Boas Práticas de Governança e Gestão em TI para o Sistema "S"

Download Report

Transcript Boas Práticas de Governança e Gestão em TI para o Sistema "S" 

Boas Práticas em Governança e
Gestão de TI para o Sistema “S”
Leonardo Gomes Pinheiro
Vitor Almeida
DPSES - DP
SFC/CGU
Agenda
•
•
•
•
•
•
•
•
Planejamento de TI
Desenvolvimento
Infraestrutura
Serviços de TI
Gerenciamento de Projetos
Segurança da Informação
Contratações de Soluções de TI
Como Fazer?
DPSES - DP
SFC/CGU
Planejamento de TI
Planejamento Estratégico
Institucional
Planejamento Estratégico de TI
Planejamento Tático de TI
Contratação de Soluções de TI
DPSES - DP
SFC/CGU
Planejamento de TI
• Posicionamento e Estruturação da TI
Alta
Administração
Tecnologia da
Informação
Desenvolvimento
DPSES - DP
Infraestrutura
Segurança da
Informação
...
SFC/CGU
Planejamento de TI
• Pessoal de TI
Carreira e Cargos Específicos de TI
Quantitativo de Pessoal Adequado
Mapeamento de Competências
Capacitação e Treinamento
DPSES - DP
SFC/CGU
Planejamento de TI
• Comitê de TI
– Estrutura para Tomada de Decisão
– Natureza: Consultiva ou Deliberativa
– Como fazer:
Constituição
do Comitê de
TI
DPSES - DP
Planejamento
das
Comunicações
Execução do
Cronograma de
Reuniões
SFC/CGU
Planejamento de TI
• Mapeamento dos Processos de TI
DPSES - DP
SFC/CGU
Planejamento de TI
• Recomendações
– Reavaliar a composição do Comitê Gestor de TI, incluindo
representantes das áreas de negócio da entidade, e elaborar plano
de comunicação e cronograma de reuniões do comitê.
– Implantar processo formal de planejamento estratégico,
englobando as ações, benefícios, custos e riscos da TI que
sustentem a estratégia de negócio e os requisitos de governança,
utilizando como linha orientativa o Processo PO 01 do COBIT.
– Realizar estudo quantitativo e qualitativo das necessidades de
pessoal para planejamento, coordenação e controle dos processos
de gestão e governança de TI, procedendo com o posterior
processo seletivo e a contratação dos profissionais, se for o caso.
DPSES - DP
SFC/CGU
Desenvolvimento
• Processo de Desenvolvimento de Software
DPSES - DP
SFC/CGU
Desenvolvimento
• Medição de Esforço
DPSES - DP
SFC/CGU
Desenvolvimento
• Catálogo de Sistemas
DPSES - DP
SFC/CGU
Infraestrutura
• Gestão e Monitoramento de Ativos
DPSES - DP
SFC/CGU
Serviços de TI
• Catálogo e Acordos de Níveis de Serviços de TI
TI
Negócio
SLA
DPSES - DP
SFC/CGU
Serviços de TI
• Helpdesk
DPSES - DP
SFC/CGU
Gerenciamento de Projetos
• Metodologia de Gerenciamento de Projetos
DPSES - DP
SFC/CGU
Gerenciamento de Projetos
• Escritório de Gerenciamento de Projetos
Gestão de Projetos
Diagnóstico e Maturidade
Mentoring e Coaching
Gestão de Portfólio de Projetos
Seleção de Perfis Internos
Gestão de Mudança
DPSES - DP
SFC/CGU
BOAS PRÁTICAS
PARTE II
SEGURANÇA DA INFORMAÇÃO
CONTRATAÇOES DE SOLUÇÕES DE TI
LEONARDO GOMES PINHEIRO
DPSES - DP
SFC/CGU
Segurança da Informação
• Política de Segurança da Informação - PSI
• Plano de Continuidade do Negócio – PCN
• PSI e PCN x Órgãos de controle
DPSES - DP
SFC/CGU
Segurança da Informação
Por que é importante zelar pelas informações?
É o recurso patrimonial mais crítico;
Compromete a imagem da
instiuição;
Adulterar informações
Pessoa de má-fé
Concorrentes
Comprometimento de processos
institucionais;
Clientes e sociedades.
DPSES - DP
SFC/CGU
1) Política de Segurança da Informação
DOCUMENTO APROVADO PELA ALTA
ADMINISTRAÇÃO
PRINCÍPIOS, DIRETRIZES E REGRAS
PSI
LINHAS MESTRAS A SEREM SEGUIDAS PELA
INSTITUIÇÃO
REVISADO , ATUALIZADO E DIVULGADO
NÃO RESTRITO A ÁREA DE TI
DPSES - DP
SFC/CGU
1) Política de Segurança da Informação
Informações mínimas:
Declaração do comprometimento da alta administração
Definição de responsabilidades gerais
Gerência de Riscos e Plano de Continuidade do Negócio
PSI
Política inter- relacionadas (backup, senhas, contratação,
internet, softwares, equipamentos, etc )
Classificação das informações: irrestrito, interno,
confidencial e secreta.
Consequências de violações de normas ( penalidades)
Plano de treinamento em S.I.
DPSES - DP
SFC/CGU
2) Plano de Continuidade dos Negócios
PCN
A
L
T
A
A
D
M
I
N
I
S
T
R
A
Ç
Ã
O
Integridade
Disponibilidade
Plano de estratégias e procedimentos
Conjunto de medidas com ações preventivas e de
recuperação
Serve para combater problemas inesperados
Minimizar impactos negativos
Ex: desastres, incêncios, greves, falhas de equipamentos,
interrupção de serviços e sistemas
DPSES - DP
SFC/CGU
3) Plano de Continuidade dos Negócios
• Como garantir que o PCN funcionará?
a) Treinamento e conscientização
b) Testes periódicos
c) Manutenção contínua (revisado)
Como eu faço?
Linha orientativa:
Norma Complementar 06/IN01/DSIC/GSIPR
DPSES - DP
SFC/CGU
PSI x Órgãos de controle
(Acórdão nº 1233/2012 Plenário)
9.15.12. estabeleça a obrigatoriedade de que os entes sob
sua jurisdição implementem os seguintes controles gerais
de TI relativos à segurança da informação (subitem II.8):
9.15.12.4. estabelecimento de política de segurança da
informação, à semelhança das orientações contidas na NBR
ISO/IEC 27.002, item 5.1 – Política de segurança da
informação
Acórdão nº 1382/2009 Plenário, Acórdão nº 906/2009
Plenário, Acórdão nº 381/2011 Plenário, Acórdão nº
2746/2010 Plenário.
DPSES - DP
SFC/CGU
PCN x Órgãos de controle
(Acórdão 1382/2009 Plenário)
9.2. (...) defina formalmente um Plano de
Continuidade do Negócio (PCN) que garanta,
em caso de falhas ou desastre natural
significativo, a retomada tempestiva do
funcionamento do órgão, protegendo os
processos críticos, de acordo com o previsto
no item 14 da NBR ISO/IEC 17799:2005, e
segundo orientações contidas no Cobit 4.1,
item DS4.2 - Planos de Continuidade de TI
DPSES - DP
SFC/CGU
Contratações de Soluções de TI
Vantagens: (garantias)
Riscos envolvidos sejam gerenciados;
Contratação alinhada aos objetivos
institucionais
Recursos sejam bem utilizados (financeiros e
humanos)
Demandam esforço considerável de várias unidades para fazer a
licitação (e.g. estudos técnicos preliminares, TR o PB, edital, jurídico,
etc.)
DPSES - DP
SFC/CGU
Contratações de Soluções de TI
Desvantagens:
 Contratar produtos e serviços que não agreguem efetivamente
valor ao órgão, isto é, que não ajudem o órgão a alcançar os
objetivos definidos;
 Preço acima de valores do mercado
 Contratar soluções de TI que ultrapassem a necessidade da
entidade
Esses riscos podem materializar-se em eventos e
gerar sanções àquele que lhes deram causa.
Consequência: Órgãos de controle = TCU, CGU e MP.
DPSES - DP
SFC/CGU
BOAS PRÁTICAS
1) Documentar os artefatos de planejamento da
contratação nos autos do processo de contratação.
(processo administrativo)
2) Publicar políticas e normas:
O que pode ser normatizado?
a) Procedimentos para estimar preços das contratações;
b) PSI
c) Metodologia de Desenvolvimento de Sistemas (MDS),
NBR ISO/IEC 12.207 e 15.504;
d) Nomeação e atribuições dos gestores e fiscais de
contratos
e) Política de uso dos recursos de TI (internet, e-mail, etc.)
DPSES - DP
SFC/CGU
BOAS PRÁTICAS
3) Capacitar funcionários em contratação de soluções de TI e em gestão
de contratos
a) Funcionários minimamente capacitados (qtd. adequada)
b) Contínua (complexidade e dinamismo)
4) Documentar todas as interações com empresas interessadas,
licitantes e com a contratada.
5)Utilizar compilação da legislação, da jurisprudência e dos
normativos do órgão que afetam as contratações de TI
• Lei de introdução as normas do Direito brasileiro – antigo
Cod. Civil Decreto-Lei 4.657/1942
“Art. 3º Ninguém se escusa de cumprir a lei, alegando que não a conhece.”
Falta de conhecimento da lei não é justificativa para deixar de cumpri-la.
Cobit 4.1, “ME3.1 Identificação dos Requisitos de Conformidade
com Leis, Regulamentações e Contratos Externos
DPSES - DP
SFC/CGU
Principais fragilidades
1) Falhas na definição dos objeto da contratação;
2) Ausência de orçamento estimado em planilhas de
quantitativos e preços unitários;
3) Pagamento pela prestação de serviços de TI não
vinculado aos resultados/pagamento por homem-hora;
Paradoxo lucro-incopetência
1) < qualificação > nr de horas > lucro empresa > custo
Entidade
2) Pagar por disponibilidade mesmo s/ contraprestação
do serviço
4) Ausência de mecanismos de gestão contratual.
DPSES - DP
SFC/CGU
GESTÃO DE CONTRATOS DE TI
Cláusulas específicas de TI:
 Comunicação;
 Confidencialidade;
 Segurança da informação;
 Direitos autorais;
 Transferência de informação e documentação;
 ANS: prazos, penalidades, responsabilidades
das partes;
 Qualidade dos serviços.
DPSES - DP
SFC/CGU
Atores
GESTOR
Serviço administrativo
FISCAL
Serviço pontual
Reequilíbrio econômico-financeiro,
Eficiência, eficácia, efetividade,
pagamentos, repactuação, reajuste, etc. qualidade e resultados
Cuida dos aspectos formais da
contratação
Acompanha a execução contratual
Sugere a aplicação das penalidades
Identifica e reporta as irregularidades
DPSES - DP
SFC/CGU
ATRIBUIÇOES DOS FISCAIS
• Conhecer o objeto;
• Fazer check-list com informações ao bom e fiel
cumprimento do contrato
• Registrar todas ocorrências e providências que
possam prejudicar o contrato – “Registro e
Comunicação de ocorrências”
• Ter arquivo exclusivo ( cópia do contrato,
proposta, edital, TR, anexos, comunicações com o
preposto.
• Ter um livro de registro.
DPSES - DP
SFC/CGU
ATRIBUIÇOES DOS FISCAIS
• Preposto – comunicação formal – evitar
subordinação direta
• Fiscalizar cumprimento de obrigações e
encargos trabalhistas
• Ateste de NF conferindo previamente o bem
ou serviço de acordo com o contratado
(qualidade, ANS, preços, prazos de entrega)
DPSES - DP
SFC/CGU
Contratações de Soluções de TI
• Recomendações
– Designar fiscal para acompanhamento da execução
dos contratos, estabelecendo, nas contratações de
serviços de TI, procedimentos periódicos de controle
com vistas a verificar o cumprimento da obrigação
contratual em relação às equipes técnicas de
empregados e respectivos serviços prestados.
– Realizar ampla pesquisa das especificações técnicas de
bens de TI, abrangendo diversos modelos e marcas,
com vistas a não restringir a participação de potenciais
licitantes no processo licitatório.
DPSES - DP
SFC/CGU
Contratações de Soluções de TI
• Recomendações
– Utilizar métricas vinculadas aos resultados esperados
nas contratações de soluções de TI, se abstendo de
realizar o pagamento por simples medição das horas
trabalhadas.
– Definir níveis mínimos de serviços nas futuras
contratações de soluções de TI, a fim de possibilitar a
mensuração dos valores a serem pagos pelos serviços
prestados.
– Definir, no instrumento contratual, as sanções
administrativas, de forma clara e detalhada, inclusive
pelo não atendimento dos níveis mínimos de serviço
estabelecidos.
DPSES - DP
SFC/CGU
Contratações de Soluções de TI
• Recomendações
– Utilizar métricas vinculadas aos resultados esperados
nas contratações de soluções de TI, se abstendo de
realizar o pagamento por simples medição das horas
trabalhadas.
– Definir níveis mínimos de serviços nas futuras
contratações de soluções de TI, a fim de possibilitar a
mensuração dos valores a serem pagos pelos serviços
prestados.
– Definir, no instrumento contratual, as sanções
administrativas, de forma clara e detalhada, inclusive
pelo não atendimento dos níveis mínimos de serviço
estabelecidos.
DPSES - DP
SFC/CGU
Como fazer?
• Modelos e Frameworks
– COBIT 4.1
– ISO/IEC 38500:2009
– ISO/IEC 27001 e 27002
– CMMI
– MPS.br
– ITIL v.3
– NBR ISO/IEC 12.207 e 15.504
DPSES - DP
SFC/CGU
•
•
•
•
•
Como fazer?
IN 04/2010
IN 02/2008
www.governoeletronico.gov.br
Livro Manual do gestor do Sistema S
Cartilha da CGU – Entendimentos sobre gestão
dos recursos do Sistema S
• www.tcu.gov.br
• http://dsic.planalto.gov.br/ GSI/PR
DPSES - DP
SFC/CGU
Controladoria-Geral da União
Secretaria Federal de Controle Interno
Diretoria de Auditoria de Pessoal, Previdência e Trabalho
Setor de Autarquias Sul, Quadra 1, Bloco A, Edifício Darcy Ribeiro, CEP: 70070905. Site: www.cgu.gov.br
MUITO OBRIGADO!
E-MAILS: [email protected],
[email protected],
[email protected]
FONE: (61) 2020-6902
DPSES - DP
SFC/CGU