Analise De Segurança

ANÁLISE COMPARATIVA DE RISCOS EM SEGURANÇA DA INFORMAÇÃO

DE UM ERP DE UMA INDÚSTRIA FARMACÊUTICA

AGRADECIMENTO

Ao nosso orientador Prof. Sérgio Ricardo de Magalhães Souza por sua atenção e

paciência na condução das orientações, e ao Prof. Luciano Ramalho pelas especiais

contribuições quanto à formatação, dúvidas e expectativas referentes a este

trabalho.

Às nossas companheiras, familiares e amigos pessoais pelo apoio, incentivo e

companheirismo.

À empresa e profissionais que nos proporcionaram conteúdo para a realização do

trabalho.

Àqueles que, mesmo não citados aqui, estão cientes que de forma direta ou indireta

tiveram participação para que este estudo se efetivasse.

RESUMO

Um Sistema Integrado de Gestão Empresarial (ERP) é uma forma de agrupar dados

e processos de uma empresa em um único sistema de informação. Possui muitos

componentes, de hardware e software, e utiliza um banco de dados unificado para

armazenar e disponibilizar informações para diversos setores e níveis de tomada de

decisão de uma organização. Por este motivo, a alta disponibilidade de um sistema

tão crítico torna-se importante e significativamente necessária para a saúde

financeira e o eficiente funcionamento das atividades e operações de negócio. Para

garantir esta alta disponibilidade é necessário conhecer e mensurar os riscos que

possam afetá-la, o que pode ser feito através de modelos de análise de riscos. O

objetivo deste estudo é efetuar análise crítico-comparativa entre dois modelos, de

mercado, de análise de riscos, com enfoque sobre riscos cujas naturezas possam

afetar a disponibilidade, integridade e confidencialidade das informações contidas

em um ERP, utilizando para isto a metodologia de estudo de caso com propósito

exploratório. Como objeto foi utilizado uma indústria do setor farmacêutico, cujos

riscos mais relevantes de seu ERP foram mapeados por meio de levantamentos e

analisados sob os enfoques do Gerenciamento de Riscos constante no capítulo 11

do PMBOK® e da Análise de Impacto nos Negócios do Plano de Continuidade dos

Negócios (BIA/BCP). A comparação entre estes modelos mostrou, enquanto

resultado e hiato mais expressivo, a existência de uma variável importante para

avaliação da dimensão do impacto financeiro provocado pela indisponibilidade do

ERP: a tendência no tempo.

ABSTRACT

An Enterprise Resource Planning (ERP) is a way to join corporation’s data and

process into only one information system. It has many components, of hardware and

software, and uses a unified database to store and distribute information through

different organization’s sectors and decision’s levels. For this reason, the high

availability and imperfection’s immunity of a so critical system become extremely

necessary for the financial health and the efficient activities functioning and business’

operations. To ensure this high availability is necessary to know and measure the

risks that may affect it, what can be done using risks' analysis models. The objective

of this study is to perform a critical and comparative analysis between two market

risks' analysis models, focusing on risks whose nature could affect the availability,

integrity and confidentiality of the information contained in an ERP, using the study

case methodology with exploratory purpose. A pharmaceutical industry was used as

object, whose most relevant ERP risks were mapped by surveys and analyzed based

on the approaches of Risks' Management constant in PMBOK®'s chapter 11 and the

Business Impact Analisys of Business Continuity Plan (BCP/BIA). The comparison

between these models has shown, as a result and most significant gap, the existence

of an important variable for assessing the size of the financial impact caused by the

ERP's unavailability: the trend over time.

Keywords: risks, information, ERP.

LISTA DE FIGURAS

Figura 1 - Modelo PDCA aplicado para processos ISMS (Information Security

Management System) ...............................................................................................

...