TI013 AnexoC Por
TI013 AnexoC Por
TI013 AnexoC Por
Confiabilidade e garantia de
serviços
1. INTRODUÇÃO
Já se sabe que as empresas são cada vez mais dependentes de sua tecnologia de processamento
de informação, para o que os gestores devem ter capacidade de propiciar confiabilidade e
garantia nos serviços prestados. Para poder ter confiabilidade, deve-se manejar os conceitos de
disponibilidade e redundância. Todavia, os custos hão de ser muito considerados à medida que se
© TODOS OS DIREITOS RESERVADOS
Porém, de nada serve se não são implementadas medidas de segurança no amplo leque
abrangido pelo conceito, que é, em primeiro lugar, a geração de políticas de segurança e de um
plano para a implementação de um sistema de gestão de segurança informática que não
signifique apenas implementar uma ferramenta, mas gerenciar todos os conceitos.
Para poder implementar ações, devem-se determinar os riscos existentes, priorizá-los e atenuar
aqueles que expõem a empresa a uma paralisação de sua operação, mediante proteção física e
lógica, protegendo a informação de seus usuários, que, dependendo de sua criticidade, podem
realizá-lo com ferramentas de inscrição, ferramentas de controle de conteúdo e antivírus.
Além das medidas indicadas, deve-se considerar uma adequada proteção no perímetro tanto
interno como externo, de seu centro de processamento de informação, mediante a implantação de
um firewall, de detecção de intrusos e de outros elementos necessários.
O tema segurança da informação não deve ser considerado estático, mas evolutivo e dinâmico,
com as medidas que se tomem só se minimizará o risco, mas nunca se poderá erradicá-lo.
1
Anexo C1. Confiabilidade e garantia de serviços
A tendência atual dos serviços empresariais é utilizar a Internet como meio de ligação entre
empresas e clientes; do mesmo modo, garantir a disponibilidade desses ser viços,
ininterruptamente, e muito próximo de um sistema “on-line” (sistema on-line é um sistema
disponível 24 horas por dia, 7 dias por semana. Isso se deve à globalização que, praticamente,
apagou fronteiras e horários, sendo cada vez mais comum os clientes desejarem um acesso aos
serviços a partir de qualquer ponto do planeta.
Para poder cumprir o nível de serviço exigidos pelos clientes, é necessário ter toda uma
infraestrutura confiável e segura, o qual se deve interpretar como redundância de alguns
aspectos: aplicações, segurança, hardware e comunicações. Outro aspecto a considerar está
ligado aos planos de contingências e de continuidade do negócio, que mitiguem no menor tempo
alguma situação não considerada; no entanto, antes se faz necessário um planejamento e um
projeto em conformidade com as necessidades da empresa, dependendo da linha de negócios.
Tudo isso implica um aumento de gestão, de investimento e de gastos e custos operacionais.
Definitivamente, os sistemas redundantes requerem maior gestão por serem mais complexos. O
É muito difícil quantificar as perdas econômicas e os efeitos derivados desses ataques, que
ocasionam paralisações não planejadas ou esperadas.
2.1. DISPONIBILIDADE
Conceitualmente, disponibilidade está relacionada a tudo aquilo que está pronto para ser
utilizado. Aplicado o termo às TICs, é ter à disposição dos usuários a informação necessária para
seu uso. Isso representa grandes esforços na infraestrutura, acessos, aplicações, etc.
No atual mundo globalizado, não se concebem empresas com serviços limitados a horários. A
cultura tecnológica e as necessidades dos clientes estão forçando as empresas, de uma forma ou
de outra, a atender por via eletrônica, implementando portais ou Centros de atendimento
personalizado (Call Center) ou Centros de suporte (help desk) que atendam 24 horas por dia.
O grau de confiabilidade é uma decisão que depende de vários fatores, mas principalmente
relacionado à cadeia de valor das empresas; o custo de interrupção de um serviço para uma
empresa não é para outra, ou o custo real do dinheiro perdido não é equivalente ao grau de
confiança que se perde por não ter disponível o serviço. Há ocasiões em que os custos são difíceis
de estimar-quantificar, sobretudo quando existem intangíveis.
2
Mas, como encontramos um balanço adequado para essa problemática? A solução está baseada
principalmente num conceito matemático, a probabilidade.
Em geral, as empresas, que não tenham adotado medidas para propiciar confiabilidade de seus
serviços, têm seus componentes em série, ou seja, em paralelo. Nesses casos, o cálculo da
disponibilidade é a multiplicação da probabilidade de falha de cada um dos componentes; se, por
exemplo, apenas para fins demonstrativos cada um deles tem uma confiabilidade de 90%, sendo
composto por 5 elementos, então a confiabilidade final será de 0,95 e se reduz a 60%. Então, há
© TODOS OS DIREITOS RESERVADOS
que ter muita atenção nesse conceito, já que, à medida que se agreguem elementos à cadeia,
tem-se um menor grau de confiabilidade.
Os equipamentos físicos, em geral, são medidos ou têm um parâmetro denominado tempo médio
entre falhas (MTBF), que é uma porcentagem geralmente contendo muitos noves. Quanto mais
noves tiverem, mais confiáveis serão. Contudo, essa característica representa custos, os
fornecedores incorporam elementos muito mais seguros em seus equipamentos visando poder
garantir o alcance médio de falha, ou seja, não apresentarão falhas em determinado tempo.
Para gestores experientes, essa situação é excessivamente arriscada, razão pela qual se tenha
que incorporar paralelamente elementos iguais. Esse conceito chama-se redundância.
2.2. REDUNDÂNCIA
O segredo para obter maior confiabilidade é a redundância, que não é outra coisa senão ter
repetido alguns ou todos os elementos que compõem determinado serviço que seja considerado
vital para a operação das empresas.
3
Anexo C1. Confiabilidade e garantia de serviços
Contudo, quanto maior a redundância, maior gestão se há de realizar, já que implica administrar
muitos mais equipamentos, sincronizar seus sistemas operacionais, administração de aplicações,
etc.
2.2.1. Redundância N+ 1 e N + N
O critério mais comum aplicado para manter um nível de redundância adequado nos elementos
críticos dos centros de processamentos de informação é o denominado N + 1. Isso significa que
para cada elemento qualificado como crítico deva existir uma unidade em reserva.
Há empresas que por seu nível de confiabilidade requerem a aplicação de uma redundância N +
N. Isso significa que se deve ter duplicados todos os componentes críticos que funcionem em sua
3 99.99% 99.999%
Quanto maior o nível requerido pelas empresas em sua confiabilidade, maior será o investimento
a realizar, dependendo das características ou do compromisso nos serviços prestados.
A soma dos dois conceitos, disponibilidade e redundância, proporciona uma confiabilidade aos
serviços prestados. Quanto maior o nível requerido, maiores custos de investimento e gestão se
fazem necessários. Entretanto, isso deve ser complementado por uma confiável infraestrutura de
segurança da informação.
2.3. SEGURANÇA
O tema da segurança é muito amplo e podemos nos estender muitíssimo nele. Ora, por definição,
segurança é a qualidade de estar seguro, sendo esse conceito o estar livre ou isento de perigo,
4
dano ou risco; aplicado à tecnologia, esse conceito muito dificilmente é alcançado ou realizado.
Podemos minimizar o risco, mas nunca eliminá-lo, já que somos dependentes de muitíssimos
fatores como colaboradores, aplicações desenvolvidas interna e externamente, infraestrutura,
equipamentos, ambiente físico, entre os principais.
Sabemos que os Sistemas de Informação são elementos de gestão cada vez mais importantes, na
medida em que as empresas aumentam sua dependência com relação a eles. São compostos
pelos recursos de informática, considerados como suporte informático e ativos de informação.
Não se deve confundir segurança informática com outras áreas da segurança, como as relativas à
segurança das pessoas ou dos bens. a segurança informática deve ocupar-se de aspectos físicos,
mas só no relativo a zonas nas quais haja recursos informáticos, dos acessos a essas zonas e de
aspectos relativos a pessoas, mas só no relacionado à proteção dos ativos de informação e ao
acessos a eles.
Tendo em mente que a informação é um ativo, que tem valor para as empresas, em consequência,
precisa ser adequadamente protegido. A segurança da informação deve proteger a informação
contra um amplo índice de ameaças, visando poder assegurar a continuidade comercial,
© TODOS OS DIREITOS RESERVADOS
5
Anexo C1. Confiabilidade e garantia de serviços
Certas tarefas ou áreas de responsabilidade não devem ser realizadas pela mesma pessoa,
visando-se reduzir riscos de alteração não autorizada ou mau uso dos sistemas de informação.
Para isso é fundamental a segregação de responsabilidades, minimizando-se o risco de mau uso
acidental ou deliberado do sistema de informação. Em organizações pequenas, esse controle
pode ser difícil de se alcançado, mas deve ser aplicado na medida do possível, visualizando o
risco envolvido.
Esse controle é particularmente importante para sistemas que deem suporte a aplicações
suscetíveis de fraude ou qualquer evento que traga, ou possa trazer, como resultado, a
interrupção dos serviços prestados por um sistema de informação e/ou perdas físicas ou
financeiras para a empresa.
Hoje, verifica-se uma tendência nas empresas à certificação de processos informáticos sob as
normas ISO 17799 ou sob as normas britânicas BS 7799; ambas as certificações são quase
equivalentes e tratam do sistema de gestão de segurança da informação (SGSI).
A necessidade de uma certificação dessa natureza e da adoção de um SGSI deve provir de uma
decisão estratégica da organização. Seu projeto é influenciado por necessidades e objetivos
comerciais, requerimentos de segurança, tamanho e estrutura da organização.
Mas, caso não se deseje registrar a certificação, o acompanhamento dessas normas nos
direciona a tudo que esteja relacionado à informática, por abrangerem temas como:
6
• enunciados de políticas de segurança;
• segurança organizacional;
• classificação e controle de ativos;
• segurança do pessoal;
• segurança física e ambiental;
• gestão de comunicações e operações;
• controle de acessos;
• desenvolvimento e manutenção de sistemas;
• gestão da continuidade dos negócios;
• cumprimento de regulamentos, direitos e leis.
Os responsáveis do mais alto nível devem aprovar e publicar um documento que contenha a
política de segurança, comunicando-o a todos os empregados, conforme corresponda, devendo
demonstrar compromisso e estabelecendo o enfoque da organização com relação à gestão da
segurança da informação.
© TODOS OS DIREITOS RESERVADOS
Essa política deve ser comunicada a todos os usuários da organização, de maneira adequada,
acessível e compreensível.
Um modelo prático que se pode aplicar visando implementar o sistema de gestão de segurança
da informação é mostrado a seguir:
7
Anexo C1. Confiabilidade e garantia de serviços
Os processos de Checar e Agir servem para reforçar, corrigir e melhorar as soluções identificadas
e implementadas. As revisões podem ser feitas em qualquer momento e frequência.
8
• Vulnerabilidade. Qualquer debilidade nos sistemas de informação que possa permitir
ameaças de dano e perdas à empresa.
• Impacto. É a medição (e avaliação) do dano que uma ameaça sobre os sistemas de
informação poderia acarretar para a empresa. A avaliação global será obtida somando o
custo da reposição dos danos tangíveis e fazendo a estimativa, que sempre será subjetiva,
dos danos intangíveis.
• Risco. É a probabilidade de uma ameaça se materializar em decorrência de uma
vulnerabilidade do Sistema de Informação, causando um impacto na empresa.
• Defesa. Qualquer meio, físico ou lógico, empregado para eliminar ou reduzir um risco.
Deve-se efetuar uma avaliação quantitativa de seu custo.
A Direção da empresa é responsável pela definição e publicação das Políticas de Segurança como
uma firme declaração de intenções, divulgando-as em todo o âmbito da organização. O conjunto
das Políticas de Segurança deve estabelecer os critérios de proteção no âmbito da empresa e
servir de guia para a criação das Normas de Segurança.
do pessoal diretor que acumula, além da sua responsabilidade como empregado, a de todos os
empregados que dirige, coordena ou supervisiona.
Com base nas Normas de Segurança, por exemplo, na Norma ISO 17799 e, dependendo do
âmbito de aplicação, o responsável deverá criar os Procedimentos de Segurança, descrevendo
neles o modo de proteção daquilo que foi definido nas Normas, assim como as pessoas ou os
grupos responsáveis pela implantação, manutenção e acompanhamento de seu nível de
cumprimento.
Seguindo com os critérios de qualidade, os processos devem ser revisados periodicamente, como
melhoria contínua, buscando-se a eliminação de falhas e a redução do ciclo; tendo como objetivo:
Para ter algumas mínimas garantias de êxito, na implantação da Segurança Informática nas
empresas, a experiência tem demonstrado que são críticos, pelo menos, os seguintes fatores:
9
Anexo C1. Confiabilidade e garantia de serviços
• A rapidez na ação visando proteger os Sistemas de Informação, com o qual os riscos serão
menores, reduzindo-se substancialmente o custo da Segurança Informática, a médio e
longo prazos.
A informação adota muitas formas, tanto nos sistemas quanto fora deles, podendo ser:
Sob o ponto de vista da segurança, a proteção adequada deve ser aplicada a todas e a cada uma
das formas relacionadas ao Sistema de Informação, devendo definir um método de classificação
dos ativos de informação da empresa para sua proteção ante perda, divulgação não autorizada ou
qualquer outra forma de uso indevido, seja acidental ou intencionalmente. Antes de sua
classificação, deve-se realizar um inventário de ativos de informação associados a cada Sistema
• Sem classificação ou nenhuma. Informação que pode ser conhecida e utilizada sem que
exija a autorização de qualquer pessoa, seja funcionário da empresa ou não.
• Uso interno. É aquela que, sem poder ser publicada, pode ser conhecida e utilizada por
todos os funcionários e por alguns colaboradores externos autorizados, e cuja divulgação ou
uso não autorizados possa ocasionar perdas leves e assumíveis pela empresa.
• Confidencial. É a que só pode ser conhecida e utilizada por um grupo de funcionários que
dela necessitem visando a realização de seu trabalho, e cuja divulgação ou uso não
autorizados pode ocasionar perdas significativas, materiais ou de imagem.
• Secreta ou reservada. Aquela que só pode ser conhecida e utilizada por um grupo muito
reduzido de empregados, geralmente pertencentes à alta direção da empresa, sendo que
sua divulgação ou seu uso não autorizados poderiam ocasionar graves perdas materiais ou
de imagem.
O nível de classificação deve estar marcado em cada uma das páginas dos impressos ou nas
diferentes consultas (telas) que contenham informação classificada.
A principal regra de proteção é que a informação classificada seja conhecida ou utilizada apenas
por pessoas autorizadas e sempre por razões de negócio da empresa.
Todos os funcionários devem estar aderidos à empresa ou requerer, para isso, uma Cláusula de
Confidencialidade na qual firmem o compromisso de proteção e não divulgação da informação
classificada que manejam por motivos de trabalho.
10
A informação classificada deve permanecer, a todo momento, longe do alcance de funcionários e
pessoas que não tenham porque conhecer a informação por razões de trabalho. A informação sob
classificação confidencial deve ser guardada de modo seguro, permanentemente, e durante seu
uso deve-se evitar que possa ser lida por qualquer pessoa que não tenha necessidade de
conhecê-la.
A informação com o mais alto nível de classificação deve permanecer guardada em uma caixa de
segurança e sua utilização restrita a momentos nos quais ninguém que não esteja autorizado
possa vê-la ou lê-la.
O objetivo da proteção física é evitar potenciais riscos de ataque, perda, roubo ou dano aos
© TODOS OS DIREITOS RESERVADOS
É muito importante que as características das edificações e das instalações da empresa, do local
específico onde estejam ou venham a estar situados seus Sistemas de Informação, sejam
suficientemente seguras. O responsável pela segurança, em coordenação com o responsável pela
Tecnologia e Administração, deve considerar alguns dos seguintes pontos, obviamente
dependendo da capacidade e do tamanho da empresa.
As instalações devem ser projetadas de modo que não se facilitem indicações de seu propósito
nem se possa identificar a localização dos Recursos Informáticos.
Fornecimento de energia elétrica alternativa, como UPS (Uninterruptible Power Supply)0 e gerador
de emergência.
11
Anexo C1. Confiabilidade e garantia de serviços
Proteger os Ativos de Informação da empresa para que sejam sempre utilizados sob autorização,
só por razões de negócio e evitando-se ações que possam provocar alteração, eliminação ou
divulgação não autorizadas, acidental ou intencionalmente.
O acesso de um usuário aos Sistemas de Informação da empresa deve se dar com base, em cada
caso, numa vigente necessidade de uso por razões do negócio da própria empresa.
• Os Sistemas da empresa só podem ser usados para fins do negócio da própria empresa.
• O uso dos Sistemas para qualquer outro fim, não de negócio ou pessoal, deve ser
previamente aprovado pela Direção.
• O uso não autorizado dos sistemas é uma violação dos direitos da empresa,
considerando-se abuso de confiança a ser motivo de sanção.
Para isso, na tela inicial de conexão deve aparecer uma legenda de advertência: “Os sistemas só
Devem ficar sujeitas à revisão, a todo momento, por parte da direção da empresa, aquelas
atividades realizadas pelos usuários nos sistemas da própria empresa ou por outros alheios a ela,
para as quais tenham autorização de uso e de utilização, em ambos os casos, dos meios de
armazenamento correspondentes.
Para minimizar o risco de mau uso de acessos, é possível tomar algumas das seguintes medidas
(são recomendações de melhores práticas de empresas resseguradoras):
12
A senha:
mudada; não sendo reutilizada até depois de, pelo menos, 12 mudanças.
• Não deve conter como parte a identificação de usuário.
A proteção de informações geradas ou processadas por uma aplicação deve começar a ser
planejada durante a análise e o desenvolvimento (ou modificação), consolidando-se durante os
testes preliminares a sua passagem ao sistema de produção.
Essas exigências são aplicáveis aos desenvolvimentos efetuados na própria empresa ou aqueles
que ficam a cargo de terceiros, devendo permanecer vigentes nas posteriores modificações por
manutenção da aplicação. Simultaneamente ao desenvolvimento ou às modificações de
manutenção, devem criar-se dados de teste que verifiquem todas as alternativas possibilitadas
por um dos programas que compõe a aplicação.
Nunca devem ser utilizados dados reais em testes, por não se comprovarem todas as condições
existentes nos programas e porque sua utilização pode comprometer a confidencialidade, a
integridade e a disponibilidade dos ativos reais de produção. Esses dados de teste devem ser
guardados durante a vida da aplicação e atualizados toda vez que se realiza alguma modificação
na aplicação.
Para evitar isso, ou pelo menos minimizar, deve-se isolar, no máximo, os sistemas de
desenvolvimento e teste dos operacionais ou de produção. Todos os desenvolvimentos de
13
Anexo C1. Confiabilidade e garantia de serviços
Quando o acesso físico ou lógico aos Ativos de Informação não pode ser controlado ou, por sua
especial sensibilidade ou confidencialidade, requer medidas adicionais de segurança, a
informação deve ficar cifrada de modo que fique ilegível, não podendo ser processado por
qualquer usuário ou pessoa não autorizada. (Artigo 400 do novo Código Penal (equatoriano),
relacionado à falsidade documental).
Um Ativo de Informação cifrado, para armazenamento ou envio, mantém-se sob o mesmo nível de
classificação, devendo ser protegido como Ativo original.
14
2.3.7. Vírus informáticos e outros códigos nocivos
Há diversos tipos de códigos nocivos e que dependem das característica que o diferencia:
• Vírus Informáticos - código capaz de gerar cópias de si mesmo para um outro local do disco.
• Vermes (Worms) - código que absorve recursos do sistema, de modo crescente, até
bloqueá-lo por saturação.
• Cavalos de Troia (Trojan Horses) - programa de uso autorizado que contém código nocivo.
Quando esse programa começa a se executar, o código nocivo assume o controle.
• Bombas Lógicas (Logic Bombs) - o código que se executa ao produzir-se um fato
predeterminado, exemplos: uma determinada data; um número de abertura do sistema,
determinada sequência de teclas, etc.
Há, no mercado, programas antivírus que detectam a presença de vírus, podendo eliminá-los;
© TODOS OS DIREITOS RESERVADOS
esses programas são atualizados periodicamente, incorporando proteção contra novos vírus que
apareçam. Não obstante, sempre se estará exposto a ataque de vírus que não tenham sido até
então incluídos nos programas antivírus, porém o risco será muito maior si não utilizado qualquer
método de prevenção e/ou eliminação.
• Vírus de programa, que infectam arquivos executáveis (extensões EXE, COM, SYS, OVL, OVR,
entre as principais);
• Vírus de setor de boot que infectam a área do sistema de um disco - ou seja, o registro de
inicialização de discos removíveis e discos rígidos.
Para eliminar ou, pelo menos, minimizar a infecção por vírus, devem-se ter em mente as seguintes
considerações:
• Estabelecer a proibição de uso de produtos sem licença, não autorizados pela empresa ou
adquiridos de fontes sem garantia.
• Verificar com programas antivírus, antes de ser utilizado no sistema, qualquer disco
removível ou arquivo recebido que provenha de outro usuário, seja da empresa ou externo.
• Manter um produto antivírus residente permanentemente no sistema; atualizar o produto
antivírus utilizado toda vez que se saiba da existência de uma versão mais moderna que a
que se está utilizando.
• Realizar periodicamente cópias de segurança.
• Proteger todos os trabalhos e discos removíveis.
15
Anexo C1. Confiabilidade e garantia de serviços
Qualquer infecção detectada no transcurso das verificações ou revisões descritas deve ser
notificada ao responsável pelo setor de segurança informática, visando-se o isolamento dos
sistemas afetados, a análise do vírus e, se necessário, sua posterior inclusão no antivírus.
Por tudo que ficou exposto, deduz-se que, ao utilizar uma rede de comunicações externa e não
controlada pela empresa, estão sendo utilizadas facilidades que podem representar risco aos
Sistemas de Informação da empresa.
O usuário não deve conectar-se simultaneamente à rede interna da empresa e à outra rede
externa (não da empresa). Essa conexão simultânea só pode ser utilizada excepcionalmente por
razões de negócio e sob prévia aprovação, visando-se evitar que pessoas alheias à empresa
possam ter acesso à rede interna através da conexão do usuário.
O usuário, para conectar-se à rede interna a partir de locais não controlados pela empresa, ou a
uma rede externa a partir de locais controlados pela empresa, deve:
Qualquer usuário, ao conectar-se a qualquer rede que seja ou que presuma que possa ser
insegura para um simples uso ou para comunicar-se com outras organizações, deve considerar o
fato de que ela pode ser usada por usuários alheios à empresa, em alguns casos de todo o mundo
e, portanto, a informação transmitida poderá ser lida e, posteriormente, divulgada sem
autorização, por muitos desconhecidos, nem todos visando o benefício da empresa.
16
Nem todos os usuários utilizam essas conexões para os fins previstos. Por isso, qualquer acesso a
partir de uma rede externa pode representar um risco significativo aos Ativos de Informação da
empresa, em virtude das seguintes possíveis ocorrências:
A proteção contra esses riscos exige uma combinação de medidas de proteção baseadas em
normas e procedimentos para preveni-los e em controles para detectar e evitá-los; exemplo: um
sistema que tenha um Firewall implementado.
© TODOS OS DIREITOS RESERVADOS
Como medida de prevenção para conectar-se a qualquer rede qualificada como insegura a partir
de um ponto controlado pela empresa, o usuário deve cumprir algumas elementais normas de
ética e de segurança, a serem definidas pela empresa, entre as quais cabem destacar as
seguintes:
2.3.9. Firewall
A empresa que tenha implementado um Firewall busca proteger as comunicações entre suas
instalações internas de informática e as redes externas, do modo mais transparente possível ao
usuário, facilitando-lhe no máximo os serviços que essa rede oferece.
A maior parte dos firewall é projetada para garantir o tráfego com a Internet, por representar a
maior fonte de informações e de meios de comunicação junto a terceiros, englobando: clientes,
fornecedores e quaisquer outros tipos de pessoas que compartilhem interesses comuns. Este
firewall consta de um conjunto de mecanismos, filtros de protocolo e dispositivos de controle de
acessos que manejam de forma segura a conexão entre uma rede protegida e uma rede insegura,
tal como a Internet ou qualquer outra, incluindo possíveis sub-redes inseguras da própria rede
interna da empresa.
17
Anexo C1. Confiabilidade e garantia de serviços
O sistema de Filtro de Pacotes é a frente primária entre a rede própria e a rede externa. Examina
todos os pacotes de informação intercambiados entre as duas redes e atua de acordo com o tipo
de pacote e com as regras configuradas pelo administrador do sistema.
Engloba uma zona isolada da rede, chamada Zona Desmilitarizada (ZDM), que contém informação
especificamente projetada para ser compartilhada por usuários de redes externas, sendo usada
por:
Os serviços da própria rede interna não podem ser visíveis a usuários de redes externas, em
Tudo isso manejado por um servidor de autenticação antes de o processo ser permitido.
Recomenda-se que o correio eletrônico seja manejado por um servidor de correio situado na zona
isolada (ZDM) e que esse servidor não se mantenha em conexão com outro correio eletrônico.
Os endereços IP da rede interna devem passar pelos endereços IP do Firewall, antes de saírem ao
exterior, de forma que não sejam visíveis no tráfego originado pelo Firewall.
São muito comuns os ataques de rede quando se têm serviços na WEB; portanto, há utilitários
que combinam hardware e software para a automática realização dessa análise e, dependendo
das regras que se venham definindo, podem-se detectar cedo intrusos que desejam introduzir-se
na rede seja com o intuito de provocarem dano ou pelo simples fato de vulnerabilizarem as
defesas. Ao introduzir essa tecnologia, ganha-se em confiabilidade para o sistema de segurança
das empresas.
18
2.3.11. avaliações de penetração (Ethical Hacking)
A seguir, expomos um caso real relacionado à melhoria da segurança de acesso para uma
empresa da localidade, na qual a exposição ao risco era bastante alta. Descreveremos, então,
como manejar, organizar e coordenar um projeto dessa natureza, no qual se misturam os
conceitos de confiabilidade, redundância e segurança.
© TODOS OS DIREITOS RESERVADOS
A primeira coisa que uma empresa deve realizar é definir uma visão do projeto de segurança
informática, por exemplo, para o caso a analisar, é o seguinte:
“Criar uma infraestrutura de segurança que garanta que todos os acessos à rede, a partir de
qualquer rede externa —seja Internet ou subsidiárias/empresas afins— controlados e
auditáveis”1 .
1. Entende-se por “controlados e auditáveis”: poder definir quem e quando tem acesso à Internet a partir da rede do
Banco e dos serviços e destinos que possa alcançar.
19
Anexo C1. Confiabilidade e garantia de serviços
informação da empresa junto a eles; mas não há um controle dos acessos a partir das
redes dessas subsidiárias aos serviços da rede da empresa, apresentando-se a
possibilidade de acessos indevidos ou a transmissão de vírus ao se utilizar essas
redes como pontes.
Criação da rede desmilitarizada para os serviços que mantenham interação com a Internet: essa
rede englobará os serviços atuais. Para futuro, espera-se que esses serviços se consolidem num
só serviço, que seja o portal financeiro da empresa na Internet; no entanto, há de se deixar claro
que na atualidade existem certos pontos fracos na segurança a serem logo superados com a
maior brevidade possível.
20
Essa rede desmilitarizada deve permitir o fluxo de informação só dos portos TCP/IP exigidos para o
acesso a esses serviços, sob as regras determinadas pela empresa, a partir da Internet. Ademais,
a partir dessa rede pode-se invocar as regras de negócio (componentes de Transaction Server).
Obviamente, esses fluxos também serão controlados e só se permitirá aqueles portos exigidos
para transações que se façam necessárias, a serem definidas pela empresa.
As políticas de segurança do Firewall serão definidas apenas para endereços IP e portos TCP/IP,
evitando-se a administração de usuários no Firewall, com exceção das contas de administração
próprias do firewall. A definição dessas políticas será de responsabilidade da empresa e do
fornecedor do Firewall.
21
Anexo C1. Confiabilidade e garantia de serviços
Para complementar o trabalho realizado pelo firewall, serão utilizados os serviços de Web Caching
do ISA Server.
1. Criação de um novo domínio para o ISA Server, que manterá uma relação de confiança
unidirecional a melhorar o nível de segurança das políticas de conexão à Internet. Nesse
novo domínio serão formados os grupos locais de Windows 2000 tipo “Domain Local”
necessários à atribuição de permissões.
2. Controle da saída para a Internet dos usuários da rede, mediante a criação de grupos de
Windows 2000 tipo “Domain Global” com fins específicos, baseados nas contas e grupos
dos atuais domínios em NT. Só para exceções se usarão as contas específicas existentes.
3. Os protocolos de saída para a Internet a serem permitidos, serão, basicamente: http, https
e ftp. Isso significa que só se usará o serviço Web Caching (utilização do mesmo endereço
do atual Proxy); com o que não se precisará efetuar uma maciça implantação do cliente do
ISA em todas as estações.
4. O ISA WinSock Client só será configurado para certos clientes autorizados.
22
5. As permissões de saída poderão se dar por grupos, devendo-se também poder atribuir
mais de um protocolo a uma pessoa ou grupo.
6. Há de se poder estabelecer horários de saída por pessoa, grupo ou protocolo.
7. O nível de disponibilidade esperado é de 24x7, e deverá ser alcançado com base no
projeto de arquitetura do ISA Server Array, o que permitirá implementar as seguintes
características de funcionamento:
• balanceamento de carga;
• tolerância a falhas; e
• escalabilidade.
8. Serão utilizadas as funções de caching do ISA Server para otimizar o uso da largura de
banda do canal de saída para a Internet. Esse caching deve estar distribuído entre vários
equipamentos se a arquitetura definida for a de um arranjo de servidores.
9. Será gerado um documento com as recomendações da configuração de hardware para os
servidores, para atender a carga atual de usuários (550) com um crescimento estimado
em 20%.
© TODOS OS DIREITOS RESERVADOS
10) Deve-se poder implementar políticas para o controle do uso da largura de banda do canal
de saída para a Internet com base nos protocolos.
11. A administração deverá ser centralizada.
12. O logging do ISA Server deverá ser via ODBC contra uma base de dados que se defina. A
menos que se utilize uma ferramenta de terceiros (ex.: Master IT) que permita administrar
relatórios diretamente sobre os logos do IIS e ISA.
13. Contar-se-á com a facilidade para a geração de políticas de controle de conteúdos a fim de
eliminar a possibilidade de download de arquivos MP3, AVI, WAV, EXE (tipo flash), PPS, etc.
14. Configuração do ISA Server para integração com firewall, e-Trust e Inoculate IPO, a fim de
garantir um correto funcionamento de todos os componentes da plataforma de
seguranças.
15.)Será gerada toda a documentação necessária para a instalação e operação diária do
sistema.
16. Será documentada a geração de até 5 relatórios específicos.
17. Finalmente, deve-se realizar uma recomendação quanto ao perfil exigível de
conhecimentos das pessoas que operarão o sistema e dos papéis e funções que devam
desempenhar.
Por ser o e-Trust uma ferramenta voltada a implementar certos controles e alertas na conexão de
redes corporativas à Internet, será implementado um servidor com esse serviço para oferecer as
seguintes facilidades.
23
Anexo C1. Confiabilidade e garantia de serviços
Para complementar o esquema de seguranças que se tenha definido, é necessário contar com
uma ferramenta que seja capaz de detectar a possível contaminação por vírus provenientes da
Internet, seja via correio eletrônico (SMTP) ou via serviços de correio eletrônico gratuito, acessíveis
por meio de navegadores da Internet, como os serviços do Hotmail.
Para este efeito, a empresa licenciou o produto IPO, um produto voltado a esse tipo de controle.
Desse produto, esperam-se as seguintes funcionalidades.
1. Detecção e eliminação de todos os vírus que possam chegar por meio de correio Internet
(SMTP), FTP ou por meio de um navegador da Internet (http).
2. Atualização automática da nova versão do antivírus ou do arquivo de vírus conhecidos que
seja capaz de detectar.
3. Configuração do(s) servidor(es) do Inoculate IPO para integração ao firewall, ao ISA Server
e ao e-Trust, visando-se garantir um correto funcionamento de todos os componentes da
plataforma de seguranças.
4. Capacity Planning
5. Documentar os procedimentos de instalação, a operação diária do Inoculate IPO e a
obtenção de relatórios.
6. Finalmente, deverá ser efetuada uma recomendação quanto ao perfil de conhecimentos
exigíveis às pessoas que operarão o sistema e aos papéis e funções que deverão
desempenhar.
24
Alternativas conceituais de solução. Um dos maiores fatores limitantes com que se depara o
projeto é a disponibilidade de recursos físicos. Nesse contexto, na atualidade há os seguintes
equipamentos disponíveis ao projeto.
Equipamentos
Compaq
1 x Pentium II
C Proliant – 384 MB 1 x 9 GB 6
350 MHz
800
Compaq
1 x Pentium II
D Proliant – 163 MB 1 x 9 GB 6
200 MHz
800
© TODOS OS DIREITOS RESERVADOS
Com base nesses equipamentos, busca-se encontrar uma combinação deles que melhores
serviços ofereça e que, ao mesmo tempo, reduza o montante a ser investido; essa disponibilidade
de equipamentos permite que se definam as possíveis alternativas de solução para a plataforma
de infraestrutura de segurança.
Inoculate
Alternativa Firewall e-Trust ISA Contingência
IPO
1 SUN B C C D
2 B B B C D
3 SUN B B C D
4 C C C C D e SUN
Do ponto de vista da eficiência da solução, tanto pela parte operacional de toda a infraestrutura
de seguranças quanto pela otimização dos equipamentos dos quais disponibiliza a solução
escolhida pela equipe de trabalho que se estabelecerá. Todos os planos de trabalho, análises de
riscos, projetos, especificações funcionais e planos de contingência se basearão na
implementação dessa alternativa.
Modelo de Equipe de Trabalho. Para esse projeto, serão usados os desenvolvimentos do Microsoft
Solutions Framework; isso permitirá um melhor controle e administração do projeto em virtude da
forma unificada de comunicação e do planejamento das fases. Por esse motivo, planejou-se a
seguinte estrutura para a equipe do projeto.
25
Anexo C1. Confiabilidade e garantia de serviços
Papel
Responsável Função Observações
(Manager)
A equipe de trabalho é multidisciplinar e envolve várias empresas. Por esse motivo, o responsável
pelo produto (Product Manager) deverá dar especial ênfase a um plano de comunicações
eficientes, visando garantir uma adequada sincronização dos esforços.
A matriz de riscos de alto nível que se tenha elaborado ao início do projeto, servirá de base para o
controle e a atenuação desses riscos. É importante frisar que o manejo de riscos conforme os
enfoques do MSF é um processo contínuo a ser realizado em cada fase do projeto.
Para a quantificação da exposição apresentada por cada risco, escolheu-se a seguinte escala:
Nível Valor
Alto 3
Médio 2
Baixo 1
Com base nessa escala de medição, deve-se avaliar tanto a probabilidade quanto o impacto de
cada risco, calculando-se a exposição.
26
Tabela 5. Avaliação.
Descrição do
Probabilidade Impacto Exposição Responsável Ações básicas
risco
• Relevância da informação
de funcionamento de cada
Impacto nos serviço.
serviços para • Plano de testes rigoroso.
3 3 9
Usuários • Plano de implantação.
Remotos • Mudanças com relação à
situação atual, progressivas
e programadas.
© TODOS OS DIREITOS RESERVADOS
• Documentação.
Problemas para
• Plano de testes.
implementar a 2 3 6
• Validação dos processos de
contingência
• contingência.
Deve-se lembrar que é muito importante que o responsável funcional pela segurança da empresa
deve estar totalmente convencido de que a segurança da informação é estratégica e deve-se
atualizar e manter as pesquisas.
27
Anexo C1. Confiabilidade e garantia de serviços
Para poder alcançar êxito nos projetos, é necessário organizar-se e, desde o princípio, ter claros os
objetivos e documentadas as exigências e especificações. Caso se chegue a ignorar um tema
importante, é melhor contratar um sócio estratégico, mais conhecido como consultor e,
simultaneamente, investigar quais ações foram adotadas pelas empresas similares.
Os ataques de vírus têm sido relativamente controlados. Conforme mencionado, quanto maior a
quantidade de equipamentos, maior é gestão. No entanto, têm-se evoluído e introduzido outros
conceitos de provedores da Internet. Para que os clientes possam acessar os serviços
permanentemente, também foi incorporado um acelerador de páginas WEB, já que o peso
O importante nos temas de segurança é que, uma vez executado, converta-se num ciclo contínuo
de melhoria e/ou revisão, não se devendo deter nunca, já que quando se deixa de atualizar, para
nada há de servir num futuro mediato.
Outro ponto não muito bem identificado e controlado nas empresas está relacionado aos acessos
internos, pois considera-se que internamente não há um maior risco. No entanto, muitos sites
oficiais que registram delitos informáticos demonstram que a maior porcentagem está ocorrendo
por essa via.
Dado que o nível transacional se elevou em quase 300%, foram adotadas medidas visando-se
reforçar a plataforma, aplicando-se redundância em todos os pontos e, além disso, tendo-se
equipamentos de contingência sob a metodologia N+1.
28
Tabela 6. Relação de conceito, tecnologia e aplicação.
Relação
29
Anexo C1. Confiabilidade e garantia de serviços
30
Anexo C.2
Gestão de infraestruturas
1. INTRODUÇÃO
Entretanto, essa tarefa também deve complementar-se com a gestão administrativa, para
solicitar, definir e/ou compreender relatórios de atenção; definir e exigir níveis de serviço que, por
sua vez, hão de ser transmitidos sob forma gerencial aos níveis superiores da organização.
Nesse capítulo, serão compartilhados dois tipos de gestão existentes, com pessoal externo,
denominado terceirização, e com pessoal interno. No relacionado à terceirização, podemos ter a
modalidade por serviços e por equipamentos, tendo sempre como meta a melhor rentabilidade
para a empresa. Os gestores devem estar a par dos elementos necessários para que tanto o
prestador de serviço quanto a empresa possam entrar no esquema ganhar-ganhar, já que o
modelo de terceirização está sendo fortemente absorvido. Ao final comentaremos dois casos
locais de terceirização.
2. GESTÃO DA INFRAESTRUTURA
O poder de negociação dos clientes era muito reduzido, limitando-se a aceitar o que as empresas
podiam oferecer. Fazia-se necessário um importante grupo de apoio para poder atender
eficientemente às necessidades dos usuários, tanto em termos de instalações novas,
31
Anexo C.2 Gestão de infraestruturas
Agora, com apenas o uso do navegador da Internet abre-se um amplo mundo de possibilidades,
pois os clientes podem conectar-se a um ilimitado número de serviços e/ou prestadores de
serviços em conformidade com a conveniência. Do mesmo modo, o cliente já não é mais
dependente daquilo que as empresas lhe oferecem, agora ele escolhe e exige um serviço
adequado e/ou personalizado para as necessidades das empresas. Nesse sentido, as empresas
são devem ser inovadoras e oferecer valores agregados à relação, para poderem ser competitivas
e ganhar mercado.
As empresas prestadoras de serviços desenvolvem seus projetos num modelo incremental, isto é,
colocam à disposição de seus clientes apenas os serviços que eles requerem; No entanto, fica
aberta a possibilidade de colocar ou habilitar no mercado novos produtos à medida que se
As empresas precisam ser eficientes e, portanto, devem tirar proveito de todos os seus recursos
internos, humanos e de equipamentos, devendo demonstrar uma eficiente gestão. Deve-se
reconhecer que o estado de crise enfrentado pelo país implica um esforço maior, já que os custos
operacionais exigem que sejam adotadas medidas drásticas e até de risco por parte dos
responsáveis pela gestão.
Em resumo, as empresas têm otimizado o uso de recursos visando dar suporte ou atender às
necessidades de seus clientes, porém, isso obriga a reforçar a própria gestão interna.
Os ativos de TICs dependem do modelo de negócio das empresas, por exemplo, caso seja
centralizado, a gestão provavelmente se facilita um pouco pela concentração da infraestrutura.
Contudo, os periféricos (estações de trabalho, portáteis, impressoras, equipamentos de
comunicação e networking) devem ser levados em conta.
O outro modelo, o descentralizado, exige uma gestão mais complexa de modo que se tenha
controle das aplicações, hardware, equipamentos de telecomunicações e, principalmente, exija
uma boa capacidade de administração com ferramentas adequadas.
Com esses antecedentes, a gestão recai, principalmente, sobre os responsáveis pelas TIs quando
há que dar conta de um serviço confiável, simples e permanente, considerando-se um aspecto
que adquire atualidade, como a terceirização dos serviços que envolvam as TIs, que
comentaremos a seguir.
32
A tendência atual é as empresas realizarem as tarefas específicas para os fins aos quais foram
criadas e todos os demais processos complementares devem ser redirecionados a empresas
especializadas. Esse novo modelo de serviço vai ganhando adeptos à medida que se verificam
mais e mais casos de êxito. Para o caso equatoriano, essa tendência é muito lenta, em razão da
crise produtiva-financeira-política-jurídica atravessada pelo país, com os empresários ou
investidores, em geral, mostrando-se muito cautelosos em investir.
É notório que a atual tendência do mercado empresarial seja a terceirização de processos não
vitais de Gestão Tecnológica. O critério empregado para a tomada dessas decisões está baseado
no fato de as empresas deverem realizar ou dedicar-se apenas a sua principal função, destinando
recursos a outros processos complementares.
Deve-se também acrescentar o custo que significa manter uma planilha interna de recursos
humanos especializados, com os riscos de trabalhos envolvidos, capacitação, investimentos em
equipamentos e outros custos operacionais. Tudo isso, comparado com a contratação de uma
empresa especializada que se torne responsável pela atenção a essas funções, e o resultado
dessa equação, ajuda a tomar a melhor decisão; todavia, isso implica todo um processo muito
delicado, já que há custos ocultos e valores intangíveis não quantificáveis para as instituições que
não são visualizados numa primeira instância pelos responsáveis.
Algumas causas podem ser motivos para se buscar um processo de terceirização, entre elas,
podemos citar:
• Disputas de ordem interna pelo poder - em algumas ocasiões, há grandes diferenças entre
os responsáveis por áreas que disputam o poder de executar determinados projetos, mas o
responsável pelo setor de tecnologia não lhes dá viabilidade, o que gera ineficiências
internas; ao se terceirizar, tenta-se fazer com que a empresa externa ou prestadora possa
definir, executar ou recomendar a execução do pedido com profissionalismo e
imparcialidade, ainda que se verifique o risco latente de uma afinidade extra com quem se
contrate.
• Fatores financeiros - pode ocorrer o caso de a empresa ter grandes custos fixos,
desejando-se convertê-la ou redirigi-la a uma linha de ação de custos variáveis; ou que, ao
33
Anexo C.2 Gestão de infraestruturas
terceirizar, ocorra uma entrega de equipamentos e/ou recursos como parte do pagamento,
gerando-se lucro para a empresa; também pode acontecer de o custo representado pelos
investimentos tecnológicos não permitir essa terceirização, alugando-se equipamentos na
modalidade leasing operacional, fazendo-se com que o dinheiro seja investido em outras
áreas produtivas para a empresa.
• Cultura organizacional ou simplificação do organograma - pode dar-se o caso de se desejar
simplificar a organização, o que comumente se chama “achatar”, ou de se querer reduzir a
planilha de pessoal interno, em decorrência de alguma estratégia organizacional ou, em
razão de uma automação realizada, fazer com que a gestão da infraestrutura possa ser
perfeitamente gerenciada por um prestador de serviços; é comum, agora, ouvir sobre
fusões e/ou absorções de empresas; nesses casos, a cultura empresarial adota as
melhores práticas utilizadas por aquelas empresas que lideram os processos e que tenham
boas experiências de terceirização, seguramente estendendo-as às empresas absorvidas.
• Pressões dos empresários ou de outras pessoas influentes - em algumas ocasiões, as
empresas não se mostram totalmente seguras quanto à conveniência de terceirizar; no
entanto, pode acontecer de um prestador de serviço ser muito agressivo em sua oferta,
incidindo para que o cliente se decida ou para que alguém muito próximo ao tomador de
decisão se veja influenciado por pressões de diversas naturezas para uma pronta definição.
Nessa classificação são englobados, como o nome indica, serviços profissionais relacionados ao
suporte, mesa de ajuda ou help desk, administração de ativos, massificação de aplicações e
controle de versões, supor te de redes de networking LAN e WAN, telecomunicações,
desenvolvimento de aplicações, administração de centros de processamentos de informação; em
alguns casos, engloba também o centro de processamento de contingência ou de continuidade de
negócios.
É muito importante que, com exceção do desenvolvimento de software, que deve ser avaliado de
outra maneira (que comentaremos mais adiante), todos os demais processos devam ser
mensurados por meio de níveis de serviço, que são acordados ente cliente–prestador no
momento de discutir esse acordo.
Para que esses processos sejam rentáveis, as melhores práticas recomendam firmar contratos de
longo prazo, no geral, de 5 anos. Contudo, a realidade latino-americana, de instabilidade
financeira-social-política, representa um alto risco para a relação; vai-se medindo a temperatura
no transcurso do contrato, e o que era bom ontem, já não é hoje; há mudanças de
administradores e eles vêm com novos critérios, como resultado final, pedem-se reduções ou
ajustes, mas, em contrapartida, o prestador, em geral, reduz a qualidade dos níveis de serviço,
substituindo o pessoal experiente por outro que não lhe custe tão caro, logo surgindo os
problemas ou as insatisfações.
34
Consequentemente, pode ocorrer de as empresas solicitarem o cancelamento antecipado do
contrato, tendo, portanto, que dar início a um novo processo de seleção de terceirização, mas
deparam-se com o grande problema de já não contarem com uma infraestrutura nem com o
conhecimento em torno de como e de quem, em sua organização, possa realizá-lo. Ocorre então
uma alta exposição da empresa ao risco operacional.
Outro elemento de análise é que pouquíssimas empresas de terceirização têm capacidade para
atender às empresas, por não contarem com a confiabilidade, com pessoal nem com o capital
suficiente para cobrir as necessidades das empresas que as procuram. Dessa forma, o que ocorre
é que as ofertas de terceirização não se mostram vantajosas em virtude de implicarem sejam
adicionados ao custo com pessoal os custos administrativos e a rentabilidade do prestador,
tendo-se como resultado, nessa equação, o fato de não haver economia, mas a certeza de que sai
mais caro terceirizar.
É provável que seja viável, nos países do primeiro mundo, esse tipo de processo, mas nos países
em desenvolvimento, nos quais a mão de obra é relativamente barata, não há oportunidades para
empresas de reconhecida qualidade mundial. Essas tratam de implementar tecnologias ou
ferramentas sofisticadas que exigem investimento, o que, comparado com o baixo custo da mão
© TODOS OS DIREITOS RESERVADOS
Caso se decida por comprar, o critério a seguir é efetuar uma análise custo–benefício, visando-se
determinar se a empresa tem capacidade para investir em equipamentos ou se pode pôr o capital
a trabalhar, obtendo uma melhor rentabilidade do dinheiro investido. Os administradores não
demorarão para tomar a decisão mais conveniente, ou seja, rentabilidade ou maiores receitas;
portanto, os responsáveis pela gestão devem ser capazes de efetuar essa análise.
35
Anexo C.2 Gestão de infraestruturas
Como solução para o problema, é muito provável que, nos próximos anos, as empresas se
organizem, fazendo frentes comuns para a obtenção de benefícios por renda por volume com uma
cláusula de renovação automática, de forma que tanto o prestador quanto as empresas ganhem,
já que o prestador obtém uma renda segura e permanente no tempo, e o cliente não tem por que
se preocupar, enquanto durar o acordo, com todas as atividades relacionadas a equipamentos
como: manutenção preventiva e corretiva, estoque de peças de reposição, pessoal técnico, etc.
Em alguns casos, como no das impressoras, incluem-se peças de reposição e produtos
consumíveis. As perguntas são:
Há certas unidades vitais dentro da cadeia de valor das empresas, como a gestão de segurança
informática e a administração de dados, que não deveriam ser consideradas nos processos a
serem terceirizados.
36
Um dos passos críticos no alinhamento das empresas a essa tendência é priorizar ou planejar a
ordem dos serviços que se possam terceirizar; logo vem a seleção dos prestadores para cada
serviço. Os erros decorrentes de uma má escolha geralmente custam muito caro, pois, além da
perda de conhecimento e experiência, perdem-se tempo e dinheiro.
ALTO
BAIXO ALTO
37
Anexo C.2 Gestão de infraestruturas
A alta rotatividade de pessoal técnico no país indica a existência de uma demanda, no entanto, as
empresas não estão cumprindo parte de seu papel, ou seja, identificar seu pessoal com a
empresa, isso se consegue utilizando um processo de indução e com a criação de planos de
crescimento. É que, nas atuais circunstâncias, as empresas não investem em seus empregados,
mas exigem que o pessoal técnico esteja atualizado com relação às últimas tecnologias.
Definitivamente, isso é incompatível e, no momento menos esperado, os técnicos abandonam
definitivamente o emprego, gerando-se inúmeros problemas administrativos.
No que tange às estruturas ou aos elementpos da gestão da infraestrutura com pessoal interno,
podemos encontrar diversos elementos de análise, no entanto, sempre dependendo da cultura
tecnológica, do tamanho e do mercado atendido pela empresa.
Adicionalmente, podem existir áreas ou classificações para que a linha de relatório seja ou esteja
identificada e liderada, podemos citar:
38
• administração de ativos de TI.
Onde a base informática deve estar situada na estrutura organizacional das empresas?
A linha de informção da área de tecnologia depende dos critérios da alta gerência, portanto, é
possível situá-la informando:
• à gerência geral;
• à vice-presidência executiva-gerência ou ao responsável pelo setor de operações;
• à gerência ou ao responsável pelo setor de finanças; e
• à gerência ou do responsável pelo setor de negócios.
Os gestores de tecnologia são uma mistura de administradores e técnicos. É muito difícil alcançar
esse equilíbrio, mas assim que se tenha alcançado essa maturidade, os administradores devem
ser muito hábeis para manter esse pessoal motivado.
Verificam-se hoje muitos fatores econômicos limitantes, razão pela qual os responsáveis pelo
setor de tecnologia e seu grupo de trabalho se vejam obrigados a serem multifuncionais, devendo
© TODOS OS DIREITOS RESERVADOS
resolver todo tipo de problemas, sejam esses problemas ligados ao hardware, ao Software-base,
aplicacionais ou ligados a telecomunicações.
Analisaremos 2 casos nos quais uma instituição bancária incursionou no tema desse capítulo:
processos de terceirização:
Essa foi a primeira experiência de terceirização feita pelo banco, quebrando um paradigma
cultural ao passar a gestão de quase toda a plataforma tecnológica à responsabilidade de
uma empresa externa, nesse específico caso, a IBM do Equador. O processo de contratação
39
Anexo C.2 Gestão de infraestruturas
foi relativamente longo, sabendo-se que durou cerca de 16 meses, em que as partes se
puseram de acordo quanto ao início do processo de transição, pois implicava documentar
todos os níveis de serviço que a empresa desejava obter em resposta ao custo que isso
representava.
Ao final dos anos 90, veio a crise financeira do sistema e a empresa optou, como não
poderia deixar de ser, por uma agressiva estratégia de redução dos custos operacionais, em
Ao chegar à reta final do acordo, e considerando que o contrato nunca foi de total satisfação
para o cliente, buscou-se uma alternativa para estender o acordo, porém, ajustando-se os
serviços, entrando-se num processo de negociação de 8 meses.
A estratégia, nesse caso, consistia no fato de o CIO não desejar expor a operacionalidade da
empresa a um risco desnecessário, recomendando a mudança de prestador de serviços,
pois toda mudança dessa natureza implica um doloroso processo de adoção de novos
procedimentos. Portanto, haveria que balançar as relações comerciais, desejando o CIO
atuar como um catalisador das necessidades da empresa e da rentabilidade do prestador
de serviço.
40
Nesse sentido, é preciso deixar claro que cada empresa ou caso é um mundo diferente, o
que é êxito para uma pode não ser para outra. No entanto, com as experiências feitas pelos
outros deve-se buscar aprender, adotar e implementar. O recomendável é que haja sinergia
entre o prestador de serviço e os responsáveis pelo acompanhamento da gestão desse
prestador. Importa que esse prestador de serviço esteja comprometido com a qualidade de
serviço, que lhe permita ser um referencial para outras empresas, estando em contínua
aprendizagem, pois o mundo das TIs é dinâmico e vertiginoso.
Outro erro do prestador de serviço, nesse caso, foi, visando reduzir seus custos para não
afetar sua rentabilidade, ter tomado a decisão de retirar integrantes experientes e com
conhecimento do negócio. Não se pode dizer que tenha falhado nesse sentido, porque os
níveis de serviço não foram afetados. Mas a relação, a longo prazo, viu-se afetada por não
existirem os recursos necessários à possibilidade de uma vantagem estratégica na relação,
pois conhecendo-se as virtudes e os pontos fracos da empresa sempre é possível esboçar
novos projetos que reforcem a relação. Nesse caso, tomaram a decisão errada.
a- Reflexão caso I
41
Anexo C.2 Gestão de infraestruturas
Por estratégia empresarial, começa-se a analisar cada processo não relacionado à natureza
do negócio, de tal modo que, ao se terceirizá-los, possa-se pelo menos gerar uma economia
de 35% no que se refere a custos operacionais.
Esse processo de terceirização começou pela pesquisa interna das necessidades, por meio
de uma matriz de risco na qual se determina finalmente o custo–benefício de que a gestão
é realizada por um prestador de serviço externo. Isso engloba todos os custos: recursos
Devem-se quantificar também, de alguma maneira, os riscos de não se contar com suporte
interno. Solicita-se então a empresas locais, interessadas em prestar o serviço, com
experiência e que estejam atendendo ou mantendo contrato de médio prazo pelo menos
com um cliente importante.
Finalmente, fica uma firma com a qual se irá negociar a fundo e, caso falhe, terá uma outra
para responder a um plano “b”. Um vez superado todo esse processo, começa-se a
estabelecer um plano de transição muito curto, já que o risco de o pessoal interno poder
executar um mau processo é alto. Esse plano deve estar incorporado ao convênio de modo
a se ter respaldo quando do início das relações comerciais. Do mesmo modo, deve-se
estabelecer um tempo no qual se possa, não sendo a qualidade do serviço a adequada,
cancelar o convênio, ficando a empresa exposta a problemas operacionais. Por essa razão,
é muito importante saber quem é o prestador de serviço a partir da análise de toda a sua
prévia trajetória, levando-o a assumir a parte sob sua total responsabilidade no processo.
42
Nesse sentido, deve haver muita comunicação entre as partes para saber e equilibrar o que
o cliente deseja e recebe.
É muito importante que a equipe de trabalho que venha a substituir os integrantes internos
seja recebida com absoluta tranquilidade pelo CIO e/ou responsável pela supervisão do
serviço, ainda que isso geralmente se consiga a médio prazo, pois no início a relação é de
exigência e o responsável direto pelo serviço prestado deve estar constantemente alinhado
à qualidade do serviço total; mesmo existindo culturas empresariais que não exerçam uma
pressão para que os serviços estejam permanentemente disponíveis ou para que se
respeite um rigoroso grau de tempo, isso pode ser aproveitado pelo prestador para o
estabelecimento de um laço de confiança com seu cliente, demonstrando experiência e
elevando o tempo de disponibilidade.
deve-se manter uma permanente comunicação junto aos responsáveis e ao(s) usuário(s)
afetado(s). Os relatórios de detalhes dão suporte à busca daquelas causas que tenham
determinado o surgimento de certos problemas, e sempre é bom ter documentadas todas
as ocorrências verificadas, podendo a informação ser analisada junto ao responsável direto
pela operação, sempre devendo-se tê-la à mão ou disponível para ser utilizada nas reuniões
de acompanhamento.
b- Reflexão Caso II
É pouco esse tempo de subscrição e muito cedo para estabelecer sua conveniência ou não,
no entanto:
43
Anexo C.2 Gestão de infraestruturas
44
Anexo C.3
Gestão de carteiras
de projetos
1. INTRODUÇÃO
Nesse capítulo abordaremos alguns conceitos e aspectos a serem considerados pelas empresas
para controlar seus projetos de TICs e não enfrentar riscos. Normalmente, os projetos tecnológicos
são de alta criticidade e, se não forem corretamente gerenciados, podem gerar grandes perdas às
organizações.
© TODOS OS DIREITOS RESERVADOS
Uma análise dos últimos anos sugere que as deficiências e fracassos de projetos provêm de três
importantes aspectos:
Esse conjunto de projetos é o que denominamos carteira de projetos, assim como as finanças
devem ser calculadas e gerenciadas eficientemente visando-se reduzir o risco inerente.
45
Anexo C.3 Gestão de carteiras de projetos
Não há uma forma ou um procedimento padrão para a realização da gestão de projetos, deve-se
adotá-lo de acordo com as condições ou com o ambiente de cada empresa e dependendo das
características de cada projeto.
46
Elementos de controle para a gestão de projetos
Quando a carteira está carregada de projetos de alto risco, há uma alta possibilidade de
interrupções operacionais e/ou de alguns projetos não se cumprirem a tempo. Para determinar o
risco dos projetos, é necessário desenvolver um perfil de riscos de implantação.
A seguir, são mostrados alguns aspectos que levam as empresas a orientar esforços ou a ordenar
os projetos visando qualificar seus riscos: os projetos altamente estruturados e com baixa
aplicação tecnológica, com problemas técnicos conhecidos, têm o risco mais baixo e são
relativamente fáceis de gerenciar. Esse tipo de projeto não exige capacidades extraordinárias para
se gerenciá-los, podendo ser suficiente aplicar PERT e CPM (controle da rota crítica). Cabe
© TODOS OS DIREITOS RESERVADOS
47
Anexo C.3 Gestão de carteiras de projetos
de projeto é comum verificar que a tecnologia escolhida não é aplicável ou eficiente para uma
determinada tarefa, devendo-se atrasar a aplicação por um longo período até se conseguir
escolher uma que se ajuste às necessidades. Nesse tipo de projeto, são fatores fundamentais a
liderança técnica e a integração interna.
Os projetos de baixa estrutura e baixa tecnologia bem gerenciados apresentam baixos perfis de
risco. Contudo, perde-se o controle pela pouca concentração e pouca atenção por parte de seus
gestores. O objetivo-chave é designar um usuário como responsável pelo projeto, pelo
desenvolvimento e pela execução, devendo ser capacitado com as técnicas e ferramentas
necessárias para poder realizar a gestão.
A tabela mostra a contribuição relativa dada pelos instrumentos de gestão ao êxito do projeto,
48
2.2. METODOLOGIA PARA O DESENVOLVIMENTO DE PROJETOS
Para poder gerenciar projetos, é preciso aplicar alguma metodologia, tendo-se, assim, claros os
objetivos a serem alcançados. Praticamente, podemos recomendar que sejam acompanhados os
seguintes passos:
2.2.1. Alcance/Objetivo
Nesse ponto, deve-se definir a meta a ser alcançada; pode ser uma necessidade de automação de
um processo ou de substituição de algum que esteja obsoleto ou de uma reengenharia. Deve-se
contar com o respaldo da parte mais alta da estrutura organizacional da empresa, que force todos
os integrantes a apoiarem positivamente o projeto.
Consideramos esse o ponto mais importante de todos, pois devem ser abordados ampla e
descritivamente todos os conceitos envolvidos com o que se vai desenvolver. Para isso nos
© TODOS OS DIREITOS RESERVADOS
Dependendo do tipo de projetos, devem-se definir as ferramentas com que se vai desenvolver
e/ou os equipamentos nos quais será executado o projeto assim que desenvolvido. Esse ponto
pode derivar num outro projeto, pois, em caso de grandes projetos, pode implicar considerações
inerentes à capacidade dos equipamentos, às configuração de seguranças, às capacidades dos
equipamentos do usuário final; é, em outras palavras, um projeto de infraestrutura.
Há que definir muito cuidadosamente como será nomeado cada processo, cada tabela, pacote
comum, etc. e ser muito firme com relação à documentação técnica, pois isso servirá para que,
depois de implementado o produto, possa-se dar manutenção à aplicação.
2.2.5. Integrador
49
Anexo C.3 Gestão de carteiras de projetos
O controle é uma atividade que faz parte da vida cotidiana do ser humano; a finalidade básica do
controle é alterar um comportamento humano, um processo ou um objetivo. O controle é uma
função realizada mediante parâmetros já estabelecidos previamente à ocorrência de um evento
controlado; ou seja, o mecanismo de controle é o resultado de um planejamento.
Devemos projetar com base em previsões futuras e ser suficientemente flexíveis para permitir
adaptações e ajustes que corrijam discrepâncias entre o resultado previsto e aquele a que se
chegou; isso significa que o controle é uma função dinâmica, não só por admitir ajustes, mas por
se renovar ciclo após ciclo.
Na execução de qualquer projeto, o gestor, conhecido como gerente ou também diretor de projeto,
não é uma pessoa experiente para se encarregar do controle do projeto; porém, deve aplicar um
Um diretor sempre deve elaborar um plano, com o qual avalia as necessidades de recursos e
formula as tarefas ou atividades para chegar ao objetivo. Um plano básico para o desenvolvimento
de um projeto é o apresentado pelo ciclo de vida do desenvolvimento de sistemas:
• análise e projeto;
• construção;
• implantação e instrumentação;
• operação e manutenção.
Entre as principais causas de falha dos projetos, temos o fato de os analistas não respeitarem os
padrões; não conhecem ou têm pouca experiência em torno das novas ferramentas e das técnicas
de análise e projeção de sistemas e, acima de tudo, pode haver uma má gestão e direção dos
recursos do projeto. Há uma série de fatores que pode fazer com que o sistema seja mal avaliado,
entre eles, podendo-se citar alguns:
50
• Necessidades não satisfeitas ou não identificadas. Nesse caso, o erro pode decorrer do
fato de se omitirem dados durante o desenvolvimento do projeto; por essa razão é muito
importante que não se pule nenhuma etapa do ciclo de vida do desenvolvimento de
sistemas.
• Mudança não controlada do âmbito ou alcance do projeto. Ao realizarem uma má
definição das expectativas de um projeto em suas origens, já que não estão bem definidas
as exigências máximas e mínimas a serem satisfeitas pelo projeto desde o início, os
desenvolvedores verão afetado seu trabalho pela síndrome das necessidades que
crescem, o que lhes deixará efetuar mudanças no projeto a qualquer momento sem quem
se detenham para pensar se essas mudanças serão boas para o projeto globalmente visto;
certamente, todas essas modificações acarretarão alterações em termos de custos e de
tempos de entrega.
• Excesso de custo. O custo ligado a um projeto pode aumentar durante seu
desenvolvimento, pois para dar início a um projeto geralmente se faz necessário um
estudo de viabilidade no qual não se incluam dados completamente precisos em termos
de quantidade de recursos que cada tarefa consumirá. É com base nesse estudo que se
fazem as estimativas dos recursos totais exigidos pelo projeto; ademais, o custo pode
aumentar pelo uso de critérios de estimativa pouco eficientes por parte dos analistas.
© TODOS OS DIREITOS RESERVADOS
Ainda que os fatores citados possam influir muito transcendentalmente para a falha de um
projeto, geralmente são acompanhados por outros tipos de pontos fracos. Para evitar todas as
falhas, deve-se ter no comando do projeto um diretor experiente, que conheça muito bem as
ferramentas de projeção e análise de sistemas, além de ter uma boa formação nas funções
básicas de direção.
Podem ser classificados, dependendo do momento em que se realiza a ação de controle, como
indicado a seguir:
O mecanismo de controle atua antes de a atividade estar totalmente concluída. Nesse caso, o
controle é efetuado de modo contínuo e não em pontos determinados, de modo que cada
elemento da ação seja o resultado de uma retificação quase instantânea da ação anterior.
É o que ocorre, por exemplo, com um motorista ao fazer sua trajetória de acordo com os
obstáculos que encontra no caminho. O espaço de tempo entre a percepção da nova situação, a
51
Anexo C.3 Gestão de carteiras de projetos
avaliação da retificação a efetuar, a decisão e a ação corretiva devem ser mínimos, caso contrário
se expõe a ocasionar um acidente.
Nos projetos, esse tipo de controle pode ser realizado quando se tem um sistema estruturado que
permita um contínuo controle dos diferentes fatores.
Nesse caso, o sujeito sob controle se submete a um exame depois de concluídas determinadas
atividades. No caso de aprovação, permite-se a realização da seguinte atividade. Caso haja uma
retificação, o processo é definitivamente interrompido, ou paralisado até que as irregularidades
sejam sanadas.
Esse é o típico caso do controle de qualidade. Uma peça da linha de produção é submetida
periodicamente à inspeção, que se realiza de acordo com especificações preestabelecidas pelo
órgão encarregado do projeto técnico do produto. Ao passar pela inspeção, a peça é liberada,
submetendo-se à próxima operação. Ao ser reprovada, é destinada a um campo de recuperação,
sendo isso possível - não acontecendo assim, a peça é descartada.
Ocorre, por exemplo, na avaliação final de um curso de capacitação. Esse tipo de controle é
utilizado também visando-se premiar e incentivar os agentes integrantes da atividade.
Vale a pena mencionar que esses três tipos de controle não são mutuamente excludentes, pelo
contrário, devem ser complementares. A decisão de empregar um tipo isolado de controle ou uma
combinação dos tipos antes mencionados depende do caráter do sistema que se deseja controlar
e do nível de complexidade que se tenta introduzir nos mecanismos de controle.
52
2.3.2. Ferramentas para o controle
Para melhor gerenciarmos os projetos, valemo-nos de algumas técnicas que nos permitem
visualizar no tempo os avanços em termos de atividades, de uso de recursos e de custos
relacionados. Entre as técnicas temos as seguintes:
um projeto: quanto tempo será exigido? Quantas pessoas serão necessárias? Quanto custará a
tarefa? Que tarefas devem ser terminadas antes de outras começarem?
Algumas dessas perguntas podem ser respondidas com a ajuda de um gráfico PERT.
Antes de elaborar esse gráfico, deve-se fazer uma estimativa do tempo a ser requerido para cada
tarefa do projeto. O gráfico PERT pode ser utilizado visando-se indicar os tempos máximos e
mínimos para a finalização das tarefas.
Para calcular as exigências de tempo e esboçar um gráfico PERT, são necessários cinco passos.
O calendário do projeto deve ser desenvolvido com um conhecimento preciso dos requisitos de
tempo, das atribuições de pessoal e das dependências de algumas tarefas com relação a outras.
Muitos projetos têm como limite a data de entrega solicitada. O diretor do projeto deve determinar
se pode elaborar um calendário possível com base nessa data.
Uma vez iniciado o projeto, o diretor do projeto se torna o seu máximo responsável. Como tal,
dirige as atividades da equipe e faz avaliações do avanço alcançado pelo projeto; por conseguinte,
todo diretor de projetos deve demonstrar ante sua equipe qualidades de direção, como o saber
53
Anexo C.3 Gestão de carteiras de projetos
Cabe ressaltar que são muito raros os projetos a serem implementados sem problemas e atrasos.
Isso decorre de se considerar entre as premissas do projeto que o entorno é instável; ou seja, que
não se pode pedir que as condições ou necessidades da empresa se paralisem durante a
execução ou que algum órgão regulador não emita disposições. O que implica, em qualquer parte
do projeto, a introdução de novas atividades que de modo geral atrasam sua entrega.
Um bom diretor de projetos se baseia em seus dados e na experiência que adquiriu junto a outros
projetos anteriores. Os requisitos de tempo dos projetos devem ser calculados por estimativa.
Deve-se dar uma especial atenção ao caminho crítico, sequência de tarefas dependentes em um
projeto na qual se uma tarefa do caminho crítico se atrasa, em termos de prazos, todo o projeto se
atrasará. Quando um diretor de um projeto detecta que uma tarefa crítica vai atrasar, deve buscar
diversas alternativas de ação.
Poderão, então, ser adotadas medidas corretivas como a redistribuição de recursos humanos.
Esses recursos provavelmente serão extraídos de tarefas não críticas que estejam avançando
corretamente.
O uso e as vantagens principais do gráfico PERT decorrem de sua capacidade para dar assistência
ao diretor de projetos no planejamento e no controle. Também o ajudam a identificar os
problemas atuais e os potenciais.
Uma vantagem importante dos gráficos de Gantt é que ilustram claramente o solapamento entre
tarefas planejadas. Diferentemente dos gráficos PERT, os gráficos Gantt não mostram claramente
a dependência existente entre tarefas diferentes.
54
Para gerar um calendário de projeto utilizando gráficos Gantt, primeiro devem ser identificadas as
tarefas a planejar; em seguida, determina-se a duração de cada tarefa por meio de técnicas e
fórmulas para a estimativa adequada de tempos.
Uma das responsabilidades mais habituais do diretor de projetos é informar sobre o avanço do
projeto aos seus superiores; geralmente, utilizam-se os gráficos Gantt para mostrar o avanço dos
projetos, em virtude de poderem comparar convenientemente o planejamento original com o
desenvolvimento real.
Com esse pedido, formou-se uma equipe para avaliar algumas alternativas existentes no
mercado local de produtos desenvolvidos e personalizados. Das alternativas encontradas
todas correspondiam a modelos de operação particulares às realidades de cada instituição,
e todas diferindo umas das outras em alto grau. Por essa razão, apresentava-se a quase
necessidade de um desenvolvimento novo; além disso, passava-se a ter uma alta
dependência de continuidade e de apoio por parte do prestador de serviços. Tudo também
implicando uma grave mudança cultural na própria organização, mesmo que não existisse
esse compromisso, pois simultaneamente se estava otimizando o pessoal e reajustando as
estruturas. Determinou-se que um desenvolvimento conjunto seria a melhor alternativa, por
duas razões principais: podia adaptar o projeto às necessidades operacionais da empresa,
e o custo de personalização e licenciamento se mostrava muito inferior aos das outras
alternativas.
55
Anexo C.3 Gestão de carteiras de projetos
Uma das partes mais difíceis é a quebra de paradigma do pessoal com relação à mudança
cultural, ou seja, com a mudança de sua filosofia de trabalho, por se exigir sua atualização
quanto ao uso das ferramentas por meio de capacitação, organização e integração em
equipes de trabalho e principalmente por meio de uma liderança.
Um dos erros inicialmente cometidos foi a falta de documentação das exigências, pois se
estabeleceram o desenvolvimento e a personalização da aplicação de acordo com o que se
tinha no momento. Somando-se a isso, não se deu relevância aos diferentes processos e
procedimentos, de modo que se foi avançando nesse passo, num processo que trazia riscos
e atrasos importantes.
O ambiente instável também é um ponto de alta consideração por parte do gestor de TI,
nunca se devendo considerar que os projetos estão em uma caixa de cristal que não se
afeta pelo entorno; a realidade mostra que muitas coisas mudam e que, obviamente, isso
exerce impactos na direção dos resultados. Isso é algo nunca considerado nem englobado
Outra causa importante é a tecnologia a ser empregada, o gestor de TI deve ter uma visão
do projeto, não a curto prazo, mas a médio prazo com crescimento gradual. Nesse caso,
ocorrem muitas mudanças no processo de desenvolvimento e os responsáveis pelos
subprojetos tentam implementar a última tecnologia. Porém, não visualizam o impacto que
isso provoca no projeto integral. O melhor é fixar as versões e a arquitetura em um
determinado ponto, para logo, no processo de manutenção, realizar paulatinamente as
atualizações que se fizerem necessárias.
2.3.3. Reflexões
Quando se deve gerenciar um projeto tão importante como a integração das novas tecnologias,
faz-se necessária uma metodologia, já que, caso contrário, as possibilidades de triunfo se
reduzem. Lamentavelmente, nesse projeto não se adotou uma série de medidas de planejamento
e estratégia que pudesse evitar os sérios atrasos ocorridos.
56
Um dos problemas mais habituais é esquecer o aspecto humano. Frequentemente, os diretores de
uma organização veem claramente como devem mudar, mas não conseguem fazê-lo
corretamente por esquecerem que a mudança deve começar pelas pessoas; geralmente acontece
de se investir muito tempo e conhecimentos no desenvolvimento do plano e pouquíssimo tempo
no como conseguir fazer com que a organização implante e desenvolva essa mudança.
O resultado disso é o estrepitoso fracasso quando é essa a visão do diretor, não sabendo
transmitir o que deve no momento de implantação das tecnologias, nem conseguindo, a partir
desse momento, mudar os processos e a cultura da organização.
Outra das causas de fracasso dos projetos é a pobre ou nenhuma elaboração de especificações
funcionais e técnicas no momento de se começar um projeto. Nesse caso, verificaram-se sérios
© TODOS OS DIREITOS RESERVADOS
atrasos em sua entrega, precisamente por se ter feito um caminho sem planejamento. Isso faz
com que os projetos não tenham término, pois, ao ficar a porta aberta, as exigências chegam num
sem fim. Para deter esse processo, o melhor é dar uma pausa, estabelecer as metas a serem
alcançadas, e o quando; todo o demais deve se realizar em etapas posteriores.
Para superar esses inconvenientes, teve-se que realizar o seguinte: o processo de substituição foi
redefinido em cinco fases.
Fase 1. Definição dos objetivos do projeto, assim como de uma visão na qual será a situação final
após o desenvolvimento do projeto.
Para o correto desenvolvimento e a execução do projeto, o primeiro passo será definir os objetivos
a perseguir e a visão de seus resultados. Há de se ter presente que a incorreta definição de
objetivos pode levar a indefinições posteriores.
Uma clara visão da mudança ajuda para que todos os integrantes da organização conheçam suas
vantagens, sabendo assim o que ganharão com ela.
57
Anexo C.3 Gestão de carteiras de projetos
Fase 2. Diagnóstico das capacidades dos recursos assim como das possibilidades com o emprego
das novas tecnologias.
Nessa fase, deve-se fazer uma profunda reflexão sobre a empresa, contemplando os seguintes
aspectos.
Fase 3. Desenvolvimento do plano de ações, assim como dos objetivos específicos a serem
alcançados.
58
• Definição de políticas e procedimentos de segurança.
• Implementação do plano de comunicação.
• Plano de capacitação.
59
Anexo C.3 Gestão de carteiras de projetos
60