1

Boas Práticas em Governança e Gestão de TI

Prof. Guilherme Alexandre Monteiro Reinaldo

Recife

Contatos Prof. Guilherme Alexandre Monteiro Reinaldo Apelido: Alexandre Cordel E-mail/gtalk: alexandrecordel@gmail.com

greinaldo@fbv.edu.br Site: http://www.alexandrecordel.com.br/fbv Celular: (81) 9801-1878

Agenda Planejamento de TI Desenvolvimento Infraestrutura Serviços de TI Gerenciamento de Projetos Segurança da Informação Contratações de Soluções de TI Como Fazer?

BOAS PRÁTICASPARTE I

Planejamento de TIDesenvolvimentoInfraestruturaServiços de TIGerenciamento de Projetos

SLA

Negócio

TI

Planejamento de TIPlanejamento Estratégico Institucional

Planejamento Estratégico de TI

Planejamento Tático de TI

Contratação de Soluções de TI

Planejamento de TI Posicionamento e Estruturação da TI

Alta Administraç

ão

Tecnologia da

Informação

Desenvolvimento

Infraestrutura

Segurança da

Informação...

Planejamento de TI Pessoal de TI

Carreira e Cargos Específicos de TI

Quantitativo de Pessoal Adequado

Mapeamento de Competências

Capacitação e Treinamento

Planejamento de TI Comitê de TI

• Estrutura para Tomada de Decisão• Natureza: Consultiva ou Deliberativa• Como fazer:

Constituição do

Comitê de TI

Planejamento das

Comunicações

Execução do

Cronograma de

Reuniões

Planejamento de TI Mapeamento dos Processos de TI

Planejamento de TI Recomendações

• Reavaliar a composição do Comitê Gestor de TI, incluindo representantes das áreas de negócio da entidade, e elaborar plano de comunicação e cronograma de reuniões do comitê.

• Implantar processo formal de planejamento estratégico, englobando as ações, benefícios, custos e riscos da TI que sustentem a estratégia de negócio e os requisitos de governança, utilizando como linha orientativa o Processo PO 01 do COBIT.

• Realizar estudo quantitativo e qualitativo das necessidades de pessoal para planejamento, coordenação e controle dos processos de gestão e governança de TI, procedendo com o posterior processo seletivo e a contratação dos profissionais, se for o caso.

Desenvolvimento Processo de Desenvolvimento de Software

Desenvolvimento Medição de Esforço

Desenvolvimento Catálogo de Sistemas

Infraestrutura Gestão e Monitoramento de Ativos

Serviços de TI Catálogo e Acordos de Níveis de Serviços de TI

SLA

Negócio

Serviços de TI Helpdesk

Gerenciamento de Projetos Metodologia de Gerenciamento de Projetos (PMBOK)

Gerenciamento de Projetos Escritório de Gerenciamento de Projetos

Gestão de Projetos

Diagnóstico e Maturidade

Mentoring e CoachingGestão de Portfólio de

ProjetosSeleção de Perfis Internos

Gestão de Mudança

BOAS PRÁTICASPARTE II

SEGURANÇA DA INFORMAÇÃO CONTRATAÇOES DE SOLUÇÕES DE TI

Segurança da Informação Política de Segurança da Informação -

PSI Plano de Continuidade do Negócio –

PCN PSI e PCN x Órgãos de controle

Segurança da InformaçãoPor que é importante zelar pelas informações?É o recurso patrimonial mais crítico;

Adulterar informações

Pessoa de má-fé

Concorrentes

Compromete a imagem da instiuição;

Comprometimento de processos institucionais;

Clientes e sociedades.

1) Política de Segurança da Informação

PSI

DOCUMENTO APROVADO PELA ALTA ADMINISTRAÇÃO

REVISADO , ATUALIZADO E DIVULGADO

PRINCÍPIOS, DIRETRIZES E REGRAS

LINHAS MESTRAS A SEREM SEGUIDAS PELA INSTITUIÇÃO

NÃO RESTRITO A ÁREA DE TI

1) Política de Segurança da InformaçãoInformações mínimas:

PSI

Definição de responsabilidades gerais

Declaração do comprometimento da alta administração

Gerência de Riscos e Plano de Continuidade do Negócio

Política inter- relacionadas (backup, senhas, contratação, internet, softwares, equipamentos, etc )

Classificação das informações: irrestrito, interno, confidencial e secreta.

Consequências de violações de normas ( penalidades)

Plano de treinamento em S.I.

2) Plano de Continuidade dos Negócios

Plano de estratégias e procedimentos

Serve para combater problemas inesperados

Conjunto de medidas com ações preventivas e de recuperação

Minimizar impactos negativos

Ex: desastres, incêncios, greves, falhas de equipamentos, interrupção de serviços e

sistemas

PCN Integridade

Disponibilidade

ALTA

ADMINISTRAÇÃO

3) Plano de Continuidade dos Negócios

Como garantir que o PCN funcionará?a) Treinamento e conscientizaçãob) Testes periódicosc) Manutenção contínua (revisado)Como eu faço?Estabelecendo Normas Internas da EmpresaExemplo: Linha orientativa: Norma Complementar 06/IN01/DSIC/GSIPR

PSI x Órgãos de controle

Acórdão nº 1233/2012 Plenário) 9.15.12. estabeleça a obrigatoriedade de que os entes

sob sua jurisdição implementem os seguintes controles gerais de TI relativos à segurança da informação (subitem II.8):

9.15.12.4. estabelecimento de política de segurança da informação, à semelhança das orientações contidas na NBR ISO/IEC 27.002, item 5.1 – Política de segurança da informação

Acórdão nº 1382/2009 Plenário, Acórdão nº 906/2009 Plenário, Acórdão nº 381/2011 Plenário, Acórdão nº 2746/2010 Plenário.

PCN x Órgãos de controle

(Acórdão 1382/2009 Plenário) 9.2. (...) defina formalmente um Plano de

Continuidade do Negócio (PCN) que garanta, em caso de falhas ou desastre natural significativo, a retomada tempestiva do funcionamento do órgão, protegendo os processos críticos, de acordo com o previsto no item 14 da NBR ISO/IEC 17799:2005, e segundo orientações contidas no Cobit 4.1, item DS4.2 - Planos de Continuidade de TI

Contratações de Soluções de TIVantagens: (garantias) Riscos envolvidos sejam gerenciados; Contratação alinhada aos objetivos institucionais Recursos sejam bem utilizados (financeiros e humanos) Demandam esforço considerável de várias unidades

para fazer a licitação (ex. estudos técnicos preliminares, TR – Termo de Referência, edital, jurídico, etc.)

Contratações de Soluções de TIDesvantagens: Contratar produtos e serviços que não agreguem

efetivamente valor ao órgão, isto é, que não ajudem o órgão a alcançar os objetivos definidos;

Preço acima de valores do mercado Contratar soluções de TI que ultrapassem a necessidade

da entidadeEsses riscos podem materializar-se em eventos e gerar sanções àquele que lhes deram causa.Consequência: Órgãos de controle Públicos = TCU, CGU e MP.

Órgãos de Controle Privados = Controladoria Interna.

BOAS PRÁTICAS1) Documentar os artefatos de planejamento da contratação

nos autos do processo de contratação. (processo administrativo)

2) Publicar políticas e normas:

O que pode ser normatizado?a) Procedimentos para estimar preços das contratações;b) PSIc) Metodologia de Desenvolvimento de Sistemas (MDS),

NBR ISO/IEC 12.207 e 15.504;d) Nomeação e atribuições dos gestores e fiscais de

contratose) Política de uso dos recursos de TI (internet, e-mail, etc.)

BOAS PRÁTICAS

3) Capacitar funcionários em contratação de soluções de TI e em gestão de contratos

a) Funcionários minimamente capacitados (qtd. adequada)b) Contínua (complexidade e dinamismo)

4) Documentar todas as interações com empresas interessadas, licitantes e com a contratada.

5)Utilizar compilação da legislação, da jurisprudência e dos normativos do órgão que afetam as contratações de TI

Lei de introdução as normas do Direito brasileiro – antigo Cod. Civil Decreto-Lei 4.657/1942

“Art. 3º Ninguém se escusa de cumprir a lei, alegando que não a conhece.”

Falta de conhecimento da lei não é justificativa para deixar de cumpri-la.

Cobit 4.1, “ME3.1 Identificação dos Requisitos de Conformidade com Leis, Regulamentações e Contratos Externos

Principais fragilidades

1) Falhas na definição dos objeto da contratação;

2) Ausência de orçamento estimado em planilhas de quantitativos e preços unitários;

3) Pagamento pela prestação de serviços de TI não vinculado aos resultados/pagamento por homem-hora; Paradoxo lucro-incompetência

1) < qualificação > nr de horas > lucro empresa > custo Entidade

2) Pagar por disponibilidade mesmo s/ contraprestação do serviço

4) Ausência de mecanismos de gestão contratual.

GESTÃO DE CONTRATOS DE TICláusulas específicas de TI: Comunicação; Confidencialidade; Segurança da informação; Direitos autorais; Transferência de informação e documentação; ANS: prazos, penalidades, responsabilidades das partes; Qualidade dos serviços.

Atores

GESTOR FISCAL

Serviço administrativo Serviço pontual

Reequilíbrio econômico-financeiro, pagamentos, repactuação, reajuste, etc.

Eficiência, eficácia, efetividade, qualidade e resultados

Cuida dos aspectos formais da contratação

Acompanha a execução contratual

Sugere a aplicação das penalidades

Identifica e reporta as irregularidades

ATRIBUIÇÕES DOS FISCAIS Conhecer o objeto; Fazer check-list com informações ao bom e fiel

cumprimento do contrato Registrar todas ocorrências e providências que

possam prejudicar o contrato – “Registro e Comunicação de ocorrências”

Ter arquivo exclusivo ( cópia do contrato, proposta, edital, TR, anexos, comunicações com o preposto.

Ter um livro de registro.

ATRIBUIÇÕES DOS FISCAIS Preposto – comunicação formal – evitar subordinação

direta Fiscalizar cumprimento de obrigações e encargos

trabalhistas Ateste de NF conferindo previamente o bem ou

serviço de acordo com o contratado (qualidade, ANS, preços, prazos de entrega)

Contratações de Soluções de TI Recomendações

• Designar fiscal para acompanhamento da execução dos contratos, estabelecendo, nas contratações de serviços de TI, procedimentos periódicos de controle com vistas a verificar o cumprimento da obrigação contratual em relação às equipes técnicas de empregados e respectivos serviços prestados.

• Realizar ampla pesquisa das especificações técnicas de bens de TI, abrangendo diversos modelos e marcas, com vistas a não restringir a participação de potenciais licitantes no processo licitatório.

Contratações de Soluções de TI Recomendações

• Utilizar métricas vinculadas aos resultados esperados nas contratações de soluções de TI, se abstendo de realizar o pagamento por simples medição das horas trabalhadas.

• Definir níveis mínimos de serviços nas futuras contratações de soluções de TI, a fim de possibilitar a mensuração dos valores a serem pagos pelos serviços prestados.

• Definir, no instrumento contratual, as sanções administrativas, de forma clara e detalhada, inclusive pelo não atendimento dos níveis mínimos de serviço estabelecidos.

Contratações de Soluções de TI Recomendações

• Definir, no instrumento contratual, as sanções administrativas, de forma clara e detalhada, inclusive pelo não atendimento dos níveis mínimos de serviço estabelecidos.

Como fazer? Modelos e Frameworks

• ITIL v.3 • COBIT 4.1• ISO/IEC 38500:2009 (Governança Corporativa de

TI)• ISO/IEC 27001 e 27002 (Gestão da Segurança da

Informação)• CMMI• MPS.BR• NBR ISO/IEC 12.207 e 15.504

Referências ROSS, Jeanne W.; WEILL, Peter. Governança de TI:

tecnologia da informação: como as empresas com melhor desempenho administram os direitos decisórios de ti na busca por resultados superiores. São Paulo: M. Books, 2006.

TERRA, José Cláudio Cyrineu. Gestão do Conhecimento: o grande desafio empresarial. Rio de Janeiro: Elsevier, 2005.

WEILL, Peter; ROSS, Jeanne W. Governança de TI – tecnologia da informação. São Paulo: M. Books, 2006.