VII SEMEAD

ESTUDO DE CASO POLTICA GESTO TECNOLGICA

A SEGURANA DOS SISTEMAS DE INFORMAO E SEU REFLEXO NO COTIDIANO DO CONTAS A PAGAR: ESTUDO DE CASO NA EMPRESA XYZ AUTORES: Flavio Jos de Oliveira Santos, Fabio de Souza Fiqueredo, Luilson Souza Gomes e Rodrigo Vendramini, graduandos em Administrao Gesto em Sistemas de Informao da FTS Faculdade Taboo da Serra. E-mail: flaviosantos@uol.com.br; fabio_chester@yahoo.com.br; luilson@fortknox.com.br; rdg_vendramini@ig.com.br; Orientadora: Liana Caron Nazareth Peanha, mestre em Administrao de Empresas pela Universidade Presbiteriana Mackenzie, prof da FTS Faculdade Taboo da Serra, e-mail: l.pecanha@fts.com.br Endereo: Rodovia Rgis Bittencourt, 199, Taboo da Serra SP CEP 06768-001. Fone: 4788-7978. RESUMO Com a evoluo da microinformtica e das inovaes tecnolgicas, as organizaes passaram, cada vez mais, a investir em tecnologias que permitem gerar grandes ganhos de produtividade atrelados reduo de custos com mo-de-obra. Essa mudana na forma de gesto dos processos levou s organizaes as facilidades de trabalhar com sistemas informatizados que desburocratizam vrias rotinas dentro da administrao, alm de facilitar o acesso a informaes que, em muitos casos, s seriam conseguidas aps o levantamento de vrios documentos para a compilao de um relatrio. Atravs de pesquisa qualitativa de natureza exploratria, foi realizado um estudo de caso em empresa de grande porte, onde foram aplicadas duas entrevistas em profundidade com colaboradores do contas a pagar. Detectou-se que a falta de investimento em segurana de dados gera custos maiores no cotidiano deste departamento. Isto mostra que as facilidades propiciadas pelos sistemas de informao devem ser acompanhadas de polticas de manuteno dos mesmos, para que uma organizao no sofra de soluo de continuidade no caso de no poder operar seus sistemas por um determinado perodo em razo de problemas que fujam ao seu controle. Palavras-chaves: Sistemas de Informao; segurana de dados.

A Segurana dos Sistemas de Informao e seu Reflexo no Cotidiano do Contas a Pagar: estudo de caso na empresa XYZ 1. INTRODUO A segurana dos sistemas de informao pode ser considerada, nos dias de hoje, como um processo imprescindvel dentro da organizao, sendo decisiva em determinadas situaes que necessitem a contingncia de situaes inesperadas do ponto de vista organizacional. Esta segurana deve ser encarada como um processo permanente e de constante evoluo, requerendo adaptaes s mudanas que trazem, tanto de comportamentos funcionais assim como na infra-estrutura fsica e tecnolgica da empresa. At pouco tempo, eram raras as instituies que se preocupavam em implementar segurana em suas redes e sistemas de informao. Mas a publicidade criada em torno dos ataques de vrus e hackers a sistemas de todos os tamanhos acabou atraindo a ateno dos executivos, e muitas empresas passaram a incluir a proteo da informao entre as questes estratgicas da corporao. Essa preocupao totalmente justificada, pois a dependncia das empresas em relao tecnologia da informao tem aumentado numa velocidade assustadora. Empresas dos mais diversos setores e tamanhos j no conseguiriam mais realizar atividades-chave para a sua sobrevivncia, tais como fornecer bens e servios, comunicar-se com clientes ou efetuar pagamentos, se os sistemas que armazenam, processam e transmitem seus dados corporativos parassem de funcionar. Para tanto, esse estudo procura refletir sobre como a segurana de dados interfere no cotidiano do contas a pagar de uma organizao. Acredita-se que esta reflexo contribuir, de forma significativa, para o estudo da administrao. 2. PROBLEMA DE PESQUISA E OBJETIVO O problema de pesquisa apresentado resume-se a seguinte questo: a segurana dos dados no sistema de informao (SI) influencia o cotidiano do contas a pagar? Assim, o objetivo geral deste trabalho analisar o reflexo da segurana de dados do SI sobre o cotidiano do contas a pagar. Seus objetivos especficos so identificar princpios de segurana de dados e identificar aes no dia-a-dia do contas pagar. 3. REVISO BIBLIOGRFICA 3.1 SEGURANA DE DADOS 3.1.1 Princpios da Segurana de Sistemas de Informao As dificuldades de se proteger adequadamente a informao corporativa so muitas: ela pode se espalhar por micros, sistemas de voice mail e mainframes, atravessando redes de comunicao e linhas de fax. Em muitas organizaes, esses ambientes esto conectados, o que aumenta a complexidade do problema. O BSI (British Standard Institute, 1995) publicou o BS 7799, um cdigo de prtica para a segurana da informao que identifica dez itens de controle. So eles: poltica de segurana de informao; organizao da segurana; classificao e controle dos recursos de TI; segurana do quadro de pessoal; segurana fsica e ambiental; gerncia de redes e computadores; controle de acesso; desenvolvimento e manuteno do sistema; planejamento da continuidade do servio; e conformidade com a poltica de segurana.
2

Quando a empresa atua em parceria com outras, ela pode precisar fornecer garantias aos seus parceiros de que quaisquer informaes compartilhadas sero mantidas e processadas em um ambiente que no coloque em risco sua confidencialidade, integridade ou disponibilidade. por isso que se torna cada vez mais importante para as corporaes demonstrar sua conformidade com padres como o BS 7799. Segundo Fontes (2001), da mesma forma como a organizao inclui os impostos, os seguros e a infra-estrutura na composio do seu custo, a Segurana da Informao (SI) deve ser considerada. Embora afirme ser difcil generalizar, ele acredita que 10% do valor dedicado informtica um percentual j praticado por muitas organizaes que consideram a proteo da informao de maneira profissional. Despesas extras ou mudanas de patamar que exijam grande soma de recursos podem ser consideradas como investimento e "brigar" com os demais projetos. Deve ficar claro para toda a organizao que o objetivo principal da Segurana da Informao a proteo do negcio da empresa. A rea de informtica ou o CPD sero contemplados porque possuem recursos crticos para a realizao do negcio. Em relao indisponibilidade de recursos (ocorrncia de desastres) uma Anlise de Impacto no Negcio (BCP-Business Continuity Planning) ajudar a empresa a estimar (e na maioria das vezes se assustar) qual ser o prejuzo a partir de uma indisponibilidade dos recursos. O Gestor da Informao a pessoa responsvel pela liberao (ou no) da informao para toda a empresa e tambm deve ser responsvel pela continuidade do negcio no que depende daquela informao. Um Gestor consciente da sua funo ser um aliado para a obteno e manuteno de recursos para a proteo da informao, sendo importante estar definido na Poltica de Segurana. O nvel de proteo da informao da empresa no deve ser dado pela simples mdia dos aspectos analisados. Um diagnstico deve ser feito periodicamente, informando como est o nvel de proteo da informao de cada aspecto analisado. Uma viso gerencial deve ser passada para a direo de modo que a mesma sinta a necessidade de investir (ou gastar) na Segurana da Informao do seu negcio. Essa anlise peridica deve ser feita por pessoas/empresas que possuam experincia e competncia no assunto. A rea de segurana deve ser um elemento formal no organograma da empresa. No algo passageiro e nem deve ser algo informal. A informalidade no ajuda em nada quando se trata de dedicar recursos. A existncia da Segurana da Informao como um elemento da estrutura organizacional, compatvel com o porte e negcio da empresa, demonstra a seriedade do assunto para a organizao. A Segurana da Informao deve ser um elemento chave dentro do conceito de gerenciamento de risco da organizao, atravs do qual se podem obter vantagens competitivas. A atuao efetiva de uma auditoria (interna ou externa) refora a necessidade de dedicao de recursos para a proteo da informao. A independncia da auditoria e o seu compromisso com os acionistas sero aliados do processo de segurana da informao. Gastar recursos com segurana no o primeiro desejo de uma organizao; mas pode significar a sua continuidade no negcio. Pode significar, tambm, a proteo contra o concorrente que est acessando as informaes confidenciais da empresa. 2.1.2 Partes Envolvidas Segundo Rezende (2002, p.21), os Chief Information Officers (CIOs) so executivos dirigentes da Tecnologia da Informao (TI) nas organizaes. Gestores responsveis pela
3

rea da TI, pelos recursos tecnolgicos e pela utilizao estratgica das informaes das organizaes. Normalmente esto ligados alta administrao da organizao. Nos dias de hoje, os gestores da TI fazem parte do corpo diretivo da empresa e tm papel importante no controle e segurana das informaes trafegadas na rede interna da organizao, assim como sua interface com a rede mundial de computadores, a Internet. Para O'Brien (2002, p.409) muitas aplicaes desenvolvidas pelo usurio final esto desempenhando funes organizacionais extremamente importantes chamadas de Aplicaes do Usurio Final Crticas Empresa. Segundo ele, os gerentes de negcios devem assumir as responsabilidades sobre a administrao da rede de seus computadores e os recursos de seus sistemas de informao. Os Administradores da empresa e os gestores da TI assumem o papel de mentores dos processos de segurana de dados, enquanto s gestores de negcios devem ser os controladores dos procedimentos em suas reas. Os usurios finais e os clientes devem ser instrudos pelos gestores da TI para obterem a maximizao plena de seus sistemas de modo seguro, enquanto os parceiros e fornecedores devem ser desenvolvidos para que a organizao obtenha a segurana plena de suas informaes. 2.1.3 Normas e Procedimentos Internos Normalmente, uma organizao desenvolve e adota procedimentos-padro para a operao dos sistemas de informao. O seu uso promove a qualidade e minimiza as chances de erros e fraude. Isto ajuda tanto os usurios finais como os especialistas de SI a saberem o que esperado deles em termos de procedimentos operacionais e qualidade dos sistemas. O'Brien (2002, p.408) afirma que os controles de procedimentos so mtodos que especificam como os recursos de computadores e redes da organizao devem ser operados para a segurana mxima. Eles ajudam a garantir a preciso e integridade das operaes dos computadores e redes das atividades de desenvolvimento de sistemas. Entre esses controles, O'Brien destaca o fornecimento adequado de energia eltrica. 2.1.4 Polticas de Administrao de Colaboradores Para Costa, (2004, p.p), os novos tempos projetam a informao como principal e mais valioso bem das empresas. Segundo ele, em todas as reas, podemos afirmar, sem sombra de dvida, que quem detm a informao detm o poder. Junto desta valorizao da informao, vem a valorizao do profissional que cuida dela. Seja quem a estrutura (profissionais da TI), seja quem a protege (profissionais de segurana), ambos ganharam mais importncia dentro das organizaes. No toa que os diretores da TI hoje figuram em grau de importncia ao lado dos diretores financeiros e, por vezes, acima deles. Como no poderia deixar de ser, o profissional da informao, na medida que conquistou importncia, tambm incorporou responsabilidades. Alm da responsabilidade de manter o bom funcionamento e integrao dos sistemas eletrnicos, estes profissionais so responsveis tambm pelos danos decorrentes de sua atividade. O erro mais comum das empresas que decidem aumentar sua segurana enfatizar a proteo contra ataques externos organizao. Os ataques externos normalmente trazem conseqncias srias, no podendo ser ignorados. Mas apesar da sua gravidade, na prtica eles so bem mais raros do que se pensa. At 80% das quebras de segurana podem ser atribudas a erros de funcionrios ou falhas de equipamento, sem contar que grande parte dos 20%

restantes provm de abusos ou fraudes gerados internamente. Por causa disso, o foco da ateno deve estar dentro, e no fora da corporao. 2.1.5 Segurana Lgica Para manter seus sistemas de informaes seguros, a organizao deve primeiramente definir o que proteger. Para manter a segurana no trfego de informaes na rede, a criptografia de dados um dos principais recursos. Senhas, mensagens, arquivos e outros dados podem ser transmitidos de forma embaralhada e desembaralhados pelos sistemas de computadores apenas para os usurios autorizados, envolvendo o uso de algoritmos matemticos especiais, ou chaves para transformar dados digitais em um cdigo antes que esses dados sejam transmitidos. Outro importante mtodo de controle um Firewall. Segundo O'Brien (2002, p.406), Firewall de rede um sistema de computador guardio que protege as intranets e outras redes de computadores da empresa contra a invaso, funcionando como um filtro e ponto seguro de transferncia para acesso Internet e outras redes. O Firewall essencial para organizaes que dependem da Internet ainda muito insegura e vulnervel. Antivrus um software que, devidamente atualizado, protege micro computares de usurios contra ataques de vrus que podem chegar de diversas formas. Esses vrus se espalham de um modo assustadoramente rpido, causando grandes prejuzos s organizaes quando paralisam as suas operaes/produes. S que, mesmo tendo antivrus, o papel do gestor dos Sistemas de Informao exatamente conscientizar o usurio final para que no abra arquivos suspeitos em seus computadores, pois a maior parte das infeces por vrus transmitida pela Internet, atravs do correio eletrnico dos funcionrios. No armazenamento de informaes, as organizaes devem manter backups de dados confiveis, que nada mais so do que a duplicao dos dados da empresa guardados em outro meio que no seja o mesmo. Esse procedimento uma forma de contingncia, caso haja perda das informaes guardadas no banco de dados principais.

2.2 CONTAS A PAGAR No menos importante que os demais processos administrativos da Administrao Financeira e Oramentria, os procedimentos de contas a pagar devem desenvolver estruturas e solues para a finalidade de sua existncia e, ainda, proporcionar ao administrador financeiro subsdios e informaes seguras para suas tomadas de deciso. Assim, a segurana dos dados manipulados no sistema de contas a pagar de suma importncia para a manuteno e preciso das informaes da organizao, que dentre outras devem adotar os procedimentos simples, alm daqueles proporcionados pela Tecnologia da Informao. Todo o cheque emitido dever ser acompanhado de cpia, aplicando-se idntico procedimento a contratos, recibos etc., pois a organizao de um completo arquivo das informaes vital para consultas futuras. O fluxo de caixa deve ser utilizado, tambm, como instrumento para efetuarem-se previses financeiras de mdio prazo e servirem de subsdio tomada de importantes decises, como aplicaes financeiras de maior rentabilidade que necessitam de um perodo mais longo. Mas esse planejamento futuro demanda anlise cuidadosa do presente, verificando-se a
5

consistncia dos controles financeiros para se ter condies de dar credibilidade s informaes. fundamental certa coeso entre os dados procedentes de cada rea da empresa, a maioria deles indo desembocar na rea financeira, como se pode verificar claramente na figura a seguir:

Figura 1: Origem de dados do Setor Financeiro. Fonte: www.empresrio.com.br. Os controles financeiros e o fluxo de caixa iro enxergar eventos estritamente ligados aos aspectos financeiros do negcio (Contas a Pagar, Contas a Receber, saldos e conciliao bancria), mas no os econmicos (estoques, ativo imobilizado e patrimnio lquido), da a importncia de uma anlise econmico-financeira, em que se analisa a empresa como um todo, por meio do Balano Gerencial. No estudo e na prtica da Administrao Financeira so utilizados com freqncia os termos Regime de Caixa e Regime de Competncia, causando, s vezes, algumas confuses. Para Welsch (1983, p.321), o sucesso ou o insucesso da empresa como um todo e de suas subunidades determinado pelo conjunto de decises importantes que so tomadas. Segundo ele, o prazo entre o momento da deciso e a apresentao de relatrios dos resultados dessas decises deve ser minimizado. No Regime de Caixa, verifica-se a data de vencimento/pagamento, ou seja, o momento do desembolso por parte do Contas a Pagar, enquanto no Regime de Competncia, o objeto de estudo o momento do surgimento da conta, ou seja, quando foi vendida ou comprada a mercadoria. Tais controles financeiros, que funcionam como suporte para o fluxo, devem conter informaes importantes como tipo da conta, data de origem (regime de competncia), data de vencimento (regime de caixa), data de pagamento (ou desembolso) e juros ou descontos. Na montagem do fluxo de caixa necessrio estabelecer um Plano de Contas, que a descrio das contas a serem utilizadas para os lanamentos do caixa. Normalmente, o contador da empresa j preparou essa classificao, que pode perfeitamente ser utilizada para fins de fluxo de caixa. Pode montar-se um Plano de Contas como segue: Contas a Pagar Salrios Comisses Fornecedores Impostos Contador Frete Aluguel
6

Contas a Receber vista (previso) Cheques pr Duplicatas Carto de crdito Boletos bancrios

Pr-labore Leasing Tarifas Pblicas Outros Figura 2: Plano de Contas de uma Organizao. Fonte: www.empresario.com.br. Segundo Hoji (1999, p.158), para otimizar os recursos financeiros, a projeo do fluxo de caixa feita para um perodo de at 03 meses. Os dados so geralmente apresentados por dia para os primeiros 15 ou 30 dias e por quinzena ou ms para o restante do perodo. Para um prazo superior a trs meses, so utilizados os dados do oramento de caixa revisado. Sob o ponto de vista de controle e feedback (realimentao de informaes), a projeo do fluxo de caixa deve ser sistematicamente revisada e atualizada, pelo menos semanalmente, com base em fluxo efetivo e em alteraes das premissas e condies anteriormente projetadas, para aproximar-se o mais possvel do resultado financeiro efetivo. Uma vez de posse dos principais conceitos de fluxo de caixa, trabalha-se numa viso estratgica de caixa. Sem dvida, a crise ensina o empresrio a adotar comportamentos dinmicos para continuar no mercado. Pode-se, ento, simular algumas estratgias financeiras extremamente importantes no atual cenrio, porque, alm de calcular o estouro de caixa, necessrio gerar possveis solues de curto prazo, dentro da realidade empresarial. Para Welsch (1983, p.254), sob a ptica do oramento existem dois fluxos que so crticos e devem ser planejados e controlados. Um deles o fluxo de bens e servios dentro da empresa e o outro o dinheiro. O oramento de caixa tem a finalidade de apresentar com antecedncia a provvel situao financeira futura, caso as transaes ocorram dentro das premissas e condies planejadas. O conhecimento antecipado das necessidades e sobras de caixa no curto, mdio e longo prazos possibilita aos administradores financeiros tomar decises que otimizem os resultados globais. 4. METODOLOGIA Pesquisa qualitativa de natureza exploratria, onde foi realizado estudo de caso em empresa de grande porte, prestador de servios. Foi utilizado roteiro semi-estruturado aberto contendo trs perguntas sobre o tema a ser pesquisado. Os dados foram obtidos atravs de duas entrevistas face a face com colaboradores da rea do departamento de contas a pagar. Aps transcrio, os dados foram submetidos anlise do contedo. 5 TRATAMENTO E ANLISE DOS DADOS 5.1 EMPRESA XYZ A empresa XYZ atua no segmento de prestao de servios terceirizados, sendo forte atuante no mercado de limpeza e conservao. A empresa iniciou suas atividades em 1927, trazendo conceitos de terceirizao dos EUA para o Brasil, focando os servios denominados comuns. Como uma das pioneiras no ramo de prestao de servios de limpeza e conservao no pas, ocupa uma posio de vanguarda no mercado, primando sempre pela excelncia e servindo de referncia para outras empresas do setor.

Atualmente, possui um faturamento anual prximo de U$ 15.000.000,00 e conta com 2.800 pessoas no seu quadro de colaboradores, que se encontram espalhados por vrias regies do Estado de So Paulo. Possui clientes nos mais variados ramos da atividade econmica, dos quais destacam-se Infraero, Unibanco, Shopping Interlagos e Itautec-Philco. Os entrevistados da empresa XYZ so da rea de Finanas, sendo que um deles ocupa o cargo de Tesoureiro e trabalha h treze anos na empresa. O outro seu subordinado, atua h sete anos na empresa, sendo um ano nesse cargo. 5.2 DADOS A empresa XYZ enfrentou um srio problema, em janeiro de 2004, quando precisou fazer uma manuteno na base de dados do seu sistema financeiro em funo do banco de dados do mdulo de contas a pagar se danificar aps um pico de energia em maio de 2003. O sistema informatizado utilizado pelo grupo possui uma arquitetura somente de servidor (isso faz com que todas as tarefas executadas no sistema sejam processadas no computador do usurio, cabendo ao servidor apenas fazer a hospedagem dos programas e dos bancos de dados) e o fato de nem todos os computadores estarem ligados a no-breaks (apenas os servidores e alguns computadores que rodam solues que no podem ficar inoperantes em hiptese alguma). O resultado dessa combinao implica na seguinte situao: se as tarefas so executadas sempre na mquina do usurio e a mesma est desprotegida contra eventuais oscilaes ou ausncia no fornecimento de energia, quando da ocorrncia de alguma delas qualquer processo que estiver sendo executado ser interrompido e permitir que o banco de dados que estiver sendo utilizado ainda permanea ativo. Permanecendo ativo, o banco de dados no saber que instruo executar (guardar ou alterar a informao que estava sendo processada, por exemplo) e ficar perdido, fato que pode gerar perda das informaes que estavam sendo trabalhadas no momento, de informaes que j estavam no banco de dados, mas, que no estavam sendo acessadas, ou mesmo a impossibilidade de utilizao de toda a base de dados pelos usurios em funo da perda do vnculo do processo executado com a respectiva informao que estava sendo atualizada. O mdulo de contas a pagar alimenta outros trs mdulos do sistema financeiro (fluxo de caixa, tesouraria e contabilidade) e se fazia necessria a urgente reparao do mesmo. Como o custo envolvido na operao de recuperao de dados era relativamente alto, a empresa entendeu que o mesmo no estava afetando de forma significativa o andamento das tarefas executadas ou mesmo os resultados nos relatrios apresentados no fechamento mensal e que, por essas razes, o problema no seria tratado naquele momento. Passados sete meses, comearam a ocorrer perdas de informaes na base de dados e a confiabilidade do sistema comeou a ser questionada. Diante desses acontecimentos, a empresa autorizou que fosse executada a operao de recuperao do banco de dados, sem saber porm, que outros dois problemas tambm passariam a fazer parte do processo de restaurao. Constatou-se que: primeiro, havia a necessidade de se recompilar todos os programas do sistema para que o banco de dados recuperado pudesse ser colocado em atividade; entretanto no foram localizados os programas-fonte para que isso pudesse ser realizado e, segundo, os backups existentes tambm apresentavam o problema de possuir o banco de dados corrompido, por isso no seria possvel comparar se no processo de restaurao da base seriam perdidas informaes.

Sem alternativa face ao problema apresentado, a restaurao da base foi autorizada e executada at com relativo sucesso (uma vez que no era possvel mensurar o nvel das perdas ocorridas) e para fazer a recompilao do sistema, foi solicitada uma cpia dos programas ao desenvolvedor do software. Entretanto, quando a organizao resolveu implementar o projeto descobriu que a empresa que havia desenvolvido o software tinha sido vendida e o sistema originalmente instalado havia passado por atualizaes que alteravam a forma como o mesmo identificava e armazenava determinadas informaes. Com isso, um trabalho estimado para durar aproximadamente dez dias prolongou-se por dois meses, j que foi necessrio fazer uma adaptao dos antigos bancos de dados para a nova verso do programa, alm da necessidade de se reescrever determinas rotinas que eram exclusivas da organizao e que tambm se perderam na restaurao da base. Hoje, v-se que o custo do projeto foi dramaticamente alterado, havendo um acrscimo de aproximadamente 50%, se comparado estimativa inicial, alm do prejuzo de algumas informaes comearem a aparecer de forma diferente do que foram inicialmente lanadas. Esperava-se que, com a recuperao da base, no haveria qualquer problema de confiabilidade das informaes. Alm disso, o sistema apresentar-se-ia mais estvel e mais rpido no processamento de relatrios gerando ganhos de produtividade a todos os usurios. Entretanto, a equipe do setor de finanas tem feito a checagem manual no contas a pagar do que so chamadas contas chave. Essas contas correspondem cerca de 80% do volume de gastos lanados no sistema de contas a pagar. 5.3 ANLISE Ao se analisar a situao vivida pela empresa XYZ, percebe-se que no foi aplicado nenhum tipo de segurana de dados. Quando Rezende apresenta a definio dos CIOs (Chief Information Officers) dentro da nova ordem tecnolgica que invadiu o cotidiano das empresas, ressalta a importncia dessa pessoa dentro da administrao e da tomada de decises quando o assunto refere-se tecnologia de informao. Mesmo no possuindo um CIO em seu quadro de funcionrios, claramente notase que, neste caso, a questo financeira falou mais alto do que a questo tcnica. possvel concluir tambm que, independentemente do tipo ou tamanho da organizao, fundamental uma anlise peridica das condies em que se encontram seus sistemas de organizao e a infra-estrutura onde o sistema est apoiado pois, um gerenciamento falho neste quesito, pode incorrer em srios problemas na gerao de informaes para a tomada de decises. Dentro dessa situao, o Padro Britnico BS 7799 aparece como um importante guia de orientao aos gestores da Tecnologia de Informao (TI) no tocante a forma de estruturao da rede, bem como dos cuidados a serem observados na preservao das informaes. Tambm se constata que o profissional responsvel por cuidar dessa estrutura deve se esforar para passar a alta direo da organizao a real importncia da mesma, haja vista que somente pessoas com conhecimento tcnico mais elevado podem mensurar o grau de importncia desse conjunto para a organizao e coloc-lo de forma compreensvel e menos tcnica diretoria da empresa. Este grupo levantou que seriam necessrios R$ 6.356,00 (seis mil, trezentos e cinqenta e seis reais) para que fossem instalados quatro no-breaks do modelo Smart-UPS 1500VA 120V no setor afetado (ver anexo). Esse investimento permitiria que todos os usurios
9

disponibilizassem de, no mnimo, cinco minutos para fechar todos os aplicativos em execuo e desligar os computadores com segurana. Se a comparao for efetuada a partir de um outro ngulo, onde seriam privilegiadas aes preventivas que impedissem a ocorrncia de fatos iguais aos colocados, o custo seria muito menor face ao que a empresa XYZ j gastou. A equao que demonstra esse incremento nos gastos realizados pode ser avaliada atravs da expresso: Custo Preventivo (CP) x Custo Real no momento 1 (C1) x Custo Realizado (C2), onde: Custo Preventivo (CP) R$ 7.000,00 Custo Real (C1) R$ 20.000,00 Custo Realizado (C2) R$ 35.000,00

Se a ao preventiva fosse executada na instalao da rede da empresa, existiram grandes possibilidades do problema jamais ter existido. Nota-se que C1 185% maior do que CP e, fazendo a comparao entre CP x C2, v-se que o gasto da empresa foi majorado na ordem de 400%. Atendo-se apenas na relao entre C1 x C2, observa-se que a deciso da empresa em protelar seu projeto de restaurao da base de dados gerou um gasto extra da ordem de 75%, fato este que demonstrou certa falta de planejamento na tomada da deciso. Quando a empresa fala no custo C2, ressalta que no esto sendo contabilizadas as horas de retrabalho de sua equipe. Nota-se que a organizao, alm de obter custos acima dos previstos devido a no preveno em segurana de dados bsica, como o uso de no-breaks, teve a sua imagem arranhada junto a fornecedores e funcionrios, devido ao atraso de contas no pagas em dia. Trata-se de uma perda difcil de ser mensurada, mas que contribui para a falta de prestgio da empresa junto a seus clientes internos, o que pode causar uma queda de produtividade. 6. CONCLUSO Este estudo mostra que a segurana dos dados do SI influencia a rotina do setor de contas a pagar de uma organizao. Tambm mostra a importncia da preveno quando o assunto segurana de dados. A falta de investimentos em segurana de dados gera custos extras, alm de falta de confiabilidade no SI. Os resultados apresentados so vlidos somente para a empresa XYZ, no podendo ser considerados por outros. Entretanto, a similaridade pode ajudar outras empresas em situaes parecidas. Por ltimo, o grupo prope que novos estudos sejam realizados abrangendo outras reas de uma organizao para que se possa analisar como a segurana de dados pode influenciar em qualquer outra rea. REFERNCIAS BIBLIOGRFICAS BEAL, Adriana. Segurana de Tecnologia da Informao. S.1., s.n., [2004] Disponvel em www.centroatl.pt/titulos/si/seguranca-si.php3. Acesso em: 15 abr. 2004.
10

BRAGA, Roberto. Fundamentos e Tcnicas de Administrao Financeira So Paulo: Atlas, 1989. BSI MANAGEMENT SYSTEMS Information Security. S.1., s.n., [1995?] Disponvel em http://emea.bsi-global.com/InformationSecurity/Overview/WhatisBS7799.xalter. Acesso em: 16 mai. 2004. COSTA, Roberto Leibholz. Aspectos Jurdicos. S.1., s.n., [2004] Disponvel em www.esnx.net/materia.php?data%5Bid_materia%5D=150. Acesso em: 15 abr. 2004. EMPRESRIO ON LINE. S.1., s.n., [2001] Disponvel em www.empresario.com.br/orientador/edicoes/2001_02/capital/capital_txt_5.html. Acesso em: 01 mai. 2004. FEBRABAN. S.1., s.n., [2004] Disponvel em Arquivo/Servicos/Dicasclientes/dicas7.asp. Acesso em 16 mai. 2004. www.febraban.org.br/

FONTES, Edson. Segurana da Informao: Investimento ou Custo Operacional. S.1., s.n., [2004] Disponvel em http://www.securenet.com.br/artigo.php?artigo=108. Acesso em: 15 abr. 2004. HOJI, Masakazu. Administrao Financeira: Uma Abordagem Prtica So Paulo: Atlas: 1999. LAURINDO, Fernando Jos Barbin. Tecnologia da Informao So Paulo: Futura, 2002. MARTIN, Henrique. Segurana na Internet. S.1., s.n., [2004] Disponvel em www.ecommerce.org.br/Artigos_Geral/Seguranca_na_Web.htm. Acesso em: 16 mai. 2004. OBRIEN, James A. Sistemas de Informao e as Decises Gerenciais na Era da Internet So Paulo: Saraiva, 2002. REZENDE, Denis Alcides. Tecnologia da Informao Integrada Inteligncia Empresarial So Paulo: Atlas, 2002. SILVA, Pedro Tavares. Segurana dos sistemas de Informao Gesto Estratgica da Segurana Empresarial. S.1., s.n., [2004] Disponvel em www.centroatl.pt/titulos/si/seguranca-si.php3. Acesso em 15 abr. 2004. WELSCH, Glen A. Oramento Empresarial. 4. ed. - So Paulo: Atlas, 1983.

11