Conhecimentos Específicos - DATAPREV Analista de Desenvolvimento - Intensivão

Prof.
Marcio Hollweg
Conhecimentos Específicos - DATAPREV - Analista de Desenvolvimento - Intensivão
Aulas: 01 - 12

Conhecimentos Específicos - DATAPREV

Analista de Desenvolvimento - Intensivão
Professor: Marcio Hollweg
Aulas: 01 a 12
Prof. Marcio Hollweg www.aprovaconcursos.com.br Página 1 de 36

Prof. Marcio Hollweg
Aulas: 01 - 12

GERENCIA DE PROJETOS
A palavra “projeto” é muito comum e está presente nos diálogos de todos os dias. Porém, os conceitos que
se formaram em sua volta diferem de uma pessoa para a outra, e isso acontece porque o uso convencional
dessa palavra varia de situação a situação.
O próprio Governo Federal possui uma definição para projeto, tratando como um instrumento de
programação para alcançar o objetivo de um programa, envolvendo um conjunto de operações, limitadas no
tempo, das quais resulta um produto que concorre para a expansão ou aperfeiçoamento da ação do
Governo.
Pessoas envolvidas em projetos percebem que estes possuem algumas características típicas, diferentes,
por exemplo, de uma tarefa rotineira como a manutenção. Projetos possuem objetivos definidos e prazo de
conclusão, e para que isso aconteça com sucesso é preciso conduzir, coordenar e controlar um projeto e as
pessoas que o integram, surge então a Gerência de projetos.
Com o passar do tempo algumas normas começaram a ser escritas para a gerência de
projetos, e nos EUA foi criado o “Instituto de Gerência de Projetos” – PMI (Project
Management Institute), o qual tem sido responsável pelas mais recentes e importantes
contribuições nesse campo, especialmente o livro “Guide to the Project Management Body of
Knowledge”, conhecido como PMBOK, atualmente em sua 5ª Edição.
Antes de você começarmos a interagir e estudarmos os conceitos de Gerência de Projetos, é importante

entender perfeitamente a definições de projeto, evitando assim equívocos ou interpretações errôneas.
Um projeto é um conjunto de tarefas, arranjado numa seqüência ou relação definida, que produz um efeito ou
saída pré-definida. Um projeto sempre tem um começo, meio e um final.
PMI - Project Management Institute
O QUE É GERENCIAMENTO DE PROJETOS?

O gerenciamento de projetos é a aplicação de conhecimento, habilidades, ferramentas e técnicas às
atividades do projeto a fim de atender aos seus requisitos. O gerenciamento de projetos é realizado através
da aplicação e integração apropriadas dos 47 processos agrupados logicamente abrangendo os 5 grupos.
Os 5 grupos de processos são:
• Iniciação;
• Planejamento;
• Execução;
• Monitoramento e controle;
• Encerramento.
Gerenciar um projeto inclui:

• Identificação dos requisitos;
• Adaptação às diferentes necessidades, preocupações e expectativas das partes interessadas à
medida que o projeto é planejado e realizado;
• Balanceamento das restrições conflitantes do projeto que incluem, mas não se limitam a:
• Escopo;
• Qualidade;
• Cronograma;
• Orçamento;
• Recursos e
• Risco.
O projeto específico influenciará as restrições nas quais o gerente precisa se concentrar. A relação entre
esses fatores ocorre de tal forma que se algum deles mudar, pelo menos um outro fator provavelmente será
afetado.
Devido ao potencial de mudança, o plano de gerenciamento do projeto é iterativo e passa por uma
elaboração progressiva no decorrer do ciclo de vida do projeto. A elaboração progressiva envolve melhoria
contínua e detalhamento de um plano conforme informações mais detalhadas e específicas e estimativas
mais exatas tornam-se disponíveis. Isto é, conforme o projeto evolui, a equipe de gerenciamento poderá
gerenciar com um nível maior de detalhes.
RELACIONAMENTO ENTRE GERENCIAMENTO DE PROJETOS, DE PROGRAMAS E DE PORTFÓLIOS

Em organizações de gerenciamento de projetos maduras, o gerenciamento de projetos existe em um
contexto mais amplo regido pelo gerenciamento de programas e gerenciamento de portfólios.
As estratégias e prioridades organizacionais estão vinculadas e possuem relações entre portfólios e
programas, bem como entre programas e projetos individuais. O planejamento organizacional impacta o
projeto através de uma priorização de projetos baseada em risco, financiamento e no plano estratégico da
organização. O planejamento organizacional pode orientar o financiamento e dar suporte aos projetos
componentes com base nas categorias de risco, linhas específicas de negócios ou tipos gerais de projetos,
como infra-estrutura e melhoria de processos internos.

Aulas: 01 - 12

Os projetos, programas e portfólios possuem abordagens distintas. A Tabela abaixo apresenta a
comparação de visões de projeto, programa e portfólio em vários domínios, incluindo mudança, liderança,
gerenciamento e outros.
PROJETOS PROGRAMAS PORTFÓLIOS
Objetivos definidos. Escopo é Escopo mais amplo, para Escopo de negócio, que
Escopo elaborado progressivamente providenciar benefícios mais muda de acordo com os
durante o ciclo de vida significativos objetivos da organização
Mudanças são esperadas, e o
gerente implementa Ajustado de acordo com o
Podem vir de dentro ou de
Mudanças processos para sempre ambiente (demandas de
fora dos programas
monitorar e controlar as mercado, etc)
mudanças
Planos de alto nível, que Processos de
Do nível mais alto para o
Planejamento guiam o planejamento mais comunicação relativos ao
detalhe
detalhado portfólio
Gerenciar a equipe para
Gerenciar o staff e os Gerenciar o staff do
Gerenciamento alcançar os objetivos do
gerentes de projeto portfólio
projeto
Medido pela qualidade do Medido pela satisfação das
produto e do projeto, necessidades e benefícios Medido pelo valor
Sucesso
orçamento gasto e satisfação esperados na alçada do agregado ao negócio
do cliente programa
Valor agregado e
Monitoramento Na alçada do projeto Componentes do programa indicadores de
performance
GERENCIAMENTO DE PORTFÓLIOS
Um portfólio refere-se a um conjunto de projetos ou programas e outros trabalhos, agrupados para facilitar o
gerenciamento eficaz desse trabalho a fim de atingir os objetivos de negócios estratégicos. Os projetos ou
programas do portfólio podem não ser necessariamente interdependentes ou diretamente relacionados. Por
exemplo, uma empresa de infra-estrutura que tenha o objetivo estratégico de “maximizar o retorno sobre os
seus investimentos” pode compor um portfólio que inclua uma mescla de projetos em petróleo e gás,
energia, água, estradas, ferrovias e aeroportos. A partir dessa mescla, a empresa pode escolher gerenciar
projetos relacionados como um programa. Todos os projetos de energia podem ser agrupados como um
programa de energia. Da mesma forma, todos os projetos de água podem ser agrupados como um
programa de água.
O gerenciamento de portfólios se refere ao gerenciamento centralizado de um ou mais portfólios, que inclui
identificação, priorização, autorização, gerenciamento e controle de projetos, programas e outros trabalhos
relacionados, para atingir objetivos de negócios estratégicos específicos. O gerenciamento de portfólios se
concentra em garantir que os projetos e programas sejam analisados a fim de priorizar a alocação de
recursos, e que o gerenciamento do portfólio seja consistente e esteja alinhado às estratégias
organizacionais.
GERENCIAMENTO DE PROGRAMAS
Um programa é definido como um grupo de projetos relacionados gerenciados de modo coordenado para a
obtenção de benefícios e controle que não estariam disponíveis se eles fossem gerenciados
individualmente. Os programas podem incluir elementos de trabalho relacionado fora do escopo de projetos
distintos no programa. Um projeto pode ou não fazer parte de um programa, mas um programa sempre terá
projetos.
O gerenciamento de programas é definido como o gerenciamento centralizado e coordenado de um
programa para atingir os objetivos e benefícios estratégicos do mesmo. Os projetos dentro de um programa
são relacionados através do resultado comum ou da capacidade coletiva. Se a relação entre projetos for
somente a de um cliente, vendedor, tecnologia ou recurso compartilhado, o esforço deve ser gerenciado
como um portfólio de projetos e não como um programa.
O gerenciamento de programas se concentra nas interdependências do projeto e ajuda a determinar a
melhor abordagem para gerenciá-los. As ações relacionadas a essas interdependências podem incluir:
• Solução de restrições e/ou conflitos de recursos que possam afetar múltiplos projetos no sistema;
• Alinhamento da orientação estratégica/organizacional que afeta as metas e objetivos do projeto e
do programa e
• Solução de problemas e gerenciamento de mudanças em uma estrutura de governança
compartilhada.
Um exemplo de programa seria um novo sistema de satélite de comunicação com projetos para o design do
satélite e das estações terrestres, construção de cada uma delas, integração do sistema e lançamento do
satélite.

Aulas: 01 - 12

ESCRITÓRIO DE PROJETOS
Um escritório de projetos (Project Management Office, PMO) é um corpo ou entidade organizacional à qual
são atribuídas várias responsabilidades relacionadas ao gerenciamento centralizado e coordenado dos
projetos sob seu domínio. As responsabilidades de um PMO podem variar desde fornecer funções de
suporte ao gerenciamento de projetos até ser responsável pelo gerenciamento direto de um projeto.
Os projetos apoiados ou administrados pelo PMO podem não estar relacionados de outra forma que não
seja por serem gerenciados conjuntamente. A forma, função e estrutura específicas de um PMO depende
das necessidades da organização à qual ele dá suporte.
Um PMO pode receber uma autoridade delegada para atuar como parte interessada integral e um
importante deliberante durante o início de cada projeto, fazer recomendações ou encerrar projetos, ou ainda
tomar outras medidas conforme a necessidade para manter os objetivos de negócios consistentes. Além
disso, o PMO pode estar envolvido na seleção, no gerenciamento e na mobilização de recursos de projetos
compartilhados ou dedicados.
A principal função de um PMO é dar suporte aos gerentes de projetos de diversas maneiras, que incluem
mas não se limitam a:
• Gerenciamento de recursos compartilhados entre todos os projetos administrados pelo PMO;
• Identificação e desenvolvimento de metodologia, melhores práticas e padrões de gerenciamento
de projetos;
• Orientação, aconselhamento, treinamento e supervisão;
• Monitoramento da conformidade com as políticas, procedimentos e modelos padrões de
gerenciamento de projetos por meio de auditorias do projeto;
• Desenvolvimento e gerenciamento de políticas, procedimentos, formulários e outras
documentações compartilhadas do projeto (ativos de processos organizacionais) e
• Coordenação das comunicações entre projetos.
Os gerentes de projetos e os PMOs buscam objetivos diferentes e, por isso, são orientados por requisitos
diferentes. No entanto, todos esses esforços estão alinhados com as necessidades estratégicas da
organização. As diferenças entre o papel dos gerentes de projeto e de um PMO podem incluir:
• O gerente de projetos concentra-se nos objetivos especificados do projeto, enquanto o PMO
gerencia as principais mudanças do escopo do programa que podem ser vistas como possíveis
oportunidades para melhor alcançar os objetivos de negócios;
• O gerente de projetos controla os recursos atribuídos ao projeto para atender da melhor forma
possível aos objetivos do projeto, enquanto que o PMO otimiza o uso dos recursos organizacionais
compartilhados entre todos os projetos;
• O gerente de projetos gerencia as restrições (escopo, cronograma, custo e qualidade, etc.) dos
projetos individuais, enquanto o PMO gerencia as metodologias, padrões, o risco/oportunidade
global e as interdependências entre os projetos no nível da empresa.
PAPEL DE UM GERENTE DE PROJETOS

O gerente de projetos é a pessoa designada pela organização executora para atingir os objetivos do
projeto. O papel de um gerente de projetos é diferente de um gerente funcional ou gerente de operações.
Normalmente, o gerente funcional está concentrado em proporcionar a supervisão de gerenciamento de
uma área administrativa e os gerentes de operações são responsáveis por um aspecto do negócio principal.
Dependendo da estrutura organizacional, um gerente de projetos pode se reportar a um gerente funcional.
Em outros casos, um gerente de projetos pode ser um dos vários gerentes de projetos que se reporta a um
gerente de portfólios ou de programas que é, em última instância, o responsável pelos projetos no âmbito
da empresa. Nesse tipo de estrutura, o gerente de projetos trabalha estreitamente com o gerente de
portfólios ou de programas para atingir os objetivos do projeto e garantir que o plano do mesmo esteja
alinhado com o plano do programa central.
Muitas das ferramentas e técnicas de gerenciamento de projetos são específicas ao gerenciamento de
projetos. No entanto, compreender e aplicar o conhecimento, as ferramentas e as técnicas reconhecidas
como boas práticas não é suficiente para um gerenciamento eficaz.
Além de todas as habilidades da área específica e das proficiências ou competências de gerenciamento
geral exigidas, o gerenciamento de projetos eficaz requer que o gerente tenha as seguintes três
características :
1. Conhecimento. Refere-se ao que o gerente de projetos sabe sobre gerenciamento de projetos.
2. Desempenho. Refere-se ao que o gerente de projetos é capaz de realizar enquanto aplica seu
conhecimento em gerenciamento de projetos.
3. Pessoal. Refere-se ao comportamento do gerente na
execução do projeto ou de atividade relacionada. A
efetividade pessoal abrange atitudes, principais
características de personalidade e liderança; a
capacidade de orientar a equipe do projeto ao mesmo
tempo em que atinge objetivos e equilibra as restrições
do mesmo.

Aulas: 01 - 12

O CICLO DE VIDA DO PROJETO
O ciclo de vida de um projeto consiste nas fases do mesmo que geralmente são sequenciais e que às
vezes se sobrepõem, cujo nome e número são determinados pelas necessidades de gerenciamento e
controle da(s) organização(ões) envolvidas , a natureza do projeto em si e sua área de aplicação. Um ciclo
de vida pode ser documentado com uma metodologia. O ciclo de vida pode ser definido ou moldado de
acordo com aspectos exclusivos da organização, indústria ou tecnologia empregada. Ao passo em que
todos os projetos têm um início e um fim definidos, as entregas e atividades específicas conduzidas neste
ínterim poderão variar muito de acordo com o projeto. O ciclo de vida oferece uma estrutura básica para o
gerenciamento do projeto, independentemente do trabalho específico envolvido.
CARACTERÍSTICAS DO CICLO DE VIDA

Os projetos variam em tamanho e complexidade. Não importa se grandes ou pequenos, simples ou
complexos, todos os projetos podem ser mapeados para a estrutura de ciclo de vida a seguir
• Início do projeto;
• Organização e preparação;
• Execução do trabalho do projeto e
• Encerramento do projeto.
Esta estrutura genérica de ciclo de vida é frequentemente referenciada na comunicação com a alta
administração ou outras entidades menos familiarizadas com os detalhes do projeto. Esta visão de alto
nível pode oferecer um quadro de referência comum para comparação de projetos – mesmo que, em sua
natureza, eles não sejam semelhantes.
A estrutura genérica do ciclo de vida geralmente apresenta as seguintes características:

• Os níveis de custo e de pessoal são baixos no início, atingem um valor máximo enquanto o projeto
é executado e caem rapidamente conforme o projeto é finalizado. A linha pontilhada na anterior
ilustra este padrão típico.
• A influência das partes interessadas, os riscos e as incertezas são maiores durante o início do
projeto. Estes fatores caem ao longo da vida do mesmo.
• A capacidade de influenciar as características finais do produto do projeto, sem impacto
significativo sobre os custos, é mais alta no início e torna-se cada vez menor conforme o projeto
progride para o seu término.
A Figura ilustra a idéia de que os custos das mudanças e correções de erros geralmente
aumentam significativamente conforme o projeto se aproxima do término.
Dentro do contexto da estrutura genérica do ciclo de vida, um gerente de projetos pode determinar a
necessidade de um controle mais eficaz sobre certas entregas. Projetos grandes e complexos em particular
podem requerer este nível adicional de controle. Nestes casos, o trabalho realizado para atingir os objetivos
do projeto pode se beneficiar com a divisão formal em fases.
RELAÇÕES CICLO DE VIDA PROJETO x PRODUTO

O ciclo de vida do produto consiste em fases do produto, geralmente sequenciais e nãosobrepostas,
determinadas pela necessidade de produção e controle da organização. A última fase do ciclo de vida de
um produto é geralmente a retirada de circulação do produto. Geralmente o ciclo de vida de um projeto está
contido em um ou mais ciclos de vida do produto. É necessário ter cuidado para distinguir o ciclo de vida do
projeto do ciclo de vida do produto. Todos os projetos têm um fim ou objetivo, mas nos casos onde o
objetivo é um serviço ou resultado, pode-se definir um ciclo de vida para o serviço ou resultado em vez de
um ciclo de vida de produto.

Aulas: 01 - 12

Quando a saída do projeto está relacionada a um produto, existem muitas relações possíveis. Por exemplo,
o desenvolvimento de um novo produto pode ser um projeto em si. Ao mesmo tempo, um produto existente
pode se beneficiar de um projeto para o acréscimo de novas funções ou características, ou pode-se criar
um projeto para desenvolver um novo modelo. Vários aspectos do ciclo de vida do produto prestam-se à
execução como projetos; por exemplo, a realização de um estudo de viabilidade, a condução de pesquisas
de mercado, a execução de campanhas publicitárias, a instalação de um produto, realização de dinâmicas
de grupo e de avaliações de produtos em mercados de teste, etc. Em cada um destes exemplos, o ciclo de
vida do projeto difere-se do ciclo de vida do produto.
Como um produto pode ter muitos projetos associados a ele, é possível obter ganhos de eficiência
adicionais gerenciando-se todos os projetos relacionados em conjunto. Por exemplo, uma série de projetos
distintos pode ser relacionada ao desenvolvimento de um novo automóvel. Cada projeto pode ser distinto,
mas ainda assim contribuir com uma entrega-chave necessária para levar o automóvel ao mercado. A
supervisão de todos os projetos por uma autoridade superior pode aumentar significativamente a
probabilidade de sucesso.
FASES DO PROJETO
As fases do projeto são divisões de um projeto onde controle adicional é necessário para gerenciar de
forma efetiva o término de uma entrega importante. Geralmente as fases são terminadas sequencialmente,
mas podem se sobrepor em algumas situações . A natureza de alto nível das fases de um projeto as torna
um elemento do ciclo de vida do projeto. Uma fase não é um grupo de processos de gerenciamento de
projetos.
A estrutura de fases permite que o projeto seja segmentado em subconjuntos lógicos para facilitar o
gerenciamento, o planejamento e controle. O número de fases, a necessidade de fases e o grau de controle
aplicado depende do tamanho, grau de complexidade e impacto potencial do projeto. Independentemente
do número de fases que compõem um projeto, todas têm características semelhantes:
• Quando as fases são sequenciais, o encerramento de uma fase termina com alguma forma de
transferência ou entrega do produto do trabalho produzido como entrega da fase. O final desta
fase representa um ponto natural de reavaliação dos esforços em andamento e de modificação ou
término do projeto, caso necessário. Esses pontos também são chamados de saídas de fase,
marcos, passagens de fase, passagens de estágio, portões de decisão ou pontos de término.
• O trabalho tem um foco diferente de quaisquer outras fases. Isso geralmente envolve diferentes
organizações e conjuntos de habilidades.
• A principal entrega ou objetivo da fase requer um grau superior de controle para ser atingido com
sucesso. A repetição de processos entre todos os cinco grupos dos mesmos, proporciona o grau
de controle adicional e define os limites da fase.
Embora muitos projetos possam ter nomes de fases similares com entregas similares, poucos são
idênticos. Alguns terão somente uma fase, conforme exibido na figura abaixo. Outros projetos podem ter
muitas fases. Fases distintas normalmente têm durações ou extensões diferentes.
Não há uma forma única de definir a estrutura ideal para um projeto. Embora práticas comuns no setor
normalmente levem à utilização de uma estrutura preferida, projetos no mesmo setor, ou mesmo dentro da
mesma organização, podem apresentar variações significativas. Algumas organizações estabeleceram
políticas que padronizam todos os projetos, enquanto outras permitem que a equipe de gerenciamento
escolha as políticas mais apropriadas para seu projeto específico. Por exemplo, uma organização pode
tratar um estudo de viabilidade como uma tarefa rotineira da fase pré-projeto, outra pode tratar o mesmo
estudo como a primeira fase de um projeto e uma terceira pode tratar o estudo de viabilidade como um
projeto distinto e independente. Da mesma maneira, uma equipe de projeto pode dividir um projeto em duas
fases onde uma equipe diferente pode escolher gerenciar todo o trabalho como uma única fase. Muito
depende da natureza do projeto específico e do estilo da equipe de projeto ou da organização.
GOVERNANÇA DE PROJETOS AO LONGO DO CICLO DE VIDA

A governança de projetos oferece um método abrangente e consistente de controle e garantia de sucesso
do projeto. A abordagem da governança do projeto deve ser descrita no plano de gerenciamento do projeto.
A governança do projeto deve se adequar ao contexto mais amplo do programa ou da organização
patrocinadora.
Consideradas tais restrições e as limitações adicionais de tempo e orçamento, cabe ao gerente de projetos
e à equipe de gerenciamento determinar o método mais apropriado de execução do projeto. Decisões
devem ser tomadas sobre quais pessoas serão envolvidas, quais recursos serão necessários e qual a
abordagem geral adotada para o término do trabalho. Outra consideração importante é se haverá mais de
uma fase envolvida e, em caso afirmativo, determinar a estrutura de fases específica do projeto individual.

Aulas: 01 - 12

A estrutura de fases propicia uma base formal para o controle. Cada fase é formalmente iniciada para
especificar o que é permitido e esperado dela. Uma análise do gerenciamento costuma ser feita para se
chegar a uma decisão sobre o início das atividades de uma fase. Isso se aplica em especial quando uma
fase anterior ainda não foi concluída. Um exemplo seria quando uma organização opta por um ciclo de vida
em que mais de uma fase do projeto avança simultaneamente. O início de uma fase é também o momento
de revalidar antigas premissas, analisar riscos e definir mais detalhadamente os processos necessários
para realizar a(s) entrega(s) da fase. Por exemplo, se uma fase específica não exigir a compra de novos
materiais ou equipamentos, não será necessário executar as atividades ou processos de aquisição.
Uma fase de projeto é geralmente concluída e formalmente fechada com uma revisão das entregas para
que se determine o término e a aceitação. Pode ser realizada uma análise de final de fase com os objetivos
combinados de se obter autorização para encerrar a atual e iniciar a seguinte. O final de uma fase
representa um ponto natural de reavaliação do esforço em andamento e de modificação ou término do
projeto, se necessário. Considera-se uma boa prática avaliar as principais entregas e o desempenho do
projeto até a data em questão para a) determinar se o projeto deve continuar para sua próxima fase e b)
detectar e corrigir erros de forma eficaz. O término formal da fase não inclui necessariamente uma
autorização da seguinte. Por exemplo, se o risco é considerado grande demais para que a continuação do
projeto seja permitida ou se os objetivos não forem mais necessários, uma fase poderá ser encerrada com
a decisão de não se iniciar qualquer outra fase subsequente.
RELAÇÕES ENTRE FASES

Quando os projetos têm várias fases, estas são parte, em geral, de um processo seqüencial projetado para
garantir um controle adequado do projeto e obter o produto, serviço ou resultado desejado. Contudo, há
situações em que um projeto pode se beneficiar de fases sobrepostas ou simultâneas.
Há três tipos básicos de relações entre fases:
• Uma relação sequencial, em que uma fase só poderá iniciar depois que a anterior terminar. A
figura abaixo mostra um exemplo de um projeto com fases inteiramente sequenciais. A natureza
passo a passo desta abordagem reduz incertezas, mas pode eliminar opções de redução do
cronograma.
• Uma relação sobreposta, em que a fase tem início antes do término da anterior. Às vezes, ela
pode ser aplicada como um exemplo da técnica de compressão de cronograma denominada
paralelismo. As fases sobrepostas podem aumentar o risco e resultar em retrabalho caso uma fase
subsequente progrida antes que informações precisas sejam disponibilizadas pela fase anterior.
• Uma relação iterativa, em que apenas uma fase está planejada a qualquer momento e o
planejamento da próxima é feito à medida que o trabalho avança na fase atual e nas entregas.
Esta abordagem é útil em ambientes muito indefinidos, incertos ou em rápida transformação, como
pesquisas, mas pode reduzir a capacidade de fornecer um planejamento de longo prazo. Nesses
casos, o escopo é gerenciado por entregas contínuas de incrementos do produto e priorização dos
requisitos para minimizar riscos do projeto e maximizar o valor comercial do produto. Essa relação
também pode fazer com que todos os membros da equipe (por exemplo, projetistas,
desenvolvedores, etc.) tenham que ficar disponíveis durante todo o projeto ou, pelo menos, por
duas fases consecutivas.
Em projetos de várias fases, pode ocorrer mais de uma relação entre as mesmas durante o ciclo de vida do
projeto. Considerações como, por exemplo, o nível de controle necessário, a eficácia e o grau de incerteza
determinam a relação a ser aplicada entre as fases. Com base nessas considerações, todas as três
relações podem ocorrer entre fases diferentes de um único projeto.

Aulas: 01 - 12

ÁREAS DE CONHECIMENTO EM GERENCIAMENTO DE PROJETOS
O gerenciamento de projetos é a aplicação de conhecimentos, habilidades, ferramentas e técnicas às
atividades do projeto a fim de cumprir seus requisitos. Esta aplicação de conhecimentos requer o
gerenciamento eficaz de processos apropriados.
Um processo é um conjunto de ações e atividades inter-relacionadas, que são executadas para alcançar
um produto, resultado ou serviço predefinido. Cada processo é caracterizado por suas entradas, as
ferramentas e as técnicas que podem ser aplicadas e as saídas resultantes. O gerente de projetos deve
considerar os ativos de processos organizacionais e os fatores ambientais da empresa. Devem ser
considerados para todos os processos, mesmo que não estejam explicitamente listados como entradas na
especificação do processo. Os ativos de processos organizacionais fornecem diretrizes e critérios para
adaptação dos processos da organização às necessidades específicas do projeto. Os fatores ambientais da
empresa podem restringir as opções de gerenciamento do projeto.
Para que um projeto seja bem-sucedido, a equipe do projeto deve:
• Selecionar os processos apropriados necessários para cumprir os objetivos do projeto;
• Usar uma abordagem definida que possa ser adotada para atender aos requisitos;
• Cumprir os requisitos para atender às necessidades e expectativas das partes interessadas e
• Obter um equilíbrio entre as demandas concorrentes de escopo, tempo, custo, qualidade, recursos
e riscos, para gerar o produto, o serviço ou o resultado especificado.
Os processos do projeto também são executados pela equipe do projeto e, em geral, podem ser
classificados em uma de duas categorias principais:
• Os processos de gerenciamento de projetos garantem o fluxo eficaz do projeto ao longo de sua
existência. Esses processos abrangem as ferramentas e as técnicas envolvidas na aplicação de
habilidades e capacidades descritas nas Áreas de Conhecimento.
• Os processos orientados a produtos especificam e criam o produto do projeto. Em geral, são
definidos pelo ciclo de vida do projeto e variam de acordo com a área de aplicação. O escopo do
projeto não pode ser definido sem algum entendimento básico de como criar o produto
especificado. Por exemplo, diversas técnicas e ferramentas de construção devem ser
consideradas ao determinar a complexidade geral da casa que será construída.
Este padrão descreve apenas os processos de gerenciamento de projetos. Embora os processos
orientados a produtos estejam fora do escopo deste padrão, não devem ser ignorados pelo gerente de
projetos. Os processos de gerenciamento de projetos e os processos orientados a produtos sobrepõem-se
e interagem ao longo da vida de um projeto.
Os processos de gerenciamento de projetos são aplicados globalmente e nos mais variados setores e
indústrias. “Boa prática” significa que existe um acordo geral de que a aplicação dos processos de
gerenciamento de projetos pode aumentar as chances de sucesso em uma ampla série de projetos.
Isso não significa que os conhecimentos, as habilidades e os processos descritos sempre devem ser aplicados
de forma uniforme em todos os projetos. Para qualquer projeto específico, o gerente de projetos, em
colaboração com a equipe de projetos, sempre é responsável por determinar quais processos são apropriados e
o grau de rigor apropriado para cada um.
Os gerentes de projetos e suas equipes devem abordar com cuidado cada processo e as entradas e saídas
que o constituem. Este esforço é conhecido como adequação.
O gerenciamento de projetos é um empreendimento integrado, e requer que cada processo de projeto ou
produto seja alinhado e conectado de forma apropriada com os outros processos para facilitar a
coordenação. As ações adotadas durante um processo em geral afetam esse e outros processos
relacionados. Por exemplo, uma mudança no escopo costuma afetar o custo do projeto, mas talvez não
afete o plano de comunicações ou a qualidade do produto. Com frequência, essas interações entre
processos requerem compensações entre os requisitos e os objetivos do projeto, e as compensações de
desempenho especificas vão variar de um projeto para outro e de uma organização para outra. O
gerenciamento de projetos bem-sucedido inclui gerenciar ativamente essas interações para cumprir os
requisitos do patrocinador, do cliente e de outras partes interessadas. Em algumas circunstâncias, um
processo ou conjunto deles deverá ser iterado várias vezes para alcançar o resultado desejado.
Os projetos existem em uma organização e não podem operar como um sistema fechado. Requerem a
entrada de dados da organização e externos e entregam capacidades à organização. Os processos de
projeto podem gerar informações para aprimorar o gerenciamento de projetos futuros.
Este padrão descreve a natureza dos processos de gerenciamento de projetos em termos da integração
entre os processos, suas interações e seus objetivos. Os processos de gerenciamento de projetos são
agrupados em cinco categorias, conhecidas como grupos de processos de gerenciamento de projetos (ou
grupos de processos):
• Grupo de processos de iniciação. São os processos realizados para definir um novo projeto ou
uma nova fase de um projeto existente através da obtenção de autorização para iniciar o projeto
ou a fase;
• Grupo de processos de planejamento. Os processos realizados para definir o escopo do projeto,
refinar os objetivos e desenvolver o curso de ação necessário para alcançar os objetivos para os
quais o projeto foi criado;

Aulas: 01 - 12

•Grupo de processos de execução. Os processos realizados para executar o trabalho definido no
plano de gerenciamento do projeto para satisfazer as especificações do mesmo;
• Grupo de processos de monitoramento e controle. Os processos necessários para
acompanhar, revisar e regular o progresso e o desempenho do projeto, identificar todas as áreas
nas quais serão necessárias mudanças no plano e iniciar as mudanças correspondentes;
• Grupo de processos de encerramento. Os processos executados para finalizar todas as
atividades de todos os grupos de processos, visando encerrar formalmente o projeto ou a fase.
Os grupos de processos se sobrepõem ao longo de praticamente toda a duração do projeto
Os grupos de processos de gerenciamento de projetos têm grande correspondência com o conceito do

Ciclo PDCA (Plan - Do - Check - Act): Planejar - Fazer - Verificar - Agir (corrigir e melhorar). O grupo de
Planejamento corresponde ao Planejar; Execução, ao Fazer; e Monitoramento e controle englobam
Verificar e Agir. E como a natureza dos projetos é finita, o PMBOK ainda caracteriza os grupos de
processos que iniciam (Iniciação) e finalizam (Encerramento) um projeto.
ÁREAS DE CONHECIMENTO
As dez áreas de conhecimento caracterizam os principais aspectos envolvidos em um projeto e no seu
gerenciamento:
• Integração
• Escopo
• Tempo
• Custos
• Qualidade
• Recursos humanos
• Comunicações
• Riscos
• Aquisições
• Partes Interessadas
Escopo, Tempo, Custos e Qualidade são os principais determinantes para o objetivo de um projeto:
entregar um resultado de acordo com o escopo, no prazo e no custo definidos, com qualidade adequada;
em outras palavras, o que, quando, quanto e como. Recursos Humanos e Aquisições são os insumos para
produzir o trabalho do projeto. Comunicações e Riscos devem ser continuamente abordados para manter
as expectativas e as incertezas sob controle, assim como o projeto no rumo certo. E Integração abrange a
orquestração de todos estes aspectos.
Um projeto consiste nisso: pessoas (e máquinas) que utilizam tempo, materiais e dinheiro realizando
trabalho coordenado para atingir determinado objetivo.

Aulas: 01 - 12

Além de conceituar os aspectos fundamentais do gerenciamento de projetos, de forma a promover um
vocabulário comum dentro dessa profissão, o Guia PMBOK documenta (define e descreve) processos (47
processos) de gerenciamento de projetos e os apresenta didaticamente, organizados em um capítulo por
área de conhecimento (10 áreas de conhecimento). Em cada processo, são abordados suas entradas e
saídas, suas características, bem como os artefatos, técnicas e ferramentas envolvidas.
4. Gerenciamento da integração do projeto

Segundo o Guia PMBOK®, o gerenciamento da integração do projeto inclui os processos e as
atividades necessárias para identificar, definir, combinar, unificar e coordenar os vários processos e
atividades dos grupos de processos de gerenciamento.
• 4.1 Desenvolver o termo de abertura do projeto: autorizar um projeto ou fase e documentar
requisitos iniciais.
• 4.2 Desenvolver o plano de gerenciamento do projeto: ações necessárias para definir,
preparar, integrar e coordenar planos auxiliares.
• 4.3 Orientar e gerenciar o trabalho do projeto: realizar trabalho definido no plano de projeto
para atingir os objetivos do projeto.
• 4.4 Monitorar e controlar o trabalho do projeto: acompanhar e revisar o progresso para
atender aos objetivos de desempenho definidos no plano do projeto.
• 4.5 Realizar o controle integrado de mudanças: revisar as solicitações de mudança,
aprovação e gerenciamento de mudanças.
• 4.6 Encerrar o projeto ou fase: finalizar todas atividades de gerenciamento do projeto para
terminar o projeto ou a fase.
Gerenciamento de escopo do projeto

O gerenciamento do escopo do projeto inclui os processos necessários para garantir que o projeto
inclui todo o trabalho necessário, e somente o trabalho necessário, para terminar o projeto com sucesso.
Preocupa-se principalmente em definir e controlar o que está incluso no projeto e o que não está.
• 5.1 Planejar o gerenciamento do escopo: define e documenta como a equipe do projeto irá
definir, controlar validar o escopo.
• 5.2 Coletar os requisitos: define e documenta as necessidades das partes interessadas para
atingir os objetivos do projeto.
• 5.3 Definir o escopo: desenvolve descrição detalhada do projeto e do produto.
• 5.4 Criar a EAP: subdivide os produtos do projeto e o trabalho do projeto em componentes
menores e mais gerenciáveis.
• 5.5 Validar o escopo: formaliza a aceitação dos produtos do projeto.

Aulas: 01 - 12

•
5.6 Controlar o escopo: monitora o status do escopo do projeto e do produto e gerencia as
alterações na linha de base de escopo.
* EAP – Estrutura analítica de projetos (WBS - Work Breakdown Structurure): fundamental para o projeto,
pois, fornece uma visão estruturada do que será entregue facilitando o entendimento das partes
interessadas em relação ao que deve ser feito (escopo) no projeto, além, de servir de base para o
planejamento das outras áreas de conhecimento.
Gerenciamento do tempo do projeto

Segundo o Guia PMBOK®, o gerenciamento do tempo inclui os processos requeridos para
assegurar a conclusão do projeto no prazo previsto.
• 6.1 Planejar o gerenciamento do cronograma: Estabelece políticas, procedimentos p/ planejar,
desenvolver, gerenciar e controlar o cronograma.
• 6.2 Definir as atividades: Identificar as atividades específicas que devem ser executadas para
produzir as entregas do projeto.
• 6.3 Sequenciar as atividades: Identificar e documentar as relações de dependência entre as
atividades.
• 6.4 Estimar os recursos das atividades: Estimar o tipo e quantidade dos recursos necessários
para executar cada atividade.
• 6.5 Estimar as durações das atividades: Estimar a quantidade de períodos de trabalho que
serão necessários para completar cada atividade.
• 6.6 Desenvolver o Cronograma: Analisar a sequência das atividades, sua duração, seus
recursos e suas restrições para criar o cronograma do projeto.
• 6.7 Controlar o Cronograma: Controlar as mudanças no cronograma.
Gerenciamento dos custos do projeto

Segundo o Guia PMBOK®, o gerenciamento dos custos do projeto inclui os processos envolvidos
em estimativas, orçamentos e controle dos custos, de modo que o projeto possa ser terminado dentro do
orçamento aprovado.
• 7.1 Planejar o gerenciamento dos custos: Estabelecer as políticas, procedimentos e
documentação para planejar, gerenciar, executar e controlar os custos do projeto.
• 7.2 Estimar os custos: Estimar os custos dos recursos necessários para executar as
atividades do projeto.
• 7.3 Determinar o orçamento: Agregar os custos estimados das atividades para estabelecer
uma linha de base.
• 7.4 Controlar os custos: Monitorar o status do projeto para atualizar o orçamento e gerenciar
alterações na linha de base dos custos.
Gerenciamento da qualidade do projeto

O Gerenciamento da qualidade em Projetos busca assegurar que o projeto satisfaça as
necessidades do cliente e envolve todas atividades do projeto por todo o seu ciclo de vida.
O Gerenciamento da qualidade implementa o sistema de gestão da qualidade por meio de políticas
e procedimentos com atividades de melhoria contínua de processos.
O GP deve conscientizar toda equipe sobre a importância de buscar os objetivos da qualidade e
para isso, deve oferecer as condições necessárias para que o time possa alcançá-los.
• 8.1 Planejar o gerenciamento da qualidade: Identificar os requisitos e/ou padrões da qualidade
do projeto e do produto, bem como documentar de que modo o projeto demonstrará a
conformidade.
• 8.2 Realizar a garantia da qualidade: Processo de auditoria dos requisitos da qualidade e dos
resultados das medições do controle da qualidade para certificar que os padrões da qualidade
e definições operacionais apropriadas estão sendo utilizados.
• 8.3 Controlar a qualidade: Processo de monitoramento e registro dos resultados da execução
das atividades da qualidade para avaliar a performance e recomendar mudanças necessárias.
Gerenciamento dos recursos humanos do projeto
Segundo o Guia PMBOK®, o gerenciamento dos recursos humanos do projeto inclui os processos
que organizam e gerenciam a equipe do projeto.
A equipe é composta por pessoas com funções e responsabilidades atribuídas com foco no término
do projeto.
• 9.1 Planejar o gerenciamento dos recursos humanos: Identificar e documentar as funções,
responsabilidades, competências necessárias e relações hierárquicas. Cria o plano de
gerenciamento de RH.
• 9.2 Mobilizar a equipe do projeto: Obter os recursos humanos necessários para o projeto.

Aulas: 01 - 12

• 9.3 Desenvolver a equipe do projeto: Melhorar as competências e interação dos membros da
equipe para aprimorar o desempenho do projeto.
• 9.4 Gerenciar a equipe do projeto: Acompanhar o desempenho da equipe, fornecer feedback,
resolver problemas e coordenar mudanças para melhorar o desempenho do projeto.
Gerenciamento das comunições do projeto

Segundo o Guia PMBOK®, o gerenciamento das comunicações do projeto inclui os processos
necessários para assegurar que as informações do projeto sejam geradas, coletadas, distribuídas,
armazenadas, recuperadas e organizadas de maneira oportuna e apropriada.
• 10.1 Planejar o gerenciamento das comunicações: identificar as necessidades e relevância de
informações e definir abordagem de comunicação;
• 10.2 Gerenciar as comunicações: colocar as informações necessárias à disposição das partes
interessadas conforme planejado; Envolve todo o ciclo de vida da informação descrito no
plano de gerenciamento da comunicação, composto por gerar, coletar, distribuir, armazenar,
recuperar e até descartar a informação.
• 10.3 Controlar as comunicações: controlar e monitorar as comunicações de modo a garantir
que as necessidades de informação das partes interessadas sejam atendidas.
Gerenciamento dos riscos do projeto

Segundo o Guia PMBOK®, o gerenciamento dos riscos do projeto inclui os processos de
planejamento, identificação, análise, planejamento de respostas, monitoramento e controle de riscos de um
projeto. Seu objetivo é maximizar a exposição aos eventos positivos e minimizar a exposição aos eventos
negativos
• 11.1 Planejar o gerenciamento dos riscos: definir como conduzir as atividades de
gerenciamento de riscos para o projeto.
• 11.2 Identificar os riscos: determinar quais riscos podem afetar o projeto e documentar suas
características.
• 11.3 Realizar a análise qualitativa dos riscos: Avaliar a exposição ao risco para priorizar os
riscos que serão objeto de análise ou ação adicional.
• 11.4 Realizar a análise quantitativa dos riscos: Efetuar a análise numérica do efeito dos riscos
identificados nos objetivos gerais do projeto.
• 11.5 Planejar as respostas aos riscos: Desenvolver opções e ações para aumentar as
oportunidades e reduzir as ameaças aos objetivos do projeto.
• 11.6 Controlar os riscos: Monitorar e controlar os riscos durante o ciclo de vida do projeto.
Gerenciamento das aquisições do projeto

Segundo o Guia PMBOK, o gerenciamento das aquisições do projeto inclui os processos
necessários para comprar ou adquirir produtos, serviços ou resultados externos à equipe do projeto.
• 12.1 Planejar o gerenciamento das aquisições: documentar as decisões de compras do
projeto, especificando a abordagem e identificando fornecedores em potencial.
• 12.2 Conduzir as aquisições: obter as respostas dos fornecedores, selecionar um fornecedor
e redigir o contrato.
• 12.3 Controlar as aquisições: gerenciar as relações de aquisição monitorando o desempenho
do contrato e realizando as mudanças e correções conforme necessário.
• 12.4 Encerrar as aquisições: finalizar todas as aquisições do projeto
Gerenciamento das partes interessadas do projeto

O gerenciamento das partes interessadas é a nova área de conhecimento do Guia PMBOK@
Quinta Edição, o que reforça a importância das partes interessadas em nossos projetos.
• 13.1 Identificar as partes interessadas: e seus interesses, envolvimento e impacto no sucesso
do projeto;
• 13.2 Planejar o gerenciamento das partes interessadas: desenvolver estratégias para quebrar
as resistências das partes interessadas e garantir seu engajamento no projeto;
• 13.3 Gerenciar o engajamento das partes interessadas: comunicar e interagir com as partes
interessadas para atender suas necessidades e solucionar as questões quando ocorrem;
• 13.4 Controlar o engajamento das partes interessadas: monitorar os relacionamentos entre as
partes interessadas e ajustar as estratégias para engajar as partes interessadas eliminando
resistências e aumentando o suporte ao projeto.

Aulas: 01 - 12

GERÊNCIA DE SERVIÇOS DE TI
Gerenciamento de Serviços de TI é o conjunto de capacidades organizacionais (processos e métodos de
trabalho, funções, papéis e atividades) realizadas para prover valor sob a forma de serviços.
“O Gerenciamento de Serviços é um conjunto de habilidades da organização para fornecer valor para o cliente
em forma de serviços” (ITIL V3)
Para alcançar este objetivo, a tática que vem sendo adotada é o desenho, a implementação e o
gerenciamento de processos internos da área de TI de acordo com as práticas reunidas na Information
Technology Infrastructure Library (ITIL).
www.itnerante.com.br
alcançar, sem ter que assumir custos e riscos” (ITIL V3)
Nesse contexto, a ITIL (Information Technology Infrastructure Library) é a abordagem mundialmente mais
E oeque
difundida é o gerenciamento
adotada de serviços
para o Gerenciamento de TI?de TI. Trata-se de uma biblioteca que compila
de Serviços
melhores práticas usadas para o gerenciamento de serviços de tecnologia da informação.
- Gerenciamento de Serviços de TI é o conjunto de capacidades organizacionais (processos
e FUNDAMENTOS DA ITIL®
métodos de trabalho, (VERSÃO
funções, papéis 3)
e atividades) realizadas para prover valor sob a forma de
A ITIL em sua 3a versão, chamada ITIL V3, foi lançada em maio de 2007, e representa uma grande
evolução
serviços. em relação à versão anterior (2.0), uma vez que organiza os processos de gerenciamento de
serviços em uma estrutura de ciclo de vida de serviço.
O ITIL,“O Gerenciamento
então, de Serviços
é uma biblioteca é um conjunto
que compila melhoresde habilidades
práticas dapara
usadas organização para fornecer
o gerenciamento valor para
de serviços de
tecnologia da informação. Tais práticas já foram amplamente testadas e comprovadas na prática, pois
o cliente
resultam de anos emdeforma de serviços”
observação (ITIL V3)
e estudos.
Falando em termos simples, a biblioteca ITIL, que hoje está sob a responsabilidade do Office of
Government Commerce, do governo britânico, sugere que área de TI seja vista como uma provedora de
serviços,
Comoe que esses serviços,auma
é estruturada vez estratégicos,
biblioteca do ITIL devam
V3? ser tratados por todo seu ciclo de vida, desde
a concepção, produção, até sua aposentadoria. Ainda, dentro da abordagem sobre o ciclo de vida dos
O ITIL
serviços, V3 tem
é realizada um eixo e(núcleo)
a mensuração gerência de condução
do valor dasserviços
que estes atividades,
de TI osãolivro de Estratégia
capazes de
de agregar ao
negócio.
Serviço,
Em relaçãoqueà versão
norteiaanterior,
os demais
o ITIL livros (e os as
V3 apresenta respectivos processos dentro dos livros), que são
seguintes inovações:
• Abordagem baseada no ciclo de vida dos serviços;
Desenho• de Serviço,
Visão integrada Transição de eServiço
de TI, negócios e Operação
fornecedores de Serviço. Circundando todos os
(gestão de outsourcing);
O ITIL V3 tem um eixo (núcleo) de condução das atividades, o livro de Estratégia de Serviço, que norteia os
processos está o livro de Melhoria Contínua de Serviço. Todos são tidos como fases do ciclo de
demais livros (e os respectivos processos dentro dos livros), que são Desenho de Serviço, Transição de
Serviço e Operação
vida dos serviços, de Serviço.
sendo Circundando
a Estratégia todos os
a fase inicial doprocessos está o livroe de
mesmo. Processos Melhoria
funções sãoContínua de
distribuídos
Serviço. Todos são tidos como fases do ciclo de vida dos serviços, sendo a Estratégia a fase inicial do
aomesmo.
longo doProcessos
ciclo dee vida,
funções são distribuídos
conforme a figura.ao longo do ciclo de vida, conforme a figura.
Para melhor entendimento, pode-se dividir o ciclo de vida em três grupos de conceitos: Um
de análise de requisitos e definição inicial, onde estão os livros de Estratégia e Desenho; outro de

TECNOLOGIA DA INFORMAÇÃO PARA ICMS/PR
para fornecer tecnologia
valor para daoE informação.
autorização
cliente em para
forma seudeuso. serviços” (ITIL V3)
290068
(TEORIA EXERCÍCIOS)
68e7
Em PROF a
Foi
. PATRÍCIA
outras desenvolvida,
palavras, LIMA QUINTÃO inicialmente,
constitui-se de uma descrição pela coerente
CCTA (Central
e integradaComputing
de and
00orr
Nesse contexto, a ITIL Telecommunications
(Information Agency),
Technology que de é aTIatual
Infrastructure OGCutilização.
Library) (Office ofTaisGovernment
29 c
boas práticas de Gerenciamento de Serviços de livre
Commerce) - trata-se de um órgão do governo nabritânico que
poistem como
31 eg
é a abordagem práticas já ITIL
foramV3amplamente
mundialmente mais difundida
testadas ee comprovadas
adotada para o
prática,
71 llw
Gerenciamento dedeServiços objetivo desenvolver
de TI. Trata-se metodologias de NÃO e criar
uma padrões dentro
biblioteca dos departamentos
que requerer
nciamento deresultam Serviços do éanos
um de observação
conjunto e estudos,
de habilidades da sendo
organização necessário
8 e7 ho
compilaDA melhores práticas governo
usadas britânico, buscando otimizar
para o gerenciamento de serviços de e melhorar os processos internos
CNOLOGIA
ecer valor para autorização
INFORMAÇÃO
o cliente em para
PARA
forma seu deuso.
ICMS/PR serviços” (ITIL V3)
06 rr is
tecnologia
(TEORIA da E informação.
EXERCÍCIOS)
Foi desenvolvida,A ITIL em inicialmente,
sua 3ª versão,pela chamada CCTA ITIL(Central
V3, foi lançada
Computingem maioandde 2007, e Aulas: 01 - 12
90 co lu
PROFa. PATRÍCIA LIMA QUINTÃO
representaAgency),
Telecommunications uma grande que evolução
é a coerenteem relação
atual OGC à versão
(Office of de

anterior (2.0), uma vez
Government
12 egcio
Em outras
ntexto, a ITIL palavras,
(Informationconstitui-se de uma
Technology descrição
Infrastructure e integrada
Library)
Commerce) que- organiza
trata-se os
de processos
um órgão de
do gerenciamento
governo de
britânico serviços
que em
tem uma
como estrutura
13 llw ar
boas práticas
bordagem de V3
mundialmente
ITIL Gerenciamento de Serviços
mais difundida e de TI de livre
adotada parautilização.
o Tais
77 o m
objetivo
práticasdejáServiços de ciclo de
foram desenvolver
amplamente vida de serviço.
metodologias
testadas e criar padrõesnadentro dos pois
departamentos
mento de TI. Trata-se de euma comprovadas
biblioteca que prática,
68re s h68
de Serviços
resultam
melhores dedo
práticasgoverno
éanos
um de Abritânico,
conjunto V3de
observação
usadas para buscando
Para
habilidades
oe
apresenta estudos,
uma daotimizar
melhor
gerenciamento organização
NÃO
nova e
demelhorar
entendimento,
sendo
abordagem, osde
necessário
serviçoscom processos
pode-se
requerer
base internos
no ciclo de dividir
vida dos o ciclo de vida em três grupos de conceitos: Um de análise de
serviços
00 or lui00
para daoinformação.
clienteAem
iaautorização forma
para
ITIL emseude
euso.
sua serviços”
uma nova (ITIL
3ª versão, V3) para
estrutura,
chamada ITILdiferenciar as práticas
V3, foi lançada essenciais
em maio do modelo
de 2007, e com
29g c io 29
Foi desenvolvida,
representainicialmente,
novos requisitos
processos, pelade forma
CCTA e definição
a (Central
preencher inicial,
Computing
lacunas onde estão
and anterior.
da versão os livros de Estratégia e Desenho; outro de implantação no
31we arc31
s Telecommunications
palavras, constitui-se uma
de uma grande evolução
descrição em relação
coerente à versão
e integrada deanterior (2.0), uma vez
TIL (Information Agency),
Technology ambiente
que é
Infrastructurea atualprodutivo/operacional,
OGC
Library) (Office of Government onde está
para ao gestão
livro de Transição; por fim operação e melhoria em produção,
1
que organiza osServiços
Trata-se processos
de um de gerenciamento
conjunto de CINCO deLIVROS
serviços em orientações
com uma estrutura
8 e7 ho 8 m77
ticas de
Commerce)de
mundialmente
Gerenciamento
- ciclo
trata-se dede um
mais dedifundida órgãode
e adotada
TI de
do governo livre utilização.
para britânico
o
Tais
que tem como
vida de serviço.
de onde
deestão Operações os eestágios
Melhoria Contínua
de vidade dosServiços.
06 rr is 06rre
já Serviços
foram desenvolver
amplamente dos
testadasserviçoseumacomprovadasTI, considerando
naque prática, do ciclo
e objetivo de TI. Trata-se metodologias e criar padrões
biblioteca dentro dos pois
departamentos
serviços de TI.sendo
90 coo lu 90 co
71 ll
de anos de observação
A V3 e
apresenta estudos,
uma NÃO
nova abordagem, necessário
com requerer
base no ciclo de vida dos serviços
do governo
práticas usadasbritânico,
para o buscando
gerenciamento Os
otimizarcinco e livros
demelhorar
serviços osde possuem
processos orientações
internos para a gestão dos serviços de TI, considerando os estágios do ciclo
12egrci 12eg
ção para seueuso.
rmação. uma novaAgora estrutura, para da
os livros diferenciar
nova versão as práticas
fazem essenciais do modelo
parte do ciclo de vidacomdo serviço.
A ITIL em inicialmente,
sua 3ª processos,
versão,pela chamada de ITILvida dosfoiserviços
V3, lançada
lacunasem dademaio TIdeanterior.
2007, e
13llw a 13 lw
envolvida, novos CCTA
de forma a (Central
preencher Computing and
versão
77ho8 m 77hol
representaAgency),
, constitui-se
munications uma
de uma grande evolução
descrição
que é a atual em OGC
coerente relação à versão
e integrada
(Office ofde anterior
Government (2.0), uma vez
Trata-se de um deconjunto de CINCO deLIVROS com orientações para a gestão
e)que organiza
erenciamento de osServiços
processos de
TI gerenciamento
de livre utilização. Estratégia
serviços
Tais tem emcomo
umadeestrutura
serviços: identificação de requisitos e necessidades de negócio que sejam
rreis 06 rreis
- trata-se de um órgão do governo britânico que

dos serviços de TI, considerando os estágios do ciclo de vida dos
coo lu90 co lu
de ciclo
amplamente de vida
testadas de serviço.
e comprovadas na
desenvolver metodologias e criar padrões dentro dos departamentos prática, pois
“atendíveis” por serviços de TI. Os requisitos e necessidades são acordados e documentados
egrci 12 egrcio
observação eserviços
estudos, de
NÃO TI.sendo necessário requerer
no britânico, buscando otimizar e melhorar os processos
A V3 apresenta uma nova abordagem, com base no ciclo de vida dos serviços internos
llw a 13 llw a
eue uso. novaAgora os livros da nova foi versão

emessenciais
fazem um SLP
parte do(service
do ciclo de vida level package ou pacote de nível de serviços).
do serviço.
ho8 m77 ho m
uma
m inicialmente,
sua 3ª versão, estrutura,
chamada para
ITIL diferenciar
V3, as práticas
lançada em maio modelo com
pela CCTA (Central Computing and de 2007, e
novos
a Agency), processos,
uma grande de forma a preencher lacunas da versão
(2.0),anterior.
queevolução
é a atual em relação
OGC (Office à versão of anterior Desenho
Government uma vez
de serviços: a partir dos requisitos é concebida a solução de TI em forma de
niza os processos
Trata-se umdeórgão de
dogerenciamento
um conjunto de CINCO deLIVROS
serviços em
com uma estrutura
orientações para a gestão
is 6 re s
-se de governo britânico que tem como

lu 00 or ui
rdemetodologias
vidaserviços
dos de serviço.
e de
criarTI, considerando
dentro dosos serviços,
estágios do ciclo emdetodos vida dos os seus aspectos, que são documentados em um SDP (service design
o 9 c l
padrões departamentos
ci 2 g io
serviços de TI.abordagem, Figura. Cinco (5) livros principais da ITIL V3

, buscando uma otimizar e melhorarcom os processos depackage
internos ou pacote de desenho de serviço). O SDP nada mais é que um documento de
ar 31 e rc
esenta nova base no ciclo vida dos serviços

m 1 llw a
ova estrutura, para Antes

diferenciar de práticas
as continuar, vamos
essenciais aoemodelo
do entendimento
com do significado de serviço
8 77ho m
Agora
ersão, os livros
chamada ITILda nova
V3, foi versão
lançada fazem
em maio partede do2007,ciclo de vida do serviço.
cessos,
nde de forma
evolução
de TI,lacunas
a preencher
em relação
importante
à versão anterior da versão especificações
no contexto
(2.0),anterior.
uma vez
da ITIL. e características dos serviços.
cessos
de de gerenciamento
um conjunto
Serviço
de CINCOdeLIVROS
de TI
serviços eméorientações
com
o meio
uma Transição
para entregarde
estrutura para a gestão serviços: trata da implementação em produção. Tal implementação é testada e
valor aos clientes, propiciando os
06rreis
serviço. resultados desejados, sem que tais clientes/áreas de negócio precisem assumir
acompanhada, bem como validada. O SKMS (service knowledge management system –
90 co lu
viços de TI, considerando os estágios do ciclo de vida dos

custos e riscos específicos/inerentes a TI.
12eg cio
de
novaTI.abordagem, com base no Figura.
ciclo deCincovida(5) doslivros principais da ITIL V3
serviços
sistema de gestão do conhecimento em serviços de TI) é atualizado com as informações do
13llw ar
ra, parada
livros diferenciar
Antes
nova as
de práticas
versão Prof a
continuar,
fazem essenciais
. Patrícia
partevamos
Limado do
aomodelo
Quintão
ciclo de vida com
entendimento do significado de serviço
www.pontodosconcursos.com.br
do serviço. 3 de 66
77ho m
forma a preencher
de TI,lacunas
O conteúdoda
importante desteversão deanterior.
noé contexto
curso uso exclusivo da ambiente
ITIL.
de marcio de produção.
luis hollweg corre77131290068, vedada, por quaisquer meios e a qualquer título, a sua
reprodução, cópia, divulgação e distribuição, sujeitando-se os infratores à responsabilização civil e criminal.
unto de CINCO Serviço
LIVROS de comTI éorientações
o meio para paraentregar
a gestão valor aos clientes, propiciando os
Operação dede serviços: o serviço é mantido em operação e funcionamento de acordo com os
rreis
TI, considerandoresultados desejados,do

os estágios sem que de
ciclo tais vida
clientes/áreas
dos negócio precisem assumir
co lu
custos e riscos específicos/inerentes aníveis

Figura. Cinco (5) livros principais da ITILde V3 serviço (SLA – service level agreement, ou acordo de nível de serviço) estabelecidos
TI.
egcio
nova versão
Antes fazem
de continuar,
Prof a parte
. Patrícia Limado
vamos ciclo
Quintão de vida
ao entendimento para
do serviço. gerar osderesultados
do significado
www.pontodosconcursos.com.br serviço 3 deesperados
66
de TI, Oimportante noé contexto
conteúdo deste curso de uso exclusivo da ITIL.
de marcio luis hollweg corre77131290068, vedada, por quaisquer meios e a qualquer título, a sua
reprodução, cópia, divulgação e distribuição, sujeitando-se os infratores à responsabilização civil e criminal.
Serviço de TI é o meio para entregar valor aos clientes, propiciando os
resultados desejados, sem que tais clientes/áreasMelhoria de negócio precisem de Serviço assumirContinuada: identifica oportunidades de melhoria no serviço.
custosFigura.
e riscosCinco específicos/inerentes
(5) livros principais a TI.da ITIL V3
continuar,
Profa. Patrícia vamos
Lima Quintão ao entendimento do significado de serviço
www.pontodosconcursos.com.br 3 de 66
mportante noé contexto
onteúdo deste curso de uso exclusivo da ITIL.
de marcio luis hollweg corre77131290068, vedada, por quaisquer meios e a qualquer título, a sua
de TI é o meio para entregar valor aos clientes, propiciando os
odução, cópia, divulgação e distribuição, sujeitando-se os infratores à responsabilização civil e criminal.
s desejados, sem que tais clientes/áreas ESTRATÉGIA de negócio precisem DE SERVIÇOSassumir

ura.
iscosCinco (5) livros principais
específicos/inerentes a TI.da ITIL V3
Objetivo: No estágio Estratégia de Serviço (Service Strategy) são tratados os aspectos relacionados ao
r, vamos ao entendimento do significado de serviço
a Lima Quintão
no contexto da ITIL. alinhamento entre 3negócio
www.pontodosconcursos.com.br de 66 e TI.
o é de uso exclusivo de marcio luis hollweg corre77131290068, vedada, por quaisquer meios e a qualquer título, a sua
meio
gação para sujeitando-se
e distribuição, entregar valor à aos
os infratores Engloba:
clientes,
responsabilização civil epropiciando
criminal. os
s, sem que tais clientes/áreas de negócio precisem assumir
cíficos/inerentes a TI. • Quais serviços serão oferecidos e para quais clientes;
o www.pontodosconcursos.com.br
• Como
3 de 66
criar valor para estes clientes;
sivo de marcio luis hollweg corre77131290068, vedada, por quaisquer
o, sujeitando-se os infratores à responsabilização civil e criminal.
• meios Como fazer
e a qualquer título, a sua que percebam o valor criado;
• Como desenvolver planos de negócio de modo a obter capacidades e recursos necessários aos
serviços;
• Como otimizar a alocação de recursos;
• Como medir o desempenho dos serviços.
Conceitos importantes deste livro

Competitividade: Serviços operam em mercados competitivos; portanto é necessária uma estratégia de
terceirização e provimento dos serviços.
4 P's da estratégia de serviço:
• Perspectiva – direcionamento, visão estratégica da organização sobre o mercado;
• Posição – como o mercado enxerga a organização, daqui derivam estratégias de diferenciação;
• Plano – traduz a estratégia para a produção / operação;
• Padrão – descreve características essenciais dos serviços, norteando o funcionamento dos
serviços e da organização.
Valor do serviço: É combinação da utilidade + garantia, que devem crescer/avançar proporcionalmente.
1. Utilidade: adequado ao propósito. Segundo o ITIL, um serviço pode ser útil para suportar o
desempenho ou remover barreiras.
2. Garantia: adequado ao uso. Podem ser garantia de Disponibilidade, de Capacidade, de
Continuidade ou de Segurança (DCCS).
O Service Level Package (SLP – pacote de nível de serviço) deve descrever os requisitos de Utilidade + Garantia
para criação de valor para o negócio.

Aulas: 01 - 12

Processos do livro Estratégia de Serviços
• Geração da Estratégia: Trata da definição do mercado a ser atendido, das ofertas para esse
mercado e dos ativos a serem utilizados para isso.
• Gestão Financeira: Atividades de orçamentação, contabilização e cobrança.
• Gerência de portfólio: Este processo descreve os serviços em termos de valor para o negócio,
definindo as necessidades do negócio e as soluções do provedor para elas.
• Gestão de Demandas: Este processo tem como objetivo entender e influenciar as demandas de
clientes pelos serviços e realizar a provisão de capacidade para o atendimento às demandas.
DESENHO DE SERVIÇO
Objetivo: No estágio Desenho de Serviço (Service Design) são tratadas arquiteturas, processos, políticas e
documentação necessárias para atender aos requisitos de negócio atuais e futuros.
Traduz o SLP em um conjunto de especificações.
• Produz e mantém planos, processos, políticas, padrões e arquiteturas para criação dos serviços;
• Desenha serviços que forneçam resultados adequados ao negócio;
• Desenha processos para suportar o ciclo de vida dos serviços;
• Desenvolve habilidades e capacidades de TI.
• Desenha recursos seguros e resilientes de infra, ambiente, aplicações e dados.
• Desenvolve métodos de mensuração e métricas.
A partir dos requisitos é concebida a solução de TI em forma de serviços, em todos os seus aspectos, que são
documentados em um SDP (service design package ou pacote de desenho de serviço). O SDP nada mais é que
um documento de especificações e características dos serviços.
Aqui é importante lembrar da visão holística definida pelo ITIL V3, que envolve no desenho de serviços não
só a TI e suas soluções, mas arquiteturas e sistemas de gerenciamento, processos, papéis, capacidades
além de mensuração e métricas. Esta etapa deve envolver outras gerências caso necessário, tais como de
Capacidade, Financeira, Fornecedores, além de funções como Service Desk. Dessa forma o planejamento
é completo sob diversas ópticas, lembrando que avaliações iniciais de análise de impacto do negócio e
análise de riscos também são importantes.

4 P's do Desenho de Serviços:
• Pessoas – é preciso determinar os papéis das pessoas nos processos;
• Produtos – determinar os produtos (serviços, tecnologia e ferramentas);
• Processos – definir os processos;
• Parceiros – estabelecer parceiros, fornecedores e vendedores de solução.
Processos do livro Desenho de Serviços

• Gerenciamento do Catálogo de Serviços: O propósito do Gerenciamento do Catálogo de
serviços é atuar como fonte centralizada de informações sobre todos os serviços acordados, e
assegurar que ele esteja disponível para que tem autorização para acessá-lo.
• Gerenciamento de Nível de Serviço: Irá garantir que os serviços e seu desempenho são
medidos de forma consistente por toda a organização e que atendem às necessidades de clientes
e negócio.
• Gerenciamento da Disponibilidade: Tem a meta de assegurar que os serviços sejam entregues
dentro dos níveis acordados. Concentra questões relacionadas à disponibilidade de serviços,
componentes e recursos e garante que as metas de disponibilidade em todas as áreas sejam
alcançadas e atendam às necessidades do negócio.
• Gerenciamento da Capacidade: Este processo mantém os níveis de entrega de serviços
requisitados a um custo acessível, além de assegurar que a capacidade da infraestrutura de TI
esteja alinhada com as necessidades de negócio.
• Gerenciamento da Continuidade de Serviço: Manter continuamente a capacidade de
recuperação dos serviços de TI, de modo a atender as necessidades, requisitos e prazos de
negócio. Tudo isso através de planos, análises de impacto, avaliações de risco, aconselhamento
das áreas de negócio, medidas proativas e negociação de contratos para suportar a continuidade
junto com o Gerenciamento de Fornecedores.
• Gestão de Segurança da Informação: Alinhar a segurança de TI à do negócio e garantir que a
segurança da infraestrutura seja gerenciada eficazmente em todos os serviços e atividades.
• Gerenciamento de fornecedor: Gerencia fornecedores e respectivos serviços fornecidos de
acordo com as metas dos serviços de TI e as expectativas do serviço. A meta desse processo é
melhorar a consciência da entrega dos serviços fornecidos por parceiros e fornecedores externos
de modo a beneficiar o negócio e a organização.

Aulas: 01 - 12

TRANSIÇÃO DE SERVIÇO
Objetivo: No estágio Transição de Serviço (Service Transition) é realizada a inserção, em ambiente de
produção em plena operação, de um serviço que acabou de sair do estágio de desenho de serviço. A
inclusão de um novo serviço no ambiente de TI requer um planejamento para transição do serviço.
Trata de:
• Planejar e gerenciar os recursos de modo a estabelecer um novo serviço ou alteração de um
serviço no ambiente de produção, com qualidade, custos previsíveis e dentro do prazo estimado.
• Assegurar o menor impacto possível nos serviços em produção quando uma mudança ou um novo
serviço for implantado.
• Aumentar a satisfação dos clientes, usuários e equipe de suporte com práticas de transição que
resultem em menor impacto para organização.
• Fornecer plano compreensivo e claro para que os projetos de mudança estejam alinhados aos
planos de transição de serviço.
Trata da implementação em produção. Tal implementação é testada e acompanhada, bem como validada. O
SKMS (service knowledge management system – sistema de gestão do conhecimento em serviços de TI) é
atualizado com as informações do ambiente de produção.

7 Rs do Gerenciamento de Mudança
• Quem submeteu a mudança? (Raise)
• Qual é a razão da mudança? (Reason)
• Qual é o retorno requerido a partir da mudança (Return)
• Quais são os riscos envolvidos na mudança? (Risks)
• Quais os recursos necessários para entregar a mudança? (Resources)
• Quem é o responsável por construir, testar e implantar a mudança? (Responsible)
• Qual é a relação entre esta mudança e outras mudanças? (Relationship)
Processos do livro Transição de Serviço

• Gerenciamento de Mudança: O objetivo deste processo é assegurar que mudanças são feitas de
forma controlada, e são avaliadas, priorizadas, planejadas, testadas, implantadas e
documentadas. Os riscos devem ser mapeados e gerenciados. A área de TI precisa ser
responsiva às mudanças no negócio. O escopo deste processo cobre as mudanças desde a base
de ativos de serviço e itens de configuração até o completo ciclo de vida do serviço.
• Gerenciamento da Configuração e de Ativo de Serviço: Identifica todos os Itens de
Configuração necessários para entregar os serviços de TI, fornecendo um modelo lógico da
estrutura de TI. Este processo identifica, controla e presta contas por ativos de serviços e itens de
configuração protegendo e garantindo sua integridade ao longo do ciclo de vida. Inclui ativos que
não sejam de TI e ativos de provedores de serviços, quando necessário.
• Gerenciamento do Conhecimento: Tem como objetivo garantir que as pessoas certas tenham o
conhecimento adequado e oportuno para entregar e suportar os serviços requeridos. Trata o
conhecimento como forma de prover serviços eficientes e com qualidade, de valor compreensível
a todos.
• Planejamento e Suporte da Transição: Tem como foco a melhoria das habilidades e da
eficiência do provedor de serviços, de modo a suportar grandes volumes de mudanças e
liberações de serviços.
• Gerenciamento de Liberação e Implantação: Este processo faz o controle de versões e controla
as instalações de software, hardware e outros componentes de infraestrutura, do ambiente de
desenvolvimento ao ambiente de teste e depois para o ambiente de produção.
• Validação de Serviço e Testes: Este processo tem foco na qualidade. Seu objetivo é prover
evidência objetiva de que o serviço novo ou alterado suporta os requisitos de negócio, incluindo os
acordos de nível de serviço estabelecidos.
• Avaliação: Avaliação da relevância do desenho do serviço, da abordagem de transição e da
adequação do serviço novo ou alterado aos ambientes operacionais e de negócios. Seu objetivo é
garantir que o serviço continue sendo relevante, pelo estabelecimento de métricas/mensuração
apropriados.
OPERAÇÃO DE SERVIÇO
Objetivo: Entregar aos clientes e usuários os níveis de serviço acordados e gerenciar as aplicações,
tecnologia e infraestrutura que suportam a entrega do serviço.
Este é o único estágio em que os serviços efetivamente entregam valor ao cliente, uma vez que para o
Cliente o valor está no serviço de TI em produção.
O serviço é mantido em operação e funcionamento de acordo com os níveis de serviço (SLA – Service Level
Agreement, ou acordo de nível de serviço) estabelecidos para gerar os resultados esperados.

Aulas: 01 - 12

Processos do livro Operação de Serviço
• Gerenciamento de Incidentes: O propósito deste processo é restaurar o serviço ao normal o
mais rápido possível, além de minimizar o impacto no negócio.
• Gerenciamento de Eventos: O Gerenciamento de Eventos depende do monitoramento, mas é
diferente deste. O gerenciamento de eventos gera e detecta notificações, enquanto o
monitoramento verifica continuamente o status dos itens de configuração e ativos de serviço
mesmo quando nenhum evento está ocorrendo.
• Gerenciamento de requisições: O propósito deste processo é permitir ao usuário requerer e
receber serviços padronizados; fornecer e entregar esse serviços; prover informações aos
usuários e clientes sobre serviços e procedimentos para obtenção do que desejam e oferecer
suporte com informações gerais, reclamações e sugestões.
• Gerenciamento de Acesso: O gerenciamento de acesso deve prover os privilégios necessários
para usuários acessarem um serviço ou um grupo de serviços. No mesmo sentido, previne o
acesso de usuários não-autorizados. Este processo se preocupa com a identidade (informação
única que distingue um indivíduo) e direitos (configurações que fornecem acesso a dados e
serviços).
• Gerenciamento de Problemas: Os objetivos deste processo são a prevenção de problemas e
incidentes resultantes deles, eliminando incidentes recorrentes e minimizando o impacto de
incidentes que não podem ser prevenidos.
MELHORIA DE SERVIÇO CONTINUADA

Objetivo: Este livro do ITIL tem como objetivo oferecer guia prático de avaliação e melhoria da qualidade
de serviço, bem como melhoria geral do ciclo de Gerenciamento do Serviço de TI e processos correlatos,
em três níveis. O primeiro nível é o Gerenciamento de Serviço de TI como um todo. O segundo é o
alinhamento contínuo do portfólio de serviços de TI com as necessidades de negócio atuais e futuras. O
último nível trata da maturidade do processo de TI requerida para suportar os processos do negócio.
É válido ressaltar que a melhoria continuada de serviço, ao contrário dos demais livros da biblioteca, não é
uma fase separada, suas atividades são executadas durante todo o ciclo de vida. O foco é aumentar a
eficiência, maximizar a efetividade e otimizar o custo dos serviços e processos relacionados ao
Gerenciamento de Serviço de TI.
Processos do livro Melhoria de Serviço Continuada

• Melhoria em 7 passos: Baseado no ciclo PDCA.
ü Passo1: Definir o que deve ser medido;
ü Passo2: Definir o que se pode medir;
ü Passo3: Coletar Dados;
ü Passo4: Processar Dados;
ü Passo5: Analisar Dados;
ü Passo6: Apresentar e usar a informação;
ü Passo7: Implantar ação corretiva.
• Mensuração de Serviços: Seus objetivos é validar decisões que tenham sido tomadas, direcionar
atividades para o alcance das metas, fornecer evidências que justifiquem ações e sinalizar a
necessidade de ações corretivas.
• Elaboração de relatórios de serviços: Este processo gera e fornece relatórios sobre os
resultados alcançados e os desenvolvimentos nos níveis de serviço. A forma (layout, conteúdo e
frequência) dos relatórios deve ser acordada com o negócio.

Aulas: 01 - 12

NORMAS DE SEGURANÇA
Conforme definido pela Associação Brasileira de Normas Técnicas (ABNT), os objetivos da normalização
são:
• Comunicação: proporcionar meios mais eficientes na troca de informação entre o fabricante e o
cliente, melhorando a confiabilidade das relações comerciais e de serviços;
• Segurança: proteger a vida humana e a saúde;
• Proteção do consumidor: prover a sociedade de mecanismos eficazes para aferir qualidade de
produtos;
• Eliminação de barreiras técnicas e comerciais: evitar a existência de regulamentos conflitantes
sobre produtos e serviços em diferentes países, facilitando assim, o intercâmbio comercial.
Existem duas grandes normas trabalhando o aspecto segurança da informação, são elas:
ABNT NBR ISO/IEC 27001:2005
ABNT NBR ISO/IEC 27002:2005
COMPARATIVO ENTRE NORMAS DE SEGURANÇA DA INFORMAÇÃO

Norma Aspectos Positivos Observações
Implementa um sistema Os itens são obrigatórios. É
ABNT NBR-ISO/IEC 27001
de gestão da segurança possível obter a certificação.
Tem o controle de Os controles são recomendações.
ABNT NBR-ISO/IEC 27002
segurança. Não é possível obter certificação
ALGUNS TERMOS E DEFINIÇÕES IMPORTANTES

Para os efeitos desta Norma, aplicam-se os seguintes termos e definições.
• Ativo: qualquer coisa que tenha valor para a organização [ISO/IEC 13335-1:2004]
• Disponibilidade: propriedade de estar acessível e utilizável sob demanda por uma entidade
autorizada [ISO/IEC 13335-1:2004]
• Confidencialidade: propriedade de que a informação não esteja disponível ou revelada a
indivíduos, entidades ou processos não autorizados [ISO/IEC 13335-1:2004]
• Segurança da informação: preservação da confidencialidade, integridade e disponibilidade da
informação; adicionalmente, outras propriedades, tais como autenticidade, responsabilidade, não
repúdio e confiabilidade, podem também estar envolvidas [ABNT NBR ISO/IEC 17799:2005]
• Evento de segurança da informação: uma ocorrência identificada de um estado de sistema,
serviço ou rede, indicando uma possível violação da política de segurança da informação ou falha
de controles, ou uma situação previamente desconhecida, que possa ser relevante para a
segurança da informação [ISO/IEC TR 18044:2004]
• Incidente de segurança da informação: um simples ou uma série de eventos de segurança da
informação indesejados ou inesperados, que tenham uma grande probabilidade de comprometer
as operações do negócio e ameaçar a segurança da informação [ISO/IEC TR 18044:2004]
• Sistema de gestão da segurança da informação SGSI: a parte do sistema de gestão global,
baseado na abordagem de riscos do negócio, para estabelecer, implementar, operar, monitorar,
analisar criticamente, manter e melhorar a segurança da informação
• Integridade: propriedade de salvaguarda da exatidão e completeza de ativos [ISO/IEC 13335-
1:2004]
• Risco residual: risco remanescente após o tratamento de riscos [ABNT ISO/IEC Guia 73:2005]
• Aceitação do risco: decisão de aceitar um risco [ABNT ISO/IEC Guia 73:2005]
• Análise de riscos: uso sistemático de informações para identificar fontes e estimar o risco [ABNT
ISO/IEC Guia 73:2005]
• Análise/avaliação de riscos: processo completo de análise e avaliação de riscos [ABNT ISO/IEC
Guia 73:2005]
• Avaliação de riscos: processo de comparar o risco estimado com critérios de risco predefinidos
para determinar a importância do risco [ABNT ISO/IEC Guia 73:2005]

Aulas: 01 - 12

• Gestão de riscos: atividades coordenadas para direcionar e controlar uma organização no que se
refere a riscos
• Tratamento do risco: processo de seleção e implementação de medidas para modificar um risco
[ABNT ISO/IEC Guia 73:2005]
• Declaração de aplicabilidade: declaração documentada que descreve os objetivos de controle e
controles que são pertinentes e aplicáveis ao SGSI da organização
NORMA ABNT NBR ISO/IEC 27001

A norma ISO 27001 é um padrão internacional que provê um modelo para todos os tipos de organizações
(por exemplo, empreendimentos comerciais, agências governamentais, organizações sem fins lucrativos).
O objetivo da ISO 27001 é estabelecer, implementar, operar, monitorar, revisar e melhorar o SGSI,
podendo ser usado em conjunto com ISO/IEC 27002, o código de práticas para gerência da segurança da
informação, o qual lista objetivos do controle de segurança e recomenda um conjunto de especificações de
controles de segurança.
A norma ISO 27001 adota um processo de gerência de segurança da informação com ênfase nos seguintes
aspectos:
• entendimento dos requisitos de segurança da informação de uma organização e da necessidade
de estabelecer uma política e objetivos para a segurança de informação;
• implementação e operação de controles para gerenciar os riscos de segurança da informação de
uma organização no contexto dos riscos de negócio globais da organização;
• monitoração e análise crítica do desempenho e eficácia do SGSI; e
• melhoria contínua baseada em medições objetivas.
Esta Norma adota o modelo conhecido como "Plan-Do-Check-Act” (PDCA), que é aplicado para estruturar
todos os processos do SGSI.
A adoção do modelo PDCA também refletirá os princípios como definidos nas Diretrizes da OECD
(Organização para a Cooperação e Desenvolvimento Econômico) para governar a segurança de sistemas
de informação e redes.
Estabelecer a política, objetivos, processos e procedimentos do SGSI,

Plan (planejar) relevantes para a gestão de riscos e a melhoria da segurança da
(estabelecer o SGSI) informação para produzir resultados de acordo com as políticas e
objetivos globais de uma organização.
Do (fazer) Implementar e operar a política, controles, processos e procedimentos
(implementar/operar o SGSI) do SGSI.
Avaliar e, quando aplicável, medir o desempenho de um processo
Check (checar)
frente à política, objetivos e experiência prática do SGSI e apresentar
(monitorar/analisar o SGSI)
os resultados para a análise crítica pela direção.
Executar as ações corretivas e preventivas, com base nos resultados
Act (agir)
da auditoria interna do SGSI e da análise crítica pela direção ou outra
(manter/melhorar o SGSI)
informação pertinente, para alcançar a melhoria contínua do SGSI.
Esta Norma também inclui requisitos para a avaliação e tratamento de riscos de segurança da informação
voltados para as necessidades da organização. Os requisitos definidos nesta Norma são genéricos e são
pretendidos para serem aplicáveis a todas as organizações independentemente do tipo, tamanho ou
natureza.
Estrutura desta Norma

Esta Norma contém 11 seções de controles de segurança da informação, que juntas totalizam 39
categorias principais de segurança e uma seção introdutória que aborda a análise/avaliação e o tratamento
de riscos.

Aulas: 01 - 12

Seções
Cada seção contém um número de categorias principais de segurança da informação. As 11 seções
(acompanhadas com o respectivo número de categorias) são:
a) Política de Segurança da Informação (1);
b) Organizando a Segurança da Informação (2);
c) Gestão de Ativos (2);
d) Segurança em Recursos Humanos (3);
e) Segurança Física e do Ambiente (2);
f) Gestão das Operações e Comunicações (10);
g) Controle de Acesso (7);
h) Aquisição, Desenvolvimento e Manutenção de Sistemas de Informação (6);
i) Gestão de Incidentes de Segurança da Informação (2);
j) Gestão da Continuidade do Negócio (1);
k) Conformidade (3).
Anexo A
Tabela A.1 — Objetivos de controle e controles
A.5 Política de segurança
A.5.1 Política de segurança da informação
Objetivo: Prover uma orientação e apoio da direção para a segurança da informação de acordo com os requisitos
do negócio e com as leis e regulamentações relevantes
Controle
Um documento da política de segurança da
Documento da política de segurança
A.5.1.1 informação deve ser aprovado pela direção, publicado
da informação
e comunicado para todos os funcionários e partes
externas relevantes.
Controle
A política de segurança da informação deve ser
Análise crítica da política de segurança analisada criticamente a intervalos planejados ou
A.5.1.2
da informação quando mudanças significativas ocorrerem, para
assegurar a sua contínua pertinência, adequação e
eficácia.
A.6 Organizando a segurança da informação
A.6.1 Infra-estrutura da segurança da informação
Objetivo: Gerenciar a segurança da informação dentro da organização.
Controle
A Direção deve apoiar ativamente a segurança da
informação dentro da organização, por meio de um
Comprometimento da direção com a
A.6.1.1 claro direcionamento, demonstrando o seu
segurança da informação
comprometimento, definindo atribuições de forma
explícita e conhecendo as responsabilidades pela
segurança da informação.
Controle
Coordenação da segurança da As atividades de segurança da informação devem ser
A.6.1.2
informação coordenadas por representantes de diferentes partes
da organização, com funções e papéis relevantes.
Controle
Atribuição de responsabilidades para a
A.6.1.3 Todas as responsabilidades pela segurança da
informaçãodevem estar claramente definidas.
Controle
Processo de autorização para os
Deve ser definido e implementado um processo de
A.6.1.4 recursos de processamento da
gestão de autorização para novos recursos de
informação
processamento da informação.
Controle
Os requisitos para confidencialidade ou acordos de
não divulgação que reflitam as necessidades da
A.6.1.5 Acordos de confidencialidade
organização para a proteção da informação devem
ser identificados e analisados criticamente, de forma
regular.
Controle
A.6.1.6 Contato com autoridades Contatos apropriados com autoridades relevantes
devem ser mantidos.
Controle
Contatos apropriados com grupos de interesses
A.6.1.7 Contato com grupos especiais especiais ou outros fóruns especializados de
segurança da informação e associações profissionais
devem ser mantidos.


Aulas: 01 - 12

Controle
O enfoque da organização para gerenciar a segurança
da informação e a sua implementação (por exemplo,
controles, objetivo dos controles, políticas, processos e
Análise crítica independente de
A.6.1.8 procedimentos para a segurança da informação) deve
ser analisado criticamente, de forma independente, a
intervalos planejados, ou quando ocorrerem mudanças
significativas relativas à implementação da segurança
da informação.
A.6.2 Partes externas
Objetivo: Manter a segurança dos recursos de processamento da informação e da informação da organização, que
são acessados, processados, comunicados ou gerenciados por partes externas.
Controle
Os riscos para os recursos de processamento da
informação e para a informação da organização
Identificação dos riscos relacionados
A.6.2.1 oriundos de processos do negócio que envolvam as
com partes externas
partes externas devem ser identificados e controles
apropriados devem ser implementados antes de se
conceder o acesso.
Controle
Identificando a segurança da Todos os requisitos de segurança da informação
A.6.2.2 informação quando tratando com os identificados devem ser considerados antes de
clientes. conceder aos clientes o acesso aos ativos ou às
informações da organização.
Controle
Os acordos com terceiros envolvendo o acesso,
processamento, comunicação ou gerenciamento dos
Identificando segurança da informação recursos de processamento da informação ou da
A.6.2.3
nos acordos com terceiros informação da organização, ou o acréscimo de produtos
ou serviços aos recursos de processamento da
informação devem cobrir todos os requisitos de
segurança da informação relevantes.
A.7 Gestão de ativos
A.7.1 Responsabilidade pelos ativos
Objetivo: Alcançar e manter a proteção adequada dos ativos da organização.
Controle
Todos os ativos devem ser claramente identificados e
A.7.1.1 Inventário dos ativos um inventário de todos os ativos importantes deve ser
estruturado
e mantido.
Controle
Todas as informações e ativos associados com os
A.7.1.2 Proprietário dos ativos recursos de processamento da informação devem ter
um "proprietário" designado por uma parte definida da
organização.
Controle
Devem ser identificadas, documentadas e
A.7.1.3 Uso aceitável dos ativos implementadas regras para que seja permitido o uso de
informações e de ativos associados aos recursos de
processamento da informação.
A.7.2 Classificação da informação
Objetivo: Assegurar que a informação receba um nível adequado de proteção.
Controle
A informação deve ser classificada em termos do seu
A.7.2.1 Recomendações para classificação
valor, requisitos legais, sensibilidade e criticidade para a
organização.
Controle
Um conjunto apropriado de procedimentos para rotular e
A.7.2.2 Rótulos e tratamento da informação tratar a informação deve ser definido e implementado de
acordo com o esquema de classificação adotado pela
organização.


Aulas: 01 - 12

A.8 Segurança em recursos humanos
A.8.1 Antes da contratação
Objetivo: Assegurar que os funcionários, fornecedores e terceiros entendam suas responsabilidades, e estejam de
acordo com os seus papéis, e reduzir o risco de roubo, fraude ou mau uso de recursos.
Controle
Os papéis e responsabilidades pela segurança da
informação de funcionários, fornecedores e terceiros
A.8.1.1 Papéis e responsabilidades
devem ser definidos e documentados de acordo com
a política de segurança da informação da
organização.
Controle
Verificações de controle de todos os candidatos a
emprego, fornecedores e terceiros devem ser
Seleção realizadas de acordo com as leis relevantes,
A.8.1.2
regulamentações e éticas, e proporcionalmente aos
requisitos do negócio, à classificação das
informações a serem acessadas e aos riscos
percebidos.
Controle
Como parte das suas obrigações contratuais, os
funcionários, fornecedores e terceiros devem
A.8.1.3 Termos e condições de contratação concordar e assinar os termos e condições de sua
contratação para o trabalho, os quais devem declarar
as suas responsabilidade e da organização para a
A.8.2 Durante a contratação
Objetivo: Assegurar que os funcionários, fornecedores e terceiros estão conscientes das ameaças e preocupações
relativas à segurança da informação, suas responsabilidades e obrigações, e estão preparados para apoiar a
política de segurança da informação da organização durante os seus trabalhos normais, e para reduzir o risco de
erro humano.
Controle
A direção deve solicitar aos funcionários,
A.8.2.1 Responsabilidades da direção fornecedores e terceiros que pratiquem a segurança
da informação de acordo com o estabelecido nas
políticas e procedimentos da organização.
Controle
Todos os funcionários da organização e, onde
Conscientização, educação e
pertinente, fornecedores e terceiros devem receber
A.8.2.2 treinamento em segurança da
treinamento apropriado em conscientização, e
informação
atualizações regulares nas políticas e procedimentos
organizacionais relevantes para as suas funções.
Controle
Deve existir um processo disciplinar formal para os
A.8.2.3 Processo disciplinar
funcionários que tenham cometido uma violação da
A.8.3 Encerramento ou mudança da contratação
Objetivo: Assegurar que funcionários, fornecedores e terceiros deixem a organização ou mudem de trabalho de
forma ordenada.
Controle
As responsabilidades para realizar o encerramento
A.8.3.1 Encerramento de atividades
ou a mudança de um trabalho devem ser claramente
definidas e atribuídas.
Controle
Todos os funcionários, fornecedores e terceiros
A.8.3.2 Devolução de ativos devem devolver todos os ativos da organização que
estejam em sua posse após o encerramento de suas
atividades, do contrato ou acordo.
Controle
Os direitos de acesso de todos os funcionários,
fornecedores e terceiros às informações e aos
A.8.3.3 Retirada de direitos de acesso recursos de processamento da informação devem ser
retirados após o encerramento de suas atividades,
contratos ou acordos, ou devem ser ajustados após a
mudança destas atividades.


Aulas: 01 - 12

A.9 Segurança física e do ambiente
A.9.1 Áreas seguras
Objetivo: Prevenir o acesso físico não autorizado, danos e interferências com as instalações e informações da
organização.
Controle
Devem ser utilizados perímetros de segurança
(barreiras tais como paredes, portões de entrada
A.9.1.1 Perímetro de segurança física controlados por cartão ou balcões de recepção com
recepcionistas) para proteger as áreas que contenham
informações e recursos de processamento da
informação.
Controle
As áreas seguras devem ser protegidas por controles
A.9.1.2 Controles de entrada física
apropriados de entrada para assegurar que somente
pessoas autorizadas tenham acesso.
Controle
Segurança em escritórios salas e
A.9.1.3 Deve ser projetada e aplicada segurança física para
instalações
escritórios,
Controle
Deve ser projetada e aplicada proteção física contra
Proteção contra ameaças externas e
A.9.1.4 incêndios, enchentes, terremotos, explosões,
do meio ambiente
perturbações da ordem pública e outras formas de
desastres naturais ou causados pelo homem.
Controle
A.9.1.5 Trabalhando em áreas seguras Deve ser projetada e aplicada proteção física, bem
como diretrizes para o trabalho em áreas seguras.
Controle
Pontos de acesso, tais como áreas de entrega e de
carregamento e outros pontos em que pessoas não
Acesso do público, áreas de entrega
A.9.1.6 autorizadas possam entrar nas instalações, devem ser
e de carregamento
controlados e, se possível, isolados dos recursos de
processamento da informação, para evitar o acesso
não autorizado.
A.9.2 Segurança de equipamentos
Objetivo: Impedir perdas, danos, furto ou comprometimento de ativos e interrupção das atividades da organização.
Controle
Os equipamentos devem ser colocados no local ou
Instalação e proteção do
A.9.2.1 protegidos para reduzir os riscos de ameaças e
equipamento
perigos do meio ambiente, bem como as
oportunidades de acesso não autorizado.
Controle
Os equipamentos devem ser protegidos contra falta de
A.9.2.2 Utilidades
energia elétrica e outras interrupções causadas por
falhas das utilidades.
Controle
O cabeamento de energia e de telecomunicações que
A.9.2.3 Segurança do cabeamento transporta dados ou dá suporte aos serviços de
informações deve ser protegido contra interceptação
ou danos.
Controle
Os equipamentos devem ter manutenção correta, para
A.9.2.4 Manutenção dos equipamentos
assegurar sua disponibilidade e integridade
permanente.
Controle
Devem ser tomadas medidas de segurança para
Segurança de equipamentos fora das
A.9.2.5 equipamentos que operem fora do local, levando em
dependências da organização
conta os diferentes riscos decorrentes do fato de se
trabalhar fora das dependências da organização.
Controle
Todos os equipamentos que contenham mídias de
Reutilização e alienação segura de armazenamento de dados devem ser examinados
A.9.2.6
equipamentos antes do descarte, para assegurar que todos os dados
sensíveis e softwares licenciados tenham sido
removidos ou sobregravados com segurança.
Controle
A.9.2.7 Remoção de propriedade Equipamentos, informações ou software não devem
ser retirados do local sem autorização prévia.


Aulas: 01 - 12

A.10 Gerenciamento das operações e comunicações
A.10.1 Procedimentos e responsabilidades operacionais
Objetivo: Garantir a operação segura e correta dos recursos de processamento da informação.
Controle
Documentação dos procedimentos de Os procedimentos de operação devem ser
A.10.1.1
operação documentados, mantidos atualizados e disponíveis a
todos os usuários que deles necessitem.
Controle
A.10.1.2 Gestão de mudanças Modificações nos recursos de processamento da
informação e sistemas devem ser controladas.
Controle
Funções e áreas de responsabilidade devem ser
A.10.1.3 Segregação de funções segregadas para reduzir as oportunidades de
modificação ou uso indevido não autorizado ou não
intencional dos ativos da organização.
Controle
Recursos de desenvolvimento, teste e produção
Separação dos recursos de
A.10.1.4 devem ser separados para reduzir o risco de acessos
desenvolvimento, teste e de produção
ou modificações não autorizadas aos sistemas
operacionais.
A.10.2 Gerenciamento de serviços terceirizados
Objetivo: Implementar e manter o nível apropriado de segurança da informação e de entrega de serviços em
consonância com acordos de entrega de serviços terceirizados.
Controle
Deve ser garantido que os controles de segurança, as
A.10.2.1 Entrega de serviços definições de serviço e os níveis de entrega incluídos
no acordo de entrega de serviços terceirizados sejam
implementados, executados e mantidos pelo terceiro.
Controle
Os serviços, relatórios e registros fornecidos por
Monitoramento e análise crítica de
A.10.2.2 terceiro devem ser regularmente monitorados e
serviços terceirizados
analisados criticamente, e auditorias devem ser
executadas regularmente.
Controle
Mudanças no provisionamento dos serviços, incluindo
manutenção e melhoria da política de segurança da
Gerenciamento de mudanças para informação, dos procedimentos e controles
A.10.2.3
serviços terceirizados existentes, devem ser gerenciadas levando-se em
conta a criticidade dos sistemas e processos de
negócio envolvidos e a reanálise/reavaliação de
riscos.
A.10.3 Planejamento e aceitação dos sistemas
Objetivo: Minimizar o risco de falhas nos sistemas.
Controle
A utilização dos recursos deve ser monitorada e
sincronizada e as projeções devem ser feitas para
A.10.3.1 Gestão de capacidade
necessidades de capacidade futura, para garantir o
desempenho requerido do
sistema.
Controle
Devem ser estabelecidos critérios de aceitação para
novos sistemas, atualizações e novas versões e que
A.10.3.2 Aceitação de sistemas
sejam efetuados testes apropriados do(s) sistema(s)
durante seu desenvolvimento e antes da sua
aceitação.
A.10.4 Proteção contra códigos maliciosos e códigos móveis
Objetivo: Proteger a integridade do software e da informação.
Controle
Devem ser implantados controles de detecção,
A.10.4.1 Controle contra códigos maliciosos prevenção e recuperação para proteger contra
códigos maliciosos, assim como procedimentos para
a devida conscientização dos usuários.
Controle
Onde o uso de códigos móveis é autorizado, a
configuração deve garantir que o código móvel
A.10.4.2 Controles contra códigos móveis autorizado opere de acordo com uma política de
segurança da informação claramente definida e que
códigos móveis não autorizados tenham sua
execução impedida.


Aulas: 01 - 12

A.10.5 Cópias de segurança
Objetivo: Manter a integridade e disponibilidade da informação e dos recursos de processamento de informação.
Controle
Cópias de segurança das Cópias de segurança das informações e dos softwares
A.10.5.1
informações devem ser efetuadas e testadas regularmente, conforme a
política de geração de cópias de segurança definida.
A.10.6 Gerenciamento da segurança em redes
Objetivo: Garantir a proteção das informações em redes e a proteção da infra-estrutura de suporte.
Controle
Redes devem ser adequadamente gerenciadas e
A.10.6.1 Controles de redes controladas, de forma a protegê-las contra ameaças e
manter a segurança de sistemas e aplicações que utilizam
estas redes, incluindo a informação em trânsito.
Controle
Características de segurança, níveis de serviço e requisitos
de gerenciamento dos serviços de rede devem ser
A.10.6.2 Segurança dos serviços de rede
identificados e incluídos em qualquer acordo de serviços de
rede, tanto para serviços de rede providos internamente
como para terceirizados.
A.10.7 Manuseio de mídias
Objetivo: Prevenir contra divulgação não autorizada, modificação, remoção ou destruição aos ativos e interrupções das
atividades do negócio.
Controle
Gerenciamento de mídias
A.10.7.1 Devem existir procedimentos implementados para o
removíveis
gerenciamento de mídias removíveis.
Controle
As mídias devem ser descartadas de forma segura e
A.10.7.2 Descarte de mídias
protegida quando não forem mais necessárias, por meio de
procedimentos formais.
Controle
Devem ser estabelecidos procedimentos para o tratamento
Procedimentos para tratamento
A.10.7.3 e o armazenamento de informações, para proteger tais
de informação
informações contra a divulgação não autorizada ou uso
indevido.
Controle
Segurança da documentação dos
A.10.7.4 A documentação dos sistemas deve ser protegida contra
sistemas
acessos não autorizados.
A.10.8 Troca de informações
Objetivo: Manter a segurança na troca de informações e softwares internamente à organização e com quaisquer
entidades externas.
Controle
Políticas, procedimentos e controles devem ser
Políticas e procedimentos para
A.10.8.1 estabelecidos e formalizados para proteger a troca de
troca de informações
informações em todos os tipos de recursos de
comunicação.
Controle
Acordos para a troca de Devem ser estabelecidos acordos para a troca de
A.10.8.2
informações informações e softwares entre a organização e entidades
externas.
Controle
Mídias contendo informações devem ser protegidas contra
A.10.8.3 Mídias em trânsito acesso não autorizado, uso impróprio ou alteração indevida
durante o transporte externo aos limites físicos da
organização.
Controle
A.10.8.4 Mensagens eletrônicas As informações que trafegam em mensagens eletrônicas
devem ser adequadamente protegidas.
Controle
Políticas e procedimentos devem ser desenvolvidos e
Sistemas de informações do
A.10.8.5 implementados para proteger as informações associadas
negócio
com a interconexão de sistemas de informações do
negócio.


Aulas: 01 - 12

A.10.9 Serviços de comércio eletrônico
Objetivo: Garantir a segurança de serviços de comércio eletrônico e sua utilização segura.
Controle
As informações envolvidas em comércio eletrônico
A.10.9.1 Comércio eletrônico transitando sobre redes públicas devem ser protegidas
de atividades fraudulentas, disputas contratuais,
divulgação e modificações não autorizadas.
Controle
Informações envolvidas em transações on-line devem
ser protegidas para prevenir transmissões incompletas,
A.10.9.2 Transações on-line
erros de roteamento, alterações não autorizadas de
mensagens, divulgação não autorizada, duplicação ou
reapresentação de mensagem não autorizada.
Controle
Informações publicamente A integridade das informações disponibilizadas em
A.10.9.3
disponíveis sistemas publicamente acessíveis deve ser protegida,
para prevenir modificações não autorizadas.
A.10.10 Monitoramento
Objetivo: Detectar atividades não autorizadas de processamento da informação.
Controle
Registros (log) de auditoria contendo atividades dos
usuários, exceções e outros eventos de segurança da
A.10.10.1 Registros de auditoria
informação devem ser produzidos e mantidos por um
período de tempo acordado para auxiliar em futuras
investigações e monitoramento de controle de acesso.
Controle
Devem ser estabelecidos procedimentos para o
Monitoramento do uso do monitoramento do uso dos recursos de processamento
A.10.10.2
sistema da informação e os resultados das atividades de
monitoramento devem ser analisados criticamente, de
forma regular.
Controle
Proteção das informações dos
A.10.10.3 Os recursos e informações de registros (log) devem ser
registros (logs)
protegidos contra falsificação e acesso não autorizado.
Controle
Registros (log) de administrador
A.10.10.4 As atividades dos administradores e operadores do
e operador
sistema devem ser registradas.
Controle
A.10.10.5 Registros (logs) de falhas As falhas ocorridas devem ser registradas e analisadas,
e devem ser adotadas as ações apropriadas.
Controle
Os relógios de todos os sistemas de processamento de
A.10.10.6 Sincronização dos relógios informações relevantes, dentro da organização ou do
domínio de segurança, devem ser sincronizados de
acordo com uma hora oficial.
A.11 Controle de acessos
A.11.1 Requisitos de negócio para controle de acesso
Objetivo: Controlar o acesso à informação.
Controle
A política de controle de acesso deve ser estabelecida,
A.11.1.1 Política de controle de acesso documentada e analisada criticamente, tomando-se
como base os requisitos de acesso dos negócios e da
A.11.2 Gerenciamento de acesso do usuário
Objetivo: Assegurar acesso de usuário autorizado e prevenir acesso não autorizado a sistemas de informação.
Controle
Deve existir um procedimento formal de registro e
A.11.2.1 Registro de usuário
cancelamento de usuário para garantir e revogar
acessos em todos os sistemas de informação e serviços.
Controle
A.11.2.2 Gerenciamento de privilégios A concessão e o uso de privilégios devem ser restritos e
controlados.
Controle
Gerenciamento de senha do
A.11.2.3 A concessão de senhas deve ser controlada por meio de
usuário
um processo de gerenciamento formal.
Controle
Análise crítica dos direitos de O gestor deve conduzir a intervalos regulares a análise
A.11.2.4
acesso de usuário crítica dos direitos de acesso dos usuários, por meio de
um processo formal.


Aulas: 01 - 12

A.11.3 Responsabilidades dos usuários
Objetivo: Prevenir o acesso não autorizado dos usuários e evitar o comprometimento ou roubo da informação e dos
recursos de processamento da informação.
Controle
A.11.3.1 Uso de senhas Os usuários devem ser orientados a seguir boas práticas
desegurança da informação na seleção e uso de senhas.
Controle
Equipamento de usuário sem
A.11.3.2 Os usuários devem assegurar que os equipamentos não
monitoração
monitorados tenham proteção adequada.
Controle
Deve ser adotada uma política de mesa limpa de papéis
Política de mesa limpa e tela
A.11.3.3 e mídias de armazenamento removíveis e uma política
limpa
de tela limpa para os recursos de processamento da
informação.
A.11.4 Controle de acesso à rede
Objetivo: Prevenir acesso não autorizado aos serviços de rede.
Controle
Política de uso dos serviços de Os usuários devem receber acesso somente aos
A.11.4.1
rede serviços que tenham sido especificamente autorizados a
usar.
Controle
Autenticação para conexão
A.11.4.2 Métodos apropriados de autenticação devem ser usados
externa do usuário
para controlar o acesso de usuários remotos.
Controle
Identificação de equipamento Devem ser consideradas as identificações automáticas
A.11.4.3
em redes de equipamentos como um meio de autenticar conexões
vindas de localizações e equipamentos específicos.
Controle
Proteção e configuração de
A.11.4.4 Deve ser controlado o acesso físico e lógico para
portas de diagnóstico remotas
diagnosticar e configurar portas.
Controle
A.11.4.5 Segregação de redes Grupos de serviços de informação, usuários e sistemas
de informação devem ser segregados em redes.
Controle
Para redes compartilhadas, especialmente as que se
estendem pelos limites da organização, a capacidade de
A.11.4.6 Controle de conexão de rede
usuários para conectar-se à rede deve ser restrita, de
acordo com a política de controle de acesso e os
requisitos das aplicações do negócio
Controle
Deve ser implementado controle de roteamento na rede
A.11.4.7 Controle de roteamento de redes para assegurar que as conexões de computador e fluxos
de informação não violem a política de controle de
acesso das aplicações do negócio.
A.11.5 Controle de acesso ao sistema operacional
Objetivo: Prevenir acesso não autorizado aos sistemas operacionais.
Controle
Procedimentos seguros de O acesso aos sistemas operacionais deve ser controlado
A.11.5.1
entrada no sistema (log-on) por um procedimento seguro de entrada no sistema (log-
on).
Controle
Todos os usuários devem ter um identificador único (ID
Identificação e autenticação de
A.11.5.2 de usuário), para uso pessoal e exclusivo, e uma técnica
usuário
adequada de autenticação deve ser escolhida para
validar a identidade alegada por um usuário.
Controle
Sistema de gerenciamento de
A.11.5.3 Sistemas para gerenciamento de senhas devem ser
senha
interativos e assegurar senhas de qualidade.
Controle
O uso de programas utilitários que podem ser capazes
A.11.5.4 Uso de utilitários de sistema
de sobrepor os controles dos sistemas e aplicações deve
ser restrito e estritamente controlado.
Controle
Desconexão de terminal por
A.11.5.5 Terminais inativos devem ser desconectados após um
inatividade
período definido de inatividade.
Controle
Restrições nos horários de conexão devem ser utilizadas
A.11.5.6 Limitação de horário de conexão
para proporcionar segurança adicional para aplicações
de alto risco.


Aulas: 01 - 12

A.11.6 Controle de acesso à aplicação e à informação
Objetivo: Prevenir acesso não autorizado à informação contida nos sistemas de aplicação.
Controle
O acesso à informação e às funções dos sistemas de
Restrição de acesso à
A.11.6.1 aplicações por usuários e pessoal de suporte deve ser
informação
restrito de acordo com o definido na política de controle
de acesso.
Controle
Isolamento de sistemas
A.11.6.2 Sistemas sensíveis devem ter um ambiente
sensíveis
computacional dedicado (isolado).
A.11.7 Computação móvel e trabalho remoto
Objetivo: Garantir a segurança da informação quando se utilizam a computação móvel e recursos de trabalho remoto.
Controle
Uma política formal deve ser estabelecida e medidas de
Computação e comunicação
A.11.7.1 segurança apropriadas devem ser adotadas para a
móvel
proteção contra os riscos do uso de recursos de
computação e comunicação móveis.
Controle
Uma política, planos operacionais e procedimentos
A.11.7.2 Trabalho remoto
devem ser desenvolvidos e implementados para
atividades de trabalho remoto.
A.12 Aquisição, desenvolvimento e manutenção de sistemas de informação
A.12.1 Requisitos de segurança de sistemas de informação
Objetivo: Garantir que segurança é parte integrante de sistemas de informação.
Controle
Devem ser especificados os requisitos para controles de
Análise e especificação dos
A.12.1.1 segurança nas especificações de requisitos de negócios,
requisitos de segurança
para novos sistemas de informação ou melhorias em
sistemas existentes.
A.12.2 Processamento correto de aplicações
Objetivo: Prevenir a ocorrência de erros, perdas, modificação não autorizada ou mau uso de informações em
aplicações.
Controle
A.12.2.1 Validação dos dados de entrada Os dados de entrada de aplicações devem ser validados
para garantir que são corretos e apropriados.
Controle
Controle do processamento Devem ser incorporadas, nas aplicações, checagens de
A.12.2.2
interno validação com o objetivo de detectar qualquer corrupção
de informações, por erros ou por ações deliberadas.
Controle
Requisitos para garantir a autenticidade e proteger a
A.12.2.3 Integridade de mensagens integridade das mensagens em aplicações devem ser
identificados e os controles apropriados devem ser
identificados e implementados.
Controle
Os dados de saída das aplicações devem ser validados
A.12.2.4 Validação de dados de saída para assegurar que o processamento das informações
armazenadas está correto e é apropriado às
circunstâncias.
A.12.3 Controles criptográficos
Objetivo: Proteger a confidencialidade, a autenticidade ou a integridade das informações por meios criptográficos.
Controle
Política para o uso de controles Deve ser desenvolvida e implementada uma política para
A.12.3.1
criptográficos o uso de controles criptográficos para a proteção da
informação.
Controle
Um processo de gerenciamento de chaves deve ser
A.12.3.2 Gerenciamento de chaves
implantado para apoiar o uso de técnicas criptográficas
pela organização.
A.12.4 Segurança dos arquivos do sistema
Objetivo: Garantir a segurança de arquivos de sistema.
Controle
A.12.4.1 Controle de software operacional Procedimentos para controlar a instalação de software
em sistemas operacionais devem ser implementados.
Controle
Proteção dos dados para teste
A.12.4.2 Os dados de teste devem ser selecionados com cuidado,
de sistema
protegidos e controlados.
Controle de acesso ao código- Controle
A.12.4.3
fonte de programa O acesso ao código-fonte de programa deve ser restrito.


Aulas: 01 - 12

A.12.5 Segurança em processos de desenvolvimento e de suporte
Objetivo: Manter a segurança de sistemas aplicativos e da informação.
Controle
Procedimentos para controle de A implementação de mudanças deve ser controlada
A.12.5.1
mudanças utilizando procedimentos formais de controle de
mudanças.
Controle
Aplicações críticas de negócios devem ser analisadas
Análise crítica técnica das
criticamente e testadas quando sistemas operacionais
A.12.5.2 aplicações após mudanças no
são mudados, para garantir que não haverá nenhum
sistema operacional
impacto adverso na operação da organização ou na
segurança.
Controle
Modificações em pacotes de software não devem ser
Restrições sobre mudanças em
A.12.5.3 incentivadas e devem estar limitadas às mudanças
pacotes de software
necessárias, e todas as mudanças devem ser
estritamente controladas.
Controle
A.12.5.4 Vazamento de informações Oportunidades para vazamento de informações devem
ser prevenidas.
Controle
Desenvolvimento terceirizado de
A.12.5.5 A organização deve supervisionar e monitorar o
software
desenvolvimento terceirizado de software.
A.12.6 Gestão de vulnerabilidades técnicas
Objetivo: Reduzir riscos resultantes da exploração de vulnerabilidades técnicas conhecidas.
Controle
Deve ser obtida informação em tempo hábil sobre
Controle de vulnerabilidades vulnerabilidades técnicas dos sistemas de informação
A.12.6.1
técnicas em uso, avaliada a exposição da organização a estas
vulnerabilidades e tomadas as medidas apropriadas para
lidar com os riscos associados.
A.13 Gestão de incidentes de segurança da informação
A.13.1 Notificação de fragilidades e eventos de segurança da informação
Objetivo: Assegurar que fragilidades e eventos de segurança da informação associados com sistemas de informação
sejam comunicados, permitindo a tomada de ação corretiva em tempo hábil.
Controle
Notificação de eventos de Os eventos de segurança da informação devem ser
A.13.1.1
segurança da informação relatados através dos canais apropriados da direção, o
mais rapidamente possível.
Controle
Os funcionários, fornecedores e terceiros de sistemas e
Notificando fragilidades de
A.13.1.2 serviços de informação devem ser instruídos a registrar e
notificar qualquer observação ou suspeita de fragilidade
em sistemas ou serviços.
A.13.2 Gestão de incidentes de segurança da informação e melhorias
Objetivo: Assegurar que um enfoque consistente e efetivo seja aplicado à gestão de incidentes de segurança da
informação.
Controle
Responsabilidades e procedimentos de gestão devem
Responsabilidades e
A.13.2.1 ser estabelecidos para assegurar respostas rápidas,
procedimentos
efetivas e ordenadas a incidentes de segurança da
informação.
Controle
Aprendendo com os incidentes Devem ser estabelecidos mecanismos para permitir que
A.13.2.2
de segurança da informação tipos, quantidades e custos dos incidentes de segurança
da informação sejam quantificados e monitorados.
Controle
Nos casos em que uma ação de acompanhamento
contra uma pessoa ou organização, após um incidente
de segurança da informação, envolver uma ação legal
A.13.2.3 Coleta de evidências
(civil ou criminal), evidências devem ser coletadas,
armazenadas e apresentadas em conformidade com as
normas de armazenamento de evidências da jurisdição
ou jurisdições pertinentes.


Aulas: 01 - 12

A.14 Gestão da continuidade do negócio
A.14.1 Aspectos da gestão da continuidade do negócio, relativos à segurança da informação
Objetivo: Não permitir a interrupção das atividades do negócio e proteger os processos críticos contra efeitos de falhas
ou desastres significativos, e assegurar a sua retomada em tempo hábil, se for o caso.
Controle
Um processo de gestão deve ser desenvolvido e mantido
Incluindo segurança da informação
para assegurar a continuidade do negócio por toda a
A.14.1.1 no processo de gestão da
organização e que contemple os requisitos de segurança
continuidade de negócio
da informação necessários para a continuidade do
negócio da organização.
Controle
Devem ser identificados os eventos que podem causar
Continuidade de negócios e
A.14.1.2 interrupções aos processos de negócio, junto à
análise/avaliação de risco
probabilidade e impacto de tais interrupções e as
conseqüências para a segurança de informação.
Controle
Os planos devem ser desenvolvidos e implementados
Desenvolvimento e implementação para a manutenção ou recuperação das operações e para
A.14.1.3 de planos de continuidade relativos assegurar a disponibilidade da informação no nível
à segurança da informação requerido e na escala de tempo requerida, após a
ocorrência de interrupções ou falhas dos processos
críticos do negócio.
Controle
Uma estrutura básica dos planos de continuidade do
Estrutura do plano de continuidade negócio deve ser mantida para assegurar que todos os
A.14.1.4
do negócio planos são consistentes, para contemplar os requisitos de
segurança da informação e para identificar prioridades
para testes e manutenção.
Controle
Testes, manutenção e reavaliação
Os planos de continuidade do negócio devem ser testados
A.14.1.5 dos planos de continuidade do
e atualizados regularmente, de forma a assegurar sua
negócio
permanente atualização e efetividade.
A.15 Conformidade
A.15.1 Conformidade com requisitos legais
Objetivo: Evitar violação de qualquer lei criminal ou civil, estatutos, regulamentações ou obrigações contratuais e de
quaisquer requisitos de segurança da informação
Controle
Todos os requisitos estatutários, regulamentares e
contratuais relevantes, e o enfoque da organização para
A.15.1.1 Identificação da legislação vigente
atender a estes requisitos devem ser explicitamente
definidos, documentados e mantidos atualizados para
cada sistema de informação da organização.
Controle
Procedimentos apropriados devem ser implementados
para garantir a conformidade com os requisitos
A.15.1.2 Direitos de propriedade intelectual legislativos, regulamentares e contratuais no uso de
material, em relação aos quais pode haver direitos de
propriedade intelectual e sobre o uso de produtos de
software proprietários.
Controle
Proteção de registros Registros importantes devem ser protegidos contra perda,
A.15.1.3
organizacionais destruição e falsificação, de acordo com os requisitos
regulamentares, estatutários, contratuais e do negócio.
Controle
A privacidade e a proteção de dados devem ser
Proteção de dados e privacidade da
A.15.1.4 asseguradas conforme exigido nas legislações relevantes,
informação pessoal
regulamentações e, se aplicável, nas cláusulas
contratuais.
Controle
Prevenção de mau uso de recursos Os usuários devem ser dissuadidos de usar os recursos
A.15.1.5
de processamento da informação de processamento da informação para propósitos não
autorizados.
Controle
Regulamentação de controles de Controles de criptografia devem ser usados em
A.15.1.6
criptografia conformidade com leis, acordos e regulamentações
relevantes.


Aulas: 01 - 12

A.15.2 Conformidade com normas e políticas de segurança da informação e conformidade técnica
Objetivo: Garantir conformidade dos sistemas com as políticas e normas organizacionais de segurança da informação.
Controle
Os gestores devem garantir que todos os procedimentos
Conformidade com as políticas e de segurança dentro da sua área de responsabilidade
A.15.2.1
normas de segurança da informação sejam executados corretamente para atender à
conformidade com as normas e políticas de segurança da
informação.
Controle
Os sistemas de informação devem ser periodicamente
A.15.2.2 Verificação da conformidade técnica
verificados quanto à sua conformidade com as normas de
segurança da informação implementadas.
A.15.3 Considerações quanto à auditoria de sistemas de informação
Objetivo: Maximizar a eficácia e minimizar a interferência no processo de auditoria dos sistemas de informação.
Controle
Os requisitos e atividades de auditoria envolvendo
Controles de auditoria de sistemas
A.15.3.1 verificação nos sistemas operacionais devem ser
de informação
cuidadosamente planejados e acordados para minimizar
os riscos de interrupção dos processos do negócio.
Controle
Proteção de ferramentas de O acesso às ferramentas de auditoria de sistema de
A.15.3.2
auditoria de sistemas de informação informação deve ser protegido para prevenir qualquer
possibilidade de uso impróprio ou comprometimento.
NORMA ABNT NBR ISO/IEC 27002

A norma ABNT NBR ISO/IEC 27002 é um manual de boas práticas de gestão de segurança da informação
que tem como objetivo identificar os riscos e implantar medidas que de forma efetiva torne estes riscos
gerenciáveis e minimizados. Ele conclui que a sua importância pode ser verificada pelo grande número de
pessoas e ameaças a quem a informação é exposta na rede de computadores. O nome completo da norma
é Técnicas de segurança - Código de prática para a gestão da segurança da informação e o seu conteúdo
técnico é idêntico ao da ABNT NBR ISO/IEC 17799.
A proteção ocorre a partir da implementação de uma série de controles como, por exemplo, a política de
segurança, a classificação e controle dos ativos de informação, segurança física do ambiente, entre outros.
A implantação desses controles não garante que a organização esteja 100% segura. O que se procura é
reduzir os riscos a um nível aceitável pela organização.
Com o foco na gestão de informações estratégicas a implantação desse padrão de segurança da
informação, baseado em controles, contempla os seguintes aspectos de qualidade da informação:
• ︎Confidencialidade: apenas pessoas autorizadas podem acessar as informações;
• Integridade: garantia que dados e sistemas estão corretos;
• Disponibilidade: usuários autorizados devem ter acesso às informações necessárias;
• Confiabilidade: a imagem da instituição deve ser protegida.
Esta norma apresenta orientações efetivas para o processo de segurança da informação na organização
elencando os principais elementos desse processo devem ser desenvolvidos e implantados.
O mais importante do que buscar a conformidade total com esta norma é conhecer a lista de
recomendações e extrair o que puder ser útil para a organização.
A norma ABNT NBR ISO/IEC 27002 contém 11 seções de controles de segurança da informação, que
juntas totalizam 39 categorias principais de segurança e uma seção introdutória que aborda a
análise/avaliação e o tratamento de riscos.

Aulas: 01 - 12

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO
OBJETIVOS DE CONTROLE:
O objetivo da PSI é prover uma orientação e apoio da direção para a segurança da informação de acordo
com os requisitos do negócio e com as leis e regulamentações pertinentes.
Convém que a direção estabeleça uma política, alinhada com os objetivos do negócio e demonstre apoio e
comprometimento com a segurança da informação por meio da publicação e manutenção de uma política
de segurança da informação para toda a organização.
DOCUMENTO DA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

Convém que um documento da política de segurança da informação seja aprovado pela direção, publicado
e comunicado para todos os funcionários e partes externas relevantes.
DIRETRIZES
Convém que o documento da política de segurança da informação declare comprometimento da direção e
estabeleça o enfoque da organização para gerenciar a segurança da informação. Convém que o
documento da política contenha declarações relativas a:
a) uma definição de segurança da informação, suas metas globais, escopo e importância da segurança da
informação como um mecanismo que habilita o compartilhamento da informação;
b) uma declaração do comprometimento da direção, apoiando as metas e princípios da segurança da
informação, alinhada com os objetivos e estratégias do negócio;
c) uma estrutura para estabelecer os objetivos de controle e os controles, incluindo a estrutura de
análise/avaliação e gerenciamento de risco;
d) breve explanação das políticas, princípios, normas e requisitos de conformidade de segurança da
informação específicos para a organização, incluindo:
1) conformidade com a legislação e com requisitos regulamentares e contratuais;
2) requisitos de conscientização, treinamento e educação em segurança da informação;
3) gestão da continuidade do negócio;
4) consequências das violações na política de segurança da informação;
e) definição das responsabilidades gerais e específicas na gestão da segurança da informação, incluindo o
registro dos incidentes de segurança da informação;
f) referências à documentação que possam apoiar a política, por exemplo, políticas e procedimentos de
segurança mais detalhados de sistemas de informação específicos ou regras de segurança que os usuários
devem seguir.
Convém que esta política de segurança da informação seja comunicada através de toda a organização para
os usuários de forma que seja relevante, acessível e compreensível para o leitor em foco.
ANÁLISE CRÍTICA DA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

Convém que a política de segurança da informação seja analisada criticamente a intervalos planejados ou
quando mudanças significativas ocorrerem, para assegurar a sua contínua pertinência, adequação e
eficácia.
DIRETRIZES
Convém que a política de segurança da informação tenha um gestor que tenha responsabilidade de gestão
aprovada para desenvolvimento, análise crítica e avaliação da política de segurança da informação.
Convém que a análise crítica inclua a avaliação de oportunidades para melhoria da política de segurança
da informação da organização e tenha um enfoque para gerenciar a segurança da informação em resposta
às mudanças ao ambiente organizacional, às circunstâncias do negócio, às condições legais, ou ao
ambiente técnico.
Convém que a análise crítica da política de segurança da informação leve em consideração os resultados
da análise crítica pela direção. Convém que sejam definidos procedimentos para análise crítica pela
direção, incluindo uma programação ou um período para a análise crítica.
Convém que as entradas para análise crítica pela direção incluam informações sobre:
a) realimentação das partes interessadas;
b) resultados de análises críticas independentes;
c) situação de ações preventivas e corretivas;
d) resultados de análises críticas anteriores feitas pela direção;
e) desempenho do processo e conformidade com a política de segurança da informação;
f) mudanças que possam afetar o enfoque da organização para gerenciar a segurança da informação,
incluindo mudanças no ambiente organizacional, nas circunstâncias do negócio, na disponibilidade dos
recursos, nas questões contratuais, regulamentares e de aspectos legais ou no ambiente técnico;
g) tendências relacionadas com as ameaças e vulnerabilidades;
h) relato sobre incidentes de segurança da informação;
i) recomendações fornecidas por autoridades relevantes.

Aulas: 01 - 12

Convém que as saídas da análise críticas pela direção incluam quaisquer decisões e ações relacionadas a:
a) melhoria do enfoque da organização para gerenciar a segurança da informação e seus processos;
b) melhoria dos controles e dos objetivos de controles;
c) melhoria na alocação de recursos e/ou de responsabilidades.
Convém que um registro de análise crítica pela direção seja mantido.

Convém que a aprovação pela direção da política de segurança da informação revisada seja obtida.
ANÁLISE DE RISCO.
A análise de riscos é parte integrante do planejamento da auditoria, seu objetivo é identificar riscos e
vulnerabilidades. É papel do auditor deve identificar e determinar ações necessárias a fim de atenuar tais
riscos.
Segundo o PMBOK , entende-se por risco o "evento ou condição incerta que, se acontecer, tem um efeito
positivo ou negativo para a organização", ou "a chance de algo acontecer e que terá impacto nos objetivos".
Ainda, a norma 27.001 que trata de segurança da informação, risco é a probabilidade de uma fonte de
ameaça explorar algum tipo de vulnerabilidade, resultando em um impacto para a organização.
A análise de risco tem como base o cuidado que o auditor deve ter ao selecionar e classificar os projetos de
acordo com os critérios de importância para garantir que todos os novos sistemas críticos e importantes
sejam revisados. Compreende também a detecção e aferição das áreas possíveis de incidência de erro,
com base nos controles internos propostos nos projetos.
A fim de analisar os riscos para o negócio, o auditor deve ter entendimento claro dos seguintes aspectos:
• Propósito e natureza do negócio, o ambiente em que o negócio está inserido e os principais riscos
relacionados ao negócio;
• Dependência tecnológica para processar e entregar informações para as organizações;
• Riscos do negócio relacionados ao uso de TI e como eles podem impactar o alcance das metas e
objetivos estratégicos da organização;
• Visão geral dos processos de negócio e o impacto da TI bem como os riscos desta que sejam
relacionados aos objetivos dos processos de negócio.
O ISACA define que o risco de TI é o risco do negócio associado com o uso, a propriedade, a operação, o
envolvimento, a influência e a utilização de recursos de TI nas organizações e que se caracteriza por
eventos de TI que podem impactar o negócio, que se relaciona pela incerteza (frequência e magnitude) e,
por fim, cria desafios para o atingimento de metas e objetivos do negócio.
O framework RISK IT menciona três categorias de risco de TI:
1. Está relacionada à entrega de serviços de TI e diz respeito à área de operações, no que tange ao
desempenho, disponibilidade, compliance e segurança das atividades diárias: “Manter TI”;
2. Trata da entrega das soluções de TI e em conexão aos programas e projetos da organização,
tendo como componentes as oportunidades de negócio, investimento, custo, prazo e escopo:
“Desenvolver TI”;
3. Benefícios e valor para a TI, na qual se analisam os riscos envolvidos na área de negócio,
eficiência e eficácia e busca a melhoria de processos: “Pensar TI”.
A gestão dos riscos de TI leva em conta uma gama de fatores críticos de sucesso para sua implantação,
tais como o engajamento das pessoas-chave (Negócio e TI), delegação da gestão do risco
(responsabilidades), medidas de desempenho e gestão integrada.
É importante entender que o gerenciamento do risco de TI é um processo iterativo, perpétuo e em
constante mudança e devem contemplar a definição clara de políticas e procedimentos associados ao
processo, englobando decisões sobre investimento, projetos e mudanças no ambiente de TI.

Aulas: 01 - 12

Tais atividades devem estar submetidas a avaliações de riscos feitas por indivíduos autorizados, de forma a
criar uma cultura consciente de risco. A criação de uma cultura de risco depende das pessoas que dela
participam e, no caso da gestão efetiva do risco de TI, os participantes vão desde os escalões mais altos da
organização (executivos e diretores), passando pelos gerentes e profissionais das áreas de risco e os
auditores de TI, pois o engajamento de todos nesse processo é fundamental para a concretização da
gestão efetiva dos riscos de TI.
Por exemplo, no caso dos auditores de TI, para a área de auditoria interna da organização, a gestão de
riscos envolve várias atividades nas quais há a oportunidade de participação e troca de experiências entre
os processos de gestão e controle, abrangendo a definição de responsabilidades, objetivos e análises
referentes ao apetite e tolerância ao risco, além da avaliação do processo de identificação, análise e a
monitoração da exposição ao risco.
A participação da auditoria da TI na construção dessa cultura, desde que mantida a sua independência,
pode trazer dividendos extraordinários para a organização e melhoria nos resultados de negócios, pois uma
empresa que conhece e trabalha seus riscos de maneira eficiente e eficaz melhora a sua imagem diante do
mercado e aumenta a confiança de seus stakeholders, alavancando seus resultados.
CONTROLES INTERNOS
Controle Interno são medidas constantes realizadas pela empresa para promover resultados eficientes nas
atividades operacionais, protegendo o patrimônio e salvaguardando os bens e os direitos quanto a
possíveis erros e fraudes, tornando os dados confiáveis, garantindo a continuidade do fluxo das operações
para alcançar os objetivos, minimizando perdas e riscos que possam comprometer a continuidade da
empresa no mercado em que se está inserida.
São, portanto, mecanismos de gestão que devem permear as operações e atividades críticas de forma
ampla, gerenciada e eficaz e devem ser adaptáveis às necessidades próprias de cada organização.
Com base nestas definições cabe ressaltar alguns conceitos importantes:
• Conduzido pela estrutura de governança, administração e outros profissionais da entidade – O
controle interno é conduzido e é de responsabilidade da estrutura de governança. O Controle
interno faz parte da governança corporativa.
• É um processo – Se é um processo é executado de maneira contínua e é um meio para um fim,
não um fim em si mesmo.
• Realizado por pessoas – não se trata simplesmente de um manual de políticas e procedimentos,
sistemas e formulários, mas diz respeito a pessoas e às ações que elas tomam em cada nível da
organização para realizar o controle interno.
• Capaz de proporcionar segurança razoável - mas não absoluta, para a estrutura de governança e
alta administração de uma entidade.
• Adaptável à estrutura da entidade – flexível na aplicação para toda a entidade ou para uma
subsidiária, divisão, unidade operacional ou processo de negócio em particular.
As atividades de controle interno e dos processos de apoio são manuais, intelectuais e impulsionadas por
recursos automatizados de informação. Controles internos operam em todos os níveis da organização para
mitigar riscos que prejudicariam o alcance dos objetivos corporativos. De acordo com o ISACA a
responsabilidade por estabelecer o controle interno é da alta administração, embora cada indivíduo dentro
de uma organização deve fazer parte deste processo.
O controle interno funciona como uma ferramenta que auxilia as atividades das auditorias, determinando
abrangência dos testes que serão aplicados pelo o auditor. A partir do momento em que o controle interno
esteja sendo executado de maneira satisfatória possibilitará redução de erros e fraudes dando mais
confiança ao auditor nos seus testes e avaliação, conforme indicação das normas de auditoria.
Prevenção, detecção e correção são as classificações que são dadas pelo ISACA aos controles internos,
onde:
• No controle Preventivo o principal objetivo é detectar o problema antes que ele ocorra,
monitorando processos, operações e suas entradas (inputs). Deve-se tentar identificar potenciais
problemas e efetuar os ajustes necessários para impedir sua ocorrência. Tais problemas podem
estar relacionados com erros, omissões e também com atos maliciosos (fraudulentos). Como
exemplos de controle preventivo temos a segregação de funções, cuja implantação é fator
determinante em um controle preventivo, o controle de acesso físico e o controle acesso a

Aulas: 01 - 12

arquivos e informações sensíveis com o objetivo de garantir que somente pessoas autorizadas
tenha acesso às informações da organização.
• Quanto ao controle detectivo, este se limita a utilizar meios de detecção e reporte de situações que
indiquem erros, omissões ou ações fraudulentas. Neste caso encontramos apenas a identificação
e reporte do erro, sem o objetivo de impedir que ele ocorra. São exemplos de controles detectivos
a realização de “check points” na realização dos trabalhos executados e a revisão de logs para
verificação de acessos indevidos. A própria função de auditoria é considerada um controle
detectivo, pois geralmente trabalha com informações “passadas”.
• Os controles corretivos são aqueles que agem nas consequências. Tais controles têm a função
minimizar os impactos dos problemas ou ameaças, remediando os problemas identificados pelo
controle detectivo e descobrindo sua causa e corrigindo os erros que levaram o problema. Se
necessário for, sistemas e processos devem ser modificados para que o problema não volte a
ocorrer. Os exemplos de controles corretivos são os planos de contingências, procedimentos de
Backup e a reexecução de rotinas (procedures, scripts, etc).
Objetivos de controle internos gerais e aplicados à TI.

Por se tratar de um processo, o controle interno deve ser monitorado, com a proposta de verificarmos a sua
adequada execução e se os objetivos inerentes a ele estão sendo alcançados. É nesta hora que surge
“Objetivos de Controle”, declarações do resultado ou a finalidade desejada a ser alcançados através da
implementação do controle interno. Tais objetivos de controle estão relacionados com os seguintes
conceitos:
• Eficácia;
• Eficiência
• Confidencialidade
• Integridade
• Disponibilidade
• Observância às Normas
• Confiança
Os objetivos de controle independem do tipo ou classificação de controles, não importando inclusive se são
controles manuais, automatizados ou uma combinação destes dois.
O intuito aqui é fornecer um conjunto completo de requisitos que deverá ser considerado pela administração
para o controle efetivo de cada processo de TI. De acordo com o ISACA, os objetivos de controle devem
ser:
• Demonstrações do resultado ou efeito desejado a ser alcançado através da implementação de
controles em torno de processos de sistemas de informação;
• Políticas, procedimentos, práticas e estruturas organizacionais;
• Projetados para fornecer garantia razoável de que os objetivos de negócio serão alcançados e
eventos indesejáveis serão prevenidos ou detectados e corrigidos.
Além disso, faze-se necessário que a Administração da organização realize escolhas relativas aos objetivos
de controle:
• Selecionando as que são aplicáveis;
• Decidindo sobre aqueles que serão implementadas;
• Escolhendo como implementá-los (frequência, período, automação, etc.); e
• Aceitando o risco de não implementar alguns dos objetivos.
De forma mais específica na área de TI, podemos incluir nos objetivos de controle:
• Salvaguarda de ativos;
• Segurança da infomação;
• Garantia da integridade dos sistemas operacionais e ambientes de TI, incluindo a gestão e as
operações de rede;
• Garantia a integridade de aplicativos sensíveis e críticos, incluindo informações contábeis,
financeiras e de gestão, bem como dos dados do cliente, através de:
o Autorização de entradas (inputs) de dados e infomações, onde cada transação é
autorizada;
o Validação da entrada (input). Cada entrada é validada e não causará impacto negativo
para o processamento de transações.
o Exatidão e integridade de processamento de transações.
o Todas as transações são registradas com precisão e inseridas no sistema no período
adequado.
o Confiabilidade das atividades de processamento das informações;
o Exatidão, integridade e segurança na produção de infomações;
o Integridade de banco de dados, disponibilidade e confidencialidade dos dados.
• Garantir uma identificação adequada e autenticação de usuários de recursos de TI;
• Garantir a eficiência e eficácia das operações;
• Cumprir com os requisitos dos usuários, políticas e procedimentos organizacionais, e as leis e
regulamentos aplicáveis;

Aulas: 01 - 12

• Assegurar a disponibilidade dos serviços de TI através do desenvolvimento de continuidade de
negócios eficiente e os planos de recuperação de desastres;
• Reforçar a protecção de dados e sistemas através do desenvolvimento de um plano de resposta a
incidentes;
• Garantir a integridade e a confiabilidade dos sistemas através da implementação de
procedimentos eficazes de gestão da mudança.
Procedimentos de Controles internos gerais e aplicados à TI
Os controles gerais são aqueles aplicáveis a todas as áreas da organização, incluindo infraestrutura de TI e
serviços de apoio. Lembrando que a infraestrutura de TI, de acordo com o ISACA, é incluída em controles
gerais. Segue abaixo a lista de controles gerais:
• Controles contábeis internos que são principalmente dirigidas a contabilidade de operações de
controles que dizem respeito à salvaguarda de ativos e confiabilidade dos registros financeiros;
• Os controles operacionais do dia-a-dia, funções e atividades, e visando à garantia de que a
operação está cumprindo os objetivos de negócio;
• Controles administrativos que digam respeito à eficiência operacional de uma área funcional e
adesão a políticas de gestão, os controles administrativos apoiam os controles operacionais
especificamente preocupados com a eficiência operacional e aderência às políticas
organizacionais;
• Políticas e procedimentos de segurança organizacional para garantir o uso adequado dos ativos,
incluído o uso adequado da informação;
• Políticas globais para elaboração e uso de documentos e registros adequados (manuais ou
automáticos) para ajudar a garantir a possibilidade de rastreabilidade apropriada, permitindo assim
o uso de trilhas de auditoria nas transações realizadas;
• Procedimentos e práticas para garantir salvaguardas adequadas sobre o acesso e o uso de bens e
instalações;
• Políticas de segurança (física e lógica) de segurança para todas as instalações, centros de dados
e recursos de TI.
Diversos controles internos gerais incluem algumas questões relacionadas à TI, o conceito de controle
específico não está relacionado somente ao fato de o assunto ser tratado por determinada área. Cada área
(TI, Contabilidade, Financeiro, Administrativo, RH, etc) tem seus controles específicos derivados dos
controles gerais.
Devemos saber e compreender que os controles específicos existem para todas as funções de controle e
estes derivam dos de controles gerais. Os procedimentos de controle para área de TI incluem:
• Estratégia e direção da função/área de TI
• Organização geral e gestão da função/área de TI
• Procedimento para acesso aos recursos de TI, incluindo os dados e programas;
• Metodologias de desenvolvimento de sistemas e controle de mudanças;
• Procedimentos de operações de TI;
• Programação de sistemas e funções de suporte técnico;
• Garantia de qualidade (QA) procedimentos
• Controles de acesso físico
• Continuidade de negócios e planos recuperação de desastres
• Redes e Comunicação;
• Administração da base de dados; e
• Mecanismos de Proteção e detecção de ataques internos e externos;
Podemos observar que os controles específicos aplicados à área de TI tratam de questões relacionadas à
governança e gestão de serviços de TI e muitos deles tratados no COBIT ou no ITIL, concluímos com isto
que os controles internos específicos ou aplicáveis à área de TI estão associados à frameworks e melhores
práticas de governança TI e gestão de serviços de TI.

Conhecimentos Específicos - DATAPREV Analista de Desenvolvimento - Intensivão

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Conhecimentos Específicos - DATAPREV Analista de Desenvolvimento - Intensivão

Enviado por

Direitos autorais:

Formatos disponíveis

Prof.

Conhecimentos Específicos - DATAPREV

Prof. Marcio Hollweg www.aprovaconcursos.com.br Página 1 de 36

Antes de você começarmos a interagir e estudarmos os conceitos de Gerência de Projetos, é importante

O QUE É GERENCIAMENTO DE PROJETOS?

Gerenciar um projeto inclui:

RELACIONAMENTO ENTRE GERENCIAMENTO DE PROJETOS, DE PROGRAMAS E DE PORTFÓLIOS

Prof. Marcio Hollweg www.aprovaconcursos.com.br Página 2 de 36

Prof. Marcio Hollweg www.aprovaconcursos.com.br Página 3 de 36

PAPEL DE UM GERENTE DE PROJETOS

Prof. Marcio Hollweg www.aprovaconcursos.com.br Página 4 de 36

CARACTERÍSTICAS DO CICLO DE VIDA

A estrutura genérica do ciclo de vida geralmente apresenta as seguintes características:

RELAÇÕES CICLO DE VIDA PROJETO x PRODUTO

Prof. Marcio Hollweg www.aprovaconcursos.com.br Página 5 de 36

GOVERNANÇA DE PROJETOS AO LONGO DO CICLO DE VIDA

Prof. Marcio Hollweg www.aprovaconcursos.com.br Página 6 de 36

RELAÇÕES ENTRE FASES

Prof. Marcio Hollweg www.aprovaconcursos.com.br Página 7 de 36

Prof. Marcio Hollweg www.aprovaconcursos.com.br Página 8 de 36

Os grupos de processos de gerenciamento de projetos têm grande correspondência com o conceito do

Prof. Marcio Hollweg www.aprovaconcursos.com.br Página 9 de 36

4. Gerenciamento da integração do projeto

Gerenciamento de escopo do projeto

Prof. Marcio Hollweg www.aprovaconcursos.com.br Página 10 de 36

Gerenciamento do tempo do projeto

Gerenciamento dos custos do projeto

Gerenciamento da qualidade do projeto

Prof. Marcio Hollweg www.aprovaconcursos.com.br Página 11 de 36

Gerenciamento das comunições do projeto

Gerenciamento dos riscos do projeto

Gerenciamento das aquisições do projeto

Gerenciamento das partes interessadas do projeto

Prof. Marcio Hollweg www.aprovaconcursos.com.br Página 12 de 36

alcançar, sem ter que assumir custos e riscos” (ITIL V3)

- trata-se de um órgão do governo britânico que

eue uso. novaAgora os livros da nova foi versão

-se de governo britânico que tem como

serviços de TI.abordagem, Figura. Cinco (5) livros principais da ITIL V3

esenta nova base no ciclo vida dos serviços

ova estrutura, para Antes

viços de TI, considerando os estágios do ciclo de vida dos

TI, considerandoresultados desejados,do

custos e riscos específicos/inerentes aníveis

s desejados, sem que tais clientes/áreas ESTRATÉGIA de negócio precisem DE SERVIÇOSassumir

Conceitos importantes deste livro

Prof. Marcio Hollweg www.aprovaconcursos.com.br Página 14 de 36

Conceitos importantes deste livro

Processos do livro Desenho de Serviços

Prof. Marcio Hollweg www.aprovaconcursos.com.br Página 15 de 36

Conceitos importantes deste livro

Processos do livro Transição de Serviço

Prof. Marcio Hollweg www.aprovaconcursos.com.br Página 16 de 36

MELHORIA DE SERVIÇO CONTINUADA

Processos do livro Melhoria de Serviço Continuada

Prof. Marcio Hollweg www.aprovaconcursos.com.br Página 17 de 36

COMPARATIVO ENTRE NORMAS DE SEGURANÇA DA INFORMAÇÃO

ALGUNS TERMOS E DEFINIÇÕES IMPORTANTES

Prof. Marcio Hollweg www.aprovaconcursos.com.br Página 18 de 36

NORMA ABNT NBR ISO/IEC 27001

Estabelecer a política, objetivos, processos e procedimentos do SGSI,

Estrutura desta Norma

Prof. Marcio Hollweg www.aprovaconcursos.com.br Página 19 de 36