Estudo de Caso: 

SGSI na empresa CONSULTE Service 

  
Questão 1  
  
A empresa SIST TECNOLOGIA está fazendo o levantamento das estratégias que a
empresa CONSULTE Service implementará de acordo com a política e seus objetivos.
Descreva os requisitos necessários para estabelecer o SGSI nas etapas de definição
do escopo e de definição da política da CONSULTE Service. 

Em relação aos requisitos necessários para o estabelecimento do escopo e

de definição da política do SGSI segue como descrito abaixo:

O escopo é proteger as informações sigilosas e estratégicas dos clientes da

organização nos setores de Auditoria contábil e Consultoria tributária, de

acordo com as definições descritas abaixo:

 Conhecer a planta baixa arquitetônica da empresa e os tipos de meios

de acesso a rede, para ter uma avaliação dos riscos em relação a forma
de acesso a rede de informações da organização.

 Relação nomes e contato de gerente de Auditoria contábil e Consultoria

tributária.

 Assegura-se de que os objetivos da segurança da informação estão

alinhados com as estratégias de negócio da empresa.
 Avaliar riscos incluindo a identificação de sistemas de informação e de

relações contratuais.

 Determinar recursos.
 Determinar papéis de responsabilidade de segurança da informação
 Determinar capacidade.
 Identificar assuntos internos e externos.
 Identificar e entender das partes interessadas as necessidades e

expectativas.

 Também é possível realizar a análise PEST, na qual identifica, assuntos

políticos, econômicos, sociais e tecnológicos no ambiente da organização.

 Coletar informações de todos os colaboradores dos setores da

organização abrangendo diferentes equipes tendo assim a definição das
necessidades da organização em termos funcionais para delimitação da
política do sistema.
  
Questão 2 
  
Como a eficiência poderia ser avaliada pela empresa SIST TECNOLOGIA na etapa de
monitoramento e análise crítica do SGSI após a implantação do sistema na empresa
CONSULTE Service? Justifique sua resposta. 

 Executando os procedimentos de monitoramento e análise crítica;

 Realizando auditorias regulares e analisando os resultados e incidentes
de segurança;
 Avaliar os requisitos de segurança dos controles;
 Análises e avaliações de riscos e níveis de riscos aceitáveis;
 Auditorias internas;
 Analisar de forma crítica conforme a gestão da empresa e, identificar as
melhorias do processo;
 Atualizar os planos de segurança da informação, considerando os
resultados das atividades de monitoramento e análise crítica;
 Registro de ações que tenham impacto na eficácia ou na performance
do SGSI.

Todos os passos citados acima são a base para o sucesso do plano, devem
ser seguidos e realizados de forma concisa.

  
Questão 3 
  
Para que a implantação do SGSI na empresa CONSULTE Service tenha sucesso,
garanta a melhoria contínua e atinja os objetivos definidos pela empresa, quais as
ações devem ser tomadas? Justifique sua resposta. 

 Com a adoção do Processo de PDCA “Plan-Do-Check-Act” para

estruturar todos os processos do SGSI. Considera as entradas de
requisitos de segurança de informação e as expectativas das partes
interessadas.
 A norma ISO/IEC 27002 está estruturada em 11 seções , ao todo,
são 133 controles divididos em (1) política de segurança da
informação, (2) organização da segurança da informação, (3) g estão
de ativos, (4) segurança em recursos humanos, (5) segurança física e
de ambiente, (6) gerenciamento das operações e comunicações, (7)
controle de acesso, (8) aquisição, desenvolvimento e manutenção de
sistemas de informação, (9) gerenciamento de incidentes de segurança
da informação, (10) gerenciamento da continuidade do negócio e (11)
conformidade legal.
Sem a execução de um plano de melhoria contínua os processos podem
apresentar falhas como desperdício de materiais, controle de estoque,
distribuição etc.
 
Orientações para a realização da Atividade  
 
1) A dissertativa deverá se concentrar no tema proposto e contemplar de forma efetiva
o solicitado no enunciado;  
2) Cópias, transcrições integrais e/ou análises cujo fundamento resida na
utilização de ideias de terceiros e acervos pessoais sem a devida
referência/citação, comprometem a nota da atividade. Por essa
razão, recomenda-se não utilizar cópia integral ou parcial de trabalhos
disponíveis na Internet, de obras de referência e acervos pessoais apresentados
em outros momentos. Atenção para estas observações;  
3) A dissertativa deverá apresentar domínio conceitual com as devidas
fundamentações, sendo consideradas também a reflexão e argumentação sobre o
tema proposto;  
4) Estrutura do argumento: Apresentar introdução, desenvolvimento, conclusão e
bibliografia sobre a proposta da atividade; 
5) Aderência ao conteúdo;
6) Criatividade e autonomia;
7) Clareza: as ideias devem ser apresentadas de forma clara, sem incoerências, e
dialogar com o foco geral da atividade;
8) Em conformidade as normas gramaticais da Língua Portuguesa e normas da ABNT;
9) A dissertação dever ter aproximadamente de 20 a 30 linhas;
10) O arquivo deve ser postado no link de entrega da atividade "Resolução do Caso
(N1)" e no formato Word ou PDF.

Atenciosamente,

Corpo Docente Tutorial

consult e service

é uma empresa de consultoria empresarial, que atua no ramo de auditoria

contabil, consultoria tributaria e treinamentos para o setor comercial,

sua missão é prestar um serviço de qualidade com o objetivo de reduzir

custos e aumentar a produtividade alinhado aos objetivos estratégicos de

negócios dos seus clientes.

Aempresa tem uma clientela dentro e fora do país, que atualmente conta com

um quadro de 100 funcionários, a empresa consult service ainda não

possui um sistema de gestão de segurança da informação (SGSI), deseja

realizar a implementação em sua empresa para garantir a segurança,

confiabilidade, integridade e disponibilidade das informações estratégicas

dos seus clientes.

O SGSI será implementados nos setores de auditoria contábil e consultoria

tributária, além disso somente os gerentes de cada área terão acesso as

informações sigilosas dos clientes.

Para implementar o SGSI será necessário ter um entendiemnto da norma

ISO 27.001 que padroniza e é refencia internacional para gestão da segurança

da informação.

A empresa SIS tecnologia irá me contratar como profissional de T.I sênior

para implantar o SGSI na consult service, eu serei o responsável em acompanhar

todo o processo de implantação do SGSI, desde a etapa inicial até o

monitoramento dos resultados obtidos através da implantação do sistema.

Para isso é necessário que eu conheça a norma ISO 27.001, consigo gerenciar

recursos, tempo e processos visando a tomada de decisão e otimisação

dos resultados, planejar ações a curto, médio e longo prazo para atingir metas

antecipando tendências e novas oportunidades, elaborar análises de risco e

políticas de segurança da informação, gerenciar e controlar os serviçoes de T.I

relacionados a segurança da informação, elaborar e implementar planos de gestão

de crise e recuperação de desastres.

Antes de implantar o SGSI será necessário defenir além do escopo a política e

abordagem da gestão e objetivos de controle do SGSI, e após a implantação,

realizar o monitoramento do sistema