AUDITORIA DE SEGURANÇA DA INFORMAÇÃO

- Os benefícios do uso de ferramentas de TI e Internet para a produtividade e redução de

custos -

Márcio Henrique de Almeida Ferreira

Prof. Dr. Alberto Messias da Costa Souza

RESUMO

Nos últimos anos, vimos a TI passar de uma área de suporte para uma área
estratégica nas organizações, pois a tecnologia da informação já se transformou na
estrutura subjacente a qualquer tipo de empreendimento. Dos mais simples aos mais
complexos, todos dependem de tecnologia para progredir e sobreviver no mercado.
Neste trabalho é proposto os benefícios do uso de ferramentas de TI e Internet
para a produtividade e redução de custos. Segundo o General Chinês Sun Tzu o general
deveria se preocupar para atingir a excelência: ganhar a guerra antes mesmo de
desembainhar a espada, sem perder uma vida, isto é, na paz.
Espera-se, com esta pesquisa bibliográfica, contribuir para uma reflexão sobre a
utilização das ferramentas de TI e Internet e o seu alcance na produtividade e redução
de custos, com a infraestrutura adequada de TI, somos capazes de reduzir custos
operacionais e ganhar maior produtividade e eficiência, características essenciais para
melhorar a competitividade da empresa e alcançar novos patamares mercadológicos.

Palavras-chave: Ferramentas de TI, produtividade, redução de custos.

*Acadêmico do Curso de Pós-Graduação em MBA em Segurança da Informação, da Universidade Cruzeiro do Sul,

empregado público na Casa da Moeda do Brasil da carreira de Técnico em Segurança Corporativa e Patrimonial,
Certificado em Especialista em Segurança Empresarial pela ABSEG/SP e ABSO/SP, formado em Gestão em
Processos Gerenciais FAETERJ/RJ e Gestão da Segurança Privada pela FUMEC/MG, e-mail:
mhaf1977@hotmail.com WhatsApp: (21) 8249-3930.

*Possui graduação em Ciência da Computação pela Universidade Cruzeiro do Sul (2005), pós-graduação Lato Sensu
em Gestão de Projetos de Tecnologia da Informação pela Universidade Cruzeiro do Sul (2008), mestrado em
Engenharia Eletrônica e Computação pelo Instituto Tecnológico de Aeronáutica (2010), com pesquisa na área de
Redes Sociais e doutorado na área de redes de comunicação, com pesquisa sobre a Internet das Coisas e
reconhecimento de padrões pela escola Politécnica da USP. Atualmente é professor assistente da Universidade
Cidade de São Paulo. Tem experiência na área de Ciência da Computação e Redes de Computadores, atuando
principalmente nos seguintes temas: segurança da informação, internet, redes, firewall, serviços de rede, linguagens
de programação, engenharia de software, redes complexas e análise e reconhecimento de padrões.
 2

ABSTRACT

In recent years, we have seen IT move from a support area to a strategic area in
organizations, since information technology has already become the underlying
structure for any type of enterprise. From the simplest to the most complex, everyone
depends on technology to progress and survive in the market.
This paper proposes the benefits of using IT and Internet tools for productivity and cost
reduction. According to Chinese General Sun Tzu, the general should be concerned to
achieve excellence: win the war before even drawing the sword, without losing a life,
that is, in peace.
With this bibliographic research, we hope to contribute to a reflection on the use of IT
and Internet tools and their reach in productivity and cost reduction, with the adequate
infrastructure of IT, we are able to reduce operating costs and gain more productivity
and efficiency, essential characteristics to improve the competitiveness of the company
and reach new marketing levels.

Keywords: IT tools, productivity, cost reduction.

 3

1 INTRODUÇÃO

A tecnologia de informação (TI) é um dos componentes mais importantes do

ambiente empresarial atual, e as organizações brasileiras têm utilizado ampla e
intensamente essa tecnologia, tanto em nível estratégico como operacional.
Essa utilização oferece grandes oportunidades para as empresas que têm sucesso no
aproveitamento dos benefícios oferecidos por esse uso e também oferece desafios para a
administração de TI da qual as empresas passam a ter grande dependência e que
apresenta particularidades de gerenciamento.
Nesse cenário complexo, outro desafio é identificar o grau de contribuição que essa
tecnologia oferece para os resultados das empresas.
Nesse ambiente, é imprescindível o conhecimento dessas dimensões: utilização,
benefícios oferecidos, contribuição para o desempenho empresarial, desafios de sua
governança e administração, e o papel dos executivos. Também é importante a relação
que existe entre elas, para que se possa garantir a sua coerência, além do tratamento
individual das particularidades de cada uma dessas dimensões. Os direcionadores do uso
de TI completam esse enfoque.
Este artigo apresenta as dimensões do uso de TI e a relação entre os benefícios
oferecidos por seu uso e o desempenho empresarial, tendo como base o modelo das
dimensões do uso de tecnologia de informação em benefício dos negócios e a estrutura
de benefícios de TI no desempenho de negócio.
A metodologia utilizada é o estudo de caso numa empresa líder de seu setor, com
investimento significativo em TI e que, a partir do estudo, passou a utilizar tal
instrumento para a avaliação e acompanhamento dos gastos e investimentos nessa
tecnologia.
A contribuição do artigo é a identificação dos benefícios oferecidos pela TI e a
relação com o desempenho empresarial, oferecendo subsídios importantes para a sua
administração. Além da identificação, a apresentação de instrumento não só de análise e
avaliação, mas de orientação para o tratamento adequado dessas dimensões.
 4

2. DESENVOLVIMENTO DO ARTIGO

O estudo de benefícios oferecidos pelo uso de TI pode começar tendo como base
alguns estudos e teorias desenvolvidas para outras áreas, por exemplo a de Slack,
Chambers e Johnston (2000), que definiram que a base para o sucesso da empresa é
custo, qualidade, tempo, flexibilidade e inovação.
A mensagem da necessidade de segurança da informação é usualmente
estabelecida por uma política. A política de segurança da informação, tratada em
detalhes no texto de Souza Neto (2010), deve tornar claro que cada participante ou
colaborador na organização (agentes em geral) é um ator relevante quando se trata de
proteger ativos de informação, principalmente aqueles considerados estratégicos ou
críticos. Os agentes devem estar cientes dos riscos de segurança existentes e das
medidas preventivas que devem ser tomadas (OECD, 2002). Além disso,
responsabilidades claras devem ser atribuídas aos agentes, de modo que se possam dis-
tribuir tarefas específicas ou gerais para que se esteja sempre aperfeiçoando os
mecanismos de segurança da informação implantados. De forma mais prática, a política
de segurança da informação é o principal controle de segurança numa organização, e a
ele se articulam (e na maioria dos casos se subordinam) todos os demais controles.
A auditoria de segurança da informação pretende assegurar que os ativos de
informação, considerados os objetos de auditoria em segurança da informação, estejam
absolutamente sob controle da organização. Para tal, é preciso verificar que os controles
estejam de acordo com as normas e políticas de segurança estabelecidas para esses
ativos, bem como se o que está em operação alcança os objetivos de segurança
definidos. A auditoria de segurança de informação envolve também o provimento de
uma avaliação independente dos controles da organização (normas, políticas, padrões,
procedimentos, práticas, métricas e mecanismos) empregados para salvaguardar a
informação, em formato eletrônico ou não, contra perdas, danos, divulgação não
intencional e indisponibilidades. Por fim, a auditoria é uma atividade realizada na forma
de ações projetadas, que tem um início, meio e fim, e que visam produzir resultados
dentro de custos, prazos e qualidades esperadas. Para alcançar tais objetos, as auditorias,
projetos individuais, agrupam-se em programas, que compreendem a realização de
várias auditorias ao longo de um período de tempo de meses ou anos, e que visam
melhorar sistematicamente o desempenho, a eficiência e a segurança organizacionais.
 5

Embora a atenção e o motivo de se realizar auditorias de segurança da

informação seja a existência de ativos de informação, é preciso que o auditor domine
não só o conhecimento especializado necessário, mas também todo o processo e os
princípios de auditoria geral, pois os mesmos se aplicam à auditoria de segurança da
informação.
Dessa forma, as políticas de gestão devem passar por revisões constantes,
reavaliando o seu papel e a necessidade de criar fluxos de trabalho mais eficientes,
integrados, seguros e inovadores. Para tornar esse processo mais eficaz, muitas
empresas optam por um serviço de auditoria de TI. Ele cataloga boas práticas, avalia
processos e rotinas do negócio. Além de encontrar pontos que necessitam de melhoria,
essa solução dá ao negócio mais capacidade para reduzir custos e melhorar o seu nível
de competitividade.
Um dos métodos utilizados é a auditoria de sistemas.
1) É a avaliação e a validação do controle interno de sistemas de informação.
Um dos principais tipos de auditorias de sistemas é a auditoria em Segurança da
Informação, que segundo a qual é onde são verificados:
 Métodos de autenticação, autorização, criptografia, gestão de certificados
digitais, segurança de redes, gestão dos usuários, configuração de antivírus,
atualizações, políticas, normas, manuais operacionais.

 É avaliado se a gestão da segurança da informação, o controle dos ativos e os

riscos envolvidos são considerados de forma efetiva pela organização. A
auditoria de SI visa avaliar a gestão da organização com relação à segurança.

Aborda aspectos de confidencialidade, integridade e disponibilidade embutidos nos

conceitos de segurança lógica e física.
 Aspectos abordados:

Comitês diretivos e deliberativos, políticas e normas, pessoas, responsabilidades,

treinamento, identificação e classificação de ativos, classificação da informação,
identificação e avaliação de riscos, gerência de problemas e incidentes, plano de
continuidade de negócios, perímetro de segurança, equipamentos e instalações,
gerenciamento e controle de acesso lógico, auditoria, conformidade.
 Escopo de uma Auditoria de SI
 6

Identificação e avaliação de controles que afetam a segurança da informação.

Poderá ser feita no contexto macro, envolvendo aspectos que envolvem toda a
organização ou apenas considerando informações, sistemas, recursos, processos e
serviços específicos.
 Normas utilizadas

Decreto n.º 3.505/2000 – Estabelece diretrizes gerais para definição da Política de

Segurança da Informação nos órgãos e entidades da Administração Pública Federal.
Decreto n.º 4.553/2002 – Dispõe sobre a salvaguarda de dados, informações,
documentos e materiais sigilosos de interesse da segurança da sociedade e do
Estado, no âmbito da Administração Pública Federal.
Instrução Normativa Gabinete de Segurança Institucional da Presidência da
República (GSI) nº 1, de 13 de junho de 2008 – Orienta as entidades da
Administração Pública Federal quanto a questões relativas à segurança da
informação.
 Padrões utilizados

ABNT NBR ISO/IEC 27002:2005 (Código de Prática para a Gestão da Segurança

da Informação).
ABNT NBR 15999 (Gestão de Continuidade de Negócios).
Cobit (COntrol, governance and audit for Business Information and related
Technology).
 Objetivo de controle:

Assegurar que a organização define e estabelece diretrizes e responsabilidades pela

segurança da informação e gestão de riscos.
Possíveis questões de auditoria:
 Há uma Política de Segurança da Informação formalmente aprovada e em vigor?
 Essa política define de forma suficiente os princípios que norteiam a gestão de
segurança de informação e seus respectivos responsáveis?
 O ente aplica e divulga internamente essa política?
 O ente possui um Gestor de SI?
 A entidade instituiu um Comitê de Segurança da Informação e Comunicações?
 7

3. DISCUSSÃO/ANÁLISES DOS RESULTADOS

Muitas e muitas vezes, a TI é vista como uma área que contribui para o aumento de
gastos das empresas. É preciso lembrar, no entanto, que esse setor trabalha com
ferramentas de alto valor agregado, simplesmente fundamentais para o sucesso das
estratégias. As atividades da TI contribuem diretamente para o estabelecimento de uma
rotina de alta performance e com baixo índice de erros, trazendo mais eficácia e
inteligência para qualquer negócio. Por essas e outras, o setor deve sempre desempenhar
papel estratégico. A eficiência de uma empresa passa diretamente pela gestão dos seus
dados. Com um gerenciamento bem estruturado, é possível obter resultados
significativamente mais positivos, para tanto, enumera-se as seguintes ferramentas
estratégicas que podem atuar como fator de redução nos custos empresariais:

I. Ampliação do nível de automação

A automação está associada a melhorias na performance do negócio, assim

como à possibilidade de os setores reduzirem seus custos operacionais com ganho
de produtividade e eliminação de erros. Nesse sentido, a tecnologia desempenha
papel estratégico.
Com o auxílio das ferramentas de TI certas, os gestores podem implementar
rotinas automatizadas, que fazem melhor uso dos recursos disponíveis. Dessa forma,
a companhia consegue criar um ambiente de trabalho de alta performance, em que
erros são evitados sem grandes dificuldades.

Figura 1.
Fonte: CMG – Computer Measurement Group
 8

II. Adoção de uma política de governança de TI

A governança de TI é uma política que afeta todos os processos do setor. Por ser
bastante abrangente, possui papel primordial para a eliminação de custos
operacionais. Além disso, essa política também influencia fatores como segurança
digital, desempenho e durabilidade de equipamentos.
O segredo está em adotar uma política de governança que tenha como um de
seus focos a redução do desperdício de recursos. Tal política precisa ser moldada
para que processos de manutenção preventiva, por exemplo, sejam capazes de
ampliar a vida útil de uma solução. Assim, a companhia garantirá o melhor uso
possível de suas ferramentas.

Figura 2.
Fonte: https://blog-br.softwareone.com/politica-de-governanca-de-ti-e-indispensavel-para-
sistemas-corporativos

III. Investimento no Software as a Service

O Software as a Service (SaaS) ou software como serviço é um modelo de

licenciamento de softwares baseado na aquisição de soluções de TI por meio de
assinaturas. A solução trouxe mais flexibilidade para o ambiente corporativo,
eliminando a necessidade de se manter licenças de aplicações que não estão sendo
mais usadas.
 9

O custo de manutenção de ferramentas baseadas no SaaS está ligado diretamente

ao número de licenças ativas em determinado período, assim como à quantidade de
recursos contratados pelo negócio. Juntos, esses fatores contribuem para que a
empresa pague menos para usar suas ferramentas de TI. Os valores são mais
previsíveis e, ao mesmo tempo, correspondentes ao que foi efetivamente usado
pelos profissionais internos.

Figura 3.
Fonte: https://medium.com/@annajulianogueira.alves/diferen%C3%A7a-entre-softwares-x-saas-
db406dd682e6

IV. Integrar ferramentas de computação na nuvem

Dia após dia, a tecnologia tem desempenhado um papel cada vez mais
estratégico para o ambiente corporativo. Do aumento do nível de inovação à
possibilidade de ampliar a produtividade geral, ferramentas de TI tornam nossas
rotinas mais integradas e dinâmicas.
A propósito, como já mencionamos anteriormente, ferramentas de TI também
podem ser usadas com a finalidade de reduzir custos. E isso vai além do
investimento no software como serviço! Dispositivos da Internet das Coisas e cloud
storage, por exemplo, são soluções capazes de reduzir custos e gerar mais
competitividade para a empresa.
Um ambiente com sensores térmicos inteligentes, por exemplo, pode diminuir
rapidamente seus gastos com refrigeração. Conectados ao sistema de ar-
condicionado, esses dispositivos ajustam a intensidade do ar frio (ou quente),
sempre de acordo com o número de pessoas no ambiente. Dessa forma, pela
 10

precisão da solução, o uso dos recursos energéticos disponíveis diminui

continuamente.

Figura 4.
Fonte:https://www.lwtsistemas.com.br/os-beneficios-da-computacao-em-nuvem/

V. Considerar a terceirização de serviços

O apoio de parceiros estratégicos também ajuda bastante o negócio a reduzir

custos por meio do setor de TI. E o melhor é que essa tática funciona para várias
áreas, indo desde a otimização de processos à execução de projetos internos.
O outsourcing em TI, por exemplo, pode ser usado para reduzir os gastos com
recursos humanos tanto em rotinas diárias como em projetos temporários. Essa
solução torna a estrutura do setor mais flexível, com a empresa se moldando de
acordo com a demanda interna. Assim, o negócio terá mais flexibilidade para definir
seus processos, deixando de pagar para manter profissionais inativos.
Ao mesmo tempo, a empresa pode considerar o apoio de um time de consultoria
para melhorar suas rotinas de trabalho. Nesse caso, o consultor auditará todos os
processos do negócio em busca de falhas e pontos que possam ser otimizados,
partindo para as devidas soluções. Dessa maneira, a empresa consegue aplicar
melhorias precisas, que diminuem o investimento necessário para o setor de TI se
manter funcional.
 11

Figura 5.
Fonte: https://www.digitaljundiai.com.br/terceirizacao-servicos-impressao

VI. Reavaliar a estrutura orçamentária do setor

Outro ponto que permite ao negócio diminuir seus gastos com Tecnologia da
Informação envolve uma análise da estrutura orçamentária do setor. Faça uma
revisão completa de contratos de prestação de serviços, assim como de licenças e
ativos existentes. Dessa forma, a empresa conseguirá identificar como cada solução
interna contribui para o aumento de gastos a médio e longo prazos.
Se for necessário, renegocie contratos e busque trabalhar ao lado de prestadores
de serviço para eliminar aquilo que não for útil ao negócio dos SLAs existentes. E
mais: transforme isso em uma rotina! Assim, a empresa terá sempre uma estrutura
enxuta e condizente com suas necessidades.

Figura 6.
Fonte: https://navita.com.br/blog/gerenciamento-de-ti-voce-sabe-como-fazer-o-controle-
orcamentario/
 12

VII. Alinhar estratégias com outras áreas

O alinhamento das rotinas do setor de TI é fundamental para que a área possa

contribuir ativamente para o sucesso geral do negócio. Por meio dele, gestores
conseguem dimensionar e planejar processos de maneira mais eficaz, evitando o
desperdício de recursos e gerando alta competitividade.
Uma boa prática nesse sentido é procurar sempre manter canais de comunicação
abertos com outras partes do negócio. Trabalhe lado a lado com os demais setores
para entender suas necessidades e metas. Assim, o time de TI atuará continuamente
de acordo com as demandas dos usuários, eliminando as chances de execução de
processos de baixo impacto.

Figura 7.
Fonte: http://bugbusters.com.br/como-governanca-de-ti-ajuda/
 13

4. CONSIDERAÇÕES FINAIS

Trabalhar na diminuição de despesas com operações em TI abrange atividades

específicas, que podem alavancar a redução por meio do desenvolvimento voltado para
o aperfeiçoamento de processos e na qualidade do serviço prestado a outras áreas da
empresa.
Aumentar a quantidade de serviços disponibilizados, e ter uma gestão mais
objetiva pode estabelecer uma estratégia mais sólida na busca por redução de custos,
aumentando a competitividade nos negócios.
Com o desafio de crescer sem desperdiçar recursos, é preciso explorar
plenamente a tecnologia da informação de toda a empresa e analisar quais são as
possibilidades de reduzir os custos de TI com oportunidades para melhorar o valor dos
negócios. Uma boa opção é utilizar as tecnologias disponíveis a favor da corporação.
As operações de TI atuam nos bastidores da companhia, garantindo que a
infraestrutura fique disponível e os usuários satisfeitos, sempre visando agregar valor ao
negócio da empresa de forma otimizada e sem desperdiçar recursos.
É apenas por meio da colaboração entre pessoas, automatização de processos e
implantação de novas tecnologias que os líderes de infraestrutura e operações de TI
podem alcançar a excelência operacional da empresa, de forma a criar serviços
inovadores para o negócio.
Os serviços de tecnologia da informação, estão cada vez mais presentes nas
rotinas diárias das pessoas, empresas e entidades governamentais, porém os ataques
cibernéticos, também estão aumentando e alcançando diversas áreas onde a tecnologia
da informação está presente. Por isso autoridades, entidades, profissionais,
pesquisadores e governos, têm buscado soluções, para promover a segurança da
informação e a segurança do espaço cibernético como estratégia ao negócio. Com este
intuito este trabalho, apresentou o uso da Auditoria de Segurança da Informação e os
benefícios do uso de ferramentas de TI e Internet para a produtividade e redução de
custos como estratégia proativa, visando com que o empreendimento consiga aliar a
implantação de soluções eficientes com a redução de despesas operacionais,
ocasionando, certamente, o crescimento e ocupação um lugar de destaque no mercado.
 14

5. REFERÊNCIAS

BRASIL. Decreto 3505 de 13/06/2000 - Institui a Política de Segurança da Informação

nos órgãos e entidades da Administração Pública Federal.

BRASIL. Decreto 4553 de 27/12/2002 - Dispõe sobre a salvaguarda de dados, informa-

ções, documentos e materiais sigilosos de interesse da segurança da sociedade e do
Estado, no âmbito da Administração Pública Federal, e dá outras providências.

OECD - Organisation for Economic Co-operation and Development. OECD Guidelines

for the Security of Information Systems and Networks: Towards a Culture of Security.
Europa: OECD. 30 p. 2002. Disponível http://www.oecd.org/dataoe-
cd/16/22/15582260.pdf. Acessado em janeiro de 2019.

SOUZA NETO, João. GSIC331: Política e Cultura de Segurança (Notas de aula).

Brasília: Departamento de Ciência da Computação do Instituto de Ciências Exatas da
Universidade de Brasília. 2010. 33p.

SLACK, N.; CHAMBERS, S.; JOHNSTON, R. Operations management. 3. ed. New

York: Prentice Hall, 2000.
IMAGENS
Disponível em: https://navita.com.br/blog/gerenciamento-de-ti-voce-sabe-como-fazer-o-
controle-orcamentario/

Disponível em: http://bugbusters.com.br/como-governanca-de-ti-ajuda/

Disponível em: https://www.digitaljundiai.com.br/terceirizacao-servicos-impressao

Disponível em: https://www.lwtsistemas.com.br/os-beneficios-da-computacao-em-

nuvem/

Disponível em: https://medium.com/@annajulianogueira.alves/diferen%C3%A7a-entre-

softwares-x-saas-db406dd682e6

Disponível em: https://blog-br.softwareone.com/politica-de-governanca-de-ti-e-

indispensavel-para-sistemas-corporativos

Disponível em: https://cmgbrasil.com/