Guia Boas Praticas Gestao Ti 30 Fls
Enviado por
edmarbrasil9Guia Boas Praticas Gestao Ti 30 Fls
Enviado por
edmarbrasil9Guia de Boas Prá�cas para Gestão
de Tecnologia da Informação
Guia de Boas Prá�cas para Gestão de Tecnologia da Informação 1
Créditos
Guia de Boas Práticas para Gestão de Tecnologia da Informação
REALIZAÇÃO:
SESVESP - Sindicato das Empresas de Segurança Privada, Segurança Eletrônica e Cursos de Formação do
Estado de São Paulo
PROJETO/COORDENAÇÃO:
Rodrigo Matos, Gestor/Coordenador de TI do SESVESP.
Contribuições:
Alexandre Corrêa, Gestor de TI da Protege S/A Proteção e Transporte de Valores.
Anderson Luis Araújo, Gestor de TI do Grupo GP, Guarda Patrimonial de São Paulo Ltda.
André Hideo, Gestor de TI da Evik Segurança e Vigilância Ltda.
Celso Sávio, Gestor de TI da Power Segurança e Vigilância Ltda.
Francisco Ventura, Gestor de TI da empresa Iron (Valinhos) Segurança Especializada Ltda.
Jefferson J. H. de Oliveira, Gestor de TI do Grupo Mave Segurança e Serviços.
Ricardo Augusto Neves, Gestor de TI da Empresa Nacional de Segurança Ltda.
Abril / 2011
2 Guia de Boas Prá�cas para Gestão de Tecnologia da Informação
SESVESP
Sindicato das Empresas de Segurança Privada, Segurança Eletrônica, Serviços de
Escolta e Cursos de Formação do Estado de São Paulo.
Guia de Boas Prá�cas para Gestão de
Tecnologia da Informação
APRESENTAÇÃO
O SESVESP, no percebido de disseminar as melhores prá�cas empresariais, apresenta este guia que visa nortear as empresas
do segmento de como organizar a TI (tecnologia da informação) e garan�r que ela (TI) seja entendida, protegida, jus�ficável e
alinhada ao negócio.
O SESVESP de maneira empírica entende que é dever da alta direção das empresas desmis�ficar a TI e entender a TI como
um conjunto de recursos tecnológicos e computacionais para geração e o uso da informação que hoje é aplicada na obtenção de
vantagem compe��va no mercado, cada vez mais caracterizado por grande concorrência obrigando as empresas a se adaptarem
rapidamente as novas demandas.
Desta forma é imprescindível que as empresas saibam como direcionar a�vos e recursos de TI, preservar os recursos e in-
ves�mentos efetuados, sejam eles so�wares, computadores e principalmente informação, destacando que o seu uso deve ser
sistema�zado, regulamentado e monitorado.
A TI, alem de suportar o negócio, deve também estar inteiramente incluída nos obje�vos estratégicos das empresas, pois os
processos de negócios estão cada vez mais dependentes da TI, fazendo com que a preocupação com a responsabilização pelo
uso dos recursos de TI seja cada vez mais eficazes e confiáveis, cabendo, então, ás empresas mapear a TI e saber em qual estado
ela se encontra, amadurecendo-a e aperfeiçoando-a de maneira con�nua.
Os gestores de TI devem estar prontos para responder aos principais desafios da tecnologia a informação, matendo-a funcio-
nando, gerando valor, reduzindo custos, gerenciando complexidades, alinando-a com os negócios, cumprindo as normas e os
regulamentos, garan�ndo a segurança das operações. Sobretudo, os gestores devem exercer a função de CIO (Chief Informa�on
Officer) como menbro do grupo de execu�vos das empreasas abrindo a caixa preta da TI e ao mesmo tempo mostrando uma vi-
são abrangente de TI sobre o negócio, e não estando somente preocupados com os recursos de tecnologia, ou seja, entendendo
e garan�ndo os processos crí�cos do negócio para que ele entregue o “valor” esperado.
A visão de TI deve ser de como os recursos tecnológicos envolvidos podem impactar no negócio, o funcionamento dos recur-
sos de TI hardware, so�ware e pessoas envolvidas devem garan�r prioritariamente os processos de negócio da empresa os quais
eles suportam.
Este guia visa uma introdução sobre prá�cas e metodologias para organização da TI, focando na apresentação de prá�cas e
normas votadas à governança de TI, a gestão de serviços de TI e a segurança da informação, com o intuído de fazer com que a
tecnologia possa atender as demandas do negócio.
Rodrigo Matos
Gestor/Coordenador de TI do SESVESP.
Guia de Boas Prá�cas para Gestão de Tecnologia da Informação 3
P������������ ��� ����������� ��� ���� G���:
P������/C����������:
Rodrigo Matos, Gestor/Coordenador de TI do SESVESP.
Bacharel em Sistemas de Informação e pós-graduando em Governança Corpora�va de TI.
12 anos atuando na área de Tecnologia da Informação voltados a área de projetos de infraestrutura (Redes, Servido-
res), sendo nove anos no segmento de segurança privada: 2003 a 2005 - Grupo GP Guarda Patrimonial de São Paulo, e
2005 a 2011 - SESVESP.
Principais realizações: Implementação e gestão do processo de segurança da informação baseada na norma ISO
27002 na en�dade SESVESP, dimensionamento, implementação e operação de toda a infraestrutura tecnológica da
en�dade SESVESP, Elaboração e Gerenciamento do projeto de reestruturação das redes de voz/dados da en�dade SES-
VESP (cabeamento estruturado padrão CAT5E), Desenvolvimento e Gerenciamento do projeto do sistema de cer�dões
on-line no web-site da en�dade SESVESP.
Cursos Complementares: Microso� Official Curriculum Cer�fied (WinServer2003) , Microso� Cer�fied IT Professio-
nal - Enterprise Administrator (WinServer2008), CA -Computer Associates Educa�on La�n America (BR 400 - BrightStor
Arc Serve Backup for Windows: Implementa�on and Administra�on),Cobit Founda�on 4.1 Cer�fied, ITIL Founda�on V3
Professional, ISFS - Fundamentos de Sistemas de Segurança da Informação Baseados na ISO/IEC 27002, DSE - Programa Direção de
Segurança em Empresas (Segurança da Informação, Segurança de Sistemas e TI) Universidade Pon��cia Comillas Madrid Postgrado
(29º e 30º Turmas América La�na 2008).
Alexandre Corrêa (Protege S/A Proteção e Transporte de Valores)
Formado em Ciência da Computação pela FASP - Faculdades Associadas São Paulo e Pós-Graduado em MBA E-Management - Tec-
nologia da Informação Aplicada à Nova Economia, pela FGV - Fundação Getúlio Vargas. Mais de 18 anos atuando em Tecnologia da
Informação voltada à área de serviços. Experiência em: planejamento, dimensionamento, montagem e operação de infra-estrutura
tecnológica; gerenciamento de projetos e desenvolvimento de sistemas; projetos de padronização de ambientes, escalabilidade, me-
lhoria de performance e redução de custos; pesquisas de novas tecnologias.
Anderson Luis Araújo (GP Guarda Patrimonial de São Paulo Ltda.)
16 anos na área de TI. Administrador de Redes na PwC, Líder de equipe de Helpdesk no SESI/SENAI e Gerente de Projetos e Ne-
gócios de TI no Grupo GP. Formado em Gestão de TI pela UNIP e Tecnologia de Processamento de Dados pelo UNIB. Suas principais
realizações foram: estruturação da área de TI, Gestão de Projetos de Governança Coorpora�va, Implantação de sistema Comercial e
Ponto Eletrônico.
André Hideo (Evik Segurança e Vigilância Ltda.)
Profissional com mais de 10 anos de experiência em Tecnologia da Informação. Administrador de Redes Microso� e Linux, Admi-
nistrador de Sistemas de ERP e BSC. Bacharel em Ciência da Computação, pós-graduado em Redes de Computadores, em Segurança
da Informação, e pós-graduando em Gerenciamento de Projetos. Atuou em diversos projetos de telecomunicação e segurança. Suas
principais realizações foram: Implementação de Polí�cas de Segurança e projetos de T.I e Telecomunicação como Sistemas de Gestão
Balance Score Card, Telefonia Voip entre outros.
Celso Sávio (Power Vigilância e Segurança Ltda.)
Engenheiro da Computação, pela UNIP; e Pós Graduado pela Pon��cia Universidade Católica - PUC São Paulo - SP em Master
Business Informa�on Systems – MBIS / MBA em Gestão Estratégica de TI. Larga experiência em elaboração dos procedimentos de
atendimento do suporte; elaboração dos procedimentos de ro�nas da Infra-estrutura; budget (orçamento) anual do departamento
de Infra-estrutura; informá�ca baseada nas diretrizes e planejamento estratégico da empresa; elaboração e acompanhamento de
testes com os serviços ou recursos tecnológicos de con�ngência; gerenciamento de todos os a�vos relacionados a infra-estrutura de
tecnologia do Grupo.
Francisco Ventura (Iron “Valinhos” Segurança Especializada Ltda.)
Formado em Ciência da Computação (UNICAMP) e CursandoTécnico em Mecânica com ênfase em Automação (COTUCA-UNICAMP).
Suas principais realizações foram: desenvolvimento de um renomado so�ware de controle de acesso, além da gestão e segurança de TI
da Iron Segurança sempre buscando soluções OpenSource para que o empreendimento não fique refém de uma solução proprietária.
Cursos complementares : Microso� Cer�fied Professional Developer - MCPD
4 Guia de Boas Prá�cas para Gestão de Tecnologia da Informação
Jefferson J. H. de Oliveira (Grupo Mave Segurança e Serviços)
Tecnólogo em Sistema de Informação pelo Centro Universitário Radial – UNIRADIAL e pós-graduando em Gestão de
Tecnologia da Informação, pela Faculdade Flamingo. Principais realizações: Implantação de sistemas de ERP SAR (HK) e
K&S, redução de custos em manutenção de equipamentos e impressão, melhorias na estrutura interna de hardware e
so�ware e padronização das ferramentas de trabalho.
Ricardo Augusto Neves (Empresa Nacional de Segurança Ltda.)
Onze anos de atuação na área de TI. Experiência em projetos de desenvolvimento de sistemas, implantação de sis-
temas ERP´s . Infraestrutura de TI e Telecom. Liderança de equipes. Gestão de contratos e fornecedores. Graduado em
Ciência da Computação – UNIFAI e pós-graduado em Gestão de Tecnologia da Informação – FIAP. Principais realizações:
elaboração de Plano Diretor de TI e execução de projetos para resolução de demanda reprimida; diminuição dos ris-
cos provenientes de TI para os negócios e planejamento da área para atender as estratégias da empresa. Implantação
de polí�cas, normas e procedimentos da área, como; polí�cas de atendimento, u�lização de recursos, segurança da
informação, aquisições, etc. Execução de ações para racionalização e redução de custos de TI, como: subs�tuição de
fornecedores, renegociação de contratos, equiparação de valores de contratos de fornecedores diferentes para o mes-
mo serviço, compar�lhamento de recursos de TI, centralização da equipe de T.I, etc. Projetos Realizados: Migração das
plataformas de rede (de Linux para Windows), integração das unidades para aumentar a disponibilidade de sistemas,
integração do AD (Ac�ve Directory) em domínio único, estruturação de cabeamento de um dos prédios do grupo, subs-
�tuição das soluções de Firewall, implantação de help desk, construção de novo data center (interno), implantação de
sistemas de gestão de pessoas e ERP. Readequação da equipe de TI. Com os projetos de integração dos prédios, migração das platafor-
mas de rede e integração do AD, reduzimos o número de incidentes, o que nos permi�u suportar o crescimento da empresa, aumentar
o número de serviços de TI oferecidos e até diminuir o quadro de pessoal.
Guia de Boas Prá�cas para Gestão de Tecnologia da Informação 5
SUMÁRIO:
1 I���������: G��� � ���� �������� (E�����).....................................................................7
2 M����� COBIT
2.1 P������� � O��������.................................................................................9
2.2 A������� � I����������...........................................................................10
2.3 E������� � S�������................................................................................10
2.4 M�������� � A������.................................................................................12
R������������ ��������� ��� �������� �� ��������...............................12
C����, �������� �� �������� �������� ��� �������� �� ��������.............12
3 M����� ITIL
3.1 E��������� �� S������...............................................................................13
3.2 P������ �� S������....................................................................................13
3.3 T�������� �� S������................................................................................14
3.4 O������� �� S������.................................................................................14
3.5 M������� �������� �� S������................................................................15
R������������ ��������� ��� �������� �� ��������...............................16
C����, �������� �� �������� �������� ��� �������� �� ��������.............16
4 N����� �� S�������� �� I���������...........................................................................18
5 A ����� ISO 27002
5.1 C�������� �� I��������� � S�������� �� I���������.........................19
5.2 A������, V���������������, D���� � G����� �� R�����...........................20
5.3 A�������� � O����������.......................................................................21
5.4 M������ �� S��������..............................................................................22
5.5 L��������� � R�������������..................................................................24
R������������ ��������� ��� �������� �� ��������...............................25
C����, �������� �� �������� �������� ��� �������� �� ��������.............26
B�����������........................................................................................................................27
6 Guia de Boas Prá�cas para Gestão de Tecnologia da Informação
1. I���������: G��� �� ���� �������� (E�����).
Este guia tem por obje�vo apresentar metodologias e melhores prá�cas para gestão de Tecnologia da Informação (TI)
mais disseminadas no mercado atual, apresentando modelos que podem ajudar a aumentar a maturidade e o grau de
controle dos obje�vos e dos processos corpora�vos relacionando o uso da TI aos níveis estratégico, tá�co e operacional
de uma organização.
Entender o papel da TI em todos dos níveis de uma organização e dos diversos �pos de sistemas de informações
existentes nas organizações de hoje é necessário para que a TI possa auxiliar na tomada de decisões e as a�vidades de
trabalho existentes nos diversos níveis e funções organizacionais.
Exemplos de sistemas de informação aplicados nos níveis organização:
ERP (Enterprise Resource Planning): sistema que integra todos os dados e processos de uma organização em único
sistema.
CRM (Customer Rela�onship Management): gestão do relacionamento com os clientes das empresas.
BI (Business Inteligente): processo de coleta, organização, análise, compar�lhamento e monitoramento de informa-
ções que oferecem suporte a gestão de negócios.
SCM: Gestão da cadeia de suprimentos incorpora toda a logís�ca da gestão de materiais, compras, cotações, etc.
Infra-estrutura: A infra-estrutura de TI corresponde às plataformas de hardware, de telecomunicações, das redes Lan e Wan, as
instalações �sicas e ao peopleware, as pessoas, necessários para exercerem os papéis e responsabilidades rela�vas a TI.
Contudo como metodologias e prá�cas disponíveis e aceitáveis largamente no mercado para efetuar a gestão de tecnologia da
informação podemos citar:
O COBIT, um guia de boas prá�cas dirigido para a gestão de tecnologia de informação (TI), possui uma série de recursos que podem
servir como um modelo de referência para gestão da TI, incluindo, controle de obje�vos, mapas de auditoria, ferramentas para a sua
implementação e, principalmente, um guia com técnicas de gerenciamento.
O ITIL - Informa�on Technology Infrastructure Library consiste em um conjunto de livros com boas prá�cas a serem aplicadas na
infraestrutura, operação e manutenção de serviços de TI;
A Norma NBR ISO/IEC 27002 é um código de prá�ca para a gestão de segurança da informação, que tem como obje�vo “estabele-
cer diretrizes e princípios gerais para iniciar, programar, manter e melhorar a gestão de segurança da informação em uma organização”.
Segurança da informação significa proteger as informações consideradas importantes para a con�nuidade e manutenção dos obje�vos
de negócio da organização.
Neste guia as metodologias e prá�cas são apresentadas de forma resumida e simplificada que podem ser entendidas pela área de
TI e devem estar ao alcance de todos numa organização. Os aproveitamentos que forem alçados pelos elementos dispostos neste guia
devem ser entendidos, replicados e, sobretudo, permi�rem evolução.
Este guia também proporciona a obtenção de uma visão plena e consolidada do ambiente atual de TI de uma organização, apontan-
do cenários e necessidades que requerem o uso de tecnologia, aperfeiçoando o retorno dos inves�mentos já feitos e dos ainda a ser
realizados e, ao mesmo tempo, garan�ndo a segurança das informações que são de uso vital para uma organização.
Guia de Boas Prá�cas para Gestão de Tecnologia da Informação 7
Podemos considerar que a correta aplicação de tais prá�cas e metodologias sugeridas neste guia podem levar à ex-
celência na gestão de Tecnologia da Informação, porém deve-se analisar o ambiente antes de aplicar tais prá�cas, pois
se deve aplicar o que agregar valor ao negócio.
Prá�cas que consistem um processo gerencial/operacional são compostas dos seguintes estágios:
* Mapeamento das necessidades de tecnologia;
* Priorização das necessidades de tecnologia;
* Prospecção de tecnologias;
* Analisar e validar tecnologias;
* Difundir tecnologias;
* Aproveitamento de tecnologias;
* Monitoração de tecnologias;
* Indicar desempenho de tecnologias.
8 Guia de Boas Prá�cas para Gestão de Tecnologia da Informação
2 O M����� COBIT.
O CobiT, acrônimo que significa Control Obje�ves for Informa�on and Related Technology é um guia para a gestão de
TI recomendado pela ISACA (Informa�on Systems Audit and Control Associa�on). A estrutura do Cobit foca em “o que é
preciso ser feito” ao invés de “como fazer”.
O CobiT é um conjunto de diretrizes baseadas em auditoria para processos, prá�cas e controles de TI, voltado para
redução de risco, que enfoca integridade, confiabilidade e segurança. Resumindo, o CobiT nada mais é do que um con-
junto de ferramentas para a excelência em TI.
Missão do CobiT:
Pesquisar, desenvolver, publicar e promover um modelo de controle para governança de TI atualizado e internacio-
nalmente reconhecido para ser adotado por organizações e u�lizado no dia-a-dia por gerentes de negócios, profissio-
nais de TI e profissionais de avaliação.
A estrutura do CobiT é ramificada em 04 domínios e 34 processos:
O CobiT é projetado para auxiliar três audiências dis�ntas:
1) Gerentes que necessitam avaliar o risco e controlar os inves�mentos de TI em uma organização.
2) Usuários que precisam ter garan�as de que os serviços de TI que dependem os seus produtos e serviços para os
clientes internos e externos estão sendo bem gerenciados.
3) Auditores que podem se apoiar nas recomendações do CobiT para avaliar o nível da gestão de TI e aconselhar o controle interno
da organização.
O CobiT está dividido em quatro domínios:
1) Planejar e organizar: O obje�vo deste domínio é iden�ficar modos nos quais a TI pode cooperar para que os obje�vos de negócio
da empresa sejam a�ngidos.
2) Adquirir e implementar: Os a�vos de TI precisam ser iden�ficados e desenvolvidos (aquisição e implementação) e principalmente
estarem integrados com os processos de negócio da empresa. Este domínio também abrange alterações nos recursos de para garan�r
que eles operem sem interrupções.
3) Entregar e suportar: Obje�vo do domínio: entregar os serviços solicitados, desde operações diárias e ro�neiras, instruções e trei-
namento até segurança e con�nuidade. É neste domínio que os processos de suporte e atendimento (service/desk) são desenhados.
4) Monitorar e avaliar: Obje�vo do domínio: avaliar de forma regular os processos de TI, principalmente quanto às questões de
qualidade e cumprimento com requerimentos de controles internos estabelecidos na empresa.
Cada domínio cobre um conjunto de processos para garan�r a completa gestão de TI, somando 34 processos:
2.1 Planejar e Organizar:
2.1.1 Plano Estratégico de TI: O planejamento estratégico de TI é necessário para alinhar os recursos de TI às prioridades de negócio
da empresa. O plano deve explanar quais são as partes interessadas do negócio, qual o estágio que a TI se encontra (performance,
oportunidades e limitações) para a�ngir os anseios do negócio e projetar inves�mento necessário. Deve ser criado um por�ólio de
serviços e nele devem estar descritos de forma sucinta as a�vidades e planos de TI apontando para os obje�vos estratégicos, e estes
devem ser entendidos e aceitos pela TI e pelo negócio.
2.1.2 Arquitetura de Informação: Desenvolver e atualizar um dicionário de dados especificando a estrutura interna e o funciona-
mento do uso da informação, classificação da informação, categorização de dados, níveis de segurança e racionalização de recursos de
TI. Garan�r que as informações fornecidas e compar�lhadas sejam íntegras e confiáveis em tomadas de decisões da área de negócio.
Direcionamento Tecnológico: Direcionar os recursos tecnológicos para suportar o negócio. Eleger uma comissão de arquitetura para
criar e atualizar um plano de infra-estrutura tecnológica para garan�r as reais expecta�vas sobre as tecnologias necessárias. Abordan-
do planos de aquisições, padrões tecnológicos, mudanças, con�ngência, etc. O obje�vo é garan�r respostas rápidas a um ambiente
com variações (mercado compe��vo), economia com projetos e evitar interrupções dos sistemas e recursos de TI.
2.1.3 Organização e Relacionamentos de TI: Organização do pessoal envolvido, considerando competências, funções, responsabi-
lidades e autoridade a fim de garan�r os processos com transparência e controle. Um gestor de TI com visão estratégica de TI deve
estar envolvido nos processos de decisão, onde par�cipam outros gestores do negócio, para determinar prioridades dos recursos de
TI, polí�cas e procedimentos que devem estar em vigência.
2.1.4 Gerenciar o Inves�mento em TI: Criar e manter uma estrutura para gerenciar os inves�mentos de TI (previsão orçamentária)
abordando necessidades como: necessidades de ações corre�vas e outras que necessitem de recursos de projetos suportados por TI.
Garan�r o alcance de metas,relação custo x beneficio e retorno do inves�mento.
2.1.5 Comunicar as Diretrizes e Expecta�vas da Diretoria: Criar e manter um programa formal de comunicação para garan�r a
Guia de Boas Prá�cas para Gestão de Tecnologia da Informação 9
conscien�zação e entendimento sobre projetos, polí�cas, procedimentos e cumprimento de regras, regulamentações,
instruções, diretrizes de TI. O programa deve ser aprovado e man�do (fiscalizado) pelo gestor de TI e pelos gestores da
área de negócio (alta gestão).
2.1.6 Gerenciar os Recursos Humanos de TI: Estabelecer prá�cas e polí�cas para seleção, treinamento, desempenho,
promoção e dispensa, a fim de manter a equipe de TI mo�vada e competente.
Gerenciar a Qualidade: Implantar e desenvolver um SGQ (Sistema de Gestão da Qualidade) com processos e padrões
comprovados. Efetuar um monitoramento constante do sistema, analisando e comunicando indicadores de desempenho,
atuando sobre desvios e problemas e medindo os resultados a�ngidos, para garan�r a melhoria con�nua do sistema.
2.1.7 Avaliar e Gerenciar os Riscos de TI: Documentar níveis de riscos acordados, definir planos e estratégias para
mi�gação (redução) de riscos a níveis aceitáveis, avaliar eventos que possam por em risco os obje�vos potenciais de
negócio da empresa.
2.1.8 Gerenciar Projetos: Criar uma estrutura para efetuar a gestão sobre os projetos de TI. A estrutura deve incluir
um plano mestre, recursos, definição dos objetos e metas, aprovação e envolvimento do operacional, fases da entrega,
garan�a da qualidade, um plano de teste, revisão e manutenção. Esta abordagem reduz o custo com imprevistos e ga-
rante a qualidade e entrega do produto final.
2.2 Adquirir e implementar.
2.2.1 Iden�ficar Soluções Automa�zadas: Analisar os requisitos do negócio antes da aquisição e do desenvolvimento, considerar
premissas de funcionalidades estabelecidas (TI e negócios), alterna�vas de soluções, viabilidades técnicas e econômicas. Este processo
garante que se minimize o custo com aquisição e permite que as soluções a�njam os obje�vos estabelecidos com eficiência, eficácia
e sa�sfação dos envolvidos.
2.2.2 Adquirir e Manter So�ware Aplica�vo: As aplicações devem estar disponíveis em linha com as necessidades do negócio. Este
processo garante o desenvolvimento de acordo com os padrões de configuração e segurança, o que permite que a operação da em-
presa esteja corretamente suportada com aplicações automa�zadas.
2.2.3 Adquirir e Manter Infra-estrutura de Tecnologia: Deve haver processos para aquisição, implementação e atualização da infra-
estrutura tecnológica. Isso garante a disponibilização de plataformas adequadas (padronizadas) e alinhadas para sustentar as aplica-
ções do negócio.
2.2.4 Habilitar Operação e Uso: Garan�r o uso correto da infra-estrutura e das aplicações através de conhecimento sobre o que está
disponível, isso é alcançado através de treinamento e elaboração e disponibilização de manuais técnicos e operacionais.
2.2.5 Adquirir Recursos de TI: Este processo envolve todos os a�vos de TI, pessoas, so�ware,hardware, etc. Tudo deve ser contra-
tado e\ou adquirido.
2.2.6 Gerenciar Mudanças: Controlar mudanças emergências (correções) e programadas (novas versões), mudanças devem ser
comunicadas e autorizadas. Deve haver o estabelecimento de um plano de teste para posterior liberação para produção. Este proces-
so assegura a mi�gação dos riscos que podem afetar o ambiente de produção com as necessidades de mudanças.
2.2.7 Instalar e Homologar Soluções e Mudanças: Novos sistemas devem entrar em produção quando es�verem prontos. Um am-
biente de teste (homologação) dedicado com os requisitos principais de um ambiente de produção é o mais adequado, passando por
um plano de liberação e migração também por avaliação e revisão após implementação. Esse processo garante que as expecta�vas
acordadas sejam a�ngidas.
2.3 Entregar e suportar.
2.3.1 Definir e Gerenciar Níveis de Serviço: Efe�var a comunicação entre TI e negócio, elaborar um acordo documentado sobre os
serviços e níveis de serviços de TI que serão fornecidos. Este processo também abrange o monitoramento do serviço e um freqüente
reporte às partes envolvidas.
2.3.2 Gerenciar Serviços de Terceiros: Gerenciar os serviços de apoio fornecidos por terceiros, garan�r a sa�sfação do negócio com
os serviços fornecidos, garan�r sa�sfação com bene�cios, custos e riscos. Estabelecer papéis claros de responsabilidades, gerenciar e
monitorar o desempenho do serviço prestado e cumprimento dos acordos e contratos.
2.3.3 Gerenciar Capacidade e Desempenho: Avaliar e o�mizar periodicamente o desempenho dos a�vos de TI, infra-estrutura, re-
10 Guia de Boas Prá�cas para Gestão de Tecnologia da Informação
cursos e capacidade. Este processo inclui a previsão de necessidades futuras, de melhoria con�nua e de con�ngência.
2.3.4 Assegurar a Con�nuidade de Serviços: O provimento con�nuo de serviços de TI depende do desenvolvimento
de planos de con�nuidade, planos que asseguram um impacto mínimo nos negócios, caso haja uma interrupção nos
serviços de TI.
2.3.5 Assegurar a Segurança dos Serviços: Elaborar planos de gestão de segurança para garan�r a integridade das in-
formações e proteção dos a�vos de TI. Os procedimentos de segurança incluem a definição de responsabilidades, testes
periódicos de segurança para iden�ficar vulnerabilidades e ações corre�vas a incidentes de segurança.
2.3.6 Iden�ficar e Alocar Custos: Arquitetar e operar um sistema imparcial para captação, alocação e reporte dos
custos de TI, para haver o entendimento dos custos de TI e melhoria da relação custo x bene�cio. Este sistema permi�rá
à empresa tomar decisões mais embasadas sobre o uso racional dos serviços de TI.
2.3.7 Educar e Treinar Usuários: Garan�r treinamento constante e efe�vo dos usuários dos sistemas de TI, incluindo
aqueles da própria TI, para entenderem as necessidades dos usuários em termos de treinamento. Executar um progra-
ma eficaz de treinamento e medir os resultados. Uma boa estratégia de treinamento aumenta o uso efe�vo da tecno-
logia e reduz o percentual de falha humana no uso da tecnologia.
2.3.8 Gerenciar a Central de Serviço e os Incidentes: Ins�tuição de uma central de serviço (service desk) com processos de gerencia-
mento de incidentes bem delineados, para registro dos incidentes, tratamento dos incidentes, escalonamento, análise de tendência,
análise de causa raiz e resolução. Estes processos contribuem para sa�sfação do usuário com o primeiro nível de atendimento e para
um bom percentual de incidentes resolvidos no tempo acordado/aceitável.
2.3.9 Gerenciar a Configuração: Estabelecer e manter um repositório (inventário) completo da configuração dos a�vos de TI com
informações da configuração inicial, configuração de atualizações, manutenções, auditorias, etc. Uma gestão efe�va da configuração
garante maior disponibilidade dos sistemas, minimiza problemas de operação, resolve problemas de forma rápida e ajuda na o�miza-
ção da infra-estrutura.
2.3.10 Gerenciar os Problemas: O foco é registrar, rastrear e resolver problemas operacionais, inves�gar causa raiz de problemas
importantes e definir soluções para problemas iden�ficados, manter registro dos problemas e emi�r recomendações para melhorias.
2.3.11 Gerenciar os Dados: Aperfeiçoar o uso da informação e garan�r que ela esteja disponível quanto requisitada (alta disponi-
bilidade), realização de cópias de segurança de dados (back-up), testes de restauração, gerenciar locais de armazenamento (off-site,
on-site), gerenciar segurança (acesso controlado).
2.3.12 Gerenciar o Ambiente Físico: A proteção dos equipamentos computacionais e de pessoas requer um bom desenho da in-
fra-estrutura �sica. Este processo abrange a definição de requerimentos do local �sico, escolha de uma infra-estrutura apropriada
e processos para monitoração de fatores de ambiente e controle de acesso �sico. O gerenciamento do ambiente �sico minimiza as
interrupções de negócio de que podem ser causadas por falhas de equipamentos e pessoas.
2.3.13 Gerenciar as Operações: O processamento concluído e conciso dos dados tem necessidade de um gerenciamento do proces-
samento de dados e manutenção do hardware. Este processo abrange polí�cas e procedimentos para a gestão efe�va das regras do pro-
cessamento, proteção dos dados confidenciais processados, monitoração da infra-estrutura e manutenção preven�va de hardware. Um
gerenciamento a�vo de operações ajuda a manter a integridade dos dados, reduz retardamentos e custos operacionais.
Guia de Boas Prá�cas para Gestão de Tecnologia da Informação 11
2.4 Monitorar e Avaliar.
2.4.1 Monitorar e Avaliar o Desempenho: A gestão eficaz da atuação da TI requer um processo de monitoramento.
Este processo contém definição de indicadores chaves de performance (desempenho) um reporte sistêmico de e rápido
de desempenho e uma atuação rápida sobre as anormalidades. Este monitoramento é necessário para garan�r alinha-
mento com diretrizes e polí�cas.
2.4.2 Monitorar e Avaliar os Controles Internos: A implantação de um controle interno de TI demanda um processo de
monitoramento bem definido. Este processo contém monitoramento e o reporte dos desvios (anormalidades, não con-
formidades) do controle, saldos das auto-avaliações e auditorias de terceiros. O principal bene�cio do monitoramento
do controle interno é o provimento da garan�a da eficácia e eficiência operacional e cumprimento com as regulamen-
tações aplicáveis.
2.4.3 Assegurar a Conformidade com Requisitos Externos: A efe�va atenção regulatória requer um processo de ava-
liação independente para garan�r conformidade com as leis e regulamentações. Este inclui uma auditoria independente
e reporte dos resultados da auditoria.
2.4.4 Prover a Governança de TI: Ins�tuir uma composição efe�va de governança inclui a definição da estrutura orga-
nizacional, processos, liderança, papéis e responsabilidades para garan�r que os inves�mentos de TI estejam alinhados
com os obje�vos e estratégias da empresa.
R������������ ��������� ��� �������� �� ��������.
Controles para que a área de TI tenha seja jus�ficável e alinhada ao negócio:
Empresa: Evik Segurança e Vigilância Ltda.
Gestor de TI: André Hideo.
“Convém que a direção estabeleça uma polí�ca clara, alinhada com os obje�vos do negócio e demonstre apoio e comprome�mento com
a segurança da informação por meio da publicação e manutenção de uma polí�ca de segurança da informação para toda a organização.
Convém que o documento da polí�ca de segurança da informação seja aprovado pela direção, publicado e comunicado para todos
os funcionários e partes externas relevantes, assim como declare o comprome�mento da direção e estabeleça o enfoque da organiza-
ção para gerenciar a segurança da informação”.
C����, �������� �� �������� �������� ��� �������� �� ��������;
Controles para que a área de TI tenha seja jus�ficável e alinhada ao negócio:
Empresa: Power Vigilância e Segurança Ltda.
Gestor de TI: Celso Sávio.
“Caso haja a necessidade, podemos envolver a nossa gerência e diretoria para maiores esclarecimentos, mas esse controle é feito
através do planejamento estratégico da empresa onde são definidas as ações e diretrizes que serão feitas nos anos posteriores em
toda a empresa. Esse plano é baseado exatamente no caminho que a empresa deve seguir e assim são priorizados somente projetos
que sejam fundamentais nesta jornada”.
Empresa: GP Guarda Patrimonial de São Paulo Ltda.
Gestor de TI: Anderson Luis Araújo.
“Atualmente a TI tem um papel fundamental na estratégia de negócio do Grupo GP. Além de ter a responsabilidade de apoiar o ne-
gócio com a disponibilidade de servidores e sistemas, hoje controlamos todo o fluxo da informação desde sua origem, armazenamen-
to, u�lização e disponibilidade. Este controle garan�u qualidade da informação e permi�u que nossos execu�vos atuem rapidamente
baseados em dados seguros e confiáveis. Todo o controle de cadastro, processo e u�lização da informação passa pela área de TI”.
Empresa: Empresa Nacional de Segurança Ltda.
Gestor de TI: Ricardo Augusto Neves.
“A TI é planejada para executar projetos de um Plano Diretor de TI, ou seja, todas as ações, necessidades e riscos são alinhados com
a Diretoria. Assim, entendemos que a TI estará na mesma direção dos obje�vos da empresa”.
12 Guia de Boas Prá�cas para Gestão de Tecnologia da Informação
3. O ������ ITIL.
ITIL, acrônimo que significa Informa�on Technologies Infrastructure Library; biblioteca de Infraestrutura de Tecno-
logias da Informação, é um conjunto de livros com melhores prá�cas que cons�tuem um “framework” para a direção
e gestão de serviços de tecnologias da informação no referente a Pessoas, Processos e Tecnologias, desenvolvido pela
OGC (Office of Government Commerce) do Reino Unido, que cumpre e desenvolve a norma BS15000 da BSI (Bri�sh
Standards ins�tu�on).
O ITIL é referência para gestão de serviços de TI. É a mais abrangente biblioteca disponível publicamente para forne-
cimento e gerenciamento de serviços e a mais adotada pelas áreas de TI das grandes empresas.
Através das melhores prá�cas específicas em ITIL o que possibilita para departamentos e organizações reduzir cus-
tos, melhorar a qualidade do serviço tanto para clientes externos como internos e aproveitar ao máximo as habilidades
e experiências do pessoal, melhorando sua produ�vidade.
Biblioteca do ITIL
3.1 Estratégia de Serviço:
3.1.1 Direcionamento de como projetar, desenvolver e implementar o gerenciamento de serviços, garan�r que o
alinhamento das estratégias do negócio estejam alinhadas com a TI com o intuito de fazer com que as organizações
tenham a capacidade de administrar os custos e riscos associados ao seu Por�ólio de Serviços.
3.1.2 Gerenciamento de Por�ólio de Serviços: o obje�vo é gerar valor para o negócio, através de processos dinâmicos para adminis-
trar os inves�mentos em gerenciamento de serviços para o negócio. Ações: definição, análise, aprovação e contratação.
3.1.3 Gerenciamento da Demanda: tem o obje�vo de entender os atuais e futuros requisitos do negócio, assim como influenciar
a demanda por serviços e provisão de capacidade para atender as demandas. Alinhamento entre TI negócios para que haja o bom
gerenciamento, a exa�dão da demanda e a entrega de valor.
3.1.4 Gerenciamento Financeiro: o obje�vo é fornecer o custo real dos a�vos e recursos financeiros usados no fornecimento de
serviços de TI, prestação de contas, ratear custos, documentar e acordar o valor dos serviços recebidos, análise de inves�mento, visão
geral: orçamento, contabilidade e cobrança.
3.2 Projeto de Serviço:
3.2.1 Projetar e desenhar os serviços e processos, transformar obje�vos estratégicos em por�ólio de serviços. Deve haver uma visão
do “todo” para a integração de todas as a�vidades, processos e tecnologias.
Conceitos: requerimento de nível de serviço (SLR), metas de nível de serviço (SLT), definição de requisitos (SOR), acordo de nível de
serviço (SLA), acordo de nível operacional (OLA), contrato de apoio (UC).
3.2.3 Gerenciamento do Catálogo de Serviço: gerenciar a informação do catálogo de serviços, garan�r a completude da informação:
detalhes, status, dependências, etc.
Tipos de catálogos de serviços: catálogo de serviços de negócio, que consistem nos processos de negócio suportados por TI e o
catálogo de serviços técnicos que consiste na relação de componentes e itens de configuração para suportar a previsão do serviço ao
negócio.
3.2.4 Gerenciamento de disponibilidade: garan�r que os serviços sejam entregues de acordo com o que foram acordados, efetuar
um mapeamento claro dos requisitos do negócio e efetuar uma constante o�mização da infra-estrutura para suprir as necessidades,
garan�r a mais alta disponibilidade (funcionalidade, confiabilidade e resiliência).
3.2.5 Gerenciamento de capacidade: o obje�vo é capacitar a área de TI para atender as atuais e futuras necessidades do negócio
com custos jus�ficáveis. Garan�r que a capacidade adquirida seja jus�ficável em termos de custo e também no uso mais eficiente dos
recursos.
3.2.6 Gerenciamento de segurança da informação: alinhar a segurança da TI com a segurança do negócio, garan�r a segurança da in-
formação em todos os níveis, serviços e a�vidades. Garan�r o CID (Confidencialidade, Integridade e Disponibilidade) das informações,
dados a�vos e serviços da organização. Estabelecer um sistema de gerenciamento de Segurança da Informação (ISMS).
3.2.7 Gerenciamento da con�nuidade dos serviços de TI: Suportar o processo de con�nuidade do negócio garan�do que em caso
de problemas e interrupções os recursos e serviços de TI sejam retomados no perdido tempo requerido e acordado com o negócio.
Criação de planos de con�ngência, realização de testes nos casos de simulações e atualizações. Conceitos: análise de negócios, análise
Guia de Boas Prá�cas para Gestão de Tecnologia da Informação 13
de riscos e planos de con�nuidade.
3.2.8 Gerenciamento de fornecedores: gerenciar os serviços entregues por terceiros (fornecedores) provisionando e
monitorando a qualidade aos níveis acordados estabelecidos em regras contratuais.
3.3 Transição de Serviço:
3.3.1 Direcionar a entrega dos serviços novos ou atualizações para a produção, efetuar uma planejamento eficiente
de acordo com a estratégia e o desenho (projeto) dos serviços para que em produção o serviço seja efe�vo e riscos
sejam controlados.
3.3.2 Gerenciamento de mudanças: o obje�vo é diminuir o risco de incidentes que podem ser gerados pelas mudan-
ças ou novas implementações no ambiente de tecnologia, através da criação de processos, métodos e procedimentos
para garan�r que as mudanças sejam registradas, planejadas, testadas, revisadas e por fim implementadas de maneira
controlada.
3.3.3 Gerenciamento de a�vos de serviço e configuração: definição de formas de controles dos componentes de
serviços e infra-estrutura, efetuar um planejamento de controle através de: inventário, configurações, versões e verifi-
cações periódicas. Manutenção de uma base de dados contendo todas as informações para controle dos processos e serviços.
3.3.4 Gerenciamento de liberações e distribuição: o obje�vo é construir, avaliar e apresentar a capacidade de prover o serviço de
acordo com que foi especificado no projeto (desenho) priorizando atender as necessidades requisitadas pelos interessados (stakehol-
ders). Deve haver uma polí�ca de liberação contendo unidade de liberação e iden�ficação, projeto de liberação, modelos de liberação
e entrega, com o intuito de garan�r o minimo impacto no caso de falha durante os testes ou em alguma fase da liberação.
Visão geral: Ambiente de desenvolvimento (polí�ca de liberação, planejamento da liberação). Ambiente de teste seguro (configu-
ração da liberação, teste, aceite da liberação, planejamento de distribuição) e ambiente de produção (comunicação e treinamento,
distribuição e instalação).
3.4 Operação de Serviço:
3.4.1 O obje�vo é direcionar a forma de suportar os serviços em operação de maneira efe�va e eficiente. É nesta fase do ciclo de
vida do serviço que tem seu valor percebido e mensurado para o cliente.
Processos de operação de serviço: Central de serviços, Gerenciamento técnico, Gerenciamento de operações de TI e Gerenciamen-
to de aplicações. Funções de operação e serviço: Gerenciamento de eventos, Gerenciamento de incidentes, Exceção de requisição de
serviços, Gerenciamento de problemas e Gerenciamento de acesso.
3.4.2 Gerenciamento de incidentes: a meta é restaurar um serviço ou parte dele que foi interrompido em um curto espaço de tem-
po (limite, cumprimento do SLA) a fim de minimizar os impactos no negócio, garan�ndo assim a qualidade e disponibilidade total do
serviço.
Tipos de incidentes: Falhas, recuperação solicitada (restauração de back-up) e problemas e anomalias detectadas por pessoal técni-
co (monitoração). A�vidades do gerenciamento de incidentes: iden�ficar incidente, registrar incidente, categorizar incidente, priorizar
incidente, diagnos�car incidente, escalonar incidente, inves�gar e diagnos�car, resolver e recuperar, e fechar incidente.
3.4.3 Gerenciamento de eventos: desenvolver habilidade para detectar eventos, correlação entre eventos e ações apropriadas de
controle, elaborar e manter uma base de monitoração e controle operacional e saber diferenciar monitoração e gerenciamento de
eventos. Gerenciamento de eventos consiste em avisos significa�vos sobre o estado da infra-estrutura; monitoração é mais abrangen-
te, é a garan�a que um disposi�vo esteja funcionando dentro dos limites estabelecidos e/ou aceitáveis mesmo que este não esteja
gerando eventos.
Tipos de eventos: eventos de operação regular (informação), eventos de uma execução (exeção) e eventos de algo não usual (alerta).
3.4.4 Execução de requisição de serviços: o obje�vo é atender as solicitações de maneira formal e consistente a�ngindo os níveis
de serviços acordados. Inicialmente a solicitação é tratada pela linha de frente, help-desk e posteriormente, dependendo da comple-
xidade, outras áreas do BackOffice e até do negócio podem auxiliar no atendimento.
3.4.5 Gerenciamento de problemas: processamento do erro até a sua eliminação, evitar recorrência e minimizar impactos que não
podem ser prevenidos. Controle de erros: Iden�ficar, monitorar , amenizar e/ou erradicar. Manter uma base de informações com er-
14 Guia de Boas Prá�cas para Gestão de Tecnologia da Informação
ros já ocorridos (conhecidos) com o registro do erro, avaliação do erro e principalmente com o registro da solução do
erro.
3.4.6 Gerenciamento de acessos: polí�cas e ações definidas para uso de serviços onde autoriza usuários que tenham direi-
to ao uso de um determinado serviço e impede outros que não são autorizados. Conceitos: acesso, iden�dade e direitos.
3.4.7 Funções: Trata-se de pessoa ou ferramenta que executa um determinado processo, a�vidade ou combinação
destes. Existem quatro funções principais:
- Central de serviços: central de contato (ponto único) para gerenciamento das solicitações de incidentes, soluções
e suporte. Representa o prestador de serviços de TI através de uma central de atendimento que direciona o volume de
solicitações e central de suporte que resolve a solicitação/incidente.
- Gerenciamento técnico: tem como obje�vo planejar adequadamente, considerando correta aplicação e o custo
jus�ficável, implementar com conhecimento e garan�r o funcionamento e resoluções de falhas técnicas que venham
a ocorrer. Os dois papéis mais importantes são: possuir conhecimento técnico para gerenciar a infra-estrutura de TI e
para prover recursos no desenvolvimento de novos serviços em todas as fases (planejamento, construção, transição,
operação e melhoria). Equipes técnicas devem ser compostas de acordo com o conhecimento técnico, ex: servidores,
rede, aplicação, banco de dados.
- Gerenciamento de operações de TI: manutenção do estado dos serviços com o obje�vo de manter a estabilidade das a�vidades
e processos do dia-a-dia. Consiste também na análise de melhoria definida durante a fase de projeto, assim como aplica diagnós�co
e resolução de falhas operacionais. Sub-funções: Controle das organizações de TI: agendamento de tarefas realiza back-up e restore,
efetua monitoração de servidores e redes e Gerenciamento das instalações: alocação de equipamentos, gerenciamento de energia e
controles ambientais, acesso �sico e segurança, despacho e recebimento.
- Gerenciamento de aplicação: auxiliar na iden�ficação funcional dos requisitos de aplicação e então apoiar no projeto, transição,
operação e melhoria. A tendência é estruturar aplicações de acordo com a categoria da aplicação e seu suporte, exemplos: aplicações
financeiras, CRM. ERP, mensageira (correio eletrônico), web, etc.
3.5 Melhoria con�nua do Serviço:
3.5.1 Trata-se do modelo de aperfeiçoamento de processo (melhoria con�nua): visão (obje�vos), avaliação, aperfeiçoamento, mé-
tricas e medidas. Ciclo PDCA: Planejar, Executar (Do), Checar e Agir.
3.5.2 Processo de melhoria dos 07 passos:
1) Definir o que deve ser medido,
2) Definir o que pode ser medido,
3) Coleta de dados,
4) Processar os dados,
5) Análise dos dados,
6) Apresentação e uso da informação,
7) Implementação de ação corre�va.
Guia de Boas Prá�cas para Gestão de Tecnologia da Informação 15
R������������ ��������� ��� �������� �� ��������.
Controles para gerenciar a infra-estrutura de T.I para que os prestadores de serviços internos e/ou externos entre-
guem seus serviços de TI de acordo com os níveis acordados:
Empresa: Grupo Mave Segurança e Serviços.
Gestor de TI: Jefferson J. H. de Oliveira.
“Sistema de controle de chamados e a�vos de T.I., para ter total controle de so�wares e hardwares, inclusive históri-
cos de serviços prestados aos mesmos. Um so�ware que é u�lizado por nós controla so�ware e a�vos”.
Empresa: Evik Segurança e Vigilância Ltda.
Gestor de TI: André Hideo.
“Assegurar que os funcionários, fornecedores e terceiros entendam suas responsabilidades, e estejam de acordo
com os seus papéis, e reduzir o risco de roubo, fraude ou mau uso de recursos.
Os papéis e responsabilidades pela segurança da informação de funcionários, fornecedores e terceiros devem ser
definidos e documentados de acordo com a polí�ca de segurança da informação da organização.
Verificações de controle de todos os candidatos a emprego, fornecedores e terceiros devem ser realizadas de acordo com as leis
relevantes, regulamentações e é�cas, e proporcionalmente aos requisitos do negócio, à classificação das informações a serem aces-
sadas e aos riscos percebidos.
A direção deve solicitar aos funcionários, fornecedores e terceiros que pra�quem a segurança da informação de acordo com o es-
tabelecido nas polí�cas e procedimentos da organização.
Todos os funcionários da organização e, onde per�nente, fornecedores e terceiros devem receber treinamento apropriado em
conscien�zação, e atualizações regulares nas polí�cas e procedimentos organizacionais relevantes para as suas funções.
Deve exis�r um processo disciplinar formal para os funcionários que tenham
come�do uma violação da segurança da informação.
C����, �������� �� �������� �������� ��� �������� �� ��������;
Controles para gerenciar a infra-estrutura de T.I para que os prestadores de serviços internos e/ou externos entreguem seus servi-
ços de TI de acordo com os níveis acordados:
Empresa: Power Vigilância e Segurança Ltda.
Gestor de TI: Celso Sávio.
“Os nossos links de dados são controlados por um so�ware de monitoramento onde mensalmente analisamos o período total em
que possivelmente ficaram indisponíveis e assim cobrarmos dos nossos fornecedores descontos nas faturas caso os mesmos estejam
acima do limite previamente permi�do contratualmente. Em projetos maiores, onde existe a necessidade de mão-de-obra especia-
lizada, u�lizamos aferramenta MS-PROJECT da Microso� como uma ferramenta para acompanhamento e gerenciamento de cada
a�vidade.
Empresa: GP Guarda Patrimonial de São Paulo Ltda.
Gestor de TI: Anderson Luis Araújo.
“Há aproximadamente 3 anos e meio, a TI do Grupo GP desenvolveu um sistema de abertura e administração de chamados que
controla o SLA (medição de atendimento de serviço) da resolução do problema de nossos clientes internos. O SLA é de 3 horas para
chamados que não dependam de terceiros. A meta mensal é de que 90% dos chamados sejam resolvidos neste prazo. No final do mês
é rodado um relatório de análise de atendimento dos chamados”.
Empresa: Empresa Nacional de Segurança Ltda.
Gestor de TI: Ricardo Augusto Neves.
“Temos controles da operação de TI, como: backup, atualização de versões de sistemas, atualização de an�vírus, documentação de
procedimentos, gerenciamento de capacidades, controle de help desk, etc. Além disso, temos uma polí�ca de atendimento implanta-
16 Guia de Boas Prá�cas para Gestão de Tecnologia da Informação
da que deixa claro aos usuários sobre como a TI atua para cada �po de solicitação”.
Empresa: Protege S/A Proteção e Transporte de Valores.
Gestor de TI: Alexandre Corrêa.
“Temos SLA´s (níveis de serviço) estabelecidos, de acordo com a prioridade, para os serviços internos e para os
prestadores externos. Para os prestadores externos, esses SLAs fazem parte do contrato e possuem multas com ônus e
bônus atrelados. Essas métricas estão parametrizadas em nosso sistema de Service Desk, onde controlamos a desem-
penho por Incidente informado.
Através de reuniões quinzenais e mensais, com base nos relatórios e gráficos extraídos desse sistema, avaliamos
Conjuntamente os desvios encontrados e o que faremos para ajustá-los. Isso se torna recorrente”.
Guia de Boas Prá�cas para Gestão de Tecnologia da Informação 17
4. N����� �� S�������� �� I��������� (ISO 27002)
Normas de Gestão Segurança da Informação, as normas IS0 27000:
27000: Visão geral e vocabulário.
27001: Requisitos de sistema de segurança da informação.
27002: Código de prá�ca para gestão de segurança da informação.
27003: Diretrizes para implementação de sistema de segurança da informação.
27004: Métricas de sistema de gestão de segurança da informação.
27005: Gestão de riscos de segurança da informação.
27006: Requisito para acreditação das partes – sistemas de gestão de segurança da informação.
27007: Diretrizes para auditar sistemas de gestão de segurança da informação.
Em 1995, a primeira norma foi publicada, a BS7799-1 Code Prac�ce for Informa�on Security Management, e ao
passar dos anos novas publicações levaram à evolução. De 2008 em diante, as normas ISO/IEC 27001:2005 e ISO/IEC
27002:2007 passaram a ser largamente disseminadas, ambas com aceitação mundial: a primeira com aspectos de im-
plantação de um Sistema de Gestão de Segurança da Informação (auditoria e cer�ficação). Já a segunda trata-se de um
código de prá�ca recomendável para qualquer �po de organização.
18 Guia de Boas Prá�cas para Gestão de Tecnologia da Informação
5. A ����� ISO 27002:
Código de prá�ca para gestão de segurança da informação.
5.1 Conceitos de Informação e Segurança da Informação:
Abordagem sobre o valor da informação, suas formas de gestão, seu ciclo de vida e proteção CID (Confidencialidade,
Integridade e Disponibilidade).
5.1.1 A�vos: qualquer coisa que tenha valor e importância para a organização inclusive a própria informação que
pode ser usada em processos, como fator de produção ou até como produto final.
Informação como fator de produção: atualmente a informação é tratada como fator de produção assim como capital,
mão-de-obra,matéria-prima, etc. Muitas organizações não exis�riam sem informação e outras têm a informação como
seu por�ólio e até como seu principal “produto”.
Diferença entre dados e informação: informação é o que tem valor para a organização (produto), dados podem
compor a informação (componentes). Informação pode exis�r em diversas formas: impressa ou escrita em papel, armazenada eletro-
nicamente, etc.
Análise da informação: nesta fase deve-se compreender o processo de composição da informação e de como a mesma será “manu-
seada”. Com o resultado desta fase é definida a arquitetura da informação.
Arquitetura da informação: organizar a informação em uma arquitetura que torne fácil e preciso o acesso à informação. O mesmo
conceito aplicado em construções pode ser aplicado a informações, estruturação de dados considerando relações, formatos e cate-
gorias.
Ciclo de vida da informação: fases que representam o ciclo de vida da informação:
a) Manuseio: início do ciclo onde a informação é originada;
b) Armazenamento: onde é efetuada a salvaguarda da informação podendo ser em diversas mídias e disposi�vos;
c) Transporte: momento onde a informação é repassada/encaminhada;
d) Descarte: momento em que a informação é eliminada (deletada).
Sistemas de informação: são todos os componentes necessários dentro do ciclo de vida da informação para fornecer a informação
a uma organização.
Gestão da informação: trata-se da polí�ca de acesso/entrega das informações, entregar informação certa às pessoas certas, no
tempo certo. Deve-se entender as relações entre consumidores e produtores da informação.
5.1.2 Segurança da informação: garan�r que a informação esteja acessível com exclusividade e privacidade somente para as pes-
soas autorizadas. Garan�r aos aspectos de confiabilidade da informação, CID: Confidencialidade acesso somente para pessoas autori-
zadas, Integridade garan�r a salvaguarda e exa�dão da informação e dos meios de processamento, Disponibilidade sempre disponível
e acessível quando necessário.
Como obter segurança da informação: através de controles adequados para garan�r que os obje�vos de negócio e segurança
da organização sejam atendidos. Controles: Polí�cas, Processos, Procedimentos, Estruturas Organizacionais, Funções de Hardware e
Guia de Boas Prá�cas para Gestão de Tecnologia da Informação 19
So�ware. Vale ressaltar que segurança da informação não é somente um processo tecnológico e, sim, um processo de
gestão.
5.2 Ameaças, Vulnerabilidades, Danos e Gestão de Riscos:
Apresentação das definições indispensáveis para que se possa iniciar um processo de análise de risco assim como
demonstrar as ameaças às quais os a�vos estão expostos e quais são as vulnerabilidades dos mesmos e quais os danos
e impactos que tais podem ocasionar.
Definição sobre risco: combinação da probabilidade de um evento e suas conseqüências (Combina�on of the proba-
bility of an event and it consequence) [ISO Guide 73:2002]
Tratamento de risco: processo de tratamento, seleção e implementação das medidas para modificar o risco (Treat-
ment process of selec�on and implementa�on of measures to modify risk) [ISO Guide 73:2002]
Risco residual: risco que permance após o tratamento do risco.
5.2.1 Ameaças: Uma potencial causa de incidente (poten�al cause of an incident, that may result harm to system
of organiza�on) [BS/IEC 13335-1:2004]. Ameaça: todo e qualquer perigo eminente seja natural, hamana, tecnológica,
�sica ou polí�co econômica.
Compreender uma ameaça é o início para o desenvolvimento de uma boa defesa, pois conhecendo o inimigo (ameaça) as estra-
tégias serão eficazes. Exemplos de ameaças: vandalismo, roubo e furto, sabotagem, incêndio, desastres naturais (raios, inundação,
terremotos) falhas tecnológicas, falha humana , acesso não autorizado.
Ameaças à segurança da informação:
Código malicioso (malware): �pos de programas que efetuam ações maliciosas em um computador, alguns �pos:
Vírus, Vermes (worm), So�ware espião (spywares), Cavalo de troia (trojan), Rootkits ( conjunto de programas invasores).
Engenharia Social: ar��cio de persuasão contando, muitas vezes, com a ingenuidade, confiança, vaidade pessoal e/ou profissional,
autoconfiança, busca por novas amizades e propagação de responsabilidades do usuário, para obter acesso não autorizado a sistemas
de informação. Engenharia social compreende a inap�dão dos indivíduos (usuários) de não estarem conscientes do valor da informa-
ção que eles possuem e, portanto, não terem preocupação em proteger essa informação conscientemente. É importante ressaltar
que, na engenharia social, o elemento mais vulnerável de qualquer sistema de segurança da informação é o ser humano, o qual possui
traços comportamentais e psicológicos que o torna susce�vel a ataques de engenharia social.
Cracker: pessoas com conhecimentos em sistemas computacionais (sistemas operacionais, linguagens de programação, redes de
comunicação, internet, etc.) e u�lizam tais conhecimentos para a�vidades ilegais a fim de gerar danos a pessoas, organizações, etc.
Hoax: mensagem eletrônica (e-mail) não solicitada que possui conteúdo alarmante, absurdo e falso, apontado como remetente
grandes ins�tuições, corporações e órgãos governamentais.
Phising: mensagem eletrônica (e-mail) não solicitada falsa que direciona o usuário a uma página fake (falsa) na internet que se passa
por grandes ins�tuições financeiras induzindo os usuários a fornecerem dados pessoais e financeiros.
Backdoor (Porta dos fundos): uma falha de segurança que pode permi�r a invasão de um sistema de informação ou sistema ope-
racional. Crackers podem ul�lizar uma backdoor para instalar códigos mailiciosos para infectar sistemas e computadores ou roubar
informações.
Spam: mensagens eletrônicas (e-mails) não solicitados enviados para uma grande número de pessoas, geralmente com o conteúdo
apela�vo e comercial.
Scan: programa projetado para efetuar varredura em computadores e redes de computadores inden�ficando quais sistemas estão
a�vos e o que esta sendo disponibilizado por eles.
5.2.2 Vulnerabilidades: fragilidade, limitação ou deficiência de um sistema computacional que pode ser explorada por uma ou mais
ameaças, podendo sofrer ações acidentais ou serem exploradas intencionalmente. O grau de exposição pode ser maior ou menor.
5.2.3 Incidentes Danos e Impactos: quando uma ameaça se concre�za e causa um incidente, exemplo: quando compramos uma
solução de an�vírus, estamos preocupados com a ameaça, o vírus. Caso um novo vírus passe pelo sistema de proteção e se propague
20 Guia de Boas Prá�cas para Gestão de Tecnologia da Informação
na rede, ele torna-se ví�ma de um incidente que causará danos e impactos em sistemas de informação, servidores e
serviços da rede que poderão ficar fora do ar.
5.2.4 Gestão de riscos: Apresenta uma metodologia para perceber se as ações e tomadas de decisões que estamos
efetuando são realmente necessárias e se estamos evitando da forma mais eficiente que algo nega�vo ocorra. A gestão
de riscos também oferece ferramentas para verificar se a operação vale o risco associado, definido se con�nuamos re-
alizando aquela a�vidade ou se temos como fazê-la de forma mais segura.
Análise/Avaliação de Riscos: processo que é divido em etapas:
a) definição da situação (contexto): qual a necessidade da operação;
b) iden�ficação do risco: a quais ameaças os a�vos estão expostos;
c) cálculo do risco: qual a probabilidade de ocorrência e quais os danos que podem causar
d) avaliação do risco: consistem em soluções para evitar que a ameaça venha a ocorrerem (se concre�ze), tais ações
devem ser operacionalmente possíveis e ser economicamente viáveis, caso contrário a necessidade geradora do risco
deve ser descartada.
Tratamento dos riscos: a avaliação do risco deve ser sa�sfatória para ser iniciado um processo de tratamento de
risco onde ações serão tomadas para que o risco seja mi�gado (reduzido a um nível aceitável, riscos residuais), evitado
(operação não vale o risco) ou transferido (contratar empresa ou ferramenta que efetue a operação com garan�a e
con�ngência de operações em caso de concre�zação do risco). A a�vidade de avaliação de riscos deve garan�r que quando houver os
riscos residuais, estes devem ser aceitos formalmente (documentação) pela alta gestão da organização principalmente quando uma
necessidade de controle é postergada devido a restrições financeiras.
5.3 Abordagem e Organização:
Apresentação de polí�ca de segurança da informação e organização da informação e quais são seus obje�vos e conteúdo.
Polí�ca de segurança da informação: promover orientação sobre segurança da informação em concordância com os requisitos do
negócio, leis e regulamentações. A polí�ca deve ter a aprovação da alta gestão e deve ser publicado (comunicado) a todos os colabo-
radores, fornecedores e outros que fazem parte do negócio.
Uma polí�ca de segurança da informação deve considerar:
* Comprome�mento da alta direção;
* Explicação das polí�cas, princípios e requisitos;
* Treinamento e conscien�zação de todos dos envolvidos;
* Responsabilidades na gestão da segurança;
* Documentação para formalizar a polí�ca;
5.3.1 A importância da polí�ca de segurança da informação: a PSI tem como obje�vo proteger os a�vos de informação contra qual-
quer �po de ameaça seja elas deliberadas ou acidentais, cer�ficando-se de que:
* Haja o tratamento imediato de qualquer violação as diretrizes da PSI.
* Manutenções periódicas e preven�vas para garan�r os planos de con�nuidade.
* Haja o comprome�mento e responsabilidade de todos os envolvidos.
* Divulgação suficiente de informa�vos para conscien�zação.
* Treinamento para todos os envolvidos.
5.3.2 Hierarquia da polí�ca de segurança da informação: a PSI deve ser estruturada por um conjunto de documentos, distribuídos
pelas camadas: Estratégica: diretrizes e metas, Tá�ca: definem o cumprimento das diretrizes e Operacional: formas de controle;
5.3.3 Código de conduta: conjunto de normas que tem o obje�vo de orientar e disciplinar para que as a�tudes dos colaboradores
seja a esperada pela alta gestão. Deve haver a constante divulgação do código de conduta desde a contratação até o desligamento dos
colaboradores.
5.3.4 Gestão de incidentes: o obje�vo é compreender os incidentes a acumular experiência com a resolução para o futuro. Inciden-
tes deve ser reportados, escalonados funcionalmente ou hierarquicamente. Todo incidente dever passar por um ciclo de vida que é
composto por quatro (04) estágios onde cada um tem um �po de medida associada.
Guia de Boas Prá�cas para Gestão de Tecnologia da Informação 21
Estágio: Ameaça Incidente Dano Recuperação.
medidas: redução/ prevenção detecção/repressão repressão correção.
5.3.4 Agentes da segurança da informação: conforme o tamanho da organização (empresa) devem ser estabelecidos
papéis sobre a responsabilidade da segurança da informação.
Diretor da Informação: responsável pelo estabelecimento da metas de diretrizes da informação;
Gestor da Informação: classificar a informação e deliberar as formas de proteção;
Custodiante: responsável pelo processamento organização e guarda da informação; e
Usuário: aquele que interage com a informação em suas diversas formas.
5.4 Medidas de Segurança:
Apresenta medidas e formas para o tratamento dos riscos, medidas de segurança podem ser de natureza �sica, tec-
nológica, organizacional.
5.4.1 Funções das medidas de segurança:
Redu�vas: reduzir a probabilidade de acontecimento de um incidente, implantação de um an�vírus para reduzir as chances de uma
invasão.
Preven�vas: evitar o risco, eliminar vulnerabilidades, eliminar a a�vidade geradora do risco, porém deve ser considerado se a a�vi-
dade vale o risco, ou seja, se tal a�vidade é realmente importante para o negócio.
Detec�vas: inden�ficar o incidente no momento ou logo após ao seu acontecimento com o intuito de minimizar os danos e colocar
em ação medidas repressivas e/ou corre�vas.
Repressivas: combater o dano causado pelo incidente até a sua eliminação.
Corre�vas: plano de recuperação de desastres tem o propósito de recuperar o ambiente até sua normalização, após a ocorrência
de um incidente.
5.4.2 Tipos de medidas de segurança:
Medidas �sicas: tem o obje�vo de prevenir o acesso �sico não autorizado, danos e interferências com as instalações.
Auten�cação: apesar de ser u�lizado também como um �po de controle lógico trata-se e um controle indispensável para segurança
�sica, exemplo: crachá (�sico), senha de acesso (lógico).
Biometria: medição de parâmetros biológicos para iden�ficar pessoas, impressão digital, geometria da mão, caracterís�cas da íris,
reconhecimento de voz e face.
Polí�ca de mesa limpa: evitar que papéis e outros �pos de mídias fiquem acessíveis e expostos a terceiros, re�rar papéis de impres-
soras imediatamente, bloquear terminais (computadores).
Fornecedor ininterrupto de energia (no-break): garante uma fonte de energia alterna�va através de baterias recarregáveis , no caso
de falha da energia principal falhar (elétrica). É importante salientar que no-breaks possuem autonomia moderada e não podem ser
u�lizados como fonte principal de energia.
Clima�zação: garan�r que os equipamentos estejam acondicionados em um ambiente adequado ao seu perfeito funcionamento.
Equipamentos como servidores, no-breaks, switches, etc., transformam grande parte da energia que recebem em calor e precisam ser
resfriados para sofrerem interrupções e/ou até serem danificados permanentemente.
Interferência: linhas de energia elétrica, linhas de redes de dados e telecomunicações que suportam sistemas de informação devem
receber proteção adequada para evitar interrupções ou até roubo de informações. Medidas como conduites que evitem exposição de
cabos em áreas públicas, segregação de cabos de energia elétrica dos cabos de comunicação (voz/dados), marcações para evitar erros
de manuseio e documentação (ex: as bild), ajudam a garan�r a disponibilidade e integridade dos dados trafegados.
Medidas Tecnológicas: tem o obje�vo de garan�r a segurança das informações em formato eletrônico, afinal, nos dias de hoje, a
22 Guia de Boas Prá�cas para Gestão de Tecnologia da Informação
maior parte das informações das empresas está em formato eletrônico.
Gerenciamento de acesso lógico: representado por uma tríade denominada “Triple A” :
Auten�cação: iden�ficação do ID (iden�dade) de quem solicita o acesso.
Autorização: procura do ID n base de acesso (banco de dados).
Accountability: registro de solicitações de acesso, autorizadas e negadas.
Firewall: disposi�vo de hardware ou so�ware que permite o tráfego entre duas ou mais redes, permi�ndo que a
comunicação seja monitorada, confiável e segura.
Cópia de segurança (back-up): criar cópia das informações para que as mesmas possam ser recuperadas, consideran-
do: nível necessário das cópias, registros das cópias, documentos com procedimentos para recuperação, externação e
freqüência das cópias (completo, incremental e diferencial), tempo de retenção das informações no back-up, armaze-
nar cópias em localidade remota, testar mídias e processos de recuperação regularmente.
Criptografia: u�lizada para embaralhar dados, tornando-os códigos ilegíveis, uma chave (conjunto de bits) embara-
lha (encripta) e, através do conhecimento dela, recuperar a informação no seu formato legível (decriptar).
Cer�ficado digital: são arquivos que iden�ficam a iden�dade de uma en�dade (usuário, servidor, fabricante, etc.,) através de uso
de criptografia assimétrica. O cer�ficado contém informações sobre seu proprietário e a sua chave pública que é parte de uma chave
privada man�da pelo usuário. O cer�ficado digital é composto por: dados do iden�ficado, dados do órgão emissor, data de validade,
assinatura digital do órgão emissor e chave pública do iden�ficado.
Autoridade cer�ficadora: são como cartórios digitais que recolhem através de suas autoridades de registro a documentação das
iden�dades para as quais os cer�ficados serão emi�dos, criando um cer�ficado digital que associa a en�dade a um par de chaves.
Existe uma polí�ca estabelecida para emissão dos cer�ficados igual a dos órgãos que emitem documentos como RG, CPF, etc., e uma
rígida polí�ca de segurança.
Repositório de cer�ficados: são sistemas de diretório baseados em LDAP (diretório) que armazenam e disponibilizam informações
públicas sobre cer�ficados digitais.
Infra-estrutura de chave pública: soma de tecnologias para garan�r segurança (hardware, so�ware e protocolos), distribuição e
gerenciamento de chaves e cer�ficados digitais.
Assinatura digital: aplicações desenvolvidas para iden�ficar os cer�ficados digitais com finalidade de obter proteção e sigilo dos
dados crí�cos. Trata-se de um código (hash) u�lizado para verificar a integridade de uma mensagem e atestar que um determinado
documento foi produzido por quem o emissor da mensagem diz ser. As assinaturas são feitas com a chave privada (codificada) do
emissor e se u�liza a chave pública do receptor para iden�ficar (decodificar).
VPN: u�lizar redes públicas (internet) para implementar redes corpora�vas, VPN são túneis de criptografia entre pontos autorizados
para tranferência de informações de modo seguro entre redes corpora�vas e usuários remotos.
Medidas Organizacionais: as medidas organizacionais visam aumentar o nível de segurança na organização através de aplicação de
Guia de Boas Prá�cas para Gestão de Tecnologia da Informação 23
processos e métodos administra�vos.
Classificação da informação: qualificar informações cri�cas conforme seu nível de importância, qualificar como: Con-
fidencial, Privada, Sensível e Publica. A classificação da informação deve assegurar que a informação receba um nível
adequado de proteção através de sua iden�ficação considerando o seu valor.
Proteção contra códigos maliciosos: visa proteger a integridade do so�ware e da informação através de controles
técnicos e conscien�zação dos usuários sobre uso de so�ware pirata, etc.
Gestão de mudanças: visa programar rigoroso controle de mudanças para sistemas operacionais e aplica�vos, con-
siderando: iden�ficação e registro das mudanças significa�vas, planejamento e testes das mudanças, avaliação dos
impactos, aprovação formal das mudanças, comunicação para todos os envolvidos, procedimentos de recuperação.
Segregação de funções: obje�va a divisão de tarefas e permissões, não havendo a concentração do conhecimento
em uma só pessoa reduzindo assim o risco de dolos, fraudes, roubos, etc., uma vez que seriam necessárias uma, duas
ou mais pessoas em consenso.
Gerenciamento da con�nuidade de negócio: visa a proteção de pessoas e processos crí�cos para o negócio contra
possíveis efeitos, falhas, desastres, etc., assegurando a retomada em tempo hábil e minimizando perdas. O gerencia-
mento de con�nuidade de negócios é composto por planos de con�nuidade de negócios, planos de recuperação de
desastres e planos de administração de crises.
5.5 Legislação e Regulamentação:
Explana os aspectos legais incluídos na segurança da informação, que são relacionados em um seção específica da ISO 27002.
5.5.1 – Conformidade:
Estar de acordo com regras, normas e principalmente legislação evitando a violação de: leis criminais ou civis, Estatutos, Regula-
mentações, Obrigações contratuais, etc.
5.5.2 – Conformidade com requisitos legais:
O obje�vo é impedir a transgressão de qualquer lei criminal ou civil, estatutos, obrigações contratuais e de qualquer condição de
segurança da informação.
Iden�ficação de legislação vigente: manter documentações atuais para cada sistema de informação focando atender os requisitos
estatutários, contratuais, regulatórios da organização.
Direitos de propriedade intelectual: garan�r através de procedimentos e controles conformidade com requisitos legisla�vos, regu-
lamentares e contratuais sobre o uso de material, so�ware, etc.,sobre os quais podem haver direitos de propriedade intelectual.
Proteção de registros organizacionais: proteção de registros e documentação de grande importância para a organização contra
perda, destruição e falsificação.
Proteção de dados e privacidade de informações pessoais: cer�ficar sobre a privacidade e proteção dos dados conforme exigido nas
legislações relevantes, se aplicável nas cláusulas contratuais.
Prevenção de mau uso de recursos de processamento de informação: instruir os usuários a não usar os recursos de processamento
da informação para uso próprio não autorizado.
Conformidade com as polí�cas e normas de segurança da informação: para atender às normas da polí�ca de segurança da infor-
mação, cada gestor deve garan�r que em sua área todos os procedimentos de segurança estejam sendo executados conforme esta-
belecidos.
Verificação da conformidade técnica: verificar periodicamente sistemas de informação se estão em conformidade com as normas
de segurança da informação.
5.5.2 – Legislação sobre crimes de informá�ca.
24 Guia de Boas Prá�cas para Gestão de Tecnologia da Informação
Legislação para prevenir e punir infratores que agem por meios digitais:
Algumas:
Lan houses: Lei 12.228, de 11 de janeiro de 2006, o Estado de São Paulo exige que lan houses mantenham um cadas-
tro com nome, data de nascimento, endereço, telefone e nº documento de iden�dade dos seus usuários.
Pedofilia: Lei federal 11.829, sancionada em 25 de novembro de 2008, pena de reclusão de quatro a oito anos (hoje
pena máxima de 06 anos) para quem produz, reproduz, dirige, fotografa ou registra cenas de sexo explícito ou porno-
grafia envolvendo crianças ou adolescentes.
Fraudes bancárias: enquadradas comumente como estelionato, porém existem projetos para punir fraudes eletrôni-
cas ainda em fase de desenvolvimento e votação.
Regulamentação de segurança para o governo: Como tem a custódia de dados públicos, os governos estão sujeitos
à legislação nacional da segurança da informação e outros regulamentos, como o decreto 4.553, de 2002, que visa
regulamentar: criação de arquivos, gerenciamento e destruição, transferência para arquivo central, transferência entre
governos e acesso aos arquivos.
Regulamentação para informações especiais do governo: no mesmo decreto 4.553, de 2002, há disposições sobre sigilo, tempo de
retenção, classificando a informação:
I - ultra secreto: máximo de cinqüenta (50) anos;
II - secreto: máximo de trinta (30) anos;
III - confidencial: máximo de vinte (20) anos;
IV - reservado: máximo de dez (10) anos;
5.5.3 – Auditoria:
Submeter sistemas de informação a verificações periódicas para garan�r a conformidade com as normas de segurança da infor-
mação implementadas. Auditorias devem ocorrer com o consen�mento dos gestores dos a�vos, devem ser planejadas para que não
interrompam os processos do negócio. Todo e qualquer �po de acesso deve ser registrado e monitorado. O acesso aos registros audi-
tados devem ser efetuados apenas com permissão de leitura para prevenir possibilidade de uso impróprio ou de comprome�mento.
A auditoria deve ser executada por empresa e/ou auditor independente.
R������������ ��������� ��� �������� �� ��������.
Procedimentos e normas para sistema�zar e norma�zar a u�lização dos recursos computacionais para que os usuários (colabo-
radores) possam fazer o uso mais adequado dos mesmos, mantendo a informação com atributos de integridade, confiabilidade e
controle:
Documentação para evitar situações de irregularidades com licenciamento de so�ware:
Empresa: Evik Segurança e Vigilância Ltda.
Gestor de TI: André Hideo.
“Controles como documento da polí�ca de segurança da informação, atribuição de responsabilidades para a segurança da informa-
ção, conscien�zação, educação e treinamento em segurança da informação, processamento correto nas aplicações, gestão de vulne-
rabilidades técnicas, gestão da con�nuidade do negócio, gestão de incidentes de segurança da informação e melhorias”.
Empresa: Grupo Mave Segurança e Serviços.
Gestor de TI: Jefferson J. H. de Oliveira
“Polí�ca de segurança e ajustá-la as regras e procedimentos da organização, e divulgá-la de maneira eficaz, como por exemplo:
termo de responsabilidade assinado pelo colaborador e informa�vos diversos. Um treinamento inicial e após periódico, seria essencial
para melhorar a eficiência e eficácia sobre a polí�ca de segurança interna.
Todos os so�wares tem que ser adquiridos com nota fiscal e licença de uso. Armazenar em local seguro e adequado, se possível
cadastrar os dados no sistema de gestão de T.I”.
Guia de Boas Prá�cas para Gestão de Tecnologia da Informação 25
C����, �������� �� �������� �������� ��� �������� �� ��������:
Procedimentos e normas para sistema�zar e norma�zar a u�lização dos recursos computacionais para que os usuá-
rios (colaboradores) possam fazer o uso mais adequado dos mesmos, mantendo a informação com atributos de integr
idade,confiabilidade e controle:
Documentação para evitar situações de irregularidades com licenciamento de so�ware:
Empresa: Power Vigilância e Segurança Ltda.
Gestor de TI: Celso Sávio.
“Existe um termo de compromisso disponibilizado para o funcionário, que deve ser lido e assinado, no momento de
sua contratação na empresa. Nele é retratada a postura que deve ser incorporada pelo funcionário.
Para realizar as suas atribuições na empresa quando u�lizar os recursos tecnológicos oferecidos por TI.
A Tejofran/Power adquiriu através da fabricante Novell o so�ware para controle de a�vos onde instalamos em cada
computador um agente que sincroniza com o servidor principal, sendo que qualquer alteração feita no computador
instantaneamente é atualizada no gerenciador da matriz. Com isso, fica disponível um relatório na ferramenta em
que apresenta as informações consolidadas de todos os produtos que estão em uso no parque computacional e assim
comparamos com as licenças adquiridas pela Tejofran/Power. Dessa forma, evitamos que haja produtos em uso sem
autorização legal”.
Empresa: GP Guarda Patrimonial de São Paulo Ltda.
Gestor de TI: Anderson Luis Araújo.
“A TI desenvolveu, há quatro anos, uma Polí�ca de Segurança de Tecnologia da Informação aprovada pela diretoria. A mesma
foi divulgada em Intranet. Essas polí�cas contêm regras sobre hardware, so�ware, arquivos, internet, an�vírus, programas piratas,
disposi�vos de armazenamento e email. Há também uma car�lha resumindo toda a polí�ca que é entregue pelo nosso RH a todo
colaborador que terá acesso aos recursos de tecnologia. Nessa car�lha, há um termo de responsabilidade onde o colaborador assina
e compromete-se a cumprir as regras e também submete-se às penalidades em caso de descumprimento das mesmas.
Sanamos todos os problemas de so�wares irregulares com a renovação do parque de desktops, pois compramos em lotes e todos
licenciados. Como o colaborador não tem direito de instalação de qualquer so�ware no desktop, qualquer instalação é analisada pela
TI e controlada por ela”.
Empresa: Empresa Nacional de Segurança.
Gestor de TI: Ricardo Augusto Neves.
“Temos polí�cas e normas de u�lização de recursos de TI implantadas. Além disso, todos os funcionários “Administra�vos” assinam
um termo de responsabilidade no momento da admissão. Este termo menciona as normas e dá diretrizes sobre a u�lização dos recur-
sos, bem como, das conseqüências do “uso indevido” dos mesmos”.
Empresa: Protege S/A Proteção e Transporte de Valores.
Gestor de TI: Alexandre Corrêa.
“Temos nosso procedimento publicado na Intranet: Procedimento Operacional de U�lização da Central de Service Desk, onde
nos itens 6.4 – Matriz de responsabilidade e 6.5 – Nota Importante é claramente especificada a responsabilidade do usuário quanto
à solicitação e u�lização dos recursos, bem como quais problemas podem acarretar para o Grupo Protege a u�lização indevida dos
mesmos.
Possuímos uma área de Asset, que visa a gestão de a�vos (licenças e equipamentos) de TI, adquirimos somente so�wares legais
através do processo de solicitação de compras do Grupo Protege, porém a compra é efe�vada somente após consulta em sistema
sobre disponibilidade pela área de Asset, e mediante aprovação do gestor da área de Tecnologia da Informação e gestor da área soli-
citante.
O controle das licenças, quanto à u�lização e disponibilidade, está vinculado ao processo de instalação e desinstalação de so�wares
que conforme mencionado também no Procedimento Operacional de U�lização da Central de Service Desk, só pode ser realizado
pela área de Tecnologia da Informação. Após instalação/desinstalação, as informações são historiadas e o chamado é encaminhado
para área de Asset atualizar em nosso sistema. Nosso sistema, possui também um so�ware de inventário automa�zado e remoto que
facilita muito a gestão do nosso parque”.
26 Guia de Boas Prá�cas para Gestão de Tecnologia da Informação
Empresa: Iron (Valinhos) Segurança Especializada Ltda.
Gestor de TI: Francisco F. F. Ventura
“U�lizamos normas que são passadas durante o treinamento do colaborador, alem de bloqueios �sicos e virtuais
para manter a integridade dos dados da empresa.
Como bloqueios virtuais temos a u�lização de senha pessoal para acesso a qualquer arquivo e u�lização de internet
da empresa. Temos polí�cas de alteração e criação de senhas que são alteradas bimestralmente, alem de relatórios
sobre u�lização dos recursos da empresa por funcionários”.
Guia de Boas Prá�cas para Gestão de Tecnologia da Informação 27
BIBLIOGRAFIA
DOS SANTOS FREITAS, Marcos André. Fundamentos do Gerenciamento dos Serviços de TI: Preparatório para a cer�-
ficação ITIL V3 Founda�on. 1a ed. Rio de Janeiro: Brasport. 2010. 376 p.
FERRAZ DE ABREU, Vladimir. Implantando a Governança de TI - da Estratégia à Gestão dos Processos e Serviços.
Brasport.
DARYUS CONSULTORIA E TREINAMENTO LTDA. Material didá�co desevolvido para Impacta Tecnologia pela Techno-
Edi�on Editora. 2010.
DARYUS CONSULTORIA E TREINAMENTO LTDA. Material didá�co student brochure (Daryus ISF Student_vlrl). 2010.
28 Guia de Boas Prá�cas para Gestão de Tecnologia da Informação
Guia de Boas Prá�cas para Gestão de Tecnologia da Informação 29
Sindicato das Empresas de Segurança Privada, Segurança Eletrônica, Serviços de Escolta e
Cursos de Formação do Estado de São Paulo
Rua Bernardino Fanganiello, 691 - CEP: 02512-000 - São Paulo - SP
Fone/Fax: (11) 3858-7360
www.sesvesp.com.br - E-mail: [email protected]
30 Guia de Boas Prá�cas para Gestão de Tecnologia da Informação
Você também pode gostar
- Trabalho Experiencia Profissional - Carreira e Sucess0Ainda não há avaliaçõesTrabalho Experiencia Profissional - Carreira e Sucess031 páginas
- Gestão Da Tecnologia Da Informação - Alinhando A Estratégia de TI Aos Objetivos de NegócioAinda não há avaliaçõesGestão Da Tecnologia Da Informação - Alinhando A Estratégia de TI Aos Objetivos de Negócio5 páginas
- Apresentação Simples Básica Elegante e Profissional Preto BrancoAinda não há avaliaçõesApresentação Simples Básica Elegante e Profissional Preto Branco30 páginas
- 02 Gestão Da Tecnologia Da InformaçãoAinda não há avaliações02 Gestão Da Tecnologia Da Informação11 páginas
- 5 Sistemas de Inf de Apoio À GestaoAinda não há avaliações5 Sistemas de Inf de Apoio À Gestao9 páginas
- Ava2 Segurança e Auditoria de SistemasAinda não há avaliaçõesAva2 Segurança e Auditoria de Sistemas5 páginas
- Governança de TI - Aula 1 e 2 - SlidesAinda não há avaliaçõesGovernança de TI - Aula 1 e 2 - Slides29 páginas
- Cap 5 - Conceitos e Introdução Ao Modelo COBIT - RevFinal - 20210212Ainda não há avaliaçõesCap 5 - Conceitos e Introdução Ao Modelo COBIT - RevFinal - 2021021217 páginas
- Proposta de Melhoria em TI para Software Developer85% (13)Proposta de Melhoria em TI para Software Developer36 páginas
- Apresentacao Governanca TI Estilizada 250407 195402Ainda não há avaliaçõesApresentacao Governanca TI Estilizada 250407 1954025 páginas
- Gestao Da Tecnologia Da InformacaoAinda não há avaliaçõesGestao Da Tecnologia Da Informacao11 páginas
- Governança de TI e Desempenho EmpresarialAinda não há avaliaçõesGovernança de TI e Desempenho Empresarial2 páginas
- (Em Portuguese Do Brasil) Rosa Maria de Moura Albertin-Estratégia de Governança de Tecnologia de Informação-CAMPUS - GRUPO ELSEVIER (2010)100% (1)(Em Portuguese Do Brasil) Rosa Maria de Moura Albertin-Estratégia de Governança de Tecnologia de Informação-CAMPUS - GRUPO ELSEVIER (2010)212 páginas
- Gestão e Governança de TI - ResumoAinda não há avaliaçõesGestão e Governança de TI - Resumo40 páginas
- Apostila - Gestão de Tecnologia Da InformaçãoAinda não há avaliaçõesApostila - Gestão de Tecnologia Da Informação8 páginas
- Manual de Segurança de TI para Empresas PDFAinda não há avaliaçõesManual de Segurança de TI para Empresas PDF17 páginas
- Livro Gesta de Servi em Tecno Da Infor 2016 1 20170116144337 20181009113100 PDFAinda não há avaliaçõesLivro Gesta de Servi em Tecno Da Infor 2016 1 20170116144337 20181009113100 PDF169 páginas
- PORTFÓLIO - Valence Edge Technologies ACTUALIZADO20Ainda não há avaliaçõesPORTFÓLIO - Valence Edge Technologies ACTUALIZADO2024 páginas
- Projeto Integrador I: Diagnosticos de Serviços100% (1)Projeto Integrador I: Diagnosticos de Serviços26 páginas
- Introducao A Governanca de TI Aulas 3Ainda não há avaliaçõesIntroducao A Governanca de TI Aulas 316 páginas
- Artesanato+ +a+Arte+de+Resgatar+a+Si+MesmoAinda não há avaliaçõesArtesanato+ +a+Arte+de+Resgatar+a+Si+Mesmo285 páginas
- E-Book - Políticas e Práticas CulturaisAinda não há avaliaçõesE-Book - Políticas e Práticas Culturais208 páginas
- Estratégias de Inovação EmpresarialAinda não há avaliaçõesEstratégias de Inovação Empresarial4 páginas
- Parâmetros Utilizados No Método Dos Lumens - QiSuporteAinda não há avaliaçõesParâmetros Utilizados No Método Dos Lumens - QiSuporte10 páginas
- Roteiro Aula Prática Sistemas OperacionaisAinda não há avaliaçõesRoteiro Aula Prática Sistemas Operacionais9 páginas
- 1 TPG015 PRIMAVERA Deployment CenterAinda não há avaliações1 TPG015 PRIMAVERA Deployment Center1 página
- Certificado Digital de Veículo 2023Ainda não há avaliaçõesCertificado Digital de Veículo 20231 página
- Sala de Recursos Multifuncionais Apostila03Ainda não há avaliaçõesSala de Recursos Multifuncionais Apostila0312 páginas
- Cpet - Atividade de Pesquisa Ii - Orientações Da Atividade (Anna Julia)Ainda não há avaliaçõesCpet - Atividade de Pesquisa Ii - Orientações Da Atividade (Anna Julia)14 páginas
- Desvendando Planilhas Eletrônicas Gráficos e TabelasAinda não há avaliaçõesDesvendando Planilhas Eletrônicas Gráficos e Tabelas23 páginas
- Manual de Ajuste de Elevadores GENIUSAinda não há avaliaçõesManual de Ajuste de Elevadores GENIUS16 páginas
