Mapeamento de Processos de Negócios na Área de Segurança da Informação

Indaial 2020 MapeaMento de processos de negócios na Área de segurança da inforMação Profa Simone Erbs da Costa 1a Edição Copyright UNIASSELVI 2020 Elaboração Profa Simone Erbs da Costa Revisão Diagramação e Produção Centro Universitário Leonardo da Vinci UNIASSELVI Ficha catalográfica elaborada na fonte pela Biblioteca Dante Alighieri UNIASSELVI Indaial Impresso por C837m Costa Simone Erbs da Mapeamento de processos de negócios na área de segurança da informação Simone Erbs da Costa Indaial UNIASSELVI 2020 278 p il ISBN 9786556633411 ISBN Digital 9786556633374 1 Processos de negócios Brasil 2 Segurança da informação Brasil II Centro Universitário Leonardo da Vinci CDD 004 apresentação Caro acadêmico estamos iniciando o estudo da disciplina de Mapeamento de Processos de Negócios na Área de Segurança da Informação Esta disciplina objetiva conscientizar a importância de se ter o mapeamento de processos de negócios voltados para a segurança da informação Este livro didático conta com diversos recursos didáticos externos portanto recomendamos que você realize todos os exemplos e exercícios para um aproveitamento excepcional da disciplina Para uma melhor compreensão sobre o conteúdo distribuímos nosso estudo em três unidades Na Unidade 1 trataremos os fundamentos de processos de negócios A primeira etapa do projeto é determinar o processo de negócios Embora possa parecer uma tarefa simples para alguns analistas pode se tornar muito complicada dependendo do tamanho da organização Portanto para um projeto bemsucedido o uso de tecnologias apropriadas como mapear o processo AS IS e aplicar a tecnologia TO BE para melhorias é essencial São temas que abordaremos na nossa unidade 1 Além disso a documentação adequada e o uso de padrões bem conhecidos como as notações podem identificar e usar os processos que serão vistos na Unidade 2 Por fim na Unidade 3 trataremos do processo de negócio aplicado em segurança da informação Aproveitamos para destacar a importância de desenvolver as autoatividades lembrando que estas atividades não são opcionais elas objetivam a fixação dos conceitos apresentados Em caso de dúvida na realização das atividades sugerimos que entre em contato com a equipe da tutoria da UNIASSELVI para que possam auxiliálo sanando todas as dúvidas Bons estudos e sucesso na sua trajetória acadêmica e profissional Profa Simone Erbs da Costa Você já me conhece das outras disciplinas Não É calouro Enfim tanto para você que está chegando agora à UNIASSELVI quanto para você que já é veterano há novidades em nosso material Na Educação a Distância o livro impresso entregue a todos os acadêmicos desde 2005 é o material base da disciplina A partir de 2017 nossos livros estão de visual novo com um formato mais prático que cabe na bolsa e facilita a leitura O conteúdo continua na íntegra mas a estrutura interna foi aperfeiçoada com nova diagramação no texto aproveitando ao máximo o espaço da página o que também contribui para diminuir a extração de árvores para produção de folhas de papel por exemplo Assim a UNIASSELVI preocupandose com o impacto de nossas ações sobre o ambiente apresenta também este livro no formato digital Assim você acadêmico tem a possibilidade de estudálo com versatilidade nas telas do celular tablet ou computador Eu mesmo UNI ganhei um novo layout você me verá frequentemente e surgirei para apresentar dicas de vídeos e outras fontes de conhecimento que complementam o assunto em questão Todos esses ajustes foram pensados a partir de relatos que recebemos nas pesquisas institucionais sobre os materiais impressos para que você nossa maior prioridade possa continuar seus estudos com um material de qualidade Aproveito o momento para convidálo para um batepapo sobre o Exame Nacional de Desempenho de Estudantes ENADE Bons estudos NOTA Olá acadêmico Você já ouviu falar sobre o ENADE Se ainda não ouviu falar nada sobre o ENADE agora você receberá algumas informações sobre o tema Vamos lá Qual é o significado da expressão ENADE EXAME NACIONAL DE DESEMPENHO DOS ESTUDANTES Em algum momento de sua vida acadêmica você precisará fazer a prova ENADE Que prova é essa É obrigatória organizada pelo INEP Instituto Nacional de Estudos e Pesquisas Educacionais Anísio Teixeira Quem determina que esta prova é obrigatória é o MEC Ministério da Educação O objetivo do MEC com esta prova é de avaliar seu desempenho acadêmico assim como a qualidade do seu curso Fique atento Quem não participa da prova fica impedido de se formar e não pode retirar o diploma de conclusão do curso até regularizar sua situação junto ao MEC Não se preocupe porque a partir de hoje nós estaremos auxiliando você nesta caminhada Você receberá outros informativos como este complementando as orientações e esclarecendo suas dúvidas Você tem uma trilha de aprendizado do ENADE receberá emails SMS seu tutor e os profissionais do polo também estarão orientados Participar de webconferências entre outras tantas atividades para que esteja preparado para mandar bem na prova ENADE Nós aqui no NEAD e também a equipe no polo estamos com você para vencermos esse desafio Conte sempre com a gente para juntos mandarmos bem no ENADE Olá acadêmico Iniciamos agora mais uma disciplina e com ela um novo conhecimento Com o objetivo de enriquecer seu conhecimento construímos além do livro que está em suas mãos uma rica trilha de aprendizagem por meio dela você terá contato com o vídeo da disciplina o objeto de aprendizagem materiais complementares entre outros todos pensados e construídos na intenção de auxiliar seu crescimento Acesse o QR Code que levará ao AVA e veja as novidades que preparamos para seu estudo Conte conosco estaremos juntos nesta caminhada LEMBRETE suMÁrio UNIDADE 1 FUNDAMENTOS DE PROCESSO DE NEGÓCIO 1 TÓPICO 1 CONCEITOS FUNDAMENTAIS 3 1 INTRODUÇÃO 3 2 PROCESSO E NEGÓCIO 3 3 EVOLUÇÃO DO CONCEITO DE PROCESSO 6 31 EVOLUÇÃO DO ENTENDIMENTO DE PROCESSOS DE UMA ORGANIZAÇÃO 8 4 CICLO DE VIDA DE UM PROCESSO 12 RESUMO DO TÓPICO 123 AUTOATIVIDADE 25 TÓPICO 2 IDENTIFICAÇÃO DO PROBLEMA 27 1 INTRODUÇÃO 27 2 O MAPEAMENTO DO PROJETO AS IS COMO O PROJETO ESTÁ NO MOMENTO 27 3 O MAPEAMENTO DO PROJETO TO BE COMO O PROJETO VAI SER 34 RESUMO DO TÓPICO 240 AUTOATIVIDADE 43 TÓPICO 3 RESPONSÁVEIS PELOS PROCESSOS E OUTRAS CONSIDERAÇÕES 47 1 INTRODUÇÃO 47 2 RESPONSÁVEIS PELOS PROCESSOS 47 3 MODELAGEM DE GOVERNANÇA DE PROCESSOS 50 4 MODELAGEM DA GESTÃO DE PESSOAS 54 5 DOCUMENTAÇÃO DO PROCESSO 62 6 MAPEAMENTO DE PROCESSOS COMO FAZER A COLETA DE DADOS 64 LEITURA COMPLEMENTAR 66 RESUMO DO TÓPICO 372 AUTOATIVIDADE 76 UNIDADE 2 NOTAÇÃO 77 TÓPICO 1 MODELANDO PROCESSOS DE NEGÓCIOS 79 1 INTRODUÇÃO 79 2 NOTAÇÃO PARA PROCESSO DE NEGÓCIO 80 3 DIAGRAMA DE PROCESSO DE NEGÓCIO Business Process Diagram BPD 86 4 ELEMENTOS BÁSICOS DA NOTAÇÃO 87 41 LISTA DE ELEMENTOS ESSENCIAIS DE MODELAGEM DESCRITOS NA NOTAÇÃO 94 RESUMO DO TÓPICO 197 AUTOATIVIDADE 100 TÓPICO 2 CONHECENDO MELHOR A NOTAÇÃO BPMN 103 1 INTRODUÇÃO 103 2 MODELANDO PROCESSOS DE EVENTOS MAIS COMPLEXOS 103 21 EVENTOS DE INÍCIO 105 22 EVENTOS INTERMEDIÁRIOS 107 23 EVENTOS DE FIM 109 3 PROCESSO DE NEGÓCIO SUBPROCESSOS TAREFAS E DEMAIS 110 31 TOKEN E CICLO DE VIDA DA ATIVIDADE 114 32 MODELANDO PONTOS DE DECISÕES COM GATEWAYS COMPORTA DE DECIÇÃO 115 RESUMO DO TÓPICO 2123 AUTOATIVIDADE 128 TÓPICO 3 AINDA MAIS SOBRE BPMN 131 1 INTRODUÇÃO 131 2 PERSPECTIVAS E MENSAGENS 132 21 MENSAGENS 134 3 FERRAMENTAS PARA DESENHO DE PROCESSOS 137 LEITURA COMPLEMENTAR 149 RESUMO DO TÓPICO 3156 AUTOATIVIDADE 158 UNIDADE 3 PROCESSO DE NEGÓCIO E SEGURANÇA DA INFORMAÇÃO 161 TÓPICO 1 SEGURANÇA DA INFORMAÇÃO SOB A ÓTICA DA GESTÃO POR PROCESSO 163 INTRODUÇÃO 163 2 A SEGURANÇA DA INFORMAÇÃO POR MEIO DOS PROCESOS DE NEGÓCIO 164 3 PROCESSO DE NEGÓCIO APLICADO À SEGURANÇA DA INFORMAÇÃO 175 31 MAPEAMENTO ASIS DO PROCESSO DE LIBERAÇÃO DE ENDEREÇO IP PÚBLICO 176 32 MAPEAMENTO TOBE DO PROCESSO DE LIBERAÇÃO DE ENDEREÇO IP PÚBLICO 178 RESUMO DO TÓPICO 1183 AUTOATIVIDADE 187 TÓPICO 2 PROCESSOS DE NEGÓCIO DA SEGURANÇA DA INFORMAÇÃO 189 1 INTRODUÇÃO 189 2 PLANEJAMENTO ORGANIZAÇÃO E ALINHAMENTO POA 189 21 POA01 PLANEJAMENTO ESTRATÉGICO DA SEGURANÇA DA INFORMAÇÃO 190 22 POA02 POLÍTICA DE SEGURANÇA DA INFORMAÇÃO 191 23 POA03 ORGANIZAÇÃO INTERNA 192 24 POA04 ORGANIZAÇÃO COM AS PARTES EXTERNAS 193 25 POA05 GESTÃO DE RISCO 193 3 SEGURANÇA ORGANIZACIONAL ORG 195 31 ORG01 RESPONSABILIDADE PELOS ATIVOS 195 32 ORG02 CLASSIFICAÇÃO DA INFORMAÇÃO 195 33 ORG03 SEGURANÇA EM RECURSOS HUMANOS 196 34 ORG04 PROCEDIMENTOS E RESPONSABILIDADES OPERACIONAIS 197 35 ORG05 TROCA DE INFORMAÇÕES 198 36 ORG06 REQUISITOS DE NEGÓCIO PARA CONTROLE DE ACESSO 198 37 ORG07 RESPONSABILIDADE DOS USUÁRIOS 199 38 ORG08 REQUISITOS DE SEGURANÇA DE SISTEMAS DE INFORMAÇÃO 199 4 SEGURANÇA FÍSICA FIS 200 41 FIS01 ÁREAS SEGURAS 200 42 FIS02 SEGURANÇA EM EQUIPAMENTOS 201 5 SEGURANÇA TÉCNICA TEC 201 51 TEC01 GERENCIAMENTO DE SERVIÇOS DE TERCEIROS 202 52 TEC02 PLANEJAMENTO E ACEITAÇÃO DOS SISTEMAS 203 53 TEC03 PROTEÇÃO CONTRA CÓDIGOS MALICIOSOS E CÓDIGOS MÓVEIS 203 54 TEC04 CÓPIAS DE SEGURANÇA 204 55 TEC05 GERENCIAMENTO DA SEGURANÇA EM REDES 204 56 TEC06 MANUSEIO DE MÍDIAS 205 57 TEC07 SERVIÇOS DE COMÉRCIO ELETRÔNICO 205 58 TEC08 GERENCIAMENTO DE ACESSO DO USUÁRIO 206 59 TEC09 CONTROLE DE ACESSO À REDE 207 510 TEC10 CONTROLE DE ACESSO AO SISTEMA OPERACIONAL 207 511 TEC11 CONTROLE DE ACESO À APLICAÇÃO E À INFORMAÇÃO 208 512 TEC12 COMPUTAÇÃO MÓVEL E TRABALHO REMOTO209 513 TEC13 PROCESSAMENTO CORRETO NAS APLICAÇÕES 209 514 TEC14 CONTROLES CRIPTOGRÁFICOS 210 515 TEC15 SEGURANÇA NOS ARQUIVOS DE SISTEMA 210 516 TEC16 SEGURANÇA EM PROCESSOS DE DESENVOLVIMENTO E DE SUPORTE 211 517 TEC17 GESTÃO DE VULNERABILIDADES TÉCNICAS 212 6 GES GESTÃO DA SEGURANÇA 212 61 GES01 NOTIFICAÇÃO DE FRAGILIDADES E EVENTOS DE SEGURANÇA DA INFORMAÇÃO 212 62 GES02 GESTÃO DE INCIDENTES DE SEGURANÇA DA INFORMAÇÃO E MELHORIAS 213 63 GES03 MONITORAMENTO DE ATIVIDADES 214 64 GES04 ASPECTOS DA GESTÃO DA CONTINUIDADE DE NEGÓCIOS EM SEGURANÇA 214 65 GES05 CONFORMIDADE COM REQUISITOS LEGAIS 215 66 GES06 CONFORMIDADE COM NORMAS POLÍTICAS DE SEGURANÇA DA INFORMAÇÃO E CONFORMIDADE TÉCNICA 216 67 GES07 CONSIDERAÇÕES QUANTO À AUDITORIA DE SISTEMAS DE INFORMAÇÃO 217 RESUMO DO TÓPICO 2218 AUTOATIVIDADE 224 TÓPICO 3 MODELO DE MATURIDADE DOS PROCESSOS DE NEGÓCIO DA SEGURANÇA DA INFORMAÇÃO 227 1 INTRODUÇÃO 227 2 PLANEJAMENTO ORGANIZAÇÃO E ALINHAMENTO POA 228 3 ORG SEGURANÇA ORGANIZACIONAL 234 4 FIS SEGURANÇA FÍSICA 241 5 TEC SEGURANÇA TÉCNICA 243 6 GES GESTÃO DA SEGURANÇA 260 LEITURA COMPLEMENTAR 267 RESUMO DO TÓPICO 3273 AUTOATIVIDADE 275 REFERÊNCIAS 277 1 UNIDADE 1 FUNDAMENTOS DE PROCESSO DE NEGÓCIO OBJETIVOS DE APRENDIZAGEM PLANO DE ESTUDOS A partir do estudo desta unidade você deverá ser capaz de compreender os conceitos fundamentais relacionados aos processos de negócio identificar a evolução histórica dos processos distinguir qual é o ciclo de vida de um processo compreender a modelagem de projeto As Is compreender a modelagem de projeto To be identificar as principais atividades da equipe responsável pela modelagem reconhecer quais são os principais atores envolvidos na modelagem de processos Esta unidade está dividida em três tópicos No decorrer da unidade você encontrará autoatividades com o objetivo de reforçar o conteúdo apresentado TÓPICO 1 CONCEITOS FUNDAMENTAIS TÓPICO 2 IDENTIFICAÇÃO DO PROBLEMA TÓPICO 3 RESPONSÁVEIS PELOS PROCESSOS E OUTRAS CONSIDERAÇÕES Preparado para ampliar seus conhecimentos Respire e vamos em frente Procure um ambiente que facilite a concentração assim absorverá melhor as informações CHAMADA 2 3 TÓPICO 1 UNIDADE 1 CONCEITOS FUNDAMENTAIS 1 INTRODUÇÃO Independente do projeto um dos primeiros passos é identificarmos os processos de negócio Essa é uma tarefa que alguns analistas consideram simples e fácil contudo ela pode se tornar complexa dependendo do tamanho da empresa portanto precisamos primeiramente entender alguns conceitos fundamentais e relevantes para que depois possamos conhecer técnicas adequadas para mapearmos a situação atual e futura Afinal o que é um processo Um processo de negócio pode ser definido como um conjunto de atividades ou de tarefas estruturadas e relacionadas tendo como objetivo prover um produto ou serviço específico Como consequência esse produto ou serviço específico poderá ser fornecido para um único cliente ou um conjunto de clientes 2 PROCESSO E NEGÓCIO Cavalcanti 2017 p 23 coloca que De modo mais simples podese dizer que processos são sequências de atividades que transformam insumos em produtos sejam estes bens ou serviços Já um processo de negócios é o mesmo que um processo mas com uma diferença a saber a ênfase na palavra negócios Um processo de negócios é uma coleção de tarefas e atividades operações e ações de negócios que consistem em funcionários materiais máquinas sistemas e métodos que estão sendo estruturados de maneira a projetar criar e entregar um produto ou serviço para o consumidor Processos de negócio são portanto atividades previamente estabelecidas cujo objetivo é determinar como o trabalho será realizado em uma organização CAVALCANTI 2017 p 23 Como tal um processo de negócios pode ser entendido da seguinte maneira É um espaço reservado para a ação área de processo Uma ação está ocorrendo grupo de processos Uma tarefa de negócios está ocorrendo processos de negócios O local da tarefa comercial na sequência etapa do processo UNIDADE 1 FUNDAMENTOS DE PROCESSO DE NEGÓCIO 4 Se tudo que acontece dentro de uma organização pode ser considerado um processo Cavalcanti 2017 questiona por que permeia a dúvida de as organizações trabalharem por meio DE processos ou POR processos O UNI IMPORTANTE traz a resposta desta pergunta GESTÃO DE PROCESSO OU POR PROCESSOS FONTE Adaptado de Cavalcanti 2017 p 27 IMPORTANTE É o ato de gerenciar os processos existentes na organização Significa que existem processos mapeados sendo monitorados mantidos sob controle e que estão funcionando conforme planejado Gestão DE Processos É uma filosofia de gerenciamento aplicável à organização na qual se procura ver a organização de forma global por meio do interrelacionamento das áreas Os processos interagem e a gestão monitora essa interação como um todo garantindo a satisfação do cliente Gestão POR Processos Os processos de negócios são frequentemente ilustrados por diferentes diagramas legíveis por exemplo por meio do uso de diagramas de Notação de Modelagem de Processos de Negócios A Notação de Modelagem de Processos de Negócios Business Process Model Notation BPMN é uma representação de modelagem visual gráfica padronizada usada para ilustrar os fluxos de processos de negócios Ela fornece uma notação de fluxograma fácil de usar e independente do ambiente de implementação Os processos de negócios são usados para ilustrar documentar e moldar a maneira como uma organização realiza suas operações de negócios em todos os níveis organizacionais ou seja nos níveis de negócios estratégicos táticos e operacionais Uma única falha oriunda de um processo pode inviabilizar ou comprometer os processos subsequentes fazendo com que a empresa não possa oferecer seus serviços os seus produtos adequadamente para seus clientes assim como comprometendo a continuidade dos negócios SCHEEL et al 2015 Para que exista continuidade dos negócios e que os objetivos da organização sejam atingidos as suas atividades precisam ser planejadas executadas e controladas Para que possamos controlar adequadamente os processos é importante que existam indicadores de desempenho de processos que possibilitem seu monitoramento TÓPICO 1 CONCEITOS FUNDAMENTAIS 5 O Control Objectives for Information and Related Technology COBIT 2019 passa a ter seis princípios do sistema de governança e três princípios referentes ao framework de segurança da informação Queremos destacar para você acadêmico a visão holística e sistêmica incorporada na versão atual integrando pessoas tecnologias e processos conforme esquematizada na Figura 1 que criamos para você FIGURA 1 INTEGRAÇÃO DE PESSOAS TECNOLOGIAS E PROCESSOS FONTE A autora Processo Pessoas Tecnologia Frustação Alienação Caos informatizado Desejado Na Figura 1 é possível perceber que o ponto ideal é ter processos pessoas e tecnologia Nesse sentido Barcellos 2019 sp grifo do autor coloca que Trabalhando com o conceito de segurança da informação é possível diminuir perdas criando barreiras com Processos Tecnologia e Pessoas para proteger o maior ativo de uma empresa hoje depois dos profissionais a informação Se a organização estiver voltada apenas para os processos e tecnologia sem pensar nas pessoas gera uma alienação ou seja as organizações passam a ter alienação e rotatividade bem como os sistemas são subutilizados Contudo apenas em processos e pessoas sem fazer uso da tecnologia gera frustração e ineficiência bem como um alto custo da operação Além disso pessoas e tecnologias sem se preocupar com os processos a empresa tem um caos informatizado ou seja confusão e baixa qualidade de atendimento ao cliente Por fim o que as organizações precisam é que suas políticas de segurança estejam fundamentais tanto nas pessoas como nas tecnologias e em seus processos Agora vamos analisar a evolução do conceito de processo UNIDADE 1 FUNDAMENTOS DE PROCESSO DE NEGÓCIO 6 3 EVOLUÇÃO DO CONCEITO DE PROCESSO A primeira fase do desenvolvimento histórico dos processos pode ser mais bem compreendida por algumas das figuraschave que são amplamente consideradas pioneiras tanto na academia quanto nos negócios Elas são as bases para os estudos de processo futuros e atuais A segunda fase da evolução histórica dos fluxos de processos no entanto incorpora um uso muito mais extenso do envolvimento humano e conta a história da interação humana em torno de processos fluxos de processos tarefas e atividades bem como a necessária aplicação e consumo de recursos associados à realização de cada uma dessas tarefas e atividades SHELL et al 2015 Na terceira fase podemos ver arquiteturas importantes como da Toyota o modelo Architecture of Integrated Information System ARIS que abordamos um pouco mais no subtópico 3 deste tópico o Six Sigma que abordaremos a seguir e entre outros Por último temos a quarta fase abordando Business Process Management BPM e Business Process Management Notation BPMN A evolução histórica do conceito de processo aqui descrita pode ser acompanhada pela Figura 2 FIGURA 2 EVOLUÇÃO HISTÓRICA DO CONCEITO DE PROCESSO AO LONGO DO TEMPO FONTE Adaptada de Rosing et al 2015 Toda empresa quer melhorar a maneira como faz os negócios produzir coisas com mais eficiência e obter maiores lucros As organizações sem fins lucrativos também se preocupam com a eficiência produtividade e com o alcance das metas que estabelecem para si mesmas Todo gerente entende que alcançar esses objetivos faz parte de seu trabalho Considere o gerenciamento da indústria TÓPICO 1 CONCEITOS FUNDAMENTAIS 7 automobilística Henry Ford conceituou o desenvolvimento de um automóvel como um processo único projetou e sequenciou cada atividade no processo para garantir que tudo funcionasse de maneira suave e eficiente Claramente Henry Ford havia pensado profundamente na maneira como os carros eram montados em suas fábricas anteriores e tinha uma ideia muito clara de como ele poderia melhorar o processo HARMON 2019 De acordo com Harmon 2019 ao organizar o processo como ele fez Henry Ford conseguiu reduzir significativamente o preço da construção de automóveis Como resultado ele foi capaz de vender carros por um preço tão modesto que possibilitou a todo americano de classe média possuir um carro Ao mesmo tempo como resultado direto do aumento da produtividade do processo de montagem Ford conseguiu pagar a seus funcionários mais do que qualquer outro trabalhador de montagem de automóveis Em alguns anos a nova abordagem da Ford revolucionou a indústria automobilística e logo levou a mudanças em quase todos os outros processos de fabricação O sucesso da Ford é um ótimo exemplo do poder da inovação e da melhoria de processos para revolucionar a economia de uma indústria Outros exemplos podem ser extraídos do início da Revolução Industrial ou dos primeiros anos dos computadores quando os mainframes revolucionaram o processo de censo nos Estados Unidos e começaram a mudar a maneira como as empresas gerenciavam seus processos de contabilidade e folha de pagamento O ponto principal no entanto é que a análise dos processos de negócios e sua melhoria para aumentar a eficiência e a produtividade das empresas é uma responsabilidade perene da administração É claro que os gerentes têm outras responsabilidades mas um dos mais importantes exige que eles examinem constantemente os processos pelos quais suas empresas produzem produtos e serviços Além disso é necessário que eles sejam atualizados visando à eficiência e a eficácia HARMON 2019 As empresas precisam que seus processos funcionem adequadamente para que possam comercializar ou produzir seus serviços ou produtos portanto as organizações por meio de seus processos conseguem realizar transformações e agregarem valor Desse modo para que as empresas obtenham êxito em suas tarefasatividades é fundamental que os processos estejam bem definidos entendidos e também gerenciados Os processos de negócios consistem em tarefas e atividades do núcleo que estão conectadas entre si e são categorizadas e agrupadas Os processos de negócios de alto nível ocorrem em um contexto muito mais abstrato pois geralmente são utilizados para ilustrar como uma empresa realiza muitos conjuntos diferentes de operações UNIDADE 1 FUNDAMENTOS DE PROCESSO DE NEGÓCIO 8 Todo o departamento de segurança e uma grande corporação por exemplo pode ser descrito como um grupo de processos embora dependa inteiramente da estrutura do processo de cada organização Um processo de negócios também pode consistir em atividades secundárias dentro do próprio processo de negócios e nesse caso essas atividades secundárias são chamadas subprocessos SCHEEL et al 2015 É necessário visualizar primeiro os processos em geral ou seja aqueles que são capturados no mapa do processo pois um processo de negócios pode desencadear muitas tarefas e subprocessos mas também iniciar outros processos Dessa forma você costuma ver uma conexão entre os diferentes processos Basicamente os processos de agregação de valor e processos sem agregação de valor envolvida na manutenção de um cliente SCHEEL et al 2015 31 EVOLUÇÃO DO ENTENDIMENTO DE PROCESSOS DE UMA ORGANIZAÇÃO A maioria dos esforços de processos de negócios focava na reformulação ou melhoria de processos de negócios específicos Na década de 2010 no entanto as organizações líderes perceberam que não podem alcançar os resultados desejados modificando processos específicos isoladamente A única maneira de obter vantagem competitiva significativa é garantir que todos os processos que compõem uma cadeia de valor comum sejam integrados e se apoiem Além disso à medida que as organizações se tornam mais internacionais elas se concentram em garantir que executem processos dela em cada país ou região em que operam Essas ideias levaram as organizações a começar a se concentrar nas preocupações dos processos em toda a organização HARMON 2019 Em essência as organizações deixaram de tentar melhorar processos específicos para conceituar toda a organização como um sistema de processos em interação e trabalhar para maximizar a eficácia de todo o sistema Depois que os executivos passam a se preocupar com processos específicos para se preocupar com todos os processos da organização naturalmente desejam um modelo de negócios que mostre como todos os processos da organização se encaixam um conjunto de medidas de processos em toda a empresa que mostram como os processos suportam estratégias de negócios metas principais iniciativas de negócios modelos que mostram todos os processos e subprocessos estão alinhados para atingir os objetivos da organização HARMON 2019 Qualquer pessoa que se envolva na análise de todas as atividades do processo em uma organização precisa de uma visão geral para poder acompanhar todas as diferentes preocupações do processo Por isso vamos dar um panorama da evolução dos processos de negócios vivido pelas organizações Acompanhe TÓPICO 1 CONCEITOS FUNDAMENTAIS 9 Os gerentes vêm pensando em mudanças nos processos de negócios há várias décadas Algumas organizações são mais sofisticadas na compreensão dos processos de negócios do que outras As organizações de software por exemplo passaram bastante tempo pensando no processo de desenvolvimento de software Nos anos 1990 o Departamento de Defesa DoD financiou um grande esforço para determinar como o processo de desenvolvimento de software poderia ser aprimorado Essa tarefa foi confiada ao Instituto de Engenharia de Software Software Engineering of Institute SEI localizado na Universidade Carnegie Mellon HARMON 2019 Os esforços do SEI e DoD resultaram em um modelo dos estágios pelos quais as organizações de software passam no entendimento e gerenciamento dos processos O modelo do SEI é conhecido como Capability Maturity Model CMM Foi descrito inicialmente em um livro O modelo de maturidade de capacidade diretrizes para melhorar o processo de software publicado em 1995 Em essência a equipe do CMM definiu cinco estágios pelos quais as organizações passam de uma compreensão imatura para uma maturidade dos processos de negócios HARMON 2019 Esses estágios foram definidos usando exemplos de organizações de software mas eles se aplicam igualmente a qualquer organização grande Embora o modelo de maturidade de capacitação Capability Maturity Model CMM seja mais comumente aplicado a grandes organizações ele também pode servir como um excelente modelo de referência para empresas de pequeno e médio porte HARMON 2019 Acadêmico lembrese de que o ponto principal desses modelos de referência é ajudar a organização a entender como está atualmente e ajudála a chegar aonde ela deseja ir Ninguém está sugerindo que todas as empresas tentem seguir o modelo da mesma maneira A principal suposição que a equipe do CMM faz é que as organizações imaturas não têm desempenho consistente As organizações maduras por outro lado produzem produtos ou serviços de qualidade de maneira eficaz e consistente Segundo Harmon 2019 em uma organização madura os gerentes monitoram a qualidade dos produtos de software e os processos que os produzem Existe uma base quantitativa e objetiva para julgar a qualidade do produto e analisar problemas com o produto e o processo Os cronogramas e orçamentos são baseados no desempenho histórico e são realistas os resultados esperados para custo cronograma funcionalidade e qualidade do produto são geralmente alcançados Em geral a organização madura segue um processo disciplinado de forma consistente porque todos os participantes entendem o valor de fazêlo e a infraestrutura necessária existe para dar suporte ao processo HARMON 2019 De acordo com Harmon 2019 o CMM identificou cinco níveis ou etapas que descrevem como as organizações geralmente evoluem de organizações imaturas para organizações maduras Os passos estão ilustrados na Figura 3 e descritos no Quadro 1 UNIDADE 1 FUNDAMENTOS DE PROCESSO DE NEGÓCIO 10 FIGURA 3 ESTÁGIOS DO CAPABILITY MATURITY MODEL INTEGRATION CMMI FONTE Silva 2020 sp Otimização Quantitativamente Gerenciado Definido Inicial Gerenciado Foco Contínuo na Melhoria dos Processos Processos são medidos e controlado Processos são caracterizados para Organização e são proativos Processos são caracterizados por Projetos e as ações são frequentemente reativas Processos são Imprevisíveis pouco controlados e rativos QUADRO 1 ESTÁGIOS E SUAS DESCRIÇÕES NÍVEL DESCRIÇÃO Nível 1 Inicial Initial O processo é caracterizado por um conjunto de atividades ad hoc O processo não está definido e o sucesso depende do esforço individual e da heroicidade Nível 2 repetível Repeatable Nesse nível processos básicos de gerenciamento de projetos são estabelecidos para rastrear custos agendar e definir funcionalidades A disciplina está disponível para repetir sucessos anteriores em projetos semelhantes Nível 3 definido Defined O processo está documentado para as atividades de gerenciamento e engenharia e os padrões são definidos Todos os projetos usam uma versão aprovada e personalizada da abordagem padrão da organização para desenvolver e manter o software Nível 4 gerenciado Managed Medidas detalhadas do processo do software e da qualidade do produto são coletadas O processo e os produtos de software são quantitativamente entendidos e controlados Nível 5 otimizando Optimizing A melhoria contínua do processo é possibilitada pelo feedback quantitativo do processo e pela pilotagem de ideias e tecnologias inovadoras FONTE Adaptado de Harmon 2019 TÓPICO 1 CONCEITOS FUNDAMENTAIS 11 A abordagem do CMM está muito no espírito do movimento de Gerenciamento da Qualidade Total que era popular em engenharia e fabricação no final dos anos 1980 A versão mais recente do CMM é denominada Capability Maturity Model Integration CMMI Cada organização pode receber um nível de maturidade A maioria das organizações de software estudadas pela SEI estava no Nível 2 ou 3 Na verdade elas tinham processos mas na maioria dos casos não estavam tão bem definidas quanto poderiam ser Seus sistemas de gerenciamento não estavam bem alinhados e não estavam em posição de melhorar rotineiramente seus processos HARMON 2019 Atualmente algumas organizações estão focadas na reformulação de processos específicos de nível departamental e apenas começando a mudar para uma arquitetura de processos mais abrangente Harmon 2019 coloca que as empresas líderes hoje no entanto estão focadas em passar do Nível 4 para o Nível 5 Eles criaram arquiteturas abrangentes de processos de negócios que descrevem como todos os processos se encaixam Nível 3 e em seguida passaram a criar sistemas de gerenciamento que medem o desempenho do processo e designar gerentes específicos com responsabilidades para garantir que os processos tenham o desempenho necessário nível 4 Segundo Harmon 2019 as melhores organizações têm sistemas de gerenciamento integrados que acionam automaticamente os esforços de melhoria de processos sempre que há uma falha no alcance das metas de processo direcionadas Nível 5 Infelizmente existem muitos tipos diferentes de problemas de alteração de processos de negócios Eles variam de acordo com o nível de preocupação da organização com o setor e a natureza da mudança ambiental que precisa ser acomodada Algumas mudanças são realizadas para fornecer aos executivos as ferramentas necessárias para gerenciar uma organização centrada no processo Outras mudanças requerem apenas melhorias modestas nos processos existentes Outros ainda exigem o redesenho completo de um processo existente ou a criação de um novo processo Alguns focam nas mudanças no desempenho das pessoas enquanto outros envolvem o uso de aplicativos de software para automatizar um processo Em alguns casos um aplicativo de software pode ser adquirido e em outros casos deve ser desenvolvido e adaptado às suas necessidades específicas Em poucas palavras existem muitas maneiras diferentes de melhorar ou reprojetar os processos de negócios HARMON 2019 Um dos problemas com o campo do processo de negócios é que muitos autores e fornecedores usam os mesmos termos de maneiras diferentes Neste livro usaremos certo termos muito precisos e para evitar confusão colocamos nas UNI DICAS no decorrer da leitura Reserve um tempo e estude cada uma delas Cabe destacar a importância e o valor dos processos de negócio Verifique o UNI IMPORTANTE que preparamos a seguir UNIDADE 1 FUNDAMENTOS DE PROCESSO DE NEGÓCIO 12 FONTE Adaptado de Cavalcanti 2017 p 25 Processos refletem a missão a visão e os valores da organização São os processos da organização que produzem os seus resultados São preciosos ativos da organização e portanto devem ser tratados e cuidados como tal Permitem uma visão holística na geração de um produto ou serviço Os processos possuem foco no cliente e não na área ou no chefe IMPORTANTE 4 CICLO DE VIDA DE UM PROCESSO Harmon 2019 chama a atenção que a ênfase de hoje nos sistemas também surgiu do trabalho contemporâneo em biologia e ciências sociais Ao mesmo tempo muitos teóricos da administração contribuíram para a perspectiva dos sistemas Pensase em escritores anteriores como Ludwig von Bertalanffy Stafford Beer e Jay W Forrester e teóricos mais recentes em administração como John D Sterman e Peter M Senge HARMON 2019 Podemos dizer que a perspectiva dos sistemas enfatiza que tudo está interligado a tudo e que geralmente vale a pena modelar negócios e processos em termos de fluxos e ciclos de feedback Nesta perspectiva ilustramos na Figura 4 um diagrama de sistemas simples TÓPICO 1 CONCEITOS FUNDAMENTAIS 13 FIGURA 4 DIAGRAMA SILMPLES PARA MODELAR NEGÓCIOS E PROCESSOS FONTE A autora Podemos dizer que processo é tudo aquilo que passa por uma transformação tendo início meio e fim inclusive as atividades diárias como ir ao trabalho ir à aula e chegar no horário Um processo é uma sequência de atividades que segue um determinado cronograma e envolve recursos tendo uma finalidade preestabelecida e específica De forma resumida e usual o processo é representado pelo trio visto na Figura 5 entradas transformação saída e mais a realimentação por meio do qual elementos são transformados informações em um serviço prestado e insumos em um produto acabado Para que os processos organizacionais estejam alinhados com a estratégia da organização podemos fazer uso do ciclo de gerenciamento de processos de negócio objetivando assim atender tanto às expectativas do cliente como às suas necessidades Isso possibilita que agreguemos o valor ao negócio Para tal é necessário que os processos sejam revistos continuamente Mas como podemos fazer isso acadêmico Podemos utilizar o ciclo permanente também conhecido como o ciclo de Business Process Management BPM Esses ciclos envolvem as fases de planejamento análise desenho implementação monitoramento controle e refinamento UNIDADE 1 FUNDAMENTOS DE PROCESSO DE NEGÓCIO 14 O termo BPM para se referir aos esforços de automação de processos é usado para se referir ao fato de que uma vez que os processos são automatizados a execução diária do processo pode ser gerenciada por meio de ferramentas de software Os executivos de negócios no entanto costumam usar o termo BPM em um sentido mais genérico para se referir aos esforços por parte dos executivos de negócios para organizar e melhorar o gerenciamento humano dos processos de negócios No nível corporativo o BPM também é usado para se referir ao desenvolvimento e manutenção de uma arquitetura de processos de negócios Usaremos o termo BPM em seu sentido mais genérico para nos referirmos à forma como os gerentes de negócios organizam e controlam os processos HARMON 2019 Quando desejarmos usálo no sentido mais especializado para nos referir a notação usaremos o termo Business Process Management Notation BPMN DICAS A Figura 5 mostra o ciclo atuando na melhoria contínua de processos visando à agregação de valor para o cliente FIGURA 5 CICLO DE VIDA NA MELHORIA CONTÍNUA DE PROCESSOS FONTE A autora TÓPICO 1 CONCEITOS FUNDAMENTAIS 15 Melhoria de processo referese a mudanças específicas relativamente menores que são feitas em um processo de negócios existente Todo gerente responsável por um processo deve sempre considerar melhorias no processo Além disso ocasionalmente são necessários esforços especiais de melhoria de processo para manter todos focados na melhoria de um processo específico O Six Sigma é um bom exemplo de uma abordagem popular para a melhoria de processos HARMON 2019 DICAS A visão de um ciclo de vida do processo não é nova Na literatura encontramos alguns tipos de ciclos como a de um ciclo de vida do processo contendo sete estágios individuais Análise Design Construir Desenvolver Implementar Operar ManterMelhoria Contínua SCHERUHN ROSING FALLON 2015 No entanto vamos ver o ciclo de vida do processo que traz uma mudança de paradigma no objetivo de produzir um padrão abrangente e verdadeiramente aberto que incluem interfaces para outras estruturas métodos e abordagens como Control Objectives for Information and related Technology COBIT Information Technology Infrastructure Library ITIL The Open Group Architecture Framework TOGAF etc The Open Group Architecture Framework TOGAF é um framework de arquitetura corporativa que fornece uma abordagem de maneira global que envolve o designer planejar implementar e a parte de governança de uma arquitetura corporativa A imagem a seguir ilustra a natureza cíclica do processo e o ciclo de vida da aplicação DICAS UNIDADE 1 FUNDAMENTOS DE PROCESSO DE NEGÓCIO 16 CICLO DE VIDA DO PROCESSO LEADING LEAD FONTE Scheruhn Rosing e Fallon 2015 sp Analisar ou Descobrir Analyze O objetivo da análise de processos é detectar o conhecimento implícito que existe na organização sobre os processos existentes ou no estado em que se encontram para organizar e representar esse conhecimento Assim a fase de análise e a documentação são as primeiras etapas para fornecer uma descoberta completa dos processos de negócios existentes seguidos de perto pela captura decomposição e documentação de todos os objetos propriedades e relacionamentos de informações relacionadas relevantes Este procedimento é conhecido como análise de processos de negócios Business Process Analysis BPA SCHERUHN ROSING FALLON 2015 Acima de tudo os processos juntamente com as estruturas de negócios dinâmicas e estáticas relacionadas devem finalmente apoiar e executar os objetivos estratégicos de negócios e os fatores críticos de sucesso da organização Portanto esses aspectos estratégicos fazem parte da direção do negócio valorizando as expectativas e os negócios que devem ser considerados na análise e design organizacional dos objetos de informações estratégicas associadas e seus relacionamentos com os processos SCHERUHN ROSING FALLON 2015 TÓPICO 1 CONCEITOS FUNDAMENTAIS 17 A conexão entre esses objetos e os processos deve ser identificável e verificável Essa conexão ocorre apenas por meio de cada um dos membros dos conjuntos integrados e holísticos bem como das habilidades relacionadas que combinadas permitem que a empresa atue em seu ambiente Essas competências são importantes na execução da análise estruturada de um processo pois fornecem o contexto para julgar os critérios de otimização a ser usado ao projetar um processo seja centrado na maximização de valor ou na minimização de custos SCHERUHN ROSING FALLON 2015 Portanto é fundamental distinguir em um estágio inicial entre competências competitivas essenciais diferenciadas e não essenciais e portanto os processos relacionados As principais competências competitivas e todos os processos relacionados são essenciais para uma empresa competir e as principais competências diferenciadoras e todos os processos relacionados são aqueles que diferenciam o negócio de seus clientes Nos dois casos os processos envolvidos são as tarefas que criam valor enquanto qualquer coisa que não seja essencial mas que deve ser feita pelo menor custo possível SCHERUHN ROSING FALLON 2015 Para uma análise correta e completa de um processo de negócios todos os objetos de informações relevantes e seus relacionamentos entre si devem ser identificados e documentados Isso inclui a consideração de valor e fluxo de processos de negócios competência de negócios serviço e fluxo de dados Além dos fluxos dinâmicos as estruturas estáticas hierárquicas anexas valor competência serviço processo aplicativo e dados também devem ser consideradas No caso de qualquer uma delas o especialista em processo ou o engenheiro de processo deve fazer uma decomposição e análise completa do processo de negócios SCHERUHN ROSING FALLON 2015 O processo manual de análise decomposição e documentação de processos de negócios de uma execução anterior bemsucedida de um ciclo de vida do processo assumindo maturidade do processo maior que 3 ou padronizada também pode ser auxiliado usando ferramentas como Systems Applications and Products in Data Processing SAP Reverse Business Engineering e SAP Solution Manager ou Architecture of Integrated Information System ARIS Process Performance Management SCHERUHN ROSING FALLON 2015 Observe a Figura 6 que trouxemos a Arquitetura Integrada de Sistemas de Informação O conceito do Modelo ARIS no qual se pode perceber um envolvimento muito mais amplo e profundo da Tecnologia da Informação com a incorporação de processos nos negócios e nas organizações por meio de fronteiras geográficas e diferenças culturais UNIDADE 1 FUNDAMENTOS DE PROCESSO DE NEGÓCIO 18 FIGURA 6 MODELO ARIS ADAPTAÇÃO 1 FONTE Adaptada de Rosing et al 2015 O modelo de exibição ARIS que apresentamos na Figura 7 é o fundamento de acordo com Figura 7 na qual podemos ver que no topo temos a visão da organização e sustentando esta visão temos a exibição de dados a visão de controle que fica ao centro da base e se relaciona com a exibição de dados e com a visão funcional que fica no extremo direito da esquerda para direita FIGURA 7 MODELO ARIS ADAPTAÇÃO 2 FONTE Adaptada de Rosing et al 2015 Conceito de processamento de dados Conceito Implementação Conceito de processamento de dados Conceito Implementação Conceito de processamento de dados Conceito Implementação Conceito de processamento de dados Conceito Implementação VISÃO DA ORGANIZAÇÃO VISÃO DE CONTROLE VISÃO FUNCIONAL EXIBIÇÃO DE DADOS TÓPICO 1 CONCEITOS FUNDAMENTAIS 19 No entanto algumas ferramentas fornecem apenas parte das informações necessárias sobre o estado dos processos e os relacionamentos entre os objetos relevantes Essas ferramentas são ainda menos bemsucedidas na determinação de fluxos de processos com regras de negócios bem como estruturas e hierarquias estáticas necessárias para obter um entendimento completo de seu design e propriedades que levam a designs incompletos e geralmente não funcionam conforme necessário SCHERUHN ROSING FALLON 2015 Projeto Design Nessa fase o novo fluxo de processos de negócios e as estruturas de processos de negócios status futuro são projetados Dessa forma dependendo do escopo do projeto o trabalho de design pode envolver qualquer coisa desde alterar o fluxo completo do processo até adicionar eou excluir processos de negócios ou pequenas alterações no comportamento básico Segundo Scheruhn Rosing e Fallon 2015 um intervalo semelhante do escopo da mudança pode ocorrer com os objetos de informação e as estruturas dinâmicas e estáticas relacionadas contidas em cada um dos processos de negócios Isso é relevante porque o modelo de informações deve ser criado ao longo dos fluxos de processo de ponta a ponta Portanto o resultado produto gerado dessa fase é a composição bemsucedida do novo projeto futuro capturado em um modelo O design ou reprojeto do processo referese a um grande esforço empreendido para melhorar significativamente um processo existente ou criar um novo processo de negócios O redesenho do processo considera todos os aspectos de um processo e geralmente resulta em alterações na sequência em que o processo é realizado nos trabalhos dos funcionários e na introdução da automação Reengenharia de processos de negócios Transformação de negócios a metodologia BPTrends Process Redesign e a metodologia SupplyChain Operations Reference SCOR do Supply Chain Council são bons exemplos de abordagens populares para o redesenho de processos HARMON 2019 DICAS Construir Build A fase de construção do processo está relacionada à aplicação dos futuros modelos definida na fase de design do processo incluindo todas as estruturas dinâmicas e estáticas relacionadas para criar o sistema operacional manual ou automatizado Em uma situação puramente manual as fases de construção são tratadas por meio do design do trabalho treinamento e preparação da documentação SCHERUHN ROSING FALLON 2015 UNIDADE 1 FUNDAMENTOS DE PROCESSO DE NEGÓCIO 20 Em uma construção de ambiente automatizada a atividade pode incluir programação configuração ou outro trabalho no software que executa ou habilita o trabalho Obviamente em muitos casos os dois tipos de trabalho serão necessários e devem ser coordenados para concluir a construção para alcançar os resultados exigidos pelas novas operações Dependendo do tamanho e do escopo da construção orientada por software e da qualidade dos modelos de processo produzido previamente pode ser usado o chamado design controlado por modelo No entanto modelos e métodos de processo mais abrangentes são necessários ao implantar serviços corporativos e de repouso da web do que na implementação ou personalização de software padrão corporativo SCHERUHN ROSING FALLON 2015 A automação de processos referese ao uso de computadores e aplicativos de software para auxiliar os funcionários ou substituir funcionários no desempenho de um processo de negócios O uso de ferramentas BPMS sistemas de fluxo de trabalho ou linguagens de processos de negócios eXtensible Markup Language XML são maneiras de automatizar o gerenciamento de processos ou atividades Metodologias de desenvolvimento de software como o Unified Process da Rational Software ou a Model Driven Architecture do Object Management Group são outros exemplos de abordagens populares para automação de processos HARMON 2019 DICAS As necessidades dos analistas de negócios que produziram a especificação dos futuros negócios e os desenvolvedores de aplicativos técnicos que implementam o sistema nem sempre são os mesmos O desafio e os problemas associados à produção de um sistema combinado de trabalho bemsucedido que implemente totalmente os futuros modelos devem portanto estar na colaboração entre os membros desses dois grupos SCHERUHN ROSING FALLON 2015 Parte do problema é encontrar equilíbrio entre as partes do trabalho que devem ser feitas pela máquina e as que são melhores executadas pelos seres humanos e a melhor forma de estabelecer a interface entre as duas geralmente os problemas estão relacionados a questões de precisão que com Business Process Management BPM e processos de negócios automatizados podem levar a uma implementação que não atende exatamente aos requisitos de negócios Quando considerado no total o resultado é a descrição de um sistema de trabalho no qual o trabalho humano é ativado de forma eficiente e eficaz pelas funções e capacidades dos aplicativos SCHERUHN ROSING FALLON 2015 TÓPICO 1 CONCEITOS FUNDAMENTAIS 21 Muitas vezes tentativas de solução para esse problema tentam usar diagramas UML Contudo elas são mais adequadas para designers técnicos e menos para analistas de negócios e sofrem com o fato de não capturarem as informações necessárias para fornecer uma solução completa para esse problema ImplantarImplementar DeployImplement Essa é a fase em que processos baseados nos futuros modelos são efetivados para serem utilizados pelos negócios Os modelos de processo e os modelos de informação neles podem ser uma base para teste e podem ser usados para oferecer um alto nível de suporte durante a fase de implementação SCHERUHN ROSING FALLON 2015 ExecutarManter Monitoramento RunMaintain Essa fase está relacionada à operação bemsucedida dos processos de negócios e seus facilitadores em um ambiente de produção Durante esta fase esforços devem ser feitos para proteger o processo para garantir que suas operações permaneçam consistentes com os objetivos do projeto Sem supervisão o processo pode ser subutilizado ou modificado de maneira que desnecessariamente aumentam o custo ou reduzem o valor Para Scheruhn Rosing e Fallon 2015 essa é a principal tarefa da fase de monitoramento de processos que é a fase final e finalmente é a entrada para a fase de análise na próxima iteração do ciclo Já a fase de análise se preocupa em determinar possíveis fraquezas das estruturas dinâmicas e estáticas dos processos de negócios e suas interrelações a fase de monitoramento se preocupa apenas com um aspecto medição dos indicadores de desempenho do processo Process Performance Indicator PPI juntamente com tempo custo e qualidade para verificar o status do processo O Process Performance Indicator PPI é o indicador de desempenho de processos elaborado com base em métricas de processos PPI reflete o estado atual de desempenho de processos em tempo custo capacidade e qualidade em comparação às metas estabelecidas para o processo HEFLO 2020 sp DICAS O monitoramento de atividades de negócios descreve a capacidade de produzir indicadores de desempenho em tempo real para avaliar a velocidade e a eficácia das operações de negócios UNIDADE 1 FUNDAMENTOS DE PROCESSO DE NEGÓCIO 22 Melhoria contínua Continuous improvement Uma vez que os novos processos de negócios estejam operacionais é necessário um trabalho contínuo para verificar se os objetivos pretendidos foram alcançados por meio de um esforço contínuo para aprender e aprimorar o design do processo e atingindo os seus objetivos de design Esses esforços podem buscar mudanças evolutivas ou podem envolver mudanças inovadoras no design SCHERUHN ROSING FALLON 2015 A melhoria contínua é um aspecto essencial do BPM pelo qual o feedback do processo e do cliente é avaliado em relação aos objetivos do projeto 23 Neste tópico você aprendeu que Independentemente do projeto um dos primeiros passos é identificar os processos de negócio Um processo de negócio pode ser definido como um conjunto de atividades ou de tarefas estruturadas relacionadas tendo como objetivo prover um produto ou serviço específico O produto ou serviço específico poderá ser fornecido para um único cliente ou um conjunto de clientes Os processos de negócios consistem em tarefas e atividades do núcleo que estão conectadas entre si e são categorizadas e agrupadas As empresas precisam que seus processos funcionem adequadamente para que possam comercializar ou produzir seus serviços ou produtos A Notação de Modelagem de Processos de Negócios Business Process Model Notation BPMN é uma representação de modelagem visual gráfica padronizada usada para ilustrar os fluxos de processos de negócios A BPMN fornece uma notação de fluxograma fácil de usar e independente do ambiente de implementação Os processos de negócios são usados para ilustrar documentar e moldar a maneira como uma organização realiza suas operações de negócios em todos os níveis organizacionais ou seja nos níveis de negócios estratégicos táticos e operacionais Para que existam continuidades dos negócios e que os objetivos da organização sejam atingidos as suas atividades precisam ser planejadas executadas e controladas Podemos utilizar ciclos permanentes também conhecido como o ciclo de Business Process Management BPM Esses ciclos envolvem as fases de planejamento análise desenho implementação monitoramento controle e refinamento O objetivo da análise de processos é detectar o conhecimento implícito que existe na organização sobre processos existentes ou no estado em que se encontram e disponibilizar esse conhecimento em um modelo no estado atual para organizar e representar esse conhecimento RESUMO DO TÓPICO 1 24 A fase de análise e a documentação são as primeiras etapas para fornecer uma descoberta completa dos processos de negócios existentes seguidos de perto pela captura decomposição e documentação de todos os objetos propriedades e relacionamentos de informações relacionadas relevantes As principais competências competitivas e todos os processos relacionados são essenciais para uma empresa competir Decomposição é o procedimento pelo qual os objetos são divididos em suas formas mais simples O resultado de várias iterações bemsucedidas do ciclo de descobertaanálise é o modelo completo como está A fase do projeto se refere ao novo fluxo de processos de negócios e as estruturas de processos de negócios status futuro são projetados A fase de construção do processo está relacionada à aplicação dos futuros modelos definida na fase de design do processo incluindo todas as estruturas dinâmicas e estáticas relacionadas para criar o sistema operacional manual ou automatizado A fase de implantarimplementar os processos baseados nos futuros modelos é efetivada para ser utilizada pelos negócios A fase de executarmanter está relacionada à operação bemsucedida dos processos de negócios e seus facilitadores em um ambiente de produção O PPI é o indicador de desempenho de processos elaborado com base em métricas de processos PPI reflete o estado atual de desempenho de processos em tempo custo capacidade e qualidade em comparação às metas estabelecidas para o processo HEFLO 2020 sp O monitoramento de atividades de negócios é para descrever a capacidade de produzir indicadores de desempenho em tempo real para avaliar a velocidade e a eficácia das operações de negócios A fase de executarmanter muitas vezes é considerada a principal tarefa da fase de monitoramento de processos que é a fase final e finalmente é a entrada para a fase de análise na próxima iteração do ciclo A melhoria contínua é um aspecto essencial do BPM pelo qual o feedback do processo e do cliente é avaliado em relação aos objetivos do projeto 25 1 Um processo de negócio pode ser definido como um conjunto de atividades ou de tarefas estruturadas relacionadas tendo como objetivo prover um produto ou serviço específico Como consequência esse produto ou serviço específico poderá ser fornecido para um único cliente ou um conjunto de clientes O que é um processo de negócio a É um conjunto de atividadestarefas estruturadas relacionadas cujo objetivo é de produzir um serviço ou produto específico b É uma única atividade relacionada com software c É um diagrama que também é chamado de BPMN d É um conceito exclusivo da engenharia de software 2 O termo BPM para se referir aos esforços de automação de processos É usado para se referir ao fato de que uma vez que os processos são automatizados a execução diária do processo pode ser gerenciada por meio de ferramentas de software Os executivos de negócios no entanto costumam usar o termo BPM em um sentido mais genérico para se referir aos esforços por parte dos executivos de negócios para organizar e melhorar o gerenciamento humano dos processos de negócios Como o BPM é utilizado no nível corporativo a Para medir o desempenho de processos elaborado com base em métricas de processos b Para perceber um envolvimento muito mais amplo e profundo da tecnologia da informação com a incorporação de processos nos negócios e nas organizações por meio de fronteiras geográficas e diferenças culturais c Para se referir ao desenvolvimento e manutenção de uma arquitetura de processos de negócios d Para fornecer uma abordagem de maneira global que envolve o designer planejar implementar e a parte de governança de uma arquitetura corporativa 3 O executor do processo vai utilizar ferramentas e técnicas específicas para transformar as entradas em saídas ou seja o resultado do processo Assinale a alternativa que completa de forma correta a frase Nos processos há sempre algum tipo de transformação ou seja as são transformadas em AUTOATIVIDADE 26 a saídas entradas b entradas saídas c técnicas documentos d necessidades ferramentas 4 O mapeamento se refere a esmiuçar um processo já existente compreender toda a sua lógica e contexto obter informações não somente sobre as entradas e as saídas esperadas mas também sobre as ferramentas e as técnicas a serem utilizadas bem como saber o como ou seja como deve ser o passo a passo do executor enquanto a modelagem se refere a um novo processo não existente É importante garantir que tudo no processo seja sempre adequado para que as saídas sejam a contento Todavia como saber como deve ser um processo Há duas formas previstas no gerenciamento de processos analise as sentenças a seguir classificando com V as sentenças verdadeiras e com F as sentenças falsas Mapeamento de processos Planejamento e execução de processos Ferramentas e técnicas de processos Modelagem de processos Assinale a alternativa com a sequência CORRETA a V V F F b V F V F c F V V F d V F F V 5 O mapeamento de um processo se refere a realizar um mapa do processo O gerenciamento do processo engloba seu mapeamento mas não se limita a isso inclui seu planejamento e monitoramento Estabelecer as suas entradas ferramentas as técnicas e as saídas é correto mas o mapeamento não se limita a tais elementos deve descrever como onde quando etc o processo é executado Marque a alternativa CORRETA sobre mapeamento do processo a O mapeamento de processos se dá pelo levantamento de informações com colaboradores e envolvidos com o objetivo de documentar atividades e desenhar modelos que facilitem a compreensão o entendimento do negócio b O mapeamento de processos ocorre ao estabelecer as suas entradas as ferramentas as técnicas e as saídas c O mapeamento de processos é utilizado apenas para identificar quem é seu executor d O mapeamento de processos se refere ao documentar as entradas e saídas de um processo 27 TÓPICO 2 UNIDADE 1 IDENTIFICAÇÃO DO PROBLEMA 1 INTRODUÇÃO A identificação do problema está atrelada aos responsáveis pelas atividades do processo portanto iremos abordar o tema conjuntamente Para que possamos identificar o problema temos que realizar o mapeamento do processo e não existe forma de fazer o mapeamento sem primeiro nos atentarmos de que o procedimento precisa ser desenvolvido de forma geral em duas grandes etapas Mapeamento do projeto AS IS como o projeto está no momento Mapeamento do projeto TO BE como o projeto vai ser Pense no mapeamento do projeto da situação atual como um diagnóstico Veyrat 2016a sp coloca que será muito difícil pensar em melhorias dado que estas estarão baseadas exatamente nas eventuais falhas erros deficiências gargalos e outras características do processo no presente que se pretende melhorar no futuro Já referente ao mapeamento de processo TO BE Veyrat 2016a sp faz indignações muito pertinentes Como fazer o mapeamento de processos TO BE mais à frente sem ter as corretas conclusões sobre o processo AS IS retratando a realidade atual da empresa portanto acadêmico nosso objetivo a partir daqui é falar sobre esses dois mapeamentos 2 O MAPEAMENTO DO PROJETO AS IS COMO O PROJETO ESTÁ NO MOMENTO Primeiramente não devemos confundir diagrama de processos com o mapa de processos e modelagem de processos Segundo Veyrat 2016a sp Cada um desses elementos tem funções e trata informações diferentes Podemos até dizer que envolvem uma gradação na profundidade dessas informações Acadêmico resumimos essas definições no UNI IMPORTANTE Verifique 28 UNIDADE 1 FUNDAMENTOS DE PROCESSO DE NEGÓCIO IMPORTANTE Diagrama de processos É a representação mais inicial e simplificada do processo a ser modelado apenas com as atividades colocadas em ordem Mapa de processos É o segundo passo rumo ao modelo de processos em que se incluem também os atores os resultados os eventos e até mesmo regras de negócio e outros elementos Modelo de processos É o resultado final desta sequência em que além dos elementos citados acima e do fluxo das informações podem se incluir mais detalhes que contribuirão para a modelagem como fórmulas descrições sistemas serviços e muito mais FONTE Adaptado de Veyrat 2016a sp Portanto podemos dizer que um dos objetivos do mapeamento de processos é dar uma base para que se possa evoluir ainda mais na coleta e aprofundamento das informações e se consiga produzir um bom modelo de processo VEYRAT 2016a sp Para tal não existe como fazermos um mapeamento sem indicarmos informações apesar de básicas essenciais para o mapeamento sendo elas Entradas do processo as entradas também chamadas de inputs são os produtos necessários para que uma atividade se realize Por exemplo um email com o pedido de um cliente ou um formulário com dados de informações e especificações de determinada peça a ser produzida Saídas do processo as saídas do processo também chamadas de outputs são os produtos gerados em cada atividade e que serão entregues para que a próxima atividade possa ser realizada Por exemplo um email confirmando ao cliente que seu pedido está em processamento ou outro email solicitando a compra de determinados insumos pelo departamento de compras Papel do sistema que dá apoio a cada atividade é importante notar que cada tarefa na maioria dos casos não corresponde a um processo completo mas são atividades que compõem o processo como um todo Assim apenas quando as atividades são ordenadas em uma sequência é que se forma um fluxo que retrata o processo o que podemos chamar de mapa do processo se tiver todas as informações que comentamos acima TÓPICO 2 IDENTIFICAÇÃO DO PROBLEMA 29 Descrição pormenorizada dos procedimentos referentes a cada atividade detalhamento dos procedimentos que se referem a cada uma das atividades Função dos agentes do processo a função exercida pelo agente do processo Mello 2012a sp explana esse tema definidamente e o colamos no Quadro 2 para você acadêmico QUADRO 2 DEFINIÇÕES E SUAS DESCRIÇÕES DO PROJETO AS IS FONTE Adaptado de Mello 2012a sp Veyrat 2016a sp DEFINIÇÃO DESCRIÇÃO Definição É o trabalho de levantamento e documentação da situação atual do processo comumente chamado de mapeamento de processos AS IS que é representada em fluxo ou diagrama Nesta mesma oportunidade levantamse também os problemas ou fragilidades bem como as oportunidades de melhoria do processo Quem Os participantes desse trabalho são principalmente as pessoas que realizam o processo do cotidiano Recomendase também a participação de pessoas do processo fornecedor e do processo cliente e se possível alguém de TI Não devem participar chefias em geral Profundidade O nível de profundidade ou a granularidade da documentação do processo depende dos propósitos do projeto Normalmente solicitase às pessoas que estão dando seu depoimento na reunião de mapeamento de processos para que relatem o processo como se estivessem ensinando alguém novo na função a executálo Deve se tomar cuidado para se levantar toda a informação necessária em uma única vez em uma única reunião É bastante usual descrever para cada atividade do processo um nível de detalhamento que melhore o seu entendimento e torne possível a um eventual aprendiz entender com o mínimo de detalhe como se faz essa atividade Estrutura da documentação É indispensável descrever para cada atividade ou cada passo Do processo um nível de detalhamento que melhore o seu entendimento e torne possível a um eventual aprendiz entender com o mínimo de detalhe como se faz essa atividade Quando realizamos a documentação da situação atual acadêmico precisamos tomar alguns cuidados sendo eles expostos na Figura 8 30 UNIDADE 1 FUNDAMENTOS DE PROCESSO DE NEGÓCIO FIGURA 8 CUIDADOS E PREPARATIVOS PARA A DOCUMENTAÇÃO AS IS Objetivos do projeto entender por que e para que a modelagem será feita ou seja o que se espera ao final dos trabalhos Lembre acadêmcio este é o motivador do estudo do processo Atenção Não mapeie processo se não houver um forte motivador Mapear processo por si mesmo não se justifica Documentar junto aos gestores quais as melhorias ligadas aos problemas e quais os ganhos esperados bem como é necessário exprimir essa informação de forma quantitativa e não qualitativa Portanto acadêmico é necessário documentar junto aos gestores o que se espera como visão de futuro para o processo Definir Padrão de Notação e de Trabalho para Modelagem de Processos abordaremos a notação da nossa unidade 2 Definir ferramenta para modelagem de processos usar ferramenta na medida certa para a sua organização ou seja não compre ferramenta com recursos além do necessário Definir técnicas de levantamento possíveis para o mapeamento Definição da equipe do projeto e responsabilidades dos membros Plano de trabalho ter um plano especificando as etapas os responsáveis os recursos necessários o cronograma e agenda com os participantes a partir da priorização dos processos para projetos de documentação e melhoria Garantir os recursos necessários para o projeto garantir a infraestrutura necessária Preocuparse com a comunicação dentro do escopo Conscientizar alta gestão sobre o projeto requisitos comprometimentos etc Conscientizar a parte operacional sobre o projeto requisitos comprometimentos etc SemináriosWorkshops de Gestão de Processos FONTE Adaptada de Mello 2012a sp Outro ponto importante acadêmico é que o mapeamento para identificar a situação atual e as pessoas responsáveis pelos processos pode ser realizado de algumas maneiras que dependem do contexto e do cenário da organização Com esse objetivo são quatro as técnicas mais usadas que destacamos na Figura 9 TÓPICO 2 IDENTIFICAÇÃO DO PROBLEMA 31 FIGURA 9 AS QUATRO TÉCNICAS MAIS USADAS FONTE Adaptada de Veyrat 2016b sp Se bem conduzidas podem ser rápidas objetivas e já alinharem opiniões e expectativas entre os participantes Faça mais de uma Reuniões com os envolvidos no processo Simplesmente observar os processos ocorrendo e anotar tudo que for importante Observação direta Entreviste agentes do processo que possam dar informações relevantes Entrevista pessoais Distribua formulários com questões pertinentes para conseguir mais informações de outros integrantes do processo de forma mais abrangentes e rápida Questionários Mello 2012a sp observa que o levantamento dos problemas ou pontos fracos pode ser realizado na própria reunião de mapeamento do processo após a conclusão do fluxo detalhado devemse documentar em planilha própria os problemas e oportunidades de melhoria do mesmo aproveitando as pessoas presentes Desta maneira podemos afirmar que a informação mais difícil e relevante é conseguir quantificar o problema que segundo Mello 2012a sp sem isso os problemas perdem a importância e o pior não será possível fazer o cálculo de ROI das melhorias que estão sendo propostas Desta forma nós preparamos uma lista na Figura 10 que contêm alguns dos elementos que são responsáveis por causar problemas e afetar negativamente o processo 32 UNIDADE 1 FUNDAMENTOS DE PROCESSO DE NEGÓCIO FIGURA 10 LISTA ELEMENTOS QUE SÃO RESPONSÁVEIS POR CAUSAR PROBLEMAS FONTE Adaptada de Mello 2012a sp Burocracia Planejamento falta Insuficiência Atividades que não agregam valor Prazo de execução do processo Retrabalho conferência Risco Comunicação interna externa na execução do processo Desempenho do processo Gargalo Competências para execução do processo Ameaças externas lei concorrência legislação O Tempo de execução O Custo do processo Os sistemas obsoletos ou inexistentes Controles em sistema não oficial Excel Access etc Destacamos também que o diagnóstico da situação atual é realizado pela análise da realidade levantada durante a documentação AS IS Esta análise é composta de diagrama mais a planificação de pontos fracos Para tal deve ser elaborado um relatório diagnóstico da situação atual Esse relatório servirá como base para todas as partes interessadas no processo As partes interessadas também podem contribuir segundo Mello 2012a sp no sentido de determinar ou sugerir melhorias o façam Este relatório tem fundamento nos levantamentos e discussões visando gerar uma primeira proposta de melhoria do processo e também tem portanto sugestões de mudança para o processo Ao implementarmos o mapeamento de processos AS IS segundo Mello 2012a há alguns itens relativos à sua documentação que precisam ser considerados como Seguir critérios ao realizar a priorização Ter a Cadeia de Valor para se basear e seguir Envolver de forma efetiva no projeto pessoas com conhecimento nos processos considerando a expectativa dos gestores em relação aos resultados alcançados em cada processo tratado TÓPICO 2 IDENTIFICAÇÃO DO PROBLEMA 33 Ter profundo conhecimento dos projetos para que a aplicação da documentação do mapeamento de processos AS IS pode ser realizada com base em tarefas atividades determinantes para a melhoria contínua do processo Por fim preparamos duas listas a mais que apresentamos a seguir como a Figura 11 referente à documentação de Processos AS IS e a Figura 12 relacionada à aplicabilidade da documentação da situação AS IS do processo FIGURA 11 REFERENTE À DOCUMENTAÇÃO DE PROCESSOS AS IS FONTE Adaptada de Mello 2012a sp Trabalhe blocos pequenos de processos com resultados rápidos segundo o critério de priorização Grandes projetos se desgastam com o tempo e demoram a dar resultados gerando descrédito Cuidado para não mapear processos da área orientese pela Cadeia de Valor Chamar para as reuniões de mapeamento as pessoas que mais conhecem os processos é chave de sucesso Leve em conta se a expectativa dos gestores com relação aos ganhos está sendo alcançada Calcule o Retorn of Investiment ROI para cada processo tratado A fonte fundamental para isso é a planilha de Problemas ou pontos fracos que mencioamos 34 UNIDADE 1 FUNDAMENTOS DE PROCESSO DE NEGÓCIO FIGURA 12 APLICABILIDADE PARA DOCUMENTAÇÃO DA SITUAÇÃO AS IS DO PROCESSO Base de conhecimento sobre o processo servindo de fonte para o repensar o próprio processo também chamado de Redesenho ou TO BE Especificação para desenvolvimento de solução informatizada sistema Estudos do processo relativos a Custeio Competências Riscos e Controles etc Validação dos motivadores indicados pela alta gestão em relação aos ganhos esperados Registrar diferentes práticas para o mesmo processo na mesma organização visão de padrão Treinamento interno Ponto de partida para a implementação de BPM FONTE Adaptada de Mello 2012a sp 3 O MAPEAMENTO DO PROJETO TO BE COMO O PROJETO VAI SER Agora que identificamos a situação atual e as pessoas responsáveis no processo vamos falar sobre o mapeamento do projeto TO BE ou seja como o projeto deve ser Mello 2012c sp explana esse tema definidamente e colocamos no Quadro 3 TÓPICO 2 IDENTIFICAÇÃO DO PROBLEMA 35 QUADRO 3 DEFINIÇÕES E SUAS DESCRIÇÕES DO PROJETO TO BE DEFINIÇÃO DESCRIÇÃO Definição É o trabalho de discussão definição e documentação da situação futura do processo comumente chamado de TO BE o qual é representado em fluxo ou diagrama também chamado de redesenho Quem Os participantes desse trabalho são principalmente as pessoas que executam o processo no dia a dia as chefias e quando possível pessoas que tenham experiências externas e bemsucedidas com o mesmo processo de forma a enriquecêlo Profundidade O nível de profundidade ou a granularidade da documentação do processo depende dos propósitos do projeto Deve se tomar cuidado para se levantar toda a informação necessária em uma única vez em uma única reunião portanto acadêmico é indispensável descrever para cada atividade ou cada passo do processo um nível de detalhamento que melhore o seu entendimento e torne possível a um eventual aprendiz entender com o detalhe necessário como se faz essa atividade Observe a sequência lógica do processo Acadêmico verifique se um output é input da próxima atividade A estrutura sugerida desse texto de detalhamento Estrutura da documentação É fundamental que o processo documentado fluxo tenha o correspondente elemento na estrutura macro de processos da organização representada pela Cadeia de Valor FONTE Adaptado de Mello 2012c sp Quando realizamos a documentação TO BE acadêmico precisamos tomar alguns cuidados Eles estão expostos na Figura 13 FIGURA 13 CUIDADOS E PREPARATIVOS PARA A DOCUMENTAÇÃO TO BE FONTE Adaptada de Mello 2012c sp Conferir estratégia e indicadores relacionados aos objetivos dos processos verificando o alinhamento do processo à Estratégia Corporativa Assegurarse com relação à comunicação Conscientizar a alta gestão sobre o projeto requisitos comprometimentos etc Conscientizar operacionais sobre o projeto requisitos comprometimentos etc SemináriosWorkshops de Gestão de Processos 36 UNIDADE 1 FUNDAMENTOS DE PROCESSO DE NEGÓCIO Assim como na modelagem AS IS na modelagem do projeto TO BE também existem técnicas a serem utilizadas para realizar o mapeamento como de reuniões e entrevista A Figura 14 a seguir contém alguns dos elementos que são responsáveis por causar problemas e afetar negativamente o processo TO BE Trabalhe blocos pequenos de processos segundo o critério de priorização Grandes projetos se desgastam com o tempo e demoram a dar resultados gerando descrédito Cuidado para não mapear processos da área orientese pela Cadeia de Valor Chamar para as reuniões de mapeamento as pessoas que mais conhecem os processos é chave de sucesso Crie uma visão de futuro cheia de entusiasmo Algo que todos tenham interesse em atingir Pense além de melhorias ou seja pense em TRANSFORMAÇÃO Não pense nas restrições pense em como o processo deveria idealmente funcionar Considere todos os gostaria que Desta forma pense no sonho de consumo das pessoas de negócio em relação ao processo Não deixe de definir Indicadores de Desempenho para o processo alinhe com a estratégia Não deixe de definir Gestor para o processo que está sendo redesenhado Valide com a alta gestão as melhorias identificadas e propostas na reunião TO BE Para isso crie algo que se assemelhe com a Figura 15 Leve em conta se os motivadores definidos pelos gestores estão sendo alcançados calcule o ROI para cada processo tratado A fonte fundamental para isso são as medidas de melhorias definidas e aprovadas validadas pela alta gestão Neste caso é salutar que se tenha o problema que está sendo resolvido e o seu valor ou o valor do seu malefício bem como o custo para desenvolver e implementar a solução Crie um plano de implementação das mudanças aprovadas de acordo com as datas possíveis para cada melhoria aprovada validada Implantar é a parte mais difícil Visão da reunião de definição do TO BE Analise tanto o mapeamento FIGURA 16 quanto as atividades FIGURA 17 apresentadas a seguir FIGURA 14 CUIDADOS E PREPARATIVOS PARA A DOCUMENTAÇÃO TO BE FONTE Adaptada de Mello 2012c sp TÓPICO 2 IDENTIFICAÇÃO DO PROBLEMA 37 FIGURA 15 VISÃO DA REUNIÃO DE DEFINIÇÃO DO TO BE FONTE Mello 2012c sp FIGURA 16 VISÃO DA REUNIÃO DE DEFINIÇÃO DO TO BE MAPEMAENTO Processo Problema Impacto Valor Solução Proposta Custo FONTE Mello 2012c sp 38 UNIDADE 1 FUNDAMENTOS DE PROCESSO DE NEGÓCIO FIGURA 17 VISÃO DA REUNIÃO DE DEFINIÇÃO DO TO BE ATIVIDADES FONTE Mello 2012c sp Por fim preparamos duas listas que serão apresentadas nas Figuras 18 e 19 A Figura 18 é referente à implementação das melhorias do processo TO BE e a Figura 19 relacionada à aplicabilidade da documentação da situação TO BE do processo TÓPICO 2 IDENTIFICAÇÃO DO PROBLEMA 39 FIGURA 18 LISTA REFERENTE À IMPLEMENTAÇÃO DAS MELHORIAS DO PROCESSO TO BE Acompanhe cada data e compromisso e ao implementálo certifiquese de que o processo executado está em conformidade com a documentação e obtenha do responsável pela execução assinatura em algum documento confirmando isso Procure não delegar ou transferir responsabilidade pelo acompanhamento e certificação da implementação da melhoria Caso alguma melhoria não possa ser implementada na data acordada coloque a justificativa sem perder a história FONTE Adaptada de Mello 2012c FIGURA 19 LISTA APLICABILIDADE PARA DOCUMENTAÇÃO DA SITUAÇÃO TO BE DO PROCESSO FONTE Adaptada de Mello 2012c Treinamento interno da nova operação Padronização nos casos de diferentes práticas para o mesmo processo na mesma organização visão de unificação Base de para a geração do Blueprint de implementação nos casos de redesenho baseado na funcionalidade de sistema ERP Imagem da operação definida pelo redesenho do processo ou sejam na transformação ocorrida Estudos do processo relativos a Custeio Competências Riscos e Controles etc Fonte para automação do processo Fonte para especificação de solução informatizada 40 RESUMO DO TÓPICO 2 Neste tópico você aprendeu que A identificação do problema está atrelada aos responsáveis pelas atividades do processo O mapeamento do projeto AS IS é utilizado para mapear como o projeto está no momento O mapeamento do projeto TO BE é utilizado para mapear como o projeto vai ser O diagrama de processos é uma formar de representação simplificada dos fluxos do processo que contêm somente as atividades principais O diagrama de processos se restringe a informações sobre o fluxo e suas atividades o mapa de processos é mais abrangente incluindo também seus atores os eventos as regras e os resultados entre outros que detalharemos mais adiante A modelagem de processos é o nível avançado pois deve cobrir todo o processo de forma completa incluindo as informações sobre o negócio as informações operacionais as informações específicas do processo e as informações técnicas Um dos objetivos do mapeamento de processos é dar uma base para que se possa evoluir ainda mais na coleta e aprofundamento das informações e se consiga produzir um bom modelo de processos VEYRAT 2016a sp As entradas também chamadas de inputs são os produtos necessários para que uma atividade se realize Por exemplo um email com o pedido de um cliente ou um formulário com dados de informações e especificações de determinada peça a ser produzida As saídas do processo também chamadas de outputs são os produtos gerados em cada atividade e que serão entregues para que a próxima atividade possa ser realizada É importante notar que cada tarefa na maioria dos casos não corresponde a um processo completo mas são atividades que compõem o processo como um todo Detalhamento dos procedimentos que se referem a cada uma das atividades 41 A definição é o trabalho de levantamento e documentação da situação atual do processo comumente chamado de mapeamento de processos AS IS a qual é representada em fluxo ou diagrama Os participantes desse trabalho são principalmente as pessoas que realizam o processo do cotidiano Recomendase também a participação de pessoas do processo fornecedor e do processo cliente e se possível alguém de TI O nível de profundidade ou a granularidade da documentação do processo depende dos propósitos do projeto É bastante usual descrever para cada atividade do processo um nível de detalhamento que melhore o seu entendimento e torne possível a um eventual aprendiz entender com o mínimo de detalhe como se faz essa atividade É indispensável descrever para cada atividade ou cada passo do processo um nível de detalhamento que melhore o seu entendimento e torne possível a um eventual aprendiz entender com o mínimo de detalhe como se faz essa atividade O mapeamento para identificar a situação atual e as pessoas responsáveis pelos processos pode ser realizado de algumas outras formas que dependem do contexto e dos cenários da organização Embora a técnica de entrevista seja a mais usual é desaconselhável por considerar a visão de uma única pessoa ou única área A técnica de observação é quando o documentador se coloca ao lado de quem executa as atividades As técnicas de entrevista observação questionário e reunião JAD são as técnicas mais utilizadas no projeto AS IS O levantamento dos problemas ou pontos fracos pode ser realizado na própria reunião de mapeamento do processo após a conclusão do fluxo detalhado devemse documentar em planilha própria os problemas e oportunidades de melhoria dele aproveitando as pessoas presentes MELLO 2012a sp O diagnóstico da situação atual é realizado pela análise da realidade levantada durante a documentação AS IS Essa análise é composta de diagrama mais a planificação de pontos fracos As partes interessadas também podem contribuir no sentido de determinar ou sugerir melhorias o façam Este relatório tem fundamento nos levantamentos e discussões visando gerar uma primeira proposta de melhoria do processo e também tem portanto sugestões de mudança para o processo MELLO 2012a sp 42 A definição do projeto TO BE é o trabalho de discussão definição e documentação da situação futura do processo o qual é representado em fluxo ou diagrama também chamado de redesenho Os participantes do projeto TO BE são principalmente as pessoas que executam o processo no diaadia as chefias e quando possível pessoas que tenham experiências externas e bemsucedidas com o mesmo processo de forma a enriquecêlo O nível de profundidade ou a granularidade da documentação do processo TO BE depende dos propósitos do projeto É fundamental que o processo TO BE seja documentado ou seja que o fluxo tenha o correspondente elemento na estrutura macro de processos da organização representada pela Cadeia de Valor 43 1 Pense no mapeamento do projeto da situação atual como um diagnóstico Veyrat 2016a sp coloca que será muito difícil pensar em melhorias dado que estas estarão baseadas exatamente nas eventuais falhas erros deficiências gargalos e outras características do processo no presente que se pretende melhorar no futuro A técnica AS IS é utilizada para qual propósito a Para o levantamento e documentação da situação atual do processo b Para modelar requisitos de software c Para a criação de requisitos de software d Para a melhoria de processos de negócio 2 Um dos objetivos do mapeamento de processos é dar uma base para que se possa evoluir ainda mais na coleta e aprofundamento das informações e se consiga produzir um bom modelo de processos VEYRAT 2016a sp Para fazermos um mapeamento é necessário conhecermos conceitos essenciais como entrada saída papel do sistema que dá apoio a cada atividade descrição pormenorizada dos procedimentos referentes a cada atividade e função dos agentes do processo Diante do exposto responda às questões 2 e 3 Qual é a sentença que traz a melhor definição para a entrada do processo a Elas também são chamadas de inputs são os produtos necessários para que uma atividade se realize b Elas também são chamadas de outputs são os produtos gerados em cada atividade e que serão entregues para que a próxima atividade possa ser realizada c É o detalhamento dos procedimentos que se referem a cada uma das atividades d São as atividades ordenadas em uma sequência é que se forma um fluxo que retrata o processo o que podemos chamar de mapa do processo se tiver todas as informações que comentamos acima 3 As saídas do processo também chamadas de outputs são os produtos gerados em cada atividade e que serão entregues para que a próxima atividade possa ser realizada Por exemplo um email confirmando ao cliente que seu pedido está em processamento ou outro email solicitando a compra de determinados insumos pelo departamento de compras Qual é a sentença que traz a melhor definição para a saída do processo AUTOATIVIDADE 44 a Elas também são chamadas de inputs são os produtos necessários para que uma atividade se realize b Elas também são chamadas de outputs são os produtos gerados em cada atividade e que serão entregues para que a próxima atividade possa ser realizada c É o detalhamento dos procedimentos que se referem a cada uma das atividades d São as atividades ordenadas em uma sequência é que se forma um fluxo que retrata o processo o que podemos chamar de mapa do processo se tiver todas as informações que comentamos acima 4 O mapeamento do projeto AS IS serve para identificar a situação atual e as pessoas responsáveis pelos processos e podem ser realizadas de algumas maneiras que dependem do contexto e dos cenários da organização Para tal são quatro as técnicas mais utilizadas entrevista observação questionário e reunião Referente a essas quatro técnicas faça uma análise nas sentenças a seguir classificando com V as sentenças verdadeiras e com F as sentenças falsas Na reunião os representantes dos envolvidos com o processo se reúnem em um mesmo local para a documentação do processo A técnica de observação é quando se envia para o entrevistado um questionário que o devolve preenchido sendo este o argumento para o mapeamento A técnica de questionário é quando o documentador se coloca ao lado de quem executa as atividades A técnica de entrevista é desaconselhável por considerar a visão de uma única pessoa ou única área Assinale a alternativa com a sequência CORRETA a V V F F b V F V F c F V V F d V F F V 5 O diagnóstico da situação atual é realizado pela análise da realidade levantada durante a documentação AS IS Já o projeto TO BE é o trabalho de discussão definição e documentação da situação futura do processo o qual é representado em fluxo ou diagrama Analise as assertivas referentes aos cuidados que devem ser tomados no projeto TO BE 45 I Conferir estratégia e indicadores relacionados aos objetivos dos processos verificando o alinhamento do processo à Estratégia Corporativa II Assegurarse com relação à comunicação III Conscientizar alta gestão sobre o projeto requisitos comprometimentos etc IV Conscientizar operacionais sobre o projeto requisitos comprometimentos etc SemináriosWorkshops de Gestão de Processos Assinale a alternativa que contém somente as sentenças CORRETAS a As sentenças I II III e IV estão corretas b As sentenças I e II estão corretas c As sentenças II III e IV estão corretas d As sentenças III e IV estão corretas 47 TÓPICO 3 UNIDADE 1 RESPONSÁVEIS PELOS PROCESSOS E OUTRAS CONSIDERAÇÕES 1 INTRODUÇÃO Construir produtos e o desenvolvimento de processos são necessidades constantes das organizações que querem se manter no mercado e se manter competitivas No entanto criar novos processos ou redesenhar processos existentes para tornálos mais eficientes eficazes e confiáveis requer tempo e pessoas que sejam responsáveis por esses processos As pessoas responsáveis por esse processo a rigor tomarão decisões ao longo do processo Tomar uma decisão significa escolher o caminho a seguir entre duas ou mais escolhas possíveis Na maioria dos casos adotar soluções alternativas significa renunciar a outras soluções conferindo maior responsabilidade aos responsáveis pelos processos Nesse caso uma tomada de decisão malsucedida pode até comprometer a formulação errôneo de um processo de negócio Desta forma os responsáveis pelos processos precisam conhecer o processo de tomada de decisão os fatores que exercem influência nesse processo e compreender como os Sistemas de Informação podem auxiliar o tomador de decisão é fundamental para o bom desenvolvimento de seus projetos 2 RESPONSÁVEIS PELOS PROCESSOS O gestor de processo é a pessoa responsável pela gestão de pessoas envolvidas no processo O responsável precisa zelar tanto pelo desempenho do processo como pela sua melhoria contínua Portanto é necessário que o gestor do processo interaja com todas as áreas da organização que atuam nesse processo bem como é de sua responsabilidade a operação e gestão do processo Para isso o gestor de processo deve ter em mente os pontos da Figura 20 48 UNIDADE 1 FUNDAMENTOS DE PROCESSO DE NEGÓCIO FIGURA 20 PONTOS A SEREM CONSIDERADOS PELO GESTOR Necessidade de mais flexibilidade e agilidade Clientes mais exigentes Competição globalizada Valorização dos indivíduos do conhecimento e da inovação Maior complexidade e incerteza risco nas operações Crescimento da terceirização Uso intensivo de TI nos negócios com ferramentas poderosíssimas que nos permitem ir além no contexto da gestão para produzir mais e melhor aquilo que é a nossa missão de negócio FONTE A autora Para Cavalcanti 2017 p 37 É importante que os responsáveis pelo processo tenham em mente que quanto maior a quantidade de camadas maior será o tempo de execução da modelagem dos processos envolvidos no projeto Ao se verificar os fatores de sucesso de uma modelagem de processos percebe se a necessidade de que se tenha o apoio da organização Segundo Cavalcanti 2017 p 39 Projetos de modelagem de processos de negócios propõem extensa análise dos processos da organização na intenção de compreendê los questionálos e reestruturálos visando o aumento de qualidade e de eficiência A consequência imediata disso é uma interferência na forma habitual de trabalho dos colaboradores De um modo geral as pessoas não se sentem confortáveis com mudanças Nesse cenário de resistência ao novo velhas práticas podem persistir A participação efetiva da alta direção é muito importante para suavizar essa etapa de aceitação Esse apoio deve ser demonstrado em todas as etapas do projeto TÓPICO 3 RESPONSÁVEIS PELOS PROCESSOS E OUTRAS CONSIDERAÇÕES 49 Outro ponto determinante do projeto de modelagem de processo é adotar Escritório de Gerenciamento de Processos de Negócios também conhecido como Business Process Management Office BPMO ou comumente chamado de Escritório de Processos Trabalhar com escritório de processos traz eficiência para a organização e modifica o perfil organizacional CAVALCANTI 2017 Agora veja a Figura 21 que apresenta os fatores que influenciam esse novo panorama diretamente relacionado aos responsáveis pelos processos e sua gestão FIGURA 21 FATORES QUE INFLUENCIAM OS RESPONSÁVEIS FONTE Adaptada de Cavalcanti 2017 p 44 A evolução do tratamento dos processos de negócios que passaram a ser entendidos de uma forma mais científica O surgimento de tecnologias que viabilizaram o seu tratamento Os projetos de workflow que esbarram na necessidade de ter processos mais estruturados e otimizados A perda do trabalho gerado em cada levantamento para informatização automação qualidade ou análise de risco O amadurecimento do conceito de Gestão de Mudanças que afeta todos os níveis da organização Segundo Cavalcanti 2017 p 44 O escritório de processos então busca analisar operacionalizar e gerir a lógica da gestão de ou por processos e criar uma visão sistêmica internalizada na estrutura do negócio de forma a utilizar essas análises na busca de resultados organizacionais concretos através da criação de um espaço comum com visão compartilhada dos processos capaz de apoiar cada uma das partes na gestão de seus processos e no alcance de resultados globais O escritório de processos está relacionado ao modelo de governança de processos A governança de processos é um conjunto de objetivos políticas diretrizes e atividades da gestão dos processos de negócios CAVALCANTI 2017 p 45 Nesse sentido Costa 2020 trata do modelo de governança de processos assim como Cavalcanti 2017 p 45 o modelo que vai determinar o conjunto de procedimentos de gestão para assegurar a correta aplicação dos conceitos e abrir espaço para a evolução dos modelos de processos de negócios dentro da organização 50 UNIDADE 1 FUNDAMENTOS DE PROCESSO DE NEGÓCIO Podemos dizer que o modelo de governança da organização é adota quem dita à estratégia tanto da implantação quanto da evolução e melhoria contínua do escritório de processos É possível afirmar que O modelo de governança de processos adotado deverá criar a base com a qual a organização poderá gradualmente compreender e mudar seus processos garantindo que todos os colaboradores tenham uma visão compartilhada de como funciona a organização Sua adoção não se dá em um esforço concentrado em um período fixo mas é uma construção contínua que irá amadurecendo ao longo do tempo CAVALCANTI 2017 p 45 Portanto acadêmico nosso objetivo a partir daqui é falarmos sobre esse modelo de governança de processo sobre a modelagem da gestão de pessoas e alguns conceitos mais 3 MODELAGEM DE GOVERNANÇA DE PROCESSOS A estrutura funcional de governança deverá apresentar um Comitê de Processos composto pelo Chefe ou Gerente de Processos e os Executivos de Processos também chamados de Patrocinadores Esses deverão possuir um ou mais Gestores de Processos sob sua responsabilidade e serão responsáveis por acompanhar os processos de sua área de atuação e coordenar os projetos para a melhoria contínua do desempenho dos processos A estrutura funcional de governança deverá estar em conformidade com os cenários evolutivos deste escritório de processos devendo se encontrar sob a responsabilidade também do Chefe ou Gerente de Processos que proverá orientação e suporte para a gestão de e por processos na organização e os seus envolvidos possuindo atividades de rotina e de manutenção dos processos bem como de acompanhamento de seus projetos de transformação A governança cria ainda mecanismos de padronização versionamento e consolidação da metodologia corporativa para o tratamento dos processos de negócios A governança garante o ciclo de melhorias contínuas atribuição típica do escritório de processos Para tanto relacionamos na Figura 22 suas atribuições gerais para exemplificar melhor essa ideia de governança de processos FIGURA 22 ATRIBUIÇÕES GERAIS Coordenar a implantação da cultura de processos na organização Promover a melhoria contínua dos processos de todas as áreas Fomentar e normatizar os esforços de melhoria dos processos FONTE Adaptada de Cavalcanti 2017 p 47 TÓPICO 3 RESPONSÁVEIS PELOS PROCESSOS E OUTRAS CONSIDERAÇÕES 51 O escritório de processos poderá assumir diferentes formas ou cenários organizacionais que evoluem de acordo com seus macroprocessos ou melhor com a forma de atuação do escritório A composição deverá apresentar uma relação entre a estrutura organizacional e os macroprocessos do escritório demonstrando a relação de proporcionalidade entre os cenários organizacionais e o tamanhomaturidade do escritório Conforme aumentam o número de atividades e a experiência do escritório mais papéis poderão ser assumidos pelo escritório o que pode resultar em uma unidade organizacional maior e mais complexa O escritório poderá assumir os seguintes modelos e responsabilidades de atuação conforme a Figura 23 a seguir FIGURA 23 SEGUINTES MODELOS E RESPONSABILIDADES DE ATUAÇÃO Modelo Descentralizado Quando o esforço de modelagem e a otimização de processos ficarem a cargo das áreas usuárias ou de negócio com seus Líderes de Processos o escritório poderá assumir um papel normatizador e de suporte metodológico Essa é uma situação típica de organizações com um nível de maturidade mais elevado onde a cultura de processos já se disseminou por toda a sua estrutura Praticando esse modelo o escritório ganha autonomia aumenta a sua importância estratégica e se desloca na estrutura organizacional para ganhar mais poder Modelo Centralizado É aconselhável quando o escritório assumir todos os serviços relacionados aos processos da organização Ele será responsável pelas modelagens por discutir com as áreas internas as características e os detalhes efará a validação dos modelos Ele será ainda responsável por conduzir as transformações e a implantação das otimizações e melhorias É um modelo praticado durante as fases iniciais de maturidade quando as áreas de negócios da organização ainda não estão preparadas para executar as suas próprias atividades de processos FONTE Adaptada de Cavalcanti 2017 p 48 Cabe destacar ainda o posicionamento organizacional Para que o esforço de implantação do escritório de processos seja bemsucedido é necessário entender a trajetória e o grau de maturidade da cultura de processos visto anteriormente Há também uma grande expectativa da alta direção para que o escritório seja uma solução patrocinada por ela alta direção pactuada e aceita por todos os colaboradores Outra variável importante é o entendimento da distribuição de poder quanto ao assunto gestão de processos para que se possa definir com exatidão o papel deste escritório consultivo normativoprescritivo dentro da estrutura da organização Esse assunto é crucial para a determinação do sucesso da implantação do escritório e por isso recomendase que o seu posicionamento esteja o mais 52 UNIDADE 1 FUNDAMENTOS DE PROCESSO DE NEGÓCIO próximo possível da alta direção para que sua atuação seja de caráter normativo e global que possa favorecer o empoderamento da gestão de mudanças mas que seja também realizado um benchmarking sobre esse posicionamento com outras organizações de porte semelhante Como os processos trespassam diversas áreas da organização partes deles estarão sob a responsabilidade de diversas lideranças Portanto após a priorização dos processos críticos um responsável seja designado para cada processo normalmente será aquele responsável pela maior parte ou pela parte mais importante do processo O responsável deverá fazer com que o desenho do processo fique mais harmonioso esclarecendo seu escopo as áreas envolvidas produtos e serviços fornecidos pelo processo Ele deverá após o processo ter sido modelado documentado e implantado ficar responsável pelo resultado do processo como um todo Por fim trazemos no Quadro 4 as principais atividades da equipe responsável pela modelagem e no Quadro 5 os principais atores envolvidos no processo com as suas definições QUADRO 4 PRINCIPAIS ATIVIDADES DA EQUIPE RESPONSÁVEL PELA MODELAGEM FONTE Adaptado de Cavalcanti 2017 p 440441 ATIVIDADE DESCRIÇÃO Executar instâncias do processo para monitoramento Com base nos documentos elaborados o Mapa do Novo Processo Aprovado Descritivo das Atividades Validado Novos Indicadores Validados e Especificação Funcional os executores do processo deverão realizálo por meio de suas instâncias sendo testado exaustivamente para que todos os problemas identificados sejam sanados e que seus executores fiquem satisfeitos com a automação e as melhorias apresentadas Medir desempenho do processo corrigido Medir desempenho do processo corrigido Reduzir as variações do novo processo Caso o processo apresente desempenho aquém do esperado a equipe responsável pela modelagem deverá utilizar meios métodos e ferramentas para aumento do desempenho e consequentemente redução da variabilidade do processo O processo poderá retornar às etapas anteriores para implementação de melhorias para aumento do seu desempenho Atualizar a documentação do projeto de modelagem Atualização da documentação gerada e realização do fechamento do projeto com a homologação do patrocinador por meio da disponibilização do termo de aceitação do produto A documentação da etapa de monitoramento e controle deverá ser divulgada às unidades da organização envolvidas no projeto de modelagem TÓPICO 3 RESPONSÁVEIS PELOS PROCESSOS E OUTRAS CONSIDERAÇÕES 53 QUADRO 5 PRINCIPAIS ATORES ENVOLVIDOS NO PROCESSO ATOR DESCRIÇÃO PATROCINADOR Definição responsável pelo projeto de modelagem de processos perante a organização Requisitos i atuar no nível estratégico ii ser o gestor máximo da unidade responsável pelo processo a ser modelado Atribuições i indicar o gestor e a equipe responsável pela modelagem do processo ii atuar como interlocutor entre os participantes do projeto de modelagem e a alta administração iii resolver as questões conflitantes iv viabilizar os recursos necessários para o alcance das melhorias identificadas v assegurar que os ganhos do processo sejam alcançados vi monitorar o andamento do projeto vii garantir que toda a documentação gerada seja amplamente divulgada GESTOR DO PROCESSO Definição responsável pela maior parte da gestão operacional do processo e após sua conclusão o responsável pela gestão do dia a dia Requisitos i atuar no nível tático ii ser o gestor responsável pela maior parte da gestão operacional do processo Atribuições i atuar como interlocutor entre a equipe responsável pela modelagem os demais envolvidos no processo e o patrocinador ii prover informações sobre o desempenho e funcionamento do processo iii garantir a implementação de melhorias e inovações no processo iv zelar pela padronização do processo na organização v responsabilizarse pela gestão do dia a dia do processo vi manter os envolvidos atualizados sobre o desempenho e o resultado dos indicadores do processo modelado v cuidar do relacionamento das interfaces com os demais processos da organização EQUIPE RESPONSÁVEL PELA MODELAGEM Definição profissional ou grupo responsável por desenvolver esforços de melhoria e inovação no projeto de modelagem do processo Requisitos i possuir capacidade analítica conhecimento do negócio e habilidades de relacionamento e comunicação para desenvolvimento do trabalho de modelagem de processos ii conhecer técnicas e ferramental que possam contribuir para a modelagem de processos iii ser parte do grupo com atribuições relacionadas ao processo iv estar comprometido com o trabalho de gestão por processos v valorizar a experiência as habilidades e as contribuições uns dos outros para alcançar o objetivo final do projeto Atribuições i conduzir do ponto de vista técnico o trabalho de modelagem do processo ii auxiliar o patrocinador e o gestor do processo na execução do projeto de modelagem do processo iii auxiliar na implantação do processo na organização EXECUTORES DO PROCESSO Definição colaboradores individualmente ou em grupo responsáveis pela execução direta das atividades vinculadas ao processo Requisitos i atuar no nível operacional Atribuições i prover informações à equipe responsável pela modelagem quanto à execução do processo ii apoiar os envolvidos no projeto de modelagem do processo iii executar as melhorias propostas sugerindo ações corretivas para um melhor desempenho do processo iv manter a padronização do processo na organização 54 UNIDADE 1 FUNDAMENTOS DE PROCESSO DE NEGÓCIO DEMAIS ENVOLVIDOS NO PROCESSO Definição são pessoas ou unidades da organização impactadas de alguma forma pela execução implantação e pelas melhorias e que podem exercer influência sobre os objetivos e resultados do projeto de modelagem do processo Requisitos i responsáveis pela execução de alguma parte do processo ou pela implantação das melhorias propostas ii possuir algum interesse afetado ou impactado pelo processos Atribuições i prover informações quanto à viabilidade técnica e aos requisitos que possam nortear as melhorias propostas ii apoiar os participantes do projeto de modelagem do processo iii executar ou implantar as melhorias propostas sugerindo ações corretivas para o aumento do desempenho do processo EQUIPE DE AUTOMAÇÃO Definição profissional ou grupo responsável pelo desenvolvimento de aplicação destinada à automatização do processo modelado tomando por base a especificação e as regras de negócio definidas em conjunto durante o redesenho do processo do projeto de modelagem do processo Requisitos i possuir conhecimentos sobre desenvolvimento de software e sobre ferramentas de workflow ii conhecer aplicativos facilitadores da gestão do conhecimento referentes a processos de negócios BPMS iii ter uma visão holística do negócio da organização Atribuições i analisar os requisitos funcionais e a especificação definida para o processo modelado ii analisar detidamente as regras de negócio do processo para atendimento das necessidades da organização iii elaborar a documentação consistente do processo automatizado iv realizar os testes de integridade confidencialidade e conformidade necessários à adequada implantação do processo automatizado FONTE Adaptado de Cavalcanti 2017 O responsável pelo desenho do processo conseguirá atuar de forma mais significativa se ele entender de gestão de pessoas 4 MODELAGEM DA GESTÃO DE PESSOAS Acadêmico como falamos anteriormente as pessoas é um dos três pilares da tríade processostecnologiaspessoas Nesse sentido Devmedia 2013 traz um artigo significante do tema e o inserimos neste Livro Didático Além de Devmedia 2013 trazer a gestão de pessoas do processo ela também traz a dinâmica de sistema aliada ao ciclo de vida do projeto O sucesso das organizações está fortemente relacionado com a forma como elas lidam com o seu capital intelectual Focar apenas em questões técnicas utilizar boas técnicas e métodos e não dar a devida atenção às pessoas pode levar as organizações ao fracasso É importante destacarmos os fatores que mais influenciam os riscos na tomada de decisão em gestão de pessoas em equipes de desenvolvimento de projetos de software Agora verifique o UNI que preparamos para você TÓPICO 3 RESPONSÁVEIS PELOS PROCESSOS E OUTRAS CONSIDERAÇÕES 55 A modelagem da gestão de pessoas em projetos de software tem por objetivo contribuir para o aumento do conhecimento sobre os aspectos relativos às pessoas e apoiar os gerentes na tomada de decisões mais seguras e bem informadas assegurando melhor desempenho da equipe e do projeto tendo em vista uma melhor produtividade IMPORTANTE É importante entendermos a situação atual como visto na modelagem de processo AS IS Para empresas e gerentes que desejam obter mais conhecimento sobre a gestão de pessoas a fim de gerenciar o seu capital intelectual de forma a extrair o seu melhor potencial sem introduzir estresse excessivo nas equipes mantendo o bom ambiente interno Os métodos de gerenciamento de pessoas até o século XX se baseavam nos Princípios de Gerenciamento Científico de Frederick Winslow Taylor ou Teoria X que pregava que os trabalhadores deveriam ser tratados como máquinas eram pagos com base na quantidade de peças produzidas sem sentimentos motivações ou habilidades Essa concepção que surgiu antes da Revolução Industrial e se fortaleceu ainda mais depois dela fez com que as organizações acreditassem fielmente durante muitos anos que os seus bens de maior valor eram os bens materiais ou tangíveis equipamentos carros produtos entre outros Trabalhos mais recentes têm mostrado que a forma como os trabalhadores eram tratados afetava o desempenho no trabalho Nos últimos tempos devido às mudanças de conceito e com a globalização esse cenário está em constante mutação As organizações se conscientizaram de que devem também procurar formas de priorizar as pessoas em sua gerência A gestão eficiente das pessoas permite obter maior produtividade maturidade economia qualidade de serviço e diminuição do tempo para chegar ao mercado Assim as pessoas passam a ser reconhecidas como o recurso mais importante das organizações Simultaneamente o mercado passou a exigir pessoas cada vez mais qualificadas As organizações estão competindo em dois mercados um para seus produtos e serviços e outro para o talento requerido para produzir e realizálos Independe do mercado e da área da segurança de informação o sucesso de uma organização em seu mercado de negócios é determinado pelo seu sucesso no mercado de talentos Existem formas de melhorar o desempenho da organização e todas envolvem uma melhor utilização das pessoas A gestão de pessoas é regida por parâmetros intangíveis como desejos motivação autoestima confiança satisfação respeito criatividade entre outros todos com uma característica em comum dificuldade para avaliar e medir 56 UNIDADE 1 FUNDAMENTOS DE PROCESSO DE NEGÓCIO Devido à natureza das atividades que compreendem a ação gerencial ser permeada de descontinuidades grande variabilidade e imprevisibilidade Na verdade não existe solução definitiva que possa ser aplicada para resolver todos os problemas relacionados com a produtividade no desenvolvimento de software Focar apenas em questões técnicas utilizar boas técnicas e métodos aplicar modelos de maturidade organizacional que apoiam o gerenciamento e a evolução das empresas ao definir caminhos mais bem planejados e não dar a devida atenção às pessoas pode levar as organizações ao fracasso A gestão de pessoas é desafiadora por estar relacionada com fatores intangíveis que representam expectativas relativas às pessoas Esses fatores tornam a gestão de pessoas uma tarefa não trivial a ser tratada pelos gerentes e pelas organizações Em muitos casos os problemas de gestão de projetos estão relacionados à natureza de comportamentos como motivação satisfação inovação sentirse importante colaboração experiência conhecimento disciplina comunicação respeito autoestima compromisso desempenho profissionalismo frustração criatividade Nos últimos anos diversas pesquisas têm buscado aplicar teorias da psicologia à engenharia de software com o objetivo de obter teorias técnicas e ferramentas específicas para projetos de software em dois aspectos complementares na alocação de pessoas a papéis funcionais técnicos e gerenciais do desenvolvimento de software e na composição e gerenciamento das equipes de desenvolvimento TÓPICO 3 RESPONSÁVEIS PELOS PROCESSOS E OUTRAS CONSIDERAÇÕES 57 Cabe destacar acadêmico que a gestão de pessoas é baseada nos modelos mentais dos gerentes de projeto e em suas experiências e em suas competências técnicas que em geral são insuficientes para enfrentar os desafios das transformações ocorridas no âmbito estratégico de negócios e de gestão de pessoas O novo enfoque para a gestão de projetos de software passa a exigir de seus gerentes habilidades voltadas para as questões relacionadas aos recursos humanos não bastando apenas às habilidades em questões administrativas ou técnicas IMPORTANTE Os modelos mentais dos gerentes mesmo quando muito experientes são simples e defeituosos devido à complexidade do relacionamento das variáveis que influenciam e compõem o ambiente de gerência de projetos de software Essa complexidade torna inviável tratar o problema sem a ajuda de uma ferramenta o que justifica a necessidade do desenvolvimento de um modelo para simular a dinâmica do comportamento humano Dinâmica de sistemas Introduzida por Jay Forrester como um método para modelar e analisar o comportamento de sistemas complexos os quais são formados por diversas variáveis que se relacionam de forma não linear no decorrer do tempo a dinâmica de sistemas é um método descritivo adequado para modelar e simular sistemas Essa técnica de modelagem permite representar o comportamento dinâmico dos problemas o que possibilita analisar compreender e visualizar de maneira integrada e interconectada como as políticas adotadas ou a própria estrutura do sistema afetam ou determinam o seu comportamento dinâmico deixando claras as relações existentes entre as variáveis de decisão de maneira a antecipar colapsos Os modelos de dinâmica de sistemas auxiliam a descoberta das principais causas sistêmicas dos comportamentos indesejados no problema que está sendo analisado Isso contribui para que as soluções a serem tomadas não agravem ainda mais o problema fundamental como ocorre quando as decisões são tomadas de forma reativa e adotando soluções paliativas Na fase inicial do processo de modelagem podem ser utilizados diagramas de influência causal loop diagrams que não fazem parte da notação de dinâmica de sistemas mas servem como base para a obtenção de um modelo de dinâmica de sistemas devido a serem simples de construir e de entender utilizando palavras e setas que ajudam a descrever relações de causa efeito e realimentação de informações em um sistema 58 UNIDADE 1 FUNDAMENTOS DE PROCESSO DE NEGÓCIO A dinâmica de sistemas permite identificar aspectos importantes do problema entender e justificar comportamentos esperados e anormais A modelagem com a dinâmica de sistemas facilita a descoberta das causas do problema e também por meio de simulações utilizando o modelo permite analisar os impactos e os efeitos colaterais das alterações planejadas antes que sejam implementadas no sistema real e com isso prevenir a tomada de decisões paliativas O conflito é responsável por diminuir a produtividade e a motivação por aumentála porém as simulações apresentam resultados em proporções não mensuradas Como o modelo tende a evoluir esses valores provavelmente serão alterados devido à influência entre todas as variáveis identificadas que ainda não foram modeladas A modelagem de influência da experiência experience e dos sistemas de recompensa reward systems sobre a motivação motivation Um gerente que tenha essa informação mesmo que os resultados tenham alguma margem de erro pode gerenciar a equipe com maior segurança e estar atento a variáveis que mais se destacam ou influenciam a produtividade De acordo com o perfil da equipe e da organização o gestor deve buscar soluções que atendam às necessidades para cada uma das variáveis em questão baseando se na literatura e em profissionais da respectiva área de conhecimento Tratando a motivação A motivação referese às forças internas de uma pessoa responsável pela ativação direção intensidade e persistência do esforço despendido no trabalho Esses quatro elementos combinados constituem a base da construção das teorias motivacionais Existem diversas teorias sobre o assunto como Teoria de Maslow Teoria Bifatorial de Herzberg entre outras A Teoria de Maslow ou Teoria da Hierarquia das Necessidades Figura 24 é uma das mais conhecidas e estabelece níveis de necessidade para alcançar a motivação devendo para isso satisfazer as necessidades inferiores como fisiológicas sociais e de segurança níveis mais baixos da pirâmide para que as necessidades superiores como autoestima e atualização níveis mais altos da pirâmide se tornem fatores motivadores ao ser humano TÓPICO 3 RESPONSÁVEIS PELOS PROCESSOS E OUTRAS CONSIDERAÇÕES 59 FIGURA 24 PIRÂMIDE DE MASLOW FONTE Menvie 2020 sp A Teoria de Herzberg apresenta dois tipos de fatores relacionados ao processo de motivação fatores higiênicos relacionados com o ambiente de trabalho são necessários mas não suficientes para alcançar a satisfação e motivação apenas previne a insatisfação se for provido fatores motivadores relacionados com o trabalho em si como oportunidade de progresso realização reconhecimento e crescimento pessoal e senso de responsabilidade Há teorias que pregam que o dinheiro não é um fator motivador Herzberg por exemplo compara o dinheiro com o fator higiênico que não funciona como motivador por muito tempo Outras defendem que um sistema de remuneração inapropriado age como um fator desmotivador A pesquisa de Locke avaliou 80 pesquisas referentes aos métodos motivacionais e seu impacto sobre a produtividade do trabalhador apontando a importância do dinheiro para aumentar a produtividade Os resultados da pesquisa apresentam que 60 UNIDADE 1 FUNDAMENTOS DE PROCESSO DE NEGÓCIO FIGURA 25 RESULTADOS DA PESQUISA FONTE Adaptada de Mello 2012b Estabelecimento de metas podem proporcionar até 16 de aumento na produtividade Participação do trabalhador na tomada de decisão proporciona menos de 1 de aumento na produtividade Incentivos monetários podem proporcionar até 30 de aumento na produtividade As atividades com texto auxiliar em cada atividade ou passo no diagrama de processos Esforços para enriquecer o trabalho podem proporcionar de 8 a 16 de aumento na produtividade A motivação depende de diversos fatores como cultura dos projetos sistemas de recompensas o contexto do trabalho o ambiente de trabalho da supervisão sucessos anteriores competição e em acreditar no que é feito Para solucionar um problema relacionado à motivação além de ter que levar em consideração os fatores referentes às teorias motivacionais e outros fatores apresentados que afetam a motivação o gestor deve formular planos estratégicos estabelecer metas claras incentivar um processo participativo de gestão ter um estilo de gestão aberto e comunicação eficaz incentivar novas ideias com tolerância para o fracasso desenvolver um sistema justo de reconhecimento e recompensa criar um ambiente que ofereça a oportunidade para se destacar e crescer desencorajar a burocracia e concentrarse na construção de confiança entre todos os participantes do projeto Equipes motivadas levam a uma produtividade melhor e de mais qualidade ao aumento do moral e ao alcance dos objetivos do projeto Por outro lado a falta de motivação contribui para o aumento do nível de estresse e para a baixa produtividade e pode acarretar falhas no projeto No nível mais alto de motivação as pessoas buscam desafios e se esforçam para superar os obstáculos não só porque querem qualquer recompensa externa ou benefícios mas porque encontram satisfação nas suas próprias realizações Tratando o conflito É quase impossível não haver conflito quando existem pessoas com diversos conhecimentos habilidades e normas trabalhando em um único lugar tomando decisões e tentando atingir os objetivos dos projetos O conflito faz parte da vida do projeto e é causado por incompatibilidade de objetivos pensamentos ou emoções que influenciam de forma a dificultar a tomada de decisões para alcançar objetivos comuns do projeto e da organização TÓPICO 3 RESPONSÁVEIS PELOS PROCESSOS E OUTRAS CONSIDERAÇÕES 61 Conflitos causados por problemas de comunicação são os mais comuns e acontecem em todas as fases do ciclo de vida do projeto Entretanto a comunicação efetiva é essencial para o sucesso do projeto Foi constatado que o relacionamento ativo entre stakeholders influência de maneira positiva a comunicação que pode ser promovida pela realização de reuniões workshops ou conversas informais e auxilia na obtenção efetiva do planejamento estratégico pretendido A literatura aponta que os conflitos de personalidade são mais difíceis de lidar Mesmo em pequenas proporções se apresentam mais perturbadores e prejudiciais para todo o projeto do que os conflitos não pessoais Existem quatro níveis de conflito que devem ser analisados a saber intrapessoal reduz a motivação e produtividade do profissional interpessoal causado por diferença de personalidade e estilo comunicação e competição intragrupo entre uma pessoa e um grupo intergrupo entre grupos Gerentes passam 20 do seu tempo lidando com conflito A habilidade de lidar com conflito é a mais importante que o gerente de projeto pode ter Essa habilidade depende da combinação de várias habilidades humanas As principais fontes de conflito apontam objetivos incompatíveis relações estruturais problemas de comunicação e diferenças individuais Cada conflito é gerado por uma situação única o que torna difícil definir qual é a melhor abordagem de solução de conflito a ser adotada uma vez que existem muitas variáveis de natureza dinâmica que o envolvem A abordagem a ser adotada depende de tipo e importância relativa do conflito pressão de tempo posição dos indivíduos envolvidos e ênfase relativa aos objetivos versus o relacionamento Assim após identificar a fonte de problemas o gestor deve se respaldar na literatura eou em profissionais que atuam no domínio de conhecimento uma vez que existem conflitos positivos e negativos que podem afetar o desempenho e a produtividade A essência do conflito é o desacordo ou incompatibilidade dos objetivos ideias ou emoções dentro ou entre os membros da equipe do projeto ou entre diversas equipes de projeto de uma organização Devido à natureza dinâmica do comportamento humano a dinâmica da equipe e das complexas interações pessoais no ambiente de projeto o conflito é inevitável Portanto devese atentar para as principais consequências do conflito que geram as falhas nos projetos a saber as tensões o estresse o mau relacionamento no trabalho a diminuição mútua de confiança e de cooperação entre as pessoas 62 UNIDADE 1 FUNDAMENTOS DE PROCESSO DE NEGÓCIO 5 DOCUMENTAÇÃO DO PROCESSO A documentação do processo normalmente é feita em editor de texto O material extraído da documentação do processo serve como guia para executar o processo e geralmente é composto conforme indicado na Figura 26 FIGURA 26 GUIA PARA EXECUTAR O PROCESSO Representação gráfica do processo Interfaces com outros processos Os caminhos ou alternativas lógicas durante a execução do processo As atividades com texto auxiliar em cada atividade ou passo no diagrama de processos Suas condições de início FONTE Adaptada de Mello 2012b Além disso o documento dever conter os itens indicados na Figura 27 FIGURA 27 O QUE O DOCUMENTO DEVE CONTER FONTE Adaptada de Mello 2012b Outputs Inputs Sistema usado para facilitar a execução Papel ou posição do organograma responsável pela execução Área responsável pela execução Execução instruída passo a passo aqui é necessário conter as regras de negócio envolvidas servindo de manual de como se trabalha leis normas recursos tecnológicos utilizados O que deve ser feito TÓPICO 3 RESPONSÁVEIS PELOS PROCESSOS E OUTRAS CONSIDERAÇÕES 63 A Figura 28 apresenta os motivos para usar este documento FONTE Adaptada de Mello 2012b Fonte de informação para desenvolvimento de sistema Comprovar a conformidade tanto interna quanto para sistema de qualidade Papel ou posição do organograma responsável pela execução Área responsável pela execução Orientar a execução do processo Treinar os novos executores do processo Padronizar o trabalho ou seja qualidade FIGURA 28 PARA QUE SERVE O DOCUMENTO Agora acadêmico vamos mostrar na prática um exemplo de manual de forma textual emitido a partir da documentação de processos no Quadro 6 64 UNIDADE 1 FUNDAMENTOS DE PROCESSO DE NEGÓCIO QUADRO 6 EXEMPLO DE MANUAL DESCRIÇÃO ATIVIDADE DO PROCESSO Recusar recebimento Input amostra não se enquadra nas condições de recebimento Cargo conferente DescriçãoRegra a amostra é recusada e retorna ao fornecedor com a mesma nota de chegada Sistema não tem Output recusa da amostra Finalizar recebimento Input amostra fisicamente recebida Cargo conferente DescriçãoRegra efetivar a entrada da amostra no sistema para os itens da nota que estejam em conformidade configurando a entrada da amostra na 12 Nos casos de importado a nota fiscal é a emitida pela 12 Ao lançar a amostra identificase o destinatário e a quantidade por pedido e SKU O CQ fica com 1 unidade de cada SKU do pedido e os demais vão para a área de compras exceto quando há caso de entrega de uma única peça no qual o supervisor decide se a peça fica com CQ ou segue para Compras Nos casos nos quais há bandeiras de cores complemento da peça com variação de cores elas são enviadas para compras As bandeiras devem ser registradas no sistema vinculadas a uma peça principal Notas fiscais que chegarem até às 13h00min são lançadas com a data do dia Após este horário são lançadas com a data do dia útil seguinte Se fisicamente chegaram menos peças do que o constante na Nota Fiscal NF será dada entrada fiscal somente na quantidade física recebida e solicitada geração de nota de débito que é um tipo de carta de correção emitida pelo fornecedor emissor da NF Se fisicamente chegaram mais peças do que o constante na NF será dada entrada fiscal no constante da NF e solicitada nota de crédito a ser emitida pelo fornecedor emissor da NF que é um tipo de carta de correção Outra possibilidade é a devolução da peça excedente sem NF de devolução visto que ela veio sem NF Sistema IN63LOG21 Output Entrada da amostra configurada na 12 Modelagem de processos Dos três expostos é o nível avançado pois deve cobrir todo o processo de forma completa incluindo as informações sobre o negócio as informações operacionais as informações específicas do processo e as informações técnicas FONTE Adaptado de Mello 2012b 6 MAPEAMENTO DE PROCESSOS COMO FAZER A COLETA DE DADOS Uma das tarefas mais importantes ao se criar o mapa é obter as informações necessárias E não há como fazer mapeamento de processos sem o auxílio dos profissionais diretamente envolvidos nele principalmente aqueles mais experientes Neste sentido a abordagem de mapeamento de processos Lean tem seu foco no tempo Na verdade em diminuir o tempo que transcorre entre as atividades VEYRAT 2016 Para isso são analisados e tentamse eliminar sete tipos de desperdícios muito comuns em alguns processos apresentados na Figura 29 TÓPICO 3 RESPONSÁVEIS PELOS PROCESSOS E OUTRAS CONSIDERAÇÕES 65 FIGURA 29 SETE TIPOS DEDESPERDÍCIOS Defeitos Processamento Extra Inventário Movimento Transporte Espera Talentos desperdiçados Se os produtos forem produzidos sem defeitos não terão que ser reparados ou mesmo refeitos diminuindose a perda de tempo As pessoas que trabalham diretamente com os processos muitas vezes tem excelentes ideias de ganho de tempo e eficiência É preciso usar esse talento sempre Diminuir ao máximo as diatâncias transportadas e o tempo principalmente nas etapas internas dos processos Isso se faz remodelando layouts de instalações e os locais de estocagem e entrega por exemplo Na mesma linha outro fator bastante abordado em um mapeamento de processos Lean é a realização de um estudo ergomômico e de deslocamento para que tudo esteja à mão dos operadores Saber exatamente a quantidade necessária das entradas e saídas evitando excesso de estoques ou espaços ociosos em armazens Muitas vezes o que falta é infomação atualizada É comum depois de um mapeamento Leam se perceber que algumas tarefas eram desnecessárias Por exemplo fotografar cada pessoa que entra em um prédio comercial durante o processo de entrada na portaria quando muitas vezes essas pessoas já estão cadastradas no sistema e tem fotos recentes Um tradicional fator de perda de tempo ter que esperar que a tarefa anterior termine para iniciar a próxima mesmo já tendo terminado o que deveria ter sido feito em sua tarefa É um dos deperdícios que o mapeamento de processos Lean tenta encontrar e solucionar FONTE Adaptada de Veyrat 2016b sp Como você viu acadêmico o mapeamento de processos Lean tem o objetivo de diminuir o ciclo de tempo em cada processo permitindo mais produtividade e produzindo mais em um tempo menor 66 UNIDADE 1 FUNDAMENTOS DE PROCESSO DE NEGÓCIO LEITURA COMPLEMENTAR DEFINIÇÃO DE PROCESSOS E CINCO EXEMPLOS DE MAPA DE PROCESSOS Esta leitura complementar apresenta material referente à definição de processos e cinco exemplos de mapa de processos VEYRAT 2016b Mapa de processos é um exemplo típico de um conceito de BPM que muitos ainda usam de forma inapropriada Na tentativa de gerenciar atividades e processos buscando uma maneira de como organizar o tempo e os recursos muitos profissionais bemintencionados acabam confundindo estes termos Portanto vamos esclarecer as diferenças entre mapa de processos e diagrama assim como de modelo de processos BPM Quando se usa uma ferramenta de modelagem de processos o objetivo é gerar um modelo de processos de negócios que é algo bem mais amplo que o diagrama e o mapa dos processos O modelo contém informações mais completas a maneira como as informações fluem e já tem até capacidade de simulação Existe uma hierarquia de complexidade que começa com o diagrama de processo depois o mapa de processos e finalmente o modelo de processos bem mais abrangente Vamos iniciar com um exemplo simples de diagrama o que será suficiente para se entender este conceito Na sequência apresentaremos mapas de processos com exemplos detalhados Veja acadêmico que não há muitas informações apenas o início e fim com as tarefas cruas e sem detalhamento DIAGRAMA DE PROCESSO FONTE Veyrat 2016a sp Nos exemplos de mapa de fluxo a seguir note como há uma riqueza bem maior de informações TÓPICO 3 RESPONSÁVEIS PELOS PROCESSOS E OUTRAS CONSIDERAÇÕES 67 MAPA DE PROCESSOS EXEMPLO DE MELHORIA FONTE Veyrat 2016a sp Note que neste exemplo de mapa de processo de melhoria existem muitos outros detalhes como desvios tipos de eventos iniciais instâncias usuários e outras informações 68 UNIDADE 1 FUNDAMENTOS DE PROCESSO DE NEGÓCIO MAPA DE PROCESSOS EXEMPLO DE SERVICE DESK FONTE Veyrat 2016a sp Perceba neste modelo de mapa de processo Service Desk como além dos itens mencionados acima existe até escalação de processos e mensagens TÓPICO 3 RESPONSÁVEIS PELOS PROCESSOS E OUTRAS CONSIDERAÇÕES 69 MAPA DE PROCESSOS EXEMPLO DE RECRUTAMENTO E SELEÇÃO FONTE Veyrat 2016a sp Este exemplo de mapa de fluxo de processo de recrutamento e seleção inclui um elemento novo objetos de dados 70 UNIDADE 1 FUNDAMENTOS DE PROCESSO DE NEGÓCIO MAPA DE MAPA DE FLUXO DE PROCESSO DE VENDAS FONTE Veyrat 2016a sp Repare que neste modelo de fluxo de processos de vendas aparece mais uma notação BPMN 20 o temporizador no canto inferior esquerdo de algumas tarefas TÓPICO 3 RESPONSÁVEIS PELOS PROCESSOS E OUTRAS CONSIDERAÇÕES 71 MAPA DE FLUXO DE ATENDIMENTO AO CLIENTE FONTE Veyrat 2016a sp FONTE VEYRAT Pierre Definição e 5 exemplos de mapa de processos Venki 2016 Disponível em httpswwwvenkicombrblogexemplosmapadeprocessos Acesso em 26 maio 2020 72 RESUMO DO TÓPICO 3 Neste tópico você aprendeu que O gestor de processo é a pessoa responsável pela gestão de pessoas envolvidas no processo O responsável precisa zelar tanto pelo desempenho do processo como pela sua melhoria contínua É importante que os responsáveis pelo processo tenham em mente que quanto maior a quantidade de camadas maior será o tempo de execução da modelagem dos processos envolvidos no projeto CAVALCANTI 2017 p 37 Trabalhar com escritório de processos traz eficiência para a organização e modifica o perfil organizacional O escritório de processos está relacionado ao modelo de governança de processos A governança de processos é um conjunto de objetivos políticas diretrizes e atividades da gestão dos processos de negócios CAVALCANTI 2017 p 45 O modelo de governança de processos adotado deverá criar a base com a qual a organização poderá gradualmente compreender e mudar seus processos garantindo que todos os colaboradores tenham uma visão compartilhada de como funciona a organização CAVALCANTI 2017 p 45 A estrutura funcional de governança deverá apresentar um Comitê de Processos composto pelo Chefe ou Gerente de Processos e os Executivos de Processos também chamados de Patrocinadores Os principais atores envolvidos no processo são patrocinador gestor de processo equipe responsável pela modelagem executores do processo demais envolvidos no processo e equipe de automação O patrocinador é o responsável pelo projeto de modelagem de processos perante a organização O patrocinador atua no nível estratégico e é o gestor máximo da unidade responsável pelo processo a ser modelado 73 O patrocinador possui as atribuições de I indicar o gestor e a equipe responsável pela modelagem do processo II atuar como interlocutor entre os participantes do projeto de modelagem e a alta administração III resolver as questões conflitantes IV viabilizar os recursos necessários para o alcance das melhorias identificadas V assegurar que os ganhos do processo sejam alcançados VI monitorar o andamento do projeto VII garantir que toda a documentação gerada seja amplamente divulgada O gestor do processo é o responsável pela maior parte da gestão operacional do processo e após sua conclusão o responsável pela gestão do dia a dia O gestor do processo atua no nível tático e é o gestor responsável pela maior parte da gestão operacional do processo O gestor do processo possui as atribuições de I atuar como interlocutor entre a equipe responsável pela modelagem os demais envolvidos no processo e o patrocinador II prover informações sobre o desempenho e funcionamento do processo III garantir a implementação de melhorias e inovações no processo IV zelar pela padronização do processo na organização V responsabilizar se pela gestão do dia a dia do processo VI Manter os envolvidos atualizados sobre o desempenho e o resultado dos indicadores do processo modelado V cuidar do relacionamento das interfaces com os demais processos da organização A equipe responsável pela modelagem é o profissional ou grupo responsável por desenvolver esforços de melhoria e inovação no projeto de modelagem do processo A equipe responsável pela modelagem precisa I possuir capacidade analítica conhecimento do negócio e habilidades de relacionamento e comunicação para desenvolvimento do trabalho de modelagem de processos II conhecer técnicas e ferramental que possam contribuir para a modelagem de processos III ser parte do grupo com atribuições relacionadas ao processo IV estar comprometido com o trabalho de gestão por processos V valorizar a experiência as habilidades e as contribuições uns dos outros para alcançar o objetivo final do projeto A equipe responsável pela modelagem possui as atribuições de I conduzir do ponto de vista técnico o trabalho de modelagem do processo II auxiliar o patrocinador e o gestor do processo na execução do projeto de modelagem do processo III auxiliar na implantação do processo na organização Os executores do processo são colaboradores individualmente ou em grupo responsáveis pela execução direta das atividades vinculadas ao processo 74 Os executores do processo precisam I atuar no nível operacional Os executores do processo possuem as atribuições de I prover informações à equipe responsável pela modelagem quanto à execução do processo II apoiar os envolvidos no projeto de modelagem do processo III executar as melhorias propostas sugerindo ações corretivas para um melhor desempenho do processo IV manter a padronização do processo na organização Os demais envolvidos no processo são pessoas ou unidades da organização impactadas de alguma forma pela execução implantação e pelas melhorias e que podem exercer influência sobre os objetivos e resultados do projeto de modelagem do processo Os demais envolvidos no processo precisam I possuir algum interesse afetado ou impactado pelos processos Os demais envolvidos no processo possuem as atribuições de I prover informações quanto à viabilidade técnica e aos requisitos que possam nortear as melhorias propostas II apoiar os participantes do projeto de modelagem do processo III executar ou implantar as melhorias propostas sugerindo ações corretivas para o aumento do desempenho do processo A equipe de automação é o profissional ou grupo responsável pelo desenvolvimento de aplicação destinada à automatização do processo modelado tomando por base a especificação e as regras de negócio definidas em conjunto durante o redesenho do processo do projeto de modelagem do processo A equipe de automação precisa I possuir conhecimentos sobre desenvolvimento de software e sobre ferramentas de workflow II conhecer aplicativos facilitadores da gestão do conhecimento referentes a processos de negócios III ter uma visão holística do negócio da organização A equipe de automação possui atribuições de I analisar os requisitos funcionais e a especificação definida para o processo modelado II analisar detidamente as regras de negócio do processo para atendimento das necessidades da organização III elaborar a documentação consistente do processo automatizado IV realizar os testes de integridade confidencialidade e conformidade necessários à adequada implantação do processo automatizado O responsável pelo desenho do processo conseguirá atuar de forma mais significativa se ele entender de gestão de pessoas A motivação referese às forças internas de uma pessoa responsável pela ativação direção intensidade e persistência do esforço despendido no trabalho 75 Ficou alguma dúvida Construímos uma trilha de aprendizagem pensando em facilitar sua compreensão Acesse o QR Code que levará ao AVA e veja as novidades que preparamos para seu estudo CHAMADA A motivação depende de diversos fatores como cultura dos projetos sistemas de recompensas o contexto do trabalho o ambiente de trabalho da supervisão sucessos anteriores competição e em acreditar no que é feito Conflitos causados por problemas de comunicação são os mais comuns e acontecem em todas as fases de modelagem de processo ou ciclo de vida de projeto 76 1 O gestor de processo é a pessoa responsável pela gestão de pessoas envolvidas no processo O responsável precisa zelar tanto pelo desempenho do processo como pela sua melhoria contínua Portanto é necessário que o gestor do processo interaja com todas as áreas da organização que atuam no processo bem como é de sua responsabilidade a operação e gestão do processo Para Cavalcanti 2017 p 37 É importante que os responsáveis pelo processo tenham em mente que quanto maior a quantidade de camadas maior será o tempo de execução da modelagem dos processos envolvidos no projeto Tendo isso em mente responda às questões de 1 até 5 indicando a definição requisitos e atribuições 1 Patrocinador Definição Requisitos Atribuições 2 Gestor do processo Definição Requisitos Atribuições 3 Equipe responsável pela modelagem Definição Requisitos Atribuições 4 Executores do processo Definição Requisitos Atribuições 5 Equipe de automação Definição Requisitos Atribuições AUTOATIVIDADE 77 UNIDADE 2 NOTAÇÃO OBJETIVOS DE APRENDIZAGEM PLANO DE ESTUDOS A partir do estudo desta unidade você deverá ser capaz de definir a notação BPMN no contexto da metodologia notação Business Process Model na Notation BPMN compreender a importância de se utilizar a notação Business Process Model na Notation BPMN identificar os três tipos de notação de processo de negócio IDEF0 a Architecture for Integrated Information Systems ARIS e Business Process Manager and Notation BPMN conhecer os três tipos básicos dos diagramas de processos de negócio saber os elementos essenciais utilizados na BPMN sua descrição sua notação e a categoria a qual pertence identificar os símbolos elementares da notação BPMN bem como os mais avançados conhecer ferramentas para realizar o mapeamento de processos de negócio Esta unidade está dividida em três tópicos No decorrer da unidade você encontrará autoatividades com o objetivo de reforçar o conteúdo apresentado TÓPICO 1 MODELANDO PROCESSOS DE NEGÓCIOS TÓPICO 2 CONHECENDO MELHOR A NOTAÇÃO BPMN TÓPICO 3 AINDA MAIS SOBRE BPMN Preparado para ampliar seus conhecimentos Respire e vamos em frente Procure um ambiente que facilite a concentração assim absorverá melhor as informações CHAMADA 79 UNIDADE 2 TÓPICO 1 MODELANDO PROCESSOS DE NEGÓCIOS 1 INTRODUÇÃO A modelagem de processos possui um papel essencial uma vez que atua na documentação e na comunicação do negócio a partir da representação gráfica de modelos que ilustram os processos da organização Essa representação demonstra os detalhes desses processos como entradas fluxos responsabilidades saídas entre outros além de suas interrelações com outros processos Desta forma precisamos utilizar na modelagem de processo alguma notação que possibilitem que nossa ideia referente a uma área do conhecimento seja registrada e expressada Campos 2014 p 73 coloca que Uma notação pode ser comparada a um idioma Ela possui um sistema definido com padrões e regras de tal modo que seja possível registrar e expressar ideias de um determinado domínio do conhecimento Assim vamos primeiramente ver algumas das notações de processo de negócio UNIDADE 2 NOTAÇÃO 80 QUADRO 1 TRÊS TIPOS DE NOTAÇÃO DE PROCESSO DE NEGÓCIO NOTAÇÃO DESCRIÇÃO IDEF0 A partir de uma iniciativa da força aérea americana foi elaborado um conjunto de notações para a modelagem de processos de informação de dados de simulação e para diversos outros fins Cada notação recebeu um número formando assim a família IDEF IDEF0 IDEF1 IDEF2 etc A notação para a modelagem funcional ou modelagem de processos foi à primeira tendo sido batizada de IDEF0 A figura Notação IDEF0 a seguir apresenta a estrutura básica para representação de uma função IDEF0 A função referese ao trabalho realizado e portanto pode descrever uma tarefa atividade um processo conjunto de atividades ou um macroprocesso conjunto de processos A função recebe uma ou mais entradas processa essas entradas respeitando as premissas e restrições estabelecidas pelos controles e utiliza os recursos oferecidos pelos mecanismos de modo a gerar uma ou mais saídas A compreensão de um determinado processo modelado em IDEF0 se dá de maneira progressiva ao passo que cada função é explodida ou seja ampliada em suas funções menores Assim cada diagrama é classificado por seu nível sendo o nível 0 o diagrama de nível mais geral o nível 1 o detalhamento de uma das funções do nível 0 o nível 2 o detalhamento de uma das funções do nível 1 e assim por diante NOTAÇÃO IDEF0 2 NOTAÇÃO PARA PROCESSO DE NEGÓCIO Existem algumas notações vamos colocar algumas delas no Quadro 1 Função Entradas Saídas Controles Mecanismo TÓPICO 1 MODELANDO PROCESSOS DE NEGÓCIOS 81 Architecture for Integrated Information Systems ARIS A notação ARIS possui uma ampla gama de elementos e permite inclusive modelar alguns aspectos além do próprio processo de negócio A notação começou a ser construída em fins da década de 1970 e mais tarde em 1984 o Dr Sheer fundou a empresa IDS Sheer para comercializar soluções relacionadas com sua notação Para a modelagem de processos a notação trabalha com dois elementos principais I O ValueAdded Chain VAC II O Eventdriven Process Chain EPC A notação VAC é usada para o diagrama de nível 0 e o segundo para os demais níveis A figura Notação ARIS a seguir exemplifica isto com base no mesmo processo que já observamos na notação IDEF0 Acadêmico verifique que ao compararmos as duas notações para o nível 0 podemos perceber que na notação ARIS há uma certa simplificação com menos informações no nível inicial A vantagem é ser menos poluída visualmente e a desvantagem é oferecer menos informação A ampliação desses processos se dará pela utilização de um modelo diferente ainda que pertencente à família ARIS De fato para modelarmos processos em ARIS precisaremos trabalhar com duas notações diferentes o VAC e o EPC NOTAÇÃO ARIS Planejar Comprar Receber UNIDADE 2 NOTAÇÃO 82 Business Process Manager and Notation BPMN Em 2002 um grupo conhecido por Business Process Management Initiative BPMI iniciou o desenvolvimento de uma notação gráfica para a representação de processos de negócio chamada de BPMN Nesse mesmo ano outro grupo o WorkFlow Management Coalition WFMC também começou a construir um padrão formal escrito para a representação de processos chamado XML Process Definition Language XPDL A notação BPMN despertou rapidamente o interesse do mercado e da academia e por isso em 2006 uma importante organização internacional criada para apoiar a construção de padrões e publicálos a Object Management Group OMG se responsabilizou pela manutenção e evolução da notação BPMN A OMG percebeu que a notação BPMN não tinha o suporte de uma linguagem formal e a linguagem XPDL não contava com uma forma de representação gráfica Então essas duas tecnologias foram integradas e hoje a notação BPMN conta com uma linguagem formal de representação O objetivo principal da BPMN é ser facilmente compreendida por pessoas de modo a facilitar a explicitação dos processos de negócio modelados na notação Talvez este seja o principal motivo do sucesso dessa notação que nos últimos anos praticamente dominou o cenário mundial da modelagem de processos tanto no mercado quanto na academia No entanto a notação apresenta outras vantagens Uma grande vantagem da BPMN é que ela é uma notação de padrão aberto Isso significa que embora mantida pela OMG não é de propriedade de nenhuma empresa Por isso qualquer indivíduo que queira contribuir com a evolução da notação poderão enviar suas contribuições para o grupo da OMG que cuida dela O mais importante é que qualquer fornecedor pode acessar a especificação da notação e desenvolver ferramentas baseadas nela sem a necessidade de pagar royalties ou outras taxas pelo seu uso Como resultado muitos fornecedores dispõem de ferramentas de modelagem BPMN inclusive algumas delas gratuitamente Outro benefício da notação reside exatamente na sua padronização e disponibilização pela OMG Como ela possui uma linguagem formal de representação é possível construir um modelo em uma ferramenta do fornecedor A exportar no padrão XPDL e importar em outra ferramenta desde que as ferramentas tenham sido construídas conforme os padrões publicados Isso oferece maior oferta de produtos e menor dependência de tecnologias uma vez que as organizações poderão migrar mais facilmente de uma tecnologia para outra mantendose na mesma notação No caso do Brasil o governo realizou uma pesquisa comparativa entre diversas notações para modelagem de processos considerando os fatores positivos e negativos de cada uma delas Esse trabalho resultou na recomendação da notação BPMN para os projetos de governo De fato mais do que uma recomendação tratase de uma determinação que pode ser vista na arquitetura nos Padrões de Interoperabilidade de Governo Eletrônico ePING Diante de todos esses argumentos concretos não é difícil entender o motivo pelo qual a notação BPMN foi à escolhida para a condução dos trabalhos neste livro Sendo assim vamos representar o mesmo processo utilizado para ilustrar as notações IDEF0 e ARIS e aproveitar para analisar brevemente as diferenças e similaridades entre elas e a notação BPMN O mesmo processo já modelado em IDEF0 e em ARIS é agora apresentado na figura Notação BPMN a seguir modelado em BPMN Uma primeira observação já demonstra uma superioridade semântica sobre as demais notações É fácil identificar os atores que realizam as atividades quem faz o quê e o fluxo temporal dessas atividades quando Também os artefatos ou informações que são produzidos e consumidos ao logo do processo ficam muito bem marcados Em BPMN podemos utilizar já no diagrama de nível 0 todos os elementos da notação Um gateway foi propositalmente adicionado aquele losango entre Comprar e Receber Isso foi feito exatamente para mostrar a força semântica da notação que esclareceu visualmente nesse caso que os materiais são recebidos pela própria área de compras mas os serviços são recebidos pelo solicitante que atesta o recebimento TÓPICO 1 MODELANDO PROCESSOS DE NEGÓCIOS 83 FONTE Adaptado de Campos 2014 Segundo Correia Júnior 2020 ao adotarmos a notação Business Process Model and Notation BPMN estamos utilizando um padrão internacional aceito em toda comunidade uma notação que independe da metodologia adotada da modelagem dos processos aproxima os processos de negócio e sua implementação pois cria uma ponte padronizada e possibilita que as modelagens dos processos de negócio sejam realizadas de forma padronizada e unificada Mas além da notação BPMN existem outras que também podem ser utilizadas UNIDADE 2 NOTAÇÃO 84 Para consolidarmos o conhecimento referente ao tema desta unidade indicamos os seguintes links para estudos a seguir Um guia para iniciar estudos em BPMN I atividades e sequência Esta é uma série de artigos sobre BPMN trazendo conceitos e explicando os elementos utilizados nesta notação Acesse no link httpblogiprocesscombr201211umguiaparainiciar estudosembpmniatividadesesequencia O que é BPM afinal Gerenciamento de processos de negócio esse texto traz explicações de forma bem sintética sobre o Gerenciamento de processos de negócio Acesse no link httpwwwadministradorescombrartigosnegociosoqueebpmafinal gerenciamentodeprocessosdenegocio99167 Aula 1 do Curso de BPMN 20 O básico o vídeo apresenta os elementos básicos de BPMN mostrando sua representação e função Assista em httpswwwyoutubecom embedKdCwaOp7zE Acesso em 13 ago 2020 Leia a Dissertação modelo para condução de mapeamento de processo organizacional uma abordagem BPM com base no MAIA em especial a partir do tópico 6 sobre processo organizacional até o fim do item 8 sobre Business Process Management Leia em http repositoriounbbrbitstream104821526912013ElisabethdeAraujoFerreirapdf DICAS Como vimos na Unidade 1 todo processo ou atividade deve ter alguém responsável por garantir que o processo ou atividade seja realizado Esse gerente de processo pode ser um líder de equipe um supervisor ou um gerente responsável por várias outras atividades É o gerente responsável por garantir que o processo tenha os recursos necessários que os funcionários conheçam e realizem seus trabalhos e que os funcionários recebam feedback quando tiverem sucesso ou quando falharem em executar corretamente É tão provável que um processo seja interrompido porque o gerente não está realizando seu trabalho quando o processo é interrompido devido ao fluxo de atividades ou ao trabalho dos funcionários HARMON 2019 Frequentemente é desenvolvido um diagrama de fluxo para garantir que entendemos os subprocessos e o fluxo entre eles Além disso são solicitadas a todos os envolvidos no processo várias perguntas para explorar as possibilidades que elencamos para você apresentadas na Figura 1 e na Figura 2 as suas respectivas descrições TÓPICO 1 MODELANDO PROCESSOS DE NEGÓCIOS 85 FIGURA 1 PERGUNTAS A SEREM EXPLORADAS Processo de tomada de decisão Entradas e saídas de subprocessos Problemas com completude lógica Problemas de sequenciamento e duplicação FONTE A autora FIGURA 2 DESCRIÇÕES DA PERGUNTAS APRESENTADAS NA FIGURA 1 FONTE Adaptada de Harmon 2019 Problemas com completude lógica Algumas atividades não estão conectadas a outras atividades relacionadas Algumas saídas não têm para onde ir Algumas entradas não têm para onde ir Problemas de sequenciamento e duplicação Algumas atividades são executadas na ordem errada Algumas atividades são executadas sequencialmente que podem ser realizadas em paralelo O trabalho é feito e em seguida colocado no inventário até ser necessário Algumas atividades são realizadas mais de uma vez Não há regras para determinar ou priorizar fluxos entre determinadas atividades ou indivíduos Entradas e saídas de subprocessos As entradas e saídas de subprocessos estão incorretas ou estão inadequadamente especificadas As entradas ou saídas do subprocesso podem ser de qualidade inadequada quantidade insuficiente ou prematuras Os subprocessos obtêm entradas ou produzem saídas desnecessárias Alguns subprocessos fazem coisas que contribuem para mais trabalho para outros subprocessos Processo de tomada de decisão O processo em escopo ou um de seus subprocessos é chamado a tomar decisões sem as informações adequadas ou necessárias O processo em escopo ou um de seus subprocessos é necessário para tomar decisões sem orientação adequada ou completa da cadeia ou organização de valor por exemplo decisões estão sendo tomadas sem políticas declaradas ou sem regras comerciais específicas O objetivo é trazermos as noções básicas ou elementos básicos do diagrama de processo de negócio também conhecido como fluxo de trabalho UNIDADE 2 NOTAÇÃO 86 3 DIAGRAMA DE PROCESSO DE NEGÓCIO Business Process Diagram BPD Segundo Correia Júnior 2020 p 60 existem três tipos básicos deste tipo de diagrama conforme tabulamos no Quadro 2 QUADRO 2 TRÊS TIPOS DE DIAGRAMAS DE PROCESSO DE NEGÓCIO DIAGRAMA DESCRIÇÃO PRIVATE INTERNAL BUSINESS PROCESS Também conhecido como Diagramas de processos de negócios privados Ele pode ser utilizado quando o processo não for necessário a interação desse processo com outros com os quais ele possa interagir Nesse caso se está preocupado com o teor deste fluxo em si ABSTRACT PUBLIC PROCESS Também conhecidos como processos abstratos Esse tipo de diagrama representa uma interação entre um processo de negócio privativo outro processo ou participante Nesse tipo de diagrama não nos preocupamos com o conteúdo do fluxo em si mas sim como ele colabora com os outros fluxos dentro de um sistema TÓPICO 1 MODELANDO PROCESSOS DE NEGÓCIOS 87 COLABORATION GLOBAL PROCESS O processo colaborativo descreve a interação entre duas ou mais entidades do negócio Essas interações são definidas como uma sequência de atividades que representam o padrão de mensagens entre as atividades envolvidas Portanto acadêmico o processo colaborativo pode ser entendido como sendo dois ou mais processos abstratos comunicando entre si Já no processo abstrato as atividades que são as participantes na colaboração podem ser consideradas como sendo os pontos de contato entre os participantes FONTE Adaptado de Correia Júnior 2020 4 ELEMENTOS BÁSICOS DA NOTAÇÃO O principal objetivo para o desenvolvimento do BPMN é que fosse uma notação simples e adaptável para os analistas de negócio Para ajudar a entender como o BPMN pode gerenciar as necessidades da organização a lista de elementos gráficos do BPMN é apresentada em dois grupos Segundo Correia Júnior 2020 p 107 Primeiro existe a lista de elementos essenciais CORE ELEMENTS que irá suportar os requerimentos necessários para uma notação simples Estes são os elementos que definem o layout básico do BPMN Muitos processos de negócios poderão ser modelados adequadamente com estes elementos Segundo existe uma lista completa de elementos os quais ajudarão a suportar requerimentos de uma poderosa notação para gerenciar situações de modelagem mais avançadas Acadêmico sempre tenha em mente que o propósito do desenvolvimento do BPMN foi o de possibilitar a criação de modelos de processos de negócio por meio de um mecanismo simples Apesar da simplicidade também se objetivou UNIDADE 2 NOTAÇÃO 88 que o BPMN também manipulasse a complexidade existente em um processo de negócio Segundo Correia Júnior 2020 p 117 A abordagem empregada para manipular estes dois requerimentos conflitantes foi organizar as figuras gráficas para anotação dentro de categorias específicas Campos 2014 p 78 coloca que A partir dos elementos básicos já é possível fazer um bom trabalho de modelagem e com o tempo prosseguir para os elementos digamos assim mais avançados Correia Júnior 2020 complementa que o BPMN pode ser agrupado em um conjunto de quatro categorias para que a pessoa que estiver utilizando o diagrama possa de maneira fácil identificar os tipos básicos dos elementos e compreender o diagrama Dentro dessas quatro categorias básicas de elementos apresentadas na Figura 3 informações e modificações adicionais também podem ser adicionadas visando auxiliar a necessidade da complexidade sem alterar drasticamente a aparência do diagrama FIGURA 3 AS QUATRO CATEGORIAS BÁSICAS FONTE A autora Artifacts artefatos Swimlanes raia de piscina Flow objects objetos de fluxo Connecting objects objetos de conexão Flow objects objetos de fluxos Os Flow objects objetos de fluxos são os principais elementos gráficos para definir o comportamento do processo de negócio A Figura 4 traz os três tipos de objetos de fluxos existentes CORREIA JÚNIOR 2020 FIGURA 4 OS TRÊS TIPOS DE OBJETOS DE FLUXOS FONTE A autora Gateways decisões Events eventos Activities atividades TÓPICO 1 MODELANDO PROCESSOS DE NEGÓCIOS 89 A notação BPMN permite que representemos coisas que ocorrem ao longo do processo que são denominadas de eventos Campos 2014 p 94 observa que Os eventos aumentam a compreensão do modelo e devem ser utilizados sempre que precisarmos destacar uma determinada ocorrência em um processo Os casos mais típicos são o início e o fim do processo mas podem ser utilizados em outros casos De forma geral os eventos são classificados em I eventos de início II eventos intermediários III eventos de fim Na notação BMPN O círculo com borda fina representa o evento de início do processo Os círculos com borda dupla representam os eventos intermediários ou seja aqueles que ocorrem ao longo do processo E o círculo com borda grossa representa o fim do processo CAMPOS 2014 p 94 Um processo leva tempo Já um evento por outro lado é simplesmente um ponto no tempo Especificamente é o momento em que um processo foi concluído e gerou uma saída HARMON 2020 Harmon 2020 observa que os processos da realidade são ocasionalmente organizados de forma que uma série de processos se suceda sem que ocorra tempo algum entre eles Em outras situações um processo concluirá e colocará sua saída em uma lixeira nos quais poderá esperar horas ou dias até ser removido pelo processo subsequente Os eventos geralmente são descritos com nomes que descrevem o artefato e que passa entre dois processos Lembrese acadêmico eventos não são atividades Eventos são fatos que ocorreram que de maneira geral são com verbos no pretérito perfeito Podemos dizer que os eventos geralmente são descritos com nomes que descrevem o artefato que passa entre dois processos IMPORTANTE Para Campos 2014 p 88 Ao representarmos um processo nosso objetivo principal é descrever o trabalho realizado É importante lembrarmos que um processo é uma sequência de atividades com um objetivo específico Ou seja em um nível conceitual podemos dizer que um processo existe para tratar insumos e então produzir resultados Os insumos e resultados de um processo podem incluir informações como documentos dados em sistemas e elementos físicos como material CAMPOS 2014 p 88 UNIDADE 2 NOTAÇÃO 90 Portanto acadêmico a transformação das entradas em saídas precisa que seja realizado um trabalho e este trabalho é o que se chama de atividade Dessa forma um processo é uma sequência de atividades Mas cada atividade pode ser decomposta em mais atividades o que também a classificaria como um processo CAMPOS 2014 p 89 Portanto podemos dizer que um processo pode ser uma coleção de atividades de subprocessos ou de atividades e subprocessos CAMPOS 2014 p 89 Lembrese acadêmico as atividades de maneira geral são descritas em verbos no infinitivo IMPORTANTE Para alteramos os caminhos precisamos trabalhar com gateways As atividades em sequência podem necessitar de uma representação com exceções de um processo Uma exceção é a ocorrência de um fluxo diferente do caminho natural do processo Por exemplo o que aconteceria se a organização recebesse um bem ou serviço diferente daquele que foi solicitado CAMPOS 2014 p 91 O registro da possível exceção no processo por meio da utilização de um losango Na notação BPMN o losango é chamado de gateway Segundo Campos 2014 p 92 Os gateways servem para realizar divisões ou junções de fluxo Connecting objects objetos de conexão A conexão dos objetos que participam do fluxo do processo com outra informação acontece por meio de três objetos CORREIA JÚNIOR 2020 Veja a Figura 5 que traz esses três objetos de conexão Association Associação Sequence flow Fluxo de sequência Message flow Fluxo de mensagem FIGURA 5 OS TRÊS OBJETOS DE CONEXOS FONTE A autora TÓPICO 1 MODELANDO PROCESSOS DE NEGÓCIOS 91 Swimlanes raia de piscina Os elementos de modelagem básica podem ser agrupados de duas maneiras como apresentados na Figura 6 CORREIA JÚNIOR 2020 FIGURA 6 ELEMENTOS SWIMLANES FONTE A autora Lane Raia Pool Piscina Pools e Lanes são utilizados para indicar quem faz o quê Segundo Correia Júnior 2020 p 656 À medida que você progride na modelagem de fluxo de processo você pega os processos eventos e gateways do diagrama de processo de negócio e os colocam dentro de Pools ou Lanes Um Pool é um desenho com uma região retangular desenhada horizontalmente através do diagrama Uma Lane é uma subpartição dentro do Pool e estendese por todo comprimento do Pool Tipicamente um Pool representa uma organização e a Lane representa os departamentos dentro desta organização Pegando os processos e colocandoos dentro de um Pool ou Lanes você está especificando QUEM faz O QUÊ especificando para eventos ONDE eles ocorrem e para os gateways ONDE AS DECISÕES são tomadas ou QUEM as toma Uma boa analogia para esta representação é uma piscina Segundo Correia Júnior 2020 p 678 um processo pode ser imaginado como sendo uma piscina com raias dentro dela e a troca de raias como a necessidade de realizar uma atividade dentro dela Então um Pool pode ser considerado como uma piscina de recursos Correia Júnior 2020 p 678 ainda coloca que Existe ocasião em que o processo necessita saltar para outro Pool porque este tem diferentes recursos necessários para completar a atividade Ilustramos na Figura 7 a notação de pool e lane UNIDADE 2 NOTAÇÃO 92 FIGURA 7 POOL E LANE FONTE Correia Júnior 2020 p 666 POOL Lane 2 Lane 3 Um Pool pode representar outras coisas além de uma organização tais como uma Função algo que a organização realiza tal como vendas treinamentos ou compras uma aplicação ou programa de computador uma localização uma localização física na companhia uma classe um módulo de um software em um programa orientado a objeto ou uma entidade representação lógica de uma tabela de um banco de dados Ele pode somente representar uma coisa Mais esta coisa pode ser de diferentes tipos Concluindo BPMN está destinado a ser o novo padrão de modelagem de processos de negócio e Web Services Ele é projetado para lhe permitir facilmente modelar típicos processos de negócios e oferecem a capacidade de modelar processos de negócios complexos incluindo Artifacts artefatos Os artefatos são utilizados para prover informações adicionais referentes ao processo e também podemos adicionar outros artefatos na modelagem de software Segundo Correia Júnior 2020 temos três artefatos como apresentados na Figura 8 FIGURA 8 OS TRÊS ARTEFATOS FONTE A autora Annotation Anotação Data Object Objeto de Dados Group Grupos TÓPICO 1 MODELANDO PROCESSOS DE NEGÓCIOS 93 Campos 2014 p 96 coloca que o objeto de dados são os dados produzidos e consumidos eles são a descrição visual das informações que são utilizadas e produzidas ao longo do processo Este elemento além de ajudar a compreender o que acontece em cada processo e em cada atividade é o mecanismo que utilizamos para ligar dois processos Para Campos 2014 p 96 A ligação entre dois processos ocorre pela transmissão de informações uma vez que os dados produzidos em um processo são consumidos em outro Outro ponto que você deve ter em mente é que mesmo dentro de um processo as informações produzidas por uma atividade são consumidas por outras atividades Assim dados e informações sendo os elementos que unem todas as atividades e os processos em uma organização e naturalmente nos modelos desses processos CAMPOS 2014 p 96 Isto é exemplificado na Figura 9 FIGURA 9 REPRESENTAÇÃO EM DADOS EM PROCESSOS FONTE Campos 2014 p 97 UNIDADE 2 NOTAÇÃO 94 Na Figura 9 nós podemos observar que cada processo está produzindo uma informação ou dado chamado Data Object na notação BPMN O objeto de dados produzido por um processo é utilizado ou é consumido no processo subsequente Pela referida figura também podemos perceber as setas do fluxo Elas mostram a sequência de execução dos processos mas os Data Objects mostram o que cada processo produz e o que o próximo processo recebe para trabalhar Assim ao analisar um modelo podemos saber o que é feito em que ordem por que é feito até certo ponto CAMPOS 2014 p 97 Além disso também podemos observar os resultados que são gerados por esse trabalho 41 LISTA DE ELEMENTOS ESSENCIAIS DE MODELAGEM DESCRITOS NA NOTAÇÃO O Quadro 3 traz a lista dos elementos essenciais de modelagem que são utilizados na notação BPMN contendo a categoria o elemento a descrição e a notação correspondente TÓPICO 1 MODELANDO PROCESSOS DE NEGÓCIOS 95 QUADRO 3 ELEMENTOS ESSENCIAIS DE MODELAGEM QUE SÃO UTILIZADOS NA NOTAÇÃO BPMN CATEGORIA ELEMENTO DESCRIÇÃO FLOW OBJECTS OBJETOS DE FLUXO Events Eventos Um evento é alguma coisa que acontece durante o curso de um processo de negócio Esses eventos afetam o fluxo do processo e usualmente tem uma causa Gatilho ou um impacto resultado Eventos são representados por círculos vazados para permitir sinalização que identificarão os Gatilhos ou resultados Existem três tipos eventos Início Intermediário e Final Activities Atividades Atividade é um termo genérico para o trabalho que a empresa realiza Uma atividade pode ser atômica ou não atômica composta Os tipos de atividades que fazem parte de um processo de negócio são processos subprocessos e tarefas Tarefas e subprocessos são representados por um retângulo arredondado Os processos podem ser representados ou por um retângulo arredondado ou incluído dentro de um POOL Gateways Decisões Uma decisão é usada para controlar as ramificações e os encontros dos Fluxos de sequência sequence Flow Desta forma ele irá determinar as ramificações consolidações e união dos caminhos A sinalização gráfica interna ao desenho irá indicar o tipo de comportamento da decisão CONNECTING OBJECTS OBJETOS DE CONEXÃO Sequence Flow Fluxo de sequência O fluxo de sequência é utilizado para mostrar a ordem em que as atividades serão processadas Message Flow Fluxo de mensagem Um fluxo de mensagem é usado para mostrar o fluxo de uma mensagem entre dois participantes que estão preparados para mandar ou recebê las No BPMN dois Pools piscinas no diagrama representam os dois participantes Association Associação Uma associação é utilizada para relacionar informações com os objetos de fluxo Textos e gráficos que não fazem parte do fluxo podem ser associados com os objetos de fluxo UNIDADE 2 NOTAÇÃO 96 SWIMLANES RAIA DE PISCINA Pool Piscina Um Pool piscina representa um participante dentro do processo Ele também atua como uma Swimlane e um recipiente gráfico para separar um conjunto de atividades de outro Pool geralmente em um contexto de situação de Business two Business B2B Lane Raia Uma Lane raia é uma subpartição dentro de um Pool piscina e irá ampliar o tamanho de um Pool piscina horizontalmente ou verticalmente Lane raia é utilizada para organizar e categorizar as atividades ARTIFACTS ARTEFATOS Data Object Objeto de Dados Objetos de dados Data Object são considerados artefatos porque eles não têm nenhum efeito direto sobre o fluxo de sequência ou fluxo de mensagem do processo mas eles podem fornecer informações sobre o que a atividade necessita para ser executado Group Grupo Uma caixa que circunda um grupo de objetos para propósito de documentação É um agrupamento de atividades que não afeta a sequência do fluxo O agrupamento pode ser utilizado para documentação ou análise Os grupos Groups podem também ser utilizados para identificar as atividades de uma transação distribuída em vários pools Annotation Anotação Ligada com uma associação Tação Uma anotação Annotation de texto é um mecanismo para que o modelador forneça informações adicionais para facilitar a leitura do diagrama por parte do usuário Nome NOME Nome Nome FONTE Adaptado de Correia Júnior 2020 97 Neste tópico você aprendeu que A importância de se utilizar a notação Business Process Model and Notation BPMN está relacionada a ser um padrão internacional de modelador de processos aceito pela comunidade CORREIA JÚNIOR 2020 p 48 A importância de se utilizar a notação Business Process Model and Notation BPMN está relacionada a ser independe de qualquer metodologia de modelador de processos CORREIA JÚNIOR 2020 p 48 A importância de se utilizar a notação Business Process Model and Notation BPMN está relacionada a criar uma ponte padronizada para diminuir a lacuna entre os processos de negócio e sua implementação CORREIA JÚNIOR 2020 p 48 A importância de se utilizar a notação Business Process Model and Notation BPMN está relacionada a permitir modelar o processo de uma maneira unificada e padronizada CORREIA JÚNIOR 2020 p 48 Ao se saber quais são os requisitos legais é necessário identificar quais são os controles apontados pelas normas de segurança Os problemas com completude lógica se referem I algumas atividades não estão conectadas a outras atividades relacionadas II algumas saídas não têm para onde ir e iii algumas entradas não têm para onde ir Os problemas de sequenciamento e duplicação se referem I algumas atividades são executadas na ordem errada II algumas atividades são executadas sequencialmente que podem ser realizadas em paralelo III o trabalho é feito e em seguida colocado no inventário até ser necessário IV algumas atividades são realizadas mais de uma vez e V não há regras para determinar ou priorizar fluxos entre determinadas atividades ou indivíduos Entradas e saídas de subprocessos se referem que I as entradas e saídas de subprocessos estão incorretas ou estão inadequadamente especificadas II as entradas ou saídas do subprocesso podem ser de qualidade inadequada quantidade insuficiente ou prematuras III os subprocessos obtêm entradas ou produzem saídas desnecessárias e IV alguns subprocessos fazem coisas que contribuem para mais trabalho para outros subprocessos RESUMO DO TÓPICO 1 98 Processos de tomada de decisão se referem I o processo em escopo ou um de seus subprocessos é chamado a tomar decisões sem as informações adequadas ou necessárias II o processo em escopo ou um de seus subprocessos é necessário para tomar decisões sem orientação adequada ou completa da cadeia ou organização de valor por exemplo decisões estão sendo tomadas sem políticas declaradas ou sem regras comerciais específicas Existem três tipos básicos de diagramas de processo de negócio Private Internal Business Process Abstract Public Process e Colaboration Global Process O Private Internal Business Process também é conhecido como diagramas de processos de negócios privados O Abstract Public Process também é conhecido como processos abstratos Esse tipo de diagrama representa uma interação entre um processo de negócio privativo e outro processo ou participante O Colaboration Global Process é processo colaborativo que descreve a interação entre duas ou mais entidades do negócio O principal objetivo para o desenvolvimento do BPMN é que fosse uma notação simples e adaptável para os analistas de negócio O propósito do desenvolvimento do BPMN foi o de possibilitar a criação de modelos de processos de negócio por meio de um mecanismo simples Apesar da simplicidade também se objetivou que o BPMN também manipulasse a complexidade existente em um processo de negócio O BPMN pode ser agrupado em um conjunto de quatro categorias para que a pessoa que estiver utilizando o diagrama possa de maneira fácil identificar os tipos básicos dos elementos e compreender o diagrama sendo elas Flow Objects Objetos de Fluxo Connecting Objects Objetos de Conexão Swimlanes Raia de piscina e Artifacts Artefatos Os Flow Objects Objetos de fluxos são os principais elementos gráficos para definir o comportamento do processo de negócio Existem três tipos de objetos de fluxos Events eventos Activities atividades e Gateways decisões A notação BPMN permite que representemos coisas que ocorrem ao longo do processo que são denominadas de eventos De forma geral os eventos são classificados em I eventos de início II eventos intermediários e III eventos de fim 99 Um processo leva tempo Já um evento por outro lado é simplesmente um ponto no tempo Especificamente é o momento em que um processo foi concluído e gerou uma saída HARMON 2020 Na notação BMPN O círculo com borda fina representa o evento de início do processo Os círculos com borda dupla representam os eventos intermediários ou seja aqueles que ocorrem ao longo do processo E o círculo com borda grossa representa o fim do processo CAMPOS 2014 p 94 Os eventos não são atividades Eventos são fatos que ocorreram que de maneira geral são com verbos no pretérito perfeito Podemos dizer que os eventos geralmente são descritos com nomes que descrevem o artefato que passa entre dois processos A transformação das entradas em saídas precisa que seja realizado um trabalho e este trabalho é o que se chama de atividade As atividades de maneira geral são descritas em verbos no infinitivo Para alteramos os caminhos precisamos trabalhar com gateways As atividades em sequência podem necessitar de uma representação com exceções de um processo Uma exceção é a ocorrência de um fluxo diferente do caminho natural do processo Por exemplo o que aconteceria se a organização recebesse um bem ou serviço diferente daquele que foi solicitado CAMPOS 2014 p 91 A conexão dos objetos que participam do fluxo do processo com outra informação acontece por meio de três objetos Sequence Flow fluxo de sequência Message Flow fluxo de mensagens e Association associação Os elementos de modelagem básica podem ser agrupados de duas maneiras Pool Piscina e Lane Raia Pools e Lanes são utilizados para indicarmos quem faz o quê Os artefatos são utilizados para prover informações adicionais referente ao processo como Data Object Objeto de dados Group grupos e Annotation anotação 100 AUTOATIVIDADE 1 Campos 2014 p 73 coloca que Uma notação pode ser comparada a um idioma Ela possui um sistema definido com padrões e regras de tal modo que seja possível registrar e expressar ideias de um determinado domínio do conhecimento Dentre os aspectos que devem ser levados em conta ao escolher uma notação para a modelagem de um processo classifique com V as sentenças verdadeiras e com F as sentenças falsas O conjunto de símbolos linguagem e técnica da notação permitem que somente os especialistas técnicos consigam entender o modelo A utilização da notação resulta em um desenho inconsistente que infelizmente não permite representar a realidade do modelo do processo A notação não possibilita importar e exportar modelos utilizando diferentes ferramentas O conjunto de símbolos linguagem e técnica da notação permitem que grande parte das pessoas consiga entender o modelo Assinale a alternativa com a sequência CORRETA a F F F V b F V F V c V V F V d F F V F 2 A notação BPMN traz vantagens como a sua utilização e compreensão em muitas organizações a facilidade que a notação proporciona em modelar diversos tipos de processos ao longo das áreas da organização a padronização de símbolos e a uniformização da terminologia da modelagem portanto devemos conhecer os elementos e os símbolos mais elementares desta notação Agora identifique nas questões de A a D a notação para cada elemento solicitado A Qual notação é utilizada para indicar um evento a b c d 101 B Qual notação é utilizada para indicar uma atividade a b c d C Qual notação é utilizada para indicar uma decisão a b c d D Qual notação é utilizada para indicar um fluxo de sequência a b c d 103 UNIDADE 2 TÓPICO 2 CONHECENDO MELHOR A NOTAÇÃO BPMN 1 INTRODUÇÃO A modelagem de eventos de negócio é formada no que acontece no negócio da organização e mostrando como eles interferem no fluxo do processo portanto um evento pode ser o ponto inicial de um processo podendo acontecer durante o fluxo do processo e finalizar o processo O BPMN fornece uma notação diferente para cada um desses tipos de eventos CORREIA JÚNIOR 2020 p 218 O Quadro 4 apresenta a notação básica dos tipos de eventos QUADRO 4 NOTAÇÃO BÁSICA DE TIPOS DE EVENTOS FONTE Adaptado de Correia Júnior 2020 p 224 START EVENTS EVENTO DE INÍCIO INTERMEDATE EVENTS EVENTO INTERMEDIÁRIO END EVENTS EVENTO DE FIM Inicia um processo Acontece durante o curso de um processo Finaliza o fluxo de um processo Acadêmico daqui em diante vamos estudar a modelagem de processos mais complexos 2 MODELANDO PROCESSOS DE EVENTOS MAIS COMPLEXOS Ao realizar a modelagem de fluxos de processos mais complexos é necessário que sejam modelados também eventos de processos mais complexos como de regras de negócios e condições de erro cronômetros ou temporizadores e mensagens O BPMN permite que você especifique o tipo de Gatilho start 104 UNIDADE 2 NOTAÇÃO do evento e o simbolize com um ícone representativo Especificar um tipo de gatilho para um evento coloca certas restrições no fluxo de processos que você está modelando CORREIA JÚNIOR 2020 p 235 Temos que ter em mente que um temporizador por exemplo não pode ser utilizado para finalizar um fluxo do processo O Quadro 5 traz de forma resumida a notação mais complexa para os três tipos de eventos que apresentamos no Quadro 4 QUADRO 5 NOTAÇÃO MAIS COMPLEXA PARA OS TIPOS DE EVENTOS DESCRIÇÃO START EVENTS EVENTO DE INÍCIO INTERMEDATE EVENTS EVENTO INTERMEDIÁRIO END EVENTS EVENTO DE FIM Uma mensagem chega de um participante ou gatilho de início do processo ou contínua o processo neste caso um evento intermediário Uma mensagem de fim denota a mensagem que será gerada ao fim do processo Mensagem de início Mensagem Mensagem de fim Uma mensagem chega de um participante ou gatilho de início do processo ou contínua o processo neste caso um evento intermediário Uma mensagem de fim denota a mensagem que será gerada ao fim do processo Temporizador de início Temporizador O temporizador não pode ser um evento de fim O evento é iniciado quando a condição da regra for verdadeira tal como faça novo pedido quando a quantidade do estoque for menor de 10 Regra de início Regra A regra não pode ser um evento de fim É utilizado para conectar atividade de um mesmo processo com a finalidade de deixar o diagrama mais limpo A ligação não pode ser um evento de início Ligação A ligação não pode ser um evento de fim Para um evento de múltiplo início existem múltiplas maneiras de desencadear o processo ou de continuar o processo no caso do evento intermediário Somente uma delas é necessária O atributo do evento define qual gatilho é acionado Para Múltiplo Fim existem múltiplas consequências na finalização do processo todos os quais irão ocorrer como por exemplos múltiplas mensagens Múltiplo início Múltiplo Múltiplo fim TÓPICO 2 CONHECENDO MELHOR A NOTAÇÃO BPMN 105 FONTE Adaptado de Correia Júnior 2020 21 EVENTOS DE INÍCIO Segundo Kirchof 2015 p 988 Um processo pode ser iniciado por um evento temporal ou seja um evento de tempo Algo que acontece a cada período de tempo ou em uma data específica Kirchof 2015 p 988 exemplifica como Algo que acontece a cada cinco minutos cinco dias ou cinco anos Ou pode ser algo que acontece sempre no dia 29 a cada cinco minutos cinco dias ou cinco anos Ou pode ser algo que acontece sempre no dia 29 de fevereiro Ou seja Um evento de exceção no fim informa ao mecanismo do processo que um erro deverá ser criado Este erro deverá ser um evento e exceção intermediária N o e v e n t o d e e x c e ç ã o intermediária ele só poderá ser usado conectado na borda de uma atividade A exceção não pode ser um evento de início Exceção Exceção no fim Um evento de compensação de fim informa ao mecanismo do processo que uma compensação é necessária Assim o identificador da compensação é usado pelo evento intermediário quando o processo está sofrendo um rollback Uma compensação não pode ser um evento de início Compensação Compensação no fim O evento de fim significa que o usuário decidiu cancelar o processo O processo é finalizado com um tratamento de evento normal Um cancelamento não pode ser um evento de início Cancelamento Cancelar no fim Este tipo de fim indica que todas as atividades dentro do processo deverão ser imediatamente finalizadas Isto inclui todas as instâncias das múltiplas instâncias O processo é finalizado sem compensação ou tratamento de evento Não se aplica Não se aplica Terminar Um sinal é usado para gerar comunicação dentro ou por meio de níveis de processos Pools e entre diagramas de processos Sinal de início Sinal Sinal de fim 106 UNIDADE 2 NOTAÇÃO o evento é descrito por uma linha simples com o desenho de um relógio no centro É importante descrever a condição temporal para o evento ou do contrário será difícil para quem lê o processo entender quando o processo é realmente iniciado KIRCHOF 2015 p 988 Veja a exemplificação pela Figura 10 FIGURA 10 EXEMPLO DA UTILIZAÇÃO DE EVENTO TEMPO TIMER EM INÍCIO FONTE Kirchof 2015 p 990 Um processo ainda pode iniciar em função de uma referida condição Essa condição geralmente pode ser representada por uma expressão que quando verdadeira provoca o início do processo A aplicação do conceito é bem diversa KIRCHOF 2015 p 990 exemplificado na Figura 11 FIGURA 11 EXEMPLO DA UTILIZAÇÃO DO EVENTO CONDIÇÃO CONDITIONAL EM INÍCIO FONTE Kirchof 2015 p 998 Outra possibilidade é que um processo seja iniciado em função da mensagem enviada a partir de um participante do processo É importante lembrar que os participantes são geralmente representados por Lanes KIRCHOF 2015 p 998 exemplificado na Figura 12 Pela referida figura é possível perceber que o processo está aguardando de forma indefinida pela chegada de um pedido de compra e o processo só será iniciado quando esse pedido chegar TÓPICO 2 CONHECENDO MELHOR A NOTAÇÃO BPMN 107 FIGURA 12 EXEMPLO DA UTILIZAÇÃO DE EVENTO MENSAGEM MESSAGE EM INÍCIO FONTE Kirchof 2015 p 1005 um processo pode conter apenas um evento de início do tipo padrão none representado por um círculo de linha fina e sem qualquer desenho em seu interior KIRCHOF 2015 p 1005 itálico nosso Outro ponto mais é que A notação BPMN preconiza essa restrição e a maioria das ferramentas de modelagem considera essa premissa em suas análises de consistência KIRCHOF 2015 p 1005 NOTA 22 EVENTOS INTERMEDIÁRIOS Durante todo o fluxo do processo podem ser utilizados os eventos intermediários que ajudarão a aumentar o significado do modelo especialmente para quem não conhece o processo Na Figura 13 vemos a utilização de eventos intermediários que são representados por um círculo com borda dupla Eventos intermediários do tipo padrão ou seja aqueles que não possuem nenhum desenho em seu interior representam eventos simples que ocorrem em um processo como é o caso da indicação de disponibilidade ou indisponibilidade do produto solicitado pelo cliente Já o evento intermediário de Mensagem representa o envio e recebimento de informações entre participantes do processo que por sua vez são representados pelas Lanes Em nosso exemplo o Pedido de compras e o Informe de indisponibilidade são eventos intermediários de mensagem 108 UNIDADE 2 NOTAÇÃO FIGURA 13 EXEMPLO DA UTILIZAÇÃO DE EVENTOS PADRÕES E DE MENSAGEM MESSAGE FONTE Kirchof 2015 p 1018 Note pela Figura 14 que apesar da mensagem enviada de uma Lane para outra utilizamos a seta de fluxo entre Solicitar produto e Verificar disponibilidade do produto Foi modelado dessa maneira porque o fluxo do processo passa da primeira para a segunda atividade enviando uma mensagem portanto não se trata de mero envio de mensagem e sim de mudança do fluxo representado pela seta com linha sólida FIGURA 14 EXEMPLO DA UTILIZAÇÃO DE EVENTOS INTERMEDIÁRIOS DO TIPO CONDICIONAL E MENSAGEM FONTE Kirchof 2015 p 1021 TÓPICO 2 CONHECENDO MELHOR A NOTAÇÃO BPMN 109 23 EVENTOS DE FIM Assim como os demais tipos de evento os eventos de final end event são representados por um círculo porém com uma linha mais grossa O evento de final padrão é um círculo vazio Tipos mais específicos são representados com desenho dentro do círculo exatamente como os eventos de início e intermediários É importante lembrar que pode haver mais de um evento de final em um processo inclusive com características diferentes É importante destacar isso porque é comum que modeladores iniciantes cheguem a um ponto da modelagem na qual não há sequência no fluxo do processo e ficam sem saber o que fazer já que o fim do processo talvez já esteja indicado em outro ponto Portanto pode haver vários pontos de finalização DICAS Note no exemplo da Figura 15 que temos duas possíveis finalizações do processo quando tudo ocorre bem ou seja quando o escritor produz um material considerado bom pelo editor e então esse processo se encerra Neste caso podem ter ocorrido diversas iterações entre Escrever capítulo e Avaliar capítulo passando por Avaliar recomendações do editor FIGURA 15 EXEMPLO DA UTILIZAÇÃO DE EVENTO DE FIM FONTE Kirchof 2015 p 1034 110 UNIDADE 2 NOTAÇÃO Outra possibilidade é que o autor depois da primeira iteração ou depois de muitas conclui que não vale a pena continuar insistindo naquele material Ele conclui que a melhor opção é recomeçar aquele capítulo desde o início Neste caso o processo se encerra com um evento de final com mensagem representado pelo círculo de borda grossa e com o desenho de uma carta dentro do círculo Como dito anteriormente é possível haver diversas indicações de final de processo e inclusive com características diferentes DICAS 3 PROCESSO DE NEGÓCIO SUBPROCESSOS TAREFAS E DEMAIS O próprio processo é um dos pontoschave da modelagem de processos de negócios Os tipos de processo são I o Processo II o Subprocesso e III a Tarefa Segundo Correia Júnior 2020 p 308 Todas elas são desenhadas graficamente pelo mesmo símbolo retangular de bordas arredondadas o uso de diferentes nomes simplesmente reflete a hierarquia do relacionamento entre eles Segundo Correia Júnior 2020 p 319 os detalhes de um processo podem ser vistos como outro diagrama de processo de negócio que é considerado como decomposição do processo Você pode continuar a decompor processo sem nenhuma restrição Processos que você desenha como sendo diagrama filho são considerados Subprocessos O menor nível do processo o qual não pode ser mais decomposto é considerado como sendo uma tarefa Uma atividade representa o trabalho realizado dentro de um processo Uma atividade normalmente levará algum tempo para ser realizada envolverá pessoas e recursos sistema de informáticaAplicação e normalmente irá produzir algum tipo de saída A Figura 16 traz os tipos de tarefas que podem ser utilizadas Lembrese essas tarefas representam o trabalho que é realizado dentro de um processo TÓPICO 2 CONHECENDO MELHOR A NOTAÇÃO BPMN 111 FIGURA 16 TIPOS DE TAREFAS Genérico ou indefinido frequentemente usado durante o estágio inicial do desenvolvimento do processo Manual é uma tarefa não automática realizada por humano fora do controle do WorkFlow ou da solução BPM Receber mensagem espera uma mensagem chegar de um participante externo relacionado com o processo de negócio Uma vez recebida a tarefa é completada Seu comportamento é similar ao evento de chegada de mensagem Enviar mensagem dispara uma mensagem a um participante externo Uma vez enviada à mensagem a tarefa é completada Seu comportamento é similar ao evento de envio de mensagem Script realiza um Script que uma linguagem possa interpretar Quando o script terminar a Tarefa estará terminada Serviço ligado a algum serviço o qual pode ser um webservice ou uma aplicação automática Usuário típica tarefa realizada por um humano com auxílio de uma aplicação FONTE Adaptada de Correia Júnior 2020 O Quadro 6 a seguir traz atividades do tipo subprocesso 112 UNIDADE 2 NOTAÇÃO QUADRO 6 ATIVIDADES DO TIPO SUBPROCESSO NOTAÇÃO DESCRIÇÃO Estado contraído Estado expandido Loop padrão Uma atividade de loop padrão terá uma expressão booleana que é avaliada para cada ciclo do loop Se a expressão for VERDADEIRA então o loop irá continuar Existem duas variações do loop as quais refletem no construtor de programação WHILE enquanto e UNTIL até O loop WHILE avalia a expressão antes que a atividade seja realizada isto significa que a atividade talvez não seja realizada O loop UNTIL irá avaliar a expressão após a realização da atividade isto significa que atividade vai ser realizada pelo menos uma vez O exemplo a seguir mostra uma situação típica de loop e processo Aplicando uma atividade de loop neste caso um subprocesso o fluxo ficaria A expressão booleana seria O produto não passou no teste Se a resposta for verdade então a atividade será realizada novamente e se for Falsa o processo seguirá seu fluxo Atividade 1 Atividade 1 TÓPICO 2 CONHECENDO MELHOR A NOTAÇÃO BPMN 113 FONTE Adaptado de Correia Júnior 2020 Loop multiinstance este loop reflete o construtor de programação de cada numérica avaliada somente antes que a atividade seja realizada O resultado da avaliação da expressão será um número inteiro que especificará o número de vezes que a atividade se repetirá Existem também duas variações para loop multiinstance na qual a estância será realizada sequencialmente o paralelamente sendo i graficamente é representado por três linhas verticais ii a quantidade de vezes que a atividade vai ser realizada é conhecida antes de ativála iii cada atividade realizada é distinta das outras iv é usado quando desejamos realizar uma atividade várias vezes com um conjunto de dados diferentes v as Instâncias podem ocorrer sequencialmente ou em paralelo Atributos devem definir estas características vi Exemplo quando uma matriz de uma empresa está verificando os resultados financeiros de todas suas filiais A condição de loop seria a quantidade de filiais que serão analisadas Uma atividade Ad Hoc é identificada por um Mas atividades Uma atividade Ad HOC é identificada por um Mas atividades tarefas em seu interior são soltas ou seja elas não são conectadas isto significa que estas atividades podem ocorrer em qualquer ordem e várias vezes e não existe a obrigatoriedade de executar todas as tarefas Geralmente este tipo de atividade está relacionado com atividades humanas na qual a ordem a quantidade de vezes e quais atividades serão realizadas são decididas por quem as realiza Aqui temos um subprocesso que é realizado por um estagiário de um escrito de advocacia ele terá que montar uma pasta com todos os documentos pertinentes ao processo que o referido escritório irá trabalhar Para realizar este trabalho ele precisará tirar fotocópias dos documentos originais tem que leválos para reconhecimento de firma em cartórios pode passar fax etc e não existe uma sequência definida Cada tarefa pode ser realizada quantas vez forem necessárias para o cumprimento da atividade Montagem de Processos Jurídicos 114 UNIDADE 2 NOTAÇÃO 31 TOKEN E CICLO DE VIDA DA ATIVIDADE Destacamos ainda o conceito de token Esse conceito é importante para compreendermos o comportamento do modelo do BPMN Segundo Correia Júnior 2020 p 437 Token pode ser concebido como o objeto Teórico que nós usamos para criar um comportamento descritivo do comportamento simulação dos elementos de fluxo da notação BPMN Utilizando este artifício podemos descrever como este teórico componente viaja por meio do fluxo de sequência e dos objetos de fluxos O Token atravessa do início até o fim do fluxo de sequência Flecha instantaneamente não existe um tempo associado com o Token enquanto percorre o fluxo de sequência Podemos pensar no Token como um pulso elétrico que percorre os elementos de fluxo do BPMN A Figura 17 traz a notação do token e uma trajetória dentro do fluxo do processo FIGURA 17 NOTAÇÃO E EXEMPLOS DE UTILIZAÇÃO DE TOKEN FONTE Adaptada de Correia Júnior 2020 Agora acadêmico vamos falar sobre o ciclo de vida da atividade Segundo Correia Júnior 2020 p 456 Quando se inicia uma atividade isto é quando o Token chega a essa Atividade ela muda o status para Pronta e isso não significa que a atividade começou imediatamente Outros fatores podem também afetar a realização desta atividade Nesta exemplificação a tarefa atividade Rever Projeto possui duas entradas separadas a do Projeto físico e a do Projeto lógico TÓPICO 2 CONHECENDO MELHOR A NOTAÇÃO BPMN 115 Portanto se essas entradas não estão disponíveis quando o Token chega à atividade então essa atividade não pode começar Para o tipo de tarefa é necessário o uso de uma aplicação e de um operador se ambos não tiverem disponível a atividade também não pode começar CORREIA JÚNIOR 2020 p 456 A atividade pode ser iniciada ao se ter todas as restrições resolvidas Nesse momento o status é mudado para Em execução e quando a atividade for finalizada o status passa a ser Completada Já a atividade que está no Status Em Execução pode ser alterada para o status de Pausada Reiniciada e Interrompida ao se modelar Comporta de decisões ou pontos de decisões com Gateways CORREIA JÚNIOR 2020 p 466 32 MODELANDO PONTOS DE DECISÕES COM GATEWAYS COMPORTA DE DECIÇÃO Gateways são elementos de modelagem que controlam como os fluxos de processo convergem merge ou divergem split representando pontos de controle para os caminhos dentro do processo Podemos também dizer que se um processo não necessitar de controle então não existe necessidade de se utilizar o elemento Gateway Além disso o símbolo de gateway é utilizado para modelar decisões uniões bifurcação e as combinações no fluxo do processo Podemos pensar no gateway como sendo as questões que são feitas em um ponto do fluxo do processo A questão tem definido um conjunto de respostas alternativas que afetam uma das portas do Gateway CORREIA JÚNIOR 2020 p 466 O Quadro 7 a seguir traz os símbolos representando os tipos de gateway 116 UNIDADE 2 NOTAÇÃO QUADRO 7 SÍMBOLOS REPRESENTANDO O TIPO DE GATEWAY NOTAÇÃO DESCRIÇÃO Exclusive Gateway Decision Gateways Comportas ou Regras No Gateway Exclusive Baseado em Dados as condições para as alternativas devem ser avaliadas na ordem especificada A primeira das alternativas que for avaliada como VERDADEIRA irá determinar o fluxo que será seguido Visto que o comportamento do Gateway é exclusivo qualquer outra condição que realmente possa ser VERDADEIRA irá ser ignorada Somente um caminho pode ser escolhido Um dos caminhos deve ser o padrão DEFAULT e é o último caminho a ser considerado Isto significa que se nenhum dos outros caminhos for escolhido então o caminho padrão irá ser o escolhido Supondo que na execução deste fluxo a resposta do Gateway seja Sim então o Token teria o seguinte comportamento Exclusive Gateway Merge XOR Exclusive Gateway também pode ser usado como convergentes de Fluxos Merge Isto é ele pode ter múltiplas entradas de fluxo de sequência Entretanto quando um Token chega a um Exclusive Gateway não há validação de condição Nem há necessidade de sincronização de TOKENS que possam vir de qualquer dos outros fluxos de sequência O Token quando chega ao Exclusive Gateway imediatamente movese para o fluxo de saída Geralmente se utiliza este Gateway quando a atividade que vem após este Gateway Exclusive é comum a todas as ramificações que o antecedem No exemplo abaixo a Atividade Preparar Compras do Cliente será realizada independente da forma de pagamento Então supondo que o pagamento tenha sido realizado em dinheiro o fluxo do Token seria TÓPICO 2 CONHECENDO MELHOR A NOTAÇÃO BPMN 117 EventBased Exclusive Gateway Decision O Exclusive Gateway Baseados em eventos representa uma alternativa de pontos de ramificações na qual a decisão é baseada sobre dois ou mais eventos que possam ocorrer Ele tem o mesmo comportamento do Exclusive Gateway Baseado em dados isto é somente uma das ramificações será escolhida Processos que envolvem comunicação com parceiro de negócio ou alguma entidade externa necessita deste comportamento Aqui a atividade Enviar Proposta de Crédito é usada para enviar uma proposta a um cliente entidade Externa seguindo o Fluxo temos um Exclusive Gateway Baseados em eventos neste ponto o processo fica esperando que um dos três possíveis eventos aconteça ou chega até ele uma mensagem SIM uma mensagem NÃO ou o Temporizador de 5 dias finaliza a contagem O comportamento é que quando o Token chega nesse Gateway ele é replicado para cada um dos eventos Assim o primeiro evento que venha ocorrer disparará seu Token e eliminará os demais Partindo do exemplo anterior suponhamos que o cliente enviou a mensagem SIM neste caso o Token que está no Evento que receberá a mensagem SIM irá seguir o seu caminho e os demais serão eliminados 118 UNIDADE 2 NOTAÇÃO Parallel Gateway Decision Um Gateway paralelo é também chamado de AND Não há processo de decisão todos os caminhos são seguidos Quando um token chega a um Parallel Gateway não existe avaliação de condição sobre o fluxo de sequência diferentemente do Exclusive Gateway por definição gateway irá criar caminhos paralelos isso significa que o Gateway irá criar o número de Tokens iguais ao número de fluxo de sequência de saídas No exemplo acima após a Atividade Preparar Documentos para Assinatura tanto a Atividade Preparar Contrato quanto Preparar Procuração serão executadas Parallel Gateway Merge Utilize o Gateway Parallel Gateway Merge quando os caminhos paralelos necessitam ser sincronizados antes de o processo continuar Para sincronizar o fluxo o Parallel Gateway irá esperar que todos os Tokens cheguem de cada Fluxo de sequência de entrada Vamos supor que a atividade Preparar Contrato termine antes que a atividade Preparar Procuração o Token T1 desta atividade chegará primeiro no Parallel Gateway Este então esperará que o Token T1 da atividade Preparar Procuração chegue para sincronizar ambos os Tokens e dar continuidade ao fluxo do processo TÓPICO 2 CONHECENDO MELHOR A NOTAÇÃO BPMN 119 Inclusive Gateway Decision Tal como o Exclusive Gateway decision um Inclusive Gateway decision tem várias sequências de saída cria vários caminhos ramificações alternativos baseados sobre as condições destes fluxos de sequência A diferença é que o Inclusive Gateway pode ativar uma ou mais ramificações isto significa que uma ou mais das saídas do fluxo de sequência pode ser seguida Cada condição que for avaliada como verdadeira irá resultar em um Token movendo sobre este fluxo de sequência Não pode acontecer de não ter saída Caso nenhuma condição seja satisfeita você deve especificar uma saída padrão default No exemplo acima o fluxo Cartão de Débito É a saída padrão identificada com um corte transversal no seu fluxo de sequência Partindo do exemplo acima suponhamos que na atividade Definir Serviço foram escolhidos os seguintes serviços I Cheque Especial II Cartão de Crédito Internacional e III Cartão de Débito Desta forma o comportamento do Token seria Caso em a atividade Definir Serviços não fosse escolhida nenhum serviço o caminho padrão seria então ativado assegurando que o processo não fique emperrado 120 UNIDADE 2 NOTAÇÃO Inclusive Gateway Merge Inclusive Gateway Merge irá sincronizar cada um dos Tokens que estejam nos fluxos de sequência visto que enquanto tiver um Token em qualquer um dos fluxos de sequência que cheguem ao inclusive Gateway o processo não tem andamento Partindo do exemplo acima suponha que a atividade Confeccionar cheque Especial termine primeiro que as atividades Confeccionar Cartão Internacional e Confeccionar Cartão de Débito então o Token T1 desta atividade chega ao Inclusive Gateway Percebese que possuem mais dois Tokens T2 e T3 que faltam chegar Agora a atividade Confeccionar Cartão de Débito é completada então o Token T3 sai desta atividade e chega ao Inclusive Gateway que fica esperando pelo o último Token T2 Por último a Atividade Confeccionar Cartão Internacional é completada nesse momento o Token T2 sai desta atividade e chega ao Inclusive Gateway Agora todos os Tokens serão sincronizados e deste Gateway sairá um único Token dando continuidade ao fluxo do Processo TÓPICO 2 CONHECENDO MELHOR A NOTAÇÃO BPMN 121 Complex Gateway Decision Quando o Gateway é usado como uma decisão então a expressão determina a saída que o fluxo de sequência irá escolher para continuar o processo A expressão talvez se refira ao dado do processo e ao status para fluxo de sequência de saída Por exemplo uma expressão talvez avalie o dado do processo e então selecione um conjunto de saída do fluxo de sequência baseados sobre os resultados da avaliação porém a expressão deverá ser projetada para que ao menos uma das saídas do fluxo de sequência seja escolhida Aqui a expressão avalia se o pagamento foi realizado à vista ou Cartão de Débito no caso de acontecer uma destas atividades então a atividade Entregar Brinde ocorrerá também 122 UNIDADE 2 NOTAÇÃO Complex Gateway Merge Quando o Gateway é utilizado como merge então nele deverá ter uma expressão que determinará qual das expressões do fluxo de sequência irá ser obrigatória para o processo continuar A expressão talvez se refira ao dado do processo Por exemplo uma expressão pode especificar que qualquer uma dos dois dentre os três fluxos de sequência de entrada irá continuar o processo Outro exemplo poderia ser uma expressão que especifique que o Token da atividade Realizar Teste A é requerido para fluxo de sequência e que um Token da sequência de fluxo Realizar Teste B ou Realizar Teste C é aceitável porém a expressão deve ser projetada de tal forma que processo não crie um impasse No exemplo acima estamos especificando que o teste A é obrigatório e que qualquer uma das outras duas atividades são opcionais Isto é o Token da atividade A deve ser sincronizado com um ou os dois outros Tokens Suponha que o Token T1 da atividade Realizar Teste A chegue ao Complex Gateway Merge este irá esperar por mais um Token para dar sequência ao Fluxo do processo Agora a atividade Realizar Teste C finaliza Neste momento o seu Token T3 chega ao Complex Gateway Merge e este é sincronizado com o Token T1 e o fluxo tem continuidade FONTE Adaptado de Correia Júnior 2020 123 RESUMO DO TÓPICO 2 Neste tópico você aprendeu que A modelagem de eventos de negócio é realizada modelando o que acontece no negócio da organização e mostrando como eles interferem no fluxo do processo O BPMN fornece uma notação diferente para cada um desses tipos de eventos CORREIA JÚNIOR 2020 p 218 As notações básicas de tipos de eventos são três I o evento de início que é o início de um processo II o evento intermediário que é o que acontece durante o curso do processo III evento de fim que finaliza o fluxo de um processo Esquematizamos aqui a notação para você Evento de início Evento Evento de fim FONTE A autora Ao realizar a modelagem de fluxos de processos mais complexos é necessário que seja modelado também eventos de processos mais complexos como de regras de negócios e condições de erro cronômetros ou temporizadores e mensagens O BPMN permite que você especifique o tipo de Gatilho start do evento e o simbolize com um ícone representativo Especificar um tipo de gatilho para um evento coloca certas restrições no fluxo de processos que você está modelando CORREIA JÚNIOR 2020 p 235 124 A notação de mensagem de início a mensagem em si e a mensagem de fim Mensagem de início Mensagem Mensagem de fim Temporizador de início Temporizado Regra de início Regra FONTE A autora A notação de temporizador de início o temporizador bem como aprendeu que o temporizador não pode ser um evento de fim FONTE A autora A notação de regra de início a regra bem como aprendeu que a regra não pode ser um evento de fim FONTE A autora 125 Ligação A ligação não pode ser um evento de início bem como aprendeu que a ligação não pode ser um evento de fim FONTE A autora A notação de múltiplo de início do múltiplo em si e a notação de múltiplo de fim FONTE A autora A exceção não pode ser um evento de início a notação de exceção e a notação da exceção no fim Múltiplo de início Múltiplo Múltiplo de fim FONTE A autora Exceção Exceção no Fim 126 Uma compensação não pode ser um evento de início a notação de compensação e a notação da compensação no fim FONTE A autora Um cancelamento não pode ser um evento de início a notação de cancelamento e a notação de cancelar no fim FONTE A autora A notação de término se aplica apenas para indicar o término final FONTE A autora Compensação Compensação de Fim Cancelamento Cancelar no Fim Término de Fim 127 A notação do sinal de início o sinal em si e a notação de sinal de fim FONTE A autora O próprio processo é um dos pontoschave da modelagem de processos de negócios Os tipos de processo são i o Processo ii o Subprocesso e iii a Tarefa Os tipos de tarefas são genéricos manual de recepção de envio script serviço e de usuário bem como aprendeu cada uma de suas notações O conceito de token é importante para compreendermos o comportamento do modelo do BPMN Token pode ser concebido como o objeto Teórico que nós usamos para criar um comportamento descritivo do comportamento simulação dos elementos de fluxo da notação BPMN CORREIA JÚNIOR 2020 p 437 itálico nosso Quando se inicia uma atividade isto é quando o Token chega a esta Atividade ela muda o Status para Pronta isso não significa que a atividade começou imediatamente Outros fatores podem também afetar a realização desta atividade CORREIA JÚNIOR 2020 p 456 itálico nosso Gateways são elementos de modelagem que controlam como os fluxos de processo convergem merge ou divergem split representando pontos de controle para os caminhos dentro do processo Se um processo não necessitar de controle então não existe necessidade de se utilizar o elemento Gateway O símbolo de gateway é utilizado para modelar decisões uniões bifurcação e as combinações no fluxo do processo Podemos pensar no gateway como sendo as questões que são feitas em um ponto do fluxo do processo Sinal início Sinal Sinal de fim 128 AUTOATIVIDADE Uma mensagem chega de um participante ou gatilho de início do processo ou contínua o processo nesse caso um evento intermediário Já uma mensagem de fim denota a mensagem que será gerada ao fim do processo Neste cenário responda as questões de 1 até a 3 1 Qual notação é utilizada para mensagem de início a b c d A mensagem não pode ser um evento de início 2 Qual notação pode ser utilizada para a própria mensagem a b c d Não se aplica 3 Qual notação pode ser utilizada para mensagem de fim a b c d A mensagem não pode ser um evento de fim 129 Para um evento de múltiplo início existem múltiplas maneiras de desencadear o processo ou de continuar o processo no caso do evento intermediário Somente uma delas é necessária O atributo do evento define qual gatilho é acionado Para Múltiplo Fim existem múltiplas consequências na finalização do processo todos os quais irão ocorrer como por exemplos múltiplas mensagens Neste cenário responda as questões de 1 até a 3 1 Qual notação é utilizada para múltiplo de início a b c d O múltiplo não pode ser um evento de início 2 Qual notação é utilizada para o próprio múltiplo a b c d O múltiplo não pode ser um evento de início 3 Qual notação é utilizada para o múltiplo de fim a b c d O múltiplo não pode ser um evento de fim 131 UNIDADE 2 TÓPICO 3 AINDA MAIS SOBRE BPMN 1 INTRODUÇÃO Chegamos ao Tópico 3 desta unidade Nos tópicos anteriores vimos tanto os elementos básicos da notação como vimos os principais elementos da notação BPMN Segundo Campos 2014 p 896 Esses mesmos elementos e podem receber mais semânticas ou mais significado Portanto podemos dizer mais coisas sobre eles e para isso vamos organizar a estrutura de elementos da notação na FIGURA 18 visando facilitar a compreensão FIGURA 18 ELEMENTOS BPMN ORGANIZADOS POR FUNÇÃO FONTE Campos 2014 p 901 Data Object Data Input Data Output Data Store Lane Pool Dados Organizadores BPMN Pool Lane Conexões Fluxos Artefatos Sequence flow Message flow Association Data association Activity Subprocess Galeway Events Anotation Group Exemplo de Exemplo de anotação anotação 132 UNIDADE 2 NOTAÇÃO Campos 2014 p 1176 coloca que A notação BPMN é rica em sua capacidade de representar consequentemente há uma variedade de objetos e formas de representação Uma importante adição da última versão da notação é o evento que pode ser utilizado de maneira bastante flexível Neste tópico vamos abordar outros aspectos para que você possa enriquecer anda mais seus modelos 2 PERSPECTIVAS E MENSAGENS A perspectiva é um conceito importante para a modelagem Segundo Campos 2014 p 1181 É importante definir claramente antes do início da modelagem qual é a perspectiva sob a qual o modelo será elaborado Isso determinará quais comportamentos modelaremos e quais comportamentos não modelaremos Portanto podemos dizer que a perspectiva define quem são nossos agentes internos e quem são os agentes externos CAMPOS 2014 p 1181 A definição da perspectiva faz toda a diferença pois simplifica a compreensão de quem faz o modelo a compreensão de quem lê o modelo e a comunicação entre os modeladores e as fontes de informação Não há desconforto maior em um trabalho de modelagem do que aquele causado pela desconfiança de que os modeladores não sabem o que estão fazendo E esta sensação pode ser provocada pela ausência de definição da perspectiva do modelo CAMPOS 2014 p 1181 A Figura 19 traz o exemplo de utilização do conceito de perspectiva da modelagem Podemos exemplificar esse conceito com a escrita de um livro vendo a perspectiva do ator escritor e do ator editor Nesse exemplo podemos fazer a seguinte pergunta a modelagem está sendo realizada sob a perspectiva do autor ou da editora Se a modelagem for realizada referente ao processo de modelagem para a editora possivelmente o destaque não será dado para o autor e sim para o comportamento intrínseco inerente à editora TÓPICO 3 AINDA MAIS SOBRE BPMN 133 FIGURA 19 EXEMPLO DE USO DO CONCEITO DE PERSPECTIVA DA MODELAGEM FONTE Campos 2014 p 1187 Na Figura 19 a modelagem está justamente para esta perspectiva ou seja para a editora Assim o escritor passa a figurar no modelo como agente externo ou seja seu comportamento não é modelado No entanto é importante modelar a comunicação entre a editora agente interno e o escritor agente externo Inclusive para os fins desse processo em particular as atividades da editora são disparadas ou provocadas pela comunicação oriunda do agente externo Se o escritor nunca chegar a enviar um capítulo escrito à atividade Avaliar capítulo nunca será realizada A utilização do conceito de perspectiva além de deixar o modelo mais compreensível traz outros benefícios Um deles é a redução de ruído na comunicação entre o modelador e suas fontes de informação Outro evidentemente é que o modelador não precisará gastar tempo e energia em compreender e modelar atividades que não são relevantes para o modelo Além disso os pontos de comunicação pontos de contato ficam explícitos possibilitando eventualmente que se aperfeiçoem esses pontos de comunicação 134 UNIDADE 2 NOTAÇÃO 21 MENSAGENS Nos tópicos anteriores desta unidade já falamos sobre a troca de mensagens mas o tema é rico e importante para a construção de modelos eficientes integrados e legíveis Por isso detalharemos um pouco mais esse assunto Primeiro é necessário abordar propriamente o conceito de troca de mensagens Uma mensagem é enviada a partir de um ponto e recebida em um ou mais pontos Além disso relembrando o que já foi dito o ponto de envio e o ponto ou pontos de recebimento estão em processos diferentes Isso quer dizer que não modelamos trocas de mensagem dentro de um mesmo processo quer dizer dentro de um mesmo Pool Desta forma uma possibilidade é a troca de mensagens entre diferentes Pools de um mesmo diagrama como é o caso da troca de mensagens entre os agentes internos e externos de um determinado processo Na Figura 20 uma pequena evolução do exemplo anterior a troca de mensagens ocorre entre diferentes Pools sendo um o escritor agente externo e o outro a editora agente interno FIGURA 20 DIAGRAMA DE NÍVEL 0 DO PROCESSO ESCREVER LIVRO FONTE Campos 2014 p 1187 TÓPICO 3 AINDA MAIS SOBRE BPMN 135 Neste exemplo foram adicionados os objetos de dados Capítulo escrito recebido do escritor e Solicitação de ajustes produzido pelo subprocesso Avaliar capítulo A outra possibilidade é a troca de mensagens entre processos que estão em diferentes diagramas O modelo apresentado na Figura 21 é o detalhamento do subprocesso Avaliar capítulo o qual é provocado pelo evento Recebido capítulo proveniente do processo anterior o de nível 0 FIGURA 21 DIAGRAMA DE NÍVEL 1 DO PROCESSO ESCREVER LIVRO FONTE Campos 2014 p 1187 Se uma mensagem pode ser enviada então ela também pode ser recebida Por isso a notação BPMN oferece eventos de envio throwing e de recepção catching de mensagens O envio de mensagens também pode ser chamado de lançamento de mensagem e a recepção pode também ser chamada de captura De qualquer modo a captura de mensagem é representada por um envelope vazado ao passo que o lançamento é representado por um envelope preenchido Para representar corretamente a troca de mensagens utilizamos setas de mensagens os eventos de mensagem e as atividades de mensagem É importante diferenciar as setas de mensagens das setas de fluxo Infelizmente muito modeladores cometem esse tipo de erro As setas de mensagens não indicam o caminho seguido pelo processo apenas uma informação enviada de um ponto a outro Assim ao passo que a seta de mensagem aponta para um lado o fluxo do processo ocorre para outro por meio das setas de fluxo 136 UNIDADE 2 NOTAÇÃO A Figura 22 apresenta um exemplo de troca de mensagens utilizando setas de mensagens eventos de início para receber mensagens e atividades para enviar mensagens O processo conta com dois possíveis inícios um quando a solicitação de matrícula é recebida e outro quando o aluno está apresentando uma documentação solicitada pela secretaria Após a verificação se a documentação não estiver ok uma solicitação de documentação correta é enviada para o aluno o que é feito por uma atividade de mensagem do tipo envio Tato nas atividades quanto nos eventos o tipo da mensagem pode ser de envio ou de recebimento O tipo envio é indicado pela figura de um envelope preenchido e o tipo recebimento é indicado pela figura um envelope sem preenchimento FIGURA 22 TROCA DE MENSAGENS EM UM PROCESSO DE MATRÍCULA Fonte Campos 2014 p 101 TÓPICO 3 AINDA MAIS SOBRE BPMN 137 Em vez de utilizar uma atividade de mensagem para enviar mensagens para participantes do processo é possível utilizar um evento intermediário de mensagem que pode ser tanto do tipo envio quanto do tipo recebimento Mas entao qual seria a diferença A diferença é que um evento é algo que acontece e uma atividade é algo que faz acontecer Assim se há algum esforço ou trabalho feito pelo participante interno para enviar a mensagem podemos utilizar uma atividade para representar isso Mas se a mensagem enviada é mero subproduto de outra atividade então podemos utilizar um evento intermediário resultante dessa atividade para enviar a mensagem O mesmo se aplica ao recebimento de mensagens No exemplo apresentado as mensagens simplesmente chegam ao processo Matricular Aluno quer dizer não há esforço da Secretaria para receber a mensagem ou melhor não é a Secretaria que pede a mensagem Nesse caso a atualização da Secretaria é passiva Portanto se é algo que acontece a chegada de mensagens então deve ser representado por eventos 3 FERRAMENTAS PARA DESENHO DE PROCESSOS As ferramentas de modelagem de processos de negócio facilitam a criação de modelos assim como padronizam os modelos produzidos por meio da utilização de símbolos universalmente conhecidos definidos pela especificação da notação utilizada Portanto nosso objetivo agora é que você conheça algumas ferramentas disponíveis no mercado para desenhar modelos de processos de negócio Acadêmico aprofunde o seu conhecimento no UNI que preparamos para você e as ferramentas referentes ao desenho de processo dispostas no Quadro 8 138 UNIDADE 2 NOTAÇÃO DICAS Um BPMN para cada propósito de modelagem de processos Navegue no link httpblogiprocesscombr201204umbpmnparacadapropositode modelagemdeprocessos Um guia para iniciar estudos em BPMN I Atividades e sequência Leia no link httpblogiprocesscombr201211umguiaparainiciarestudos embpmniatividadesesequencia O que é BPM afinal Gerenciamento de processos de negócio Leia no link httpwwwadministradorescombrartigosnegociosoqueebpmafinal gerenciamentodeprocessosdenegocio99167 Saiba Aula 1 do Curso de BPMN 20 O Básico Assista no link httpswww youtubecomembedKdCwaOp7zE Object Management Group Business Process Model and Notation Navegue no link httpwwwbpmnorg BPMG Um modelo conceitual para governança em BPM Aplicação numa organização Leia no link httpwwwseeruniriobrindexphpisys articleview53185042 FONTE A autora TÓPICO 3 AINDA MAIS SOBRE BPMN 139 QUADRO 8 FERRAMENTAS PARA DESENHAR PROCESSOS FERRAMENTA DESCRIÇÃO ARIS Express O ARIS Express é uma versão light da conhecida plataforma de análise de processos o ARIS Platform Criada originalmente como parte da plataforma que desenvolveu por muitos anos a notação Eventdriven Process Chain EPC a solução precisou se adequar à nova realidade do mercado e incorporar ao seu conjunto de diagramas o BPMN Assim a versão express desta ferramenta permite criar diagramas com notações como Cadeia de Valor organograma modelo de dados EPC e é claro BPMN Porém diferentemente da plataforma os arquivos são gravados no próprio computador do usuário FONTE Sganderla 2016 sp Apesar do uso de cores para diferenciar os tipos de elementos a ferramenta não possui grande apelo visual e é um pouco restritiva no manuseio Além disso a curva de aprendizagem para dominála a fim de criar bons diagramas pode ser um pouco maior do que o esperado e em alguns momentos um pouco frustrante até se descobrir alguma forma mais simples de resolver uma dificuldade Por outro lado possui funcionalidades interessantes como a criação de documentação complementar e exportação para formatos de documentos como PDF ou RTF Os arquivos de diagramas são salvos no formato proprietário da ferramenta Aris Document Format ADF Para baixar experimentar e descobrir mais sobre esta ferramenta acesse httpswwwariscommunitycomaris express DICAS 140 UNIDADE 2 NOTAÇÃO BPMNio Para desenhar processos de maneira intuitiva e simples o BPMNio é uma excelente ideia Totalmente web essa ferramenta funciona diretamente no seu navegador Ou seja você não precisa fazer nenhum tipo de download Desenvolvido por uma empresa alemã uma de suas maiores vantagens é o fato de ser extremamente leve Permite apenas criar diagramas gráficos sem muita informação adicional Não possui recursos complementares Os diagramas criados podem ser baixados para o seu computador no formato padrão bpmn que pode ser recarregado e editado posteriormente e em formato de imagem PNG FONTE Sganderla 2016 sp Para acessar experimentar e descobrir mais sobre esta ferramenta acesse em httpsbpmnio DICAS TÓPICO 3 AINDA MAIS SOBRE BPMN 141 DICAS Bizagi Modeler Um dos maiores atrativos do Bizagi Modeler é ser gratuito O Bizagi Modeler é fácil de usar e usa cores nos elementos para facilitar a identificação Conhecido pelos analistas de processos há muitos anos a ferramenta é praticamente inteira traduzida para o português Cabe destacar que os nomes utilizados podem variar de uma versão para a outra já que não existe uma tradução oficial da notação para o nosso idioma Além de contar com cores para facilitar a identificação das etapas na hora do desenho Há ainda um verificador que ajuda a validar a integridade do processo que está sendo desenhado Dos diagramas de BPMN permite criar apenas o Diagrama de Processo Orquestração A ferramenta tem recursos que ajudam a evitar a utilização equivocada de alguns elementos e possui um verificador que ajuda a validar a integridade do processo regras básicas da notação BPMN Além de desenhar o fluxo do processo é possível documentar os elementos criando novos campos para complementar o modelo com informações Os diagramas criados são gravados no formato próprio da ferramenta extensãobpm mas podem ser exportados para formatos de imagem como PNG e BMP além de gerar documentações no formato de manuais que podem ser exportados em PDF DOC para wiki e também um formato navegável HTML É possível também exportar e importar arquivos nos formatos padrões BPMN e XPDL FONTE Sganderla 2016 sp Outro recurso interessante é a simulação de processos Para baixar experimentar e descobrir mais sobre esta ferramenta acesse httpswwwbizagicomptprodutosbpm suitemodeler 142 UNIDADE 2 NOTAÇÃO Drawio Essa ferramenta baseada em nuvem permite criar qualquer tipo de diagrama e gráfico em um número ilimitado O mais interessante é que não é preciso ocupar espaço da memória com os arquivos já que além de tudo o Drawio ainda é facilmente sincronizável com o Google Drive Originalmente criado como uma ferramenta online de criação de diagramas tipo flowchart o Draw io incorporou como uma das notações visuais para desenho a palheta de elementos de BPMN Com isso este editor vai na mesma linha do BPMNio um pouco mais rico nas funcionalidades visuais é possível usar cores mas com menos recursos específicos para a modelagem como a ausência de validação Como permite criar vários tipos de diagramas diferentes e misturar as palhetas pode ser um pouco confuso para iniciantes discernir se estão criando um diagrama corretamente pois é possível usar em um mesmo diagrama os tipos de elementos visuais de notações diferentes FONTE Sganderla 2016 sp Os diagramas são salvos em qualquer um dos principais serviços de armazenamento na nuvem como Google Drive Dropbox ou OneDrive basta ter uma conta ou então pode ser gravado no seu próprio computador em formato XML que pode ser recarregado e editado posteriormente A principal vantagem de usar um serviço de armazenamento na nuvem é que outros usuários poderão acessar o mesmo diagrama e fazer contribuições A palheta de BPMN está espalhada em grupos como General BPMN General BPMN Gateways BPMN Events Além disso a ferramenta possui muitos elementos inventados sobre a notação BPMN que não existem na especificação formal o que pode tornar seu uso ainda mais confuso até mesmo para analistas experientes Os diagramas criados nesta ferramenta são puramente desenhos vetoriais em tela não há nenhum tipo de validação ou verificação se a modelagem está correta Para baixar experimentar e descobrir mais sobre esta ferramenta acesse em httpsdrawio Acesso em 14 ago 2020 DICAS TÓPICO 3 AINDA MAIS SOBRE BPMN 143 HEFLO Documentação Com uma interface leve e agradável o módulo de documentação BPMN da HEFLO é online e permite criar diagramas de processo sem precisar instalar nenhum aplicativo Embora o produto esteja na versão beta a empresa se comprometeu por meio de seu site que este módulo será gratuito para sempre O editor é totalmente web possui uma interface bastante fácil de usar e funciona diretamente no browser do computador É muito fácil de sair criando diagramas e possui grande aderência à notação BPMN para diagrama de processo orquestração Outro fator interessante é que os elementos da palheta estão todos identificados em português FONTE Sganderla 2016 sp Durante a modelagem as raias se autoajustam conforme os elementos são adicionados Além da criação do diagrama é possível gerar documentações ricas de cada elemento por meio de um editor de texto bastante rico com formatação de texto criação de tabelas entre outros Os diagramas criados são gravados em nuvem própria do produto Além disso é possível exportálo para o formato padrão bpmn imagem PNG ou de documentação como PDF DOC e HTML estático A ferramenta é toda em português Para baixar experimentar e descobrir mais sobre esta ferramenta acesse em httpsappheflocom DICAS 144 UNIDADE 2 NOTAÇÃO Yaoqiang BPMN Editor Esta ferramenta de modelagem de processos desenvolvida pela Blenta Software é uma das mais completas e aderentes à notação e é open source software livre Além de modelagem de diagrama de Processo Orquestração também possui todos os elementos para a criação dos dois outros tipos de diagramas da notação Conversação e Coreografia o único editor gratuito que identificamos até agora que comporta os três tipos de diagramas nativamente FONTE Sganderla 2016 sp Um ponto forte deste editor é que a ferramenta possui um compromisso estabelecido em seguir rigidamente as definições da especificação formal da OMG para a representação gráfica dos processos o que garante um elevado nível de aderência dos elementos e validações de regras de utilização Embora não possua um apelo visual muito grande em termos de funcionalidades para a criação de diagramas é bastante completa Os processos mapeados podem ser baixados para o seu computador no formato padrão bpmn e em formato de imagem PNG A ferramenta é em inglês possuindo outros idiomas como alemão francês e chinês mas sim porque a empresa fabricante é chinesa Os diagramas criados podem ser gravados no formato padrãobpmn e em formatos variados de imagem como PNG BMP e JPG Para baixar experimentar e descobrir mais sobre esta ferramenta acesse em httpssourceforgenetprojects bpmn Para utilizála é necessário baixar primeiramente Java Runtime Environment DICAS TÓPICO 3 AINDA MAIS SOBRE BPMN 145 Lovely Charts O Lovely Charts é a ferramenta ideal para quem tem esse tipo de objetivo Existem três opções de interface para desktop web e iPad e você pode escolher aquela que mais se adequa às suas necessidades São diversos os diagramas que podem ser construídos na ferramenta como BPMN em geral estruturas de arame e até mesmo mapas de site O site da plataforma é httpslovelychartscom DICAS 146 UNIDADE 2 NOTAÇÃO Modelio Essa ferramenta de modelagem de processos é outro software do tipo open source cujo objetivo original é a modelagem de diagramas UML mas que foi estendida para criar diagramas de processos em BPMN Quem utiliza tem a sensação de estar trabalhando em uma ferramenta de desenvolvedor e é verdade pois ela é baseada no Eclipse famosa interface para desenvolvimento de software Os facilitadores de modelagem encontrados em outras ferramentas não ocorrem neste editor Para começar a modelar é preciso criar um Projeto e então dentro dele criar um diagrama BPMN Os elementos inclusive conectores precisam ser adicionados um a um no diagrama A definição dos tipos de tarefas e eventos também não é muito simples é preciso acessar a janela de propriedades do elemento no diagrama para então escolher entre os tipos No final das contas criar um diagrama BPMN nessa ferramenta pode ser trabalhoso e pouco produtivo comparado às outras Apesar disso em termos de notação BPMN a ferramenta é bastante aderente pois contém praticamente todos os elementos e usando a funcionalidade de Audit podese fazer validação das regras da notação conforme a especificação da OMG Os diagramas não são salvos avulsos eles ficam dentro do arquivo de projeto É possível exportar para formato de imagem como PNG ou JPG A interface é somente em inglês FONTE Sganderla 2016 sp Para baixar experimentar e descobrir mais sobre esta ferramenta acesse httpswwwmodelioorg DICAS TÓPICO 3 AINDA MAIS SOBRE BPMN 147 Sydle Essa ferramenta brasileira é mais do que apenas um editor de diagramas em BPMN é uma suíte para gerenciamento de processos Por este motivo a solução possui muitas outras funcionalidades que vão além da modelagem do processo Como estamos tratando neste artigo especificamente de ferramentas de criação de diagramas BPMN vamos nos ater às funcionalidades relacionadas a este tipo de solução O modelador é web portanto não é necessário baixar ou instalar nenhum programa Para criar modelos no Sydle é preciso criar uma conta mas pode ser na versão gratuita Community da ferramenta A utilização de outras funcionalidades além da modelagem pode exigir a escolha por uma licença paga veja no site do produto os diferentes recursos Como o foco principal da ferramenta é a modelagem de processos para serem automatizados por meio do próprio produto estão disponíveis para a modelagem apenas os elementos de BPMN implementados na automação Mesmo assim atende a quase toda a especificação na subclasse descritiva à exceção dos elementos de pool e fluxo de mensagens e os acessórios data object e data store Para a documentação a ferramenta disponibiliza um mini editor de texto O salvamento dos diagramas é realizado no servidor da Sydle e é possível extrair uma versão impressa de documentação tipo manual de processo com a imagem do diagrama e o detalhamento da documentação com recursos ricos de formatação de texto inclusive uso de tabelas Como outras ferramentas possui o recurso de menu de contexto que permite ir criando o fluxo a partir do conector no elemento anterior A ferramenta faz auto salvamento a cada elemento adicionado no processo Não há funcionalidade específica para fazer a validação do modelo no editor mas algumas regras básicas são verificadas automaticamente por exemplo não permite conectar o evento final a outro elemento de fluxo Não há recursos padrão de exportação Esta solução é brasileira e a interface é totalmente em português FONTE Sganderla 2016 sp Para baixar experimentar e descobrir mais sobre esta ferramenta acesse em httpswwwsydlecombrbpm Acesso em 14 ago 2020 DICAS 148 UNIDADE 2 NOTAÇÃO Bonita BPM A suíte Bonita BPM Community deve ser instalada completamente para que se possa testar o modelador Após a instalação padrão que não permite nenhuma personalização além do diretório de instalação você abre a aplicação e é exibida a tela de boasvindas do BPMS Ao clicar no item de menu New Diagram o modelador de processos do Bonita BPM é exibido Como as demais ferramentas de modelagem o modelador do Bonita BPM é composto por uma barra de menu contendo itens padrão uma paleta de elementos BPMN a área de modelagem e um conjunto de guias para documentação e configuração dos elementos dos modelos de processos Em resumo na modelagem de processos para automação que é a finalidade da ferramenta o conjunto de elementos implementados pelo Bonitasoft parece ser suficiente mas se você deseja usar o modelador para fazer modelos de negócio com todo o poder de expressão da BPMN 20 vai sentir falta de muitos elementos FONTE Gomes 2017 sp Para baixar experimentar e descobrir mais sobre esta ferramenta acesse em httpsdrawio Acesso em 14 ago 2020 DICAS FONTE Adaptado de Gomes 2017 sp Marketing Lecom 2019 sp Sganderla 2016 sp TÓPICO 3 AINDA MAIS SOBRE BPMN 149 LEITURA COMPLEMENTAR ELEMENTOS DA BMPN Nesta leitura complementar trazemos um resumo dos elementos da BPMN no quadro a seguir pois assim atingimos nosso objetivo referente à notação utilizada nos processos de negócio ELEMENTOS DA BPMN ELEMENTO NOTAÇÃO PiscinaPool container que é a representação gráfica de um participante de um processo Geralmente um processo de negócio está contido dentro de uma única piscina mas isso não é uma regra Ou seja uma piscina pode se referir a um processo Em determinadas circunstâncias uma piscina pode representar um caixa preta black box ou seja a representação de um processo participantecolaborador de outro processo cuja modelagem não é representada RaiaLane é uma subpartição dentro de um processo usada para organizar e categorizar atividades dentro dele BPMN não especifica o uso de raias mas elas são frequentemente utilizadas para identificar coisas como papéis internos sistemas e departamentos internos CONECTORES Fluxo de sequência é utilizado somente para mostrar a ordem em que as atividades serão executadas em um processo Fluxo de mensagem é utilizado para mostrar o fluxo de mensagens entre dois participantes que estão preparados para enviar e receber mensagens Associação utilizada para ligar informações em artefatos com elementos gráficos do BPMN Anotações e outros artefatos podem ser associados com um elemento gráfico por meio deste conector 150 UNIDADE 2 NOTAÇÃO TAREFA None tarefa que não tem nenhuma especificidade Pode também ser chamada de tarefa abstrata Serviço tarefas que usam algum tipo de serviço como Web Services ou aplicações automatizadas Envio tarefa designada para enviar uma mensagem para um participante externo Uma vez a mensagem enviada a tarefa estará completa Recebimento tarefa designada para aguardar por uma mensagem que chegará de um participante externo Uma vez a mensagem recebida a tarefa estará completa É frequentemente utilizada para iniciar um processo Humana tarefa executada por pessoas com o apoio de um software e programado por um gerenciador de lista de tarefas Manual tarefa executada sem a ajuda de qualquer mecanismo ou aplicação Um exemplo poderia ser a instalação de um telefone no cliente Business rule tarefa que provê um mecanismo de entrada de uma regra de negócio para obter a saída de um cálculo ao qual o processo depende Script tarefa na qual o modelador define um script em uma linguagem que pode ser interpretada Quando a tarefa a alcançada inicia a execução do script Completada a execução a tarefa também estará completa TÓPICO 3 AINDA MAIS SOBRE BPMN 151 SUBPROCESSOS Subprocessos é uma atividade que tem em seu interior a modelagem de outras atividades gateways eventos e fluxos de sequência Também é um objeto gráfico dentro de um processo mas pode ser aberto para que enxerguemos seu interior Tarefas que em conjunto possuem um propósito específico dentro de um processo de negócio e podem ser abstraídas em uma outra unidade de processo e representadas em um processo maior por um único objeto Os subprocessos definem um escopo contextual que pode ser usado para dar visibilidade tratamento de exceções e até mesmo um escopo transacional Também podem ser úteis para reunir partes de fluxos que podem ser repetidas em momentos distintos do processo caracterizando o reuso A notação pode ser Contraído ou Expandido conforme notação ao lado respectivamente Tipos de Subprocessos i Embutido pode estar em uma visão contraída no qual os detalhes ficam ocultos ou pode estar em uma visão expandida que mostra os detalhes dentro da visão do processo em que ele está contido Eles são frequentemente usados em um contexto de tratamento de exceção que se aplica a um grupo de atividades ii Reusável na versão mais nova do BPMN é conhecido como Call Activity iii Evento é um subprocesso especializado usados dentro de um processo ou outro subprocesso Não é parte de um fluxo normal do processo pai além de não ter entradas nem saídas do fluxo de trabalho Este tipo de subprocesso pode ou não ocorrer enquanto o processo pai está ativo mas é possível que isso aconteça várias vezes Diferente do subprocesso padrão que usa o fluxo do processo pai para acionálo este tipo de subprocesso tem um evento de início com um gatilho Toda vez que o evento de início é acionado enquanto o processo pai está ativo este subprocesso é iniciado 152 UNIDADE 2 NOTAÇÃO EVENTOS DE INÍCIO None não tem nenhum gatilho definido Message uma mensagem chega de um participante e aciona o início do processo Timer um momento ou ciclo específico podem ser definidos para iniciar o processo Conditional um condição pode ser definida para acionar o início de um processo ex temperatura acima de 300C Signal um sinal chega de uma transmissão de um processo para iniciar outro processo Não é um message uma vez que este tem um alvo específico Vários processos podem ser iniciados de uma mesma transmissão de um único sinal Multiple há múltiplas formas para acionar um processo sendo que apenas uma delas é requerida Parallel Multiple há múltiplas formas para acionar um processo sendo que todas elas são requerida antes de iniciar o processo EVENTOS DE FIM None não tem um resultado definido Message indica que uma mensagem é enviando para um participante na conclusão do processo Error indica que um Erro deveria ser gerado Todas as threads do processos ou subprocesso serão finalizados Escalation indica que uma Escalation deveria ser acionada As outras threads ativas não serão afetadas e continuarão a execução Escalation é um evento que quando acontece faz com que o próximo nível mais alto de responsabilidade deverá ser envolvido Cancel é utilizado dentro de um Transaction SubProcess indicando que a transação deveria ser cancelada e acionará um Cancel Intermediate Event anexado à borda do SubProcess Compensation indica que uma Compensation é necessária Compensation está preocupado com as etapas de desfazer que já estavam concluídos com êxito porque os seus resultados e efeitos colaterais possivelmente não são mais desejados e precisa ser revertida Se uma atividade ainda está ativa ela não pode ser compensada mas precisa ser cancelada Signal indica que um sinal será transmitido quando o final tiver sido alcançado Lembrese de que não é uma mensagem pois esta tem um alvo específico Terminate indica que todas as atividades no processo deverão ser imediatamente finalizadas Multiple significa que haverá múltiplas consequência de finalização do processo TÓPICO 3 AINDA MAIS SOBRE BPMN 153 EVENTOS INTERMEDIÁRIOS None só é válido em fluxo normal e não pode ser colocado na borda de uma atividade Embora não exista especificado um gatilho para o evento é definido como um evento de lançamento São usados para modelar metodologias que usam eventos para indicar alguma mudança de estado no processo Message podem ser utilizadas para enviar e receber mensagens Quando é utilizado para lançar é cartinha preenchida e quando usado para capturar a cartinha não é preenchida Timer age como um mecanismo de atraso baseado em um datetime específico ou um ciclo específico Escalation levanta uma Escalation Compensation indica que uma Compensation é necessária Conditional evento acionado quando uma condição retorna true Link as principais características deste evento intermediário são i é válido somente em fluxo normal ii eles não podem ser usados na borda de uma atividade iii um link é um mecanismo responsável por conectar duas seções de um processo Signal as principais caraterísticas deste evento intermediário são i usado para enviar e receber sinal ii poder enviar e receber um Signal de um evento é parte de um fluxo normal iii o evento só pode receber um signal quando anexado à borda de uma atividade iv quando usado para capturar o Signal o evento terá triângulo vazio e quando usado para acionar um sinal o triângulo será um triângulo preenchido Multiple significa que existem vários gatilhos assinados para o evento Se usado dentro do fluxo normal pode capturar ou lançar gatilhos Quando anexado na borda de uma atividade pode apenas capturar gatilhos Quando utilizado para capturar gatilhos apenas um dos gatilhos assinados é REQUERIDO e o evento tem a marca de vazio Quando usado para acionar gatilhos todos os gatilhos assinados deverão ser acionados e a marca é preenchida Parallel Multiple significa que existem vários gatilhos assinados para o evento Se usado dentro do fluxo normal pode apenas capturar gatilhos Quando anexado na borda de uma atividade pode apenas capturar gatilhos Diferentemente do Multiple todos os gatilhos assinados são REQUERIDOS para o evento ser acionado 154 UNIDADE 2 NOTAÇÃO EVENTOS INTERMEDIÁRIOS UTILIZADOS ANEXADOS Message uma mensagem chega de um participante e aciona o evento Se um evento de mensagem é anexado à borda da atividade isso mudará o fluxo normal para um fluxo de exceção que está sendo acionado Para um evento de mensagem que interrompe a atividade a borda é sólida Se não interrompe a atividade a borda e pontilhada Se interrompe a atividade tem a borda sólida e se não interrompe a atividade tem a borda pontilhada Timer um datetime específico ou um ciclo podem ser definidos para acionar um evento Se um evento de timer é anexado à borda da atividade isso mudará o fluxo normal para um fluxo de exceção que está sendo acionado Para um evento de timer que interrompe a atividade a borda é sólida Se não interrompe a atividade a borda e pontilhada Escalation evento utilizado para manusear uma Escalation Se anexada na borda a atividade captura uma Escalation Diferente de uma Error por padrão não aborta a atividade a qual está anexada No entanto o modelador pode decidir alterar essa Se interrompe a atividade tem a borda sólida e se não interrompe a atividade tem a borda pontilhada Error sempre interrompe a atividade a qual está anexado Compensation quando utilizada na borda de uma atividade é utilizada para capturar um evento Compensation Pode ser acionada depois que a atividade é completada Assim ela não pode interromper a atividade Conditional evento acionado quando a condição expressão é verdadeira Se um evento condicional é anexado à borda da atividade isso mudará o fluxo normal para um fluxo de exceção que está sendo acionado Para um evento condicional que interrompe a atividade a borda é sólida Se não interrompe a atividade a borda e pontilhada Signal pode receber um sinal quando anexado a borda de uma atividade Se um evento signal é anexado à borda da atividade isso mudará o fluxo normal para um fluxo de exceção que está sendo acionado Para um evento signal que interrompe a atividade a borda é sólida Se não interrompe a atividade a borda e pontilhada Multiple indica que tem múltiplos gatilhos assinados ao evento Quando anexado à borda de uma atividade o evento pode apenas capturar o gatilho Neste caso apenas um dos gatilhos assinados precisa ser REQUERIDO e o evento será acionado mudando o fluxo normal para um fluxo de exceção Para um evento multiple que interrompe a atividade a borda é sólida Se não interrompe a atividade a borda e pontilhada Parallel Multiple indica que tem múltiplos gatilhos assinados ao evento Quando anexado à borda de uma atividade o evento pode apenas capturar o gatilho Diferente do Multiple todos os gatilhos assinados são REQUERIDOS para o evento ser acionado Para um evento parallel multiple que interrompe a atividade a borda é sólida Se não interrompe a atividade a borda e pontilhada TÓPICO 3 AINDA MAIS SOBRE BPMN 155 GATEWAYS Exclusivo utilizado para criar caminhos alternativos exclusivos dentro do fluxo de trabalho Neste instante apenas um caminho poderá ser seguido É o que chamamos de um momento de decisão Uma decisão pode ser evidenciada quando há um questionamento em um ponto do processo Cada resposta associada a este questionamento poderá ser uma saída para o fluxo de trabalho O gateway exclusivo tem duas formas no entanto recomendase que quando se opta por uma esta deverá ser utilizada até o final não podendo haver variações Um caminho padrão poderá opcionalmente ser identificado para que caso nenhuma das condições seja verdadeira o processo possa seguir esse caminho ou haverá um erro de execução Inclusivo utilizado para criar caminhos alternativos que podem ser paralelos dentro do fluxo de trabalho As condições de evolução não são excludentes logo todas as condições verdadeiras serão atravessadas pelo token Assim todos os caminhos são considerados independentes e todas as combinações poderão existir de zero a todas Um caminho padrão poderá opcionalmente ser identificado para que caso nenhuma das condições seja verdadeira o processo possa seguir esse caminho ou haverá um erro de execução Paralelo utilizado para combinar e criar fluxos paralelos Os caminhos paralelos são criados sem checar qualquer condição e cada saída recebe um token Para o fluxo de entrada o gateway aguardará por todos os tokens de entrada antes de acionar a continuação do fluxo de trabalho Complexo utilizado para modelar o sincronismo de comportamentos complexos Uma expressão é usada para descrever o comportamento preciso Ex a expressão pode definir que de cinco entradas do gateway são necessárias pelo menos três para que seja acionado o fluxo de saída do gateway Baseado em evento representa um ponto de ramificação no processo no qual os caminhos alternativos que seguem o gateway são fundamentados em eventos que ocorrem Um evento específico frequentemente o receptor de uma mensagem determina o caminho que será seguido Basicamente a decisão é feita por um outro participante baseado em dados não visíveis ao processo Por exemplo uma companhia que está aguardando a resposta de um cliente e executará um grupo de atividades se a resposta for sim e outro grupo de atividades for não Vale ressaltar que neste caso não é a mesma mensagem com diferentes valores mas mensagens distintas Neste caso a resposta do cliente determina o caminho a ser seguido ITENS E DADOS Um objeto de dados é a representação de documentos e formulários que são utilizados e atualizados durante a execução do processo Podem ser referências a documentos físicos ou eletrônicos Esse objeto de dados pode ser de um Elemento Único ou de uma Coleção de Elementos respectivamente na notação Armazenamento de dados provê um mecanismo para as atividades recuperarem ou atualizarem informações armazenadas que persistirão além do escopo do processo FONTE Adaptado de SEGPLAN Manual de modelagem de processos com Bizagi Modeler Secretaria de Estado de Gestão e Planejamento SEGPLAN 2014 p 919 156 RESUMO DO TÓPICO 3 Neste tópico você aprendeu que Todos os elementos na notação podem receber mais semântica ou mais significado ou seja que podemos descrever mais coisas com eles e o vimos organizados por função conforme Figura 18 A notação BPMN é rica em sua capacidade de representar consequentemente há uma variedade de objetos e formas de representação Uma importante adição da última versão da notação é o evento que pode ser utilizado de maneira bastante flexível CAMPOS 2014 p 1176 A perspectiva é um conceito importante para a modelagem Segundo Campos 2014 p 1181 É importante definir claramente antes do início da modelagem qual é a perspectiva sob a qual o modelo será elaborado Isso determinará quais comportamentos modelaremos e quais comportamentos não modelaremos A definição da perspectiva faz toda a diferença pois simplifica a compreensão de quem faz o modelo a compreensão de quem lê o modelo e a comunicação entre os modeladores e as fontes de informação CAMPOS 2014 p 1181 Não há desconforto maior em um trabalho de modelagem do que aquele causado pela desconfiança de que os modeladores não sabem o que estão fazendo CAMPOS 2014 p 1181 A utilização do conceito de perspectiva além de deixar o modelo mais compreensível traz outros benefícios Um deles é a redução de ruído na comunicação entre o modelador e suas fontes de informação Os pontos de comunicação pontos de contato ficam explícitos possibilitando eventualmente que se aperfeiçoem esses pontos de comunicação É necessário abordar propriamente o conceito de troca de mensagens Uma mensagem é enviada a partir de um ponto e recebida em um ou mais pontos Se uma mensagem pode ser enviada então ela também pode ser recebida 157 Ficou alguma dúvida Construímos uma trilha de aprendizagem pensando em facilitar sua compreensão Acesse o QR Code que levará ao AVA e veja as novidades que preparamos para seu estudo CHAMADA Algumas das principais ferramentas para desenhar processo são I Aris Express II BPMNio III Bizagi Modeler IV Drawio V HEFLO Documentação VI Yaoqiang BPMN Editor VII Lovely Charts VIII Modelio IX Sydle e X Bonita BPM Os elementos a notação e as suas definições da BPMN No quadro apresentado na Leitura Complementar desta unidade expomos os elementos e suas respectivas notações 158 AUTOATIVIDADE 1 O evento de fim Escalation indica que uma Escalation deveria ser acionada As outras threads ativas não serão afetadas e continuarão a execução Escalation é um evento que quando acontece faz com que o próximo nível mais alto de responsabilidade deverá ser envolvido Agora escolha a alternativa que contém a notação do evento de fim Escalation a b c d 2 O evento de fim Compensation se refere que uma Compensation é necessária Compensation está preocupado com as etapas de desfazer que já estavam concluídos com êxito porque os seus resultados e efeitos colaterais possivelmente não são mais desejados e precisa ser revertida Se uma atividade ainda está ativa ela não pode ser compensada mas precisa ser cancelada Agora escolha a alternativa que contém a notação do evento de fim Compensation a b c d 3 O evento intermediário None somente é válido em fluxo normal e não pode ser colocado na borda de uma atividade Contudo não exista especificado um gatilho para o evento é definido como um evento de lançamento São utilizados para modelar metodologias que usam eventos para indicar alguma mudança de estado no processo Agora escolha a alternativa que contém a notação do evento de início None a b c d 159 4 O evento de início Multiple significa que existem vários gatilhos assinados para o evento Se usado dentro do fluxo normal pode capturar ou lançar gatilhos Quando anexado na borda de uma atividade pode apenas capturar gatilhos Quando utilizado para capturar gatilhos apenas um dos gatilhos assinados é quisto e o evento tem a marca de vazio Quando utilizado para acionar gatilhos todos os gatilhos assinados deverão ser acionados e a marca é preenchida Agora escolha a alternativa que contém a notação do evento de início Multiple a b c d 5 O evento de início Parallel Multiple se refere que existem vários gatilhos assinados para o evento Se usado dentro do fluxo normal pode apenas capturar gatilhos Quando anexado na borda de uma atividade pode apenas capturar gatilhos Diferentemente do Multiple todos os gatilhos assinados são quistos para o evento ser acionado Agora escolha a alternativa que contém a notação do evento de início Parallel Multiple a b c d 161 UNIDADE 3 PROCESSO DE NEGÓCIO E SEGURANÇA DA INFORMAÇÃO OBJETIVOS DE APRENDIZAGEM PLANO DE ESTUDOS A partir do estudo desta unidade você deverá ser capaz de perceber a segurança da informação sob a ótica da gestão de processos identificar os processos de negócio de segurança da informação identificar as atividades referente aos processos de negócio da segurança da informação conhecer os objetivos de controle dos processos da segurança da informação saber o modelo de maturidade de cada um dos processos de negócio referente a segurança da informação Esta unidade está dividida em três tópicos No decorrer da unidade você encontrará autoatividades com o objetivo de reforçar o conteúdo apresentado TÓPICO 1 SEGURANÇA DA INFORMAÇÃO SOB A ÓTICA DA GESTÃO POR PROCESSO TÓPICO 2 PROCESSOS DE NEGÓCIO DA SEGURANÇA DA INFORMAÇÃO TÓPICO 3 MODELO DE MATURIDADE DOS PROCESSOS DE NEGÓCIO DA SEGURANÇA DA INFORMAÇÃO Preparado para ampliar seus conhecimentos Respire e vamos em frente Procure um ambiente que facilite a concentração assim absorverá melhor as informações CHAMADA 163 UNIDADE 3 TÓPICO 1 SEGURANÇA DA INFORMAÇÃO SOB A ÓTICA DA GESTÃO POR PROCESSO 1 INTRODUÇÃO Dados e informações confidenciais são frequentemente tratados em processos de negócios Desta forma os sistemas de informação e a tecnologia desempenham um papel relevante nos processos de negócios da organização e apoiando no alcance de suas metas e objetivos O gerenciamento dos processos de negócio ou Business Process Management BPM é uma disciplina que alia o conhecimento de Tecnologia da Informação TI e ciências de gerenciamento se concentrando em processos de negócio Embora possamos dizer que o gerenciamento da segurança da informação está voltado para o gerenciamento dos processos de negócio são duas disciplinas distintas que se afetam mutuamente A reengenharia de um processo de negócio geralmente terá implicações de Segurança da Informação SI e a introdução de um controle de SI provavelmente afetará o fluxo do processo de negócio Além disso o impacto de um risco de segurança materializado geralmente afetará os negócios portanto é necessário um conjunto diferente de habilidades para gerenciar um processo de negócio de risco e não um sistema de TI um requer conhecimento dos métodos de BPM e o outro conhecimento técnico em SI Além disso há vários tipos de processos de negócios que variam em nível de abstração desde a cadeia de valor no topo da organização até instruções e procedimentos de trabalho Podemos dizer que um processo envolvendo SI possui atividades que precisam ser seguidas contemplando normas de segurança para satisfazer os objetivos da organização e se adequando em projetos de gerenciamento ou gestão de processos de negócio Diante deste cenário fica fácil entendermos por que a segurança da informação está na pauta dos gestores de empresas como um ponto de atenção As empresas de todos os possíveis portes investem bilhões de dólares por ano em soluções para proteger as suas informações Veja o UNIDICAS sobre o tema UNIDADE 3 PROCESSO DE NEGÓCIO E SEGURANÇA DA INFORMAÇÃO 164 Leia o artigo Como a falta de segurança em TI pode arruinar seu negócio no link httpswwwsercompecombrcomoafaltadesegurancaemtipodearruinarseunegocio DICAS Para que uma organização alcance os resultados esperados é necessário que seus processos sejam executados de maneira unificada por meio da integração de seus diversos setores com o intuito de atingir os objetivos Nosso objetivo a partir daqui é tratar a segurança da informação sob a ótica da gestão por processos bem como trazermos o UNIDICA referente aos efeitos da abordagem analítica e da gestão orientada para processos sobre o desempenho organizacional de micro e pequenas empresas brasileiras dos setores da indústria e de serviços Leia o artigo Os efeitos da abordagem analítica e da gestão orientada para processos sobre o desempenho organizacional de micro e pequenas empresas brasileiras dos setores da indústria e de serviços no link httpwwwscielobrpdfgpv23n30104 530Xgp0104530X153114pdf DICAS 2 A SEGURANÇA DA INFORMAÇÃO POR MEIO DOS PROCESOS DE NEGÓCIO Segundo Portal ISO27000 2016 sp A evolução dos processos de segurança da informação está diretamente relacionada à gestão por processos Cada vez mais as organizações estão investindo em tecnologia pessoas e processos As organizações passam a ter programas específicos de gestão por processos assim como formam pessoas e buscam uma maior eficácia e eficiência operacional Veja o link do artigo no UNI CHAMADA a seguir referente uma metodologia para implantação de um sistema de gestão de segurança da informação TÓPICO 1 SEGURANÇA DA INFORMAÇÃO SOB A ÓTICA DA GESTÃO POR PROCESSO 165 Esse artigo apresenta a metodologia de Sistema de Gestão da Segurança da Informação SGSI Essa metodologia abrange padrões e normas de segurança que promove a segurança de sistemas em rede Acesse o link httpwwwscielobrscielophppidS1807 17752005000200002scriptsciabstracttlngpt Acesso em 19 ago 2020 CHAMADA A gestão de processos de segurança da informação possibilita que a organização seja ágil precisa e eficiente pois a informação é vista como ativo para a organização e fundamental para os processos de negócios Portanto ela precisa ser protegida devidamente Mas o que é um ativo Ativo é qualquer coisa que tenha valor para a organização tendo ou não referência financeira ou seja o ativo pode ter um valor financeiro eou um valor intangível para o negócio PORTAL ISO27000 2016 sp apud ABNT 2013 A informação está presente nas mais diversas formas dentro das organizações como informação impressa eletrônica falada som imagem entre outros A segurança da informação vem para proteger a informação sob as mais diferentes óticas abrangendo as vulnerabilidades e as ameaças As ações de segurança da informação são baseadas em vários tipos de métodos como controles políticas processos e procedimentos PORTAL ISO27000 2016 sp Um controle é uma proteção ou contramedida existente NOTA Um controle pode existir de forma automática ou manual um controle automático executa sua função com pouca ou nenhuma interação humana e um controle manual exige que um ser humano o opere e geralmente se enquadra em três categorias principais físico técnico e administrativo UNIDADE 3 PROCESSO DE NEGÓCIO E SEGURANÇA DA INFORMAÇÃO 166 Os controles físicos representam controles encontrados no mundo físico como cercas portas com fechaduras e fios de laptop Os controles técnicos representam os controles implementados na forma de sistemas de informação geralmente em forma lógica como firewall antimalware e controle de acesso ao computador Por fim os controles administrativos representam controles na forma de políticas e procedimentos que proíbem certas atividades como a política de SI É fundamental alinhar os controles de uma norma dentro do ambiente corporativo com o alinhamento estratégico e os princípios básicos da Governança de Tecnologia da Informação Para Portal ISO27000 2016 sp A Governança está focada no negócio da organização e como a Tecnologia da Informação TI está suportando os processos de negócio através de processos de TI definidos Com base nestes princípios de Governança as organizações passaram a tratar a Tecnologia da Informação como um parceiro estratégico com orientação ao negócio Um Processo de Negócios PN é um conjunto de atividades dentro de uma organização cujo objetivo é produzir o resultado desejado Resumidamente podemos dizer que um processo é como o trabalho é realizado o trabalho é o esforço direcionado para produzir ou realizar algo O objetivo de modelar um processo de negócio é descrevermos a ordem e a dependência lógicas de maneira que os profissionais possam ter uma visão ampla do processo Um processo é desencadeado por algum evento que é orientado por algumas regras que utilizam conhecimentos relevantes e que são executados por pessoas que utilizam tecnologias habilitadoras e infraestrutura de suporte como as instalações Portal ISO27000 2016 traz a pesquisa realizada por Johnson 2012 que se fundamentou na norma internacional de segurança da informação e obteve uma estrutura de processos que abrange e representa todas as áreas organizacionais na qual a segurança da informação se faz presente Johnson 2012 categorizou os processos de segurança da informação em cinco categorias conforme a Figura 1 TÓPICO 1 SEGURANÇA DA INFORMAÇÃO SOB A ÓTICA DA GESTÃO POR PROCESSO 167 FIGURA 1 CATEGORIZAÇÃO DOS PROCESSOS DE SEGURANÇA DA INFORMAÇÃO FONTE Adaptado de Johnson 2012 Planejamento Organização e Alinhamento POA Gestão da Segurança GES Segurança Técnica TEC Segurança Física FIS Segurança Organizacional ORG Processos que possuem como objetivo alinhar as iniciativas de segurança da informação com as necessidades e requisitos da operação de negócio da organização Os processos de negócio da categoria POA Planejamento Organização e Alinhamento objetivam as ações de SI referente aos requisitos internos da organização com as práticas de SI Processos que visam à SI sob a ótica da organização como empresa Os processos de negócio da categoria ORG Segurança Organizacional objetivam organizar as ações referente a SI relacionando práticas de SI com requisitos internos Os processo de negócio da categoria FIS Segurança Física objetivam fornecer a segurança física nos diferentes níveis incluindo as definições de área segura acesso restrito e segurança física de equipamentos Processos que visam à SI por meio de atividades específicas de cunho técnico Os processo de negócio da categoria TEC Segurança Técnica à SI por meio de atividades técnicas ou seja aplicadas nos ambientes de TI no qual os conceitos de SI foram analisados e desenvolvidos Os processos de negócio da categoria GES Gestão da Segurança Física objetivam garantir que as ações de SI estão organizadas atendendo aos requisitos de negócio da organização e alinhadas com regulamentos normas e leis de cunho interno ou externo da organização Acadêmico estude com atenção o UNI IMPORTANTE que preparamos para você referente à estrutura dos processos de segurança da informação segundo as categorias apresentadas UNIDADE 3 PROCESSO DE NEGÓCIO E SEGURANÇA DA INFORMAÇÃO 168 ESTRUTURA DOS PROCESSOS DE SEGURANÇA DA INFORMAÇÃO POR CATEGORIA IMPORTANTE CATEGORIA NOME DO PROCESSO ATIVIDADES POA Planejamento Organização e Alinhamento POA01 Planejamento Estratégico da Segurança da Informação Gerenciamento de Valor da Segurança da Informação Alinhamento entre Segurança da Informação e Negócio Avaliação da Capacidade e Desempenho Correntes Plano Estratégico de Segurança da Informação Planos Táticos de Segurança da Informação Gerenciamento do Portfólio de Segurança da Informação POA02 Política de Segurança da Informação Elaborar o documento da política de segurança da informação Analisar criticamente a política de segurança da informação POA03 Organização Interna Comprometimento da direção com a segurança da informação Coordenação da segurança da informação Atribuição de responsabilidades para a segurança da informação Processo de autorização para os recursos de processamento da informação Acordos de confidencialidade Contato com as autoridades Contato com grupos especiais Análise crítica independente de segurança da informação POA04 Organização com as Partes Externas Identificação dos riscos relacionados com partes externas Identificando a segurança da informação quando tratando com os clientes Identificando segurança da informação nos acordos com terceiros POA05 Gestão de Risco Alinhamento da gestão de riscos de TI e de Negócios Estabelecimento do Contexto de Risco Identificação de Eventos Avaliação de Risco Resposta ao Risco Manutenção e Monitoramento do Plano de Ação de Risco TÓPICO 1 SEGURANÇA DA INFORMAÇÃO SOB A ÓTICA DA GESTÃO POR PROCESSO 169 ORG Segurança Organizacional ORG01 Responsabilidade pelos Ativos Inventário dos ativos Proprietário dos ativos Uso aceitável dos ativos ORG02 Classificação da Informação Recomendações para classificação Rótulos e tratamento da informação ORG03 Segurança em Recursos Humanos Papéis e responsabilidades Seleção Termos e condições de contratação Responsabilidades da direção Conscientização educação e treinamento em segurança da Informação Processo disciplinar Encerramento de atividades Devolução dos Ativos Retirada de direito de acesso ORG04 Procedimentos e Responsabilidades Operacionais Documentação dos procedimentos de operação Gestão de mudanças Segregação de funções Separação dos recursos de desenvolvimento teste e de produção ORG05 Troca de Informações Políticas e procedimentos para troca de informações Acordos para a troca de informações Políticas e procedimentos para troca de informações Acordos para a troca de informações ORG06 Requisitos de Negócio para Controle de Acesso Política de controle de negócio ORG07 Responsabilidade dos Usuários Uso de senhas Equipamento de usuário sem monitoração Política de mesa limpa e tela limpa ORG08 Requisitos de Segurança de Sistemas de Informação Análise e especificação dos requisitos de segurança UNIDADE 3 PROCESSO DE NEGÓCIO E SEGURANÇA DA INFORMAÇÃO 170 FIS Segurança Física FIS01 Áreas Seguras Perímetro de segurança física Controles de entrada física Segurança em escritórios salas e instalações Proteção contra ameaças externas e do meio ambiente Trabalhando em áreas seguras Acesso do público áreas de entrega e de carregamento FIS02 Segurança em Equipamentos Instalação e proteção do equipamento Utilidades Segurança do cabeamento Manutenção dos equipamentos Segurança de equipamentos fora das dependências da organização Reutilização e alienação segura de equipamentos Remoção de propriedade TÓPICO 1 SEGURANÇA DA INFORMAÇÃO SOB A ÓTICA DA GESTÃO POR PROCESSO 171 TEC Segurança Técnica TEC01 Gerenciamento de Serviços de Terceiros Entrega de serviços Monitoramento e análise crítica de serviços terceirizados Gerenciamento de mudanças para serviços terceirizados TEC02 Planejamento e Aceitação dos Sistemas Gestão de capacidade Aceitação de sistemas TEC03 Proteção contra Códigos Maliciosos e Códigos Móveis Controles contra códigos maliciosos Controles contra códigos móveis TEC04 Cópias de Segurança Cópias de segurança das informações TEC05 Gerenciamento da Segurança em Redes Controles de redes Segurança dos serviços de rede TEC06 Manuseio de Mídias Gerenciamento de mídias removíveis Descarte de mídias Procedimentos para tratamento de informação Segurança da documentação dos sistemas TEC07 Serviços de Comércio Eletrônico Comércio eletrônico Transações online Informações publicamente disponíveis TEC08 Gerenciamento de Acesso do Usuário Registro de usuário Gerenciamento de privilégios Gerenciamento de senha do usuário Análise crítica dos direitos de acesso de usuário TEC09 Controle de Acesso a Rede Política de uso dos serviços de rede Autenticação para conexão externa do usuário Identificação de equipamento em redes Proteção de portas de configuração e diagnóstico remotos Segregação de redes Controle de conexão de rede Controle de roteamento de redes TEC10 Controle de Acesso ao Sistema Operacional Procedimentos seguros de entrada no sistema logon Identificação e autenticação de usuário Sistema de gerenciamento de senha Uso de utilitários de sistema Limite de tempo de sessão Limitação de horário de conexão TEC11 Controle de Acesso a aplicação e a Informação Restrição de acesso à informação Isolamento de sistemas sensíveis UNIDADE 3 PROCESSO DE NEGÓCIO E SEGURANÇA DA INFORMAÇÃO 172 TEC12 Computação Móvel e Trabalho Remoto Computação e comunicação móvel Trabalho remoto TEC13 Processamento Correto nas Aplicações Validação dos dados de entrada Controle do processamento interno Integridade de mensagens Validação de dados de saída TEC14 Controles Criptográficos Política para o uso de controles criptográficos Gerenciamento de chaves TEC15 Segurança dos Arquivos do Sistema Controle de software operacional Proteção dos dados para teste de sistema Controle de acesso ao códigofonte de programa TEC16 Segurança em Processos de Desenvolvimento e de Suporte Procedimentos para controle de mudanças Análise crítica técnica das aplicações após mudanças no sistema operacional Restrições sobre mudanças em pacotes de software Vazamento de informações Desenvolvimento terceirizado de software TEC17 Gestão de Vulnerabilidades Técnicas Controle de vulnerabilidades técnicas TÓPICO 1 SEGURANÇA DA INFORMAÇÃO SOB A ÓTICA DA GESTÃO POR PROCESSO 173 GES Gestão da Segurança GES01 Notificação de Fragilidades e Eventos de Segurança da Informação Notificação de eventos de segurança da informação Notificando fragilidades de segurança da informação GES02 Gestão de Incidentes de Segurança da Informação e Melhorias Responsabilidades e procedimentos Aprendendo com os incidentes de segurança da informação Coleta de evidências GES03 Monitoramento de Atividades Registros de auditoria Monitoramento do uso do sistema Proteção das informações dos registros log Registros log de administrador e operador Registros log de falhas Sincronização dos relógios GES04 Aspectos da Gestão de Continuidade de Negócios em Segurança da Informação Incluindo segurança da informação no processo de gestão da continuidade de negócio Continuidade de negócios e análiseavaliação de riscos Desenvolvimento e implementação de planos de continuidade relativos à segurança da informação Estrutura do plano de continuidade de negócio Testes manutenção e reavaliação dos planos de continuidade do negócio GES05 Conformidade com Requisitos Legais Identificação da legislação aplicável Direitos de propriedade intelectual Proteção de registros organizacionais Proteção de dados e privacidade de informações pessoais Prevenção de mau uso de recursos de processamento da informação Regulamentação de controles de criptografia GES06 Conformidade com normas políticas de Segurança da Informação e Conformidade Técnica Conformidade com as políticas e normas de segurança da informação Verificação da conformidade técnica GES07 Considerações quanto a Auditoria de Sistemas de Informação Controles de auditoria de sistemas de informação Proteção de ferramentas de auditoria de sistemas de informação FONTE Adaptado de Portal ISO27000 2016 e Johnson 2012 UNIDADE 3 PROCESSO DE NEGÓCIO E SEGURANÇA DA INFORMAÇÃO 174 A gestão dos processos é o caminho para que os processos de segurança da informação evoluam Cada vez mais as organizações estão investindo em tecnologia pessoas e processos Já é possível encontrar organizações possuem programas específicos de gestão por processos formando pessoas e buscando maior eficiência e eficácia operacional PORTAL ISO27000 2016 sp Acadêmico veja o UNIs indicados sobre o tema As áreas de tecnologia da informação também têm adotado fortemente nos frameworks baseados em processos como o ITIL ITSMF 2016 e COBIT ITGI 2016 PORTAL ISO27000 2016 sp Nesses dois frameworks há processos específicos ao tratamento da segurança da informação estando diretamente relacionados às normas internacionais de segurança NOTA Acesse o livro Conscientização em Segurança da Informação UNIASSELVI Costa 2020 para conhecer mais sobre Cobit 2019 Além disso aproveite para assistir ao vídeo para aprofundar mais a conscientização dos usuários com relação à segurança da informação no link httpswwwyoutubecomembedVWf3kL4oXQ DICAS Os principais produtos e soluções de segurança da informação exigem para um desempenho adequado que as organizações possuam processos de segurança e gestão maduras portanto é possível verificar para cada uma das atividades elencadas qual é o nível de maturidade em que o processo se encontra A descrição dos processos de controle e o modelo a ser aplicado para análise da maturidade serão vistos no Tópico 2 desta unidade de estudo Agora queremos lhe mostrar o processo de negócio aplicado à segurança da informação para que se você possa conhecer cinco casos famosos de falhas de segurança da informação TÓPICO 1 SEGURANÇA DA INFORMAÇÃO SOB A ÓTICA DA GESTÃO POR PROCESSO 175 Indicamos a leitura que aborda os problemas reais de segurança da informação acesse o link a seguir httpsbloghdstorecombrcasosfamososdefalhasdeseguranca dainformacao DICAS 3 PROCESSO DE NEGÓCIO APLICADO À SEGURANÇA DA INFORMAÇÃO Dhillon Syed e Pedron 2016 colocam que a Gestão da Segurança da Informação GSI é oriunda da forma como os processos são redesenhados considerando três aspectos os técnicos os formais e os informais Nesse sentido Nazareth e Choi 2015 p 123 complementam que para que a GSI seja eficaz é necessário requer que recursos de segurança sejam implantados em várias frentes incluindo a prevenção ataque redução da vulnerabilidade e dissuasão de ameaças Em outra vertente temos os processos de negócio que vimos na Unidade 1 Cabe destacar a estrutura de classificação de processo também conhecida como Process Classification Framework PCF APQC 2019 A PCF possibilita que às organizações rastreiam e comparem de maneira objetiva seu desempenho interno e externo com outras organizações Segundo APQC 2019 o PCF pode ser utilizado para nomear organizar e mapear seus processos Também é útil como uma ferramenta para explicar um negócio em termos de processos horizontais em vez de funções verticais Flora e Tolfo 2016 trazem a classificação de algumas das atividades envolvidas na GSI como processos de gerência e serviço de apoio que podem ser vistas na Figura 2 FIGURA 2 EXEMPLO NÍVEIS DO PCF FONTE Flora e Tolfo 2016 p 2759 UNIDADE 3 PROCESSO DE NEGÓCIO E SEGURANÇA DA INFORMAÇÃO 176 Segundo Flora e Tolfo 2016 p 2759 as atividades envolvidas de GSI encontramse em forma de processos e derivam de a categoria de processo gerenciar recuperação e risco de negócios que por sua vez está classificada na categoria de gerenciar tecnologias da informação Para Flora e Tolfo 2016 p 2765 a perspectiva de processos de negócios auxilia na GSI Vamos ver na prática a modelagem de ASIS e TOBE vistas anteriormente no estudo de caso realizado na Coordenadoria de Segurança de Informação CSI vinculada ao Núcleo de Segurança de Informação e Comunicação NTIC de uma universidade O estudo foi aplicado visando melhorar o processo de liberação de endereço Internet Protocol IP público Adaptado de Flora e Tolfo 2016 31 MAPEAMENTO ASIS DO PROCESSO DE LIBERAÇÃO DE ENDEREÇO IP PÚBLICO A modelagem ASIS do atual processo teve como foco o processo de liberação de endereço IP público apresentado na Figura 3 contendo as atividades que são executadas no ASIS Este processo envolve duas partes o solicitante o qual é o interessado na liberação de um IP público para uso em um determinado serviço e a equipe da Coordenação de Infraestrutura Redes e Suporte CORIS FIGURA 3 VERSÃO ASIS DO PROCESSO DE LIBERAÇÃO DE ENDEREÇO IP PÚBLICO FONTE Flora e Tolfo 2016 p 2759 apud Pesquisa de campo 2015 sp TÓPICO 1 SEGURANÇA DA INFORMAÇÃO SOB A ÓTICA DA GESTÃO POR PROCESSO 177 Na Figura 3 podese afirmar que o processo inicia quando o solicitante envia email para a CORIS solicitando um IP Público para uso em um serviço a ser disponibilizado para a internet Ao receber a solicitação a CORIS reserva um endereço IP para ser usado pelo solicitante e envia um formulário contendo um termo de uso para ser preenchido e assinado pelo solicitante Após receber novamente o termo de uso assinado a equipe da CORIS analisa se o termo está correto Se houver algum problema de preenchimento ou na justificativa o documento é devolvido ao solicitante para as devidas correções Se o termo de uso estiver correto a equipe da CORIS realiza a liberação do IP no firewall de acordo com os dados que foram solicitados pelo solicitante Após liberar o acesso o solicitante é informado para que possa realizar os testes de validação Se os testes não tiverem sucesso a equipe da CORIS é informada para que possa fazer as devidas correções O processo é encerrado quando os testes tiverem sucesso Com a modelagem ASIS do processo de liberação de endereço IP público realizada é possível verificar a forma como ele estava ocorrendo bem como auxiliar na análise de melhorias na modelagem TOBE No Quadro 1 estão relacionadas as possibilidades de melhorias identificadas durante a modelagem ASIS do processo e a sua implantação na modelagem TOBE QUADRO 1 MELHORIAS NO PROCESSO DE LIBERAÇÃO DE ENDEREÇO IP PÚBLICO FONTE Flora e Tolfo 2016 p 2762 apud Pesquisa de campo 2015 sp ASIS TOBE Foi identificada a necessidade da definição de um instrumento contendo requisitos de segurança para a liberação de endereço IP público Foi criado um checklist contendo requisitos de segurança que precisam ser atendidos para realizar a liberação de endereço IP público A aplicação do checklist com requisitos de segurança foi proposta para que a liberação de um serviço na internet atendesse a requisitos mínimos de segurança A utilização do checklist foi modelada na versão TOBE do processo de liberação de endereço IP público e está sendo seguida pelo CSI Identificada a necessidade de realizar auditoria ou algum tipo de checagem local do servidor que receberia o endereço IP público Foi definido um formulário de auditoria A implementação do formulário de auditoria tem o propósito de assegurar que durante a auditoria o analista responsável tenha identificado a conformidade dos requisitos de segurança A utilização do formulário de auditoria foi modelada na versão TOBE do processo de liberação de endereço IP público e está sendo seguida pelo CSI O checklist de segurança contém recomendações que futuramente serão usados na auditoria e análise por exemplo aplicação de Firewall local uso do SSH na porta TCP definida como padrão pela equipe e acesso liberado apenas para usuários especificados no formulário de solicitação UNIDADE 3 PROCESSO DE NEGÓCIO E SEGURANÇA DA INFORMAÇÃO 178 32 MAPEAMENTO TOBE DO PROCESSO DE LIBERAÇÃO DE ENDEREÇO IP PÚBLICO A modelagem e implementação da versão TOBE do processo levou em consideração fatores técnicos e fatores organizacionais entre eles estão a configuração de um novo organograma na estrutura do NTIC o aumento da demanda para uso de endereços IP Público e a possibilidade de um cenário de aumento da incidência de Incidentes de Segurança O estudo que conduziu a elaboração da versão TOBE do processo iniciou se com a análise do ASIS e das novas demandas Como resultado dessa análise foi elaborado no Quadro 2 um fluxo textual do processo de liberação de endereço IP público Neste momento não foram previstos fluxos alternativos para o processo QUADRO 2 FLUXO TEXTUAL DA VERSÃO TOBE DO PROCESSO DE LIBERAÇÃO DE ENDEREÇO IP PÚBLICO FONTE Flora e Tolfo 2016 p 2763 apud Pesquisa de campo 2015 PASSO SETOR PROCEDIMENTO 1 Solicitante Enviar email solicitando reserva de IP Público 2 CSI Enviar IP e procedimentos ao solicitante 3 Solicitante Enviar email com Termo de Responsabilidade TR 4 CSI Analisar Preenchimento do TR 5 CSI Analisar Justificativa 6 CSI Enviar link do Checklist de Segurança 7 Solicitante Responder Checklist 8 Solicitante Implementar adequações do Checklist de Segurança 9 Solicitante Confirmar adequações do Checklist de Segurança 10 Solicitante Liberar acesso via Secure Shell SSH à equipe do CSI 11 Solicitante Liberar acesso para a análise de vulnerabilidades 12 CSI Fazer auditoria de acordo com o Checklist de Segurança 13 CSI Proceder a Análise de Vulnerabilidades 14 CSI Enviar relatório da Auditoria 15 CSI Liberar portas e IP no Firewall 16 CSI Solicitar testes ao solicitante 17 Solicitante Comunicar resultados dos testes 18 CSI Registrar Dados TÓPICO 1 SEGURANÇA DA INFORMAÇÃO SOB A ÓTICA DA GESTÃO POR PROCESSO 179 SSH é o acrônimo do termo Secure Shell Segundo Ferreira 2020 sp o protocolo SSH é um mecanismo de segurança oferecido pelos serviços de hospedagem A função dele é garantir que haja uma conexão segura entre o computador e o servidor remoto o que garante a transferência de dados sem nenhuma perda de informação NOTA O fluxo textual do processo serviu de subsídio para a etapa de modelagem do TOBE do processo de liberação de endereço IP público A versão TOBE que está representada na Figura 3 prevê as otimizações implantadas por exemplo na prevenção de incidentes de segurança da informação Na versão TOBE do processo como otimização foi previsto atividades referentes a um checklist de segurança da informação FLORA TOLFO 2016 Para que você identificar o mapeamento do processo da Figura 4 a separamos em duas partes a parte 1 está apresentada na Figura 5 e a parte 2 do processo consta na Figura 6 Esse checklist é um formulário no qual o solicitante insere as informações relativas ao serviço que será disponibilizado por meio do endereço IP solicitado além de informações de hardware e software do equipamento no qual o serviço está hospedado Esse documento também contém orientações e requisitos de segurança os quais deverão ser atendidos para a liberação final do IP UNIDADE 3 PROCESSO DE NEGÓCIO E SEGURANÇA DA INFORMAÇÃO 180 FIGURA 4 VERSÃO TOBE DO PROCESSO DE LIBERAÇÃO DE ENDEREÇO IP PÚBLICO FONTE Adaptada de Flora e Tolfo 2016 p 2764 apud Pesquisa de campo 2015 FIGURA 5 VERSÃO TOBE DO PROCESSO DE LIBERAÇÃO DE ENDEREÇO IP PÚBLICO PARTE 1 FONTE Adaptada de Flora e Tolfo 2016 p 2764 apud Pesquisa de campo 2015 TÓPICO 1 SEGURANÇA DA INFORMAÇÃO SOB A ÓTICA DA GESTÃO POR PROCESSO 181 FIGURA 6 VERSÃO TOBE DO PROCESSO DE LIBERAÇÃO DE ENDEREÇO IP PÚBLICO PARTE 2 FONTE Adaptada de Flora e Tolfo 2016 p 2764 apud Pesquisa de campo 2015 No mesmo processo foi definida uma atividade a ser realizada concomitante com a resposta ao checklist tratase de a atividade implementar adequações do checklist Nela o responsável pelo serviço pode adequar os requisitos de segurança de acordo com as recomendações contidas no checklist Esses requisitos serão checados durante a auditoria Assim que a CSI receber os dados de acesso ao local no qual o serviço está hospedado e a houver a conclusão do checklist por parte do solicitante será iniciada a auditoria Na versão TOBE do processo a tarefa de auditoria foi modelada como um subprocesso denominado de Realizar auditoria conforme Figura 7 UNIDADE 3 PROCESSO DE NEGÓCIO E SEGURANÇA DA INFORMAÇÃO 182 FIGURA 7 SUBPROCESSO REALIZAR AUDITORIA FONTE Flora e Tolfo 2016 p 2765 apud Pesquisa de campo 2015 O subprocesso realizar auditoria contém dois objetos de representação BPMN de grupos de atividades O primeiro grupo está relacionado às atividades de configuração e adequação do serviço aos requisitos de segurança e o segundo com atividades de análise de vulnerabilidades Na fase final do processo caso os requisitos de segurança não tenham sido atendidos o solicitante receberá um relatório com as recomendações que devem ser implementadas pelo responsável pelo serviço FLORA TOLFO 2016 Após realizar as adequações o equipamento passará novamente pelo processo de auditoria Quando o processo de auditoria resultar de acordo com os requisitos de segurança o processo segue para a liberação de acesso no firewall Para que o serviço fique disponível por meio da internet e de acordo com a solicitação inicial Nessa fase são realizados testes de validação do acesso até que o acesso esteja totalmente operacional Por fim o processo é encerrado com o registro dos os dados contidos no Termo de responsabilidade Uso de IP público em planilha de controle mantido pela CSI FLORA TOLFO 2016 183 Neste tópico você aprendeu que Dados e informações confidenciais são frequentemente tratados em processos de negócios Um processo envolvendo segurança da informação possui atividades que precisam ser seguidas contemplando normas de segurança para satisfazer os objetivos da organização e se adequando em projetos de gestão de processos de negócio O gerenciamento dos processos de negócio ou Business Process Management BPM é uma disciplina que alia o conhecimento de Tecnologia da Informação TI e ciências de gerenciamento se concentrando em processos de negócio Embora possamos dizer que o gerenciamento da segurança da informação está voltado para o gerenciamento dos processos de negócio elas são duas disciplinas distintas que se afetam mutuamente A reengenharia de um processo de negócio geralmente terá implicações de SI e a introdução de um controle de SI provavelmente afetará o fluxo do processo de negócio Além disso o impacto de um risco de segurança materializado geralmente afetará os negócios É necessário um conjunto diferente de habilidades para gerenciar um processo de negócio de risco e não um sistema de TI um requer conhecimento dos métodos de BPM e o outro conhecimento técnico em SI Há vários tipos de processos de negócios que variam em nível de abstração desde a cadeia de valor no topo da organização até instruções e procedimentos de trabalho Um processo envolvendo SI possui atividades que precisam ser seguidas contemplando normas de segurança para satisfazer os objetivos da organização e se adequando em projetos de gerenciamento ou gestão de processos de negócio Para que uma organização alcance os resultados esperados é necessário que seus processos sejam executados de maneira unificada por meio da integração de seus diversos setores com o intuito de atingir os objetivos RESUMO DO TÓPICO 1 184 A gestão de processos de segurança da informação possibilita que a organização seja ágil precisa e eficiente pois a informação é vista como ativo para a organização e fundamental para os processos de negócios Ativo é qualquer coisa que tenha valor para a organização tendo ou não referência financeira ou seja o ativo pode ter um valor financeiro eou um valor intangível para o negócio PORTAL ISO27000 2016 sp apud ABNT 2013 Um controle é uma proteção ou contramedida existente Um controle pode existir de forma automática ou manual Um controle automático executa sua função com pouca ou nenhuma interação humana Um controle manual exige que um ser humano o opere e geralmente se enquadra em três categorias principais físico técnico e administrativo Os controles físicos representam controles encontrados no mundo físico como cercas portas com fechaduras e fios de laptop Os controles técnicos representam os controles implementados na forma de sistemas de informação geralmente em forma lógica como firewall antimalware e controle de acesso ao computador Os controles administrativos representam controles na forma de políticas e procedimentos que proíbem certas atividades como a política de SI É fundamental alinhar os controles de uma norma dentro do ambiente corporativo com o alinhamento estratégico com os princípios básicos da Governança de Tecnologia da Informação Um Processo de Negócios PN é um conjunto de atividades dentro de uma organização cujo objetivo é produzir o resultado desejado Um processo é como o trabalho é realizado e o trabalho é o esforço direcionado para produzir ou realizar algo O objetivo de modelar um processo de negócio é descrevermos a ordem e a dependência lógicas de maneira que os profissionais possam ter uma visão ampla do processo 185 Um processo é desencadeado por algum evento que é orientado por algumas regras que utilizam conhecimentos relevantes e que são executados por pessoas que utilizam tecnologias habilitadoras e infraestrutura de suporte como instalações Os processos de negócios de segurança da informação podem ser vistos dentro de cinco categorias Planejamento Organização e Alinhamento POA Segurança Organizacional ORG Segurança Física FIS Segurança Técnica TEC e Gestão da Segurança GES Os processos de negócios da categoria de Planejamento Organização e Alinhamento POA objetivam as ações de SI referentes aos requisitos internos da organização com as práticas de SI Os processos de negócios da categoria da Segurança Organizacional ORG objetivam organizar as ações referentes a SI relacionando práticas de SI com requisitos internos Os processos de negócios da categoria da Segurança Física FIS objetivam fornecer a segurança física nos diferentes níveis incluindo as definições de área segura acesso restrito e segurança física de equipamentos Os processos de negócios da categoria da Segurança Técnica TEC a SI por meio de atividades técnicas ou seja aplicadas nos ambientes de TI no qual os conceitos de SI foram analisados e desenvolvidos Os processos de negócios da categoria de Gestão da Segurança Física GES objetivam garantir que as ações de SI estão organizadas atendendo aos requisitos de negócio da organização e alinhadas com regulamentos normas e leis de cunho interno ou externo da organização São cinco processos de negócios da categoria de Planejamento Organização e Alinhamento POA sendo eles Planejamento Estratégico da Segurança da Informação POA01 Política de Segurança da Informação POA02 Organização Interna POA03 Organização com as Partes Externas POA04 e Gestão de Risco POA05 São oito processos de negócios da categoria Segurança Organizacionais ORG sendo eles Responsabilidade pelos Ativos ORG01 Classificação da Informação ORG02 Segurança em Recursos Humanos ORG03 Procedimentos e Responsabilidades Operacionais ORG04 Troca de Informações ORG05 Requisitos de Negócio para Controle de Acesso ORG06 Responsabilidade dos Usuários ORG07 e Requisitos de Segurança de Sistemas de Informação ORG08 186 Ficou alguma dúvida Construímos uma trilha de aprendizagem pensando em facilitar sua compreensão Acesse o QR Code que levará ao AVA e veja as novidades que preparamos para seu estudo CHAMADA São dois processos de negócios da categoria Segurança Física FIS sendo eles Áreas Seguras FIS01 e Segurança em Equipamentos FIS02 São dezessete processos de negócios da categoria Segurança Técnica TEC sendo eles Gerenciamento de Serviços de Terceiros TEC01 Planejamento e Aceitação dos Sistemas TEC02 Proteção contra Códigos Maliciosos e Códigos Móveis TEC03 Cópias de Segurança TEC04 Gerenciamento da Segurança em Redes TEC05 Manuseio de Mídias TEC06 Serviços de Comércio Eletrônico TEC07 Gerenciamento de Acesso do Usuário TEC08 Controle de Acesso à Rede TEC09 Controle de Acesso ao Sistema Operacional TEC10 Controle de Aceso a Aplicação e a Informação TEC11 Computação Móvel e Trabalho Remoto TEC12 Processamento Correto nas Aplicações TEC13 Controles Criptográficos TEC14 Segurança nos Arquivos de Sistema TEC15 Segurança em Processos de Desenvolvimento e de Suporte TEC16 e Gestão de Vulnerabilidades Técnicas TEC17 São sete processos de negócio da categoria de Gestão da Segurança Física GES sendo eles Notificação de Fragilidades e Eventos de Segurança da Informação GES01 Gestão de Incidentes de Segurança da Informação e Melhorias GES02 Monitoramento de Atividades GES03 Aspectos da Gestão da Continuidade de Negócios em Segurança GES04 Conformidade com Requisitos Legais GES05 Conformidade com Normas Políticas de Segurança da Informação e Conformidade Técnica GES06 e Considerações quanto a Auditoria de Sistemas de Informação GES07 187 Um processo é desencadeado por algum evento que é orientado por algumas regras que utilizam conhecimentos relevantes e que são executados por pessoas que utilizam tecnologias habilitadoras e infraestrutura de suporte como instalações Neste sentido a gestão de processos de segurança da informação possibilita que a organização seja ágil precisa e eficiente pois a informação é vista como ativo para a organização e fundamental para os processos de negócios Diante deste cenário responda as questões a seguir 1 Qual processo se refere às atividades de gerenciamento de Valor da Segurança da Informação alinhamento entre Segurança da Informação e Negócio avaliação da Capacidade e Desempenho Correntes Plano Estratégico de Segurança da Informação Planos Táticos de Segurança da Informação e Gerenciamento do Portfólio de Segurança da Informação a POA01 Planejamento Estratégico da Segurança da Informação b POA02 Política de Segurança da Informação c POA03 Organização Interna d POA04 Organização com as Partes Externas 2 Qual processo se refere às atividades de Papéis e Responsabilidades Seleção Termos e condições de contratação Responsabilidades da direção Conscientização educação e treinamento em segurança da informação Processo disciplinar Encerramento de atividades Devolução dos Ativos e Retirada de direito de acesso a ORG01 Responsabilidade pelos Ativos b ORG02 Classificação da Informação c ORG03 Segurança em Recursos Humanos d ORG04 Procedimentos e Responsabilidades Operacionais 3 Qual processo se refere às atividades de Documentação dos procedimentos de operação Gestão de mudanças Segregação de funções Separação dos recursos de desenvolvimento teste e de produção a ORG01 Responsabilidade pelos Ativos b ORG02 Classificação da Informação c ORG03 Segurança em Recursos Humanos d ORG04 Procedimentos e Responsabilidades Operacionais AUTOATIVIDADE 188 4 Qual processo se refere às atividades de Gerenciamento de mídias removíveis Descarte de mídias Procedimentos para tratamento de informação e Segurança da documentação dos sistemas a TEC06 Manuseio de Mídias b ORG02 Classificação da Informação c ORG03 Segurança em Recursos Humanos d TEC09 Controle de Acesso à Rede 5 Qual processo se refere s atividades de Identificação da legislação aplicável Direitos de propriedade intelectual Proteção de registros organizacionais Proteção de dados e privacidade de informações pessoais Prevenção de mau uso de recursos de processamento da informação e Regulamentação de controles de criptografia a TEC07 Serviços de Comércio Eletrônico b ORG02 Classificação da Informação c GES05 Conformidade com Requisitos Legais d TEC17 Gestão de Vulnerabilidades Técnicas 189 UNIDADE 3 TÓPICO 2 PROCESSOS DE NEGÓCIO DA SEGURANÇA DA INFORMAÇÃO 1 INTRODUÇÃO No Tópico 1 desta unidade de estudo abordamos a estrutura dos processos de segurança da informação segundo as cinco categorias que são POA Planejamento Organização e Alinhamento ORG Segurança Organizacional GES Gestão da Segurança TEC Segurança Técnica e FIS Segurança Física JOHNSON 2012 Além disso vimos as atividades de cada um dos processos da segurança de informação por categoria Cabe destacar que essa categorização foi baseada na ISO 27002 que traz a definição e a associação dos objetivos de controle de cada proteção para proteger a informação auxiliando na normatização da SI Nessa definição dos controles de SI é fundamental que se adote a gestão de processos de negócios da segurança da informação Pois os processos possibilitam uma abordagem estruturada de maneira complementar as normas e políticas de segurança da informação permitindo planejar e priorizar as ações que serão executadas Acadêmico nosso objetivo é trazermos a descrição dos processos da segurança da informação segundo as categorias apresentadas e os objetivos de controle de cada um dos processos 2 PLANEJAMENTO ORGANIZAÇÃO E ALINHAMENTO POA O processo da segurança da informação referente ao planejamento organização e alinhamento conforme vimos em nosso Tópico 1 está subdivido em cinco processos sendo eles POA01 Planejamento Estratégico da Segurança da Informação POA02 Política de Segurança da Informação POA03 Organização Interna POA04 Organização com as Partes Externas e POA05 Gestão de Risco JOHNSON 2012 e detalhamos a seguir 190 UNIDADE 3 PROCESSO DE NEGÓCIO E SEGURANÇA DA INFORMAÇÃO 21 POA01 PLANEJAMENTO ESTRATÉGICO DA SEGURANÇA DA INFORMAÇÃO O planejamento estratégico da Segurança da Informação SI precisa gerenciar os recursos de SI de forma que estejam alinhados com as prioridades e estratégias tanto da organização quanto dos negócios A SI em conjunto com as partes interessadas pelas operações de negócio da organização são responsáveis por assegurar que as próprias operações de negócio possuem os níveis requeridos de SI por meio de um programa de SI JOHNSON 2012 Cabe destacar ainda que o plano estratégico deve aprimorar o entendimento das partes envolvidas referentes a oportunidades e limitações que a SI possa impor Além disso ele deve avaliar o desempenho das atuais soluções de SI e esclarecer o nível de investimento que é necessário A estratégia e as prioridades de negócio devem ser refletidas no programa de SI e executadas por meio de planos táticos de SI estabelecendo objetivos de maneira concisa e tarefas que representem com clareza os resultados almejados JOHNSON 2012 Agora se aprofunde nos controles do processo POA01 Gerenciamento de valor da segurança da informação dispostos no Quadro 3 QUADRO 3 OBJETIVOS DO CONTROLE DO PROCESSO DO PROCESSO POA01 CONTROLE OBJETIVOS POA01 Planejamento estratégico segurança da informação Trabalhar sob as diretrizes da operação de negócio para assegurar que o programa de segurança da informação e seus investimentos estejam devidamente embasados em sólidos estudos de caso de negócio Reconhecer que há investimentos obrigatórios sustentáveis e discricionários que diferem em complexidade e grau de liberdade na alocação de fundos Os processos de SI devem prover a entrega eficaz e eficiente de soluções e estruturas assim como fornecer advertência de qualquer desvio dos planos incluindo custo cronograma ou funcionalidade que possa afetar os resultados esperados dos programas As ações de SI devem ser executadas em conformidade com acordos de níveis de serviço Service Level Agreement SLA equilibrados e controláveis A responsabilidade pelo alcance dos benefícios e o controle dos custos deve ser claramente atribuída e monitorada Estabelecer avaliação adequada transparente repetível e comparável de estudos de caso de negócio incluindo valor financeiro o risco de não fornecer uma capacidade e o risco de não atingir os benefícios esperados POA012 Alinhamento entre o negócio e a segurança da informação Estabelecer processos de educação bidirecional e envolvimento recíproco no planejamento estratégico para atingir o alinhamento e a integração de negócios e a SI Mediar os imperativos de negócios e de SI para que as prioridades sejam mutuamente aceitas TÓPICO 2 PROCESSOS DE NEGÓCIO DA SEGURANÇA DA INFORMAÇÃO 191 POA013 Avaliação da capacidade e desempenho correntes Avaliar a capacidade e o desempenho atuais das entregas de soluções e serviços de SI para estabelecer um modelo com o qual os requisitos futuros podem ser comparados Definir o desempenho em termos da contribuição da SI com os objetivos de negócio funcionalidades estabilidade complexidade custos pontos fortes e fragilidades POA014 Plano estratégico da segurança da informação Criar um plano estratégico que defina em cooperação com as partes interessadas relevantes como a SI contribuirá com os objetivos estratégicos da organização e suas metas e quais os custos e riscos relacionados Esse plano estratégico deve contemplar como a SI aplicará os programas de investimentos e como dará sustentação à entrega operacional de serviços e soluções de segurança O plano deve definir como os objetivos serão atingidos e medidos e deve ser formalmente liberado para implementação pelas partes interessadas O plano estratégico da SI deve contemplar o orçamento operacional e de investimento as fontes de recursos financeiros a estratégia de fornecimento a estratégia de aquisição e requisitos legais e regulamentares O plano estratégico deve ser suficientemente detalhado para possibilitar a definição do programa de SI POA015 Programa de segurança da informação Criar um programa de SI derivado do plano estratégico da segurança da informação Esse programa deve descrever quais são as iniciativas de segurança requeridas quais os recursos necessários e como o uso de recursos e os benefícios alcançados serão monitorados e administrados O programa de SI deve ser suficientemente detalhado de forma a permitir o desenvolvimento de planos de projetos POA016 Gerenciamento do programa de segurança da informação Gerenciar ativamente com as áreas de negócio o programa de investimentos de SI necessários para atingir os objetivos estratégicos específicos de negócio por meio de identificação definição avaliação priorização seleção início gerenciamento e controle de programas Isso inclui esclarecer os resultados de negócio desejados assegurar que os objetivos do programa sustentem o alcance dos resultados entender o escopo completo do esforço necessário para atingir os resultados atribuir responsabilidades com medidas de suporte definir projetos dentro do programa alocar recursos e fundos delegar autoridade e atribuir responsabilidades pelos projetos no lançamento do programa FONTE Adaptado de Johnson 2012 Apêndice B 22 POA02 POLÍTICA DE SEGURANÇA DA INFORMAÇÃO Esse processo de negócio visa fornecer orientação e apoio da direção para a SI em conformidade com os requisitos de negócio e com as leis e regulamentações pertinentes Convém que a direção estabeleça uma clara orientação da política alinhada com os objetivos do negócio bem como precisa demonstrar comprometimento e apoio com a SI por meio da publicação e manutenção de uma política de SI para toda a organização JOHNSON 2012 Agora vamos ver os objetivos dos controles do processo POA02 Política de Segurança da Informação dispostos no Quadro 4 192 UNIDADE 3 PROCESSO DE NEGÓCIO E SEGURANÇA DA INFORMAÇÃO QUADRO 4 OBJETIVOS DO CONTROLE DO PROCESSO POA02 CONTROLE OBJETIVOS POA021 Documento da política de segurança da informação Convém que um documento da política de SI seja aprovado pela direção publicado e comunicado para todos os funcionários e partes externas relevantes POA022 Análise crítica da política de segurança da informação Convém que a política de SI seja analisada criticamente a intervalos planejados ou quando mudanças significativas ocorrerem para assegurar a sua contínua pertinência adequação e eficácia FONTE Adaptado de Johnson 2012 Apêndice B 23 POA03 ORGANIZAÇÃO INTERNA Para gerenciar a SI dentro da organização é aconselhável que uma estrutura de gerenciamento seja estabelecida para iniciar e controlar a implementação da SI dentro da organização JOHNSON 2012 Acadêmico veja os objetivos dos controles do processo POA03 Organização Interna no Quadro 5 QUADRO 5 OBJETIVOS DO CONTROLE DO PROCESSO POA03 CONTROLE OBJETIVOS POA031 Comprometimento da direção com a segurança da informação Convém que a direção apoie ativamente a SI dentro da organização por meio de um claro direcionamento demonstrando o seu comprometimento definindo atribuições de forma explícita e reconhecendo as responsabilidades SI POA032 Coordenação da segurança da informação Convém que as atividades de SI sejam coordenadas por representantes de diferentes partes da organização com funções e papéis relevantes POA033 Atribuição de responsabilidades para a segurança da informação Convém que todas as responsabilidades pela SI estejam claramente definidas POA034 Processo de autorização para os recursos de processamento da informação Convém que seja definido e implementado um processo de gestão de autorização para os novos recursos de processamento de informação POA035 Acordos de confidencialidade Convém que os requisitos para confidencialidade ou acordos de não divulgação que reflitam as necessidades da organização para a proteção da informação sejam identificados e analisados criticamente de forma regular POA036 Contato com autoridades Convém que contatos apropriados com autoridades pertinentes sejam mantidos TÓPICO 2 PROCESSOS DE NEGÓCIO DA SEGURANÇA DA INFORMAÇÃO 193 POA037 Contato com grupos especiais Convém que sejam mantidos contatos apropriados com grupos de interesses especiais ou outros fóruns especializados de SI e associações profissionais POA038 Análise crítica independente de segurança da informação Convém que o enfoque da organização para gerenciar a SI e sua implementação seja analisado criticamente de forma independente a intervalos planejados ou quando ocorrerem mudanças significativas relativas à implementação da SI FONTE Adaptado de Johnson 2012 Apêndice B 24 POA04 ORGANIZAÇÃO COM AS PARTES EXTERNAS Esse processo visa Manter a segurança dos recursos de processamento da informação e da informação da organização que são acessados processados comunicados ou gerenciados por partes externas JOHNSON 2012 Apêndice B Para tal Convém que a segurança dos recursos de processamento da informação e da informação da organização não seja reduzida pela introdução de produtos ou serviços oriundos de partes externas JOHNSON 2012 Apêndice B Agora vamos ver os objetivos dos controles deste processo do processo POA04 Organização com as Partes dispostos no Quadro 6 QUADRO 6 OBJETIVOS DO CONTROLE DO PROCESSO POA04 CONTROLE OBJETIVOS POA041 Identificação dos riscos relacionados com partes externas Convém que os riscos para os recursos de processamento da informação e da informação da organização oriundos de processos do negócio que envolva as partes externas sejam identificados e controles apropriados implementados antes de se conceder o acesso POA042 Identificando a segurança da informação quando tratando com os clientes Convém que todos os requisitos de SI identificados sejam considerados antes de conceder aos clientes o acesso a quaisquer ativos da organização POA043 Identificando segurança da informação nos acordos com terceiros Convém que os acordos com terceiros envolvendo o acesso processamento comunicação ou gerenciamento dos recursos de processamento da informação ou da informação da organização ou acréscimo de produtos ou serviços aos recursos de processamento da informação cubram todos os requisitos de SI relevantes FONTE Adaptado de Johnson 2012 Apêndice B 25 POA05 GESTÃO DE RISCO Essa estrutura documenta um nível comum e acordado de riscos de SI estratégias de mitigação e riscos residuais É necessário estar ciente que Qualquer impacto em potencial nos objetivos da organização causado por um 194 UNIDADE 3 PROCESSO DE NEGÓCIO E SEGURANÇA DA INFORMAÇÃO QUADRO 7 OBJETIVOS DO CONTROLE DO PROCESSO POA05 CONTROLE OBJETIVOS POA051 Alinhamento da gestão de riscos de segurança da informação e de negócios Estabelecer uma estrutura de gestão de riscos de segurança da informação alinhada com a estrutura de gestão de riscos da organização corporação POA052 Estabelecimento do contexto de risco Estabelecer o contexto ao qual a estrutura de avaliação de risco é aplicada para assegurar resultados esperados Isso inclui a definição dos contextos interno e externo de cada avaliação de risco o objetivo da avaliação e os critérios pelos quais os riscos são avaliados POA053 Identificação de eventos Identificar eventos importante ameaça real que explora significativas vulnerabilidades com potencial impacto negativo nos objetivos ou nas operações da organização incluindo aspectos de negócios regulamentação aspectos jurídicos tecnologia parcerias de negócio recursos humanos e operacionais Determinar a natureza do impacto e manter esta informação Registrar e manter um histórico dos riscos relevantes POA054 Avaliação de risco Avaliar regularmente a probabilidade e o impacto de todos os riscos identificados utilizando métodos qualitativos e quantitativos A probabilidade e o impacto associado ao risco inerente e residual devem ser determinados individualmente por categoria e com base no portfólio da organização POA055 Resposta ao risco Desenvolver e manter um processo de respostas a riscos para assegurar que controles com uma adequada relação custobenefício mitiguem a exposição aos riscos de forma contínua O processo de resposta ao risco deve identificar estratégias de risco tais como evitar reduzir compartilhar ou aceitar o risco determinar responsabilidades e considerar os níveis de tolerância definido POA056 Manutenção e monitoramento do plano de ação de risco Priorizar e planejar as atividades de controle em todos os níveis da organização para implementar as respostas aos riscos identificadas como necessárias incluindo a identificação de custos benefícios e responsabilidade pela execução Obter aprovações para ações recomendadas e aceitação de quaisquer riscos residuais e assegurar que as ações aprovadas sejam assumidas pelos donos dos processos afetados Monitorar a execução dos planos e reportar qualquer desvio para a direção evento não planejado deve ser identificado analisado e avaliado JOHNSON 2012 Apêndice B Para que se possa minimizar o risco residual a níveis aceitáveis devem ser adotadas estratégias de mitigação de risco O resultado da avaliação deve ser entendido pelas partes interessadas e expresso em termos financeiros para permitir que as partes interessadas alinhem o risco a níveis de tolerância aceitáveis JOHNSON 2012 Apêndice B Agora vamos ver os objetivos de cada um dos controles do processo POA05 Gestão de Risco dispostos no Quadro 7 FONTE Adaptado de Johnson 2012 Apêndice B TÓPICO 2 PROCESSOS DE NEGÓCIO DA SEGURANÇA DA INFORMAÇÃO 195 3 SEGURANÇA ORGANIZACIONAL ORG O processo da segurança da informação referente à segurança organizacional conforme vimos em nosso Tópico 1 está subdivido em oito processos sendo eles Responsabilidade pelos Ativos ORG01 Classificação da Informação ORG02 Segurança em Recursos Humanos ORG03 Procedimentos e Responsabilidades Operacionais ORG04 Troca de Informações ORG05 Requisitos de Negócio para Controle de Acesso ORG06 Responsabilidade dos Usuários ORG07 e Requisitos de Segurança de Sistemas de Informação ORG08 31 ORG01 RESPONSABILIDADE PELOS ATIVOS Para que se possa atingir e manter a proteção adequada dos ativos da organização é conveniente que todos os ativos sejam inventariados e tenham um proprietário responsável bem como que os proprietários sejam identificados e a eles seja atribuída a responsabilidade pela manutenção apropriada dos controles JOHNSON 2012 Apêndice B Veja no Quadro 8 os objetivos dos controles do processo ORG01 Responsabilidade pelos Ativos QUADRO 8 OBJETIVOS DO CONTROLE DO PROCESSO ORG01 FONTE Adaptado de Johnson 2012 Apêndice B CONTROLE OBJETIVOS ORG011 Inventário dos ativos Convém que todos os ativos sejam claramente identificados e um inventário de todos os ativos importantes seja estruturado e mantido ORG012 Proprietário dos ativos Convém que todas as informações e ativos associados com os recursos de processamento da informação tenham um proprietário designado por uma parte definida da organização ORG013 Uso aceitável dos ativos Convém que sejam identificadas documentadas e implementadas regras para que sejam permitidos o uso de informações e de ativos associados aos recursos de processamento de informação 32 ORG02 CLASSIFICAÇÃO DA INFORMAÇÃO Esse processo de negócio visa Assegurar que a informação receba um nível adequado de proteção Convém que a informação seja classificada para indicar a necessidade prioridades e o nível esperado de proteção quando do tratamento da informação JOHNSON 2012 Apêndice B Os objetivos dos controles deste processo ORG02 Classificação da Informação estão dispostos no Quadro 9 196 UNIDADE 3 PROCESSO DE NEGÓCIO E SEGURANÇA DA INFORMAÇÃO QUADRO 9 OBJETIVOS DO CONTROLE DO PROCESSO ORG02 CONTROLE OBJETIVOS ORG021 Recomendações para classificação Convém que a informação seja classificada em termos do seu valor requisitos legais sensibilidade e criticidade para a organização ORG022 Rótulos e tratamento da informação Convém que um conjunto apropriado de procedimentos para rotulação e tratamento da informação seja definido e implementado de acordo com o esquema de classificação adotado pela organização FONTE Adaptado de Johnson 2012 Apêndice B 33 ORG03 SEGURANÇA EM RECURSOS HUMANOS O processo de segurança em recursos humanos visa Assegurar que os colaboradores fornecedores e terceiros entendam suas responsabilidades e estejam de acordo com os seus papéis e reduzir o risco de furto ou roubo fraude ou mal uso de recursos JOHNSON 2012 Apêndice B Assegurar que colaboradores fornecedores e terceiros estão conscientes das ameaças e preocupações relativas à segurança da informação suas responsabilidades e obrigações e estão preparados para apoiar a política de segurança da informação da organização JOHNSON 2012 Apêndice B Assegurar que colaboradores fornecedores e terceiros deixem a organização ou mudem de trabalho de forma ordenada JOHNSON 2012 Apêndice B Agora analise os objetivos de cada um dos controles deste processo ORG03 Segurança em Recursos Humanos dispostos no Quadro 10 QUADRO 10 OBJETIVOS DO CONTROLE DO PROCESSO ORG03 CONTROLE OBJETIVOS ORG031 Papéis e responsabilidades Convém que papéis e responsabilidades pela SI de colaboradores fornecedores e terceiros sejam definidos e documentados de acordo com a política de segurança da organização ORG032 Seleção Convém que verificações de histórico de todos os candidatos a emprego fornecedores e terceiros sejam realizadas de acordo com a ética as leis e as regulamentações pertinentes e proporcionais aos requisitos do negócio à classificação da informações a serem acessadas e aos riscos percebidos ORG033 Termos e condições de contratação Como parte das suas obrigações contratuais convém que colaboradores fornecedores e terceiros concordem e assinemos termos e condições de sua contratação para o trabalho os quais devem declarar as suas responsabilidades e a da organização para a SI ORG034 Responsabilidades da direção Convém que a direção solicite aos colaboradores fornecedores e terceiros que pratiquem a SI de acordo com o estabelecido nas políticas e procedimentos da organização TÓPICO 2 PROCESSOS DE NEGÓCIO DA SEGURANÇA DA INFORMAÇÃO 197 ORG035 Conscientização educação e treinamento em segurança da informação Convém que todos os colaboradores da organização e na qual pertinente fornecedores e terceiros recebam treinamento apropriado em conscientização atualizações regulares nas políticas e procedimentos organizacionais relevantes para as suas funções ORG036 Processo disciplinar Convém que exista um processo disciplinar formal para os funcionários que tenham cometido uma violação da SI ORG037 Encerramento das atividades Convém que responsabilidades para realizar o encerramento ou mudança de um trabalho sejam claramente definidas e atribuídas ORG038 Devolução de ativos Convém que todos os colaboradores fornecedores e terceiros devolvam todos os ativos da organização que estejam em sua posse após o encerramento de suas atividades do contrato ou acordo ORG039 Retirada de direitos de acesso Convém que os direitos de acesso de todos os colaboradores fornecedores e terceiros às informações e aos recursos de processamento da informação sejam retirados após o encerramento de suas atividades contratos ou acordos ou ajustado após a mudança destas atividades FONTE Adaptado de Johnson 2012 Apêndice B 34 ORG04 PROCEDIMENTOS E RESPONSABILIDADES OPERACIONAIS Os processos de negócios procedimentos e responsabilidades operacionais visam Garantir a operação segura e correta dos recursos de processamento da informação Convém que os procedimentos e responsabilidades pela gestão e operação de todos os recursos de processamento das informações sejam definidos JOHNSON 2012 Apêndice B Para tal é necessário que abranja o desenvolvimento de procedimentos operacionais apropriados Os objetivos dos controles deste processo ORG04 Procedimentos e Responsabilidades Operacionais estão dispostos no Quadro 11 QUADRO 11 OBJETIVOS DO CONTROLE DO PROCESSO ORG04 CONTROLE OBJETIVOS ORG041 Documentação dos procedimentos de operação Convém que os procedimentos de operação sejam documentados mantidos atualizados e disponíveis a todos os usuários que deles necessitem ORG042 Gestão de mudanças Convém que modificações nos recursos de processamento da informação e sistemas sejam controladas ORG043 Segregação de funções Convém que funções e áreas de responsabilidade sejam segregadas para reduzir as oportunidades de modificação ou uso indevido não autorizado ou não intencional dos ativos da organização ORG044 Separação dos recursos de desenvolvimento teste e de produção Convém que recursos de desenvolvimento teste e produção sejam separados para reduzir o risco de acessos ou modificações não autorizadas aos sistemas operacionais FONTE Adaptado de Johnson 2012 Apêndice B 198 UNIDADE 3 PROCESSO DE NEGÓCIO E SEGURANÇA DA INFORMAÇÃO 35 ORG05 TROCA DE INFORMAÇÕES Segundo Johnson 2012 Apêndice B este processo de negócio visa Assegurar a segurança na troca de informações e softwares internamente à organização e com quaisquer entidades externas Para isto é necessário que as trocas de informações e softwares entre organizações estejam baseadas numa política formal específica sejam efetuadas a partir de acordos entre as partes e estejam em conformidade com toda a legislação pertinente JOHNSON 2012 Apêndice B Os objetivos de cada um dos controles deste processo ORG05 Troca de Informações estão dispostos no Quadro 12 QUADRO 12 OBJETIVOS DO CONTROLE DO PROCESSO ORG05 CONTROLE OBJETIVOS ORG051 Políticas e procedimentos para troca de informações Convém que políticas procedimentos e controles sejam estabelecidos e formalizados para proteger a troca de informações em todos os tipos de recursos de comunicação ORG052 Acordos para troca de informações Convém que sejam estabelecidos acordos para a troca de informações e softwares entre a organização e entidades externas ORG053 Mídias em trânsito Convém que mídias contendo informações sejam protegidas contra acesso não autorizado uso impróprio ou alteração indevida durante o transporte externo aos limites físicos da organização ORG054 Mensagens eletrônicas Convém que as informações que trafegam em mensagens eletrônicas sejam adequadamente protegidas ORG055 Sistemas de informações do negócio Convém que políticas e procedimentos sejam desenvolvidos e implementados para proteger as informações associadas com a interconexão SI do negócio FONTE Adaptado de Johnson 2012 Apêndice B 36 ORG06 REQUISITOS DE NEGÓCIO PARA CONTROLE DE ACESSO Esse processo de negócio visa controlar o acesso à informação e para isso convém que o acesso à informação recursos de processamento das informações e processos de negócios sejam controlados com base nos requisitos de negócio e segurança da informação JOHNSON 2012 Apêndice B O Quadro 13 traz os objetivos dos controles desse processo ORG06 Requisitos de Negócio para Controle de Acesso TÓPICO 2 PROCESSOS DE NEGÓCIO DA SEGURANÇA DA INFORMAÇÃO 199 QUADRO 13 OBJETIVOS DO CONTROLE DO PROCESSO ORG06 CONTROLE OBJETIVOS ORG061 Política de controle de acesso Convém que a política de controle de acesso seja estabelecida documentada e analisada criticamente tomandose como base os requisitos de acesso dos negócios e SI FONTE Adaptado de Johnson 2012 Apêndice B 37 ORG07 RESPONSABILIDADE DOS USUÁRIOS Este processo de negócio visa prevenir o acesso não autorizado dos usuários e evitar o comprometimento ou furto da informação e dos recursos de processamento de informação JOHNSON 2012 Apêndice B O Quadro 14 traz os objetivos dos controles desse processo ORG07 Responsabilidade dos Usuários QUADRO 14 OBJETIVOS DO CONTROLE DO PROCESSO ORG07 CONTROLE OBJETIVOS ORG071 Uso de senhas Convém que os usuários sejam solicitados a seguir as boas práticas de SI na seleção e uso de senhas ORG072 Equipamento de usuário sem monitoração Convém que os usuários assegurem que os equipamentos não monitorados tenham proteção adequada ORG073 Política de mesa limpa e tela limpa Convém que seja adotada uma política de mesa limpa de papéis e mídias de armazenamento removível e política de tela limpa para os recursos de processamento da informação FONTE Adaptado de Johnson 2012 Apêndice B 38 ORG08 REQUISITOS DE SEGURANÇA DE SISTEMAS DE INFORMAÇÃO Este processo de negócio visa garantir que segurança é parte integrante de sistemas de informação Sistemas de informação incluem sistemas operacionais infraestrutura aplicações de negócios produtos de prateleira serviços e aplicações desenvolvidas pelo usuário JOHNSON 2012 Apêndice B O Quadro 15 traz os objetivos dos controles deste processo deste processo ORG08 Requisitos de Segurança de Sistemas de Informação QUADRO 15 OBJETIVOS DO CONTROLE DO PROCESSO ORG08 FONTE Adaptado de Johnson 2012 Apêndice B CONTROLE OBJETIVOS ORG081 Análise e especificação dos requisitos de segurança Convém que sejam especificados os requisitos para controles de segurança nas especificações de requisitos de negócios para novos sistemas de informação ou melhorias em sistemas existentes 200 UNIDADE 3 PROCESSO DE NEGÓCIO E SEGURANÇA DA INFORMAÇÃO 41 FIS01 ÁREAS SEGURAS Segundo Johnson 2012 Apêndice B este processo tem como objetivo prevenir o acesso físico não autorizado danos e interferências com as instalações e informações da organização por meio de definição de perímetros de segurança com a aplicação de controles de entrada e saída em cada fronteira destes perímetros estabelecendo os procedimentos operacionais para eles JOHNSON 2012 Apêndice B Agora veremos os objetivos dos controles deste processo FIS01 Áreas Seguras pelo Quadro 16 QUADRO 16 OBJETIVOS DO CONTROLE DO PROCESSO FIS01 CONTROLE OBJETIVOS FIS011 Perímetro de segurança física Convém que sejam utilizados perímetros de segurança barreiras tais como paredes portões de entrada controlados por cartão ou balcões de recepção com recepcionistas para proteger as áreas que contenham informações e instalações de processamento de informações FIS012 Controles de entrada física Convém que as áreas seguras sejam protegidas por controles apropriados de entrada para assegurar que somente pessoas autorizadas tenham acesso FIS013 Segurança em escritórios salas e instalações Convém que seja projetada e aplicada segurança física para escritórios salas e instalações FIS014 Proteção contra ameaças externas e do meio ambiente Convém que sejam projetadas e aplicadas proteção física contra incêndios enchentes terremotos explosões perturbações da ordem pública e outras formas de desastres naturais ou causados pelo homem FIS015 Trabalhando em áreas seguras Convém que seja projetada e aplicada proteção física bom como diretrizes para o trabalho em áreas seguras FIS016 Acesso do público áreas de entrega e de carregamento Convém que os pontos de acesso tais como áreas de entrega e de carregamento e outros pontos em que pessoas não autorizadas possam entrar nas instalações sejam controlados e se possível isolados das instalações de processamento da informação para evitar o acesso não autorizado FONTE Adaptado de Johnson 2012 Apêndice B 4 SEGURANÇA FÍSICA FIS O processo da segurança da informação referente à segurança física conforme vimos no Tópico 1 está subdivido em dois processos sendo eles FIS01 Áreas Seguras e FIS02 Segurança em Equipamentos TÓPICO 2 PROCESSOS DE NEGÓCIO DA SEGURANÇA DA INFORMAÇÃO 201 42 FIS02 SEGURANÇA EM EQUIPAMENTOS Segundo Johnson 2012 Apêndice B Esse processo tem como objetivo impedir perdas danos furto ou roubo ou comprometimento de ativos e interrupção das atividades da organização por meio da instalação de proteções nos equipamentos tanto para falhas de energia como para alocação em local seguro e acesso não autorizado JOHNSON 2012 Apêndice B O Quadro 17 traz os objetivos dos controles deste processo FIS02 Segurança em Equipamentos QUADRO 17 OBJETIVOS DO CONTROLE DO PROCESSO FIS02 CONTROLE OBJETIVOS FIS021 Instalação e proteção do equipamento Convém que os equipamentos sejam colocados no local ou protegidos para reduzir os riscos de ameaças e perigos do meio ambiente bem como as oportunidades de acesso não autorizado FIS022 Utilidades Convém que os equipamentos sejam protegidos contra falta de energia elétrica e outras interrupções causadas por falhas das utilidades FIS023 Segurança do cabeamento Convém que o cabeamento de energia e de telecomunicações que transporta dados ou dá suporte aos serviços de informações seja protegido contra interceptação ou danos FIS024 Manutenção dos equipamentos Convém que os equipamentos tenham uma manutenção correta para assegurar sua disponibilidade e integridade permanentes FIS025 Segurança de equipamentos fora das dependências da organização Convém que sejam tomadas medidas de segurança para equipamentos que operem fora do local levando em conta os diferentes riscos decorrentes do fato de se trabalhar fora das dependências da organização FIS026 Reutilização e alienação segura de equipamentos Convém que todos os equipamentos que contenham mídias de armazenamento de dados sejam examinados antes do descarte para assegurar que todos os dados sensíveis e softwares licenciados tenham sido removidos ou sobre gravados com segurança FIS027 Remoção de propriedade Convém que equipamentos informações ou software não sejam retirados do local sem autorização prévia FONTE Adaptado de Johnson 2012 Apêndice B 5 SEGURANÇA TÉCNICA TEC O processo da segurança da informação referente à segurança técnica conforme vimos no Tópico 1 está subdivido em dezessete processos sendo eles Gerenciamento de Serviços de Terceiros TEC01 Planejamento e Aceitação dos Sistema TEC02 Proteção contra Códigos Maliciosos e Códigos Móveis TEC03 Cópias de Segurança TEC04 Gerenciamento da Segurança em Redes TEC05 Manuseio de Mídias TEC06 Serviços de Comércio Eletrônico TEC07 202 UNIDADE 3 PROCESSO DE NEGÓCIO E SEGURANÇA DA INFORMAÇÃO Gerenciamento de Acesso do Usuário TEC08 Controle de Acesso à Rede TEC09 Controle de Acesso ao Sistema Operacional TEC10 Controle de Aceso a Aplicação e a Informação TEC11 Computação Móvel e Trabalho Remoto TEC12 Processamento Correto nas Aplicações TEC13 Controles Criptográficos TEC14 Segurança nos Arquivos de Sistema TEC15 Segurança em Processos de Desenvolvimento e de Suporte TEC16 e Gestão de Vulnerabilidades Técnicas TEC17 51 TEC01 GERENCIAMENTO DE SERVIÇOS DE TERCEIROS Segundo Johnson 2012 Apêndice B esse processo visa Implementar e manter o nível apropriado de segurança da informação e de entrega de serviços em consonância com acordos de entrega de serviços terceirizados Para tal é adequado que a organização verifique a implementação dos acordos monitore a conformidade com tais acordos e gerencie as mudanças para garantir que os serviços entregues atendem a todos os requisitos acordados com os terceiros JOHNSON 2012 Apêndice B O Quadro 18 traz os objetivos dos controles desse processo TEC01 Gerenciamento de Serviços de Terceiros QUADRO 18 OBJETIVOS DO CONTROLE DO PROCESSO TEC01 FONTE Adaptado de Johnson 2012 Apêndice B CONTROLE OBJETIVOS TEC011 Entrega de serviços Convém que seja garantido que os controles de segurança as definições de serviço e os níveis de entrega incluídos no acordo de entrega de serviços terceirizados sejam implementados executados e mantidos pelo terceiro TEC012 Monitoramento e análise crítica de serviços terceirizados Convém que os serviços relatórios e registros fornecidos por terceiros sejam regularmente monitorados e analisados criticamente e que auditorias sejam executadas regularmente TEC013 Gerenciamento de mudanças para serviços terceirizados Convém que mudanças no provisionamento dos serviços incluindo manutenção e melhoria da política de segurança da informação procedimentos e controles existentes sejam gerenciados levandose em conta a criticidade dos sistemas e processos de negócio envolvidos e a reanálisereavaliação de riscos TÓPICO 2 PROCESSOS DE NEGÓCIO DA SEGURANÇA DA INFORMAÇÃO 203 52 TEC02 PLANEJAMENTO E ACEITAÇÃO DOS SISTEMAS Esse processo visa Minimizar o risco de falhas nos sistemas O planejamento e a preparação prévios são requeridos para garantir a disponibilidade adequada de capacidade e recursos para entrega do desempenho desejado ao sistema JOHNSON 2012 Apêndice B Agora conheça os objetivos dos controles desse processo TEC02 Planejamento e Aceitação dos Sistemas dispostos no Quadro 19 QUADRO 19 OBJETIVOS DO CONTROLE DO PROCESSO TEC02 FONTE Adaptado de Johnson 2012 Apêndice B CONTROLE OBJETIVOS TEC021 Gestão de capacidade Convém que a utilização dos recursos seja monitorada e ajustada e as projeções feitas para necessidades de capacidade futura para garantir o desempenho requerido do sistema TEC022 Aceitação de sistemas Convém que sejam estabelecidos critérios de aceitação para novos sistemas atualizações e novas versões e que sejam efetuados testes apropriados dos sistemass durante seu desenvolvimento e antes da sua aceitação 53 TEC03 PROTEÇÃO CONTRA CÓDIGOS MALICIOSOS E CÓDIGOS MÓVEIS Este processo visa Proteger a integridade do software e da informação Precauções são requeridas para prevenir e detectar a introdução de códigos maliciosos e códigos móveis não autorizados JOHNSON 2012 Apêndice B Vamos conhecer os objetivos dos controles desse processo TEC03 Proteção contra Códigos Maliciosos e Códigos analisando o quadro 20 QUADRO 20 OBJETIVOS DO CONTROLE DO PROCESSO TEC03 FONTE Adaptado de Johnson 2012 Apêndice B CONTROLE OBJETIVOS TEC031 Controle contra códigos maliciosos Convém que sejam implementados controles de detecção prevenção e recuperação para proteger contra códigos maliciosos assim como procedimentos para a devida conscientização dos usuários TEC032 Controles contra códigos móveis No qual o uso de códigos móveis é autorizado convém que a configuração garanta que o código móvel autorizado opere de acordo com uma política de segurança da informação claramente definida e códigos móveis não autorizados tenham sua execução impedida 204 UNIDADE 3 PROCESSO DE NEGÓCIO E SEGURANÇA DA INFORMAÇÃO 54 TEC04 CÓPIAS DE SEGURANÇA Segundo Johnson 2012 Apêndice B esse processo visa Manter a integridade e disponibilidade da informação e dos recursos de processamento de informação Para tal é adequado que procedimentos de rotina sejam estabelecidos para implementar as políticas e estratégias definidas para a geração de cópias de segurança e possibilitar a geração das cópias de segurança dos dados e sua recuperação em um tempo aceitável JOHNSON 2012 Apêndice B Precisamos conhecer os objetivos dos controles desse processo TEC04 Cópias de Segurança que estão dispostos no Quadro 21 QUADRO 21 OBJETIVOS DO CONTROLE DO PROCESSO TEC04 FONTE Adaptado de Johnson 2012 Apêndice B CONTROLE OBJETIVOS TEC041 Cópias de segurança das informações Convém que as cópias de segurança das informações e dos softwares sejam efetuadas e testadas regularmente conforme a política de geração de cópias de segurança definida 55 TEC05 GERENCIAMENTO DA SEGURANÇA EM REDES Segundo Johnson 2012 Apêndice B esse processo visa Garantir a proteção das informações em redes e a proteção da infraestrutura de suporte Além disso O gerenciamento seguro de redes que pode ir além dos limites da organização requer cuidadosas considerações relacionadas ao fluxo de dados implicações legais monitoramento e proteção JOHNSON 2012 Apêndice B O Quadro 22 traz os objetivos dos controles desse processo TEC05 Gerenciamento da Segurança em Redes QUADRO 22 OBJETIVOS DO CONTROLE DO PROCESSO TEC05 FONTE Adaptado de Johnson 2012 Apêndice B CONTROLE OBJETIVOS TEC051 Controles de redes Convém que as redes sejam adequadamente gerenciadas e controladas de forma a protegêlas contra ameaças e manter a segurança de sistemas e aplicações que utilizam estas redes incluindo a informação em trânsito TEC052 Segurança dos serviços de rede Convém que as características de segurança níveis de serviço e requisitos de gerenciamento dos serviços de rede sejam identificados e incluídos em qualquer acordo de serviços de rede tanto para serviços de rede providos internamente ou terceirizados TÓPICO 2 PROCESSOS DE NEGÓCIO DA SEGURANÇA DA INFORMAÇÃO 205 56 TEC06 MANUSEIO DE MÍDIAS Prevenir contra divulgação não autorizada modificação remoção ou destruição aos ativos e interrupções das atividades de negócio Convém que as mídias sejam controladas e fisicamente protegidas JOHNSON 2012 Apêndice B O Quadro 23 traz os objetivos dos controles deste processo TEC06 Manuseio de Mídias QUADRO 23 OBJETIVOS DO CONTROLE DO PROCESSO TEC06 FONTE Adaptado de Johnson 2012 Apêndice B CONTROLE OBJETIVOS TEC061 Gerenciamento de mídias removíveis Convém que existam procedimentos implementados para o gerenciamento de mídias removíveis TEC062 Descarte de mídias Convém que as mídias sejam descartadas de forma segura e protegida quando não forem mais necessárias por meio de procedimentos formais TEC063 Procedimentos para tratamento de informação Convém que sejam estabelecidos procedimentos para o tratamento e o armazenamento de informações para proteger tais informações contra a divulgação não autorizada ou uso indevido TEC064 Segurança da documentação dos sistemas Convém que a documentação dos sistemas seja protegida contra acessos não autorizados 57 TEC07 SERVIÇOS DE COMÉRCIO ELETRÔNICO Segundo Johnson 2012 Apêndice B esse processo visa Garantir a segurança de serviços de comércio eletrônico e sua utilização segura Para tal é adequado que as implicações de segurança da informação associadas com o uso de serviços de comércio eletrônico incluindo transações online e os requisitos de controle sejam consideradas JOHNSON 2012 Apêndice B a integridade e a disponibilidade da informação publicada eletronicamente por sistemas publicamente disponíveis sejam também consideradas JOHNSON 2012 Apêndice B O Quadro 24 traz os objetivos dos controles deste processo TEC07 Serviços de Comércio Eletrônico 206 UNIDADE 3 PROCESSO DE NEGÓCIO E SEGURANÇA DA INFORMAÇÃO QUADRO 24 OBJETIVOS DO CONTROLE DO PROCESSO TEC07 FONTE Adaptado de Johnson 2012 Apêndice B CONTROLE OBJETIVOS TEC071 Comércio eletrônico Convém que as informações envolvidas em comércio eletrônico transitando sobre redes públicas sejam protegidas de atividades fraudulentas disputas contratuais e divulgação e modificações não autorizadas TEC072 Transações online Convém que informações envolvidas em transações online sejam protegidas para prevenir transmissões incompletas erros de roteamento alterações não autorizadas de mensagens divulgação não autorizada duplicação ou reapresentação de mensagem não autorizada TEC073 Informações publicamente disponíveis Convém que a integridade das informações disponibilizadas em sistemas publicamente acessíveis seja protegida para prevenir modificações não autorizadas 58 TEC08 GERENCIAMENTO DE ACESSO DO USUÁRIO Esse processo visa Assegurar acesso de usuário autorizado e prevenir acesso não autorizado a sistemas de informação Convém que procedimentos formais sejam implementados para controlar a distribuição de direitos de acesso a sistemas de informação e serviços JOHNSON 2012 Apêndice B O Quadro 25 traz os objetivos dos controles deste processo TEC08 Gerenciamento de Acesso do Usuário QUADRO 25 OBJETIVOS DO CONTROLE DO PROCESSO TEC08 FONTE Adaptado de Johnson 2012 Apêndice B CONTROLE OBJETIVOS TEC081 Registro de usuários Convém que exista um procedimento formal de registro e cancelamento de usuário para garantir e revogar acessos em todos os sistemas de informação e serviços TEC082 Gerenciamento de privilégios Convém que a concessão e uso de privilégios sejam restritos e controlados TEC083 Gerenciamento de senha do usuário Convém que a concessão de senhas seja controlada por meio de um processo de gerenciamento formal TEC084 Análise crítica dos direitos de acesso de usuário Convém que o gestor conduza a intervalos regulares a análise crítica dos direitos de acesso dos usuários por meio de processo formal TÓPICO 2 PROCESSOS DE NEGÓCIO DA SEGURANÇA DA INFORMAÇÃO 207 59 TEC09 CONTROLE DE ACESSO À REDE Esse processo visa prevenir acesso não autorizado aos serviços de rede Para isso convém que o acesso aos serviços de rede internos e externos seja controlado os usuários com acesso às redes e aos serviços de rede não comprometam a segurança desses serviços O Quadro 26 traz os objetivos dos controles deste processo TEC09 Controle de Acesso à Rede QUADRO 26 OBJETIVOS DO CONTROLE DO PROCESSO TEC09 CONTROLE OBJETIVOS TEC091 Política de uso dos serviços de rede Convém que usuários somente recebam acesso para os serviços que tenham sido especificamente autorizados a usar TEC092 Autenticação para conexão externa do usuário Convém que métodos apropriados de autenticações sejam usados para controlar acesso de usuários remotos TEC093 Identificação de equipamentos em redes Convém que sejam consideradas as identificações automáticas de equipamentos com um meio de autenticar conexões vindas de localizações e equipamentos específicos TEC094 Proteção de portas de configuração e diagnóstico remotos Convém que sejam controlados os acessos físico e lógico a portas de diagnóstico e configuração TEC095 Segregação de redes Convém que grupos de serviços de informação usuários e sistemas de informação sejam segregados em redes TEC096 Controle de conexão de rede Para redes compartilhadas especialmente essas que se estendem pelos limites da organização convém que a capacidade dos usuários para conectarse à rede seja restrita alinhada com a política de controle de acesso e os requisitos das aplicações do negócio TEC097 Controle de roteamento de redes Convém que seja implementado controle de roteamento na rede para assegurar que as conexões de computador e fluxos de informação não violem a política de controle de acesso das aplicações do negócio FONTE Adaptado de Johnson 2012 Apêndice B 510 TEC10 CONTROLE DE ACESSO AO SISTEMA OPERACIONAL Esse processo visa prevenir aqueles acessos não autorizados aos Sistemas Operacionais SO Para tal é adequado que recursos de SI sejam utilizados para restringir o acesso aos SOs aos usuários autorizados Agora vamos ver o Quadro 27 que traz os objetivos dos controles deste processo TEC10 Controle de Acesso ao Sistema Operacional 208 UNIDADE 3 PROCESSO DE NEGÓCIO E SEGURANÇA DA INFORMAÇÃO QUADRO 27 OBJETIVOS DO CONTROLE DO PROCESSO TEC10 CONTROLE OBJETIVOS TEC101 Procedimentos seguros de entrada no sistema logon Convém que o acesso aos sistemas operacionais seja controlado por um procedimento seguro de entrada no sistema logon TEC102 Identificação e autenticação de usuário Convém que todos os usuários tenham um identificador único ID de usuário para uso pessoal e exclusivo e convém que uma técnica adequada de autenticação seja escolhida para validar a identidade alegada por um usuário TEC103 Sistema de gerenciamento de senha Convém que sistemas de gerenciamento de senhas sejam interativos e assegurem senhas de qualidade TEC104 Uso de utilitários de sistema Convém que o uso de programas utilitários que podem ser capazes de sobrepor os controles dos sistemas e aplicações seja restrito e estritamente controlado TEC105 Limite de tempo de sessão Convém que sessões inativas sejam encerradas após um período definido de inatividade TEC106 Limitação de horário de conexão Convém que restrições nos horários de conexões sejam utilizadas para proporcionar segurança adicional para aplicações de alto risco FONTE Adaptado de Johnson 2012 Apêndice B 511 TEC11 CONTROLE DE ACESO À APLICAÇÃO E À INFORMAÇÃO Esse processo visa prevenir aqueles acessos não autorizados à informação contida nos sistemas de aplicação Para isso são adequados os recursos de SI sejam usados restringindo o acesso aos sistemas de aplicação Agora vamos ver o Quadro 28 que traz os objetivos dos controles deste processo TEC11 Controle de Aceso a Aplicação e a Informação QUADRO 28 OBJETIVOS DO CONTROLE DO PROCESSO TEC11 CONTROLE OBJETIVOS TEC111 Restrição de acesso à informação Convém que o acesso à informação e às funções dos sistemas de aplicações por usuários e pessoal de suporte seja restrito de acordo com o definido na política de controle de acesso TEC112 Isolamento de sistemas sensíveis Convém que sistemas sensíveis tenham um ambiente computacional dedicado isolado FONTE Adaptado de Johnson 2012 Apêndice B TÓPICO 2 PROCESSOS DE NEGÓCIO DA SEGURANÇA DA INFORMAÇÃO 209 512 TEC12 COMPUTAÇÃO MÓVEL E TRABALHO REMOTO Esse processo visa assegurar a SI quando se usa a computação móvel e recursos de trabalho remoto Para tal é adequado que a proteção requerida seja proporcional ao risco deste tipo específico de trabalho Vamos ver o Quadro 29 que traz os objetivos dos controles deste processo TEC12 Computação Móvel e Trabalho Remoto QUADRO 29 OBJETIVOS DO CONTROLE DO PROCESSO TEC12 CONTROLE OBJETIVOS TEC121 Computação e comunicação móvel Convém que uma política formal seja estabelecida e que medidas de segurança apropriadas sejam adotadas para a proteção contra riscos do uso de recursos de computação e comunicação móveis TEC122 Trabalho remoto Convém que uma política planos operacionais e procedimentos sejam desenvolvidos e implementados para atividades de trabalho remoto FONTE Adaptado de Johnson 2012 Apêndice B 513 TEC13 PROCESSAMENTO CORRETO NAS APLICAÇÕES Segundo Johnson 2012 Apêndice B este processo visa Prevenir a ocorrência de erros perdas modificação não autorizada ou maluso de informações em aplicações Para tal é adequado que controles apropriados sejam incorporados no projeto das aplicações inclusive aquelas desenvolvidas pelos usuários para assegurar o processamento correto JOHNSON 2012 Apêndice B esses controles incluam a validação dos dados de entrada do processamento interno e dos dados de saída JOHNSON 2012 Apêndice B Agora vamos analisar o Quadro 30 que traz os objetivos dos controles desse processo TEC13 Processamento Correto nas Aplicações 210 UNIDADE 3 PROCESSO DE NEGÓCIO E SEGURANÇA DA INFORMAÇÃO QUADRO 30 OBJETIVOS DO CONTROLE DO PROCESSO TEC13 FONTE Adaptado de Johnson 2012 Apêndice B CONTROLE OBJETIVOS TEC131 Validação dos dados de entrada Convém que os dados de entrada das aplicações sejam validados para garantir que são corretos e apropriados TEC132 Controle do processamento interno Convém que sejam incorporadas nas aplicações checagens de validação com o objetivo de detectar qualquer corrupção de informações por erros ou por ações deliberadas TEC133 Integridade de mensagens Convém que requisitos para garantir a autenticidade e proteger a integridade das mensagens em aplicações sejam identificados e os controles apropriados sejam identificados e implementados TEC134 Validação de dados de saída Convém que os dados de saída das aplicações sejam validados para assegurar que o processamento das informações armazenadas está correto e é apropriado às circunstâncias 514 TEC14 CONTROLES CRIPTOGRÁFICOS Esse processo visa Proteger a confidencialidade a autenticidade e a integridade das informações por meios criptográficos Para isso é necessário que uma política seja desenvolvida para o uso de controles criptográficos assim como o gerenciamento de chaves seja implementado para apoiar o uso de técnicas criptográficas JOHNSON 2012 Apêndice B Vamos analisar o Quadro 31 que traz os objetivos dos controles deste processo TEC14 Controles Criptográficos QUADRO 31 OBJETIVOS DO CONTROLE DO PROCESSO TEC14 FONTE Adaptado de Johnson 2012 Apêndice B CONTROLE OBJETIVOS TEC141 Política para o uso de controles criptográficos Convém que seja desenvolvida e implementada uma política para o uso de controles criptográficos para a proteção da informação Esta política deve estar alinhada com a política de SI da organização e também deve prever que o uso de controles criptográficos faça parte das análises de riscos de SI TEC142 Gerenciamento de chaves Convém que um processo de gerenciamento de chaves seja planejado e implantado para apoiar o uso de técnicas criptográficas pela organização As chaves criptográficas precisam ser adequadamente protegidas contra modificação não autorizada perda ou destruição 515 TEC15 SEGURANÇA NOS ARQUIVOS DE SISTEMA Este processo visa Garantir a segurança de arquivos de sistema por meio do controle de acesso aos mesmos e aos programas de código fonte Os controles também têm como objetivo evitar a exposição de dados sensíveis em ambientes TÓPICO 2 PROCESSOS DE NEGÓCIO DA SEGURANÇA DA INFORMAÇÃO 211 QUADRO 32 OBJETIVOS DO CONTROLE DO PROCESSO TEC15 FONTE Adaptado de Johnson 2012 Apêndice B CONTROLE OBJETIVOS TEC151 Controle de software operacional Convém que procedimentos para controlar a instalação de software em sistemas operacionais sejam implementados minimizando o risco de corrupção de sistemas operacionais pirataria e mau uso TEC152 Proteção dos dados para teste de sistema Convém que os dados de teste sejam selecionados com cuidado protegidos e controlados a fim de evitar a exposição de dados sensíveis a usuários não autorizados ou mesmo a outras organizações como prestadores de serviços TEC153 Controle de acesso ao código fonte de programa Convém que o acesso ao código fonte de programas seja restrito e controlado 516 TEC16 SEGURANÇA EM PROCESSOS DE DESENVOLVIMENTO E DE SUPORTE Esse processo visa Manter a segurança de sistemas aplicativos e da informação tanto em ambientes de projeto como em ambientes de suporte Assegurar que as mudanças são liberadas e aplicadas corretamente JOHNSON 2012 Apêndice B Vamos analisar o Quadro 33 que traz os objetivos dos controles deste processo TEC15 Segurança nos Arquivos de Sistema QUADRO 33 OBJETIVOS DO CONTROLE DO PROCESSO TEC16 FONTE Adaptado de Johnson 2012 Apêndice B CONTROLE OBJETIVOS TEC161 Procedimentos para controle de mudanças Convém que a implementação de mudanças seja controlada utilizando procedimentos formais de controle de mudanças Os controles de mudanças devem ser adequadamente documentados e auditados TEC162 Análise crítica técnica das aplicações após mudanças no sistema operacional Convém que aplicações críticas de negócios sejam analisadas criticamente e testadas quando sistemas operacionais são mudados para garantir que não haverá nenhum impacto adverso na operação da organização ou na segurança TEC163 Restrições sobre mudanças em pacotes de software Convém que modificações em pacotes de software sejam desencorajadas e limitadas às mudanças necessárias e que todas as mudanças sejam estritamente controladas TEC164 Vazamento de informações Convém que oportunidades para vazamento de informações sejam prevenidas TEC165 Desenvolvimento terceirizado de software Convém que a organização supervisione e monitore o desenvolvimento terceirizado de software de teste JOHNSON 2012 Apêndice B Vamos analisar o Quadro 32 que traz os objetivos dos controles deste processo TEC15 Segurança nos Arquivos de Sistema 212 UNIDADE 3 PROCESSO DE NEGÓCIO E SEGURANÇA DA INFORMAÇÃO 517 TEC17 GESTÃO DE VULNERABILIDADES TÉCNICAS Esse processo visa Reduzir riscos resultantes da exploração de vulnerabilidades técnicas conhecidas Para isto Convém que a implementação da gestão de vulnerabilidades técnicas seja implementada de forma efetiva sistemática e de forma repetível com medições de confirmação da efetividade JOHNSON 2012 Apêndice B Vamos analisar o Quadro 34 que traz os objetivos do controle deste processo TEC17 Gestão de Vulnerabilidades Técnicas QUADRO 34 OBJETIVOS DO CONTROLE DO PROCESSO TEC17 FONTE Adaptado de Johnson 2012 Apêndice B CONTROLE OBJETIVOS TEC171 Controle de vulnerabilidades técnicas Convém que seja obtida informação em tempo hábil sobre vulnerabilidades técnicas dos sistemas de informação em uso avaliada a exposição da organização a estas vulnerabilidades e tomadas às medidas apropriadas para lidar com os riscos associados 6 GES GESTÃO DA SEGURANÇA O processo da segurança da informação referente a segurança técnica conforme vimos no Tópico 1 está subdivido em sete processos Notificação de Fragilidades e Eventos de Segurança da Informação GES01 Gestão de Incidentes de Segurança da Informação e Melhorias GES02 Monitoramento de Atividades GES03 Aspectos da Gestão da Continuidade de Negócios em Segurança GES04 Conformidade com Requisitos Legais GES05 Conformidade com Normas Políticas de Segurança da Informação e Conformidade Técnica GES06 e Considerações quanto a Auditoria de Sistemas de Informação GES07 61 GES01 NOTIFICAÇÃO DE FRAGILIDADES E EVENTOS DE SEGURANÇA DA INFORMAÇÃO Esse processo visa Assegurar que fragilidades e eventos de segurança da informação associados com sistemas de informação sejam comunicados permitindo a tomada de ação corretiva em tempo hábil JOHNSON 2012 Apêndice B Precisamos analisar o Quadro 35 para conhecer os objetivos dos controles deste processo GES01 Notificação de Fragilidades e Eventos de Segurança da Informação TÓPICO 2 PROCESSOS DE NEGÓCIO DA SEGURANÇA DA INFORMAÇÃO 213 QUADRO 35 OBJETIVOS DO CONTROLE DO PROCESSO GES01 FONTE Adaptado de Johnson 2012 Apêndice B CONTROLE OBJETIVOS GES011 Notificação de eventos de segurança da informação Convém que os eventos de segurança da informação sejam relatados por meio dos canais apropriados da direção o mais rapidamente possível Além disso também é importante relatar os procedimentos de resposta aos incidentes e seu respectivo escalonamento GES012 Notificando fragilidades de segurança da informação Convém que os funcionários fornecedores e terceiros de sistemas e serviços de informação sejam instruídos a registrar e notificar qualquer observação ou suspeita de fragilidade em sistemas ou serviços 62 GES02 GESTÃO DE INCIDENTES DE SEGURANÇA DA INFORMAÇÃO E MELHORIAS Esse processo visa Assegurar que um enfoque consistente e efetivo seja aplicado à gestão de incidentes de segurança da informação para tal Convém que responsabilidades e procedimentos estejam definidos para o manuseio efetivo de eventos de segurança da informação JOHNSON 2012 Apêndice B Agora vamos analisar os objetivos dos controles deste processo GES02 Gestão de Incidentes de Segurança da Informação e Melhorias apresentados no Quadro 36 QUADRO 36 OBJETIVOS DO CONTROLE DO PROCESSO GES02 FONTE Adaptado de Johnson 2012 Apêndice B CONTROLE OBJETIVOS GES021 Responsabilidades e Procedimentos Convém que responsabilidades e procedimentos de gestão sejam estabelecidos para assegurar respostas rápidas efetivas e ordenadas a incidentes de segurança da informação GES022 Aprendendo com os incidentes de segurança da informação Convém que sejam estabelecidos mecanismos para permitir que tipos quantidades e custos dos incidentes de segurança da informação sejam quantificados e monitorados GES023 Coleta de evidências Nos casos em que uma ação de acompanhamento contra uma pessoa ou organização após um incidentes de segurança da informação envolver uma ação legal civil ou criminal convém que evidências sejam coletadas armazenadas e apresentadas em conformidade com as normas de armazenamento de evidências da jurisdições pertinentes 214 UNIDADE 3 PROCESSO DE NEGÓCIO E SEGURANÇA DA INFORMAÇÃO 63 GES03 MONITORAMENTO DE ATIVIDADES Este processo visa Detectar atividades não autorizadas de processamento da informação para isso Convém que os sistemas sejam monitorados e eventos de segurança da informação sejam registrados e reportados JOHNSON 2012 Apêndice B Vamos analisar quais são os objetivos dos controles deste processo GES03 Monitoramento de Atividades pelo Quadro 37 QUADRO 37 OBJETIVOS DO CONTROLE DO PROCESSO GES03 FONTE Adaptado de Johnson 2012 Apêndice B CONTROLE OBJETIVOS GES031 Registros de auditoria Convém que registros logs de auditoria contendo atividades dos usuários exceções e outros eventos de segurança da informação sejam produzidos e mantidos por um período de tempo acordado para auxiliar em futuras investigações e monitoramento de controle de acesso GES032 Monitoramento do uso do sistema Convém que sejam estabelecidos procedimentos para o monitoramento do uso dos recursos de processamento da informação e os resultados das atividades de monitoramento sejam analisados criticamente de forma regular GES033 Proteção das informações dos registros log Convém que os recursos e informações de registros log sejam protegidos contra falsificação e acesso não autorizado GES034 Registros log de administrador e operador Convém que as atividades dos administradores e operadores do sistema sejam registradas GES035 Registros log de falhas Convém que as falhas ocorridas sejam registradas e analisadas e que sejam adotadas ações apropriadas GES036 Sincronização dos relógios Convém que os relógios de todos os sistemas de processamento de informações relevantes dentro da organização ou do domínio de segurança sejam sincronizados com uma fonte de tempo precisa e acordada 64 GES04 ASPECTOS DA GESTÃO DA CONTINUIDADE DE NEGÓCIOS EM SEGURANÇA Para Johnson 2012 Apêndice B este processo visa Não permitir a interrupção das atividades do negócio e proteger os processos críticos contra efeitos de falhas ou desastres significativos e assegurar a sua retomada em tempo hábil se for o caso Para tal Convém que o processo de gestão de continuidade de negócio seja implementado para minimizar um impacto sobre a organização e recuperar perdas de ativos da informação JOHNSON 2012 Apêndice B TÓPICO 2 PROCESSOS DE NEGÓCIO DA SEGURANÇA DA INFORMAÇÃO 215 QUADRO 38 OBJETIVOS DO CONTROLE DO PROCESSO GES04 FONTE Adaptado de Johnson 2012 Apêndice B CONTROLE OBJETIVOS GES041 Incluindo segurança da informação no processo de gestão da continuidade de negócio Convém que um processo de gestão seja desenvolvido e mantido para assegurar a continuidade do negócio por toda a organização e que contemple os requisitos de segurança da informação necessários para a continuidade do negócio da organização GES042 Continuidade de negócios e análise avaliação de riscos Convém identificar os eventos que podem causar interrupções aos processos de negócio junto a probabilidade e impacto de tais interrupções e as consequências para a segurança da informação GES043 Desenvolvimento e implementação Convém que os planos sejam desenvolvidos e implementados para a manutenção ou recuperação das operações e para assegurar a disponibilidade da informação no nível requerido e na escala de tempo requerida após a ocorrência de interrupções ou falhas dos processos críticos de negócio GES044 Estrutura do plano de continuidade de negócios Convém que uma estrutura básica dos planos de continuidade do negócio seja mantida para assegurar que todos os planos são consistentes para contemplar os requisitos de segurança da informação e para identificar prioridades para testes e manutenção GES045 Testes manutenção e reavaliação dos planos de continuidade de negócio Convém que os planos de continuidade do negócio sejam testados e atualizados regularmente de forma a assegurar sua permanente atualização e efetividade 65 GES05 CONFORMIDADE COM REQUISITOS LEGAIS Esse processo visa Evitar violações de quaisquer obrigações legais estatutárias regulamentares ou contratuais e de quaisquer requisitos de segurança da informação JOHNSON 2012 Apêndice B Vamos analisar os objetivos dos controles deste processo GES05 Conformidade com Requisitos Legais apresentados no Quadro 39 Vamos analisar quais são os objetivos dos controles deste processo GES04 Aspectos da Gestão da Continuidade de Negócios em Segurança apresentados no QUADRO 38 216 UNIDADE 3 PROCESSO DE NEGÓCIO E SEGURANÇA DA INFORMAÇÃO QUADRO 39 OBJETIVOS DO CONTROLE DO PROCESSO GES05 CONTROLE OBJETIVOS GES051 Identificação da legislação aplicável Convém que todos os requisitos estatutários regulamentares e contratuais pertinentes e o enfoque à organização para atender a esses requisitos sejam explicitamente definidos documentados e mantidos atualizados para cada sistema de informação da organização GES052 Direitos de propriedade intelectual Convém que procedimentos apropriados sejam implementados para garantir a conformidade com os requisitos legislativos regulamentares e contratuais no uso de material em relação aos quais pode haver direitos de propriedade intelectual e sobre o uso de produtos de softwares proprietários GES053 Proteção de registros organizacionais Convém que registros importantes sejam protegidos contra perda destruição e falsificação de acordo com os requisitos regulamentares estatutários contratuais e do negócio GES054 Proteção de dados e privacidade de informações pessoais Convém que a privacidade e a proteção de dados sejam asseguradas conforme exigido nas legislações regulamentações e se aplicável nas cláusulas contratuais pertinentes GES055 Prevenção de mau uso de recursos de processamento da informação Convém que os usuários sejam dissuadidos de usar recursos de processamento da informação para propósitos não autorizados GES056 Regulamentação de controles de criptografia Convém que controles de criptografia sejam usados em conformidade com todas as leis acordos e regulamentações pertinentes FONTE Adaptado de Johnson 2012 Apêndice B 66 GES06 CONFORMIDADE COM NORMAS POLÍTICAS DE SEGURANÇA DA INFORMAÇÃO E CONFORMIDADE TÉCNICA Esse processo visa Garantir conformidade dos sistemas com as políticas e normas organizacionais de segurança da informação para tal Convém que a segurança dos sistemas de informação seja analisada criticamente a intervalos regulares JOHNSON 2012 Apêndice B Vamos analisar os objetivos dos controles deste processo GES06 Conformidade com Normas dispostos no Quadro 40 TÓPICO 2 PROCESSOS DE NEGÓCIO DA SEGURANÇA DA INFORMAÇÃO 217 QUADRO 40 OBJETIVOS DO CONTROLE DO PROCESSO GES06 FONTE Adaptado de Johnson 2012 Apêndice B CONTROLE OBJETIVOS GES061 Conformidade com as políticas e normas de segurança da informação Convém que gestores garantam que todos os procedimentos de segurança da informação dentro da sua área de responsabilidade estão sendo executados corretamente para atender à conformidade com as normas e políticas de segurança da informação GES062 Verificação da conformidade técnica Convém que sistemas de informação sejam periodicamente verificados em sua conformidade com as normas de segurança da informação implementadas 67 GES07 CONSIDERAÇÕES QUANTO À AUDITORIA DE SISTEMAS DE INFORMAÇÃO Esse processo visa Maximizar a eficácia e minimizar a interferência no processo de auditoria dos sistemas de informação Para tal Convém que existam controles para a proteção dos sistemas operacionais e ferramentas de auditoria durante as auditorias de sistema de informação JOHNSON 2012 Apêndice B Vamos analisar os objetivos dos controles desse processo GES07 Considerações quanto à Auditoria de Sistemas de Informação dispostos no Quadro 41 QUADRO 41 OBJETIVOS DO CONTROLE DO PROCESSO GES07 FONTE Adaptado de Johnson 2012 Apêndice B CONTROLE OBJETIVOS GES071 Controles de auditoria de sistemas de informação Convém que requisitos e atividades de auditoria envolvendo verificação nos sistemas operacionais sejam cuidadosamente planejados e acordados para minimizar os riscos de interrupção dos processos de negócio GES072 Proteção de ferramentas de auditoria de sistemas de informação Convém que o acesso às ferramentas de auditoria de sistema de informação seja protegido para prevenir qualquer possibilidade de uso impróprio ou comprometimento Neste tópico nós abordamos a estrutura dos processos de segurança da informação segundo as cinco categorias Para cada uma das categorias identificamos quais são os processos de negócio da segurança da informação e dentro de cada um desses processos elencamos quais são os controles necessários do processo Por fim estudamos os objetivos dos controles do processo E o que veremos em nosso Tópico 3 No Tópico 3 vamos abordar o modelo de maturidade para cada um dos processos vistos vamos lá 218 RESUMO DO TÓPICO 2 Neste tópico você aprendeu que Os processos possibilitam uma abordagem estruturada de maneira complementar as normas e políticas de segurança da informação permitindo planejar e priorizar as ações que serão executadas O planejamento estratégico da SI é necessário para gerenciar que todos os recursos de SI estejam alinhados com as prioridades e estratégias tanta da organização quanto dos negócios referindose ao processo Planejamento Estratégico da Segurança da Informação POA01 A SI em conjunto com as partes interessadas pelas operações de negócio da organização são responsáveis por assegurar que as próprias operações de negócio possuem os níveis requeridos de SI por meio de um programa de SI referindose ao processo Planejamento Estratégico da Segurança da Informação POA01 O plano estratégico deve aprimorar o entendimento das partes envolvidas referente a oportunidades e limitações que a SI possa impor referindose ao processo Planejamento Estratégico da Segurança da Informação POA01 A estratégia e as prioridades de negócio devem ser refletidas no programa de SI e executadas por meio de planos táticos de SI estabelecendo objetivos de maneira concisa e tarefas que representem com clareza os resultados almejados referindose ao processo Planejamento Estratégico da Segurança da Informação POA01 Os controles do processo Planejamento Estratégico da Segurança da Informação POA01 são seis Gerenciamento de valor da segurança da informação POA011 Alinhamento entre o negócio e a segurança da informação POA012 Avaliação da capacidade e desempenho correntes POA013 Plano estratégico da segurança da informação POA014 Programa de segurança da informação POA015 e Gerenciamento do programa de segurança da informação POA016 O processo Política de Segurança da Informação POA02 visa fornecer orientação e apoio da direção para a SI em conformidade com os requisitos de negócio e com as leis e regulamentações pertinentes Os controles do processo Política de Segurança da Informação POA02 são dois Documento da política de segurança da informação POA021 e Análise crítica da política de segurança da informação POA022 219 O processo Organização interna POA03 visa gerenciar a SI dentro da organização é aconselhável que uma estrutura de gerenciamento seja estabelecida para iniciar e controlar a implementação da SI dentro da organização Os controles do processo Organização interna POA03 são oito Comprometimento da direção com a segurança da informação POA031 Coordenação da segurança da informação POA032 Atribuição de responsabilidades para a segurança da informação POA033 Processo de autorização para os recursos de processamento da informação POA034 Acordos de confidencialidade POA035 Contato com autoridades POA036 Contato com grupos especiais POA037 e Análise crítica independente de segurança da informação POA038 O processo de Organização com as partes externas POA04 visa Manter a segurança dos recursos de processamento da informação e da informação da organização que são acessados processados comunicados ou gerenciados por partes externas JOHNSON 2012 Apêndice B Os controles do processo Organização com as partes externas POA04 são três Identificação dos riscos relacionados com partes externas POA041 identificando a segurança da informação POA042 quando tratando com os clientes e identificando segurança da informação nos acordos com terceiros POA043 O processo de Gestão de risco POA05 documenta um nível comum e acordado de riscos de SI estratégias de mitigação e riscos residuais Os controles do processo de Gestão de risco POA05 são seis Alinhamento da gestão de riscos de segurança da informação e de negócios POA051 Estabelecimento do contexto de risco POA052 Identificação de eventos POA053 Avaliação de risco POA054 Resposta ao risco POA055 e Manutenção e monitoramento do plano de ação de risco POA056 O processo de Responsabilidade pelos Ativos ORG01 visa atingir e manter a proteção adequada dos ativos da organização Os controles do processo de Responsabilidade pelos Ativos ORG01 são três Inventário dos ativos ORG011 Proprietário dos ativos ORG012 e Uso aceitável dos ativos ORG013 O processo de Classificação da Informação ORG02 visa Assegurar que a informação receba um nível adequado de proteção Convém que a informação seja classificada para indicar a necessidade prioridades e o nível esperado de proteção quando do tratamento da informação JOHNSON 2012 Apêndice B 220 Os controles do processo de Classificação da Informação ORG02 são dois Recomendações para classificação ORG021 e Rótulos e tratamento da informação ORG022 Os controles do processo da Segurança em Recursos Humanos ORG03 são nove Papéis e responsabilidades ORG031 Seleção ORG032 Termos e condições de contratação ORG033 Responsabilidades da direção ORG034 Conscientização educação e treinamento em segurança da informação ORG035 Processo disciplinar ORG036 Encerramento das atividades ORG037 Devolução de ativos ORG038 e Retirada de direitos de acesso ORG039 O processo de Procedimentos e Responsabilidades Operacionais ORG04 precisa abranger o desenvolvimento de procedimentos operacionais apropriados Os controles do processo de Procedimentos e Responsabilidades Operacionais ORG04 são quatro Documentação dos procedimentos de operação ORG041 Gestão de mudanças ORG042 Segregação de funções ORG043 e Separação dos recursos de desenvolvimento teste e de produção ORG044 O processo de Troca de Informações ORG05 visa Assegurar a segurança na troca de informações e softwares internamente à organização e com quaisquer entidades externas JOHNSON 2012 Apêndice B Os controles do processo de Troca de Informações ORG05 são cinco Políticas e procedimentos para troca de informações ORG051 Acordos para troca de informações ORG052 Mídias em trânsito ORG053 Mensagens eletrônicas ORG054 e Sistemas de informações do negócio ORG055 O processo de Requisitos de Negócio para Controle de Acesso ORG06 visa controlar o acesso à informação e para isso Convém que o acesso à informação recursos de processamento das informações e processos de negócios sejam controlados com base nos requisitos de negócio e segurança da informação JOHNSON 2012 Apêndice B O controle do processo Requisitos de Negócio para Controle de Acesso ORG06 é a Política de controle de acesso ORG061 O processo de Responsabilidade dos Usuários ORG07 visa Prevenir o acesso não autorizado dos usuários e evitar o comprometimento ou furto da informação e dos recursos de processamento de informação JOHNSON 2012 Apêndice B Os controles do processo Responsabilidade dos Usuários ORG07 são três Uso de senhas ORG071 Equipamento de usuário sem monitoração ORG072 e Política de mesa limpa e tela limpa ORG073 221 O processo de Requisitos de Segurança de Sistemas de Informação ORG08 visa Garantir que segurança é parte integrante de sistemas de informação Sistemas de informação incluem sistemas operacionais infraestrutura aplicações de negócios produtos de prateleira serviços e aplicações desenvolvidas pelo usuário JOHNSON 2012 Apêndice B O controle do processo Requisitos de Segurança de Sistemas de Informação ORG08 é a Análise e especificação dos requisitos de segurança ORG081 O processo das Áreas Seguras FIS01 visa prevenir o acesso físico não autorizado danos e interferências com as instalações e informações da organização JOHNSON 2012 Apêndice B Os controles do processo das Áreas Seguras FIS01 são seis Perímetro de segurança física FIS011 Controles de entrada física FIS012 Segurança em escritórios salas e instalações FIS013 Proteção contra ameaças externas e do meio ambiente FIS014 Trabalhando em áreas seguras FIS015 e Acesso do público áreas de entrega e de carregamento FIS016 Os controles do processo da Segurança em Equipamentos FIS02 são sete Instalação e proteção do equipamento FIS021 Utilidades FIS022 Segurança do cabeamento FIS023 Manutenção dos equipamentos FIS024 Segurança de equipamentos fora das dependências da organização FIS025 Reutilização e alienação segura de equipamentos FIS026 e Remoção de propriedade FIS027 Os controles do processo de Gerenciamento de Serviços de Terceiros TEC01 são Entrega de serviços TEC011 Monitoramento e análise crítica de serviços terceirizados TEC012 e Gerenciamento de mudanças para serviços terceirizados TEC013 Os controles do processo de Planejamento e Aceitação dos Sistema TEC02 são Gestão de capacidade TEC021 e Aceitação de sistemas TEC022 Os controles do processo de Proteção contra Códigos Maliciosos e Códigos Móveis TEC03 são Controle contra códigos maliciosos TEC031 e Controles contra códigos móveis TEC032 O controle do processo de Cópias de Segurança TEC04 são as cópias de segurança das informações TEC041 Os controles do processo Gerenciamento da Segurança em Redes TEC05 são Controles de redes TEC051 e Segurança dos serviços de rede TEC052 Os controles do processo de Manuseio de Mídias TEC06 são Gerenciamento de mídias removíveis TEC061 Descarte de mídias TEC062 Procedimentos para tratamento de informação TEC063 e Segurança da documentação dos sistemas TEC064 222 Os controles do processo Serviços de Comércio Eletrônico TEC07 são Comércio eletrônico TEC071 Transações online TEC072 e as Informações publicamente disponíveis TEC073 Os controles do processo de Gerenciamento de Acesso do Usuário TEC08 são Registro de usuários TEC081 Gerenciamento de privilégios TEC082 Gerenciamento de senha do usuário TEC083 e Análise crítica dos direitos de acesso de usuário TEC084 Os controles do processo Controle de Acesso à Rede TEC09 são Política de uso dos serviços de rede TEC091 Autenticação para conexão externa do usuário TEC092 Identificação de equipamentos em redes TEC093 Proteção de portas de configuração e diagnóstico remotos TEC094 TEC095 Segregação de redes Controle de conexão de rede TEC096 e Controle de roteamento de redes TEC097 Os controles do processo TEC10 Controle de Acesso ao Sistema Operacional são TEC101 Procedimentos seguros de entrada no sistema logon TEC102 Identificação e autenticação de usuário TEC103 Sistema de gerenciamento de senha TEC104 Uso de utilitários de sistema TEC105 Limite de tempo de sessão e TEC106 Limitação de horário de conexão Os controles do processo TEC11 Controle de Aceso a Aplicação e a Informação são TEC111 Restrição de acesso à informação e TEC112 Isolamento de sistemas sensíveis Os controles do processo TEC12 Computação Móvel e Trabalho Remoto são TEC121 Computação e comunicação móvel e TEC122 Trabalho remoto Os controles do processo TEC13 Processamento Correto nas Aplicações são TEC131 Validação dos dados de entrada TEC132 Controle do processamento interno TEC133 Integridade de mensagens e TEC134 Validação de dados de saída Os controles do processo TEC14 Controles Criptográficos são TEC141 Política para o uso de controles criptográficos e TEC142 Gerenciamento de chaves Os controles do processo TEC15 Segurança nos Arquivos de Sistema são TEC151 Controle de software operacional TEC152 Proteção dos dados para teste de sistema e TEC153 Controle de acesso ao código fonte de programa Os controles do processo TEC16 Segurança em Processos de Desenvolvimento e de Suporte são TEC161 Procedimentos para controle de mudanças TEC162 Análise crítica técnica das aplicações após mudanças no sistema operacional TEC163 Restrições sobre mudanças em pacotes de software TEC164 Vazamento de informações e TEC165 Desenvolvimento terceirizado de software 223 O controle do processo TEC17 Gestão de Vulnerabilidades Técnicas é TEC171 Controle de vulnerabilidades técnicas Os controles do processo na Notificação de Fragilidades e Eventos de Segurança da Informação GES01 são Notificação de eventos de segurança da informação GES011 e notificando fragilidades de segurança da informação GES012 Os controles do processo GES02 Gestão de Incidentes de Segurança da Informação e Melhorias são GES021 Responsabilidades e Procedimentos GES022 Aprendendo com os incidentes de segurança da informação e GES023 Coleta de evidências Os controles do processo de Monitoramento de Atividades GES03 são Registros de auditoria GES031 Monitoramento do uso do sistema GES032 Proteção das informações dos registros log GES033 Registros log de administrador e operador GES034 Registros log de falhas e GES036 Sincronização dos relógios Os controles do processo de Aspectos da Gestão da Continuidade de Negócios em Segurança GES04 são Incluindo segurança da informação no processo de gestão da continuidade de negócio GES041 Continuidade de negócios e análiseavaliação de riscos GES042 Desenvolvimento e implementação GES043 Estrutura do plano de continuidade de negócios GES044 e Testes manutenção e reavaliação dos planos de continuidade de negócio GES045 Os controles do processo de Conformidade com Requisitos Legais GES05 são Identificação da legislação aplicável GES051 Direitos de propriedade intelectual GES052 Proteção de registros organizacionais GES053 Proteção de dados e privacidade de informações pessoais GES054 Prevenção de mau uso de recursos de processamento da informação GES055 e Regulamentação de controles de criptografia GES056 Os controles do processo de Conformidade com Normas Políticas de Segurança da Informação e Conformidade Técnica GES06 são Conformidade com as políticas e normas de segurança da informação GES061 e Verificação da conformidade técnica GES062 Os controles do processo de Considerações quanto a Auditoria de Sistemas de Informação GES07 são Controles de auditoria de sistemas de informação GES071 e Proteção de ferramentas de auditoria de sistemas de informação GES072 224 1 Este controle tem como objetivo trabalhar sob as diretrizes da operação de negócio para assegurar que o programa de segurança da informação e seus investimentos estejam devidamente embasados em sólidos estudos de caso de negócio Além disso este controle também tem como objetivo reconhecer que há investimentos obrigatórios sustentáveis e discricionários que diferem em complexidade e grau de liberdade na alocação de fundos Qual controle possui esses objetivos a POA011 Gerenciamento de valor da segurança da informação b POA012 Alinhamento entre o negócio e a segurança da informação c POA013 Avaliação da capacidade e desempenho correntes d POA014 Plano estratégico da segurança da informação 2 Este controle tem como objetivo gerenciar ativamente com as áreas de negócio o programa de investimentos de SI necessários para atingir os objetivos estratégicos específicos de negócio por meio de identificação definição avaliação priorização seleção início gerenciamento e controle de programas Isso inclui esclarecer os resultados de negócio desejados assegurar que os objetivos do programa sustentem o alcance dos resultados entender o escopo completo do esforço necessário para atingir os resultados atribuir responsabilidades com medidas de suporte definir projetos dentro do programa alocar recursos e fundos delegar autoridade e atribuir responsabilidades pelos projetos no lançamento do programa Qual controle possui esses objetivos a POA015 Programa de segurança da informação b POA016 Gerenciamento do programa de segurança da informação c POA032 Coordenação da segurança da informação d POA034 Processo de autorização para os recursos de processamento da informação 3 Este controle tem como objetivo estabelecer o contexto ao qual a estrutura de avaliação de risco é aplicada para assegurar resultados esperados Isso inclui a definição dos contextos interno e externo de cada avaliação de risco o objetivo da avaliação e os critérios pelos quais os riscos são avaliados Qual controle possui esses objetivos a POA015 Programa de segurança da informação b POA016 Gerenciamento do programa de segurança da informação c POA032 Coordenação da segurança da informação d POA052 Estabelecimento do contexto de risco AUTOATIVIDADE 225 4 Este controle tem como objetivo identificar eventos ou seja importante ameaça real que explora significativas vulnerabilidades com potencial impacto negativo nos objetivos ou nas operações da organização Isto inclui aspectos de negócios regulamentação aspectos jurídicos tecnologia parcerias de negócio recursos humanos e operacionais Qual controle possui esses objetivos a POA016 Gerenciamento do programa de segurança da informação b POA032 Coordenação da segurança da informação c POA052 Estabelecimento do contexto de risco d POA053 Identificação de eventos 5 Este controle tem como objetivo priorizar e planejar as atividades de controle em todos os níveis da organização para implementar as respostas aos riscos identificadas como necessárias incluindo a identificação de custos benefícios e responsabilidade pela execução Além disso objetiva obter aprovações para ações recomendadas e aceitação de quaisquer riscos residuais e assegurar que as ações aprovadas sejam assumidas pelos donos dos processos afetados Qual controle possui esses objetivos a POA016 Gerenciamento do programa de segurança da informação b POA032 Coordenação da segurança da informação c POA052 Estabelecimento do contexto de risco d POA056 Manutenção e monitoramento do plano de ação de risco 226 227 UNIDADE 3 TÓPICO 3 MODELO DE MATURIDADE DOS PROCESSOS DE NEGÓCIO DA SEGURANÇA DA INFORMAÇÃO 1 INTRODUÇÃO Chegamos ao último tópico deste livro didático No Tópico 1 nós abordamos a estrutura dos processos de segurança da informação segundo as cinco categorias e as atividades de cada um dos processos da segurança de informação No Tópico 2 apresentamos a definição dos processos da segurança de informação os controles e seus objetivos Mas como saber se o processo está adequado Como vimos na Unidade 1 o Capability Maturity Model Integration CMMI ou Modelo Integrado de Maturidade em Capacitação é um modelo de referência que possui práticas específicas ou genéricas necessárias à maturidade O modelo de maturidade descreve estágios de maturidade auxiliando as organizações a otimizar a melhoria de seus processos e tendo como objetivo diminuir riscos Podemos dizer que a maturidade é a noção do grau de qualidade com o qual um processo atinge um resultado esperado O CMMI possui duas representações contínua no qual o foco está nos níveis de capacidade e por estágios no qual o foco está nos níveis de maturidade que são cinco Inicial os processos são vistos como imprevisíveis e reativos Esse é o pior estágio em que uma organização pode se encontrar devido ser um ambiente imprevisível que aumenta o risco e a ineficiência Gerenciado existe um nível de gerenciamento que é alcançado Nesse nível os projetos chegam a ser planejados executados medidos e controlados contudo existem muitos problemas a serem abordados Definido nesse estágio as organizações são mais proativas que reativas Existe um conjunto de padrões em toda organização para prover orientação em projetos programas e portfólios Neste estágio as organizações compreendem suas deficiências como solucionálas e qual é o objetivo da melhoria Quantitativamente gerenciado esse estágio é mais medido e controlado A organização está trabalhando com dados quantitativos para determinar processos previsíveis que se alinham às necessidades das partes interessadas Cabe destacar que nesse estágio os negócios estão à frente dos riscos com mais insights orientados por dados sobre as deficiências do processo Otimizando nesse estágio os processos são estáveis e flexíveis Aqui a organização está em constante estado de melhoria respondendo as mudanças e oportunidades 228 UNIDADE 3 PROCESSO DE NEGÓCIO E SEGURANÇA DA INFORMAÇÃO DICAS Entenda CMMI e CMM Connfira a seguinte explicação sobre CMM e CMMI no vídeo disponibilizado no link httpswwwyoutubecomembed lFrsy6sPVic Acesso em 21 ago 2020 Novo modelo do CMMI traz mais benefícios às empresas para melhoria nos processos Leia a matéria no link httptwixarmezvvm sobre os benefícios do CMMI nas empresas publicada no site da Computer World Acesso em 21 ago 2020 Introdução sobre CMMI diretamente do Instituto CMMI Neste site você vai ver a introdução sobre CMMI diretamente do Instituto CMMI Acesse no link httpscmmiinstitutecomcmmiintro Acesso em 21 ago 2020 Saiba Acadêmico aprofunde o seu conhecimento no UNIDICAS que preparamos para você Acadêmico nosso objetivo a partir de agora é apresentarmos o modelo de maturidade dos processos de segurança vistos anteriormente 2 PLANEJAMENTO ORGANIZAÇÃO E ALINHAMENTO POA O processo da segurança da informação referente ao planejamento organização e alinhamento conforme vimos em nossos Tópicos 1 e 2 desta unidade possuem cinco processos Vamos trazer para você o modelo de maturidade de cada um dos controles vistos Analise o Quadro 42 a seguir que traz o modelo de maturidade do processo de Planejamento Estratégico da Segurança da Informação POA01 TÓPICO 3 MODELO DE MATURIDADE DOS PROCESSOS DE NEGÓCIO DA SEGURANÇA DA INFORMAÇÃO 229 QUADRO 42 MODELO DE MATURIDADE DO POA01 MATURIDADE QUANDO 0 Não existente O plano estratégico da SI não existe a Direção não está conscientizada de que o planejamento estratégico da SI é necessário para sustentar as metas de negócio 1 InicialAd Hoc a necessidade de um planejamento estratégico da SI é conhecida pela Direção da organização o planejamento da SI é realizado caso a caso em resposta a um requisito específico de negócio o planejamento estratégico da SI é ocasionalmente discutido nas reuniões da Direção o alinhamento de requisitos de negócio aplicações e tecnologia ocorre de forma reativa ao invés de seguir uma estratégia corporativa a posição estratégica de risco é identificada informalmente projeto a projeto 2 Gerenciado o planejamento estratégico da SI é compartilhado com a Direção do Negócio conforme a necessidade a atualização dos planos de segurança acontece em resposta aos pedidos da Direção as decisões estratégicas são tomadas projeto a projeto sem consistência com uma estratégia corporativa os riscos e benefícios do usuário nas principais decisões estratégicas são determinados de forma intuitiva 3 Definido uma política define quando e como realizar um planejamento estratégico da SI o planejamento estratégico da SI segue uma abordagem estruturada que é documentada e conhecida por todo o pessoal envolvido o processo do planejamento da SI é razoavelmente discutido e assegura que um planejamento adequado seja realizado Entretanto a implementação do processo fica a critério de cada Direção e não há procedimentos para examinar o processo a estratégia geral da segurança da informação inclui uma definição consistente dos riscos que a organização aceita correr por ser inovadora ou por seguir tendências as estratégias de recursos financeiros técnicos e humanos influenciam cada vez mais na aquisição de novos produtos e tecnologias o planejamento estratégico da SI é discutido nas reuniões de gerenciamento do negócio 4 Gerenciado e Mensurável o planejamento estratégico da SI é uma prática padrão cujas exceções são detectadas pela Direção o planejamento estratégico da SI é uma função da Direção com nível sênior de responsabilidade a Direção é capaz de monitorar o processo de planejamento estratégico da SI tomar decisões baseadas nesse processo e medir sua efetividade os planejamentos da SI de curto e longo prazo são cascateados de cima para baixo na organização com atualizações quando necessário a estratégia da SI e a estratégia global da organização estão se tornando gradativamente mais coordenadas por abordar processos de negócio capacidades de valor agregado e alavancar o uso de aplicativos e tecnologias na reengenharia dos processos de negócios há um processo bem definido para determinar o uso dos recursos internos e externos no desenvolvimento de soluções que suportem o negócio e sua perenidade 230 UNIDADE 3 PROCESSO DE NEGÓCIO E SEGURANÇA DA INFORMAÇÃO 5 Otimizando o planejamento estratégico da SI é um processo documentado e dinâmico sempre considerado no estabelecimento dos objetivos de negócio e resulta em valor de negócio identificável por meio dos investimentos em SI as considerações de risco e o valor agregado são continuamente atualizados no processo de planejamento estratégico da SI planos realísticos de segurança de longo prazo são desenvolvidos e constantemente atualizados para refletir mudanças na tecnologia e no desenvolvimento relativos ao negócio comparações com normas confiáveis e bem conhecidas do mercado são realizadas e integradas ao processo de formulação de estratégias benchmarking o planejamento estratégico inclui uma análise de como as novas tecnologias podem criar novas capacidades de negócio e melhorar a vantagem competitiva da organização sua continuidade e resiliência FONTE Adaptado de Johnson 2012 Apêndice B O Quadro 43 traz o modelo de maturidade referente a Política de Segurança da Informação POA02 QUADRO 43 MODELO DE MATURIDADE DO POA02 MATURIDADE QUANDO 0 Não existente a organização não possui e SI da informação 1 InicialAd Hoc a organização já reconheceu que existem necessidades de SI e que a política de SI é um dos primeiros passos a ser dado existem algumas regras de segurança mas que não se configuram como uma política plena e são pontualmente aplicadas 2 Gerenciado já existem documentos que formam um conjunto de regras de SI mas sua aplicação ainda não é completa pela organização os colaboradores já possuem conhecimento sobre as questões segurança mas ainda não é formalmente a posição da diretoria assim como ainda não representa diretrizes 3 Definido a direção revisou e aprovou formalmente uma política de SI composta por diretrizes claras e objetivas os colaboradores foram devidamente informados desta política assim como passaram por um treinamento ainda não existe uma análise crítica da política de SI assim como também ainda não existem processos de monitoramento e gerenciamento de sua aplicação 4 Gerenciado e Mensurável existe um gerenciamento e monitoramento da aplicação da política de SI e de como os colaboradores a respeitam foi criada uma comissão para análise crítica da política e sua revisão é anual são gerados indicadores relacionados a aderência da política pela organização e seus terceiros 5 Otimizando o documento da política de SI é refinado constantemente por meio dos feedbacks das análises críticas a aderência a política é constantemente avaliada e desvios são rapidamente identificados avaliados a organização e seus terceiros já identificam a política de SI como uma ferramenta eficiente e eficaz que suporta os requisitos de negócio corporativos FONTE Adaptado de Johnson 2012 Apêndice B TÓPICO 3 MODELO DE MATURIDADE DOS PROCESSOS DE NEGÓCIO DA SEGURANÇA DA INFORMAÇÃO 231 No Quadro 44 é possível conhecer o modelo de maturidade do Organização Interna POA03 QUADRO 44 MODELO DE MATURIDADE DO POA03 MATURIDADE QUANDO 0 Não existente a organização ainda não possui uma organização interna específica para tratar da SI se limitando apenas ao controle da política 1 InicialAd Hoc a direção da organização já demonstra sinais de comprometimento participando esporadicamente de reuniões e tomadas de decisão a SI é executada pelo departamento de TI da organização e ainda reflete segurança de redes algumas responsabilidades são atribuídas ainda não existem acordos de confidencialidade ou de não divulgação de informações os contatos com autoridades e grupos específicos são esporádicos 2 Gerenciado a coordenação da SI organizacional ainda é executada pelo departamento de TI mas com grande apoio e comprometimento da direção responsabilidades estão mais efetivamente atribuídas mesmo que informalmente novos recursos de processamento de informações são controlados e manualmente gerenciados os acordos de confidencialidade são mantidos apenas para determinados colaboradores a coordenação de SI já participa de grupos de interesse em SI com o apoio da direção Porém uma análise crítica independente ainda não é realizada 3 Definido a direção estabeleceu um comitê de SI composto por colaboradoschave de diversas áreas da organização com o objetivo de avaliar a SI e nortear as principais atividades de segurança a serem executadas pelas equipes responsáveis todos colaboradores foram informados formalmente e assinaram o documento de políticas de segurança e o acordo de confidencialidade de informações já existe definido um processo de tratamento de incidentes que inclui o contato com autoridades específicas e grupos de interesse 4 Gerenciado e Mensurável o comitê de SI gerencia e monitora as atividades de SI definindo estratégias e ações corretivas e preventivas a direção participa ativamente do comitê a organização interna da segurança da informação já passa por uma análise crítica independente mas ainda de maneira pontual e somente quando o comitê define como necessário 5 Otimizando a SI atingiu alto grau de organização na qual as resoluções do comitê de SI são plenamente apoiadas pela direção da organização todos os colaboradores reconhecem sua participação na SI e possuem responsabilidades específicas reconhecidas e formalmente atribuídas a relação com autoridades e grupos de interesse é constante e traz para a organização experiências e casos de negócio como exemplos a análise crítica independente é realizada periodicamente e é fortemente incentivada pela direção FONTE Adaptado de Johnson 2012 Apêndice B 232 UNIDADE 3 PROCESSO DE NEGÓCIO E SEGURANÇA DA INFORMAÇÃO O Quadro 45 traz o modelo de maturidade da Organização com as Partes Externas POA04 QUADRO 45 MODELO DE MATURIDADE DO POA04 MATURIDADE QUANDO 0 Não existente a organização ainda não se sensibilizou em organizar a SI com clientes e terceiros sendo isso apenas uma atividade interna 1 InicialAd Hoc já existem algumas iniciativas em tratar a SI com partes externas mas limitandose a clientes estas iniciativas são pontuais e ocasionais não existe uma visão de risco na tratativa da SI 2 Gerenciado a organização já entende melhor as necessidades de organizar a SI com partes externas principalmente com clientes e secundariamente com os terceiros mas as ações ainda não são baseadas em uma avaliação de risco específica 3 Definido foi estabelecida uma identificação de riscos no tratamento com clientes e terceiros mas sua execução ainda é esporádica o tratamento da SI com clientes é bem definido e aplicado o tratamento da SI com os terceiros já se baseia nos acordos de serviço nível de serviço e confidencialidade 4 Gerenciado e Mensurável a identificação de riscos com partes externas é regular e monitorado as ações de SI tanto com clientes como com terceiros se tornou rotina e apresenta indicadores de aderência os terceiros são informados e treinados em relação às práticas de segurança da organização 5 Otimizando o processo de identificação de riscos no tratamento com partes externas é gerenciado pelo comitê de SI fornecendo análise crítica e avaliando os resultados e incidentes os clientes já reconhecem formalmente os procedimentos de SI assim como os terceiros FONTE Adaptado de Johnson 2012 Apêndice B O Quadro 46 traz o modelo de maturidade da Gestão de Risco POA05 TÓPICO 3 MODELO DE MATURIDADE DOS PROCESSOS DE NEGÓCIO DA SEGURANÇA DA INFORMAÇÃO 233 QUADRO 46 MODELO DE MATURIDADE DO POA05 MATURIDADE QUANDO 0 Não existente não acontece avaliação de risco para processos e decisões de negócio a organização não considera os impactos no negócio associados a vulnerabilidades da segurança e incertezas de projetos de desenvolvimento gerenciar riscos não é considerado relevante para adquirir soluções ou entregar serviços e soluções de SI 1 InicialAd Hoc os riscos de SI são considerados de forma ad hoc avaliações informais de risco de projeto são realizadas quando solicitadas em cada projeto riscos específicos relacionados a SI como segurança disponibilidade e integridade são ocasionalmente considerados nos projetos os riscos de SI que afetam o diaadia da operação são raramente discutidos em reuniões gerenciais mesmo nos locais nos quais os riscos são levantados as ações para mitigá los são inconsistentes está surgindo um entendimento de que os riscos de SI são importantes e devem ser considerados 2 Gerenciado existe uma abordagem imatura e inicial de avaliação de risco utilizada a critério de alguns colaboradores chave a gestão de risco é superficial e geralmente aplicada somente a grandes projetos ou em resposta a problemas o processo de mitigação de risco está começando a ser implementado nos lugares em que são identificados riscos 3 Definido uma política corporativa de gestão de risco define onde e como conduzir as avaliações de risco a gestão de risco segue um processo definido e documentado há treinamento em gestão de risco disponível para todo o pessoal decisões de seguir o processo de gestão de risco e receber treinamento são deixadas a critério de cada indivíduo a metodologia de avaliação de risco é convincente robusta e assegura a identificação dos riscoschave para o negócio um processo para mitigar os riscoschave é implementado após a identificação dos riscos as responsabilidades pela gestão de riscos estão definidas nas descrições de cargo 4 Gerenciado e Mensurável a avaliação e a gestão de risco são procedimentos padronizados a gestão de risco de SI é uma responsabilidade do comitê de SI o risco é avaliado e mitigado no nível de projeto e também regularmente no nível de operação de negócio o comitê de SI é avisado das mudanças no ambiente de negócios que podem afetar consideravelmente os cenários de riscos relacionados a SI o comitê de SI estabelece os níveis de risco que a organização irá tolerar a área de SI desenvolveu indicadores padrão para avaliar riscos e definir taxas de riscosretornos 5 Otimizando o gerenciamento de risco atingiu um estágio de desenvolvimento em que há um processo organizacional estruturado em vigor e bem gerenciado a captura a análise e o relato de dados de gestão de risco estão altamente automatizados a gestão de risco está totalmente integrada às operações de negócio o comitê de SI avalia continuamente as estratégias de mitigação de risco FONTE Adaptado de Johnson 2012 Apêndice B 234 UNIDADE 3 PROCESSO DE NEGÓCIO E SEGURANÇA DA INFORMAÇÃO 3 ORG SEGURANÇA ORGANIZACIONAL O processo da segurança da informação referente à segurança organizacional conforme vimos em nossos Tópicos 1 e 2 desta unidade que possuem oito processos Agora vamos trazer cada um dos modelos de maturidade correspondentes O Quadro 47 traz o modelo de maturidade ORG01 Responsabilidade pelos Ativos QUADRO 47 MODELO DE MATURIDADE DO ORG01 MATURIDADE QUANDO 0 Não existente a organização não implementou nenhum tipo de controle pelos ativos e estes são fornecidos conforme a demanda interna 1 InicialAd Hoc a organização possui o inventário sobre alguns ativos e a seleção deste é baseada somente pelo seu valor monetário e não pelo seu valor de negócio apenas alguns ativos possuem proprietário mas ainda de maneira informal 2 Gerenciado o inventário sobre todos os ativos da organização e já possuem uma descrição de uso aceitável Alguns proprietários já assinaram formalmente o termo de responsabilidade e propriedade mas ainda é de maneira seletiva 3 Definido todos os ativos possuem proprietários designados formalmente e estes receberam treinamento sobre o uso aceitável deles por mais que existam penalizações sobre o mau uso elas não são aplicadas não existem indicadores sobre os ativos e sua aquisição e manutenção é realizada sempre sobre demanda 4 Gerenciado e Mensurável os ativos são monitorados e gerenciados pela organização passando por verificações agendadas o inventário ainda não é integrado com o departamento de recursos humanos mas todos os ativos são geridos os proprietários são treinados quanto ao uso aceitável e em caso de incidentes estes são relatados e avaliados pelo comitê de SI 5 Otimizando o sistema de inventário é totalmente integrado ao sistema de recursos humanos automatizando a alocação e remoção de propriedade os usuários passam por processo constante de conscientização em relação ao uso aceitável dos ativos FONTE Adaptado de Johnson 2012 Apêndice B O Quadro 48 apresenta o modelo de maturidade do ORG02 Classificação da Informação TÓPICO 3 MODELO DE MATURIDADE DOS PROCESSOS DE NEGÓCIO DA SEGURANÇA DA INFORMAÇÃO 235 QUADRO 48 MODELO DE MATURIDADE DO ORG02 MATURIDADE QUANDO 0 Não existente a organização não possui nenhum tipo de classificação e identificação da informação a informação tem acesso irrestrito dentro da organização 1 InicialAd Hoc algumas informações já possuem um tratamento diferenciado baseado na hierarquia funcional dos colaboradores mas isso não se estende a todas as informações os critérios de acesso são dúbios e poucas vezes analisados 2 Gerenciado a organização desenvolveu uma arquitetura de informação com base em princípios de segurança as informações são de acesso restrito porém sem autenticação claramente definida 3 Definido as informações foram claramente classificadas conforme recomendações elaboradas em critérios de confidencialidade e disponibilidade os usuários foram informados e treinados no tratamento das informações desde a sua geração até a sua disposição Porém não existe um monitoramento do acesso à informação e este é realizado com base na confiança nos colaboradores 4 Gerenciado e Mensurável as recomendações de classificação são formalmente apresentadas aos colaboradores assim como estes são treinados e informados a informação já possui rótulo e seu tratamento segue os padrões definidos existe um processo automatizado para controlar o acesso à informação 5 Otimizando a organização possui sistema automatizado para o controle de acesso à informação com base no perfil individual de cada colaborador acessos indevidos são bloqueados automaticamente e notificados ao comitê de SI todo colaborador recebe treinamento e acompanhamento sobre o tratamento da informação FONTE Adaptado de Johnson 2012 Apêndice B O Quadro 49 traz o modelo de maturidade correspondente ao ORG03 Segurança em Recursos Humanos 236 UNIDADE 3 PROCESSO DE NEGÓCIO E SEGURANÇA DA INFORMAÇÃO QUADRO 49 MODELO DE MATURIDADE DO ORG03 MATURIDADE QUANDO 0 Não existente a organização não é sensibilizada sobre a SI sobre os recursos humanos assim como não implementa qualquer tipo de treinamento definição de responsabilidades ou direitos de acesso 1 InicialAd Hoc a organização já entendeu a necessidade de tratar recursos humanos como um dos itens de SI mas ainda de maneira simples e sem atingir toda a organização alguns papéis e responsabilidades são definidos mas não formalmente atribuídos não existe controle de acesso ou qualquer tipo de processo disciplinar 2 Gerenciado papéis e responsabilidades são definidos e atribuídos mas controlados com base na confiança dos colaboradores fornecedores e terceiros o processo seletivo aborda o histórico dos colaboradores que ocuparão posições sensíveis mas de forma comedida e não restritiva os colaboradores são informados mas não treinados em segurança da informação o processo disciplinar é definido mas não aplicado os direitos de acesso são removidos somente quando o departamento de recursos humanos solicita 3 Definido o processo de tratamento dos recursos humanos sobre colaboradores fornecedores e terceiros é claramente definido e aplicado a direção se posiciona sobre suas responsabilidades e a dos colaboradores treinamentos são realizados de maneira corporativa existe um controle de entrega e devolução de ativos para cada colaborador 4 Gerenciado e Mensurável o departamento de recursos humanos delega automaticamente acesso e ativos aos colaboradores fornecedores e terceiros com base no perfil papel e responsabilidade individual existe um programa constante de treinamento e reciclagem em segurança da informação o processo disciplinar é efetivo e aplicado todos os direitos de acesso são revogados automaticamente quando uma mudança ou encerramento das atividades acontece o comitê de SI acompanha os principais indicadores do processo de maneira sistemática 5 Otimizando a organização possui um sistema de gerenciamento de identidade totalmente integrado os colaboradores passam por avaliações de histórico funcional e policial o treinamento em SI é prática constante e os indivíduos que sofreram sanções disciplinares relativas à SI são reciclados quando é o caso o encerramento de atividade é sincronizado entre a área de atuação e o departamento de recursos humanos o comitê de SI possui poder de veto nas contratações acessos são monitorados e avaliados constantemente com base no perfil de cada colaborador fornecedor ou terceiro FONTE Adaptado de Johnson 2012 Apêndice B O Quadro 50 apresenta o modelo de maturidade do processo ORG04 Procedimentos e Responsabilidades Operacionais TÓPICO 3 MODELO DE MATURIDADE DOS PROCESSOS DE NEGÓCIO DA SEGURANÇA DA INFORMAÇÃO 237 QUADRO 50 MODELO DE MATURIDADE DO ORG04 MATURIDADE QUANDO 0 Não existente os procedimentos de operação são conhecidos mas não são documentados a organização não faz o controle e gestão de mudanças assim como não existe segregação de funções ou ambientes específicos para desenvolvimento e produção 1 InicialAd Hoc Quando alguns procedimentos operacionais já são documentados mas não são revisados ou atualizados a organização possui uma visão de mudanças mas sem a implantação de um controle real 2 Gerenciado todos os procedimentos operacionais evoluíram para um estágio na qual são seguidos por diferentes pessoas fazendo a mesma tarefa algumas funções foram segregadas a fim de se obter maior controle principalmente sobre mudanças e operação os ambientes de desenvolvimento e produção foram separados mas não seguem critérios rígidos de controle 3 Definido todos os procedimentos foram padronizados documentados e comunicados por meio de treinamento a gestão de mudanças foi documentada e as vezes seguida a segregação de funções é formalmente definida mas ainda com dificuldades de implantação os ambientes de desenvolvimento e produção são bem distintos 4 Gerenciado e Mensurável o comitê de SI já coordena a segregação de funções e todas as mudanças são monitoradas por ele foi incluído um ambiente exclusivo para teste entre os ambientes de desenvolvimento e produção os procedimentos operacionais são documentados treinados e monitorados 5 Otimizando os procedimentos operacionais são testados e revisados constantemente os colaboradores entendem e adotam a segregação de funções de maneira natural e se reportam com facilidade aos responsáveis diretos toda e qualquer mudança é controlada e monitorada os ambientes de desenvolvimento e testes utilizam informações devidamente alteradas para evitar vazamento de informações sensíveis e para não provocar danos no ambiente de produção FONTE Adaptado de Johnson 2012 Apêndice B O Quadro 51 traz o modelo de maturidade do processo ORG05 Troca de Informações 238 UNIDADE 3 PROCESSO DE NEGÓCIO E SEGURANÇA DA INFORMAÇÃO QUADRO 51 MODELO DE MATURIDADE DO ORG05 MATURIDADE QUANDO 0 Não existente a organização não está sensibilizada em proteger informações durante as trocas com partes externas assim como não possui qualquer tipo de proteção para as mensagens eletrônicas e sistemas de informação 1 InicialAd Hoc foram estabelecidos alguns procedimentos para a troca de informações mas são raramente seguidos não existe um acordo formal entre a organização e entidades externas no que diz respeito a troca de informações as mensagens eletrônicas são protegidas por iniciativas de apenas alguns colaboradores 2 Gerenciado a organização estabeleceu procedimentos de troca de informações mas de maneira pontual acordos de troca de informações com entidades externas são mais claros e seguidos os sistemas de informação já possuem alguns controles de acesso e proteção das informações 3 Definido a organização definiu e formalizou políticas e procedimentos de troca de informações mas não implementou nenhum tipo de gerenciamento e monitoramento os acordos de troca de informações já fazem parte dos contratos com entidades externas foram implementadas ferramentas para proteger as mensagens eletrônicas e os sistemas de informação 4 Gerenciado e Mensurável o comitê de SI monitora os contratos e acordos de trocas de informação da organização conforme as políticas definidas e treinadas já existem indicadores relacionados a proteção das mensagens eletrônicas e sistemas de informação 5 Otimizando a organização somente realiza troca de informações com entidades que entendem e praticam a política e procedimentos estabelecidos para a troca de informações inclusive com os procedimentos de monitoramento por parte da organização as ferramentas de proteção de mensagens eletrônicas e sistemas de informação estão automatizadas e são constantemente monitoradas Indicadores sobre estas ferramentas auxiliam a tomada de decisão realizada pelo comitê de SI FONTE Adaptado de Johnson 2012 Apêndice B O Quadro 52 traz o modelo de maturidade aos ORG06 Requisitos de Negócio para Controle de Acesso TÓPICO 3 MODELO DE MATURIDADE DOS PROCESSOS DE NEGÓCIO DA SEGURANÇA DA INFORMAÇÃO 239 QUADRO 52 MODELO DE MATURIDADE DO ORG06 MATURIDADE QUANDO 0 Não existente a organização não utiliza nenhum tipo de política de controle de acesso 1 InicialAd Hoc a organização já utiliza alguns critérios de controle de acesso mas de maneira pontual e apenas com a visão sistêmica 2 Gerenciado um esboço de política de acesso foi formulado os critérios de concessão de acesso já levam em conta os requisitos de negócio porém de maneira informal e sem qualquer tipo de gerenciamento 3 Definido a organização possui uma política formal de controle de acesso totalmente baseada nos requisitos de negócio e na SI os colaboradores são informados e a política é pública e bem comunicada por outro lado não existe um gerenciamento sobre como é executada ou controlada a política e quais são seus resultados 4 Gerenciado e Mensurável a política de acesso é gerenciada e monitorada pelo comitê de SI os colaboradores são formalmente comunicados e treinados em relação à política alguns indicadores de desempenho foram desenvolvidos relacionando a política e a aderência de sua aplicação 5 Otimizando a política de controle de acesso periodicamente passa por um processo de análise crítica adequando se aos requisitos de negócio os colaboradoreschave participam de maneira profunda na identificação dos requisitos de negócio e de SI e na representação destes na política de acesso FONTE Adaptado de Johnson 2012 Apêndice B O Quadro 53 traz o modelo de maturidade do processo ORG07 Responsabilidade dos Usuários QUADRO 53 MODELO DE MATURIDADE DO ORG07 MATURIDADE QUANDO 0 Não existente a organização não exige senha dos usuários e os equipamentos não possuem qualquer tipo de controle monitoramento ou gerenciamento 1 InicialAd Hoc os usuários já possuem senhas mas sem critérios definidos para seu uso e guarda os equipamentos são apenas registrados para os usuários sendo que estes possuem total autonomia sobre seu uso e disposição 2 Gerenciado já existem critérios para a definição de senhas mas seu uso depende da motivação dos usuários alguns equipamentos mais críticos são monitorados mas sem seguir um padrão 3 Definido os procedimentos de tratamento de senhas são formais e informados a todos os usuários mas ainda não existe uma ferramenta que controle isso automaticamente políticas de mesa limpa e tela limpa foram definidas e comunicadas 240 UNIDADE 3 PROCESSO DE NEGÓCIO E SEGURANÇA DA INFORMAÇÃO 4 Gerenciado e Mensurável a organização já possui uma ferramenta que inibe o mau uso de senhas forçando os usuários s seguir os critérios estabelecidos os computadores não monitorados possuem software de segurança que inibe a instalação de outros softwares ou mudança no perfil dos usuários as políticas de mesa limpa e tela limpa são formalmente treinadas e monitoradas 5 Otimizando a troca de senhas segue a política de SI da organização e todos os usuários são monitorados existem indicadores relacionados com a geração de senhas e das tentativas de utilização de senhas antigas os usuários seguem a política de mesa limpa e tela limpa passando por controles internos rígidos e que norteiam os treinamentos de conscientização FONTE Adaptado de Johnson 2012 Apêndice B O Quadro 54 traz o modelo de maturidade do processo ORG08 Requisitos de Segurança de Sistemas de Informação QUADRO 54 MODELO DE MATURIDADE DO ORG08 FONTE Adaptado de Johnson 2012 Apêndice B MATURIDADE QUANDO 0 Não existente a organização não estabelece nenhum tipo de requisito de segurança para os sistemas de informação tanto para os novos como para ou já existentes 1 InicialAd Hoc alguns requisitos de segurança já são estabelecidos mas com base na experiência dos usuários e não na operação de negócio Mesmo assim apenas em pontos específicos e que não representam uma análise cuidadosa de riscos 2 Gerenciado vários requisitos de segurança são utilizados por vários colaboradores mas de maneira intuitiva e sem controle a aquisição de novos sistemas já seguem requisitos de segurança mas sem uma formalidade definida 3 Definido os requisitos de segurança em sistemas são claramente definidos e comunicados por mais que sua aplicação não seja controlada assim como seu impacto no negócio os sistemas existentes passam por estudos de melhorias com base nos requisitos de segurança definidos 4 Gerenciado e Mensurável o comitê de SI monitora a aquisição de novos sistemas de informação buscando aderência aos requisitos de segurança definidos as melhorias nos sistemas atuais são projetadas levando em conta os requisitos alguns indicadores de aderência aos requisitos são aplicados 5 Otimizando todos os sistemas de informação respeitam os requisitos de segurança passando por análises críticas independentes e testes de penetração o comitê de SI possui controle sobre os sistemas da organização e o mapeamento de suas fragilidades TÓPICO 3 MODELO DE MATURIDADE DOS PROCESSOS DE NEGÓCIO DA SEGURANÇA DA INFORMAÇÃO 241 4 FIS SEGURANÇA FÍSICA O processo da segurança da informação referente à segurança física conforme vimos em nossos Tópicos 1 e 2 desta unidade está subdivido em dois processos Agora vamos ver os modelos de maturidade de cada um desses processos O Quadro 55 traz o modelo de maturidade referente às FIS01 Áreas Seguras QUADRO 55 MODELO DE MATURIDADE DO FIS01 FONTE Adaptado de Johnson 2012 Apêndice B MATURIDADE QUANDO 0 Não existente a organização não segmenta as áreas físicas e perímetros assim como não estabelece pontos de acesso e controle 1 InicialAd Hoc são estabelecidos perímetros físicos mas com pouco ou nenhum controle de acesso portas e portões de acesso possuem placas de avisos em relação ao acesso restrito controles de acesso são aplicados individualmente em casos específicos 2 Gerenciado os acessos externos à organização são controlados e registrados em todas as portarias e entradas porém internamente os perímetros não são definidos com clareza e os colaboradores não possuem treinamento específico sobre os procedimentos de acesso e as responsabilidades os controles de acesso a salas e instalações estão baseados na confiança pessoal por meio de chaves de portas e cofres 3 Definido todos os perímetros estão definidos e os critérios de acesso são de conhecimento de todos por meio de comunicação formal e escrita existem controles em todos os limites de perímetros responsabilidades foram definidas e atribuídas procedimentos de acesso e segurança foram estabelecidos e treinados os procedimentos não são sofisticados mas existe a formalização das práticas existentes 4 Gerenciado e Mensurável os pontos de controle de acesso são monitorados e os acessos são verificados em todas as situações existe gerenciamento sobre as atividades executadas buscando identificar falhas e suas correções os programas de treinamento são constantes e buscam a melhoria da cultura organizacional alguns dos pontos de controle utilizam ferramentas automatizadas de uma maneira limitada ou fragmentada foram criados indicadores de desempenho para avaliar os controles estabelecidos 5 Otimizando as atividades de controle são constantemente avaliadas e melhoradas assim como estão altamente aderente a norma de segurança ISOIEC 270022007 as atividades chegaram a um nível de aprimoramento que refletem as ações de monitoramento e gerenciamentos dos indicadores responsabilidades foram atribuídas e constantemente avaliadas os controles são automatizados em sua totalidade gerando indicadores específicos e complementares aos do processo a organização suporta mudanças com velocidade eficiência e eficácia O Quadro 56 traz o modelo de maturidade do processo FIS02 Segurança em Equipamentos 242 UNIDADE 3 PROCESSO DE NEGÓCIO E SEGURANÇA DA INFORMAÇÃO QUADRO 56 MODELO DE MATURIDADE DO FIS02 MATURIDADE QUANDO 0 Não existente a organização não controla os equipamentos em relação a sua segurança física e técnica não há controle do conteúdo dos equipamentos e das instalações de infraestrutura 1 InicialAd Hoc existem evidências que a organização reconheceu que existe necessidade de proteger os equipamentos de rede No entanto as atividades de proteção não fazem parte de processos definidos e são executadas conforme a experiência e disponibilidade dos colaboradores o único controle existente é a relação de equipamentos a serem protegidos e algumas das soluções aplicadas as principais ações são referentes a instalação e manutenção dos equipamentos 2 Gerenciado as ações de proteção aos equipamentos já são mais padronizadas e todos os colaboradores utilizam a mesma metodologia o treinamento dos colaboradores para a execução das tarefas é informal geralmente acompanhando um colaborador mais experiente existem instruções de trabalho que não são monitoradas e fica a cargo de cada colaborador o seu cumprimento há muita confiança no conhecimento dos indivíduos e consequentemente erros podem ocorrer além da instalação e manutenção dos equipamentos já existe a alocação de propriedade e definições de segurança para equipamentos que estejam fora das dependências da organização 3 Definido todos os procedimentos de segurança em equipamentos estão padronizados descritos e formalmente apresentados em documentos controlados cada equipamento possui formalmente um proprietário com a respectiva folha de controle preenchida e assinada Os procedimentos de segurança são formalmente treinados e registrados os desempenhos dos colaboradores a organização estabeleceu controles físicos para o cabeamento estruturado da rede lógica ainda não existe uma forma de gerenciamento e medição de desempenho do processo 4 Gerenciado e Mensurável foram desenvolvidos métodos de gerenciamento e monitoramento do processo visando a aderência entre o documentado e o executado possibilitando ações corretivas e preventivas além disso o processo passa pelo ciclo de melhoria contínua e alinhamento com a norma de segurança da informação algumas atividades conseguem ser executadas por meio de procedimentos automatizados como integração entre o Recurso Humano RH e as folhas de propriedade mas na maioria das vezes as ferramentas são utilizadas de uma maneira limitada 5 Otimizando o processo foi refinado a um nível de boas práticas internacionais baseado no resultado de um contínuo aprimoramento e modelagem da maturidade como outras organizações a segurança dos equipamentos assim como a responsabilidade pelos mesmos utiliza um caminho integrado com os sistemas de informação da organização todo colaborador é treinado em relação ao seu papel como agente de segurança tanto sobre o equipamento como sobre a infraestrutura as informações de gerenciamento apoiam assertivamente as decisões da organização de forma a uma rápida adequação quando necessário FONTE Adaptado de Johnson 2012 Apêndice B TÓPICO 3 MODELO DE MATURIDADE DOS PROCESSOS DE NEGÓCIO DA SEGURANÇA DA INFORMAÇÃO 243 5 TEC SEGURANÇA TÉCNICA O processo da segurança da informação referente à segurança técnica conforme vimos em nossos Tópicos 1 e 2 está subdivido em dezessete processos Agora vamos ver cada um dos modelos de maturidade correspondentes Pelo Quadro 57 podemos compreender o modelo de maturidade do processo TEC01 Gerenciamento de Serviços de Terceiros QUADRO 57 MODELO DE MATURIDADE DO TEC0 FONTE Adaptado de Johnson 2012 Apêndice B MATURIDADE QUANDO 0 Não existente não existe controles sobre os serviços de terceiros que estejam relacionados com as operações de negócio ou com a segurança da informação 1 InicialAd Hoc alguns serviços de terceiros são baseados em acordos de nível de serviço e em termos de confidencialidade mas mesmo assim de maneira pontual e dependente dos colaboradores internos os acordos não são monitorados assim como também não são monitoradas as mudanças sobre os serviços terceirizados 2 Gerenciado os serviços terceirizados são entregues com base em critérios informais de segurança da informação sendo que em casos bem específicos existem controles e análises do nível de serviço algumas mudanças não são permitidas sem os devidos processos de gerenciamento de mudanças 3 Definido a segurança na entrega de serviços de terceiros é definida e comunicada Além disso cláusulas de segurança são colocadas em contratos mas sem o devido gerenciamento a organização estabeleceu critérios de monitoramento nos serviços mais críticos e solicita dos terceiros relatórios de segurança o gerenciamento de mudanças é realizado de maneira simples manual e sem muita integração com os terceiros 4 Gerenciado e Mensurável existem indicadores relacionados com a entrega de serviços de terceiros buscando avaliar a segurança da informação critérios de controle de segurança são informados aos terceiros assim como é fornecido treinamento os processos de gerenciamento de mudanças são bem definidos para os terceiros e relacionado com cláusulas contratuais 5 Otimizando a entrega de serviços de terceiros é totalmente gerenciada e segue as políticas de segurança da informação da organização os acordos de segurança são monitorados e auditorias nos terceiros são acordadas e realizadas os terceiros possuem comprometimento claro com o gerenciamento de mudanças e os processos são avaliados dentro do perfil de criticidade e riscos de cada serviço 244 UNIDADE 3 PROCESSO DE NEGÓCIO E SEGURANÇA DA INFORMAÇÃO QUADRO 58 MODELO DE MATURIDADE DO TEC02 MATURIDADE QUANDO 0 Não existente A organização não faz nenhum tipo de controle sobre os sistemas e suas capacidades de operação 1 InicialAd Hoc Alguns sistemas já possuem critérios simples de aceitação mas sua aplicação é dependente do colaborador A capacidade dos sistemas é estimada em comparações com o mercado 2 Gerenciado Foram definidos procedimentos gerais para o aceite de sistemas de maneira a controlar seus testes e homologações Os colaboradores aplicam os critérios sob sua própria responsabilidade Os sistemas em produção são monitorados buscando identificar erros e falhas operacionais mas sem o objetivo de mensurar desempenho ou capacidade 3 Definido O gerenciamento de capacidade dos sistemas se tornou um processo formal definido e comunicado a todos os colaboradores pertinentes O gerenciamento e monitoração dos sistemas são realizados de maneira manual mas controlada Foram definidos critérios formais para a aceitação de sistemas tanto novos como os atualizados Os colaboradores foram treinados e seguem os procedimentos com o máximo de aderência possível 4 Gerenciado e Mensurável Os sistemas de gerenciamento e monitoração de sistemas são automatizados e fornece indicadores em tempo real Os indicadores já auxiliam na tomada de decisão por serem confiáveis e íntegros Além disso estão relacionados com os critérios de aceitação de sistemas definidos Os processos passam por análises críticas internas e com isso passam por um constante aprimoramento 5 Otimizando Os indicadores de gestão de capacidade auxiliam no planejamento estratégico de SI e no planejamento estratégico de tecnologia da informação Além disso auxiliam no ajuste dos planos de continuidade de negócios e recuperação de desastres A aceitação de sistemas é integrada com o banco de dados de configuração fornecendo informações vitais para os processos de gestão de incidentes e gestão de mudanças Análises críticas independentes acontecem periodicamente sobre a gestão de capacidade e aceitação de sistemas FONTE Adaptado de Johnson 2012 Apêndice B O Quadro 58 traz o modelo de maturidade do processo TEC02 Planejamento e Aceitação dos Sistemas TÓPICO 3 MODELO DE MATURIDADE DOS PROCESSOS DE NEGÓCIO DA SEGURANÇA DA INFORMAÇÃO 245 O Quadro 59 traz o modelo de maturidade do processo TEC03 Proteção contra Códigos Maliciosos e Códigos Móveis QUADRO 59 MODELO DE MATURIDADE DO TEC03 MATURIDADE QUANDO 0 Não existente A organização não possui qualquer tipo de controle sobre códigos maliciosos ou móveis Nem mesmo os usuários são informados ou treinados sobre o assunto 1 InicialAd Hoc A organização possui ferramentas de controles para controlar códigos maliciosos mas sua aplicação e eficácia estão associadas ao perfil dos colaboradores não possuindo controle centralizado Estas ferramentas são baseadas nas assinaturas de software Os usuários são orientados de maneira reativa em relação aos cuidados necessários para o correto tratamento de códigos maliciosos e móveis 2 Gerenciado As ferramentas de controle utilizadas para detectar códigos maliciosos e móveis são aplicadas em todos os ambientes de trabalho e com atuação e dependência indireta dos colaboradores Alguns treinamentos e ações de conscientização existem de maneira pontual e a efetividade do processo está concentrada no colaborador 3 Definido Todos os colaboradores passam por treinamentos e workshops periódicos visando conscientização sobre o tema As ferramentas de controle possuem administração centralizada As aplicações que possuem códigos móveis emitem mensagens que auxiliam os colaboradores no seu uso seguro 4 Gerenciado e Mensurável São gerados indicadores de atuação das ferramentas de controle de códigos maliciosos e móveis Os colaboradores são avaliados periodicamente sobre o uso das aplicações e seus riscos As ferramentas de controle bloqueiam os códigos desconhecidos aumentando a si 5 Otimizando O comitê de segurança da informação utiliza destes indicadores para a tomada de ações corretivas e elaboração de projetos estratégicos Os usuários possuem uma ferramenta de comunicação na qual solicitam a avaliação e liberação de códigos móveis relacionados às operações de negócio FONTE Adaptado de Johnson 2012 Apêndice B 246 UNIDADE 3 PROCESSO DE NEGÓCIO E SEGURANÇA DA INFORMAÇÃO QUADRO 60 MODELO DE MATURIDADE DO TEC04 MATURIDADE QUANDO 0 Não existente A organização não possui qualquer tipo de preocupação com cópias de segurança seja das informações ou dos softwares aplicativos utilizados 1 InicialAd Hoc Algumas cópias de informações são realizadas pontualmente por colaboradores sem com testes ou controles mais detalhados Os softwares aplicativos são armazenados de maneira simples sem controle de versão 2 Gerenciado Os colaboradores estão mais sensibilizados em criar e manter cópias de segurança das informações de negócios mas as ações não possuem procedimentos formais As informações são armazenadas em um ambiente específico para este fim 3 Definido A organização assumiu a responsabilidade de criar e manter cópias de segurança das informações de negócio e estabeleceu procedimentos padrão para isso Não existem indicadores de sucessofalha das cópias e os procedimentos não são automatizados 4 Gerenciado e Mensurável A organização já possui um sistema automatizado para a realização das cópias de segurança Testes periódicos são executados para avaliar a integridade e validade das cópias Cópias de software aplicativos são mantidas em cofres assim como suas respectivas licenças de uso Os usuários são treinados para identificar falhas e alterações nas cópias de segurança 5 Otimizando O comitê de SI avalia regularmente os resultados e indicadores do sistema de cópias de segurança As informações servem de base para toma de decisão estratégica e tática no que diz respeito a criar manter e testar as cópias de segurança Os procedimentos de retorno das cópias são eficiente e atendem aos requisitos de segurança requeridos pelo negócio FONTE Adaptado de Johnson 2012 Apêndice B O Quadro 60 traz o modelo de maturidade correspondente as TEC04 Cópias de Segurança TÓPICO 3 MODELO DE MATURIDADE DOS PROCESSOS DE NEGÓCIO DA SEGURANÇA DA INFORMAÇÃO 247 O Quadro 61 traz o modelo de maturidade do processo TEC05 Gerenciamento da Segurança em Redes QUADRO 61 MODELO DE MATURIDADE DO TEC05 MATURIDADE QUANDO 0 Não existente A organização não possui controles de segurança para a rede local e nem para os serviços de rede disponíveis 1 InicialAd Hoc A rede já possui alguns controles de segurança mas estão limitados a pontos específicos e são de operação da administração de redes da organização Os serviços de rede não possuem monitoramento e não fazem parte de nenhum acordo de serviço 2 Gerenciado Os controles de segurança de redes são aplicados pela gerência de redes de maneira de maneira organizada mas não possuem a formalização de um processo Alguns serviços de rede já possuem requisitos de disponibilidade e segurança mas seu monitoramento é manual e pontual 3 Definido Os controles de segurança de redes foram definidos e formalmente informados Eles possuem procedimentos operacionais claros e objetivos O monitoramento ainda é pontual e não apresenta indicadores precisos Os serviços de rede já possuem acordos definidos mas não necessariamente aplicados 4 Gerenciado e Mensurável A gerência de rede monitora e gera indicadores relacionados a segurança de rede As ferramentas de controles são automatizadas e geram informações para a tomada de decisão Os acordos de nível de serviço são formais e controlados 5 Otimizando A segurança de redes passa por avaliações independentes periodicamente utilizando ferramentas de avaliação e testes próprias Os acordos de nível de serviços são monitorados e as eventuais não conformidades são analisadas e avaliadas FONTE Adaptado de Johnson 2012 Apêndice B 248 UNIDADE 3 PROCESSO DE NEGÓCIO E SEGURANÇA DA INFORMAÇÃO QUADRO 62 MODELO DE MATURIDADE DO TEC06 MATURIDADE QUANDO 0 Não existente Não existe nenhum tipo de tratamento para as mídias na organização seja para mídias móveis como para mídias de cópias de segurança A organização não é sensível a divulgação de informações não autorizada 1 InicialAd Hoc Já existe uma preocupação com a documentação dos sistemas de informação mas de maneira pontual e dependente da sensibilidade dos colaboradores A organização utiliza mídias removíveis sem controle específico e as mídias para descarte são destruídas de forma simples e não confiável A organização já está se sensibilizando com o tratamento da informação e suas mídias de transporte 2 Gerenciado Vários procedimentos para o descarte de mídias estão sendo aplicados seguindo uma mesma lógica O uso de mídias removíveis é controlado de maneira simples e mais focado no risco de infecção por vírus que por divulgação de informações Já existem tutoriais de conscientização para o tratamento da informação 3 Definido A organização possui procedimentos formais de tratamento de mídias removíveis e todos os colaboradores são devidamente informados conscientizados e treinados O processo de descarte de mídias está definido e é aplicado por uma área responsável na organização O tratamento da informação se tornou uma preocupação contínua na organização sendo que as documentações de sistemas de informação são devidamente armazenadas e seu uso é controlado 4 Gerenciado e Mensurável A organização já possui indicadores do uso de mídias removíveis quando autorizadas assim como o descarte de mídias é controlado e gerenciado Controles de acesso a documentos de sistemas são automatizados e exigem autorização explícita para acesso 5 Otimizando A maioria dos computadores da organização não suportam mídias móveis e os que suportam são de acesso limitado e mediante autorização eletrônica O descarte de mídias já é um processo automatizado monitorado e controlado no qual são gerados indicadores de descarte e testes de informação residuais FONTE Adaptado de Johnson 2012 Apêndice B O Quadro 62 traz o modelo de maturidade do processo TEC06 Manuseio de Mídias TÓPICO 3 MODELO DE MATURIDADE DOS PROCESSOS DE NEGÓCIO DA SEGURANÇA DA INFORMAÇÃO 249 O Quadro 63 traz o modelo de maturidade do processo TEC07 Serviços de Comércio Eletrônico QUADRO 63 MODELO DE MATURIDADE DO TEC07 MATURIDADE QUANDO 0 Não existente A organização não possui qualquer iniciativa de comércio eletrônico suas transações online são baseadas em controles externos e as informações publicamente disponíveis não são monitoradas 1 InicialAd Hoc As iniciativas de comércio eletrônico são poucas e limitadas a emissão e visualização de pedidos As transações online são executadas com fornecedores que possuem sistemas de segurança aprimorados e internamente não requerem ações da organização As informações públicas são controladas de maneira simples ocasional e com grande dependência dos colaboradores 2 Gerenciado A organização estabeleceu procedimentos para as iniciativas de comércio eletrônico tanto do ponto de vista de cliente como do ponto de vista de fornecedor Estes procedimentos são aplicados sob a responsabilidade individual de cada colaborador Existem rotinas para preparação e tratamento de informações publicamente disponíveis buscando organizálas e proteger a imagem da organização 3 Definido Procedimentos de uso e aplicação de comércio eletrônico foram padronizados documentados e comunicados por meio de treinamento Os colaboradores foram conscientizados dos riscos e ameaças existentes e das formas de segurança disponíveis Todas as transações online executadas seguem padrões de requisitos mínimos de segurança estabelecidos pelo comitê de segurança da informação A publicação de informações é controlada e deve seguir o processo definido para este fim 4 Gerenciado e Mensurável O comitê de SI já recebe indicadores de desempenho e de segurança das transações de comércio eletrônico que agiliza a análise de riscos e a definição de novas arquiteturas de segurança A organização implementou um sistema automatizado para a publicação de informações disponíveis com base nos conceitos de gerenciamento de conteúdo 5 Otimizando Os sistemas de comércio eletrônico seguem as melhores práticas internacionais e são monitorados e gerenciados com eficiência Os indicadores são automatizados e alertas eletrônicos são emitidos em caso de detecção de não conformidades Os sistemas de gerenciamento de conteúdo são integrados com o perfil dos colaboradores e totalmente automatizados FONTE Adaptado de Johnson 2012 Apêndice B 250 UNIDADE 3 PROCESSO DE NEGÓCIO E SEGURANÇA DA INFORMAÇÃO QUADRO 64 MODELO DE MATURIDADE DO TEC08 MATURIDADE QUANDO 0 Não existente A organização não possui qualquer tipo de controle sobre os registros de usuários e seus privilégios em sistemas As senhas ficam a critério dos usuários e não há análise crítica sobre estas questões 1 InicialAd Hoc Alguns controles mínimos sobre a criação de usuários foram criados mas sob responsabilidade de aplicação dos colaboradores Os privilégios são fornecidos com base na solicitação inicial de criação e não são monitorados Os usuários possuem um controle de senha mínimo com base apenas no tempo de vida da senha 2 Gerenciado Os procedimentos de registro de usuários evoluíram para um patamar nos quais são seguidas as mesmas rotinas O gerenciamento dos privilégios ainda é com base nas solicitações mas são alterados mediante pedidos formais Análises das críticas em pontos mais sensíveis são aplicadas em períodos não regulares 3 Definido A organização definiu procedimentos padrão para o registro de usuários e o gerenciamento de seus privilégios Os procedimentos são manuais e foram comunicados e treinados soa usuários pertinentes Foi criada uma política para a geração de senhas e os colaboradores foram sensibilizados a respeito disso 4 Gerenciado e Mensurável O processo de registro de usuários e geração de senhas e privilégios é monitorado e passa por análises críticas internas A organização implantou um sistema de gerenciamento de identidade a fim de automatizar as atividades 5 Otimizando O gerenciamento de identidade é integrado com o departamento de recursos humanos e toda e qualquer alteração de perfil do usuário é registrada monitorada e autorizada na organização Indicadores fornecem informações para o comitê de si que associados aos resultados das análises críticas independentes apoiam a toma de decisão estratégica em si FONTE Adaptado de Johnson 2012 Apêndice B O Quadro 64 traz o modelo de maturidade do processo TEC08 Gerenciamento de Acesso do Usuário TÓPICO 3 MODELO DE MATURIDADE DOS PROCESSOS DE NEGÓCIO DA SEGURANÇA DA INFORMAÇÃO 251 O Quadro 65 traz o modelo de maturidade do processo TEC09 Controle de Acesso à Rede QUADRO 65 MODELO DE MATURIDADE DO TEC09 MATURIDADE QUANDO 0 Não existente A organização não possui qualquer tipo de política de uso dos serviços de rede assim como qualquer tipo de controle para acesso e conexão à rede e serviços de rede 1 InicialAd Hoc Alguns serviços de rede já possuem procedimentos próprios para acesso mas não fazem parte de uma política estruturada A rede não é segregada e os equipamentos ainda não possuem proteção em suas portas de manutenção suporte e diagnóstico mas eles são identificados seguindo um padrão definido 2 Gerenciado Já existem vários procedimentos de controle de acesso à rede assim como usuários por conexão remota são identificados e autenticados A identificação dos equipamentos em redes é padronizada e suas portas de configuração e diagnóstico são protegidas Uma iniciativa de segregação de redes já existe mas ainda não é efetiva e é dependente dos colaboradores Ainda não existe uma política de acesso à rede mas o conjunto de procedimento já compõe um modelo para esta política 3 Definido Uma política de acesso a rede é definida comunicada e reconhecida pelos usuários A autenticação para utilizar os recursos de rede é obrigatória mas não é monitorada A segregação de redes é aplicada mas não monitorada ou gerenciada Não existem indicadores de gerenciamento Os procedimentos de identificação dos equipamentos e as rotinas de proteção física e lógica das portas de configuração e diagnóstico é amplamente treinada pelos colaboradores pertinentes 4 Gerenciado e Mensurável A organização já possui sistemas automatizados para autenticar usuários e monitora o acesso as redes e serviços Indicadores de desempenho e acesso são gerados provendo informações de capacidade e segurança da informação A segregação de redes é efetiva e controlada A organização possui um inventário automático dos equipamentos de rede e suas configurações A equipe de suporte gerencia o acesso aos equipamentos de maneira centralizada e monitorada 5 Otimizando O comitê de SI monitora as ações de acesso a rede por meio de relatórios de testes de penetração e dos indicadores dos sistemas automatizados Análises críticas independentes são realizadas periodicamente visando identificar não conformidades nos controles e avaliar a sua efetividade em relação a política de acesso à rede FONTE Adaptado de Johnson 2012 Apêndice B 252 UNIDADE 3 PROCESSO DE NEGÓCIO E SEGURANÇA DA INFORMAÇÃO QUADRO 66 MODELO DE MATURIDADE DO TEC10 MATURIDADE QUANDO 0 Não existente A organização não possui qualquer tipo de controle para o acesso aos sistemas operacionais sendo que os usuários utilizam identificações genéricas e senhas compartilhadas 1 InicialAd Hoc Alguns sistemas operacionais já exigem identificação única e senhas para acesso mas ainda de maneira limitada e sem um gerenciamento de identidade adequado A criação das senhas é de responsabilidade dos colaboradores que podem acessar a qualquer tempo os sistemas 2 Gerenciado A organização já possui procedimentos de acesso aos sistemas mais formalizados na qual cada usuário possui sua própria identificação Existem recomendações para que a geração de senhas seja mais segura mas não existe um sistema que avalie e teste as senhas dos colaboradores Algumas aplicações possuem controle de tempo de inatividade de sessão mas não limita o horário da conexão 3 Definido Os colaboradores possuem um acesso seguro ao sistema operacional e este procedimento é definido comunicado e treinado O sistema de autenticação é simples mas eficiente não havendo duas autenticações iguais As senhas seguem um padrão formalizado pela organização controlado pelo sistema de autenticação Horários de acesso aos sistema são definidos mas não são monitorados 4 Gerenciado e Mensurável A organização integrou o sistema de acesso ao sistema com o gerenciamento de identidade na qual é gerenciada a senha e a autenticação dos colaboradores O sistema de gerenciamento de identidade é limitado ao procedimento de entrado no sistema logon Já existem alguns indicadores de desempenho e de integridade das políticas de segurança de senha e de tentativas de acesso fora de horário 5 Otimizando O sistema de gerenciamento de identidade controla todo acesso ao sistema operacional e as aplicações de maneira automatizada Existem controles específicos para sessões inativas e para os horários de conexão Análises independentes externas são realizadas periodicamente a fim de validar as políticas e a eficácia dos controles FONTE Adaptado de Johnson 2012 Apêndice B O Quadro 66 traz o modelo de maturidade do processo TEC10 Controle de Acesso ao Sistema Operacional TÓPICO 3 MODELO DE MATURIDADE DOS PROCESSOS DE NEGÓCIO DA SEGURANÇA DA INFORMAÇÃO 253 O Quadro 67 traz o modelo de maturidade do processo TEC11 Controle de Aceso a Aplicação e a Informação QUADRO 67 MODELO DE MATURIDADE DO TEC11 MATURIDADE QUANDO 0 Não existente Não existem definidas nenhuma restrição ou controle de acesso às informações ou às funções dos sistemas de aplicações da organização 1 InicialAd Hoc Foram definidas algumas restrições de acesso à informação mas de maneira simples e superficial Os principais sistemas da organização e seus dados sensíveis compartilham o mesmo ambiente computacional dos demais serviços de rede com poucos controles de acesso eficientes 2 Gerenciado A organização se preocupa com o acesso à informação e estabeleceu alguns procedimentos mais detalhados relacionados a restringir acesso Alguns sistemas já possuem controle de acesso Iniciativas de se isolar serviços já são identificadas mas ainda de maneira rudimentar 3 Definido Todos os sistemas e aplicações são alocados em uma área isolada e segregada aumentando assim a restrição de acesso aos mesmos Procedimentos foram padronizados documentados e comunicados por meio de treinamento Existe monitoramento pontual sobre algumas aplicações A informação é encarada como ativo da organização e procedimentos e restrições de acesso foram definidos 4 Gerenciado e Mensurável A SI e o acesso à informação são iniciativas organizadas definidas e gerenciadas pela organização Os sistemas foram segregados e seu ambiente é monitorado e gerenciado Indicadores precisos relacionados as restrições e tentativas de acessos não autorizados são gerados 5 Otimizando O controle de acesso e as restrições relacionadas a ele são gerenciados por aplicações automatizadas e integradas ao gerenciamento de identidade O ambiente das aplicações é segregado e possui sistemas automatizados de prevenção e detecção de intrusão Alertas são gerados automaticamente e incidentes são reportados ao comitê de segurança da informação FONTE Adaptado de Johnson 2012 Apêndice B 254 UNIDADE 3 PROCESSO DE NEGÓCIO E SEGURANÇA DA INFORMAÇÃO QUADRO 68 MODELO DE MATURIDADE DO TEC12 MATURIDADE QUANDO 0 Não existente A organização não demonstra preocupação ou está sensibilizada com os riscos inerentes ao uso da computação móveis ou acessos via conexões remotas 1 InicialAd Hoc Já existem alguns controles relacionados ao trabalho remoto principalmente no que diz respeito a autenticação dos usuários mas estes controles ainda são manuais e rudimentares A comunicação móvel é controlada por meio de algoritmos comuns de criptografia mas visando apenas proteger a rede de acessos indevidos e não com foco na proteção da informação 2 Gerenciado Procedimentos mais detalhados e complexos para o trabalho remoto foram desenvolvidos mas os controles são sensíveis às habilidades dos colaboradores e podem sofrer alterações não autorizadas O trabalho com dispositivos móveis pelos colaboradores são limitados a apenas alguns recursos mas não existe monitoramento ou controle mais detalhado 3 Definido Os procedimentos de trabalho remoto foram formalmente definidos comunicados e treinados Somente colaboradores autorizados acessam aplicações específicas O monitoramento é limitado a autenticação dos usuários A computação móvel é segregada dos demais ambientes e procedimentos de conexão são definidos e controlados 4 Gerenciado e Mensurável A organização gerencia e monitora todos os acessos remotos e possui ferramentas de prevenção e detecção de invasões A autenticação dos usuários remotos é integrada com o gerenciamento de identidade da organização A computação móvel é monitorada e também possui ferramentas de prevenção e detecção de invasão Existem indicadores de acesso remoto origemdestinousuário 5 Otimizando Os acessos remotos e móveis são controlados pelo gerenciamento de identidade limitando horários de conexão e finalizando sessões inativas Indicadores de eventos de não conformidade são gerados e processados para análises do comitê de si Testes de penetração e análises independentes são realizadas periodicamente FONTE Adaptado de Johnson 2012 Apêndice B O Quadro 68 traz o modelo de maturidade do processo TEC12 Computação Móvel e Trabalho Remoto TÓPICO 3 MODELO DE MATURIDADE DOS PROCESSOS DE NEGÓCIO DA SEGURANÇA DA INFORMAÇÃO 255 O Quadro 69 traz o modelo de maturidade do processo TEC13 Processamento Correto nas Aplicações QUADRO 69 MODELO DE MATURIDADE DO TEC13 MATURIDADE QUANDO 0 Não existente a organização não controla qualitativamente as informações processadas nos sistemas de informação por meio de controles específicos assim como não determina a necessidade de análise das informações inseridas ou obtidas dos sistemas 1 InicialAd Hoc a organização possui preocupação com a entrada de dados nos sistemas de informação mas fica a critério de cada gestor de sistema o controle destes dados os sistemas passam por testes de Quality Assurance QA quando solicitados pelas áreas usuárias 2 Gerenciado os dados processados nas aplicações são periodicamente avaliados mas os critérios de avaliação variam de acordo com o gestor responsável alguns sistemas possuem controles mais específicos para prevenir a modificação de dados não autorizada as equipes de QA buscam aplicar os mesmos critérios de avaliação qualitativa das informações processadas no sistemas assim como buscam a padronização dos dados de entrada 3 Definido existe uma equipe de Quality Assurance QA responsável pelo controle das aplicações e as informações por elas geradas esta equipe definiu processos para avaliar e controlar tanto a entrada como a saída de informações dos sistemas de informação Além disso existem controles intermediários para a avaliar as informações durante seu ciclo de processamento os processos são executados de maneira manual sem apoio de ferramentas os indicadores são claros mas exigem grande esforço para sua geração 4 Gerenciado e Mensurável os processos de controle das informações e QA são gerenciados de maneira mais eficiente fazendo parte da visão e estratégia corporativa os indicadores são controlados e reportados periodicamente fazendo parte das metas das equipes de QA já existem controles automatizados aplicados nas interfaces dos sistemas 5 Otimizando os processos foram refinados a um nível nos quais a aderência a normas e boas práticas é muito grande assim como são aplicadas soluções de melhoria contínua como PDCA existem automatizações de alto nível que monitoram em tempo real as aplicações e geram alertas específicos quando desvios são identificados a gerência da organização utiliza os indicadores com alto grau de confiança para a tomada de decisões FONTE Adaptado de Johnson 2012 Apêndice B 256 UNIDADE 3 PROCESSO DE NEGÓCIO E SEGURANÇA DA INFORMAÇÃO O Quadro 70 traz o modelo de maturidade do processos TEC14 Controles Criptográficos QUADRO 70 MODELO DE MATURIDADE DO TEC14 MATURIDADE QUANDO 0 Não existente a organização não utiliza controles criptográficos seja por falta de conhecimento cultura ou mesmo interesse estes controles não são vistos como necessários 1 InicialAd Hoc a organização identificou a necessidade de utilizar controles criptográficos mas de maneira muito pontual e principalmente a critério de cada indivíduo as iniciativas são muito mais de caráter pessoal que institucional 2 Gerenciado a criptografia teve seu uso aumentado dentro da organização que reconheceu a necessidade de padronizar as iniciativas os usuários utilizam os controles criptográficos de maneira semelhante mas não existe uma preocupação em relação ao gerenciamento das chaves criptográficas o armazenamento das chaves é realizado por cada indivíduo que determina como fazêlo 3 Definido a organização definiu um processo específico para a utilização de controles criptográficos junto com este processo foi elaborada e publicada uma política de uso para os controles os colaboradores são aculturados da necessidade de segurança da informação e como os controles criptográficos podem auxiliar neste sentido os procedimentos foram padronizados documentados e comunicados por meio de treinamento a guarda das chaves é centralizada pela organização que fornece o apoio necessário e suficiente para o uso adequado de criptografia 4 Gerenciado e Mensurável a utilização de controles criptográficos é intensa sendo base para muitas das aplicações da organização os usuários são treinados e reciclados com periodicidade e passam por avaliações sistêmicas foram gerados indicadores do uso dos controles e da aderência que os sistemas e procedimentos reais possuem com as normas e políticas de SI da organização as chaves são gerenciadas de maneira manual mas com eficiência suficiente para suportar as necessidades da organização o uso dos controles é monitorado manualmente sempre respeitando e observando a política definida 5 Otimizando a organização encara os controles criptográficos como uma forte ferramenta de segurança da informação seu uso é incentivado e controlado de maneira consistente existem indicadores fortes relacionados ao uso de criptografia e como ela é gerenciada na organização os sistemas de informação e acessos em geral são baseados em criptografia conforme a política de uso da organização existe um monitoramento automático e geração de alertas e bloqueios relacionados aos canais criptografados FONTE Adaptado de Johnson 2012 Apêndice B TÓPICO 3 MODELO DE MATURIDADE DOS PROCESSOS DE NEGÓCIO DA SEGURANÇA DA INFORMAÇÃO 257 O Quadro 71 traz o modelo de maturidade do processo TEC15 Segurança nos Arquivos de Sistema QUADRO 71 MODELO DE MATURIDADE DO TEC15 MATURIDADE QUANDO 0 Não existente a organização não reconhece a necessidade de controlar o acesso ao sistema operacional ou qualquer outro tipo de controle sobre software e informações 1 InicialAd Hoc existem alguns controles relacionados a instalação de softwares homologados mas são caracterizados por apenas for ter suporte interno as aplicações são testadas com cópias dos banco de dados de produção no ambiente de teste 2 Gerenciado as iniciativas de controle abrangem quase todos os computadores da organização mas os controles ainda são baseados na confiança no usuário os ambientes de testes são segregados mas ainda utilizam cópias integrais das informações de produção os códigos fontes de aplicações sistemas operacionais e aplicativos em gerais são armazenados de maneira conjunta 3 Definido a área de tecnologia da informação adotou procedimentos padronizados para a instalação de softwares e consegue por meio de controles específicos inibir a instalação de softwares não homologados o ambiente de teste é mais segregado com as informações de teste ainda sendo uma imagem integral do ambiente de produção existem controles definidos para a armazenagem de códigos fonte tanto de aplicações como de sistemas operacionais 4 Gerenciado e Mensurável os controles de detecção de softwares não homologados são aplicados gerando alertas para a equipe de suporte e monitoração os usuários precisam solicitar formalmente a instalação de aplicações e outros softwares o ambiente de teste utiliza informações previamente selecionadas para testes a fim de proteger dados sensíveis o gerenciamento do processo é reativo aos alertas 5 Otimizando o processo de instalação de softwares possui forte alinhamento com o Cumprimento de Requisições do ITIL existem indicadores consistentes sobre as solicitações de instalação de softwares as equipes de teste realizam as atividades com informações adequadamente preparadas e que refletem o perfil das informações de produção a guarda de códigos fontes é realizada em cofres específicos e seu controle e monitoramento é realizado por meio de chamados Cumprimento de Requisições FONTE Adaptado de Johnson 2012 Apêndice B 258 UNIDADE 3 PROCESSO DE NEGÓCIO E SEGURANÇA DA INFORMAÇÃO O Quadro 72 traz o modelo de maturidade do processo TEC16 Segurança em Processos de Desenvolvimento e de Suporte QUADRO 72 MODELO DE MATURIDADE DO TEC16 MATURIDADE QUANDO 0 Não existente Não existe um tratamento para as mudanças de software A organização não desenvolve softwares e o suporte as aplicações são realizadas de maneira emergencial sem documentação ou controle 1 InicialAd Hoc A organização se preocupa em manter os sistemas operacionais atualizados seguindo as orientações gerais dos seus fornecedores sendo na maioria das vezes executadas as atualizações automáticas O desenvolvimento de software existe e as mudanças são realizadas quando solicitadas Não existem controles sobre as mudanças nem documentação sobre elas A organização se preocupa com o vazamento de informações somente no que diz respeito a conscientização Serviços de terceiros não são formalmente controlados 2 Gerenciado As mudanças em sistemas operacionais seguem um padrão que é a maneira pela qual a tecnologia de informação realiza suas atividades mas ainda depende muito de cada colaborador seguir os procedimentos Foram aplicados formulários de solicitações de mudanças nos sistemas a fim de documentar as mudanças Terceiros são contratados para desenvolver aplicações e são controlados pelas equipes de desenvolvimento ou seus gestores mas o controle se restringe ao uso de recursos principalmente financeiros 3 Definido Existe um processo de desenvolvimento de software formalizado com um controle sobre mudanças mais efetivo e restritivo Já existe implantado o conceito de requisições de mudanças request for changes rfc Os sistemas operacionais são atualizados conforme as necessidades e sempre com base em testes em ambientes específicos A si no desenvolvimento tanto para equipes internas quanto para terceiros é baseado em termos de não divulgação not disclosure agreement nda 4 Gerenciado e Mensurável As mudanças sofrem revisões pósimplementações que medem a aderência e efetividade das mudanças assim como são medidos os incidentes relacionados a mudanças malsucedidas No ambiente de desenvolvimento são utilizadas apenas informações previamente preparadas a fim evitar o vazamento de informações sensíveis Os sistemas operacionais são monitorados e controlados de maneira proativa gerando alertas sobre falhas e erros Indicadores de mudanças foram implantados e constantemente avaliados 5 Otimizando Os processos foram refinados a um nível de boas práticas tomando como base o ITIL gerenciamento de mudanças A SI de teste e homologação é baseada em dados devidamente preparados para este fim As mudanças emergenciais precisam de aprovação e testes de vários níveis A gerência possui uma visão consolidada sobre o desenvolvimento de software e seus impactos nas mudanças solicitadas FONTE Adaptado de Johnson 2012 Apêndice B TÓPICO 3 MODELO DE MATURIDADE DOS PROCESSOS DE NEGÓCIO DA SEGURANÇA DA INFORMAÇÃO 259 O Quadro 73 traz o modelo de maturidade do processo TEC17 Gestão de Vulnerabilidades Técnicas QUADRO 73 MODELO DE MATURIDADE DO TEC17 MATURIDADE QUANDO 0 Não existente a organização não possui iniciativas relacionadas a gestão de vulnerabilidades técnicas dos sistemas de informação 1 InicialAd Hoc a organização identificou a necessidade de tratar algumas vulnerabilidades devido a incidentes mas este tratamento é baseado na percepção dos colaboradores responsáveis muitas vulnerabilidades existentes são tratadas e aceitas como bugs de sistemas 2 Gerenciado as vulnerabilidades possuem um procedimento de tratamento definido mas sua identificação ainda é pontual e depende da percepção dos colaboradores informativos dos fornecedores são consultados a fim de obter mais informações sobre erros falhas e vulnerabilidades 3 Definido o procedimento de análise de vulnerabilidades é formal as equipes seguem padrões de identificação e tratamento A gestão de vulnerabilidades é incipiente e não existem indicadores consolidados treinamentos e workshops de conscientização são realizados buscando a criação da cultura em relação as vulnerabilidades 4 Gerenciado e Mensurável a gestão de vulnerabilidades é mais estruturada indicadores periódicos são analisados e decisões de controles e remediação são tomadas com base neles os sistemas possuem tratamento de vulnerabilidades e sua identificação é apoiada pela percepção dos usuários finais 5 Otimizando o processo está bem definido e seguido as equipes de desenvolvimento utilizam pacotes de análise de vulnerabilidades já durante a especificação e desenvolvimento de sistemas a gestão é proativa indicadores compõe o dashboard dos gerentes e as vulnerabilidades são avaliadas junto a outras iniciativas como mudanças e incidentes o monitoramento é baseado em ferramentas automatizadas como IPS IDS e ações corretivas são avaliadas aplicadas e documentadas FONTE Adaptado de Johnson 2012 Apêndice B 260 UNIDADE 3 PROCESSO DE NEGÓCIO E SEGURANÇA DA INFORMAÇÃO 6 GES GESTÃO DA SEGURANÇA O processo da segurança da informação referente à segurança técnica conforme vimos em nosso Tópico 1 está subdivido em sete processos Agora vamos ver cada um dos modelos de maturidade correspondente à gestão da segurança O Quadro 74 traz o modelo de maturidade do processo GES01 Notificação de Fragilidades e Eventos de Segurança da Informação QUADRO 74 MODELO DE MATURIDADE DO GES01 MATURIDADE QUANDO 0 Não existente Organização não se preocupa em comunicar os incidentes de segurança da informação assim como os colaboradores não são preparados para identificálos 1 InicialAd Hoc Os eventos de segurança da informação são relatados como incidentes ou falhas de tecnologia da informação A gestão da empresa não tem como diferenciar entre segurança de redes e segurança da informação As iniciativas de conscientização dizem respeito somente a políticas de segurança simples 2 Gerenciado Já existe uma diferenciação para classificar um incidente de segurança da informação e com isso foram propostos certos tipos de notificações para a gerência da organização Os usuários recebem instruções e orientações sobre os riscos e incidentes de si Os incidentes de segurança são tratados de maneira priorizada 3 Definido A política de segurança da informação orienta a organização no escalonamento e reporte de incidentes Os colaboradores possuem um canal formal para notificar incidentes e vulnerabilidades As equipes de resposta a incidentes são especificamente treinadas e possui acesso a gerência da organização Os processos e procedimentos são definidos mas sem automatizações ou medidas 4 Gerenciado e Mensurável São gerados indicadores de incidentes de segurança da informação e reportados a gerência periodicamente A monitoração sobre recursos críticos de ti é proativa Os colaboradores recebem treinamento detalhado sobre a identificação e notificação de vulnerabilidades 5 Otimizando A tomada de decisão corporativa leva em consideração os históricos de incidentes de segurança da informação e acompanham o tema dentro do contexto de gerenciamento As equipes possuem especialistas em assuntos específicos como rh redes suporte legislação e auditoria Os colaboradores possuem ferramentas automatizadas para relatar vulnerabilidades e outras ações que julguem de riscos para a organização FONTE Adaptado de Johnson 2012 Apêndice B TÓPICO 3 MODELO DE MATURIDADE DOS PROCESSOS DE NEGÓCIO DA SEGURANÇA DA INFORMAÇÃO 261 O Quadro 75 traz o modelo de maturidade do processo GES02 Gestão de Incidentes de Segurança da Informação e Melhorias QUADRO 75 MODELO DE MATURIDADE DO GES02 MATURIDADE QUANDO 0 Não existente A organização não possui ações específicas sobre os incidentes de segurança da informação assim como não consegue alocar responsabilidades ou definir a necessidade de investigação ou auto aprendizado 1 InicialAd Hoc A SI é incipiente e apenas algumas responsabilidades podem ser alocadas Os usuários seguem políticas simples mas que não estão totalmente formalizadas nos procedimentos de execução Os incidentes são tratados apenas com a visão corretiva sem a preocupação em melhoria ou adequação Não existe a preocupação com a coleta de evidências 2 Gerenciado Existem procedimentos definidos para o tratamento da segurança da informação mas que são seguidos casualmente e sem controles específicos Os incidentes são revisados buscando levar a uma base de conhecimento A coleta de evidências acontece somente quando existe uma motivação mais forte ou que possa servir como proteção a organização 3 Definido Procedimentos foram padronizados e documentados Responsabilidades são formalmente atribuídas Os colaboradores assinam os termos de responsabilidade e assumem o conhecimento sobre as políticas penalizações e procedimentos Os incidentes possuem tratamento diferenciado e alimentam uma base de conhecimento formal A coleta de evidências é executada para algumas categorias de incidentes independente da motivação da organização 4 Gerenciado e Mensurável Os incidentes de segurança da informação são acompanhados por meio de indicadores que também reportam quais os grupos de colaboradores mais ativos no tema A base de conhecimento acelera a resolução de incidentes e apoia a predição de eventos O gerenciamento de si monitora pontualmente alguns tipos de incidentes principalmente os de alto risco a continuidade da organização 5 Otimizando O monitoramento de incidentes é ativo disparando gatilhos de ações gerenciais A coleta de evidências é padrão para certas categorias de incidentes e são utilizadas em conjunto com as responsabilidades para ações adequadas judiciais ou não A gestão de si está alinhada com a gestão organizacional FONTE Adaptado de Johnson 2012 Apêndice B 262 UNIDADE 3 PROCESSO DE NEGÓCIO E SEGURANÇA DA INFORMAÇÃO O Quadro 76 traz o modelo de maturidade do processo GES03 Monitoramento de Atividades QUADRO 76 MODELO DE MATURIDADE DO GES03 MATURIDADE QUANDO 0 Não existente a organização não organiza ou realiza os registros de atividades de usuários sistemas não há iniciativa de registros nem mesmo para fins de auditoria 1 InicialAd Hoc algumas das atividades dos sistemas são sistematicamente registradas mas não existe análise ou mesmo controle sobre os registros os sistemas não estão temporalmente sincronizados os registros criados servem apenas para verificação quando possível de incidentes de pouca gravidade 2 Gerenciado o monitoramento dos sistemas é mais eficiente mas os registros dependem dos analistas responsáveis e são armazenados de maneira semelhante mas com fins diferentes os processos de auditoria são apenas superficiais e não um controle externo relacionado aos registros já existe a preocupação da sincronização dos relógios dos sistemas mas não é de forma estruturada e confiável 3 Definido foram definidos procedimentos para o registro de atividades e principalmente para seu armazenamento não existem análises periódicas dos registros mas quando realizadas conseguem se mostrar efetivas e utilizáveis 4 Gerenciado e Mensurável a monitoração dos sistemas é parte integrante de atividades rotineiras os sistemas possuem seus relógios sincronizados e auditorias acontecem em períodos definidos indicadores de ocorrências são gerados e reportados a gerência da organização a análise dos registros é reativa a eventos mas abrangente e objetiva 5 Otimizando a monitoração é proativa e os registros são constantemente analisados alertas são gerados automaticamente e ações de análises e correções quando necessários são ágeis e eficientes o gerenciamento de incidentes e problemas ITIL é suportado pelas atividades de gerenciamento indicadores de desempenho dos sistemas são constantemente avaliados dando suporte a capacidade de processamento da organização a SI utiliza o monitoramento como ferramenta de predição e detecção de eventos ativamente FONTE Adaptado de Johnson 2012 Apêndice B TÓPICO 3 MODELO DE MATURIDADE DOS PROCESSOS DE NEGÓCIO DA SEGURANÇA DA INFORMAÇÃO 263 O Quadro 77 traz o modelo de maturidade do processo GES04 Aspectos da Gestão da Continuidade de Negócios em Segurança QUADRO 77 MODELO DE MATURIDADE DO GES04 MATURIDADE QUANDO 0 Não existente A organização não está sensibilizada com o processo de continuidade de negócios Não existe uma visão de continuidade apenas de contingência backup 1 InicialAd Hoc Já existe uma visão de continuidade de negócios mas a organização não possui estrutura técnica e organizacional para possuir planos As iniciativas existentes são pontuais e levam em consideração necessidades individuais 2 Gerenciado As ações de continuidade de negócios atendem requisitos de tecnologia da informação mas não se estendem a organização como um todo Os planos desenvolvidos possuem caráter de plano de continuidade de serviços de ti pcsti Ainda existem poucas iniciativas de testes sendo mais pontuais do que gerais A continuidade continua sendo um assunto de ti 3 Definido A continuidade de negócios foi estendida a toda organização As pessoas já estão conscientizadas da necessidade da continuidade e o que ela significa Os planos de continuidade avaliam os riscos de ti e alguns riscos organizacionais e desastres Treinamentos e testes já são realizados mas ainda não de forma periódica A manutenção do plano está focada em manter os ativos de ti em conformidade Existe uma aderência muito forte ao processo ds4 do cobit 4 Gerenciado e Mensurável A continuidade já é um assunto tratado na gerência da organização A tecnologia da informação é a principal área do plano mas ele já está alinhado com as expectativas e ações de continuidade de outras áreas como rh e financeiro Existem indicadores de continuidade e constantemente são reportados a gerência atividades previstas nos planos como testes e o versionamento 5 Otimizando Os procedimentos e monitoração foram automatizados gerando alertas de falhas e ativando gatilhos de tomada de decisão A continuidade é tratada diariamente dentro da organização e seus indicadores estão relacionados à disponibilidade das operações de negócio A organização sofre auditorias relacionadas a continuidade e as evidências demonstram forte aderência as boas práticas internacionais A si está diretamente relacionada com as iniciativas de continuidade de negócios FONTE Adaptado de Johnson 2012 Apêndice B 264 UNIDADE 3 PROCESSO DE NEGÓCIO E SEGURANÇA DA INFORMAÇÃO O Quadro 78 traz o modelo de maturidade do processo GES05 Conformidade com Requisitos Legais QUADRO 78 MODELO DE MATURIDADE DO GES05 MATURIDADE QUANDO 0 Não existente Não existe a preocupação por parte da organização relacionada a conformidade com requisitos legais como normas estatutos leis regulamentações ou contratos no que diz respeito a SI 1 InicialAd Hoc A organização desenvolveu controles de conformidade que abrange principalmente contratos com terceiros e clientes Algumas iniciativas de proteção de informações pessoais já são aplicadas de ainda de maneira pontual 2 Gerenciado Os processos e controles relacionados a contratos e legislação em vigor evoluíram ao ponto de toda a organização consultar o departo jurídico sobre o assunto As informações pessoais ainda não são devidamente protegidas e vazamentos de informações podem ocorrer Os recursos de processamento de informação são monitorados e seu uso é controlado pelas equipes de tecnologia da informação A organização faz campanhas contra pirataria de software e direitos intelectuais 3 Definido A organização definiu e publicou políticas relacionadas a conformidade com leis regulamentações e contratos Os colaboradores foram devidamente informados dos procedimentos a serem executados O uso de recursos computacionais é fortemente monitorado e as informações sensíveis de clientes e fornecedores é protegida e de acesso restrito 4 Gerenciado e Mensurável Controles e monitorações são realizados sobre as informações pessoais Indicadores mostram a aderência da organização no atendimento a normas e a conformidade com auditorias relacionadas a normas regulamentações e leis A gerência monitora e mede a aderência aos procedimentos e adota ações nas quais os processos parecem não estar funcionando muito bem Alguns processos de controle já demanda a necessidade de automação 5 Otimizando Existe um forte controle nos sistemas de informação em relação ao acesso a informações sensíveis como dados pessoais Além disso a monitoração é proativa no que diz respeito a etapas de processos e atendimento a normas e regulamentações O gerenciamento de conformidade é realizado por uma equipe dedicada e apoiada por empresas externas de consultoria Auditorias independentes são executadas periodicamente a fim de avaliar os controles e sua eficiência FONTE Adaptado de Johnson 2012 Apêndice B TÓPICO 3 MODELO DE MATURIDADE DOS PROCESSOS DE NEGÓCIO DA SEGURANÇA DA INFORMAÇÃO 265 O Quadro 79 traz o modelo de maturidade do processo GES06 Conformidade com Normas Políticas de Segurança da Informação e Conformidade Técnica QUADRO 79 MODELO DE MATURIDADE DO GES06 MATURIDADE QUANDO 0 Não existente a organização não possui definidas normas eou políticas de SI que exijam dos sistemas conformidade 1 InicialAd Hoc alguns sistemas de informação possuem procedimentos básicos de segurança da informação e estes procedimentos seguem especificações de normas e regulamentos internos mesmo assim os procedimentos não são verificados eou auditados os responsáveis pelos sistemas não reportam ou medem a aderência as normas internas aos seus gestores 2 Gerenciado os gestores da organização já se preocupam que os sistemas sigam as normas e políticas de segurança da informação mas ainda de maneira pontual e com critérios individuais os procedimentos de auditoria interna apenas verificam se existem políticas e normas e não necessariamente a efetividade de sua aplicação 3 Definido a organização possui procedimentos padronizados para a aplicação de normas e políticas de segurança nestes procedimentos estão inclusas as questões de auditoria mas mesmo assim a periodicidade definida não é seguida e depende da necessidade de cada sistema os gerentes de sistemas são formalmente responsabilizados pelas questões de segurança da informação 4 Gerenciado e Mensurável os sistemas de informação possuem auditorias periódicas que são aprovadas e homologadas pelos gestores responsáveis a aderência a normas e políticas internas é avaliada nas auditorias e desvios são formalmente reportados a alta direção da organização existe um calendário geral de auditoria e requisitos a serem atendidos 5 Otimizando o processo de auditoria nos sistemas é baseado em ferramentas automatizadas que reportam não conformidades e geram incidentes de segurança da informação automaticamente os gerentes possuem indicadores do grau de aderência dos sistemas as normas e políticas internas que são reavaliados a cada mudança autorizada O calendário de auditoria é seguido e reportado a alta gerência da organização FONTE Adaptado de Johnson 2012 Apêndice B 266 UNIDADE 3 PROCESSO DE NEGÓCIO E SEGURANÇA DA INFORMAÇÃO O Quadro 80 traz o modelo de maturidade do processo GES07 Considerações quanto à Auditoria de Sistemas de Informação QUADRO 80 MODELO DE MATURIDADE DO GES07 MATURIDADE QUANDO 0 Não existente Não existe um processo de auditoria ou controles de auditoria implementados nos sistemas de informação 1 InicialAd Hoc A organização possui alguns controles de auditoria nos sistemas de informação mas baseados apenas no controle de acesso as aplicação e não em trilhas de auditorias As ferramentas de auditoria são básicas e dependem muito da habilidade dos gestores de sistemas para seu uso correto 2 Gerenciado Os sistemas de informação passam por processos de auditorias mas a coleta de evidências é baseada em solicitações pontuais e na maioria das vezes se restringe a controle e perfil de acesso aos sistemas Existem ferramentas de auditorias que são aplicadas em alguns sistemas e seu uso e acesso é de responsabilidade da equipe de segurança da informação da organização 3 Definido Os sistemas de informação geram informações de auditoria de maneira padronizada seguindo os requisitos de auditoria estabelecidos A cada novo requisito é realizada uma análise de impacto para não oferecer risco de interrupção dos sistemas de negócio As ferramentas de auditoria geram informações completas mas que não são analisadas constantemente pelas equipes de segurança Existem iniciativas de indicadores pontuais relacionados as poucas análises realizadas 4 Gerenciado e Mensurável A gerência monitora e mede a aderência aos procedimentos de auditoria aos trilhões de auditoria colocados nos sistemas As informações de auditoria são analisadas constantemente e existem indicadores formais de aderência aos requisitos de auditoria As ferramentas de auditoria são de uso restrito as equipes de si e equipes de auditoria interna 5 Otimizando Alertas automatizados são gerados quando as ferramentas de auditoria detectam não conformidades nos sistemas de informação Estes alertas são comunicados as gerências de sistemas e de segurança da informação Os indicadores são refinados a um nível de boas práticas As ferramentas de auditoria possuem acesso restrito que também é auditado FONTE Adaptado de Johnson 2012 Apêndice B Neste tópico estudamos de forma detalhada os estágios de maturidade dos processos de segurança de informação Qual a vantagem de sabermos o estágio de maturidade do processo de segurança da informação As organizações podem otimizar a melhoria de seus processos e consequentemente diminuir os seus riscos Agora vamos conferir a leitura complementar referente ao processo de tratamento de incidentes da segurança da informação TÓPICO 3 MODELO DE MATURIDADE DOS PROCESSOS DE NEGÓCIO DA SEGURANÇA DA INFORMAÇÃO 267 LEITURA COMPLEMENTAR Adaptado de Diretoria de Segurança da Informação e Governança 2018 PROCESSO DE TRATAMENTO DE INCIDENTES DA SEGURANÇA DA INFORMAÇÃO As ações apresentadas neste plano abrangem o serviço referente ao tratamento de incidentes da segurança da informação no intuito de atender as necessidades de segurança da informação de toda a comunidade acadêmica de uma universidade Definese como incidente de segurança conforme descrito na 05IN01DSICGSIPR qualquer evento adverso confirmado ou sob suspeita relacionado à segurança dos sistemas de computação ou das redes de computadores Os incidentes da segurança da informação podem ser reportados a SegTIC por meio de seus canais de comunicação A equipe trabalha em regime 24 x 7 no qual faz atendimento local no horário das 800 às 1700 de segunda a sextafeira e ainda se mantém de plantão fora do horário de serviço Esse plano tem por objetivo apresentar de forma sistêmica o processo de Tratamento de Incidentes da Segurança da Informação executado pela SegTIC Estão representados os macroprocessos da SegTic com detalhamento do processo de Tratamento de Incidentes da Segurança da Informação bem como a descrição de suas atividades Para o mapeamento do referido processo foi utilizada a notação Business Processo Modeling Notation BPMN por ser de fácil entendimento e amplamente difundida no âmbito global Os diagramas foram confeccionados por meio da ferramenta Bizagi por atender o padrão BPMN Acadêmico para que possa entender esta aplicação de processo de negócio veja o quadro a seguir que preparamos para você CONCEITO E DEFINIÇÃO TERMO CONCEITO E DEFINIÇÃO BOT Código malicioso o qual permite que o atacante controle remotamente o computador ou dispositivo que hospeda CAIS Centro de Atendimento à Incidentes de Segurança da Informação COR Centro de Operações de Rede DefaceBot Algoritmo executado para monitoramento de possíveis ataques de desfiguração de sites da universidade DdoS Distributed Denial of Service ou Incidente de Segurança da Informação capaz de degradar ou indisponibilizar sistemas redes ou serviços Ethos Equipe de Treinamento Holístico Orientado a Segurança IP Protocolo da internet Internet Protocol Log Arquivo que contém registros de eventos de um sistema de informação 268 UNIDADE 3 PROCESSO DE NEGÓCIO E SEGURANÇA DA INFORMAÇÃO OSTicket Sistema de gestão de ticket de código aberto Ransomware Código malicioso que torna inacessível os dados armazenados em um equipamento Responsável Técnico Pessoa qualificada em TI que possa prestar suporte ao tratamento do incidente de segurança da informação RNP Rede Nacional de Ensino e Pesquisa SGIS Sistema de Gerenciamento de Incidentes de Segurança do CAISRNP TeemIP Sistema de Gerenciamento de endereços de IP de código aberto TROTI Time de Resposta Orientação e Tratamento de Incidentes Vulnerabilidade É qualquer fragilidade dos sistemas computacionais e redes de computadores que permitam a exploração maliciosa e acessos indesejáveis ou não autorizados FONTE Diretoria de Segurança da Informação e Governança 2018 p 56 O processo de tratamento de incidentes da segurança da informação tem o objetivo de atender aos incidentes de segurança da informação detectados e pode se iniciar de três maneiras distintas por meio do recebimento de um alerta disparado pelo sistema DefaceBot que monitora as páginas eletrônicas com o objetivo de detectar possíveis ataques de desfiguração com a abertura de um chamado pelo sistema OSTicket ou ainda por meio de preenchimento de formulário padrão na página eletrônica da SegTic duas vezes ao dia é realizado um mapeamento das vulnerabilidades das unidades podendo ser realizado mais vezes ao dia por meio de solicitação do sistema SGIS A figura A a seguir traz o macro processo a Erro Fonte de referência não encontrada A segunda figura traz o processo referente ao tratamento de incidentes da segurança da informação e em seguida apresentamos um quadro em que são descritas as atividades dos processos de segurança ilustrados nas referidas figuras TÓPICO 3 MODELO DE MATURIDADE DOS PROCESSOS DE NEGÓCIO DA SEGURANÇA DA INFORMAÇÃO 269 FIGURA A MACROPROCESSO DA SIGTEC FONTE Diretoria de Segurança da Informação e Governança 2018 p 6 270 UNIDADE 3 PROCESSO DE NEGÓCIO E SEGURANÇA DA INFORMAÇÃO FIGURA B TRATAMENTO DE INCIDENTES DA SEGURANÇA DA INFORMAÇÃO FONTE Diretoria de Segurança da Informação e Governança 2018 p 7 TÓPICO 3 MODELO DE MATURIDADE DOS PROCESSOS DE NEGÓCIO DA SEGURANÇA DA INFORMAÇÃO 271 QUADRO DESCRIÇÃO DAS ATIVIDADES DO PROCESSO DA SEGUNDA FIGURA B Atividades Descrição Recebe o chamado do OSTicket e inicia o atendimento Além dos chamados abertos pelos usuários da UFRJ o sistema da RNP SGIS envia chamados por email e este abre chamados automaticamente para serem atendidos pelo TROTI Quando o chamado for referente ao atendimento a um incidente Verifica se o chamado é considerado um caso grave Entendese como casos graves Bot DDos e Servidor Invadido A busca pelo Responsável Técnico é feita por telefone ou email caso não consiga identificar o TROTI verifica no sistema TeemIP Se ainda assim o Responsável Técnico não for identificado é solicitado a unidade a qual pertence o IP referente a notificação para que identifique o Responsável Técnico Se ainda assim o Responsável Técnico não for identificado o TROTI solicita a COR por meio de email a sua identificação No momento em que o Responsável Técnico é notificado o TROTI envia material tutorial para solução do chamado Verifica se Responsável Técnico resolveu o chamado na sua totalidade Em alguns casos o bloqueio não é realizado imediatamente o TROTI disponibiliza mais um tempo para o Responsável Técnico responder Ultrapassando o limite desta prorrogação o Responsável Técnico é bloqueado Encaminhado para o processo de Tratamento quando a notificação não é solucionada pelo Responsável Técnico O sistema OSTicket é atualizado com informações pertinentes ao chamado para a Equipe de atendimento Em caso de incidente identificado como grave o TROTI confecciona um tutorial e a Diretoria Segtic publica na página da SegTic A Ethos produz o material para o alerta imagem texto tutorial vídeo A Ethos publica na página eletrônica o material produzido Este processo tem por objetivo normalizar a rede de computadores após a detecção de um incidente de segurança da informação Atender Chamado Realizar Triagem Identificar Responsável Técnico Notificar Responsável Técnico Validar Solução do Responsável Técnico Bloquear IP de Origem Atualizar Chamado Confeccionar Tutorial Realizar Alerta Publicar na página eletrônica Tratamento FONTE Diretoria de Segurança da Informação e Governança 2018 p 89 272 UNIDADE 3 PROCESSO DE NEGÓCIO E SEGURANÇA DA INFORMAÇÃO Outro fluxo é o processo de Tratamento que tem o objetivo de tratar os incidentes de segurança da informação detectados A próxima figura traz o fluxo deste processo em seguida apresentamos o quadro com a descrição das atividades correspondentes do tratamento a ser realizado TRATAMENTO FONTE Diretoria de Segurança da Informação e Governança 2018 p 10 QUADRO DE DESCRIÇÃO DAS ATIVIDADES DO PROCESSO DA FIGURA A FONTE Elaborado de Diretoria de Segurança da Informação e Governança 2018 p 10 FONTE Adaptado de DIRETORIA DE SEGURANÇA DA INFORMAÇÃO E GOVERNANÇA Plano de Gestão de Incidentes de Segurança da Informação Rio de Janeiro 2018 Disponível em httpswwwsecurityufrjbrcategorydocumentos Acesso em 26 jun 2020 Atividades Descrição Primeiramente verificase o tipo de incidente vírus Ramsoware Invasão Também se verifica o Sistema Operacional Avalia qual a melhor solução para o incidente Identifica qual o melhor horário para executar a solução para não realizar escaneamento ou testes nos horários de pico Avalia a importância dos dados para realização de formatação da máquina caso necessário Possíveis soluções desabilitar serviços vulneráveis Formatar máquina Restaurar Backup Atualizar Software Sistema Operacional aplicação Avaliar Chamado Identificar Solução Aplicar Solução 273 RESUMO DO TÓPICO 3 Neste tópico você aprendeu que O modelo de maturidade descreve estágios de maturidade auxiliando as organizações a otimizar a melhoria de seus processos e tendo como objetivo diminuir riscos Maturidade é a noção do grau de qualidade com o qual um processo atinge um resultado esperado O Capability Maturity Model Integration CMMI é um modelo de maturidade de referência que possui duas representações contínua e por estágios A representação contínua do modelo de maturidade tem foco nos níveis de capacidade A representação por estágios do modelo de maturidade tem foco nos níveis de maturidade São cinco os níveis de maturidade sendo eles 1Inicial 2Gerenciado 3Definido 4Gerenciado e Mensurável e 5Otimizando No nível 1Inicial os processos são vistos como imprevisíveis e reativos Este é o pior estágio em que uma organização pode se encontrar devido ser um ambiente imprevisível que aumenta o risco e a ineficiência No nível 2Gerenciado existe um nível de gerenciamento que é alcançado Neste nível os projetos chegam a ser planejados executados medidos e controlados contudo existem muitos problemas a serem abordados No nível 3Definido as organizações são mais proativas que reativas Existe um conjunto de padrões em toda organização para prover orientação em projetos programas e portfólios Neste estágio as organizações compreendem suas deficiências como solucionálas e qual é o objetivo da melhoria No nível 4Gerenciado e Mensurável também conhecido como Quantitativamente Gerenciado Este estágio é mais medido e controlado A organização está trabalhando com dados quantitativos para determinar processos previsíveis que se alinham às necessidades das partes interessadas No nível 4Gerenciado e Mensurável os negócios estão à frente dos riscos com mais insights orientados por dados sobre as deficiências do processo 274 Ficou alguma dúvida Construímos uma trilha de aprendizagem pensando em facilitar sua compreensão Acesse o QR Code que levará ao AVA e veja as novidades que preparamos para seu estudo CHAMADA No nível 5Otimizando os processos são estáveis e flexíveis Neste estágio a organização está em constante estado de melhoria respondendo as mudanças e oportunidades Bot é um código malicioso permitindo que o atacante controle remotamente o computador ou dispositivo que hospeda Distributed Denial of Service é capaz de degradar ou indisponibilizar sistemas redes ou serviços Log é um arquivo que contém registros de eventos de um sistema de informação Ransomware é um código malicioso que torna inacessível os dados armazenados em um equipamento Vulnerabilidade é qualquer fragilidade dos sistemas computacionais e redes de computadores que permitam a exploração maliciosa e acessos indesejáveis ou não autorizados Incidente de Segurança da informação é qualquer evento adverso confirmado ou sob suspeita relacionado à segurança dos sistemas de computação ou das redes de computadores 275 O modelo de maturidade descreve estágios de maturidade auxiliando as organizações a otimizar a melhoria de seus processos e tendo como objetivo diminuir riscos Podemos dizer que a maturidade é a noção do grau de qualidade com o qual um processo atinge um resultado esperado O nível de maturidade pode ser 0 Não existente 1Inicial 2 Gerenciado 3 Definido 4 Gerenciado e Mensurável ou 5 Otimizando Nesse sentido analise os processos que serão colocados e indique a sua maturidade 1 Quando a necessidade de um planejamento estratégico da SI é conhecida pela Direção da organização o planejamento da SI é realizado caso a caso em resposta a um requisito específico de negócio o planejamento estratégico da SI é ocasionalmente discutido nas reuniões da Direção o alinhamento de requisitos de negócio aplicações e tecnologia ocorre de forma reativa ao invés de seguir uma estratégia corporativa a posição estratégica de risco é identificada informalmente projeto a projeto Em qual nível de maturidade se encontra este POA01 Planejamento Estratégico da Segurança da Informação a 0Não Existente b 1Inicial c 2Gerenciado d 3Definido e 4Gerenciado e Mensurável f 5Otimizando 2 Quando a direção revisou e aprovou formalmente uma política de SI composta por diretrizes claras e objetivas os colaboradores foram devidamente informados desta política assim como passaram por um treinamento ainda não existe uma análise crítica da política de SI assim como também ainda não existem processos de monitoramento e gerenciamento de sua aplicação Em qual nível de maturidade se encontra esse processo POA02 Política de Segurança da Informação a 0Não Existente b 1Inicial c 2Gerenciado d 3Definido e 4Gerenciado e Mensurável f 5Otimizando AUTOATIVIDADE 276 3 Quando o sistema de inventário é totalmente integrado ao sistema de recursos humanos automatizando a alocação e remoção de propriedade os usuários passam por processo constante de conscientização em relação ao uso aceitável dos ativos Em qual nível de maturidade se encontra este processo ORG01 Responsabilidade pelos Ativos a 0Não Existente b 1Inicial c 2Gerenciado d 3Definido e 4Gerenciado e Mensurável f 5Otimizando 4 Quando a organização já possui uma ferramenta que inibe o mau uso de senhas forçando os usuários s seguir os critérios estabelecidos os computadores não monitorados possuem software de segurança que inibe a instalação de outros softwares ou mudança no perfil dos usuários as políticas de mesa limpa e tela limpa são formalmente treinadas e monitoradas Em qual nível de maturidade se encontra este processo ORG07 Responsabilidade dos Usuários a 0Não Existente b 1Inicial c 2Gerenciado d 3Definido e 4Gerenciado e Mensurável f 5Otimizando 5 Quando a organização possui sistema automatizado para o controle de acesso à informação com base no perfil individual de cada colaborador acessos indevidos são bloqueados automaticamente e notificados ao comitê de SI todo colaborador recebe treinamento e acompanhamento sobre o tratamento da informação Em qual nível de maturidade se encontra este processo ORG02 Classificação da Informação a 0Não Existente b 1Inicial c 2Gerenciado d 3Definido e 4Gerenciado e Mensurável f 5Otimizando 277 REFERÊNCIAS ABNT ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS ABNT ABNT NBR ISOIEC 270022013 Tecnologia da informação Técnicas de segurança Código de prática para a gestão da segurança da informação Rio de Janeiro 2013 APQC APQC Process Classification Framework PCF Cross Industry PDF Version 721 set 2019 Disponível em httpswwwapqcorgresourcelibrary resourcelistingapqcprocessclassificationframeworkpcfcrossindustry excel7 Acesso em 23 jun 2020 CABRAL C CAPRINO W Trilhas em segurança da informação caminhos e ideias para a proteção de dados Brasport 2015 p 497 CAMPOS A L N Modelagem de Processos com BPMN 2 ed Brasport 2014 p 2066 CAMPOS A L N Modelagem de Processos com BPMN 2 ed Brasport 2014 p 212 CORREA R M Gerenciamento de incidentes o que é e como fazer 2018 Disponível em httpswwweuaxcombr201811gerenciamentodeincidentes Acesso em 27 jun 2020 CORREIA J GIOVANI G Manual BPMN 20 Simplificado Business Process Model and Notation EBook Kindle 2020 p 885 DIRETORIA DE SEGURANÇA DA INFORMAÇÃO E GOVERNANÇA Plano de Gestão de Incidentes de Segurança da Informação Rio de Janeiro 2018 Disponível em httpswwwsecurityufrjbrcategorydocumentos Acesso em 26 jun 2020 DHILLON G SYED R PEDRON C Interpreting information security Culture an organizational transformation case study Computers Security v 56 p 6369 2016 FLORA F D TOLFO C A gestão de processos de negócio como ferramenta de apoio na gestão da segurança da informação Revista GEINTECGestão Inovação e Tecnologias v 6 n 1 p 27562770 2016 GOMES L Mais um editor BPMN free Modelador do Bonita BPM iProcess 2017 Disponível em httpsblogiprocesscombr201707modeladordobonita bpm Acesso em 08 jun 2020 278 FERREIRA K Saiba o que é SSH Secure Shell e para que serve esse protocolo 2020 Disponível em httpsrockcontentcomblog sshtextSSH20C3A920uma20sigla2C20ouoferecido20 pelos20serviC3A7os20de20hospedagem Acesso em 25 jun 2020 HARMON P Business Process Change 4th Edition Morgan Kaufmann 2019 p 534 HINTZBERGEN et al Fundamentos de Segurança da Informação com base na ISO 27001 e na ISO 27002 Brasport 2018 p 414 JOHNSON L Proposta de uma Estrutura de Análise de Maturidade dos Processos de Segurança da Informação com Base na Norma ABNT NBR ISO IEC 270022005 Programa de PósGraduação em Ciência Gestão e Tecnologia da Informação do Setor de Ciências Sociais Aplicadas Dissertação de Mestrado Universidade Federal do Paraná 2012 p 190 KIRCHOF E BPMN em exemplos aprenda a desenhar processos de negócio no modelador Bizagi Egon Kirchof 2015 p 154 MARKETING LECOM As melhores ferramentas para você desenhar processos da sua empresa Two Digital 2019 Disponível em httpswww lecomcombrblogferramentasparadesenharprocessos Acesso em 8 jun 2020 MOONSTARINC N BPMN 20 HandBook a complete guide to Business Process Model Notation Moonstarinc 2017 p 101 NAZARETH D L CHOI J A system dynamics model for information security management Information Management v 52 n 1 p 123134 2015 PORTAL ISO2700 A segurança da informação sob a ótica da gestão por processos 2016 Disponível em httpwwwiso27000combrindexphp sitemaparticles98asegurancadainformacaosobaoticadagestaopor processos Acesso em 23 jun 2020 PORTAL ISO2700 Ciclo de Vida de um Incidente 201 Disponível em http wwwiso27000combrindexphpsitemaparticles78ciclodevidadeum incidente Acesso em 27 jun 2020 SEGPLAN Manual de modelagem de processos com Bizagi Modeler Secretaria de Estado de Gestão e Planejamento SEGPLAN 2014 p 64 SGANDERLA K 7 Ferramentas gratuitas para criar diagramas de processos com BPMN iProcess 2016 Disponível em httpsblogiprocesscom br2016097ferramentasgratuitasparacriardiagramasdeprocessoscom bpmn Acesso em 8 jun 2020