1 boas práticas em governança e gestão de ti prof. guilherme alexandre monteiro reinaldo recife
TRANSCRIPT
1
Boas Práticas em Governança e Gestão de TI
Prof. Guilherme Alexandre Monteiro Reinaldo
Recife
Contatos Prof. Guilherme Alexandre Monteiro Reinaldo Apelido: Alexandre Cordel E-mail/gtalk: [email protected]
[email protected] Site: http://www.alexandrecordel.com.br/fbv Celular: (81) 9801-1878
Agenda Planejamento de TI Desenvolvimento Infraestrutura Serviços de TI Gerenciamento de Projetos Segurança da Informação Contratações de Soluções de TI Como Fazer?
BOAS PRÁTICASPARTE I
Planejamento de TIDesenvolvimentoInfraestruturaServiços de TIGerenciamento de Projetos
SLA
Negócio
TI
Planejamento de TIPlanejamento Estratégico Institucional
Planejamento Estratégico de TI
Planejamento Tático de TI
Contratação de Soluções de TI
Planejamento de TI Posicionamento e Estruturação da TI
Alta Administraç
ão
Tecnologia da
Informação
Desenvolvimento
Infraestrutura
Segurança da
Informação...
Planejamento de TI Pessoal de TI
Carreira e Cargos Específicos de TI
Quantitativo de Pessoal Adequado
Mapeamento de Competências
Capacitação e Treinamento
Planejamento de TI Comitê de TI
• Estrutura para Tomada de Decisão• Natureza: Consultiva ou Deliberativa• Como fazer:
Constituição do
Comitê de TI
Planejamento das
Comunicações
Execução do
Cronograma de
Reuniões
Planejamento de TI Mapeamento dos Processos de TI
Planejamento de TI Recomendações
• Reavaliar a composição do Comitê Gestor de TI, incluindo representantes das áreas de negócio da entidade, e elaborar plano de comunicação e cronograma de reuniões do comitê.
• Implantar processo formal de planejamento estratégico, englobando as ações, benefícios, custos e riscos da TI que sustentem a estratégia de negócio e os requisitos de governança, utilizando como linha orientativa o Processo PO 01 do COBIT.
• Realizar estudo quantitativo e qualitativo das necessidades de pessoal para planejamento, coordenação e controle dos processos de gestão e governança de TI, procedendo com o posterior processo seletivo e a contratação dos profissionais, se for o caso.
Desenvolvimento Processo de Desenvolvimento de Software
Desenvolvimento Medição de Esforço
Desenvolvimento Catálogo de Sistemas
Infraestrutura Gestão e Monitoramento de Ativos
Serviços de TI Catálogo e Acordos de Níveis de Serviços de TI
SLA
Negócio
Serviços de TI Helpdesk
Gerenciamento de Projetos Metodologia de Gerenciamento de Projetos (PMBOK)
Gerenciamento de Projetos Escritório de Gerenciamento de Projetos
Gestão de Projetos
Diagnóstico e Maturidade
Mentoring e CoachingGestão de Portfólio de
ProjetosSeleção de Perfis Internos
Gestão de Mudança
BOAS PRÁTICASPARTE II
SEGURANÇA DA INFORMAÇÃO CONTRATAÇOES DE SOLUÇÕES DE TI
Segurança da Informação Política de Segurança da Informação -
PSI Plano de Continuidade do Negócio –
PCN PSI e PCN x Órgãos de controle
Segurança da InformaçãoPor que é importante zelar pelas informações?É o recurso patrimonial mais crítico;
Adulterar informações
Pessoa de má-fé
Concorrentes
Compromete a imagem da instiuição;
Comprometimento de processos institucionais;
Clientes e sociedades.
1) Política de Segurança da Informação
PSI
DOCUMENTO APROVADO PELA ALTA ADMINISTRAÇÃO
REVISADO , ATUALIZADO E DIVULGADO
PRINCÍPIOS, DIRETRIZES E REGRAS
LINHAS MESTRAS A SEREM SEGUIDAS PELA INSTITUIÇÃO
NÃO RESTRITO A ÁREA DE TI
1) Política de Segurança da InformaçãoInformações mínimas:
PSI
Definição de responsabilidades gerais
Declaração do comprometimento da alta administração
Gerência de Riscos e Plano de Continuidade do Negócio
Política inter- relacionadas (backup, senhas, contratação, internet, softwares, equipamentos, etc )
Classificação das informações: irrestrito, interno, confidencial e secreta.
Consequências de violações de normas ( penalidades)
Plano de treinamento em S.I.
2) Plano de Continuidade dos Negócios
Plano de estratégias e procedimentos
Serve para combater problemas inesperados
Conjunto de medidas com ações preventivas e de recuperação
Minimizar impactos negativos
Ex: desastres, incêncios, greves, falhas de equipamentos, interrupção de serviços e
sistemas
PCN Integridade
Disponibilidade
ALTA
ADMINISTRAÇÃO
3) Plano de Continuidade dos Negócios
Como garantir que o PCN funcionará?a) Treinamento e conscientizaçãob) Testes periódicosc) Manutenção contínua (revisado)Como eu faço?Estabelecendo Normas Internas da EmpresaExemplo: Linha orientativa: Norma Complementar 06/IN01/DSIC/GSIPR
PSI x Órgãos de controle
Acórdão nº 1233/2012 Plenário) 9.15.12. estabeleça a obrigatoriedade de que os entes
sob sua jurisdição implementem os seguintes controles gerais de TI relativos à segurança da informação (subitem II.8):
9.15.12.4. estabelecimento de política de segurança da informação, à semelhança das orientações contidas na NBR ISO/IEC 27.002, item 5.1 – Política de segurança da informação
Acórdão nº 1382/2009 Plenário, Acórdão nº 906/2009 Plenário, Acórdão nº 381/2011 Plenário, Acórdão nº 2746/2010 Plenário.
PCN x Órgãos de controle
(Acórdão 1382/2009 Plenário) 9.2. (...) defina formalmente um Plano de
Continuidade do Negócio (PCN) que garanta, em caso de falhas ou desastre natural significativo, a retomada tempestiva do funcionamento do órgão, protegendo os processos críticos, de acordo com o previsto no item 14 da NBR ISO/IEC 17799:2005, e segundo orientações contidas no Cobit 4.1, item DS4.2 - Planos de Continuidade de TI
Contratações de Soluções de TIVantagens: (garantias) Riscos envolvidos sejam gerenciados; Contratação alinhada aos objetivos institucionais Recursos sejam bem utilizados (financeiros e humanos) Demandam esforço considerável de várias unidades
para fazer a licitação (ex. estudos técnicos preliminares, TR – Termo de Referência, edital, jurídico, etc.)
Contratações de Soluções de TIDesvantagens: Contratar produtos e serviços que não agreguem
efetivamente valor ao órgão, isto é, que não ajudem o órgão a alcançar os objetivos definidos;
Preço acima de valores do mercado Contratar soluções de TI que ultrapassem a necessidade
da entidadeEsses riscos podem materializar-se em eventos e gerar sanções àquele que lhes deram causa.Consequência: Órgãos de controle Públicos = TCU, CGU e MP.
Órgãos de Controle Privados = Controladoria Interna.
BOAS PRÁTICAS1) Documentar os artefatos de planejamento da contratação
nos autos do processo de contratação. (processo administrativo)
2) Publicar políticas e normas:
O que pode ser normatizado?a) Procedimentos para estimar preços das contratações;b) PSIc) Metodologia de Desenvolvimento de Sistemas (MDS),
NBR ISO/IEC 12.207 e 15.504;d) Nomeação e atribuições dos gestores e fiscais de
contratose) Política de uso dos recursos de TI (internet, e-mail, etc.)
BOAS PRÁTICAS
3) Capacitar funcionários em contratação de soluções de TI e em gestão de contratos
a) Funcionários minimamente capacitados (qtd. adequada)b) Contínua (complexidade e dinamismo)
4) Documentar todas as interações com empresas interessadas, licitantes e com a contratada.
5)Utilizar compilação da legislação, da jurisprudência e dos normativos do órgão que afetam as contratações de TI
Lei de introdução as normas do Direito brasileiro – antigo Cod. Civil Decreto-Lei 4.657/1942
“Art. 3º Ninguém se escusa de cumprir a lei, alegando que não a conhece.”
Falta de conhecimento da lei não é justificativa para deixar de cumpri-la.
Cobit 4.1, “ME3.1 Identificação dos Requisitos de Conformidade com Leis, Regulamentações e Contratos Externos
Principais fragilidades
1) Falhas na definição dos objeto da contratação;
2) Ausência de orçamento estimado em planilhas de quantitativos e preços unitários;
3) Pagamento pela prestação de serviços de TI não vinculado aos resultados/pagamento por homem-hora; Paradoxo lucro-incompetência
1) < qualificação > nr de horas > lucro empresa > custo Entidade
2) Pagar por disponibilidade mesmo s/ contraprestação do serviço
4) Ausência de mecanismos de gestão contratual.
GESTÃO DE CONTRATOS DE TICláusulas específicas de TI: Comunicação; Confidencialidade; Segurança da informação; Direitos autorais; Transferência de informação e documentação; ANS: prazos, penalidades, responsabilidades das partes; Qualidade dos serviços.
Atores
GESTOR FISCAL
Serviço administrativo Serviço pontual
Reequilíbrio econômico-financeiro, pagamentos, repactuação, reajuste, etc.
Eficiência, eficácia, efetividade, qualidade e resultados
Cuida dos aspectos formais da contratação
Acompanha a execução contratual
Sugere a aplicação das penalidades
Identifica e reporta as irregularidades
ATRIBUIÇÕES DOS FISCAIS Conhecer o objeto; Fazer check-list com informações ao bom e fiel
cumprimento do contrato Registrar todas ocorrências e providências que
possam prejudicar o contrato – “Registro e Comunicação de ocorrências”
Ter arquivo exclusivo ( cópia do contrato, proposta, edital, TR, anexos, comunicações com o preposto.
Ter um livro de registro.
ATRIBUIÇÕES DOS FISCAIS Preposto – comunicação formal – evitar subordinação
direta Fiscalizar cumprimento de obrigações e encargos
trabalhistas Ateste de NF conferindo previamente o bem ou
serviço de acordo com o contratado (qualidade, ANS, preços, prazos de entrega)
Contratações de Soluções de TI Recomendações
• Designar fiscal para acompanhamento da execução dos contratos, estabelecendo, nas contratações de serviços de TI, procedimentos periódicos de controle com vistas a verificar o cumprimento da obrigação contratual em relação às equipes técnicas de empregados e respectivos serviços prestados.
• Realizar ampla pesquisa das especificações técnicas de bens de TI, abrangendo diversos modelos e marcas, com vistas a não restringir a participação de potenciais licitantes no processo licitatório.
Contratações de Soluções de TI Recomendações
• Utilizar métricas vinculadas aos resultados esperados nas contratações de soluções de TI, se abstendo de realizar o pagamento por simples medição das horas trabalhadas.
• Definir níveis mínimos de serviços nas futuras contratações de soluções de TI, a fim de possibilitar a mensuração dos valores a serem pagos pelos serviços prestados.
• Definir, no instrumento contratual, as sanções administrativas, de forma clara e detalhada, inclusive pelo não atendimento dos níveis mínimos de serviço estabelecidos.
Contratações de Soluções de TI Recomendações
• Definir, no instrumento contratual, as sanções administrativas, de forma clara e detalhada, inclusive pelo não atendimento dos níveis mínimos de serviço estabelecidos.
Como fazer? Modelos e Frameworks
• ITIL v.3 • COBIT 4.1• ISO/IEC 38500:2009 (Governança Corporativa de
TI)• ISO/IEC 27001 e 27002 (Gestão da Segurança da
Informação)• CMMI• MPS.BR• NBR ISO/IEC 12.207 e 15.504
Referências ROSS, Jeanne W.; WEILL, Peter. Governança de TI:
tecnologia da informação: como as empresas com melhor desempenho administram os direitos decisórios de ti na busca por resultados superiores. São Paulo: M. Books, 2006.
TERRA, José Cláudio Cyrineu. Gestão do Conhecimento: o grande desafio empresarial. Rio de Janeiro: Elsevier, 2005.
WEILL, Peter; ROSS, Jeanne W. Governança de TI – tecnologia da informação. São Paulo: M. Books, 2006.