Adm de Si II - 1sem2013

01/07/2012
Aula Introdutria: Administrao de Sistemas de Informao II AULA 1
Prof. Dr. Hellinton H. Takada
UNIFAI
Roteiro
Apresentao da Disciplina Contedo do Semestre Proposta de Trabalho em Grupo dos Bimestres
Prof. Dr. Hellinton H. Takada UNIFAI
01/07/2012
Critrio de Avaliao
Trabalhos em Grupo Avaliao Regimental (individual e sem consulta)
Material de Estudo
Material Disponibilizado em PowerPoint (base para a avaliao)
Trazer Material Impresso para as Aulas! O material necessrio para fazer as atividades propostas nas aulas.
Livros listados na ementa do curso
01/07/2012
Tpicos Principais do Semestre

Administrao de Sistemas de Informao Metodologias de Projetos de Software (RUP Rational Unified Process) Governana de TI (ITIL e COBIT) Normas de Segurana de Sistemas Normas de Qualidade de Software Auditoria de Sistemas
Trabalho em Grupo
Grupos de aproximadamente 5-6 alunos Entrega: Documento Escrito + Apresentao do Trabalho (Entregar a apresentao tambm)
Documento Escrito
Descrever o contedo pesquisado com as devidas referncias bibliogrficas (O documento escrito NO a apresentao em PowerPoint!).
Apresentao Oral
Preparar apresentao em PowerPoint:
Todos os componentes devem participar Durao depender da complexidade do trabalho
01/07/2012
Trabalho em Grupo
Avaliao do Trabalho
Contedo do Trabalho Escrito Contedo da Apresentao Oral Inovao
A apresentao e entrega dos documentos escritos devero ser feitas na data combinada. Documentos em atraso no sero aceitos.
Trabalho em Grupo
Cada grupo dever constituir uma empresa imaginria. Esta empresa dever prestar servios de Consultoria em Sistemas de Informaes nas reas de:
Gerenciamento Completo de Projetos de Software (Metodologias de Processos de Produo e Qualidade de Software) Governana de Tecnologia da Informao Auditoria e Segurana de Sistemas
A empresa dever ter um cliente imaginrio. Este cliente ser uma empresa de grande porte (sugestes: Hospital, Banco, Indstria Automobilstica, Indstria Alimentcia ou Empresa de Transporte e Logstica).
01/07/2012
Trabalho em Grupo
A empresa cliente solicita empresa de consultoria em SI um sistema de ERP (Enterprise Resource Planning) ou SIGE (Sistemas Integrados de Gesto Empresarial). A empresa de consultoria apresentar:
Levantamento de Requisitos do Sistema ERP; Proposta de Sistema ERP (com as especificaes do sistema); Documento contendo Processo de Gerenciamento para a Produo do ERP (segundo o RUP).
A empresa cliente fica satisfeita e resolve contratar novamente a empresa de consultoria, a qual dever apresentar:
Documento contendo Processo de Implantao de Governana de TI
Trabalho em Grupo
Depois de alguns anos, a empresa cliente pede para a empresa de consultoria realizar um processo de auditoria de sistemas. A empresa de consultoria dever apresentar:
Levantamento de Vulnerabilidades Estudo de Riscos Propostas de Mecanismos de Soluo Plano de Continuidade de Negcios (BCP Business Continuity Plan)
01/07/2012
Entregas
Apresentao e Entrega Impressa de:
Documento com Plano de Negcios Resumido da Empresa de Consultoria em Sistemas de Informao Documento com Plano de Negcios Resumido da Empresa Cliente Documento com Levantamento de Requisitos do Sistema ERP Documento com Proposta de Sistema ERP (Especificaes do Sistema) Documento com Processo de Gerenciamento para a Produo do Sistema ERP seguindo a metodologia RUP
Entregas
Apresentao e Entrega Impressa de:
Documento com Processo de Implantao de Governana de TI com base no COBIT Documento de Auditoria com Levantamento de Vulnerabilidades de Segurana de TI Documento de Auditoria com Estudo de Riscos de Segurana de TI Documento de Auditoria com Mecanismos/Solues para as Vulnerabilidades de Segurana de TI Documento com Plano de Continuidade de Negcios com foco em TI
01/07/2012
Pr-Requisitos Iniciais dos Trabalhos do Semestre AULA 2

UNIFAI
Elaborao de Plano de Negcios para as Empresas da Atividade

O procedimento de elaborao de Plano de Negcio faz parte de disciplinas ligadas Administrao - Empreendedorismo. Plano de Negcios:
Tambm chamado de Plano Empresarial (Business Plan), um documento que explica um negcio que se quer iniciar ou que j est iniciado. Geralmente escrito por empreendedores, quando h a inteno de se iniciar um negcio, mas tambm pode ser utilizado como uma ferramenta de marketing interno e gesto.
01/07/2012
Elaborao de Plano de Negcios para as Empresas da Atividade

Objetivos de um Plano de Negcios:
Testar a viabilidade de um conceito de negcio Orientar o desenvolvimento das operaes e estratgia Atrair recursos financeiros Transmitir credibilidade Desenvolver a equipe de gesto
Por que desenvolver Planos de Negcio durante a atividade do semestre?

Definir o cenrio em que os tpicos tericos a serem desenvolvidos sero aplicados Aprender a desenvolver um Plano de Negcios para empresas de Tecnologia
Estrutura Geral de Plano de Negcios

Capa
Preocupao com o ttulo do documento que descreva a empresa e cause interesse ao leitor em continuar analisando o documento.
Sumrio
Deve conter pelo menos o ttulo de cada seo do documento.
Sumrio Executivo
Deve conter pelo menos 2 itens:
Funo: explanao do modelo de negcios bsico com fundamentos e justificativas gerais para a estratgia que se tem em vista. Recomendaes: apresenta um sntese de todas as informaes constantes no documento visando um pblico alvo. Basicamente, deve apresentar o objetivo do Plano de Negcios.
01/07/2012
Estrutura Geral de Plano de Negcios

Planejamento Estratgico do Negcio
Definio do rumos do negcio: situao atual, metas e objetivos do negcio, descrio da viso e misso do empreendimento. Trata-se da base para o desenvolvimento e implantao das demais aes do empreendimento.
Descrio da Empresa/Empreendimento
Descrever: histrico, estrutura organizacional, localizao, parcerias, etc.
Produtos e Servios
Descrever: produtos e servios oferecidos pela empresa e como seu ciclo de produo.
Anlise de Mercado Plano de Marketing Plano Financeiro Anexos

Trabalho em Grupo: O que devem conter os Planos de Negcios da Atividade? Os Planos de Negcios da Atividade devem conter basicamente:
Capa Sumrio Sumrio Executivo Planejamento Estratgico do Negcio Descrio da Empresa Produtos e Servios
01/07/2012
Administrao de Sistemas de Informao AULA 3

UNIFAI
Sistemas de Informao
uma srie de elementos ou componentes interrelacionados que coletam, armazenam e manipulam dados, transformando-os em informaes que sero disseminadas afim de fornecer suporte tomada de deciso, coordenao, controle, anlise e visualizao em um organizao. Devem apoiar as estratgias e processos empresariais e as estruturas e cultura organizacionais para aumentar o valor dos negcios em um ambiente dinmico.
10
01/07/2012
Sinais de FeedBack Sinais de Controle ENTRADA DE DADOS PROCESSAMENTO E BANCO DE DADOS CONTROLE PELA ADMINISTRAO Sinais de FeedBack Sinais de Controle SADA DE INFORMAES
FRONTEIRA DO SISTEMA
HARDWARE SOFTWARE
PESSOAS PROCEDIMENTOS REDE
BANCO DE DADOS
11
01/07/2012
Hardware
Conjunto de dispositivos, como: processador, monitor, teclado e impressora, que aceita dados e informaes, processa-os e os e os exibe.
Software
Grupo de programas de computador, que permite o processamento de dados no hardware.
Banco de Dados
Conjunto organizados de arquivos ou registros relacionados, que armazena dados e associaes entre eles.
Rede
Sistema de conectividade que viabiliza o compartilhamento de recursos entre computadores diferentes.
Procedimentos
Estratgias, polticas, mtodos e regras para utilizar o Sistema de Informao.
Pessoas
Componente mais importante nos Sistemas de Informao; inclui aquelas que trabalham com o prprio sistema ou usam sua sada.
Um sistema de informao possui 3 grandes componentes:
humano, organizacional e computacional
Organizao = A organizao formada por departamentos, e possuem processos. Pessoas = so os usurios e os desenvolvedores Computacional = hardware e software
12
01/07/2012
13
01/07/2012
Sistemas Integrados AULA 4

UNIFAI
Sistemas Integrados
DATA MARTS so pequenos sistemas que so criados nas diversas reas de uma empresa: sistemas de compras, sistemas de vendas, sistemas de RH, sistemas de biblioteca, sistemas de informao contbil etc. DATA WAREHOUSE so grandes sistemas que incluem num nico banco de dados toda informao de uma empresa: vendas, compras, RH, produo, biblioteca, contabilidade etc.
14
01/07/2012
Tipos de Sistemas Integrados

ERP, SCM, e-Business, CRM, Business Intelligence (BI).
ERP
ERP = Enterprise Resource Planning Definies:
agrega em um s sistema integrado, funcionalidades que suportam as atividades dos diversos processos de negcios de uma empresa. termo genrico para um conjunto de atividades executadas por um software com mltiplos mdulos. arquitetura de software que facilita o fluxo de informaes entre todas as atividades de uma empresa, como: fabricao, logstica, finanas, recursos humanos. composto por um Banco de Dados nico, operando em uma plataforma comum que interage com um conjunto de aplicaes. emprega tecnologia cliente/servidor. O usurio do sistema (cliente) roda uma aplicao (rotina de um mdulo do sistema) que acessa as informaes de uma base de dados nica (servidor). O BD interage com todos os aplicativos do sistema.
15
01/07/2012
ERP
Surgiram a partir da evoluo dos sistemas MRP (Material Resource Planning), que mais tarde passou a ser chamado de MRP II (Manufacturing Resource Planning Planejamento de Recursos de Manufatura). Foram criados mdulos de Recursos Humanos, distribuio e finanas, entre outros. Esse novos sistemas, capazes de suportar as necessidades de informao para todo o empreendimento, so denominados sistemas ERP. Os sistemas ERP so compostos por uma base nica e por mdulos que suportam diversas atividades das empresas.
Por que usar ERP nas empresas?

Permanecer competitivas; Melhorar a produtividade e a qualidade dos servios oferecidos aos clientes; Reduzir custos e estoques; Melhorar o planejamento e alocao de recursos.
16
01/07/2012
Componentes ERP Mdulos de Software

Finanas; Contabilidade; Planejamento e Controle da Produo; Recursos Humanos; Custos; Vendas; Marketing, etc.
Estrutura ERP Tpica

DIRETORES E ACIONISTAS C L I E N T E S
Vendas e Distrib. Relatrios Finanas F O R N E C E D O R E S
Representantes de Vendas e servios

Apoio a Servios
BD Central
Manufatura
Gerenc. Rec. Humanos
Gerenc. Materiais
FUNCIONRIOS
17
01/07/2012
ERP Implantao
A deciso de implantao de um sistema ERP s deve ser tomada aps uma anlise detalhada dos processos da empresa e das funcionalidades dos sistemas ERP. Na implantao de um sistema ERP , a customizao a primeira medida a ser tomada. E inicia-se com a seleo de mdulos a serem instalados.
ERP - Benefcios
Otimizao de fluxo de informaes; Facilidade de acesso aos dados operacionais, favorecendo a adoo de estruturas organizacionais mais achatadas e flexveis; Informaes mais consistentes, possibilitando a tomada de deciso, com base em dados, que refletem a realidade da empresa; Adoo de melhores prticas de negcio, suportadas pelas funcionalidades dos sistemas, que resultem em ganhos de produtividade e em maior velocidade de reposta da organizao.
18
01/07/2012
SCM
SCM = Supply Chain Management Gesto de Cadeia de Suprimentos. Na dcada de 70 grandes empresas adotaram softwares para gerenciar suas linhas de produo. Mudana de paradigmas:
considera que a competio no mercado ocorre nas cadeias produtivas, e no apenas ao nvel das unidades de negcios.
Objetivo do SCM atender o consumidor final mais eficientemente, tanto atravs da reduo dos custos, como atravs da adio de mais valor aos produtos finais. Reduo de custos = obtido atravs da diminuio do volume de transaes de informaes e papis, dos custos de transportes e estocagem e da diminuio da variabilidade da demanda de produtos e servios. Mais valor ao produto = tem sido obtido atravs da criao de bens e servios customizados.
E-Business
O interesse comercial na internet s comeou em 1993, com o surgimento do www (World Wide Web) Problemas Iniciais:
segurana (medo); forma de publicidade (propaganda deve ser direcionada as reas de interesse e no ao pblico de massa como na TV e rdio); criao de site (inexperincia de designers pgina esttica, como anncio de jornal ou revista);
19
01/07/2012
E-Business
O comrcio eletrnico apresenta grande potencial para o varejo. Questes que os varejistas devem responder antes de iniciar suas operaes de comrcio eletrnico.
Como integrar o comrcio eletrnico estratgia geral da empresa? Quais os tipos de produtos a serem comercializados? Qual deve ser a definio de pblico-alvo dos negcios eletrnicos? Como desenvolver abordagens de comunicao individualizadas? Que tipos de contedo e de informao devem ser veiculados?
E-Business
Como medir os resultados e, qual deve ser a expectativa de retorno? Como lidar com a segurana nas transaes? Como garantir a privacidade dos clientes? Como criar interaes e dilogos eletrnicos fceis e ao alcance da grande populao? Como divulgar uma loja virtual? Como escolher os fornecedores de informtica, criao e comunicao para a nova mdia? Quais os cuidados com a criao e layout das interfaces com o consumidor?
20
01/07/2012
Tipos de E-Business
B2B = business-to-business (transaes entre empresas)
Operao entre a empresas e seus fornecedores, clientes, agentes financeiros, agentes de crdito, em ambiente de internet ou Extranet controlados (EDI Eletronic Data Interchange = troca de dados, portais verticais de negcios = portais que tratam de um nico assunto, ex. portal de negcio entre GM e seus fornecedores).
Tipos de E-Business
B2C/C2B = business-to-consumer/consumer-tobusiness
Transaes entre empresas e consumidores (ex.: lojas de shoppings virtuais).
B2G/G2B = busines-to-government/governmentto-business
Transaes envolvendo empresas e governo (ex.: EDI, portais (ex.: prefeitura aceita cadastro e realiza licitaes de fornecedores, compras).
21
01/07/2012
Tipos de E-Business
C2C = consumer-to-consumer
Transaes entre consumidores finais (ex.: sites de leiles, classificados on-line).
G2C/C2G = government-to-consumer/ consumer-to-government

Transaes envolvendo governo e consumidores finais (ex.: site da receita federal, servios de comunicao).
G2G = government-to-government
Transaes entre governo e governo.
CRM
CRM = Customer Relationship Management Gesto do relacionamento com o cliente. Ao ganhar na web mais um poderoso canal de comercializao e comunicao, o setor corporativo precisou rever alguns conceitos e se reestruturar.
Tudo mais rpido. O concorrente est distncia de um simples click no mouse. Para poder competir neste cenrio, no basta oferecer produtos e servios com melhor qualidade e preo. preciso, tambm, conhecer o consumidor, ser capaz de satisfaz-lo e no perd-lo logo a seguir, para a concorrncia. necessrio saber criar e gerenciar o relacionamento com o cliente de forma a gerar valor para a companhia.
22
01/07/2012
CRM
Uma filosofia que envolve pessoas, processos e tecnologia visando criao de uma sistemtica para adquirir maior conhecimento sobre o cliente, ao longo de toda a vida dele e no apenas no momento em que realiza uma transao comercial com a empresa. Pode ser entendido como uma estratgia que permite empresa como um todo ter uma viso nica de seu cliente, e a partir da, saber explorar as oportunidades de negcio. necessrio saber como o cliente , seus gostos, preferncias, quantas vezes ligou, reclamaes que fez, sugestes que deu, quanto traz de valor para a empresa, etc.. E estas informaes devem ser disseminadas pela organizao para todos os setores (call center, marketing, vendas, diretoria, etc.)
CRM
Qual a importncia de conhecer o cliente?
Estudos feitos no mercado norte americano concluram que, num prazo de 5 anos, uma companhia perde metade de seus clientes e gasta 5 vezes mais na conquista de um novo consumidor, do que na reteno do antigo. Um comprador satisfeito comenta sua compra com 5 pessoas, enquanto que um insatisfeito queixa-se da empresa com 9.
23
01/07/2012
CRM
CRM muito mais do que um conjunto de software.
um processo contnuo que compreende uma estratgia de negcios, mudanas de cultura dentro da organizao e uso de tecnologia. No se implanta CRM de uma nica vez, nem de uma forma padro.
CRM
CRM diferente de empresa para empresa (clientes so diferentes, empresas tambm diferem)
Ex.: Uma operadora de telecomunicaes (tem milhes de assinantes) precisa de um CRM diferente de uma companhia que produz navios.
Mudanas ocorridas implantao de CRM
na
empresa
com
Integrao de reas; Foco se desloca do produto para o cliente
24
01/07/2012
CRM
CRM estratgia de natureza organizacional (no pode ser conduzida por apenas um departamento) CRM deve ser visto pelos funcionrios como algo que ir contribuir para melhorar e agilizar o seu trabalho. Um dos componentes mais importantes para o sucesso da estratgia de um CRM so as pessoas.
BI
BI = Business Intelligence So ferramentas de anlise para tomada de decises. (data warehouse, data mart, BS) O conceito de BI no recente. Fencios, persas, egpcios e outros povos do Oriente utilizavam esse princpio h milhares de anos, quando cruzavam informaes obtidas junto natureza em benefcio prprio (observar o comportamento das mars, perodos de seca e chuvas, posio dos astros, etc. Eram formas de obter informaes que eram utilizadas para tomar decises, que permitissem a melhoria de vida de suas respectivas comunidades.
25
01/07/2012
BI
A necessidade de cruzar informaes para realizar uma gesto empresarial eficiente hoje uma realidade to verdadeira quanto no passado. Atualmente a BI vem crescendo na medida em que seu emprego possibilite s corporaes realizar uma srie de anlises e projees, de forma a agilizar os processos relacionados s tomadas de deciso. (Howard Dresner)
BI Implantao
Fatores a serem considerados para implantao de BI:
identificao das reais necessidades da empresa (marketing, vendas e finanas) aconselhvel integrar todos os sistemas transacionais (operacionais) utilizados, antes de se iniciar a implementao de um projeto de BI. planejamento (para se evitar gastos desnecessrios)
26
01/07/2012
BI Planejamento 1
Planejamento Estratgico Corporativo = enfatiza as oportunidades , os riscos, os pontos fortes e fracos da empresa, tanto em relao ao seu ambiente interno, quanto ao externo. atravs desse procedimento que so traadas as principais metas e estratgias para alcan-las.
So utilizadas indicadores de desempenhos, como o Balanced Scorecard (BSC) BSC um sistema de gesto estratgica criado pelo Robert Kaplan e David Norton (Harvard Business School). - so sistemas que fornecem ndices de produtividade, qualidade, desempenho, etc. O BSC no se aplica para a criao de um planejamento estratgico, mas sim para possibilitar a monitorao e o acompanhamento das decises a serem tomadas, a verificao de seus resultados efetivos. BSC tem o objetivo de traduzir para os executivos, a viso estratgica da corporao, atravs de um conjunto de medidas de desempenho, organizado segundo 4 perspectivas: financeira, cliente, processos internos e aprendizado BSC cria uma linguagem para comunicar a misso e a estratgia, utilizando indicadores que iro informar os funcionrios de todos os departamentos da empresa, sobre as metas de sucesso atual e futuro.
BI Planejamento 2
Planejamento Estratgico da Informao = deve estar alinhado ao planejamento estratgico corporativo.
Requer o emprego de uma metodologia flexvel, capaz de suportar mudanas: Etapas da metodologia:
levantamento sobre a empresa e a cultura da empresa em termos de sistemas; levantamento e anlise dos sistemas existentes (verificando performance, funes, volumes de dados gerados, caractersticas dos processamentos, etc.) apurao e a avaliao da qualidade dos dados existentes; desenvolvimento de um modelo global do sistema de informao.
27
01/07/2012
Trabalho em Grupo: Levantamento de Requisitos de SI

Requisitos Funcionais
Relativos ao funcionamento propriamente dito
Requisitos No-Funcionais
Relativos ao desempenho, segurana, qualidade, etc.
Tcnicas de Levantamento de Requisitos

Experincia prvia em SI similares Entrevistar pessoas envolvidas Pesquisa
Trabalho em Grupo: Levantamento de Requisitos de SI

Preparar documento com levantamento de requisitos de sistema ERP a ser usado pela empresa cliente criada no passo da elaborao de Plano de Negcios
28
01/07/2012
Gerenciamento de Projetos RUP AULA 5

UNIFAI
Projetos de SI
Razes para o Sucesso
Envolvimento do usurio Apoio da administrao executiva Declarao clara de requisitos Planejamento adequado Expectativas realistas
Razes para o Fracasso

Falta de contribuio do usurio Falta de apoio executivo Requisitos e especificaes incompletos Mudanas de requisitos e especificaes Incompetncia tecnolgica
29
01/07/2012
RUP
RUP = Rational Unified Process Processo de desenvolvimento de software criado pela Rational/IBM Baseado no ciclo de vida em espiral (refinamentos sucessivos) Guia para utilizar efetivamente a UML Desenvolvimento dirigido por Casos de Uso Processo configurvel Aumento da produtividade da equipe Incentivo das boas prticas: desenvolver o software iterativamente, gerenciar requisitos, usar arquitetura baseada em componentes, modelar o software visualmente, verificar a qualidade do software, controlar as mudanas do software
RUP - Fases
30
01/07/2012
RUP - Fases
Concepo/Iniciao (Inception)
Delimitao do mbito do projeto e do business case. Identificao dos atores e casos de utilizao e descrio dos mais significativos.
Elaborao
Anlise do domnio do problema. Definio de uma arquitetura estvel e robusta para todo o sistema, tendo em considerao os seus requisitos.
Construo
Desenvolvimento iterativo e incremental do produto completo para ser entregue aos utilizadores como uma primeira verso.
Transio
Desenvolvimento adicional para ajuste do sistema s alteraes de requisitos suscitadas pela sua utilizao concreta.
RUP Conceitos Bsicos

Iterao:
ciclo completo de desenvolvimento.
Atividade:
unidade de trabalho composta de objetivos, passos, entradas/sadas, responsveis, guias e padres.
Fluxo de Atividade (Workflow):

agrupam atividades suporte, fluxo bsico) correlacionadas (fluxo de
31
01/07/2012
RUP Conceitos Bsicos

Artefato:
documento, relatrio, modelo, cdigo ou executvel que manipulado, produzido ou consumido
Responsveis:
representam perfis ou papis (ex: gerente de projeto, analista, programador...)
Stakeholder:
cliente
Milestone:
ponto de controle
O ciclo de vida dividido em 4 fases e cada fase dividida em iteraes

RUP Exemplos de Workflows e Modelos
32
01/07/2012
RUP Fase de Concepo

Objetivos:
Visa entender o escopo geral do projeto e os seus objetivos Colher informaes sobre o que deve ser feito Decidir sobre a continuidade do projeto
RUP Fase de Concepo

Atividades Essenciais:
Entender o que produzir Identificar os pontos chave do sistema Determinar no mnimo uma soluo possvel Planejar custos, agenda e riscos Decidir qual processo seguir e quais ferramentas OBS: Podem (devem) ser feitos em paralelo
33
01/07/2012
RUP Fase de Concepo

Todos devem ter o mesmo entendimento sobre o que ser construdo Passos:
Validar uma Viso de alto nvel Prover uma descrio mile-wide, inch-deep do sistema Detalhar Atores e Casos de Uso
RUP Fase de Concepo

Produzindo uma Viso
Descrio geral do sistema Deve Conter
Benefcios da aplicao e oportunidades que a mesma poder gerar Os problemas que a mesma ir resolver Quem so os usurios-alvo Em termos gerais, o que a aplicao dever fazer Requisitos no funcionais essenciais: SO e BD suportados, escalabilidade, etc., alm de licena e preo
34
01/07/2012
RUP Fase de Concepo

Gerando uma descrio Mile-Wide, InchDeep
Identificar e descrever brevemente os atores e os casos de uso No entrar em detalhes Ateno especial para os casos de uso mais importantes Gerado aps Brainstorming ou Workshop
RUP Fase de Concepo

Brainstorms e Workshops
7 passos bsicos Comum limitar tempo em cada etapa Passo 1: Identificar mximo de atores Passo 2: Associar cada ator com caso de uso Passo 3: Relacionar interaes dos casos de uso com outros atores ou sistemas
Ao final gerado diagrama de casos de uso
Passo 4: Fazer breves descries de cada ator e use cases Passo 5: Criar um glossrio Passo 6: Revisar os casos de uso, baseado nas relaes do sistemas (com usurio ou outros sistemas) Passo 7: Identificar os casos de uso essenciais ou crticos
35
01/07/2012
RUP Fase de Concepo

Detalhando Atores Chave e Casos de Uso
Detalhar bastante os Atores e Casos de Uso identificados no ltimo passo do Brainstorm/Workshop
RUP Fase de Concepo

Identificar os Pontos-Chave do Sistema:
Identificar os Casos de Uso mais essenciais ou determinantes para a arquitetura a ser selecionada:
Ser gasto mais tempo nesses itens
Critrios para seleo:

Funcionalidade principal da aplicao e principais interfaces A funcionalidade DEVE ser entregue Funcionalidade cobre uma rea da arquitetura no coberta por nenhum outro caso de uso principal
Cerca de 20% de funcionalidades chave
36
01/07/2012
RUP Fase de Concepo

Identificar no Mnimo uma Soluo Possvel:
Identificar pelo menos uma possvel arquitetura para o desenvolvimento Verificar o nvel de risco e custo para utilizao das arquiteturas identificadas Ex.: Cliente x Servidor
2 camadas: Aplicao Cliente e BD 3 Camadas: Browser + Webserver + BD
RUP Fase de Concepo

Planejar Custos, Agenda e Riscos:
J foi entendido o que fazer Verificar a viabilidade Construir um Plano de Negcios para o projeto
Contm os custos estimados, agenda e riscos do projeto Documento de valor econmico/monetrio
37
01/07/2012
RUP Fase de Concepo

Decidir qual ferramentas: processo seguir e quais
Escolha do processo: Como o software ser desenvolvido? Escolha das ferramentas a serem utilizadas
RUP Fase de Concepo

Milestone Lifecycle Objective:
Ao fim da fase Inception gerado o primeiro Milestone do projeto. Checar com os objetivos definidos inicialmente: falhar, cancelar ou repensar o projeto
Stakeholder validam a definio do escopo e custo/prazo inicial Concordncia sobre a correta obteno e entendimento dos requisitos do sistema Concordncia com custo e prazo estimados, prioridades, riscos e processo de desenvolvimento Concordncia na identificao dos riscos iniciais e estratgias para atenu-los
38
01/07/2012
RUP Fase de Concepo

Artefatos:
Viso Business Case Lista de Riscos Plano de Desenvolvimento de Software Plano de Iterao Development Case Ferramentas Glossrio Entre outros...
RUP Fase de Concepo
39
01/07/2012
RUP Fase de Elaborao

Objetivos:
Desenvolver a arquitetura do sistema Requisitos mais significantes Avaliao dos riscos

Obtenha uma compreenso detalhada dos requisitos.
Casos de uso mais detalhados. Prottipos de interface validados pelo usurio. Glossrio.
Modele, implemente, valide e defina as linhas base da arquitetura.

Mais importantes blocos de construo, interfaces, decises de implementao e reuso. Descrio da interao dos blocos nos cenrios mais importantes Implementao e validao da arquitetura. Faa os casos de teste unitrios
40
01/07/2012

Minimize os riscos essenciais e produza uma agenda mais precisa e estimativas de custo.
Requisitos detalhados. A implementao do esqueleto minimiza os problemas mais difceis. Os riscos j foram quase todos minimizados. Nessa fase a potencialidade da equipe e das ferramentas j pode ser avaliada
Refine o Development Case e o coloque em uso.

Esta etapa define o modo de usar o RUP.

Primeira Iterao:
Modele, implemente e teste cenrios crticos. Identifique e implemente alguns mecanismos arquiteturais. Faa um modelo preliminar da base de dados. Faa fluxos de eventos de metade dos casos de uso. Faa testes para identificar riscos arquiteturais e pequenas distores.
41
01/07/2012

Segunda Iterao:
Conserte o que no estava correto na primeira iterao. Modele, implemente e teste os cenrios arquiteturais mais significantes remanescentes. Esboce e implemente concorrncia, threads e distribuio fsica para identificar riscos de alta tecnologia. Modele, implemente e teste mecanismos arquiteturais novos. Modele e implemente uma verso preliminar da base de dados. Faa a outra parte dos fluxos de evento com os casos de uso que faltavam. Teste, valide e refine o modelo da arquitetura. Faa outras interaes at que este modelo esteja estvel.

Milestone Lifecycle Architecture:
A viso do sistema e os requisitos esto estveis? A arquitetura est estvel? As abordagens de teste e avaliao esto providas? Os testes e avaliaes de prottipos provam que os grandes riscos esto identificados e resolvidos? Os planos de iterao da Construo esto detalhados e fiis para prover o trabalho ocorra? Todos os stakeholders concordam com a Viso corrente? Os custos da aplicao esto de acordo com os recursos disponveis?
42
01/07/2012

Artefatos:
Prottipos Lista de Risco Development Case Ferramentas Documento de Arquitetura Viso Plano de desenvolvimento de software Entre outros...
RUP Fase Construo

Objetivos:
Minimizar custos de desenvolvimento Alcanar um determinado grau de paralelismo de desenvolvimento Desenvolver iterativamente um produto completo que esteja pronto para a transio
43
01/07/2012
RUP Fase Construo

Descrever Casos de Uso remanescentes Completar o projeto de componentes e subsistemas Completar o projeto do banco de dados Implementar e fazer testes de unidade Integrao e testes do sistema Feedback dos clientes Pre-release e verso final do sistema
RUP Fase Construo

Iteraes:
Geralmente de 2 a 4 Plano de iterao guiado pelos casos de uso Implementar os casos de uso mais importantes para os clientes Procurar eliminar os maiores riscos Identificar e implementar os componentes que precisam colaborar para prover as funcionalidades
44
01/07/2012
RUP Fase Construo

Milestone Initial Operational Capability:
O produto estvel e maduro o suficiente para ser implantado na comunidade do usurio? Todos os clientes esto prontos para a transio? Os recursos atuais despendidos so coerentes com os previstos?
RUP Fase Construo

Artefatos:
O Sistema Plano de Implantao Conjunto de Testes Aplicados Material de Treinamento Modelo de Implementao Modelo de Dados
45
01/07/2012
RUP Fase de Transio

Objetivos:
Validar o sistema de acordo com a especificao do usurio Treinar usurios e mantenedores Preparar o local de implantao ... Assegurar disponibilidade do software para os usurios finais
RUP Fase de Transio

Executar planos de deployment Finalizar material de suporte ao usurio Testar, no ambiente de desenvolvimento, o produto pronto para entrega Gerar release do produto (beta) Coletar informao de feedback do usurio Ajustar o produto de acordo com o feedback Disponibilizar o produto para os usurios finais
46
01/07/2012
RUP Fase de Transio

Iterao:
Requisitos, anlise e projeto
Requisitos estveis (frozen) Alteraes entendidas e controladas Anlise e projeto: integridade arquitetural
Implementao
Base no feedback (correo de defeitos)
RUP Fase de Transio

Milestone: Product Release:
Critrios:
O usurio est satisfeito? Os recursos que o sistema est utilizando so aceitveis de acordo com o planejado anteriormente?
47
01/07/2012
RUP Fase de Transio

Artefatos:
Produto Notas de release Artefatos de instalao Material para treinamento Material de suporte ao usurio final
RUP Gesto de Atividades
48
01/07/2012
RUP Gesto de Verses
Plano de Iteraes
49
01/07/2012
Trabalho em Grupo: Documentao RUP de Sistema ERP

Seguir a metodologia RUP e preparar todos os artefatos citados nesta apresentao para o sistema ERP do trabalho. Os modelos para os artefatos RUP podem ser encontrados no Site do RUP em Portugus.
Qualidade em TI AULA 6
UNIFAI
50
01/07/2012
Qualidade da Informao
Dimenso: tempo
Prontido: fornecida quando necessria. Atualizao: atualizada quando fornecida. Freqncia: no nmero de vezes necessrias. Perodo: fornecida sobre perodos desejados.
Dimenso: Contedo
Preciso: isenta de erros. Relevncia: atender s necessidades do receptor. Integridade: fornecida de forma completa. Conciso: apenas a informao necessria. Amplitude: alcance e foco de acordo com a demanda. Desempenho: mensurao de atividades concludas, progresso realizado.
Dimenso: Forma
Clareza: fcil de compreender. Detalhe: no grau de detalhe desejado. Ordem: na seqncia desejada. Apresentao: narrativa, numrica, grfica, ... Mdia: impressa, eletrnica, vdeo, ...
Sumrio
Introduo Qualidade de Software ISO/IEC Qualidade de Processo Norma ISO 9000-3 Norma ISO/IEC 12207 Qualidade de Produto Norma ISO/IEC 9126 Norma ISO/IEC 14598 Norma ISO/IEC 12119 Concluso Referncias Bibliogrficas
51
01/07/2012
Qualidade de Software
Software de qualidade fcil de usar, funciona corretamente, de fcil manuteno e mantm a integridade dos dados em falhas do ambiente ou outras fora do seu controle. Desenvolver software um esforo coletivo, complexo e criativo e sua qualidade depende das pessoas, da organizao e dos procedimentos usados em seu desenvolvimento. (Fuggetta, 2000)
Segundo Pfleeger(1998), existem diferentes descries sobre Qualidade de Software : viso transcendental: algo que se reconhece mas no se define; viso do usurio: atingir os objetos; viso da manufatura: relacionada s caractersticas do produto; viso com base no valor: depende do valor que o cliente est disposto a pagar por ela.
52
01/07/2012
Qualidade do Processo
Software
Qualidade do Produto
ISO/IEC
A ISO (International Organization for Standardization) uma associao internacional no-governamental que objetiva promover o desenvolvimento de padronizao, no mundo inteiro, no sentido de facilitar o intercmbio de bens e servios entre os povos. Os padres da ISO estabelecem especificaes tcnicas, regras e critrios, e definem caractersticas para garantir que produtos, servios ou processos sejam adequados a seus propsitos. A IEC (International Electrotechnical Comission) atua juntamente com a ISO na rea da tecnologia da informao.
53
01/07/2012
Qualidade de Processo
Uma das grandes evolues no estudo da qualidade foi a percepo de que a Qualidade do Produto importante, mas que a Qualidade do Processo de produo ainda mais. No caso, por exemplo, de uma refeio, pode se dizer mais sobre sua qualidade observando como ela foi preparada, do que analisando o produto final. Afinal, no se consegue ter certeza de sua higiene ou valor nutricional apenas saboreando-a. Atualmente, muitas instituies se preocupam em criar normas visando a adequada definio e aplicao dos processos envolvidos no ciclo de vida de um software, entre elas: ISO 9000-3, ISO/IEC 12207, CMM, SPICE, etc.
Norma ISO 9000-3

Trata-se de um guia para aplicao da norma ISO 9001 para o desenvolvimento, fornecimento e manuteno de softwares. dividida em trs partes: Estrutura: qualidade na organizao; Atividades do ciclo de vida: desenvolvimento de software; Atividades de suporte: apoio s atividades do ciclo de vida.
54
01/07/2012
Norma ISO/IEC 12207

De acordo com a norma ISO/IEC 12207, os processos relacionados ao ciclo de vida de um software podem ser distinguidos em: processos fundamentais: atendem ao desenvolvimento, operao ou manuteno do software; processos de apoio: auxiliam um outro processo como uma parte integrante; processos organizacionais: estabelecem e implementam uma estrutura subjacente e melhoram continuamente a estrutura e os processos.
Norma ISO/IEC 12207

Processos Fundamentais
Aquisio Fornecimento Operao Desenvolviment o Manuteno
Processos de Apoio
Documentao Gerncia de Configurao Garantia da Qualidade Verificao Validao Reviso Conjunta Auditoria Resoluo de Problemas Adaptao
Processos Organizacionais
Gerncia Infra-Estrutura
Melhoria
Treinamento
55
01/07/2012
Norma ISO/IEC 12207

Processos Fundamentais Aquisio: Iniciao, preparao de pedido de proposta, preparao e atualizao do contrato, monitoramento do fornecedor e aceitao. Fornecimento: Iniciao, preparao da resposta, contrato, planejamento, execuo e controle, reviso e avaliao, entrega. Desenvolvimento: Implementao de um processo, anlise de requisitos do sistema, projeto arquitetural do sistema, anlise dos requisitos do software, projeto arquitetural do software, projeto detalhado do software, codificao e teste, integrao, teste de qualificao, instalao e apoio aceitao do software.
Norma ISO/IEC 12207

Operao: Implementao do projeto, teste operacional, operao do sistema e suporte ao usurio; Manuteno: Causas e categorias, implementao do processo, anlise do problema e da modificao, implementao da modificao, reviso/aceitao, migrao e descontinuao do software.
56
01/07/2012
Norma ISO/IEC 12207

Processos de Apoio:
Documentao: Implementao do processo, projeto e desenvolvimento, produo e manuteno; Gerncia de Configurao: Implementao do processo, identificao da configurao, controle da configurao, relato da situao, avaliao da configurao, gerncia da liberao e entrega; Garantia de Qualidade: Implementao do processo, garantia do produto, garantia do processo, sistema de garantia da qualidade;
Normas ISO/IEC 12207

Verificao; Validao; Reviso Conjunta; Auditoria; Resoluo de Problemas. Processos Organizacionais: Gerncia: Gerncia, modelo de gerncia, prticas gerncias; Infra-Estrutura; Melhoria; Treinamento. Processo de Adaptao
57
01/07/2012
SPICE
SPICE (Software Process Improvement and Capability dEtermination) o nome do projeto de elaborao da futura norma ISO/IEC 15504 para avaliao de processos de software que tem dois objetivos: melhorias de processos e determinao da capacidade de processos de uma organizao.
Qualidade de Produto
Pode ser entendida como um somatrio de sua qualidade externa, que deve estar explicitamente definida na especificao de requisitos do projeto, e sua qualidade interna, que so atributos geralmente acrescentados pela empresa. Os aspectos tcnicos para avaliao da qualidade do produto de software so abordados em trs normas: ISO/IEC 9126: Caractersticas de qualidade de software; ISO/IEC 14598: Guias para avaliao de produtos de software; ISO/IEC 12119: Requisitos de qualidade e testes de pacotes de software.
58
01/07/2012
Norma ISO/IEC 9126

O padro ISO/IEC 9126 prope caractersticas que um software deve possuir, diretrizes para o seu uso, bem como, subcaractersticas, para incentivar o uso na prtica desta padronizao de qualidade de produto de software. As caractersticas para este trabalho, representam os aspectos a serem analisados no produto e suas subcaractersticas, os itens de avaliao do aspecto.
Norma ISO/IEC 9126

Caractersticas Subcaractersticas Adequao Funcionalidade O conjunto de funes satisfazem as necessidades explcitas e implcitas para a finalidade a que se destina o produto? Acurcia Interoperabilidade Segurana de Acesso Significado
Prope-se a fazer o que apropriado? Gera resultados corretos ou conforme acordados? capaz de interagir com os sistemas especificados? Evita acesso no autorizado, acidental ou deliberado a programas e dados? Est de acordo com normas e convenes previstas em leis e descries similares?
Conformidade
59
01/07/2012
Norma ISO/IEC 9126

Confiabilidade
O desempenho se mantm ao longo do tempo e em condies estabelecidas? Maturidade Tolerncia a falhas Recuperabilidade Inteligibilidade
Com que freqncia apresenta falhas? Ocorrendo falhas como ele reage? capaz de recuperar dados aps uma falha? fcil entender os conceitos utilizados? fcil aprender a usar? fcil de operar e controlar a operao?
Usabilidade
fcil utilizar o software? Apreensibilidade Operacionalidade
Norma ISO/IEC 9126

Eficincia Os recursos e tempos utilizados so compatveis com o nvel de desempenho requerido para o produto? Comportamento em relao ao tempo Comportamento em relao aos recursos
Qual o tempo de resposta e de processamento?
Quanto recurso utiliza?
Analisabilidade Manutenibilidade Modificabilidade H facilidade para correes, atualizaes e alteraes? Estabilidade Testabilidade
fcil encontrar uma falha quando ocorre? fcil modificar e remover defeitos? H grandes riscos de bugs quando se faz alteraes? fcil testar quando se faz alteraes?
60
01/07/2012
Norma ISO/IEC 9126

Adaptabilidade Portabilidade possvel utilizar o produto em diversas plataformas com pequeno esforo de adaptao? Capacidade para ser instalado Capacidade para substituir Conformidade
fcil adaptar a outros ambientes sem aplicar outras aes ou meios alm dos fornecidos para esta finalidade no software considerado? fcil instalar em outros ambientes? fcil substituir por outro software? Est de acordo com padres ou convenes de portabilidade?
Norma ISO/IEC 14598

Essa norma composta de um grupo de guias que servem de apoio ao planejamento e ao controle de uma avaliao da qualidade de produtos de software. Deve ser utilizada em conjunto com a srie ISO/IEC 9126. Essa norma composta de: ISO/IEC 14598-1: Viso Geral viso geral da estrutura da norma e do processo de avaliao; ISO/IEC 14598-2: Planejamento e Gesto composta das atividades de planejamento de gerenciamento do processo de avaliao; ISO/IEC 14598-3: Processo para Desenvolvedores composta das atividades de avaliaes que devero ser feitas durante o processo de desenvolvimento de softwares;
61
01/07/2012
Norma ISO/IEC 14598

ISO/IEC 14598-4: Processo para adquirentes composta das atividades de avaliaes que devero ser feitas durante um processo de compra de softwares; ISO/IEC 14598-5: Processos para avaliadores ciclo de vida de avaliao e suas atividades; ISO/IEC 14598-6: Documentao de mtodos de avaliao pacotes de mtodos e dispositivos de apoio aos processos de avaliao do desenvolvedor, do comprador e do avaliador.
Norma ISO/IEC 12119

A norma ISO/IEC 12119 estabelece quais os requisitos de qualidade de um software tipo pacote e fornece instrues para testar esse software em relao aos requisitos definidos. Quanto aos subdivididos em: requisitos de qualidade, eles so
Requisitos de descrio do produto; Requisitos da documentao ao usurio; Requisitos dos programas e dados.
62
01/07/2012
Norma ISO/IEC 12119

Quanto s instrues para teste: Fase de pr-requisitos para teste; Fase de atividade de teste; Fase de registros e relatrios de teste; Fase de teste de acompanhamento.
Trabalho em Grupo:
Estabelecer um mapeamento entre as normas de qualidade e o RUP em termos fases em que eles deveriam ser aplicados. Desenvolver documento descrevendo como aplicar as normas de qualidade vistas juntamente com o RUP.
63
01/07/2012
Governana de TI COBIT e ITIL AULA 7

UNIFAI
Governana de TI
Motivao:
64
01/07/2012
Governana de TI
Conceito:
Governana = Sistema de Administrao Governana Corporativa =
Para que serve? O que ? Prticas e relacionamentos entre: Otimizar o desempenho das empresas Acionistas/Cotistas Facilitar o acesso ao Conselho de administrao capital Diretoria Obter negcios de Auditoria independente qualidade, lucrativos e Conselho fiscal bem administrados
Governana de TI
Conceito:
Governana de TI
Trata-se de um tipo de Governana Corporativa responsabilidade da Alta Administrao e consiste de estrutura organizacional, processos e lideranas para garantir que a TI sustente e auxilie as estratgias e os objetivos da organizao. Funes de TI:
Sistemas e aplicaes Infra-estrutura e produo Garantia de qualidade Segurana Compliance (Obedincia) Auditoria de sistemas
65
01/07/2012
Governana de TI
Metodologias:
ITIL / BS15000 COBIT ISO 17799 / BS7799 MOF ...
Governana de TI
Cases:
Procter&Gamble
Adotou ITIL em 1997 Economizou US$ 500 milhes em 4 anos:
6 a 8% em corte de custos operacionais 15 a 20% em reduo de staff de tecnologia
Governo de Ontrio, Canad

Adotou ITIL para melhorar o servio de 25.000 usurios em 1.000 locais Criou um service-desk que melhorou a resposta e reduziu os custos com chamados em 40%
66
01/07/2012
Governana de TI
Cases:
Estado de Kansas, USA
Usa os padres do COBIT na sua estratgia de governo virtual para reduzir custos e manter o nvel de servio consistente
Dell Computer
Usa o COBIT como parte da sua poltica corporativa Control Self-Assesment (CSA), um conjunto de controles e verificaes que ajudam a companhia a manter sua alta qualidade
Governana de TI
Cases:
ABN Amro
Iniciou ITIL em 2001 datacenter e implantao de equipamentos do banco, incluindo agncias Deve estar concludo em 2005 Centralizao do help-desk: aumento de chamados de 20.000 para 60.000 (aumentou o controle, no os chamados) Tempo de atendimento reduzido em 20% Volume de reclamaes reduzido em 80% 94% dos atendimentos completados em menos de 20 segundos
67
01/07/2012
Governana de TI
ITIL (IT Infrastructure Library)
Criado em 1980 e transferido ao OGC (Office of Government Commerce) do governo britnico Revisado e reorganizado em 2002 Estrutura de padres e melhores prticas para gerenciar os servios e infra-estrutura de TI Altamente integrado norma BS15000 (British Standards Institutions Standard for IT Service Management)
Governana de TI
BS15000
Integra-se ao ITIL e complementa-o BSi BS15000:2002 - IT Service Management Specification for Service Management BSi BS15000:2003 - IT Service Management Code of Practice for Service Management BSi PD0005:2003 - IT Service Management - A Managers Guide BSi PD0015:2002 - IT Service Management Self Assessment Workbook
68
01/07/2012
Governana de TI
Outros Produtos relacionados ao ITIL
HP
HP ITSM deriva do ITIL Suportado pelo OpenView
IBM
ITM-PI deriva do ITIL Criado pela PriceWaterhouseCoopers Suportado pelo Tivoli
CA
Unicenter aderente ao ITIL
Pink Elephant certifica aderncia ao ITIL

Governana de TI
ISO 17799
Origem: BS 7799 - Reino Unido NBR ISO 17799:2000 -Brasil/Internacional Definem um conjunto de boas prticas de gesto da segurana Servem de base s polticas de segurana Seus controles permitem a auditoria de segurana de informaes
69
01/07/2012
Governana de TI
Mdulos da ISO 17799
Poltica de Segurana Organizao da Segurana Classificao e Controle de Ativos Segurana de Pessoal Segurana Fsica e Ambiental Gerenciamento de Comunicaes e Operaes Controle de Acesso Desenvolvimento e Manuteno de Software Planejamento de Continuidade de Negcios Compliance
Governana de TI
MOF MSF e MSM
Frameworks criados pela Microsoft para gerenciamento interno e de parceiros, posteriormente estendido a clientes MOF Microsoft Operations Framework
Guia para planejamento, implementao, e manuteno de processos operacionais de TI para solues de servio de misso critica baseado no ITIL
MSF Microsoft Solutions Framework

Guia para projetos de tecnologia
MSM Microsoft Solutions for Management

Melhores prticas para servios de implementao e automao
70
01/07/2012
Governana de TI
O que o COBIT? COBIT: Control OBjectives for Information and related Technology
um guia para Gesto e Controle da Tecnologia da Informao, organizado por Processos. Foi desenvolvido pela ISACA, sendo mantido pelo IT Governance Institute. um conjunto de estruturas e processos que visam garantir que a TI suporte e maximize, adequadamente, os objetivos e estratgias de negcios da organizao.
Governana de TI
Objetivos do COBIT
Ser um padro geralmente aceito e de aplicao das melhores prticas de governana de TI Aplicar as melhores prticas a partir de uma matriz de domnios, processos e atividades estruturados de forma lgica e gerencivel Auxiliar na associao entre os riscos do negcio, as necessidades de controle e os aspectos tecnolgicos.
71
01/07/2012
Governana de TI
Origem do COBIT
Focado em governana, controle e auditoria de tecnologia da informao Criado e mantido pelo ISACA Information Systems Audit and Control Association A ISACA mantm o K-NET, um repositrio de conhecimento para os associados e o IT Governance Institute para difuso dos conceitos Est na 4 edio
Governana de TI
Histrico do COBIT
COBIT 4rd Edition (2005): Melhoria dos controles para assegurar a segurana e disponibilidade dos ativos de TI na Organizao Sarbanes-Oxley Act (2002): O Sarbanes-Oxley Act foi aprovado. Este acontecimento teve um impacto significativo na adoo do COBIT nos Estados Unidos da Amrica e empresas globais que atua nos EUA COBIT 3rd Edition (2000): ITGI - IT Governance Institute incluir normas e guias associadas gesto. O ITGI passa a ser o principal editor da framework COBIT 2nd Edition (1998): Inclui uma ferramenta de suporte implementao e a especificao de objetivos de alto nvel e de detalhe COBIT 1st Edition (1996): ISACA Information Systems Audit and Control Association lana o conjunto de objetivos de controle para as aplicaes de negcio Control Objectives, editado pela EDP Auditors Foundation (em 1986/87 a E.D.P.A.A. So Paulo Chapter, atual ABAS, traduziu, publicou e distribuiu os Objetivos de Controle aos seus associados)
72
01/07/2012
Governana de TI
Pblico-alvo do COBIT
Administradores de TI: para os auxiliar na ponderao entre riscos e investimentos em controles e na gesto de um ambiente imprevisvel como o de TI Administradores de Segurana: para os auxiliar na certificao da segurana e dos controles dos servios de TI fornecidos internamente ou por terceiros Auditores de Sistemas: para os auxiliar com subsdios s suas opinies e/ou no aconselhamento aos administradores sobre os controles internos na rea de TI
Governana de TI
Estrutura do COBIT
COBIT
ESTRUTURA DO COBIT
DIRETRIZES GERENCIAIS
OBJETIVOS DE CONTROLE DETALHADOS
DIRETRIZES DE AUDITORIA
MODELOS DE MATURIDADE
FATORES CRTICOS DE SUCESSO
INDICADORES CHAVES DE METAS
INDICADORES CHAVES DE DESEMPENHO
73
01/07/2012
Governana de TI
Componentes do COBIT
Publicaes/Manuais Principais:
Executive Summary Framework Control Objectives Audit Guidelines Management Guidelines
Certificao:
CISA Certified Information Systems Auditor CISM Certified Information Security Manager
Governana de TI
Executive Summary Framework
Publicaes/Manuais Principais do COBIT

COBIT
Detailed Control Objectives Audit Guidelines
ESTRUTURA DO COBIT
Management Guidelines
DIRETRIZES GERENCIAIS OBJETIVOS DE CONTROLE DETALHADOS DIRETRIZES DE AUDITORIA
MODELOS DE MATURIDADE
FATORES CRTICOS DE SUCESSO
INDICADORES CHAVES DE METAS
INDICADORES CHAVES DE DESEMPENHO
74
01/07/2012
Governana de TI
Estrutura do COBIT
4 domnios
Planejamento e Organizao Aquisio e Implementao Entrega e Suporte Monitoramento
34 objetivos de controle de alto nvel 318 objetivos de controle detalhados
Governana de TI
M1 M2 M3 M4 monitorar os processos avaliar a adequao do controle interno obter certificao independente providenciar auditoria independente
Domnios e Objetivos de Alto Nvel do COBIT

PLANEJAMENTO E ORGANIZAO
PO1 definir um plano estratgico de TI PO2 definir a arquitetura de informao PO3 determinar a direo tecnolgica PO4 definir a organizao e relacionamentos da TI PO5 gerenciar o investimento em TI PO6 comunicar metas e diretivas gerenciais PO7 gerenciar recursos humanos PO8 garantir cumprimento de exigncias externas PO9 avaliar riscos PO10 gerenciar projetos PO11 gerenciar qualidade
MONITORAO
AQUISIO E IMPLEMENTAO
DS1 definir nveis de servios DS2 gerenciar servios de terceiros DS3 gerenciar performance e capacidade DS4 garantir continuidade dos servios DS5 garantir segurana dos sistemas DS6 identificar e alocar custos DS7 educar e treinar usurios DS8 auxiliar e aconselhar usurios de TI DS9 gerenciar a configurao DS10 gerenciar problemas e incidentes DS11 gerenciar dados DS12 gerenciar instalaes DS13 gerenciar a operao
PRODUO E SUPORTE
AI1 AI2 AI3 AI4 AI5 AI6
identificar solues adquirir e manter software aplicativo adquirir e manter arquitetura tecnolgica desenvolver e manter procedimentos de TI instalar e certificar sistemas gerenciar mudanas
75
01/07/2012
Governana de TI
Viso Geral do COBIT
RECURSOS DE T I PLANEJAMENTO & ORGANIZAO AQUISIO & IMPLEMENTAO PRODUO & SUPORTE MONITORAO & CONTROLE
REQUISITOS DE NEGCIO
PROCESSOS DE T I 34 OBJETIVOS DE CONTROLE DE ALTO NVEL

DOMNIOS DE GOVERNANA
Governana de TI
RECURSOS DE T I
Viso Geral do COBIT

OBJETIVOS DE CONTROLE DETALHADOS
OBJETIVOS DE NEGCIO
INFORMAO
DIRETRIZES DE AUDITORIA

DOMNIOS DE GOVERNANA DIRETRIZES GERENCIAIS
76
01/07/2012
Governana de TI
Viso Geral do COBIT
RECURSOS DE T I
PESSOAL SISTEMAS DADOS TECNOLOGIA INSTALAES

Governana de TI
Recursos de TI do COBIT
PESSOAL: Inclui perfil funcional da equipe, formao e capacitao profissional, quadro de pessoal interno e externo, cargos, atribuies e responsabilidades SISTEMAS: So entendidos como conjuntos de processos manuais e/ou informatizados DADOS: So objetos de dados, incluindo imagens, sons etc., armazenados na forma de arquivos ou bancos de dados TECNOLOGIA: Inclui todos os recursos de hardware e software do ambiente tecnolgico INSTALAES: Inclui todas as instalaes para acolher e suportar os recursos tecnolgicos, o pessoal e os sistemas de informao
77
01/07/2012
Governana de TI
RECURSOS DE T I
Viso Geral do COBIT

QUALIDADE CONFIANA SEGURANA
Governana de TI
Requisitos de Negcios do COBIT
QUALIDADE: os requisitos de negcio no tocante a qualidade so medidos por 7 critrios da informao, que podem ser subdivididos em 4 de confiana e 3 de segurana CONFIANA: os requisitos de negcio no tocante a confiana so medidos pelos critrios:
Eficcia, Eficincia, Confiabilidade e Conformidade
SEGURANA: os requisitos de negcio no tocante a segurana so medidos pelos critrios:

Confidencialidade, Integridade e Disponibilidade
78
01/07/2012
Governana de TI
Critrios da Informao: Confiana
EFICCIA: Trata da informao que est sendo relevante e pertinente ao processo do negcio, bem como que esteja sendo entregue de um modo oportuno, correto, consistente e til EFICINCIA: Diz respeito proviso da informao atravs do uso timo (mais produtivo e econmico) dos recursos. Custo CONFIABILIDADE: Relaciona-se proviso de informao apropriada para a gerncia operar a entidade e para a gerncia exercer suas responsabilidades de relatar aspectos de conformidade e financeiros CONFORMIDADE: Trata do cumprimento das leis, dos regulamentos e arranjos contratuais aos quais o processo de negcio est sujeito, i.e., critrios de negcio impostos externamente
Governana de TI
Critrios da Informao: Segurana
CONFIDENCIALIDADE: Diz respeito proteo da informao sigilosa contra a revelao no autorizada INTEGRIDADE: Relaciona-se exatido e inteireza da informao bem como sua validez de acordo com os valores e expectativas do negcio DISPONIBILIDADE: Relaciona-se informao que est sendo disponibilizada quando requerida pelo processo de negcio agora e no futuro. Tambm diz respeito salvaguarda dos recursos necessrios e s capacidades associadas. Entrega
79
01/07/2012
Governana de TI
Viso Geral do COBIT
PLANEJAMENTO & ORGANIZAO
11 Processos de T I Definir PETI Gerenciar RH Gerenciar Projetos ...
RECURSOS DE T I
PRODUO & SUPORTE

13 Processos de T I Ger. Operaes Gerenciar Dados Ger. Configurao ...
AQUISIO & IMPLEMENTAO

6 Processos de T I Adquirir Software Manter Infra TI Homologar Sist. ...
MONITORAO & CONTROLE

4 Processos de T I Monitorar Proces. Avaliar Controles Prover Auditorias ...

Governana de TI
Domnios do COBIT
PLANEJAMENTO & ORGANIZAO: Esse domnio cobre estratgia e ttica e diz respeito identificao da maneira que a TI pode melhor contribuir para o atendimento dos objetivos do negcio. Alm do mais, a realizao da viso estratgica precisa ser planejada, comunicada e gerenciada para diferentes perspectivas. Finalmente, uma organizao apropriada bem como uma infra-estrutura tecnolgica devem ser estabelecidas AQUISIO & IMPLEMENTAO: Para concretizar a estratgia de TI, solues de TI precisam ser identificadas, desenvolvidas ou adquiridas, bem como implementadas e integradas no processo do negcio. Adicionalmente, mudanas e manutenes nos sistemas existentes esto cobertas por este domnio para assegurar que o ciclo; o de vida continue para esses sistemas
80
01/07/2012
Governana de TI
Domnios do COBIT
PRODUO & SUPORTE: Esse domnio se preocupa com as entregas reais dos servios requeridos que abrangem as operaes tradicionais sobre aspectos de segurana e continuidade at treinamento. A fim de entregar servios, os processos necessrios de suporte devem ser estabelecidos. Esse domnio inclui o processamento real de dados pelos sistemas aplicativos, freqentemente classificados como controles de aplicaes MONITORAO & CONTROLE: Todos os processos de TI precisam ser regularmente avaliados ao longo do tempo com relao a sua qualidade e conformidade com os requisitos de controle. Esse domnio desse modo enderea o processo de controle dos descuidos da organizao por parte da gerncia e garantia independente dada por auditorias internas externas ou obtida de fontes alternativas
Governana de TI
COBIT - Metodologia
81
01/07/2012
Governana de TI
COBIT - Metodologia
Motivos para instituir a Governana de TI
Governana de TI
COBIT - Metodologia
Beneficirios
82
01/07/2012
Governana de TI
COBIT - Metodologia
Trata-se de um modismo?
Governana de TI
COBIT - Metodologia
83
01/07/2012
Governana de TI
Plano de Continuidade de Negcios
(Business Continuity Plan - BCP) Baseado no COBIT, ITIL, MOF Deve garantir a continuidade dos negcios (com base na operao de TI) em caso de incidentes ou mesmo desastres totais Ser usado em caso de problemas deve ser simples, fcil de entender e deve estar disponvel s pessoas certas na hora certa um compromisso entre o nvel de garantia de continuidade e uso de recursos (pessoas, equipamentos, servios)
Governana de TI
Gerenciamento de Continuidade
(Business Continuity Management - BCM) Gerenciamento de Continuidade de Negcios (BCM) um processo contnuo de avaliao de risco e gerenciamento com o objetivo de garantir que a operao do negcio continuar se os riscos se materializarem O centro o BCP - Plano de Continuidade de Negcios Deve envolver todos os interessados
84
01/07/2012
Governana de TI
ITIL x COBIT x ISO17799
ITIL forte em processos de TI, mas limitado em segurana e desenvolvimento de sistemas COBIT - forte em controles de TI e mtricas de TI, mas no diz como (fluxos de processos) e fraco em segurana ISO17799 forte em controles de segurana, mas no diz como (fluxo de processos)
Trabalho em Grupo:
Desenvolver documento com Processo de Implantao (Diretrizes) de Governana de TI com base no COBIT para a Empresa Cliente em estudo. A seguir apresenta-se um roteiro que dever ser seguido...
85
01/07/2012
COBIT Roteiro
O CobIT identifica 34 processos de TI e os distribui em 4 domnios que representam os agrupamentos usuais existentes em uma organizaopadro de TI. Os processos representam objetivos de controle e so declaraes do resultado desejado ou do propsito a ser alcanado: 1. Planejamento e Organizao (PO) Identifica as formas em que a TI melhor contribui para atender aos objetivos de negcio. Envolve planejamento, comunicao e gerenciamento.
Processos Define o plano estratgico de TI. Define a arquitetura da informao. Determina a direo tecnolgica. Define a organizao de TI e seus relacionamentos. Gerencia os investimentos em TI. Gerencia a comunicao das direes de TI. Gerencia os recursos humanos. Assegura o alinhamento de TI com os reguladores externos. Avalia os riscos. Gerencia os projetos. Gerencia a qualidade.
COBIT Roteiro
2. Aquisio e Implementao (AI) Identifica desenvolvimento e/ou aquisio de solues de TI para executar a estratgia de TI estabelecida.
Processos Identifica as solues de automao. Adquire e mantm os softwares. Adquire e mantm a infra-estrutura tecnolgica. Desenvolve e mantm os procedimentos. Instala e certifica os softwares. Gerencia as mudanas
86
01/07/2012
COBIT Roteiro
3. Entrega e Suporte (DS) Entrega dos servios requeridos, inclui gerenciamento de segurana, suporte a usurios, gesto de dados e infra-estrutura operacional.
Processos Define e mantm os acordos de nveis de servio (SLA). Gerencia os servios de terceiros. Gerencia o desempenho e capacidade do ambiente. Assegura a continuidade dos servios. Assegura a segurana dos servios. Identifica e aloca custos. Treina os usurios. Assiste e aconselha os usurios. Gerencia a configurao. Gerencia os problemas e incidentes. Gerencia os dados. Gerencia a infra-estrutura. Gerencia as operaes.
COBIT Roteiro
4. Monitorao e Avaliao (ME) Assegura a qualidade dos processos de TI e sua conformidade com os objetivos de controle. Usa mecanismos regulares de acompanhamento, monitorao de controles internos, avaliaes internas e externas.
Processos: Monitora os processos. Analisa a adequao dos controles internos. Prov auditorias independentes. Prov segurana independente.
87
01/07/2012
Auditoria de SI AULA 8
UNIFAI
Auditoria de Sistemas de Informao: Conceitos, objetivos, evoluo, importncia para os negcios, organizao, controle interno, Auditor, tendncias
UNIFAI
88
01/07/2012
Auditoria - Evoluo
Registros de origem babilnica de 3000 a.C Origem: Inglaterra por volta de 1314 (do ingls Audit and Auditor) Relacionada com a evoluo da auditoria de contabilidade e da auditoria tributria No Brasil a evoluo da Auditoria uma atividade recente com amplo crescimento no cenrio nacional, isso se deve :
Instalao de multinacionais Financiamento de empresas brasileiras atravs de entidades internacionais Crescimento das empresas brasileiras: necessidade de descentralizao e diversificao de suas atividades econmicas Normas de auditoria do Banco Central do Brasil em 1972
Auditoria de SI Fatores de crescimento

Fatores de crescimento da Auditoria de Sistemas
Participao da TI nas atividades das organizaes Computadores e infra-estrutura de rede permitem evoluo dos negcios, do sustentao aos servios tecnolgicos
Estaes, servidores, redes locais, centralizao de informaes, automao de escritrios e comrcio
Necessidade de garantir a segurana dos computadores e seus sistemas Garantia do alcance da qualidade dos sistemas computadorizados Auxiliar a organizao a avaliar e validar o ciclo administrativo Prof. Dr. Hellinton H. Takada
UNIFAI
89
01/07/2012
Auditoria de Sistemas de Informao Conceitos 1/2

Reviso dos sitemas de informao para verificar se so realizadas as funes e operaes para as quais foram criados, assim como comprovar se os dados e demais informaes neles contidos correspondem aos princpios de confiabilidade, integridade, preciso e disponibilidade
IGAE - Inspeo-Geral das Atividades Econmicas
Conceitos - 2/2
Validao e avaliao do controle interno do ambiente computadorizado Auditoria significa verificar o uso eficaz de todos os recursos disponveis (recursos humanos, materiais e tecnolgicos)
Alguns pontos identificados podem estar em descordo com as normas e necessitar de aes de correo que podero desagradar algumas pessoas. Por isso fala-se de Auditoria como um meio de "caa s bruxas".
90
01/07/2012
Objetivos
Verificar a existncia de medidas de controle interno aplicveis a qualquer SI da instituio Avaliar a adequao do SI s diretrizes bsicas de uma boa gesto de informtica Oferecer uma descrio do SI com base nas suas especificaes funcionais e nos resultados que proporciona Verificar se o SI cumpre a legislao Verificar se a informao gerada pelo SI confivel, ntegra e precisa Determinar se o SI atinge os objetivos de forma eficaz e eficiente Propor recomendaes para que o SI se adapte s diretrizes essenciais para o seu bom funcionamento
Tipos 1/2
Quanto ao objetivo
Auditorias com objetivos de confirmao focam a salvaguarda dos bens e a integridade da informao Auditorias com objetivos de gesto focam a eficcia e eficincia do SI
Quanto ao sujeito auditor

Interna rea interna da instituio Externa entidade externa organizao Articulada trabalho conjunto de auditorias internas e externas
Quanto amplitude
Geral obter viso geral da entidade auditada Parcial examinar um ou vrios setores, atividades, processos.
91
01/07/2012
Tipos 2/2
Quanto periodicidade
Permanentes realizadas diversas vezes ao longo de um perodo Ocasionais ou nicas realizada ante a um imprevisto, ocasio especial De fim de exerccio examinar os documentos de prestao de contas
Quanto extenso e profundidade

Integrais ou completas so examinadas todas as operaes efetuadas durante um perodo Provas ou sondagens destinada a comprovar exatido de um certo nmero de registros, clculos ou lanamentos, escolhidos ao acaso
reas de abrangncia
Abrange todas as reas de um departamento de TI: Sistemas em processamento batch Sistemas em processamento on-line Desenvolvimento de sistemas Desempenho dos sistemas Capacidade dos sistemas Sistemas financeiros Distribuio dos custos Coordenao de problemas Coordenao de mudanas Recuperao de desastre Rede de telecomunicao Segurana de informao Centro de computao Microcomputador
92
01/07/2012
Controle Interno
uma funo administrativa que consiste no monitoramento de processos (normas e eventos), no seu planejamento, execuo e controle. Objetivo verificar a conformidade dos padres estabelecidos e detectar situaes de alarme que requeiram uma ao avaliativa detalhada e profunda. Na Auditoria de Sistemas dado nfase no controle interno dos processos computacionais e na administrao da TI para certificar a qualidade dos sistemas e dos processos.
Controle Interno
Verificao dos seguintes parmetros: 1. Fidelidade da informao em relao ao dado 2. Segurana fsica 3. Segurana lgica 4. Confidencialidade 5. Legislao 6. Eficincia 7. Eficcia 8. Obedincia s polticas da alta administrao
AICPA American Institute of Certified Public Accountants
http://www.aicpa.org/
93
01/07/2012
Auditor - Perfil
Pessoa ou departamento que foi designado pela alta administrao para examinar a eficcia dos sistemas de informao e apontar os pontos falhos. Caractersticas
tica profissional Conhecimento multidisciplinar em TI, controle interno e negcios
operao, produo, infra-estrutura a anlise de sistemas
Discrio Objetividade Raciocnio lgico Independente das reas para elaborao de relatrios Possuir organizao e planejamento
Conhecimentos do auditor devem ser constantemente renovados

Auditor - Perfil
Auditar um micro independente requer muito menos tecnologia do que auditar uma rede de computadores Auditar uma rede com mainframe seria necessrio conhecer:
O funcionamento de um complexo sistema operacional, como as caractersticas de gerao de logs, aspectos de segurana A mecnica operacional do gerenciamento de rede e do banco de dados A estrutura de sistemas aplicativos altamente integrados e de processamento instantneo, com elevado nmero de operaes e dados processados
94
01/07/2012
Auditor Cdigo de tica 1/2

ISACA - Information Systems Audit and Control Association Associao internacional formada exclusivamente por Profissionais que atuam nas reas de Auditoria de Sistemas, Segurana da Informao e, principalmente, de Governana de TI 140 Pases 50.000 associados em todo o mundo
Cdigo de tica - 2/2

Membros e detentores de certificaes da ISACA devem:
Apoiar a implementao de, e encorajar a aderncia aos modelos, procedimentos e controles para os sistemas de informao. Desempenhar suas atividades com objetividade, dedicao e profissionalismo, de acordo com modelos profissionais e as melhores prticas. Servir aos interesses dos acionistas de forma honesta e legal, mantendo altos padres de conduta e carter e no se relacionando em atos desonrosos profisso. Manter a privacidade e a confidencialidade de informaes obtidas no curso de suas atividades, exceto quanto divulgao for solicitada por autoridade legal. Tais informaes no devem ser usadas em benefcio prprio ou disponibilizadas a terceiros. Manter competncia em seu respectivo campo de atuao e concordar em atuar apenas com as atividades onde tenha razovel expectativa de concluso com competncia profissional. Informar s partes competentes dos resultados obtidos no trabalho, revelando todos os fatos significativos. Apoiar a educao profissional dos acionistas no aumento de sua compreenso dos controles e segurana dos sistemas de informao.
95
01/07/2012
Auditor - Formao
Conceituao de auditoria de sistemas Controle interno Atuao da auditoria de sistemas em sistemas em operao, em desenvolvimento, de Centro de Computao, etc. Produtos finais da auditoria de computador Mecnica de implantao das recomendaes da auditoria Postura do auditado durante a atuao de auditoria de computador
Auditoria nas organizaes Independncia

Presidncia Executiva Auditoria de Sistemas
Diretoria Administrativa
Diretoria Financeira
Diretoria de Vendas
Diretoria de Informtica
96
01/07/2012
Formas de atuao da Auditoria de Sistemas

1. Compreenso do ambiente a ser auditado, levantamento e documentaes. 2. Anlise do ambiente com a determinao das situaes mais sensveis. 3. Elaborao de uma massa de testes. 4. Aplicao da massa de testes 5. Anlise das simulaes e julgamento dos resultados alcanados.
Formas de atuao da Auditoria de Sistemas

6. Emisso de opinio quanto ao ambiente auditado: Apresentao de recomendaes e sugesto de solues alternativas. 7. Debate com profissionais do ambiente auditado sobre as solues alternativas recomendadas para o alcance da soluo mais apropriada. 8. Acompanhamento da implantao da soluo proposta. 9. Novas auditorias de sistemas do ambiente empresarial.
97
01/07/2012
Dificuldades
Defasagem tecnolgica da auditoria de sistemas em relao ao ambiente informatizado. Falta de profissionais no mercado Falta de cultura das empresas Tecnologia em constante movimentao
Desenvolvimento de comrcio eletrnico Aumento do nmero de transaes dirias Diminuio da interveno humana no processamento Evidncia pela validao cada vez menos possvel Novos aspectos da segurana e avaliao de riscos Novos modelos de desenvolvimento de software CMM/CMMI Gerncia de projetos PMI/PMBOK
Necessidades
Fortalecimento das tcnicas de auditoria de sistemas para atuao em ambientes computacionais complexos Criao de metodologias de auditoria de sistemas Aplicao da tecnologia computacional para instrumental operacional de trabalho e como ferramenta de administrao das atividades das auditorias Estudo do custo/benefcio de auditoria de sistemas Critrios para formao e atuao do auditor de Prof. Dr. Hellinton H. Takada sistemas UNIFAI
98
01/07/2012
Tendncias da Auditoria de Sistemas
Ampliao dos servios das empresas de auditoria

Garantia das condies de venda, privacidade, segurana e assistncia ps-venda Certificao que os sistemas dessas empresas esto de acordo com as melhores prticas de conduta Certificao da confiabilidade dos dados transmitidos e da identidade e idoneidade dos diversos intervenientes no processo Certificao, assinatura digital
Alteraes na forma como as auditorias so efetuadas

Novas questes no mbito tcnico-contabilstico e financeiro Antecipao do momento da disponibilizao da opinio de auditoria Modificao eventual dos contedo e formatos da informao a disponibilizar
Stios
http://www.isaca.org.br http://www.ibracon.com.br http://www.ibracon.com.br/empresas.asp http://www.auditoriainterna.com.br/conceit os.htm#codigo
99
01/07/2012
Pontos de controle, anlise de risco, mtodos de auditoria, documentao gerada, metodologia de auditoria, tcnicas de avaliao de sistemas, ferramentas de auditoria
UNIFAI
Auditoria de SI - Conceitos
Validao e avaliao do controle interno do ambiente computadorizado Auditoria significa verificar o uso eficaz de todos os recursos disponveis (recursos humanos, materiais e tecnolgicos)
100
01/07/2012
Controle Interno
uma funo administrativa que consiste no monitoramento de processos (normas e eventos), no seu planejamento, execuo e controle. Objetivo: verificar a conformidade dos padres estabelecidos e detectar situaes de alarme que requeiram uma ao avaliativa, detalhada e profunda. Na Auditoria de Sistemas dado nfase ao controle interno dos processos computacionais e na administrao de TI para certificar a qualidade dos sistemas e dos processos.
Controle Interno
Verificao dos seguintes parmetros: 1. Fidelidade da informao em relao ao dado 2. Segurana fsica 3. Segurana lgica 4. Confidencialidade 5. Legislao 6. Eficincia 7. Eficcia 8. Obedincia s polticas da alta administrao
AICPA American Institute of Certified Public Accountants
http://www.aicpa.org/
101
01/07/2012
Framework de Controles Internos

COSO
Committee of Sponsoring Organizations of the Threadway Commission (USA) - Comit das Organizaes Patrocinadoras da Comisso de Comrcio Auxilia a alta direo na melhoria de controles internos estabelecendo uma sequncia de eventos para a gesto de processos de negcio: Definio dos objetivos da organizao Avaliao do risco Determinao dos controles necessrios
Controles internos Ciclo de vida Fase de Desenvolvimento Fase de Desenvolvimento

Levantamento de informaes Estudo de viabilidade Projeto lgico Projeto fsico Implementao Testes Implantao Segurana fsica e lgica Confidencialidade Eficincia Obedincia legislao Obedincia s polticas
Auditoria no ciclo de vida de um SI
Fase de Produo
Fidelidade da informao em relao ao dado Segurana fsica e lgica Confidencialidade Obedincia legislao Eficincia e Eficcia Obedincia s polticas
Fase de Produo
Reviso Avaliao Realimentao do processo
102
01/07/2012
Pontos de Controle
uma situao caracterizada como de interesse para validao e avaliao segundo parmetros de Controle Interno.
Processo rotinas operacionais e de controle, etapas do desenvolvimento de SI e de manuteno, procedimentos administrativos. Resultado documentos, relatrios, arquivos, estrutura fsica e lgica do sistema. Ex:
Aplicativos mdulo de um sistema Banco de dados tabela de um banco de dados (arquivo) Rede mensagens trafegadas na rede via software de comunicao Equipamentos Aes dos Usurios Atividades do S.O. e antivirus
Ciclo de vida Ponto de Controle e Ponto de Auditoria

Incio N
1) Identificar e caracterizar Ponto de Controle Avaliar?
Fim N S
2) Avaliar Ponto de Controle
S
Fraqueza?
3) Ponto de Auditoria
Implementao da soluo recomendada
103
01/07/2012
Anlise de Risco
Determinar as ameaas
Eventos futuros no desejveis e incertos Resultam em perdas
O dimensionamento do risco permite ao auditor determinar

amplitude e aprofundamento dos procedimentos de auditoria delimitao do escopo e anlise da relao custo/benefcio da auditoria
Exemplo de uma matriz que classifica os pontos de controle de acordo com critrios de probabilidade e efeitos do risco:
Riscos Componentes de SW com defeito Banco de dados no suporta quantidade de dados Tempo subestimado para o desenvolvimento
Probabilidade Moderada Baixa Alta
Efeitos Srios Srios Srios
Metodologia de Auditoria
1) Planejamento e controle do projeto de Auditoria de SI 2) Levantamento do sistema a ser auditado 3) Identificao e inventrio dos pontos de controle 4) Priorizao e seleo dos pontos de controle 5) Aplicao de tcnicas de auditoria para avaliao dos pontos de controle 6) Relatrio de auditoria 7) Acompanhamento da auditoria
104
01/07/2012
Documentao Gerada
Relatrios de Fraquezas de Controle Interno
Objetivos do projeto de auditoria Trabalhos realizados Pontos de controle auditados Concluso sobre cada ponto de controle Para pontos de controle que apresentaram fraquezas deve constar:
Nome e descrio sucinta do ponto de controle Problemas detectados Impactos Recomendaes
Certificado de Controle Interno

Tcnicas de Avaliao de sistemas
1) Softwares de auditoria 2) Questionrio 3) Simulao de dados (test-deck) 4) Visita in loco 5) Mapeamento estatstico 6) Rastreamento de programas (tracing) 7) Entrevista 8) Anlise relatrio / tela 9) Simulao paralela 10) Anlise de log 11) Anlise de programa fonte 12) Snapshot
105
01/07/2012

1) Software de auditoria
Correlaciona arquivos, tabula e analisa o contedo dos mesmos
2) Questionrios de auditoria
Verifica a adequao do ponto de controle aos parmetros de controle interno (segurana fsica, lgica, eficcia, eficincia, etc.) Os questionrios registram situaes que propiciam ao auditor conhecer: plano diretor de informtica; ambiente de banco de dados; segurana lgica.
3) Simulao de dados (test-deck)

Elaborao de massa de teste a ser submetida ao programa ou rotina para testar os controles programados e os controles de sistemas aplicativos. Deve prever situaes de transaes com campos invlidos, valores nos limites, transaes incompletas, transaes incompatveis, transaes em duplicidade.

4) Visita in loco
Consiste na atuao do pessoal de auditoria junto ao pessoal de sistemas e instalaes. importante:
Marcar data e hora para visita Anotar procedimentos e acontecimentos Anotar nomes das pessoas e data e hora das visitas
5) Mapeamento estatstico (mapping)

Permite verificar situaes como:
Quantidade de vezes que cada rotina foi utilizada Rotinas existentes em programas mas j desativadas Rotinas mais utilizadas Rotinas fraudulentas ou irregulares Rotinas de controle
106
01/07/2012

6) Rastreamento de programas
Possibilita seguir o caminho de uma transao durante o processamento do programa. Objetiva identificar as inadequaes e ineficincia na lgica de um programa.
7) Entrevistas no ambiente computacional

Realizao de reunies entre o auditor e o auditado
8) Anlise de relatrios / telas

Analisar relatrios e tela no que se refere a:
Nvel de utilizao pelo usurio Esquema de distribuio e nmero de vias Grau de confidencialidade Forma de utilizao de integrao com outras telas / relatrios Padronizao dos layouts Distribuio das informaes conforme layout
Permite detectar:
Relatrios e telas no mais utilizados Layout inadequado Distribuio indevida de vias Confidencialidade no respeitada Prof. Dr. Hellinton H. Takada UNIFAI

9) Simulao paralela
Elaborao de um programa de computador para simular as funes da rotina sob auditoria Enquanto o test deck simula dados, a simulao pararela simula a lgica do programa
10) Anlise de log / accounting

Verifica o uso dos dispositivos componentes de uma configurao ou rede de computadores e do software aplicativo Permite verificar:
Ineficincia do uso do computador Configurao do computador (dispositivos com folga ou sobrecarregados) Determinao de erros de programa ou de operao Uso de programas fraudulentos ou utilizao indevida Tentativas de acesso indevidas
107
01/07/2012

11) Anlise do programa fonte
Consiste na anlise visual do programa e na comparao da verso do objeto que est sendo executado com o objeto resultante da ltima verso do programa fonte compilado Permite verificar:
Se o programador cumpriu as normas de padronizao do cdigo (tabelas de rotinas, arquivos, programas) Qualidade de estruturao do programa fonte Vcios de programao e atendimentos s caractersticas da linguagem e ambiente
12) Snapshot
Tcnica que fornece uma listagem ou gravao do contedo do programa (acumuladores, chaves, reas de armazenamento), quando determinado registro est sendo processado (dump parcial de memria). Necessita confeco de um software especfico para leitura das informaes
Ferramentas de Auditoria de sistemas

Software generalista de auditoria de TI Vantagens:
Pode processar vrios arquivos ao mesmo tempo Pode processar vrios tipos de arquivos com formatos diferentes, por exemplo EBCDIC ou ASCII Pode fazer uma integrao sistmica com vrios tipos de softwares e hardwares
Desvantagens:
Como o processamento das aplicaes envolve gravao de dados (arquivos) em separado para serem analisados, deve ser utilizado com cuidado em ambiente on-line O software no consegue processar clculos complexos, pois como se trata de um sistema generalista, no aprofunda na lgica e na matemtica muito complexas
108
01/07/2012

Software generalista de auditoria de SI: ACL (Audit Command Language)
software de extrao e anlise de dados (desenvolvido no Canad)
IDEA (Interactiva Data Extraction & Analysis)

software para extrao e anlise de dados (desenvolvido Canad)
Audimation
verso norte-americana do IDEA, da Caseware-IDEA
Galileo
software integrado de gesto de auditoria. Inclui gesto de riscos de auditoria, documentao e emisso de relatrios para auditoria interna
Pentana
software de planejamento estratgico da auditoria, sistema de planejamento e monitoramento de recursos, controle de horas, registro de checklists e programas de auditoria, inclusive de desenho e gerenciamento de plano de ao

Softwares Especialistas de auditoria de SI:
Consiste em programa desenvolvido especificamente para certas tarefas em certas circunstncias Vantagens:
Pode atender sistemas ou transaes no contempladas por softwares generalistas O auditor, quando consegue desenvolver softwares especficos numa rea muito complexa, pode utilizar isso como vantagem competitiva
Desvantagens:
Pode ser muito caro, pois ter uso limitado e normalmente restrito a determinado cliente Atualizao pode ser complicada devido a falta de recursos que acompanhem as novas tecnologias.
109
01/07/2012

Programas utilitrios de auditoria de SI:
O auditor utiliza softwares utilitrios para executar funes muito comuns de processamento
Ordenar arquivo, sumarizar, concatenar, gerar relatrios. EXCEL, ou recursos de bancos de dados como o SQL, Dbase2
Vantagem:
Pode ser utilizado como alternativa na ausncia de outros recursos
Desvantagem:
Pode necessitar do auxlio do funcionrio da empresa auditada para operar a ferramenta (no caso de ferramentas complexas)
Stios
http://www.auditsafe.com.br http://www.isaca.org; http://www.isaca.org.br http://www.issabrasil.org http://www.ibpbrasil.com.br
110
01/07/2012
Plano de Continuidade de Negcios
UNIFAI
Plano de Continuidade de Negcios (PCN)

Procedimentos e Planos que se criam com antecedncia visando ...
MINIMIZAR EFEITOS DE DESASTRES
MANTER OS PROCESSOS VITAIS
DEFINIR AES QUE PERMITAM MANTER OPERACIONAIS ATIVIDADES E REAS VITAIS

111
01/07/2012

Metodologia para permitir que os servios continuem a operar em caso de interrupo combinando aes de preveno e recuperao. Minimizar o tempo de indisponibilidade dos servios para diminuir as perdas (imagem, financeiras, negcios).

Faz parte de uma estratgia ou poltica de continuidade de negcios mais abrangente na empresa Responsabilidade da alta gerncia, a qual deve envolver toda organizao.
112
01/07/2012
Motivao para ter um PCN

Adequao regulatria
Basilia II; Res. 3.380 do Bacen; Anatel;
Impacto financeiro elevado em caso de Downtime Processos de negcio globais

Supply chain, Customer Service, etc.
Implementao de um programa de certificao de qualidade Problemas com Outsourcing

Quarteirizao, Gerenciamento da cadeia de provedores de servio
Aumento de complexidade
Volumes crescentes de servidores, dados, interligaes, sistemas, plataformas, bancos de dados
Como a empresa est preparada para lidar com o inevitvel ou o inesperado?
Objetivos na implementao de um PCN

Maior controle e documentao dos processos Minimizao dos riscos operacionais de TI Disponibilidade contnua Melhoria nos processos de TI Implementao de Processos de controle de terceiros Definio de SLAs adequados
113
01/07/2012
Falhas
Desastres (incndio, desabamento, terremoto, inundao, furaces, raios) Greves e paralizaes (transporte, sindicato) Colapso da rede eltrica, gua, ar-condicionado, nobreak, gerador Indisponibilidade de linhas de comunicao, geradores, mal funcionamento dos equipamentos Perda de arquivos, configuraes erradas, vrus de computador Sabotagem.
Impactos de um desastre
Curto prazo
Paralisao e transtorno das atividades Perda de equipamentos Destruio de instalaes Perda de receita Sanes e multas por no atendimento a requerimentos regulatrios
Mdio e longo prazo

Perda de mercado Aes judiciais Insatisfao dos clientes Danos imagem da empresa Aumento do Turnover Oportunidades para a concorrncia
114
01/07/2012
Fases de elaborao do Plano de Contingncia

1 Atividades preliminares
Conscientizao corporativa Identificao de servios crticos
2 Anlise de riscos e impacto

Identificao dos riscos e impactos da interrupo de servios crticos sobre a organizao Subsidia a estratgia da organizao em termos de recuperao e preveno de acidentes e falhas
fonte: Carlos Henrique Cotta Natale

3 Anlise das alternativas de disponibilidade
Anlise de custos das solues Alternativas para melhorar a disponibilidade:
processos de gerenciamento, operao, suporte e manuteno
4 Desenvolvimento do plano de contingncia

Procedimentos, recursos
115
01/07/2012

5 Treinamento
Garante a eficincia do plano de continuidade de negcios da organizao.
6 Testes
O plano de contingncia deve ser testado para treinar as pessoas envolvidas e avaliar os procedimentos e resultados.
7 - Implementao e manuteno peridica

Implementaes de solues internas e aes para o plano ser continuamente aprimorado
Nvel de Criticidade
Sistemas e servios so classificados de acordo com o seu nvel de criticidade:
Nvel de Criticidade
Nvel I - Baixa
Quando utilizar
Sistema ou Servio cuja interrupo no afeta outros sistemas ou servios e pode ser acionada uma contingncia manual. Sistema ou Servio cuja interrupo afeta outros sistemas ou servios e pode ser acionada uma contingncia manual. Sistema ou Servio cuja interrupo afeta outros sistemas ou servios, atingindo alguns setores da empresa. Sistema ou Servio cuja interrupo afeta toda empresa causando interrupo de muitos servios, perdas financeiras, de negcios e de imagem.
Tempo de recuperao
Maior 24h
Nvel II Moderada
24h
Nvel III Alta
12h
Nvel III Crtico
3h
116
01/07/2012
Equipes de contingncia
Pessoas com responsabilidades de avaliar, documentar, relatar e atuar sempre que forem convocadas Quem faz o que, quando e como Organizao na recuperao Listas de acionamento
Planos de contingncia
Plano de Administrao de Crise Plano de Continuidade Operacional Plano de Recuperao de Desastres
117
01/07/2012
Plano de Administrao de Crise

Define passo-a-passo o funcionamento das equipes
Antes, durante e depois da ocorrncia do incidente
Define os procedimentos a serem executados at o retorno normal das atividades

Exemplo: comunicao do fato imprensa
Plano de Continuidade Operacional

Define os procedimentos para contingenciamento dos ativos que suportam cada processo de negcio Reduzir o tempo de indisponibilidade e os impactos potenciais ao negcio
Ex: as aes diante da queda de uma conexo Internet
118
01/07/2012
Plano de Recuperao de Desastres

Define um plano de recuperao e restaurao das funcionalidades dos ativos que suportam o negcio:
Humanos Operacionais Tecnolgicos
Restabelecimento do ambiente e das condies originais de operao

Aspectos importantes
Outros aspectos importantes
Preveno de Acidentes
Controles de acesso Poltica de pessoal adequada Manuteno preventiva de equipamentos Equipamentos de deteco e extino de fogo e treinamento de pessoal Campanha de conscientizao dos funcionrios quanto segurana de recursos materiais e informaes
119
01/07/2012
Aspectos importantes
Backup
Polticas de backup, validao, duas cpias armazendas em lugares diferentes, armazenagem
Procedimentos manuais (para alguns servios) Seguros e contratos de manuteno Estratgias de contingncia
Uso de equipamentos do fornecedor do hardware Hospedagem em datacenter Hot site Cold site
Equipes de contingncia
Solues
Rotinas de Backup Configurao RAID em servidores espelhamento e redundncia Redundncia de links de internet Redundncia de infra-estrutura de redes e telefonia Manter equipamentos reservas, em caso de falhas (Computadores, Equipamentos de Rede) Servidores com alta disponibilidade (hardware e software) No-breaks Equipamentos Anti-incndio na sala dos servidores Monitoramento e controle de acesso sala dos servidores Backup-site em caso de um desastre Softwares de monitoramento Cofre anti-incndio para armazenar mdias de backup
120
01/07/2012
Auditoria do PCN
O auditor deve analisar os planos existentes como parte da auditoria de segurana de informaes. As fragilidades e as deficincias detectadas devem estar no relatrio de auditoria. Entre os objetivos de avaliao do PCN pela Auditoria esto:
O PCN possui o aval da diretoria? Os recursos crticos e suas prioridades foram identificados? H planos desenvolvidos que contemplem todas as necessidades de contingncias? Os planos so suficientemente abrangentes para cobrir aspectos fsicos, lgicos, redes, pessoas? A equipe de contingncia est preparada para eventualidades? Os planos so testados e atualizados periodicamente? Existem procedimentos para diferentes graus e extenso de desastre?
ISO/IEC 17799
Um processo de gerenciamento de continuidade deve ser implementado para reduzir os distrbios causados por desastres e falhas de segurana (...). Planos de contingncia devem ser desenvolvidos e implementados para assegurar que os processos de negcios possam ser restaurados dentro de escalas de tempo aceitveis. Esses planos precisam ser mantidos e praticados, de ordem a se tornarem parte integral de todos os demais processos de gerenciamento.
(Gerenciamento de Continuidade dos Negcios, International Standard ISO/IEC 17799, Chapter 11, 2000(E) )
121
01/07/2012
Disponibilidade do Servio
Percentual do tempo em que o servio ficou em operao. Disponibilidade = 1- Indisponibilidade
Considere um servio que necessita 24h 7d por semana Se o servio ficou fora de operao por um dia a indisponibilidade anual de 1/365 = 0,27% A Disponibilidade 99,73%.
Disponibilidade Tempo indisponvel a (%) em um ano 99,9999999 99,999999 99,99999 99,9999 99,999 99,99 99,9 99,0
0,03 0,32 3,15 31,54 5,26 52,56 8,76 3,65 36,50
seg seg seg seg min min hrs dias dias
90
Controle de Mudanas
UNIFAI
122
01/07/2012
Controle de Mudanas
Todas as alteraes devem ser autorizadas, documentadas e testadas Processo de mudanas
Garantir que a transio ocorra de forma tranqila Minimizar riscos Detectar fraudes
O que provoca uma Mudana?

Atualizao tecnolgica Maior capacidade de processamento e armazenamento Manuteno peridica Atualizao e identificao de problemas nos sistemas Identificao de vulnerabilidades no sistema
123
01/07/2012
Controles de mudanas inadequados

Uso de Software e Hardware no autorizado Processamento e relatrios incorretos Insatisfao do usurio Dificuldades de manuteno por falta de documentao e histrico Mudanas sem a devida autorizao Mudanas de emergncia sem o devido acompanhamento
Procedimentos de controle de Mudanas

Exemplo atualizao de sistema: 1) Registro de solicitao de mudana feito. 2) feita a anlise da mudana, possveis impactos, priorizao. 3) Uma especificao da alterao do programa feita e submetida aprovao gerencial. 4) No ambiente de testes o programador desenvolve as alteraes.
124
01/07/2012
Procedimentos de controle de Mudanas

5) As modificaes so testadas no ambiente de homologao. 6) Equipe/responsvel pela coordenao da mudana integra as aes de todas as reas para o xito da mudana:
Se houver parada do ambiente de produo os Clientes so avisados. Documentao e procedimentos da mudana so preparados, etc.
7) Aprovao da gerncia 8) Execuo da mudana

Inclui backup, alterao, testes pelo cliente, liberao do ambiente
9) Relatrio das atividades.
Mudanas de Emergncia
Devem ser implementadas rapidamente Complementar os passos que foram pulados do procedimento ordinrio
125
01/07/2012
Lista de Verificaes
Documentar todas as modificaes e implementar somente se aprovadas pela gerncia Avaliar o impacto das mudanas antes de implementlas e o efeito de no implement-las Definir os recursos necessrios Preparar plano para voltar ao status inicial Impedir nova alterao aps os testes e a aprovao Planejar a execuo com o mnimo de impacto aos clientes Registrar as atividades da mudana
Controle de Verso
Garantir
Utilizao da verso correta de software Transaes sejam processadas pela verso correta Histrico de verses Controlar ambiente com vrios programadores
Softwares:
CVS, ClearCase, SourceSafe
126
01/07/2012
Trabalho em Grupo:
Elaborar para a empresa em estudo:
Plano de Continuidade de Negcios Plano de Contingncia Documento de Controle de Mudanas
Segurana de SI AULA 9
UNIFAI
127
01/07/2012
Introduo
Informao como Ativo Os Pilares da Segurana O papel do usurio na segurana Norma ABNT NBR ISO-IEC 17799 Direito Autoral O Impacto da Pirataria
Informao como Ativo

A informao um ativo da empresa, assim, como moblia, computadores, imveis Muitas vezes a informao um ativo mais importante do que os computadores que a armazenam
128
01/07/2012
Os Pilares da Segurana
O papel do usurio na segurana

Todo usurio deve reportar incidentes de segurana Cada usurio responsvel pela sua senha O usurio no deve baixar ou instalar software O usurio deve utilizar e-mail e Internet para o seu trabalho As informaes da empresa pertencem empresa, e no devem ser divulgadas sem autorizao
129
01/07/2012
Norma ABNT NBR ISO-IEC 17799

Cdigo de Prticas para o Gerenciamento da Segurana da Informao Define 127 controles de segurana opcionais referncia mundial no controle da segurana da informao um guia que auxilia o gestor de segurana Pode ser utilizado para a certificao BS-7799
NBR ISO 17799
UNIFAI
130
01/07/2012
Objetivo da NBR ISO 17799

Esta norma fornece recomendaes para gesto da segurana da informao para uso por aqueles que so responsveis pela introduo, implementao ou manuteno da segurana em suas organizaes.
Pontos Relatados pela Norma

Poltica de Segurana de Informao. Segurana Organizacional. Classificao dos Ativos da Organizao. Segurana em Pessoas. Segurana Fsica e do Ambiente. Gerenciamento das operaes e comunicaes. Controle de Acesso Desenvolvimento e Manuteno de Sistemas. Gesto da Continuidade de Negcio. Conformidade
131
01/07/2012
1) Gerenciamento das Operaes e Comunicaes.

Objetivos:
Documentao dos Procedimentos de Operao Elaborar documentos formais sobre os procedimentos para cada tarefa.
Processamento e tratamento de informao. Interdependncias com outros sistemas. Instrues para tratamento de erros. Contato com os tcnicos do suporte para o caso de eventos operacionais no esperados ou dificuldades tcnicas. Procedimento para o reincio e recuperao para o caso de falha do sistema.
1.1) Procedimentos para o Gerenciamento de Incidentes

Convm que as responsabilidades e procedimentos de gerenciamento de incidentes sejam definidos para garantir uma resposta rpida, efetiva e ordenada aos incidentes de segurana. Convm que sejam estabelecidos procedimentos que cubram todos os tipos potenciais de incidentes de segurana, incluindo:
falhas dos sistemas de informao. erros resultantes de dados incompletos ou Inconsistentes. violao de confidencialidade.
132
01/07/2012
1.2) Planejamento e Aceitao de Sistemas

Convm que projees da demanda de recursos e da carga dos equipamentos sejam feitas para reduzir o risco de sobrecarga dos sistemas. Convm que sejam estabelecidos critrios de aceitao de novos sistemas, atualizaes e novas verses e que sejam efetuados testes apropriados dos sistemas antes da sua aceitao:
requisitos de desempenho e de demanda de capacidade computacional. evidncia de que a instalao do novo sistema no afetar de forma adversa os sistemas j existentes. treinamento na operao ou uso de novos sistemas.
1.3) Proteo contra Software Malicioso

Os ambientes de processamento da informao e os softwares so vulnerveis introduo de software malicioso, tais como vrus de computador, cavalos de Tria e outros. Uma poltica formal exigindo conformidade com as licenas de uso do software e proibindo o uso de software no autorizado. Verificao, antes do uso, da existncia de vrus em qualquer arquivo de origem desconhecida ou no autorizada.
133
01/07/2012
2) Controle de Acesso
Objetivo: Controlar o acesso informao. Convm que o acesso informao e processos do negcio sejam controlado na base dos requisitos de segurana e do negcio.
2.1) Polticas de Controle de Acesso / Requisitos do Negcio

Convm que as regras de controle de acesso e direitos para cada usurio ou grupo de usurios estejam claramente estabelecidas no documento da poltica de controle de acesso. Deve levar em conta tambm:
Identificao de toda informao referente aplicaes do negcio. Gerenciamento dos direitos de acesso. s
134
01/07/2012
2.1) Polticas de Controle de Acesso / Regras

Na especificao de regras para controle de acesso, convm que alguns cuidados sejam considerados: Diferenciao entre as regras que sempre devem ser cumpridas das regras opcionais ou condicionais. Diferenciao entre regras que requerem aprovao do administrador ou outro funcionrio.
2.2) Gerenciamento do Acesso do Usurio

Convm que seja dada ateno especial, onde apropriado, necessidade de controlar a concesso de direitos de acesso privilegiados, os quais permitem aos usurios sobrepor os controles do sistema.
135
01/07/2012
2.2.1) Registro do Usurio

Convm a utilizao dos seguintes itens:
Utilizao de identificador de usurio (ID) nico. Verificao de que o usurio tem autorizao do proprietrio do sistema para a utilizao do sistema de informao ou servio. Verificao peridica para remoo de usurios (ID) e contas redundantes.
2.2.2) Gerenciamento de Senhas de Usurios

Convm a utilizao dos seguintes itens:
Solicitar aos usurios a assinatura de uma declarao, a fim de manter a confidencialidade de sua senha pessoal e das senhas de grupos de trabalho. Garantir, onde os usurios necessitam manter suas prprias senhas, que esto sendo fornecidas senhas Iniciais seguras e temporrias, o que obriga o usurio a alter-la imediatamente.
136
01/07/2012
2.3) Controle de Acesso Rede

Objetivo: Proteo dos Servios de Rede necessrio para garantir que usurios com acesso s redes e aos servios de rede no comprometam a segurana desses servios, assegurando:
Uso de interfaces apropriadas. Uso de mecanismos de autenticao apropriados para usurios e equipamentos.
2.3.1) Poltica de utilizao de servios de rede

Conexes no seguras a servios de rede podem afetar toda a organizao. Deve incluir:
Procedimentos de autorizao para a determinao de quem tem acesso a que redes e a quais servios de rede. Procedimentos e controles de gerenciamento para proteger o acesso s conexes e servios de rede.
137
01/07/2012
2.4) Autenticao de n
Convm que as conexes a sistemas remotos de computadores sejam autenticadas. A autenticao de n pode servir como um meio alternativo de autenticao de grupos de usurios remotos, onde eles so conectados a um recurso computacional seguro e compartilhado
2.5) Segurana ao Acesso ao Sistema Operacional

Deve permitir a:
Identificao e verificao da identidade. Registro dos sucessos e das falhas de acesso ao sistema. Fornecimento de meios apropriados para a autenticao; se um sistema de gerenciamento de senhas for usado. Convm que ele garanta senhas de qualidade.
138
01/07/2012
3) Desenvolvimento e Manuteno de Sistemas / Requisitos

Convm que requisitos de segurana sejam identificados e acordados antes do desenvolvimento dos sistemas de informao.
3.1) Anlise e Especificao dos Requisitos

Na especificao dos requisitos do negcio para novos sistemas, ou melhoria nos sistemas j existentes, convm que tambm se especifiquem os requisitos de controle. Convm que tais especificaes considerem os controles automatizados a serem incorporados no sistema e a necessidade de suporte a controles manuais. Convm que os requisitos e controles de segurana reflitam o valor, para o negcio.
139
01/07/2012
3.2) Segurana nos Sistemas de Aplicao / Validao de Dados de Entrada

Prevenir perda ou uso imprprio de dados do usurio nos sistemas de aplicaes. Convm que os dados dos sistemas sejam validados para garantir que esto corretos e que so apropriados.
3.2) Segurana nos Sistemas de Aplicao / Validao de Dados de Entrada

Recomenda-se que os seguintes controles sejam utilizados para deteco de erros:
Valores fora dos limites aceitveis. Dados ausente e incompletos. Dados excedendo os valores mximos e mnimos. Anlise crtica e peridica. Procedimentos de resposta validao de erros. Procedimentos de teste.
140
01/07/2012
3.3) Controles de Criptografia

Objetivo: Proteger a confidencialidade, autenticidade ou integridade das informaes. Convm que tcnicas e sistemas criptogrficos sejam usados para a proteo das informaes que so consideradas de risco. Convm que uma avaliao de riscos seja executada: Esta avaliao pode ser usada para determinar se um controle criptogrfico apropriado, que tipo de controle deve ser aplicado e para que propsito e processos do negcio.
Direito Autoral
UNIFAI
141
01/07/2012
Direito Autoral
Lei 9.609/98: Dispe sobre a propriedade intelectual de programa de computador Lei 9.610/98: Dispe sobre direitos autorais Pena de deteno de 6 meses a 4 anos Multa de 3000 vezes o valor do software
Exemplos de aplicao da Lei

Software: WinZip 9.0 Custo: R$ 72,50 por unidade Multa: R$ 217.500,00 por computador pirata Software: MS Office 2003 Std Custo: R$ 734,00 por unidade Multa: R$ 2.202.000,00 por computador pirata
142
01/07/2012
Impacto da Pirataria
Para a empresa
Prejuzo financeiro (multa) Prejuzo imagem Softwares com vrus Softwares sem suporte do fabricante
Para o funcionrio
Prejuzo legal (deteno) Demisso
Quem fiscaliza quem

As fiscalizaes so conduzidas pela ABES Associao Brasileira de Empresas de Software) A ABES fiscaliza tanto empresas pblicas quanto empresas privadas, sem distino A ABES aceita denncias annimas http://www.abes.org.br
143
01/07/2012
Auditoria de Sistemas Tcnicas

Prof. Dr Hellinton H. Takada
UNIFAI
Tcnicas de Auditoria
Para execuo de trabalhos h necessidade de conhecimento da tecnologia de computao e da forma como aplic-la; As tcnicas so aplicadas tanto a nvel de anlise de sistemas quanto de programao;
As tcnicas devero levar em considerao:
parmetro de CI a ser atendido; momento da aplicao da tcnica; ambiente tecnolgico de computao vivenciado.
144
01/07/2012
Tcnicas de Auditoria
Tcnicas de Auditoria de Computadores:
Programa de computador; Questionrios; Simulao de dados (test-deck); Mapeamento estatstico (mapping); Visita in loco; Rastreamento (tracing); Entrevista; Anlise de relatrios/telas; Simulao paralela; Anlise log/accounting; Anlise do programa fonte; Exibio parcial da memria snapshot.
Programa de Computador
Programa de computador para auditoria
Correlaciona arquivos, tabula e analisa o contedo dos mesmos; usado em arquivos seqenciais, indexados seqenciais ou banco de dados; Tanto em computadores de grande porte quanto em microcomputadores; Pode ser construdo pelo auditor via conhecimento de uma linguagem de programao; A utilizao de programas utilitrios e a aquisio de pacotes prontos, comercializados no mercado, tambm so opes para aplicao da tcnica.
145
01/07/2012
Opes para aplicao da tcnica:
tabulao de campos
somatrio de datas de vencimento de ttulos gerando um hash-total que dever ser confrontado com o campo correspondente gravado no registro trailer, ou monitorado fora do sistema aplicativo pelo auditor; somatrio dos campos de valores quantitativos para efeito de confrontao ou acompanhamento de acumuladores anlogos.
contagem de campos/registros
apurao de totais por tipo de registro ou campo.
anlise contedo campos/registros

verificao da existncia de campos ou registros em um arquivo; correlao entre campos de um mesmo arquivo para verificao da coerncia e validade desses campos;
correlao de arquivos
confronto de campos entre registros com vistas garantia de ambos os arquivos.
Preparao do ambiente de teste

Para aplicao da tcnica programa de computador, primeiramente necessrio a identificao do arquivo correto a ser validado.
Procedimentos de teste a serem executados:

Entrevista com o analista de sistemas ou com o usurio para confirmao do ponto exato no fluxo em que se tem os dados a analisar; Identificao do cdigo do arquivo e de seu layout
pela anlise da documentao do sistema disponvel; pela anlise do programa do sistema que trabalha o referido arquivo; ou pela anlise do book de arquivos existentes no CPD.
146
01/07/2012
elaborao do(s) programa(s) de computador para auditoria em uma linguagem de programao ou preparao de parmetros para uso de programas utilitrios ou de softwares de auditoria; Anlise do LOG/ACCOUNTING de utilizao do computador; Aplicao do programa de computador para auditoria sobre o(s) arquivo(s) no ambiente do micro da auditoria interna; Anlise dos resultados da auditoria do arquivo efetuada, via leitura dos relatrios obtidos ou acesso via terminal ao arquivo com os resultados da auditoria; Emisso de opinio com a elaborao do relatrio de auditoria, acerca das fraquezas identificadas; Documentao de todo o processo de auditagem com a elaborao de pastas de auditoria consolidando os papis de trabalho.
No encontrar fraquezas nos dados dos arquivos no significa que, os processos geradores destes arquivos, estejam totalmente corretos, mas que no processamento que gerou os dados sob auditoria no ocorreram situaes de erro.
147
01/07/2012
Questionrios para Auditoria

Corresponde a elaborao de um conjunto de perguntas com o objetivo de verificao de determinado PC do ambiente computacional; Aspectos crticos a serem analisados:
Caractersticas do PC correspondem natureza da tecnologia computacional e o correspondente perfil tcnico do auditor que ir aplicar o questionrio. Momento histrico empresarial ou objetivos da verificao do PC determinam a nfase a ser dada ao parmetro do CI.
Ter questionrio sobre:

Segurana em redes de computadores
segurana fsica dos equipamentos; segurana lgica e confidencialidade do software/informaes que trafegam nos canais de comunicao.

Segurana do CPD
controle de acesso fsico e lgico s instalaes de processamento de dados; segurana ambiental no tocante infra-estrutura:
combate a incndios; inundaes; atentados e sabotagens; situaes de greve e etc.
Eficincia no uso dos recursos computacionais

tempo mdio de resposta em terminal; tempo de uso dos equipamentos a cada dia;
Eficcia de sistemas aplicativos

prazo de atendimento de novos sistemas, aos usurios; tempo mdio de soluo dos problemas dos usurios da rede de computao, provida pelo suporte.
148
01/07/2012

pode ser aplicada distncia, ou seja envia ao auditado, respondido e analisado pelo auditor centralizadamente. Permite uma auditagem constante com menor nmero de auditores; elaborao de perguntas que imponham respostas conclusivas e, de preferncia, quantificveis. No fazer pergunta do tipo:
o que feito no momento A ou B? como feita a tarefa A ou B?
Fazer perguntas do tipo:

voc exerce a funo A ou B? (sim ou no) quantas horas voc gasta nas tarefas A, B ou C?
Simulao de Dados (test-deck)

a tcnica por excelncia aplicada para teste de processos computacionais; Corresponde elaborao de um conjunto de dados de teste a ser submetido ao programa de computador ou a determinada rotina que compe, que necessita ser verificada em sua lgica de processamento; Os dados simulados de teste necessitam prever situaes corretas e situaes incorretas;
transaes com campos invlidos; transaes com valores ou quantidades nos limites de tabelas de clculos;
149
01/07/2012
Simulao de Dados (test-deck)

Etapas para aplicao do Test-Deck
Compreenso do mdulo do sistema a ser avaliado; identificao de programas e arquivos via:
documentao; entrevistas com analistas e usurios; DFD;
Elaborao dos formulrios de controle de teste; Transcrio dos dados de teste para um meio aceito pelo computador. Obs.: uma opo do AS copiar partes do arquivo real de entrada no programa e fazer, via programa de computador, as alteraes desejadas para alimentao da simulao de dados necessria. A simulao de dados deve testar o programa sob auditoria na prpria CPU e com o mesmo sistema operacional do computador onde processado.
Avaliao dos resultados do teste; Emisso de opinio acerca do ponto de controle;

Visita In Loco
Corresponde atuao pessoal do auditor junto a sistemas, procedimentos e instalaes do ambiente computadorizado; Procedimentos: Marcar data e hora com o responsvel que ir acompanhar as verificaes, ou convoc-lo no momento da verificao, caso seja surpresa; Anotar procedimentos e acontecimentos; Coletar documentos; Anotar nomes completos das pessoas e data e hora das visitas realizadas; Analisar os papis de trabalho obtidos, avaliar respostas e a situao identificada; Emitir opinio via relatrio de fraqueza de CI (Controle Interno).
150
01/07/2012
Mapeamento Estatstico (Mapping)

Tcnica de computao que pode ser utilizada pelo auditor para efetuar verificaes durante o processamento dos programas, flagrando situaes como:
rotinas no utilizadas; quantidade de vezes que cada rotina foi utilizada quando submetida ao processamento de uma quantidade de dados.
A anlise dos relatrios permite a constatao de:

rotinas existentes em programas j desativadas ou de uso espordico; rotinas fraudulentas e de uso em situaes irregulares; rotinas mais utilizadas, normalmente, a cada processamento do programa;
Rastreamento dos Programas de Computador

Tcnica que possibilita seguir o caminho de uma transao durante o processamento do programa; Permite identificar rotinas fraudulentas, atravs da alimentao de transaes particulares;
151
01/07/2012
Entrevistas no Ambiente Computacional

Corresponde realizao de reunio entre o auditor e os auditados; frequentemente casada com outras tcnicas: visita in loco, questionrios, test-deck; Seqncia dos procedimentos:
Analisar o PC e planejar a reunio com os profissionais envolvidos.
Marcar antecipadamente data, hora e local com os auditados; Comunicar a natureza de trabalho a ser desenvolvido; Realizar estas tarefas via carta ou memorando.
Entrevistas no Ambiente Computacional

Elaborar um questionrio para realizao da entrevista; Realizao da reunio com a aplicao do questionrio e anotao das respostas e comentrios dos entrevistados a cada questo efetuada;
dependendo do nvel de sensibilidade das questes, as reunies devem ser individuais; devem ser respeitados os nveis hierrquicos das reas auditadas comunicando aos superiores a natureza da tarefa.
Elaborao de uma ata de reunio com o registro dos principais pontos discutidos a cada questo apresentada;
distribuir cpia da ata da reunio para cada participante de entrevista;
Anlise das respostas e formao de opinio acerca do nvel de CI do PC; Emisso do relatrio de fraqueza de CI.
152
01/07/2012
Anlise de Relatrios/Telas
Implica a anlise de documentos, relatrios e telas do sistema sob auditoria: Realizar as entrevistas e anotar as observaes e comentrios dos usurios; Analisar as entrevistas e anotar as observaes e comentrios dos usurios; Analisar as respostas, formar e emitir opinio acerca do nvel de CI.
Simulao Paralela
Elaborao de um sistema para simular as funes de rotina do sistema sob auditoria; Esta tcnica utiliza-se dos dados rotineiros alimentados rotina do sistema sob auditoria como entrada para o programa desenvolvido pelo auditor. Na simulao paralela simulamos o programa e submetemos os mesmos dados que foram alimentados ao programa em processamento normal, diferente do test-deck. Aplicao
Elaborao de um sistema com a lgica da rotina a ser auditada; Compilao e teste do sistema; Preparao do ambiente de computao para processamento do sistema elaborado pelo auditor.
153
01/07/2012
Anlise do Log/Accounting
O auditor dever usufruir de um sistema de auditoria de Log/Accounting, caso inexistente, adquirir ou construir; Este sistema trabalhar registros de:
contabilizao quais usurios utilizam quais programas e por quanto tempo; tempo de CPU por dia; tempo de uso de unidades de entrada e sada; quantidade de vezes de utilizao de unidades de entrada e sada; tempo de utilizao; quantidade de cancelamentos efetuados pelo operador;
Anlise do Programa Fonte

Anlise visual do cdigo fonte do programa componente do sistema sob auditoria; O auditor necessita assegurar-se de que est testando a verso correta do programa; Exige do auditor profundos conhecimentos em PED; Permite ao auditor:
Analisar a qualidade da estruturao dos programas; Detectar vcios de programao e o nvel de atendimento s caractersticas da linguagem de programao utilizada.
154
01/07/2012
Snapshot
Tcnica que fornece uma listagem ou gravao do contedo das variveis do programa (acumuladores, chaves, reas de armazenamento) quando determinado registro est sendo processado; uma tcnica usada como auxlio depurao de programas, quando h problemas que realmente exige fortes conhecimentos de PED.
Trabalho em Grupo:
Elaborar:
Documento de Auditoria com Levantamento de Vulnerabilidades de Segurana de TI Documento de Auditoria com Estudo de Riscos de Segurana de TI Documento de Auditoria com Mecanismos/Solues para as Vulnerabilidades de Segurana de TI (Seguindo as orientaes passadas pelo professor em aula!)
155

Adm de Si II - 1sem2013

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Adm de Si II - 1sem2013

Uploaded by

Copyright:

Available Formats

01/07/2012

Aula Introdutria: Administrao de Sistemas de Informao II AULA 1

Prof. Dr. Hellinton H. Takada

Prof. Dr. Hellinton H. Takada UNIFAI

Prof. Dr. Hellinton H. Takada UNIFAI

Livros listados na ementa do curso

Prof. Dr. Hellinton H. Takada UNIFAI

Tpicos Principais do Semestre

Prof. Dr. Hellinton H. Takada UNIFAI

Prof. Dr. Hellinton H. Takada UNIFAI

Prof. Dr. Hellinton H. Takada UNIFAI

Pr-Requisitos Iniciais dos Trabalhos do Semestre AULA 2

Elaborao de Plano de Negcios para as Empresas da Atividade

Elaborao de Plano de Negcios para as Empresas da Atividade

Por que desenvolver Planos de Negcio durante a atividade do semestre?

Estrutura Geral de Plano de Negcios

Estrutura Geral de Plano de Negcios

Anlise de Mercado Plano de Marketing Plano Financeiro Anexos

Administrao de Sistemas de Informao AULA 3

Prof. Dr. Hellinton H. Takada UNIFAI

Prof. Dr. Hellinton H. Takada UNIFAI

PESSOAS PROCEDIMENTOS REDE

Prof. Dr. Hellinton H. Takada UNIFAI

Prof. Dr. Hellinton H. Takada UNIFAI

Prof. Dr. Hellinton H. Takada UNIFAI

Sistemas Integrados AULA 4

Tipos de Sistemas Integrados

Prof. Dr. Hellinton H. Takada UNIFAI

Prof. Dr. Hellinton H. Takada UNIFAI

Por que usar ERP nas empresas?

Prof. Dr. Hellinton H. Takada UNIFAI

Componentes ERP Mdulos de Software

Estrutura ERP Tpica

Representantes de Vendas e servios

Gerenc. Rec. Humanos

Prof. Dr. Hellinton H. Takada UNIFAI

Prof. Dr. Hellinton H. Takada UNIFAI

Prof. Dr. Hellinton H. Takada UNIFAI

Prof. Dr. Hellinton H. Takada UNIFAI

G2C/C2G = government-to-consumer/ consumer-to-government

Prof. Dr. Hellinton H. Takada UNIFAI

Mudanas ocorridas implantao de CRM

Integrao de reas; Foco se desloca do produto para o cliente

Prof. Dr. Hellinton H. Takada UNIFAI

Prof. Dr. Hellinton H. Takada UNIFAI

Prof. Dr. Hellinton H. Takada UNIFAI

Prof. Dr. Hellinton H. Takada UNIFAI

Trabalho em Grupo: Levantamento de Requisitos de SI

Tcnicas de Levantamento de Requisitos

Prof. Dr. Hellinton H. Takada UNIFAI

Trabalho em Grupo: Levantamento de Requisitos de SI

Prof. Dr. Hellinton H. Takada UNIFAI

Gerenciamento de Projetos RUP AULA 5

Razes para o Fracasso

Prof. Dr. Hellinton H. Takada UNIFAI

Prof. Dr. Hellinton H. Takada UNIFAI

Prof. Dr. Hellinton H. Takada UNIFAI

RUP Conceitos Bsicos

Fluxo de Atividade (Workflow):

Prof. Dr. Hellinton H. Takada UNIFAI

RUP Conceitos Bsicos

O ciclo de vida dividido em 4 fases e cada fase dividida em iteraes

RUP Exemplos de Workflows e Modelos

Prof. Dr. Hellinton H. Takada UNIFAI