Professional Documents
Culture Documents
UNIFAI
Roteiro
Apresentao da Disciplina Contedo do Semestre Proposta de Trabalho em Grupo dos Bimestres
01/07/2012
Critrio de Avaliao
Trabalhos em Grupo Avaliao Regimental (individual e sem consulta)
Material de Estudo
Material Disponibilizado em PowerPoint (base para a avaliao)
Trazer Material Impresso para as Aulas! O material necessrio para fazer as atividades propostas nas aulas.
01/07/2012
Trabalho em Grupo
Grupos de aproximadamente 5-6 alunos Entrega: Documento Escrito + Apresentao do Trabalho (Entregar a apresentao tambm)
Documento Escrito
Descrever o contedo pesquisado com as devidas referncias bibliogrficas (O documento escrito NO a apresentao em PowerPoint!).
Apresentao Oral
Preparar apresentao em PowerPoint:
Todos os componentes devem participar Durao depender da complexidade do trabalho
01/07/2012
Trabalho em Grupo
Avaliao do Trabalho
Contedo do Trabalho Escrito Contedo da Apresentao Oral Inovao
A apresentao e entrega dos documentos escritos devero ser feitas na data combinada. Documentos em atraso no sero aceitos.
Trabalho em Grupo
Cada grupo dever constituir uma empresa imaginria. Esta empresa dever prestar servios de Consultoria em Sistemas de Informaes nas reas de:
Gerenciamento Completo de Projetos de Software (Metodologias de Processos de Produo e Qualidade de Software) Governana de Tecnologia da Informao Auditoria e Segurana de Sistemas
A empresa dever ter um cliente imaginrio. Este cliente ser uma empresa de grande porte (sugestes: Hospital, Banco, Indstria Automobilstica, Indstria Alimentcia ou Empresa de Transporte e Logstica).
Prof. Dr. Hellinton H. Takada UNIFAI
01/07/2012
Trabalho em Grupo
A empresa cliente solicita empresa de consultoria em SI um sistema de ERP (Enterprise Resource Planning) ou SIGE (Sistemas Integrados de Gesto Empresarial). A empresa de consultoria apresentar:
Levantamento de Requisitos do Sistema ERP; Proposta de Sistema ERP (com as especificaes do sistema); Documento contendo Processo de Gerenciamento para a Produo do ERP (segundo o RUP).
A empresa cliente fica satisfeita e resolve contratar novamente a empresa de consultoria, a qual dever apresentar:
Documento contendo Processo de Implantao de Governana de TI
Prof. Dr. Hellinton H. Takada UNIFAI
Trabalho em Grupo
Depois de alguns anos, a empresa cliente pede para a empresa de consultoria realizar um processo de auditoria de sistemas. A empresa de consultoria dever apresentar:
Levantamento de Vulnerabilidades Estudo de Riscos Propostas de Mecanismos de Soluo Plano de Continuidade de Negcios (BCP Business Continuity Plan)
01/07/2012
Entregas
Apresentao e Entrega Impressa de:
Documento com Plano de Negcios Resumido da Empresa de Consultoria em Sistemas de Informao Documento com Plano de Negcios Resumido da Empresa Cliente Documento com Levantamento de Requisitos do Sistema ERP Documento com Proposta de Sistema ERP (Especificaes do Sistema) Documento com Processo de Gerenciamento para a Produo do Sistema ERP seguindo a metodologia RUP
Prof. Dr. Hellinton H. Takada UNIFAI
Entregas
Apresentao e Entrega Impressa de:
Documento com Processo de Implantao de Governana de TI com base no COBIT Documento de Auditoria com Levantamento de Vulnerabilidades de Segurana de TI Documento de Auditoria com Estudo de Riscos de Segurana de TI Documento de Auditoria com Mecanismos/Solues para as Vulnerabilidades de Segurana de TI Documento com Plano de Continuidade de Negcios com foco em TI
Prof. Dr. Hellinton H. Takada UNIFAI
01/07/2012
UNIFAI
01/07/2012
Sumrio
Deve conter pelo menos o ttulo de cada seo do documento.
Sumrio Executivo
Deve conter pelo menos 2 itens:
Funo: explanao do modelo de negcios bsico com fundamentos e justificativas gerais para a estratgia que se tem em vista. Recomendaes: apresenta um sntese de todas as informaes constantes no documento visando um pblico alvo. Basicamente, deve apresentar o objetivo do Plano de Negcios.
Prof. Dr. Hellinton H. Takada UNIFAI
01/07/2012
Descrio da Empresa/Empreendimento
Descrever: histrico, estrutura organizacional, localizao, parcerias, etc.
Produtos e Servios
Descrever: produtos e servios oferecidos pela empresa e como seu ciclo de produo.
Trabalho em Grupo: O que devem conter os Planos de Negcios da Atividade? Os Planos de Negcios da Atividade devem conter basicamente:
Capa Sumrio Sumrio Executivo Planejamento Estratgico do Negcio Descrio da Empresa Produtos e Servios
Prof. Dr. Hellinton H. Takada UNIFAI
01/07/2012
UNIFAI
Sistemas de Informao
uma srie de elementos ou componentes interrelacionados que coletam, armazenam e manipulam dados, transformando-os em informaes que sero disseminadas afim de fornecer suporte tomada de deciso, coordenao, controle, anlise e visualizao em um organizao. Devem apoiar as estratgias e processos empresariais e as estruturas e cultura organizacionais para aumentar o valor dos negcios em um ambiente dinmico.
10
01/07/2012
Sistemas de Informao
Sinais de FeedBack Sinais de Controle ENTRADA DE DADOS PROCESSAMENTO E BANCO DE DADOS CONTROLE PELA ADMINISTRAO Sinais de FeedBack Sinais de Controle SADA DE INFORMAES
FRONTEIRA DO SISTEMA
Sistemas de Informao
HARDWARE SOFTWARE
BANCO DE DADOS
11
01/07/2012
Sistemas de Informao
Hardware
Conjunto de dispositivos, como: processador, monitor, teclado e impressora, que aceita dados e informaes, processa-os e os e os exibe.
Software
Grupo de programas de computador, que permite o processamento de dados no hardware.
Banco de Dados
Conjunto organizados de arquivos ou registros relacionados, que armazena dados e associaes entre eles.
Rede
Sistema de conectividade que viabiliza o compartilhamento de recursos entre computadores diferentes.
Procedimentos
Estratgias, polticas, mtodos e regras para utilizar o Sistema de Informao.
Pessoas
Componente mais importante nos Sistemas de Informao; inclui aquelas que trabalham com o prprio sistema ou usam sua sada.
Prof. Dr. Hellinton H. Takada UNIFAI
Sistemas de Informao
Um sistema de informao possui 3 grandes componentes:
humano, organizacional e computacional
Organizao = A organizao formada por departamentos, e possuem processos. Pessoas = so os usurios e os desenvolvedores Computacional = hardware e software
Prof. Dr. Hellinton H. Takada UNIFAI
12
01/07/2012
13
01/07/2012
UNIFAI
Sistemas Integrados
DATA MARTS so pequenos sistemas que so criados nas diversas reas de uma empresa: sistemas de compras, sistemas de vendas, sistemas de RH, sistemas de biblioteca, sistemas de informao contbil etc. DATA WAREHOUSE so grandes sistemas que incluem num nico banco de dados toda informao de uma empresa: vendas, compras, RH, produo, biblioteca, contabilidade etc.
Prof. Dr. Hellinton H. Takada UNIFAI
14
01/07/2012
ERP
ERP = Enterprise Resource Planning Definies:
agrega em um s sistema integrado, funcionalidades que suportam as atividades dos diversos processos de negcios de uma empresa. termo genrico para um conjunto de atividades executadas por um software com mltiplos mdulos. arquitetura de software que facilita o fluxo de informaes entre todas as atividades de uma empresa, como: fabricao, logstica, finanas, recursos humanos. composto por um Banco de Dados nico, operando em uma plataforma comum que interage com um conjunto de aplicaes. emprega tecnologia cliente/servidor. O usurio do sistema (cliente) roda uma aplicao (rotina de um mdulo do sistema) que acessa as informaes de uma base de dados nica (servidor). O BD interage com todos os aplicativos do sistema.
15
01/07/2012
ERP
Surgiram a partir da evoluo dos sistemas MRP (Material Resource Planning), que mais tarde passou a ser chamado de MRP II (Manufacturing Resource Planning Planejamento de Recursos de Manufatura). Foram criados mdulos de Recursos Humanos, distribuio e finanas, entre outros. Esse novos sistemas, capazes de suportar as necessidades de informao para todo o empreendimento, so denominados sistemas ERP. Os sistemas ERP so compostos por uma base nica e por mdulos que suportam diversas atividades das empresas.
Prof. Dr. Hellinton H. Takada UNIFAI
16
01/07/2012
BD Central
Manufatura
Gerenc. Materiais
FUNCIONRIOS
Prof. Dr. Hellinton H. Takada UNIFAI
17
01/07/2012
ERP Implantao
A deciso de implantao de um sistema ERP s deve ser tomada aps uma anlise detalhada dos processos da empresa e das funcionalidades dos sistemas ERP. Na implantao de um sistema ERP , a customizao a primeira medida a ser tomada. E inicia-se com a seleo de mdulos a serem instalados.
Prof. Dr. Hellinton H. Takada UNIFAI
ERP - Benefcios
Otimizao de fluxo de informaes; Facilidade de acesso aos dados operacionais, favorecendo a adoo de estruturas organizacionais mais achatadas e flexveis; Informaes mais consistentes, possibilitando a tomada de deciso, com base em dados, que refletem a realidade da empresa; Adoo de melhores prticas de negcio, suportadas pelas funcionalidades dos sistemas, que resultem em ganhos de produtividade e em maior velocidade de reposta da organizao.
18
01/07/2012
SCM
SCM = Supply Chain Management Gesto de Cadeia de Suprimentos. Na dcada de 70 grandes empresas adotaram softwares para gerenciar suas linhas de produo. Mudana de paradigmas:
considera que a competio no mercado ocorre nas cadeias produtivas, e no apenas ao nvel das unidades de negcios.
Objetivo do SCM atender o consumidor final mais eficientemente, tanto atravs da reduo dos custos, como atravs da adio de mais valor aos produtos finais. Reduo de custos = obtido atravs da diminuio do volume de transaes de informaes e papis, dos custos de transportes e estocagem e da diminuio da variabilidade da demanda de produtos e servios. Mais valor ao produto = tem sido obtido atravs da criao de bens e servios customizados.
Prof. Dr. Hellinton H. Takada UNIFAI
E-Business
O interesse comercial na internet s comeou em 1993, com o surgimento do www (World Wide Web) Problemas Iniciais:
segurana (medo); forma de publicidade (propaganda deve ser direcionada as reas de interesse e no ao pblico de massa como na TV e rdio); criao de site (inexperincia de designers pgina esttica, como anncio de jornal ou revista);
19
01/07/2012
E-Business
O comrcio eletrnico apresenta grande potencial para o varejo. Questes que os varejistas devem responder antes de iniciar suas operaes de comrcio eletrnico.
Como integrar o comrcio eletrnico estratgia geral da empresa? Quais os tipos de produtos a serem comercializados? Qual deve ser a definio de pblico-alvo dos negcios eletrnicos? Como desenvolver abordagens de comunicao individualizadas? Que tipos de contedo e de informao devem ser veiculados?
E-Business
Como medir os resultados e, qual deve ser a expectativa de retorno? Como lidar com a segurana nas transaes? Como garantir a privacidade dos clientes? Como criar interaes e dilogos eletrnicos fceis e ao alcance da grande populao? Como divulgar uma loja virtual? Como escolher os fornecedores de informtica, criao e comunicao para a nova mdia? Quais os cuidados com a criao e layout das interfaces com o consumidor?
Prof. Dr. Hellinton H. Takada UNIFAI
20
01/07/2012
Tipos de E-Business
B2B = business-to-business (transaes entre empresas)
Operao entre a empresas e seus fornecedores, clientes, agentes financeiros, agentes de crdito, em ambiente de internet ou Extranet controlados (EDI Eletronic Data Interchange = troca de dados, portais verticais de negcios = portais que tratam de um nico assunto, ex. portal de negcio entre GM e seus fornecedores).
Tipos de E-Business
B2C/C2B = business-to-consumer/consumer-tobusiness
Transaes entre empresas e consumidores (ex.: lojas de shoppings virtuais).
B2G/G2B = busines-to-government/governmentto-business
Transaes envolvendo empresas e governo (ex.: EDI, portais (ex.: prefeitura aceita cadastro e realiza licitaes de fornecedores, compras).
Prof. Dr. Hellinton H. Takada UNIFAI
21
01/07/2012
Tipos de E-Business
C2C = consumer-to-consumer
Transaes entre consumidores finais (ex.: sites de leiles, classificados on-line).
G2G = government-to-government
Transaes entre governo e governo.
CRM
CRM = Customer Relationship Management Gesto do relacionamento com o cliente. Ao ganhar na web mais um poderoso canal de comercializao e comunicao, o setor corporativo precisou rever alguns conceitos e se reestruturar.
Tudo mais rpido. O concorrente est distncia de um simples click no mouse. Para poder competir neste cenrio, no basta oferecer produtos e servios com melhor qualidade e preo. preciso, tambm, conhecer o consumidor, ser capaz de satisfaz-lo e no perd-lo logo a seguir, para a concorrncia. necessrio saber criar e gerenciar o relacionamento com o cliente de forma a gerar valor para a companhia.
Prof. Dr. Hellinton H. Takada UNIFAI
22
01/07/2012
CRM
Uma filosofia que envolve pessoas, processos e tecnologia visando criao de uma sistemtica para adquirir maior conhecimento sobre o cliente, ao longo de toda a vida dele e no apenas no momento em que realiza uma transao comercial com a empresa. Pode ser entendido como uma estratgia que permite empresa como um todo ter uma viso nica de seu cliente, e a partir da, saber explorar as oportunidades de negcio. necessrio saber como o cliente , seus gostos, preferncias, quantas vezes ligou, reclamaes que fez, sugestes que deu, quanto traz de valor para a empresa, etc.. E estas informaes devem ser disseminadas pela organizao para todos os setores (call center, marketing, vendas, diretoria, etc.)
Prof. Dr. Hellinton H. Takada UNIFAI
CRM
Qual a importncia de conhecer o cliente?
Estudos feitos no mercado norte americano concluram que, num prazo de 5 anos, uma companhia perde metade de seus clientes e gasta 5 vezes mais na conquista de um novo consumidor, do que na reteno do antigo. Um comprador satisfeito comenta sua compra com 5 pessoas, enquanto que um insatisfeito queixa-se da empresa com 9.
Prof. Dr. Hellinton H. Takada UNIFAI
23
01/07/2012
CRM
CRM muito mais do que um conjunto de software.
um processo contnuo que compreende uma estratgia de negcios, mudanas de cultura dentro da organizao e uso de tecnologia. No se implanta CRM de uma nica vez, nem de uma forma padro.
Prof. Dr. Hellinton H. Takada UNIFAI
CRM
CRM diferente de empresa para empresa (clientes so diferentes, empresas tambm diferem)
Ex.: Uma operadora de telecomunicaes (tem milhes de assinantes) precisa de um CRM diferente de uma companhia que produz navios.
na
empresa
com
24
01/07/2012
CRM
CRM estratgia de natureza organizacional (no pode ser conduzida por apenas um departamento) CRM deve ser visto pelos funcionrios como algo que ir contribuir para melhorar e agilizar o seu trabalho. Um dos componentes mais importantes para o sucesso da estratgia de um CRM so as pessoas.
Prof. Dr. Hellinton H. Takada UNIFAI
BI
BI = Business Intelligence So ferramentas de anlise para tomada de decises. (data warehouse, data mart, BS) O conceito de BI no recente. Fencios, persas, egpcios e outros povos do Oriente utilizavam esse princpio h milhares de anos, quando cruzavam informaes obtidas junto natureza em benefcio prprio (observar o comportamento das mars, perodos de seca e chuvas, posio dos astros, etc. Eram formas de obter informaes que eram utilizadas para tomar decises, que permitissem a melhoria de vida de suas respectivas comunidades.
Prof. Dr. Hellinton H. Takada UNIFAI
25
01/07/2012
BI
A necessidade de cruzar informaes para realizar uma gesto empresarial eficiente hoje uma realidade to verdadeira quanto no passado. Atualmente a BI vem crescendo na medida em que seu emprego possibilite s corporaes realizar uma srie de anlises e projees, de forma a agilizar os processos relacionados s tomadas de deciso. (Howard Dresner)
Prof. Dr. Hellinton H. Takada UNIFAI
BI Implantao
Fatores a serem considerados para implantao de BI:
identificao das reais necessidades da empresa (marketing, vendas e finanas) aconselhvel integrar todos os sistemas transacionais (operacionais) utilizados, antes de se iniciar a implementao de um projeto de BI. planejamento (para se evitar gastos desnecessrios)
26
01/07/2012
BI Planejamento 1
Planejamento Estratgico Corporativo = enfatiza as oportunidades , os riscos, os pontos fortes e fracos da empresa, tanto em relao ao seu ambiente interno, quanto ao externo. atravs desse procedimento que so traadas as principais metas e estratgias para alcan-las.
So utilizadas indicadores de desempenhos, como o Balanced Scorecard (BSC) BSC um sistema de gesto estratgica criado pelo Robert Kaplan e David Norton (Harvard Business School). - so sistemas que fornecem ndices de produtividade, qualidade, desempenho, etc. O BSC no se aplica para a criao de um planejamento estratgico, mas sim para possibilitar a monitorao e o acompanhamento das decises a serem tomadas, a verificao de seus resultados efetivos. BSC tem o objetivo de traduzir para os executivos, a viso estratgica da corporao, atravs de um conjunto de medidas de desempenho, organizado segundo 4 perspectivas: financeira, cliente, processos internos e aprendizado BSC cria uma linguagem para comunicar a misso e a estratgia, utilizando indicadores que iro informar os funcionrios de todos os departamentos da empresa, sobre as metas de sucesso atual e futuro.
BI Planejamento 2
Planejamento Estratgico da Informao = deve estar alinhado ao planejamento estratgico corporativo.
Requer o emprego de uma metodologia flexvel, capaz de suportar mudanas: Etapas da metodologia:
levantamento sobre a empresa e a cultura da empresa em termos de sistemas; levantamento e anlise dos sistemas existentes (verificando performance, funes, volumes de dados gerados, caractersticas dos processamentos, etc.) apurao e a avaliao da qualidade dos dados existentes; desenvolvimento de um modelo global do sistema de informao.
27
01/07/2012
Requisitos No-Funcionais
Relativos ao desempenho, segurana, qualidade, etc.
28
01/07/2012
UNIFAI
Projetos de SI
Razes para o Sucesso
Envolvimento do usurio Apoio da administrao executiva Declarao clara de requisitos Planejamento adequado Expectativas realistas
29
01/07/2012
RUP
RUP = Rational Unified Process Processo de desenvolvimento de software criado pela Rational/IBM Baseado no ciclo de vida em espiral (refinamentos sucessivos) Guia para utilizar efetivamente a UML Desenvolvimento dirigido por Casos de Uso Processo configurvel Aumento da produtividade da equipe Incentivo das boas prticas: desenvolver o software iterativamente, gerenciar requisitos, usar arquitetura baseada em componentes, modelar o software visualmente, verificar a qualidade do software, controlar as mudanas do software
RUP - Fases
30
01/07/2012
RUP - Fases
Concepo/Iniciao (Inception)
Delimitao do mbito do projeto e do business case. Identificao dos atores e casos de utilizao e descrio dos mais significativos.
Elaborao
Anlise do domnio do problema. Definio de uma arquitetura estvel e robusta para todo o sistema, tendo em considerao os seus requisitos.
Construo
Desenvolvimento iterativo e incremental do produto completo para ser entregue aos utilizadores como uma primeira verso.
Transio
Desenvolvimento adicional para ajuste do sistema s alteraes de requisitos suscitadas pela sua utilizao concreta.
Atividade:
unidade de trabalho composta de objetivos, passos, entradas/sadas, responsveis, guias e padres.
31
01/07/2012
Responsveis:
representam perfis ou papis (ex: gerente de projeto, analista, programador...)
Stakeholder:
cliente
Milestone:
ponto de controle
32
01/07/2012
33
01/07/2012
34
01/07/2012
Passo 4: Fazer breves descries de cada ator e use cases Passo 5: Criar um glossrio Passo 6: Revisar os casos de uso, baseado nas relaes do sistemas (com usurio ou outros sistemas) Passo 7: Identificar os casos de uso essenciais ou crticos
Prof. Dr. Hellinton H. Takada UNIFAI
35
01/07/2012
36
01/07/2012
37
01/07/2012
Escolha do processo: Como o software ser desenvolvido? Escolha das ferramentas a serem utilizadas
38
01/07/2012
39
01/07/2012
40
01/07/2012
41
01/07/2012
42
01/07/2012
43
01/07/2012
44
01/07/2012
45
01/07/2012
46
01/07/2012
Implementao
Base no feedback (correo de defeitos)
47
01/07/2012
48
01/07/2012
Plano de Iteraes
49
01/07/2012
Qualidade em TI AULA 6
Prof. Dr. Hellinton H. Takada
UNIFAI
50
01/07/2012
Qualidade da Informao
Dimenso: tempo
Prontido: fornecida quando necessria. Atualizao: atualizada quando fornecida. Freqncia: no nmero de vezes necessrias. Perodo: fornecida sobre perodos desejados.
Dimenso: Contedo
Preciso: isenta de erros. Relevncia: atender s necessidades do receptor. Integridade: fornecida de forma completa. Conciso: apenas a informao necessria. Amplitude: alcance e foco de acordo com a demanda. Desempenho: mensurao de atividades concludas, progresso realizado.
Dimenso: Forma
Clareza: fcil de compreender. Detalhe: no grau de detalhe desejado. Ordem: na seqncia desejada. Apresentao: narrativa, numrica, grfica, ... Mdia: impressa, eletrnica, vdeo, ...
Prof. Dr. Hellinton H. Takada UNIFAI
Sumrio
Introduo Qualidade de Software ISO/IEC Qualidade de Processo Norma ISO 9000-3 Norma ISO/IEC 12207 Qualidade de Produto Norma ISO/IEC 9126 Norma ISO/IEC 14598 Norma ISO/IEC 12119 Concluso Referncias Bibliogrficas
51
01/07/2012
Qualidade de Software
Software de qualidade fcil de usar, funciona corretamente, de fcil manuteno e mantm a integridade dos dados em falhas do ambiente ou outras fora do seu controle. Desenvolver software um esforo coletivo, complexo e criativo e sua qualidade depende das pessoas, da organizao e dos procedimentos usados em seu desenvolvimento. (Fuggetta, 2000)
Qualidade de Software
Segundo Pfleeger(1998), existem diferentes descries sobre Qualidade de Software : viso transcendental: algo que se reconhece mas no se define; viso do usurio: atingir os objetos; viso da manufatura: relacionada s caractersticas do produto; viso com base no valor: depende do valor que o cliente est disposto a pagar por ela.
Prof. Dr. Hellinton H. Takada UNIFAI
52
01/07/2012
Qualidade de Software
Qualidade do Processo
Software
Qualidade do Produto
ISO/IEC
A ISO (International Organization for Standardization) uma associao internacional no-governamental que objetiva promover o desenvolvimento de padronizao, no mundo inteiro, no sentido de facilitar o intercmbio de bens e servios entre os povos. Os padres da ISO estabelecem especificaes tcnicas, regras e critrios, e definem caractersticas para garantir que produtos, servios ou processos sejam adequados a seus propsitos. A IEC (International Electrotechnical Comission) atua juntamente com a ISO na rea da tecnologia da informao.
Prof. Dr. Hellinton H. Takada UNIFAI
53
01/07/2012
Qualidade de Processo
Uma das grandes evolues no estudo da qualidade foi a percepo de que a Qualidade do Produto importante, mas que a Qualidade do Processo de produo ainda mais. No caso, por exemplo, de uma refeio, pode se dizer mais sobre sua qualidade observando como ela foi preparada, do que analisando o produto final. Afinal, no se consegue ter certeza de sua higiene ou valor nutricional apenas saboreando-a. Atualmente, muitas instituies se preocupam em criar normas visando a adequada definio e aplicao dos processos envolvidos no ciclo de vida de um software, entre elas: ISO 9000-3, ISO/IEC 12207, CMM, SPICE, etc.
Prof. Dr. Hellinton H. Takada UNIFAI
54
01/07/2012
Processos de Apoio
Documentao Gerncia de Configurao Garantia da Qualidade Verificao Validao Reviso Conjunta Auditoria Resoluo de Problemas Adaptao
Processos Organizacionais
Gerncia Infra-Estrutura
Prof. Dr. Hellinton H. Takada UNIFAI
Melhoria
Treinamento
55
01/07/2012
56
01/07/2012
57
01/07/2012
SPICE
SPICE (Software Process Improvement and Capability dEtermination) o nome do projeto de elaborao da futura norma ISO/IEC 15504 para avaliao de processos de software que tem dois objetivos: melhorias de processos e determinao da capacidade de processos de uma organizao.
Qualidade de Produto
Pode ser entendida como um somatrio de sua qualidade externa, que deve estar explicitamente definida na especificao de requisitos do projeto, e sua qualidade interna, que so atributos geralmente acrescentados pela empresa. Os aspectos tcnicos para avaliao da qualidade do produto de software so abordados em trs normas: ISO/IEC 9126: Caractersticas de qualidade de software; ISO/IEC 14598: Guias para avaliao de produtos de software; ISO/IEC 12119: Requisitos de qualidade e testes de pacotes de software.
Prof. Dr. Hellinton H. Takada UNIFAI
58
01/07/2012
Conformidade
Prof. Dr. Hellinton H. Takada UNIFAI
59
01/07/2012
Usabilidade
fcil utilizar o software? Apreensibilidade Operacionalidade
Prof. Dr. Hellinton H. Takada UNIFAI
Analisabilidade Manutenibilidade Modificabilidade H facilidade para correes, atualizaes e alteraes? Estabilidade Testabilidade
Prof. Dr. Hellinton H. Takada UNIFAI
fcil encontrar uma falha quando ocorre? fcil modificar e remover defeitos? H grandes riscos de bugs quando se faz alteraes? fcil testar quando se faz alteraes?
60
01/07/2012
fcil adaptar a outros ambientes sem aplicar outras aes ou meios alm dos fornecidos para esta finalidade no software considerado? fcil instalar em outros ambientes? fcil substituir por outro software? Est de acordo com padres ou convenes de portabilidade?
61
01/07/2012
Requisitos de descrio do produto; Requisitos da documentao ao usurio; Requisitos dos programas e dados.
62
01/07/2012
Trabalho em Grupo:
Estabelecer um mapeamento entre as normas de qualidade e o RUP em termos fases em que eles deveriam ser aplicados. Desenvolver documento descrevendo como aplicar as normas de qualidade vistas juntamente com o RUP.
63
01/07/2012
UNIFAI
Governana de TI
Motivao:
64
01/07/2012
Governana de TI
Conceito:
Governana = Sistema de Administrao Governana Corporativa =
Para que serve? O que ? Prticas e relacionamentos entre: Otimizar o desempenho das empresas Acionistas/Cotistas Facilitar o acesso ao Conselho de administrao capital Diretoria Obter negcios de Auditoria independente qualidade, lucrativos e Conselho fiscal bem administrados
Prof. Dr. Hellinton H. Takada UNIFAI
Governana de TI
Conceito:
Governana de TI
Trata-se de um tipo de Governana Corporativa responsabilidade da Alta Administrao e consiste de estrutura organizacional, processos e lideranas para garantir que a TI sustente e auxilie as estratgias e os objetivos da organizao. Funes de TI:
Sistemas e aplicaes Infra-estrutura e produo Garantia de qualidade Segurana Compliance (Obedincia) Auditoria de sistemas
Prof. Dr. Hellinton H. Takada UNIFAI
65
01/07/2012
Governana de TI
Metodologias:
ITIL / BS15000 COBIT ISO 17799 / BS7799 MOF ...
Governana de TI
Cases:
Procter&Gamble
Adotou ITIL em 1997 Economizou US$ 500 milhes em 4 anos:
6 a 8% em corte de custos operacionais 15 a 20% em reduo de staff de tecnologia
66
01/07/2012
Governana de TI
Cases:
Estado de Kansas, USA
Usa os padres do COBIT na sua estratgia de governo virtual para reduzir custos e manter o nvel de servio consistente
Dell Computer
Usa o COBIT como parte da sua poltica corporativa Control Self-Assesment (CSA), um conjunto de controles e verificaes que ajudam a companhia a manter sua alta qualidade
Governana de TI
Cases:
ABN Amro
Iniciou ITIL em 2001 datacenter e implantao de equipamentos do banco, incluindo agncias Deve estar concludo em 2005 Centralizao do help-desk: aumento de chamados de 20.000 para 60.000 (aumentou o controle, no os chamados) Tempo de atendimento reduzido em 20% Volume de reclamaes reduzido em 80% 94% dos atendimentos completados em menos de 20 segundos
Prof. Dr. Hellinton H. Takada UNIFAI
67
01/07/2012
Governana de TI
ITIL (IT Infrastructure Library)
Criado em 1980 e transferido ao OGC (Office of Government Commerce) do governo britnico Revisado e reorganizado em 2002 Estrutura de padres e melhores prticas para gerenciar os servios e infra-estrutura de TI Altamente integrado norma BS15000 (British Standards Institutions Standard for IT Service Management)
Prof. Dr. Hellinton H. Takada UNIFAI
Governana de TI
BS15000
Integra-se ao ITIL e complementa-o BSi BS15000:2002 - IT Service Management Specification for Service Management BSi BS15000:2003 - IT Service Management Code of Practice for Service Management BSi PD0005:2003 - IT Service Management - A Managers Guide BSi PD0015:2002 - IT Service Management Self Assessment Workbook
Prof. Dr. Hellinton H. Takada UNIFAI
68
01/07/2012
Governana de TI
Outros Produtos relacionados ao ITIL
HP
HP ITSM deriva do ITIL Suportado pelo OpenView
IBM
ITM-PI deriva do ITIL Criado pela PriceWaterhouseCoopers Suportado pelo Tivoli
CA
Unicenter aderente ao ITIL
Governana de TI
ISO 17799
Origem: BS 7799 - Reino Unido NBR ISO 17799:2000 -Brasil/Internacional Definem um conjunto de boas prticas de gesto da segurana Servem de base s polticas de segurana Seus controles permitem a auditoria de segurana de informaes
Prof. Dr. Hellinton H. Takada UNIFAI
69
01/07/2012
Governana de TI
Mdulos da ISO 17799
Poltica de Segurana Organizao da Segurana Classificao e Controle de Ativos Segurana de Pessoal Segurana Fsica e Ambiental Gerenciamento de Comunicaes e Operaes Controle de Acesso Desenvolvimento e Manuteno de Software Planejamento de Continuidade de Negcios Compliance
Prof. Dr. Hellinton H. Takada UNIFAI
Governana de TI
MOF MSF e MSM
Frameworks criados pela Microsoft para gerenciamento interno e de parceiros, posteriormente estendido a clientes MOF Microsoft Operations Framework
Guia para planejamento, implementao, e manuteno de processos operacionais de TI para solues de servio de misso critica baseado no ITIL
70
01/07/2012
Governana de TI
O que o COBIT? COBIT: Control OBjectives for Information and related Technology
um guia para Gesto e Controle da Tecnologia da Informao, organizado por Processos. Foi desenvolvido pela ISACA, sendo mantido pelo IT Governance Institute. um conjunto de estruturas e processos que visam garantir que a TI suporte e maximize, adequadamente, os objetivos e estratgias de negcios da organizao.
Prof. Dr. Hellinton H. Takada UNIFAI
Governana de TI
Objetivos do COBIT
Ser um padro geralmente aceito e de aplicao das melhores prticas de governana de TI Aplicar as melhores prticas a partir de uma matriz de domnios, processos e atividades estruturados de forma lgica e gerencivel Auxiliar na associao entre os riscos do negcio, as necessidades de controle e os aspectos tecnolgicos.
Prof. Dr. Hellinton H. Takada UNIFAI
71
01/07/2012
Governana de TI
Origem do COBIT
Focado em governana, controle e auditoria de tecnologia da informao Criado e mantido pelo ISACA Information Systems Audit and Control Association A ISACA mantm o K-NET, um repositrio de conhecimento para os associados e o IT Governance Institute para difuso dos conceitos Est na 4 edio
Prof. Dr. Hellinton H. Takada UNIFAI
Governana de TI
Histrico do COBIT
COBIT 4rd Edition (2005): Melhoria dos controles para assegurar a segurana e disponibilidade dos ativos de TI na Organizao Sarbanes-Oxley Act (2002): O Sarbanes-Oxley Act foi aprovado. Este acontecimento teve um impacto significativo na adoo do COBIT nos Estados Unidos da Amrica e empresas globais que atua nos EUA COBIT 3rd Edition (2000): ITGI - IT Governance Institute incluir normas e guias associadas gesto. O ITGI passa a ser o principal editor da framework COBIT 2nd Edition (1998): Inclui uma ferramenta de suporte implementao e a especificao de objetivos de alto nvel e de detalhe COBIT 1st Edition (1996): ISACA Information Systems Audit and Control Association lana o conjunto de objetivos de controle para as aplicaes de negcio Control Objectives, editado pela EDP Auditors Foundation (em 1986/87 a E.D.P.A.A. So Paulo Chapter, atual ABAS, traduziu, publicou e distribuiu os Objetivos de Controle aos seus associados)
Prof. Dr. Hellinton H. Takada UNIFAI
72
01/07/2012
Governana de TI
Pblico-alvo do COBIT
Administradores de TI: para os auxiliar na ponderao entre riscos e investimentos em controles e na gesto de um ambiente imprevisvel como o de TI Administradores de Segurana: para os auxiliar na certificao da segurana e dos controles dos servios de TI fornecidos internamente ou por terceiros Auditores de Sistemas: para os auxiliar com subsdios s suas opinies e/ou no aconselhamento aos administradores sobre os controles internos na rea de TI
Prof. Dr. Hellinton H. Takada UNIFAI
Governana de TI
Estrutura do COBIT
COBIT
ESTRUTURA DO COBIT
DIRETRIZES GERENCIAIS
DIRETRIZES DE AUDITORIA
MODELOS DE MATURIDADE
73
01/07/2012
Governana de TI
Componentes do COBIT
Publicaes/Manuais Principais:
Executive Summary Framework Control Objectives Audit Guidelines Management Guidelines
Certificao:
CISA Certified Information Systems Auditor CISM Certified Information Security Manager
Governana de TI
Executive Summary Framework
ESTRUTURA DO COBIT
Management Guidelines
DIRETRIZES GERENCIAIS OBJETIVOS DE CONTROLE DETALHADOS DIRETRIZES DE AUDITORIA
MODELOS DE MATURIDADE
74
01/07/2012
Governana de TI
Estrutura do COBIT
4 domnios
Planejamento e Organizao Aquisio e Implementao Entrega e Suporte Monitoramento
Governana de TI
M1 M2 M3 M4 monitorar os processos avaliar a adequao do controle interno obter certificao independente providenciar auditoria independente
MONITORAO
AQUISIO E IMPLEMENTAO
DS1 definir nveis de servios DS2 gerenciar servios de terceiros DS3 gerenciar performance e capacidade DS4 garantir continuidade dos servios DS5 garantir segurana dos sistemas DS6 identificar e alocar custos DS7 educar e treinar usurios DS8 auxiliar e aconselhar usurios de TI DS9 gerenciar a configurao DS10 gerenciar problemas e incidentes DS11 gerenciar dados DS12 gerenciar instalaes DS13 gerenciar a operao
PRODUO E SUPORTE
identificar solues adquirir e manter software aplicativo adquirir e manter arquitetura tecnolgica desenvolver e manter procedimentos de TI instalar e certificar sistemas gerenciar mudanas
75
01/07/2012
Governana de TI
Viso Geral do COBIT
RECURSOS DE T I PLANEJAMENTO & ORGANIZAO AQUISIO & IMPLEMENTAO PRODUO & SUPORTE MONITORAO & CONTROLE
REQUISITOS DE NEGCIO
Governana de TI
RECURSOS DE T I
OBJETIVOS DE NEGCIO
INFORMAO
REQUISITOS DE NEGCIO
DIRETRIZES DE AUDITORIA
76
01/07/2012
Governana de TI
Viso Geral do COBIT
RECURSOS DE T I
REQUISITOS DE NEGCIO
Governana de TI
Recursos de TI do COBIT
PESSOAL: Inclui perfil funcional da equipe, formao e capacitao profissional, quadro de pessoal interno e externo, cargos, atribuies e responsabilidades SISTEMAS: So entendidos como conjuntos de processos manuais e/ou informatizados DADOS: So objetos de dados, incluindo imagens, sons etc., armazenados na forma de arquivos ou bancos de dados TECNOLOGIA: Inclui todos os recursos de hardware e software do ambiente tecnolgico INSTALAES: Inclui todas as instalaes para acolher e suportar os recursos tecnolgicos, o pessoal e os sistemas de informao
Prof. Dr. Hellinton H. Takada UNIFAI
77
01/07/2012
Governana de TI
RECURSOS DE T I
REQUISITOS DE NEGCIO
Governana de TI
QUALIDADE: os requisitos de negcio no tocante a qualidade so medidos por 7 critrios da informao, que podem ser subdivididos em 4 de confiana e 3 de segurana CONFIANA: os requisitos de negcio no tocante a confiana so medidos pelos critrios:
Eficcia, Eficincia, Confiabilidade e Conformidade
78
01/07/2012
Governana de TI
EFICCIA: Trata da informao que est sendo relevante e pertinente ao processo do negcio, bem como que esteja sendo entregue de um modo oportuno, correto, consistente e til EFICINCIA: Diz respeito proviso da informao atravs do uso timo (mais produtivo e econmico) dos recursos. Custo CONFIABILIDADE: Relaciona-se proviso de informao apropriada para a gerncia operar a entidade e para a gerncia exercer suas responsabilidades de relatar aspectos de conformidade e financeiros CONFORMIDADE: Trata do cumprimento das leis, dos regulamentos e arranjos contratuais aos quais o processo de negcio est sujeito, i.e., critrios de negcio impostos externamente
Governana de TI
Critrios da Informao: Segurana
CONFIDENCIALIDADE: Diz respeito proteo da informao sigilosa contra a revelao no autorizada INTEGRIDADE: Relaciona-se exatido e inteireza da informao bem como sua validez de acordo com os valores e expectativas do negcio DISPONIBILIDADE: Relaciona-se informao que est sendo disponibilizada quando requerida pelo processo de negcio agora e no futuro. Tambm diz respeito salvaguarda dos recursos necessrios e s capacidades associadas. Entrega
Prof. Dr. Hellinton H. Takada UNIFAI
79
01/07/2012
Governana de TI
Viso Geral do COBIT
PLANEJAMENTO & ORGANIZAO
11 Processos de T I Definir PETI Gerenciar RH Gerenciar Projetos ...
RECURSOS DE T I
REQUISITOS DE NEGCIO
Governana de TI
Domnios do COBIT
PLANEJAMENTO & ORGANIZAO: Esse domnio cobre estratgia e ttica e diz respeito identificao da maneira que a TI pode melhor contribuir para o atendimento dos objetivos do negcio. Alm do mais, a realizao da viso estratgica precisa ser planejada, comunicada e gerenciada para diferentes perspectivas. Finalmente, uma organizao apropriada bem como uma infra-estrutura tecnolgica devem ser estabelecidas AQUISIO & IMPLEMENTAO: Para concretizar a estratgia de TI, solues de TI precisam ser identificadas, desenvolvidas ou adquiridas, bem como implementadas e integradas no processo do negcio. Adicionalmente, mudanas e manutenes nos sistemas existentes esto cobertas por este domnio para assegurar que o ciclo; o de vida continue para esses sistemas
Prof. Dr. Hellinton H. Takada UNIFAI
80
01/07/2012
Governana de TI
Domnios do COBIT
PRODUO & SUPORTE: Esse domnio se preocupa com as entregas reais dos servios requeridos que abrangem as operaes tradicionais sobre aspectos de segurana e continuidade at treinamento. A fim de entregar servios, os processos necessrios de suporte devem ser estabelecidos. Esse domnio inclui o processamento real de dados pelos sistemas aplicativos, freqentemente classificados como controles de aplicaes MONITORAO & CONTROLE: Todos os processos de TI precisam ser regularmente avaliados ao longo do tempo com relao a sua qualidade e conformidade com os requisitos de controle. Esse domnio desse modo enderea o processo de controle dos descuidos da organizao por parte da gerncia e garantia independente dada por auditorias internas externas ou obtida de fontes alternativas
Prof. Dr. Hellinton H. Takada UNIFAI
Governana de TI
COBIT - Metodologia
81
01/07/2012
Governana de TI
COBIT - Metodologia
Motivos para instituir a Governana de TI
Governana de TI
COBIT - Metodologia
Beneficirios
82
01/07/2012
Governana de TI
COBIT - Metodologia
Trata-se de um modismo?
Governana de TI
COBIT - Metodologia
83
01/07/2012
Governana de TI
(Business Continuity Plan - BCP) Baseado no COBIT, ITIL, MOF Deve garantir a continuidade dos negcios (com base na operao de TI) em caso de incidentes ou mesmo desastres totais Ser usado em caso de problemas deve ser simples, fcil de entender e deve estar disponvel s pessoas certas na hora certa um compromisso entre o nvel de garantia de continuidade e uso de recursos (pessoas, equipamentos, servios)
Prof. Dr. Hellinton H. Takada UNIFAI
Governana de TI
Gerenciamento de Continuidade
(Business Continuity Management - BCM) Gerenciamento de Continuidade de Negcios (BCM) um processo contnuo de avaliao de risco e gerenciamento com o objetivo de garantir que a operao do negcio continuar se os riscos se materializarem O centro o BCP - Plano de Continuidade de Negcios Deve envolver todos os interessados
Prof. Dr. Hellinton H. Takada UNIFAI
84
01/07/2012
Governana de TI
ITIL forte em processos de TI, mas limitado em segurana e desenvolvimento de sistemas COBIT - forte em controles de TI e mtricas de TI, mas no diz como (fluxos de processos) e fraco em segurana ISO17799 forte em controles de segurana, mas no diz como (fluxo de processos)
Trabalho em Grupo:
Desenvolver documento com Processo de Implantao (Diretrizes) de Governana de TI com base no COBIT para a Empresa Cliente em estudo. A seguir apresenta-se um roteiro que dever ser seguido...
85
01/07/2012
COBIT Roteiro
O CobIT identifica 34 processos de TI e os distribui em 4 domnios que representam os agrupamentos usuais existentes em uma organizaopadro de TI. Os processos representam objetivos de controle e so declaraes do resultado desejado ou do propsito a ser alcanado: 1. Planejamento e Organizao (PO) Identifica as formas em que a TI melhor contribui para atender aos objetivos de negcio. Envolve planejamento, comunicao e gerenciamento.
Processos Define o plano estratgico de TI. Define a arquitetura da informao. Determina a direo tecnolgica. Define a organizao de TI e seus relacionamentos. Gerencia os investimentos em TI. Gerencia a comunicao das direes de TI. Gerencia os recursos humanos. Assegura o alinhamento de TI com os reguladores externos. Avalia os riscos. Gerencia os projetos. Gerencia a qualidade.
Prof. Dr. Hellinton H. Takada UNIFAI
COBIT Roteiro
2. Aquisio e Implementao (AI) Identifica desenvolvimento e/ou aquisio de solues de TI para executar a estratgia de TI estabelecida.
Processos Identifica as solues de automao. Adquire e mantm os softwares. Adquire e mantm a infra-estrutura tecnolgica. Desenvolve e mantm os procedimentos. Instala e certifica os softwares. Gerencia as mudanas
86
01/07/2012
COBIT Roteiro
3. Entrega e Suporte (DS) Entrega dos servios requeridos, inclui gerenciamento de segurana, suporte a usurios, gesto de dados e infra-estrutura operacional.
Processos Define e mantm os acordos de nveis de servio (SLA). Gerencia os servios de terceiros. Gerencia o desempenho e capacidade do ambiente. Assegura a continuidade dos servios. Assegura a segurana dos servios. Identifica e aloca custos. Treina os usurios. Assiste e aconselha os usurios. Gerencia a configurao. Gerencia os problemas e incidentes. Gerencia os dados. Gerencia a infra-estrutura. Gerencia as operaes.
Prof. Dr. Hellinton H. Takada UNIFAI
COBIT Roteiro
4. Monitorao e Avaliao (ME) Assegura a qualidade dos processos de TI e sua conformidade com os objetivos de controle. Usa mecanismos regulares de acompanhamento, monitorao de controles internos, avaliaes internas e externas.
Processos: Monitora os processos. Analisa a adequao dos controles internos. Prov auditorias independentes. Prov segurana independente.
87
01/07/2012
Auditoria de SI AULA 8
Prof. Dr. Hellinton H. Takada
UNIFAI
Auditoria de Sistemas de Informao: Conceitos, objetivos, evoluo, importncia para os negcios, organizao, controle interno, Auditor, tendncias
UNIFAI
88
01/07/2012
Auditoria - Evoluo
Registros de origem babilnica de 3000 a.C Origem: Inglaterra por volta de 1314 (do ingls Audit and Auditor) Relacionada com a evoluo da auditoria de contabilidade e da auditoria tributria No Brasil a evoluo da Auditoria uma atividade recente com amplo crescimento no cenrio nacional, isso se deve :
Instalao de multinacionais Financiamento de empresas brasileiras atravs de entidades internacionais Crescimento das empresas brasileiras: necessidade de descentralizao e diversificao de suas atividades econmicas Normas de auditoria do Banco Central do Brasil em 1972
Prof. Dr. Hellinton H. Takada UNIFAI
Necessidade de garantir a segurana dos computadores e seus sistemas Garantia do alcance da qualidade dos sistemas computadorizados Auxiliar a organizao a avaliar e validar o ciclo administrativo Prof. Dr. Hellinton H. Takada
UNIFAI
89
01/07/2012
Conceitos - 2/2
Validao e avaliao do controle interno do ambiente computadorizado Auditoria significa verificar o uso eficaz de todos os recursos disponveis (recursos humanos, materiais e tecnolgicos)
Alguns pontos identificados podem estar em descordo com as normas e necessitar de aes de correo que podero desagradar algumas pessoas. Por isso fala-se de Auditoria como um meio de "caa s bruxas".
Prof. Dr. Hellinton H. Takada UNIFAI
90
01/07/2012
Objetivos
Verificar a existncia de medidas de controle interno aplicveis a qualquer SI da instituio Avaliar a adequao do SI s diretrizes bsicas de uma boa gesto de informtica Oferecer uma descrio do SI com base nas suas especificaes funcionais e nos resultados que proporciona Verificar se o SI cumpre a legislao Verificar se a informao gerada pelo SI confivel, ntegra e precisa Determinar se o SI atinge os objetivos de forma eficaz e eficiente Propor recomendaes para que o SI se adapte s diretrizes essenciais para o seu bom funcionamento
Prof. Dr. Hellinton H. Takada UNIFAI
Tipos 1/2
Quanto ao objetivo
Auditorias com objetivos de confirmao focam a salvaguarda dos bens e a integridade da informao Auditorias com objetivos de gesto focam a eficcia e eficincia do SI
Quanto amplitude
Geral obter viso geral da entidade auditada Parcial examinar um ou vrios setores, atividades, processos.
Prof. Dr. Hellinton H. Takada UNIFAI
91
01/07/2012
Tipos 2/2
Quanto periodicidade
Permanentes realizadas diversas vezes ao longo de um perodo Ocasionais ou nicas realizada ante a um imprevisto, ocasio especial De fim de exerccio examinar os documentos de prestao de contas
reas de abrangncia
Abrange todas as reas de um departamento de TI: Sistemas em processamento batch Sistemas em processamento on-line Desenvolvimento de sistemas Desempenho dos sistemas Capacidade dos sistemas Sistemas financeiros Distribuio dos custos Coordenao de problemas Coordenao de mudanas Recuperao de desastre Rede de telecomunicao Segurana de informao Centro de computao Microcomputador
92
01/07/2012
Controle Interno
uma funo administrativa que consiste no monitoramento de processos (normas e eventos), no seu planejamento, execuo e controle. Objetivo verificar a conformidade dos padres estabelecidos e detectar situaes de alarme que requeiram uma ao avaliativa detalhada e profunda. Na Auditoria de Sistemas dado nfase no controle interno dos processos computacionais e na administrao da TI para certificar a qualidade dos sistemas e dos processos.
Controle Interno
Verificao dos seguintes parmetros: 1. Fidelidade da informao em relao ao dado 2. Segurana fsica 3. Segurana lgica 4. Confidencialidade 5. Legislao 6. Eficincia 7. Eficcia 8. Obedincia s polticas da alta administrao
AICPA American Institute of Certified Public Accountants
http://www.aicpa.org/
Prof. Dr. Hellinton H. Takada UNIFAI
93
01/07/2012
Auditor - Perfil
Pessoa ou departamento que foi designado pela alta administrao para examinar a eficcia dos sistemas de informao e apontar os pontos falhos. Caractersticas
tica profissional Conhecimento multidisciplinar em TI, controle interno e negcios
operao, produo, infra-estrutura a anlise de sistemas
Discrio Objetividade Raciocnio lgico Independente das reas para elaborao de relatrios Possuir organizao e planejamento
Auditor - Perfil
Auditar um micro independente requer muito menos tecnologia do que auditar uma rede de computadores Auditar uma rede com mainframe seria necessrio conhecer:
O funcionamento de um complexo sistema operacional, como as caractersticas de gerao de logs, aspectos de segurana A mecnica operacional do gerenciamento de rede e do banco de dados A estrutura de sistemas aplicativos altamente integrados e de processamento instantneo, com elevado nmero de operaes e dados processados
Prof. Dr. Hellinton H. Takada UNIFAI
94
01/07/2012
95
01/07/2012
Auditor - Formao
Conceituao de auditoria de sistemas Controle interno Atuao da auditoria de sistemas em sistemas em operao, em desenvolvimento, de Centro de Computao, etc. Produtos finais da auditoria de computador Mecnica de implantao das recomendaes da auditoria Postura do auditado durante a atuao de auditoria de computador
Prof. Dr. Hellinton H. Takada UNIFAI
Diretoria Administrativa
Diretoria Financeira
Diretoria de Vendas
Diretoria de Informtica
96
01/07/2012
97
01/07/2012
Dificuldades
Defasagem tecnolgica da auditoria de sistemas em relao ao ambiente informatizado. Falta de profissionais no mercado Falta de cultura das empresas Tecnologia em constante movimentao
Desenvolvimento de comrcio eletrnico Aumento do nmero de transaes dirias Diminuio da interveno humana no processamento Evidncia pela validao cada vez menos possvel Novos aspectos da segurana e avaliao de riscos Novos modelos de desenvolvimento de software CMM/CMMI Gerncia de projetos PMI/PMBOK
Prof. Dr. Hellinton H. Takada UNIFAI
Necessidades
Fortalecimento das tcnicas de auditoria de sistemas para atuao em ambientes computacionais complexos Criao de metodologias de auditoria de sistemas Aplicao da tecnologia computacional para instrumental operacional de trabalho e como ferramenta de administrao das atividades das auditorias Estudo do custo/benefcio de auditoria de sistemas Critrios para formao e atuao do auditor de Prof. Dr. Hellinton H. Takada sistemas UNIFAI
98
01/07/2012
Stios
http://www.isaca.org.br http://www.ibracon.com.br http://www.ibracon.com.br/empresas.asp http://www.auditoriainterna.com.br/conceit os.htm#codigo
99
01/07/2012
Pontos de controle, anlise de risco, mtodos de auditoria, documentao gerada, metodologia de auditoria, tcnicas de avaliao de sistemas, ferramentas de auditoria
UNIFAI
Auditoria de SI - Conceitos
Validao e avaliao do controle interno do ambiente computadorizado Auditoria significa verificar o uso eficaz de todos os recursos disponveis (recursos humanos, materiais e tecnolgicos)
100
01/07/2012
Controle Interno
uma funo administrativa que consiste no monitoramento de processos (normas e eventos), no seu planejamento, execuo e controle. Objetivo: verificar a conformidade dos padres estabelecidos e detectar situaes de alarme que requeiram uma ao avaliativa, detalhada e profunda. Na Auditoria de Sistemas dado nfase ao controle interno dos processos computacionais e na administrao de TI para certificar a qualidade dos sistemas e dos processos.
Controle Interno
Verificao dos seguintes parmetros: 1. Fidelidade da informao em relao ao dado 2. Segurana fsica 3. Segurana lgica 4. Confidencialidade 5. Legislao 6. Eficincia 7. Eficcia 8. Obedincia s polticas da alta administrao
AICPA American Institute of Certified Public Accountants
http://www.aicpa.org/
Prof. Dr. Hellinton H. Takada UNIFAI
101
01/07/2012
Fase de Produo
Fidelidade da informao em relao ao dado Segurana fsica e lgica Confidencialidade Obedincia legislao Eficincia e Eficcia Obedincia s polticas
Fase de Produo
Reviso Avaliao Realimentao do processo
102
01/07/2012
Pontos de Controle
uma situao caracterizada como de interesse para validao e avaliao segundo parmetros de Controle Interno.
Processo rotinas operacionais e de controle, etapas do desenvolvimento de SI e de manuteno, procedimentos administrativos. Resultado documentos, relatrios, arquivos, estrutura fsica e lgica do sistema. Ex:
Aplicativos mdulo de um sistema Banco de dados tabela de um banco de dados (arquivo) Rede mensagens trafegadas na rede via software de comunicao Equipamentos Aes dos Usurios Atividades do S.O. e antivirus
Prof. Dr. Hellinton H. Takada UNIFAI
Fim N S
2) Avaliar Ponto de Controle
S
Fraqueza?
3) Ponto de Auditoria
103
01/07/2012
Anlise de Risco
Determinar as ameaas
Eventos futuros no desejveis e incertos Resultam em perdas
Exemplo de uma matriz que classifica os pontos de controle de acordo com critrios de probabilidade e efeitos do risco:
Riscos Componentes de SW com defeito Banco de dados no suporta quantidade de dados Tempo subestimado para o desenvolvimento
Prof. Dr. Hellinton H. Takada UNIFAI
Metodologia de Auditoria
1) Planejamento e controle do projeto de Auditoria de SI 2) Levantamento do sistema a ser auditado 3) Identificao e inventrio dos pontos de controle 4) Priorizao e seleo dos pontos de controle 5) Aplicao de tcnicas de auditoria para avaliao dos pontos de controle 6) Relatrio de auditoria 7) Acompanhamento da auditoria
104
01/07/2012
Documentao Gerada
Relatrios de Fraquezas de Controle Interno
Objetivos do projeto de auditoria Trabalhos realizados Pontos de controle auditados Concluso sobre cada ponto de controle Para pontos de controle que apresentaram fraquezas deve constar:
Nome e descrio sucinta do ponto de controle Problemas detectados Impactos Recomendaes
1) Softwares de auditoria 2) Questionrio 3) Simulao de dados (test-deck) 4) Visita in loco 5) Mapeamento estatstico 6) Rastreamento de programas (tracing) 7) Entrevista 8) Anlise relatrio / tela 9) Simulao paralela 10) Anlise de log 11) Anlise de programa fonte 12) Snapshot
Prof. Dr. Hellinton H. Takada UNIFAI
105
01/07/2012
2) Questionrios de auditoria
Verifica a adequao do ponto de controle aos parmetros de controle interno (segurana fsica, lgica, eficcia, eficincia, etc.) Os questionrios registram situaes que propiciam ao auditor conhecer: plano diretor de informtica; ambiente de banco de dados; segurana lgica.
106
01/07/2012
Permite detectar:
Relatrios e telas no mais utilizados Layout inadequado Distribuio indevida de vias Confidencialidade no respeitada Prof. Dr. Hellinton H. Takada UNIFAI
107
01/07/2012
12) Snapshot
Tcnica que fornece uma listagem ou gravao do contedo do programa (acumuladores, chaves, reas de armazenamento), quando determinado registro est sendo processado (dump parcial de memria). Necessita confeco de um software especfico para leitura das informaes
Prof. Dr. Hellinton H. Takada UNIFAI
Desvantagens:
Como o processamento das aplicaes envolve gravao de dados (arquivos) em separado para serem analisados, deve ser utilizado com cuidado em ambiente on-line O software no consegue processar clculos complexos, pois como se trata de um sistema generalista, no aprofunda na lgica e na matemtica muito complexas
Prof. Dr. Hellinton H. Takada UNIFAI
108
01/07/2012
Audimation
verso norte-americana do IDEA, da Caseware-IDEA
Galileo
software integrado de gesto de auditoria. Inclui gesto de riscos de auditoria, documentao e emisso de relatrios para auditoria interna
Pentana
software de planejamento estratgico da auditoria, sistema de planejamento e monitoramento de recursos, controle de horas, registro de checklists e programas de auditoria, inclusive de desenho e gerenciamento de plano de ao
Prof. Dr. Hellinton H. Takada UNIFAI
Desvantagens:
Pode ser muito caro, pois ter uso limitado e normalmente restrito a determinado cliente Atualizao pode ser complicada devido a falta de recursos que acompanhem as novas tecnologias.
Prof. Dr. Hellinton H. Takada UNIFAI
109
01/07/2012
Vantagem:
Pode ser utilizado como alternativa na ausncia de outros recursos
Desvantagem:
Pode necessitar do auxlio do funcionrio da empresa auditada para operar a ferramenta (no caso de ferramentas complexas)
Stios
http://www.auditsafe.com.br http://www.isaca.org; http://www.isaca.org.br http://www.issabrasil.org http://www.ibpbrasil.com.br
110
01/07/2012
UNIFAI
111
01/07/2012
112
01/07/2012
Aumento de complexidade
Volumes crescentes de servidores, dados, interligaes, sistemas, plataformas, bancos de dados
113
01/07/2012
Falhas
Desastres (incndio, desabamento, terremoto, inundao, furaces, raios) Greves e paralizaes (transporte, sindicato) Colapso da rede eltrica, gua, ar-condicionado, nobreak, gerador Indisponibilidade de linhas de comunicao, geradores, mal funcionamento dos equipamentos Perda de arquivos, configuraes erradas, vrus de computador Sabotagem.
Prof. Dr. Hellinton H. Takada UNIFAI
Impactos de um desastre
Curto prazo
Paralisao e transtorno das atividades Perda de equipamentos Destruio de instalaes Perda de receita Sanes e multas por no atendimento a requerimentos regulatrios
114
01/07/2012
115
01/07/2012
6 Testes
O plano de contingncia deve ser testado para treinar as pessoas envolvidas e avaliar os procedimentos e resultados.
Nvel de Criticidade
Sistemas e servios so classificados de acordo com o seu nvel de criticidade:
Nvel de Criticidade
Nvel I - Baixa
Quando utilizar
Sistema ou Servio cuja interrupo no afeta outros sistemas ou servios e pode ser acionada uma contingncia manual. Sistema ou Servio cuja interrupo afeta outros sistemas ou servios e pode ser acionada uma contingncia manual. Sistema ou Servio cuja interrupo afeta outros sistemas ou servios, atingindo alguns setores da empresa. Sistema ou Servio cuja interrupo afeta toda empresa causando interrupo de muitos servios, perdas financeiras, de negcios e de imagem.
Prof. Dr. Hellinton H. Takada UNIFAI
Tempo de recuperao
Maior 24h
Nvel II Moderada
24h
12h
3h
116
01/07/2012
Equipes de contingncia
Pessoas com responsabilidades de avaliar, documentar, relatar e atuar sempre que forem convocadas Quem faz o que, quando e como Organizao na recuperao Listas de acionamento
Planos de contingncia
Plano de Administrao de Crise Plano de Continuidade Operacional Plano de Recuperao de Desastres
117
01/07/2012
118
01/07/2012
Aspectos importantes
Outros aspectos importantes
Preveno de Acidentes
Controles de acesso Poltica de pessoal adequada Manuteno preventiva de equipamentos Equipamentos de deteco e extino de fogo e treinamento de pessoal Campanha de conscientizao dos funcionrios quanto segurana de recursos materiais e informaes
Prof. Dr. Hellinton H. Takada UNIFAI
119
01/07/2012
Aspectos importantes
Backup
Polticas de backup, validao, duas cpias armazendas em lugares diferentes, armazenagem
Procedimentos manuais (para alguns servios) Seguros e contratos de manuteno Estratgias de contingncia
Uso de equipamentos do fornecedor do hardware Hospedagem em datacenter Hot site Cold site
Equipes de contingncia
Prof. Dr. Hellinton H. Takada UNIFAI
Solues
Rotinas de Backup Configurao RAID em servidores espelhamento e redundncia Redundncia de links de internet Redundncia de infra-estrutura de redes e telefonia Manter equipamentos reservas, em caso de falhas (Computadores, Equipamentos de Rede) Servidores com alta disponibilidade (hardware e software) No-breaks Equipamentos Anti-incndio na sala dos servidores Monitoramento e controle de acesso sala dos servidores Backup-site em caso de um desastre Softwares de monitoramento Cofre anti-incndio para armazenar mdias de backup
Prof. Dr. Hellinton H. Takada UNIFAI
120
01/07/2012
Auditoria do PCN
O auditor deve analisar os planos existentes como parte da auditoria de segurana de informaes. As fragilidades e as deficincias detectadas devem estar no relatrio de auditoria. Entre os objetivos de avaliao do PCN pela Auditoria esto:
O PCN possui o aval da diretoria? Os recursos crticos e suas prioridades foram identificados? H planos desenvolvidos que contemplem todas as necessidades de contingncias? Os planos so suficientemente abrangentes para cobrir aspectos fsicos, lgicos, redes, pessoas? A equipe de contingncia est preparada para eventualidades? Os planos so testados e atualizados periodicamente? Existem procedimentos para diferentes graus e extenso de desastre?
Prof. Dr. Hellinton H. Takada UNIFAI
ISO/IEC 17799
Um processo de gerenciamento de continuidade deve ser implementado para reduzir os distrbios causados por desastres e falhas de segurana (...). Planos de contingncia devem ser desenvolvidos e implementados para assegurar que os processos de negcios possam ser restaurados dentro de escalas de tempo aceitveis. Esses planos precisam ser mantidos e praticados, de ordem a se tornarem parte integral de todos os demais processos de gerenciamento.
(Gerenciamento de Continuidade dos Negcios, International Standard ISO/IEC 17799, Chapter 11, 2000(E) )
Prof. Dr. Hellinton H. Takada UNIFAI
121
01/07/2012
Disponibilidade do Servio
Percentual do tempo em que o servio ficou em operao. Disponibilidade = 1- Indisponibilidade
Considere um servio que necessita 24h 7d por semana Se o servio ficou fora de operao por um dia a indisponibilidade anual de 1/365 = 0,27% A Disponibilidade 99,73%.
Disponibilidade Tempo indisponvel a (%) em um ano 99,9999999 99,999999 99,99999 99,9999 99,999 99,99 99,9 99,0
Prof. Dr. Hellinton H. Takada UNIFAI
90
Controle de Mudanas
UNIFAI
122
01/07/2012
Controle de Mudanas
Todas as alteraes devem ser autorizadas, documentadas e testadas Processo de mudanas
Garantir que a transio ocorra de forma tranqila Minimizar riscos Detectar fraudes
Prof. Dr. Hellinton H. Takada UNIFAI
123
01/07/2012
124
01/07/2012
Mudanas de Emergncia
Devem ser implementadas rapidamente Complementar os passos que foram pulados do procedimento ordinrio
125
01/07/2012
Lista de Verificaes
Documentar todas as modificaes e implementar somente se aprovadas pela gerncia Avaliar o impacto das mudanas antes de implementlas e o efeito de no implement-las Definir os recursos necessrios Preparar plano para voltar ao status inicial Impedir nova alterao aps os testes e a aprovao Planejar a execuo com o mnimo de impacto aos clientes Registrar as atividades da mudana
Controle de Verso
Garantir
Utilizao da verso correta de software Transaes sejam processadas pela verso correta Histrico de verses Controlar ambiente com vrios programadores
Softwares:
CVS, ClearCase, SourceSafe
126
01/07/2012
Trabalho em Grupo:
Elaborar para a empresa em estudo:
Plano de Continuidade de Negcios Plano de Contingncia Documento de Controle de Mudanas
Segurana de SI AULA 9
Prof. Dr. Hellinton H. Takada
UNIFAI
127
01/07/2012
Introduo
Informao como Ativo Os Pilares da Segurana O papel do usurio na segurana Norma ABNT NBR ISO-IEC 17799 Direito Autoral O Impacto da Pirataria
128
01/07/2012
Os Pilares da Segurana
129
01/07/2012
UNIFAI
130
01/07/2012
131
01/07/2012
Processamento e tratamento de informao. Interdependncias com outros sistemas. Instrues para tratamento de erros. Contato com os tcnicos do suporte para o caso de eventos operacionais no esperados ou dificuldades tcnicas. Procedimento para o reincio e recuperao para o caso de falha do sistema.
Prof. Dr. Hellinton H. Takada UNIFAI
132
01/07/2012
133
01/07/2012
2) Controle de Acesso
Objetivo: Controlar o acesso informao. Convm que o acesso informao e processos do negcio sejam controlado na base dos requisitos de segurana e do negcio.
134
01/07/2012
135
01/07/2012
136
01/07/2012
137
01/07/2012
2.4) Autenticao de n
Convm que as conexes a sistemas remotos de computadores sejam autenticadas. A autenticao de n pode servir como um meio alternativo de autenticao de grupos de usurios remotos, onde eles so conectados a um recurso computacional seguro e compartilhado
Prof. Dr. Hellinton H. Takada UNIFAI
138
01/07/2012
139
01/07/2012
140
01/07/2012
Direito Autoral
UNIFAI
141
01/07/2012
Direito Autoral
Lei 9.609/98: Dispe sobre a propriedade intelectual de programa de computador Lei 9.610/98: Dispe sobre direitos autorais Pena de deteno de 6 meses a 4 anos Multa de 3000 vezes o valor do software
142
01/07/2012
Impacto da Pirataria
Para a empresa
Prejuzo financeiro (multa) Prejuzo imagem Softwares com vrus Softwares sem suporte do fabricante
Para o funcionrio
Prejuzo legal (deteno) Demisso
143
01/07/2012
UNIFAI
Tcnicas de Auditoria
Para execuo de trabalhos h necessidade de conhecimento da tecnologia de computao e da forma como aplic-la; As tcnicas so aplicadas tanto a nvel de anlise de sistemas quanto de programao;
As tcnicas devero levar em considerao:
parmetro de CI a ser atendido; momento da aplicao da tcnica; ambiente tecnolgico de computao vivenciado.
144
01/07/2012
Tcnicas de Auditoria
Tcnicas de Auditoria de Computadores:
Programa de computador; Questionrios; Simulao de dados (test-deck); Mapeamento estatstico (mapping); Visita in loco; Rastreamento (tracing); Entrevista; Anlise de relatrios/telas; Simulao paralela; Anlise log/accounting; Anlise do programa fonte; Exibio parcial da memria snapshot.
Prof. Dr. Hellinton H. Takada UNIFAI
Programa de Computador
Programa de computador para auditoria
Correlaciona arquivos, tabula e analisa o contedo dos mesmos; usado em arquivos seqenciais, indexados seqenciais ou banco de dados; Tanto em computadores de grande porte quanto em microcomputadores; Pode ser construdo pelo auditor via conhecimento de uma linguagem de programao; A utilizao de programas utilitrios e a aquisio de pacotes prontos, comercializados no mercado, tambm so opes para aplicao da tcnica.
Prof. Dr. Hellinton H. Takada UNIFAI
145
01/07/2012
Programa de Computador
Opes para aplicao da tcnica:
tabulao de campos
somatrio de datas de vencimento de ttulos gerando um hash-total que dever ser confrontado com o campo correspondente gravado no registro trailer, ou monitorado fora do sistema aplicativo pelo auditor; somatrio dos campos de valores quantitativos para efeito de confrontao ou acompanhamento de acumuladores anlogos.
contagem de campos/registros
apurao de totais por tipo de registro ou campo.
Programa de Computador
correlao de arquivos
confronto de campos entre registros com vistas garantia de ambos os arquivos.
146
01/07/2012
Programa de Computador
elaborao do(s) programa(s) de computador para auditoria em uma linguagem de programao ou preparao de parmetros para uso de programas utilitrios ou de softwares de auditoria; Anlise do LOG/ACCOUNTING de utilizao do computador; Aplicao do programa de computador para auditoria sobre o(s) arquivo(s) no ambiente do micro da auditoria interna; Anlise dos resultados da auditoria do arquivo efetuada, via leitura dos relatrios obtidos ou acesso via terminal ao arquivo com os resultados da auditoria; Emisso de opinio com a elaborao do relatrio de auditoria, acerca das fraquezas identificadas; Documentao de todo o processo de auditagem com a elaborao de pastas de auditoria consolidando os papis de trabalho.
Prof. Dr. Hellinton H. Takada UNIFAI
Programa de Computador
No encontrar fraquezas nos dados dos arquivos no significa que, os processos geradores destes arquivos, estejam totalmente corretos, mas que no processamento que gerou os dados sob auditoria no ocorreram situaes de erro.
147
01/07/2012
148
01/07/2012
149
01/07/2012
Elaborao dos formulrios de controle de teste; Transcrio dos dados de teste para um meio aceito pelo computador. Obs.: uma opo do AS copiar partes do arquivo real de entrada no programa e fazer, via programa de computador, as alteraes desejadas para alimentao da simulao de dados necessria. A simulao de dados deve testar o programa sob auditoria na prpria CPU e com o mesmo sistema operacional do computador onde processado.
Visita In Loco
Corresponde atuao pessoal do auditor junto a sistemas, procedimentos e instalaes do ambiente computadorizado; Procedimentos: Marcar data e hora com o responsvel que ir acompanhar as verificaes, ou convoc-lo no momento da verificao, caso seja surpresa; Anotar procedimentos e acontecimentos; Coletar documentos; Anotar nomes completos das pessoas e data e hora das visitas realizadas; Analisar os papis de trabalho obtidos, avaliar respostas e a situao identificada; Emitir opinio via relatrio de fraqueza de CI (Controle Interno).
Prof. Dr. Hellinton H. Takada UNIFAI
150
01/07/2012
151
01/07/2012
Elaborao de uma ata de reunio com o registro dos principais pontos discutidos a cada questo apresentada;
distribuir cpia da ata da reunio para cada participante de entrevista;
Anlise das respostas e formao de opinio acerca do nvel de CI do PC; Emisso do relatrio de fraqueza de CI.
Prof. Dr. Hellinton H. Takada UNIFAI
152
01/07/2012
Anlise de Relatrios/Telas
Implica a anlise de documentos, relatrios e telas do sistema sob auditoria: Realizar as entrevistas e anotar as observaes e comentrios dos usurios; Analisar as entrevistas e anotar as observaes e comentrios dos usurios; Analisar as respostas, formar e emitir opinio acerca do nvel de CI.
Prof. Dr. Hellinton H. Takada UNIFAI
Simulao Paralela
Elaborao de um sistema para simular as funes de rotina do sistema sob auditoria; Esta tcnica utiliza-se dos dados rotineiros alimentados rotina do sistema sob auditoria como entrada para o programa desenvolvido pelo auditor. Na simulao paralela simulamos o programa e submetemos os mesmos dados que foram alimentados ao programa em processamento normal, diferente do test-deck. Aplicao
Elaborao de um sistema com a lgica da rotina a ser auditada; Compilao e teste do sistema; Preparao do ambiente de computao para processamento do sistema elaborado pelo auditor.
Prof. Dr. Hellinton H. Takada UNIFAI
153
01/07/2012
Anlise do Log/Accounting
O auditor dever usufruir de um sistema de auditoria de Log/Accounting, caso inexistente, adquirir ou construir; Este sistema trabalhar registros de:
contabilizao quais usurios utilizam quais programas e por quanto tempo; tempo de CPU por dia; tempo de uso de unidades de entrada e sada; quantidade de vezes de utilizao de unidades de entrada e sada; tempo de utilizao; quantidade de cancelamentos efetuados pelo operador;
154
01/07/2012
Snapshot
Tcnica que fornece uma listagem ou gravao do contedo das variveis do programa (acumuladores, chaves, reas de armazenamento) quando determinado registro est sendo processado; uma tcnica usada como auxlio depurao de programas, quando h problemas que realmente exige fortes conhecimentos de PED.
Prof. Dr. Hellinton H. Takada UNIFAI
Trabalho em Grupo:
Elaborar:
Documento de Auditoria com Levantamento de Vulnerabilidades de Segurana de TI Documento de Auditoria com Estudo de Riscos de Segurana de TI Documento de Auditoria com Mecanismos/Solues para as Vulnerabilidades de Segurana de TI (Seguindo as orientaes passadas pelo professor em aula!)
155