Manual 8988
Manual 8988
Manual 8988
UFCD 8988
Pág.: 1/16
O que é Backoffice
O Backoffice ou Back office ou até mesmo BackOffice são as maneiras de se escrever o termo inglês que, para nós, tem
o significado de suporte, também definido como retaguarda, e se refere aos departamentos empresariais que pouco ou
nenhum contato têm com os clientes. Back, em inglês, significa “atrás”, e office tem o significado de “escritório”.
Podemos considerar como BackOffice os departamentos que dão o suporte para o funcionamento geral da empresa, como
contabilidade, recursos humanos, informática, almoxarifado, etc. O BackOffice reúne o pessoal que trabalho “por trás”, nos
bastidores.
Fornecendo o apoio ao Front Office, o BackOffice é quem garante as operações necessárias de qualquer empresa,
fornecendo eficiência operacional, um melhor relacionamento através de contatos indiretos, uso de equipamentos e
máquinas, etc.
As atividades do BackOffice geralmente são restritas, reportando-se à administração, embora também sejam atividades cuja
execução é necessária para outros setores.
Um setor importante dentro de qualquer empresa, por exemplo, é o callcenter que, mesmo tendo contato direto com clientes
externos, presta um serviço sem que se apresente pessoalmente.
BackOffice em Informática
Na área de informática, BackOffice denomina o núcleo do sistema, as instruções que o próprio sistema gerencia e que não
são atributos do usuário final. Possuindo tarefas específicas, o BackOffice coordena as atividades necessárias ao usuário,
gerindo as operações, seja de uma loja, empresa ou mesmo um web site.
O BackOffice tornou-se tão necessário no mundo informatizado que até já possui um profissional específico, o analista de
BackOffice, que faz a análise dos processos internos do sistema, cria os relatórios operacionais e de gestão, dá o tratamento
necessário às reclamações ou solicitações de clientes e faz todo o serviço de suporte aos funcionários do Front Office.
Também entre suas obrigações muitas vezes está o tratamento de e-mails e a manutenção e atualização dos arquivos do
sistema, que devem estar sempre em perfeitas condições para o atendimento, produção, vendas ou prestação de serviços.
Para compreender o que é backoffice, nada melhor do que olhar para a operação numa empresa tradicional. Há o contato
com o cliente, o pedido é realizado, isso demanda o acionamento da mercadoria e a logística de entrega e o planeamento de
uma nova compra.
Agora, imagine um problema, uma falha ou atraso em qualquer uma das etapas. Caso isso ocorra, o prejuízo é inevitável,
certo? Pois é justamente a partir do trabalho do backoffice que o gestor procura prevenir e corrigir desvios na operação que
possam afetar os seus resultados.
Termo em inglês que pode ser traduzido como “retaguarda”, o backoffice é importante em qualquer atividade que movimente
mercadorias ou preste serviços. Devido às suas características, no entanto, é no comércio electrónico que ganha destaque
- e maiores preocupações.
A função exerce o papel de suporte. Os profissionais envolvidos nela não atuam na linha de frente (front office), mas são
indispensáveis para garantir a continuidade das operações, sem sobressaltos. É como o sujeito que coloca óleo na máquina
para assegurar que suas engrenagens funcionem corretamente.
2021
UFCD 8988
Pág.: 2/16
O backoffice compete a todos aqueles que prestam serviços indiretos, ou seja, não diretamente relacionados com a
atividade principal da empresa.
Em um estabelecimento comercial, por exemplo, são todos os colaboradores que não atuam nas vendas; numa indústria,
quem não participa da produção. E aí entram funcionários do administrativo, financeiro, jurídico, recursos humanos, entre
outros não vinculados à atividade fim.
Veja só como estamos a falar de um grupo amplo, que não aparece diretamente para o cliente, mas que é de grande
importância para as operações do negócio. Afinal, o que seria de uma empresa sem um responsável pelas contratações,
outro pelas compras e mais um pelas cobranças?
Nenhuma empresa sobrevive apenas de sua operação principal, que, por sua vez, não acontece sem essa retaguarda.
Então, na prática, como garantir que o backoffice otimize o desempenho na empresa, qualifique os resultados e reduza o
desperdício de tempo e de recursos humanos e materiais?
Dedicar-se à gestão interna e cuidar do backoffice é garantir que a empresa funcione em sintonia. Mesmo em pequenos
negócios, que não contam com departamentos, essa atenção é fundamental. Ela apenas se adapta ao porte do
estabelecimento e, nesse caso, não é um setor, mas os responsáveis por cada função que atuam nos bastidores para fazer
a roda girar.
Pense em uma pequena loja virtual. O cliente envia o produto para o carrinho, fecha a compra e todo um processo interno
se inicia como consequência da venda. Sem uma boa estratégia de backoffice, talvez ocorra um atraso na separação do
pedido, quem sabe até mesmo um erro que direcione um item diferente para o comprador.
O equívoco pode ocorrer ainda no processo de cobrança, na emissão da nota fiscal ou mesmo no vendedor, que não
sinalizou a falta do produto e a loja acabou vendendo uma mercadoria indisponível.
Veja só quanta dor de cabeça e prejuízos diversos podem ocorrer devido a falhas no backoffice. É por isso que a sua função
na empresa é a de uma orquestra. Se faltar um dos instrumentos ou houver erros na execução, todo o negócio desafina.
A verdade é que o backoffice é importante demais para depender apenas das habilidades manuais, do caderninho de
anotações ou da memória dos seus colaboradores. Para não dar hipotese ao azar, as empresas podem - e devem -
automatizar a gestão interna.
Por um lado, um sistema de relacionamento com os clientes (CRM) qualifica o faturação, envio dos pedidos e o processo de
cobrança. De outro, um software de gestão empresarial (ERP) integra as diferentes áreas, reduz ruídos e assegura que uma
informação de interesse comum seja compartilhada.
Considerando o exemplo que utilizamos antes, o de uma venda, contar com esse tipo de tecnologia oferece tranquilidade
ao gestor. Afinal, o fecho do negócio aciona automaticamente o financeiro para a cobrança, o vendedor para a separação
do pedido e a área de compras para a reposição do item.
Nessa situação, o benefício é triplo: a satisfação do cliente com a sua experiência de compra, a economia de recursos
humanos e materiais, além da otimização do tempo.
É a orquestra devidamente ajustada, executando uma sinfonia perfeita. Não há cenário mais propício para cuidar do negócio
e se preocupar apenas com o seu crescimento.
2021
UFCD 8988
Pág.: 3/16
Muitas vezes, são os detalhes que atrapalham o crescimento de uma empresa. Quando tudo parece ajustado, um processo
imperfeito na cadeia de ações provoca uma reação em cadeia, afasta clientes, prejudica o faturação e enche o gestor de
preocupações. Não precisa e não deve ser assim.
Como vimos neste artigo, cuidar do backoffice é tarefa prioritária em qualquer negócio, mesmo naqueles de pequeno porte.
E a melhor forma de fazer isso é modernizando a maneira como conduz as operações.
Se ainda existe quem dependa de controles manuais, pode estar aí a origem do problema. A tecnologia existe e está ao
alcance para solucionar todo o tipo de falha que ainda prejudica os resultados.
Um sistema de gestão é um programa de computador que ajuda a cuidar das atividades de uma empresa. É um software
inteligente e que tem como objetivo facilitar as atividades do dia a dia, automatizando o máximo de processos quanto for
possível.
Os resultados apresentados por um sistema de gestão extrapolam o caráter financeiro. Os benefícios podem ser
representados por meio de diversos indicadores de qualidade:
• Diminuição do impacto das atividades na natureza, ou, em outras palavras, maior sustentabilidade na utilização
dos recursos na empresa;
Esses são apenas alguns dos benefícios decorrentes da implementação de um sistema de gestão. Na sequência, explicarei,
ainda, o que é o ERP, o CRM e apresentarei os principais motivos pelos quais um sistema de gestão é tão importante para
o sucesso de um empreendimento.
O mais comum entre os sistemas de gestão é o Enterprise Resource Planning (ERP), a evolução da utilidade de Excel. Ele
serve para garantir o controle financeiro, fiscal e contabilístico da companhia, agregando informações sobre os recebimentos
de receitas, pagamento de despesas e, ainda, levando em consideração o custo de tributo em cada uma das operações.
A maioria dos softwares de ERP são divididos em três camadas, sendo elas a aplicação, o banco de dados e o framework.
Além disso, o Enterprise Resource Planning também é modular, o que significa que os módulos representam duas visões,
que são:
Visão departamental
Esta visão permite a observação da manutenção dos processos de cada departamento em uma única tela, o que torna o
manuseio mais simples e seguro para os usuários. Isso porque pessoas que não estão envolvidas com dados relacionados
aos cadastros de funcionários, por exemplo, não poderão aceder a tal informações.
2021
UFCD 8988
Pág.: 4/16
A visão por segmento permite a adequação do software às particularidades departamentais e as suas exigências. É, então,
voltada para atender às necessidades específicas de ramos de atividade. Uma clínica de odontologia, por exemplo, precisa
organizar atividades de uma forma totalmente diferente de uma indústria. Em tais casos, existe, ainda, a possibilidade de
criação de módulos específicos para determinados segmentos de mercado, que são os chamados softwares de gestão
vertical.
Já o Costumer Relationship Management (CRM) cuida da base de clientes — informações que, em muitas empresas,
estão espalhada entre programas, cartões e pedaços de papel. Mas existem muitos outros, para rotinas jurídicas, de
contratos e documento. São inúmeras ofertas, destinadas a diferentes departamentos das empresas.
1. Política de administração;
2. Planeamento estratégico;
3. Implantação e operação;
4. Avaliação do desempenho;
5. Correções e melhorias;
6. Exame crítico.
Os sistemas de gestão de cada segmento possuem as suas próprias exigências específicas, no entanto, as seis categorias
acima elencadas são comuns a todos eles e podem ser tomadas como eixo central para a integração de normas.
Com a delimitação de indicadores e o acompanhamento constante das métricas relacionadas à implantação de um sistema
de gestão em um negócio, diversas vantagens podem ser observadas. Tais como:
• Aumenta a transparência;
• Diminui os riscos de acidentes de trabalho;
• Reduz a burocracia no trâmite de processos;
• Aprimora o clima organizacional da empresa;
• Reduz os danos causados ao meio ambiente;
• Torna o negócio mais competitivo e mais próximo da excelência;
• Padroniza processos em consonância aos padrões internacionais;
• Possibilita um ambiente de trabalho mais seguro, agradável e produtivo;
• Fortalece a percepção de marca tanto entre o público interno, quanto entre o externo.
Para que os resultados mencionados anteriormente possam ser detectados e constantemente aprimorados, alguns
indicadores devem ser acompanhados.
Indicadores de qualidade
Esse tipo de indicadores monitora o número de produtos ou equipamentos que apresentam defeitos, o quanto de matéria
prima e recursos humanos são utilizados e o quanto é desperdiçado durante a produção, a quantidade de reclamações por
parte dos consumidores em relação aos produtos finais e, ainda, a quantidade de tempo despendida.
Indicadores de saúde
As principais métricas avaliadas pelos indicadores de saúde são as envolvendo acidentes de trabalho, horas de treinamento
oferecidas, despesas com planos de saúde, quantidade de atestados médicos entregues, números de faltas ao trabalho com
e sem justificativas, tempo investido em campanhas de segurança do trabalho e saúde, dentre outras.
O sistema de gestão permite o atendimento a todas as exigências de uma só vez, dispensando, assim, a necessidade de
investimentos em melhorias contínuas.
Indicadores de sustentabilidade
No que diz respeito aos indicadores de meio ambiente, os principais focos são o nível de consumo de água e energia no
processo de produção, a quantidade de resíduos e de lixo produzidos, o destino dado a esses dejetos, a utilização de
matéria-prima biodegradável, o encaminhamento para locais de reciclagem ou reaproveitamento etc.
A existência do setor de aprovisionamento visa a redução do stock, e auxiliar a empresa a obter as melhores compras, no
entanto, este departamento tem um custo adicional, que deve ser minimizado numa perspectiva da diminuição do custo
total.
Em muitas indústrias, aquisição de matérias-primas, consumíveis, podem representar 50% do valor das vendas, pelo que é
estratégico gerar oportunidades nas compras a fornecedores.
Quais os aspectos que podem ser melhorados com gestão do aprovisionamento?
• Redução dos custos de possuir o Stock (rendas dos armazéns, falta de espaço, maior necessidade de gestão nos
armazéns);
• Integração completa com as soluções de planeamento de necessidades, gestão da produção, e restante ERP;
Integração
Integrado significa combinado - colocar todas as práticas internas de gestão em um único sistema, mas não como
componentes separados. Para que esses sistemas sejam parte integrante do sistema de gestão da empresa, devem haver
ligações para que as fronteiras entre os processos sejam ténues.
Sistema
Sistema é a interligação de componentes para alcançar um determinado objetivo. Tais componentes incluem a organização,
os recursos e os processos. Portanto, fazem parte do sistema as pessoas, os equipamentos e a cultura, bem como as práticas
e as políticas documentadas.
Definição
Sistema Integrado de Gestão (SIG) é um sistema de gestão que integra todos os componentes dos negócios da organização
em um único sistema coerente, de forma que seja possível alcançar seu propósito e missão.
2021
UFCD 8988
Pág.: 7/16
Qualquer coisa que tenha efeito nos resultados da empresa deve fazer parte do sistema de gestão. Portanto, o SIG deve
integrar todos os sistemas atuais formalizados que focalizam qualidade, segurança e saúde, meio ambiente, pessoas,
finanças etc. Isso significa que todos os processos e documentos que descrevem esses sistemas devem ser integrados.
Para integrar algo, não basta colocá-lo próximo aos outros componentes - é preciso fixá-lo aos outros de maneira que forme
um todo. Portanto, colocar o sistema financeiro, o sistema da qualidade e o sistema ambiental em um único manual de
políticas e procedimentos não é a mesma coisa que integrar os sistemas de gestão. Criar uma norma nacional para sistemas
de gestão não é integração. Comprar um software que gerencie a documentação da qualidade, segurança e meio ambiente
não é integração. Fundir áreas como, por exemplo, alocar o gerente da qualidade, o gerente de segurança e o gerente de
meio ambiente em um mesmo departamento, não é integração.
Gestão integrada
Às vezes, a palavra "sistema" é omitida, mudando assim o sujeito da integração de sistema para gestão. Gestão integrada é
um conceito no qual a gestão funcional é diluída por toda a organização, de forma que os gerentes administrem uma série
de funções. Por exemplo, o gerente de fabricação poderia gerenciar planejamento, fabricação, segurança, pessoal,
qualidade, meio ambiente, finanças etc.
Razões
Pressão
A pressão para integrar sistemas de gestão vem de dentro. Dificilmente os clientes exigirão um SIG. Não existem normas
internacionais para sistemas integrados de gestão.
Há vários métodos que podem ser usados, dependendo da situação atual da organização.
Conversão
Se a organização possui um Sistema de Gestão da Qualidade certificado, poderá começar a partir daí, acrescentando os
processos necessários para atender aos requisitos de saúde, segurança, meio ambiente e outros requisitos de normas para
sistemas de gestão. Todos os sistemas devem ter em comum os seguintes processos:
• Avaliação de riscos - deve abordar riscos de segurança, impactos ambientais e modos de falha de processos. Com
uma abordagem comum, será fácil comparar os riscos que afetam diferentes partes do negócio da organização.
• Gestão de regulamentações - deve abranger a captação de regulamentações sobre saúde, segurança etc, e a
análise e o impacto das mesmas.
• Gestão de programas - deve focalizar programas específicos de melhoria como, por exemplo, melhoria da
segurança e do meio ambiente.
• Conscientização pública - deve abordar a notificação de aspectos de saúde, segurança e meio ambiente.
A integração acontece após o acréscimo de novas práticas aos processos existentes, e a conseqüente revisão dos
documentos para que abranjam saúde, segurança etc.
O ponto fraco dessa abordagem é que a qualidade do resultado depende muito do enfoque usado pela organização ao
desenvolver o sistema da qualidade original.
Fusão de sistemas
2021
UFCD 8988
Pág.: 9/16
Se a organização tem mais de um sistema formal (ex.: um sistema de gestão da qualidade e um sistema de gestão ambiental),
poderá fundir os dois e prosseguir a integração de outros sistemas quando iniciar sua formalização. Com esse método, a
organização poderá fundir a documentação que serve de apoio ao mesmo processo. Contudo, continuarão existindo dois
sistemas separados, a menos que os rótulos sejam removidos e a qualidade, a segurança e o meio ambiente deixem de ser
separados no nível de detalhes.
Se a organização tem um sistema formal ou um sistema informal, poderá adotar o abordagem de engenharia de sistemas
para o desenvolvimento de sistemas de gestão; isto é, conceber um sistema de cima para baixo para atender a um objetivo
específico. O benefício é que será estruturado um sistema coerente, que atenderá às necessidades da organização sem
vinculá-la a uma norma específica. As normas são usadas para ajudar a identificar tarefas e processos. Essa abordagem
começa com uma análise geral da empresa e o estabelecimento de seus objetivos, da missão e dos processos centrais que
levam ao cumprimento dessa missão. As etapas que se seguem são:
Com essa abordagem, são utilizadas as descrições de processos, tarefas etc, quando contribuem para o objetivo do
processo. Se não contribuem, deve-se descartá-las e reescrevê-las. Afinal, o foco está no processo e não em disciplinas
separadas.
Front office ou linha de frente são atividades de uma empresa que tem alto contato com o cliente, as empresas de
prestação de serviço tem um nível de contato com o cliente bem alto, mas isso não quer dizer não existam atividades
ocorrendo longe dos olhos dos clientes..
Como o front office é muito virado para o contato com o cliente, necessita de ter em conta certos aspectos que se tornam
verdadeiramente importantes, tais como: Tato; Diplomacia; Capacidade de transmitir hospitalidade para o cliente.
As empresas que definem de forma clara quais as atividades e qual o tempo que realmente são necessários de contato
com cliente conseguem administrar a sensação de satisfação do cliente de forma planeada, pois foi definida a forma de
abordagem e tratamento de problemas.
Em informática, front office refere-se a uma integração através do CRM software.
No mercado financeiro, front office refere-se à administração da liquidez e a negociação de ativos.
2021
UFCD 8988
Pág.: 10/16
Primeiro, é bom explicar um pouco sobre o que é um software. Como isso se aplica à gestão de vendas? Como unir
tecnologia a gestão para obter benefícios?
Software são os programas ou aplicativos que você tem no seu computador, smartphone ou outro aparelho electrónico.
Gestão de vendas é a atividade que o empresário deve fazer para controlar o seu negócio. Para fazer isso, é importante ter
acesso a todas as informações estratégicas sobre sua empresa. Desta forma, é possível tomar decisões mais assertivas.
Realizando uma gestão, além de conseguir avaliar a saúde do negócio, o empresário também tem mais controle sobre as
vendas feitas, stock disponível, notas emitidas. Assim, é capaz de fazer o planeamento mais efetivo do negócio.
Ainda hoje, muitas empresas fazem a gestão manual das vendas, mas isso pode trazer uma série de erros, desde emissão
errada de notas fiscais até falta de controle sobre contabilidade e stock de produtos.
Um software de gestão de vendas, ou seja, um programa que te auxilia no controle dos seus negócios e das suas vendas
de forma online e remota, ajuda muito a melhorar os resultados dos negócios.
Resumindo, um software de gestão de ponto-de-venda é basicamente um sistema desenvolvido para realizar as vendas do
mercado. Normalmente, esse programa é integrado a um sistema de gestão ERP (que integra todos os dados e processos
de uma organização em um único lugar).
Com um sistema de ponto-de-venda em nuvem, o registro de vendas fica mais automatizado. Isso significa que você não
precisará mais fazer um controle manual e, além disso, as informações estarão sempre disponíveis.
Com esse controle, o empresário consegue analisar quais produtos vendem mais e quais vendem menos. Além disso, sabe
qual vendedor tem melhor performance e até mesmo faz projeções de vendas para próximos períodos.
Outra vantagem que alguns sistemas de gestão possuem é a integração automática com a contabilidade.
Com o antigo controle manual, o empresário tinha que se organizar e lembrar de enviar as notas fiscais e informações
contábeis mensalmente para o contador.
Imagine só conseguir enviar automaticamente suas notas fiscais para seu contador e não precisar se preocupar mais com
isso? Os avanços tecnológicos trouxeram muita facilidade para o empreendedor não perder tempo com coisas operacionais,
focando mais nas estratégias.
Redução de erros
Com a automatização da emissão de notas e cupons fiscais, registro automático das vendas e forma de pagamento, os erros
causados por falhas humanas são reduzidas e isso aumenta a eficiência e produtividade do seu negócio.
Atualmente há diversos softwares no mercado que dão flexibilidade ao negócio. Isso permite que
sejam realizadas vendas até mesmo do tablet ou celular.
O software de ponto de venda é uma tecnologia que proporciona uma venda mais eficiente, ágil e com segurança da
informação.
Segurança
Como os dados são registrados em um servidor nas nuvens, quedas de energia ou outros incidentes não causarão
problemas. As suas informações estarão sempre seguras na internet e disponíveis para acesso.
2021
UFCD 8988
Pág.: 12/16
Economia
Adquirindo um software de gestão, o empreendedor economiza com equipamentos e custos de manutenção, uma vez que a
única coisa que exigem é a atualização periódica do sistema.
Segurança de informação
A segurança da informação (SI) está diretamente relacionada com proteção de um conjunto de informações, no sentido de
preservar o valor que possuem para um indivíduo ou uma organização.
São propriedades básicas da segurança da informação a :
• Confidencialidade;
• Integridade;
• Disponibilidade;
• Autenticidade.
A SI não está restrita somente a sistemas computacionais, informações eletrônicas ou sistemas de armazenamento. O
conceito aplica-se a todos os aspectos de proteção de informações e dados. O conceito de Segurança
Informática ou Segurança de Computadores está intimamente relacionado com o de Segurança da Informação, incluindo não
apenas a segurança dos dados/informação, mas também a dos sistemas em si.
Atualmente o conceito de Segurança da Informação está padronizado pela norma ISO/IEC 17799:2005, influenciada pelo
padrão inglês (British Standard).
Conceitos de segurança
A maioria das definições de Segurança da Informação (SI) (Brostoff, 2004; Morris e Thompson, 1979; Sieberg, 2005; Smith,
2002) pode ser sumarizada como a proteção contra o uso ou acesso não-autorizado à informação, bem como a proteção
contra a negação do serviço a usuários autorizados, enquanto a integridade e a confidencialidade dessa informação são
preservadas. A SI não está confinada a sistemas de computação, nem à informação em formato eletrônico. Ela se aplica a
todos os aspectos de proteção da informação ou dados, em qualquer forma. O nível de proteção deve, em qualquer situação,
corresponder ao valor dessa informação e aos prejuízos que poderiam decorrer do uso impróprio da mesma. É importante
lembrar que a SI também cobre toda a infraestrutura que permite o seu uso, como processos, sistemas, serviços, tecnologias,
e outros.
A Segurança da informação refere-se à proteção existente sobre as informações de uma determinada empresa ou pessoa,
isto é, aplica-se tanto às informações corporativas quanto às pessoais. Entende-se por informação todo e qualquer conteúdo
ou dado que tenha valor para alguma organização ou pessoa. Ela pode estar guardada para uso restrito ou exposta ao
público para consulta ou aquisição.
Podem ser estabelecidas métricas (com o uso ou não de ferramentas) para a definição do nível de segurança existente e,
com isto, serem estabelecidas as bases para análise da melhoria ou piora da situação de segurança existente. A segurança
de uma determinada informação pode ser afetada por fatores comportamentais e de uso de quem se utiliza dela, pelo
ambiente ou infraestrutura que a cerca ou por pessoas mal intencionadas que têm o objetivo de furtar, destruir ou modificar
tal informação.
A tríade CIA (Confidentiality, Integrity and Availability) —Confidencialidade, Integridade e Disponibilidade — representa os
principais atributos que, atualmente, orientam a análise, o planejamento e a implementação da segurança para um
determinado grupo de informações que se deseja proteger.
Portanto os atributos básicos da segurança da informação, segundo os padrões internacionais (ISO/IEC 17799:2005) são
os seguintes:
2021
UFCD 8988
Pág.: 13/16
• Confidencialidade: propriedade que limita o acesso a informação tão somente às entidades legítimas, ou seja, àquelas
autorizadas pelo proprietário da informação;
• Integridade: propriedade que garante que a informação manipulada mantenha todas as características originais
estabelecidas pelo proprietário da informação, incluindo controle de mudanças e garantia do seu ciclo de vida
(Corrente, intermediária e permanente). O ciclo de vida da informação orgânica - criada em ambiente organizacional -
segue as três fases do ciclo de vida dos documentos de arquivos; conforme preceitua os canadenses da Universidade
do Quebec (Canadá): Carol Couture e Jean Yves Rousseau, no livro Os Fundamentos da Disciplina Arquivística;
• Disponibilidade: propriedade que garante que a informação esteja sempre disponível para o uso legítimo, ou seja, por
aqueles usuários autorizados pelo proprietário da informação;
• Autenticidade: propriedade que garante que a informação é proveniente da fonte anunciada e que não foi alvo de
mutações ao longo de um processo;
• Irretratabilidade ou não repúdio: propriedade que garante a impossibilidade de negar a autoria em relação a uma
transação anteriormente feita;
• Conformidade: propriedade que garante que o sistema deve seguir as leis e regulamentos associados a este tipo de
processo.
Mecanismos de segurança
O suporte para as recomendações de segurança pode ser encontrado em:
• Controles físicos: são barreiras que limitam o contato ou acesso direto a informação ou a infraestrutura (que garante a
existência da informação) que a suporta. Mecanismos de segurança que apoiam os controles físicos: portas, trancas,
paredes, blindagem, guardas, etc.
• Controles lógicos: são barreiras que impedem ou limitam o acesso a informação, que está em ambiente controlado,
geralmente eletrônico, e que, de outro modo, ficaria exposta a alteração não autorizada por elemento mal
intencionado. Mecanismos de segurança que apoiam os controles lógicos:
• Mecanismos de cifração ou encriptação: permitem a transformação reversível da informação de forma a torná-la
ininteligível a terceiros. Utiliza-se para tal, algoritmos determinados e uma chavesecreta para, a partir de um
conjunto de dados não criptografados, produzir uma sequência de dados criptografados. A operação inversa é a
decifração.
• Assinatura digital: Um conjunto de dados criptografados, associados a um documento do qual são função,
garantindo a integridade e autenticidade do documento associado, mas não a sua confidencialidade.
• Mecanismos de garantia da integridade da informação: usando funções de "Hashing" ou de checagem, é
garantida a integridade através de comparação do resultado do teste local com o divulgado pelo autor.
• Mecanismos de controle de acesso: palavras-chave, sistemas biométricos, firewalls, cartões inteligentes.
• Mecanismos de certificação: atesta a validade de um documento.
• Honeypot: é uma ferramenta que tem a função de propositalmente simular falhas de segurança de um sistema e
colher informações sobre o invasor enganando-o, fazendo-o pensar que esteja de fato explorando uma
vulnerabilidade daquele sistema. É uma espécie de armadilha para invasores. O honeypot não oferece nenhum
tipo de proteção.
• Protocolos seguros: uso de protocolos que garantem um grau de segurança e usam alguns dos mecanismos
citados aqui.
Atualmente existe uma grande variedade de ferramentas e sistemas que pretendem fornecer segurança. Alguns
exemplos: antivírus, firewalls, filtros anti-spam, fuzzers, detectores de intrusões (IDS), analisadores de código, etc.
2021
UFCD 8988
Pág.: 14/16
Ameaças à segurança
As ameaças à segurança da informação são relacionadas diretamente à perda de uma de suas três principais
características, quais sejam:
• Perda de confidencialidade: há uma quebra de sigilo de uma determinada informação (ex: a senha de um usuário ou
administrador de sistema) permitindo que sejam expostas informações restritas as quais seriam acessíveis apenas por
um determinado grupo de usuários.
• Perda de integridade: determinada informação fica exposta a manuseio por uma pessoa não autorizada, que efetua
alterações que não foram aprovadas e não estão sob o controle do proprietário (corporativo ou privado) da informação.
• Perda de disponibilidade: a informação deixa de estar acessível por quem necessita dela. Seria o caso da perda de
comunicação com um sistema importante para a empresa, que aconteceu com a queda de um servidor ou de uma
aplicação crítica de negócio, que apresentou uma falha devido a um erro causado por motivo interno ou externo ao
equipamento ou por ação não autorizada de pessoas com ou sem má intenção.
No caso de ameaças à rede de computadores ou a um sistema, estas podem vir de agentes maliciosos, muitas vezes
conhecidos como crackers, (hackers não são agentes maliciosos, pois tentam ajudar a encontrar possíveis falhas). Os
crackers são motivados a fazer esta ilegalidade por vários motivos, dentre eles: notoriedade, autoestima, vingança e
enriquecimento ilícito. De acordo com pesquisa elaborada pelo Computer Security Institute, mais de 70% dos ataques
partem de usuários legítimos de sistemas de informação (insiders), o que motiva corporações a investir largamente em
controles de segurança para seus ambientes corporativos (intranet).
Invasões na Internet
Todo sistema de computação necessita de um sistema para proteção de arquivos. Este sistema é um conjunto de regras
que garantem que a informação não seja lida, ou modificada por quem não tem permissão.
A segurança é usada especificamente para referência do problema genérico do assunto, já os mecanismos de proteção
são usados para salvar as informações a serem protegidas. A segurança é analisada de várias formas, sendo os principais
problemas causados com a falta dela a perda de dados e as invasões de intrusos. A perda de dados na maioria das vezes
é causada por algumas razões:
• Fatores naturais: incêndios, enchentes, terremotos, e vários outros problemas de causas naturais;
• Erros de hardware ou de software: falhas no processamento, erros de comunicação, ou bugs em programas;
• Erros humanos: entrada de dados incorreta, montagem errada de disco ou perda de um disco.
Para evitar a perda destes dados é necessário manter um backup confiável, armazenado geograficamente distante dos
dados originais.
Nível de segurança
Depois de identificado o potencial de ataque, as organizações têm que decidir o nível de segurança a estabelecer para uma
rede ou sistema os recursos físicos e lógicos a necessitar de proteção. No nível de segurança devem ser quantificados os
custos associados aos ataques e os associados à implementação de mecanismos de proteção para minimizar a
probabilidade de ocorrência de um ataque.
Segurança física
Considera as ameaças físicas como incêndios, desabamentos, relâmpagos, alagamento, algo que possa danificar a parte
física da segurança, acesso indevido de estranhos (controle de acesso), forma inadequada de tratamento e manuseio do
veículo.
2021
UFCD 8988
Pág.: 15/16
Segurança lógica
Atenta contra ameaças ocasionadas por vírus, acessos remotos à rede, backup desatualizados, violação de senhas, furtos
de identidades, etc.
Segurança lógica é a forma como um sistema é protegido no nível de sistema operacional e de aplicação. Normalmente é
considerada como proteção contra ataques, mas também significa proteção de sistemas contra erros não intencionais,
como remoção acidental de importantes arquivos de sistema ou aplicação.
Políticas de segurança
De acordo com o (The Site Security Handbook), uma política de segurança consiste num conjunto formal de regras que
devem ser seguidas pelos utilizadores dos recursos de uma organização.
As políticas de segurança devem ter implementação realista, e definir claramente as áreas de responsabilidade dos
utilizadores, do pessoal de gestão de sistemas e redes e da direção. Deve também adaptar-se a alterações na
organização. As políticas de segurança fornecem um enquadramento para a implementação de mecanismos de segurança,
definem procedimentos de segurança adequados, processos de auditoria à segurança e estabelecem uma base para
procedimentos legais na sequência de ataques.
O documento que define a política de segurança deve deixar de fora todos os aspectos técnicos de implementação dos
mecanismos de segurança, pois essa implementação pode variar ao longo do tempo. Deve ser também um documento de
fácil leitura e compreensão, além de resumido.
Existem duas filosofias por trás de qualquer política de segurança:
• Disponibilidade: o sistema deve estar disponível de forma que quando o usuário necessitar, possa usar. Dados críticos
devem estar disponíveis ininterruptamente;
• Integridade: o sistema deve estar sempre íntegro e em condições de ser usado;
2021
UFCD 8988
Pág.: 16/16
• Confidencialidade: dados privados devem ser apresentados somente aos donos dos dados ou ao grupo por ele
liberado;
• Autenticidade: o sistema deve ter condições de garantir de que a informação e/ou a identidade dos usuários, são
quem dizem ser;
• Legalidade: valor legal das informações dentro de um processo de comunicação.
Dentre as políticas utilizadas pelas grandes corporações a composição da senha é a mais controversa. Por um lado
profissionais com dificuldade de memorizar várias senhas de acesso, por outro funcionários displicentes que anotam a
senha sob o teclado, no fundo das gavetas e, em casos mais graves, até em post-it no monitor.
Recomenda-se a adoção das seguintes regras para minimizar o problema, mas a regra fundamental é a conscientização
dos colaboradores quanto ao uso e manutenção das senhas:
• Inibir a repetição.
Adota-se através de regras predefinidas que uma senha não poderá ter mais que 60% dos caracteres utilizados
nas últimas senhas. Por exemplo: caso a senha anterior fosse “123senha”, a nova senha deve ter mais de 60%
dos caracteres diferentes, como “456seuse”, neste caso foram repetidos somente os caracteres “s” “e” os demais
diferentes;
• Criar um conjunto com possíveis senhas que não podem ser utilizadas.
Monta-se uma base de dados com formatos conhecidos de senhas e proibir o seu uso. Exemplos: o nome da
empresa ou abreviatura, caso o funcionário chame-se José da Silva, sua senha não deveria conter partes do
nome como 1221jose ou 1212silv etc., nem sua data de nascimento/aniversário, número de telefone, e similares.