Download - Plano Diretor de Tecnologia da Informação Ciclo 2013-2015 · MGP Metodologia de Gerenciamento de Projetos MP Ministério do Planejamento, ... SISP Sistema de Administração de

Ministério de Minas e Energia

Plano Diretor de Tecnologia da

Informação

Ciclo 2013-2015

Rio de Janeiro

Fevereiro de 2014

(Esta página foi intencionalmente deixada em branco para o adequado alinhamento de páginas na impressão com a opção frente e verso - “double sided”)

Plano Diretor de Tecnologia

da Informação

Ciclo 2013 - 2015

Diretoria

Presidente Mauricio Tiomno Tolmasquim

Diretor de Estudos Econômico-Energéticos e Ambientais Amilcar Guerreiro

Diretor de Estudos de Energia Elétrica José Carlos de Miranda Farias

Diretor de Estudos do Petróleo, Gás e Biocombustíveis Elson Ronaldo Nunes

Diretor de Gestão Corporativa Alvaro Henrique Matias Pereira

Grupo de Trabalho

Carlos Henrique Brasil de Carvalho

Chaim Ruchleimer

Elzenclever F. de Aguiar

José G. de A. Pacheco

Marcos F.F. de Souza

Marcos Ribeiro Conde

Plinio De Almeida

Sergio L. G. De Miranda

Thiago C. Cesar

Escritório Central Av. Rio Branco, n.º 01 – 11º Andar

20090-003 - Rio de Janeiro – RJ

Rio de Janeiro Fevereiro de 2014

4

(Esta página foi intencionalmente deixada em branco para o adequado alinhamento de páginas na impressão com a opção frente e verso - “double sided”)

APRESENTAÇÃO

A finalidade desse primeiro Plano Diretor de Tecnologia da Informação (PDTI) da EPE é estabelecer um plano de ação, tático e operacional, na área de Tecnologia da Informação e Comunicações (TIC) para atingir os objetivos estratégicos definidos no Plano Estratégico de Tecnologia da Informação (PETI), assegurando seu alinhamento com os objetivos de negócio da Empresa contidos no Plano Estratégico Institucional (PEI).

O documento descreve sucintamente a metodologia utilizada na sua elaboração, resume os resultados alcançados no Plano de Implantação da Infraestrutura de Tecnologia da Informação e Comunicações (PIITIC), enumera os princípios e diretrizes levadas em consideração, contextualiza a unidade de TI, lista o inventário de necessidades da Empresa e define metas e objetivos a serem alcançados.

O PDTI tem um horizonte de três anos, devendo ser revisto todo ano para adequar-se às mudanças nas demandas da Empresa. Essa primeira edição cobre o período 2013 a 2015.

Mauricio Tolmasquim Presidente da EPE

6

Controle de Revisão

Revisão Data Natureza da Revisão Elaborador Revisor

SUMÁRIO

APRESENTAÇÃO _______________________________________________________ 5

1. INTRODUÇÃO_______________________________________________________ 9

1.1 FATORES MOTIVACIONAIS _____________________________________________ 9

1.2 ALINHAMENTO ESTRATÉGICO _________________________________________ 10

1.3 PREMISSAS ________________________________________________________ 11

1.4 ABRANGÊNCIA E PERÍODO ____________________________________________ 11

2. TERMOS E ABREVIAÇÕES _____________________________________________ 12

2.1 ABREVIAÇÕES _____________________________________________________ 12

2.2 TERMOS __________________________________________________________ 13

3. METODOLOGIA ____________________________________________________ 14

4. DOCUMENTOS DE REFERÊNCIA ________________________________________ 15

5. PRINCÍPIOS E DIRETRIZES ____________________________________________ 17

6. ORGANIZAÇÃO DA TI ________________________________________________ 20

7. RESULTADOS DO PDTI ANTERIOR ______________________________________ 21

8. REFERENCIAL ESTRATÉGICO DE TI _____________________________________ 22

8.1 MISSÃO __________________________________________________________ 22

8.2 VISÃO ___________________________________________________________ 22

8.3 VALORES _________________________________________________________ 23

8

8.4 OBJETIVOS ESTRATÉGICOS ___________________________________________ 23

8.5 ANÁLISE SWOT ____________________________________________________ 23

9. ALINHAMENTO COM A ESTRATÉGIA DA ORGANIZAÇÃO ______________________ 25

10. FATORES CRÍTICOS DE SUCESSO _______________________________________ 25

11. PLANO DE AÇÕES __________________________________________________ 26

11.1 CRITÉRIOS DE PRIORIDADE ___________________________________ 26

12. CONCLUSÃO ______________________________________________________ 31

ANEXO I – PREVISÃO DE DESPESAS ________________________________________ 32

ANEXO II – PROJETOS DO PLANO DE AÇÕES VS. OBJETIVOS ESTRATÉGICOS _________ 33

ANEXO III: PROJETOS E ATIVIDADES DO PLANO DE AÇÃO DO PDTI 2013 – 2015 ______ 34

ANEXO IV: ANÁLISE DE CONFORMIDADE COM O COBIT E ITIL ____________________ 55

ANEXO V: CATÁLOGO DE SERVIÇOS DE TIC NA EPE ___________________________ 61

ANEXO VI: AVALIAÇÃO DOS SERVIÇOS TERCEIRIZADOS _________________________ 62

9

1. INTRODUÇÃO

A Empresa de Pesquisa Energética - EPE tem por finalidade prestar serviços na área de estudos

e pesquisas destinadas a subsidiar o planejamento do setor energético nacional. A fim de bem

cumprir sua missão, a EPE necessita lidar, diariamente, com os mais variados tipos de

informação obtida de diversas fontes como: as empresas geradoras, distribuidoras e

consumidoras de energia, as empresas que compõem os vários segmentos da indústria,

comércio e serviços, os órgãos da Administração Pública Federal (APF), de natureza direta ou

indireta, e também de órgãos públicos estaduais e municipais. Enfim, todas as instituições que

fazem parte da cadeia de informações relacionadas ao mercado de energia.

Essas informações servem como entrada em diversos processos de tratamento e gestão e, uma

vez processadas, retornam à sociedade na forma de estudos, boletins e balanços, auxiliando no

processo de planejamento e tomada de decisão em todas as esferas do poder público e áreas

de negócio em geral.

Sendo assim, na EPE a informação é insumo básico e produto final. Por isso, todos os cuidados

devem ser tomados para que essa informação seja utilizada dentro dos mais fortes princípios

de segurança, economicidade, eficiência e legalidade. Com esse objetivo, a Empresa deve

utilizar um mecanismo de planejamento focado num plano de ação para implantá-lo, de forma

a nortear suas ações na área de TI.

Entende-se, então, o Planejamento de TI como um processo gerencial administrativo, de

identificação e organização de pessoal, de aplicações e de ferramentas baseadas em TI, que é

relevante e imprescindível à instituição na execução de seu plano de negócios e no alcance de

seus objetivos institucionais.

O planejamento de TI possibilita uma gestão efetiva dos recursos críticos de TI, dentre eles: os

aplicativos, as informações, a infraestrutura e as pessoas.

1.1 FATORES MOTIVACIONAIS

Além dos aspectos denotados acima, os seguintes tópicos podem ser citados como fatores

motivacionais ou justificativas para elaboração do PDTI na EPE:

Possibilitar que a EPE possa tomar decisões com a maior assertividade possível sobre

aspectos relacionados a TI.

Consolidar as necessidades futuras de TI, derivadas do Planejamento Estratégico

Institucional da EPE e do Plano Estratégico de Tecnologia da Informação da EPE para,

com isso, direcionar os investimentos em TI.

Orientar o direcionamento da Tecnologia da Informação no âmbito da EPE, em

alinhamento com as diretrizes do governo federal.

10

Sustentar a análise de custo versus benefício dos investimentos em Tecnologia da

Informação.

Dar visibilidade para a organização sobre o papel e a atuação da área de TI e o valor que

esta agrega aos produtos da EPE.

Atendimento às Instruções Normativas (IN) da Secretaria de Logística e Tecnologia da

Informação (SLTI) do Ministério do Planejamento, Gestão e Orçamento (MP) nºs

04/2008 e 04/2010.

Atendimento às determinações contidas no Acórdão do TCU nº 2523/2012 que

estabelecem os padrões de governança e gestão a serem seguidos pelos órgãos da APF

direta e indireta na área de TI.

Atendimento à recomendação 3 do item de constatação (009), do Relatório de Auditoria

de Gestão nº 201108797.

1.2 Alinhamento Estratégico

O PETI e o PDTI devem estar integrados e alinhados com o planejamento estratégico e as

estratégias de negócio da organização. Essa integração é que sustenta o plano de

investimentos e de desenvolvimento das atividades da área de TI para apoiar as estratégias

organizacionais mais efetivamente, permitindo que a TI formule suas estratégias, organize seus

processos e, consequentemente, determine os investimentos e recursos humanos em TI

necessários para a organização atinja seus objetivos de negócios. A figura abaixo apresenta a

relação entre os diversos níveis organizacionais e seus respectivos instrumentos de

planejamento, denotando a relação entre o PEI, o PETI e o PDTI:

11

Figura 1 - Níveis Organizacionais vs. Instrumentos de Planejamento.

1.3 Premissas

Premissas são fatores assumidos como verdadeiros e que, caso não se confirmem, podem

afetar os objetivos principais de um projeto. Para a elaboração do PDTI da EPE as seguintes

premissas foram consideradas:

Alinhamento do PDTI com o PETI e, desse último, com o Planejamento Estratégico

Institucional (PEI).

Aderência ao Modelo de Referência proposto pela SLTI em 2010, versão 1.0.

Aderência ao Guia do Processo de Elaboração de Plano Diretor de Tecnologia da

Informação – SLTI de 2011.

O PDTI não tem a finalidade de identificar, selecionar, indicar organizações ou serviços,

ou prestadores de serviço de qualquer natureza, nem recomendar hardware ou

software específico em particular ou em geral.

Basear as ações mapeadas nesse PDTI nas melhores práticas de Governança de TI e nas

diretrizes e orientações do Programa de Governo Eletrônico do Governo Federal.

1.4 Abrangência e Período

As diretrizes estabelecidas neste PDTI aplicam-se tanto ao escritório-central quanto ao

escritório-sede da EPE.

Esse documento deverá ser observado por todos os empregados e demais colaboradores da

EPE, sejam estagiários, consultores, prestadores de serviços terceirizados e, também, por

12

outros órgãos da Administração Pública de qualquer esfera, instituições de ensino ou empresas

privada quando da execução de ações ou serviços de TIC mediante acordo, contrato, convênio

ou termo congênere.

O PDTI cobrirá o período 2013-2015 e será revisto, no mínimo, uma vez por ano e nas revisões

do PEI e do PETI de modo a atualizar as diretrizes, planos e, principalmente, quando da

consolidação da proposta orçamentária de TI para o exercício seguinte.

Seu conteúdo está baseado no Modelo de Referência para Elaboração de PDTI, versão 1.0, de

2010, da SLTI/MPOG, e está dividido em 24 tópicos a saber: Introdução, Fatores Motivacionais,

Alinhamento Estratégico, Premissas, Abrangência e Período, Termos e Abreviações,

Metodologia Aplicada, Documentos de Referência, Princípios e Diretrizes, Organização da TI,

Resultados do PDTI Anterior, Referencial Estratégico, Missão da TI, Visão da TI, Valores,

Objetivos Estratégicos, Analise SWOT da TI, Alinhamento com a Estratégia da Organização,

Fatores Críticos de Sucesso, Plano de Metas, Plano de Ações, Critérios de Prioridade, Conclusão

e Anexos.

Na EPE, a convergência entre a Tecnologia da Informação (TI) e as Comunicações (C) é nativa,

ou seja, desde sua criação a EPE tratou TI e C como TIC. Assim sendo, neste documento, as

siglas TI e TIC são utilizadas com o mesmo significado, dependendo do contexto em que são

empregadas, para tornar o texto mais próximo do jargão encontrado na literatura e nas

publicações especializadas.

2. TERMOS E ABREVIAÇÕES

2.1 ABREVIAÇÕES

As abreviações utilizadas no documento são as seguintes:

Tabela 1 - Lista de Abreviações

ABREVIAÇÃO DESCRIÇÃO

APF Administração Pública Federal

BSC Balanced Score Card

CGU Controladoria Geral da União

CONJUR Consultoria Jurídica

EGTI Estratégia de Geral de Tecnologia da Informação

e-Ping Padrões de Interoperabilidade de Governo Eletrônico

e-Mag Modelo de Acessibilidade de Governo Eletrônico

e-PWG Padrões Web em Governo Eletrônico

GSIC Gestor de Segurança da Informação e Comunicações

GSIPR Gabinete de Segurança da Informação da Presidência da República

13

ABREVIAÇÃO DESCRIÇÃO

IN Instrução Normativa

INC Instrução Normativa Complementar

MDS Metodologia de Desenvolvimento de Sistemas

MGP Metodologia de Gerenciamento de Projetos

MP Ministério do Planejamento, Orçamento e Gestão

PCN Plano de Continuidade de Negócios

PDTI Plano Diretor de Tecnologia da Informação

PSIC Política de Segurança da Informação e Comunicações

SISP Sistema de Administração de Recursos de Tecnologia da Informação

SLTI Secretaria de Logística e Tecnologia da Informação

STI Superintendência de Tecnologia da Informação e Comunicações

TCU Tribunal de Contas da União

TI Tecnologia da Informação

TIC Tecnologia da Informação e Comunicações

2.2 TERMOS

ITEM DESCRIÇÃO

Boa prática Existência de consenso geral de que a aplicação correta de habilidades, ferramentas e técnicas pode aumentar as chances de sucesso em uma ampla gama de projetos.

(Guia PMBOK, 4ª Edição, 2008) Capacitação Processo permanente e deliberado de aprendizagem, com o propósito de contribuir para o

desenvolvimento de competências institucionais por meio do desenvolvimento de competências individuais.

Dados Abertos Segundo a definição da Open Knowledge Foundation, dados são abertos quando qualquer pessoa pode livremente usá-los, reutilizá-los e redistribui-los, estando sujeito a, no máximo, a exigência de creditar a sua autoria e compartilhar pela mesma licença. Isso geralmente é satisfeito pela publicação dos dados em formato aberto e sob uma licença aberta.

e-MAG Consiste em um conjunto de recomendações a ser considerado para que o processo de acessibilidade dos sítios e portais do governo brasileiro seja conduzido de forma padronizada e de fácil implementação.

e-PING Padrões de Interoperabilidade de Governo Eletrônico, que definem um conjunto mínimo de premissas, políticas e especificações técnicas que regulamentam a utilização da Tecnologia de Informação e Comunicação no governo federal, estabelecendo as condições de interação com os demais poderes e esferas de governo e com a sociedade em geral.

14

ITEM DESCRIÇÃO

e-PWG São recomendações de boas práticas agrupadas em formato de cartilhas com o objetivo de aprimorar a comunicação e o fornecimento de informações e serviços prestados por meios eletrônicos pelos órgãos do Governo Federal.

Gestão do Conhecimento

A gestão do conhecimento pode ser vista como um conjunto de processos que orientam a criação, disseminação e utilização do conhecimento para atingir plenamente os objetivos da organização. (Davenport & Prusak, 1998)

Governança de TI

Consiste em aspectos de liderança, estrutura organizacional e processos que garantam que a área de TI da organização suporte e aprimore os objetivos e as estratégias da organização. É de responsabilidade dos executivos e da alta direção.

(COBIT 4.1) Inovação Inovação significa novidade ou renovação, referindo-se a uma ideia, método ou objeto que é

criado e que pouco se parece com padrões anteriores. Pode ser também definida como fazer mais com menos recursos, por permitir ganhos de eficiência em processos, quer produtivos quer administrativos ou financeiros, quer na prestação de serviços, potenciar e ser motor de competitividade. A inovação quando cria aumentos de competitividade pode ser considerado um fator fundamental no crescimento econômico de uma sociedade.

Plano de Continuidade de Negócios

O Plano de Continuidade de Negócios (do inglês Business Continuity Plan - BCP), estabelecido pela norma ABNT NBR 15999 Parte 1, é o desenvolvimento preventivo de um conjunto de estratégias e planos de ação de maneira a garantir que os serviços essenciais sejam devidamente identificados e preservados após a ocorrência de um desastre, e até o retorno à situação normal de funcionamento da empresa dentro do contexto do negócio do qual ela faz parte.

Plano Plurianual

Instrumento legal de planejamento de maior alcance temporal no estabelecimento das prioridades e no direcionamento das ações do governo. Estabelece para a administração pública, de forma regionalizada, as diretrizes, objetivos e metas que orientarão a aplicação dos recursos públicos para um período equivalente ao do mandato do chefe do Poder Executivo deslocado em um exercício (atualmente, quatro anos).

Processo Conjunto definido de atividades ou comportamentos executados por humanos ou máquinas para alcançar uma ou mais metas. Os processos são disparados por eventos específicos e apresentam um ou mais resultados que podem conduzir ao término do processo ou a outro processo. Processos são compostos por várias tarefas ou atividades inter-relacionadas e consomem recursos na sua execução (tempo, dinheiro, materiais). (BPM-CBOK®)

Representativo No âmbito do Comitê de TI, considera-se representativo quando a composição é feita pelos dirigentes das áreas de negócio, tendo a efetiva participação e deliberação por parte de seus membros nas reuniões periódicas.

Tecnologia da Informação

Recursos necessários para adquirir, processar, armazenar e disseminar informações. (NBR ISO/IEC 38500:2009)

3. METODOLOGIA

A elaboração do PDTI é atribuição do Comitê Executivo de Tecnologia da Informação e

Comunicações (CTIC-X) que constituiu um grupo de trabalho com a finalidade de preparar a sua

15

versão inicial. Essa versão inicial foi revista pelo CTIC-X e encaminhada ao Comitê Estratégico

de Tecnologia da Informação e Comunicações – CTIC-E para aprovação.

A metodologia empregada na elaboração do PDTI foi a preconizada no “Guia do Processo de

Elaboração de PDTI” do SISP levando em consideração o “Modelo de Referência de PDTI 2011-

2-12”, que serviu de base para a redação do PDTI, ambos documentos elaborados pela

SLTI/MP.

Os trabalhos tiveram início com entrevistas e análise dos Documentos de Referência, tais como

a Estratégia Geral de TI (EGTI), o PEI, o PETI, e demais documentos constantes da Tabela 2.

Para a elaboração do PDTI foram feitos levantamentos de necessidades de TI para atender aos

objetivos estratégicos e demais direcionamentos encontrados nos documentos de referência.

Das necessidades derivaram-se ações, projetos e metas. Além disso, as necessidades deram

origem a Planos Específicos, como o de Gestão de Pessoas, Investimentos em Serviços e

Equipamentos, Gestão de Riscos e Proposta Orçamentária.

A metodologia para elaboração do PDTI contém três fases. São elas:

Preparação: realização de tarefas necessárias para a criação de um Plano de Trabalho

para elaboração do PDTI.

Diagnóstico: realização de tarefas para identificar a situação atual da TI da EPE e as

necessidades a serem atendidas.

Planejamento: realização de tarefas para estipular prioridades das necessidades e

estipular metas e ações para seu atendimento. Estas ações podem envolver a

contratação de serviços, a aquisição de equipamentos ou o uso de recursos próprios

inclusive humanos, para seu desenvolvimento.

4. DOCUMENTOS DE REFERÊNCIA

A elaboração do PETI e do PDTI levaram em consideração as diretrizes, padrões, normas e

orientações do governo, além da legislação pertinente e jurisprudência estabelecida pelos

órgãos de controle. A Tabela 2 apresenta os documentos de referência que serviram como

material de apoio e consulta na elaboração dos mesmos.

Tabela 2 - Documentos de Referência ID Documento Descrição

DR1 Decreto nº 2.271/1997 Trata da Política de terceirização para a Adm. Pública Federal.

DR2 Instrução Normativa SLTI/MP nº 04/2010

Dispõe sobre o processo de contratação de Soluções de Tecnologia da Informação pelos órgãos integrantes do Sistema de Administração dos Recursos de Informação e Informática (SISP) do Poder Executivo Federal.

DR3 Acordão nº 2.746/2010-P Relatório de auditoria do TCU. Avaliação de controles gerais de Tecnologia da Informação.

DR4 Acórdão nº 2.308/2010-P Levantamento de Governança de TI na Administração Pública Federal (APF), realizado pela Secretaria de Fiscalização e Tecnologia da Informação (Sefti) do TCU.

DR5 Acórdão 2523/2012-P TCU avalia mecanismos sustentadores de sistemas integrados de gestão em cinco empresas.

DR6 Estratégia Geral de Tecnologia da Informação – EGTI 2010

Incorpora arranjos e ajustes necessários definidos pela SLTI. Busca o alinhamento de estratégias de TI visando alcançar o aumento da maturidade de processos de Governança de Tecnologia da Informação.

16

ID Documento Descrição

DR7 Estratégia Geral de Tecnologia da Informação – EGTI 2011

Estabelece metas de curto e médio prazos a serem cumpridas pelos órgãos do SISP, em diferentes perspectivas de atuação e propõe a mensuração objetiva de resultados por meio de indicadores. Incentiva e promove a troca de informações, experiências, conhecimento e desenvolvimento colaborativo entre os órgãos que compõem o sistema SISP.

DR8 Plano Estratégico da EPE – Ciclo 2012- 2015

Define as diretrizes e ações da EPE a serem realizadas no período de 2012 a 2015, com revisão anual a partir do exercício de 2013.

DR9 COBIT 4.1 Control Objectives for Information and related Technology. Guia de boas práticas dirigido para gestão de tecnologia da informação (TI).

DR10 ITIL v3 Information Technology Infrastructure Library. Conjunto de boas práticas a serem aplicadas na infraestrutura, operação e manutenção de serviços de tecnologia da informação (TI)

DR11 Nota Técnica Sefti/TCU nº 2 Dispõe do uso do Pregão para aquisição de bens e serviços de Tecnologia da Informação.

DR12 Instrução Normativa GSI/PR nº 1

Disciplina a Gestão de Segurança da Informação e Comunicações na Administração Pública Federal, direta e indireta.

DR13 Instrução normativa GSI/PR nº 1 - NC 01 - normatizacao

Estabelece critérios e procedimentos para elaboração, atualização, alteração, aprovação e publicação de normas complementares sobre Gestão de Segurança da Informação e Comunicações, no âmbito da Administração Pública Federal, direta e indireta.

DR14 Instrução normativa GSI/PR nº 1 - NC 02

Defini a metodologia de gestão de segurança da informação e comunicações utilizada pelos órgãos e entidades da Administração Pública Federal, direta e indireta.


Estabelece diretrizes, critérios e procedimentos para elaboração, institucionalização, divulgação e atualização da Política de Segurança da Informação e Comunicações (POSIC) nos órgãos e entidades da Administração Pública Federal, direta e indireta - APF.


Estabelece diretrizes para o processo de Gestão de Riscos de Segurança da Informação e Comunicações – GRSIC nos órgãos ou entidades da Administração Pública Federal, direta e indireta – APF.


Disciplina a criação de Equipe de Tratamento e Resposta a Incidentes em Redes Computacionais – ETIR nos órgãos e entidades da Administração Pública Federal, direta e indireta – APF.


Estabelece diretrizes para Gestão de Continuidade de Negócios, nos aspectos relacionados à Segurança da Informação e Comunicações, nos órgãos e entidades da Administração Pública Federal, direta e indireta – APF.


Estabelece diretrizes para implementação de controles de acesso relativos à Segurança da Informação e Comunicações nos órgãos e entidades da Administração Pública Federal, direta e indireta - APF.


Disciplina o gerenciamento de Incidentes de Segurança em Redes de Computadores realizado pelas Equipes de Tratamento e Resposta a Incidentes de Segurança em Redes Computacionais - ETIR dos órgãos e entidades da Administração Pública Federal, direta e indireta - APF.


Estabelece orientações específicas para o uso de recursos criptográficos como ferramenta de controle de acesso em Segurança da Informação e Comunicações, nos órgãos ou entidades da Administração Pública Federal, direta e indireta (APF).


Estabelece diretrizes para o processo de Inventário e Mapeamento de Ativos de Informação, para apoiar a Segurança da Informação e Comunicações (SIC), dos órgãos e entidades da Administração Pública Federal, direta e indireta – APF.


Estabelece diretrizes para avaliação de conformidade nos aspectos relativos à Segurança da Informação e Comunicações (SIC) nos órgãos ou entidades da Administração Pública Federal, direta e indireta – APF.


Estabelece diretrizes e orientações básicas para o uso de dispositivos móveis nos aspectos referentes à Segurança da Informação e Comunicações (SIC) nos órgãos e entidades da Administração Pública Federal (APF), direta e indireta.


Estabelece diretrizes para a Gestão de Mudanças nos aspectos relativos à Segurança da Informação e Comunicações (SIC) nos órgãos e entidades da Administração Pública Federal, direta e indireta (APF).


Estabelece diretrizes para a utilização de tecnologias de Computação em Nuvem, nos aspectos relacionados à Segurança da Informação e Comunicações (SIC), nos órgãos e entidades da Administração Pública Federal (APF), direta e indireta.


Estabelecer diretrizes de Segurança da Informação e Comunicações para o uso das redes sociais, nos órgãos e entidades da Administração Pública Federal (APF), direta e indireta.


Estabelecer diretrizes de Segurança da Informação e Comunicações para a obtenção de software seguro nos órgãos e entidades da Administração Pública Federal, direta e indireta.

DR29 Decreto 1.048/1994 Dispõe sobre o Sistema de Administração dos Recursos de Informação e Informática, da Administração Pública Federal.

DR30 Portal do Software Livre da Presidência da República

(www.softwarelivre.gov.br)

Portal da Presidência da República sobre conteúdos de software livre.

DR31 Regimento Interno da SUSEP Define a estrutura organizacional, responsabilidades e regras de cada uma das áreas da SUSEP.

DR32 Guia do Processo de Elaboração de PDTI e Modelo

Documento da Secretaria de Logística e Tecnologia da Informação/MPOG que dispõe sobre os padrões, orientações, diretrizes e templates para elaboração do Plano Diretor de Tecnologia da

17

ID Documento Descrição

de Referencia de PDTI 2011 Informação.

5. PRINCÍPIOS E DIRETRIZES

A Tabela 3 apresenta os princípios e diretrizes estabelecidos a partir dos documentos de

referência listados no tópico anterior, que serviram para a elaboração do PDTI e que também

servirão para nortear sua execução.

Tabela 3 - Lista de Princípios e Diretrizes.

ID PRINCÍPIO/DIRETRIZ ORIGEM

PD1 Prover a informação de que a organização precisa para atingir os seus objetivos, as necessidades para investir, gerenciar e controlar os recursos de TI usando um conjunto estruturado de processos para prover os serviços que disponibilizam as informações necessárias para a organização.

Cobit 4.1

PD2 Proporcionar o alinhamento das soluções de TI com as metas do negócio e as necessidades da EPE

PEI EPE Ciclo 2012-2015; COBIT 4.1.;

PD3 A administração pública direta e indireta de qualquer dos Poderes da União, dos Estados, do Distrito Federal e dos Municípios obedecerá aos princípios de legalidade, impessoalidade, moralidade, publicidade e eficiência [..]

Constituição Federal de 1988

PD4 Aos demais órgãos e entidades da Administração Pública Federal, direta e indireta, em seu âmbito de atuação, compete: I - coordenar as ações de segurança da informação e comunicações; II - aplicar as ações corretivas e disciplinares cabíveis nos casos de quebra de segurança; III - propor programa orçamentário específico para as ações de segurança da informação e comunicações; IV - nomear Gestor de Segurança da Informação e Comunicações; V - instituir e implementar equipe de tratamento e resposta a incidentes em redes computacionais; VI - instituir Comitê de Segurança da Informação e Comunicações; VII - aprovar Política de Segurança da Informação e Comunicações e demais normas de segurança da informação e comunicações; VIII - remeter os resultados consolidados dos trabalhos de auditoria de Gestão de Segurança da Informação e Comunicações para o GSI.

Instrução Normativa GSI/PR nº 1, de 13.06.2008; PETI 2013-2015, Objetivo Estratégico nº 6

PD5 Garantir a Segurança da Informação e Comunicações EGTI 2013-2015

PD6 Melhorar continuamente a prestação de serviços e a transparência de informações à sociedade

EGTI 2013-2016

PD7 Aprimorar a gestão de pessoas de TI EGTI 2013-2017

PD8 Aperfeiçoar a gestão orçamentária de TI EGTI 2013-2018

PD9 Aperfeiçoar a governança de TI EGTI 2013-2019

PD10 Alcançar a efetividade na gestão de TI EGTI 2013-2020

PD11 A contratação de serviços deve visar ao atendimento de objetivos de negócio, que será avaliado por meio de mensuração e avaliação de resultados.

Instrução Normativa SLTI/MP nº 4/2010

PD12 Avaliar e direcionar o uso da TI para dar suporte à organização e monitorar seu uso para realizar os planos, incluindo a estratégia e as políticas de uso da TI dentro da organização

Norma ABNT NBR ISO/IEC 38500

PD13 OS indivíduos e grupos dentro da organização compreendem e aceitam suas responsabilidades com respeito ao fornecimento e demanda de TI.


PD14 Os planos estratégicos para TI devem satisfazer as necessidades atuais e contínuas da estratégia de negócio da organização.


PD15 As aquisições de TI devem ser feitas por razões válidas, com base em análise apropriada e contínua, com tomada de decisão clara e transparente, existindo um equilíbrio apropriado entre benefícios, oportunidades, custos e riscos, de curto e longo prazo.


PD16 A TI deve ser adequada ao propósito de apoiar a organização, fornecendo serviços, níveis de serviço e qualidade de serviço, necessários para atender aos requisitos atuais e futuros do


18


negócio.

PD17 A TI deve cumprir com toda a legislação e regulamentos obrigatórios. As políticas e práticas devem ser claramente definidas, implementadas e fiscalizadas.

Norma ABNT NBR ISO/IEC 38505; PETI 2013-2015, Objetivo Estratégico nº 3

PD18 As políticas, práticas e decisões de TI demonstram respeito pelo Comportamento Humano, incluindo as necessidades atuais e futuras de todas as pessoas no processo.

Norma ABNT NBR ISO/IEC 38506; PETI 2013-2015, Objetivo Estratégico nº 4

PD19 Atender às recomendações do ACÓRDÃO Nº 2.308/2010-TCU-Plenário, itens:

9.1. recomendar ao Departamento de Coordenação e Controle das Empresas Estatais – Dest que, no âmbito de sua respectiva área de atuação: 9.1.1. orientem as unidades sob sua jurisdição, supervisão ou estrutura acerca da necessidade de estabelecer formalmente: (i) objetivos institucionais de TI alinhados às estratégias de negócio; (ii) indicadores para cada objetivo definido, preferencialmente em termos de benefícios para o negócio da instituição; (iii) metas para cada indicador definido; (iv) mecanismos para que a alta administração acompanhe o desempenho da TI da instituição; 9.1.2. normatizem a obrigatoriedade de a alta administração de cada instituição sob sua jurisdição, supervisão ou estrutura estabelecer os itens acima;

ACÓRDÃO Nº 2.308/2010-TCU-Plenário

PD20 Atender às recomendações do ACÓRDÃO 2523/2012-TCU, itens:

9.1.1. Política de segurança da informação formalmente aprovada, em obediência à Instrução Normativa nº 1/2008, art 5º, inciso VII, do Gabinete de Segurança Institucional da Presidência da República, observando as diretrizes da Norma Complementar nº 03/IN01/DSIC/GSIPR, as práticas dos itens 5.1.1 e 5.1.2 da NBR ISO/IEC 27002:2005, e à semelhança das orientações do objetivo de controle DS5.2 do Cobit 4.1; 9.1.2. Política de controle de acesso formalmente aprovada, em obediência à Norma Complementar nº 7, item 2.6, do Gabinete de Segurança Institucional da Presidência da República, observando as diretrizes e recomendações dessa norma e do item 11.1.1 da NBR ISO/IEC 27002:2005;

ACÓRDÃO 2523/2012-TCU; PETI 2013-2015, Objetivo Estratégico nº 7


9.2.1. Fomente a troca de informações e experiências entre as empresas fiscalizadas neste trabalho e outras que utilizem sistemas integrados de gestão, com o intuito de construir e divulgar parâmetros e indicadores objetivos para mensuração dos serviços de parametrização e customização de novas funcionalidades nesses sistemas; 9.2.2. Oriente os órgãos e entidades sob sua jurisdição, com contratos vigentes de sistemas integrados de gestão, para que verifiquem a legalidade desses instrumentos no que diz respeito: 9.2.2.1. ao modelo de remuneração da contratada vinculado a resultados; 9.2.2.2. aos critérios objetivos de aceitabilidade dos produtos; 9.2.2.3. ao uso de instrumentos para rastrear os serviços executados; 9.2.2.4. ao uso de instrumentos de controle periódico da validade, quantidade e tipo de licenças contratadas e efetivamente utilizadas; 9.2.2.5. à vinculação dos serviços de manutenção e suporte de licenças do sistema integrado de gestão a resultados objetivos e mensuráveis;

ACÓRDÃO 2523/2012-TCU


9.2.3.1 Processo de planejamento estratégico de tecnologia da informação (TI) que torne explícita a vinculação entre os objetivos a serem atendidos com o uso do sistema integrado de gestão e os objetivos de negócio do plano estratégico institucional, à semelhança das orientações do Cobit 4.1, PO1.2 – Alinhamento entre TI e Negócio e PO1.6 – Gerenciamento do Portfólio de TI; 9.2.3.2 Regulamentos corporativos formais que orientem e normatizem a atuação das empresas e contratados para a prestação de serviços de TI, incluindo desenvolvimento, manutenção e suporte dos sistemas integrados de gestão; 9.2.3.3 Processo de gestão de riscos de TI que considere os riscos associados à gestão e ao uso do sistema integrado de gestão, à semelhança das orientações do Cobit 4.1, PO4.8 – Responsabilidade por Riscos, Segurança e Conformidade, PO9.1 – Alinhamento da gestão de riscos de TI e de Negócios e PO9.6 – Manutenção e Monitoramento do Plano de Ação de Risco; 9.2.3.4 Processo de avaliação de custo-benefício para a contratação de novos serviços e produtos relacionados ao sistema integrado de gestão, com indicadores de avaliação dos investimentos alinhados ao cumprimento dos objetivos estratégicos, e monitoramento periódico desses indicadores; 9.2.3.5 Plano de capacitação de TI de modo que os treinamentos previstos no plano sejam executados de maneira efetiva e tempestiva, à semelhança das orientações do Cobit 4.1,


19


DS7.1 – Identificação das Necessidades de Ensino e Treinamento e DS7.2 – Entrega de Treinamento e Ensino; 9.2.3.6 Processo de construção de novas funcionalidades no sistema integrado de gestão que contemple atividades de gestão dos requisitos da aplicação, à semelhança das orientações do Cobit 4.1, AI1.1 – Definição e Manutenção de Requisitos Técnicos e Funcionais de Negócio, AI1.2 – Relatório de Análise de Risco e AI1.4 – Decisão e Aprovação de Requisitos e Estudo de Viabilidade; 9.2.3.7 Processo de gestão de mudanças com controles específicos para situações de risco associadas a mudanças no sistema integrado de gestão, à semelhança das orientações do item 12.5.1 da Norma NBR ISO/IEC 27.002:2005 e Cobit 4.1, AI6.1 – Padrões e Procedimentos de Mudança, AI6.2 – Avaliação de Impacto, Priorização e Autorização e AI6.3 – Mudanças de Emergência, AI6.4 – Acompanhamento de Status e Relatórios de Mudanças e AI6.5 – Finalização da Mudança e Documentação;


9.2.3.8 Processo de testes das funcionalidades implementadas no sistema integrado de gestão que contemple verificação e validação dos softwares entregues, à semelhança das orientações do Cobit 4.1, AI7.2 – Plano de Teste, AI7.4 – Ambiente de Testes, AI7.6 – Teste de Mudanças, AI7.7 – Teste de Aceitação Final; 9.2.3.9 Processo de gestão dos manuais de uso do sistema integrado de gestão, de modo que sejam atualizados tempestivamente após a ocorrência de mudanças nas funcionalidades do sistema, à semelhança das orientações do Cobit 4.1, AI4.2 – Transferência de Conhecimento ao Gerenciamento do Negócio, AI4.3 – Transferência de Conhecimento aos Usuários Finais e AI4.4 – Transferência de Conhecimento às Equipes de Operações e Suporte; 9.2.3.10 Processo de auditoria interna com subsídios normativos, tecnológicos e pessoais necessários para fiscalização de controles internos e de aplicação associados ao sistema integrado de gestão, à semelhança do Cobit 4.1, ME2.1 – Monitoramento da Estrutura de Controles Internos; 9.2.3.11 Perfis de acesso específicos para auditores internos e externos para fiscalização de controles de aplicação do sistema integrado de gestão e uso de informações nele armazenadas, à semelhança do Cobit 4.1, ME2.1 – Monitoramento da Estrutura de Controles Internos; 9.2.3.12 Plano de continuidade de TI, observando as práticas dos itens 8.7.2 da NBR ISO 15.999, 14.1.3 da NBR ISO 27.002:2005 e à semelhança das orientações do Cobit 4.1, DS4.2 – Planos de Continuidade de TI; 9.2.3.13 Mecanismos de proteção das áreas com informações e instalações associadas ao sistema integrado de gestão, nos moldes do que estabelecem os itens 9.1 e 9.2 da NBR ISO/IEC 27.002:2005; 9.2.3.14 Controles de segurança relacionados ao acesso do sistema integrado de gestão, considerando as práticas dos itens 11.2 e 11.3 da NBR ISO/IEC 27.002:2005; 9.2.3.15 Mecanismos de controle sobre atividades conflitantes relacionadas ao sistema integrado de gestão, em especial, mapa que discrimine atividades e perfis de usuários conflitantes, procedimentos que garantam a efetiva aplicação das restrições do mapa, e revisão periódica dos perfis de acesso dos usuários, considerando as recomendações do item 10.1.3 da NBR ISO/IEC 27.002:2005;



9.2.3.16 Integração dos dados dos sistemas legados internos e o sistema integrado de gestão, à semelhança das orientações do processo PO2 – Definir a Arquitetura da Informação, objetivos de controle PO2.1 – Modelo de Arquitetura da Informação da Organização e PO2.4 – Gerenciamento de Integridade, e no requisito de negócio de TI do processo PO3 – Determinar o direcionamento tecnológico – do Cobit 4.1; 9.2.3.17 Processo de avaliação periódica do grau de satisfação dos usuários com o sistema integrado de gestão, à semelhança das orientações do Cobit 4.1, processo ME1 – Monitorar e Avaliar o Desempenho de TI, objetivo de controle ME1.1 – Abordagem de Monitoramento; 9.2.3.18 Avaliação de funcionalidades e módulos necessários na automatização dos processos de negócio, bem como da disponibilidade dos controles a eles associados no núcleo operacional do sistema integrado de gestão; 9.2.3.19 Avaliação dos riscos associados às customizações no sistema integrado de gestão, caso essa alternativa seja escolhida, inclusive aqueles com impactos financeiros decorrentes do esforço adicional de migração das customizações quando da ocorrência de mudanças de versão do sistema;


20

6. ORGANIZAÇÃO DA TI

A Superintendência de Tecnologia da Informação e Comunicações (STI) da EPE, responsável

pela gestão de TIC, é subordinada à Diretoria de Gestão Corporativa. As atribuições da STI

estão definidas no artigo 48 do Regimento Interno da EPE. Compete à STI:

I. Promover a gestão e a administração dos recursos de tecnologia da informação e

comunicações;

II. Prover os sistemas de apoio às áreas de negócio da Empresa;

III. Prover os sistemas de apoio à gestão da Empresa;

IV. Promover a Segurança da Informação e Comunicações.

A STI organiza-se, informalmente, em duas áreas de atuação, conforme mostrado na Figura 2.

Ainda é função da STI o assessoramento aos Comitês Executivo e Estratégico de Tecnologia da

Informação e Comunicações (CTIC-X e CTIC-E) e ao Comitê de Segurança da Informação e

Comunicações (CSIC).

As competências específicas de cada área interna da STI são:

Desenvolvimento de Sistemas: é responsável pelo levantamento de requisitos, análise, desenvolvimento, apoio a homologação, documentação, implantação e manutenção de soluções tecnológicas para automatizar os processos de trabalho na EPE.

Infraestrutura e Suporte: é responsável pelo suporte da infraestrutura de TIC, verificação de conformidade dos softwares e equipamentos adquiridos com a plataforma tecnológica da EPE, monitoramento da utilização e planejamento de capacidade dos ativos computacionais, manutenção dos serviços e equipamentos de rede de forma segura, administração dos ativos computacionais e suporte aos usuários da rede.

21

Figura 2 - Organização da STI

Os Comitês de TI e Segurança da Informação são estruturados da seguinte maneira:

Comitê Estratégico de Tecnologia da Informação e Comunicações: é um comitê representativo e tem como membros o Diretor Presidente, que o preside, os Diretores das três áreas finalísticas e o Diretor de Gestão Corporativa.

Comitê Executivo de Tecnologia da Informação e Comunicações: tem como membros representantes, com os respectivos suplentes, designados pela presidência e cada uma das diretorias e é presidido pelo Superintendente da STI.

Comitê de Segurança da Informação e Comunicações: tem como membros o Gestor de Segurança da Informação e Comunicações (GSIC), que o preside, um representante da STI, representantes da presidência e de cada uma das diretorias e um representante da Consultoria Jurídica (CONJUR).

7. RESULTADOS DO PDTI ANTERIOR

Esta é a primeira versão do PDTI. No entanto, a EPE elaborou, em 2005, quando foi implantada,

o Plano para Implantação da Infraestrutura de Tecnologia da Informação e Comunicações

22

(PIITIC) que preconizava os recursos que seriam necessários para a operacionalização da

empresa de forma que possibilitasse a produção e entrega de seus produtos finais.

O plano propunha uma plataforma tecnológica a ser implantada para dar suporte às atividades

iniciais da Empresa. O plano dimensionava os recursos de:

Hardware (para uso pessoal, infraestrutura de rede, servidores de dados e aplicações, dispositivos de armazenamento de dados, servidores de processamento científico e etc.);

Software (Aplicativos para a área fim, automatização de escritório e gestão de serviços); e

Pessoal para fornecimento de serviços de suporte e desenvolvimento de sistemas.

O plano serviu de base para as contratações de TIC até 2010, quando ficou evidente a necessidade e a importância da elaboração de um PDTI.

8. REFERENCIAL ESTRATÉGICO DE TI

O PETI 2013-2015 da EPE estabelece o referencial estratégico de TI para a empresa. Nele estão

definidos os principais elementos do planejamento estratégico: Missão, Visão, Valores e

Objetivos Estratégicos.

8.1 Missão

A Missão de uma empresa ou área consiste na definição de sua própria razão de ser, ou seja, ao

se refletir sobre a missão busca-se, de fato, identificar qual é o fim de sua existência. Segue

abaixo a missão da área de TI da EPE.

“Prover soluções de tecnologia da informação, com excelência, e de forma alinhada

com os objetivos de negócio da EPE.”

8.2 Visão

A Visão de uma área ou organização traduz as expectativas e desejos de como esta pretende

ser vista pelos agentes que com ela interage em um determinado horizonte no tempo, ou

indefinidamente. Segue abaixo a Visão da área de TI da EPE:

“Ser reconhecida como um parceiro estratégico da organização, fornecendo soluções

de qualidade que buscam, além da satisfação do cliente, a superação de suas

expectativas.”

23

8.3 Valores

Nenhuma empresa ou área é capaz de atingir plenamente seus objetivos se não tiver definido,

de forma clara e transparente aos seus membros, seus ideais, princípios e crenças, que irão

orientar e inspirar o cumprimento da sua Missão em sua Visão. Esses são os seus Valores. Dessa

forma, os membros da STI devem cultivar os seguintes Valores:

Foco no cliente

Visão global e sistêmica

Organização

Trabalho em equipe

Transparência

8.4 Objetivos Estratégicos

Os Objetivos Estratégicos advindos do PETI e agrupados segundo a perspectiva estratégica são:

Perspectiva estratégica: PESSOAS, APRENDIZADO E CRESCIMENTO

1. Aperfeiçoar a gestão de pessoas de TIC.

Perspectiva estratégica: FINANCEIRO

2. Melhorar a gestão orçamentária de TIC.

Perspectiva estratégica: PROCESSOS INTERNOS

3. Implantar a Governança de TIC;

4. Alcançar a efetividade na Gestão de TIC;

5. Disponibilizar ferramentas e tecnologias visando a melhoria do desempenho institucional;

6. Melhorar e consolidar a Gestão de Segurança da Informação e Comunicações.

7. Garantir aderência à legislação e modelos de referência

Perspectiva estratégica: SOCIEDADE E CLIENTES

8. Melhorar continuamente a prestação de serviços e a transparência de informações à sociedade e aos clientes.

8.5 ANÁLISE SWOT

O propósito da análise SWOT (do inglês Strengths, Weaknesses, Opportunities, and Threats) é

avaliar os pontos fortes e fracos da empresa em relação aos aspectos de TIC. Simultaneamente

à identificação de suas forças e fraquezas, a empresa, também, mapeia as oportunidades e

24

ameaças que possam impactar, positiva ou negativamente, o seu negócio, enxergando a si

própria sob uma perspectiva interna (forças e fraquezas) e externa (oportunidades e ameaças)

em relação à gestão de TIC.

Como resultado da análise SWOT, focada em aspectos de TIC, temos (fonte: PETI EPE, período

2013-2015): Tabela 4 - Matriz SWOT.

Ambiente Interno Ambiente Interno

Pontos Fortes (S) Pontos Fracos (W)

Bom nível de formação acadêmica e profissional de sua força de trabalho, aliada a experiência diversificada da equipe.

Comprometimento com os objetivos da organização.

Foco na satisfação do cliente interno e externo.

Reconhecimento interno e externo da qualidade dos trabalhos apresentados pela STI.

Comitês Estratégico e Executivo de TIC instituídos.

Comitê de Segurança da Informação e Comunicações (CSIC) e Equipe de Tratamento de Incidentes de Redes Computacionais (ETIR) instituídos.

Política de SIC e algumas normas de SIC instituídas.

Existência de um Programa Corporativo de Conscientização em SIC.

Pouca divulgação dos trabalhos e resultados obtidos.

Reduzida comunicação entre as áreas que compõem a função de TIC da empresa, dificultando o conhecimento pleno das atividades e responsabilidades que cada equipe tem no todo.

A STI é vista como uma unidade de apoio, quando deveria ser vista como um parceiro estratégico no desenvolvimento dos produtos e serviços da empresa.

Processos internos, metodologias de trabalho e processos de governança de TI não definidos e/ou formalizados.

Procedimentos não formalizados de governança e gestão de TI.

Dificuldade de gestão do quadro de profissionais de TI devido à demanda por serviços ocorrer de forma não programada ou formalizada.

Deficiência na fiscalização do cumprimento das Normas internas relacionadas à Segurança da Informação e Comunicações (SIC).

Sistemas não seguem padrões do Programa de Governo Eletrônico brasileiro (e-MAG, e-Ping).

Existência de soluções de TI, não gerenciadas pela STI, desenvolvidas independentemente pelas áreas da empresa.

Pouco envolvimento do Comitê Executivo de TIC com a priorização e acompanhamento do desenvolvimento dos sistemas da EPE.

25

Tabela 5 - Cont. Matriz SWOT.

Ambiente Externo Ambiente Externo

Oportunidades (O) Ameaças (T)

Importância da questão energética no cenário atual, possibilitando um engrandecimento do papel da EPE frente às instituições públicas e privadas do setor.

Visão dos órgãos de controle focada no planejamento.

Expansão e aumento do nível de exposição da EPE, face aos diversos trabalhos e estudos demandados que são dependentes de TI.

Disponibilidade de padrões e melhores práticas de mercado em Governança de TI.

Reconhecimento da TI como área estratégica na Administração Pública Federal (APF).

Recomendações de aprimoramento da governança de TI por parte dos órgãos de controle.

Estabelecimento de parcerias com órgãos da APF, visando ações sinérgicas.

Planejamento Estratégico Institucional (PEI) instituído.

Ações de governo criando demandas não programadas, que afetam a EPE.

Riscos cada vez maiores de violação de segurança da informação devido a ataques externos.

Orçamento aprovado para TI insuficiente para atender à totalidade das demandas da empresa.

Orçamento aprovado para capacitação insuficiente para atender às necessidades de TI.

Pouca percepção das áreas de negócio em relação à realidade e às características da área de TIC.

Evasão de capital intelectual.

Inadequação dos perfis profissionais de TI no Plano de Cargos e Salários.

Inexistência de código disciplinar para o descumprimento das normas de SIC.

Inexistência de um Plano de Continuidade de Negócios em nível empresarial em face de contingências.

Processos de negócio da instituição não mapeados e documentados.

Não designação formal ou indefinição dos gestores dos ativos de informação da instituição como definido na Política de Segurança da Informação e Comunicações (PSIC).

Falta de ferramenta para o planejamento e gestão orçamentária.

9. ALINHAMENTO COM A ESTRATÉGIA DA ORGANIZAÇÃO

O alinhamento do PDTI com a estratégia da organização se dá via levantamento das

necessidades e seu relacionamento com os objetivos estratégicos do PEI e do PETI. O PDTI

dever constituir o plano tático para atingir os objetivos do PEI e PETI.

10. FATORES CRÍTICOS DE SUCESSO

Todos os fatores e condições para que o PDTI tenha sucesso precisam ser observados. Para

esse PDTI essas condições são:

Apoio da Alta Direção da EPE;

Participação ativa dos Comitês de Tecnologia da Informação;

Controle e acompanhamento dos Projetos e Ações derivados do PDTI;

Disponibilidade orçamentária e de recursos humanos.

26

11. PLANO DE AÇÕES

O Plano de Ações relaciona as Ações e Projetos identificados na EPE para atingir os objetivos

estratégicos traçados no PETI com a respectiva prioridade.

11.1 CRITÉRIOS DE PRIORIDADE

Para a priorização das necessidades utilizou-se a Matriz de Priorização denominada GUT, que

permite atribuir a cada necessidade um valor associado à sua Gravidade, Urgência e Tendência

no âmbito organizacional. Esses atributos são entendidos como:

Gravidade (G): impacto do problema sobre coisas, pessoas, resultados, processos ou

organizações e efeitos que surgirão em longo prazo se o problema não for resolvido.

Urgência (U): relação com o tempo disponível ou necessário para resolver o problema.

Tendência (T): potencial de crescimento do problema, avaliação da tendência de

crescimento, redução ou desaparecimento do problema.

Cada um desses atributos é pontuado de 1 a 5, conforme quadro a seguir.

VALOR GRAVIDADE (G) URGÊNCIA (U) TENDÊNCIA (T)

5 Quando for uma solução corporativa estratégica.

Exigência de prazo legal inferior a 3 meses.

Impede a prestação do serviço.

4 Quando impactar os processos da EPE.

Exigência de prazo legal de 3 a 6 meses, ou necessidade de implementação inferior a 3 meses

Interrompe sucessivamente a prestação do serviço.

3 Quando impactar o desenvolvimento de pessoas.

Necessidade de implementação de 3 a 6 meses.

Atrasa o cumprimento dos prazos de prestação dos serviços.

2 Quando impactar os sistemas, arquitetura de hardware e outros serviços de TI.


Prejudica a prestação dos serviços.

1 Quando resultar em melhorias pontuais.


Não interfere na prestação do serviço.

O índice GUT que traduz a prioridade do projeto oriundo da necessidade é obtido pelo produto

dos três valores atribuídos à Gravidade, Urgência e Tendência.

A seguir, a lista de Projetos agrupados por Ações, com as prioridades GUT, para atender às

necessidades da empresa:

27

AÇÕES

PROJETOS Prioridade

Cod. Projeto Descrição

Data Início

Data Término

G U T GUT

P1 AÇÃO 1: Gestão de Pessoas

P1.1 Restruturação da STI 01/04/2014 31/12/2015 4 2 3 24

P1.2 Desenvolvimento de Plano de Capacitação para pessoal da STI 01/05/2014 30/05/2015 3 2 3 18

P1.3 Desenvolvimento e Implantação de Plano de Comunicação da STI 01/09/2014 05/12/2016 1 3 1 3

P1.4 Desenvolvimento e Implantação de Plano de Compartilhamento de Conhecimento na STI 01/09/2014 05/12/2016 4 4 2 32

P2 AÇÃO 2: Gestão Orçamentária

P2.1 Desenvolvimento e implantação de processo de Controle Orçamentário de TI 01/09/2014 05/12/2016 5 4 2 40

P3 AÇÃO 3: Implantação das Boas Práticas de Governança

P3.1 Implantação dos Processos do Domínio Planejamento e Organização (PO) do COBIT 01/04/2015 05/12/2016 5 4 1 20

P3.2 Implantação dos Processos do Domínio Aquisição e Implementação (AI) do COBIT 01/04/2014 09/06/2015 5 4 1 20

28

AÇÕES

PROJETOS Prioridade


Data Início

Data Término

G U T GUT

P3.3 Implantação dos Processos do Domínio Entrega e Suporte (DS) do COBIT 01/08/2014 03/10/2016 5 4 4 80

P3.4 Implantação dos Processos do Domínio Monitorar e Avaliar (ME) do COBIT 01/01/2015 28/08/2015 5 4 4 80

P4 AÇÃO 4: Implantação das Boas Práticas de Gestão

P4.1 Implantação das funções de Operação dos Serviços 01/01/2015 28/08/2015 5 2 3 30

P4.2 Implantação dos processos da fase de Estratégia do Serviço 01/01/2015 01/03/2015 5 2 2 20

P4.3 Implantação dos processos da fase de Desenho do Serviço 01/04/2014 25/05/2015 5 2 2 20

P4.4 Implantação dos processos da fase de Transição do Serviço 01/06/2014 26/01/2015 5 2 3 30

P4.5 Implantação dos processos da fase de Operação dos Serviços 01/06/2014 27/03/2015 5 2 3 30

P4.6 Implantação dos processos da fase de Melhoria Continuada 01/06/2014 27/11/2014 5 2 1 10

P4.7 Revisão e Aplicação da MDS 01/02/2014 29/12/2015 5 2 1 10

P4.8 Aplicação da MGP corporativa aos projetos de TIC 01/06/2014 27/12/2015 5 2 3 30

P5 AÇÃO 5: Disponibilização de Ferramentas e Tecnologias

29

AÇÕES

PROJETOS Prioridade


Data Início

Data Término

G U T GUT

P5.1 Implantação do Sistema Integrado de Gestão Administrativa 01/04/2015 24/05/2016 5 4 5 100

P5.2 Projeto CEDOC: Gestão de Processos; Gestão Documental; Sistema Normativo 01/12/2013 04/11/2016 5 4 5 100

P5.3 Prospecção de soluções de TI para aumentar a eficiência dos processos da EPE 02/05/2014 30/06/2014 4 1 2 8

P5.4 Licitação/Renovação de contratos de manutenção de SOFTWARE 02/04/2013 30/11/2016 2 4 4 32

P5.5 Contratação/Renovação de contratos de manutenção de HARDWARE 04/10/2012 01/11/2015 2 4 4 32

P5.6 Contratação/Aquisição de licenças de SOFTWARE 03/04/2013 30/11/2016 4 4 4 64

P5.7 Renovação e expansão da infraestrutura tecnológica 04/05/2013 31/12/2015 4 4 4 64

P5.8 Contratação/Aquisição/Renovação de Produtos/Serviços/Solução de TIC 02/08/2012 15/01/2016 4 4 4 64

P5.9 Desenvolvimento de Sistemas Aplicativos para as áreas técnicas da EPE 02/01/2012 31/12/2015 4 3 5 60

P6 AÇÃO 6: Consolidação da Gestão de Segurança da Informação e Comunicações

P6.1 Criação e Implantação do Plano de Conscientização de SIC 01/02/2014 30/09/2014 5 1 1 5

P6.2 Desenvolvimento e Implantação de Plano para consolidação da Gestão de Segurança da Informação e Comunicações

01/01/2014 27/08/2014 5 2 1 10

30

AÇÕES

PROJETOS Prioridade


Data Início

Data Término

G U T GUT

P6.3 Criação e Implantação de um Programa de Gestão de Riscos 01/08/2014 25/08/2015 5 3 1 15

P6.4 Implantação de um sistema de vigilância física por CFTV 01/11/2013 25/11/2014 1 4 1 4

P6.5 Implantação de uma sistemática de Gerenciamento da operação do Data Center e das Comunicações

01/06/2014 26/01/2015 5 4 2 40

P6.6 Implantação de um Plano para Gestão de Continuidade de Negócio (BCP) 01/08/2014 28/03/2015 5 4 1 20

P6.7 Desenvolvimento de Plano de Conformidade de SIC 01/08/2014 12/04/2015 5 3 1 15

P7 AÇÃO 7: Verificação de Aderência à Legislação e Modelos de Referência

P7.1 Verificação de aderência ao e-MAG, e-PWG e e-PING dos sistemas da EPE 01/05/2014 31/12/2017 5 4 2 40

P7.2 Verificação de aderência das normas e procedimentos com as Instruções Normativas da SLTI/MPOG

01/07/2014 31/12/2015 5 4 2 40

P7.3 Verificação de aderência das normas e procedimentos com as determinações dos Acordãos do TCU

01/07/2014 31/12/2015 5 4 2 40

P8 AÇÃO 8: Gestão da Prestação de Serviços e da Transparência de Informações à Sociedade

P8.1 Desenvolvimento e implantação de Plano para avaliação de satisfação dos clientes internos e externos

01/10/2014 28/04/2015 5 1 2 10

31

12. CONCLUSÃO

As necessidades de TIC da organização mudam com a demanda de serviços que esta recebe. Nesse sentido, o PDTI deve ser flexível o suficiente para incorporar essas novas necessidades, permitindo ajustar suas ações para atendê-las, sem, no entanto, desviar de sua finalidade principal, que é atender aos objetivos estratégicos definidos no PETI.

Para alcançar esse grau de flexibilidade, o processo de atualização do PDTI deve ser ágil e a sua monitoração deve ser feita de modo a antecipar qualquer impacto que possa afetar seu alinhamento com os objetivos do negócio da EPE.

O monitoramento em nível tático do PDTI deve ser feito pelo CTIC-X e em nível estratégico pelo CTIC-E, observadas das recomendações propostas na ABNT NBR ISO/IEC 20.000/2011 (Gestão de Serviços de TI) e ABNT NBR ISO/IEC 38.500/2009 (Governança Corporativa de TI).

32

ANEXO I – Previsão de Despesas

Investimento Custeio

AÇÕES 2013 2014 2015 2013 2014 2015

AÇÃO 1: Gestão de Pessoas -

-

-

-

-

10.000,00

AÇÃO 2: Gestão Orçamentária -

-

-

-

-

-

AÇÃO 3: Implantação das Boas Práticas de Governança -

-

-

-

-

-

AÇÃO 4: Implantação das Boas Práticas de Gestão -

-

-

-

-

-

AÇÃO 5: Disponibilização de Ferramentas e Tecnologias

1.138.911,98

8.234.398,53

1.981.445,58

847.338,48

5.331.230,03

4.222.043,74

AÇÃO 6: Consolidação da Gestão de Segurança da Informação e Comunicações

-

25.000,00

-

7.000,00

-

-

AÇÃO 7: Verificação de Aderência à Legislação e Modelos de Referência

-

-

-

-

-

-

AÇÃO 8: Gestão da Prestação de Serviços e da Transparência de Informações à Sociedade

-

-

-

-

-

-

Totais de Investimento e Custeio

1.138.911,98

8.259.398,53

1.981.445,58

854.338,48

5.331.230,03

4.232.043,74

Total Anual das Despesas

1.993.250,46

13.590.628,56

6.213.489,32

Total Geral

21.797.368,34

33

ANEXO II – Projetos do Plano de Ações vs. Objetivos Estratégicos

AÇÕES

PROJETOS

Cod.

Projeto Descrição

Data

Início

Data

TérminoIE1.1 IE1.2 IE1.3 IE1.4 IE1.5 IE1.6 IE1.7 IE1.8 IE1.9 IE1.10 IE1.11 IE1.12 IE1.13 IE1.14 IE1.15 IE1.16 IE1.17 IE1.18 IE1.19 IE1.20 IE1.21 IE1.22 IE1.23 IE1.24 IE1.25 IE1.26 IE1.27 IE1.28 IE1.29 IE1.30 IE1.31 IE1.32 IE1.33 IE1.34 IE1.35

P1 AÇÃO 1: Gestão de Pessoas

P1.1 Restruturação da STI 01/04/2014 31/12/2015 X X

P1.2 Desenvolvimento de Plano de Capacitação para pessoal da STI 01/05/2014 30/05/2015 X X X

P1.3 Desenvolvimento e Implantação de Plano de Comunicação da STI 01/09/2014 05/12/2016 X X

P1.4 Desenvolvimento e Implantação de Plano de Compartilhamento

de Conhecimento na STI

01/09/2014 05/12/2016 X

P2 AÇÃO 2: Gestão Orçamentária

P2.1 Desenvolvimento e implantação de processo de Controle

Orçamentário de TI

01/09/2014 05/12/2016 X X X

P3 AÇÃO 3: Implantação das Boas Práticas de Governança

P3.1 Implantação dos Processos do Domínio Planejamento e

Organização (PO) do COBIT

01/04/2015 05/12/2016 X X X X X

P3.2 Implantação dos Processos do Domínio Aquisição e

Implementação (AI) do COBIT

01/04/2014 09/06/2015 X

P3.3 Implantação dos Processos do Domínio Entrega e Suporte (DS) do

COBIT

01/08/2014 03/10/2016 X

P3.4 Implantação dos Processos do Domínio Monitorar e Avaliar (ME)

do COBIT

01/01/2015 28/08/2015 X X X

P4 AÇÃO 4: Implantação das Boas Práticas de Gestão

P4.1 Implantação das funções de Operação dos Serviços 01/01/2015 28/08/2015 X

P4.2 Implantação dos processos da fase de Estratégia do Serviço 01/01/2015 01/03/2015 X X

P4.3 Implantação dos processos da fase de Desenho do Serviço 01/04/2014 25/05/2015 X X

P4.4 Implantação dos processos da fase de Transição do Serviço 01/06/2014 26/01/2015 X X

P4.5 Implantação dos processos da fase de Operação dos Serviços 01/06/2014 27/03/2015 X X

P4.6 Implantação dos processos da fase de Melhoria Continuada 01/06/2014 27/11/2014 X X

P4.7 Revisão e Aplicação da MDS 01/02/2014 29/12/2015 X X X X X

P4.8 Aplicação da MGP corporativa aos projetos de TIC 01/06/2014 27/12/2015 X

P5 AÇÃO 5: Disponibilização de Ferramentas e Tecnologias

P5.1 Implantação do Sistema Integrado de Gestão Administrativa 01/04/2015 24/05/2016 X X X

P5.2 Projeto CEDOC: Gestão de Processos; Gestão Documental;

Sistema Normativo

01/12/2013 04/11/2016 X X

P5.3 Prospecção de soluções de TI para aumentar a eficiência dos

processos da EPE

02/05/2014 30/06/2014 X X

P5.4 Licitação/Renovação de contratos de manutenção de SOFTWARE 02/04/2013 30/11/2016 X X

P5.5 Contratação/Renovação de contratos de manutenção de

HARDWARE

04/10/2012 01/11/2015 X X

P5.6 Contratação/Aquisição de licenças de SOFTWARE 03/04/2013 30/11/2016 X X

P5.7 Renovação e expansão da infraestrutura tecnológica 04/05/2013 31/12/2015 X X

P5.8 Contratação/Aquisição/Renovação de Produtos/Serviços/Solução

de TIC

02/08/2012 15/01/2016 X X

P5.9 Desenvolvimento de Sistemas Aplicativos para as áreas técnicas

da EPE

02/01/2012 31/12/2015 X X

P6 AÇÃO 6: Consolidação da Gestão de Segurança da Informação e Comunicações

P6.1 Criação e Implantação do Plano de Conscientização de SIC 01/02/2014 30/09/2014 X X

P6.2 Desenvolvimento e Implantação de Plano para consolidação da

Gestão de Segurança da Informação e Comunicações

01/01/2014 27/08/2014 X

P6.3 Criação e Implantação de um Programa de Gestão de Riscos 01/08/2014 25/08/2015 X X

P6.4 Implantação de um sistema de vigilância física por CFTV 01/11/2013 25/11/2014 X

P6.5 Implantação de uma sistemática de Gerenciamento da operação

do Data Center e das Comunicações

01/06/2014 26/01/2015 X

P6.6 Implantação de um Plano para Gestão de Continuidade de

Negócio (BCP)

01/08/2014 28/03/2015 X X

P6.7 Desenvolvimento de Plano de Conformidade de SIC 01/08/2014 12/04/2015 X X

P7 AÇÃO 7: Verificação de Aderência à Legislação e Modelos de Referência

P7.1 Verificação de aderência ao e-MAG, e-PWG e e-PING dos sistemas

da EPE

01/05/2014 31/12/2017 X X

P7.2 Verificação de aderência das normas e procedimentos com as

Instruções Normativas da SLTI/MPOG

01/07/2014 31/12/2015 X X


determinações dos Acordãos do TCU

01/07/2014 31/12/2015 X X

P8 AÇÃO 8: Gestão da Prestação de Serviços e da Transparência de Informações à Sociedade

P8.1 Desenvolvimento e implantação de Plano para avaliação de

satisfação dos clientes internos e externos

01/10/2014 28/04/2015 X X X X

OE6OE1 OE2 OE3 OE4 OE5 OE7 OE8

34

ANEXO III: Projetos e Atividades do Plano de Ação do PDTI 2013 – 2015

ANEXO III: Projetos e Atividades do Plano de Ação do PDTI 2013 - 2015

PROJETOS Investimento Custeio

Cod. Projeto Descrição Data Início Duração Data Término 2013 2014 2015 2013 2014 2015

P1.1 Restruturação da STI 01/04/2014 31/12/2015 - - - - - -

P1.1.1 Definir competências necessárias para a STI cumprir sua missão 01/04/2014 60 30/05/2014

P1.1.2 Dimensionar quadro de pessoal (desenvolvimento, infraestrutura,

segurança da informação e governança, etc.)

31/05/2014 30 29/06/2014

P1.1.3 Estruturar atividades da STI em grupos para cumprir suas funções

obrigatórias e discricionárias

30/06/2014 60 28/08/2014

P1.1.4 Aprovar nova estrutura da STI 29/08/2014 30 27/09/2014

P1.1.5 Implementar nova estrutura da STI 28/09/2014 460 31/12/2015

P1.2 Desenvolvimento de Plano de Capacitação para pessoal da STI 01/05/2014 30/05/2015 - - - - - -

P1.2.1 Mapear competências do pessoal da STI 01/05/2014 120 28/08/2014

P1.2.2 Criar plano de capacitação comparando competências mapeadas

com competências necessárias (Gap Analysis )

29/08/2014 45 12/10/2014

P1.2.3 Incluir plano de capacitação de TI no plano de capacitação da

empresa

13/10/2014 30 11/11/2014

P1.2.4 Executar plano de capacitação 12/11/2014 200 30/05/2015

P1.3 Desenvolvimento e Implantação de Plano de Comunicação da STI 01/09/2014 05/12/2016 - - - - - -

P1.3.1 Levantar necessidades de Comunicação 01/09/2014 30 30/09/2014

P1.3.2 Definir instrumentos de comunicação 01/10/2014 45 14/11/2014

P1.3.3 Desenvolver piloto de Plano de Comunicação 15/11/2014 120 14/03/2015

P1.3.4 Implementar Plano de Comunicação 15/03/2015 60 13/05/2015

P1.4 Desenvolvimento e Implantação de Plano de Compartilhamento de

Conhecimento na STI

01/09/2014 05/12/2016 - - - - - 10.000,00

P1.4.1 Realizar workshop para debater formas de compartilhamento de

conhecimento

01/02/2015 90 01/05/2015 10.000,00

P1.4.2 Desenvolver plano de compartilhamento de conhecimento 02/05/2015 90 30/07/2015

P1.4.3 Aplicação piloto do Plano de Compartilhamento de Conhecimento 31/07/2015 30 29/08/2015

P1.4.4 Avaliação dos resultados e revisão do plano 30/08/2015 62 30/10/2015

P2.1 Desenvolvimento e implantação de processo de Controle

Orçamentário de TI

01/09/2014 05/12/2016 - - - - - -

AÇÕES

Página 1 de 20




AÇÕES

P2.1.1 Levantamento de necessidades de informação 01/09/2014 30 30/09/2014

P2.1.2 Especificação de sistema de apoio ao Controle Orçamentário 01/10/2014 45 14/11/2014

P2.1.3 Desenvolvimento do Sistema de Apoio ao Controle Orçamentário

(SACO)

15/11/2014 120 14/03/2015

P2.1.4 Implantação do SACO 15/03/2015 60 13/05/2015

P3.1 Implantação dos Processos do Domínio Planejamento e Organização

(PO) do COBIT

01/04/2015 05/12/2016 - - - - - -

P3.1.1 Processo para monitoração, acompanhamento e aperfeiçoamento

do Plano Estratégico de TI (PO1)

01/04/2015 30 30/04/2015

P3.1.2 Processo para definição e gestão da arquitetura de informação

(PO2)

01/05/2015 45 14/06/2015

P3.1.3 Processo para monitoramento, acompanhamento e

aperfeiçoamento do PDTI (PO3)

15/06/2015 120 12/10/2015

P3.1.4 Implantação da gestão de processos de TI (PO4) 13/10/2015 60 11/12/2015

P3.1.5 Processo de Gerenciamento dos investimentos em TI(PO5) 12/12/2015 60 09/02/2016

P3.1.6 Processo de Gerenciamento da comunicação (PO6) 10/02/2016 60 09/04/2016

P3.1.7 Processo de Gerenciamento dos recursos humanos de TI (PO7) 10/04/2016 60 08/06/2016

P3.1.8 Processo de Gerenciamento da qualidade (PO8) 09/06/2016 60 07/08/2016

P3.1.9 Processo de Gerenciamento e avaliação dos riscos de TI (PO9) 08/08/2016 60 06/10/2016

P3.1.10 Processo para Gerenciamento de projetos (PO10) 07/10/2016 60 05/12/2016

P3.2 Implantação dos Processos do Domínio Aquisição e Implementação

(AI) do COBIT

01/04/2014 09/06/2015 - - - - - -

P3.2.1 Processo para Identificação de soluções automatizadas (AI1) 01/04/2014 30 30/04/2014

P3.2.2 Processo para aquisição e manutenção de aplicativos de software

(AI2)

01/05/2014 45 14/06/2014

P3.2.3 Processo para aquisição e manutenção da infra-estrutura de

tecnologia (AI3)

15/06/2014 120 12/10/2014

P3.2.4 Processo para habilitar a operação e uso apropriado de aplicações e

infraestrutura (AI4)

13/10/2014 60 11/12/2014

P3.2.5 Processo para Aquisição de recursos de TI (AI5) 12/12/2014 60 09/02/2015

Página 2 de 20




AÇÕES

P3.2.6 Processo de Gerenciamento de mudanças (AI6) 10/02/2015 60 10/04/2015

P3.2.7 Processo para instalação e homologação de soluções e mudanças

(AI7)

11/04/2015 60 09/06/2015

P3.3 Implantação dos Processos do Domínio Entrega e Suporte (DS) do

COBIT

01/08/2014 03/10/2016 - - - - - -

P3.3.1 Processo para Gerenciamento de níveis de serviço (DS1) 01/08/2014 30 30/08/2014

P3.3.2 Processo para Gerenciamento de serviços de terceiros (DS2) 31/08/2014 45 14/10/2014

P3.3.3 Processo para Gerenciamento de desempenho e capacidade (DS3) 15/10/2014 120 11/02/2015

P3.3.4 Processo para assegurar a continuidade do serviço (DS4) 12/02/2015 60 12/04/2015

P3.3.5 Processo para assegurar a segurança dos serviços (DS5) 13/04/2015 60 11/06/2015

P3.3.6 Processo para identificação e alocação de custos (DS6) 12/06/2015 60 10/08/2015

P3.3.7 Processo para gerenciar o treinamento dos usuários (DS7) 11/08/2015 60 09/10/2015

P3.3.8 Processo para Gerenciamento do service desk e incidentes (DS8) 10/10/2015 60 08/12/2015

P3.3.9 Processo para Gerenciamento da configuração (DS9) 09/12/2015 60 06/02/2016

P3.3.10 Processo para Gerenciamento de problemas (DS10) 07/02/2016 60 06/04/2016

P3.3.11 Processo para Gerenciamento de dados (DS11) 07/04/2016 60 05/06/2016

P3.3.12 Processo para Gerenciamento do ambiente físico (DS12) 06/06/2016 60 04/08/2016

P3.3.13 Processo para Gerenciamento das operações (DS13) 05/08/2016 60 03/10/2016

P3.4 Implantação dos Processos do Domínio Monitorar e Avaliar (ME) do

COBIT

01/01/2015 28/08/2015 - - - - - -

P3.4.1 Processo para monitoração e avaliação da performance de TI (ME1) 01/01/2015 60 01/03/2015

P3.4.2 Processo para monitoração e avaliação dos controles internos (ME2) 02/03/2015 60 30/04/2015

P3.4.3 Processo para assegurar conformidade com os requerimentos

externos (ME3)

01/05/2015 60 29/06/2015

Página 3 de 20




AÇÕES

P3.4.4 Processo para estabelecimento da governança de TI (ME4) 30/06/2015 60 28/08/2015

P4.1 Implantação das funções de Operação dos Serviços 01/01/2015 28/08/2015 - - - - - -

P4.1.1 Função Central de Serviços 01/01/2015 60 01/03/2015

P4.1.2 Função de Gerenciamento Técnico 02/03/2015 60 30/04/2015

P4.1.3 Função de Gerenciamento de Aplicação 01/05/2015 60 29/06/2015

P4.1.4 Função de Gerenciamento da Operação 30/06/2015 60 28/08/2015

P4.2 Implantação dos processos da fase de Estratégia do Serviço 01/01/2015 01/03/2015 - - - - - -

P4.2.1 Processo para Gerenciamento do Portfólio de Serviços 01/01/2015 60 01/03/2015

P4.3 Implantação dos processos da fase de Desenho do Serviço 01/04/2014 25/05/2015 - - - - - -

P4.3.1 Processo para Gerenciamento de Nível de Serviço 01/04/2014 60 30/05/2014

P4.3.2 Processo para Gerenciamento do Catálogo de Serviços 31/05/2014 60 29/07/2014

P4.3.3 Processo para Gerenciamento de Disponibilidade 30/07/2014 60 27/09/2014

P4.3.4 Processo para Gerenciamento de Segurança da Informação 28/09/2014 60 26/11/2014

P4.3.5 Processo para Gerenciamento de Fornecedores 27/11/2014 60 25/01/2015

P4.3.6 Processo para Gerenciamento de Capacidade 26/01/2015 60 26/03/2015

P4.3.7 Processo para Gerenciamento de Continuidade dos Serviços 27/03/2015 60 25/05/2015

P4.4 Implantação dos processos da fase de Transição do Serviço 01/06/2014 26/01/2015 - - - - - -

P4.4.1 Processo para Gerenciamento de Mudanças 01/06/2014 60 30/07/2014

P4.4.2 Processo para Gerenciamento de Ativo de Serviço e Configuração 31/07/2014 60 28/09/2014

P4.4.3 Processo para Gerenciamento de Liberação e Implantação 29/09/2014 60 27/11/2014

Página 4 de 20




AÇÕES

P4.4.4 Processo para Gerenciamento de Capacidade 28/11/2014 60 26/01/2015

P4.5 Implantação dos processos da fase de Operação dos Serviços 01/06/2014 27/03/2015 - - - - - -

P4.5.1 Processo para Gerenciamento de Eventos 01/06/2014 60 30/07/2014

P4.5.2 Processo para Gerenciamento de Incidentes 31/07/2014 60 28/09/2014

P4.5.3 Processo para Cumprimento de Requisições 29/09/2014 60 27/11/2014

P4.5.4 Processo para Gerenciamento de Problemas 28/11/2014 60 26/01/2015

P4.5.5 Processo para Gerenciamento de Acessos 27/01/2015 60 27/03/2015

P4.6 Implantação dos processos da fase de Melhoria Continuada 01/06/2014 27/11/2014 - - - - - -

P4.6.1 Processo de Melhoria em 7 Passos (Ciclo de Deming) 01/06/2014 60 30/07/2014

P4.6.2 Processo Relatório de Serviço 31/07/2014 60 28/09/2014

P4.6.3 Processo de Medição de Serviço 29/09/2014 60 27/11/2014

P4.7 Revisão e Aplicação da MDS 01/02/2014 29/12/2015 - - - - - -

P4.7.1 Revisar a MDS 01/02/2014 212 31/08/2014

P4.7.2 Aprovar a MDS revisada 01/09/2014 30 30/09/2014

P4.7.3 Divulgar a MDS 01/10/2014 30 30/10/2014

P4.7.4 Aplicação piloto da nova MDS ao desenvolvimento e manutenção

de sistemas

31/10/2014 60 29/12/2014

P4.7.5 Aplicar a nova MDS aos sistemas legados sem documentação 30/12/2014 365 29/12/2015

P4.8 Aplicação da MGP corporativa aos projetos de TIC 01/06/2014 27/12/2015 - - - - - -

P4.8.1 Capacitação dos Gerentes de Projeto na MGP corporativa 01/06/2014 30 30/06/2014

P4.8.2 Aplicação piloto da MGP ao desenvolvimento e manutenção de

sistemas e projeto de infraestrutura

01/07/2014 180 27/12/2014

P4.8.3 Implantação da MGP para projetos da STI 28/12/2014 365 27/12/2015

Página 5 de 20




AÇÕES

P5.1 Implantação do Sistema Integrado de Gestão Administrativa 01/04/2015 24/05/2016 - - - - - -

P5.1.1 Levantar os processos executados pela empresa prestadora dos

serviços de contabilidade e folha de pagamento

01/04/2015 60 30/05/2015

P5.1.2 Definição da estratégia de absorção dos serviços de contabilidade e

folha de pagamento

31/05/2015 30 29/06/2015

P5.1.3 Treinamento das áreas envolvidas 30/06/2015 60 28/08/2015

P5.1.4 Internalização efetiva da operação dos serviços de contabilidade e

folha de pagamento

29/08/2015 60 27/10/2015

P5.1.5 Levantar novas funcionalidades dos módulos adquiridos e que

sejam pertinentes às atividades da EPE

28/10/2015 30 26/11/2015

P5.1.6 Contratar serviço de assessoramento para a implantação dos novos

módulos do SIGA27/11/2015 60 25/01/2016

P5.1.7 Acompanhar implantação de novos módulos do SIGA 26/01/2016 60 25/03/2016

P5.1.8 Treinamento das áreas envolvidas 26/03/2016 60 24/05/2016

P5.2 Projeto CEDOC: Gestão de Processos; Gestão Documental; Sistema

Normativo

01/12/2013 04/11/2016 - 175.486,04 - 7.460,48 1.773.440,15 1.095.027,53

P5.2.1 Assistir na implantação do software de modelagem de processo de

negócios (BPM)

01/12/2013 90 28/02/2014

P5.2.2 Capacitar a equipe de suporte ao software de modelagem de

processos de negócio (BPM)

01/03/2014 60 29/04/2014

P5.2.3 Assistir no mapeamento (atual e proposto) e automação de

processos de negócio

30/04/2014 920 04/11/2016

P5.2.4 Assistir no desenvolvimento e implantação da Plataforma de Gestão

Documental (ECM)

01/02/2014 120 31/05/2014

P5.2.5 Capacitar a equipe de suporte à Plataforma de Gestão Documental

(ECM+Protocolo)

01/06/2014 60 30/07/2014

P5.2.6 Suportar a operação do Centro de Documentação da EPE 31/07/2014 365 30/07/2015

P5.2.7 Desembolsos do Projeto CEDOC 01/12/2013 943 30/06/2016 - 175.486,04 - 7.460,48 1.773.440,15 1.095.027,53

P5.3 Prospecção de soluções de TI para aumentar a eficiência dos

processos da EPE

02/05/2014 30/06/2014 - - - - - -

P5.3.1 Avaliação do software PLAXO 02/05/2014 60 30/06/2014

P5.3.2

P5.3.3

P5.4 Licitação/Renovação de contratos de manutenção de SOFTWARE 02/04/2013 30/11/2016 - - - 41.000,00 1.954.466,36 1.541.392,95

Página 6 de 20




AÇÕES

P5.4.1 Pagamento 3ª parcela da manutenção das licenças de Microsoft

Contrato de 2011 - 2013 (itens 61 e 64)

01/11/2013 30 30/11/2013 362.485,00

P5.4.2 Licitação da manutenção das licenças de Microsoft Contrato de

2014 - 2016 (itens 61 e 64)

04/07/2014 120 31/10/2014 443.911,82



01/11/2015 30 30/11/2015 472.721,69



01/11/2016 30 30/11/2016

P5.4.5 Renovação da manutenção do Software ArcGIS 2013 02/09/2013 90 30/11/2013 82.529,75



P5.4.8 Renovação da manutenção do Software MATLAB 2013 03/05/2013 90 31/07/2013 79.494,79



P5.4.11 Renovação da manutenção do software do SIGA (TOTVS-RM) 2013 04/05/2013 90 01/08/2013 82.529,75



P5.4.14 Renovação da manutenção das licenças de Pipeline Studio 2013 02/09/2013 90 30/11/2013 41.000,00



P5.4.17 Renovação da manutenção das licenças de AIMMS - Developer 2013 02/04/2013 90 30/06/2013 63.000,00



Página 7 de 20




AÇÕES

P5.4.20 Renovação da manutenção das licenças de E-Views 2014 04/10/2013 90 01/01/2014 12.000,00

P5.4.21 Renovação da manutenção das licenças de E-Views 2015 02/01/2015 90 01/04/2015 12.778,80

P5.4.22 Renovação da manutenção de Licença do software IBM SPSS 2014 04/10/2013 90 01/01/2014 2.236,29 1.587,62

P5.4.23 Contratação da manutenção do serviço Google Earth Professional

2014

01/12/2013 90 28/02/2014 18.750,00

P5.4.24 Contratação da manutenção do serviço Google Earth Professional

2015

04/10/2014 90 01/01/2015 19.966,88

P5.4.25 Renovação da manutenção das licenças de AIMMS 2013 04/05/2013 90 01/08/2013 30.349,65



P5.4.28 Renovação da manutenção das licenças de AutoCAD 2014 (2 anos) 04/06/2014 90 01/09/2014 25.000,00

P5.4.29 Renovação da manutenção do software CPLEX 2013 03/04/2013 90 01/07/2013 3.727,15



P5.4.32 Renovação da manutenção do software de Modelagem de Bacias

Sedimentares 2014

03/04/2014 90 01/07/2014

P5.4.33 Renovação da manutenção do software de Modelagem de Bacias

Sedimentares 2015

03/04/2015 90 01/07/2015 13.311,25

P5.4.34

Renovação da manutenção do software Aspen Hysys 2015

02/01/2015 90 01/04/2015 40.000,00

P5.4.35

Renovação da manutenção do software GasStream 2015

02/01/2015 90 01/04/2015 40.000,00

P5.4.36 Renovação da manutenção do software Sankey Diagram Software

2015

02/01/2015 90 01/04/2015 1.000,00

P5.4.37 Renovação da manutenção do software QUE$TOR Oil and Gas Cost

Analysis 2015

01/02/2015 90 01/05/2015 60.000,00

P5.4.38 Renovação da manutenção do software Origin 2015 01/02/2015 90 01/05/2015 3.000,00

Página 8 de 20




AÇÕES

P5.4.39 Renovação da manutenção do software Software de G&G 2015 04/03/2015 90 01/06/2015 80.000,00

P5.5 Contratação/Renovação de contratos de manutenção de

HARDWARE

04/10/2012 01/11/2015 - - - 135.900,00 325.760,32 335.959,71

P5.5.1 Contratação da manutenção de no-breaks grupo 1 2013 (3 anos) 04/08/2013 90 01/11/2013 10.800,00 5.400,00

P5.5.2 Contratação de extensão de garantia para sistema de Blades 2013 (3

anos)

04/06/2013 90 01/09/2013 80.000,00 80.000,00 80.000,00

P5.5.3 Renovação da manutenção de Relógios de Ponto e Equipamentos

de Controle de Acesso 2013

03/09/2013 60 01/11/2013 21.600,00



03/09/2014 60 01/11/2014 23.001,84



03/09/2015 60 01/11/2015 24.494,66

P5.5.6 Renovação da manutenção do SAN EMC Clarion 240 2014 (3 anos) 03/03/2014 90 31/05/2014 192.333,33 204.815,77

P5.5.7 Renovação da manutenção do robô de fitas magnéticas 2013 04/10/2012 90 01/01/2013 15.500,00

P5.5.8 Pagamento da manutenção do robô de fitas magnéticas 2014 (2/3) 03/12/2013 30 01/01/2014 16.505,95

P5.5.9 Pagamento da manutenção do robô de fitas magnéticas 2015 (3/3) 03/12/2014 30 01/01/2015 17.577,19

P5.5.10 Contratação de manutenção dos Firewalls Fortigate 2013 03/04/2013 90 01/07/2013 8.000,00



P5.6 Contratação/Aquisição de licenças de SOFTWARE 03/04/2013 30/11/2016 440.911,98 2.965.712,49 471.445,58 - 23.760,00 -

P5.6.1 Aquisição das licenças de e!Sankey Pro 2014 (DPG e DEA) 04/10/2013 90 01/01/2014 11.800,00

P5.6.2 Aquisição de Licenças de AIMMS - Developer 2014 (DEA) 01/02/2014 90 01/05/2014 306.000,00

P5.6.3 Aquisição de licenças do software AIMMS 2014 (DPG) 01/02/2014 90 01/05/2014 153.000,00

P5.6.4 Aquisição de upgrade de licença de AIMMS End User Larger -

Developer 2014 (DPG)

01/02/2014 90 01/05/2014 153.000,00

Página 9 de 20




AÇÕES

P5.6.5 Aquisição de upgrade de Licença de AIMMS End User Larger -

Developer 2015 (DEA)

01/02/2015 90 01/05/2015 48.600,00

P5.6.6 Aquisição das licenças de Adobe InDesign 2014 03/11/2013 90 31/01/2014

P5.6.7 Aquisição das licenças de @Risk 2015 04/10/2014 90 01/01/2015 4.400,00

P5.6.8 Aquisição de Licenças ArcInfo e ArcEditor 2014 (SMA, SEE, SEG e

SGE)

04/03/2014 90 01/06/2014 500.000,00

P5.6.9 Aquisição de Licença Base StreetBase Basic (ArcGIS) 2014 (SDB) 03/04/2014 90 01/07/2014 30.000,00

P5.6.10 Aquisição das licenças de AutoCAD 2014 04/10/2013 90 01/01/2014 42.000,00

P5.6.11 Aquisição das licenças de WASP 2014 04/10/2013 90 01/01/2014 15.000,00

P5.6.12 Aquisição das licenças de SOAPP - State of Art of Power Plants ou

Termoflow 2015

04/10/2014 90 01/01/2015 200.000,00

P5.6.13 Contratação da execução do software SDDP em ambiente

multiprocessado "Cloud" 2014

03/04/2014 90 01/07/2014 23.760,00

P5.6.14 Aquisição das licenças de SDDP 2014 02/01/2014 90 01/04/2014 150.000,00

P5.6.15 Aquisição das licenças de Homer 2014 01/02/2014 90 01/05/2014 400,00

P5.6.16 Pagamento 3ª parcela da aquisição das licenças de Microsoft

Contrato de 2011 - 2013

02/09/2013 90 30/11/2013 167.505,00

P5.6.17 Licitação da aquisição das licenças de Microsoft Contrato de 2014 -

2016

03/08/2014 90 31/10/2014 205.132,49



02/09/2015 90 30/11/2015 218.445,58



02/09/2016 90 30/11/2016

P5.6.20 Aquisição das licenças do software para automação de processos

2013

04/06/2013 90 01/09/2013 175.486,04

P5.6.21 Aquisição de licença de uso do software CPLEX 03/09/2013 90 01/12/2013 35.000,00

P5.6.22 Aquisição de licenças do software Origin 2014 01/02/2014 90 01/05/2014 10.000,00

P5.6.23 Aquisição de licenças do software EVIEWS 2014 02/01/2014 90 01/04/2014 5.000,00

Página 10 de 20




AÇÕES

P5.6.24 Aquisição de licenças do software MATLAB - (Basic, Toolbox e

Builder) 2014

04/05/2014 90 01/08/2014 33.000,00

P5.6.25 Aquisição de licenças do software Software de G&G 2014 04/03/2014 90 01/06/2014 472.500,00

P5.6.26 Aquisição de licenças do software QUE$TOR Oil and Gas Cost

Analysis 2014

01/02/2014 90 01/05/2014 315.000,00

P5.6.27 Aquisição de licenças do software Aquisição de licenças do software

Aspen Hysys 2014

02/01/2014 90 01/04/2014 200.000,00

P5.6.28 Aquisição de licenças do software GasStream 2014 02/01/2014 90 01/04/2014 200.000,00

P5.6.29 Aquisição de licenças do software Pipeline Studio 2013 03/04/2013 90 01/07/2013 91.625,94

P5.6.30 Aquisição de licenças do software para Modelagem de Bacias

Sedimentares 2013

03/04/2013 90 01/07/2013 76.200,00

P5.6.31 Aquisição de licenças do software Decision Tools e Stat Tools (da

PALISADE) 2013

03/04/2013 90 01/07/2013 6.295,00

P5.6.32 Aquisição de licença de uso do software ACL Windows Desktop

Edition 2014

02/01/2014 90 01/04/2014 16.680,00

P5.6.33 Aquisição de software de Gestão de Processos Administrativos e

Demais Rotinas da AIN 2014

02/12/2013 90 01/03/2014 16.000,00

P5.6.34 Aquisição de Software de Gestão de Processos Judiciais,

Administrativos e Demais Rotinas da CONJUR (software de

prateleira) 2014

02/12/2013 90 01/03/2014 20.000,00

P5.7 Renovação e expansão da infraestrutura tecnológica 23/08/2013 31/12/2015 673.000,00 554.000,00 1.510.000,00 - - -

P5.7.1 Substituição dos computadores adquiridos em 2006/2007 23/08/2013 120 20/12/2013 450.000,00



P5.7.4 Expandir número de servidores lâmina em chassi existente 2013 23/08/2013 120 20/12/2013 210.000,00

P5.7.5 Upgrade de software da Infraestrutura Tecnológica 01/01/2014 730 31/12/2015

P5.7.6 Reengenharia do sistema de armazenamento de dados 02/11/2013 180 30/04/2014

P5.7.7 Expandir capacidade de armazenamento 23/08/2013 120 20/12/2013

Página 11 de 20




AÇÕES

P5.7.8 Expandir capacidade de backup 23/08/2015 120 20/12/2015

P5.7.9 Criar Data Center redundante 21/12/2014 365 20/12/2015 1.000.000,00

P5.7.10 Aquisição de sistema no-break 2014 04/03/2014 120 01/07/2014 60.000,00

P5.7.11 Aquisição de capacidade adicional de conexão do switch de core da

rede EPE 2014

02/12/2013 90 01/03/2014 30.000,00

P5.7.12 Aquisição de redundância para Firewall 2014 04/03/2014 90 01/06/2014 14.000,00

P5.7.13 Aquisição de estações de trabalho compactas (All-in-one) 2014 04/03/2014 90 01/06/2014 60.000,00

P5.7.14 Aquisição de Monitores 21" widescreen com base ajustável (ajuste

de altura) 2014

02/01/2014 90 01/04/2014 13.000,00

P5.8 Contratação/Aquisição/Renovação de Produtos/Serviços/Solução de

TIC

02/08/2012 01/03/2016 25.000,00 3.339.200,00 - 662.978,00 1.253.803,20 1.249.663,56

P5.8.1 Pagamento contrato de impressoras corporativas 2013 01/01/2013 365 31/12/2013 144.000,00



P5.8.4 Aquisição de bobinas para relógio de ponto 2013 03/07/2013 30 01/08/2013 2.000,00 - -

P5.8.5 Aquisição de bobinas para relógio de ponto 2014 03/07/2014 30 01/08/2014 2.129,80 -

P5.8.6 Aquisição de bobinas para relógio de ponto 2015 03/07/2015 30 01/08/2015 - 2.268,02

P5.8.7 Licenciamento Anual de Certificados Digitais para Servidores 2014 17/12/2013 30 15/01/2014 900,00 -

P5.8.8 Licenciamento Anual de Certificados Digitais para Servidores 2015 17/12/2014 30 15/01/2015 958,41

P5.8.9 Licenciamento Anual de Certificados Digitais para Servidores 2016 17/12/2015 30 15/01/2016

P5.8.10 Renovação do serviço de Telefonia Móvel Celular e Acesso Móvel à

Internet 2013

01/01/2013 60 01/03/2013 270.000,00

P5.8.11 Contratação do serviço de Telefonia Móvel Celular e Acesso Móvel à

Internet 2014

02/01/2014 90 01/04/2014 287.523,00

Página 12 de 20




AÇÕES

P5.8.12 Renovação do serviço de Telefonia Móvel Celular e Acesso Móvel à

Internet 2015

01/02/2015 60 01/04/2015 306.183,24

P5.8.13 Contratação do serviço de Service Desk 2013 03/07/2013 120 30/10/2013 66.050,00

P5.8.14 Renovação do serviço de Service Desk 2014 01/09/2014 60 30/10/2014 162.806,65

P5.8.15 Renovação do serviço de Service Desk 2015 01/09/2015 60 30/10/2015 173.372,80

P5.8.16 Contratação do serviço provisório de Acesso a Internet para a sede

em Brasília 2013

04/05/2013 90 01/08/2013 3.600,00 1.800,00

P5.8.17 Contratação do serviço definitivo de Acesso a Internet para a sede

em Brasília 2014 (item 1)

04/04/2014 120 01/08/2014 147.894,00

P5.8.18 Renovação do serviço de Acesso a Internet para a sede em Brasília

2015

03/06/2015 60 01/08/2015 157.492,32

P5.8.19 Renovação do serviço de Telefonia Fixa e Longa Distância Nacional e

Internacional para o EC no Rio de Janeiro 2013

04/08/2013 90 01/11/2013 80.000,00



04/08/2014 90 01/11/2014 85.192,00



04/08/2015 90 01/11/2015 90.720,96

P5.8.22 Contratação do serviço de Telefonia Fixa e Longa Distância Nacional

e Internacional para a sede em Brasília 2013

04/08/2013 90 01/11/2013 6.000,00



04/08/2014 90 01/11/2014 6.180,00



04/08/2015 90 01/11/2015 6.581,08

P5.8.25 Aquisição de licenciamento de Certificados Digitais A3 (pessoal) para

acesso aos sistemas do Governo Federal 2014

02/11/2013 120 01/03/2014 60.000,00

P5.8.26 Aquisição de diversos dispositivos (discos, monitores, placas de

video, memória, teclado, mouse, etc) para reposição 2013

01/01/2013 365 31/12/2013 40.000,00



01/01/2014 365 31/12/2014 42.596,00



01/01/2015 365 31/12/2015 45.360,48

P5.8.29 Pagamento de acesso a Internet para o escritório central no Rio de

Janeiro 2013

02/08/2012 365 01/08/2013 25.728,00

P5.8.30 Pagamento de acesso a Internet para o escritório central no Rio de

Janeiro 2014

02/08/2013 365 01/08/2014 27.397,75

Página 13 de 20




AÇÕES

P5.8.31 Renovação de acesso a Internet para o escritório central no Rio de

Janeiro 2015

02/08/2014 365 01/08/2015 29.175,86

P5.8.32 Renovação do serviço de armazenagem de fitas de backup (mensal)

2013

02/11/2012 365 01/11/2013 16.000,00

P5.8.33 Contratação ou renovação do serviço de armazenagem de fitas de

backup (mensal) 2014

02/11/2013 365 01/11/2014 17.038,40

P5.8.34 Contratação do serviço de armazenagem de fitas de backup

(mensal) 2015

05/07/2015 120 01/11/2015 18.144,19

P5.8.35 Contratação de Sistema de Detecção e Extinção de Incêndio 2014 02/12/2013 90 01/03/2014 50.000,00

P5.8.36 Renovação de manutenção de Sistema de Detecção e Extinção de

Incêndio 2015

01/01/2015 60 01/03/2015 15.973,50

P5.8.37 Renovação de manutenção de Sistema de Detecção e Extinção de

Incêndio 2016

02/01/2016 60 01/03/2016

P5.8.38 Aquisição de baterias para no-break 2014 03/04/2014 90 01/07/2014 9.600,00

P5.8.39 Contratação do serviço de TV a Cabo (programação) 2013 04/05/2013 90 01/08/2013

P5.8.40 Contratação do serviço de TV a Cabo (programação) 2014 04/05/2014 90 01/08/2014 500,00

P5.8.41 Contratação do serviço de TV a Cabo (programação) 2015 04/05/2015 90 01/08/2015 532,45

P5.8.42 Contratação de serviço de cabeamento estruturado CAT-5e e CAT-6

2013

04/07/2013 90 01/10/2013 28.500,00

P5.8.43 Aquisição de equipamento de segurança para acesso seguro à rede

da EPE 2014

03/04/2014 90 01/07/2014 30.000,00

P5.8.44 Aquisição de Equipamento de videoconferência 2013 04/06/2013 90 01/09/2013 25.000,00

P5.8.45 Aquisição de ambiente de Telepresença 2014 04/10/2013 90 01/01/2014 3.060.000,00

P5.8.46 Aquisição de equipamentos do tipo TABLET 2013 04/06/2013 90 01/09/2013 15.000,00

P5.8.47 Aquisição de Televisores LCD de 55" 2013 04/06/2013 90 01/09/2013 20.000,00

P5.8.48 Aquisição de switches de rede 2013 04/07/2013 90 01/10/2013 10.000,00

P5.8.49 Aquisição de projetores para salas de reunião 2013 04/07/2013 90 01/10/2013 7.200,00

Página 14 de 20




AÇÕES

P5.8.50 Aquisição de Projetor High Definition para o Auditório e sala 11.1

2013

04/08/2013 90 01/11/2013 20.000,00

P5.8.51 Aquisição de celulares com hardware e software de criptografia

2014

03/09/2014 90 01/12/2014 84.000,00

P5.8.52 Armário cofre com proteção contra fogo para guarda de fitas

magnéticas de backup 2014

03/04/2014 90 01/07/2014 35.000,00

P5.8.53 Contratação de serviço de Aconselhamento Imparcial Contínuo em

Tecnologia da Informação 2014

02/12/2013 90 01/03/2014 225.000,00

P5.8.54 Contratação de serviço de Aconselhamento Imparcial Contínuo em

Tecnologia da Informação 2015

02/12/2014 90 01/03/2015 239.602,50

P5.8.55 Implantação do Acesso Wi-Fi 03/07/2014 90 30/09/2014 8.000,00 5.000,00

P5.9 Desenvolvimento de Sistemas Aplicativos para as áreas técnicas da

EPE

02/01/2012 31/12/2015 - 1.200.000,00 - - - -

P5.9.1 Levantamento e mapeamento da estrutura de dados do PLANDEPE,

visando a integração dos modelos da DPG

01/08/2014 212 28/02/2015

P5.9.2 Desenvolvimento de Sistema de Movimentação de Derivados de

Petróleo - SMDP (está em homologação) -Módulo I

01/10/2012 669 31/07/2014

P5.9.3 Desenvolvimento de Sistema de Movimentação de Derivados de

Petróleo - SMDP - Módulo II

01/08/2014 518 31/12/2015

P5.9.4 Desenvolvimento do Extrator de Dados da ANP, para abastecer o

sistema SMDP

01/05/2014 184 31/10/2014

P5.9.5 Finalização do sistema BANDAP (atualmente em homologação) 02/01/2012 912 01/07/2014

P5.9.6 Modelagem do Banco de Dados Sucroenergético (item 107) 01/05/2014 184 31/10/2014

P5.9.7 Desenvolvimento do Novo Sistema de Orçamentação de Usinas

Hidrelétricas - SISORH

01/04/2014 640 31/12/2015 1.200.000,00

P5.9.8 Manutenção evolutiva do SIMGEP 01/12/2013 335 31/10/2014

P5.9.9 Desenvolvimento de Sistema de Demanda e Oferta de Sistemas

Isolados - Fase de Demanda

15/02/2014 167 31/07/2014

P5.9.10 Assistência à implantação do Sistema SAPD no ONS, conforme

acordo de cooperação EPE-ONS.

15/09/2013 320 31/07/2014

P5.9.11 Desenvolvimento do Sistema de Consumidores Livres 01/08/2014 244 01/04/2015

P5.9.12 Finalização e entrega em produção do Sistema de Planejamento da

Expansão da Geração - SIPEG

01/08/2013 283 10/05/2014

Página 15 de 20




AÇÕES

P5.9.13 Manutenção evolutiva do Sistema de Coleta de Informação do

Mercado de Gás Natural - INFOGAS

01/03/2013 488 01/07/2014

P5.9.14 Manutenção evolutiva do AEGE para permitir a carga e o

armazenamento da documentação dos empreendimentos

01/04/2014 184 01/10/2014

P5.9.15 Desenvolvimento do Sistema de Controle de Ativos e de Acesso aos

sistemas da EPE

01/04/2014 640 31/12/2015

P6.1 Criação e Implantação do Plano de Conscientização de SIC 01/02/2014 30/09/2014 - - - - - -

P6.1.1 Elaborar Plano de Conscientização de SIC 01/02/2014 212 31/08/2014

P6.1.2 Implementar Plano de Conscientização de SIC no CSIC 01/09/2014 30 30/09/2014

P6.2 Desenvolvimento e Implantação de Plano para consolidação da

Gestão de Segurança da Informação e Comunicações

01/01/2014 27/08/2014 - - - - - -

P6.2.1 Criar regimento interno para o CSIC 01/03/2014 60 29/04/2014

P6.2.2 Propor e Implantar Metodologia de Gestão de SIC 30/04/2014 120 27/08/2014

P6.2.3 Revisar POSIC e as normas de SIC (assegurar conformidade com a

legislação e as melhores práticas de gestão de SIC)

01/01/2014 30 30/01/2014

P6.2.4 Elaborar, aprovar no CSIC e DE norma para atender à INC nº 04 31/01/2014 30 01/03/2014










Página 16 de 20




AÇÕES





P6.3 Criação e Implantação de um Programa de Gestão de Riscos 01/08/2014 25/08/2015 - - - - - -

P6.3.1 Definição de Metodologia para Gestão de Risco (MGR) 01/08/2014 120 28/11/2014

P6.3.2 Treinamento das partes envolvidas 29/11/2014 60 27/01/2015

P6.3.3 Disseminação da MGR 28/01/2015 30 26/02/2015

P6.3.4 Aplicação piloto da MGR 27/02/2015 120 26/06/2015

P6.3.5 Análise dos resultados do piloto e revisão da MGR 27/06/2015 30 26/07/2015

P6.3.6 Implantação da MGR 27/07/2015 30 25/08/2015

P6.4 Implantação de um sistema de vigilância física por CFTV 01/11/2013 25/11/2014 - 25.000,00 - 7.000,00 - -

P6.4.1 Elaboração do plano de instalaçao de equipamentos 01/11/2013 30 30/11/2013

P6.4.2 Contratação e instalação de cabeamento e equipamento 01/12/2013 60 29/01/2014 7.000,00

P6.4.3 Seleção, contratação e instalação de software de gerenciamento de

imagens

30/01/2014 30 28/02/2014 25.000,00

P6.4.4 Normatização do uso das imagens 01/03/2014 60 29/04/2014

P6.4.5 Operacionalição do sistema de vigilância 30/04/2014 30 29/05/2014

P6.4.6 Avaliação e Implementação de Melhorias 30/05/2014 180 25/11/2014

P6.5 Implantação de uma sistemática de Gerenciamento da operação do

Data Center e das Comunicações

01/06/2014 26/01/2015 - - - - - -

P6.5.1 Definição de procedimentos e responsabilidades operacionais 01/06/2014 30 30/06/2014

Página 17 de 20




AÇÕES

P6.5.2 Efetivação do Gerenciamento de serviços terceirizados 01/07/2014 60 29/08/2014

P6.5.3 Planejamento de capacidade e recursos para aceitação dos sistemas 30/08/2014 30 28/09/2014

P6.5.4 Estabelecimento de procedimentos para a proteção contra códigos

maliciosos

29/09/2014 60 27/11/2014

P6.5.5 Estabelecimento de procedimentos para o Gerenciamento da

segurança em redes

28/11/2014 30 27/12/2014

P6.5.6 Estabelecimento de procedimentos de manuseio de mídias 28/12/2014 30 26/01/2015

P6.6 Implantação de um Plano para Gestão de Continuidade de Negócio

(BCP)

01/08/2014 28/03/2015 - - - - - -

P6.6.1 Avaliação dos Riscos e Impacto no Negócio no caso de

descontinuidades

01/08/2014 30 30/08/2014

P6.6.2 Desenvolvimento de Plano de Contingência de TI 31/08/2014 60 29/10/2014

P6.6.3 Desenvolvimento de Plano de Contingência de Pessoal 30/10/2014 30 28/11/2014

P6.6.4 Desenvolvimento de Plano de Contingência Físico 29/11/2014 60 27/01/2015

P6.6.5 Desenvolvimento de Plano de Testes do BCP 28/01/2015 30 26/02/2015

P6.6.6 Simulação de desastre para testar o BCP 27/02/2015 30 28/03/2015

P6.7 Desenvolvimento de Plano de Conformidade de SIC 01/08/2014 12/04/2015 - - - - - -

P6.7.1 Elaboração do plano da auditoria a ser realizada 01/08/2014 30 30/08/2014

P6.7.2 Caracterização do escopo a ser analisado 31/08/2014 30 29/09/2014

P6.7.3 Identificação dos pontos de controle a serem analisados 30/09/2014 45 13/11/2014

P6.7.4 Aplicação piloto do Plano de Conformidade 14/11/2014 60 12/01/2015

P6.7.5 Análise do relatório de conformidade da aplicação piloto e revisão

do plano

13/01/2015 90 12/04/2015

P7.1 Verificação de aderência ao e-MAG, e-PWG e e-PING dos sistemas

da EPE

01/05/2014 31/12/2017 - - - - - -

Página 18 de 20




AÇÕES

P7.1.1 Verificação de aderência do site da EPE ao e-MAG, e-PWG e e-PING 01/05/2014 31 31/05/2014

P7.1.2 Adequação do site da EPE ao e-MAG, e-PWG e e-PING 01/06/2014 214 31/12/2014

P7.1.3 Verificação de aderência dos sistemas da EPE ao e-MAG, e-PWG e e-

PING

01/07/2014 92 30/09/2014

P7.1.4 Adequação do sistema AMA da EPE ao e-MAG, e-PWG e e-PING 01/10/2014 92 31/12/2014

P7.1.5 Adequação do sistema BEN da EPE ao e-MAG, e-PWG e e-PING 01/10/2014 457 31/12/2015

P7.1.6 Adequação do sistema SIMGEP da EPE ao e-MAG, e-PWG e e-PING 01/10/2014 92 31/12/2014

P7.1.7 Adequação do sistema VIAGENS da EPE ao e-MAG, e-PWG e e-PING 01/10/2014 457 31/12/2015

P7.1.8 Adequação do sistema SMDP da EPE ao e-MAG, e-PWG e e-PING 01/10/2014 457 31/12/2015

P7.1.9 Adequação do sistema BANDAP da EPE ao e-MAG, e-PWG e e-PING 01/10/2014 92 31/12/2014

P7.1.10 Adequação do sistema AEGE da EPE ao e-MAG, e-PWG e e-PING 03/01/2016 180 30/06/2016

P7.1.11 Adequação do sistema SIMPLES da EPE ao e-MAG, e-PWG e e-PING 03/07/2016 90 30/09/2016

P7.1.12 Adequação do sistema SAPN da EPE ao e-MAG, e-PWG e e-PING 03/10/2016 90 31/12/2016

P7.1.13 Adequação do sistema SAPD da EPE ao e-MAG, e-PWG e e-PING 01/01/2017 90 31/03/2017

P7.1.14 Adequação do sistema SGET da EPE ao e-MAG, e-PWG e e-PING 02/04/2017 90 30/06/2017

P7.1.15 Adequação do sistema INFOGAS da EPE ao e-MAG, e-PWG e e-PING 03/07/2017 90 30/09/2017

P7.1.16 Adequação do sistema SIPEG da EPE ao e-MAG, e-PWG e e-PING 03/10/2017 90 31/12/2017


Instruções Normativas da SLTI/MPOG

01/07/2014 31/12/2015 - - - - - -

P7.2.1 IN nº 02/2008 Contratação de serviços 01/07/2014 549 31/12/2015

P7.2.2 IN nº 04/2010 Contratação de TI 01/07/2014 549 31/12/2015


determinações dos Acordãos do TCU

01/07/2014 31/12/2015 - - - - - -

Página 19 de 20




AÇÕES

P7.3.1 Acordão nº 2.746/2010-P 01/07/2014 549 31/12/2015

P7.3.2 Acórdão nº 2.308/2010-P 01/07/2014 549 31/12/2015

P7.3.3 Acórdão 2523/2012-P 01/07/2014 549 31/12/2015

P8.1 Desenvolvimento e implantação de Plano para avaliação de

satisfação dos clientes internos e externos

01/10/2014 28/04/2015 - - - - - -

P8.1.1 Planejamento dos ciclos de avaliação de satisfação 01/10/2014 30 30/10/2014

P8.1.2 Desenvolvimento de ferramentas para coleta de dados sobre

satisfação do cliente

31/10/2014 120 27/02/2015

P8.1.3 Análise dos resultados da avaliação 28/02/2015 30 29/03/2015

P8.1.4 Planejamento das ações necessárias para sanar deficiências 30/03/2015 30 28/04/2015

Página 20 de 20

55

ANEXO IV: ANÁLISE DE CONFORMIDADE COM O COBIT E ITIL

Impo

rtânc

ia

Dese

mpe

nho

TI OUTR

O

EXTE

RNO

NÃO

SABE

1 5 1 PO1 DEFINIR UM PLANO ESTRATÉGICO DE TI DE O plano estratégico deve aumentar a compreensão dos stakeholder’s chaves em relação

das oportunidades e limites da TI, avaliar o desempenho atual e esclarecer o nível de

investimentos requeridos. A estratégia e as prioridades do negócio devem ser refletidas

nos portfolios e executadas através dos planos táticos da TI.

2 5 2 PO2 DEFINIR A ARQUITETURA DE INFORMAÇÃO X X A função dos sistemas de informação deve ser criar e atualizar regularmente um modelo de

informação de negócio e definir os sistemas apropriados para otimizar o uso da

informação. Isso inclua o desenvolvimento de um dicionário coorporativo de dados com as

regras de sintaxe da organização, esquema de classificação de dados e níveis de

segurança. Este processo da TI também necessita de aumentar a responsabilidade sobre a

integridade e segurança dos dados e melhorar a efetividade e controle sobre o

compartilhamento de informação através de aplicações e entidades.

3 5 1 PO3 DETERMINAR A DIREÇÃO TECNOLÓGICA X PIITIC A função dos serviços de informação determina a direção tecnológica para suportar o

negócio. Isso requer a criação de um plano da infra-estrutura tecnológica e um comitê de

arquitetura que fixa e gerencia expectativas claras e realísticas o que a tecnologia pode

oferecer em termos de produtos, serviços e mecanismos de entrega. O plano deve ser

atualizado regularmente e incluir aspectos como a arquitetura de sistemas, direção

tecnológica, planos de aquisição, padrões, estratégias de migração e contingência.

4 5 1 PO4 DEFINIR OS PROCESSOS DE TI, ORGANIZAÇÃO E

RELACIONAMENTOS

X Uma organização da TI precisa ser definida, considerando os requerimentos para pessoas,

habilidades, funções, responsabilidade, autoridade, papeis e supervisão. Esta organização

deve estar embutida dentro um framework de processos da TI que asseguram transparência

e controle, como também envolvem os executivos sênior e gerentes de negócio. Um comitê

estratégico deve assegurar uma visão geral da TI e um ou mais comitês de direção, em

quais os participantes do negócio e da TI devem determinar a priorização dos recursos da

TI em linha com as necessidades do negócio. Processos, políticas e procedimentos

administrativos necessitam de ser implementados para todas as funções, com atenção

especifica para o controle, garantia de qualidade, gerenciamento de riscos, segurança de

informação, propriedade para dados e sistemas e segregação de direitos.

5 3 1 PO5 GERENCIAR OS INVESTIMENTOS EM TI X Estabelecer e manter um framework para gerenciar programas que habilitem investimentos

em TI e que abrangem custos, benefícios, priorização nos orçamentos, um processo formal

de orçamentos e gerenciamento em relação dos orçamentos. Trabalhar com os

stakeholder’s para identificar e controlar o total dos custos e benefícios dentro do contexto

dos planos estratégicos e táticos da TI e iniciar ações corretivas quando necessárias.

6 5 1 PO6 COMUNICAR AS DIRETRIZES E EXPECTATIVAS DA

DIRETORIA

CS A administração deve desenvolver uma estrutura de controle de TI corporativo e definir e

comunicar políticas. Um programa de comunicação contínuo aprovado e apoiado pela

Direção deve ser implementado para articular missão, metas, políticas, procedimentos etc.

A comunicação apoia o alcance dos objetivos de TI e assegura a consciência e o

entendimento dos negócios, dos riscos de TI, dos objetivos e das diretrizes. O processo

deve assegurar conformidade com leis e regulamentos relevantes.

7 5 2 PO7 GERENCIAR OS RECURSOS HUMANOS DE TI X Adquire, mantêm e motiva uma força de trabalho competente para criar e entregar serviços

da TI para o negócio. Isso é atingido seguindo praticas definidas e acordadas que suportam

o recrutamento, treinamento, avaliação do desempenho, promoção e demissão. Este

processo é critico, como as pessoas são um ativo e de governança importante e o

ambiente interno de controle depende bastante da motivação e competência do pessoal.

8 5 1 PO8 GERENCIAR A QUALIDADE X Um sistema de gerenciamento da qualidade deve ser desenvolvido e mantido, o qual inclua

um processo de desenvolvimento e aquisição comprovado e padronizado. Isso é habilitado

através do planejamento, implementação e manutenção do sistema de qualidade que

provêm requerimentos claros de qualidade, procedimentos e políticas. Requerimentos de

qualidade devem ser determinados e comunicados, com indicadores quantificáveis e

atingíveis. Melhorias contínuas são atingidas através de um monitoramento operacional,

analises e ações sobre desvios e a comunicação dos resultados para os stakeholder’s.

Gerenciamento da qualidade é essencial para assegurar que a TI entrega valor para o

negócio, melhorias contínuas e transparência para stakeholder’s.

9 5 1 PO9 GERENCIAR E AVALIAR OS RISCOS DE TI X Criar e manter um framework de gerenciamento de riscos. O framework documenta um nível

de riscos da TI comum e acordado, estratégias de mitigação e acordos sobre riscos

residuais. Qualquer impacto potencial sobre as metas da organização, causada por eventos

não planejados, deve ser identificado, levantado e avaliado. Estratégias de mitigação de

riscos devem ser adotadas para minimizar riscos residuais a um nível aceitável. O resultado

da avaliação deve ser compreensível para os stakeholder’s e expresso em termos

financeiros, para habilitar os stakeholder’s de alinhar os riscos com um nível aceitável de

tolerância.

10 5 1 PO10 GERENCIAR PROJETOS X Estabelecer um framework de gerenciamento de programas e projetos para gerenciar todos

os projetos da TI. Este framework deve assegurar a correta priorização e coordenação de

todos os projetos. O framework deve incluir um plano mestre, atribuição de recursos,

definição de entregáveis, aprovações pelos usuários, uma abordagem em fases para as

entregáveis, garantia de qualidade, um plano formal de teste, testes e revisões pós-

implementação após da instalação para assegurar o gerenciamento de risco e a entrega do

valor para o negócio. Esta abordagem reduz o risco de custos não esperados e

cancelamento de projetos, aumenta a comunicação com os envolvidos do negócio e

usuários finais, assegura o valor e a qualidade dos entregáveis do projeto e maximiza a

contribuição de programas que habilitam investimentos em TI.

Referência

Quem é

responsável?

Quem faz?

AUDI

TADO

FORM

ALID

ADE

Domínios e Processos do COBIT

PLANEJAMENTO E ORGANIZAÇÃO

Sequ

ênci

a

RiscoImportância - O quanto é importante para a organização, em uma escala de 1 (não importante) a 5 (muito) Desempenho - O quanto é bem feito de 1 (não sabe ou muito ruim) a 5 (muito bem)Auditado - Sim (S), Não (N) ou ?Formalidade - Existe um contrato, um SLA ou um procedimento claramente documentado (Sim (S), Não (N) ou ?)Responsável - Nome ou "Não sabe"

56

Imp

ort

ân

cia

De

se

mp

en

ho

TI

OU

TR

O

EX

TE

RN

O

NÃ

O S

AB

E

11 5 1 AI1 IDENTIFICAR SOLUÇÕES AUTOMATIZADAS X A necessidade para novas aplicações ou funções requer uma análise antes da aquisição ou

criação para assegurar que os requerimentos do negócio são satisfeitos numa abordagem

efetiva e eficiente. Este processo cobra a definição das necessidades, considerando fontes

alternativas, revisão da viabilidade tecnológica e econômica, execução de análise de risco

e análise de custo / beneficio e a conclusão de uma decisão final de “fazer” ou “comprar”.

Todos estes passos habilitam a organização de minimizar os custos de adquirir e

implementar soluções, enquanto asseguram que estes habilitam o negócio de atingir seus

objetivos.

12 5 3 AI2 ADQUIRIR E MANTER APLICATIVOS DE SOFTWARE X Aplicações devem estar disponíveis em linha com os requerimentos de negócio. Este

processo envolve o desenho de aplicações, a inclusão apropriada de controles de

aplicação e requerimentos de segurança e o atual desenvolvimento e configuração

conforme os padrões. Isso permita as organizações de suportar apropriadamente as

operações de negócio com as corretas aplicações automatizadas.

13 5 3 AI3 ADQUIRIR E MANTER A INFRA-ESTRUTURA DE

TECNOLOGIA

X Nas Organizações deve haver um processo para a aquisição, implementação e atualização

da infra-estrutura tecnológica. Isso requer uma abordagem planejada para a aquisição,

manutenção e proteção da infra-estrutura em linha com as estratégias tecnológicas

acordadas e a provisão de ambientes de desenvolvimento e teste. Isso assegura que o

suporte tecnológico operacional suporta as aplicações de negócio.

14 5 2 AI4 HABILITAR A OPERAÇÃO E USO X Conhecimento sobre novos sistemas necessita de ser disponibilizado. Este processo

requer a produção de documentação e manuais para usuários e TI e prover treinamento que

assegura o uso e a operação apropriado de aplicações e infra-estrutura.

15 5 3 AI5 PROCURAR RECURSOS DE TI LIC

RH

Recursos de TI, inclusive pessoas, hardware, software e serviços, necessitam ser obtidos.

Isso requer uma definição e sanção de procedimentos de aquisição, a seleção de

fornecedores, a realização de arranjos contratuais e a aquisição em si. Fazer assim

assegura que a organização tem todos os recursos de TI requeridos em tempo e de

maneira efetivo em custo.

16 5 1 AI6 GERENCIAR MUDANÇAS X Todas as mudanças, inclusive mudanças emergenciais e correções, relacionados à infra-

estrutura e aplicações dentro de um ambiente de produção precisam ser gerenciados

formalmente de uma maneira controlada. Mudanças (incluindo procedimentos, processos,

sistemas e parâmetros de serviços) precisam ser registradas, avaliados e autorizadas

antes de implementar e revisados em relação dos resultados planejados em seguida da

implementação. Isso assegura a mitigação de riscos de impactos negativos sobre a

estabilidade ou integridade de ambientes produtivos.

17 5 1 AI7 INSTALAR E VALIDAR SOLUÇÕES E MUDANÇAS X Novos sistemas precisam ser feitos operacionais uma vez que o desenvolvimento é

completo. Isso requer testes apropriados em um ambiente dedicado com dados de teste

relevantes, definição da introdução e instruções de migração, planejamento de liberações,

promoção atual para a produção e revisões pós-implementação. Isso assegura que

sistemas operacionais estão em linha com as expectativas e resultados acordados.

AQUISIÇÃO E IMPLEMENTAÇÃO

Referência

Quem é

responsável?

Quem faz?

AU

DIT

AD

O

FO

RM

AL

IDA

DE


Se

qu

ên

cia


57

Impo

rtânc

ia

Dese

mpe

nho

TI OUTR

O

EXTE

RNO

NÃO

SABE

18 5 1 DS1 DEFINIR E GERENCIAR NÍVEIS DE SERVIÇO X Comunicação efetiva entre a gerência da TI e os clientes do negócio, em relação dos

serviços requeridos, é habilitado através da documentação e o acordo de serviços da TI e

níveis de serviços. Este processo também inclua o monitoramento e o reporte em tempo

para os stakeholders sobre o cumprimento dos níveis de serviços. Este processo habilita o

alinhamento entre os serviços da TI o os requerimentos de negócio associados.

19 5 2 DS2 GERENCIAR SERVIÇOS DE TERCEIROS X A necessidade de assegurar que serviços providos por terceiros atendem os requerimentos

do negócio requer um processo efetivo de gerenciamento de terceiros. Este processo é

efetuado com papeis claramente definidos, responsabilidades e expectativas em acordos

com terceiros, como também com revisão e monitoramento destes acordos para

efetividade e conformidade. Gerenciamento efetivo de serviços de terceiros minimiza os

riscos de negócio associados com fornecedores não conformes.

20 5 2 DS3 GERENCIAR DESEMPENHO E CAPACIDADE X A necessidade de gerenciar o desempenho e a capacidades dos recursos de TI requer um

processo para rever periodicamente o desempenho e a capacidade atual dos recursos da

TI. Este processo inclua a previsão das futuras necessidades baseada na carga de

trabalho, requerimentos de armazenamento e de contingência. Este processo provém a

garantia que os recursos da informática, que suportam os requerimentos de negócio, são

continuamente avaliados.

21 5 1 DS4 ASSEGURAR A CONTINUIDADE DO SERVIÇO X A necessidade de prover serviços contínuos de TI requer o desenvolvimento, manutenção e

testes de planos de continuidade da TI, armazenamento externo de backup e treinamento

periódico para o plano de continuidade. Um processo efetivo da continuidade de serviço

minimiza a probabilidade e o impacto de interrupções maiores de serviço sobre funções e

processos de negócio.

22 5 2 DS5 ASSEGURAR A SEGURANÇA DOS SISTEMAS X A necessidade de manter a integridade da informação e proteger os ativos da TI requer um

processo de gerenciamento de segurança. Este processo inclui de estabelecer e manter

papeis e responsabilidades, políticas, padrões e procedimentos da segurança de TI.

Gerenciamento da segurança também inclui realizar monitoramento da segurança, testes

periódicos e implementar ações corretivas para identificar fraquezas ou incidentes de

segurança. Um gerenciamento efetivo de segurança proteja todos os ativos da TI para

minimizar o impacto sobre o negócio das vulnerabilidades e incidentes de segurança.

23 1 1 DS6 IDENTIFICAR E ALOCAR CUSTOS X A necessidade para um justo e imparcial sistema de alocar custos para o negócio requer a

medição exata de custos da TI e acordos com usuários de negócio para uma alocação

correta. Este processo inclue a criação e operação de um sistema de captura, alocação e

reporte dos custos da TI para os usuários de serviços. Um sistema justo de alocação

habilita o negócio de fazer mais decisões informadas em relação do uso de serviços da TI.

24 5 2 DS7 EDUCAR E TREINAR USUÁRIOS X Educação efetiva de todos os usuários de sistemas de TI, incluindo estes dentro da TI,

requer a identificação das necessidades de treinamento de cada grupo de usuários. Em

adição da identificação da necessidade, este processo inclua a definição e execução de

uma estratégia para um treinamento efetivo e medição de resultados. Um programa efetivo

de treinamento aumenta o uso efetivo da tecnologia com a redução de erros de usuários,

aumenta a produtividade e aumenta a conformidade com controles chaves como as

medidas de segurança de usuários.

25 5 2 DS8 GERENCIAR O SERVICE DESK E INCIDENTES X Respostas em tempo e efetivos para as perguntas e problemas dos usuários da TI

requerem uma central de serviço bem desenhada e implementada e um processo de

gerenciamento de incidentes. Este processo inclua a implementação da função da central

de serviços com registro, escalação, tendências, análise de causas raiz e resolução de

incidentes. O benefício para o negócio inclua um aumento de produtividade através da

resolução rápido das perguntas dos usuários. Em adição, o negócio pode endereçar

causas raiz (como um pobre treinamento de usuários) através de um reporte efetivo.

26 5 1 DS9 GERENCIAR A CONFIGURAÇÃO X Assegurar a integridade da configuração de hardware e software requer de estabelecer e

manter um preciso e completo repositório da configuração. Este processo inclua a coleta

inicial de informação da configuração, estabelecer referências, verificar e auditar a

informação da configuração e atualizar o repositório da configuração quando necessário.

Gerenciamento efetivo da configuração facilita a disponibilidade maior do sistema,

minimizar assuntos de produção e resolver estes assuntos mais rápidos.

27 5 1 DS10 GERENCIAR PROBLEMAS X Um gerenciamento efetivo de problemas requer a identificação e classificação de

problemas, análise da causa raiz e resolução de problemas. O processo do gerenciamento

de problemas também inclua a identificação de recomendações para melhorar a

manutenção de registros de problemas e revisar o status de ações corretivas. Um processo

do gerenciamento de problemas efetivo melhora níveis de serviço, reduz custos e melhora a

conveniência e satisfação.

28 5 1 DS11 GERENCIAR DADOS X Gerenciamento efetivo de dados requer a identificação de requerimentos para dados. O

processo de gerenciamento de dados também inclua estabelecer procedimentos efetivos

para gerenciar a biblioteca de mídias, backup e recuperação e disponibilizar mídias

apropriadas. Gerenciamento efetivo de dados ajuda assegurar a qualidade, oportunidade e

disponibilidade de dados do negócio.

29 5 2 DS12 GERENCIAR O AMBIENTE FÍSICO SG A proteção para equipamentos de computação e pessoal requer instalações bem

desenhadas e bem gerenciadas. O processo de gerenciar o ambiente físico inclua de

definir os requerimentos para um lugar físico, seleção de instalações apropriadas e

desenho efetivo dos processos para monitorar elementos ambientais e gerenciar o acesso

físico. Gerenciamento efetivo do ambiente físico reduz interrupções do negócio devida de

danos nos equipamentos de computação e no pessoal.

30 5 2 DS13 GERENCIAR OPERAÇÕES X Processamento completo e exato de dados requer o gerenciamento efetivo do

processamento de dados e a manutenção de hardware. Este processo inclua a definição de

políticas e procedimentos operacionais para um gerenciamento efetivo da programação do

processamento, proteção de output sensitivo, monitoramento da infra-estrutura e

manutenção preventiva de hardware. Gerenciamento efetivo da operação ajuda de manter a

integridade de dados e reduz atrasos no negócio e custos da operação da TI.

ENTREGA E SUPORTE

Referência

Quem é

responsável?

Quem faz?

AUDI

TADO

FORM

ALID

ADE


Sequ

ênci

a


58

Imp

ort

ân

cia

De

se

mp

en

ho

TI

OU

TR

O

EX

TE

RN

O

NÃ

O S

AB

E

31 5 1 ME1 MONITORAR E AVALIAR A PERFORMANCE DE TI X Assegura que a administração estabeleça um framework geral de monitoramento e uma

abordagem que defina o escopo, metodologia e processos para serem seguidos para o

monitoramento da TI contribua para os resultados do gerenciamento do portfolio

empresarial e processos de programas gerenciais e estes processos que são específicos

para entregar as competências e serviços da TI. O framework deve estar integrado com o

sistema de gerenciamento de desempenho da companhia.

32 5 1 ME2 MONITORAR E AVALIAR OS CONTROLES INTERNOS X Estabelecer um programa de controle interno efetivo para a TI requer um processo de

monitoração bem definido. Este processo inclui monitoração e reporte de exceções de

controle, resultados da auto-avaliação e revisão de fornecedores (terceiros). Um benefício

principal do controle interno de monitoração é fornecer segurança relacionada à eficiência e

eficácia das operacionais e conformidade com leis e regulamentos.

33 5 1 ME3 ASSEGURAR CONFORMIDADE COM OS REQUERIMENTOS

EXTERNOS

X Uma vigilância regulatória eficiente requer o estabelecimento de um processo de revisão

independente para garantir a conformidade com leis e regulamentos. Este processo inclui

definir um auditor independente, ética profissional e padrões, planejamento, desempenho

do trabalho de auditoria, e reporte do acompanhamento das atividades de auditoria. O

propósito deste processo é fornecer uma garantia positiva relacionada à conformidade da

TI com leis e regulamentos.

34 5 1 ME4 ESTABELECER A GOVERNANÇA DE TI X Estabelecer um framework efetivo de governança, incluindo a definição de estruturas

organizacionais, processos, liderança, papeis e responsabilidades para assegurar que os

investimentos em TI empresarial são alinhados e entregas de acordo com as estratégias e

objetivos empresariais.

MONITORAÇÃO E AVALIAÇÃO

Referência

Quem é

responsável?

Quem faz?

AU

DIT

AD

O

FO

RM

AL

IDA

DE


Se

qu

ên

cia


59

Imp

ort

ân

cia

De

se

mp

en

ho

TI

OU

TR

O

EX

TE

RN

O

NÃ

O S

AB

E

35 5 2 1 SERVICE DESK X A implementação da Central de Serviços tem como principais objetivos: Funcionar como o

ponto central de contato (SPOC – Single Point of Contact) entre os usuários e departamento

de TI; Restaurar os serviços sempre que possível; Prover suporte com qualidade para

atender os objetivos do negócio. É necessário que a equipe esteja bem treinada para ter

conhecimento de todos os serviços que serão fornecidos e entender o impacto que eles têm

para o negócio; Gerenciar todos os incidentes até o seu encerramento. A central de serviço

será responsável pelo processo de Gerenciamento de Incidentes, e será responsável pelo

tratamento de todos os incidentes. É de responsabilidade também da Central de Serviços

monitorar o cumprimento dos acordos estabelecidos nas ANS (SLA- Acordos de Níveis de

Serviços); Dar suporte a mudanças, fornecendo comunicação aos usuários sobre o

agendamento de mudanças; Maximizar a disponibilidade do serviço.

36 5 3 2 GERENCIAMENTO DE INCIDENTES X O Processo de Gerenciamento de Incidentes tem como objetivos: Resolver os incidentes o

mais rápido possível, restabelecendo o serviço normal dentro do prazo acordado nos ANS’s

(Acordo de Nível de Serviço - SLA); Manter a comunicação dos status dos incidentes aos

usuários; Escalonar os incidentes para os grupos de atendimento para que seja cumprido o

prazo de resolução.

37 5 1 3 GERENCIAMENTO DE PROBLEMAS X Este processo tem como missão minimizar a interrupção nos serviços de TI através da

organização dos recursos para solucionar problemas de acordo com as necessidades de

negócio, prevenindo a recorrência dos mesmos e registrando informações que melhorem a

maneira pela qual a organização de TI trata os problemas, resultando em níveis mais altos

de disponibilidade e produtividade.

38 5 1 4 GERENCIAMENTO DE CONFIGURAÇÃO X Os principais objetivos do processo do Gerenciamento da Configuração são: Fornecer

gerenciamento da TI com maior controle sobre os IC’s da organização; Fornecer informação

precisa a outros processos da ITIL; Criar e manter uma Base de Dados do Gerenciamento

da Configuração (BDGC).

39 5 1 5 GERENCIAMENTO DE MUDANÇAS X Este processo tem como missão gerenciar todas as mudanças que possam causar impacto

na habilidade da área de TI em entregar serviços, através de um processo único e

centralizado de aprovação, programação e controle de mudança, para assegurar que a infra-

estrutura de TI permaneça alinhada aos requisitos do negócio, com o menor risco possível.

40 5 1 6 GERENCIAMENTO DE LIBERAÇÕES X Objetivos do processo de Gerenciamento de Liberação incluem: Gerenciar, distribuir e

implementar itens de software e hardware aprovados; Prover o armazenamento físico e

seguro de itens de hardware e software no Depósito de Hardware Definitivo (DHD) e na

Biblioteca Definitiva de Software (BDS); Assegurar que apenas versões de software

autorizadas e com processo de qualidade controlado sejam usados nos ambientes de teste

e produção.

SUPORTE DE SERVIÇOS

Domínios e Processos do ITIL

Referência

Quem é

responsável?

Quem faz?

AU

DIT

AD

O

FO

RM

AL

IDA

DE

Se

qu

ên

cia


60

Imp

ort

ân

cia

De

se

mp

en

ho

TI

OU

TR

O

EX

TE

RN

O

NÃ

O S

AB

E

41 5 2 7 GERENCIAMENTO DO NÍVEL DE SERVIÇO X O processo de Gerenciamento do Nível de Serviço gerencia a qualidade dos Serviços de TI

conforme os acordos firmados entre os usuários e o departamento de TI chamados Acordos

de Nível de Serviço (ANS). O objetivo do Gerenciamento do Nível de Serviço é manter e

melhorar a qualidade dos serviços através de um ciclo constante de acordos, monitoração,

relatórios e melhoria dos níveis de serviços. Ele é estrategicamente focado no negócio,

mantendo o alinhamento entre o negócio e a TI.

42 1 1 8 GERENCIAMENTO FINANCEIRO X Os objetivos do processo de Gerenciamento Financeiro para os Serviços de TI devem ser:

Fornecer um custo efetivo para os gastos aplicados nos ativos de TI e recursos usados para

fornecer os serviços de TI; Contabilização completa dos gastos com serviços de TI e

atribuição destes custos aos serviços entregue aos clientes; Assistência às decisões da

gerência sobre os investimentos de TI, fornecendo planos de negócios para mudanças nos

serviços de TI.

43 5 2 9 GERENCIAMENTO DA CAPACIDADE X O objetivo principal do Gerenciamento da Capacidade é entender os requisitos de

capacidade do negócio e controlar a entrega desta capacidade no presente e no futuro.

O Gerenciamento da Capacidade é também responsável por entender as vantagens

potenciais que as novas tecnologias podem trazer para a organização.

44 5 2 10 GERENCIAMENTO DA DISPONIBILIDADE X O objetivo do Gerenciamento da Disponibilidade é conseguir um mapeamento claro dos

requisitos do negócio relacionados com a disponibilidade dos Serviços de TI e aperfeiçoar

a capacidade da infra-estrutura para se alinhar a estas necessidades. Em outras palavras,

assegurar a mais alta disponibilidade possível dos serviços de TI para que o negócio

consiga alcançar seus objetivos.

45 5 1 11 GERENCIAMENTO DA CONTINUIDADE X O objetivo do processo de GCSTI é dar suporte ao Gerenciamento da Continuidade de

Negócio (GCN), assegurando que os requisitos técnicos da TI e facilidades de

determinados serviços possam ser recuperados dentro de prazos requeridos e acordados.

46 5 1 12 GERENCIAMENTO DA SEGURANÇA DA INFORMAÇÃO X Detalha o processo de planejamento e gerenciamento a um nível mais detalhado da

segurança da informação e Serviços de TI, incluindo todos os aspectos associados com a

reação da segurança dos incidentes. Também inclui uma avaliação e gerenciamento dos

riscos e vulnerabilidade, e implementação de custos justificáveis para a implementação de

contra-recursos (estratégia de segurança).

Domínios e Processos do ITIL

Referência

Quem é

responsável?

Quem faz?

AU

DIT

AD

O

FO

RM

AL

IDA

DE

ENTREGA DE SERVIÇOS

Se

qu

ên

cia


61

ANEXO V: Catálogo de Serviços de TIC na EPE

Segue o catálogo de serviços disponibilizados pela STI, para seus usuários internos e externos:

1. Acesso à Internet

2. Correio Eletrônico

3. Hospedagem Web – Intranet / Internet / Extranet

4. Desenvolvimento e manutenção de sistemas

5. Instalação e manutenção de soluções de TI

6. Serviços de Telefonia Fixa e Móvel

7. Instalação e Manutenção da Infraestrutura computacional (Servidores, Desktops e

Notebooks)

8. Suporte a tele e videoconferência

9. Suporte ao usuário da infraestrutura de TIC

10. Empréstimo de Notebooks e celulares

11. Backup e restore de informações

62

ANEXO VI: Avaliação dos Serviços Terceirizados

Objeto Contratado Instrumento Contratual Classificação Comentários

Telefonia móvel pessoal

(RJ) Telefonica CT-EPE-010/2009 2

A Telefônica deixa a desejar na parte comercial, o contato com ela é difícil e as solicitações demoram a ser atendidas. Não temos atualmente um preposto do contrato. As faturas vêm com erros que sempre acarretam em processos desgastantes de análise, contestação e regularização dos pagamentos. Tecnicamente, não há muitas ocorrências com celulares ou linhas.

Acesso móvel à internet

(RJ) Telefonica AS-EPE-308/2009 3

Mantidos os problemas no contato com a contratada levantados acima, este contrato é bem executado com poucas ocorrências e quase nenhuma necessidade de intervenção.

Telefonia fixa comutada

Algar Telecom CT-EPE-008/2011 4 Contrato muito bem executado, com poucas ocorrências e contato fácil com contratada.

Acesso Internet

Mundivox CT-EPE-023/2012 4 Contrato muito bem executado, com poucas ocorrências e contato fácil com contratada.

Manutenção dos sistemas

de controle de acesso e de registro de

ponto

Henry AS-EPE-328/2012 2

Contrato bem executado, contudo com muitas ocorrências, devido a certa precariedade dos equipamentos e mau uso deles pelos empregados, mas o atendimento em geral é rápido e eficiente. Contato com contratada é fácil.

Service Desk SKTI CT-EPE-006/2013 5 Contrato muito bem executado, com poucas ocorrências, funcionários alocados competentes e contato com contratada bem fácil.

Impressão corporativa

Investiplan CT-EPE-040/2012 3

O faturamento durante todo o ano de 2013 apresentou diversos problemas de ordem da contratada. Tecnicamente, porém, contrato bem executado, com funcionário alocado na EPE tendo bom desempenho na função atendendo ocorrências rapidamente e o contato com a contratada, tanto em questões comerciais como técnicas, é fácil.

Manutenção de no-breaks e estabilizadores

RL Sistec AS-EPE-329/2012 3

Contrato simples e muito bem executado, com poucas ocorrências e contato fácil com contratada, atendimento rápido e eficiente.

Manutenção do Sistema

Integrado de Gestão

Administrativa (SIGA)

TOTVS CT-EPE-015/2012 2

Normalmente o contato com a contratada é fácil e rápido. Contudo, durante o mês de dezembro de 2013 não conseguimos contato com a gerente de contas atual, pois a última havia pedido demissão e a EPE não foi comunicada do fato a contento.

Acesso a Internet e

Telefonia Fixa em Brasília

GVT AS-EPE-322/2012 3

Contrato bem executado, com a maioria das ocorrências referentes ao faturamento, que apresentou diversos problemas ao longo do ano. O contato com contratada é fácil, atendimento rápido e eficiente.

Guarda de mídias

Rio OFF Site AS-EPE-326/2012 4 Contrato simples e muito bem executado, com poucas ocorrências e contato fácil com contratada.

Onde:

Classificação (pontuação dada quanto à qualidade do serviço prestado): 1 (um) Ruim, 2 (dois)

Regular; 3 (três) Bom, 4 (quatro) Muito Bom e 5 (cinco) Excelente.

Download - Plano Diretor de Tecnologia da Informação Ciclo 2013-2015 · MGP Metodologia de Gerenciamento de Projetos MP Ministério do Planejamento, ... SISP Sistema de Administração de

Top Related