FACULDADE UNYLEYA

LEANDRO FERREIRA DE O. BEZERRA

REQUISITOS PARA SEGURANA ELETRNICA DE SISTEMAS

CORPORATIVOS ESTRATGICOS

MACAP
2017
 LEANDRO FERREIRA DE O. BEZERRA

REQUISITOS PARA SEGURANA ELETRNICA DE SISTEMAS

CORPORATIVOS ESTRATGICOS

Dissertao apresentada como requisito parcial

obteno de nota para a disciplina PRR-
Segurana Eletrnica e Algoritmos
Criptogrficos.
Orientador: Rbison Gonalves de Castro.

MACAP
2017
 SUMRIO

INTRODUO .................................................................................................................... 1
REQUISITOS PARA SEGURANA CORPORATIVA .................................................................. 2
CONSIDERAES FINAIS .................................................................................................... 5
REFERNCIAS..................................................................................................................... 6
 1

INTRODUO

As organizaes vivem em processos de melhoria contnua, neste sentido os processos

relacionados a auditoria, contribuem para manter este ciclo. Os processos de planejamento,
acompanhamento, controle e avaliao de TI compreendem as etapas necessrias para uma
implementao eficaz de um modelo administrativo cclico que possibilita a implementao de
um planejamento e a correo e melhoria de potenciais desvios do processo.
A aplicao de processos de planejamento e avaliao de TI em ambientes corporativos
dependem, em um primeiro momento, de um planejamento estratgico adequado a realidade do
negcio. O ciclo de vida da TI se tornou um processo virtuoso ao passo que o seu resultante
melhora a cada instante a si prpria e o seu principal fator gerador, o conhecimento. As
ferramentas disponibilizadas pela TI atualmente, permitem essa gerao de conhecimento se
valendo principalmente da automao de processos, do compartilhamento de informaes e da
celeridade deste compartilhamento.
O planejamento guiar os demais passos a serem tomados dentro do negcio no que
tange a segurana.

De um modo geral, o processo se dar aps o planejamento estratgico, com a adoo

de um processo de anlise de riscos, a criao de um sistema de gesto da segurana da
informao, a confeco da poltica de segurana e enfim, o estabelecimento das medidas
prticas de segurana de acordo com todo o planejamento anterior.
O gerenciamento estratgico de tecnologia da informao (TI), objetiva criar um
planejamento claro e adequado a cada organizao, onde sero estabelecidos como sero
utilizados os recursos de informtica para cumprir a misso da empresa.
As aes, atividades e solues providas por recursos computacionais destinadas a
gerao, compartilhamento, anlise, segurana, entrega e por fim deleo de informaes,
devero ser analisadas e estabelecidas em um planejamento estratgico. Tal planejamento deve
ser revisto periodicamente, afim de mant-lo compatvel com as necessidades do negcio.
A melhoria de competitividade das organizaes, na era da informao, depende do
quanto a organizao capaz de lidar com sua prpria gerao de informaes e principalmente
do quanto a organizao resiliente aos problemas externos que possam ameaar seu fluxo de
 2

funcionamento. As ferramentas disponibilizadas pela TI atualmente, permitem gerao de

conhecimento se valendo principalmente da automao de processos, do compartilhamento de
informaes e da celeridade deste compartilhamento, porm, o sucesso da organizao depende
de como o planejamento estratgico destas informaes implementado e principalmente de
como os processos de segurana da informao so estabelecidos e colocados em prtica.

REQUISITOS PARA SEGURANA CORPORATIVA

Atualmente o que vemos no mercado, por parte de pequenas e mdias empresas,

incluindo vrias de grande porte uma quase que total negligencia quanto a adoo a estratgias
de planejamento e segurana relacionados a tecnologia da informao. Sem planejamento,
observamos a adoo sem critrios de ferramentas, softwares, hardwares e demais sistemas,
fazendo com que organizaes se movimentem, evoluam ou regridam de acordo com a
imposio da tecnologia. Nestes ambientes, a governana de TI praticamente inexistente e os
processos de segurana, quando existem, esto alocados de forma superficial e ou sem nenhum
controle sobre as mesmas, em geral existem ilhas de prosperidade, que at trazem alguns
processos de segurana, porm a TI no consegue mensurar esta segurana e garantir que
estes processos so realmente efetivos.

Segundo Moreira (2004), o planejamento d as bases para todas as atividades gerenciais

futuras ao estabelecer linhas de ao que devem ser seguidas para satisfazer objetivos
estabelecidos, bem como estipula o momento em que essas aes devem ocorrer. O plano
estratgico das empresas deve, ainda, vislumbrar a necessidade de ser flexvel s mudanas do
ambiente, as quais podem acontecer constantemente e podem alterar completamente os
objetivos e as restries das atividades empresariais. Outra importante ao a ser tomada pelas
organizaes a reviso peridica e constantes do planejamento, de forma a mant-lo atual as
necessidades organizacionais.

Este pensamento vale tambm para todo o planejamento de segurana da informao,

onde tanto o estabelecimento, quanto as revises so essenciais para manter e garantir que tais
processos so de fatos eficazes. Importante esclarecer que no existe 100% de garantia de
 3

segurana em nenhum processo. Muitas vezes os problemas existiro e os administradores de

TI sabendo de sua existncia tero que conviver com eles, este um exemplo de ambiente que
garante mais segurana do no ambiente onde o desconhecimento do problema est em voga.

Ao processo que possibilita este tipo de reconhecimento, d se o nome de gesto de

riscos. Neste, os analistas responsveis faro um levantamento dos ativos da organizao,
verificando e identificando suas vulnerabilidades de forma a identificar quais ameaas podem
explorar tais vulnerabilidades, aps este levantamento, realizar-se- a quantificao das
probabilidades destas ameaas se concretizarem. De posse destas informaes a gesto
corporativa, poder decidir como tratar o risco identificado, como opes a gesto pode optar
por tratar o risco ou simplesmente aceita-lo.

O processo de aceitar o risco, no de forma alguma uma negligencia quando a

instituio identifica as consequncias e as probabilidades e decide pela aceitao por questes
tcnicas, falta de alinhamento com o negcio ou pelo custo de tratamento ser muito superior ao
possvel dano. Nestes casos perfeitamente plausvel essa aceitabilidade, basta, porm que a
deciso seja tomada com dados realmente confiveis e com total cincia das consequncias.

O tratamento de riscos, se dar quando, um possvel dano causado possa interromper as

operaes de negcio, quando a imagem da empresa estiver em jogo, quando vidas humanas
depender estiverem envolvidas neste processo e sempre que a sobrevivncia no negcio
depender destes processos.

Outra alternativa de tratamento de riscos a transferncia dos mesmos, como a

contratao de seguros ou a contratao de servios de terceiros para a gesto de eventos de
segurana.

Empresas que possuem qualquer tipo de regulao externa ao seu funcionamento deve
estar atenta a tais regulamentos e realizar os processos de segurana da informao de forma
compatvel, de tal forma que possa manter seu status ou funcionamento normal.

No que tange a gesto de segurana da informao ressalta-se a importncia deste

planejamento estar alinhado com os objetivos do negcio. Este alinhamento crucial para o
sucesso do planejamento, das atividades de TI e da organizao. Sendo de extrema importncia
avaliar que mesmo em organizaes focadas em TI, onde geralmente o objeto de lucro para a
organizao depende mais diretamente dos setores de tecnologia o fluxo de negcio tende a ser
 4

complexo, envolvendo diversas reas, onde a maioria no tem objetivo direto relacionado a
entrega tecnolgica. Esta dinmica tende a ser mais visvel e de fcil compreenso em
organizaes onde TI setor meio para entrega dos servios e objetos de lucro para
organizaes.

Todos os processos de planejamentos devem resultar em documentos que defina a

direo futura dos recursos de TI, a gesto dos riscos e as polticas de segurana refletindo
padres e procedimentos de recursos de informao como um todo e oferecendo orientao
para todos os setores da organizao. A poltica de segurana o documento com grande
aplicabilidade prtica, nele constar todas diretivas, normas e procedimentos que todos na
organizao devero ser conhecedores e seguidores.

Voltando ao plano estratgico, podemos identifica-lo tambm como o ponto de partida

para qualquer investimento em tecnologia, identificando as mudanas futuras que devero
constar dos planos e oramentos do departamento de tecnologia da informao. Destacando
novamente que as organizaes e seus funcionamentos so dinmicos e em constante evoluo
e, portanto, existe enorme necessidade de constantes atualizaes deste documento, de forma a
mant-lo adequado as necessidades organizacionais.

Nesta seara, sem a adoo de um planejamento adequado, os grandes investimentos em

tecnologia, no se traduzem, necessariamente, em reais benefcios para a empresa. Sendo ento
necessrio que exista integrao entre os sistemas de informao para o alcance dos objetivos
estratgicos da empresa, de forma que gerem avanos e que estes possam ser compartilhados
entre todos os setores da organizao, dando visibilidade aos membros corporativos sobre a
prpria organizao, seus processos e principalmente sua rea de tecnologia.

As organizaes esto diante de constantes mudanas que exigem uma nova postura
frente situao para garantir sua sobrevivncia. A tendncia de que formas mais dinmicas
de gesto empresarial sejam adotadas pelos gestores na conduo dos negcios.

Dentro desse panorama e obedecendo os planos estratgicos, a tecnologia da informao

pode tornar-se um importante ativo, proporcionando vantagem competitiva principalmente
quando relacionada a aplicaes estratgicas. As novas tecnologias de informao dispem de
grande capacidade de auxiliar na consecuo desses objetivos, podendo tornar-se, em alguns
casos, o principal fator determinante do sucesso da empresa.
 5

Seguindo esse foco o que realmente agrega valores aos processos dos negcios a
estratgia da informao. necessrio que a tecnologia seja usada com a funo de ligar as
vrias partes que compem qualquer empresa, fazendo com que as mesmas se tornem mais
produtivas por meio da flexibilidade adquirida com o uso das novas tecnologias de informao.

evidente que todos os processos envolvendo tecnologia e informao possuem altos

custos e quanto aos investimentos e despesas neste processo, cabe destacar, conforme
Graeml (2000, p.33). As despesas esto normalmente associadas a gastos recorrentes com
benefcios imediatos e de vida curta. J os investimentos so gastos menos frequentes, cujos
benefcios esto usualmente associados estratgia da empresa e no ocorrem to rapidamente.

Neste sentido as organizaes devem tomar decises de despesas e investimentos

envolvendo TI preocupando-se mais com os investimentos que alcanam necessidades e
benefcios a longo prazo, sem ignorar os custos rotineiros que tendem a trazer resultados a
trazer resultados mais imediatos.

CONSIDERAES FINAIS

Apesar de muitas vezes ser negligenciada, a adoo de um planejamento adequado

uma realidade de negcio de extrema importncia, pois possibilita que a organizao repense
seus processos e critrios e adeque os recursos de tecnologia existentes s necessidades e
prioridades do negcio. Esse planejamento, quando feito de forma alinhada ao negcio,
possibilita o crescimento competitivo da organizao e o investimento em aes que tragam
benefcios de forma mais global, evitando as chamadas ilhas de prosperidade, que muitas
vezes denotam ser qualidades, mas que no trazem de fato, o sucesso esperado para a
organizao e permitem, com o estabelecimento criterioso dos mtodos de segurana, a garantia
de continuidade do negcio.
 6

REFERNCIAS

ESCOLA SUPERIOR DE REDES. Planejamento e Gesto estratgica de TI. Disponvel em:

< http://www.diegomacedo.com.br/ebook-planejamento-e-gestao-estrategica-de-ti/>. Acesso
em: 06 de mar. 2017.

KOWASK, E. Governana de TI Gesto de Riscos de TI NBR 27005. ESCOLA

SUPERIOR DE REDES. 2011.

PAIVA, Mrio Antnio Lobato de. Primeiras linhas em Direito Eletrnico. Revista Jus
Navigandi, Teresina, ano 8, n. 61, 1 jan. 2003. Disponvel em:
<https://jus.com.br/artigos/3575>. Acesso em: 7 fev. 2017.