Escolar Documentos
Profissional Documentos
Cultura Documentos
OBSERVATRIO NACIONAL - ON
PROJETO
PDTI
NDICE
1.
DIRECIONADORES ESTRATGICOS.............................................................................................................................................................11
1.11.
2.
CONTEXTUALIZAO ...................................................................................................................................................................................................16
3.
4.1.1.
4.1.2.
4.1.3.
4.1.4.
4.1.5.
4.1.6.
4.1.7.
PROJETO
PDTI
4.2.2.
4.2.3.
4.2.4.
4.2.5.
4.2.6.
4.3.2.
4.3.3.
4.3.4.
4.3.5.
4.3.6.
4.3.7.
4.3.8.
4.3.9.
PROJETO
PDTI
4.3.10.
4.3.11.
4.3.12.
RECOMENDAES ..........................................................................................................................................................................................................42
GOVERNANA DE TI .............................................................................................................................................................................................46
6.1.2.
6.1.3.
6.1.4.
GOVERNANA DE TI .............................................................................................................................................................................................54
6.2.2.
6.2.3.
6.2.4.
GOVERNANA DE TI .............................................................................................................................................................................................59
6.3.2.
6.3.3.
6.3.4.
PROJETO
PDTI
PROJETO
PDTI
GOVERNANA DE TI
Cada vez mais os servios e a gesto nas Organizaes apoiam-se no uso da Tecnologia da Informao (TI) e de sistemas de
informao. Torna-se necessrio, portanto, um efetivo alinhamento e integrao entre o direcionamento da TI e os objetivos
estratgicos da instituio.
A Governana de TI responsabilidade de dirigentes e conselhos de administrao e compreende a liderana, estruturas
organizacionais e processos que asseguram que a Tecnologia da Informao sustenta e amplia as estratgias e objetivos da
instituio.
responsabilidade da Governana assegurar que:
a. TI preste os servios alinhados com as estratgias instituicionais.
b. TI e as novas tecnologias sejam utilizadas para introduzir inovaes em processos, produtos/servios e melhorar o
desempenho organizacional.
c. Os servios e as funcionalidades sejam oferecidos com a maior eficcia de custos e de maneira mais eficiente possvel.
d. Todos os riscos de TI sejam conhecidos e que seus recursos (informaes, sistemas, equipamentos, etc.) estejam seguros.
1.2.
PROJETO
PDTI
O COBIT, atualmente na verso 4.1, um conjunto de melhores prticas em um framework de domnios e processos,
resultado do consenso de experts internacionais. , reconhecidamente, o nico framework que abrange todas as reas de
TI. Ele muito til na formalizao dos processos e controles internos, como ferramenta de auxlio na otimizao dos
investimentos em TI, alinhamento estratgico, gesto de riscos, em assegurar entrega de servios e proporcionar uma medida
de desempenho, falhas e vulnerabilidades.
O COBIT suporta a Governana de TI, ao proporcionar uma estrutura que assegura que:
O COBIT pode ser utilizado identificando responsabilidades e requisitos de controle como critrios de avaliao, subsidiando
pareceres e recomendando aes gerenciais de fortalecimento de controles internos e de aperfeioamento dos processos de
TI.
PROJETO
PDTI
Este modelo mantido pelo Instituto de Governana de TI (ITGI) e pela Associao dos Controladores e Auditores de
Sistemas de Informao (ISACA), que so as duas organizaes reconhecidas mundialmente como promotoras da governana
de TI.
1.3.
A ISACA uma associao internacional, formada exclusivamente por profissionais que atuam nas reas de Auditoria de
Sistemas, Segurana da Informao e, principalmente, de Governana de TI. Iniciou suas atividades em 1967, com um
pequeno grupo de Auditores que atuavam em Empresas nas quais os sistemas informatizados comeavam cada vez mais
desempenhar operaes crticas. Os associados da ISACA vivem e atuam em mais de 140 Pases e compreendem uma grande
variedade de posies relativas Tecnologia da Informao (entre outras: Auditores de SI, Consultores, Profissionais de
Segurana de TI, CIOs e Auditores Internos). importante notar que a maioria dos Associados desempenham funes na alta
e mdia gerncia dessas atividades, exercidas em empresas e organizaes de todos os segmentos econmicos indstria,
comrcio, finanas, governo, etc.
1.4.
O Diagnstico do Gerenciamento de Servios de TI foi elaborado com a finalidade de examinar a maturidade e a qualidade dos
processos de Gerenciamento de Servios de Tecnologia da Informao do Observatrio Nacional - ON, com base nas melhores
prticas recomendadas em ITIL (Information Technology Infrastructure Library) do OGC (Office of Government Commerce)
e, tambm, experincia da PATH ITTS.
1.5.
PROJETO
PDTI
um escritrio independente do Tesouro britnico, criado para ajudar o governo demonstrar o melhor investimento de seus
gastos.
1.6.
Esta parte da ISO/IEC 20000 define os requisitos para que um provedor de servio possa gerenciar o fornecimento de servios
com qualidade aceitvel para seus clientes.
Pode ser utilizado:
Por empresas que esto buscando oferecer seus servios;
Por empresas que requeiram uma abordagem consistente, por parte de todos os provedores de servios, numa
cadeia de suprimentos;
Por fornecedores de servio para compararem sua Gerncia de Servios em TI;
Como base para uma avaliao independente;
Por uma instituio que necessite demonstrar habilidade para fornecer servios que atendam as necessidades do
cliente;
Por uma instituio que vise melhorar seus servios atravs da aplicao efetiva de processos para monitorar e
melhorar a qualidade do servio.
1.7.
PROJETO
PDTI
Esta Norma foi preparada para prover um modelo para estabelecer, implementar, operar, monitorar, analisar criticamente,
manter e melhorar um Sistema de Gesto de Segurana da Informao (SGSI). A especificao e a implementao do SGSI
de uma instituio so influenciadas pelas necessidades e objetivos, requisitos de segurana, processos empregados, tamanho
e estrutura da instituio. Esta norma pode ser usada para avaliar a conformidade pelas partes interessadas internas e
externas.
1.8.
Consiste no exame dos processos, suas atividades e dos sistemas de suporte que trafegam, processam ou armazenam
informaes, com a finalidade de verificar se sua execuo, operao e funcionamento esto em conformidade com
determinados objetivos e normas que estabelecem condies mnimas de desempenho, qualidade, controle, gerenciamento de
risco e segurana da informao.
1.9.
10
PROJETO
PDTI
Art. 1 Aprovar a Estratgia Geral de Tecnologia da Informao (EGTI) verso 2010 para a Administrao Pblica Federal
direta, autrquica e fundacional do Poder Executivo Federal, na forma do Anexo a esta Resoluo.
O planejamento de aes de TI deve atender s diretrizes do Comit Executivo de Governo Eletrnico - CEGE, relacionadas a
seguir:
A) a promoo da cidadania como prioridade;
B) a incluso digital indissocivel do governo eletrnico;
C) o software livre um recurso estratgico para a implementao do governo eletrnico;
D) a gesto do conhecimento como instrumento estratgico de articulao e gesto das polticas pblicas;
E) o governo eletrnico deve racionalizar os recursos;
F) o governo eletrnico deve contar com um arcabouo integrado de polticas, sistemas, padres e normas;
G) a integrao das aes de governo eletrnico com outras esferas e poderes.
1.10.
DIRECIONADORES ESTRATGICOS
Fortalecimento
1. TI passa a ser estratgica ao atender as reas fins e o cidado diretamente.
2. Empoderar (fortalecer) gestores de TI.
3. Capacitar, qualificar e reter pessoal alinhado com direcionador 1.
4. Fortalecer o poder de coordenao e mobilizao de TI.
5. Investir em aes de fortalecimento da credibilidade da TI
11
PROJETO
PDTI
12
PROJETO
PDTI
1.11.
Planejamento Estratgico
A recomendao registrada no item 9.1.1 do Acrdo n 1.603/2008-TCU-Plenrio aos rgos governantes superiores foi a
seguinte:
9.1.1. promovam aes com o objetivo de disseminar a importncia do planejamento estratgico, procedendo, inclusive
mediante orientao normativa, aes voltadas implantao e/ou aperfeioamento de planejamento estratgico institucional,
planejamento estratgico de TI e comit diretivo de TI, com vistas a propiciar a alocao dos recursos pblicos conforme as
necessidades e prioridades da instituio;
Estrutura de Pessoal de TI
A recomendao registrada no item 9.1.2 do Acrdo n 1.603/2008-TCU-Plenrio aos rgos governantes superiores foi a
seguinte:
9.1.2. atentem para a necessidade de dotar a estrutura de pessoal de TI do quantitativo de servidores efetivos necessrio
ao pleno desempenho das atribuies do setor, garantindo, outrossim, sua capacitao, como forma de evitar o risco de perda
de conhecimento organizacional, pela atuao excessiva de colaboradores externos no comprometidos com a instituio.
13
PROJETO
PDTI
Segurana da Informao
A recomendao registrada no item 9.1.3 do Acrdo n 1.603/2008-TCU-Plenrio aos rgos governantes superiores foi a
seguinte:
9.1.3 orientem sobre a importncia do gerenciamento da segurana da informao, promovendo, inclusive mediante
normatizao, aes que visem estabelecer e/ou aperfeioar a gesto da continuidade do negcio, a gesto de mudanas, a
gesto de capacidade, a classificao da informao, a gerncia de incidentes, a anlise de riscos de TI, a rea especfica para
gerenciamento da segurana da informao, a poltica de segurana da informao e os procedimentos de controle de
acesso;
Desenvolvimento de Software
A recomendao contida no Acrdo n 1.603/2008-TCU-Plenrio aos rgos governantes superiores foi a seguinte:
item 9.1.4. estimulem a adoo de metodologia de desenvolvimento de sistemas, procurando assegurar, nesse sentido,
nveis razoveis de padronizao e bom grau de confiabilidade e segurana;
Gesto de Nveis de Servio
A recomendao contida no Acrdo n 1.603/2008-TCU- Plenrio aos rgos governantes superiores foi a seguinte:
item 9.1.5: promovam aes voltadas implantao e/ou aperfeioamento de gesto de nveis de servio de TI, de forma a
garantir a qualidade dos servios prestados internamente, bem como a adequao dos servios contratados externamente s
necessidades da instituio;
Processo de Contratao e Gesto de Contratos de TI
A recomendao contida no Acrdo n 1.603/2008-TCU-Plenrio aos rgos governantes superiores foi a seguinte:
14
PROJETO
PDTI
item 9.1.6. envidem esforos visando implementao de processo de trabalho formalizado de contratao de bens e
servios de TI, bem como de gesto de contratos de TI, buscando a uniformizao de procedimentos nos moldes
recomendados no item 9.4 do Acrdo 786/2006-TCU-Plenrio;
A recomendao contida no Acrdo 786/2006-TCU-Plenrio foi a seguinte:
9.4.3. a mensurao, sempre que possvel, da prestao de servios por resultados segundo especificaes previamente
estabelecidas, evitando-se a mera locao de mo-de-obra e o pagamento por hora-trabalhada ou por posto de servio,
utilizando-se de metodologia expressamente definida no edital que contemple, entre outros, os seguintes pontos bsicos:
9.4.3.1. a fixao dos procedimentos e dos critrios de mensurao dos servios prestados, abrangendo mtricas, indicadores,
valores aceitveis, etc.; 9.4.3.2. a quantificao ou a estimativa prvia do volume de servios demandados, para fins de
comparao e controle; 9.4.3.3. a definio de metodologia de avaliao da adequao s especificaes e da qualidade dos
servios com vistas aceitao e pagamento; 9.4.3.4. a utilizao de um instrumento de controle, geralmente consolidado no
documento denominado ordem de servio ou solicitao de servio; 9.4.3.5. a definio dos procedimentos de
acompanhamento e fiscalizao a serem realizados concomitantemente execuo para evitar distores na aplicao dos
critrios; 9.4.4. a utilizao, como instrumento de controle das etapas de solicitao, acompanhamento, avaliao, atestao
e pagamento de servios, da ordem de servio ou solicitao de servio, que deve conter, no mnimo: 9.4.4.1. a definio
e a especificao dos servios a serem realizados; 9.4.4.2. o volume de servios solicitados e realizados segundo as mtricas
definidas; 9.4.4.3. os resultados ou produtos solicitados e realizados; 9.4.4.4. o cronograma de realizao dos servios,
includas todas as tarefas significativas e seus respectivos prazos; a avaliao da qualidade dos servios realizados e as
justificativas do avaliador; 9.4.4.6. a identificao dos responsveis pela solicitao, pela avaliao da qualidade e pela
atestao dos servios realizados, os quais no podem ter nenhum vnculo com a empresa contratada;
A recomendao contida no Acrdo n. 947/2010-Plenrio foi a seguinte:
b) inclua no termo de referncia, em atendimento ao princpio da eficincia e com base nas orientaes disponveis no item
9.4 do Acrdo n 786/2006-TCU-Plenrio, no item 9.1.1 do Acrdo n 1.215/2009-TCU-Plenrio, na Instruo Normativa
SLTI/MP n 4/2008 e na norma ABNT ISO/IEC NBR 20000:2008, claro detalhamento do nvel de
15
PROJETO
PDTI
servio necessrio execuo do objeto, com a definio de cada resultado esperado, inclusive quanto a prazo e qualidade
aceitveis, dos mecanismos de aferio da qualidade e do desempenho e dos mecanismos de segregao de funes, que
assegure a no ocorrncia de conflito de interesse na medio e remunerao de servios;.
Processo Oramentrio de TI
A recomendao contida no Acrdo 1.603/2008-TCU-Plenrio aos rgos governantes superiores foi a seguinte:
item 9.1.7. adotem providncias com vistas a garantir que as propostas oramentrias para a rea de TI sejam
elaboradas com base nas atividades que efetivamente pretendam realizar e alinhadas aos objetivos do negcio;
Auditoria de TI
A recomendao contida no Acrdo n 1.603/2008-TCU-Plenrio aos rgos governantes superiores foi a seguinte:
item 9.1.8.
introduzam prticas voltadas realizao de auditorias de TI, que permitam a avaliao regular da
conformidade, da qualidade, da eficcia e da efetividade dos servios prestados;
2. CONTEXTUALIZAO
Dessa forma, o diagnstico do ambiente constitui-se no primeiro passo para montar a infraestrutura necessria realizao
peridica de avaliao dos referidos processos quanto ao seu nvel de maturidade que corresponde capacidade de atender s
necessidades e expectativas do Observatrio Nacional - ON.
16
PROJETO
PDTI
3. OBJETIVO DO TRABALHO
As atividades foram realizadas com base na documentao disponibilizada pela Gerncia de Tecnologia da Informao DTIN do
Observatrio Nacional dentro do seu ambiente, tendo a estrutura do COBIT 4.1, MPSBR, ITIL V3, ABNT NBR ISO/IEC 20000-1 e
ABNT NBR ISO/IEC 27001 como ferramenta e a anlise do nvel de maturidade de processos como foco principal.
3.1.
O levantamento das informaes sobre os processos foi obtido atravs da disponibilizao de documentos de processos,
procedimentos, formulrios e relatrios de indicadores.
Alm das fontes citadas acima, foram colhidas informaes por meio de entrevistas com os gestores operacionais, os quais
possuem as funes de proprietrios e gestores de processos. Estas informaes foram registradas em relatrios de
entrevistas.
Esta etapa da metodologia tem por objetivo colher documentos e relatos sobre o desenvolvimento operacional dos processos,
prticas internas, caractersticas da cultura organizacional e dificuldades, tanto operacionais, quanto na implementao de
prticas.
Durante a realizao desta atividade, a equipe de consultores e os representantes da DTIN identificaram o conjunto de
informaes relevantes de TI, no mbito do Observatrio Nacional - ON, com foco nos procedimentos de avaliao da
maturidade e processos, sendo estabelecido o perfil adequado desses procedimentos.
Os critrios e procedimentos adotados esto baseados no COBIT 4.1, MPSBR, ITIL V3, ABNT NBR ISO/IEC 20000-1 e ABNT
NBR ISO/IEC 27001.
17
PROJETO
PDTI
Visando obter uma viso geral das atividades do Observatrio Nacional - ON, foram realizadas:
Consulta e anlise da documentao existente (Instrues, Regulamentos, Regimento Interno, Poltica do Observatrio
Nacional - ON para a TI, Normas),
Entrevistas com dirigentes, gestores de reas de interesse e gestores de TI do Observatrio Nacional - ON.
3.2.
DIAGNSTICO DOS PROCESSOS DE TI COM BASE MODELO DE MATURIDADE PARA CONTROLES INTERNOS
Nesta etapa foram destacados os principais pontos de diferena entre os procedimentos de avaliao dos nveis de maturidade
de processos praticados pela Gerncia de Tecnologia da Informao do Observatrio Nacional - ON e os modelos especficos
e geral de maturidade do COBIT 4.1, MPSBR, ITIL V3, ABNT NBR ISO/IEC 20000-1 e ABNT NBR ISO/IEC 27001.
O modelo adotado possui em sua estrutura duas abordagens para atribuio da maturidade, sendo uma genrica e a outra
detalhada por processo com caractersticas por nvel de maturidade. Abaixo apresentada a abordagem genrica do modelo
de maturidade:
A abordagem de atribuio da maturidade detalhada por processo menciona caractersticas para cada processo por nvel de
maturidade. Esta foi adotada como base de anlise, permitindo uma comparao detalhada das caractersticas dos processos
em cada nvel de maturidade.
18
PROJETO
PDTI
Cabe ressaltar que nem todas as organizaes de TI necessitam ter o mais alto nvel. necessrio considerar o papel da TI na
instituio e o seu impacto nos objetivos da corporao, sua misso. As principais caractersticas de cada nvel de maturidade
so:
Nvel de Maturidade
Otimizado
Gerenciado
Definido
Repetitivo
No
Iniciado
Inicial
Tempo
19
PROJETO
PDTI
20
PROJETO
PDTI
21
PROJETO
PDTI
22
3.3.
PROJETO
PDTI
IMPLEMENTAO EM 3 ONDAS
Considerando o volume e a complexidade dos problemas identificados, as aes propostas foram ordenadas em 3 ondas:
1. Onda durao 8 meses - aes emergenciais e as de curto prazo (de Maio/2011 a Dezembro/2011) visando
criar condies bsicas para o incio da implementao da Governana.
2. Onda durao 24 meses - aes que devero ser deflagradas de Janeiro/2012 a Dezembro/2013, visando reforar
as condies para maior eficincia / eficcia de TI.
3. Onda durao 12 meses - aes que devero ser deflagradas de Janeiro/2014 a Dezembro/2015, visando
melhorar nvel de servios aos clientes internos e externos e da segurana.
Nesta etapa foram destacadas as principais aes de curto prazo visando correo de problemas e ajustes
necessrios para o fortalecimento da Diviso de Tecnologia da Informao DTIN do Observatrio Nacional - ON.
23
PROJETO
PDTI
24
PROJETO
PDTI
A gerncia da DTIN reconhece a necessidade de coletar e avaliar informaes sobre os processos de monitorao;
Existe conscientizao da equipe gerencial da DTIN dos requisitos de conformidade, regulatrios, contratuais e legais
que impactam a instituio.
PONTOS FRACOS
Falta alinhamento entre os objetivos e metas do ON com a de TI;
Falta de Modelo de Governana e Gesto de TI;
O alinhamento aos requerimentos do negcio, aplicaes e tecnologia ocupa um espao reativo em vez de ser uma
estratgia de toda instituio;
O Suporte a Servidores e Rede ( nvel 2 de atendimento) existe, porem sem padres, sem documentao e sem
domnio da configurao atual;
O Suporte e atendimento de nvel 1 iniciado, porm sem garantia de registro de todos os chamados;
O Suporte ao desenvolvimento de sistemas existe, porem sem grantia de continuidade para o negcio e fora da gesto
da DTIN;
Modelo de Governana e de Gesto de TI com aes focadas nas necessidades dos departamentos sem viso
corporativa;
Iniciativas de prestao de servios de TI em nvel das reas, sem existncia de Polticas, Procedimentos, Mtodos e
Padres de TI;
Inexistncia de uma metodologia para implementao do portflio de projetos;
Inexistncia de uma metodologia para gerenciamento de programas/projetos;
Falta do conhecimento prtico em gerenciamento de projetos para concepo e execuo do Plano de Projeto;
Falha no desenvolvimento dos Projetos devido falta de envolvimento das partes interessadas, conhecimento tcnico
e levantamento de requisito insuficiente;
Retrabalho em Projetos devido ao escopo mal definido;
25
PROJETO
PDTI
implementado
com
viso
corporativa,
Comunicao no estruturada, informal e mal gerenciada entre departamentos afetando as atividades de TI;
No se aplicam mtodos para gerenciamento de risco, entretanto existe iniciativa para contratao de plano para
continuidade do negcio;
No existe cultura de planejamento para aquisies;
Inexistncia de processo estabelecido para desenvolvimento de plano de arquitetura da informao;
26
PROJETO
PDTI
27
PROJETO
PDTI
28
PROJETO
PDTI
A Governana de TI tem como objetivo primordial definir, com base nas necessidades do negcio, o que TI deve fazer. A
adequada Governana permite a alta administrao tomar as melhores decises, assegurar servios e funcionalidades e
proteger os recursos de TI.
responsabilidade da Governana assegurar que:
1. TI preste os servios alinhados com as estratgias instituicionais;
2. TI e as novas tecnologias sejam utilizadas para introduzir inovaes em processos, produtos/servios e melhorar o
desempenho organizacional;
3. Os servios e as funcionalidades sejam oferecidos com a maior eficcia de custos e de maneira mais eficiente possvel;
4. Todos os riscos de TI sejam conhecidos e que seus recursos (informaes, sistemas, equipamentos, etc.) estejam seguros.
29
4.1.1.
PROJETO
PDTI
Ausncia de processo formal que estabelea o envolvimento da alta administrao na seleo, priorizao, aprovao,
planejamento, estudos de viabilidade e acompanhamento dos projetos de TI da instituio.
O planejamento estratgico aprovado pela Alta Administrao, no define claramente a atuao de TI na instituio e os papeis e
responsabilidades dos usurios no processo.
4.1.2.
Ausncia de um processo que determine as diretrizes tecnolgicas assegurando sistemas, aplicativos, recursos e capacidade
padronizada, integrada, estvel, com boa relao custo-benefcio que atenda os requisitos atuais e futuros do negcio.
Terceirizao no envolve o desenvolvimento de aplicativos sob gesto da DTIN;
Processos deficientes de especificao de servios, contratao, acompanhamento dos servios e gesto das entregas.
O contrato atual no no obedece os princpios da IN04.
4.1.4.
A instituio de TI no responde as mudanas de forma proativa e no contempla todos os papis necessrios para atender as
reas de negocio.
Ausncia de um processo formal para gerenciamento de recursos humanos de TI.
Situao referente a recursos humanos qualificados em TI na DTIN/ON extremamente crtica.
30
4.1.5.
PROJETO
PDTI
Ausncia de um processo para definir a Arquitetura da Informao que satisfaa ao requisito do negcio para a TI, com agilidade
na resposta aos requisitos, fornecendo informao confivel e consistente e integrando completamente as aplicaes aos
processos de negcio.
Ausncia de um modelo de informao da instituio que permita o desenvolvimento de aplicaes e atividades de apoio
deciso consistente com os planos de TI. O modelo no facilita a criao, o uso e o compartilhamento otimizados da informao
pelo negcio para manter a integridade e ser flexvel, funcional, com boa relao custo-benefcio, rpido, seguro e resistente a
falhas.
4.1.6.
Os projetos so selecionados e priorizados sem considerar critrios organizacionais, considerar critrios organizacionais,
executados sem o adequado envolvimento de todos os interessados internos e externos da instituio (stakeholders).
Ausncia de ferramenta que apoie a elaborao do BSC e priorizao do portflio de projetos.
Ausncia de processo e ferramentas para justificar e ratear custos dos servios de TI. Ausncia de processo definido para
gerenciar demanda conforme capacidade dos ativos estratgicos.
4.1.7.
Ausncia de metodologia e processo a serem seguidos para avaliar a entrega de solues e servios de TI e monitorar a
contribuio da TI para os resultados do negcio.
31
4.2.
PROJETO
PDTI
A Gesto de Projetos e Processos de TI tem como objetivo primordial a gesto dos recursos humanos, tecnolgicos e os
processos necessrios para implementar e operar projetos aprovados (como fazer). A boa gesto cria condies para que TI
oferea solues de qualidade e com cumprimento dos prazos e custos acordados.
4.2.1.
GESTO DE PROJETOS DE TI
Projetos de TI executados sem o tratamento adequado do escopo e dos riscos inerentes ao porte dos projetos, sem o adequado
envolvimento de todos os interessados internos e externos da instituio (stakeholders).
Existncia de solues em operao com potencial de aproveitamento das informaes e dados no utilizados amplamente pelos
usurios. Existncia de usurios com baixo conhecimento para definir e especificar aplicaes e servios para TI, bem como
gerenciar a execuo dos mesmos pela rea usuria.
Apesar da existncia do papel do GESTOR DE SISTEMAS, ou seja, usurio responsvel por cada sistema, visando o
estabelecimento dos requerimentos, apoio aos projetos e servios, homologao dos produtos , no existe processo formal que
defina os papis e responsabilidades.
Apesar da existncia do papel do GESTOR DE SISTEMAS, ou seja, usurio responsvel por cada sistema, visando o
estabelecimento dos requerimentos, apoio aos projetos e servios, homologao dos produtos , no existe processo formal que
defina os papis e responsabilidades.
Na ferramenta de projetos instituda pelo MCT no contempla a gesto de todos os projetos em execuo pela instituio.
4.2.2.
GESTO DE PROCESSOS DE TI
Ausncia de um processo de Gerenciamento do Catlogo de Servio que descreva os servios oferecidos por TI para instituio.
Ausncia de ferramenta que apoie o processo.
32
PROJETO
PDTI
CENTRAL DE SERVIOS
No existe uma central de servios e no possvel assegurar que todos os incidentes so registrados.
4.2.4.
33
PROJETO
PDTI
Ausncia de metodologia para suporte ao ciclo de vida de gerenciamento das aplicaes para projetos de grande impacto, prazos
e custo no a mais adequada.
Solues e controles elaborados pelas reas com utilizao de planilhas e softwares no homologados por TI.
Sistemas especialistas desenvolvidos e mantidos em linguagens distintas e descontinuadas pelas reas departamentais.
No atendimento a sistemas especialistas. No existe codificao estruturada.
Usurios com conhecimento insuficiente para definir e implantar solues departamentais que ofeream segurana.
4.2.5.
GERENCIAMENTO DE OPERAES
Deficincia nos processos de planejamento, execuo e controle dos sistemas em produo. Ferramentas no definidas.
4.2.6.
GERENCIAMENTO TCNICO
Deficincia na gesto do ambiente de infraestrutura. Ausncia de recursos capacitados o suficiente, atualizados em solues para
o negcio e preparados para apoiar as atividades fins do ON em que esteja envolvida a Tecnologia da Informao;
4.3.
A Dimenso de Servios Prestados trata de questes relativas que atendem os clientes internos e externos, englobando o
desenvolvimento / utilizao / manuteno de sistemas aplicativos e dos sites Internet/Intranet, utilizao dos servios de
correio eletrnico (QMAIL), das ferramentas de colaborao (GED, Workflow, escritrio), solues especialistas (rea de
Astronomia, Geofisica, Data Warehouse, Data Mart, etc) e solues administrativas.
4.3.1.
34
PROJETO
PDTI
4.3.2.
O SRH tem como atribuio, coordenar, supervisionar e executar todas as atividades referentes a recursos humanos tais como:
admisso, concursos, treinamento, estgios, avaliao de desempenho, aposentadoria, penso, demisso, exonerao,
afastamento do pas, frias, folha de pagamento, assistncia mdica e social e operacionalizao dos sistemas institudos pelo
Governo Federal de Administrao de Recursos Humanos- SIAPE e o de Apreciao de Atos - SISAC.
SIAPE e SIAPENET - SISTEMA INTEGRADO DE ADMINISTRAO DE RECURSOS HUMANOS
SISACNET - REGISTRO E APRECIAO DE ATOS DE ADMISSO E CONCESSO
SIAPECAD - SISTEMA DE CADASTRO DETALHADO DE SERVIDORES
Sem garantia de disponibilidade, compromentendo a integridade dos dados e no atendendo as necessidades corporativas.
SISTEMA DE RH (em processo de descontinuidade)
Base de dados com registros no disponveis no SIAPE
GESTO DE DESEMPENHO
Falta de aplicativo para suportar de forma otimizada o processo.
35
4.3.3.
PROJETO
PDTI
O SEF tem como atribuio, coordenar, supervisionar e executar todas as atividades no que se refere a recursos oramentrios e
financeiros, balano, prestao de contas, repasses, emisso de empenhos, pagamentos, contabilizao, tudo atravs da
operacionalizao do sistema institudo pelo Governo Federal - SIAFI, registro, acompanhamento e controle de Convnios,
Auxlios e Contratos.
SIAFI - SISTEMA INTEGRADO DE ADMINISTRAO FINANCEIRA DO GOVERNO FEDERAL
Sem garantia de disponibilidade, compromentendo a integridade dos dados e no atendendo as necessidades corporativas.
4.3.4.
O SMP tem como atribuio, coordenar, supervisionar e executar todas as atividades que envolvam compras, licitao,
convnios, contratos, almoxarifado, patrimnio e a operacionalizao do SICAF - Sistema de Cadastro de Fornecedores do
Governo Federal e SIDEC.
SICAFWeb - SISTEMA DE CADASTRAMENTO UNIFICADO DE FORNECEDORES
SIASG - SISTEMA INTEGRADO DE ADMINISTRAO DE SERVIOS GERAIS
Atende as necessidades
GESTO DE PATRIMNIO
Verso Beta do SIGTEC incorpora um mdulo de patrimnio que encontra-se em fase de teste.
GESTO DE FORNECEDORES
Realizado atravs do SIGTEC e dos sistemas disponveis para administrao pblica. Atende parcialmente.
36
PROJETO
PDTI
GESTO DE CONTRATOS
No existe um sistema que apoie a gesto de contratos. Controle realizado manualmente.
4.3.5.
O SAL tem como atribuio, coordenar, supervisionar e executar todas as atividades necessrias a conservao e manuteno
das instalaes e do patrimnio do ON, bem como os servios de vigilncia, grfica, xerox, telefonia, portaria, veculos e
operacionalizao do SICAF - Sistema de Cadastro de Fornecedores do Governo Federal
GESTO DO ALMOXARIFADO DEPARTAMENTAL
No existe integrao com o sistema de controle de almoxarifado central do ON.
SISTEMAS ADMINISTRATIVOS
No utilizao dos recursos disponveis nos sistemas administrativos.
GESTO DE FROTA
Inexiste um controle de gesto de frota apoiado por um sistema automatizado.
4.3.6.
PROGRAMAS DE PESQUISA
37
PROJETO
PDTI
Exposio ao risco com a utilizao de linguagens de programao que esto sendo descontinuadas e/ou sem suporte adequado.
(Turbo Pascal, Visual Basic, Delphi, Borland C), No estando documentado e conhecimento centralizado em um nico
colaborador;
Mquinas servidoras encontram-se fora do DATA CENTER corporativo, no atendendo os padres de controle e segurana para
os recursos de TI do ON;
Trs recursos terceirizados suportam as atividades de manuteno, no subordinao ao gestor do contrato de terceirizao;
Padres existentes desenvolvidos pela equipe sem apoio do DTIN;
Utilizao de servio de e-mail prprio, no utilizando o e-mail corporatvivo.
SOFTWARE ESPECIALISTAS
Nmero de licenas no atende a demanda
4.3.8.
COORDENAO DE GEOFISICA
PROGRAMAS DE PESQUISA
38
PROJETO
PDTI
Exposio ao risco com a utilizao de linguagens de programao que esto sendo descontinuadas e/ou sem suporte adequado.
(Turbo Pascal, Visual Basic, Delphi, Borland C). No apresentando documentao.
Os programas necessrios a pesquisa so desenvolvidos e armazenados em estaes de trabalho que no atendem aos
procedimentos e padres de segurana.
4.3.10. DIVISO DE PS-GRADUAO
SOFTWARE ESPECIALISTAS
Utilizao de softwares no homologados pela TI. No utiliza padres corporativos para aquisio de hardware e softwares com
base em estudo de viabilidade. Utilizao de reas de armazenamento sem controle ou segurana com relao ao contedo
armazenado.
4.3.11. DIVISO DE SERVIO DA HORA
SISTEMA DE GARANTIA DA QUALIDADE E CALIBRAO
REDE DE SINCRONISMO
REDE DE CARIMBO DE TEMPO
DIFUSO DA HORA
Realizao de atividades sob a responsabilidade da DTIN. A realizao do backup esta a cargo da prpria rea.
Verso do S.O. no oferece segurana. O suporte fornecido pelo DTIN considerado deficiente. O executvel encontra-se
instalado nas prprias estaes. A documentao do sistema de gesto encontra-se disponvel na arvore de diretrios sem a
segurana adequada. No existncia de registro de avaliaes de segurana da rede interna realizadas pelo DTIN.
Inexistncia de padres corporativos para desenvolvimento, homologao, teste e deploy em ambiente de produo.
39
PROJETO
PDTI
Utilizao de linguagens de programao que esto sendo descontinuadas e/ou sem suporte adequado. (Turbo Pascal, Visual
Basic, Delphi, Borland C). No documentado. Conhecimento centralizado em um nico colaborador.
Os servidores provedores do servio encontram-se fora do DATA CENTER corporativo, no atendendo os padres de segurana
do ON.
SITE HORA LEGAL BRASILEIRA
No mantido pelo DTIN; No esta no dominio do site institucional http://www.horariodebrasilia.org/
No esta documentado.
4.3.12.
ENSINO A DISTNCIA
Inexistncia de padres de avaliao de disponibalidade e capacidade de rede.
SITE OFICIAL DA INSTITUIO
Inexistncia de padres corporativos para desenvolvimento, homologao, teste e deploy em ambiente de produo.
No documentado. Falta de padronizao nas fontes utilizadas. Navegabilidade prejudicada devido ao grande nmero de links
que abrem novas sesses. Falta de processo definido para autorizao de mudanas no contedo. Falta de controle de mudanas
e demandas. Ambiente de desenvolvimento no se encontra sob a superviso da DTIN.
4.4.
40
PROJETO
PDTI
A Dimenso de Recursos Tecnolgicos e Segurana da Informao tratam de questes relativas arquitetura de recursos de TI,
que abrange todos os equipamentos de informtica, os programas que permitem operar os equipamentos de informtica e
desenvolver sistemas, os programas de uso geral (ex.: editores de texto, planilhas eletrnicas, correio eletrnico, etc.),
estrutura de telecomunicaes e rede de computadores, bem como as questes relativas Segurana da Informao, segundo
uma tica de continuidade de negcios, considerando no somente o aspecto de confidencialidade das informaes como
tambm de sua integridade e disponibilidade.
Foram identificados os seguintes pontos de alerta:
Ausncia de um processo de gesto de segurana da informao.
Ausncia de cultura de gerenciamento de riscos.
Ausncia de um processo formal de auditoria para assegurar o cumprimento, por TI, de polticas, normas e procedimentos
considerados essenciais para a continuidade das operaes da instituio.
Ausencia de uma Poltica de Segurana. Identificao deficiente dos ativos e a sua importncia para a Instituio
Deficincia no processo de tratamento de incidentes de segurana. O processo de Gerenciamento de Continuidade no est
definido Ausncia de uma politica de backup que assegure a continuidade do negcio. Deficincia documentacional e de
capacitao.
Deficincia nos controles de segurana fsica. O processo de Gerenciamento de Acesso no foi definido. Configurao de
segurana dos servidores inadequada. Diversas verses instaladas sem atualizao e contrato de suporte com fornecedor.
Ambiente tecnolgico sem padro e sem domnio da DTIN. Deficincia na poltica de acesso internet.
Ausncia de documentao/Informao sobre segurana na intranet. Configuraes de segurana nas estaes de trabalho
deficientes e diversos Sistemas Operacionais sem controle de licenas e atualizao. Deficincia na documentao e domnio das
configuraes dos diversos elementos fierewaal/rotedores colocados na rede do ON. Deficincia das ferramentas de anlises e
deteco de ataques.
41
PROJETO
PDTI
5. RECOMENDAES
As recomendaes apresentadas atravs das aes detalhadas no item 7 PLANO DE PROJETOS esto resumidas nas seguintes
proposies:
5.1.
GOVERNANA DE TI
Cuidar da governana e do processo de contratao como forma de garantir que as solues de TI sejam adequadas aos
problemas que tentam resolver, considerando a tecnologia existente no mercado e com os menores custos possveis, dado o
aparato legal. Desta forma a implantao de um Comit de TI permitir o alinhamento estratgico das aes de TI as
necessidades de negcio da organizao.
Necessidade de adequao do contrato atual de terceirizao a luz da IN 04.
Capacitao do corpo tcnico do ON para prover os servios necessrios a instituio.
5.2.
Estabelecer a cultura de projetos de TI atravs da implantao de uma metodologia que suporte o estudo de viabilidade,
detalhamento dos requisitos, acompanhamento e controle dos projetos de TI.
A estruturao de um ncleo dedicado aos projetos de TI incorporado no Escritrio de Governana e integrado rea de
relacionamento dos clientes torna-se um fator crtico para a aplicao dos mtodos de gerenciamento de projetos de TI.
Estabelecimento de uma central de servios que venha a permitir a melhoria do atendimento, suporte aos nveis de servios de
TI acordados e o controle das demandas de servios de TI oferecidos a instituio.
Melhoria dos controles internos relacionados ao catlogo de servios e nveis de servios (evoluindo para um portflio de
servios), a adequada mensurao do esforo de desenvolvimento, antes, durante e depois da construo do servio, em todas
as fases do ciclo de desenvolvimento, de modo a se construir uma indicadores da produtividade dos servios tcnicos alocados e
se poder realizar benchmarketing, comparando-se os ndices locais com outras organizaes/empresas.
42
5.3.
PROJETO
PDTI
Modernizao dos sistemas existentes e desenvolvimento dos novos sistemas previstos no PDTI atravs do desenvolvimento de
estudos para contratao de servios de desenvolvimento de software por empresas especializadas para as quais possam ser
direcionadas as novas demandas. Torna-se, portanto, oportuna a adoo e criao de uma infraestrutura de desenvolvimento,
inclusive a adoo de uma metodologia de desenvolvimento de sistemas, que permita a gesto do desenvolvimento de sistemas.
Centralizao na rea responsvel pela TI do ON da gesto do desenvolvimento dos servios de intranet e extranet institucionais
do ON, ficando a responsabilidade pela gesto e manuteno do contedo dos sites institucionais a cargo da rea especializada
da instituio.
Otimizao da capacidade de processamento e armazenamento atravs da centralizao dos recuros hoje existentes em toda a
instituio, dispondo desta forma de um ambiente seguro.
5.4.
O sucesso do ambiente central de operaes e de rede incluir, alterar, melhorar ou excluir completamente os mtodos de
trabalho (hoje apenas reativos aos eventos), para mtodos preventivos que possibilitem construir um ambiente central
e de redes compatveis com a necessidade das reas.
A necessidade de estabelecer critrios claros para a modernizao do parque computacional, como a atualizao do parque
computacional com idade mnima de 3 anos e mxima de 5 anos, ou mesmo a renovao a cada ano de 1/3 do parque, em
especial na camada cliente, sempre adquirindo equipamentos novos com no mnimo trs anos de garantia. Desse modo, em trs
anos, todo o parque estar atualizado e coberto por garantia.
contratao de
Realizao peridica de servio especializado voltado a rea de auditoria em Segurana da Informao com o uso das melhores
prticas, como a Norma ISO 27.001 e 27.002 e sucessoras e estruturas de controle de mercado, implantando prticas e
ferramentas modernas aplicadas segurana da informao.
43
PROJETO
PDTI
A avaliao, manuteno e aquisio de novos equipamentos atravs de contratos de garantia, manuteno e suporte para
todos os ativos da rede de todo o ON incluindo: os ambientes centrais de processamento, ambientes de servios de arquivos
das unidades descentralizadas, software, equipamentos servidores de rede, sistemas de armazenamento (storage), mecanismos
de proteo e sistemas de controle de intruso (IPS, firewall, proxys e antivrus), entre outros.
Estruturar adequadamente um ambiente central de operaes contingenciado.
44
PROJETO
PDTI
45
PROJETO
6.1.
PDTI
6.1.1.
GOVERNANA DE TI
GOVERNANA DE TI
RESPONS.
APROVAR
DATA
INCIO
DURAO
RECURSOS
CUSTO
(R$ mil)
Alta
Administrao
Alta
Administrao
Mai/11
Imediato
Internos
Alta
Administrao
Alta
Administrao
Mai/11
Imediato
Internos
GOVERNANA DE TI
RESPONS.
RESPONS.
DATA
DURAO
RECURSOS
CUSTO
O
N
D
A
1 ONDA
AES
RESPONS.
PROPOR
46
PROJETO
PDTI
AES
PROPOR
APROVAR
INCIO
TI
GETI
Alta
Administrao
Jun/11
3m
Internos
TI
GETI
Jun/11
Imediato
Internos
TI
TI
Jun/11
Continuo
Internos
TI
TI
Jun/11
Continuo
Internos
(R$ mil)
47
PROJETO
GOVERNANA DE TI
CUSTO
RESPONS.
RESPONS.
PROPOR
APROVAR
DATA
INCIO
DURAO
RECURSOS
TI
TI
Jul/11
3m
Internos
TI
TI
Jul/11
3m
Internos
TI
TI
Jul/11
3m
Internos
10
TI
GETI
Alta
Administrao
Jul/11
3m
Internos
11
TI
TI
Jul/11
3m
Externos
TI
TI
Jul/11
6m
Externos
AES
1 ONDA
PDTI
12
(R$ mil)
48
PROJETO
6.1.2.
2
1 ONDA
PDTI
PREPARAR ESTUDO PARA ADOO E PADRONIZAO FERRAMENTAS INTEGRADAS PARA GERENCIAMENTO DO AMBIENTE
DE TI OPEN SOURCE
CUSTO
RESPONS.
RESPONS.
PROPOR
APROVAR
DATA
INCIO
DURAO
RECURSOS
TI
GETI
Jun/11
3m
Interno
TI
GETI
Jul/11
1m
Interno
TI
TI
Jul/11
1m
Interno
TI
GETI
Jul/11
3m
Externo
TI
TI
Jul/11
1m
Interno
TI
TI
Jul/11
1m
Interno
(R$ mil)
49
PROJETO
6.1.3.
PDTI
RESPONS.
RESPONS.
PROPOR
APROVAR
DATA
INCIO
DURAO
RECURSOS
CUSTO
(R$ mil)
1 ONDA
AES
TI
TI
Imediato
2m
Interno
TI
TI
Imediato
2m
Interno
TI
TI
Out/11
2m
Interno
TI
TI
Imediato
2m
Interno
TI
TI
Out/11
2m
Interno
50
PROJETO
PDTI
TI
TI
Out/11
1m
Interno
TI
TI
Out/11
1m
Interno
51
PROJETO
6.1.4.
PDTI
CUSTO
RESPONS.
PROPOR
RESPONS.
APROVAR
DATA
INCIO
DURAO
RECURSOS
TI
TI
Imediato
1m
Internos
TI
TI
Imediato
1m
Internos
TI
TI
Imediato
1m
Internos
1 ONDA
AES
(R$ mil)
52
PROJETO
1 ONDA
AES
PDTI
TI
TI
Imediato
1m
Internos
RESPONS.
RESPONS.
PROPOR
APROVAR
DATA
INCIO
DURAO
RECURSOS
CUSTO
(R$ mil)
TI
TI
Em
execuo
1m
Interno
TI
TI
Out/11
1m
Interno
TI
TI
Em
execuo
1m
Interno
TI
TI
Em
execuo
1m
Interno
53
PROJETO
6.2.
PDTI
6.2.1.
GOVERNANA DE TI
GOVERNANA DE TI
CUSTO
RESPONS.
RESPONS.
PROPOR
APROVAR
DATA
INCIO
DURAO
RECURSOS
TI
TI
Jan/12
Internos
TI
TI
Mar/12
Internos
TI
TI
Out/12
Internos
(R$ mil)
2 ONDA
AES
54
PROJETO
6.2.2.
PDTI
CUSTO
RESPONS.
RESPONS.
PROPOR
APROVAR
DATA
INCIO
DURAO
RECURSOS
TI
TI
Jan/12
2m
Externo
TI
TI
Mar/12
2m
Externo
(R$ mil)
AES
2 ONDA
TI
TI
Abr/12
2m
Externo
TI
TI
Out/12
1m
Externo
TI
TI
Jul/13
1m
Externo
TI
TI
Out/13
1m
Externo
TI
TI
Jan/12
7m
Externo
55
PROJETO
6.2.3.
PDTI
RESPONS.
RESPONS.
PROPOR
APROVAR
DATA
INCIO
DURAO
TI
TI
Jan/12
2m
TI
TI
Mar/12
1m
RECURSOS
CUSTO
(R$ mil)
2 ONDA
AES
Interno
Interno
56
PROJETO
6.2.4.
2 ONDA
PDTI
RESPONS.
PROPOR
RESPONS.
APROVAR
DATA
INCIO
DURAO
RECURSOS
CUSTO
(R$ mil)
TI
GETI
Jan/12
6m
Externo
TI
TI
Abr/12
3m
Interno
TI
TI
Jan/13
6m
Externo
TI
TI
Jan/13
3m
Interno
TI
TI
Out/12
3m
Externo
TI
TI
Jan/13
3m
Externo
TI
TI
Jul/13
1m
Externo
TI
TI
Jan/12
1m
Externo
TI
TI
Out/13
1m
Interno
57
PROJETO
PDTI
10
TI
TI
Out/13
1m
Interno
11
TI
TI
Jul/13
1m
Interno
12
TI
TI
Abr/13
6m
Externo
58
PROJETO
6.3.
PDTI
3 ONDA 24 MESES
3. Onda durao 24 meses - aes de longo prazo que devero ser deflagradas de Janeiro/2014 a Dezembro/2015,
visando melhorar nvel de servios aos clientes internos e externos e da segurana.
6.3.1.
GOVERNANA DE TI
GOVERNANA DE TI
RESPONS.
RESPONS.
PROPOR
APROVAR
DATA
INCIO
DURAO
RECURSOS
CUSTO
(R$ mil)
3 ONDA
AES
TI
TI
Jan/15
3m
Externo
TI
TI
Mar/15
3m
Externo
TI
TI
Jun/15
3m
Externo
59
PROJETO
6.3.2.
PDTI
CUSTO
RESPONS.
RESPONS.
PROPOR
APROVAR
DATA
INCIO
DURAO
RECURSOS
TI
TI
Jan/14
1m
Externo
TI
TI
Mar/14
1m
Interno
(R$ mil)
AES
3 ONDA
TI
TI
Abr/14
1m
Externo
TI
TI
Jun/14
1m
Interno
TI
TI
Jul/14
2m
Externo
60
PROJETO
6.3.3.
PDTI
CUSTO
RESPONS.
RESPONS.
PROPOR
APROVAR
DATA
INCIO
DURAO
RECURSOS
TI
TI
Jan/14
6m
Interno
TI
TI
Jan/14
6m
Interno
(R$ mil)
3 ONDA
AES
61
PROJETO
6.3.4.
3 ONDA
PDTI
RESPONS.
RESPONS.
PROPOR
APROVAR
DATA
INCIO
DURAO
RECURSOS
CUSTO
(R$ mil)
TI
TI
Mar/14
3m
Interno
TI
TI
Jun/14
1m
Interno
TI
TI
Out/14
1m
Interno
62