TCC Senac Final PDF

FACULDADE DE TECNOLOGIA SENAC CRICIMA
Ps-Graduao Lato Sensu em Segurana da Informao
Caio Campos Marcos

Christiam Harom Daminelli
Gledson Scotti
Helton Alixandre Raiciki
ESTUDO DA SEGURANA DA INFORMAO DA EMPRESA OCULT

CONTABILIDADE
Cricima
2017
Caio Campos Marcos
Gledson Scotti

CONTABILIDADE
Trabalho apresentado Faculdade Senac

Cricima como requisito parcial para a
obteno do ttulo de especialista em
Segurana da Informao.
Orientador (a): Prof. MSc. Leila Las

Gonalves
Cricima
2017
FICHA CATALOGRFICA
Caio Campos Marcos
Gledson Scotti

CONTABILIDADE
Trabalho apresentado Faculdade Senac

Cricima como requisito parcial para a
obteno do ttulo de especialista em
Segurana da Informao.
_____________________________________
Prof. Leila Las Gonalves (Orientadora)
_____________________________________
Prof. Flavio Iwao Yamanaka (Avaliador)
_____________________________________
Prof. Eli Lopes da Silva (Avaliador)
Cricima
2017
AGRADECIMENTOS
A todos q, direta indiretamente, fizeram parte da nossa formao,

nosso muito obrigado.
RESUMO
As organizaes buscam cada vez mais pelo destaque dentro do mercado de

negcios, onde a rea de tecnologia se torna uma estratgia quando bem aplicada,
auxiliando no alcance dos objetivos e agregando qualidade aos processos. A
informao considerada um dos bens mais preciosos das empresas e utiliza de
muitos recursos tecnolgicos em seu trafego e manipulao diria, trazendo um
risco quanto a sua integridade, disponibilidade e confiabilidade, se mal geridas. Com
isto as Melhores Prticas e normas disponveis no mercado trazem consigo uma
vasta metodologia que auxiliam as empresas com a segurana de suas informaes,
sendo elas fsicas ou no meio digital. A proposta do trabalho , por meio das
melhores prticas e normas que tratam sobre segurana da informao, analisar um
ambiente empresarial e propor a partir do seu estudo a criao de uma poltica de
segurana da informao, onde constar as normativas de conduta para as partes
envolvidas com relao da segurana da informao da empresa. Para o estudo e
desenvolvimento da poltica, foram utilizadas como referncia as tcnicas
disponveis pelos modelos de melhores prticas e metodologias de pesquisas
COBIT, ITIL, S.W.O.T, PMBOK e a IEC/ISO 27001, 27002 e 27005. O estudo iniciou
com a escolha da empresa, ramo de negcio e consequentemente com o
levantamento dos ativos de informao da empresa e todo o cenrio que pudesse
impactar direta ou indiretamente na segurana das informaes empresariais. A
utilizao das ferramentas serviu como resposta as vulnerabilidades e criticidades
do ambiente, para as tomadas de decises na criao das regras de conduta da
poltica. Com isso, foram utilizadas as normas da famlia IEC/ISO 27000, que trazem
informaes e sugestes em relao a condutas a serem tomadas para a boa
segurana das informaes, para a formulao da poltica de segurana da
informao e documentos auxiliares como termo de responsabilidade e
questionrios avaliativos a fim de atender as necessidades da empresa estudada.
Palavras-chave: Segurana. Ativos de informao. Poltica. Normas. Empresa.

ABSTRACT
The organizations increasingly seek to be prominent in the business market, where

the technology area becomes a strategy when well applied, helping achieve the
goals and adding quality to the processes. The information is considered one of the
most precious assets of companies and uses many technological resources in its
traffic and daily manipulation, bringing a risk as to its integrity, availability and
reliability if mismanaged. With this, the Best Practices and standards available in the
market bring with it a vast methodology that helps companies with the security of
their information, whether they are physical or in the digital environment. The
proposal of the work is, through the Best Practices and norms that deal with
information security, analyze a business environment and propose from its study the
creation of an information security policy, which will include the rules of conduct for
the parties involved in relation to the company's information security. For the study
and development of the policy, the techniques available through the Best Practice
models and methodologies of COBIT, ITIL, S.W.O.T, PMBOK and IEC / ISO 27001,
27002 and 27005 research were used as reference. The study began with the choice
of the company, business line and consequently with the survey of the company's
information assets and any scenario that could impact directly or indirectly on the
security of business information. The use of the tools served as a response to
vulnerabilities and criticalities of the environment, for decision making in the creation
of rules of conduct of the policy. With this, the IEC / ISO 27000 family standards were
used, which provide information and suggestions regarding the conduct to be taken
to guarantee the security of the information, for the formulation of information security
policy and auxiliary documents as a term of responsibility and evaluation
questionnaires in order to meet the needs of the company studied.
Keywords: Security. Information assets. Policy. Standards. Company.

LISTA DE ILUSTRAES
Figura 1 - Ciclo Governana de TI ............................................................................ 16

Figura 2 - GTI e Melhores Prticas ........................................................................... 17
Figura 3 - Ciclo COBIT .............................................................................................. 18
Figura 4 - Framework ITIL v3 .................................................................................... 19
Figura 5 - Matriz F.O.F.A ........................................................................................... 21
Figura 6 - Topologia da rede da empresa Ocult Contabilidade ................................. 34
Figura 7 - Anlise SWOT .......................................................................................... 39
Figura 8 - Triangulao das anlises ........................................................................ 42
LISTA DE QUADROS
Quadro 1 - Aplicativos e servios .............................................................................. 29

Quadro 2 - Hardware ................................................................................................. 31
Quadro 3 - Software .................................................................................................. 31
Quadro 4 - Backup e Armazenamento ...................................................................... 32
Quadro 5 - Equipamentos de Rede ........................................................................... 34
Quadro 6 - Sistemas operacionais ............................................................................ 35
Quadro 7 - Nveis de Criticidade (Ativos de T.I) ........................................................ 40
Quadro 8 - Matriz de Risco (Ativos de T.I) ................................................................ 41
Quadro 9 - Nveis de Criticidade(Servios) ............................................................... 41
Quadro 10 - Matriz de Risco (Servios) .................................................................... 42
LISTA DE ABREVIATURAS E SIGLAS
ABNT Associao Brasileira de Normas Tcnicas

AMREC Associao dos Municpios da Regio Carbonfera
CAGED Cadastro Geral de Empregados e Desempregados
COBIT Control Objectives For Information And Related Technology
CRC Conselho Regional de Contabilidade
ERP Enterprise Resource Planning
FGTS Fundo de Garantia por Tempo de Servio
GFIP Guia de recolhimento do FGTS e de Informaes Previdncia Social
GTI Governana de Tecnologia da Informao
HDD Hard Disk Drive
IDH ndice de Desenvolvimento Humano
IEC International Electrotechnical Commission
IRPF Imposto de Renda Pessoa Fsica
IRPJ Imposto de Renda Pessoa Jurdica
ISO International Organization for Standardization
ITIL Information Technology Infraestrutur Library
ITSMF IT Service Management Forum
NBR Norma Brasileira
PIB Produto Interno Bruto
PMBOK Project Management Body of Knowledge
PSI Poltica da Segurana da Informao
RAIS Relaes Anual de Informaes Sociais
SEFIP Sistema Empresa de Recolhimento dos FGTS e Informaes
Previdncia Social
SGSI Sistema de Gesto de Segurana da Informao
SINDICONT Sindicado dos Contabilistas
SO Sistema Operacional
SPED Sistema Pblico de Escriturao Digital
SWOT Strengths (Foras), Weaknesses (Fraquezas), Opportunities
(Oportunidades) e Threats (Ameaas)
TI Tecnologia da Informao
TIC Tecnologia da Informao e Comunicao
TR Termo de Responsabilidade
UNESC Universidade do Extremo Sul Catarinense
SUMRIO
1 INTRODUO .................................................................................................... 14
1.1 ESPECIFICAO DO PROBLEMA .................................................................... 14
1.2 OBJETIVO GERAL ............................................................................................. 15
1.3 OBJETIVOS ESPECFICOS ............................................................................... 15
1.4 JUSTIFICATIVA .................................................................................................. 15
1.5 FUNDAMENTAO TERICA........................................................................... 16
1.5.1 Segurana da informao ................................................................................ 16
1.5.2 Governana de tecnologia da informao ...................................................... 17
1.5.3 Control Objectives For Information And Related Technology (COBIT) ....... 18
1.5.4 Information Technology Infraestrutur Library (ITIL) ...................................... 19
1.5.5 ISO/IEC 27000 .................................................................................................... 20
1.5.6 Anlise S.W.OT (F.O.F.A) ................................................................................. 21
1.6 METODOLOGIA ................................................................................................. 22
1.6.1 Caracterizao da pesquisa ............................................................................. 23
1.6.2 Tcnicas de coletas de dados ......................................................................... 23
1.6.3 Forma e anlise de dados ................................................................................ 23
1.7 OBJETO DE ESTUDO ........................................................................................ 24
2 DIAGNSTICO E ANLISE ............................................................................... 25
2.1 CARACTERIZAO DO AMBIENTE EXTERNO ............................................... 25
2.1.1 Macro Ambiente ................................................................................................ 25
2.1.1.1 Foras poltico legal ............................................................................................ 25
2.1.1.2 Foras econmicas ............................................................................................. 25
2.1.1.3 Foras tecnolgicas ............................................................................................ 26
2.1.1.4 Foras ecolgicas ............................................................................................... 26
2.1.1.5 Foras culturais ................................................................................................... 26
2.1.1.6 Foras sociais ..................................................................................................... 26
2.1.1.7 Foras demogrficas........................................................................................... 27
2.1.2 Ambiente especfico ......................................................................................... 27
2.1.2.1 Principais fornecedores e insumos ..................................................................... 27
2.1.2.2 Principais empresas concorrentes ...................................................................... 28
2.1.2.3 Principais rgos reguladores e fiscalizadores do segmento ............................. 28
2.1.2.4 Principais organizaes que atuam como parceiras ........................................... 28
2.1.2.5 Mercado tecnolgico ........................................................................................... 28
2.1.2.6 Mercado de informao ...................................................................................... 28
2.1.3 Principais tendncias culturais e tecnolgicas em relao segurana
da informao .................................................................................................................. 28
2.2 CARACTERIZAO DO AMBIENTE INTERNO ................................................ 29
2.2.1 Ambiente organizacional .................................................................................. 29
2.2.1.1 Situao nos negcios ........................................................................................ 29
2.2.1.2 Investimentos em tecnologia............................................................................... 29
2.2.1.3 Disposio do espao fsico ................................................................................ 29
2.2.2 Ambiente informacional ................................................................................... 29
2.2.2.1 Informaes ........................................................................................................ 30
2.2.2.2 Aplicativos ........................................................................................................... 30
2.2.2.3 Infraestrutura....................................................................................................... 31
2.2.2.4 Pessoas .............................................................................................................. 33
2.2.2.4.1 Estratgia informacional ..................................................................................... 33
2.2.2.4.2 Poltica da informao......................................................................................... 33
2.2.2.4.3 Cultura e comportamento em relao informao ........................................... 33
2.2.2.4.4 A equipe especializada em informao - Pessoas .............................................. 33
2.2.2.4.5 Processos de gerenciamento da informao Informao ................................ 34
2.2.3 Relatrio tcnico da estrutura de redes.......................................................... 34
2.2.3.1 Diagrama da topologia de rede ........................................................................... 34
2.2.3.2 Endereamento de rede...................................................................................... 34
2.2.3.3 Componentes de Rede: switch, modem, computadores, impressoras e
cabeamento....................................................................................................................... 34
2.2.3.4 Procedimentos de backup ................................................................................... 35
2.2.4 Descrio dos sistemas operacionais ............................................................ 35
2.2.5 Fatores crticos de sucesso em relao segurana da informao .......... 35
3 ANLISE ............................................................................................................ 36
3.1 ANLISE EXTERNA ........................................................................................... 36
3.1.1 Principais oportunidades ................................................................................. 36
3.1.2 Principais ameaas ........................................................................................... 36
3.2 ANLISE INTERNA ............................................................................................ 36
3.2.1 Principais foras ............................................................................................... 36
3.2.2 Principais fraquezas ......................................................................................... 37
3.2.3 Identificao dos pontos fortes e fracos em relao a si.............................. 37
3.2.3.1 Aspectos culturais/comportamentais................................................................... 37
3.2.3.2 Fontes de poder e poltica da informao ........................................................... 37
3.2.3.3 Processos de gerenciamento da informao ...................................................... 37
3.2.3.4 Equipe de profissionais ....................................................................................... 38
3.2.3.5 Estrutura fsica: tipos de interfaces de acesso; equipamentos de segurana ..... 38
3.2.3.6 Estrutura lgica: endereamento, protocolos, servios, sistemas de suporte,
backups, recuperao de falhas, softwares setoriais e atualizaes ................................ 38
3.2.3.7 Fragilidade na segurana de documentos quanto ao acesso de terceiros ......... 38
3.3 ANLISE DE RISCO........................................................................................... 39
3.3.1 Anlise de risco de ativos de T.I ...................................................................... 39
3.3.2 Anlise de risco de servios prestados .......................................................... 41
3.4 TRIANGULAO DAS ANLISES ..................................................................... 42
4 PROPOSTA ........................................................................................................ 43
4.1 REESTRUTURAO FSICA E LGICA DO AMBIENTE
COMPUTACIONAL DA EMPRESA OCULT CONTABILIDADE ........................................ 43
4.2 REESTRUTURAO PROCESSOS BACKUP E ALTA DISPONIBILIDADE
DA EMPRESA OCULT CONTABILIDADE ........................................................................ 44
4.3 POLTICA DE SEGURANA DA EMPRESA OCULT CONTABILIDADE ........... 45
4.4 PROJETO ........................................................................................................... 46
REFERNCIAS ................................................................................................................. 47
APNDICE A ANLISE DE RISCO ATIVOS DE T.I ..................................................... 49
APNDICE B ANALISE DE RISCO DE SERVIOS ..................................................... 52
APNDICE C POLTICA DE SEGURANA DA INFORMAO .................................. 54
APNDICE D TERMO DE RESPONSABILIDADE ....................................................... 59
APNDICE E QUESTIONRIO AVALIATIVO .............................................................. 62
APNDICE F PROJETO SALVAGUARDA
13
1 INTRODUO
normal encontrarmos organizaes dos mais diversos segmentos sem

interesse no campo da tecnologia, dispensando o que a rea de tecnologia teria a
contribuir com o crescimento e organizao da instituio. O mercado hoje, gira em
torno de informaes, grande parte destas esto nos meios digitais e conectadas a
internet requerendo cuidados redobrados.
Segundo Teixeira (2011), a utilizao dos recursos de TI sem aplicao de
conhecimentos tcnicos baseados em padres e normas, podem acarretar no que
se convencionou chamar de caos tecnolgico, o que se trata da ausncia de
procedimentos estruturados pela rea de TI. Tambm so citadas pelo autor
situaes geradoras do caos tecnolgico: o desconhecimento das configuraes do
ambiente, as solues incoerentes de problemas, bases de conhecimentos
inconsistentes, falta de acordo junto ao cliente (usurio), alto nmero de erros
operacionais, falhas no gerenciamento de problemas e mudanas mal gerenciadas.
Alm da desorganizao e a falta de eficcia nos recursos oferecidos pela TI,
isto afeta diretamente a segurana do bem mais valioso das empresas nos dias de
hoje: a informao. A falta de gerenciamento, controle e projeo acarretam
possveis falhas e vulnerabilidades, no sendo diferente na TI, aonde todas as
informaes vitais para o funcionamento da empresa trafegam.
Conforme Ferreira (2011) os mtodos de abordagem das prticas de gesto
em TI esto relacionados s necessidades da organizao, estrutura, clientes,
servios de TI, do seu estado de maturidade e dos objetivos de desempenho
desejados. Podendo-se entender que a forma e nvel de segurana de aplicao nos
ativos de informao de uma empresa esto ligados aos diversos recursos e normas
disponibilizadas no mercado, alm da compreenso os objetivos da empresa e o
alinhamento aos negcios, por meio de uma explorao do ambiente avaliado.
1.1 ESPECIFICAO DO PROBLEMA
Anlise da segurana da informao na organizao Ocult Contabilidade,

procurando alinhar com as expectativas de negcio.
14
1.2 OBJETIVO GERAL
Este trabalho tem por objetivo estudar o cenrio organizacional de uma

empresa, visando levantar as vulnerabilidades e riscos acerca dos ativos de
informao, como finalidade de propor projetos de melhorias voltados a segurana
das informaes voltadas ao ramo contbil. Utilizando-se de normas e melhores
prticas de pesquisa como, por exemplo, a ABNT NBR ISO/IEC 27001/2 que traz
consigo a metodologia para implantar e manter de um sistema de segurana da
informao.
1.3 OBJETIVOS ESPECFICOS
Identificar no cenrio interno e externo da empresa estudada, as

caractersticas consideradas relevantes e estratgicas;
Identificar e apresentar em forma de anlise de risco de segurana da
informao, as vulnerabilidades, ameaas e impactos acerca das informaes;
Propor melhorias a empresas do ramo contbil, em sua gesto da
segurana das informaes, utilizando como base as normas da famlia ABNT NBR
ISO/IEC 27000, 3100, ferramentas de governana de TI, COBIT e ITIL;
Desenvolver um plano de ao voltado a melhoria da segurana das
informaes considerando impacto estratgico ao negcio.
1.4 JUSTIFICATIVA
Pela avaliao geral das empresas, o TIC visto pela maior parte dos
investidores como uma necessidade e no um auxlio para o negcio. As equipes de
TIC geralmente trabalham para socorrer as necessidades momentneas da
empresa, muitas vezes sem projeo, padres ou avaliaes das aplicaes que
esto sendo feitas, tornando o cenrio cada vez mais conturbado e propcio a
desastres, que dependendo de sua gravidade, pode levar uma empresa a grandes
perdas financeiras e at a falncia.
Hoje dentro da TIC, alm da automatizao e agilidade dos trabalhos com
ferramentas de T.I se est adotando uma metodologia e cultura muito forte em torno
da segurana das informaes, as quais trafegam e so produzidas dentro de
15
quaisquer organizaes, sendo fonte vital para o desenvolvimento e competitividade

no mercado.
de suma importncia que essas informaes e meios por onde trafegam
sejam analisadas de forma criteriosa para que as vulnerabilidades sejam reduzidas
ao mximo e assim os riscos de qualquer violao destas informaes se tornem
menores.
O procedimento de auditoria de um cenrio baseado nas normativas ISO e
demais Melhores Prticas, como so chamadas, o que traz confiabilidade e
resultados expressivos para os tipos de desafio citado anteriormente, nas quais
entregam procedimentos testados e avaliados por estudiosos.
Este tipo de estudo de cenrio traz grande nvel de informaes que vo de
encontro aos pilares que sustentam a segurana da informao, que so:
disponibilidade, integridade e confidencialidade. Desta forma as vulnerabilidades,
ricos e valorao de perdas e prioridades so mensuradas e tratadas para que os
procedimentos e organizao sejam restabelecidos e os riscos sejam apaziguados
ao mximo.
1.5 FUNDAMENTAO TERICA
A TIC conta com diversas organizaes dedicadas ao estudo das tecnologias

e como elas podem ser melhor utilizadas. Por meio de literaturas, estas
metodologias para a segurana, organizao, implantao e continuidade das
tecnologias dentro das organizaes so apresentadas. Com elas os profissionais
da rea tm uma tima referncia e orientao para quaisquer trabalhos dentro da
TIC.
1.5.1 Segurana da informao
Segundo Bezerra (2011), proteger a informao e sua integridade contra

qualquer tipo de ameaas que possa lhe causar danos, minimizando riscos aos
negcios garantindo assim sua continuidade e consequentemente aumentando as
oportunidades de negcios, bem como o retorno dos investimentos. Polticas de
segurana, processos, procedimentos, so alguns controles que visam a segurana
da informao.
16
1.5.2 Governana de tecnologia da informao
Com o grande avano tecnolgico que afeta diretamente ou indiretamente a

sociedade de um modo geral, so as organizaes que mais podem tirar vantagens.
Este crescimento abre portas para a evoluo das empresas, por entregarem
agilidade nos processos e automatizaes, contudo h a necessidade do
gerenciamento de toda essa estrutura aonde circunda toda a informao das
organizaes. Foi criado ento a Governana de Tecnologia da Informao (GTI),
aonde se encontra dentro dos processos da Governana Corporativa. O Ciclo da
Governana de TI dividida em, (1) alinhamento estratgico, (2) deciso, (3)
estrutura e processos e (4) gesto do valor e do desempenho, definido na figura 1
Figura 1 - Ciclo Governana de TI
Fonte: Fernandes e Abreu (2012, p.13).
A GTI gerencia o uso atual e futuro dentro das organizaes, no que se diz
respeito a Tecnologia da Informao. Isto indica um planejamento estratgico da TI
dentro de uma organizao, a fim de promover o suporte aos objetivos elencados
pela organizao, monitorando seu uso para resoluo de problemas e/ou para
projetos futuros. Incluindo tambm a estratgia e polticas de uso da TI dentro das
empresas. (ABNT, 2009).
A GTI apesar de se tratar de uma ferramenta de gerenciamento completa,
trabalhando a rea de TI e tambm se alinhado aos objetivos e pretenses da
organizao, em seu detalhamento de metodologia ela requer demais prticas para
17
gerenciar ou executar os passos abordados, como segue na figura 2:
Figura 2 - GTI e Melhores Prticas
Fonte: Fernandes e Abreu (2012, p.16).
Em resumo, as melhores prticas disponveis no mercado, alm de

ofereceram diversa abrangncia, tambm possibilitam a utilizao das mesmas de
forma completa ou fracionada, juntas ou individualmente, dando suporte ao nvel
superior aonde se encontra a governana corporativo e de TI.
1.5.3 Control Objectives For Information And Related Technology (COBIT)
O COBIT, sendo uma melhor prtica, traz as corporaes uma metodologia

de gerenciamento para desenvolver, publicar e promover um modelo de controle
para a governana de TI, conhecido e usado internacionalmente o modelo entrega
aos gestores de negcios e TI uma ferramenta eficaz para o gerenciamento da
organizao. (ITGI, 2007).
18
Figura 3 - Ciclo COBIT
Fonte: IT Governance Institute (2007, p.10).
O COBIT trabalha de forma geral, com a manipulao e gerenciamento de

informao, sendo eles tratados de forma genrica para que a compreenso seja
dada em qualquer circunstncia. As atividades de TI so fracionadas em quatro
domnios, sendo eles Planejar e Organizar, Adquirir e Implementar, Entregar e
Suportar e Monitorar e Avaliar. Em cada domnio so elencados os processos de
gesto e apontados os processos da ITIL que faro cumprir o solicitado.
1.5.4 Information Technology Infraestrutur Library (ITIL)
Segundo a IT Service Management Forum (itSMF) a ITIL considerada um

framework pblico, aonde encontra-se prticas para a gesto dos servios de TI,
proporcionando tambm o alinhamento com os servios e mtodos de gesto dentro
das organizaes, como o COBIT e a Governana de TI.
A ITIL apesar de ser um framework completo para o gerenciamento de
servios de TI, ela dividida em cinco partes, sendo possvel utiliza-la completa ou
em partes. Para cada uma das partes foi lanado uma literatura a que aborda toda a
metodologia, sendo eles ITIL Service Strategy, ITIL Service Design, ITIL Service
Transition, ITIL Service OperationandITIL Continual Service Improvement, como
apresentado na ilustrao da figura 4:
19
Figura 4 - Framework ITIL v3
Fonte: Glenfis Ag (2013, s/p).
Conforme a ITIL.org, um conjunto de atividades definido a fim de obter xito

em um objetivo especfico. Neste processo pode-se ter uma ou mais entradas para
sadas definidas, podendo gerar a partir destas instrues de trabalho, normas,
orientaes e polticas dependendo da necessidade.
1.5.5 ISO/IEC 27000
Segundo a ISO.org, a famlia 27000 auxilia as organizaes a manterem seus

ativos de informao seguros, tais como informaes financeiras, propriedade
intelectual e gesto de funcionrios e/ou informaes passadas a ele. A norma mais
conhecida a ISO/IEC 27001 a qual fornece requisitos para um sistema de gesto
de segurana da informao (SGSI).(http://www.iso.org/iso/iso27001)
Segundo o projeto ABNT NBR ISO/IEC 27001 (2013a, p.2):
O sistema de gesto da segurana da informao preserva a

confidencialidade, integridade e disponibilidade da informao por meio da
20
aplicao de um processo de gesto de riscos e fornece confiana para as

partes interessadas de que os riscos so adequadamente gerenciados.
A ISO/IEC 27000 traz consigo todo auxilio necessrio aos que buscam dentro
das organizaes, grandes ou pequenas, a segurana de seus bens mais valiosos, a
informao. Com o avano tecnolgico ficou fcil e gil a manipulao das
informaes, porm a vulnerabilidade teve um avano em proporo, sendo
necessrio um olhar atento nas definies das estruturas, do uso e gerenciamento
das tecnologias da informao.
Segundo o projeto ABNT NBR ISO/IEC 27002 (2013b, p.10):
A segurana da informao alcanada pela implementao de conjunto

adequado de controles, incluindo polticas, processos, procedimentos,
estrutura organizacional e funes de software e hardware. Estes controles
precisam ser estabelecidos, implementados, monitorados, analisados
criticamente e melhorados, quando necessrio, para assegurar que os
objetivos do negcio e a segurana da informao da organizao so
atendidos.
1.5.6 Anlise S.W.OT (F.O.F.A)
Segundo Rosa (2013) a anlise F.O.F.A que definida por Fora,

Oportunidade, Fraquezas e Ameaas, se trata de uma ferramenta de anlise simples
e valiosa, na qual tem o intuito de elencar os pontos fortes e fracos de qualquer
empresa a fim de corrigir suas deficincias.
A matriz feita por quatro quadrantes, em cada um deles so registrados os
pontos positivos e negativos para o negcio, conforme segue figura 5.
21
Figura 5 - Matriz F.O.F.A
Fonte: Rosa (2013, p.109).
Est analise serve para ajudar na tomada de aes a fim de melhorar a

situao do quadro preenchido.
1.6 METODOLOGIA
Dentro das linhas de pesquisa da ps-graduao em Segurana da

Informao, o projeto fica inserido como consultoria de empresas, aonde tem por
finalidade compreender, analisar, diagnosticar e apresentar melhorias voltadas aos
ativos de informao de empresas que se utilizam da tecnologia da informao em
seus processos.
Pelo crescimento e grande utilizao das tecnologias nos meios empresarias
como forma de trampolim para o crescimento dos negcios e ganho de agilidade
nos processos, a consultoria relacionada a segurana da informao se torna bem
vista, pela necessidade de segurana do ponto vital para o funcionamento das
empresas, os ativos de informao.
As metodologias utilizadas como forma de embasamento para a consultoria
ficam por conta das melhores prticas do ramo de T.I disponibilizadas no mercado,
22
que auxiliam os gestores a utilizarem a T.I como plano estratgico aos objetivos
empresariais, valorizando-se no mercado e desprendendo segurana dos bens de
informao. Sendo elas COBIT, ITIL e ISO/IEC 27000, alm de mtodos de anlise
S.W.O.T e PMBOK.
1.6.1 Caracterizao da pesquisa
A caracterizao dessa pesquisa, de acordo com Vergara (2007), se classifica

quanto aos seus objetivos como descritiva. Como pesquisa descritiva buscou-se
estabelecer relaes entre variveis, descrevendo as caractersticas estratgicas e
de TI da empresa Ocult contabilidade que se mantem no ramo contbil a cerca de
40 anos, sendo uma das maiores da regio em seu segmento. Quantos aos fins, a
pesquisa caracterizada como pesquisa de campo, documental e bibliogrfica.
1.6.2 Tcnicas de coletas de dados
Para a realizao da pesquisa na empresa Ocult Contabilidade foram

utilizados para o levantamento de dados, mtodos como: questionrios, entrevistas
e observaes. A aplicao destes mtodos de coleta serviram para explanar os
processos, servios, regulamentos, ativos de T.I e aspectos culturas, dentro outros,
existentes na empresa, servindo como base para a construo dos apndices A e B.
Esta fase nos proporcionou uma viso macro e micro, interna e externa da
empresa estudada, nos permitindo o embasamento enquanto consultores para
extrair destes dados as informaes para as tomadas de deciso, com a utilizao
das melhores prticas e normas.
1.6.3 Forma e anlise de dados
As coletadas de dados realizadas neste trabalho, foram analisadas a partir da

abordagem da segurana da informao, utilizando como base as normas ABNT
ISO/IEC 27001, 27002, 27005 e 31000 sendo elas utilizadas para a levantamento
dos controles e anlises de risco. A fim de obter uma anlise estratgica usou-se da
analise SWOT, na qual buscou identificar pontos fortes, fracos, ameaas e
oportunidades para compreender o ambiente interno e externo da organizao. Para
23
diagnosticar as condies e funcionamento da estrutura tecnolgica da empresa,

foram utilizadas melhores prticas como COBIT, ITIL e PMBOK para dar suporte as
observaes e questionamentos realizados nas anlises.
1.7 OBJETO DE ESTUDO
A empresa case utilizada para elaborao deste projeto ser a OCULT

Contabilidade, uma empresa real de nome fictcio do segmento contbil, localizada
em Cricima/SC. Possui como servios a consultoria e atendimento nos
departamentos contbil, fiscal e legal. Com mais de dez anos de existncia no
mercado, leva seus servios a empresas que compreendem a AMREC (Associao
dos Municpios da Regio Carbonfera). Empresa considerada de mdio porte no
seu seguimento possui pouco mais de quarenta funcionrios, tendo como misso,
Oferecer informaes confiveis para o desenvolvimento econmico de nossos
clientes, melhorando de forma contnua nossos servios, bem como a qualidade de
vida de nossos colaboradores.
24
2 DIAGNSTICO E ANLISE
A fase de diagnostico tem como objetivo os levantamentos de informaes

dos ambientes interno e externo.
2.1 CARACTERIZAO DO AMBIENTE EXTERNO
No ambiente externo sero analisados os fatores que impactam direta e

indiretamente no objetivo estratgico da empresa.
2.1.1 Macro Ambiente
So as foras ou variveis externas as quais a organizao no possui

controle e que podem influenciar nos resultados da organizao.
2.1.1.1 Foras poltico legal
Regulamentado pelo Conselho Federal de Contabilidade este segmento

possui um sindicato regional atuante, o SINDICONT possui pgina na internet com
informaes pertinentes a rea. Possui tambm um cdigo de tica profissional que
forma pela qual os orientam quanto ao exerccio de sua profisso.
2.1.1.2 Foras econmicas
Cricima o maior produtor nacional e segundo maior produtor de pisos e

azulejos. Terceiro maior produtor nacional de Jeans e maior produtor estadual em
confeces. Possui o ndice de Desenvolvimento Humano (IDH) de 0,788, o que o
posiciona em 76 dentre os 5.565 municpios brasileiros com relao ao ndice de
desenvolvimento humano. Seu Produto Interno Bruto (PIB) de R$ 4.220.618,00,
sendo que destes R$ 2.646.397,00 provenientes de servios, R$ R$ 1.541.438,00
provenientes da indstria e R$ 32.783,00 da agropecuria. (IBGE, 2016b). Renda
per capta de R$ 1.062,53. (ATLAS DE DESENVOLVIMENTO HUMANO NO
BRASIL, 2014).
25
2.1.1.3 Foras tecnolgicas
O municpio de Cricima tem como principal destaque o grande nmero de

empresas fabricantes de softwares para diversos segmentos do mercado, e est
crescendo gradativamente em relao a empresas oferecendo solues para infira
estrutura e segurana.
2.1.1.4 Foras ecolgicas
A regio de Cricima e seus arredores contam com uma quantidade grande

de mata, e grande quantidade de reas rurais. Porm por se tratar de uma regio
carbonfera e sua grande extrao de carvo gerou a poluio do solo em vrios
locais da regio, contudo ao passar do tempo vem sendo recuperados pontos
crticos da situao citada anteriormente, muitos do programa se d com o auxlio da
Universidade do Extremo Sul Catarinense (UNESC) situada em Cricima. As
empresas tambm vm adotando medidas para a reduo de poluio e consumo
energtico, se fazendo presente tambm na TI com a chamada de TI verde.
2.1.1.5 Foras culturais
Segundo Filho (2016), cidade que fora colonizada em meados de 1880 por
famlias provenientes do norte da Itlia, mais precisamente vindos de regies como
Veneza e Treviso, tendo como principal atividade econmica a agricultura.
S a partir de 1890, chegaram as primeiras famlias de poloneses, alemes e
portugueses. (IBGE, 2016a). Quanto a religio 65,94% da populao residente
catlica, 26,22% so evanglicos, 1,25% so espritas e 6,58% outras. (IBGE,
2016b).
2.1.1.6 Foras sociais
Faixa etria da populao com menos de 15 anos de 21,60%, entre 15 e 64

anos temos 72,49% da populao, acima de 64 anos temos 5,90%. O ndice de
natalidade de 75,8 (em anos), mortalidade at o primeiro ano de vida de 12,3
(por mil nascidos vivos), mortalidade at os 5 anos de idade de 14,5 (por mil
26
nascidos vivos), taxa de fecundidade de 1,4 filhos por mulher. Analisando os

ndices de faixa etria (1991 a 2010) temos um crescente envelhecimento anual de
0,145% da populao.
No municpio, a proporo de crianas de 5 a 6 anos na escola de 95,33%,
em 2010. No mesmo ano, a proporo de crianas de 11 a 13 anos frequentando os
anos finais do ensino fundamental de 93,69%; a proporo de jovens de 15 a 17
anos com ensino fundamental completo de 71,80%; e a proporo de jovens de 18
a 20 anos com ensino mdio completo de 56,01%. Entre 1991 e 2010, essas
propores aumentaram, respectivamente, em 51,62 pontos percentuais, 32,40
pontos percentuais, 35,10 pontos percentuais e 38,09 pontos percentuais.
A populao residente alfabetizada de 172.025. A taxa da populao
economicamente ativa de 73,12, enquanto que a taxa de desocupados, isso ,
percentual de pessoas ativas economicamente que est desocupada de 4,13%.
(ATLAS DE DESENVOLVIMENTO HUMANO NO BRASIL, 2013).
2.1.1.7 Foras demogrficas
Municpio com rea de 235,701km, 46 metros acima do nvel do mar,

temperatura mdia entre 15C e 30C, populao residente de 192.308 pessoas,
sendo 49,20% homens e 50,80% mulheres. Residentes rurais so de 1,39% e
98,61% da populao so de ocupao urbana. Densidade demogrfica 815,87
hab/km. (IBGE, 2016b).
2.1.2 Ambiente especfico
So as foras ou variveis internas que fazem parte das operaes da

organizao, que podem influenciar em seus resultados.
2.1.2.1 Principais fornecedores e insumos
Como principais fornecedores de insumos destacam-se a Livraria Ftima para

itens de papelaria e formulrios, Celesc para fornecimento de energia eltrica, Gvt
para internet, PH Software para software de apoio Fiscal e RH.
27
2.1.2.2 Principais empresas concorrentes
Principais concorrentes desta organizao esto as empresas: Meta

Contabilidade, Vefago Contabilidade, ORSEC, CONTEMP, SOLUO CONTABIL.
2.1.2.3 Principais rgos reguladores e fiscalizadores do segmento
Nos ramos contbeis, atuam na cidade o Conselho Regional de

Contabilidade, Conselho federal de contabilidade e o SINDICONT (sindicato dos
contabilistas).
2.1.2.4 Principais organizaes que atuam como parceiras
A nica e principal parceira atuante da organizao a PH Software,

fornecendo suporte ao ERP.
2.1.2.5 Mercado tecnolgico
Devemos estar em constante observao e crescimento no mbito

Tecnolgico, mantendo as ferramentas de apoio atualizadas para garantir a
assertividade na prestao dos servios.
2.1.2.6 Mercado de informao
Retm muitas informaes importantes e sigilosas dos clientes a qual atende.
2.1.3 Principais tendncias culturais e tecnolgicas em relao segurana da

informao
As tecnolgicas que o mercado oferece hoje em dia, esto cada vez mais
evoludas e proativas, como os firewalls de camada 7, os antivrus e AntiSpam e a
tecnologia embarcadas nos hardwares comercializados. Porm o investimento para
a aquisio destes produtos no esteja a mo de todos. nesta questo que entra
as anlises dos diversos cenrios dentro das diferentes organizaes. A utilizao
28
de normas, melhores prticas e softwares de gerenciamento e anlise para a criao

de gesto de segurana, em muitas vezes, se faz mais necessria do que
equipamento de pontas.
2.2 CARACTERIZAO DO AMBIENTE INTERNO
No ambiente interno sero analisados os fatores que impactam direta e

indiretamente no objetivo estratgico da empresa.
2.2.1 Ambiente organizacional
Mudanas no ambiente organizacional sejam social, poltico ou econmico,

afetam diretamente no desempenho da organizao. do ambiente que as
empresas conseguem os recursos que influenciam no seu desempenho (PORTAL
EDUCAO, 2013).
2.2.1.1 Situao nos negcios
A empresa se enquadra no mercado como pioneira no ramo contbil na

regio e se mantm entre as maiores, atendendo aos clientes com responsabilidade
e provando isto com a excelente carteira de clientes que mantm.
Possui certificao ISO 9001.
2.2.1.2 Investimentos em tecnologia
A demanda de equipamentos de tecnologia atendida conforme a

necessidade, geralmente sem planejamento prvio.
No possui profissional especifico na rea de TI.
2.2.1.3 Disposio do espao fsico
O ambiente fsico satisfatrio para as prestaes de servio atuais, tendo

sido ajustado sempre que necessrio. Os departamentos so bem formados e
29
divididos. Equipamentos e mveis planejados conforme a necessidade de cada

setor.
2.2.2 Ambiente informacional
o ativo que est cada vez mais valorizado no mercado. A organizao que
possui um bom ambiente informacional capaz de definir e tomar decises para se
sobressair diante do mercado e concorrentes (RUAS, 2014).
2.2.2.1 Informaes
A maior parte das informaes que transitam dentro de uma contabilidade diz
respeito a informaes de terceiros, tanto do meio digital com no fsico. So
informaes de pessoas e empresas necessrias para que os servios da
contabilidade posam ser feitos, em geral utilizando sistemas pblicos com emisso
aos rgos de competncia. As principais informaes esto alocadas em um
sistema de gerenciamento interno, que por sua vez est instalado no servidor da
empresa, alm de uma sala contendo documentaes em papel.
Para a realizao dos servios, a empresa faz o uso de recursos de T.I
(hardware e software), aonde so manipuladas e geradas as informaes vitais do
negcio.
2.2.2.2. Aplicativos
Os aplicativos utilizados para a prestao de servios dentro da empresa

Ocult contabilidade so em sua maioria softwares disponibilizados pelo governo,
instalados nas mquinas de cada usurio. Para gerenciamento interno a empresa
dispe de um sistema da empresa PH software que funciona na funo de um ERP.
No quadro 1 podemos verificar os softwares presentes na empresa, setor a qual diz
respeito, frequncia de uso e finalidade.
Quadro 1 - Aplicativos e servios

Aplicativo/Fornecedor Setor Frequncia de Uso Descrio
SCPH PH Software Contabil Dirio Gerncia procedimentos contbil
30
dos clientes
EFPH - PH Software Fiscal Dirio Gerncia a parte fiscal dos
clientes
ATPH - PH Software Patrimnio Dirio Gerncia o patrimnio
DPPH - PH Software Folha Mensal Gerncia a folha dos clientes
IRPF - Gov Fiscal Anual Declarao de I.R dos clientes
SPED ECD Gov Fiscal Anual Transmite livro, lanamentos
fiscais.
SPED ECF Gov Fiscal Anual I.R Pessoa Jurdica
Conectividade Social- Folha/Previdncia Mensal Transmite informaes para
Gov Caixa e Providncia.
CAGED Folha/Ministrio do Varivel Transmite informao sobre
Trabalho admisso ou demisso ao M.T
Anti-Vrus Avira Segurana Dirio Busca por arquivos infectados
e/ou sistemas mal-intencionados
Anti-Vrus AVG Segurana Dirio Busca por arquivos infectados
e/ou sistemas mal-intencionados
S.O Windows Todos Dirio Sistema que permite a operao
dos demais citados.
Fonte: Elaborado pelos autores (2017).
2.2.2.3 Infraestrutura
Observou-se como infraestrutura trs grupos principais que formam o

contexto geral do cenrio tecnolgico da empresa Ocult contabilidade, sendo eles
Hardware, Software, Backup e Armazenamento, como expostos nos quadros 2, 3 e
4.
No grupo hardware foram apontados, o servidor utilizado como
armazenamento de arquivos e tambm de aplicao, tratando-se de uma mquina
tida como comum e no de arquitetura de servidor, trazendo uma insegurana
quanto a longevidade dos componentes devido ao uso constante da mesma. Os
microcomputadores com distintas verses do Windows instaladas e algumas delas
com o sistema operacional (SO) desatualizado assim como o software de segurana
(antivrus) gratuito, quando instalados. E com relao a rede tem-se o modem,
switches e o cabeamento, que se apresentam desorganizados e expostos a
possveis ameaas. Finalizando o grupo hardware tm-se tambm as impressoras,
que em alguns casos se encontram em local de fcil acesso a pessoas no
autorizadas a manipulao destas informaes.
No grupo Software tem-se o Enterprise Resource Planning (ERP) da empresa
31
PH software instalado no servidor, que utilizado para as tarefas gerencias da

prpria contabilidade e realizao da folha de pagamento dos clientes. Os demais
procedimentos em relao aos servios prestados esto voltados a softwares
governamentais instalados nas mquinas dos usurios.
Aliado aos softwares e arquivos de trabalho da contabilidade, tem-se a
questo dos backups destas informaes. A empresa no dispe de uma ferramenta
que realize um backup de confiana e com a possibilidade de restaurao rpida. A
nica forma e tentativa de resguardo destes dados verificada pela equipe, a cpia
comum entre servidor e computado e H.D externo, sendo compreendido como uma
vulnerabilidade no que diz respeito disponibilidade e integridade dos dados.
As demais observaes referentes a infraestrutura da empresa Ocult
contabilidade foram, a falta de Firewall para controle de acessos externos, a
utilizao de endereamento disponibilizado apenas pelo modem da operadora, um
nico link de internet, e toda a infraestrutura de T.I ligada a uma rede eltrica com
cabeamento exposto, desorganizado e sem recursos de segurana.
Quadro 2 - Hardware
Equipamentos Qnt. Configurao Descrio
Servidor 1 Core i5 2310 / 8GB Utilizado como servidor de arquivos,
Ram/ HD 1TB aplicao e acesso remoto.
Computadores 25 Core i3 / 4GB Ram / HD Computadores com S.O Windows
500GB utilizados para acesso remoto ao
Hardware servidor e uso geral.
Impressoras 12 Laser Jet pequeno porte Impressoras distribudas entre os
setores. Comunicao USB
Switch/Modem 4 Switch no gerencivel Modem fornecido pela operadora
10/100MB/s para recebimento da ADSL, ligado
Modem fornecido pela diretamente aos switches
operadora cascateados.
Quadro 3 - Software
Aplicaes Qnt. Configurao Descrio
Sistema 26 -Windows XP(12) Arquitetura Windows atualizada
Operacional -Windows Seven(13) para microcomputadores e servidor
-Windows Server 2008 da empresa
R2(1)
Antivrus 26 Avira / AVG Verso Duas marcas de antivrus
Software Free disponveis no mercado, em suas
verses grtis
32
Fornecedores 4 PH Software(Contabil, Fornece software de

Fiscal, Patrimnio e gerenciamento em mdulos para
Folha) atender as necessidades da
empresa
Governamental IRPF,SPED,Conectividad Softwares governamentais para
e social, CAGED transmisso de informaes fiscais
e previdencirias.
Quadro 4 - Backup e Armazenamento

Equipamentos Qnt. Configurao Descrio
H.D Externo 1 H.D externo 1TB - USB Feito cpia todo os dias dos
sistemas e arquivos via USB no
Backup e
servidor.
Armazena
mento Microcomputador 1 Core i3 / 4GB Ram / HD Feito cpia pela rede do servidor
500GB para mquina.
H.D Servidor 1 H.D SATA 1TB H.D instalado no servidor e
particionado em unidades para
alocar arquivos de uso dirio.
2.2.2.4 Pessoas
Devido a estrutura de T.I de uma contabilidade ser reduzida, a empresa optou

por ter apenas uma pessoa que domina processo bsicos, sem qualificao na rea,
para manter a mesma, e quando sendo necessrio solicita auxlio de terceiros.
2.2.2.4.1 Estratgia informacional
Praticamente tudo que gerado pela contabilidade pode ser exigido pelo fisco
no prazo de 5 anos, em todos os mbitos, federal, estadual, municipal e o INSS. O
FGTS, por exemplo, deve ser guardado por 30 anos. Por esse motivo, quase tudo
que precisa ser guardado, fica no computador em forma de backup e impresso. Pelo
perodo que o cliente for nosso os arquivos ficam sob nossa responsabilidade. A
partir do momento que o cliente sai, tudo entregue.
2.2.2.4.2 Poltica da informao
A empresa trabalha com as polticas determinadas pelo fisco com relao as

informaes dos clientes, porm no detm poltica interna para a devida segurana
33
da mesma.
2.2.2.4.3 Cultura e comportamento em relao informao
As informaes de cada cliente so devidamente engavetadas na forma fsica

por 5 anos, e repassada aos clientes com termo de responsabilidade.
2.2.2.4.4 A equipe especializada em informao - Pessoas
- PH sistemas, no fornecimento de aplicaes especficas.

- Uma pessoa para atendimentos internos.
- Um fornecedor de equipamentos e suporte a sistemas operacionais
2.2.2.4.5 Processos de gerenciamento da informao Informao
A documentao na forma fsica guardada e gerenciada por

arquivos/gaveteiros com o informativo da cada empresa dentro do escritrio. J os
documentos digitais so armazenados no servidor de arquivos, separados por
pastas com a nomenclatura de cada cliente.
2.2.3 Relatrio tcnico da estrutura de redes
2.2.3.1 Diagrama da topologia de rede
Trata-se de uma rede simples, sem subdivises.

34
Figura 6 - Topologia da rede da empresa Ocult Contabilidade
2.2.3.2 Endereamento de rede
Possui um nico endereamento de rede: 192.168.0.0/24.
2.2.3.3 Componentes de Rede: switch, modem, computadores, impressoras e

cabeamento
2.2.3.4 Procedimentos de backup
A estrutura possui uma definio muito simplria para os backups. No possui

procedimentos descritos nem poltica de backup, as cpias so feitas para HD
porttil e para compartilhamentos na rede.
O objeto de estudo no possui servios de rede, somente um router da

prestadora de servios de internet. Utilizando nos equipamentos de trabalho ips
fixos.
Quadro 5 - Equipamentos de Rede

ITEM EQUIPAMENTO MARCA LINK SERIAL LOCALIZAO CONEXES CDIGO
1 Router ADSL Dlink Internet R3K91DC115273 Contabilidade --- --- --- --- RT01
2 Switch Intelbras Internet OT12041860678 Contabilidade --- --- --- --- SW01
3 Switch Intelbras Internet OT12021300800 Cadastro --- --- --- --- SW02
4 Switch Siroco Internet SI18105 Pessoal --- --- --- --- SW03
5 Cabeamento Furukawa Internet --- --- --- --- --- --- CB01
35
2.2.4 Descrio dos sistemas operacionais
Parte dos equipamentos ainda possui sistema operacional Windows XP,

descontinuado pelo fabricante.
Quadro 6 - Sistemas operacionais

ITEM QUANTIDADE DESCRIO VERSO SERVICE PACK SERIAL CDIGO
1 12 Windows XP SP3 --- WXPSP3
2 13 Windows 7 SP1 --- W7SP1
2.2.5 Fatores crticos de sucesso em relao segurana da informao
Como ponto forte de sucesso, foi observado que todos os compartilhamentos

disponveis na rede constam de autenticao para permisso de acesso,
respeitando o que a norma ISO/IEC 27001-2013 em seu item A.9.1, relatado como
sendo a limitao de acesso a informao, podendo o usurio ter acesso somente
as informaes autorizadas a ele.
36
3 ANLISE
Para um melhor entendimento da organizao analisada, se faz necessrio

dividi-la em duas partes: Externa e Interna. Com isto vamos nos utilizar da matriz de
SWOT ou FOFA (portugus) ao qual a empresa analisada pode formular suas
estratgias.
3.1 ANLISE EXTERNA
Tem por objetivo analisar as oportunidades e ameaas que em um

determinado momento podem favorecer ou prejudicar a organizao (BASTOS,
2014).
3.1.1 Principais oportunidades
A criao de um imposto nico no mbito estadual e nacional facilitaria muito

os trabalhos da contabilidade refletindo em reduo direta de custos.
Maior rigidez na concesso dos C.R.C., evitando profissionais recm-
formados e desqualificados operando na rea.
3.1.2 Principais ameaas
Profissionais pouco qualificados, estipulando valores abaixo do aceitvel e

desvalorizando a classe contbil.
Os rgos de fiscalizao instituram tantas exigncias que toda a
responsabilidade de fiscalizao passou para os contabilistas, ou seja, basta o fisco
ter as informaes em mos para aplicar as multas. Servio esse que era feito pelo
prprio fisco a pouco tempo atrs.
Com a aumento das exigncias e constante mudana da legislao, manter a
equipe atualizada e treinada gerou novos custos com informativos, cursos e
qualificao.
37
3.2 ANLISE INTERNA
Tem por objetivo analisar os pontos fortes e pontos fracos da organizao,

sendo nesta etapa o estudo e as aes a serem realizadas (BASTOS, 2014).
3.2.1 Principais foras
Localizada no centro na cidade prxima aos bancos e cartrios.

Treinamentos constantes e atualizaes dos processos e normas vigentes.
Desde 1966 atuando na rea de servios contbeis e se mantendo como uma
das principais empresas do ramo.
3.2.2 Principais fraquezas
Por se tratar de uma equipe altamente especializada seu custo tambm

elevado.
Falta de uma poltica de segurana, de planejamento para renovao de
equipamentos e sistemas a fim de garantir continuidade e segurana das
informaes.
Com o crescimento da empresa o espao fsico se tornou inadequado, ainda
assim considerado operacional pela direo.
3.2.3 Identificao dos pontos fortes e fracos em relao a si
3.2.3.1 Aspectos culturais/comportamentais
Por ser uma empresa familiar, com baixa rotatividade e tendo como
compromisso a manuteno da qualidade de vida de seus colaboradores, as
informaes acabam no tendo o devido tratamento de segurana da informao,
permanecendo em sua maioria acessveis a todos.
3.2.3.2 Fontes de poder e poltica da informao

38
Por atuar em reas que necessitam de constantes atualizaes, a

organizao consta com profissionais gabaritados e especializados nas reas em
que atuam, promovendo constantemente a oportunidade de atualizaes e
reciclagens.
3.2.3.3 Processos de gerenciamento da informao
A organizao possui implementado ISO 9001, contemplando todos os

processos operacionais.
No existe uma definio de poltica da informao direcionada ao
conhecimento e valorao dos ativos de informao nem regras definidas em
relao a estes ativos.
3.2.3.4 Equipe de profissionais
Dispes de uma equipe qualificada em relao a formao acadmica e

experincia de mercado para as funes contbil, fiscal e legal. Com relao a
profissionais de tecnologia da informao, no se faz presente uma pessoa
qualificada para a funo. Buscam manter os profissionais que se mostram de
confiana e com isso demandam de salrios mais altos.
3.2.3.5 Estrutura fsica: tipos de interfaces de acesso; equipamentos de segurana
A atualizao dos equipamentos ocorre conforme demanda de necessidade,

no existindo um planejamento para aquisio/renovao dos equipamentos. O
cabeamento fsico, eltrico e lgico, demonstra fragilidade fsica e necessidade de
identificao.
3.2.3.6 Estrutura lgica: endereamento, protocolos, servios, sistemas de suporte,

backups, recuperao de falhas, softwares setoriais e atualizaes
Endereamento e protocolos so utilizados os providos pela operadora de

telecomunicao contratada. Internamente possui uma nica rede logica, no
havendo isolamento entre as reas.
39
A empresa no possui procedimentos de backup definido nem processo de

conferencia do contedo. Faz utilizao de ERP para o gerenciamento das
informaes internas e softwares governamentais para a concluso dos servios
prestados. Parte dos equipamentos est operando com sistemas operacionais
descontinuados e softwares de segurana contra vrus em suas verses gratuitas.
3.2.3.7 Fragilidade na segurana de documentos quanto ao acesso de terceiros
A fragilidade da segurana em relao aos documentos pode ser observada

de diversos modos: sala de arquivo morto desprovido de controle de acesso,
informaes da carteira de cliente ao acesso de todos os colaboradores, papeis
expostos com fcil visualizao nas mesas de trabalho, pouca restrio aos
documentos no servidor de arquivos, impressoras em locais de fceis acessos a
pessoas no autorizadas.
No possui regras quanto a privacidade a ser aplicada nos documentos,
sendo este cuidado promovido de forma emprica pelo responsvel da rea, sem
nenhum norteio tcnico sobre o real valor da informao ou o dano que um
vazamento de informao poderia causar estrutura.
Figura 7 - Anlise SWOT
Considerando a segurana da informao como o foco da pesquisa, um

elemento observado foi a fraqueza: Informaes sigilosas sem restries de
acesso.
A empresa no classifica sua informao quanto seu valor ou sensibilidade, o
40
que no atende aos requisitos da norma ISO/IEC 27001(2013) em seus itens A.8.2.1
e A.8.2.2. Tambm no h cuidados quanto a restries de acessos as informaes,
no cumprindo os itens A.9.4 da mesma norma.
3.3 ANLISE DE RISCO
De acordo com a ISO/IEC 27005(2011) as etapas de anlise de riscos so

identificao, analise e avaliao dos riscos. Nesta pesquisa, em atendimento ao
item 7.2.2 da referida norma, buscamos identificar os ativos de valor estratgicos ao
negcio, apontando o nvel de criticidade dos ativos envolvidos com a informao e
a importncia que estes representam para a instituio.
No se encontrou nenhum procedimento para o tratamento do ativo de TI
que permitisse a identificao da importncia do mesmo na estrutura. Encontrado na
norma ISO/IEC 27001(2013) em seu item 8.2.3 que aponta a necessidade de
classificao da informao conforme as consideraes da organizao.
De acordo com a ISO/IEC 27001 (2013) em seu item 8.1.1 e 8.1.2, os ativos
associados com as informaes devem ser inventariados, identificando os seus
proprietrios.
3.3.1 Anlise de risco de ativos de T.I
Na anlise de risco em questo, os ativos de TI que em sua falta ou mal

funcionamento ocasionam maior reflexo nas operaes da contabilidade, esto nos
apndices A e B, sendo possvel verificar os levantamentos dos ativos de
informao e servios, relacionando-os com as ameaas, vulnerabilidades e
controles.
A anlise proporcionou a viso dos ativos dispostos na matriz de
probabilidades, auxiliando na identificao dos ativos mais relevantes estrutura.
Quadro 7 - Nveis de Criticidade (Ativos de T.I)

Escala 1 Escala 2 Definio visual Nvel de criticidade Porcentagem
1-5 1 Verde Baixa 4% - 20%
5,01 10 2 Azul Mdia 20,04% - 40%
10,01 15 3 Amarelo Alto 40,04% - 60%
15,01 20 4 Laranja Muito Alta 60,04 80%
41
20,01 25 5 Vermelho Elevada 80,04 100%

Quadro 8 - Matriz de Risco (Ativos de T.I)
3.3.2 Anlise de risco de servios prestados
A anlise de risco de servio nos possibilitou verificar quais dos servios

prestados pela contabilidade tem o maior nvel de criticidade ao negcio. Quais
servios, caso no fossem cumpridos at o prazo, trariam mais gasto monetrio a
empresa e tambm de imagem.
Como podemos verificar no apndice C, os servios mais crticos para a
contabilidade so Apurao da RAIS, GFIP e SEFIP no setor Pessoal.
Quadro 9 - Nveis de Criticidade(Servios)

Escala 1 Escala 2 Definio visual Nvel de criticidade Porcentagem
1-5 1 Verde Baixa 4% - 20%
5,01 10 2 Azul Mdia 20,04% - 40%
10,01 15 3 Amarelo Alto 40,04% - 60%
15,01 20 4 Laranja Muito Alta 60,04 80%
20,01 25 5 Vermelho Elevada 80,04 100%
42
Quadro 10 - Matriz de Risco (Servios)
3.4 TRIANGULAO DAS ANLISES
Avaliando os ativos de TI e os servios apontados nas matrizes para anlise

dos riscos, ficou identificado que nenhum destes itens considerado relevante para
a continuidade das operaes da organizao.
Chegou-se ao veredito que a parte mais importante presente na estrutura so
as informaes e que sobre estas cabe a criao, aplicao e manuteno de uma
poltica de segurana adequada, vindo ao encontro de um dos principais objetivos
da estrutura que prestar o servio ao cliente com agilidade e segurana.
Figura 8 - Triangulao das anlises

43
4 PROPOSTA
Aps o levantamento e anlise dos dados coletados a equipe constatou que

por ser do ramo da contabilidade e assim trabalhar com informaes
disponibilizadas por terceiros, utilizar sistemas governamentais, a empresa
analisada acaba no tendo uma criticidade elevada em relao aos ativos de T.I,
bem como suas informaes armazenadas, j que estes no os impedem da
continuidade de prestao de servios, somente lhes gerariam um atraso nas
entregas ao qual no lhes acarretariam prejuzos.
Por outro lado, as informaes que trafegam dentro de uma contabilidade tm
um grau de importncia muito elevado, trata-se de informaes completas de outras
empresas e/ou pessoas. O vazamento destas informaes ir influenciar os pilares
da segurana da informao, possibilitando a perda de clientes, credibilidade na
praa e processos judiciais.
4.1 REESTRUTURAO FSICA E LGICA DO AMBIENTE COMPUTACIONAL DA

EMPRESA OCULT CONTABILIDADE
Foi observado que a situao fsica e disposio do cabeamento da rede

eltrica encontram-se em desacordo com a norma ABNT NBR ISO/IEC 27002
(2013b), que descreve sobre a segurana dos cabeamentos tanto energtico,
quanto de telecomunicaes. O item 11.2.3 da referida norma, descreve que o
cabeamento de energia e de telecomunicaes devem estar protegidos contra
interceptaes, interferncias ou danos. Ainda sugere a segregao entre os cabos
de energia e de telecomunicao a fim de evitar interferncias.
Sistemas operacionais e aplicativos de segurana desatualizados, o que
difere das solicitaes da norma ABNT ISO IEC 27032 (2015), em seus itens 12.3 e
12.4, que zelam pela proteo do servidor, pelo controle de softwares maliciosos,
por controlar os acessos de usurio e utilizar ferramentas de proteo como
antivrus e antispyware atualizados.
A norma ABNT ISO IEC 27002 (2013b) trata no seu item 12.5 sobre controles
de softwares operacionais e recomenda atualizao constante destes para que, seu
nvel de apoio ou suporte seja, mantido, pois ao transcorrer o tempo os fornecedores
de software cessam o apoio s verses antigas de seus softwares.
44
imprescindvel para a segurana do ambiente, que a estrutura dispunha de

investimento para o controle das fragilidades de sistema operacional e software de
apoio da gesto da rede.
Para que se ajuste estas no conformidades, proposto que se inicie pela
manuteno na rede de cabeamento fsica, adequando conforme sugesto da
norma com um custo estimado de R$8000,00. Somados ao oramento necessrio
investimento de R$9000,00 para a reestruturao da rede eltrica. Aps concluda a
parte fsica, segue-se com a atualizao dos sistemas operacionais e aplicativos de
segurana com valor estimado em R$14000,00.
O fechamento total dos ajustes propostos garante a estrutura um aumento
significativo na confiabilidade para a continuidade operacional com um investimento
de R$31000,00, podendo ser iniciado sua execuo a qualquer momento.
Com este projeto visamos a estruturao e organizao dos ativos de T.I, a
fim de proporcionar maior garantia e agilidade nos processos dirios, evitando
paradas e manutenes reincidentes.
4.2 REESTRUTURAO PROCESSOS BACKUP E ALTA DISPONIBILIDADE DA

EMPRESA OCULT CONTABILIDADE
Foi verificado que o ambiente no dispunha de alta disponibilidade nem de

procedimentos adequados para o backup, armazenamento e recuperao de dados.
Com a necessidade de manter os backups ntegros, disponveis e seguindo a
ABNT ISO IEC 27002 (2013b), que regem em seu item 12.3, a proteo dos dados
ou informaes contra perdas, bem como efetuar copias de segurana efetuando
testes de restaurao peridicos a fim de comprovar sua integridade. O processo de
execuo de cpia, testes e restaurao devem estar devidamente documentados
conforme norma ABNT ISO IEC 27001 (2013a), item A.12.1.1. Estes documentos e
as copias de segurana devem estar armazenados em local remoto e
disponibilizados aos usurios que necessitarem deles.
O documento ainda sugere que o ambiente seja avaliado quanto a alta
disponibilidade das informaes e tambm que o conjunto de backup seja
incrementado com uma poltica que satisfaa os principais itens da norma,
principalmente a questo de treinamento do administrador quanto as validaes
peridicas dos contedos gerados e o armazenamento dos backups em local fora
45
das dependncias da empresa.

Para a adequao do ambiente quanto a alta disponibilidade, treinamentos do
administrador e aquisio dos equipamentos envolvidos, est estimado investimento
de R$39.500,00.
Tambm como boa prtica, os servidores devem estar resguardados com
contingncia de energia, passando a contar com um nobreak de custo estimado em
R$3500,00, providencia esta apontada como ponto a ser observado pela norma
ABNT ISO IEC 27001:2013a Item: A.11.2.2. Os equipamentos devem ser protegidos
contra falta de energia eltrica e outras interrupes causadas por falhas das
utilidades. Para a efetivao da proposta, deve ser dado prioridade criao da
poltica de backup e alta disponibilidade e na sequencia os treinamentos.
4.3 POLTICA DE SEGURANA DA EMPRESA OCULT CONTABILIDADE
Identificou-se que a empresa Ocult no possui nenhuma poltica de

segurana da informao definida, ocorrendo o trfego de vrias informaes sem o
mnimo de segurana desejvel. Visando minimizar danos a instituio e procurando
engrandecer os pilares da confidencialidade, disponibilidade e integridade das
informaes, tomando como base a norma ABNT 27001 (2013a), em seu item 5.1.1,
refere a definio de um conjunto de polticas de segurana da informao, que seja
aprovado e apoiado pela direo, publicando-o e comunicando-o todos os
funcionrios e partes externas relevantes.
Baseados nos fatos presenciados, est sendo proposto a criao de uma
poltica de segurana da informao.
Entende-se que a estrutura tem muito a ganhar com a criao de uma poltica
de segurana da informao bem como a criao de procedimentos que venham a
garantir que o colaborador tenha recebido as devidas instrues de como classificar
e proceder com a criao das regras sobre uma determinada informao, vindo ao
encontro do item 8.1.3 da norma ISO/IEC 27001 (2013a) que menciona que para o
uso aceitvel das informaes, os ativos associados com a informao e os recursos
de processamento da informao devem ser identificados, documentados e
implementados para que se tenha um uso aceitvel dos ativos.
Segundo PMI (2013), se faz necessrio o planejamento e revises constantes
das definies e tambm a melhoria continua dos processos, tambm abordada nas
46
Sete Fases do Ciclo de Vida da Implementao do COBIT em sua quinta edio.

(ISACA, 2012).
Entende-se que a criao da poltica da segurana da informao deve ser
criada e acompanhada por consultoria especialista, com custo estimado de
R$36098,00 diretos em horas da consultoria, sempre acompanhada por pessoas
que tenham o conhecimento do real valor da informao para a instituio.
Cronogramas de revises e ajustes na poltica de segurana da informao
devem estar sempre em pauta bem como revises de novos pontos que necessitam
de controle.
Aos colaboradores cabe receber as instrues e coloc-las em prtica, sendo
periodicamente avaliados quanto ao real conhecimento de como a empresa qualifica
e quais aes e/ou permisses elas possuem sobre uma determinada informao.
O no cumprimento acarretar em sanses que tambm devem estar bem
explicitas e devidamente embasadas na poltica de segurana da informao.
Em cada etapa de treinamento e avaliao dos colaboradores, estimado
custo de R$800,00 por colaborador, devendo ser atualizado com periodicidade no
superior a 12 meses.
4.4 PROJETO
Baseando-se nas informaes citadas anteriormente voltando para anlise do

nosso estudo, a proposta 4.3 Poltica de Segurana possui o intuito de assegurar
estas informaes, tornando-se mais atrativa para este caso, pois o grau de impacto
por vazamento ou alterao de informaes sem conhecimento e/ou consentimento
dos proprietrios ser catastrfico para os negcios da contabilidade.
Nossa proposta, visa blindar com uma poltica de segurana e um termo de
responsabilidade para a empresa Ocult Contabilidade, ao qual regrar e definir
processos que mantenham a devida segurana das informaes. Alm das polticas
devem-se treinar e avaliar as pessoas, utilizando questionrios, para que estejam
cientes das regras, assim como as implicaes caso no as cumpram. Os modelos
de PSI, TR e questionrio avaliativo esto dispostos nos apndices C, D e E
respectivamente. No apndice F tem-se o termo de abertura do projeto Salvaguarda,
que trata os passos que possibilitam a sua implantao, descrevendo a
oportunidade de negcio e delineando os limites do projeto.
47
REFERNCIAS
ASSOCIAO BRASILEIRA DE NORMAS TCNICAS. NBR ISO/IEC 31000:2009:

Gesto de riscos Princpios e diretrizes. Rio de Janeiro, 2009.
______. NBR ISO/IEC 27005: 2011: Tecnologia da informao Tcnicas de

segurana Gesto de riscos de segurana da informao. Rio de Janeiro, 2011.
______. NBR ISO/IEC 27001: 2013: Tecnologia da Informao Tcnicas de

Segurana Sistemas de gesto da segurana da informao Requisitos. Rio de
Janeiro, 2013a.
______. NBR ISO/IEC 27002: 2013: Tecnologia da Informao Tcnicas de

Segurana Cdigo de Prtica para controles de segurana da informao. Rio de
Janeiro, 2013b.
______. NBR ISO/IEC 27032: 2015: Tecnologia da informao Tcnicas de

segurana Diretrizes para segurana ciberntica
ATLAS DO DESENVOLVIMENTO HUMANO NO BRASIL. [S.l.: s.n.], 2013.

Disponvel em: <http://www.atlasbrasil.org.br/2013/pt/perfil_m/criciuma_sc>. Acesso
em: 25 out. 2016.
BASTOS, Marcelo. Portal Administrao: Tudo sobre Administrao. Anlise SWOT

(Matriz) - Conceito e Aplicao. [S.l.], 2014. Disponvel em: <http://www.portal-
administracao.com/2014/01/analise-swot-conceito-e-aplicacao.html>. Acesso em: 28
abr. 2017.
BEZERRA, Edson Kowask. Gesto de riscos de TI: NBR 27005. Rio de Janeiro:
Rede Nacional de Ensino e Pesquisa / Escola Superior de Redes, 2011.
FERREIRA, Paulo Alexandre dos Santos. Implementao de processos da fase

de operao de servio do ITIL em ambiente universitrio o caso do ISCTE-
IUL Dissertao Mestrado em Gesto de Sistemas de Informao - Instituto
Universitrio de Lisboa - ISCTE-IUL, Portugal. Janeiro, 2011.
FERNANDES, Aguinaldo Aragon; ABREU, Vladimir Ferraz de. Implantando a

Governana de TI: da Estratgia Gesto dos Processos e Servios. Rio de
Janeiro: Brasport, 2012. 640 p.
FILHO, Archimedes Naspolini. CRICIMA - Governo do Municpio. Sobre a

Histria. Disponvel em: <www.criciuma.sc.gov.br/site/turismo/p/sobre_a_historia>.
Acesso em: 25 out. 2016.
GLENFIS AG (Org.). ITIL.org: ITIL Knowledge - Overview. Disponvel em:

<http://os.itil.org/en/vomkennen/itil/index.php>. Acesso em: 10 Ago. 2016.
IBGE. Instituto Brasileiro de Geografia e Esttica, Santa Catarina Cricima

histrico. 2016a. Disponvel em: <http://cod.ibge.gov.br/18ly>. Acesso em: 25 out.
2016.
48
______. Instituto Brasileiro de Geografia e Esttica, Santa Catarina Cricima.

2016b. Disponvel em: <http://cod.ibge.gov.br/L90>. Acesso em: 25 out. 2016.
INTERNATIONAL STANDARD. ISO/IEC 27000: 2014: Information technology

Security techniques Information security management systems Overview and
vocabulary. 3. ed. Sua, 2014.
ISACA - Information Systems Audit and Control Association. Modelo Corporativo

para Governana e Gesto de TI da Organizao. COBIT 5a ed. United States
Of America: ISACA, 2012.
ISO. International Organization for Standardization. Disponvel em:

<http://www.iso.org/iso/iso27001>. Acesso em: 24 out. 2016.
IT GOVERNANCE INSTITUTE (Org.). COBIT 4.1 Excerpt. 4 ed. United States Of

America: It Governance Institute, 2007.
PMI - Project Management Institute. Um guia do conhecimento em

gerenciamento de projetos. Guia PMBOK 5 ed. United States Of America: PMI,
2013.
PORTAL EDUCAO. O Ambiente Organizacional. Campo Grande, 2013.

Disponvel em:
<https://www.portaleducacao.com.br/conteudo/artigos/administracao/o-ambiente-
organizacional/35101>. Acesso em: 28 abr. 2017.
ROSA, Claudio Afrnio. Como elaborar um plano de negcios. Braslia: Ncleo de

comunicao, 2013.
RUAS, Wilimar Junio. O ambiente informacional na gesto das organizaes.

[S.l.], 2014. Disponvel em: <http://www.administradores.com.br/artigos/academico/o-
ambiente-informacional-na-gestao-das-organizacoes/79783/>. Acesso em: 28 abr.
2017.
TEIXEIRA, Marco Aurlio Cerqueira. A melhoria da qualidade dos servios de ti

com a adoo do ITIL. VII Congresso Nacional de Excelncia em Gesto. Rio de
Janeiro, RJ. 12 e 13 de agosto de 2011.
VERGARA, Sylvia Constant. Projetos e relatrios de pesquisa em administrao.

9 ed. So Paulo: Atlas, 2007.
49
APNDICE A ANLISE DE RISCO ATIVOS DE T.I
Nveis dos Impactos

N Nvel Descrio
1 Desprezvel No causa dano a continuao do negcio
2 Baixo Danos leves aos ativos de T.I com retorno facilmente controlvel com baixo custo de
reparo
3 Significativo Danos medianos aos ativos de T.I com retorno de operao lento e custo de retorno
prejudicial considerado pela organizao.
4 Importante Afetam a continuidade de servios e podem vir a atrasar entregar de informaes e ou
documentos.
5 Desastre Ficar sem
Nveis das Probabilidades

Nvel Probabilidade
5 Elevada
4 Muito Alta
3 Alta
2 Mdia
1 Baixa
Ativo Descrio Ameaas Controle Vulnerabilidad CIDA

s es
Link Internet Provimento de acesso Falha de link de No Cabeamento Disponibilidade
internet para a instituio. comunicao possui exposto
Link Internet Provimento de acesso Falha do No Ponto nico de Disponibilidade
internet para a instituio. equipamento de possui falha
telecomunicao
Modem Equipamento responsvel Perda de servio No Equipamento Disponibilidade
pela comunicao da de apoio possui sem proteo
rede interna com o link de
dados.
Modem Equipamento responsvel Perda de servio No Queima do Disponibilidade
pela comunicao da de apoio possui equipamento
dados.
Modem Equipamento responsvel Perda de servio No Falta de energia Disponibilidade
pela comunicao da de apoio possui
dados.
Modem Equipamento responsvel Alterao nas No Acesso indevido Disponibilidade
pela comunicao da configurao do possui na Integridade
rede interna com o link de equipamento administrao Confiabilidade
dados. do equipamento
Modem Equipamento responsvel Acesso rede No Acesso indevido Disponibilidade
pela comunicao da por pessoas no possui na Integridade
50
rede interna com o link de autorizadas administrao Confiabilidade

dados. do equipamento
Switch Equipamento responsvel Perda de No Equipamento Disponibilidade
pela conectividade da conectividade possui sem proteo
rede local. interna entre os
equipamento
Switch Equipamento responsvel Perda de No Queima do Disponibilidade
pela conectividade da conectividade possui equipamento
equipamento
Switch Equipamento responsvel Perda de No Falta de energia Disponibilidade
pela conectividade da conectividade possui
equipamento
Cabeament Estrutura fsica da rede Desastre (causa No Cabeamento Disponibilidade
os de Rede local responsvel por humana) possui desprotegido
interligar fisicamente os
equipamentos que
necessitam de
comunicao entre si ou
com a internet.
Cabeament Estrutura fsica da rede Mau No Manuteno Disponibilidade
o de Rede local responsvel por funcionamento possui inadequada Integridade
interligar fisicamente os da rede Confiabilidade
equipamentos que
necessitam de
com a internet.
Cabeament Estrutura fsica da rede Desastre No Dano devido a Disponibilidade
o de Rede local responsvel por (Natural) possui pragas
interligar fisicamente os
equipamentos que
necessitam de
com a internet.
Servidor de Onde ficam todas as Interrupo do Possui No-break de Disponibilidade
Aplicao / aplicaes especialistas suprimento de baixa
File Server da rea contbil e energia capacidade
Documentos.
Servidor de Onde ficam todas as Interrupo do No Falta de Disponibilidade
Aplicao / aplicaes especialistas suprimento de possui redundncia na
File Server da rea contbil e energia unidade de
Documentos. alimentao
Servidor de Onde ficam todas as Perda de acesso No Falta de Disponibilidade
Aplicao / aplicaes especialistas a informao possui redundncia na
File Server da rea contbil e unidade de
Documentos. armazenamento
Servidor de Onde ficam todas as Sistema No Falta de plano Disponibilidade
Aplicao / aplicaes especialistas Operacional possui de recuperao
File Server da rea contbil e paralisado de desastres
Documentos.
b) Anlise de ameaas e da perda potencial

51
Estimativa de riscos (com base nos quadros de impacto e probabilidade)

rea ID Ameaas Impacto Probabilidade Risco
Telecomunicaes 1 Falha de link de 5 2 10
comunicao
Telecomunicaes 2 Falha do equipamento de 5 2 10
telecomunicao
Telecomunicaes 3 Perda de servio de apoio 4 2 8
Telecomunicaes 4 Alterao nas configuraes 4 3 12
do equipamento
Telecomunicaes 5 Acesso rede por pessoas 4 3 12
no autorizadas
Telecomunicaes 6 Perda de conectividade 2 2 4
interna entre os
equipamentos
Telecomunicaes 7 Desastre (causa humana) 5 2 10
Telecomunicaes 8 Mau funcionamento da rede 3 4 12
Telecomunicaes 9 Desastre (Natural) 3 2 6
Infraestrutura 13 Perda de Servio de apoio 3 2 6
Infraestrutura 14 Falha de equipamento 4 2 8
Infraestrutura 15 Defeito de equipamento 5 2 10
Infraestrutura 16 Defeito de software 5 3 15
52
APNDICE B ANALISE DE RISCO DE SERVIOS
Nveis dos Impactos

N Nvel Descrio
1 Desprezvel No causa dano a continuao do negcio
2 Baixo Danos leves aos ativos de T.I com retorno facilmente controlvel com baixo custo de
reparo
3 Significativo Danos medianos aos ativos de T.I com retorno de operao lento e custo de retorno
prejudicial considerado pela organizao.
4 Importante Afetam a continuidade de servios e podem vir a atrasar entregar de informaes e ou
documentos.
5 Desastre Ficar sem
Nveis das Probabilidades

Nvel Probabilidade
5 Elevada
4 Muito Alta
3 Alta
2 Mdia
1 Baixa
53
54
APNDICE C POLTICA DE SEGURANA DA INFORMAO
1 Dos Objetivos
Este documento denominado Poltica da segurana da informao ou somente PSI,
tem por objetivo a proteo das informaes circulantes de propriedade ou guarda
da empresa Ocult Contabilidade, denominada neste documento como organizao
ou instituio.
2 Da Abrangncia
Este documento estende-se a todos os componentes diretos ou indiretos que lidam
com informaes produzidas ou veiculadas nesta organizao. Entende-se por
componentes diretos, os funcionrios e/ou qualquer membro que possua vnculo
empregatcio e indireto os terceirizados.
3 Da Misso
Este documento tem como misso garantir a exclusividade das informaes desta
organizao para que seja armazenada ou veiculada de maneira apropriada,
estando protegida de acordo com sua classificao.
4 Das referncias bibliogrficas
Esta poltica est embasada nos seguintes documentos:

Lei No 10.695, 1 de Julho de 2003 Pirataria / Direitos Autorais;
Lei N 12.737, 30 de Novembro de 2012 Crimes Cibernticos. Espionagem
Digital (Lei Carolina Dieckmann);
Lei N 12.735, 30 de Novembro de 2012 Crimes Cibernticos. Preparao
Da Polcia Para Crimes Cibernticos. (Lei Azeredo);
Lei 9.609/98 Lei do Software;
ABNT NBR ISO/IEC 27001:2013;
Os documentos de referncias acima so considerados hbeis por se tratarem de
leis ou documentos de melhores prticas a serem executados em uma organizao.
55
5 Fundamentos
Todo o conhecimento tangvel de uma organizao que pode estar expresso em
documentos fsicos e mdias eletrnicas denominado Informao.
A informao o principal patrimnio dos negcios. Informao de qualidade
capaz de decidir o sucesso de uma empresa. O poder das informaes somado a
dificuldade de proteger este ativo, o torna um alvo constante de ameaas.
Os principais pilares de segurana da informao consistem em:
Confidencialidade: as informaes acessadas somente por pessoas
autorizadas;
Integridade: as informaes devem ser mantidas de forma que no sofram
modificaes acidentais ou propositais;
Disponibilidade: as informaes devem estar dispostas no momento da
necessidade de uso pelas pessoas autorizadas.
6 Da proteo da informao
Por ser um ativo vital para a corporao pratica comum desta organizao
proteger toda e qualquer informao considerada de valor. Entese-se por informao
de valor toda aquela que possa gerar vantagem competitiva ou comprometer o
andamento dos negcios caso seja interceptada por pessoas no autorizadas. O
comprometimento dos negcios se d quando alguma informao sigilosa vem a
pblico causando perdas ou exposio de informaes no autorizadas pela prpria
instituio ou pelo cliente ao qual est sendo prestado servios causando-lhe danos,
minando assim os principais pilares da segurana da informao da instituio.
7 Das Responsabilidades
de responsabilidade de cada integrante desta organizao, seja funcionrio,
estagirio ou terceiro, entender suas responsabilidades, respeitando esta poltica de
segurana e zelando pela segurana da informao em suas atividades dirias.
Para toda atividade executada, devem ser observadas as normas reguladoras e
legislaes vigentes a fim de evitar comprometimento das informaes ou
informaes no autorizadas por esta instituio.
8 Da Confidencialidade
toda a informao eletrnica ou no, sinalizada como impedida de exposio ou
56
de carter sigiloso. Cada integrante desta instituio, estando de posse destas

informaes deve mant-las em carter sigiloso no expondo estas em qualquer
forma sem prvia autorizao desta organizao. As informaes sigilosas no
formato escrito por sua vez devem estar guardadas de tal forma que impeam a fcil
visualizao dos transeuntes na organizao.
9 Das Violaes
Toda e qualquer violao de poltica, norma ou procedimentos de segurana de
informao deve ser comunicado imediatamente a rea de Segurana da
Informao ou a rea de TI responsvel, a fim de que sejam tomadas as medidas
necessrias, evitando o comprometimento de informaes. A utilizao de software
ilegal, infeco por vrus (intencional ou no), tentativas e/ou acessos as
informaes no autorizadas ao sistema, divulgaes de informaes importantes
no se atentando a classificao das informaes (sigilosas ou no), so causas
exemplos de violaes.
A no observncias das diretrizes desta poltica, implicaro em sanes de
responsabilidade civil e criminal que a lei permitir bem como a resciso contratual.
10 Das classificaes da informao

O propsito de se classificar a informao passar entendimento de valor,
sensibilidade e importncia da mesma para a organizao, assegurando que esta
receba um nvel adequado de proteo de acordo com sua importncia. A
classificao e os controles da informao devem valorar tambm o ativo que o
protege ou o condiciona a fim de resguardar os trs pilares da segurana da
informao.
A responsabilidade da classificao dos ativos de informao so os seus
proprietrios ou manuseadores.
A classificao do ativo deve ser de fcil compreenso, especificando a empresa, a
unidade rea e setor, seguido das denominaes:
Publica: destinada ao pblico externo pode ser veiculada de forma irrestrita;
Interna: somente destinada aos integrantes desta corporao, podendo ser
veiculada a qualquer rea ou setor;
Confidencial: destinada exclusivamente ao proprietrio detentor da
informao;
57
Restrita: destinada apenas ao setor ou rea a que lhe cabe.

Partindo deste princpio, deseja-se que qualquer membro desta corporao tenha o
entendimento e saiba reconhecer a importncia de qualquer informao.
Logo classificaremos como restrito os contedos dos sistemas de informao,
diretrios de rede compartilhados e banco de dados desta instituio.
11 Dos Acessos
A utilizao dos acessos e recursos como sistemas de informao, diretrios em
rede e banco de dados, devem ser restritos apenas a necessidade do exerccio da
funo de cada usurio, permitindo assim que cada usurio possa intervir apenas
das devidas reas autorizadas ao mesmo. Periodicamente os acessos devem ser
revistos para que todo e qualquer acesso desnecessrio e excessivos sejam
retirados de imediato, a fim de assegurar a regra do mnimo acesso necessrio.
12 Das Autenticaes e Senhas

O usurio fica responsvel por todos os atos executados no uso do seu identificador
(login), que nico e com senha prpria. Devendo assim, para manter a segurana
das suas autenticaes, seguir as seguintes regras:
-Memorizar, e no registrar a senha.
-Alterar a senha sempre que exigido pelo sistema.
-Buscar qualidade de segurana para as senhas, utilizando referncias de difcil
adivinhao.
-No informar ou permitir que outra pessoa utilize do seu login.
-Manter o equipamento bloqueado quando se ausentar do mesmo.
13 Dos Recursos
Os Hardwares e Softwares da empresa devem ser utilizados apenas para fins do
exerccio da funo, com isto se restringe a instalao e uso dos softwares,
alterao ou movimentao de equipamentos sem o consentimento da rea
especialista.
Os recursos particulares como computadores e/ou quaisquer equipamentos porttil
no devem ser usados para processamento de informaes da organizao e nem
conectados na rede da empresa.
58
14 Das propriedades
Independente da forma, toda e qualquer informao relacionada ou gerada nas
dependncias desta organizao, sejam elas nos meios eletrnicos ou no,
constituem o ativo de informaes desta instituio, sendo assim, todos os produtos
resultantes dos trabalhos executados so de propriedade desta organizao.
15 Dos Compromissos e Penalidades

Todas as garantias necessrias para o cumprimento desta poltica esto
estabelecidas com os colaboradores da empresa no compromisso de assegurar a
segurana das informaes.
O descumprimento da Poltica considerado falta grave e assim poder acarretar
sanes previstas nas leis, regulamentos internos e contratuais.
16 Treinamentos, Atualizaes e Divulgaes

Para que a compreenso da Politica seja efetiva e comprovada, sero programados
treinamento e provas, a fim de educar os colaboradores sobre as obrigaes para
com a empresa e a comprovao que o mesmo tenha tido a devida compreenso
deste documento. A frequncia dos treinamentos deve ser avaliada conforme a
criticidade do ativo de informao. Para os ativos classificados como confidenciais
ou restritos, os treinamentos devem ser revisados e avaliados com maior frequncia.
________________________________ Data:____/____/________
ASSINATURA
59
APNDICE D TERMO DE RESPONSABILIDADE
Poltica de uso da rede corporativa, computadores, internet e utilizao de e-

mails corporativos.
Eu,________________________________________________________________
Setor:__________________________ Funo:_____________________________
CPF:___________________________ Identidade:__________________________
Matricula:_______________________Telefone:_____________________________
Declaro haver solicitado acesso a rede corporativa, computadores, Internet

e/ou utilizao de e-mail corporativo e me comprometendo a:
a) Acessar a rede corporativa, computadores, Internet e/ou utilizao de e-

mail corporativo, somente por necessidade de servio ou por determinao expressa
de superior hierrquico, realizando as tarefas e operaes em estrita observncia
aos procedimentos, normas e disposies contidas nas instrues normativas
vigentes desta empresa;
b) No revelar, fora do mbito profissional, fato ou informao de qualquer
natureza de que tenha conhecimento por minhas atribuies, salvo por fora de
solicitao e/ou deciso competente na esfera legal ou judicial;
c) Manter o devido cuidado quando da exibio de dados em tela, impressora
ou na gravao em meios eletrnicos, a fim de evitar que pessoas no autorizadas
venham a tomar conhecimento de tais informaes;
d) No me ausentar da estao de trabalho sem encerrar a sesso de usurio
ou sem bloquear estao de trabalho, garantindo assim a impossibilidade de acesso
indevido por pessoas no autorizadas;
e) No revelar minha senha de acesso a rede corporativa, computadores,
Internet e/ou de minha caixa postal (e-mail) corporativo a ningum, tomando o
mximo de cuidado para que ela permanea somente de meu conhecimento;
f) Alterar minha senha, sempre que obrigatrio ou que tenha a suspeita da
descoberta desta por terceiros, no usando combinaes simples na criao ou
alterao da mesma, que possa ser facilmente descoberta;
g) Seguir as informaes contidas nos documentos descritos em formatos de
normas, cartilhas, termos e restries de sistema, impostas pela rea de tecnologia
60
da informao;
h) Responder, em todas as instncias, pelas consequncias das aes ou
omisses de minha parte que possam pr em risco ou comprometer a exclusividade
de conhecimento de minha senha ou das transaes a que tenha acesso;
I) No instalar softwares irregulares ou ilegais, tendo conhecimento de que
esta prtica no autorizada por esta corporao;
Declaro, ainda, estar plenamente esclarecido e consciente que:
1. No permitida a navegao aos sites pertencentes s categorias abaixo:
Pornogrfico e de carter sexual;
Compartilhamento de arquivos (ex.: peer to peer, Bit Torrent, Emule,
etc.);
Pornografia infantil (pedofilia);
Apologia ao terrorismo;
Apologia s drogas;
Crackers;
Relacionamento (Orkut, Gazzag, Facebook, etc.);
Violncia e agressividade (racismo, preconceito, etc.);
Violao de direito autoral (pirataria, etc.);
udio e vdeo, salvo com contedo relacionado diretamente
atividades administrativas ou profissionais;
Instant messenger (msn, google talk, whatsapp, etc.);
Contedo imprprio, ofensivo, ilegal, discriminatrio e similares.
2. No permitida a troca de arquivos de vdeo ou msica, bem como de
quaisquer informaes que estejam includas nas categorias acima;
3. proibida a transferncia de qualquer tipo de programas, jogos e similares,
por ou para a rede interna desta, com exceo de programas de produtividade
(editores de textos e etc.) ou utilitrios (compactadores e etc.), provenientes de
servidores desta corporao e com autorizao especfica;
4. proibido downloads de arquivos de extenses
tipo: .exe, .mp3, .wav, .bat, .com, .sys, .scr, .ppt, .mpeg, .avi, .rmvb, .dll, e de
programas de entretenimento ou jogos, salvo os estritamente relacionados aos
servios inerentes funo;
5. No permitido o acesso a programas de TV por internet ou qualquer
61
contedo que cuja sua execuo geram trfego sob demanda (streaming);
6. proibido o uso de jogos;
7. O uso de e-mail corporativo no garante direito sobre este, nem confere
autoridade para liberar acesso a outras pessoas, pois se constitui de informaes
pertencentes a esta corporao;
8. Qualquer problema referente ao uso de equipamentos de tecnologia
(computadores, notebooks, tablets e etc.), assim como softwares e contas de acesso
referentes a corporao dever imediatamente ser relatado rea de tecnologia;
9. O usurio assumir a responsabilidade por dano causado por algum
procedimento de iniciativa prpria de tentativa de modificao da configurao, fsica
ou lgica, do computador e/ou rede sem a autorizao expressa;
10. O usurio assumir a responsabilidade pelo dano que possa causar a
esta e a terceiros, caso no venha cumprir o disposto neste TERMO DE
RESPONSABILIDADE.
Declaro, nesta data, ter cincia do documento de trs pginas intitulado de

TERMO DE RESPONSABILIDADE, estando de acordo com o mesmo e os itens
descritos neste, comprometendo-me a respeit-los e cumpri-los plena e
integralmente.
________________________________ Data:____/____/________
ASSINATURA
62
APNDICE E QUESTIONRIO AVALIATIVO
Instituio: _______________________________________________________
Colaborador: _____________________________________________________
Setor/Funo: __________________________
Questionrio para medir o nvel de compreenso da poltica de segurana
Assinale a opo que se mostra correta a partir da leitura e compreenso da poltica

de segurana da empresa.
1. A definio bsica de Segurana da Informao :
a) Disponibilizar as informaes ao pblico.

b) Repassar as informaes quando achar necessrio.
c) Resguardar as informaes da melhor forma possvel para garantir os pilares da
SI.
2. A Segurana da Informao baseada em 3 principais pilares, sendo eles:

a) Ateno, Zelo e Confiabilidade.
b) Confidencialidade, Integridade e Disponibilidade.
c) Zelo, Disponibilidade e Alcachofras.
3. Quais os responsveis por manter a segurana das informaes dentro da

organizao a partir das normas transmitidas pela Poltica de Informao da
empresa?
a) Clientes e Fornecedores
b) Instituio regulamentadora do segmento.
c)Todo e quaisquer funcionrios da organizao.
4. Todas as informaes que trafegam e so geradas dentro de instituio, so de

patrimnio de quem?
a) Dos funcionrios que a geraram
63
b) Do Lula
c) Da Organizao
5. A utilizao do Hardware e Software da empresa devem ser utilizados apenas

para:
a) As atividades profissionais da empresa
b) Acesso as redes sociais
c) Trabalho e Lazer
6. O descumprimento da Poltica de Segurana pode acarretar:

a) Atraso na execuo dos trabalhos
b) Sanes previstas nas leis, regulamentos internos e contratual
c) Enforcamento em praa pblica
________________________________ Data:____/____/________
ASSINATURA
64
APNDICE F PROJETO SALVAGUARDA
PROJETO SALVAGUARDA
Verso Data Autor Cliente
Caio Campos, Christiam Daminelli, Gledson Scotti,
Ocult
1 21/03/2017
Helton Alixandre Raiciki Contabilidade
Oportunidade de Negcio
No contexto negcio, em diversos ramos, percebesse uma grande evoluo

tecnolgica acontecendo constantemente. Est tecnologia aplicada de forma correta e
segura pode promover ganhos e diferencial competitivos no mercado. Entretanto, devido a
crescente no uso das ferramentas de tecnologia da informao para a transmisso de
informaes, o cuidado e a orientao sobre a utilizao das mesmas devem ser
redobradas, para conciliar a agilidade das ferramentas junto a segurana das informaes
que trafegam, e assim proporcionando a confiabilidade da empresa dentro do mercado de
negcio. Portanto, o projeto Salvaguarda coloca disposio normas, informaes e
exemplos acerca da segurana da informao e polticas de informao, preparando as
empresas do ramo contbil para criar e gerir a sua prpria poltica interna de segurana da
informao.
Escopo do Projeto
O projeto Salvaguarda tem por objetivo prover as partes interessadas embasamento

e recursos que iro auxiliar na tomada de decises na criao de uma poltica de segurana
da informao, como por exemplo, informaes sobre as normas ISO da famlia 2700 que
trabalham acerca da segurana das informaes, assim como o exemplo de uma poltica de
segurana da informao e documentaes auxiliares voltados ao ramo contbil que
ajudaro na gesto deste recurso.
Equipe e Papis
A equipe envolvida no projeto formada por pessoas de diferentes ramos e

responsabilidades. O projeto Salvaguarda trabalha com a seguinte equipe para o
desenvolvimento da poltica de segurana da informao: Gestor do projeto, Gestor de
Recursos humanos, Especialista em segurana da informao, Especialista jurdico.
65
Papel Responsabilidade
Gestor do Projeto Planeja e conduz o projeto, mantendo a equipe focada
nos objetivos
Gestor RH Avalia e prope sobre os processos internos
Especialista SI Avalia e prope medias acerca da segurana da
informao
Especialista Jurdico Avalia e prope medias acerca das leis judiciais
Estratgia de comunicao
A equipe utiliza de reunies para a comunicao sobre o andamento do projeto. As

reunies rpidas e com destino especfico, so feitas a partir de uma necessidade para a
continuidade do projeto. J as reunies longas so destinadas a apresentao de material e
analises coletadas, para continuao ou tomadas de deciso sobre o projeto. Alm dos
encontros presenciais, feito o uso de ferramentas de comunicao como: e-mail,
WhatsApp e Facebook.
Prazo
O projeto tem durao de aproximadamente trs meses, sendo divido em um ms
para cada parte do projeto, sendo, a primeira parte voltada a anlise e levantamento de
dados, a segunda em fundamentao metodologia de normas e leis, e a terceira voltadas ao
desenvolvimento da poltica e documentao auxiliar.
Custo
Mdia de trabalho por semana: 40 horas
Custo por consultor: R$ 55,00 /hora
Custo por Gerente: R$ 110,00/hora
Como o projeto tem durao de 20,667 dias, o custo total levando em considerao apenas
a hora do profissional :
Total Projeto: R$: 36098,33

66
EAP - Estrutura analtica do Projetos
Figura 1: EAP - Estrutura Analtica de Projeto

67
EAP - Dicionrio
Pacotes de Trabalho Descrio Critrios de aceitao

1.1 Iniciao
Reunio de abertura, para A sada deve conter uma
oficializao do projeto. ATA de Reunio com todos
1.1.1 Reunio de abertura os objetos da reunio
assinada por todos os
participantes.
Este documento tem por Diretoria, Gerencia e partes
1.1.1.1 Termo de Abertura funo formalizar a interessadas devem estar
inicializao do projeto. presentes.
Tem por finalidade registrar Documento deve ser
1.1.1.2 Termo de Apoio da
a aceitao e fora da PSI e assinado pela diretoria.
Direo
TR.
Todos os membros do Documento com todas as
projeto, assim como todas partes interessadas bem
1.1.1.3 Partes Interessadas as entidades. como suas
Interessadas dentro ou fora responsabilidades.
da organizao.
Documentar necessidades Deve ter como sada uma
das partes interessadas a listagem de necessidades
1.1.1.4 Coletar Requisitos fim de atender aos objetivos das partes interessadas
do projeto. assinados pelos mesmos e
pela diretoria.
Entendimento dos objetivos Sada dever ser um
do projeto, dos resultados documento que limitar o
1.1.1.5 Definio do escopo esperados e descrio campo em que a consultoria
sumria do trabalho a ser ir se concentrar. Deve estar
realizado. assinado pela diretoria.
Saber o estado de cada Documento de
pacote de trabalho, que acompanhamento de cada
1.1.2 Reunio
dever ser agendado pacote de trabalho do
Acompanhamento
periodicamente. projeto. Assinado pelas
partes interessadas.
1.2 Planejamento
1.2.1 Analisar
Saber quais os objetivos que Ter documentado e assinado
empresa busca alcanar. pela diretoria e pelas partes
1.2.1.1 Estratgia do
interessadas quais os
Negcio
objetivos que a empresa
busca alcanar.
Analisar regulamentaes do Documento relatando
conselho Estadual ou consideraes para que a
1.2.1.2 Regulamentaes
Federal. poltica de segurana esteja
alinhada as
68
regulamentaes do
conselho estatual e federal
da contabilidade. Deve estar
assinado pela diretoria e
Verificar legislaes Documento relatando
referentes ao ramo da consideraes para que a
atividade contbil. poltica de segurana esteja
alinhada as legislaes
1.2.1.3 Legislaes
nacionais da atividade
contbil. Deve estar
assinado pela diretoria e
Busca exigncias Documento de alinhamento
especificas de contratos dos da poltica de segurana
1.2.1.4 Contratos
clientes. com os contratos internos e
externos da contabilidade.
Analisar exigncias de Documento relatando
contrato interno. consideraes para que a
poltica de segurana esteja
alinhada aos contratos
1.2.1.4.1 Internos
internos da contabilidade.
Deve estar assinado pela
diretoria e partes
interessadas.
Analisar exigncias de Documento relatando
contrato externo. consideraes para que a
poltica de segurana esteja
alinhada aos contratos
1.2.1.4.2 Externos
externos da contabilidade.
Deve estar assinado pela
diretoria e partes
interessadas.
Diagnostico ambiente Analise de risco dos ativos e
1.2.1.5 Ambiente de TI
informacional da servios da contabilidade.
Ameaado
contabilidade.
1.3 Execuo
1.3.1 Desenvolver
Criao da Poltica de Documento da Poltica de
Segurana da contabilidade. Segurana propriamente
dito. Este no devem
1.3.1.1 Poltica de desrespeitar os itens da
Segurana etapa do planejamento.
Devem ser aceitos e
aprovados pela diretoria e
69
Criao da Avaliao da Devem ser aceitos e

PSI, que comprovar aprovados pela diretoria e
1.3.1.2 Avaliao da Poltica
participao no treinamento partes interessadas.
de Segurana
que referenciaro as
polticas.
Criao do Termo de Documento Termo de
Responsabilidade da Responsabilidade
contabilidade ao qual o propriamente dito. Este no
1.3.1.3 Termo de colaborador ter cincias de devem desrespeitar os itens
Responsabilidade suas responsabilidades. da etapa do planejamento.
Devem ser aceitos e
aprovados pela diretoria e
Criao da Avaliao do TR, Devem ser aceitos e
que comprovar participao aprovados pela diretoria e
1.3.1.4 Avaliao do Termo no treinamento que partes interessadas.
de Responsabilidade referenciar as
responsabilidades do
colaborador.
1.3.2 Aplicar
Treinamento dos itens do Cada colaborador deve
1.3.2.1 Treinamento Poltica documento PSI criado na possuir um exemplar da PSI
de Segurana - PSI etapa 1.3.1.1 do projeto. e assinar declarao de
recebimento.
Documento de avaliao Deve ser preenchido pelo
demonstrando entendimento colaborador em caneta
1.3.2.2 Avaliao PSI
das polticas de segurana esferogrfica datada e
adotadas pela empresa. assinada pelo mesmo.
Treinamento dos itens do Cada colaborador deve
1.3.2.3 Treinamento Termo documento TR criado na possuir um exemplar do TR
de Responsabilidade - TR etapa 1.3.1.3 do projeto. e assinar declarao de
recebimento.
Documento de avaliao Deve ser preenchido pelo
demonstrando entendimento colaborador em caneta
1.3.2.4 Avaliao TR do termo de esferogrfica datada e
responsabilidade adotado assinada pelo mesmo.
pela empresa.
1.4 Monitoramento e
Controle
Auditar as fases das As sadas das auditorias
execues do projeto para devem ser em duas vias
1.4.1 Auditoria peridica
saber se esto seguindo de assinadas por suas partes
forma correta a PSI e a TR. interessadas.
Analisar se a poltica de Termo com anlise e
1.4.1.1 Poltica de
segurana est sendo reportas da situao deste
Segurana
aplicada de forma adequada. item as partes interessadas
70
com suas rubricas em duas

vias.
Analisar se o termo de Termo com anlise e
responsabilidade est sendo reportas das situaes deste
1.4.1.2 Termo de
aplicado de forma adequada. item as partes interessadas
Responsabilidade
com suas rubricas em duas
vias.
Retreinar os colaboradores Novas avaliaes de
que no monitoramento da treinamento do PSI e TR
1.4.1.3 Reciclagem PSI ou do TR no sero aplicadas e
corresponderam as acompanhadas pelas partes
expectativas. interessadas.
Aprimorar os documentos e Evoluo dos documentos
1.4.2 Melhoria Contnua treinamento criados na etapa da fase de desenvolvimento.
de desenvolvimento.
Aprimorar o documento da Melhorias devem constar em
PSI com base nas etapas de documento de controle de
1.4.2.1 Poltica de
execuo e auditoria. mudanas, juntamente com
Segurana
sua anlise de impacto
assinados pela diretoria.
Aprimorar o documento de Melhorias devem constar em
avaliao da PSI com base documento de controle de
1.4.2.2 Avaliao PSI nas etapas de execuo e mudanas, juntamente com
auditoria. sua anlise de impacto
Aprimorar o documento do Melhorias devem constar em
TR com base nas etapas de documento de controle de
1.4.2.3 Termo de
execuo e auditoria. mudanas, juntamente com
Responsabilidade
sua anlise de impacto
Aprimorar o documento de Melhorias devem constar em
avaliao do TR com base documento de controle de
1.4.2.4 Avaliao TR nas etapas de execuo e mudanas, juntamente com
auditoria. sua anlise de impacto
1.5 Encerramento
Registro de Impactos ps Documento informacional
aplicao da poltica e do TR dos impactos notados e
1.5.1 Registrar Impactos descritos pelos lderes de
setores aps a aplicao da
PSI e do TR.
Registrar atualizaes nos Documento com registro das
1.5.2 Documentar documentos de mudanas e atualizaes assinadas
Atualizaes e Lies registrar tambm lies pelas partes interessadas.
Aprendidas aprendidas. Registro de lies
aprendidas.
71
Guarda dos documentos Pasta, gaveta ou armrios

gerados com as fases do com os documentos
1.5.3 Arquivar Documentos
projeto para futuras catalogados e ordenados
consultas. para pesquisas futuras.
1.5.4 Encerrar Atividades
Documento de avaliao Preenchida pelas partes
1.5.5 Avaliar a Equipe equipe de consultoria. interessadas para melhoria
contnua da equipe.
Documento de termo de Documento de aceite de
1.5.6 Termo de
encerramento do projeto de concluso do projeto e deve
Encerramento
poltica de segurana. ser assinado pela diretoria.
Cronograma de execuo do projeto:

72
Figura 2: Poltica de Segurana - Projeto e Grafico de Gantt

73
Gerenciamento das Partes Interessadas
Objetivos
O plano de gerenciamento das partes interessadas tem por objetivo identificar

todas as partes que podem impactar ou serem impactadas pelo projeto, analisando
estratgias de gerenciamentos destes grupos a fim de prover eficcia no andamento
do projeto. A comunicao entre as partes deve ser feita para a compreenso das
necessidades e expectativas, e assim conflitar interessasses e realidades para a
tomada de decises.
Planejamento de Gerenciamento das Partes Interessadas
Planejamento de gerenciamento das partes interessadas o processo que

consistir na compreenso e o posicionamento de todos as partes envolvidas no
projeto. Diante disso foram abordadas as seguintes atividades:
Identificar as partes interessadas

Planejar o gerenciamento das partes interessadas
Gerencia o engajamento das partes interessadas
Controlar o engajamento das partes interessadas
Papis e Responsabilidades
R = responsvel (o responsvel direto pela execuo da Papis

atividade);
Especialista em S.I
Gestor do Projeto
Gestor de RH
Especialista Jurdico
C = consultado (quem deve ser consultado);
I = informado (quem deve ser informado);
Atividades
Planejar o gerenciamento das partes interessadas R C/I C/I C/I
Identificao das partes interessadas R R C/I C/I
Planejar o gerenciamento das partes interessadas R R R R
Gerenciar o engajamento das partes interessadas R R C/I C/I
Controlar o engajamento das partes interessadas R R C/I C/I

74
Comunicao
Comunicar Descrio Durao

Comunicao via
comunicadores quando
Equipe necessrio para sanar 30 minutos ao dia
dvidas.
Reunies 2 x na semana
para discusso do que foi
desenvolvido durante a 1 hora
Equipe semana e o que devesse

desenvolver na prxima
semana.
Reunies quinzenais, para

ajustes nos processos e
Equipe apresentar desenvolvimento 2horas
do mesmo.
Apresentar entregas e
andamento do projeto.
Gestor do projeto Durante todo o projeto
Objetivos
O plano de gerenciamento de comunicao tem por objetivo assegurar a boa

comunicao entre os integrantes da equipe de trabalho e tambm com partes
externas. Com isto o plano assegurar que as informaes do projeto sejam
planejadas, coletadas, distribudas, armazenadas, recuperadas, gerenciadas,
controladas, monitoradas e dispostas de maneira apropriada. Uma comunicao
eficaz em um projeto que dispes de mltiplas interaes se torna uma ponte entre
as partes interessadas, que trazem consigo diferenas culturais e organizacionais,
diferentes nveis de conhecimento e perspectivas, impactantes na execuo do
projeto.
Planejamento de Gerenciamento das Partes Interessadas
Planejamento de gerenciamento de comunicao o processo que consistir

em coordenar as comunicaes entre a prpria equipe de trabalho como tambm
aos demais envolvidos. A fim de proporcionar o bom desenvolvimento de coleta de
informaes no projeto. Diante disto, foram abordados os seguintes itens:
75
Planejar o gerenciamento das comunicaes

Gerenciar as comunicaes
Controlar as comunicaes
Papis e Responsabilidades
R = responsvel (o responsvel direto pela execuo da Papis
atividade);
Especialista em S.I
Gestor do Projeto
Gestor de RH
Especialista Jurdico
C = consultado (quem deve ser consultado);
I = informado (quem deve ser informado);
Atividades
Planejar o gerenciamento das comunicaes R R C/I C/I
Gerenciar as comunicaes R R C/I C/I
Controlar as comunicaes R R C/I C/I
Comunicao
Comunicar Descrio Durao
Comunicao via
comunicadores quando
Equipe necessrio para sanar 30 minutos ao dia
dvidas.
Reunies 2 x na semana
para discusso do que foi
desenvolvido durante a 1 hora
Equipe semana e o que devesse

desenvolver na prxima
semana.
Reunies quinzenais, para

ajustes nos processos e
Equipe apresentar desenvolvimento 2horas
do mesmo.
Apresentar entregas e Durante todo o projeto

andamento do projeto.
Gestor do projeto

TCC Senac Final PDF

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

TCC Senac Final PDF

Uploaded by

Copyright:

Available Formats

FACULDADE DE TECNOLOGIA SENAC CRICIMA

Ps-Graduao Lato Sensu em Segurana da Informao

Caio Campos Marcos

ESTUDO DA SEGURANA DA INFORMAO DA EMPRESA OCULT

ESTUDO DA SEGURANA DA INFORMAO DA EMPRESA OCULT

Trabalho apresentado Faculdade Senac

Orientador (a): Prof. MSc. Leila Las

ESTUDO DA SEGURANA DA INFORMAO DA EMPRESA OCULT

Trabalho apresentado Faculdade Senac

A todos q, direta indiretamente, fizeram parte da nossa formao,

As organizaes buscam cada vez mais pelo destaque dentro do mercado de

Palavras-chave: Segurana. Ativos de informao. Poltica. Normas. Empresa.

The organizations increasingly seek to be prominent in the business market, where

Keywords: Security. Information assets. Policy. Standards. Company.

Figura 1 - Ciclo Governana de TI ............................................................................ 16

Quadro 1 - Aplicativos e servios .............................................................................. 29

ABNT Associao Brasileira de Normas Tcnicas

normal encontrarmos organizaes dos mais diversos segmentos sem

1.1 ESPECIFICAO DO PROBLEMA

Anlise da segurana da informao na organizao Ocult Contabilidade,

1.2 OBJETIVO GERAL

Este trabalho tem por objetivo estudar o cenrio organizacional de uma

1.3 OBJETIVOS ESPECFICOS

Identificar no cenrio interno e externo da empresa estudada, as

quaisquer organizaes, sendo fonte vital para o desenvolvimento e competitividade

1.5 FUNDAMENTAO TERICA

A TIC conta com diversas organizaes dedicadas ao estudo das tecnologias

1.5.1 Segurana da informao

Segundo Bezerra (2011), proteger a informao e sua integridade contra

1.5.2 Governana de tecnologia da informao

Com o grande avano tecnolgico que afeta diretamente ou indiretamente a

Figura 1 - Ciclo Governana de TI

Fonte: Fernandes e Abreu (2012, p.13).

gerenciar ou executar os passos abordados, como segue na figura 2:

Figura 2 - GTI e Melhores Prticas

Fonte: Fernandes e Abreu (2012, p.16).

Em resumo, as melhores prticas disponveis no mercado, alm de

1.5.3 Control Objectives For Information And Related Technology (COBIT)

O COBIT, sendo uma melhor prtica, traz as corporaes uma metodologia

Figura 3 - Ciclo COBIT

Fonte: IT Governance Institute (2007, p.10).

O COBIT trabalha de forma geral, com a manipulao e gerenciamento de

1.5.4 Information Technology Infraestrutur Library (ITIL)

Segundo a IT Service Management Forum (itSMF) a ITIL considerada um

Figura 4 - Framework ITIL v3

Fonte: Glenfis Ag (2013, s/p).

Conforme a ITIL.org, um conjunto de atividades definido a fim de obter xito

1.5.5 ISO/IEC 27000

Segundo a ISO.org, a famlia 27000 auxilia as organizaes a manterem seus

O sistema de gesto da segurana da informao preserva a

aplicao de um processo de gesto de riscos e fornece confiana para as

A segurana da informao alcanada pela implementao de conjunto

1.5.6 Anlise S.W.OT (F.O.F.A)

Segundo Rosa (2013) a anlise F.O.F.A que definida por Fora,

Figura 5 - Matriz F.O.F.A

Fonte: Rosa (2013, p.109).

Est analise serve para ajudar na tomada de aes a fim de melhorar a

Dentro das linhas de pesquisa da ps-graduao em Segurana da

1.6.1 Caracterizao da pesquisa

A caracterizao dessa pesquisa, de acordo com Vergara (2007), se classifica

1.6.2 Tcnicas de coletas de dados

Para a realizao da pesquisa na empresa Ocult Contabilidade foram

1.6.3 Forma e anlise de dados