VV II II SS EE MM EE AA DD EE SS TT UU DD OO DD EE CC AA SS OO PP OO LL ÍÍ TT II CC AA GG EE SS TT ÃÃ OO TT EE CC NN OO LL ÓÓ GG II CC AA

A SEGURANÇA DOS SISTEMAS DE INFORMAÇÃO E SEU REFLEXO NO COTIDIANO DO “CONTAS A PAGAR”: ESTUDO DE CASO NA EMPRESA XYZ

AUTORES:

Flavio José de Oliveira Santos, Fabio de Souza Fiqueredo, Luilson Souza Gomes e Rodrigo Vendramini, graduandos em Administração – Gestão em Sistemas de Informação da FTS – Faculdade Taboão da Serra. E-mail: flaviosantos@uol.com.br; fabio_chester@yahoo.com.br; luilson@fortknox.com.br; rdg_vendramini@ig.com.br;

Orientadora: Liana Caron Nazareth Peçanha, mestre em Administração de Empresas pela Universidade Presbiteriana Mackenzie, profª da FTS – Faculdade Taboão da Serra, e-mail: l.pecanha@fts.com.br

Endereço: Rodovia Régis Bittencourt, 199, Taboão da Serra – SP – CEP 06768-001. Fone: 4788-7978.

RESUMO

Com a evolução da microinformática e das inovações tecnológicas, as organizações passaram, cada vez mais, a investir em tecnologias que permitem gerar grandes ganhos de produtividade atrelados à redução de custos com mão-de-obra.

Essa mudança na forma de gestão dos processos levou às organizações as facilidades de trabalhar com sistemas informatizados que desburocratizam várias rotinas dentro da administração, além de facilitar o acesso a informações que, em muitos casos, só seriam conseguidas após o levantamento de vários documentos para a compilação de um relatório.

Através de pesquisa qualitativa de natureza exploratória, foi realizado um estudo de caso em empresa de grande porte, onde foram aplicadas duas entrevistas em profundidade com colaboradores do “contas a pagar”. Detectou-se que a falta de investimento em segurança de dados gera custos maiores no cotidiano deste departamento. Isto mostra que as facilidades propiciadas pelos sistemas de informação devem ser acompanhadas de políticas de manutenção dos mesmos, para que uma organização não sofra de solução de continuidade no caso de não poder operar seus sistemas por um determinado período em razão de problemas que fujam ao seu controle.

Palavras-chaves: Sistemas de Informação; segurança de dados.

2

A Segurança dos Sistemas de Informação e seu Reflexo no Cotidiano do “Contas a Pagar”: estudo de caso na empresa XYZ

1. INTRODUÇÃO

A segurança dos sistemas de informação pode ser considerada, nos dias de hoje, como um processo imprescindível dentro da organização, sendo decisiva em determinadas situações que necessitem a contingência de situações inesperadas do ponto de vista organizacional.

Esta segurança deve ser encarada como um processo permanente e de constante evolução, requerendo adaptações às mudanças que trazem, tanto de comportamentos funcionais assim como na infra-estrutura física e tecnológica da empresa.

Até pouco tempo, eram raras as instituições que se preocupavam em implementar segurança em suas redes e sistemas de informação. Mas a publicidade criada em torno dos ataques de vírus e hackers a sistemas de todos os tamanhos acabou atraindo a atenção dos executivos, e muitas empresas passaram a incluir a proteção da informação entre as questões estratégicas da corporação.

Essa preocupação é totalmente justificada, pois a dependência das empresas em relação à tecnologia da informação tem aumentado numa velocidade assustadora. Empresas dos mais diversos setores e tamanhos já não conseguiriam mais realizar atividades-chave para a sua sobrevivência, tais como fornecer bens e serviços, comunicar-se com clientes ou efetuar pagamentos, se os sistemas que armazenam, processam e transmitem seus dados corporativos parassem de funcionar.

Para tanto, esse estudo procura refletir sobre como a segurança de dados interfere no cotidiano do “contas a pagar” de uma organização. Acredita-se que esta reflexão contribuirá, de forma significativa, para o estudo da administração.

2. PROBLEMA DE PESQUISA E OBJETIVO

O problema de pesquisa apresentado resume-se a seguinte questão: a segurança dos dados no sistema de informação (SI) influencia o cotidiano do “contas a pagar”? Assim, o objetivo geral deste trabalho é analisar o reflexo da segurança de dados do SI sobre o cotidiano do “contas a pagar”. Seus objetivos específicos são identificar princípios de segurança de dados e identificar ações no dia-a-dia do “contas pagar”.

3. REVISÃO BIBLIOGRÁFICA

3.1 SEGURANÇA DE DADOS

3.1.1 Princípios da Segurança de Sistemas de Informação

As dificuldades de se proteger adequadamente a informação corporativa são muitas: ela pode se espalhar por micros, sistemas de voice mail e mainframes, atravessando redes de comunicação e linhas de fax. Em muitas organizações, esses ambientes estão conectados, o que aumenta a complexidade do problema.

O BSI (British Standard Institute, 1995) publicou o BS 7799, um código de prática para a segurança da informação que identifica dez itens de controle. São eles: política de segurança de informação; organização da segurança; classificação e controle dos recursos de TI; segurança do quadro de pessoal; segurança física e ambiental; gerência de redes e computadores; controle de acesso; desenvolvimento e manutenção do sistema; planejamento da continuidade do serviço; e conformidade com a política de segurança.

3

Quando a empresa atua em parceria com outras, ela pode precisar fornecer garantias aos seus parceiros de que quaisquer informações compartilhadas serão mantidas e processadas em um ambiente que não coloque em risco sua confidencialidade, integridade ou disponibilidade. É por isso que se torna cada vez mais importante para as corporações demonstrar sua conformidade com padrões como o BS 7799.

Segundo Fontes (2001), da mesma forma como a organização inclui os impostos, os seguros e a infra-estrutura na composição do seu custo, a Segurança da Informação (SI) deve ser considerada. Embora afirme ser difícil generalizar, ele acredita que 10% do valor dedicado à informática é um percentual já praticado por muitas organizações que consideram a proteção da informação de maneira profissional. Despesas extras ou mudanças de patamar que exijam grande soma de recursos podem ser consideradas como investimento e "brigar" com os demais projetos.

Deve ficar claro para toda a organização que o objetivo principal da Segurança da Informação é a proteção do negócio da empresa. A área de informática ou o CPD serão contemplados porque possuem recursos críticos para a realização do negócio. Em relação à indisponibilidade de recursos (ocorrência de desastres) uma Análise de Impacto no Negócio (BCP-Business Continuity Planning) ajudará a empresa a estimar (e na maioria das vezes se assustar) qual será o prejuízo a partir de uma indisponibilidade dos recursos.

O Gestor da Informação é a pessoa responsável pela liberação (ou não) da informação para toda a empresa e também deve ser responsável pela continuidade do negócio no que depende daquela informação. Um Gestor consciente da sua função será um aliado para a obtenção e manutenção de recursos para a proteção da informação, sendo importante estar definido na Política de Segurança.

O nível de proteção da informação da empresa não deve ser dado pela simples média dos aspectos analisados. Um diagnóstico deve ser feito periodicamente, informando como está o nível de proteção da informação de cada aspecto analisado. Uma visão gerencial deve ser passada para a direção de modo que a mesma sinta a necessidade de investir (ou gastar) na Segurança da Informação do seu negócio. Essa análise periódica deve ser feita por pessoas/empresas que possuam experiência e competência no assunto.

A área de segurança deve ser um elemento formal no organograma da empresa. Não é algo passageiro e nem deve ser algo informal. A informalidade não ajuda em nada quando se trata de dedicar recursos. A existência da Segurança da Informação como um elemento da estrutura organizacional, compatível com o porte e negócio da empresa, demonstra a seriedade do assunto para a organização.

A Segurança da Informação deve ser um elemento chave dentro do conceito de gerenciamento de risco da organização, através do qual se podem obter vantagens competitivas. A atuação efetiva de uma auditoria (interna ou externa) reforça a necessidade de dedicação de recursos para a proteção da informação. A independência da auditoria e o seu compromisso com os acionistas serão aliados do processo de segurança da informação.

Gastar recursos com segurança não é o primeiro desejo de uma organização; mas pode significar a sua continuidade no negócio. Pode significar, também, a proteção contra o concorrente que está acessando as informações confidenciais da empresa.

2.1.2 Partes Envolvidas

Segundo Rezende (2002, p.21), os Chief Information Officers (CIOs) são executivos dirigentes da Tecnologia da Informação (TI) nas organizações. Gestores responsáveis pela

4

área da TI, pelos recursos tecnológicos e pela utilização estratégica das informações das organizações. Normalmente estão ligados à alta administração da organização.

Nos dias de hoje, os gestores da TI fazem parte do corpo diretivo da empresa e têm papel importante no controle e segurança das informações trafegadas na rede interna da organização, assim como sua interface com a rede mundial de computadores, a Internet.

Para O'Brien (2002, p.409) muitas aplicações desenvolvidas pelo usuário final estão desempenhando funções organizacionais extremamente importantes chamadas de “Aplicações do Usuário Final Críticas à Empresa”. Segundo ele, os gerentes de negócios devem assumir as responsabilidades sobre a administração da rede de seus computadores e os recursos de seus sistemas de informação.

Os Administradores da empresa e os gestores da TI assumem o papel de mentores dos processos de segurança de dados, enquanto só gestores de negócios devem ser os controladores dos procedimentos em suas áreas. Os usuários finais e os clientes devem ser instruídos pelos gestores da TI para obterem a maximização plena de seus sistemas de modo seguro, enquanto os parceiros e fornecedores devem ser desenvolvidos para que a organização obtenha a segurança plena de suas informações.

2.1.3 Normas e Procedimentos Internos

Normalmente, uma organização desenvolve e adota procedimentos-padrão para a operação dos sistemas de informação. O seu uso promove a qualidade e minimiza as chances de erros e fraude. Isto ajuda tanto os usuários finais como os especialistas de SI a saberem o que é esperado deles em termos de procedimentos operacionais e qualidade dos sistemas.

O'Brien (2002, p.408) afirma que os controles de procedimentos são métodos que especificam como os recursos de computadores e redes da organização devem ser operados para a segurança máxima. Eles ajudam a garantir a precisão e integridade das operações dos computadores e redes das atividades de desenvolvimento de sistemas. Entre esses controles, O'Brien destaca o fornecimento adequado de energia elétrica.

2.1.4 Políticas de Administração de Colaboradores

Para Costa, (2004, p.p), os novos tempos projetam a informação como principal e mais valioso bem das empresas. Segundo ele, em todas as áreas, podemos afirmar, sem sombra de dúvida, que quem detém a informação detém o poder. Junto desta valorização da informação, vem a valorização do profissional que cuida dela. Seja quem a estrutura (profissionais da TI), seja quem a protege (profissionais de segurança), ambos ganharam mais importância dentro das organizações. Não é à toa que os diretores da TI hoje figuram em grau de importância ao lado dos diretores financeiros e, por vezes, acima deles.

Como não poderia deixar de ser, o profissional da informação, na medida que conquistou importância, também incorporou responsabilidades. Além da responsabilidade de manter o bom funcionamento e integração dos sistemas eletrônicos, estes profissionais são responsáveis também pelos danos decorrentes de sua atividade.

O erro mais comum das empresas que decidem aumentar sua segurança é enfatizar a proteção contra ataques externos à organização. Os ataques externos normalmente trazem conseqüências sérias, não podendo ser ignorados. Mas apesar da sua gravidade, na prática eles são bem mais raros do que se pensa. Até 80% das quebras de segurança podem ser atribuídas a erros de funcionários ou falhas de equipamento, sem contar que grande parte dos 20%

5

restantes provém de abusos ou fraudes gerados internamente. Por causa disso, o foco da atenção deve estar dentro, e não fora da corporação.

2.1.5 Segurança Lógica

Para manter seus sistemas de informações seguros, a organização deve primeiramente definir o que proteger. Para manter a segurança no tráfego de informações na rede, a criptografia de dados é um dos principais recursos. Senhas, mensagens, arquivos e outros dados podem ser transmitidos de forma embaralhada e desembaralhados pelos sistemas de computadores apenas para os usuários autorizados, envolvendo o uso de algoritmos matemáticos especiais, ou chaves para transformar dados digitais em um código antes que esses dados sejam transmitidos.

Outro importante método de controle é um Firewall. Segundo O'Brien (2002, p.406), Firewall de rede é um sistema de computador “guardião” que protege as intranets e outras redes de computadores da empresa contra a invasão, funcionando como um filtro e ponto seguro de transferência para acesso à Internet e outras redes. O Firewall é essencial para organizações que dependem da Internet ainda muito insegura e vulnerável.

Antivírus é um software que, devidamente atualizado, protege micro computares de usuários contra ataques de vírus que podem chegar de diversas formas. Esses vírus se espalham de um modo assustadoramente rápido, causando grandes prejuízos às organizações quando paralisam as suas operações/produções. Só que, mesmo tendo antivírus, o papel do gestor dos Sistemas de Informação é exatamente conscientizar o usuário final para que não abra arquivos suspeitos em seus computadores, pois a maior parte das infecções por vírus é transmitida pela Internet, através do correio eletrônico dos funcionários.

No armazenamento de informações, as organizações devem manter backups de dados confiáveis, que nada mais são do que a duplicação dos dados da empresa guardados em outro meio que não seja o mesmo. Esse procedimento é uma forma de contingência, caso haja perda das informações guardadas no banco de dados principais.

2.2 CONTAS A PAGAR

Não menos importante que os demais processos administrativos da Administração Financeira e Orçamentária, os procedimentos de contas a pagar devem desenvolver estruturas e soluções para a finalidade de sua existência e, ainda, proporcionar ao administrador financeiro subsídios e informações seguras para suas tomadas de decisão.

Assim, a segurança dos dados manipulados no sistema de contas a pagar é de suma importância para a manutenção e precisão das informações da organização, que dentre outras devem adotar os procedimentos simples, além daqueles proporcionados pela Tecnologia da Informação.

Todo o cheque emitido deverá ser acompanhado de cópia, aplicando-se idêntico procedimento a contratos, recibos etc., pois a organização de um completo arquivo das informações é vital para consultas futuras.

O fluxo de caixa deve ser utilizado, também, como instrumento para efetuarem-se previsões financeiras de médio prazo e servirem de subsídio à tomada de importantes decisões, como aplicações financeiras de maior rentabilidade que necessitam de um período mais longo. Mas esse planejamento futuro demanda análise cuidadosa do presente, verificando-se a

6

consistência dos controles financeiros para se ter condições de dar “credibilidade” às informações.

É fundamental certa coesão entre os dados procedentes de cada área da empresa, a maioria deles indo desembocar na área financeira, como se pode verificar claramente na figura a seguir:

Figura 1: Origem de dados do Setor Financeiro. Fonte: www.empresário.com.br.

Os controles financeiros e o fluxo de caixa irão “enxergar” eventos estritamente ligados aos aspectos “financeiros” do negócio (Contas a Pagar, Contas a Receber, saldos e conciliação bancária), mas não os “econômicos” (estoques, ativo imobilizado e patrimônio líquido), daí a importância de uma análise econômico-financeira, em que se analisa a empresa como um todo, por meio do “Balanço Gerencial”. No estudo e na prática da Administração Financeira são utilizados com freqüência os termos “Regime de Caixa” e “Regime de Competência”, causando, às vezes, algumas confusões.

Para Welsch (1983, p.321), o sucesso ou o insucesso da empresa como um todo e de suas subunidades é determinado pelo conjunto de decisões importantes que são tomadas. Segundo ele, o prazo entre o momento da decisão e a apresentação de relatórios dos resultados dessas decisões deve ser minimizado.

No Regime de Caixa, verifica-se a data de vencimento/pagamento, ou seja, o momento do desembolso por parte do Contas a Pagar, enquanto no Regime de Competência, o objeto de estudo é o momento do surgimento da conta, ou seja, quando foi vendida ou comprada a mercadoria.

Tais controles financeiros, que funcionam como suporte para o fluxo, devem conter informações importantes como tipo da conta, data de origem (regime de competência), data de vencimento (regime de caixa), data de pagamento (ou desembolso) e juros ou descontos.

Na montagem do fluxo de caixa é necessário estabelecer um Plano de Contas, que é a descrição das contas a serem utilizadas para os lançamentos do caixa. Normalmente, o contador da empresa já preparou essa classificação, que pode perfeitamente ser utilizada para fins de fluxo de caixa. Pode montar-se um Plano de Contas como segue:

Contas a Pagar Contas a Receber

Salários Á vista (previsão)

Comissões Cheques pré

Fornecedores Duplicatas

Impostos Cartão de crédito

Contador Boletos bancários

Frete

Aluguel

7

Pró-labore

Leasing

Tarifas Públicas

Outros

Figura 2: Plano de Contas de uma Organização. Fonte: www.empresario.com.br.

Segundo Hoji (1999, p.158), para otimizar os recursos financeiros, a projeção do fluxo de caixa é feita para um período de até 03 meses. Os dados são geralmente apresentados por dia para os primeiros 15 ou 30 dias e por quinzena ou mês para o restante do período. Para um prazo superior a três meses, são utilizados os dados do orçamento de caixa revisado.

Sob o ponto de vista de controle e feedback (realimentação de informações), a projeção do fluxo de caixa deve ser sistematicamente revisada e atualizada, pelo menos semanalmente, com base em fluxo efetivo e em alterações das premissas e condições anteriormente projetadas, para aproximar-se o mais possível do resultado financeiro efetivo.

Uma vez de posse dos principais conceitos de fluxo de caixa, trabalha-se numa visão estratégica de caixa. Sem dúvida, a crise ensina o empresário a adotar comportamentos dinâmicos para continuar no mercado. Pode-se, então, simular algumas estratégias financeiras extremamente importantes no atual cenário, porque, além de calcular o estouro de caixa, é necessário gerar possíveis soluções de curto prazo, dentro da realidade empresarial.

Para Welsch (1983, p.254), sob a óptica do orçamento existem dois fluxos que são críticos e devem ser planejados e controlados. Um deles é o fluxo de bens e serviços dentro da empresa e o outro é o dinheiro. O orçamento de caixa tem a finalidade de apresentar com antecedência a provável situação financeira futura, caso as transações ocorram dentro das premissas e condições planejadas. O conhecimento antecipado das necessidades e sobras de caixa no curto, médio e longo prazos possibilita aos administradores financeiros tomar decisões que otimizem os resultados globais.

4. METODOLOGIA

Pesquisa qualitativa de natureza exploratória, onde foi realizado estudo de caso em empresa de grande porte, prestador de serviços. Foi utilizado roteiro semi-estruturado aberto contendo três perguntas sobre o tema a ser pesquisado. Os dados foram obtidos através de duas entrevistas face a face com colaboradores da área do departamento de “contas a pagar”. Após transcrição, os dados foram submetidos à análise do conteúdo.

5 TRATAMENTO E ANÁLISE DOS DADOS

5.1 EMPRESA XYZ

A empresa XYZ atua no segmento de prestação de serviços terceirizados, sendo forte atuante no mercado de limpeza e conservação. A empresa iniciou suas atividades em 1927, trazendo conceitos de terceirização dos EUA para o Brasil, focando os serviços denominados comuns. Como uma das pioneiras no ramo de prestação de serviços de limpeza e conservação no país, ocupa uma posição de vanguarda no mercado, primando sempre pela excelência e servindo de referência para outras empresas do setor.

8

Atualmente, possui um faturamento anual próximo de U$ 15.000.000,00 e conta com 2.800 pessoas no seu quadro de colaboradores, que se encontram espalhados por várias regiões do Estado de São Paulo. Possui clientes nos mais variados ramos da atividade econômica, dos quais destacam-se Infraero, Unibanco, Shopping Interlagos e Itautec-Philco.

Os entrevistados da empresa XYZ são da área de Finanças, sendo que um deles ocupa o cargo de Tesoureiro e trabalha há treze anos na empresa. O outro é seu subordinado, atua há sete anos na empresa, sendo um ano nesse cargo.

5.2 DADOS

A empresa XYZ enfrentou um sério problema, em janeiro de 2004, quando precisou fazer uma manutenção na base de dados do seu sistema financeiro em função do banco de dados do módulo de contas a pagar se danificar após um pico de energia em maio de 2003.

O sistema informatizado utilizado pelo grupo possui uma arquitetura somente de servidor (isso faz com que todas as tarefas executadas no sistema sejam processadas no computador do usuário, cabendo ao servidor apenas fazer a hospedagem dos programas e dos bancos de dados) e o fato de nem todos os computadores estarem ligados a no-breaks (apenas os servidores e alguns computadores que rodam soluções que não podem ficar inoperantes em hipótese alguma).

O resultado dessa combinação implica na seguinte situação: se as tarefas são executadas sempre na máquina do usuário e a mesma está desprotegida contra eventuais oscilações ou ausência no fornecimento de energia, quando da ocorrência de alguma delas qualquer processo que estiver sendo executado será interrompido e permitirá que o banco de dados que estiver sendo utilizado ainda permaneça ativo. Permanecendo ativo, o banco de dados não saberá que instrução executar (guardar ou alterar a informação que estava sendo processada, por exemplo) e ficará “perdido”, fato que pode gerar perda das informações que estavam sendo trabalhadas no momento, de informações que já estavam no banco de dados, mas, que não estavam sendo acessadas, ou mesmo a impossibilidade de utilização de toda a base de dados pelos usuários em função da perda do vínculo do processo executado com a respectiva informação que estava sendo atualizada.

O módulo de contas a pagar alimenta outros três módulos do sistema financeiro (fluxo de caixa, tesouraria e contabilidade) e se fazia necessária a urgente reparação do mesmo.

Como o custo envolvido na operação de recuperação de dados era relativamente alto, a empresa entendeu que o mesmo não estava afetando de forma significativa o andamento das tarefas executadas ou mesmo os resultados nos relatórios apresentados no fechamento mensal e que, por essas razões, o problema não seria tratado naquele momento.

Passados sete meses, começaram a ocorrer perdas de informações na base de dados e a confiabilidade do sistema começou a ser questionada.

Diante desses acontecimentos, a empresa autorizou que fosse executada a operação de recuperação do banco de dados, sem saber porém, que outros dois problemas também passariam a fazer parte do processo de restauração. Constatou-se que: primeiro, havia a necessidade de se “recompilar” todos os programas do sistema para que o banco de dados recuperado pudesse ser colocado em atividade; entretanto não foram localizados os programas-fonte para que isso pudesse ser realizado e, segundo, os backups existentes também apresentavam o problema de possuir o banco de dados corrompido, por isso não seria possível comparar se no processo de restauração da base seriam perdidas informações.

9

Sem alternativa face ao problema apresentado, a restauração da base foi autorizada e executada até com relativo sucesso (uma vez que não era possível mensurar o nível das perdas ocorridas) e para fazer a “recompilação” do sistema, foi solicitada uma cópia dos programas ao desenvolvedor do software.

Entretanto, quando a organização resolveu implementar o projeto descobriu que a empresa que havia desenvolvido o software tinha sido vendida e o sistema originalmente instalado havia passado por atualizações que alteravam a forma como o mesmo identificava e armazenava determinadas informações. Com isso, um trabalho estimado para durar aproximadamente dez dias prolongou-se por dois meses, já que foi necessário fazer uma adaptação dos antigos bancos de dados para a nova versão do programa, além da necessidade de se reescrever determinas rotinas que eram exclusivas da organização e que também se perderam na restauração da base.

Hoje, vê-se que o custo do projeto foi dramaticamente alterado, havendo um acréscimo de aproximadamente 50%, se comparado à estimativa inicial, além do prejuízo de algumas informações começarem a aparecer de forma diferente do que foram inicialmente lançadas.

Esperava-se que, com a recuperação da base, não haveria qualquer problema de “confiabilidade” das informações. Além disso, o sistema apresentar-se-ia mais estável e mais rápido no processamento de relatórios gerando ganhos de produtividade a todos os usuários. Entretanto, a equipe do setor de finanças tem feito a checagem manual no contas a pagar do que são chamadas “contas chave”. Essas contas correspondem à cerca de 80% do volume de gastos lançados no sistema de contas a pagar.

5.3 ANÁLISE

Ao se analisar a situação vivida pela empresa XYZ, percebe-se que não foi aplicado nenhum tipo de segurança de dados.

Quando Rezende apresenta a definição dos CIOs (Chief Information Officers) dentro da nova ordem tecnológica que invadiu o cotidiano das empresas, ressalta a importância dessa pessoa dentro da administração e da tomada de decisões quando o assunto refere-se à tecnologia de informação. Mesmo não possuindo um CIO em seu quadro de funcionários, claramente nota-se que, neste caso, a questão financeira falou mais alto do que a questão técnica.

É possível concluir também que, independentemente do tipo ou tamanho da organização, é fundamental uma análise periódica das condições em que se encontram seus sistemas de organização e a infra-estrutura onde o sistema está apoiado pois, um gerenciamento falho neste quesito, pode incorrer em sérios problemas na geração de informações para a tomada de decisões.

Dentro dessa situação, o Padrão Britânico BS 7799 aparece como um importante guia de orientação aos gestores da Tecnologia de Informação (TI) no tocante a forma de estruturação da rede, bem como dos cuidados a serem observados na preservação das informações.

Também se constata que o profissional responsável por cuidar dessa estrutura deve se esforçar para passar a alta direção da organização a real importância da mesma, haja vista que somente pessoas com conhecimento técnico mais elevado podem mensurar o grau de importância desse conjunto para a organização e colocá-lo de forma compreensível e menos técnica à diretoria da empresa.

Este grupo levantou que seriam necessários R$ 6.356,00 (seis mil, trezentos e cinqüenta e seis reais) para que fossem instalados quatro no-breaks do modelo Smart-UPS 1500VA – 120V no setor afetado (ver anexo). Esse investimento permitiria que todos os usuários

10

disponibilizassem de, no mínimo, cinco minutos para fechar todos os aplicativos em execução e desligar os computadores com segurança.

Se a comparação for efetuada a partir de um outro ângulo, onde seriam privilegiadas ações preventivas que impedissem a ocorrência de fatos iguais aos colocados, o custo seria muito menor face ao que a empresa XYZ já gastou.

A equação que demonstra esse incremento nos gastos realizados pode ser avaliada através da expressão: Custo Preventivo (CP) x Custo Real no momento 1 (C1) x Custo Realizado (C2), onde:

Custo Preventivo (CP) Custo Real (C1) Custo Realizado (C2)

R$ 7.000,00 R$ 20.000,00 R$ 35.000,00

Se a ação preventiva fosse executada na instalação da rede da empresa, existiram grandes possibilidades do problema jamais ter existido.

Nota-se que C1 é 185% maior do que CP e, fazendo a comparação entre CP x C2, vê-se que o gasto da empresa foi majorado na ordem de 400%.

Atendo-se apenas na relação entre C1 x C2, observa-se que a decisão da empresa em protelar seu projeto de restauração da base de dados gerou um gasto extra da ordem de 75%, fato este que demonstrou certa falta de planejamento na tomada da decisão.

Quando a empresa fala no custo C2, ressalta que não estão sendo contabilizadas as horas de retrabalho de sua equipe.

Nota-se que a organização, além de obter custos acima dos previstos devido a não prevenção em segurança de dados básica, como o uso de no-breaks, teve a sua imagem arranhada junto a fornecedores e funcionários, devido ao atraso de contas não pagas em dia.

Trata-se de uma perda difícil de ser mensurada, mas que contribui para a falta de prestígio da empresa junto a seus clientes internos, o que pode causar uma queda de produtividade.

6. CONCLUSÃO

Este estudo mostra que a segurança dos dados do SI influencia a rotina do setor de contas a pagar de uma organização.

Também mostra a importância da prevenção quando o assunto é segurança de dados. A falta de investimentos em segurança de dados gera custos extras, além de falta de confiabilidade no SI.

Os resultados apresentados são válidos somente para a empresa XYZ, não podendo ser considerados por outros. Entretanto, a similaridade pode ajudar outras empresas em situações parecidas.

Por último, o grupo propõe que novos estudos sejam realizados abrangendo outras áreas de uma organização para que se possa analisar como a segurança de dados pode influenciar em qualquer outra área.

REFERÊNCIAS BIBLIOGRÁFICAS

BEAL, Adriana. Segurança de Tecnologia da Informação. S.1., s.n., [2004] Disponível em www.centroatl.pt/titulos/si/seguranca-si.php3. Acesso em: 15 abr. 2004.

11

BRAGA, Roberto. Fundamentos e Técnicas de Administração Financeira – São Paulo: Atlas, 1989.

BSI MANAGEMENT SYSTEMS – Information Security. S.1., s.n., [1995?] Disponível em http://emea.bsi-global.com/InformationSecurity/Overview/WhatisBS7799.xalter. Acesso em: 16 mai. 2004.

COSTA, Roberto Leibholz. Aspectos Jurídicos. S.1., s.n., [2004] Disponível em www.esnx.net/materia.php?data%5Bid_materia%5D=150. Acesso em: 15 abr. 2004.

EMPRESÁRIO ON LINE. S.1., s.n., [2001] Disponível em www.empresario.com.br/orientador/edicoes/2001_02/capital/capital_txt_5.html. Acesso em: 01 mai. 2004.

FEBRABAN. S.1., s.n., [2004] Disponível em www.febraban.org.br/ Arquivo/Servicos/Dicasclientes/dicas7.asp. Acesso em 16 mai. 2004.

FONTES, Edson. Segurança da Informação: Investimento ou Custo Operacional. S.1., s.n., [2004] Disponível em http://www.securenet.com.br/artigo.php?artigo=108. Acesso em: 15 abr. 2004.

HOJI, Masakazu. Administração Financeira: Uma Abordagem Prática – São Paulo: Atlas: 1999.

LAURINDO, Fernando José Barbin. Tecnologia da Informação – São Paulo: Futura, 2002.

MARTIN, Henrique. Segurança na Internet. S.1., s.n., [2004] Disponível em www.e-commerce.org.br/Artigos_Geral/Seguranca_na_Web.htm. Acesso em: 16 mai. 2004.

O’BRIEN, James A. Sistemas de Informação e as Decisões Gerenciais na Era da Internet - São Paulo: Saraiva, 2002.

REZENDE, Denis Alcides. Tecnologia da Informação Integrada à Inteligência Empresarial – São Paulo: Atlas, 2002.

SILVA, Pedro Tavares. Segurança dos sistemas de Informação – Gestão Estratégica da Segurança Empresarial. S.1., s.n., [2004] Disponível em www.centroatl.pt/titulos/si/seguranca-si.php3. Acesso em 15 abr. 2004.

WELSCH, Glen A. Orçamento Empresarial. 4. ed. - São Paulo: Atlas, 1983.