Você está na página 1de 32

UNIP INTERATIVA

Projeto Integrado Multidisciplinar Cursos Superiores de tecnologias

PIM VI Estudo de caso

A Empresa Champions Indústria Farmacêutica S.A. – fase II

2013

Belo Horizonte, Ipatinga, Novo Hamburgo

2013

UNIP INTERATIVA

Projeto Integrado Multidisciplinar Cursos Superiores de tecnologias

PIM VI Estudo de caso

A Empresa Champions Indústria Farmacêutica S.A. – Fase II

2013

Nome: André Luiz Pati da Costa RA nº: 1225517 Pólo: Novo Hamburgo/RS

Breno Colombo Fonseca RA : 1118715 Pólo: Ipatinga/MG

Nome: Glauber Cardoso de Oliveira

RA nº: 1110164 Pólo: Belo Horizonte - Lurdes/MG

Curso: Gestão de TI

Belo Horizonte, Ipatinga, Novo Hamburgo

Resumo

2013

A empresa Champions Industria Farmacêutica S.A., com sede em Tóquio, Japão, visa a abertura do mercado brasileiro com ênfase no Mercosul, decidindo abrir no Brasil sua filial de negócios, que será responsável pela operacionalização de suas transações e ampliação de sua abrangência no mercado sul-americano. Para isso deverá ser definido todo o projeto de sistema ERP ou SIGE com plano de implementação e gerenciamento da infraestrutura, bem como PCN e políticas de segurança de informação.

Palavras chave: mercado, operacionalização, ERP ou SIGE, PCN, políticas de segurança de informação.

Abstract

The company Champions Pharmaceutical Industry S.A., headquartered in Tokyo, Japan, is to open the Brazilian market with emphasis on Mercosul, Brazil in deciding to open your affiliate business, you will be responsible for the operation of it’s transactions and expand it’s coverage in southern market America. To this must be set the whole project with ERP or SIGE system implementation plan and infra- structure management and security policies and PCN information.

Key words: market, operations, ERP or SIGE, PCN, Security Policy Information.

Sumário

1- Introdução--------------------------------------------------------------08

  • 2- SIGE para a Champions Ind. Farm.-----------------------------09

2.1- Definição das Fases-------------------------------------------09 2.2- Descrição das Etapas-----------------------------------------10 2.3- Recursos----------------------------------------------------------10 3- O Serviço de Rede da Empresa-----------------------------------11 4- Projeto de um Data Center------------------------------------------18 5- Plano de gerenciamento da Equipe Técnica -------------------23 5.1- Estratégia de Gestão------------------------------------------23 5.2- Desenvolvimento da Equipe---------------------------------24 6- Plano de Continuidade de Negócios------------------------------27 6.1- Conceituação de fundamentos básicos-----------------27 6.2- Estruturando um plano de treinamento------------------28 7- Políticas de Segurança-----------------------------------------------30 8- Conclusão---------------------------------------------------------------30 9- Bibliografia---------------------------------------------------------------31

8

1- Introdução

Este trabalho tem por finalidade propor soluções técnicas viáveis para implantação na sede Brasil da empresa Champions Indústrias Farmacêuticas S.A., resolvendo os seguintes aspectos:

Definição completa de implementação e suporte de ERP ou SIGE, onde será acoplado ao sistema da matriz em Tóquio;

Criação de banco de dados destinado à sistema de vendas, também como conexão a matriz de Tóquio, bem como escolha de alocação em espaço próprio, terceirizado ou em computação em nuvem de acordo com a política de segurança de informação;

Planejar e definir o gerenciamento de infraestrutura priorizando a segurança da informação;

Definir Plano de Continuidade de Negócios para os ativos de TI (físicos e lógicos);

Definir Politica Corporativa de segurança da Informação, bem como traçar o plano de conscientização em segurança da informação baseados nas melhores práticas para criação e uso de senhas de acesso, permissão e uso de informações privilegiadas.

9

2- Sistema de Gestão Empresarial para a Champions Indústrias Farmacêutica (SIGE/CIF)

Diante do cenário competitivo e mutável no mercado atual, e a TI ter se inserido como ponto de apoio aos negócios das empresas, colaborando em caráter estratégico, uma ferramenta de apoio aos negócios no que tange às organizações multinacionais e de grande porte, torna-se extremamente necessária para estar firme diante desse cenário, podendo ser decisiva a adesão de uma ferramenta Enterprise Resource Planning (ERP) para ser utilizada como o sistema integrado de gestão empresarial de nossa filial.

Esta utilização dará amplo controle sobre a empresa a seus gestores e integrará todos as operações desta, identificando informações vitais de forma clara. Nossa filial necessitará da customização inicial para operação de apenas uma atividade transacional, o módulo de vendas com seus processos.

Após a fase de aquisição mediada aos critérios de atendimento ao universo do negócio da indústria farmacêutica e seleção criteriosa e referencial da empresa fornecedora e implementadora da ferramenta ERP quanto funcionalidades, principalmente em recursos para integrar-se de forma compatível ao ERP que está implantado na sede em Tóquio, deve-se tomar as metodologias para a correta inserção desta na organização da filial da Champions.

2.1- Definição das fases de Implantação

.Serão envolvidas três fases nesta implantação:

  • - estudo de implantação

  • - implantação

  • - entrada em produção

10

2.2- Descrição das etapas

O estudo de implantação é conhecido como fase de planejamento, define o que e como será implementado. O produto final desta fase é o plano do projeto devidamente aprovado.

A implantação é a fase de execução do plano de projeto. Os objetivos desta fase são a preparação do sistema, a validação das funcionalidades pelos usuários- chave e o treinamento para os demais usuários do sistema.

A

entrada

em

produção

é

o

início

da

utilização

do

sistema

e

o

acompanhamento do seu funcionamento durante um período. Estas fases possuirão sempre duas perspectivas de gestão:

- foco no produto

- foco no projeto.

A gestão do produto se preocupa com as funcionalidades do ERP que está sendo implantado e a gestão do projeto envolve as áreas de conhecimento previstas pelas melhores práticas de gerenciamento de projetos:

2.2- Recursos

Deverá ser feito a análise em acordo com a estrutura organizacional para o total atendimento da demanda, de forma a obter as informações para efetuar a implantação com os recursos necessários e de forma concisa, devendo ser levantados: composição de pessoal necessário, equipamentos e tecnologias a serem adquiridas, as ferramentas e todo o material de apoio necessários para a execução dos procedimentos.

11

  • 3- Projeto do Datacenter

Um Data Center é uma modalidade de serviço de valor agregado que oferece recursos de processamento e armazenamento de dados em larga escala para que organizações de qualquer porte e mesmo profissionais liberais possam ter ao seu alcance uma estrutura de grande capacidade e flexibilidade, alta segurança, e igualmente capacitada do ponto de vista de hardware e software para processar e armazenar informações. Atualmente podemos definir duas categorias principais de Data Centers:

Data Center Privado (PDC) e o Internet Data Center (IDC). Um PDC pertence e é operado por corporações privadas, instituições ou agências governamentais com o propósito principal de armazenar dados resultantes de operações de processamento interno e também em aplicações voltadas para a Internet. Por outro lado, um IDC normalmente pertence e é operado por um provedor de serviços de telecomunicações, pelas operadoras comerciais de telefonia ou outros tipos de prestadores de serviços de telecomunicações. O seu objetivo principal é prover diversos tipos de serviços de conexão, hospedagem de sites e de equipamentos dos usuários. Os serviços podem incluir desde comunicações de

12

longa

distância,

Internet,

acesso,

armazenamento

de

conteúdo,

etc.

12 longa distância, Internet, acesso, armazenamento de conteúdo, etc. 3.1- Serviços oferecidos em um Datacenter Serviços

3.1- Serviços oferecidos em um Datacenter

Serviços básicos - Está incluso no colocation um pacote de serviços básicos para o funcionamento dos equipamentos, sem custo adicional e mantendo o padrão em todo o DataCenter.

Os serviços disponibilizados são:

• Monitoramento pró-ativo com notificação; • Servidor de DNS (Servidor de Domínio de Nomes) primário e secundário; • Suporte técnico 24 x 7 x 365; • Segurança predial;

13

• Serviço de reset (ligar/desligar equipamento); • Monitoramento de rede; • Infra-estrutura redundante; • Sala de incubação (desembalagem e configuração).

Serviços complementares - Contratando o colocation o cliente recebe uma série de serviços. Mas também pode implementar sua aquisição com opcionais que vão proporcioná-lo o mais completo leque de serviços que uma empresa pode receber em colocation. Este serviço é dedicado às empresas que precisam de alta qualidade em infra-estrutura, conectividade entre os escritórios e/ou à internet. Além disso, existe um espaço especializado - uma estrutura física completa como se fosse seu próprio escritório, onde são disponibilizados micro, fax e terminais telefônicos. Esse serviço é vendido em m², cages (gaiolas) ou 1/2 rack e conexões (IP, internet, frame relay, ATM, etc.) a partir de 64 Kbps.

3.2- Serviços oferecidos em um Datacenter

A escolha do local para implantação do IDC deve ser feita levando-se em consideração a região, compatível com o Código de Zoneamento do Município, tamanho do terreno, acesso fácil para a entrega de equipamentos, áreas altas sem inundações e existência de infra-estrutura básica de esgoto, água, telefonia e energia elétrica. Critérios de Escolha do Local • Estar próximo a pontos de presença de redes de acesso de fibra óptica possibilitando a ligação de dois troncos diferentes. • Disponibilidade de energia com possibilidade de obtenção de duas entradas de energia • Escalabilidade, permitir o aumento da área construída ao longo do tempo.

3.4- Construção As principais áreas componentes de um IDC são: Hall Social, e as salas de reunião para recepção de visitante. Área administrativa:

14

• Operação, manutenção e armazenagem de equipamentos. • Sala de equipamentos incluindo sala de servidores pra hospedagem e co-location e sala de telecomunicações. • Sala de equipamentos dos segmentos energia elétrica e ar condicionado. • Grupo Moto Gerador e tanque de combustível geralmente localizado em área externa ao IDC.

O Objetivo do planejamento do espaço é:

• Ter as instalações com 60% da área total dedicadas à sala de Equipamentos do Data Center. • Promover o “estado da arte” nas instalações desde o sistema operacional até o nível do gerenciamento do banco de dados. • Promover instalações que reflita a imagem de uma empresa de alta tecnologia, negócio de risco de investimentos de alta rentabilidade, de funcionalidade e controle.

Usualmente o IDC é dividido em três zonas físicas de segurança em ordem crescente de restrição de acesso:

Zona I - Áreas públicas incluindo o Hall Social, área para visitantes e áreas administrativas. Zona II - Áreas de Operação do IDC. Zona III - Salas de Equipamentos, coração do IDC, onde estão localizados os servidores, o “shaft” de cabos, as unidades de distribuição de energia (PDUs), baterias e máquinas de ar condicionado. 3.4- Construção A Construção deve prover uma estrutura sólida segura compondo as instalações que complementam e protegem os equipamentos e informações que residem no IDC.

Energia Elétrica O segmento elétrico é constituído pelo Sistema Ininterrupto de Energia (UPS), o Sistema de energia de Emergência e as unidades de distribuição de potência (PDU). O sistema ininterrupto de energia (UPS) tem a função de fornecer energia para todos os equipamentos do Data Center, incluindo equipamentos de segurança

15

e detecção e alarme de incêndio. Ele é composto por conjuntos de No-Breaks compostos por baterias, retificadores e inversores. Estes No-Breaks, redundantes, ligados em paralelo, assegurarão o suprimento contínuo de energia mesmo em caso de falha de transformadores, entrada de energia ou algum conjunto de No-Breaks. Os bancos de baterias são dimensionados para alimentarem as cargas por um período de 15 minutos. Este tempo é suficiente para partida e conexão dos geradores a diesel em caso de falta de energia elétrica da Concessionária.

3.5- Ar Condicionado

O segmento de Ar Condicionado tem a função de manter um ambiente controlado de temperatura e umidade nas instalações do IDC. O segmento de Ar Condicionado inclui o sistema de refrigeração, unidades de tratamento do ar e sistema de Distribuição de Ar condicionado. Ele deve estar ligado aos geradores de energia de emergência. O Sistema de Refrigeração deve prover aquecimento, resfriamento, umidificação e desumidificação da edificação. O Sistema de Tratamento de Ar deve ser separado em três tipos de área:

Sala de Equipamentos do Data Center, área de Escritórios, Salas de Equipamentos de Ar condicionado e Elétricos. A separação é devida às diferenças de calor sensível e calor latente de cada área às condições de temperatura e umidade.

O Sistema de Distribuição de Ar Condicionado para a Sala de Equipamentos do Data Center utilizará o sistema de insuflamento de ar pelo pleno criado por baixo do piso elevado. Este sistema de insuflamento pelo piso elevado implica em uma altura mínima de 60 cm., que dependendo da quantidade de conduítes, tubulação, esteiramentos, etc, deverá ter sua altura ajustada de maneira a permitir a circulação do ar ao longo de toda a sala do Data Center. O Objetivo é operar 24 horas por dia nos 7 dias da semana. Uma climatização adequada é fundamental para a manutenção do desempenho e segurança do funcionamento dos serviços de Data Center.

3.6- Sistema de Proteção Contra Incêndio

16

O Data Center é uma instalação para aparelhos eletrônicos essenciais, como servidores e outros tipos de computadores e equipamentos de telecomunicações. Além de atende ás normas do Corpo de Bombeiros local, o sistema de proteção contra incêndio deverá procurar evitar danos nos equipamentos em caso de incêndio. Uma das melhores soluções de combate a incêndio para as salas de Equipamentos é uma combinação do Sistema de Combate com Chuveiros Automáticos de Pré Ação (com tubulação seca) acima do piso elevado e o sistema de Combate a Incêndios por Gás FM 200 abaixo do piso elevado. O sistema de combate com gás será conectado a um sensível sistema de detecção e será o primeiro a ser acionado. O gás é espalhado pela área, não deixando resíduos que danifiquem os equipamentos sensíveis ou que requisitem um custo de limpeza dos equipamentos. O sistema de pré-ação quando acionado desencadeia a descarga de água somente nos sprinklers que tenham sido operados pelo calor acima do incêndio.

3.7- Sistema de Supervisão e Controle O sistema de supervisão e controle monitora continuamente os vários segmentos do IDC controlando itens como:

• Controle de carga e paralelismo dos grupos geradores • Supervisão e controle dos painéis de média tensão • Supervisão e controle dos painéis de baixa tensão • Integração com sistema dos geradores • Integração com sistema de retificadores

O Sistema é formado por microcomputadores de última tecnologia capazes de resistir ao uso contínuo, adequado para sistemas de supervisão e controle. Os mesmo são redundantes entre si, permitindo alta flexibilidade e performance do sistema.Caso ocorra alguma falha em qualquer dos PCs o seu consecutivo assume automaticamente. O IDC dispõe ainda de um sistema de circuito fechado de TV e de controle de acesso que controla a entrada ou saída nas várias salas e zonas físicas de segurança do IDC. 3.8- Considerações Gerais de Projeto

17

Sala de equipamentos tende a ser um espaço centralizado para alojamento dos equipamentos de telecomunicações (PABX’s, servidores, roteadores, dentre outros) de um edifício, localizando-se próximo à rota do backbone. Seu tamanho tem como limite mínimo de 14m², porém para atender as características de específicos equipamentos, há a necessidade de efetuar de efetuar um projeto permitindo uma ocupação não uniforme do edifício, provendo de 0,07m de espaço da sala de equipamentos para cada 10m de espaço utilizável do piso. Em caso da sala de equipamentos estiver sendo projetada em andar, verificar que a capacidade do piso agüentará o peso dos equipamentos a serem instalados, bem como verificação de interferências, vibrações, altura, HVAC (equipamento dedicado à sala de equipamentos), iluminação, energia e prevenção de incêndios.

17 Sala de equipamentos tende a ser um espaço centralizado para alojamento dos equipamentos de telecomunicações
  • 4- Os Serviços de rede da Empresa

4.1- Definição de layout dos servidores

Visando

a

segurança

da

informação,

integridade

dos

dados

e

a

disponibilidade dos serviços, o gerente de infraestrutura de TI juntamente com os diretores da empresa, definiram que alocar os principais servidores em seu próprio datacenter e o layout dos servidores ficou da seguinte maneira:

Servidor 1 (Autenticação de usuários e compartilhamento de arquivos e pastas e impressão), usado para autenticação e gerenciamento dos usuários de serviços da rede, e compartilhamento de pastas e arquivos seguindo uma política de segurança pré definida de acordo com permissões de acesso de cada nível de usuário. Será usado uma máquina Dell modelo

Estações de trabalho de

18

18 Servidor em rack PowerEdge C2100 com o Sistema Operacional Windows Server 2008 R2 com o

Servidor em rack PowerEdge C2100 com o Sistema Operacional Windows Server 2008 R2 com o serviço de Active Directory instalado e configurado e o sistema de compartilhamento de pastas e arquivos com discos rígidos instalados em RAID 1, este servidor poderá ser usado também para instalação de certificados de autenticação de

sistemas contábeis e administrativos. Como a demanda de serviços de impressão da empresa não é muito, o próprio servidor 1 foi habilitado para

virtual
virtual

gerir este serviço, ficando ele rodando uma máquina

também com o Windows server 2008, somente para instalar e

compartilhar as impressoras do local.

Servidor 2 ( Link´s de internet) , por questões de custo de licenciamento de software, ficou definido que esta máquina usará software livre, foi instalado uma distribuição leve do Linux, o Ubuntu, onde será implementado o Squid, para servir cahe de páginas acessadas na internet e controle de acesso à sites indevidos pelos usuários da empresa. O cache tem como função principal, armazenar temporariamente conteúdos acessados da internet, quando um outro usuário for acessar este mesmo conteúdo, o acesso de dará de forma mais rápida pois estará localmente no servidor e não na internet. O diretor da empresa, criou uma lista de sites onde foi configurado no squid para que os usuários sejam impedidos de realizar este acesso, como redes sociais, conteúdos adultos e outros.

18 Servidor em rack PowerEdge C2100 com o Sistema Operacional Windows Server 2008 R2 com o

19

Servidor 3 ( Servidor de Banco de Dados) , A base de dados de todos os sistemas da empresa desde fiscal, contábil, administrativo e outros, estão instalados em um servidor dedicado e locado no datacenter da empresa, este servidor foi projetado para que a carga de processamento e tráfego de informações fossem suficiente para atender com uma grande margem de tolerância todos os requisitos de leitura e gravação de dados dos sistemas e usuários da empresa. Foi instalado o sistema operacional Windows 2008 server r2 com o SQL server 2012.

19 Servidor 3 ( Servidor de Banco de Dados) , A base de dados de todos
19 Servidor 3 ( Servidor de Banco de Dados) , A base de dados de todos

Servidor

4

( Correio eletrônico)

,

para atender os

usuários da empresa do que diz respeito a correio eletrônico, ficou definido que este serviço será

terceirizado,

para

facilitar

o

gerenciamento

e

reduzir

custos, pois assim evitaria de ter uma máquina exclusiva

para isto, além é

claro de um profissional no local para

administrar o servidor e as contas de e-mail, sendo assim foi contratado o serviço da Google Mail onde a própria empresa terceirizada administra os servidores, em oferecem ferramentas de anti-spam e pragas virtuais, com um espaço de até 25 GB por conta de usuário a um custo de 5 dólares por usuário / mês

4.2- Backup da Base de dados

Por questões de segurança, a política de backup da base de dados dos sistemas utilizados na empresa, além de uma cópia feita diariamente em discos locais e em fitas DAT, ao final do expediente, o backup é feito em uma conta em um servidor remoto, realizado assim uma cópia de segurança nas nuvens, como ilustra a figura a seguir .

Topologia tipo árvore

20

5- Plano de Gerenciamento de Suporte Técnico ao usuário

A difícil tarefa de atendimento às necessidades organizacionais nos leva a um pensamento reflexivo sobre a revisão das tarefas operacionais da empresa. Diante dos problemas deparados com estas questões, por mais que tenhamos uma equipe treinada, é necessário dar apoio incondicional visto que esse levara a maior produtividade da empresa. Uma equipe de suporte técnico com uma estratégia bem definida de atendimento é um ponto crucial para a eficiência da TI, e geração de resultados satisfatórios no índice de produtividade dos usuários internos do sistema que demandam as atividades que influenciam diretamente a empresa.

21

5.1- Estratégia de Gestão

O Gestor responsável da equipe técnica de suporte deverá olhar para ela

sob três diretrizes: análise; controle; programação. Na análise deverá acompanhar o rendimento da equipe em face dos atendimentos, individualmente e do grupo, de forma que o leve a produzir relatórios com composição de formatos desta que levam a resultados satisfatórios, criando índices que levem a geração de dados. O controle envolverá a definição de padrões diante desses dados, de forma que se obtenha uma situação ideal de atendimento, que precisa ser mantida, cumprindo com a satisfação dos usuários e produtividade do corpo de profissionais que leva a funcionalidade positiva da empresa.

A

programação

envolverá

as

ações

que

deverão

ser

tomadas diante das informações geradas com a análise e controle, onde funções

deverão ser redefinidas, atividades redistribuídas ou membros da equipe realocados, de forma a se buscar a situação ideal.

5.2- Desenvolvimento da Equipe Técnica

O Gestor responsável motivar a equipe a buscar resultados, promovendo ações de capacitação, orientando e aconselhando aos membros a se darem apoio de forma a alcançarem o bem coletivo. O atendimento ao usuário é um desafio complexo, diante da diversidade dos profissionais que estão em exercício na empresa, com graus de conhecimento diferenciados, o que acarreta mais um esforço do técnico em querer ajudar o parceiro a preencher essa insuficiência e não somente resolver o problema de forma instantânea, devendo o gestor incentivar essa cultura que visa a melhoria da organização empresarial e o bem comum do corpo de profissionais e envolvidos.

6- Plano de Continuidade de Negócios (PCN)

O Plano de Continuidade de Negócios - PCN (do inglês Business Continuity

Plan

-

BCP),

estabelecido

pela

norma ABNT

NBR

15999 Parte

1,

é

o

desenvolvimento preventivo de um conjunto de estratégias e planos de ação de

22

maneira a garantir que os serviços essenciais sejam devidamente identificados e preservados após a ocorrência de um desastre, e até o retorno à situação normal de funcionamento da empresa dentro do contexto do negócio do qual ela faz parte. O plano de continuidade de negócios é responsabilidade dos dirigentes da organização. A equipe de gerência da segurança pode auxiliar nessa tarefa, mas não pode ser responsabilizada por sua inteira implementação. Tal auxílio pode contemplar a criação, manutenção, divulgação e coordenação do plano de contingências. Além disso, sob o ponto de vista do PCN, o funcionamento de uma empresa deve-se a duas variáveis: os componentes e os processos. Os componentes são todas as variáveis utilizadas para realização dos processos: energia, telecomunicações, informática, infra-estrutura, pessoas. Todas elas podem ser substituídas ou restauradas, de acordo com suas características. Já os processos são as atividades realizadas para operar os negócios da empresa. O Plano de Continuidade de Negócios é constituído pelos seguintes planos:

Plano de Contingência,

Plano de Administração de Crises (PAC),

Plano de Recuperação de Desastres (PRD) e

Plano de Continuidade Operacional (PCO).

Todos estes planos têm como objetivo principal a formalização de ações a serem tomadas para que, em momentos de crise, a recuperação, a continuidade e a retomada possam ser efetivas, evitando que os processos críticos de negócio da organização sejam afetados, o que pode acarretar em perdas financeiras. No que diz respeito à necessidade de atualizações, o Plano de Continuidade de Negócios deve ser revisado periodicamente, pois mudanças significativas em componentes, atividades ou processos críticos de negócio podem fazer com que novas estratégias e planos de ação sejam previstos, evitando assim com que eventuais desastres desestabilizem profundamente o andamento regular do negócio da empresa. Desastre pode ser entendido como qualquer situação que afete os processos críticos do negócio de uma organização. Consequentemente, algumas ocorrências podem ser caracterizadas como sendo desastres para uma determinada empresa, mas podem não ser caracterizadas como um desastre para outra empresa.

23

6.1- Propósito do Plano de Continuidade de Negócios (PCN)

O propósito de um plano de continuidade de negócios, é permitir que uma

organização recupere ou mantenha suas atividades em caso de uma interrupção das operações normais de negócios. Os PCN são ativados para dar suporte às atividades críticas necessárias para cumprir os objetivos da organização. Eles podem ser executados integral ou parcialmente e em qualquer etapa da resposta a um incidente. O conteúdo e os componentes dos PCN variam de organização para organização e possuem diferentes níveis de detalhe, dependendo da escala, ambiente, cultura e complexidade técnica da organização. Algumas organizações de grande porte podem necessitar de documentos

separados para cada uma de suas atividades críticas, enquanto as organizações menores podem ser capazes de abordar todos os aspectos críticos em um único documento.

Conteúdo do PCN

Convém que um PCN contenha seguintes elementos:

- Planos de ação/Listas de tarefas Convém que o plano de ação inclua uma lista estruturada de ações e tarefas em ordem de prioridade, destacando-se:

  • a) como o PCN é ativado;

  • b) as pessoas responsáveis por ativar o plano de continuidade de negócios;

  • c) o procedimento que esta pessoa deve adotar ao tomar esta decisão;

  • d) as pessoas que devem ser consultadas antes desta decisão ser tomada;

  • e) as pessoas que devem ser informadas quando a decisão for tomada;

  • f) quem vai para onde e quando;

  • g) quais serviços estão disponíveis, aonde e quando, incluindo como a organização

mobilizará seus recursos externos e de terceiros;

  • h) como e quando esta informação será comunicada; e

  • i) se relevante, procedimentos detalhados para soluções manuais, recuperação dos

sistemas etc. Os planos devem referenciar as pessoas, instalações, tecnologia, informação, suprimentos e partes interessadas identificados na fase de estratégias. Devem ser incluídas premissas claras e detalhamentos sobre quaisquer recursos necessários para implementar os planos. Caso a falta de um serviço ou recurso torne os

24

objetivos desse plano inalcançáveis, um procedimento claro deve ser definido para que o problema seja escalado a um nível mais alto.

Recursos necessários

Convém que os recursos necessários para a continuidade e recuperação dos negócios sejam identificados em diferentes pontos no tempo. Estes podem incluir:

  • a) pessoas, o que pode incluir:

    • - segurança,

    • - logística de transporte,

    • - necessidades de bem-estar e

    • - gastos de emergência;

      • b) instalações;

      • c) tecnologia, incluindo comunicações;

      • d) informações, o que pode incluir:

        • - detalhes financeiros (por exemplo, folha de pagamento),

        • - registros de contas de clientes,

        • - detalhes de fornecedores e partes interessadas,

        • - documentos legais (por exemplo, contratos, apólices de seguro, escrituras etc.), e

        • - outros documentos de serviços (por exemplo, acordos de nível de serviços);

          • e) Suprimentos; e

          • f) Gestão das partes interessadas e da comunicação com estas.

            • - Responsáveis Convém que a organização identifique e designe um responsável

para gerenciar as fases da continuidade e da recuperação dos negócios que ocorrem após uma interrupção de serviços. Em muitos casos, é desejável que a organização designe os mesmos indivíduos identificados no plano de gerenciamento de incidentes para gerenciar as questões de longo prazo.

25

- Formulários e anexos Quando apropriado, convém que o PCN possua detalhes de contato atualizados das agências pertinentes internas e externas, organizações e fornecedores que possam ser necessários para o suporte da organização. Convém que o plano de continuidade de negócios inclua um registro de incidentes ou formulários para o registro de informações vitais, principalmente como consequência de decisões tomadas durante sua execução. O plano pode incluir também formulários para armazenar dados administrativos, como, por exemplo, os recursos usados, material para controle de despesas, mapas, desenhos e plantas do local e do escritório, especialmente aqueles relacionados a instalações alternativas, tais como áreas de recuperação do local de trabalho e de armazenagem.

Planejamento do PCN

Conforme as políticas e normas estabelecidas para criação do PCN deverá ser instituído Comitê do Plano de Continuidade de Negócio (CPCN), e ser nomeado um coordenador (Business Continuity Coordinator - BCC), que será responsável pela gestão de tal comitê.

Responsabilidade do Comitê do Plano de Continuidade de Negócio (CPCN)

Elaborar, revisar, avaliar e aplicar testes relativos ao PCN, integrando todas as áreas de saber e de negócio a que o plano diz respeito, tendo apoio da alta gestão.

Desenvolvimento do Plano Para elaboração do Plano de Contingência da CIF/SA 1 nesta primeira versão propõe-se a abordagem abaixo:

a) Identificar os Processos de Negócio b) Avaliar os Riscos e Impactos da TI para a CIF/SA c) Avaliar os Riscos e Impactos do RH para CIF/SA d) Identificação de medidas para cada incidente com base na Análise de Riscos e Impactos.

Período para revisão do PCS

26

O período de vigência do PCN deve ser de no máximo 90 dias, onde deve ser reunido o CPCN, afim de discutir modificações no texto anterior, quantas forem necessárias. Seu período de divulgação será no dia posterior a reunião da comissão, esta será feita por impresso informativo padrão entregue diretamente aos líderes de equipe, que fara os devidos treinamentos necessários segundo as determinações descritas no documento.

Fluxograma de ação modelo para acionamento em situações emergenciais.

Acionamento do

desastre

Iniciar procedimentos de resposta

emergencial, indicados no Plano de

Adicionar equipes

de emergência

Fim dos procedimentos

de resposta emergêncial

Informar ao CPCN

Estabiliza a situação

e volta a

Avaliação dos danos

e tempo de parada

Sim

Não

Ativar Plano de

 

Recuperação de

Caracteriza um desastre?

Enviar relatório ao coordenador do

PCN que o encaminhará ao CPCN e a

Fim do desastre

27

6.2- Análise de impacto de riscos de TI para CIF/AS

Tabela de riscos de TI que geram impacto para CIF/AS

Código do risco

Risco de TI

Impacto do risco

CIFRSC001

Falha

ou

paralização

nos

Paralização dos serviços de internet

serviços de internet.

bem como transmissão e recebimento online de documentos entre matriz (Japão) e filial (Brasil).

CIFRSC002

Inexistência de equipamentos de

Paralização da rotina trabalhista dos

TI de reserva para suprir as

usuários por conta

da

de

falta

de

necessidades dos setores.

microcomputadores

reposição

 

para

substituição

causada

por

problemas técnicos.

 

CIFRSC003

Falha no

banco de dados e/ou

Paralização dos sistemas de tomada

ERP.

de decisão e apoio gerencial.

CIFRSC004

Paralização

e/ou

atraso

na

 

Falha no cumprimento das SLAs

manutenção

de

terminais

e

de manutenção.

servidores.

CIFRSC005

Ativos de TI fora de garantia.

Ativos sem garantia e suporte adequado ocasionando a parada dos mesmos quando algum incidente

ocorrer.

Este

risco

impacta

diretamente a CIF/SA que pode ficar

com tal

ativo

parado na

espera da

volta da normalidade do mesmo.

28

6.3- Identificação de Medidas para cada Incidente

Segue abaixo a lista de medidas a serem postas em prática de acordo com a situação atual e situação ideal caso as falhas listadas no item Análise e Impacto de Riscos da CTI para CIF/SA venham a ocorrer.

Código do risco

Situação atual

 

Situação ideal

 

CIFRSC001

Aquisição

de

um

novo

Ter um,

dois

ou

 

mais

serviços

de

serviço

de

internet

para

internet

para

contingência,

não

CIF/AS Brasil.

 

dependendo de um único serviço.

 

CIFRSC002

Aquisição

de

novos

Ter um,

dois

ou

 

mais contratos

de

microcomputadores

para

fornecimento

e

manutenção de

reserva

da

CIF/SA

para

microcomputadores. Já ter disponível

reposição

técnica

quando

no

depósito

de

TI

o mínimo

de

10

necessário.

 

microcomputadores

para

reposição

 

técnica.

 

CIFRSC003

Sistema de backup de rotina para reintegração do ERP.

Ter dois servidores ou mais rodando a mesma aplicação para quando um falhar entra o outro automaticamente mantendo assim o sistema atuante.

CIFRSC004

Comunicação direta com o

Manter dois ou mais contratos com

contratado

 

para

provedores de serviços diferentes para

regularização dos serviços.

manter a manutenção dos equipamentos, cobrança e execução do SLA diária pelo helpdesk.

CIFRSC005

Aquisição do

ativo

de TI

Ter

contrato

de

garantia

estendido

danificado, ou solicitação de

junto a um, dois ou mais fornecedores

conserto do mesmo por conta

dos ativo

de

 

TI,

além

do

da CIF/SA.

acompanhamento

de

tais

contratos

 

para que seja acompanhado o prazo

de

garantia

de

cada

um

e

que

a

solicitação de extensão da

29

garantia seja realizada da forma mais breve possível junto aos fornecedores, antes do término da mesma.

7- Políticas de Segurança

De acordo com o RFC 2196 (The Site Security Handbook), uma política de segurança consiste num conjunto formal de regras que devem ser seguidas pelos utilizadores dos recursos de uma organização. As políticas de segurança devem ter implementação realista, e definir claramente as áreas de responsabilidade dos utilizadores, do pessoal de gestão de sistemas e redes e da direção. Deve também adaptar-se às alterações na organização. As políticas de segurança fornecem um enquadramento para a implementação de mecanismos de segurança, definem procedimentos de segurança adequados, processos de auditoria à segurança e estabelecem uma base para procedimentos legais na sequência de ataques. O documento que define a política de segurança deve deixar de fora todos os aspectos técnicos de implementação dos mecanismos de segurança, pois essa implementação pode variar ao longo do tempo. Deve ser também um documento de fácil leitura e compreensão, além de resumido. Algumas normas definem aspectos que devem ser levados em consideração ao elaborar políticas de segurança. Entre essas normas estão a BS 7799 (elaborada pela British Standards Institution) e a NBR ISO/IEC 17799 (a versão brasileira desta primeira). A ISO começou a publicar a série de normas 27000, em substituição à ISO 17799 (e por conseguinte à BS 7799), das quais a primeira, ISO 27001, foi publicada em 2005. Existem duas filosofias por trás de qualquer política de segurança: a proibitiva (tudo que não é expressamente permitido é proibido) e a permissiva (tudo que não é proibido é permitido).

7.1-

Que

elementos

considerados?

da

política

de

segurança

devem

ser

30

A Disponibilidade: o sistema deve estar disponível de forma que

quando o usuário necessitar, possa usar. Dados críticos devem estar disponíveis ininterruptamente.

A Legalidade.

A Integridade: o sistema deve estar sempre íntegro e em condições de

ser usado.

A Autenticidade: o sistema deve ter condições de verificar a identidade dos usuários, e este ter condições de analisar a identidade do sistema.

A Confidencialidade: dados privados devem ser apresentados somente

aos donos dos dados ou ao grupo por ele liberado.

7.2 - Políticas de Senhas

Dentre as políticas utilizadas pelas grandes corporações, a composição da senha ou password é a mais controversa. Por um lado profissionais com dificuldade de memorizar várias senhas de acesso, por outro funcionários displicentes que anotam a senha sob o teclado no fundo das gavetas, em casos mais graves o colaborador anota a senha no monitor. Recomenda-se a adoção das seguintes regras para minimizar o problema, mas a regra fundamental é a conscientização dos colaboradores quanto ao uso e manutenção das senhas.

Senha com data para expiração - Adota-se um padrão definido onde a senha possui prazo de validade com 30 ou 45 dias, obrigando o colaborador ou usuário a renovar sua senha.

Inibir a repetição - Adota-se através de regras predefinidas que uma senha uma vez utilizada não poderá ter mais que 60% dos caracteres repetidos, ex:

senha anterior “123senha” nova senha deve ter 60% dos caracteres diferentes como “456seuse”, neste caso foram repetidos somente os caracteres “s” “e” os demais diferentes.

Obrigar a composição com número mínimo de caracteres numéricos e alfabéticos - Define-se obrigatoriedade de 4 caracteres alfabéticos e 4

31

caracteres numéricos, por exemplo:1s4e3u2s ou posicional os 4 primeiros caracteres devem ser numéricos e os 4 subsequentes alfabéticos por exemplo: 1432seus.

Criar um conjunto com possíveis senhas que não podem ser utilizadas - Monta-se uma base de dados com formatos conhecidos de senhas e proibir o seu uso, como por exemplo o usuário chama-se Jose da Silva, logo sua senha não deve conter partes do nome como 1221jose ou 1212silv etc, os formatos DDMMAAAA ou 19XX, 1883emc ou I2B3M4. Recomenda-se ainda utilizar senhas com Case Sensitive e utilização de caracteres especiais como:

@ # $ % & *.

8- Conclusão

Na elaboração do trabalho confrontamos com diversos desafios gerenciais na implantação de uma empresa multinacional de grande porte com sua sede no Japão, onde necessitamos criar um setor de TI sólido e eficaz, desenvolvendo o projeto de implantação e suporte de um Sistema de Gestão Empresarial para a filial da empresa no Brasil, de forma a atender às suas estratégias de negócios e necessidades de seus clientes, definindo o plano de implantação e gerenciamento da Infraestrutura e do suporte técnico ao usuário, bem como o Plano de Continuidade de Negócios e as Políticas de segurança para a filial, priorizando a integridade e segurança das informações, que são imensamente importantes e decisivas para a inteligência organizacional da empresa, colocando-se em prática os conhecimentos adquiridos no conteúdo abordado das disciplinas que nos foram ministradas neste segundo bimestre: Planejamento Estratégico de TI, Modelagem de Sistemas de Informação e Segurança da Informação.

9- Bibliografia

http://www.aedb.br/seget/artigos07/1423_Artigo%20SEGET%204.pdf

32

http://www.linhadecodigo.com.br/artigo/2514/beneficios-e-dificuldades-na-

implantacao-de-sistemas-erp.aspx

http://rubenscastro.wordpress.com/011-como-implantar-um-erp/

http://www.numa.org.br/conhecimentos/conhecimentos_port/pag_conhec/ERP_v2.ht

ml

http://www.onclick.com.br/erp/ http://www.projetodiario.com.br/administracao - http://www.google.com/apps

http://pt.wikipedia.org/wiki/Sistema_integrado_de_gest%C3%A3o_empresarial

http://pt.wikipedia.org/wiki/Plano_de_continuidade_de_neg%C3%B3cios

Baseado no PCN da procuradoria geral do estado do Ceará e Petrobrás em seus respectivos documentos nos endereços:

http://wiki.pge.ce.gov.br/images/7/7c/CTI-DOC-014-

PLANO_DE_CONTINUIDADE_DE_NEG%C3%93CIO_-_03.pdf

http://www.petrobras.com.br/pt/noticias/conheca-nosso-plano-de-negocios-e-gestao-

2013-2017/

http://pt.wikipedia.org/wiki/Seguran%C3%A7a_da_informa%C3%A7%C3%A3o

Apostilas das respectivas matérias da UNIP