a implementao dos mesmos e a designao das equipes que ficaro responsveis pela operacionalizao dos referidos planos.

Devero ser contemplados nessa fase os seguintes aspectos:

3.1. Anlise e seleo, dentre as alternativas de plano de contingncia levantadas na fase

39

anterior, daquelas que apresentarem as melhores relaes de custo/benefcio.

3.2. Definio da estratgia de continuidade adequada e subseqente retomada da operao para cada processo crtico, considerando: a) hipteses de continuidade de processos crticos, entre outras: substituio total de sistemas por outros equivalentes, j adaptados e testados; alterao dos programas, em carter de emergncia; aquisio de programas aplicativos que permitam a continuidade dos processos em nvel operacional mnimo, para o caso de atraso na modificao de sistemas crticos; contratao e treinamento de pessoal que possa emular os processos crticos automatizados, atendendo o nvel operacional mnimo; b) tempo total para implementao da alternativa e para retomada da operao ao nvel adequado; c) capacidade de suprir todas as funes necessrias para atingir o nvel operacional mnimo; d) custo da alternativa, considerando aquisio de produtos e servios, treinamento de pessoal e teste; e) perdas estimadas para os negcios e para a reputao da instituio, devidas interrupo total ou parcial desses processos crticos e o tempo para retomada das operaes ao nvel normal.

3.3. Designao das equipes de trabalho responsveis pela implementao de cada um dos planos de contingncia.

3.4 Elaborao, com a respectiva documentao, dos planos de contingncia para atender cada alternativa, conforme o processo crtico de negcios, contendo: a) procedimentos a serem adotados e as responsabilidades do pessoal envolvido, na conduo do plano de contingncia; b) recursos necessrios para implementao da alternativa e para o retorno das atividades ao nvel normal de operao; c) requisitos tcnicos, funcionais, organizacionais e de infra-estrutura que sero necessrios para suportar a continuidade de processos crticos de negcios;

40

d) cronograma que contemple aquisio, teste e implementao da alternativa, a recuperao dos sistemas que suportam os processos crticos e o retorno das atividades ao nvel de operao normal; e) datas-limites para concluso de cada tarefa, que permitam atribuir percentuais de evoluo para implementao da soluo alternativa; f) eventos e condies para acionamento do plano de contingncia.

3.5. Para os processos operacionais que envolvam arquivos que necessitem ser recuperados, devero ser previstos: a) Cpias de segurana (backups) peridicos de todos os arquivos mestres (cadastros) utilizados; b) Logs (imagens) anteriores e posteriores de todos os registros atualizados nos arquivos acessados pelas transaes englobadas por esses processos; c) Disponibilizao de procedimentos operacionais para rpida recuperao dos arquivos eventualmente afetados por falhas no ambiente computacional; d) Manuteno de lista atualizada de endereos e telefones para contato com todos os parceiros, clientes e fornecedores, que troquem dados e participem dos procedimentos integrados de recuperao com a instituio.

3.6. Avaliao da necessidade de reviso de contratos com terceiros.

3.7. Previso de revises mensais do plano, ou conforme determinado pelos testes de certificao, alterando, se necessrio, sistemas, programas aplicativos, procedimentos e recursos previstos originalmente.

3.8. Planejamento para implantao de central de informaes durante o perodo de retomada de negcios, at atingir o nvel de operao normal.

4. VALIDAO/TESTES

O objetivo dos testes no processo de desenvolvimento do Plano de Continuidade dos

41

Negcios avaliar se os diversos planos de contingncia desenvolvidos para constitu-lo so capazes de suportar de modo satisfatrio os processos operacionais crticos de negcios da instituio e manter a integridade, a segurana e a consistncia dos bancos de dados criados pela alternativa adotada, e se tais planos podem ser ativados tempestivamente.

Devero ser contemplados nessa fase os seguintes aspectos:

4.1. Elaborao de um plano para certificao dos planos de contingncia, que inclua: a) descrio de equipamento, pessoal, cronograma e procedimentos para cada fase; b) definio de parmetros para validao do plano de continuidade; c) desenvolvimento e documentao dos procedimentos de teste dos planos de contingncia; d) designao e treinamento das equipes responsveis pela conduo dos testes; e) programao de treinamento simulado para todas as equipes responsveis pela operacionalizao dos planos de contingncia; f) ensaios de situaes de emergncia com o pessoal designado no plano de contingncia; g) validao dos resultados obtidos, considerando-se os aspectos de funcionalidade, performance e segurana; h) atualizao do plano de continuidade em funo das observaes levantadas durante os testes dos planos de contingncia; i) atualizao dos planos e procedimentos para recuperao de falhas.

4.2. Os testes devem ser efetuados, preferencialmente, por equipes diversas das envolvidas nos processos de desenvolvimento dos referidos planos.

4.3. O processo de validao dever contar com a participao e avaliao da auditoria independente e da auditoria interna.

42

5. PROCEDIMENTOS COMPLEMENTARES

5.1. Os planos de contingncia e respectivos testes de validao devem ser documentados, aprovados e assinados pelo diretor estatutrio.

5.2. O auditor independente dever emitir parecer sobre a adequao dos planos de contingncia e os resultados obtidos nos testes de validao. 5.3. A instituio deve criar e manter arquivos de recuperao com registros dos dados. Adicionalmente, deve gerar uma segunda cpia dos arquivos de segurana, a ser armazenada em local diverso da primeira.

PLANO DE SUPORTE TCNICO / HELP DESK Para o ambiente que est sendo implantado na Champions ser adotado os nveis de servios, conhecidos pela sua sigla em ingls - SLAs Service Level Agreements. Para administrar o ambiente iremos propor a apresentar uma soluo simples de gerenciamento de SLA, capaz de acompanhar o desempenho do servio e identificar parmetros que afetam o servio. O gerenciamento do SLA, conhecido como SLM Service Level Management realizado atravs do acompanhamento dos parmetros do contrato. Esse acompanhamento exige o uso de ferramentas de software que registrem a abertura de chamados na "help-desk", tempos de paralisao de equipamentos e outros eventos que tornam indisponvel o servio. Podemos considerar os parmetros bsicos para o gerenciamento do SLA, como mostrado abaixo: 1. 2. 3. 4. MTBF Tempo Mdio entre Falhas MTTR Tempo Mdio de Reparo Disponibilidade Disponibilidade Percebida

43

5. 6. 7. 8.

Documentao Performance da Help-desk Segurana Pesquisa de Satisfao dos Usurios

DISPONIBILIDADE Esse parmetro mede a disponibilidade total do servio contratado, muitas vezes considerando um perodo estendido ao horrio de trabalho regular da empresa. Na maioria das vezes os contratos de prestao de servio so para atender ao processamento de dados que opera 24 horas por dia e sete dias por semana. Em alguns casos, uma paralisao fora do horrio de trabalho da empresa pode representar um impacto menor que no horrio nobre. A frmula que calcula a disponibilidade :

DOCUMENTAO Esse parmetro mede o nvel de atualizao da documentao e o nvel de detalhamento negociado previamente. A documentao importante para garantir a rpida soluo de problemas e evitar a ruptura do servio em caso indisponibilidade dos tcnicos que operam o

44

servio no dia-a-dia. Uma das formas fazer aleatoriamente uma inspeo na documentao e medir o nmero de itens que esto atualizados.

PERFORMANCE DO HELP-DESK Esse parmetro a mdia de um conjunto de no mnimo trs outros parmetros: 1. 2. 3. Atendimento das chamadas telefnicas no 3 ou no 4 toque do telefone; Tempo de resoluo de problemas; Percentual de soluo de problemas pelo telefone;

Para medir o parmetro de atendimento das chamadas em 3 ou 4 toques necessrio um sistema telefnico especial, conhecido como DAC Distribuidor Automtico de Chamadas, que mede automaticamente a performance dos atendentes. Os outros parmetros so medidos pelo sistema que controla a abertura e fechamento dos trouble tickets.

SEGURANA Os prestadores de servios devem seguir a poltica de segurana da empresa contratante, respeitando seus critrios de segurana. Mesmo que a empresa contratada considere superdimensionados os critrios de proteo e controle. Seguindo o exemplo da documentao, cada empresa deve definir a forma de como medir esse parmetro de controle. Uma das maneiras realizar periodicamente uma inspeo nos controles e processos para avaliar se esto sendo rigorosamente seguidos pelo pessoal operacional e gerencial. Caso se identifique um desvio nos processos, um plano de ao deve ser elaborado e mensalmente avaliado seu progresso.

45

PESQUISA DE SATISFAO A pesquisa a ser submetida deve ser objetiva sem deixar margem interpretao pelos usurios. Dependendo da negociao entre as empresas as perguntas da pesquisa podem ter pesos diferenciados para melhor avaliar o nvel de servio.

CONTRATO DE MANUTENO O contrato de manuteno responsvel em gerenciar toda rea de TI da contratada, onde todo seu trabalho direcionado a empresas privadas de pequeno e mdio porte, isso abrange os seguintes itens:

MANUTENO CORRETIVA A manuteno corretiva consiste em corrigir todos e quaisquer problemas encontrados na estrutura fsica e lgica de informtica, a fim de manter a disponibilidade.

Com agilidade no atendimento, a PCM disponibilizar um tcnico qualificado para atendimento rpido aps a abertura do chamado tcnico.

Abaixo algumas das tarefas que o tcnico poder realizar: 1. 2. 3. 4. 5. 6. Manuteno de Hardware dos desktops, notebooks e servidores; Eliminao de vrus, worms, spywares, etc.; Resoluo de problemas relacionados a sistemas operacionais; Instalao de Ativos de Rede; Instalao de impressoras, no-breaks, scanners e etc.; Suporte e a funcionamento de softwares e hardwares.

MANUTENO PREVENTIVA

46

Este o ponto mais importante, pois consiste em no apenas corrigir problemas, mais evitar que eles ocorram. Este o melhor modo de reduzir custos com inatividade, pois atravs de constantes manutenes preventivas, conseguimos maior estabilidade de todo o parque de maquinas e servidores.

DESKTOPS, NOTEBOOKS E REDE A manuteno preventiva abrange todos os itens da corretiva com mais algumas tarefas: 1. 2. 3. 4. Documentao sobre parque de informtica da empresa; Elaborao de relatrios para projetos futuros; Verificao das estaes de trabalho (Hardware e Software); Suporte a problemas de funcionamento de Hardwares e Softwares.

SERVIOS DE MANUTENO DA REDE COMPREENDE-SE Reinstalao/Reconfigurao de Estaes de trabalho; Configurao lgica e fsica de placas de rede das Estaes de trabalho e Servidor; Reparos nos conectores e cabos de Rede; Troca de Equipamentos da Rede (Placas de Rede, Hub, Switch, conectores); Mapeamento/Compartilhamento de unidades e perifricos.

SERVIOS DE MANUTENO DE COMPUTADORES COMPREENDE-SE Substituio de placas defeituosas; Formatao de HD quando necessrio; Reinstalao de sistema Operacional; Remoo de Vrus; Instalao de Antivrus; Correo de Erros no Sistema Operacional

47

2. PCO - PLANO DE CONTINUIDADE OPERACIONAL o plano que define os procedimentos para o efeito dos ativos que suportam cada um dos processos de negcios, para reduzir o tempo de indisponibilidade e consequncia, a proporo dos impactos provocados pelo incidente, definio de aes a tomar no caso de queda de uma conexo com a Internet. Define procedimentos realizando reduzir o tempo de indisponibilidade (ex: acionamento de enlace backup enquanto o principal est sendo reparado).

Fazer o processo do negcio o mais rpido possvel, para assim ter uma maior garantia da continuidade do ERP, o Gestor deve ligar para a empresa conveniada do fornecimento de geradores e deixa l ciente de uma ocorrncia em aberto. Entrar em contato com a empresa que fornece energia para possveis informaes e ter um retorno da situao. No houve previso, pea a empresa de geradores que enviem outros equipamentos.

Caso contrrio, esperar at uma hora de paralisao, antes de solicitar os geradores, em quanto os geradores est a caminho, o Gestor de TI recebe os tcnicos e os orienta at o local de instalao, ligar imediatamente e conduzir a manobra de entrada da operao, at que troquem os no-breaks da estrutura de contingncia.

3. PAC - PLANO DE ADMINISTRAO DE CRISES o plano que define o funcionamento das equipes envolvidas que acionam um tipo de casualidade, antes, durante e depois do incidente, ele explica o processo que vai normalizar a empresa novamente depois do fato ocorrido. Uma forma de comunicao seria a mdia, para dar a notcia populao.

48

O responsvel pela administrao da empresa nesta casualidade, seria o Gestor de TI, na ausncia do mesmo, o funcionrio que tiver maior nvel hierrquico graduado, pode responder por esse plano.O Gestor de TI ou seu substituto.Registrar ocorrncias e determinar ao funcionrio de TI que informe o Diretor de Operaes a ocorrncia.O Gestor de TI verifica a ao do ponto, onde os geradores de emergncia contratados possivelmente ficaro operando.

49

Referncias Bibliogrficas https://hostedendpoint.spn.com/ http://www.lum.com.br/solucoes/gestao_seguranca_informacao.html http://www.cloudsecurityalliance.org/ http://www.infoworld.com/d/security-central/gartner-seven-cloud-computing-securityrisks853?page=0,0 http://www.cloudsecurityalliance.org/guidance/csaguide.pdf http://www.cloudsecurityalliance.org/topthreats.html http://csrc.nist.gov/groups/SNS/cloud-computing/index.html http://www.enisa.europa.eu/act/rm/files/deliverables/cloud-computing-riskassessment http://cloudcomputing.sys-con.com http://www.it2b.com.br/TI-Telecom/Alta-Disponibilidade-OTI/Solucoes-de-ContinuidadedezNegocios http://www.faustiniconsulting.com/artigo01.htm http://www.catho.com.br http://technet.microsoft.com/pt-br/library/hh831630.aspx http://pt.wikipedia.org/wiki/Plano_de_continuidade_de_neg%C3%B3cios#Prop.C3.B3sito_do_Pl ano_de_Continuidade_de_Neg.C3.B3cios_.28PCN.29 http://gustavocanaver.wordpress.com/tag/plano-de-administracao-de-crises/ https://hostedendpoint.spn.com/ ambiente Cloud Computing com mxima segurana utilizando produtos Symantec Cloud.