400 likes | 541 Vues
Boas Práticas em Governança e Gestão de TI para o Sistema “S”. Leonardo Gomes Pinheiro Vitor Almeida. Agenda. Planejamento de TI Desenvolvimento Infraestrutura Serviços de TI Gerenciamento de Projetos Segurança da Informação Contratações de Soluções de TI Como Fazer?.
E N D
Boas Práticas em Governança e Gestão de TI para o Sistema “S” Leonardo Gomes Pinheiro Vitor Almeida
Agenda • Planejamento de TI • Desenvolvimento • Infraestrutura • Serviços de TI • Gerenciamento de Projetos • Segurança da Informação • Contratações de Soluções de TI • Como Fazer?
Planejamento de TI • Posicionamento e Estruturação da TI
Planejamento de TI • Pessoal de TI
Planejamento de TI • Comitê de TI • Estrutura para Tomada de Decisão • Natureza: Consultiva ou Deliberativa • Como fazer:
Planejamento de TI • Mapeamento dos Processos de TI
Planejamento de TI • Recomendações • Reavaliar a composição do Comitê Gestor de TI, incluindo representantes das áreas de negócio da entidade, e elaborar plano de comunicação e cronograma de reuniões do comitê. • Implantar processo formal de planejamento estratégico, englobando as ações, benefícios, custos e riscos da TI que sustentem a estratégia de negócio e os requisitos de governança, utilizando como linha orientativa o Processo PO 01 do COBIT. • Realizar estudo quantitativo e qualitativo das necessidades de pessoal para planejamento, coordenação e controle dos processos de gestão e governança de TI, procedendo com o posterior processo seletivo e a contratação dos profissionais, se for o caso.
Desenvolvimento • Processo de Desenvolvimento de Software
Desenvolvimento • Medição de Esforço
Desenvolvimento • Catálogo de Sistemas
Infraestrutura • Gestão e Monitoramento de Ativos
Serviços de TI • Catálogo e Acordos de Níveis de Serviços de TI
Serviços de TI • Helpdesk
Gerenciamento de Projetos • Metodologia de Gerenciamento de Projetos
Gerenciamento de Projetos • Escritório de Gerenciamento de Projetos
BOAS PRÁTICAS PARTE II SEGURANÇA DA INFORMAÇÃO CONTRATAÇOES DE SOLUÇÕES DE TI LEONARDO GOMES PINHEIRO
Segurança da Informação • Política de Segurança da Informação - PSI • Plano de Continuidade do Negócio – PCN • PSI e PCN x Órgãos de controle
Segurança da Informação Por que é importante zelar pelas informações? É o recurso patrimonial mais crítico; Compromete a imagem da instiuição; Adulterar informações Pessoa de má-fé Concorrentes Comprometimento de processos institucionais; Clientes e sociedades.
1) Política de Segurança da Informação DOCUMENTO APROVADO PELA ALTA ADMINISTRAÇÃO PRINCÍPIOS, DIRETRIZES E REGRAS PSI LINHAS MESTRAS A SEREM SEGUIDAS PELA INSTITUIÇÃO REVISADO , ATUALIZADO E DIVULGADO NÃO RESTRITO A ÁREA DE TI
1) Política de Segurança da Informação Informações mínimas: Declaração do comprometimento da alta administração Definição de responsabilidades gerais Gerência de Riscos e Plano de Continuidade do Negócio PSI Política inter- relacionadas (backup, senhas, contratação, internet, softwares, equipamentos, etc ) Classificação das informações: irrestrito, interno, confidencial e secreta. Consequências de violações de normas ( penalidades) Plano de treinamento em S.I.
2) Plano de Continuidade dos Negócios Integridade PCN A L T A A D M I N I S T R A Ç Ã O Disponibilidade Plano de estratégias e procedimentos Conjunto de medidas com ações preventivas e de recuperação Serve para combater problemas inesperados Minimizar impactos negativos Ex: desastres, incêncios, greves, falhas de equipamentos, interrupção de serviços e sistemas
3) Plano de Continuidade dos Negócios • Como garantir que o PCN funcionará? • Treinamento e conscientização • Testes periódicos • Manutenção contínua (revisado) Como eu faço? Linha orientativa: Norma Complementar 06/IN01/DSIC/GSIPR
PSI x Órgãos de controle (Acórdão nº 1233/2012 Plenário) 9.15.12. estabeleça a obrigatoriedade de que os entes sob sua jurisdição implementem os seguintes controles gerais de TI relativos à segurança da informação (subitem II.8): 9.15.12.4. estabelecimento de política de segurança da informação, à semelhança das orientações contidas na NBR ISO/IEC 27.002, item 5.1 – Política de segurança da informação Acórdão nº 1382/2009 Plenário, Acórdão nº 906/2009 Plenário, Acórdão nº 381/2011 Plenário, Acórdão nº 2746/2010 Plenário.
PCN x Órgãos de controle (Acórdão 1382/2009 Plenário) 9.2. (...) defina formalmente um Plano de Continuidade do Negócio (PCN) que garanta, em caso de falhas ou desastre natural significativo, a retomada tempestiva do funcionamento do órgão, protegendo os processos críticos, de acordo com o previsto no item 14 da NBR ISO/IEC 17799:2005, e segundo orientações contidas no Cobit 4.1, item DS4.2 - Planos de Continuidade de TI
Contratações de Soluções de TI Vantagens: (garantias) • Riscos envolvidos sejam gerenciados; • Contratação alinhada aos objetivos institucionais • Recursos sejam bem utilizados (financeiros e humanos) Demandam esforço considerável de várias unidades para fazer a licitação (e.g. estudos técnicos preliminares, TR o PB, edital, jurídico, etc.)
Contratações de Soluções de TI Desvantagens: • Contratar produtos e serviços que não agreguem efetivamente valor ao órgão, isto é, que não ajudem o órgão a alcançar os objetivos definidos; • Preço acima de valores do mercado • Contratar soluções de TI que ultrapassem a necessidade da entidade Esses riscos podem materializar-se em eventos e gerar sançõesàquele que lhes deram causa. Consequência: Órgãos de controle = TCU, CGU e MP.
BOAS PRÁTICAS • Documentar os artefatos de planejamento da contratação nos autos do processo de contratação. (processo administrativo) 2) Publicar políticas e normas: O que pode ser normatizado? • Procedimentos para estimar preços das contratações; • PSI • Metodologia de Desenvolvimento de Sistemas (MDS), NBR ISO/IEC 12.207 e 15.504; • Nomeação e atribuições dos gestores e fiscais de contratos • Política de uso dos recursos de TI (internet, e-mail, etc.)
BOAS PRÁTICAS 3) Capacitar funcionários em contratação de soluções de TI e em gestão de contratos • Funcionários minimamente capacitados (qtd. adequada) • Contínua (complexidade e dinamismo) 4) Documentar todas as interações com empresas interessadas, licitantes e com a contratada. 5)Utilizar compilação da legislação, da jurisprudência e dos normativos do órgão que afetam as contratações de TI • Lei de introdução as normas do Direito brasileiro – antigo Cod. Civil Decreto-Lei 4.657/1942 “Art. 3º Ninguém se escusa de cumprir a lei, alegando que não a conhece.” Falta de conhecimento da lei não é justificativa para deixar de cumpri-la. Cobit 4.1, “ME3.1 Identificação dos Requisitos de Conformidade com Leis, Regulamentações e Contratos Externos
Principais fragilidades 1) Falhas na definição dos objeto da contratação; 2) Ausência de orçamento estimado em planilhas de quantitativos e preços unitários; 3) Pagamento pela prestação de serviços de TI não vinculado aos resultados/pagamento por homem-hora; Paradoxo lucro-incopetência • < qualificação > nr de horas > lucro empresa > custo Entidade • Pagar por disponibilidade mesmo s/ contraprestação do serviço 4) Ausência de mecanismos de gestão contratual.
GESTÃO DE CONTRATOS DE TI Cláusulas específicas de TI: • Comunicação; • Confidencialidade; • Segurança da informação; • Direitos autorais; • Transferência de informação e documentação; • ANS: prazos, penalidades, responsabilidades das partes; • Qualidade dos serviços.
Atores FISCAL GESTOR
ATRIBUIÇOES DOS FISCAIS • Conhecer o objeto; • Fazer check-list com informações ao bom e fiel cumprimento do contrato • Registrar todasocorrências e providências que possam prejudicar o contrato – “Registro e Comunicação de ocorrências” • Ter arquivo exclusivo ( cópia do contrato, proposta, edital, TR, anexos, comunicações com o preposto. • Ter um livro de registro.
ATRIBUIÇOES DOS FISCAIS • Preposto – comunicação formal – evitar subordinação direta • Fiscalizar cumprimento de obrigações e encargos trabalhistas • Ateste de NF conferindo previamente o bem ou serviço de acordo com o contratado (qualidade, ANS, preços, prazos de entrega)
Contratações de Soluções de TI • Recomendações • Designar fiscal para acompanhamento da execução dos contratos, estabelecendo, nas contratações de serviços de TI, procedimentos periódicos de controle com vistas a verificar o cumprimento da obrigação contratual em relação às equipes técnicas de empregados e respectivos serviços prestados. • Realizar ampla pesquisa das especificações técnicas de bens de TI, abrangendo diversos modelos e marcas, com vistas a não restringir a participação de potenciais licitantes no processo licitatório.
Contratações de Soluções de TI • Recomendações • Utilizar métricas vinculadas aos resultados esperados nas contratações de soluções de TI, se abstendo de realizar o pagamento por simples medição das horas trabalhadas. • Definir níveis mínimos de serviços nas futuras contratações de soluções de TI, a fim de possibilitar a mensuração dos valores a serem pagos pelos serviços prestados. • Definir, no instrumento contratual, as sanções administrativas, de forma clara e detalhada, inclusive pelo não atendimento dos níveis mínimos de serviço estabelecidos.
Contratações de Soluções de TI • Recomendações • Utilizar métricas vinculadas aos resultados esperados nas contratações de soluções de TI, se abstendo de realizar o pagamento por simples medição das horas trabalhadas. • Definir níveis mínimos de serviços nas futuras contratações de soluções de TI, a fim de possibilitar a mensuração dos valores a serem pagos pelos serviços prestados. • Definir, no instrumento contratual, as sanções administrativas, de forma clara e detalhada, inclusive pelo não atendimento dos níveis mínimos de serviço estabelecidos.
Como fazer? • Modelos e Frameworks • COBIT 4.1 • ISO/IEC 38500:2009 • ISO/IEC 27001 e 27002 • CMMI • MPS.br • ITIL v.3 • NBR ISO/IEC 12.207 e 15.504
Como fazer? • IN 04/2010 • IN 02/2008 • www.governoeletronico.gov.br • Livro Manual do gestor do Sistema S • Cartilha da CGU – Entendimentossobregestão dos recursos do Sistema S • www.tcu.gov.br • http://dsic.planalto.gov.br/ GSI/PR
Controladoria-Geral da União Secretaria Federal de Controle Interno Diretoria de Auditoria de Pessoal, Previdência e Trabalho Setor de Autarquias Sul, Quadra 1, Bloco A, Edifício Darcy Ribeiro, CEP: 70070-905. Site: www.cgu.gov.br Muito Obrigado!E-mails: vitor.kessler@cgu.gov.br, leonardo.pinheiro@cgu.gov.br, sfcdpses@cgu.gov.brFone: (61) 2020-6902