TCC - Eduardo Prestes 20 - 07
TCC - Eduardo Prestes 20 - 07
TCC - Eduardo Prestes 20 - 07
RESUMO
Os Sistemas de informação tem assumido cada vez mais um papel estratégico nas organizações, ao
mesmo ponto que as tornam cada vez mais dependentes da sua efetividade para assegurar a
continuidade dos seus processos de trabalho. A Segurança da informação, por sua vez, busca
garantir a continuidade e minimizar os impactos nos negócios. Esse trabalho tem como objetivo
elaborar uma proposta de Plano de Continuidade de Negócios (PCN), voltado para a área de
Tecnologia de Informação (TI) em um ambiente Hospitalar, baseado em normas e boas práticas no
ambiente de TI, identificando os processos organizacionais mais críticos para com isso elaborar
estratégias que assegurem a continuidade das operações de trabalho mesmo em eventos de
disrupção.
1 INTRODUÇÃO
1
Eduardo Prestes Graduando do Curso de Sistemas de Informação do Centro Universitário
UNISOCIESC, eduardoprestes29@gmail.com;
2
Professor orientador: Dr. Mehran Misaghi, Centro Universitário UNISOCIESC,
mehran.misaghi@unisociesc.com.br;
imprevistos que fogem ao nosso controle, sem deixar de mencionar as ações
humanas de terrorismo cibernético com o objetivo de invadir e sequestrar dados
para fins ilícitos.
Quando um incidente causa perdas e prejuízos significativos, a organização
pode se sentir amedrontada, principalmente se houver interrupção nos negócios e
na TI, onde o perfil de infraestrutura corporativa sustenta áreas de negócios. As
perdas também podem motivar e convencer quando há avaliação e previsão
(MARINHO, 2018). Nesse cenário, onde o ambiente hospitalar é ainda mais crítico e
a TI é essencial para o bom funcionamento dos fluxos de processo dentro do
Hospital, será que estamos preparados para agir frente a essas situações atípicas?
No funcionamento das organizações, os Sistemas de informação são
elementos essenciais para a continuidade e sucesso de seus objetivos, e
observa-se que cada vez mais esses sistemas assumem um papel estratégico e de
relevância, vitais para elas, devido a fidelidade das informações em relação aos
dados, visando verificar se os resultados obtidos estão corretos ou não (GIL;
ARIMA, 2018).
O mercado da saúde também segue a crescente informatização dos serviços
médico-hospitalares, demonstrando enorme avanço e tem contribuído para uma
maior eficiência e qualidade. A boa estruturação da informática também promove o
desenvolvimento empresarial destas organizações (LONDOÑO; LAVERDE;
LONDOÑO, 2016).
Diante desse cenário, onde os processos de trabalho são cada vez mais
dependentes dos SI, alguns questionamentos se fazem pertinentes: Como preparar
as empresas para garantir a continuidade de seu negócio em uma situação de
desastre? Como proteger a informação da organização dos riscos relacionados ao
ambiente de TI? Como tratar os incidentes que interrompem os processos de
negócio da organização? O que fazer em situações de desastre? Quem deve fazer
o que durante a recuperação de desastres?
Para isso o objetivo principal deste trabalho, é a elaboração de uma proposta
de Plano de Continuidade de Negócios para os serviços mais críticos de TI dentro
do ambiente hospitalar, a fim de mitigar os impactos de uma possível interrupção
dos serviços, e também desenvolver um plano para restabelecê-los no tempo mais
breve possível.
Este trabalho consiste em um roteiro de atividades a serem seguidas e um
conjunto de artefatos. As atividades envolvem o mapeamento de riscos nos
processos de negócio, a definição das ações para tratamento desses riscos, os
planos de resposta a incidentes e planos de recuperação de desastres e o processo
de execução e monitoramento das ocorrências e também um estudo de caso dentro
da unidade hospitalar. Os artefatos gerados serão documentos do processo,
incluindo o plano concreto de continuidade de negócios.
2 REFERENCIAL TEÓRICO
3
Conjunto de ações cujas consequências se refletem em estar incorporado ao cotidiano de um negócio ou
relação da empresa com todos, materializando conceitos de fraude, corrupção, conflitos de interesses, etc.
(MARINHO, 2018).
organização deve estar preparada para se recuperar. Nesse resultado são
relacionados eventos que podem atrasar ou até mesmo encerrar as atividades da
organização (SÊMOLA, 2014).
Como a BIA é gerada com base em entrevistas realizadas por meio de
questionários, Manoel (2019) recorda sobre a importância de saber quais perguntas
devem ser feitas aos entrevistados e também reitera sobre a importância de se levar
em consideração os mais variados cenários durante essa fase.
De acordo com Oliveira (2020), o objetivo do BIA é identificar os processos
do negócio, as atividades e recursos fundamentais para o seu bom funcionamento,
realizando uma análise de impactos relacionada a esses processos, sejam eles
impactos operacionais, financeiros ou de imagem.
Alevate (2014), destaca sobre a importância da criação de uma análise de
impactos que envolva uma relação financeira com o negócio, ou seja, que apresente
resultados numéricos sobre possíveis perdas referentes a paradas nos processos
críticos, já que esse com esse tipo de visualização torna-se mais fácil justificar todo
o processo de SGCN.
Conforme Manoel (2019) o sucesso de todo o SGCN depende de uma boa
análise de impactos de negócio, do inglês Business Impact Analisys (BIA), já que
todas as tomadas de decisão serão feitas com base nesse documento que define a
prioridade na recuperação dos processos visando a proteção do quê é tido como
mais importante para a organização.
O tempo é um fator fundamental quando se está em uma situação de
contingência. A Figura 2 ilustra um esquema onde são apresentadas algumas
métricas de tempo relacionadas no processo SGCN.
Figura 2: Linha de tempo SGCN
Fonte: Manoel(2019)
.
2.3.1 Comunicação e consulta
3 METODOLOGIA
4
Simula um ambiente real (físico), que proporciona a utilização de diversos recursos e sistemas, sem a
necessidade de acesso físico à máquina que os hospeda (VELLOSO, 2017).
Figura 5 - Etapas Operacionais
Queda do O, I, P 20 5 3 3 31
sistema de
ERP
Queda do O, I, P 20 3 1 1 25
sistema de
Internet
Queda do O, I, P 20 5 3 1 29
sistema de
Impressão
Queda do O, I, P 40 7 3 3 53
sistema de
Banco de
dados
Fonte: O autor (2021)
Um dos pontos de impacto identificados foi referente ao Servidor de Banco
de Dados, pois havendo falha no Host do Banco de Dados, o sistema irá parar até
que o reparo seja executado. Caso a falha seja relacionada a algum outro sistema
que está em Cloud5, os que permanecem ativos trabalham em redundância.
4 RESULTADOS E DISCUSSÕES
5
Computação em nuvem, que permite substituir os recursos de armazenamentos físicos por armazenamento
(principalmente de servidor) e processamento compartilhado (CARVALHO; LORENA, 2017).
6
Um arquivo shadow pode ser lido apenas por usuários com privilégios administrativos (como encarregados e
gestores) (BASTA; BASTA; BROWN, 2015).
Outro ambiente observado foi a área de farmácia, pois conforme já
mencionado, as prescrições de medicamentos ficam comprometidas com a
instabilidade/queda dos sistemas, já que o controle e dispensação dos
medicamentos são efetuados todos com o auxílio deles. Ainda em entrevista com
os servidores do ambiente de farmácia, foi possível detectar unanimidade com
relação a indisponibilidade dos serviços por conta da impressora que realiza a
impressão das prescrições.
Tanto no setor de recepção quanto no setor de farmácia foi observado que a
indisponibilidade das impressoras é uma falha recorrente, que ocorre com
determinada frequência e afeta os trabalhos de forma significativa.
Como proposta de PCN para o problema citado, após análise de caso e
possibilidades de resolução, chegou-se a algumas alternativas:
1. Uma impressora redundante em cada setor devidamente configurada, ligada
diretamente via USB aos computadores. Essa opção é uma solução
relativamente simples, que resolveria o problema para o não funcionamento
das impressoras quando esse se tratar de indisponibilidade da rede. No
entanto, foi questionada pelos administradores de TI, já que prejudicaria o
controle do quantitativo de impressões que é realizado mensalmente, visto
que o serviço de impressão é realizado por uma empresa terceirizada no
município.
2. Criar um servidor de impressão exclusivamente para o hospital: visto que
atualmente o servidor de impressão fica localizado no prédio central da
prefeitura do município localizado a vários quilômetros, ou seja a cada nova
impressão, é realizada uma requisição ao servidor da prefeitura que registra
e libera a solicitação novamente para o hospital, conforme esquema
representado na Figura 6. Ou seja, além dos problemas com a rede interna
do hospital, atualmente podem ocorrer eventuais rompimentos da rede, ou
até mesmo problemas no servidor da PMJ, que são fatores do ambiente
externo que acabam afetando serviços críticos do hospital, com a aplicação
dessa solução seriam eliminados os fatores externos ao hospital.
Figura 8 - Fluxo do servidor de impressão
CONSIDERAÇÕES FINAIS
REFERÊNCIAS
ASSI, Marcos. Gestão de riscos com controles internos. 2. ed. São Paulo: Saint
Paul, 2021. 218 p.
BURTLES, Jim; FRY, Kristen Noakes. Principles and Practice of Business Continuity.
Brookfield: Rothstein, 2016. 464 p.
GIL, Antonio de Loureiro; ARIMA, Carlos Hideo. Auditoria do Negócio com TI:
gestão e operação. São Paulo: Saraiva Educação S.A, 2018. 208 p.
Apêndice
b) Existe algum ponto de falha, ou seja, um único ativo que se falhar interrompe
todo o fluxo de informação do processo?
h) Há Gestão do Conhecimento?