governança em tecnologia da informação - fonai-mec

Governança em Tecnologia da

Informação

40º Fonai TeecCampo Grande, 16 de maio de 2014

André Luiz Furtado Pacheco, CISA

Informação

Agenda1. Introdução2. Situação Governança de TI na Administração

Pública Federal3. A Alta Administração na Governança de TI4. Problemas advindos da baixa Governança

2

4. Problemas advindos da baixa Governança de TI

5. Um caso real: Acórdão 649/2014–Plenário

6. Como implantar a Governança de TI na Administração Pública

7. O Controle Interno na Governança de TI

1. Introdução1. Introdução

3

Alta dependência da TI�O que ocorreria se falhassem, por

exemplo, os sistemas que controlam:• ... o recebimento do IRPF?• ... o pagamento do Bolsa Família?• ... o pagamento de aposentadorias?• ... o pagamento de aposentadorias?• ... o andamento dos processos judiciais?• ... as sessões do Congresso Nacional?• ... as publicações da Imprensa Nacional?• ... as matrículas nas Universidades? • … as eleições no País?

4

O que é Governança?O problema de agência

PrincipalAgente

Contrata

Executa

Interessepróprio

Interessepróprio

Principal Executa

Assimetria de informação

Conflito de interesse

5

Definição

� “O sistema pelo qual o uso atual e futuro da TI é dirigido e controlado.”

Governança de TI

futuro da TI é dirigido e controlado.” (NBR 38.500)

� TI deve agregar valor ao negócio� Riscos aceitáveis

6

Mas o que é agregar valor ?

Governança de TI

O Rei do Camarote pode responder ?7

Governança de TIResponsabilidade

A responsabilidade por prover umaboa governança de TI é da altaboa governança de TI é da altaadministração da organização(NBR 38.500)

8

2. Situação da Governança de TI na Administração de TI na Administração

Pública Federal

9

Levantamentos de Governança de TI (iGovTI)

• 1º em 2007• 255 Organizações• 39 perguntas• Acórdão 1603/2008-P

• 2º em 2010• 301

Organizações• 30 perguntas

• 3º em 2012• 338

Organizações• 36 perguntas• Acórdão 1603/2008-P

• Ênfase em *Planejamento;*Comitê de TI; *Contratação de TI; *Processo de Software; *Orçamento; *Recursos Humanos; *Segurança da Informação; *Auditoria de TI.

• 30 perguntas• 152 itens

• Criação do iGovTI

• Acórdão 2308/2010-P

• Ênfase em Liderança

• 36 perguntas• 494 itens

• Acórdão 2585/2012-P

• Ênfase em Resultados

10

Levantamentos de Governança de TI (iGovTI)

Distribuições das Organizações por estágio do iGovTI

11

Mapeamento de Riscos

12

Caso da espionagem americana

� Revelações de Edward Snowden;� Decreto nº 8.135, de 4 de novembro de 2013:

� Dispõe sobre as comunicações de dados daadministração pública federal direta, autárquica efundacional, e sobre a dispensa de licitação nascontratações que possam comprometer a segurançanacional;

� Ferramenta de correio eletrônico segura e criptografada,desenvolvida com base no Expresso V3.

13

Acórdão 1.603/2008-TCU-Plenário:“9.2. recomendar ao Gabinete de Segurança Institucional daPresidência da República - GSI/PR que oriente osórgãos/entidades da Administração Pública Federalsobre a importância do gerenciamento da segurança dainformação , promovendo, inclusive mediante orientaçãonormativa , ações que visem estabelecer e/ou aperfeiçoar anormativa , ações que visem estabelecer e/ou aperfeiçoar agestão da continuidade do negócio , a gestão demudanças , a gestão de capacidade , a classificação dainformação , a gerência de incidentes , a análise de riscosde TI, a área específica para gerenciamento dasegurança da informação , a política de segurança dainformação e os procedimentos de controle de acesso .”

14

Segurança da InformaçãoAcórdão 2.585/2012-TCU-Plenário - Baixos sinais de e volução

15

3. A Alta Administração na Governança de TIna Governança de TI

16

Papel da Alta Administração

Responsabilidade

Estratégia

Aquisição

Avaliar

Dirigir

Baseado na NBR 38.500, governar a TI é:

Desempenho

Conformidade

Comportamento Humano

Dirigir

Monitorar

17

Papel da liderança na Governança de TI

50%

60%

70%

80%

90%

100%

gove

rnan

ça em

proc

esso

s de T

ICorrelação entre governança em liderança e governança em

processos de TI

0%

10%

20%

30%

40%

50%

0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%

gove

rnan

ça em

proc

esso

s de T

I

governança em liderança de TI

Coeficiente de correlação=0,60

18

Temas que merecem atenção

A Alta Administração NÃO:

� ... estabeleceu objetivos de desempenho de gestão de TI (46%)

Resultados(Dimensão Liderança)

gestão de TI (46%)

� ... definiu indicadores de desempenho de gestão e uso de TI (63%)

� ... acompanha os indicadores de benefícios dos principais sistemas (77%)

19

4. Problemas Advindos da Baixa Governança de TIBaixa Governança de TI

20

1º) Ausência de Plano de Continuidade de Negócio em vigor (97%)

�Situação:• Ausência de Plano de Continuidade do

Negócio• Falta/deficiência de recursos ou planos• Falta/deficiência de recursos ou planos

de contingência�Exemplos reais:

• Acórdão 172/2008-TCU-2ª Câmara• Acórdão 1.330/2008-TCU-Plenário

21

1º) Ausência de Plano de Continuidade de Negócio em vigor (97%)

�Consequências:• Falha nos equipamentos de processamento

centralizado provocou (Acórdão 172/2008):� Paralisação do Banco por mais de 20h� Paralisação do Banco por mais de 20h� Danos à imagem� Prejuízos financeiros

• Vírus gerou paralisação da rede por mais deduas semanas (Acórdão 1330/2008)

22

2º) Ausência de processo de software gerenciado - nível 2 da NBR 15.504 (40%)�Exemplo Real: TC 031.963/2008-0

�Situação:• Edital e projeto básico não possuíam indicadores de

qualidade e desempenho (níveis de serviço ouparâmetros de performance)parâmetros de performance)

• Processo de homologação do produto sem viéstécnico e sem verificar a solução de TI em suaintegralidade� Homologação focada só na usabilidade (ponto de

vista do usuário)� Homologação focada no aceite de casos de uso

individual (ausência de testes integrais)

23

2º) Ausência de processo de software gerenciado - nível 2 da NBR 15.504 (40%)

�Consequências:• Produto apresentou problemas de 2004 a 2007

(momento da entrega da solução completa)• Procedimento de homologação não garantiu a• Procedimento de homologação não garantiu a

qualidade do produto e não logrou exigircorreções pela contratada

• Não implantação do sistema , apesar de tersido homologado e pago

24

3º) Ausência de aprovação e publicação do PDTI interna ou externamente (46%)�Exemplo Real: Acórdão 2.023/2005-TCU-Plenário�Situação:

• Planejamento deficiente�Consequência:

• Desenvolvimento de sistema em 2000/2001 , • Desenvolvimento de sistema em 2000/2001 , considerado relevante e aprovado nos testes

• Ausência de infraestrutura necessária à execução do sistema (infraestrutura de rede, servidores e equipamentos)

• Sistema não implantado até 2005

25

4º) Ausência de política corporativa de segurança da informação (55%)

�Exemplo Real: Acórdão 71/2007-TCU-Plenário

�Situação:• Sistema de âmbito nacional com

informações confidenciais e relevantes dosinformações confidenciais e relevantes doscidadãos

• Minuta de Política de Segurança daInformação (PSI) desatualizada e nãoformalmente aprovada

• Política de Controle de Acesso deficiente

26

4º) Ausência de política corporativa de segurança da informação (55%)

�Consequências:• Dificuldade na identificação de

responsabilidades quanto aos assuntos de segurança da informaçãode segurança da informação

• Grande vulnerabilidade do sistema• Vazamento e mau uso de informações

privadas e confidenciais dos cidadãos• Atraso na implementação total do

sistema

27

5. Um caso real: Acórdão 649/2014 –PlenárioAcórdão 649/2014 –Plenário

28

Um caso real: Acórdão 649/2014-Plenário

� Auditoria realizada na primeira fase do trabalho defiscalização de governança de TI com foco na avaliaçãoda entrega de resultados e na gestão de riscos ,realizado na sistemática de Fiscalização de OrientaçãoCentralizada (FOC);

� O objetivo da auditoria foi avaliar a implementação doscontroles informados pela Universidade em resposta aolevantamento do perfil de governança de TI realizado em2012, bem como verificar e avaliar a adoção pela entidadeauditada de planos e estratégias para implementação emelhoria da governança e da gestão de TI .

29

Um caso real: Acórdão 649/2014-Plenário“9.1. Recomendar à Universidade (...):9.1.1. estabeleça processo de planejamento estratégicode TI que contemple, ao menos, as práticas descritas nositens 9.1.2.1 a 9.1.2.6 do acórdão 1233/2012-TCU-Plenário;”

Acórdão 1233/2012-TCU-Plenário:“9.1.2.1. elaboração, com participação de representantes“9.1.2.1. elaboração, com participação de representantesdos diversos setores da organização, de um documento quematerialize o plano estratégico de TI , contemplando, pelomenos:9.1.2.1.1. objetivos, indicadores e metas para a TIorganizacional, sendo que os objetivos devem estarexplicitamente alinhados aos objetivos de negócioconstantes do plano estratégico institucional;(...)”30

Um caso real: Acórdão 649/2014-Plenário“(...)9.1.2.1.2. alocação de recursos (financeiros, humanos, materiais etc);9.1.2.1.3. estratégia de terceirização;9.1.2.2. aprovação, pela mais alta autoridade da organização, doplano estratégico de TI;9.1.2.3. desdobramento do plano estratégico de TI pelas unidadesexecutoras;9.1.2.4. divulgação do plano estratégico de TI para conhecimento9.1.2.4. divulgação do plano estratégico de TI para conhecimentodos cidadãos brasileiros, exceto nos aspectos formalmentedeclarados sigilosos ou restritos;9.1.2.5. acompanhamento periódico do alcance das metasestabelecidas, para correção de desvios;9.1.2.6. divulgação interna e externa do alcance das metas, ou osmotivos de não as ter alcançado;”

31

Um caso real: Acórdão 649/2014-Plenário“9.1.2. elabore e aprove formalmente processo deaprimoramento contínuo da governança de TI , a exemplodas boas práticas contidas no capítulo 3 do guia dereferência da implementação do Cobit 5 , que contemple,ao menos:definição de papéis e responsabilidades voltadasespecificamente para a melhoria da governança de TI;especificamente para a melhoria da governança de TI;realização de diagnósticos ou autoavaliações degovernança e de gestão de TI;e definição e acompanhamento de metas de governançade TI e das ações necessárias para alcançá-las, com baseem parâmetros de governança, necessidades de negócio eriscos relevantes;(...)”32

Um caso real: Acórdão 649/2014-Plenário“9.1.3. estabeleça, formalmente, em consonância com odisposto no item 9.1.1 do acórdão 2308/2010-TCU-Plenário ecom base nas boas práticas contidas na seção 3.3 da ABNTNBR ISO/IEC 38500:2009:9.1.3.1. objetivos de gestão e de uso corporativos de TIalinhados às estratégias de negócio;9.1.3.2. indicadores de desempenho para os objetivos de9.1.3.2. indicadores de desempenho para os objetivos degestão definidos;9.1.3.3. metas de desempenho da gestão e do usocorporativos de TI para cada indicador definido;9.1.3.4. mecanismos para que a alta administraçãoacompanhe o desempenho da TI da instituição; e9.1.3.5. mecanismos de gestão dos riscos relacionados aosobjetivos de gestão e de uso corporativos de TI;”33

Um caso real: Acórdão 649/2014-Plenário“9.1.4. adote providências no sentido de dotar esse setorcom o quantitativo de pessoal adequado para suprir asnecessidades de trabalho em TI , com fundamento nasorientações contidas no Cobit 5, Prática de Gestão APO07.01– Maintain adequate and appropriate staffing, levando emconsideração as necessidades de pessoal das demais áreasdo órgão;do órgão;9.1.5. elabore, aprove e acompanhe a execução de planoanual de capacitação do pessoal do setor de TI daentidade , de forma a prover e aprimorar o conhecimentonecessário para a gestão e operação de TI, com fundamentonas orientações contidas no Cobit 5, Prática de GestãoAPO07.03 – Maintain the skills and competencies ofpersonnel, atividades 4 e 5, e em consonância com oitem 9.9.1 do acórdão 1233/2012-TCU-Plenário;”34

Um caso real: Acórdão 649/2014-Plenário

“9.1.6. implemente processo de gestão de nível de serviço

de TI, de forma a assegurar que níveis adequados de

serviço sejam entregues para os clientes internos de TI

de acordo com as prioridades do negócio e dentro do

orçamento estabelecido , com fundamento nas orientações

contidas na seção 6.1 da ABNT NBR ISO/IEC 20000-2:2008

c/c APO09 - Manage Service Agreements, Cobit 5;”

35

Um caso real: Acórdão 649/2014-Plenário“9.1.7. elabore e execute processo de gestão decontinuidade dos serviços de TI , com fundamento nasorientações contidas no Cobit 5, DSS04.3 – Develop andimplement a business continuity response;9.1.8. elabore, execute e teste periodicamente o plano degestão de continuidade do negócio da instituição , de formaa minimizar os impactos decorrentes de falhas, desastres oua minimizar os impactos decorrentes de falhas, desastres ouindisponibilidades significativas sobre as atividades daentidade , com fundamento nas orientações contidas na seção14 da ABNT NBR ISO/IEC 27002:2005, nas seções 8.6 e 8.7da ABNT NBR 15999-1:2007 e no Cobit 5, DSS04.3 – Developand implement a business continuity response, em atenção àsdisposições contidas na NC – DSIC/GSI/PR 6/IN01, de 11 denovembro de 2009, e em consonância com o item 9.2 doacórdão 1603/2008-TCU-Plenário;”

36

Um caso real: Acórdão 649/2014-Plenário“9.1.9. elabore e execute processo de gestão de ativos deinformação da entidade , com fundamento nas orientaçõescontidas na seção 7.1 da ABNT NBR ISO/IEC 27002:2005 e noCobit 5, Processo BAI09 – Manage assets, em atenção aodisposto na NC – DSIC/GSI/PR 10/IN01, de 30 de janeiro de2012;

9.1.10. elabore e aprove formalmente a política de controle9.1.10. elabore e aprove formalmente a política de controlede acesso a informações e recursos de TI , com base nosrequisitos de negócio e de segurança da informação do/daórgão/entidade, com fundamento nas orientações contidas naseção 11.1.1 da ABNT NBR ISO/IEC 27002:2005, em atençãoao item 2.6 da NC – DSIC/GSI/PR 7/IN01, de 6 de maio de2010, e em consonância com o item 9.2 do acórdão 1603/2008-TCU-Plenário;”

37

Um caso real: Acórdão 649/2014-Plenário

“9.1.11. implante programas de conscientização etreinamento em segurança da informação no âmbito daentidade , com fundamento nas orientações contidas na seção8.2.2 da ABNT NBR ISO/IEC 27002:2005, em atenção aodisposto na seção 3.2.5 da NC – DSIC/GSI/PR 2/IN01, 13 deoutubro de 2008;outubro de 2008;

9.1.12. elabore e implemente processo de gestão de riscosde segurança da informação , com fundamento nasorientações contidas na seção 4 da ABNT NBR ISO/IEC27002:2005, em atenção ao disposto na NC – DSIC/GSI/PR4/IN01, de 15 de fevereiro de 2013;”

38

Um caso real: Acórdão 649/2014-Plenário

“9.1.13. elabore e execute processo de gestão de

incidentes de segurança da informação , bem como institua

formalmente equipe específica para tratar dos incidentes

dessa natureza, com fundamento nas orientações contidas na

seção 13 da ABNT NBR ISO/IEC 27002:2005, em atenção ao

item 3.2.7 da NC – DSIC/GSI/PR 2/IN01, de 13 de outubro de

2008.”

39

Um caso real: Acórdão 649/2014-Plenário“9.2. Determinar à [Universidade] que inclua nos relatóriosde gestão dos exercícios vindouros informaçõesespecíficas que permitam o acompanhamento pelosórgãos de controle das ações afetas à governança de TI ,conforme orientações contidas no item 7 e seus subitens doAnexo Único da Portaria-TCU 175/2013.9.3. Alertar a administração da [Universidade] sobre osriscos atinentes à contratação de bens e serviços de TI ,elencados no item 26 da proposta de deliberação, a que estáexposta ao não adotar adequadamente as boas práticasutilizadas como parâmetro de avaliação, bem como asrecomendações exaradas nos acórdãos de referência ;”

40

6. Como Implantar a Governança de TI na Governança de TI na

Administração Pública

41

Acórdão 2.308/2010-TCU-Plenário

�Orientar a alta administração a estabelecer formalmente :• os objetivos institucionais de TI alinhados às

estratégias de negócio (dirigir)• os indicadores para cada objetivo (dirigir)• os indicadores para cada objetivo (dirigir)• as metas para cada indicador (dirigir)• os mecanismos que a alta administração

adotará para acompanhar o desempenho daTI da instituição (monitorar)

42

Como implantar a Governança de TI na Administração Pública

� Passo 1: Obter, capacitar, valorizar e manter Recursos Humanos de TI

� Passo 2: Aprovar um Plano Estratégico Institucional (PEI)� Passo 3: Aprovar um Plano Estratégico de TI (PETI)� Passo 4: Criar Comitê de TI� Passo 4: Criar Comitê de TI� Passo 5: Implantar Estrutura de Gestão de TI� Passo 6: Implantar Gestão de Segurança da Informação� Passo 7: Implantar Processo de Software� Passo 8: Implantar Processo de Contratação de TI� Passo 9: Utilizar a Auditoria Interna� Passo 10: Monitorar os resultados

43

7. O Controle Interno na Governança de TIGovernança de TI

44

Reforçando

Governar a TI é ação da Alta Administração, e não da área de TI.e não da área de TI.

45

Objetivo Final

Governança de TI

Implementação/aprimoramentoAlta

AdministraçãoImplementação/aprimoramentodo modelo de governança

Desgovernança de TI

Administração(responsabilidade)

com apoio do Controle Interno

46

Obrigado !

47

André Luiz Furtado Pachecoandrefp@tcu.gov.br

47