Você está na página 1de 155

01/07/2012

Aula Introdutria: Administrao de Sistemas de Informao II AULA 1

Prof. Dr. Hellinton H. Takada

UNIFAI

Roteiro
Apresentao da Disciplina Contedo do Semestre Proposta de Trabalho em Grupo dos Bimestres

Prof. Dr. Hellinton H. Takada UNIFAI

01/07/2012

Critrio de Avaliao
Trabalhos em Grupo Avaliao Regimental (individual e sem consulta)

Prof. Dr. Hellinton H. Takada UNIFAI

Material de Estudo
Material Disponibilizado em PowerPoint (base para a avaliao)
Trazer Material Impresso para as Aulas! O material necessrio para fazer as atividades propostas nas aulas.

Livros listados na ementa do curso

Prof. Dr. Hellinton H. Takada UNIFAI

01/07/2012

Tpicos Principais do Semestre


Administrao de Sistemas de Informao Metodologias de Projetos de Software (RUP Rational Unified Process) Governana de TI (ITIL e COBIT) Normas de Segurana de Sistemas Normas de Qualidade de Software Auditoria de Sistemas
Prof. Dr. Hellinton H. Takada UNIFAI

Trabalho em Grupo
Grupos de aproximadamente 5-6 alunos Entrega: Documento Escrito + Apresentao do Trabalho (Entregar a apresentao tambm)
Documento Escrito
Descrever o contedo pesquisado com as devidas referncias bibliogrficas (O documento escrito NO a apresentao em PowerPoint!).

Apresentao Oral
Preparar apresentao em PowerPoint:
Todos os componentes devem participar Durao depender da complexidade do trabalho

Prof. Dr. Hellinton H. Takada UNIFAI

01/07/2012

Trabalho em Grupo
Avaliao do Trabalho
Contedo do Trabalho Escrito Contedo da Apresentao Oral Inovao

A apresentao e entrega dos documentos escritos devero ser feitas na data combinada. Documentos em atraso no sero aceitos.

Prof. Dr. Hellinton H. Takada UNIFAI

Trabalho em Grupo
Cada grupo dever constituir uma empresa imaginria. Esta empresa dever prestar servios de Consultoria em Sistemas de Informaes nas reas de:
Gerenciamento Completo de Projetos de Software (Metodologias de Processos de Produo e Qualidade de Software) Governana de Tecnologia da Informao Auditoria e Segurana de Sistemas

A empresa dever ter um cliente imaginrio. Este cliente ser uma empresa de grande porte (sugestes: Hospital, Banco, Indstria Automobilstica, Indstria Alimentcia ou Empresa de Transporte e Logstica).
Prof. Dr. Hellinton H. Takada UNIFAI

01/07/2012

Trabalho em Grupo
A empresa cliente solicita empresa de consultoria em SI um sistema de ERP (Enterprise Resource Planning) ou SIGE (Sistemas Integrados de Gesto Empresarial). A empresa de consultoria apresentar:
Levantamento de Requisitos do Sistema ERP; Proposta de Sistema ERP (com as especificaes do sistema); Documento contendo Processo de Gerenciamento para a Produo do ERP (segundo o RUP).

A empresa cliente fica satisfeita e resolve contratar novamente a empresa de consultoria, a qual dever apresentar:
Documento contendo Processo de Implantao de Governana de TI
Prof. Dr. Hellinton H. Takada UNIFAI

Trabalho em Grupo
Depois de alguns anos, a empresa cliente pede para a empresa de consultoria realizar um processo de auditoria de sistemas. A empresa de consultoria dever apresentar:
Levantamento de Vulnerabilidades Estudo de Riscos Propostas de Mecanismos de Soluo Plano de Continuidade de Negcios (BCP Business Continuity Plan)

Prof. Dr. Hellinton H. Takada UNIFAI

01/07/2012

Entregas
Apresentao e Entrega Impressa de:
Documento com Plano de Negcios Resumido da Empresa de Consultoria em Sistemas de Informao Documento com Plano de Negcios Resumido da Empresa Cliente Documento com Levantamento de Requisitos do Sistema ERP Documento com Proposta de Sistema ERP (Especificaes do Sistema) Documento com Processo de Gerenciamento para a Produo do Sistema ERP seguindo a metodologia RUP
Prof. Dr. Hellinton H. Takada UNIFAI

Entregas
Apresentao e Entrega Impressa de:
Documento com Processo de Implantao de Governana de TI com base no COBIT Documento de Auditoria com Levantamento de Vulnerabilidades de Segurana de TI Documento de Auditoria com Estudo de Riscos de Segurana de TI Documento de Auditoria com Mecanismos/Solues para as Vulnerabilidades de Segurana de TI Documento com Plano de Continuidade de Negcios com foco em TI
Prof. Dr. Hellinton H. Takada UNIFAI

01/07/2012

Pr-Requisitos Iniciais dos Trabalhos do Semestre AULA 2


Prof. Dr. Hellinton H. Takada

UNIFAI

Elaborao de Plano de Negcios para as Empresas da Atividade


O procedimento de elaborao de Plano de Negcio faz parte de disciplinas ligadas Administrao - Empreendedorismo. Plano de Negcios:
Tambm chamado de Plano Empresarial (Business Plan), um documento que explica um negcio que se quer iniciar ou que j est iniciado. Geralmente escrito por empreendedores, quando h a inteno de se iniciar um negcio, mas tambm pode ser utilizado como uma ferramenta de marketing interno e gesto.
Prof. Dr. Hellinton H. Takada UNIFAI

01/07/2012

Elaborao de Plano de Negcios para as Empresas da Atividade


Objetivos de um Plano de Negcios:
Testar a viabilidade de um conceito de negcio Orientar o desenvolvimento das operaes e estratgia Atrair recursos financeiros Transmitir credibilidade Desenvolver a equipe de gesto

Por que desenvolver Planos de Negcio durante a atividade do semestre?


Definir o cenrio em que os tpicos tericos a serem desenvolvidos sero aplicados Aprender a desenvolver um Plano de Negcios para empresas de Tecnologia
Prof. Dr. Hellinton H. Takada UNIFAI

Estrutura Geral de Plano de Negcios


Capa
Preocupao com o ttulo do documento que descreva a empresa e cause interesse ao leitor em continuar analisando o documento.

Sumrio
Deve conter pelo menos o ttulo de cada seo do documento.

Sumrio Executivo
Deve conter pelo menos 2 itens:
Funo: explanao do modelo de negcios bsico com fundamentos e justificativas gerais para a estratgia que se tem em vista. Recomendaes: apresenta um sntese de todas as informaes constantes no documento visando um pblico alvo. Basicamente, deve apresentar o objetivo do Plano de Negcios.
Prof. Dr. Hellinton H. Takada UNIFAI

01/07/2012

Estrutura Geral de Plano de Negcios


Planejamento Estratgico do Negcio
Definio do rumos do negcio: situao atual, metas e objetivos do negcio, descrio da viso e misso do empreendimento. Trata-se da base para o desenvolvimento e implantao das demais aes do empreendimento.

Descrio da Empresa/Empreendimento
Descrever: histrico, estrutura organizacional, localizao, parcerias, etc.

Produtos e Servios
Descrever: produtos e servios oferecidos pela empresa e como seu ciclo de produo.

Anlise de Mercado Plano de Marketing Plano Financeiro Anexos


Prof. Dr. Hellinton H. Takada UNIFAI

Trabalho em Grupo: O que devem conter os Planos de Negcios da Atividade? Os Planos de Negcios da Atividade devem conter basicamente:
Capa Sumrio Sumrio Executivo Planejamento Estratgico do Negcio Descrio da Empresa Produtos e Servios
Prof. Dr. Hellinton H. Takada UNIFAI

01/07/2012

Administrao de Sistemas de Informao AULA 3


Prof. Dr. Hellinton H. Takada

UNIFAI

Sistemas de Informao
uma srie de elementos ou componentes interrelacionados que coletam, armazenam e manipulam dados, transformando-os em informaes que sero disseminadas afim de fornecer suporte tomada de deciso, coordenao, controle, anlise e visualizao em um organizao. Devem apoiar as estratgias e processos empresariais e as estruturas e cultura organizacionais para aumentar o valor dos negcios em um ambiente dinmico.

Prof. Dr. Hellinton H. Takada UNIFAI

10

01/07/2012

Sistemas de Informao
Sinais de FeedBack Sinais de Controle ENTRADA DE DADOS PROCESSAMENTO E BANCO DE DADOS CONTROLE PELA ADMINISTRAO Sinais de FeedBack Sinais de Controle SADA DE INFORMAES

FRONTEIRA DO SISTEMA

Prof. Dr. Hellinton H. Takada UNIFAI

Sistemas de Informao
HARDWARE SOFTWARE

PESSOAS PROCEDIMENTOS REDE

BANCO DE DADOS

Prof. Dr. Hellinton H. Takada UNIFAI

11

01/07/2012

Sistemas de Informao
Hardware
Conjunto de dispositivos, como: processador, monitor, teclado e impressora, que aceita dados e informaes, processa-os e os e os exibe.

Software
Grupo de programas de computador, que permite o processamento de dados no hardware.

Banco de Dados
Conjunto organizados de arquivos ou registros relacionados, que armazena dados e associaes entre eles.

Rede
Sistema de conectividade que viabiliza o compartilhamento de recursos entre computadores diferentes.

Procedimentos
Estratgias, polticas, mtodos e regras para utilizar o Sistema de Informao.

Pessoas
Componente mais importante nos Sistemas de Informao; inclui aquelas que trabalham com o prprio sistema ou usam sua sada.
Prof. Dr. Hellinton H. Takada UNIFAI

Sistemas de Informao
Um sistema de informao possui 3 grandes componentes:
humano, organizacional e computacional

Organizao = A organizao formada por departamentos, e possuem processos. Pessoas = so os usurios e os desenvolvedores Computacional = hardware e software
Prof. Dr. Hellinton H. Takada UNIFAI

12

01/07/2012

Prof. Dr. Hellinton H. Takada UNIFAI

Prof. Dr. Hellinton H. Takada UNIFAI

13

01/07/2012

Sistemas Integrados AULA 4


Prof. Dr. Hellinton H. Takada

UNIFAI

Sistemas Integrados
DATA MARTS so pequenos sistemas que so criados nas diversas reas de uma empresa: sistemas de compras, sistemas de vendas, sistemas de RH, sistemas de biblioteca, sistemas de informao contbil etc. DATA WAREHOUSE so grandes sistemas que incluem num nico banco de dados toda informao de uma empresa: vendas, compras, RH, produo, biblioteca, contabilidade etc.
Prof. Dr. Hellinton H. Takada UNIFAI

14

01/07/2012

Tipos de Sistemas Integrados


ERP, SCM, e-Business, CRM, Business Intelligence (BI).

Prof. Dr. Hellinton H. Takada UNIFAI

ERP
ERP = Enterprise Resource Planning Definies:
agrega em um s sistema integrado, funcionalidades que suportam as atividades dos diversos processos de negcios de uma empresa. termo genrico para um conjunto de atividades executadas por um software com mltiplos mdulos. arquitetura de software que facilita o fluxo de informaes entre todas as atividades de uma empresa, como: fabricao, logstica, finanas, recursos humanos. composto por um Banco de Dados nico, operando em uma plataforma comum que interage com um conjunto de aplicaes. emprega tecnologia cliente/servidor. O usurio do sistema (cliente) roda uma aplicao (rotina de um mdulo do sistema) que acessa as informaes de uma base de dados nica (servidor). O BD interage com todos os aplicativos do sistema.

Prof. Dr. Hellinton H. Takada UNIFAI

15

01/07/2012

ERP
Surgiram a partir da evoluo dos sistemas MRP (Material Resource Planning), que mais tarde passou a ser chamado de MRP II (Manufacturing Resource Planning Planejamento de Recursos de Manufatura). Foram criados mdulos de Recursos Humanos, distribuio e finanas, entre outros. Esse novos sistemas, capazes de suportar as necessidades de informao para todo o empreendimento, so denominados sistemas ERP. Os sistemas ERP so compostos por uma base nica e por mdulos que suportam diversas atividades das empresas.
Prof. Dr. Hellinton H. Takada UNIFAI

Por que usar ERP nas empresas?


Permanecer competitivas; Melhorar a produtividade e a qualidade dos servios oferecidos aos clientes; Reduzir custos e estoques; Melhorar o planejamento e alocao de recursos.

Prof. Dr. Hellinton H. Takada UNIFAI

16

01/07/2012

Componentes ERP Mdulos de Software


Finanas; Contabilidade; Planejamento e Controle da Produo; Recursos Humanos; Custos; Vendas; Marketing, etc.
Prof. Dr. Hellinton H. Takada UNIFAI

Estrutura ERP Tpica


DIRETORES E ACIONISTAS C L I E N T E S
Vendas e Distrib. Relatrios Finanas F O R N E C E D O R E S

Representantes de Vendas e servios


Apoio a Servios

BD Central

Manufatura

Gerenc. Rec. Humanos

Gerenc. Materiais

FUNCIONRIOS
Prof. Dr. Hellinton H. Takada UNIFAI

17

01/07/2012

ERP Implantao
A deciso de implantao de um sistema ERP s deve ser tomada aps uma anlise detalhada dos processos da empresa e das funcionalidades dos sistemas ERP. Na implantao de um sistema ERP , a customizao a primeira medida a ser tomada. E inicia-se com a seleo de mdulos a serem instalados.
Prof. Dr. Hellinton H. Takada UNIFAI

ERP - Benefcios
Otimizao de fluxo de informaes; Facilidade de acesso aos dados operacionais, favorecendo a adoo de estruturas organizacionais mais achatadas e flexveis; Informaes mais consistentes, possibilitando a tomada de deciso, com base em dados, que refletem a realidade da empresa; Adoo de melhores prticas de negcio, suportadas pelas funcionalidades dos sistemas, que resultem em ganhos de produtividade e em maior velocidade de reposta da organizao.

Prof. Dr. Hellinton H. Takada UNIFAI

18

01/07/2012

SCM
SCM = Supply Chain Management Gesto de Cadeia de Suprimentos. Na dcada de 70 grandes empresas adotaram softwares para gerenciar suas linhas de produo. Mudana de paradigmas:
considera que a competio no mercado ocorre nas cadeias produtivas, e no apenas ao nvel das unidades de negcios.

Objetivo do SCM atender o consumidor final mais eficientemente, tanto atravs da reduo dos custos, como atravs da adio de mais valor aos produtos finais. Reduo de custos = obtido atravs da diminuio do volume de transaes de informaes e papis, dos custos de transportes e estocagem e da diminuio da variabilidade da demanda de produtos e servios. Mais valor ao produto = tem sido obtido atravs da criao de bens e servios customizados.
Prof. Dr. Hellinton H. Takada UNIFAI

E-Business
O interesse comercial na internet s comeou em 1993, com o surgimento do www (World Wide Web) Problemas Iniciais:
segurana (medo); forma de publicidade (propaganda deve ser direcionada as reas de interesse e no ao pblico de massa como na TV e rdio); criao de site (inexperincia de designers pgina esttica, como anncio de jornal ou revista);

Prof. Dr. Hellinton H. Takada UNIFAI

19

01/07/2012

E-Business
O comrcio eletrnico apresenta grande potencial para o varejo. Questes que os varejistas devem responder antes de iniciar suas operaes de comrcio eletrnico.
Como integrar o comrcio eletrnico estratgia geral da empresa? Quais os tipos de produtos a serem comercializados? Qual deve ser a definio de pblico-alvo dos negcios eletrnicos? Como desenvolver abordagens de comunicao individualizadas? Que tipos de contedo e de informao devem ser veiculados?

Prof. Dr. Hellinton H. Takada UNIFAI

E-Business
Como medir os resultados e, qual deve ser a expectativa de retorno? Como lidar com a segurana nas transaes? Como garantir a privacidade dos clientes? Como criar interaes e dilogos eletrnicos fceis e ao alcance da grande populao? Como divulgar uma loja virtual? Como escolher os fornecedores de informtica, criao e comunicao para a nova mdia? Quais os cuidados com a criao e layout das interfaces com o consumidor?
Prof. Dr. Hellinton H. Takada UNIFAI

20

01/07/2012

Tipos de E-Business
B2B = business-to-business (transaes entre empresas)
Operao entre a empresas e seus fornecedores, clientes, agentes financeiros, agentes de crdito, em ambiente de internet ou Extranet controlados (EDI Eletronic Data Interchange = troca de dados, portais verticais de negcios = portais que tratam de um nico assunto, ex. portal de negcio entre GM e seus fornecedores).

Prof. Dr. Hellinton H. Takada UNIFAI

Tipos de E-Business
B2C/C2B = business-to-consumer/consumer-tobusiness
Transaes entre empresas e consumidores (ex.: lojas de shoppings virtuais).

B2G/G2B = busines-to-government/governmentto-business
Transaes envolvendo empresas e governo (ex.: EDI, portais (ex.: prefeitura aceita cadastro e realiza licitaes de fornecedores, compras).
Prof. Dr. Hellinton H. Takada UNIFAI

21

01/07/2012

Tipos de E-Business
C2C = consumer-to-consumer
Transaes entre consumidores finais (ex.: sites de leiles, classificados on-line).

G2C/C2G = government-to-consumer/ consumer-to-government


Transaes envolvendo governo e consumidores finais (ex.: site da receita federal, servios de comunicao).

G2G = government-to-government
Transaes entre governo e governo.

Prof. Dr. Hellinton H. Takada UNIFAI

CRM
CRM = Customer Relationship Management Gesto do relacionamento com o cliente. Ao ganhar na web mais um poderoso canal de comercializao e comunicao, o setor corporativo precisou rever alguns conceitos e se reestruturar.
Tudo mais rpido. O concorrente est distncia de um simples click no mouse. Para poder competir neste cenrio, no basta oferecer produtos e servios com melhor qualidade e preo. preciso, tambm, conhecer o consumidor, ser capaz de satisfaz-lo e no perd-lo logo a seguir, para a concorrncia. necessrio saber criar e gerenciar o relacionamento com o cliente de forma a gerar valor para a companhia.
Prof. Dr. Hellinton H. Takada UNIFAI

22

01/07/2012

CRM
Uma filosofia que envolve pessoas, processos e tecnologia visando criao de uma sistemtica para adquirir maior conhecimento sobre o cliente, ao longo de toda a vida dele e no apenas no momento em que realiza uma transao comercial com a empresa. Pode ser entendido como uma estratgia que permite empresa como um todo ter uma viso nica de seu cliente, e a partir da, saber explorar as oportunidades de negcio. necessrio saber como o cliente , seus gostos, preferncias, quantas vezes ligou, reclamaes que fez, sugestes que deu, quanto traz de valor para a empresa, etc.. E estas informaes devem ser disseminadas pela organizao para todos os setores (call center, marketing, vendas, diretoria, etc.)
Prof. Dr. Hellinton H. Takada UNIFAI

CRM
Qual a importncia de conhecer o cliente?
Estudos feitos no mercado norte americano concluram que, num prazo de 5 anos, uma companhia perde metade de seus clientes e gasta 5 vezes mais na conquista de um novo consumidor, do que na reteno do antigo. Um comprador satisfeito comenta sua compra com 5 pessoas, enquanto que um insatisfeito queixa-se da empresa com 9.
Prof. Dr. Hellinton H. Takada UNIFAI

23

01/07/2012

CRM
CRM muito mais do que um conjunto de software.
um processo contnuo que compreende uma estratgia de negcios, mudanas de cultura dentro da organizao e uso de tecnologia. No se implanta CRM de uma nica vez, nem de uma forma padro.
Prof. Dr. Hellinton H. Takada UNIFAI

CRM
CRM diferente de empresa para empresa (clientes so diferentes, empresas tambm diferem)
Ex.: Uma operadora de telecomunicaes (tem milhes de assinantes) precisa de um CRM diferente de uma companhia que produz navios.

Mudanas ocorridas implantao de CRM

na

empresa

com

Integrao de reas; Foco se desloca do produto para o cliente

Prof. Dr. Hellinton H. Takada UNIFAI

24

01/07/2012

CRM
CRM estratgia de natureza organizacional (no pode ser conduzida por apenas um departamento) CRM deve ser visto pelos funcionrios como algo que ir contribuir para melhorar e agilizar o seu trabalho. Um dos componentes mais importantes para o sucesso da estratgia de um CRM so as pessoas.
Prof. Dr. Hellinton H. Takada UNIFAI

BI
BI = Business Intelligence So ferramentas de anlise para tomada de decises. (data warehouse, data mart, BS) O conceito de BI no recente. Fencios, persas, egpcios e outros povos do Oriente utilizavam esse princpio h milhares de anos, quando cruzavam informaes obtidas junto natureza em benefcio prprio (observar o comportamento das mars, perodos de seca e chuvas, posio dos astros, etc. Eram formas de obter informaes que eram utilizadas para tomar decises, que permitissem a melhoria de vida de suas respectivas comunidades.
Prof. Dr. Hellinton H. Takada UNIFAI

25

01/07/2012

BI
A necessidade de cruzar informaes para realizar uma gesto empresarial eficiente hoje uma realidade to verdadeira quanto no passado. Atualmente a BI vem crescendo na medida em que seu emprego possibilite s corporaes realizar uma srie de anlises e projees, de forma a agilizar os processos relacionados s tomadas de deciso. (Howard Dresner)
Prof. Dr. Hellinton H. Takada UNIFAI

BI Implantao
Fatores a serem considerados para implantao de BI:
identificao das reais necessidades da empresa (marketing, vendas e finanas) aconselhvel integrar todos os sistemas transacionais (operacionais) utilizados, antes de se iniciar a implementao de um projeto de BI. planejamento (para se evitar gastos desnecessrios)

Prof. Dr. Hellinton H. Takada UNIFAI

26

01/07/2012

BI Planejamento 1
Planejamento Estratgico Corporativo = enfatiza as oportunidades , os riscos, os pontos fortes e fracos da empresa, tanto em relao ao seu ambiente interno, quanto ao externo. atravs desse procedimento que so traadas as principais metas e estratgias para alcan-las.
So utilizadas indicadores de desempenhos, como o Balanced Scorecard (BSC) BSC um sistema de gesto estratgica criado pelo Robert Kaplan e David Norton (Harvard Business School). - so sistemas que fornecem ndices de produtividade, qualidade, desempenho, etc. O BSC no se aplica para a criao de um planejamento estratgico, mas sim para possibilitar a monitorao e o acompanhamento das decises a serem tomadas, a verificao de seus resultados efetivos. BSC tem o objetivo de traduzir para os executivos, a viso estratgica da corporao, atravs de um conjunto de medidas de desempenho, organizado segundo 4 perspectivas: financeira, cliente, processos internos e aprendizado BSC cria uma linguagem para comunicar a misso e a estratgia, utilizando indicadores que iro informar os funcionrios de todos os departamentos da empresa, sobre as metas de sucesso atual e futuro.

Prof. Dr. Hellinton H. Takada UNIFAI

BI Planejamento 2
Planejamento Estratgico da Informao = deve estar alinhado ao planejamento estratgico corporativo.
Requer o emprego de uma metodologia flexvel, capaz de suportar mudanas: Etapas da metodologia:
levantamento sobre a empresa e a cultura da empresa em termos de sistemas; levantamento e anlise dos sistemas existentes (verificando performance, funes, volumes de dados gerados, caractersticas dos processamentos, etc.) apurao e a avaliao da qualidade dos dados existentes; desenvolvimento de um modelo global do sistema de informao.

Prof. Dr. Hellinton H. Takada UNIFAI

27

01/07/2012

Trabalho em Grupo: Levantamento de Requisitos de SI


Requisitos Funcionais
Relativos ao funcionamento propriamente dito

Requisitos No-Funcionais
Relativos ao desempenho, segurana, qualidade, etc.

Tcnicas de Levantamento de Requisitos


Experincia prvia em SI similares Entrevistar pessoas envolvidas Pesquisa

Prof. Dr. Hellinton H. Takada UNIFAI

Trabalho em Grupo: Levantamento de Requisitos de SI


Preparar documento com levantamento de requisitos de sistema ERP a ser usado pela empresa cliente criada no passo da elaborao de Plano de Negcios

Prof. Dr. Hellinton H. Takada UNIFAI

28

01/07/2012

Gerenciamento de Projetos RUP AULA 5


Prof. Dr. Hellinton H. Takada

UNIFAI

Projetos de SI
Razes para o Sucesso
Envolvimento do usurio Apoio da administrao executiva Declarao clara de requisitos Planejamento adequado Expectativas realistas

Razes para o Fracasso


Falta de contribuio do usurio Falta de apoio executivo Requisitos e especificaes incompletos Mudanas de requisitos e especificaes Incompetncia tecnolgica
Prof. Dr. Hellinton H. Takada UNIFAI

29

01/07/2012

RUP
RUP = Rational Unified Process Processo de desenvolvimento de software criado pela Rational/IBM Baseado no ciclo de vida em espiral (refinamentos sucessivos) Guia para utilizar efetivamente a UML Desenvolvimento dirigido por Casos de Uso Processo configurvel Aumento da produtividade da equipe Incentivo das boas prticas: desenvolver o software iterativamente, gerenciar requisitos, usar arquitetura baseada em componentes, modelar o software visualmente, verificar a qualidade do software, controlar as mudanas do software

Prof. Dr. Hellinton H. Takada UNIFAI

RUP - Fases

Prof. Dr. Hellinton H. Takada UNIFAI

30

01/07/2012

RUP - Fases
Concepo/Iniciao (Inception)
Delimitao do mbito do projeto e do business case. Identificao dos atores e casos de utilizao e descrio dos mais significativos.

Elaborao
Anlise do domnio do problema. Definio de uma arquitetura estvel e robusta para todo o sistema, tendo em considerao os seus requisitos.

Construo
Desenvolvimento iterativo e incremental do produto completo para ser entregue aos utilizadores como uma primeira verso.

Transio
Desenvolvimento adicional para ajuste do sistema s alteraes de requisitos suscitadas pela sua utilizao concreta.

Prof. Dr. Hellinton H. Takada UNIFAI

RUP Conceitos Bsicos


Iterao:
ciclo completo de desenvolvimento.

Atividade:
unidade de trabalho composta de objetivos, passos, entradas/sadas, responsveis, guias e padres.

Fluxo de Atividade (Workflow):


agrupam atividades suporte, fluxo bsico) correlacionadas (fluxo de

Prof. Dr. Hellinton H. Takada UNIFAI

31

01/07/2012

RUP Conceitos Bsicos


Artefato:
documento, relatrio, modelo, cdigo ou executvel que manipulado, produzido ou consumido

Responsveis:
representam perfis ou papis (ex: gerente de projeto, analista, programador...)

Stakeholder:
cliente

Milestone:
ponto de controle

O ciclo de vida dividido em 4 fases e cada fase dividida em iteraes


Prof. Dr. Hellinton H. Takada UNIFAI

RUP Exemplos de Workflows e Modelos

Prof. Dr. Hellinton H. Takada UNIFAI

32

01/07/2012

RUP Fase de Concepo


Objetivos:
Visa entender o escopo geral do projeto e os seus objetivos Colher informaes sobre o que deve ser feito Decidir sobre a continuidade do projeto

Prof. Dr. Hellinton H. Takada UNIFAI

RUP Fase de Concepo


Atividades Essenciais:
Entender o que produzir Identificar os pontos chave do sistema Determinar no mnimo uma soluo possvel Planejar custos, agenda e riscos Decidir qual processo seguir e quais ferramentas OBS: Podem (devem) ser feitos em paralelo
Prof. Dr. Hellinton H. Takada UNIFAI

33

01/07/2012

RUP Fase de Concepo


Atividades Essenciais:
Todos devem ter o mesmo entendimento sobre o que ser construdo Passos:
Validar uma Viso de alto nvel Prover uma descrio mile-wide, inch-deep do sistema Detalhar Atores e Casos de Uso
Prof. Dr. Hellinton H. Takada UNIFAI

RUP Fase de Concepo


Atividades Essenciais:
Produzindo uma Viso
Descrio geral do sistema Deve Conter
Benefcios da aplicao e oportunidades que a mesma poder gerar Os problemas que a mesma ir resolver Quem so os usurios-alvo Em termos gerais, o que a aplicao dever fazer Requisitos no funcionais essenciais: SO e BD suportados, escalabilidade, etc., alm de licena e preo

Prof. Dr. Hellinton H. Takada UNIFAI

34

01/07/2012

RUP Fase de Concepo


Atividades Essenciais:
Gerando uma descrio Mile-Wide, InchDeep
Identificar e descrever brevemente os atores e os casos de uso No entrar em detalhes Ateno especial para os casos de uso mais importantes Gerado aps Brainstorming ou Workshop
Prof. Dr. Hellinton H. Takada UNIFAI

RUP Fase de Concepo


Atividades Essenciais:
Brainstorms e Workshops
7 passos bsicos Comum limitar tempo em cada etapa Passo 1: Identificar mximo de atores Passo 2: Associar cada ator com caso de uso Passo 3: Relacionar interaes dos casos de uso com outros atores ou sistemas
Ao final gerado diagrama de casos de uso

Passo 4: Fazer breves descries de cada ator e use cases Passo 5: Criar um glossrio Passo 6: Revisar os casos de uso, baseado nas relaes do sistemas (com usurio ou outros sistemas) Passo 7: Identificar os casos de uso essenciais ou crticos
Prof. Dr. Hellinton H. Takada UNIFAI

35

01/07/2012

RUP Fase de Concepo


Atividades Essenciais:
Detalhando Atores Chave e Casos de Uso
Detalhar bastante os Atores e Casos de Uso identificados no ltimo passo do Brainstorm/Workshop

Prof. Dr. Hellinton H. Takada UNIFAI

RUP Fase de Concepo


Atividades Essenciais:
Identificar os Pontos-Chave do Sistema:
Identificar os Casos de Uso mais essenciais ou determinantes para a arquitetura a ser selecionada:
Ser gasto mais tempo nesses itens

Critrios para seleo:


Funcionalidade principal da aplicao e principais interfaces A funcionalidade DEVE ser entregue Funcionalidade cobre uma rea da arquitetura no coberta por nenhum outro caso de uso principal

Cerca de 20% de funcionalidades chave

Prof. Dr. Hellinton H. Takada UNIFAI

36

01/07/2012

RUP Fase de Concepo


Atividades Essenciais:
Identificar no Mnimo uma Soluo Possvel:
Identificar pelo menos uma possvel arquitetura para o desenvolvimento Verificar o nvel de risco e custo para utilizao das arquiteturas identificadas Ex.: Cliente x Servidor
2 camadas: Aplicao Cliente e BD 3 Camadas: Browser + Webserver + BD
Prof. Dr. Hellinton H. Takada UNIFAI

RUP Fase de Concepo


Atividades Essenciais:
Planejar Custos, Agenda e Riscos:
J foi entendido o que fazer Verificar a viabilidade Construir um Plano de Negcios para o projeto
Contm os custos estimados, agenda e riscos do projeto Documento de valor econmico/monetrio

Prof. Dr. Hellinton H. Takada UNIFAI

37

01/07/2012

RUP Fase de Concepo


Atividades Essenciais:
Decidir qual ferramentas: processo seguir e quais

Escolha do processo: Como o software ser desenvolvido? Escolha das ferramentas a serem utilizadas

Prof. Dr. Hellinton H. Takada UNIFAI

RUP Fase de Concepo


Milestone Lifecycle Objective:
Ao fim da fase Inception gerado o primeiro Milestone do projeto. Checar com os objetivos definidos inicialmente: falhar, cancelar ou repensar o projeto
Stakeholder validam a definio do escopo e custo/prazo inicial Concordncia sobre a correta obteno e entendimento dos requisitos do sistema Concordncia com custo e prazo estimados, prioridades, riscos e processo de desenvolvimento Concordncia na identificao dos riscos iniciais e estratgias para atenu-los

Prof. Dr. Hellinton H. Takada UNIFAI

38

01/07/2012

RUP Fase de Concepo


Artefatos:
Viso Business Case Lista de Riscos Plano de Desenvolvimento de Software Plano de Iterao Development Case Ferramentas Glossrio Entre outros...
Prof. Dr. Hellinton H. Takada UNIFAI

RUP Fase de Concepo

Prof. Dr. Hellinton H. Takada UNIFAI

39

01/07/2012

RUP Fase de Elaborao


Objetivos:
Desenvolver a arquitetura do sistema Requisitos mais significantes Avaliao dos riscos

Prof. Dr. Hellinton H. Takada UNIFAI

RUP Fase de Elaborao


Atividades Essenciais:
Obtenha uma compreenso detalhada dos requisitos.
Casos de uso mais detalhados. Prottipos de interface validados pelo usurio. Glossrio.

Modele, implemente, valide e defina as linhas base da arquitetura.


Mais importantes blocos de construo, interfaces, decises de implementao e reuso. Descrio da interao dos blocos nos cenrios mais importantes Implementao e validao da arquitetura. Faa os casos de teste unitrios

Prof. Dr. Hellinton H. Takada UNIFAI

40

01/07/2012

RUP Fase de Elaborao


Atividades Essenciais:
Minimize os riscos essenciais e produza uma agenda mais precisa e estimativas de custo.
Requisitos detalhados. A implementao do esqueleto minimiza os problemas mais difceis. Os riscos j foram quase todos minimizados. Nessa fase a potencialidade da equipe e das ferramentas j pode ser avaliada

Refine o Development Case e o coloque em uso.


Esta etapa define o modo de usar o RUP.
Prof. Dr. Hellinton H. Takada UNIFAI

RUP Fase de Elaborao


Primeira Iterao:
Modele, implemente e teste cenrios crticos. Identifique e implemente alguns mecanismos arquiteturais. Faa um modelo preliminar da base de dados. Faa fluxos de eventos de metade dos casos de uso. Faa testes para identificar riscos arquiteturais e pequenas distores.

Prof. Dr. Hellinton H. Takada UNIFAI

41

01/07/2012

RUP Fase de Elaborao


Segunda Iterao:
Conserte o que no estava correto na primeira iterao. Modele, implemente e teste os cenrios arquiteturais mais significantes remanescentes. Esboce e implemente concorrncia, threads e distribuio fsica para identificar riscos de alta tecnologia. Modele, implemente e teste mecanismos arquiteturais novos. Modele e implemente uma verso preliminar da base de dados. Faa a outra parte dos fluxos de evento com os casos de uso que faltavam. Teste, valide e refine o modelo da arquitetura. Faa outras interaes at que este modelo esteja estvel.
Prof. Dr. Hellinton H. Takada UNIFAI

RUP Fase de Elaborao


Milestone Lifecycle Architecture:
A viso do sistema e os requisitos esto estveis? A arquitetura est estvel? As abordagens de teste e avaliao esto providas? Os testes e avaliaes de prottipos provam que os grandes riscos esto identificados e resolvidos? Os planos de iterao da Construo esto detalhados e fiis para prover o trabalho ocorra? Todos os stakeholders concordam com a Viso corrente? Os custos da aplicao esto de acordo com os recursos disponveis?

Prof. Dr. Hellinton H. Takada UNIFAI

42

01/07/2012

RUP Fase de Elaborao


Artefatos:
Prottipos Lista de Risco Development Case Ferramentas Documento de Arquitetura Viso Plano de desenvolvimento de software Entre outros...
Prof. Dr. Hellinton H. Takada UNIFAI

RUP Fase Construo


Objetivos:
Minimizar custos de desenvolvimento Alcanar um determinado grau de paralelismo de desenvolvimento Desenvolver iterativamente um produto completo que esteja pronto para a transio

Prof. Dr. Hellinton H. Takada UNIFAI

43

01/07/2012

RUP Fase Construo


Atividades Essenciais:
Descrever Casos de Uso remanescentes Completar o projeto de componentes e subsistemas Completar o projeto do banco de dados Implementar e fazer testes de unidade Integrao e testes do sistema Feedback dos clientes Pre-release e verso final do sistema

Prof. Dr. Hellinton H. Takada UNIFAI

RUP Fase Construo


Iteraes:
Geralmente de 2 a 4 Plano de iterao guiado pelos casos de uso Implementar os casos de uso mais importantes para os clientes Procurar eliminar os maiores riscos Identificar e implementar os componentes que precisam colaborar para prover as funcionalidades

Prof. Dr. Hellinton H. Takada UNIFAI

44

01/07/2012

RUP Fase Construo


Milestone Initial Operational Capability:
O produto estvel e maduro o suficiente para ser implantado na comunidade do usurio? Todos os clientes esto prontos para a transio? Os recursos atuais despendidos so coerentes com os previstos?
Prof. Dr. Hellinton H. Takada UNIFAI

RUP Fase Construo


Artefatos:
O Sistema Plano de Implantao Conjunto de Testes Aplicados Material de Treinamento Modelo de Implementao Modelo de Dados
Prof. Dr. Hellinton H. Takada UNIFAI

45

01/07/2012

RUP Fase de Transio


Objetivos:
Validar o sistema de acordo com a especificao do usurio Treinar usurios e mantenedores Preparar o local de implantao ... Assegurar disponibilidade do software para os usurios finais
Prof. Dr. Hellinton H. Takada UNIFAI

RUP Fase de Transio


Atividades Essenciais:
Executar planos de deployment Finalizar material de suporte ao usurio Testar, no ambiente de desenvolvimento, o produto pronto para entrega Gerar release do produto (beta) Coletar informao de feedback do usurio Ajustar o produto de acordo com o feedback Disponibilizar o produto para os usurios finais
Prof. Dr. Hellinton H. Takada UNIFAI

46

01/07/2012

RUP Fase de Transio


Iterao:
Requisitos, anlise e projeto
Requisitos estveis (frozen) Alteraes entendidas e controladas Anlise e projeto: integridade arquitetural

Implementao
Base no feedback (correo de defeitos)

Prof. Dr. Hellinton H. Takada UNIFAI

RUP Fase de Transio


Milestone: Product Release:
Critrios:
O usurio est satisfeito? Os recursos que o sistema est utilizando so aceitveis de acordo com o planejado anteriormente?

Prof. Dr. Hellinton H. Takada UNIFAI

47

01/07/2012

RUP Fase de Transio


Artefatos:
Produto Notas de release Artefatos de instalao Material para treinamento Material de suporte ao usurio final

Prof. Dr. Hellinton H. Takada UNIFAI

RUP Gesto de Atividades

Prof. Dr. Hellinton H. Takada UNIFAI

48

01/07/2012

RUP Gesto de Verses

Prof. Dr. Hellinton H. Takada UNIFAI

Plano de Iteraes

Prof. Dr. Hellinton H. Takada UNIFAI

49

01/07/2012

Trabalho em Grupo: Documentao RUP de Sistema ERP


Seguir a metodologia RUP e preparar todos os artefatos citados nesta apresentao para o sistema ERP do trabalho. Os modelos para os artefatos RUP podem ser encontrados no Site do RUP em Portugus.
Prof. Dr. Hellinton H. Takada UNIFAI

Qualidade em TI AULA 6
Prof. Dr. Hellinton H. Takada

UNIFAI

50

01/07/2012

Qualidade da Informao
Dimenso: tempo
Prontido: fornecida quando necessria. Atualizao: atualizada quando fornecida. Freqncia: no nmero de vezes necessrias. Perodo: fornecida sobre perodos desejados.

Dimenso: Contedo
Preciso: isenta de erros. Relevncia: atender s necessidades do receptor. Integridade: fornecida de forma completa. Conciso: apenas a informao necessria. Amplitude: alcance e foco de acordo com a demanda. Desempenho: mensurao de atividades concludas, progresso realizado.

Dimenso: Forma
Clareza: fcil de compreender. Detalhe: no grau de detalhe desejado. Ordem: na seqncia desejada. Apresentao: narrativa, numrica, grfica, ... Mdia: impressa, eletrnica, vdeo, ...
Prof. Dr. Hellinton H. Takada UNIFAI

Sumrio
Introduo Qualidade de Software ISO/IEC Qualidade de Processo Norma ISO 9000-3 Norma ISO/IEC 12207 Qualidade de Produto Norma ISO/IEC 9126 Norma ISO/IEC 14598 Norma ISO/IEC 12119 Concluso Referncias Bibliogrficas

Prof. Dr. Hellinton H. Takada UNIFAI

51

01/07/2012

Qualidade de Software
Software de qualidade fcil de usar, funciona corretamente, de fcil manuteno e mantm a integridade dos dados em falhas do ambiente ou outras fora do seu controle. Desenvolver software um esforo coletivo, complexo e criativo e sua qualidade depende das pessoas, da organizao e dos procedimentos usados em seu desenvolvimento. (Fuggetta, 2000)

Prof. Dr. Hellinton H. Takada UNIFAI

Qualidade de Software
Segundo Pfleeger(1998), existem diferentes descries sobre Qualidade de Software : viso transcendental: algo que se reconhece mas no se define; viso do usurio: atingir os objetos; viso da manufatura: relacionada s caractersticas do produto; viso com base no valor: depende do valor que o cliente est disposto a pagar por ela.
Prof. Dr. Hellinton H. Takada UNIFAI

52

01/07/2012

Qualidade de Software

Qualidade do Processo

Software

Qualidade do Produto

Prof. Dr. Hellinton H. Takada UNIFAI

ISO/IEC
A ISO (International Organization for Standardization) uma associao internacional no-governamental que objetiva promover o desenvolvimento de padronizao, no mundo inteiro, no sentido de facilitar o intercmbio de bens e servios entre os povos. Os padres da ISO estabelecem especificaes tcnicas, regras e critrios, e definem caractersticas para garantir que produtos, servios ou processos sejam adequados a seus propsitos. A IEC (International Electrotechnical Comission) atua juntamente com a ISO na rea da tecnologia da informao.
Prof. Dr. Hellinton H. Takada UNIFAI

53

01/07/2012

Qualidade de Processo
Uma das grandes evolues no estudo da qualidade foi a percepo de que a Qualidade do Produto importante, mas que a Qualidade do Processo de produo ainda mais. No caso, por exemplo, de uma refeio, pode se dizer mais sobre sua qualidade observando como ela foi preparada, do que analisando o produto final. Afinal, no se consegue ter certeza de sua higiene ou valor nutricional apenas saboreando-a. Atualmente, muitas instituies se preocupam em criar normas visando a adequada definio e aplicao dos processos envolvidos no ciclo de vida de um software, entre elas: ISO 9000-3, ISO/IEC 12207, CMM, SPICE, etc.
Prof. Dr. Hellinton H. Takada UNIFAI

Norma ISO 9000-3


Trata-se de um guia para aplicao da norma ISO 9001 para o desenvolvimento, fornecimento e manuteno de softwares. dividida em trs partes: Estrutura: qualidade na organizao; Atividades do ciclo de vida: desenvolvimento de software; Atividades de suporte: apoio s atividades do ciclo de vida.

Prof. Dr. Hellinton H. Takada UNIFAI

54

01/07/2012

Norma ISO/IEC 12207


De acordo com a norma ISO/IEC 12207, os processos relacionados ao ciclo de vida de um software podem ser distinguidos em: processos fundamentais: atendem ao desenvolvimento, operao ou manuteno do software; processos de apoio: auxiliam um outro processo como uma parte integrante; processos organizacionais: estabelecem e implementam uma estrutura subjacente e melhoram continuamente a estrutura e os processos.
Prof. Dr. Hellinton H. Takada UNIFAI

Norma ISO/IEC 12207


Processos Fundamentais
Aquisio Fornecimento Operao Desenvolviment o Manuteno

Processos de Apoio
Documentao Gerncia de Configurao Garantia da Qualidade Verificao Validao Reviso Conjunta Auditoria Resoluo de Problemas Adaptao

Processos Organizacionais
Gerncia Infra-Estrutura
Prof. Dr. Hellinton H. Takada UNIFAI

Melhoria

Treinamento

55

01/07/2012

Norma ISO/IEC 12207


Processos Fundamentais Aquisio: Iniciao, preparao de pedido de proposta, preparao e atualizao do contrato, monitoramento do fornecedor e aceitao. Fornecimento: Iniciao, preparao da resposta, contrato, planejamento, execuo e controle, reviso e avaliao, entrega. Desenvolvimento: Implementao de um processo, anlise de requisitos do sistema, projeto arquitetural do sistema, anlise dos requisitos do software, projeto arquitetural do software, projeto detalhado do software, codificao e teste, integrao, teste de qualificao, instalao e apoio aceitao do software.

Prof. Dr. Hellinton H. Takada UNIFAI

Norma ISO/IEC 12207


Operao: Implementao do projeto, teste operacional, operao do sistema e suporte ao usurio; Manuteno: Causas e categorias, implementao do processo, anlise do problema e da modificao, implementao da modificao, reviso/aceitao, migrao e descontinuao do software.

Prof. Dr. Hellinton H. Takada UNIFAI

56

01/07/2012

Norma ISO/IEC 12207


Processos de Apoio:
Documentao: Implementao do processo, projeto e desenvolvimento, produo e manuteno; Gerncia de Configurao: Implementao do processo, identificao da configurao, controle da configurao, relato da situao, avaliao da configurao, gerncia da liberao e entrega; Garantia de Qualidade: Implementao do processo, garantia do produto, garantia do processo, sistema de garantia da qualidade;
Prof. Dr. Hellinton H. Takada UNIFAI

Normas ISO/IEC 12207


Verificao; Validao; Reviso Conjunta; Auditoria; Resoluo de Problemas. Processos Organizacionais: Gerncia: Gerncia, modelo de gerncia, prticas gerncias; Infra-Estrutura; Melhoria; Treinamento. Processo de Adaptao
Prof. Dr. Hellinton H. Takada UNIFAI

57

01/07/2012

SPICE
SPICE (Software Process Improvement and Capability dEtermination) o nome do projeto de elaborao da futura norma ISO/IEC 15504 para avaliao de processos de software que tem dois objetivos: melhorias de processos e determinao da capacidade de processos de uma organizao.

Prof. Dr. Hellinton H. Takada UNIFAI

Qualidade de Produto
Pode ser entendida como um somatrio de sua qualidade externa, que deve estar explicitamente definida na especificao de requisitos do projeto, e sua qualidade interna, que so atributos geralmente acrescentados pela empresa. Os aspectos tcnicos para avaliao da qualidade do produto de software so abordados em trs normas: ISO/IEC 9126: Caractersticas de qualidade de software; ISO/IEC 14598: Guias para avaliao de produtos de software; ISO/IEC 12119: Requisitos de qualidade e testes de pacotes de software.
Prof. Dr. Hellinton H. Takada UNIFAI

58

01/07/2012

Norma ISO/IEC 9126


O padro ISO/IEC 9126 prope caractersticas que um software deve possuir, diretrizes para o seu uso, bem como, subcaractersticas, para incentivar o uso na prtica desta padronizao de qualidade de produto de software. As caractersticas para este trabalho, representam os aspectos a serem analisados no produto e suas subcaractersticas, os itens de avaliao do aspecto.

Prof. Dr. Hellinton H. Takada UNIFAI

Norma ISO/IEC 9126


Caractersticas Subcaractersticas Adequao Funcionalidade O conjunto de funes satisfazem as necessidades explcitas e implcitas para a finalidade a que se destina o produto? Acurcia Interoperabilidade Segurana de Acesso Significado
Prope-se a fazer o que apropriado? Gera resultados corretos ou conforme acordados? capaz de interagir com os sistemas especificados? Evita acesso no autorizado, acidental ou deliberado a programas e dados? Est de acordo com normas e convenes previstas em leis e descries similares?

Conformidade
Prof. Dr. Hellinton H. Takada UNIFAI

59

01/07/2012

Norma ISO/IEC 9126


Confiabilidade
O desempenho se mantm ao longo do tempo e em condies estabelecidas? Maturidade Tolerncia a falhas Recuperabilidade Inteligibilidade
Com que freqncia apresenta falhas? Ocorrendo falhas como ele reage? capaz de recuperar dados aps uma falha? fcil entender os conceitos utilizados? fcil aprender a usar? fcil de operar e controlar a operao?

Usabilidade
fcil utilizar o software? Apreensibilidade Operacionalidade
Prof. Dr. Hellinton H. Takada UNIFAI

Norma ISO/IEC 9126


Eficincia Os recursos e tempos utilizados so compatveis com o nvel de desempenho requerido para o produto? Comportamento em relao ao tempo Comportamento em relao aos recursos
Qual o tempo de resposta e de processamento?

Quanto recurso utiliza?

Analisabilidade Manutenibilidade Modificabilidade H facilidade para correes, atualizaes e alteraes? Estabilidade Testabilidade
Prof. Dr. Hellinton H. Takada UNIFAI

fcil encontrar uma falha quando ocorre? fcil modificar e remover defeitos? H grandes riscos de bugs quando se faz alteraes? fcil testar quando se faz alteraes?

60

01/07/2012

Norma ISO/IEC 9126


Adaptabilidade Portabilidade possvel utilizar o produto em diversas plataformas com pequeno esforo de adaptao? Capacidade para ser instalado Capacidade para substituir Conformidade
Prof. Dr. Hellinton H. Takada UNIFAI

fcil adaptar a outros ambientes sem aplicar outras aes ou meios alm dos fornecidos para esta finalidade no software considerado? fcil instalar em outros ambientes? fcil substituir por outro software? Est de acordo com padres ou convenes de portabilidade?

Norma ISO/IEC 14598


Essa norma composta de um grupo de guias que servem de apoio ao planejamento e ao controle de uma avaliao da qualidade de produtos de software. Deve ser utilizada em conjunto com a srie ISO/IEC 9126. Essa norma composta de: ISO/IEC 14598-1: Viso Geral viso geral da estrutura da norma e do processo de avaliao; ISO/IEC 14598-2: Planejamento e Gesto composta das atividades de planejamento de gerenciamento do processo de avaliao; ISO/IEC 14598-3: Processo para Desenvolvedores composta das atividades de avaliaes que devero ser feitas durante o processo de desenvolvimento de softwares;

Prof. Dr. Hellinton H. Takada UNIFAI

61

01/07/2012

Norma ISO/IEC 14598


ISO/IEC 14598-4: Processo para adquirentes composta das atividades de avaliaes que devero ser feitas durante um processo de compra de softwares; ISO/IEC 14598-5: Processos para avaliadores ciclo de vida de avaliao e suas atividades; ISO/IEC 14598-6: Documentao de mtodos de avaliao pacotes de mtodos e dispositivos de apoio aos processos de avaliao do desenvolvedor, do comprador e do avaliador.

Prof. Dr. Hellinton H. Takada UNIFAI

Norma ISO/IEC 12119


A norma ISO/IEC 12119 estabelece quais os requisitos de qualidade de um software tipo pacote e fornece instrues para testar esse software em relao aos requisitos definidos. Quanto aos subdivididos em: requisitos de qualidade, eles so

Requisitos de descrio do produto; Requisitos da documentao ao usurio; Requisitos dos programas e dados.

Prof. Dr. Hellinton H. Takada UNIFAI

62

01/07/2012

Norma ISO/IEC 12119


Quanto s instrues para teste: Fase de pr-requisitos para teste; Fase de atividade de teste; Fase de registros e relatrios de teste; Fase de teste de acompanhamento.

Prof. Dr. Hellinton H. Takada UNIFAI

Trabalho em Grupo:
Estabelecer um mapeamento entre as normas de qualidade e o RUP em termos fases em que eles deveriam ser aplicados. Desenvolver documento descrevendo como aplicar as normas de qualidade vistas juntamente com o RUP.

Prof. Dr. Hellinton H. Takada UNIFAI

63

01/07/2012

Governana de TI COBIT e ITIL AULA 7


Prof. Dr. Hellinton H. Takada

UNIFAI

Governana de TI
Motivao:

Prof. Dr. Hellinton H. Takada UNIFAI

64

01/07/2012

Governana de TI
Conceito:
Governana = Sistema de Administrao Governana Corporativa =
Para que serve? O que ? Prticas e relacionamentos entre: Otimizar o desempenho das empresas Acionistas/Cotistas Facilitar o acesso ao Conselho de administrao capital Diretoria Obter negcios de Auditoria independente qualidade, lucrativos e Conselho fiscal bem administrados
Prof. Dr. Hellinton H. Takada UNIFAI

Governana de TI
Conceito:
Governana de TI
Trata-se de um tipo de Governana Corporativa responsabilidade da Alta Administrao e consiste de estrutura organizacional, processos e lideranas para garantir que a TI sustente e auxilie as estratgias e os objetivos da organizao. Funes de TI:
Sistemas e aplicaes Infra-estrutura e produo Garantia de qualidade Segurana Compliance (Obedincia) Auditoria de sistemas
Prof. Dr. Hellinton H. Takada UNIFAI

65

01/07/2012

Governana de TI
Metodologias:
ITIL / BS15000 COBIT ISO 17799 / BS7799 MOF ...

Prof. Dr. Hellinton H. Takada UNIFAI

Governana de TI
Cases:
Procter&Gamble
Adotou ITIL em 1997 Economizou US$ 500 milhes em 4 anos:
6 a 8% em corte de custos operacionais 15 a 20% em reduo de staff de tecnologia

Governo de Ontrio, Canad


Adotou ITIL para melhorar o servio de 25.000 usurios em 1.000 locais Criou um service-desk que melhorou a resposta e reduziu os custos com chamados em 40%
Prof. Dr. Hellinton H. Takada UNIFAI

66

01/07/2012

Governana de TI
Cases:
Estado de Kansas, USA
Usa os padres do COBIT na sua estratgia de governo virtual para reduzir custos e manter o nvel de servio consistente

Dell Computer
Usa o COBIT como parte da sua poltica corporativa Control Self-Assesment (CSA), um conjunto de controles e verificaes que ajudam a companhia a manter sua alta qualidade

Prof. Dr. Hellinton H. Takada UNIFAI

Governana de TI
Cases:
ABN Amro
Iniciou ITIL em 2001 datacenter e implantao de equipamentos do banco, incluindo agncias Deve estar concludo em 2005 Centralizao do help-desk: aumento de chamados de 20.000 para 60.000 (aumentou o controle, no os chamados) Tempo de atendimento reduzido em 20% Volume de reclamaes reduzido em 80% 94% dos atendimentos completados em menos de 20 segundos
Prof. Dr. Hellinton H. Takada UNIFAI

67

01/07/2012

Governana de TI
ITIL (IT Infrastructure Library)
Criado em 1980 e transferido ao OGC (Office of Government Commerce) do governo britnico Revisado e reorganizado em 2002 Estrutura de padres e melhores prticas para gerenciar os servios e infra-estrutura de TI Altamente integrado norma BS15000 (British Standards Institutions Standard for IT Service Management)
Prof. Dr. Hellinton H. Takada UNIFAI

Governana de TI
BS15000
Integra-se ao ITIL e complementa-o BSi BS15000:2002 - IT Service Management Specification for Service Management BSi BS15000:2003 - IT Service Management Code of Practice for Service Management BSi PD0005:2003 - IT Service Management - A Managers Guide BSi PD0015:2002 - IT Service Management Self Assessment Workbook
Prof. Dr. Hellinton H. Takada UNIFAI

68

01/07/2012

Governana de TI
Outros Produtos relacionados ao ITIL
HP
HP ITSM deriva do ITIL Suportado pelo OpenView

IBM
ITM-PI deriva do ITIL Criado pela PriceWaterhouseCoopers Suportado pelo Tivoli

CA
Unicenter aderente ao ITIL

Pink Elephant certifica aderncia ao ITIL


Prof. Dr. Hellinton H. Takada UNIFAI

Governana de TI
ISO 17799
Origem: BS 7799 - Reino Unido NBR ISO 17799:2000 -Brasil/Internacional Definem um conjunto de boas prticas de gesto da segurana Servem de base s polticas de segurana Seus controles permitem a auditoria de segurana de informaes
Prof. Dr. Hellinton H. Takada UNIFAI

69

01/07/2012

Governana de TI
Mdulos da ISO 17799
Poltica de Segurana Organizao da Segurana Classificao e Controle de Ativos Segurana de Pessoal Segurana Fsica e Ambiental Gerenciamento de Comunicaes e Operaes Controle de Acesso Desenvolvimento e Manuteno de Software Planejamento de Continuidade de Negcios Compliance
Prof. Dr. Hellinton H. Takada UNIFAI

Governana de TI
MOF MSF e MSM
Frameworks criados pela Microsoft para gerenciamento interno e de parceiros, posteriormente estendido a clientes MOF Microsoft Operations Framework
Guia para planejamento, implementao, e manuteno de processos operacionais de TI para solues de servio de misso critica baseado no ITIL

MSF Microsoft Solutions Framework


Guia para projetos de tecnologia

MSM Microsoft Solutions for Management


Melhores prticas para servios de implementao e automao
Prof. Dr. Hellinton H. Takada UNIFAI

70

01/07/2012

Governana de TI
O que o COBIT? COBIT: Control OBjectives for Information and related Technology
um guia para Gesto e Controle da Tecnologia da Informao, organizado por Processos. Foi desenvolvido pela ISACA, sendo mantido pelo IT Governance Institute. um conjunto de estruturas e processos que visam garantir que a TI suporte e maximize, adequadamente, os objetivos e estratgias de negcios da organizao.
Prof. Dr. Hellinton H. Takada UNIFAI

Governana de TI
Objetivos do COBIT
Ser um padro geralmente aceito e de aplicao das melhores prticas de governana de TI Aplicar as melhores prticas a partir de uma matriz de domnios, processos e atividades estruturados de forma lgica e gerencivel Auxiliar na associao entre os riscos do negcio, as necessidades de controle e os aspectos tecnolgicos.
Prof. Dr. Hellinton H. Takada UNIFAI

71

01/07/2012

Governana de TI
Origem do COBIT
Focado em governana, controle e auditoria de tecnologia da informao Criado e mantido pelo ISACA Information Systems Audit and Control Association A ISACA mantm o K-NET, um repositrio de conhecimento para os associados e o IT Governance Institute para difuso dos conceitos Est na 4 edio
Prof. Dr. Hellinton H. Takada UNIFAI

Governana de TI
Histrico do COBIT
COBIT 4rd Edition (2005): Melhoria dos controles para assegurar a segurana e disponibilidade dos ativos de TI na Organizao Sarbanes-Oxley Act (2002): O Sarbanes-Oxley Act foi aprovado. Este acontecimento teve um impacto significativo na adoo do COBIT nos Estados Unidos da Amrica e empresas globais que atua nos EUA COBIT 3rd Edition (2000): ITGI - IT Governance Institute incluir normas e guias associadas gesto. O ITGI passa a ser o principal editor da framework COBIT 2nd Edition (1998): Inclui uma ferramenta de suporte implementao e a especificao de objetivos de alto nvel e de detalhe COBIT 1st Edition (1996): ISACA Information Systems Audit and Control Association lana o conjunto de objetivos de controle para as aplicaes de negcio Control Objectives, editado pela EDP Auditors Foundation (em 1986/87 a E.D.P.A.A. So Paulo Chapter, atual ABAS, traduziu, publicou e distribuiu os Objetivos de Controle aos seus associados)
Prof. Dr. Hellinton H. Takada UNIFAI

72

01/07/2012

Governana de TI
Pblico-alvo do COBIT
Administradores de TI: para os auxiliar na ponderao entre riscos e investimentos em controles e na gesto de um ambiente imprevisvel como o de TI Administradores de Segurana: para os auxiliar na certificao da segurana e dos controles dos servios de TI fornecidos internamente ou por terceiros Auditores de Sistemas: para os auxiliar com subsdios s suas opinies e/ou no aconselhamento aos administradores sobre os controles internos na rea de TI
Prof. Dr. Hellinton H. Takada UNIFAI

Governana de TI
Estrutura do COBIT
COBIT

ESTRUTURA DO COBIT

DIRETRIZES GERENCIAIS

OBJETIVOS DE CONTROLE DETALHADOS

DIRETRIZES DE AUDITORIA

MODELOS DE MATURIDADE

FATORES CRTICOS DE SUCESSO

INDICADORES CHAVES DE METAS

INDICADORES CHAVES DE DESEMPENHO

Prof. Dr. Hellinton H. Takada UNIFAI

73

01/07/2012

Governana de TI
Componentes do COBIT
Publicaes/Manuais Principais:
Executive Summary Framework Control Objectives Audit Guidelines Management Guidelines

Certificao:
CISA Certified Information Systems Auditor CISM Certified Information Security Manager

Prof. Dr. Hellinton H. Takada UNIFAI

Governana de TI
Executive Summary Framework

Publicaes/Manuais Principais do COBIT


COBIT
Detailed Control Objectives Audit Guidelines

ESTRUTURA DO COBIT

Management Guidelines
DIRETRIZES GERENCIAIS OBJETIVOS DE CONTROLE DETALHADOS DIRETRIZES DE AUDITORIA

MODELOS DE MATURIDADE

FATORES CRTICOS DE SUCESSO

INDICADORES CHAVES DE METAS

INDICADORES CHAVES DE DESEMPENHO

Prof. Dr. Hellinton H. Takada UNIFAI

74

01/07/2012

Governana de TI
Estrutura do COBIT
4 domnios
Planejamento e Organizao Aquisio e Implementao Entrega e Suporte Monitoramento

34 objetivos de controle de alto nvel 318 objetivos de controle detalhados

Prof. Dr. Hellinton H. Takada UNIFAI

Governana de TI
M1 M2 M3 M4 monitorar os processos avaliar a adequao do controle interno obter certificao independente providenciar auditoria independente

Domnios e Objetivos de Alto Nvel do COBIT


PLANEJAMENTO E ORGANIZAO
PO1 definir um plano estratgico de TI PO2 definir a arquitetura de informao PO3 determinar a direo tecnolgica PO4 definir a organizao e relacionamentos da TI PO5 gerenciar o investimento em TI PO6 comunicar metas e diretivas gerenciais PO7 gerenciar recursos humanos PO8 garantir cumprimento de exigncias externas PO9 avaliar riscos PO10 gerenciar projetos PO11 gerenciar qualidade

MONITORAO

AQUISIO E IMPLEMENTAO

DS1 definir nveis de servios DS2 gerenciar servios de terceiros DS3 gerenciar performance e capacidade DS4 garantir continuidade dos servios DS5 garantir segurana dos sistemas DS6 identificar e alocar custos DS7 educar e treinar usurios DS8 auxiliar e aconselhar usurios de TI DS9 gerenciar a configurao DS10 gerenciar problemas e incidentes DS11 gerenciar dados DS12 gerenciar instalaes DS13 gerenciar a operao

PRODUO E SUPORTE

AI1 AI2 AI3 AI4 AI5 AI6

identificar solues adquirir e manter software aplicativo adquirir e manter arquitetura tecnolgica desenvolver e manter procedimentos de TI instalar e certificar sistemas gerenciar mudanas

Prof. Dr. Hellinton H. Takada UNIFAI

75

01/07/2012

Governana de TI
Viso Geral do COBIT
RECURSOS DE T I PLANEJAMENTO & ORGANIZAO AQUISIO & IMPLEMENTAO PRODUO & SUPORTE MONITORAO & CONTROLE

REQUISITOS DE NEGCIO

PROCESSOS DE T I 34 OBJETIVOS DE CONTROLE DE ALTO NVEL


DOMNIOS DE GOVERNANA

Prof. Dr. Hellinton H. Takada UNIFAI

Governana de TI
RECURSOS DE T I

Viso Geral do COBIT


OBJETIVOS DE CONTROLE DETALHADOS

OBJETIVOS DE NEGCIO

INFORMAO

REQUISITOS DE NEGCIO

DIRETRIZES DE AUDITORIA

PROCESSOS DE T I 34 OBJETIVOS DE CONTROLE DE ALTO NVEL


DOMNIOS DE GOVERNANA DIRETRIZES GERENCIAIS

Prof. Dr. Hellinton H. Takada UNIFAI

76

01/07/2012

Governana de TI
Viso Geral do COBIT
RECURSOS DE T I

PESSOAL SISTEMAS DADOS TECNOLOGIA INSTALAES

REQUISITOS DE NEGCIO

PROCESSOS DE T I 34 OBJETIVOS DE CONTROLE DE ALTO NVEL


DOMNIOS DE GOVERNANA

Prof. Dr. Hellinton H. Takada UNIFAI

Governana de TI
Recursos de TI do COBIT
PESSOAL: Inclui perfil funcional da equipe, formao e capacitao profissional, quadro de pessoal interno e externo, cargos, atribuies e responsabilidades SISTEMAS: So entendidos como conjuntos de processos manuais e/ou informatizados DADOS: So objetos de dados, incluindo imagens, sons etc., armazenados na forma de arquivos ou bancos de dados TECNOLOGIA: Inclui todos os recursos de hardware e software do ambiente tecnolgico INSTALAES: Inclui todas as instalaes para acolher e suportar os recursos tecnolgicos, o pessoal e os sistemas de informao
Prof. Dr. Hellinton H. Takada UNIFAI

77

01/07/2012

Governana de TI
RECURSOS DE T I

Viso Geral do COBIT

REQUISITOS DE NEGCIO

PROCESSOS DE T I 34 OBJETIVOS DE CONTROLE DE ALTO NVEL


DOMNIOS DE GOVERNANA

QUALIDADE CONFIANA SEGURANA

Prof. Dr. Hellinton H. Takada UNIFAI

Governana de TI

Requisitos de Negcios do COBIT

QUALIDADE: os requisitos de negcio no tocante a qualidade so medidos por 7 critrios da informao, que podem ser subdivididos em 4 de confiana e 3 de segurana CONFIANA: os requisitos de negcio no tocante a confiana so medidos pelos critrios:
Eficcia, Eficincia, Confiabilidade e Conformidade

SEGURANA: os requisitos de negcio no tocante a segurana so medidos pelos critrios:


Confidencialidade, Integridade e Disponibilidade
Prof. Dr. Hellinton H. Takada UNIFAI

78

01/07/2012

Governana de TI

Critrios da Informao: Confiana

EFICCIA: Trata da informao que est sendo relevante e pertinente ao processo do negcio, bem como que esteja sendo entregue de um modo oportuno, correto, consistente e til EFICINCIA: Diz respeito proviso da informao atravs do uso timo (mais produtivo e econmico) dos recursos. Custo CONFIABILIDADE: Relaciona-se proviso de informao apropriada para a gerncia operar a entidade e para a gerncia exercer suas responsabilidades de relatar aspectos de conformidade e financeiros CONFORMIDADE: Trata do cumprimento das leis, dos regulamentos e arranjos contratuais aos quais o processo de negcio est sujeito, i.e., critrios de negcio impostos externamente

Prof. Dr. Hellinton H. Takada UNIFAI

Governana de TI
Critrios da Informao: Segurana
CONFIDENCIALIDADE: Diz respeito proteo da informao sigilosa contra a revelao no autorizada INTEGRIDADE: Relaciona-se exatido e inteireza da informao bem como sua validez de acordo com os valores e expectativas do negcio DISPONIBILIDADE: Relaciona-se informao que est sendo disponibilizada quando requerida pelo processo de negcio agora e no futuro. Tambm diz respeito salvaguarda dos recursos necessrios e s capacidades associadas. Entrega
Prof. Dr. Hellinton H. Takada UNIFAI

79

01/07/2012

Governana de TI
Viso Geral do COBIT
PLANEJAMENTO & ORGANIZAO
11 Processos de T I Definir PETI Gerenciar RH Gerenciar Projetos ...

RECURSOS DE T I

PRODUO & SUPORTE


13 Processos de T I Ger. Operaes Gerenciar Dados Ger. Configurao ...

AQUISIO & IMPLEMENTAO


6 Processos de T I Adquirir Software Manter Infra TI Homologar Sist. ...

REQUISITOS DE NEGCIO

MONITORAO & CONTROLE


4 Processos de T I Monitorar Proces. Avaliar Controles Prover Auditorias ...

PROCESSOS DE T I 34 OBJETIVOS DE CONTROLE DE ALTO NVEL


DOMNIOS DE GOVERNANA

Prof. Dr. Hellinton H. Takada UNIFAI

Governana de TI
Domnios do COBIT
PLANEJAMENTO & ORGANIZAO: Esse domnio cobre estratgia e ttica e diz respeito identificao da maneira que a TI pode melhor contribuir para o atendimento dos objetivos do negcio. Alm do mais, a realizao da viso estratgica precisa ser planejada, comunicada e gerenciada para diferentes perspectivas. Finalmente, uma organizao apropriada bem como uma infra-estrutura tecnolgica devem ser estabelecidas AQUISIO & IMPLEMENTAO: Para concretizar a estratgia de TI, solues de TI precisam ser identificadas, desenvolvidas ou adquiridas, bem como implementadas e integradas no processo do negcio. Adicionalmente, mudanas e manutenes nos sistemas existentes esto cobertas por este domnio para assegurar que o ciclo; o de vida continue para esses sistemas
Prof. Dr. Hellinton H. Takada UNIFAI

80

01/07/2012

Governana de TI
Domnios do COBIT
PRODUO & SUPORTE: Esse domnio se preocupa com as entregas reais dos servios requeridos que abrangem as operaes tradicionais sobre aspectos de segurana e continuidade at treinamento. A fim de entregar servios, os processos necessrios de suporte devem ser estabelecidos. Esse domnio inclui o processamento real de dados pelos sistemas aplicativos, freqentemente classificados como controles de aplicaes MONITORAO & CONTROLE: Todos os processos de TI precisam ser regularmente avaliados ao longo do tempo com relao a sua qualidade e conformidade com os requisitos de controle. Esse domnio desse modo enderea o processo de controle dos descuidos da organizao por parte da gerncia e garantia independente dada por auditorias internas externas ou obtida de fontes alternativas
Prof. Dr. Hellinton H. Takada UNIFAI

Governana de TI
COBIT - Metodologia

Prof. Dr. Hellinton H. Takada UNIFAI

81

01/07/2012

Governana de TI
COBIT - Metodologia
Motivos para instituir a Governana de TI

Prof. Dr. Hellinton H. Takada UNIFAI

Governana de TI
COBIT - Metodologia
Beneficirios

Prof. Dr. Hellinton H. Takada UNIFAI

82

01/07/2012

Governana de TI
COBIT - Metodologia
Trata-se de um modismo?

Prof. Dr. Hellinton H. Takada UNIFAI

Governana de TI
COBIT - Metodologia

Prof. Dr. Hellinton H. Takada UNIFAI

83

01/07/2012

Governana de TI

Plano de Continuidade de Negcios

(Business Continuity Plan - BCP) Baseado no COBIT, ITIL, MOF Deve garantir a continuidade dos negcios (com base na operao de TI) em caso de incidentes ou mesmo desastres totais Ser usado em caso de problemas deve ser simples, fcil de entender e deve estar disponvel s pessoas certas na hora certa um compromisso entre o nvel de garantia de continuidade e uso de recursos (pessoas, equipamentos, servios)
Prof. Dr. Hellinton H. Takada UNIFAI

Governana de TI
Gerenciamento de Continuidade
(Business Continuity Management - BCM) Gerenciamento de Continuidade de Negcios (BCM) um processo contnuo de avaliao de risco e gerenciamento com o objetivo de garantir que a operao do negcio continuar se os riscos se materializarem O centro o BCP - Plano de Continuidade de Negcios Deve envolver todos os interessados
Prof. Dr. Hellinton H. Takada UNIFAI

84

01/07/2012

Governana de TI

ITIL x COBIT x ISO17799

ITIL forte em processos de TI, mas limitado em segurana e desenvolvimento de sistemas COBIT - forte em controles de TI e mtricas de TI, mas no diz como (fluxos de processos) e fraco em segurana ISO17799 forte em controles de segurana, mas no diz como (fluxo de processos)

Prof. Dr. Hellinton H. Takada UNIFAI

Trabalho em Grupo:
Desenvolver documento com Processo de Implantao (Diretrizes) de Governana de TI com base no COBIT para a Empresa Cliente em estudo. A seguir apresenta-se um roteiro que dever ser seguido...

Prof. Dr. Hellinton H. Takada UNIFAI

85

01/07/2012

COBIT Roteiro
O CobIT identifica 34 processos de TI e os distribui em 4 domnios que representam os agrupamentos usuais existentes em uma organizaopadro de TI. Os processos representam objetivos de controle e so declaraes do resultado desejado ou do propsito a ser alcanado: 1. Planejamento e Organizao (PO) Identifica as formas em que a TI melhor contribui para atender aos objetivos de negcio. Envolve planejamento, comunicao e gerenciamento.
Processos Define o plano estratgico de TI. Define a arquitetura da informao. Determina a direo tecnolgica. Define a organizao de TI e seus relacionamentos. Gerencia os investimentos em TI. Gerencia a comunicao das direes de TI. Gerencia os recursos humanos. Assegura o alinhamento de TI com os reguladores externos. Avalia os riscos. Gerencia os projetos. Gerencia a qualidade.
Prof. Dr. Hellinton H. Takada UNIFAI

COBIT Roteiro
2. Aquisio e Implementao (AI) Identifica desenvolvimento e/ou aquisio de solues de TI para executar a estratgia de TI estabelecida.
Processos Identifica as solues de automao. Adquire e mantm os softwares. Adquire e mantm a infra-estrutura tecnolgica. Desenvolve e mantm os procedimentos. Instala e certifica os softwares. Gerencia as mudanas

Prof. Dr. Hellinton H. Takada UNIFAI

86

01/07/2012

COBIT Roteiro
3. Entrega e Suporte (DS) Entrega dos servios requeridos, inclui gerenciamento de segurana, suporte a usurios, gesto de dados e infra-estrutura operacional.
Processos Define e mantm os acordos de nveis de servio (SLA). Gerencia os servios de terceiros. Gerencia o desempenho e capacidade do ambiente. Assegura a continuidade dos servios. Assegura a segurana dos servios. Identifica e aloca custos. Treina os usurios. Assiste e aconselha os usurios. Gerencia a configurao. Gerencia os problemas e incidentes. Gerencia os dados. Gerencia a infra-estrutura. Gerencia as operaes.
Prof. Dr. Hellinton H. Takada UNIFAI

COBIT Roteiro
4. Monitorao e Avaliao (ME) Assegura a qualidade dos processos de TI e sua conformidade com os objetivos de controle. Usa mecanismos regulares de acompanhamento, monitorao de controles internos, avaliaes internas e externas.
Processos: Monitora os processos. Analisa a adequao dos controles internos. Prov auditorias independentes. Prov segurana independente.

Prof. Dr. Hellinton H. Takada UNIFAI

87

01/07/2012

Auditoria de SI AULA 8
Prof. Dr. Hellinton H. Takada

UNIFAI

Auditoria de Sistemas de Informao: Conceitos, objetivos, evoluo, importncia para os negcios, organizao, controle interno, Auditor, tendncias

UNIFAI

88

01/07/2012

Auditoria - Evoluo
Registros de origem babilnica de 3000 a.C Origem: Inglaterra por volta de 1314 (do ingls Audit and Auditor) Relacionada com a evoluo da auditoria de contabilidade e da auditoria tributria No Brasil a evoluo da Auditoria uma atividade recente com amplo crescimento no cenrio nacional, isso se deve :
Instalao de multinacionais Financiamento de empresas brasileiras atravs de entidades internacionais Crescimento das empresas brasileiras: necessidade de descentralizao e diversificao de suas atividades econmicas Normas de auditoria do Banco Central do Brasil em 1972
Prof. Dr. Hellinton H. Takada UNIFAI

Auditoria de SI Fatores de crescimento


Fatores de crescimento da Auditoria de Sistemas
Participao da TI nas atividades das organizaes Computadores e infra-estrutura de rede permitem evoluo dos negcios, do sustentao aos servios tecnolgicos
Estaes, servidores, redes locais, centralizao de informaes, automao de escritrios e comrcio

Necessidade de garantir a segurana dos computadores e seus sistemas Garantia do alcance da qualidade dos sistemas computadorizados Auxiliar a organizao a avaliar e validar o ciclo administrativo Prof. Dr. Hellinton H. Takada
UNIFAI

89

01/07/2012

Auditoria de Sistemas de Informao Conceitos 1/2


Reviso dos sitemas de informao para verificar se so realizadas as funes e operaes para as quais foram criados, assim como comprovar se os dados e demais informaes neles contidos correspondem aos princpios de confiabilidade, integridade, preciso e disponibilidade
IGAE - Inspeo-Geral das Atividades Econmicas
Prof. Dr. Hellinton H. Takada UNIFAI

Conceitos - 2/2
Validao e avaliao do controle interno do ambiente computadorizado Auditoria significa verificar o uso eficaz de todos os recursos disponveis (recursos humanos, materiais e tecnolgicos)
Alguns pontos identificados podem estar em descordo com as normas e necessitar de aes de correo que podero desagradar algumas pessoas. Por isso fala-se de Auditoria como um meio de "caa s bruxas".
Prof. Dr. Hellinton H. Takada UNIFAI

90

01/07/2012

Objetivos
Verificar a existncia de medidas de controle interno aplicveis a qualquer SI da instituio Avaliar a adequao do SI s diretrizes bsicas de uma boa gesto de informtica Oferecer uma descrio do SI com base nas suas especificaes funcionais e nos resultados que proporciona Verificar se o SI cumpre a legislao Verificar se a informao gerada pelo SI confivel, ntegra e precisa Determinar se o SI atinge os objetivos de forma eficaz e eficiente Propor recomendaes para que o SI se adapte s diretrizes essenciais para o seu bom funcionamento
Prof. Dr. Hellinton H. Takada UNIFAI

Tipos 1/2
Quanto ao objetivo
Auditorias com objetivos de confirmao focam a salvaguarda dos bens e a integridade da informao Auditorias com objetivos de gesto focam a eficcia e eficincia do SI

Quanto ao sujeito auditor


Interna rea interna da instituio Externa entidade externa organizao Articulada trabalho conjunto de auditorias internas e externas

Quanto amplitude
Geral obter viso geral da entidade auditada Parcial examinar um ou vrios setores, atividades, processos.
Prof. Dr. Hellinton H. Takada UNIFAI

91

01/07/2012

Tipos 2/2
Quanto periodicidade
Permanentes realizadas diversas vezes ao longo de um perodo Ocasionais ou nicas realizada ante a um imprevisto, ocasio especial De fim de exerccio examinar os documentos de prestao de contas

Quanto extenso e profundidade


Integrais ou completas so examinadas todas as operaes efetuadas durante um perodo Provas ou sondagens destinada a comprovar exatido de um certo nmero de registros, clculos ou lanamentos, escolhidos ao acaso
Prof. Dr. Hellinton H. Takada UNIFAI

reas de abrangncia
Abrange todas as reas de um departamento de TI: Sistemas em processamento batch Sistemas em processamento on-line Desenvolvimento de sistemas Desempenho dos sistemas Capacidade dos sistemas Sistemas financeiros Distribuio dos custos Coordenao de problemas Coordenao de mudanas Recuperao de desastre Rede de telecomunicao Segurana de informao Centro de computao Microcomputador

Prof. Dr. Hellinton H. Takada UNIFAI

92

01/07/2012

Controle Interno
uma funo administrativa que consiste no monitoramento de processos (normas e eventos), no seu planejamento, execuo e controle. Objetivo verificar a conformidade dos padres estabelecidos e detectar situaes de alarme que requeiram uma ao avaliativa detalhada e profunda. Na Auditoria de Sistemas dado nfase no controle interno dos processos computacionais e na administrao da TI para certificar a qualidade dos sistemas e dos processos.

Prof. Dr. Hellinton H. Takada UNIFAI

Controle Interno
Verificao dos seguintes parmetros: 1. Fidelidade da informao em relao ao dado 2. Segurana fsica 3. Segurana lgica 4. Confidencialidade 5. Legislao 6. Eficincia 7. Eficcia 8. Obedincia s polticas da alta administrao
AICPA American Institute of Certified Public Accountants
http://www.aicpa.org/
Prof. Dr. Hellinton H. Takada UNIFAI

93

01/07/2012

Auditor - Perfil
Pessoa ou departamento que foi designado pela alta administrao para examinar a eficcia dos sistemas de informao e apontar os pontos falhos. Caractersticas
tica profissional Conhecimento multidisciplinar em TI, controle interno e negcios
operao, produo, infra-estrutura a anlise de sistemas

Discrio Objetividade Raciocnio lgico Independente das reas para elaborao de relatrios Possuir organizao e planejamento

Conhecimentos do auditor devem ser constantemente renovados


Prof. Dr. Hellinton H. Takada UNIFAI

Auditor - Perfil
Auditar um micro independente requer muito menos tecnologia do que auditar uma rede de computadores Auditar uma rede com mainframe seria necessrio conhecer:
O funcionamento de um complexo sistema operacional, como as caractersticas de gerao de logs, aspectos de segurana A mecnica operacional do gerenciamento de rede e do banco de dados A estrutura de sistemas aplicativos altamente integrados e de processamento instantneo, com elevado nmero de operaes e dados processados
Prof. Dr. Hellinton H. Takada UNIFAI

94

01/07/2012

Auditor Cdigo de tica 1/2


ISACA - Information Systems Audit and Control Association Associao internacional formada exclusivamente por Profissionais que atuam nas reas de Auditoria de Sistemas, Segurana da Informao e, principalmente, de Governana de TI 140 Pases 50.000 associados em todo o mundo
Prof. Dr. Hellinton H. Takada UNIFAI

Cdigo de tica - 2/2


Membros e detentores de certificaes da ISACA devem:
Apoiar a implementao de, e encorajar a aderncia aos modelos, procedimentos e controles para os sistemas de informao. Desempenhar suas atividades com objetividade, dedicao e profissionalismo, de acordo com modelos profissionais e as melhores prticas. Servir aos interesses dos acionistas de forma honesta e legal, mantendo altos padres de conduta e carter e no se relacionando em atos desonrosos profisso. Manter a privacidade e a confidencialidade de informaes obtidas no curso de suas atividades, exceto quanto divulgao for solicitada por autoridade legal. Tais informaes no devem ser usadas em benefcio prprio ou disponibilizadas a terceiros. Manter competncia em seu respectivo campo de atuao e concordar em atuar apenas com as atividades onde tenha razovel expectativa de concluso com competncia profissional. Informar s partes competentes dos resultados obtidos no trabalho, revelando todos os fatos significativos. Apoiar a educao profissional dos acionistas no aumento de sua compreenso dos controles e segurana dos sistemas de informao.
Prof. Dr. Hellinton H. Takada UNIFAI

95

01/07/2012

Auditor - Formao
Conceituao de auditoria de sistemas Controle interno Atuao da auditoria de sistemas em sistemas em operao, em desenvolvimento, de Centro de Computao, etc. Produtos finais da auditoria de computador Mecnica de implantao das recomendaes da auditoria Postura do auditado durante a atuao de auditoria de computador
Prof. Dr. Hellinton H. Takada UNIFAI

Auditoria nas organizaes Independncia


Presidncia Executiva Auditoria de Sistemas

Diretoria Administrativa

Diretoria Financeira

Diretoria de Vendas

Diretoria de Informtica

Prof. Dr. Hellinton H. Takada UNIFAI

96

01/07/2012

Formas de atuao da Auditoria de Sistemas


1. Compreenso do ambiente a ser auditado, levantamento e documentaes. 2. Anlise do ambiente com a determinao das situaes mais sensveis. 3. Elaborao de uma massa de testes. 4. Aplicao da massa de testes 5. Anlise das simulaes e julgamento dos resultados alcanados.

Prof. Dr. Hellinton H. Takada UNIFAI

Formas de atuao da Auditoria de Sistemas


6. Emisso de opinio quanto ao ambiente auditado: Apresentao de recomendaes e sugesto de solues alternativas. 7. Debate com profissionais do ambiente auditado sobre as solues alternativas recomendadas para o alcance da soluo mais apropriada. 8. Acompanhamento da implantao da soluo proposta. 9. Novas auditorias de sistemas do ambiente empresarial.

Prof. Dr. Hellinton H. Takada UNIFAI

97

01/07/2012

Dificuldades
Defasagem tecnolgica da auditoria de sistemas em relao ao ambiente informatizado. Falta de profissionais no mercado Falta de cultura das empresas Tecnologia em constante movimentao
Desenvolvimento de comrcio eletrnico Aumento do nmero de transaes dirias Diminuio da interveno humana no processamento Evidncia pela validao cada vez menos possvel Novos aspectos da segurana e avaliao de riscos Novos modelos de desenvolvimento de software CMM/CMMI Gerncia de projetos PMI/PMBOK
Prof. Dr. Hellinton H. Takada UNIFAI

Necessidades
Fortalecimento das tcnicas de auditoria de sistemas para atuao em ambientes computacionais complexos Criao de metodologias de auditoria de sistemas Aplicao da tecnologia computacional para instrumental operacional de trabalho e como ferramenta de administrao das atividades das auditorias Estudo do custo/benefcio de auditoria de sistemas Critrios para formao e atuao do auditor de Prof. Dr. Hellinton H. Takada sistemas UNIFAI

98

01/07/2012

Tendncias da Auditoria de Sistemas

Ampliao dos servios das empresas de auditoria


Garantia das condies de venda, privacidade, segurana e assistncia ps-venda Certificao que os sistemas dessas empresas esto de acordo com as melhores prticas de conduta Certificao da confiabilidade dos dados transmitidos e da identidade e idoneidade dos diversos intervenientes no processo Certificao, assinatura digital

Alteraes na forma como as auditorias so efetuadas


Novas questes no mbito tcnico-contabilstico e financeiro Antecipao do momento da disponibilizao da opinio de auditoria Modificao eventual dos contedo e formatos da informao a disponibilizar

Prof. Dr. Hellinton H. Takada UNIFAI

Stios
http://www.isaca.org.br http://www.ibracon.com.br http://www.ibracon.com.br/empresas.asp http://www.auditoriainterna.com.br/conceit os.htm#codigo

Prof. Dr. Hellinton H. Takada UNIFAI

99

01/07/2012

Pontos de controle, anlise de risco, mtodos de auditoria, documentao gerada, metodologia de auditoria, tcnicas de avaliao de sistemas, ferramentas de auditoria

UNIFAI

Auditoria de SI - Conceitos
Validao e avaliao do controle interno do ambiente computadorizado Auditoria significa verificar o uso eficaz de todos os recursos disponveis (recursos humanos, materiais e tecnolgicos)

Prof. Dr. Hellinton H. Takada UNIFAI

100

01/07/2012

Controle Interno
uma funo administrativa que consiste no monitoramento de processos (normas e eventos), no seu planejamento, execuo e controle. Objetivo: verificar a conformidade dos padres estabelecidos e detectar situaes de alarme que requeiram uma ao avaliativa, detalhada e profunda. Na Auditoria de Sistemas dado nfase ao controle interno dos processos computacionais e na administrao de TI para certificar a qualidade dos sistemas e dos processos.

Prof. Dr. Hellinton H. Takada UNIFAI

Controle Interno
Verificao dos seguintes parmetros: 1. Fidelidade da informao em relao ao dado 2. Segurana fsica 3. Segurana lgica 4. Confidencialidade 5. Legislao 6. Eficincia 7. Eficcia 8. Obedincia s polticas da alta administrao
AICPA American Institute of Certified Public Accountants
http://www.aicpa.org/
Prof. Dr. Hellinton H. Takada UNIFAI

101

01/07/2012

Framework de Controles Internos


COSO
Committee of Sponsoring Organizations of the Threadway Commission (USA) - Comit das Organizaes Patrocinadoras da Comisso de Comrcio Auxilia a alta direo na melhoria de controles internos estabelecendo uma sequncia de eventos para a gesto de processos de negcio: Definio dos objetivos da organizao Avaliao do risco Determinao dos controles necessrios

Prof. Dr. Hellinton H. Takada UNIFAI

Controles internos Ciclo de vida Fase de Desenvolvimento Fase de Desenvolvimento


Levantamento de informaes Estudo de viabilidade Projeto lgico Projeto fsico Implementao Testes Implantao Segurana fsica e lgica Confidencialidade Eficincia Obedincia legislao Obedincia s polticas

Auditoria no ciclo de vida de um SI

Fase de Produo
Fidelidade da informao em relao ao dado Segurana fsica e lgica Confidencialidade Obedincia legislao Eficincia e Eficcia Obedincia s polticas

Fase de Produo
Reviso Avaliao Realimentao do processo

Prof. Dr. Hellinton H. Takada UNIFAI

102

01/07/2012

Pontos de Controle
uma situao caracterizada como de interesse para validao e avaliao segundo parmetros de Controle Interno.
Processo rotinas operacionais e de controle, etapas do desenvolvimento de SI e de manuteno, procedimentos administrativos. Resultado documentos, relatrios, arquivos, estrutura fsica e lgica do sistema. Ex:
Aplicativos mdulo de um sistema Banco de dados tabela de um banco de dados (arquivo) Rede mensagens trafegadas na rede via software de comunicao Equipamentos Aes dos Usurios Atividades do S.O. e antivirus
Prof. Dr. Hellinton H. Takada UNIFAI

Ciclo de vida Ponto de Controle e Ponto de Auditoria


Incio N
1) Identificar e caracterizar Ponto de Controle Avaliar?

Fim N S
2) Avaliar Ponto de Controle

S
Fraqueza?

3) Ponto de Auditoria

Implementao da soluo recomendada

Prof. Dr. Hellinton H. Takada UNIFAI

103

01/07/2012

Anlise de Risco
Determinar as ameaas
Eventos futuros no desejveis e incertos Resultam em perdas

O dimensionamento do risco permite ao auditor determinar


amplitude e aprofundamento dos procedimentos de auditoria delimitao do escopo e anlise da relao custo/benefcio da auditoria

Exemplo de uma matriz que classifica os pontos de controle de acordo com critrios de probabilidade e efeitos do risco:
Riscos Componentes de SW com defeito Banco de dados no suporta quantidade de dados Tempo subestimado para o desenvolvimento
Prof. Dr. Hellinton H. Takada UNIFAI

Probabilidade Moderada Baixa Alta

Efeitos Srios Srios Srios

Metodologia de Auditoria
1) Planejamento e controle do projeto de Auditoria de SI 2) Levantamento do sistema a ser auditado 3) Identificao e inventrio dos pontos de controle 4) Priorizao e seleo dos pontos de controle 5) Aplicao de tcnicas de auditoria para avaliao dos pontos de controle 6) Relatrio de auditoria 7) Acompanhamento da auditoria

Prof. Dr. Hellinton H. Takada UNIFAI

104

01/07/2012

Documentao Gerada
Relatrios de Fraquezas de Controle Interno
Objetivos do projeto de auditoria Trabalhos realizados Pontos de controle auditados Concluso sobre cada ponto de controle Para pontos de controle que apresentaram fraquezas deve constar:
Nome e descrio sucinta do ponto de controle Problemas detectados Impactos Recomendaes

Certificado de Controle Interno


Prof. Dr. Hellinton H. Takada UNIFAI

Tcnicas de Avaliao de sistemas

1) Softwares de auditoria 2) Questionrio 3) Simulao de dados (test-deck) 4) Visita in loco 5) Mapeamento estatstico 6) Rastreamento de programas (tracing) 7) Entrevista 8) Anlise relatrio / tela 9) Simulao paralela 10) Anlise de log 11) Anlise de programa fonte 12) Snapshot
Prof. Dr. Hellinton H. Takada UNIFAI

105

01/07/2012

Tcnicas de Avaliao de sistemas


1) Software de auditoria
Correlaciona arquivos, tabula e analisa o contedo dos mesmos

2) Questionrios de auditoria
Verifica a adequao do ponto de controle aos parmetros de controle interno (segurana fsica, lgica, eficcia, eficincia, etc.) Os questionrios registram situaes que propiciam ao auditor conhecer: plano diretor de informtica; ambiente de banco de dados; segurana lgica.

3) Simulao de dados (test-deck)


Elaborao de massa de teste a ser submetida ao programa ou rotina para testar os controles programados e os controles de sistemas aplicativos. Deve prever situaes de transaes com campos invlidos, valores nos limites, transaes incompletas, transaes incompatveis, transaes em duplicidade.

Prof. Dr. Hellinton H. Takada UNIFAI

Tcnicas de Avaliao de sistemas


4) Visita in loco
Consiste na atuao do pessoal de auditoria junto ao pessoal de sistemas e instalaes. importante:
Marcar data e hora para visita Anotar procedimentos e acontecimentos Anotar nomes das pessoas e data e hora das visitas

5) Mapeamento estatstico (mapping)


Permite verificar situaes como:
Quantidade de vezes que cada rotina foi utilizada Rotinas existentes em programas mas j desativadas Rotinas mais utilizadas Rotinas fraudulentas ou irregulares Rotinas de controle
Prof. Dr. Hellinton H. Takada UNIFAI

106

01/07/2012

Tcnicas de Avaliao de sistemas


6) Rastreamento de programas
Possibilita seguir o caminho de uma transao durante o processamento do programa. Objetiva identificar as inadequaes e ineficincia na lgica de um programa.

7) Entrevistas no ambiente computacional


Realizao de reunies entre o auditor e o auditado

8) Anlise de relatrios / telas


Analisar relatrios e tela no que se refere a:
Nvel de utilizao pelo usurio Esquema de distribuio e nmero de vias Grau de confidencialidade Forma de utilizao de integrao com outras telas / relatrios Padronizao dos layouts Distribuio das informaes conforme layout

Permite detectar:
Relatrios e telas no mais utilizados Layout inadequado Distribuio indevida de vias Confidencialidade no respeitada Prof. Dr. Hellinton H. Takada UNIFAI

Tcnicas de Avaliao de sistemas


9) Simulao paralela
Elaborao de um programa de computador para simular as funes da rotina sob auditoria Enquanto o test deck simula dados, a simulao pararela simula a lgica do programa

10) Anlise de log / accounting


Verifica o uso dos dispositivos componentes de uma configurao ou rede de computadores e do software aplicativo Permite verificar:
Ineficincia do uso do computador Configurao do computador (dispositivos com folga ou sobrecarregados) Determinao de erros de programa ou de operao Uso de programas fraudulentos ou utilizao indevida Tentativas de acesso indevidas
Prof. Dr. Hellinton H. Takada UNIFAI

107

01/07/2012

Tcnicas de Avaliao de sistemas


11) Anlise do programa fonte
Consiste na anlise visual do programa e na comparao da verso do objeto que est sendo executado com o objeto resultante da ltima verso do programa fonte compilado Permite verificar:
Se o programador cumpriu as normas de padronizao do cdigo (tabelas de rotinas, arquivos, programas) Qualidade de estruturao do programa fonte Vcios de programao e atendimentos s caractersticas da linguagem e ambiente

12) Snapshot
Tcnica que fornece uma listagem ou gravao do contedo do programa (acumuladores, chaves, reas de armazenamento), quando determinado registro est sendo processado (dump parcial de memria). Necessita confeco de um software especfico para leitura das informaes
Prof. Dr. Hellinton H. Takada UNIFAI

Ferramentas de Auditoria de sistemas


Software generalista de auditoria de TI Vantagens:
Pode processar vrios arquivos ao mesmo tempo Pode processar vrios tipos de arquivos com formatos diferentes, por exemplo EBCDIC ou ASCII Pode fazer uma integrao sistmica com vrios tipos de softwares e hardwares

Desvantagens:
Como o processamento das aplicaes envolve gravao de dados (arquivos) em separado para serem analisados, deve ser utilizado com cuidado em ambiente on-line O software no consegue processar clculos complexos, pois como se trata de um sistema generalista, no aprofunda na lgica e na matemtica muito complexas
Prof. Dr. Hellinton H. Takada UNIFAI

108

01/07/2012

Ferramentas de Auditoria de sistemas


Software generalista de auditoria de SI: ACL (Audit Command Language)
software de extrao e anlise de dados (desenvolvido no Canad)

IDEA (Interactiva Data Extraction & Analysis)


software para extrao e anlise de dados (desenvolvido Canad)

Audimation
verso norte-americana do IDEA, da Caseware-IDEA

Galileo
software integrado de gesto de auditoria. Inclui gesto de riscos de auditoria, documentao e emisso de relatrios para auditoria interna

Pentana
software de planejamento estratgico da auditoria, sistema de planejamento e monitoramento de recursos, controle de horas, registro de checklists e programas de auditoria, inclusive de desenho e gerenciamento de plano de ao
Prof. Dr. Hellinton H. Takada UNIFAI

Ferramentas de Auditoria de sistemas


Softwares Especialistas de auditoria de SI:
Consiste em programa desenvolvido especificamente para certas tarefas em certas circunstncias Vantagens:
Pode atender sistemas ou transaes no contempladas por softwares generalistas O auditor, quando consegue desenvolver softwares especficos numa rea muito complexa, pode utilizar isso como vantagem competitiva

Desvantagens:
Pode ser muito caro, pois ter uso limitado e normalmente restrito a determinado cliente Atualizao pode ser complicada devido a falta de recursos que acompanhem as novas tecnologias.
Prof. Dr. Hellinton H. Takada UNIFAI

109

01/07/2012

Ferramentas de Auditoria de sistemas


Programas utilitrios de auditoria de SI:
O auditor utiliza softwares utilitrios para executar funes muito comuns de processamento
Ordenar arquivo, sumarizar, concatenar, gerar relatrios. EXCEL, ou recursos de bancos de dados como o SQL, Dbase2

Vantagem:
Pode ser utilizado como alternativa na ausncia de outros recursos

Desvantagem:
Pode necessitar do auxlio do funcionrio da empresa auditada para operar a ferramenta (no caso de ferramentas complexas)

Prof. Dr. Hellinton H. Takada UNIFAI

Stios
http://www.auditsafe.com.br http://www.isaca.org; http://www.isaca.org.br http://www.issabrasil.org http://www.ibpbrasil.com.br

Prof. Dr. Hellinton H. Takada UNIFAI

110

01/07/2012

Plano de Continuidade de Negcios

UNIFAI

Plano de Continuidade de Negcios (PCN)


Procedimentos e Planos que se criam com antecedncia visando ...
MINIMIZAR EFEITOS DE DESASTRES

MANTER OS PROCESSOS VITAIS

DEFINIR AES QUE PERMITAM MANTER OPERACIONAIS ATIVIDADES E REAS VITAIS


Prof. Dr. Hellinton H. Takada UNIFAI

111

01/07/2012

Plano de Continuidade de Negcios (PCN)


Metodologia para permitir que os servios continuem a operar em caso de interrupo combinando aes de preveno e recuperao. Minimizar o tempo de indisponibilidade dos servios para diminuir as perdas (imagem, financeiras, negcios).
Prof. Dr. Hellinton H. Takada UNIFAI

Plano de Continuidade de Negcios (PCN)


Faz parte de uma estratgia ou poltica de continuidade de negcios mais abrangente na empresa Responsabilidade da alta gerncia, a qual deve envolver toda organizao.

Prof. Dr. Hellinton H. Takada UNIFAI

112

01/07/2012

Motivao para ter um PCN


Adequao regulatria
Basilia II; Res. 3.380 do Bacen; Anatel;

Impacto financeiro elevado em caso de Downtime Processos de negcio globais


Supply chain, Customer Service, etc.

Implementao de um programa de certificao de qualidade Problemas com Outsourcing


Quarteirizao, Gerenciamento da cadeia de provedores de servio

Aumento de complexidade
Volumes crescentes de servidores, dados, interligaes, sistemas, plataformas, bancos de dados

Como a empresa est preparada para lidar com o inevitvel ou o inesperado?

Prof. Dr. Hellinton H. Takada UNIFAI

Objetivos na implementao de um PCN


Maior controle e documentao dos processos Minimizao dos riscos operacionais de TI Disponibilidade contnua Melhoria nos processos de TI Implementao de Processos de controle de terceiros Definio de SLAs adequados
Prof. Dr. Hellinton H. Takada UNIFAI

113

01/07/2012

Falhas
Desastres (incndio, desabamento, terremoto, inundao, furaces, raios) Greves e paralizaes (transporte, sindicato) Colapso da rede eltrica, gua, ar-condicionado, nobreak, gerador Indisponibilidade de linhas de comunicao, geradores, mal funcionamento dos equipamentos Perda de arquivos, configuraes erradas, vrus de computador Sabotagem.
Prof. Dr. Hellinton H. Takada UNIFAI

Impactos de um desastre
Curto prazo
Paralisao e transtorno das atividades Perda de equipamentos Destruio de instalaes Perda de receita Sanes e multas por no atendimento a requerimentos regulatrios

Mdio e longo prazo


Perda de mercado Aes judiciais Insatisfao dos clientes Danos imagem da empresa Aumento do Turnover Oportunidades para a concorrncia

Prof. Dr. Hellinton H. Takada UNIFAI

114

01/07/2012

Fases de elaborao do Plano de Contingncia


1 Atividades preliminares
Conscientizao corporativa Identificao de servios crticos

2 Anlise de riscos e impacto


Identificao dos riscos e impactos da interrupo de servios crticos sobre a organizao Subsidia a estratgia da organizao em termos de recuperao e preveno de acidentes e falhas

Prof. Dr. Hellinton H. Takada UNIFAI

fonte: Carlos Henrique Cotta Natale

Fases de elaborao do Plano de Contingncia


3 Anlise das alternativas de disponibilidade
Anlise de custos das solues Alternativas para melhorar a disponibilidade:
processos de gerenciamento, operao, suporte e manuteno

4 Desenvolvimento do plano de contingncia


Procedimentos, recursos

Prof. Dr. Hellinton H. Takada UNIFAI

115

01/07/2012

Fases de elaborao do Plano de Contingncia


5 Treinamento
Garante a eficincia do plano de continuidade de negcios da organizao.

6 Testes
O plano de contingncia deve ser testado para treinar as pessoas envolvidas e avaliar os procedimentos e resultados.

7 - Implementao e manuteno peridica


Implementaes de solues internas e aes para o plano ser continuamente aprimorado
Prof. Dr. Hellinton H. Takada UNIFAI

Nvel de Criticidade
Sistemas e servios so classificados de acordo com o seu nvel de criticidade:
Nvel de Criticidade
Nvel I - Baixa

Quando utilizar
Sistema ou Servio cuja interrupo no afeta outros sistemas ou servios e pode ser acionada uma contingncia manual. Sistema ou Servio cuja interrupo afeta outros sistemas ou servios e pode ser acionada uma contingncia manual. Sistema ou Servio cuja interrupo afeta outros sistemas ou servios, atingindo alguns setores da empresa. Sistema ou Servio cuja interrupo afeta toda empresa causando interrupo de muitos servios, perdas financeiras, de negcios e de imagem.
Prof. Dr. Hellinton H. Takada UNIFAI

Tempo de recuperao
Maior 24h

Nvel II Moderada

24h

Nvel III Alta

12h

Nvel III Crtico

3h

116

01/07/2012

Equipes de contingncia
Pessoas com responsabilidades de avaliar, documentar, relatar e atuar sempre que forem convocadas Quem faz o que, quando e como Organizao na recuperao Listas de acionamento

Prof. Dr. Hellinton H. Takada UNIFAI

Planos de contingncia
Plano de Administrao de Crise Plano de Continuidade Operacional Plano de Recuperao de Desastres

Prof. Dr. Hellinton H. Takada UNIFAI

117

01/07/2012

Plano de Administrao de Crise


Define passo-a-passo o funcionamento das equipes
Antes, durante e depois da ocorrncia do incidente

Define os procedimentos a serem executados at o retorno normal das atividades


Exemplo: comunicao do fato imprensa
Prof. Dr. Hellinton H. Takada UNIFAI

Plano de Continuidade Operacional


Define os procedimentos para contingenciamento dos ativos que suportam cada processo de negcio Reduzir o tempo de indisponibilidade e os impactos potenciais ao negcio
Ex: as aes diante da queda de uma conexo Internet
Prof. Dr. Hellinton H. Takada UNIFAI

118

01/07/2012

Plano de Recuperao de Desastres


Define um plano de recuperao e restaurao das funcionalidades dos ativos que suportam o negcio:
Humanos Operacionais Tecnolgicos

Restabelecimento do ambiente e das condies originais de operao


Prof. Dr. Hellinton H. Takada UNIFAI

Aspectos importantes
Outros aspectos importantes
Preveno de Acidentes
Controles de acesso Poltica de pessoal adequada Manuteno preventiva de equipamentos Equipamentos de deteco e extino de fogo e treinamento de pessoal Campanha de conscientizao dos funcionrios quanto segurana de recursos materiais e informaes
Prof. Dr. Hellinton H. Takada UNIFAI

119

01/07/2012

Aspectos importantes
Backup
Polticas de backup, validao, duas cpias armazendas em lugares diferentes, armazenagem

Procedimentos manuais (para alguns servios) Seguros e contratos de manuteno Estratgias de contingncia
Uso de equipamentos do fornecedor do hardware Hospedagem em datacenter Hot site Cold site

Equipes de contingncia
Prof. Dr. Hellinton H. Takada UNIFAI

Solues
Rotinas de Backup Configurao RAID em servidores espelhamento e redundncia Redundncia de links de internet Redundncia de infra-estrutura de redes e telefonia Manter equipamentos reservas, em caso de falhas (Computadores, Equipamentos de Rede) Servidores com alta disponibilidade (hardware e software) No-breaks Equipamentos Anti-incndio na sala dos servidores Monitoramento e controle de acesso sala dos servidores Backup-site em caso de um desastre Softwares de monitoramento Cofre anti-incndio para armazenar mdias de backup
Prof. Dr. Hellinton H. Takada UNIFAI

120

01/07/2012

Auditoria do PCN
O auditor deve analisar os planos existentes como parte da auditoria de segurana de informaes. As fragilidades e as deficincias detectadas devem estar no relatrio de auditoria. Entre os objetivos de avaliao do PCN pela Auditoria esto:
O PCN possui o aval da diretoria? Os recursos crticos e suas prioridades foram identificados? H planos desenvolvidos que contemplem todas as necessidades de contingncias? Os planos so suficientemente abrangentes para cobrir aspectos fsicos, lgicos, redes, pessoas? A equipe de contingncia est preparada para eventualidades? Os planos so testados e atualizados periodicamente? Existem procedimentos para diferentes graus e extenso de desastre?
Prof. Dr. Hellinton H. Takada UNIFAI

ISO/IEC 17799
Um processo de gerenciamento de continuidade deve ser implementado para reduzir os distrbios causados por desastres e falhas de segurana (...). Planos de contingncia devem ser desenvolvidos e implementados para assegurar que os processos de negcios possam ser restaurados dentro de escalas de tempo aceitveis. Esses planos precisam ser mantidos e praticados, de ordem a se tornarem parte integral de todos os demais processos de gerenciamento.
(Gerenciamento de Continuidade dos Negcios, International Standard ISO/IEC 17799, Chapter 11, 2000(E) )
Prof. Dr. Hellinton H. Takada UNIFAI

121

01/07/2012

Disponibilidade do Servio
Percentual do tempo em que o servio ficou em operao. Disponibilidade = 1- Indisponibilidade
Considere um servio que necessita 24h 7d por semana Se o servio ficou fora de operao por um dia a indisponibilidade anual de 1/365 = 0,27% A Disponibilidade 99,73%.
Disponibilidade Tempo indisponvel a (%) em um ano 99,9999999 99,999999 99,99999 99,9999 99,999 99,99 99,9 99,0
Prof. Dr. Hellinton H. Takada UNIFAI

0,03 0,32 3,15 31,54 5,26 52,56 8,76 3,65 36,50

seg seg seg seg min min hrs dias dias

90

Controle de Mudanas

UNIFAI

122

01/07/2012

Controle de Mudanas
Todas as alteraes devem ser autorizadas, documentadas e testadas Processo de mudanas
Garantir que a transio ocorra de forma tranqila Minimizar riscos Detectar fraudes
Prof. Dr. Hellinton H. Takada UNIFAI

O que provoca uma Mudana?


Atualizao tecnolgica Maior capacidade de processamento e armazenamento Manuteno peridica Atualizao e identificao de problemas nos sistemas Identificao de vulnerabilidades no sistema
Prof. Dr. Hellinton H. Takada UNIFAI

123

01/07/2012

Controles de mudanas inadequados


Uso de Software e Hardware no autorizado Processamento e relatrios incorretos Insatisfao do usurio Dificuldades de manuteno por falta de documentao e histrico Mudanas sem a devida autorizao Mudanas de emergncia sem o devido acompanhamento
Prof. Dr. Hellinton H. Takada UNIFAI

Procedimentos de controle de Mudanas


Exemplo atualizao de sistema: 1) Registro de solicitao de mudana feito. 2) feita a anlise da mudana, possveis impactos, priorizao. 3) Uma especificao da alterao do programa feita e submetida aprovao gerencial. 4) No ambiente de testes o programador desenvolve as alteraes.
Prof. Dr. Hellinton H. Takada UNIFAI

124

01/07/2012

Procedimentos de controle de Mudanas


5) As modificaes so testadas no ambiente de homologao. 6) Equipe/responsvel pela coordenao da mudana integra as aes de todas as reas para o xito da mudana:
Se houver parada do ambiente de produo os Clientes so avisados. Documentao e procedimentos da mudana so preparados, etc.

7) Aprovao da gerncia 8) Execuo da mudana


Inclui backup, alterao, testes pelo cliente, liberao do ambiente

9) Relatrio das atividades.

Prof. Dr. Hellinton H. Takada UNIFAI

Mudanas de Emergncia
Devem ser implementadas rapidamente Complementar os passos que foram pulados do procedimento ordinrio

Prof. Dr. Hellinton H. Takada UNIFAI

125

01/07/2012

Lista de Verificaes
Documentar todas as modificaes e implementar somente se aprovadas pela gerncia Avaliar o impacto das mudanas antes de implementlas e o efeito de no implement-las Definir os recursos necessrios Preparar plano para voltar ao status inicial Impedir nova alterao aps os testes e a aprovao Planejar a execuo com o mnimo de impacto aos clientes Registrar as atividades da mudana

Prof. Dr. Hellinton H. Takada UNIFAI

Controle de Verso
Garantir
Utilizao da verso correta de software Transaes sejam processadas pela verso correta Histrico de verses Controlar ambiente com vrios programadores

Softwares:
CVS, ClearCase, SourceSafe

Prof. Dr. Hellinton H. Takada UNIFAI

126

01/07/2012

Trabalho em Grupo:
Elaborar para a empresa em estudo:
Plano de Continuidade de Negcios Plano de Contingncia Documento de Controle de Mudanas

Prof. Dr. Hellinton H. Takada UNIFAI

Segurana de SI AULA 9
Prof. Dr. Hellinton H. Takada

UNIFAI

127

01/07/2012

Introduo
Informao como Ativo Os Pilares da Segurana O papel do usurio na segurana Norma ABNT NBR ISO-IEC 17799 Direito Autoral O Impacto da Pirataria

Prof. Dr. Hellinton H. Takada UNIFAI

Informao como Ativo


A informao um ativo da empresa, assim, como moblia, computadores, imveis Muitas vezes a informao um ativo mais importante do que os computadores que a armazenam

Prof. Dr. Hellinton H. Takada UNIFAI

128

01/07/2012

Os Pilares da Segurana

Prof. Dr. Hellinton H. Takada UNIFAI

O papel do usurio na segurana


Todo usurio deve reportar incidentes de segurana Cada usurio responsvel pela sua senha O usurio no deve baixar ou instalar software O usurio deve utilizar e-mail e Internet para o seu trabalho As informaes da empresa pertencem empresa, e no devem ser divulgadas sem autorizao
Prof. Dr. Hellinton H. Takada UNIFAI

129

01/07/2012

Norma ABNT NBR ISO-IEC 17799


Cdigo de Prticas para o Gerenciamento da Segurana da Informao Define 127 controles de segurana opcionais referncia mundial no controle da segurana da informao um guia que auxilia o gestor de segurana Pode ser utilizado para a certificao BS-7799

Prof. Dr. Hellinton H. Takada UNIFAI

NBR ISO 17799

UNIFAI

130

01/07/2012

Objetivo da NBR ISO 17799


Esta norma fornece recomendaes para gesto da segurana da informao para uso por aqueles que so responsveis pela introduo, implementao ou manuteno da segurana em suas organizaes.

Prof. Dr. Hellinton H. Takada UNIFAI

Pontos Relatados pela Norma


Poltica de Segurana de Informao. Segurana Organizacional. Classificao dos Ativos da Organizao. Segurana em Pessoas. Segurana Fsica e do Ambiente. Gerenciamento das operaes e comunicaes. Controle de Acesso Desenvolvimento e Manuteno de Sistemas. Gesto da Continuidade de Negcio. Conformidade
Prof. Dr. Hellinton H. Takada UNIFAI

131

01/07/2012

1) Gerenciamento das Operaes e Comunicaes.


Objetivos:
Documentao dos Procedimentos de Operao Elaborar documentos formais sobre os procedimentos para cada tarefa.

Processamento e tratamento de informao. Interdependncias com outros sistemas. Instrues para tratamento de erros. Contato com os tcnicos do suporte para o caso de eventos operacionais no esperados ou dificuldades tcnicas. Procedimento para o reincio e recuperao para o caso de falha do sistema.
Prof. Dr. Hellinton H. Takada UNIFAI

1.1) Procedimentos para o Gerenciamento de Incidentes


Convm que as responsabilidades e procedimentos de gerenciamento de incidentes sejam definidos para garantir uma resposta rpida, efetiva e ordenada aos incidentes de segurana. Convm que sejam estabelecidos procedimentos que cubram todos os tipos potenciais de incidentes de segurana, incluindo:
falhas dos sistemas de informao. erros resultantes de dados incompletos ou Inconsistentes. violao de confidencialidade.

Prof. Dr. Hellinton H. Takada UNIFAI

132

01/07/2012

1.2) Planejamento e Aceitao de Sistemas


Convm que projees da demanda de recursos e da carga dos equipamentos sejam feitas para reduzir o risco de sobrecarga dos sistemas. Convm que sejam estabelecidos critrios de aceitao de novos sistemas, atualizaes e novas verses e que sejam efetuados testes apropriados dos sistemas antes da sua aceitao:
requisitos de desempenho e de demanda de capacidade computacional. evidncia de que a instalao do novo sistema no afetar de forma adversa os sistemas j existentes. treinamento na operao ou uso de novos sistemas.
Prof. Dr. Hellinton H. Takada UNIFAI

1.3) Proteo contra Software Malicioso


Os ambientes de processamento da informao e os softwares so vulnerveis introduo de software malicioso, tais como vrus de computador, cavalos de Tria e outros. Uma poltica formal exigindo conformidade com as licenas de uso do software e proibindo o uso de software no autorizado. Verificao, antes do uso, da existncia de vrus em qualquer arquivo de origem desconhecida ou no autorizada.
Prof. Dr. Hellinton H. Takada UNIFAI

133

01/07/2012

2) Controle de Acesso
Objetivo: Controlar o acesso informao. Convm que o acesso informao e processos do negcio sejam controlado na base dos requisitos de segurana e do negcio.

Prof. Dr. Hellinton H. Takada UNIFAI

2.1) Polticas de Controle de Acesso / Requisitos do Negcio


Convm que as regras de controle de acesso e direitos para cada usurio ou grupo de usurios estejam claramente estabelecidas no documento da poltica de controle de acesso. Deve levar em conta tambm:
Identificao de toda informao referente aplicaes do negcio. Gerenciamento dos direitos de acesso. s

Prof. Dr. Hellinton H. Takada UNIFAI

134

01/07/2012

2.1) Polticas de Controle de Acesso / Regras


Na especificao de regras para controle de acesso, convm que alguns cuidados sejam considerados: Diferenciao entre as regras que sempre devem ser cumpridas das regras opcionais ou condicionais. Diferenciao entre regras que requerem aprovao do administrador ou outro funcionrio.

Prof. Dr. Hellinton H. Takada UNIFAI

2.2) Gerenciamento do Acesso do Usurio


Convm que seja dada ateno especial, onde apropriado, necessidade de controlar a concesso de direitos de acesso privilegiados, os quais permitem aos usurios sobrepor os controles do sistema.

Prof. Dr. Hellinton H. Takada UNIFAI

135

01/07/2012

2.2.1) Registro do Usurio


Convm a utilizao dos seguintes itens:
Utilizao de identificador de usurio (ID) nico. Verificao de que o usurio tem autorizao do proprietrio do sistema para a utilizao do sistema de informao ou servio. Verificao peridica para remoo de usurios (ID) e contas redundantes.

Prof. Dr. Hellinton H. Takada UNIFAI

2.2.2) Gerenciamento de Senhas de Usurios


Convm a utilizao dos seguintes itens:
Solicitar aos usurios a assinatura de uma declarao, a fim de manter a confidencialidade de sua senha pessoal e das senhas de grupos de trabalho. Garantir, onde os usurios necessitam manter suas prprias senhas, que esto sendo fornecidas senhas Iniciais seguras e temporrias, o que obriga o usurio a alter-la imediatamente.
Prof. Dr. Hellinton H. Takada UNIFAI

136

01/07/2012

2.3) Controle de Acesso Rede


Objetivo: Proteo dos Servios de Rede necessrio para garantir que usurios com acesso s redes e aos servios de rede no comprometam a segurana desses servios, assegurando:
Uso de interfaces apropriadas. Uso de mecanismos de autenticao apropriados para usurios e equipamentos.

Prof. Dr. Hellinton H. Takada UNIFAI

2.3.1) Poltica de utilizao de servios de rede


Conexes no seguras a servios de rede podem afetar toda a organizao. Deve incluir:
Procedimentos de autorizao para a determinao de quem tem acesso a que redes e a quais servios de rede. Procedimentos e controles de gerenciamento para proteger o acesso s conexes e servios de rede.

Prof. Dr. Hellinton H. Takada UNIFAI

137

01/07/2012

2.4) Autenticao de n
Convm que as conexes a sistemas remotos de computadores sejam autenticadas. A autenticao de n pode servir como um meio alternativo de autenticao de grupos de usurios remotos, onde eles so conectados a um recurso computacional seguro e compartilhado
Prof. Dr. Hellinton H. Takada UNIFAI

2.5) Segurana ao Acesso ao Sistema Operacional


Deve permitir a:
Identificao e verificao da identidade. Registro dos sucessos e das falhas de acesso ao sistema. Fornecimento de meios apropriados para a autenticao; se um sistema de gerenciamento de senhas for usado. Convm que ele garanta senhas de qualidade.

Prof. Dr. Hellinton H. Takada UNIFAI

138

01/07/2012

3) Desenvolvimento e Manuteno de Sistemas / Requisitos


Convm que requisitos de segurana sejam identificados e acordados antes do desenvolvimento dos sistemas de informao.

Prof. Dr. Hellinton H. Takada UNIFAI

3.1) Anlise e Especificao dos Requisitos


Na especificao dos requisitos do negcio para novos sistemas, ou melhoria nos sistemas j existentes, convm que tambm se especifiquem os requisitos de controle. Convm que tais especificaes considerem os controles automatizados a serem incorporados no sistema e a necessidade de suporte a controles manuais. Convm que os requisitos e controles de segurana reflitam o valor, para o negcio.
Prof. Dr. Hellinton H. Takada UNIFAI

139

01/07/2012

3.2) Segurana nos Sistemas de Aplicao / Validao de Dados de Entrada


Prevenir perda ou uso imprprio de dados do usurio nos sistemas de aplicaes. Convm que os dados dos sistemas sejam validados para garantir que esto corretos e que so apropriados.

Prof. Dr. Hellinton H. Takada UNIFAI

3.2) Segurana nos Sistemas de Aplicao / Validao de Dados de Entrada


Recomenda-se que os seguintes controles sejam utilizados para deteco de erros:
Valores fora dos limites aceitveis. Dados ausente e incompletos. Dados excedendo os valores mximos e mnimos. Anlise crtica e peridica. Procedimentos de resposta validao de erros. Procedimentos de teste.
Prof. Dr. Hellinton H. Takada UNIFAI

140

01/07/2012

3.3) Controles de Criptografia


Objetivo: Proteger a confidencialidade, autenticidade ou integridade das informaes. Convm que tcnicas e sistemas criptogrficos sejam usados para a proteo das informaes que so consideradas de risco. Convm que uma avaliao de riscos seja executada: Esta avaliao pode ser usada para determinar se um controle criptogrfico apropriado, que tipo de controle deve ser aplicado e para que propsito e processos do negcio.

Prof. Dr. Hellinton H. Takada UNIFAI

Direito Autoral

UNIFAI

141

01/07/2012

Direito Autoral
Lei 9.609/98: Dispe sobre a propriedade intelectual de programa de computador Lei 9.610/98: Dispe sobre direitos autorais Pena de deteno de 6 meses a 4 anos Multa de 3000 vezes o valor do software

Prof. Dr. Hellinton H. Takada UNIFAI

Exemplos de aplicao da Lei


Software: WinZip 9.0 Custo: R$ 72,50 por unidade Multa: R$ 217.500,00 por computador pirata Software: MS Office 2003 Std Custo: R$ 734,00 por unidade Multa: R$ 2.202.000,00 por computador pirata
Prof. Dr. Hellinton H. Takada UNIFAI

142

01/07/2012

Impacto da Pirataria
Para a empresa
Prejuzo financeiro (multa) Prejuzo imagem Softwares com vrus Softwares sem suporte do fabricante

Para o funcionrio
Prejuzo legal (deteno) Demisso

Prof. Dr. Hellinton H. Takada UNIFAI

Quem fiscaliza quem


As fiscalizaes so conduzidas pela ABES Associao Brasileira de Empresas de Software) A ABES fiscaliza tanto empresas pblicas quanto empresas privadas, sem distino A ABES aceita denncias annimas http://www.abes.org.br

Prof. Dr. Hellinton H. Takada UNIFAI

143

01/07/2012

Auditoria de Sistemas Tcnicas


Prof. Dr Hellinton H. Takada

UNIFAI

Tcnicas de Auditoria
Para execuo de trabalhos h necessidade de conhecimento da tecnologia de computao e da forma como aplic-la; As tcnicas so aplicadas tanto a nvel de anlise de sistemas quanto de programao;
As tcnicas devero levar em considerao:
parmetro de CI a ser atendido; momento da aplicao da tcnica; ambiente tecnolgico de computao vivenciado.

Prof. Dr. Hellinton H. Takada UNIFAI

144

01/07/2012

Tcnicas de Auditoria
Tcnicas de Auditoria de Computadores:
Programa de computador; Questionrios; Simulao de dados (test-deck); Mapeamento estatstico (mapping); Visita in loco; Rastreamento (tracing); Entrevista; Anlise de relatrios/telas; Simulao paralela; Anlise log/accounting; Anlise do programa fonte; Exibio parcial da memria snapshot.
Prof. Dr. Hellinton H. Takada UNIFAI

Programa de Computador
Programa de computador para auditoria
Correlaciona arquivos, tabula e analisa o contedo dos mesmos; usado em arquivos seqenciais, indexados seqenciais ou banco de dados; Tanto em computadores de grande porte quanto em microcomputadores; Pode ser construdo pelo auditor via conhecimento de uma linguagem de programao; A utilizao de programas utilitrios e a aquisio de pacotes prontos, comercializados no mercado, tambm so opes para aplicao da tcnica.
Prof. Dr. Hellinton H. Takada UNIFAI

145

01/07/2012

Programa de Computador
Opes para aplicao da tcnica:
tabulao de campos
somatrio de datas de vencimento de ttulos gerando um hash-total que dever ser confrontado com o campo correspondente gravado no registro trailer, ou monitorado fora do sistema aplicativo pelo auditor; somatrio dos campos de valores quantitativos para efeito de confrontao ou acompanhamento de acumuladores anlogos.

contagem de campos/registros
apurao de totais por tipo de registro ou campo.

anlise contedo campos/registros


verificao da existncia de campos ou registros em um arquivo; correlao entre campos de um mesmo arquivo para verificao da coerncia e validade desses campos;
Prof. Dr. Hellinton H. Takada UNIFAI

Programa de Computador
correlao de arquivos
confronto de campos entre registros com vistas garantia de ambos os arquivos.

Preparao do ambiente de teste


Para aplicao da tcnica programa de computador, primeiramente necessrio a identificao do arquivo correto a ser validado.

Procedimentos de teste a serem executados:


Entrevista com o analista de sistemas ou com o usurio para confirmao do ponto exato no fluxo em que se tem os dados a analisar; Identificao do cdigo do arquivo e de seu layout
pela anlise da documentao do sistema disponvel; pela anlise do programa do sistema que trabalha o referido arquivo; ou pela anlise do book de arquivos existentes no CPD.
Prof. Dr. Hellinton H. Takada UNIFAI

146

01/07/2012

Programa de Computador
elaborao do(s) programa(s) de computador para auditoria em uma linguagem de programao ou preparao de parmetros para uso de programas utilitrios ou de softwares de auditoria; Anlise do LOG/ACCOUNTING de utilizao do computador; Aplicao do programa de computador para auditoria sobre o(s) arquivo(s) no ambiente do micro da auditoria interna; Anlise dos resultados da auditoria do arquivo efetuada, via leitura dos relatrios obtidos ou acesso via terminal ao arquivo com os resultados da auditoria; Emisso de opinio com a elaborao do relatrio de auditoria, acerca das fraquezas identificadas; Documentao de todo o processo de auditagem com a elaborao de pastas de auditoria consolidando os papis de trabalho.
Prof. Dr. Hellinton H. Takada UNIFAI

Programa de Computador
No encontrar fraquezas nos dados dos arquivos no significa que, os processos geradores destes arquivos, estejam totalmente corretos, mas que no processamento que gerou os dados sob auditoria no ocorreram situaes de erro.

Prof. Dr. Hellinton H. Takada UNIFAI

147

01/07/2012

Questionrios para Auditoria


Corresponde a elaborao de um conjunto de perguntas com o objetivo de verificao de determinado PC do ambiente computacional; Aspectos crticos a serem analisados:
Caractersticas do PC correspondem natureza da tecnologia computacional e o correspondente perfil tcnico do auditor que ir aplicar o questionrio. Momento histrico empresarial ou objetivos da verificao do PC determinam a nfase a ser dada ao parmetro do CI.

Ter questionrio sobre:


Segurana em redes de computadores
segurana fsica dos equipamentos; segurana lgica e confidencialidade do software/informaes que trafegam nos canais de comunicao.
Prof. Dr. Hellinton H. Takada UNIFAI

Questionrios para Auditoria


Segurana do CPD
controle de acesso fsico e lgico s instalaes de processamento de dados; segurana ambiental no tocante infra-estrutura:
combate a incndios; inundaes; atentados e sabotagens; situaes de greve e etc.

Eficincia no uso dos recursos computacionais


tempo mdio de resposta em terminal; tempo de uso dos equipamentos a cada dia;

Eficcia de sistemas aplicativos


prazo de atendimento de novos sistemas, aos usurios; tempo mdio de soluo dos problemas dos usurios da rede de computao, provida pelo suporte.
Prof. Dr. Hellinton H. Takada UNIFAI

148

01/07/2012

Questionrios para Auditoria


pode ser aplicada distncia, ou seja envia ao auditado, respondido e analisado pelo auditor centralizadamente. Permite uma auditagem constante com menor nmero de auditores; elaborao de perguntas que imponham respostas conclusivas e, de preferncia, quantificveis. No fazer pergunta do tipo:
o que feito no momento A ou B? como feita a tarefa A ou B?

Fazer perguntas do tipo:


voc exerce a funo A ou B? (sim ou no) quantas horas voc gasta nas tarefas A, B ou C?
Prof. Dr. Hellinton H. Takada UNIFAI

Simulao de Dados (test-deck)


a tcnica por excelncia aplicada para teste de processos computacionais; Corresponde elaborao de um conjunto de dados de teste a ser submetido ao programa de computador ou a determinada rotina que compe, que necessita ser verificada em sua lgica de processamento; Os dados simulados de teste necessitam prever situaes corretas e situaes incorretas;
transaes com campos invlidos; transaes com valores ou quantidades nos limites de tabelas de clculos;
Prof. Dr. Hellinton H. Takada UNIFAI

149

01/07/2012

Simulao de Dados (test-deck)


Etapas para aplicao do Test-Deck
Compreenso do mdulo do sistema a ser avaliado; identificao de programas e arquivos via:
documentao; entrevistas com analistas e usurios; DFD;

Elaborao dos formulrios de controle de teste; Transcrio dos dados de teste para um meio aceito pelo computador. Obs.: uma opo do AS copiar partes do arquivo real de entrada no programa e fazer, via programa de computador, as alteraes desejadas para alimentao da simulao de dados necessria. A simulao de dados deve testar o programa sob auditoria na prpria CPU e com o mesmo sistema operacional do computador onde processado.

Avaliao dos resultados do teste; Emisso de opinio acerca do ponto de controle;


Prof. Dr. Hellinton H. Takada UNIFAI

Visita In Loco
Corresponde atuao pessoal do auditor junto a sistemas, procedimentos e instalaes do ambiente computadorizado; Procedimentos: Marcar data e hora com o responsvel que ir acompanhar as verificaes, ou convoc-lo no momento da verificao, caso seja surpresa; Anotar procedimentos e acontecimentos; Coletar documentos; Anotar nomes completos das pessoas e data e hora das visitas realizadas; Analisar os papis de trabalho obtidos, avaliar respostas e a situao identificada; Emitir opinio via relatrio de fraqueza de CI (Controle Interno).
Prof. Dr. Hellinton H. Takada UNIFAI

150

01/07/2012

Mapeamento Estatstico (Mapping)


Tcnica de computao que pode ser utilizada pelo auditor para efetuar verificaes durante o processamento dos programas, flagrando situaes como:
rotinas no utilizadas; quantidade de vezes que cada rotina foi utilizada quando submetida ao processamento de uma quantidade de dados.

A anlise dos relatrios permite a constatao de:


rotinas existentes em programas j desativadas ou de uso espordico; rotinas fraudulentas e de uso em situaes irregulares; rotinas mais utilizadas, normalmente, a cada processamento do programa;
Prof. Dr. Hellinton H. Takada UNIFAI

Rastreamento dos Programas de Computador


Tcnica que possibilita seguir o caminho de uma transao durante o processamento do programa; Permite identificar rotinas fraudulentas, atravs da alimentao de transaes particulares;

Prof. Dr. Hellinton H. Takada UNIFAI

151

01/07/2012

Entrevistas no Ambiente Computacional


Corresponde realizao de reunio entre o auditor e os auditados; frequentemente casada com outras tcnicas: visita in loco, questionrios, test-deck; Seqncia dos procedimentos:
Analisar o PC e planejar a reunio com os profissionais envolvidos.
Marcar antecipadamente data, hora e local com os auditados; Comunicar a natureza de trabalho a ser desenvolvido; Realizar estas tarefas via carta ou memorando.
Prof. Dr. Hellinton H. Takada UNIFAI

Entrevistas no Ambiente Computacional


Elaborar um questionrio para realizao da entrevista; Realizao da reunio com a aplicao do questionrio e anotao das respostas e comentrios dos entrevistados a cada questo efetuada;
dependendo do nvel de sensibilidade das questes, as reunies devem ser individuais; devem ser respeitados os nveis hierrquicos das reas auditadas comunicando aos superiores a natureza da tarefa.

Elaborao de uma ata de reunio com o registro dos principais pontos discutidos a cada questo apresentada;
distribuir cpia da ata da reunio para cada participante de entrevista;

Anlise das respostas e formao de opinio acerca do nvel de CI do PC; Emisso do relatrio de fraqueza de CI.
Prof. Dr. Hellinton H. Takada UNIFAI

152

01/07/2012

Anlise de Relatrios/Telas
Implica a anlise de documentos, relatrios e telas do sistema sob auditoria: Realizar as entrevistas e anotar as observaes e comentrios dos usurios; Analisar as entrevistas e anotar as observaes e comentrios dos usurios; Analisar as respostas, formar e emitir opinio acerca do nvel de CI.
Prof. Dr. Hellinton H. Takada UNIFAI

Simulao Paralela
Elaborao de um sistema para simular as funes de rotina do sistema sob auditoria; Esta tcnica utiliza-se dos dados rotineiros alimentados rotina do sistema sob auditoria como entrada para o programa desenvolvido pelo auditor. Na simulao paralela simulamos o programa e submetemos os mesmos dados que foram alimentados ao programa em processamento normal, diferente do test-deck. Aplicao
Elaborao de um sistema com a lgica da rotina a ser auditada; Compilao e teste do sistema; Preparao do ambiente de computao para processamento do sistema elaborado pelo auditor.
Prof. Dr. Hellinton H. Takada UNIFAI

153

01/07/2012

Anlise do Log/Accounting
O auditor dever usufruir de um sistema de auditoria de Log/Accounting, caso inexistente, adquirir ou construir; Este sistema trabalhar registros de:
contabilizao quais usurios utilizam quais programas e por quanto tempo; tempo de CPU por dia; tempo de uso de unidades de entrada e sada; quantidade de vezes de utilizao de unidades de entrada e sada; tempo de utilizao; quantidade de cancelamentos efetuados pelo operador;

Prof. Dr. Hellinton H. Takada UNIFAI

Anlise do Programa Fonte


Anlise visual do cdigo fonte do programa componente do sistema sob auditoria; O auditor necessita assegurar-se de que est testando a verso correta do programa; Exige do auditor profundos conhecimentos em PED; Permite ao auditor:
Analisar a qualidade da estruturao dos programas; Detectar vcios de programao e o nvel de atendimento s caractersticas da linguagem de programao utilizada.

Prof. Dr. Hellinton H. Takada UNIFAI

154

01/07/2012

Snapshot
Tcnica que fornece uma listagem ou gravao do contedo das variveis do programa (acumuladores, chaves, reas de armazenamento) quando determinado registro est sendo processado; uma tcnica usada como auxlio depurao de programas, quando h problemas que realmente exige fortes conhecimentos de PED.
Prof. Dr. Hellinton H. Takada UNIFAI

Trabalho em Grupo:
Elaborar:
Documento de Auditoria com Levantamento de Vulnerabilidades de Segurana de TI Documento de Auditoria com Estudo de Riscos de Segurana de TI Documento de Auditoria com Mecanismos/Solues para as Vulnerabilidades de Segurana de TI (Seguindo as orientaes passadas pelo professor em aula!)

Prof. Dr. Hellinton H. Takada UNIFAI

155