1 / 40

Boas Práticas em Governança e Gestão de TI para o Sistema “S”

Boas Práticas em Governança e Gestão de TI para o Sistema “S”. Leonardo Gomes Pinheiro Vitor Almeida. Agenda. Planejamento de TI Desenvolvimento Infraestrutura Serviços de TI Gerenciamento de Projetos Segurança da Informação Contratações de Soluções de TI Como Fazer?.

adelie
Download Presentation

Boas Práticas em Governança e Gestão de TI para o Sistema “S”

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Boas Práticas em Governança e Gestão de TI para o Sistema “S” Leonardo Gomes Pinheiro Vitor Almeida

  2. Agenda • Planejamento de TI • Desenvolvimento • Infraestrutura • Serviços de TI • Gerenciamento de Projetos • Segurança da Informação • Contratações de Soluções de TI • Como Fazer?

  3. Planejamento de TI

  4. Planejamento de TI • Posicionamento e Estruturação da TI

  5. Planejamento de TI • Pessoal de TI

  6. Planejamento de TI • Comitê de TI • Estrutura para Tomada de Decisão • Natureza: Consultiva ou Deliberativa • Como fazer:

  7. Planejamento de TI • Mapeamento dos Processos de TI

  8. Planejamento de TI • Recomendações • Reavaliar a composição do Comitê Gestor de TI, incluindo representantes das áreas de negócio da entidade, e elaborar plano de comunicação e cronograma de reuniões do comitê. • Implantar processo formal de planejamento estratégico, englobando as ações, benefícios, custos e riscos da TI que sustentem a estratégia de negócio e os requisitos de governança, utilizando como linha orientativa o Processo PO 01 do COBIT. • Realizar estudo quantitativo e qualitativo das necessidades de pessoal para planejamento, coordenação e controle dos processos de gestão e governança de TI, procedendo com o posterior processo seletivo e a contratação dos profissionais, se for o caso.

  9. Desenvolvimento • Processo de Desenvolvimento de Software

  10. Desenvolvimento • Medição de Esforço

  11. Desenvolvimento • Catálogo de Sistemas

  12. Infraestrutura • Gestão e Monitoramento de Ativos

  13. Serviços de TI • Catálogo e Acordos de Níveis de Serviços de TI

  14. Serviços de TI • Helpdesk

  15. Gerenciamento de Projetos • Metodologia de Gerenciamento de Projetos

  16. Gerenciamento de Projetos • Escritório de Gerenciamento de Projetos

  17. BOAS PRÁTICAS PARTE II SEGURANÇA DA INFORMAÇÃO CONTRATAÇOES DE SOLUÇÕES DE TI LEONARDO GOMES PINHEIRO

  18. Segurança da Informação • Política de Segurança da Informação - PSI • Plano de Continuidade do Negócio – PCN • PSI e PCN x Órgãos de controle

  19. Segurança da Informação Por que é importante zelar pelas informações? É o recurso patrimonial mais crítico; Compromete a imagem da instiuição; Adulterar informações Pessoa de má-fé Concorrentes Comprometimento de processos institucionais; Clientes e sociedades.

  20. 1) Política de Segurança da Informação DOCUMENTO APROVADO PELA ALTA ADMINISTRAÇÃO PRINCÍPIOS, DIRETRIZES E REGRAS PSI LINHAS MESTRAS A SEREM SEGUIDAS PELA INSTITUIÇÃO REVISADO , ATUALIZADO E DIVULGADO NÃO RESTRITO A ÁREA DE TI

  21. 1) Política de Segurança da Informação Informações mínimas: Declaração do comprometimento da alta administração Definição de responsabilidades gerais Gerência de Riscos e Plano de Continuidade do Negócio PSI Política inter- relacionadas (backup, senhas, contratação, internet, softwares, equipamentos, etc ) Classificação das informações: irrestrito, interno, confidencial e secreta. Consequências de violações de normas ( penalidades) Plano de treinamento em S.I.

  22. 2) Plano de Continuidade dos Negócios Integridade PCN A L T A A D M I N I S T R A Ç Ã O Disponibilidade Plano de estratégias e procedimentos Conjunto de medidas com ações preventivas e de recuperação Serve para combater problemas inesperados Minimizar impactos negativos Ex: desastres, incêncios, greves, falhas de equipamentos, interrupção de serviços e sistemas

  23. 3) Plano de Continuidade dos Negócios • Como garantir que o PCN funcionará? • Treinamento e conscientização • Testes periódicos • Manutenção contínua (revisado) Como eu faço? Linha orientativa: Norma Complementar 06/IN01/DSIC/GSIPR

  24. PSI x Órgãos de controle (Acórdão nº 1233/2012 Plenário) 9.15.12. estabeleça a obrigatoriedade de que os entes sob sua jurisdição implementem os seguintes controles gerais de TI relativos à segurança da informação (subitem II.8): 9.15.12.4. estabelecimento de política de segurança da informação, à semelhança das orientações contidas na NBR ISO/IEC 27.002, item 5.1 – Política de segurança da informação Acórdão nº 1382/2009 Plenário, Acórdão nº 906/2009 Plenário, Acórdão nº 381/2011 Plenário, Acórdão nº 2746/2010 Plenário.

  25. PCN x Órgãos de controle (Acórdão 1382/2009 Plenário) 9.2. (...) defina formalmente um Plano de Continuidade do Negócio (PCN) que garanta, em caso de falhas ou desastre natural significativo, a retomada tempestiva do funcionamento do órgão, protegendo os processos críticos, de acordo com o previsto no item 14 da NBR ISO/IEC 17799:2005, e segundo orientações contidas no Cobit 4.1, item DS4.2 - Planos de Continuidade de TI

  26. Contratações de Soluções de TI Vantagens: (garantias) • Riscos envolvidos sejam gerenciados; • Contratação alinhada aos objetivos institucionais • Recursos sejam bem utilizados (financeiros e humanos) Demandam esforço considerável de várias unidades para fazer a licitação (e.g. estudos técnicos preliminares, TR o PB, edital, jurídico, etc.)

  27. Contratações de Soluções de TI Desvantagens: • Contratar produtos e serviços que não agreguem efetivamente valor ao órgão, isto é, que não ajudem o órgão a alcançar os objetivos definidos; • Preço acima de valores do mercado • Contratar soluções de TI que ultrapassem a necessidade da entidade Esses riscos podem materializar-se em eventos e gerar sançõesàquele que lhes deram causa. Consequência: Órgãos de controle = TCU, CGU e MP.

  28. BOAS PRÁTICAS • Documentar os artefatos de planejamento da contratação nos autos do processo de contratação. (processo administrativo) 2) Publicar políticas e normas: O que pode ser normatizado? • Procedimentos para estimar preços das contratações; • PSI • Metodologia de Desenvolvimento de Sistemas (MDS), NBR ISO/IEC 12.207 e 15.504; • Nomeação e atribuições dos gestores e fiscais de contratos • Política de uso dos recursos de TI (internet, e-mail, etc.)

  29. BOAS PRÁTICAS 3) Capacitar funcionários em contratação de soluções de TI e em gestão de contratos • Funcionários minimamente capacitados (qtd. adequada) • Contínua (complexidade e dinamismo) 4) Documentar todas as interações com empresas interessadas, licitantes e com a contratada. 5)Utilizar compilação da legislação, da jurisprudência e dos normativos do órgão que afetam as contratações de TI • Lei de introdução as normas do Direito brasileiro – antigo Cod. Civil Decreto-Lei 4.657/1942 “Art. 3º Ninguém se escusa de cumprir a lei, alegando que não a conhece.” Falta de conhecimento da lei não é justificativa para deixar de cumpri-la. Cobit 4.1, “ME3.1 Identificação dos Requisitos de Conformidade com Leis, Regulamentações e Contratos Externos

  30. Principais fragilidades 1) Falhas na definição dos objeto da contratação; 2) Ausência de orçamento estimado em planilhas de quantitativos e preços unitários; 3) Pagamento pela prestação de serviços de TI não vinculado aos resultados/pagamento por homem-hora; Paradoxo lucro-incopetência • < qualificação > nr de horas > lucro empresa > custo Entidade • Pagar por disponibilidade mesmo s/ contraprestação do serviço 4) Ausência de mecanismos de gestão contratual.

  31. GESTÃO DE CONTRATOS DE TI Cláusulas específicas de TI: • Comunicação; • Confidencialidade; • Segurança da informação; • Direitos autorais; • Transferência de informação e documentação; • ANS: prazos, penalidades, responsabilidades das partes; • Qualidade dos serviços.

  32. Atores FISCAL GESTOR

  33. ATRIBUIÇOES DOS FISCAIS • Conhecer o objeto; • Fazer check-list com informações ao bom e fiel cumprimento do contrato • Registrar todasocorrências e providências que possam prejudicar o contrato – “Registro e Comunicação de ocorrências” • Ter arquivo exclusivo ( cópia do contrato, proposta, edital, TR, anexos, comunicações com o preposto. • Ter um livro de registro.

  34. ATRIBUIÇOES DOS FISCAIS • Preposto – comunicação formal – evitar subordinação direta • Fiscalizar cumprimento de obrigações e encargos trabalhistas • Ateste de NF conferindo previamente o bem ou serviço de acordo com o contratado (qualidade, ANS, preços, prazos de entrega)

  35. Contratações de Soluções de TI • Recomendações • Designar fiscal para acompanhamento da execução dos contratos, estabelecendo, nas contratações de serviços de TI, procedimentos periódicos de controle com vistas a verificar o cumprimento da obrigação contratual em relação às equipes técnicas de empregados e respectivos serviços prestados. • Realizar ampla pesquisa das especificações técnicas de bens de TI, abrangendo diversos modelos e marcas, com vistas a não restringir a participação de potenciais licitantes no processo licitatório.

  36. Contratações de Soluções de TI • Recomendações • Utilizar métricas vinculadas aos resultados esperados nas contratações de soluções de TI, se abstendo de realizar o pagamento por simples medição das horas trabalhadas. • Definir níveis mínimos de serviços nas futuras contratações de soluções de TI, a fim de possibilitar a mensuração dos valores a serem pagos pelos serviços prestados. • Definir, no instrumento contratual, as sanções administrativas, de forma clara e detalhada, inclusive pelo não atendimento dos níveis mínimos de serviço estabelecidos.

  37. Contratações de Soluções de TI • Recomendações • Utilizar métricas vinculadas aos resultados esperados nas contratações de soluções de TI, se abstendo de realizar o pagamento por simples medição das horas trabalhadas. • Definir níveis mínimos de serviços nas futuras contratações de soluções de TI, a fim de possibilitar a mensuração dos valores a serem pagos pelos serviços prestados. • Definir, no instrumento contratual, as sanções administrativas, de forma clara e detalhada, inclusive pelo não atendimento dos níveis mínimos de serviço estabelecidos.

  38. Como fazer? • Modelos e Frameworks • COBIT 4.1 • ISO/IEC 38500:2009 • ISO/IEC 27001 e 27002 • CMMI • MPS.br • ITIL v.3 • NBR ISO/IEC 12.207 e 15.504

  39. Como fazer? • IN 04/2010 • IN 02/2008 • www.governoeletronico.gov.br • Livro Manual do gestor do Sistema S • Cartilha da CGU – Entendimentossobregestão dos recursos do Sistema S • www.tcu.gov.br • http://dsic.planalto.gov.br/ GSI/PR

  40. Controladoria-Geral da União Secretaria Federal de Controle Interno Diretoria de Auditoria de Pessoal, Previdência e Trabalho Setor de Autarquias Sul, Quadra 1, Bloco A, Edifício Darcy Ribeiro, CEP: 70070-905. Site: www.cgu.gov.br Muito Obrigado!E-mails: vitor.kessler@cgu.gov.br, leonardo.pinheiro@cgu.gov.br, sfcdpses@cgu.gov.brFone: (61) 2020-6902

More Related