dpses - dp sfc/cgu boas práticas em governança e gestão de ti para o sistema s leonardo gomes...
TRANSCRIPT
DPSES - DP SFC/CGU
Boas Práticas em Governança e Gestão de TI para o Sistema “S”
Leonardo Gomes PinheiroVitor Almeida
DPSES - DP SFC/CGU
Agenda
• Planejamento de TI• Desenvolvimento• Infraestrutura• Serviços de TI• Gerenciamento de Projetos• Segurança da Informação• Contratações de Soluções de TI• Como Fazer?
DPSES - DP SFC/CGU
Planejamento de TI
Planejamento Estratégico Institucional
Planejamento Estratégico de TI
Planejamento Tático de TI
Contratação de Soluções de TI
DPSES - DP SFC/CGU
Planejamento de TI
• Posicionamento e Estruturação da TI
Alta Administração
Tecnologia da Informação
Desenvolvimento Infraestrutura Segurança da Informação ...
DPSES - DP SFC/CGU
Planejamento de TI
• Pessoal de TI
Carreira e Cargos Específicos de TI
Quantitativo de Pessoal Adequado
Mapeamento de Competências
Capacitação e Treinamento
DPSES - DP SFC/CGU
Planejamento de TI
• Comitê de TI– Estrutura para Tomada de Decisão– Natureza: Consultiva ou Deliberativa– Como fazer:
Constituição do Comitê de
TI
Planejamento das
Comunicações
Execução do Cronograma de
Reuniões
DPSES - DP SFC/CGU
Planejamento de TI
• Mapeamento dos Processos de TI
DPSES - DP SFC/CGU
Planejamento de TI
• Recomendações– Reavaliar a composição do Comitê Gestor de TI, incluindo
representantes das áreas de negócio da entidade, e elaborar plano de comunicação e cronograma de reuniões do comitê.
– Implantar processo formal de planejamento estratégico, englobando as ações, benefícios, custos e riscos da TI que sustentem a estratégia de negócio e os requisitos de governança, utilizando como linha orientativa o Processo PO 01 do COBIT.
– Realizar estudo quantitativo e qualitativo das necessidades de pessoal para planejamento, coordenação e controle dos processos de gestão e governança de TI, procedendo com o posterior processo seletivo e a contratação dos profissionais, se for o caso.
DPSES - DP SFC/CGU
Desenvolvimento
• Processo de Desenvolvimento de Software
DPSES - DP SFC/CGU
Desenvolvimento
• Medição de Esforço
DPSES - DP SFC/CGU
Desenvolvimento
• Catálogo de Sistemas
DPSES - DP SFC/CGU
Infraestrutura
• Gestão e Monitoramento de Ativos
DPSES - DP SFC/CGU
Serviços de TI
• Catálogo e Acordos de Níveis de Serviços de TI
SLA
Negócio
TI
DPSES - DP SFC/CGU
Serviços de TI
• Helpdesk
DPSES - DP SFC/CGU
Gerenciamento de Projetos
• Metodologia de Gerenciamento de Projetos
DPSES - DP SFC/CGU
Gerenciamento de Projetos
• Escritório de Gerenciamento de ProjetosGestão de Projetos
Diagnóstico e Maturidade
Mentoring e Coaching
Gestão de Portfólio de Projetos
Seleção de Perfis Internos
Gestão de Mudança
DPSES - DP SFC/CGU
BOAS PRÁTICAS
PARTE II
SEGURANÇA DA INFORMAÇÃO CONTRATAÇOES DE SOLUÇÕES DE TI
LEONARDO GOMES PINHEIRO
DPSES - DP SFC/CGU
Segurança da Informação
• Política de Segurança da Informação - PSI• Plano de Continuidade do Negócio – PCN• PSI e PCN x Órgãos de controle
DPSES - DP SFC/CGU
Segurança da Informação
Por que é importante zelar pelas informações?É o recurso patrimonial mais crítico;
Adulterar informações Pessoa de má-fé
Concorrentes
Compromete a imagem da instiuição;
Comprometimento de processos institucionais;
Clientes e sociedades.
DPSES - DP SFC/CGU
1) Política de Segurança da Informação
PSI
DOCUMENTO APROVADO PELA ALTA ADMINISTRAÇÃO
REVISADO , ATUALIZADO E DIVULGADO
PRINCÍPIOS, DIRETRIZES E REGRAS
LINHAS MESTRAS A SEREM SEGUIDAS PELA INSTITUIÇÃO
NÃO RESTRITO A ÁREA DE TI
DPSES - DP SFC/CGU
1) Política de Segurança da Informação
Informações mínimas:
PSI
Definição de responsabilidades gerais
Declaração do comprometimento da alta administração
Gerência de Riscos e Plano de Continuidade do Negócio
Política inter- relacionadas (backup, senhas, contratação, internet, softwares, equipamentos, etc )
Classificação das informações: irrestrito, interno, confidencial e secreta.
Consequências de violações de normas ( penalidades)
Plano de treinamento em S.I.
DPSES - DP SFC/CGU
2) Plano de Continuidade dos Negócios
Plano de estratégias e procedimentos
Serve para combater problemas inesperados
Conjunto de medidas com ações preventivas e de recuperação
Minimizar impactos negativos
Ex: desastres, incêncios, greves, falhas de equipamentos, interrupção de serviços e sistemas
PCNIntegridade
DisponibilidadeALTA
ADMINISTRAÇÃO
DPSES - DP SFC/CGU
3) Plano de Continuidade dos Negócios
• Como garantir que o PCN funcionará?a) Treinamento e conscientizaçãob) Testes periódicosc) Manutenção contínua (revisado)Como eu faço?Linha orientativa: Norma Complementar 06/IN01/DSIC/GSIPR
DPSES - DP SFC/CGU
PSI x Órgãos de controle (Acórdão nº 1233/2012 Plenário) 9.15.12. estabeleça a obrigatoriedade de que os entes sob sua
jurisdição implementem os seguintes controles gerais de TI relativos à segurança da informação (subitem II.8):
9.15.12.4. estabelecimento de política de segurança da informação, à semelhança das orientações contidas na NBR ISO/IEC 27.002, item 5.1 – Política de segurança da informação
Acórdão nº 1382/2009 Plenário, Acórdão nº 906/2009 Plenário, Acórdão nº 381/2011 Plenário, Acórdão nº 2746/2010 Plenário.
DPSES - DP SFC/CGU
PCN x Órgãos de controle (Acórdão 1382/2009 Plenário) 9.2. (...) defina formalmente um Plano de
Continuidade do Negócio (PCN) que garanta, em caso de falhas ou desastre natural significativo, a retomada tempestiva do funcionamento do órgão, protegendo os processos críticos, de acordo com o previsto no item 14 da NBR ISO/IEC 17799:2005, e segundo orientações contidas no Cobit 4.1, item DS4.2 - Planos de Continuidade de TI
DPSES - DP SFC/CGU
Contratações de Soluções de TI
Vantagens: (garantias)Riscos envolvidos sejam gerenciados;Contratação alinhada aos objetivos
institucionaisRecursos sejam bem utilizados (financeiros e
humanos) Demandam esforço considerável de várias unidades para fazer a
licitação (e.g. estudos técnicos preliminares, TR o PB, edital, jurídico, etc.)
DPSES - DP SFC/CGU
Contratações de Soluções de TI
Desvantagens: Contratar produtos e serviços que não agreguem efetivamente
valor ao órgão, isto é, que não ajudem o órgão a alcançar os objetivos definidos;
Preço acima de valores do mercado Contratar soluções de TI que ultrapassem a necessidade da
entidade
Esses riscos podem materializar-se em eventos e gerar sanções àquele que lhes deram causa.Consequência: Órgãos de controle = TCU, CGU e MP.
DPSES - DP SFC/CGU
BOAS PRÁTICAS1) Documentar os artefatos de planejamento da
contratação nos autos do processo de contratação. (processo administrativo)
2) Publicar políticas e normas: O que pode ser normatizado?
a) Procedimentos para estimar preços das contratações;b) PSIc) Metodologia de Desenvolvimento de Sistemas (MDS),
NBR ISO/IEC 12.207 e 15.504;d) Nomeação e atribuições dos gestores e fiscais de
contratose) Política de uso dos recursos de TI (internet, e-mail, etc.)
DPSES - DP SFC/CGU
BOAS PRÁTICAS3) Capacitar funcionários em contratação de soluções de TI e em gestão de
contratosa) Funcionários minimamente capacitados (qtd. adequada)b) Contínua (complexidade e dinamismo)
4) Documentar todas as interações com empresas interessadas, licitantes e com a contratada.
5)Utilizar compilação da legislação, da jurisprudência e dos normativos do órgão que afetam as contratações de TI
• Lei de introdução as normas do Direito brasileiro – antigo Cod. Civil Decreto-Lei 4.657/1942
“Art. 3º Ninguém se escusa de cumprir a lei, alegando que não a conhece.”
Falta de conhecimento da lei não é justificativa para deixar de cumpri-la.
Cobit 4.1, “ME3.1 Identificação dos Requisitos de Conformidade com Leis, Regulamentações e Contratos Externos
DPSES - DP SFC/CGU
Principais fragilidades1) Falhas na definição dos objeto da contratação;
2) Ausência de orçamento estimado em planilhas de quantitativos e preços unitários;
3) Pagamento pela prestação de serviços de TI não vinculado aos resultados/pagamento por homem-hora; Paradoxo lucro-incopetência
1) < qualificação > nr de horas > lucro empresa > custo Entidade2) Pagar por disponibilidade mesmo s/ contraprestação do
serviço
4) Ausência de mecanismos de gestão contratual.
DPSES - DP SFC/CGU
GESTÃO DE CONTRATOS DE TICláusulas específicas de TI: Comunicação; Confidencialidade; Segurança da informação; Direitos autorais; Transferência de informação e documentação; ANS: prazos, penalidades, responsabilidades
das partes; Qualidade dos serviços.
DPSES - DP SFC/CGU
Atores
GESTOR FISCAL
Serviço administrativo Serviço pontual
Reequilíbrio econômico-financeiro, pagamentos, repactuação, reajuste, etc.
Eficiência, eficácia, efetividade, qualidade e resultados
Cuida dos aspectos formais da contratação
Acompanha a execução contratual
Sugere a aplicação das penalidades Identifica e reporta as irregularidades
DPSES - DP SFC/CGU
ATRIBUIÇOES DOS FISCAIS
• Conhecer o objeto; • Fazer check-list com informações ao bom e fiel
cumprimento do contrato• Registrar todas ocorrências e providências
que possam prejudicar o contrato – “Registro e Comunicação de ocorrências”
• Ter arquivo exclusivo ( cópia do contrato, proposta, edital, TR, anexos, comunicações com o preposto.
• Ter um livro de registro.
DPSES - DP SFC/CGU
ATRIBUIÇOES DOS FISCAIS
• Preposto – comunicação formal – evitar subordinação direta
• Fiscalizar cumprimento de obrigações e encargos trabalhistas
• Ateste de NF conferindo previamente o bem ou serviço de acordo com o contratado (qualidade, ANS, preços, prazos de entrega)
DPSES - DP SFC/CGU
Contratações de Soluções de TI
• Recomendações– Designar fiscal para acompanhamento da execução
dos contratos, estabelecendo, nas contratações de serviços de TI, procedimentos periódicos de controle com vistas a verificar o cumprimento da obrigação contratual em relação às equipes técnicas de empregados e respectivos serviços prestados.
– Realizar ampla pesquisa das especificações técnicas de bens de TI, abrangendo diversos modelos e marcas, com vistas a não restringir a participação de potenciais licitantes no processo licitatório.
DPSES - DP SFC/CGU
Contratações de Soluções de TI
• Recomendações– Utilizar métricas vinculadas aos resultados esperados nas
contratações de soluções de TI, se abstendo de realizar o pagamento por simples medição das horas trabalhadas.
– Definir níveis mínimos de serviços nas futuras contratações de soluções de TI, a fim de possibilitar a mensuração dos valores a serem pagos pelos serviços prestados.
– Definir, no instrumento contratual, as sanções administrativas, de forma clara e detalhada, inclusive pelo não atendimento dos níveis mínimos de serviço estabelecidos.
DPSES - DP SFC/CGU
Contratações de Soluções de TI
• Recomendações– Utilizar métricas vinculadas aos resultados esperados nas
contratações de soluções de TI, se abstendo de realizar o pagamento por simples medição das horas trabalhadas.
– Definir níveis mínimos de serviços nas futuras contratações de soluções de TI, a fim de possibilitar a mensuração dos valores a serem pagos pelos serviços prestados.
– Definir, no instrumento contratual, as sanções administrativas, de forma clara e detalhada, inclusive pelo não atendimento dos níveis mínimos de serviço estabelecidos.
DPSES - DP SFC/CGU
Como fazer?• Modelos e Frameworks– COBIT 4.1– ISO/IEC 38500:2009– ISO/IEC 27001 e 27002– CMMI– MPS.br– ITIL v.3– NBR ISO/IEC 12.207 e 15.504
DPSES - DP SFC/CGU
Como fazer?• IN 04/2010• IN 02/2008• www.governoeletronico.gov.br• Livro Manual do gestor do Sistema S• Cartilha da CGU – Entendimentos sobre gestão
dos recursos do Sistema S• www.tcu.gov.br• http://dsic.planalto.gov.br/ GSI/PR
DPSES - DP SFC/CGU
MUITO OBRIGADO!
E-MAILS: [email protected], [email protected], [email protected]
FONE: (61) 2020-6902
Secretaria Federal de Controle InternoControladoria-Geral da União
Diretoria de Auditoria de Pessoal, Previdência e TrabalhoSetor de Autarquias Sul, Quadra 1, Bloco A, Edifício Darcy Ribeiro, CEP:
70070-905. Site: www.cgu.gov.br