Professional Documents
Culture Documents
MBA-EXECUTIVO EM GOVERNANÇA
DE TECNOLOGIA DA INFORMAÇÃO
LAVRAS – MG
2013
DELSON PEREIRA DA SILVA
Orientador
LAVRAS
2013.
DELSON PEREIRA DA SILVA
Professor(a):_________________________________________.
Professor(a):_________________________________________.
LAVRAS
2013.
À minha amada esposa que ao meu lado trilha o caminho, compartilhando meu anseio em
vivificar a justa missão do servidor público em promover o desenvolvimento soberano do
Estado apresentando-se cada vez mais qualificado para o desempenho de suas atribuições.
Meus agradecimentos ao Instituto do Patrimônio Histórico e Artístico Nacional, em especial
às Coordenações Gerais de Tecnologia da Informação e de Gestão de Pessoas, pela
oportunidade concedida e pela tão estimada presteza ao trabalho.
SUMÁRIO
SUMÁRIO ................................................................................................................................. I
LISTA DE FIGURAS............................................................................................................ IV
1 INTRODUÇÃO. .......................................................................................................... 1
i
3.1.1 Referencial teórico. ..................................................................................................... 15
ii
5.4 Considerações finais. ................................................................................................... 61
7 CONCLUSÕES. ........................................................................................................ 72
8 BIBLIOGRAFIA ....................................................................................................... 78
iii
LISTA DE FIGURAS
Figura 1.1: Gráfico comparativo dos gastos diretos da União com informação e comunicação
no período 2009 – 2012, por subclasses de despesas (CGU, 2012). .......................... 2
Figura 2.3: Gráfico comparativo da força de trabalho em TI por situação de vínculo – 2012. 12
Figura 7.1: Fatores motivadores para adoção de práticas de governança de TI. ...................... 75
iv
LISTA DE TABELAS
Tabela 2.1: Força de trabalho total mínima recomendada para TIC (CNJ, 2009). .................. 12
v
LISTA DE ABREVIATURAS, SIGLAS E SÍMBOLOS
SI Segurança da Informação
TI Tecnologia da Informação
vi
RESUMO / ABSTRACT
RESUMO
O trabalho apresenta um diagnóstico da situação geral de governança de TI em uma autarquia
pública brasileira, com foco nas áreas de maturidade e excelência em produtos de TI, gestão de
segurança da informação e gestão de serviços de TI. O estudo considera, sobretudo, que uma boa
governança de TI exige que os envolvidos em implementá-la tenham conhecimentos sobre seus
fundamentos, componentes e requisitos. Sendo assim, como as organizações públicas atuais têm
lidado com as novas práticas de gestão de TI? Como estão se saindo em aplicar princípios de
governança de TI? São os fundamentos, componentes e requisitos dessa disciplina eficazmente
compreendidos no âmbito da Administração Pública brasileira? Além de responder essas questões, o
estudo apresenta fundamentos conceituais, boas práticas e sugestões de melhorias para auxiliar a
organização a ampliar o alinhamento estratégico entre a área de TI e suas áreas de negócio. O
estudo também aponta os principais desafios que necessitam ser enfrentados pela área de TI
buscando melhorar sua percepção de entrega de valor e amadurecer suas práticas de gestão e
governança. Outra conclusão importante é que ao implantar melhorias em uma determinada área
estas irão inevitavelmente impactar positivamente outras áreas, isso ocorre porque os processos de
gestão e governança de TI não são estanques e, em sua maioria, estão estreitamente inter-
relacionados.
ABSTRACT
The paper presents a general diagnosis of the general situation of IT governance in a Brazilian public
autarchy, focusing on the areas of maturity and excellence in IT products, management of information
security and IT service management. The study considers, especially, that good governance requires
that those involved in implementing it have knowledge about their fundamentals, components and
requirements. Thus, how current public organizations have dealt with the new practices of IT
management? How are faring in applying the principles of IT governance? Are the fundamentals,
components and requirements of this discipline effectively understood in the context of the Brazilian
public administration? In addition to answering these questions, the study presents conceptual
foundations, best practices and suggestions for improvement to assist the organization to expand the
strategic alignment between IT and its business areas. The study also addresses the key challenges
that need to be faced by the IT department seeking to improve their perception of value and mature
their management practices and governance. Another important conclusion is that when you deploy
improvements in a given IT area inevitably these will positively impact other areas. This is because the
processes of management and IT governance are not watertight areas and, mostly, are closely
interrelated.
vii
1 INTRODUÇÃO.
Desenvolvimento e licenciamento de
programas de computador não
customizáveis
Desenvolvimento e licenciamento de
programas de computador customizáveis
1% 2% 7%
Figura 1.1: Gráfico comparativo dos gastos diretos da União com informação e comunicação no período 2009 – 2012,
por subclasses de despesas (CGU, 2012).
E essa é, sem dúvida, uma das grandes razões que tem levado governos de todos os
níveis a reconhecer a área de TI como área estratégica: sua capacidade ímpar em prover o
sustentáculo à gestão governamental, habilitando os processos e fluxos de trabalho e gerando
valor inestimável ao 'negócio governo'. É essa instrumentalização tecnológica que vem
2
permitindo ao Estado implantar políticas públicas mais eficientes e prestar mais e melhores
serviços públicos.
Nas duas últimas décadas vem surgindo e sendo elaborados diversos modelos de
melhores práticas para TI, desde aqueles considerados originais até derivações e evoluções de
outros modelos (FERNANDES e ABREU, 2012). Os principais modelos em discussão na
atualidade – quer no meio acadêmico ou profissional – podem ser relacionados e
contextualizados da seguinte forma:
Tabela 1.1: Modelos de melhores práticas para gestão e governança de TI (FERNANDES e ABREU, 2012).
Mas, como as organizações públicas atuais têm lidado com essas novas práticas de
gestão de TI? Como estão se saindo em aplicar princípios de governança de TI? Uma boa
governança de TI exige que os envolvidos em implementá-la tenham conhecimentos sobre
seus fundamentos, componentes e requisitos. São esses fundamentos, componentes e
requisitos compreendidos eficazmente no âmbito da Administração Pública?
3
situação geral de governança de TI em uma dada organização pública com visão específica
das áreas de maturidade e excelência em produtos de TI, gestão de segurança da informação e
gestão de serviços de TI – áreas selecionadas em virtude de sua criticidade para o ‘negócio’
da organização.
1.3 METODOLOGIA.
Adota-se como estratégia para alcançar o objetivo proposto a análise de caso único,
do ponto de vista da sua natureza trata-se de uma pesquisa aplicada (ou tecnológica), pois
gera conhecimentos a partir da aplicação prática de conceitos a problemas específicos
(SILVA & MENEZES, 2001).
4
1.3.3 Estrutura do trabalho.
5
2 APRESENTAÇÃO E DESCRIÇÃO DA ORGANIZAÇÃO.
I - as formas de expressão;
[...]
Por fim, o órgão também se responsabiliza pela gestão de cerca de quinze mil
volumes de livros e periódicos espalhados em bibliotecas por todo o país e, ainda, centenas de
milhares de documentos arquivísticos, registros fotográficos, cinematográficos, videográficos
e audiográficos.
7
a) Realização de atividades de campo envolvendo vistorias, visitas técnicas e
ações de fiscalização de núcleos históricos tombados e seu entorno, de sítios
arqueológicos e de bens culturais móveis e imóveis;
8
Fisicamente, o órgão tem sede na cidade de Brasília (DF) e conta com
superintendências em todas as unidades da Federação, escritórios técnicos em diversas
cidades interioranas que dispõem de grande volume de acervo patrimonial histórico, dois
parques históricos nacionais e quatro unidades especiais; totalizando assim 67 unidades físicas
instaladas em 59 diferentes cidades brasileiras.
Gabinete da
Órgãos Colegiados
Presidência
Superintendências
Estaduais
Parques Históricos
Escritórios Técnicos
Nacionais
Departamento de Departamento de
Departamento de Departamento de
Planejamento e Patrimônio Material e
Articulação e Fomento Patrimônio Imaterial
Administração Fiscalização
9
2.2 DESCRIÇÃO DA TI NA ORGANIZAÇÃO.
Divisão de Infraestrutura
10
Numa visão geral, a área de TI oferta produtos e serviços para os seguintes
segmentos:
1
Rede Local (ou LAN, acrônimo de Local Area Network) é um conjunto de hardware e software estruturado para permitir
que computadores individuais estabeleçam comunicação entre si, trocando e compartilhando informações e recursos.
2
Rede WAN (acrônimo para Wide Area Network) refere-se a uma rede de área alargada, de longa distância ou
geograficamente distribuída.
3
Rede VPN (Virtual Private Network, ou Rede Virtual Privada) refere-se a uma grande rede virtual construída sobre a
infraestrutura de uma rede pública pré-existente (no caso do IPHAN, a própria Internet).
11
A organização apresenta reduzida estrutura de pessoal em TI, sendo que a maior
parte dos recursos humanos dessa área é composta por servidores de carreiras públicas em
exercício descentralizado (vinculados essencialmente ao Ministério do Planejamento,
Orçamento e Gestão) e cujas atribuições estão relacionadas à gestão da TI no órgão. A força
de trabalho total é composta atualmente por 43 colaboradores, distribuídos conforme
demonstrado na Figura 2.3:
2% 2%
12%
14%
Servidores da carreira de TI da
própria instituição
Terceirizados regulares
Estagiários
68%
Figura 2.3: Gráfico comparativo da força de trabalho em TI por situação de vínculo – 2012.
Tabela 2.1: Força de trabalho total mínima recomendada para TIC (CNJ, 2009).
Mínimo necessário de
Total de Usuários de % Mínima de força de trabalho de TIC
profissionais do quadro
recursos de TIC (efetivos, comissionados e terceirizados)
permanente
Até 500 7,00% 15
Entre 501 e 1.500 5,00% 35
Entre 1.501 e 3.000 4,00% 75
12
Entre 3.001 e 5.000 3,00% 120
Entre 5.001 e 10.000 2,00% 150
Acima de 10.000 1,00% 200
Aplicando esse mesmo parâmetro adotado pelo Conselho Nacional de Justiça (CNJ,
2009) para calcular a força de trabalho total mínima recomendada para TI, a organização
apresentaria um déficit de 75% em seu quadro próprio de pessoal na área de TI, contanto
com apenas nove servidores quando seriam necessários trinta e cinco. Porém, este é um
critério genérico e o ponto de equilíbrio ideal pode ser obtido apenas com realização de uma
análise complexa e criteriosa das operações do setor de TI, bem como do estudo dos
direcionadores estratégicos definidos pela organização para a área de TI.
Assim, há uma cuidadosa avaliação do que pode e deve ser passado para terceiros e
do que será executado exclusivamente pelos recursos internos. Vê-se, no caso prático, que
quando a organização opta pela prática da terceirização esta adota uma estratégia de
“outtasking” (MAGALHÃES e PINHEIRO, 2007), ou seja, contrata-se a prestação de
serviços por provedores externos abrangendo atividades específicas ao invés de terceirizar
toda uma área de serviços (prática conhecida como outsourcing).
13
Por fim, observa-se que financiamento da área de TI na organização é realizado a
partir de destinação orçamentária própria, aprovada e executada conforme as regras gerais do
orçamento público da União. Esses recursos orçamentários têm crescido seguidamente nos
últimos anos, tendo atingido no ano de 2011 seu maior patamar: R$14,6 milhões de reais.
Porém, considerando dados já consolidados de anos anteriores, o orçamento de TI representa
apenas cerca de 7,2% do orçamento financeiro global da organização – aprovado em R$203,1
milhões para o exercício de 2011 (IPHAN, 2012).
14
3 GOVERNANÇA E ESTRATÉGIA ORGANIZACIONAL E DE TI.
O termo ‘estratégia’, por sua vez, tem origem no ambiente militar onde seu conceito
refletia a arte ou ciência de conduzir forças militares para derrotar um inimigo ou para
amenizar as consequências de uma derrota em situações bélicas (OLIVEIRA, 2007). Aos
poucos tal conceito foi evoluindo e sendo adotado em diversos outros segmentos.
16
c) Aprender a pensar em longo prazo: este talvez seja um dos grandes méritos do
pensamento estratégico e faz com que a organização possua uma mentalidade
de longo prazo em detrimento do pensamento meramente operacional;
A gestão estratégica nas organizações zela pelo conjunto de decisões em torno dos
objetivos de longo prazo da organização maximizando o desenvolvimento dos valores
corporativos, da capacidade gerencial interna e trabalhando desde a formulação, a
implementação até o controle das estratégias organizacionais.
17
b) Dimensão Situacional ou de Governo (contexto político): contempla a legitimidade
dos planos em relação às diretrizes de Governo.
5
O Sistema de Informações Gerenciais do IPHAN – SIGIPHAN está atualmente sendo remodelado e aperfeiçoado para
atender de forma mais plena as necessidades do órgão.
18
Esquematicamente, o planejamento estratégico da autarquia direciona-se pelo
sistema apresentado na Figura 3.1, adiante:
Figura 3.1: Resumo esquemático do sistema de planejamento aplicado pela organização (IPHAN, 2012).
Porém, na prática nota-se que muito embora o IPHAN conte com um sistema
definido de planejamento organizacional não há uma metodologia padrão definida para que as
unidades realizem seus planejamentos nos níveis tático e operacional, o que provoca sérias
distorções destes em relação ao referencial estratégico geral.
19
A comunicação do referencial estratégico da organização (missão, visão, metas,
indicadores e resultados) não ocorre de forma adequada fazendo com que grande parte dos
integrantes da organização desconheçam – ou conheçam apenas minimamente – tais
diretrizes. Como ponto positivo, nota-se a divulgação interna de relatórios de execução física
e financeira dos programas de Governo de responsabilidade da casa, muito embora estes
apresentem linguagem excessivamente técnica.
20
poder de gestão (tome como exemplo o desafio descrito na alínea “c”). Outro ponto
importante é que, embora todos os objetivos se enquadrem ao “negócio” da organização, nem
todas as “áreas de negócio” contam com desafios (objetivos) claros.
O primeiro PDTI do IPHAN foi elaborado durante o ano de 2009 e vigorou até
31/12/2012, nele estavam descritas treze ações estratégicas programadas para a área (IPHAN,
2010). Conforme descrito no próprio PDTI, tais as ações foram extraídas do contexto do
planejamento estratégico do órgão, tendo sido constituídas para atender às necessidades de
informação da organização e fundamentando-se na avaliação de quatro outros vetores:
necessidades e expectativas organizacionais; diretrizes de Governo; melhores práticas de
mercado; e atual capacidade da área de TI. O esquema exemplificado na Figura 3.2, a seguir,
mostra a atuação desses vetores sobre a estratégia de TI do órgão:
6
Destacam-se os Acórdãos TCU n° 786/2006 - Plenário e n° 1603/2008 - Plenário, que formam, efetivamente, a base da IN 04/2008 SLTI-
MP, reunindo extenso conjunto de recomendações a diversos órgãos, no sentido de regularizar a contratação de soluções de Tecnologia da
Informação.
21
Figura 3.2: Contexto de elaboração do planejamento de TI da organização (IPHAN, 2010).
Tabela 3.1: Ações estratégicas da área de TI - Descrição e diagnóstico de situação (IPHAN, 2010).
22
Prestação de auxílio constante às Superintendências, Ação parcialmente realizada: ação realizada sob
Escritórios Técnicos e Unidades Especiais, visando à demanda. Quando acionada, a unidade central forneceu
3
padronização tecnológica de seu parque e a constituição um modelo de contratação de serviços, mas não houve
de sua “área de TI”, como representação local da CGTI. contratação centralizada de suporte.
Implantação de melhorias qualitativas da rede interna, da Ação parcialmente realizada: foram iniciados estudos
10
rede WAN e ampliação da rede VPN. técnicos para implantação da nova rede corporativa.
23
Ação realizada: o órgão renovou o contrato de serviços
11 Crescimento e contratação de mão-de-obra especializada.
de suporte técnico especializado em TI.
24
Assim, resumidamente, para desenvolver suas estratégias de Tecnologia da
Informação a organização lança mão de ferramentas e técnicas comuns aos demais órgãos e
entidades componentes da Administração Pública Federal – em especial aqueles que integram
o chamado Sistema de Administração de Recursos de Tecnologia da Informação do Governo
Federal (SISP). Assim, as estratégias de TI da organização são desenvolvidas no âmbito do
Comitê Gestor de TI (COGESTI) e formalizadas em seu Plano Diretor de TI (PDTI).
25
Porém, mesmo que houvesse limitação financeira para a adoção da sugestão de
melhoria há alternativas viáveis baseadas em software livre e software público que podem
atender potencialmente a tal demanda. Podemos citar, por exemplo, o software público
Geplanes7, que foi desenvolvido para subsidiar a gestão das organizações na formulação e
implementação das estratégias, considerando o estabelecimento de indicadores de
desempenho, metas e planos de ação, além de permitir a rápida disseminação de informações
gerenciais, o tratamento de anomalias e não conformidades e a realização de auditorias de
gestão, dentre outras funções.
7
Mais informações sobre o software público de gestão estratégica Geplanes podem ser obtidas no seguinte endereço
eletrônico: http://www.softwarepublico.gov.br/ver-comunidade?community_id=20483099.
26
Os principais riscos para implantação do sistema envolvem a escassez de recursos
hoje destinados às ações de TI (tanto humanos quanto financeiros), devendo tal ação ser
incluída no planejamento das ações da área de TI (PDTI). Outro fator crítico de sucesso para a
adoção da melhoria diz respeito à própria capacidade interna do órgão em absorver uma
solução desse nível, pois embora haja técnicos qualificados em ambas as pontas (TI e Alta
Administração) há riscos relacionados ao acúmulo de tarefas e à ambientação de novas
rotinas.
27
Um forte limitante a implantação da melhoria é a tecnologia utilizada para
desenvolvimento do portal intranet do órgão: observa-se que, embora o portal tenha sido
desenvolvido em linguagem de programação JAVA, ele apresenta forte defasagem
tecnológica e grande limitação à introdução de novos módulos e componentes e pode não ser
tecnicamente viável adaptá-lo para atender à sugestão de melhoria. Assim, uma saída possível
é incluir tal melhoria no projeto de engenharia dos novos portais corporativos do órgão.
Este plano estratégico deve ser amplamente divulgado, monitorado e ter seus
resultados publicados – tanto para o público interno quanto para a sociedade. Tal medida visa
não somente dar cumprimento aos princípios constitucionais da eficiência, eficácia e
publicidade como também garantir que o próprio planejamento cumpra seu propósito de fato.
28
o uso futuro e atual da TI é dirigido e controlado. Necessariamente a governança de TI está
incorporada à governança corporativa, sendo que ambas devem refletir fino alinhamento
(SILVA, 2010).
29
é a ênfase em aspectos puramente técnicos, financeiros ou de programação das atividades de
TI, em detrimento da atenção ao uso da TI no contexto geral do negócio, conforme é exposto
na norma ABNT NBR ISO/IEC 38500:20098.
Por conta das grandes mudanças econômicas ocorridas nos últimos anos, as
organizações tiveram que se adequar criando mecanismos para que suas decisões estratégicas
8
A ABNT NBR ISO/IEC 38500:2009 é uma norma padrão internacional de governança de TI elaborada pela
Organização Internacional de Normalização (International Organization for Standardization – ISO) e
internalizada no Brasil pela Associação Brasileira de Normas Técnicas (ABNT).
30
fossem mais rápidas e confiáveis. Neste ínterim, a área de TI passou a ser vista como um
recurso estratégico, devendo assim ser gerida de forma adequada e sempre harmonizada com
os objetivos da organização.
9
COBIT® é marca registrada da Information Systems Audit and Control Association (ISACA) / IT Governance Institute (ITGI).
10
No caso da organização estudada esse macro sistema organizador é o Sistema de Administração dos Recursos de Tecnologia da
Informação da Administração Pública Federal direta e indireta – SISP.
31
No caso particular dos órgãos e entidades da Administração Pública Federal direta e
indireta o planejamento da TI é consolidado num documento denominado “Plano Diretor de
Tecnologia da Informação” (ou simplesmente PDTI). Segundo a Instrução Normativa
SLTI/MP nº 4 de 12 de novembro de 2010, artigo 2º, inciso XXII, um PDTI é um:
“instrumento de diagnóstico, planejamento e gestão dos recursos e processos de Tecnologia
da Informação que visa atender às necessidades tecnológicas e de informação de um órgão ou
entidade para um determinado período” (BRASIL, 2010).
32
gestão do contrato, na qual se pode colher efetivamente os resultados pretendidos com a
contratação.
33
Para apoiar as atividades de governança de TI pela alta administração e as de gestão
de TI pela área de TI, são utilizados artefatos e estruturas organizacionais. Um exemplo
dessas estruturas é o “Comitê Gestor de Tecnologia da Informação” (COGESTI), que se trata
de comitê diretivo ligado diretamente à alta administração para apoiá-la na elaboração das
estratégias de TI e no acompanhamento do alcance dos objetivos de TI da organização,
utilizando, dentre outros instrumentos, relatórios periódicos sobre as ações relativas a esta
área (BERMEJO e TONELLI, 2012).
Figura 3.5: Tarefas básicas do processo de elaboração do Plano Diretor de TI (BRASIL, 2012).
34
No entanto, embora sejam suficientes, as técnicas para construção do PDTI carecem
de maior maturidade quando o assunto é a promoção do alinhamento de objetivos entre a TI e
as áreas finalísticas (negócio), atualmente cada área parece apenas defender suas próprias
necessidades sem ter a correta noção da conjuntura geral ou dos impactos das decisões sobre
todas as áreas, há a percepção de que prevalece uma visão sedimentada sobre o papel da TI.
35
c) As áreas finalísticas; através das diretorias de departamentos, chefes das
superintendências estaduais e chefes de unidades sub-regionais.
O Plano Diretor de TI (PDTI) tem vigência definida durante sua construção, sendo
que o primeiro PDTI elaborado pela organização foi construído em 2009 para vigorar no
período 2010 a 2011, tendo sido sua vigência prorrogada também para o ano de 2012. Prevê-
se que no primeiro trimestre do ano de 2013 será elaborado um novo PDTI.
O primeiro PDTI elaborado pelo órgão não continha indicadores de monitoração para
avaliar o nível de atingimento das estratégias, foram descritos apenas planos de ação com
limite temporal para realização e a avaliação da execução desses planos é uma das fases que
antecede a construção de um novo PDTI.
36
apenas durante as próprias reuniões do COGESTI gerando um intervalo entre o período de
identificação de inconsistências ou desvios e a tomada de decisão acerca das ações corretivas.
Quanto aos arranjos decisórios de TI, cuja análise pode ser vista no ANEXO II,
notamos que estão mais presentes os arquétipos centralizados onde as decisões são mais
voltadas à padronização, ao controle de custos e apresentam menor flexibilidade e
responsividade em atender demandas localizadas. Segundo BERMEJO (2012; p. 41) “os
arquétipos de governança de TI definem quem é o responsável pelas decisões envolvendo os
domínios da TI, especificando quais níveis e partes da organização serão envolvidas neste
processo decisório”.
37
de TI em relação às demais instâncias, tem de fato levado a uma maior padronização
tecnológica da organização.
38
conformidade com os requisitos de negócios, buscando reduzir interrupções nas atividades de
negócio devido a incidentes em serviços de TI e oferecendo elementos para manter os clientes
internos satisfeitos com a qualidade da prestação desses serviços. O nível de maturidade
desejado pela organização para este processo é o de “Processo Otimizado” (Nível “5”). Neste
nível, além de ser monitorado a partir de métricas quantitativas e existirem controles para
correção de defeitos, o processo é continuamente aprimorado para suportar objetivos de
negócio apresentando também traços de inovação.
39
nível de maturidade desejado com a introdução de atributos de gestão do desempenho,
definição e formalização interna do processo (internalização de normas), atribuição de papéis
e responsabilidades, geração e medição de indicadores de desempenho e introdução de
controles ao processo.
Dentro desse processo podem ser abrangidos aspectos importantes, tais como: a
especificação e controle de requisitos das soluções de TI; a definição de critérios e métodos de
monitoramento e avaliação de qualidade; a definição e avaliação de níveis mínimos de
serviço; a definição de critérios de seleção e avaliação de fornecedores; e o acompanhamento
da execução contratual das soluções contratadas.
40
Já com respeito à gerência de requisitos, seu propósito é gerenciar os requisitos do
produto e dos componentes do produto do projeto e identificar inconsistências entre os
requisitos, os planos do projeto e os produtos de trabalho do projeto. Seus resultados possíveis
são o correto entendimento dos requisitos junto a suas fontes; a avaliação dos requisitos com
base em critérios objetivos; a rastreabilidade bidirecional entre requisitos e produtos do
trabalho; viabilização de revisões e correções de inconsistências nos planos e produtos e
gerenciamento de mudanças do projeto.
41
patrocínio do Comitê Gestor de Tecnologia da Informação (COGESTI). Como há no quadro
de pessoal da unidade os recursos humanos necessários para desenvolver as ações não haveria
custos extras com mobilização de pessoal ou contratação de consultoria externa (esta última
despesa poderia ocorrer apenas futuramente para melhoria do processo).
Estas ações, se bem escalonadas, podem ser realizadas em curto período de tempo.
Havendo, assim, possibilidade de incluir já no próximo PDTI da organização indicadores de
avaliação do impacto dessa melhoria em função de dois de seus objetivos de TI: entregar
serviços de TI em conformidade com os requisitos de negócio; e gerenciar riscos de negócio
relacionados a TI.
42
Organizações procuram cada vez mais agregar valor ao seu negócio, ao mesmo
tempo em que gerenciam riscos de crescente complexidade. Nesse sentido, a utilização de
frameworks de melhores práticas pode auxiliar essas organizações a não mais “reinventar a
roda” uma vez que as práticas apresentadas já foram testadas pelo mercado, provendo
resultados comprovadamente satisfatórios.
Sobre o tema, cabe registrar que o plano estratégico de TI não deve ser visto com um
documento do setor de TI da organização, mas sim como um documento da organização, vez
43
que formalizará a alocação de recursos (financeiros, humanos, materiais, etc.) para que a TI
atenda às demandas do negócio.
1,00
INDICE DE GOVERNANÇA DE TI - TCU
0,80
0,60
0,36
0,40
0,27
0,18 0,18 0,18 0,20
0,20
0,00
2007 2008 2009 2010 2011 2012
PERÍODO
Figura 3.6: Evolução do Índice de Governança de TI (iGovTI) mensurado pelo TCU na organização, no período 2007
a 2012 (TCU, 2013).
44
que devem ser implantados para que esse governo seja efetivo, entre os quais se destaca a
dimensão “Liderança”, apresentada a seguir.
No cenário público atual a TI exerce papel cada vez mais estratégico dentro das
organizações, tendo inclusive se transformado em estrutura crítica, sendo assim investir na
melhoria dos processos de TI é uma das maneiras mais sólidas para que a organização possa
garantir a sustentabilidade de suas funções, tanto a administrativa como a finalística, em longo
prazo.
Com respeito às sugestões de melhoria cabe considerar que, como órgão componente
da Administração Pública Federal, a organização segue um processo bastante formal –
embora antigo e engessado – de seleção de fornecedores, definido pela lei Federal n°
45
8.666/1993 (Lei Geral de Licitações e Contratos Públicos) e para o qual há uma considerável
diversidade de regulamentações complementares.
A mitigação dos riscos relativos a esses processos muito depende da definição clara
dos papéis e responsabilidades de cada um dos stakeholders (ou, partes envolvidas), ação
ainda incipiente na organização. Em razão disso, são deveras factíveis as sugestões realizadas.
46
4 MATURIDADE E EXCELÊNCIA EM PRODUTOS DE TI.
Mormente não ser objeto deste estudo, a tendência atual mostra que as metodologias
de desenvolvimento de software baseadas em processos considerados tradicionais vêm
cedendo cada vez mais lugar às chamadas ‘metodologias ágeis’ – como Extreme
Programming e Scrum – que sacrificam o aspecto burocrático em nome da produtividade.
Essas ‘metodologias ágeis’ surgem, assim, como uma reação aos modelos tradicionais e
extremamente conceituais, cuja crítica mais frequente é que são burocráticos, ou seja, exigem
documentação excessiva e impactam negativamente a qualidade do produto.
O MPS.BR pode ser adotado por todas as organizações cuja qualidade dos produtos
de software seja um fator crítico de sucesso. O modelo se apresenta como solução adequada
ao perfil de empresas de diferentes dimensões e características, sejam públicas ou privadas,
conferindo especial atenção às micro, pequenas e médias empresas.
48
4.2 DIAGNÓSTICO NA ORGANIZAÇÃO.
Iniciou-se, também, ainda com base nesse contrato e em priorizações feitas pelo
Comitê Gestor de TI (COGESTI), o desenvolvimento do Sistema de Gestão de Pessoas –
“SISGEP”, em substituição ao legado Sistema de Recursos Humanos (“SISRH”) e do Sistema
de Controle de Acesso ao Usuário – “SISCAU” (em substituição a um sistema anterior), cuja
função é realizar a administração de usuários e privilégios de acesso a sistemas.
11
Java Platform, Enterprise Edition (ou JEE, em português Java Edição Empresarial) é uma plataforma de programação para
servidores na linguagem de programação Java que, por sua vez, é um software livre sob licença GPL desenvolvido pela
empresa norte-americana Sun Microsystems (subsidiária da Oracle Corporation).
49
apresentado no ANEXO III detalha as informações de cada um desses sistemas quanto ao
objetivo, área gestora, plataforma de desenvolvimento e demais informações técnicas
relevantes.
12
Trata-se do Pregão Eletrônico para Sistema de Registro de Preços n° 013/2012 - IPHAN.
50
envolvendo licenciamento de softwares proprietários específicos envolvendo um investimento
estimado em cerca de R$3,6 milhões de reais.
[...] Essa insuficiência é uma dos maiores problemas enfrentados atualmente pela
CGTI, apesar do empenho e da dedicação de seus funcionários. Salários defasados,
alta rotatividade e redução contínua da capacidade técnica têm provocado
dificuldades crescentes na continuidade dos projetos em andamento,
impossibilitando implantação de novos. [PDTI IPHAN 2010-2012, p. 132]
51
quais a área de TI terá inevitavelmente que lidar é a definição de seus processos internos para
em seguida desenvolver uma estratégia de melhoria de produtos de softwares, apoiada em
políticas estruturais que lhe garantam sustentação.
52
cumprimento da missão institucional do órgão ou entidade, conforme dispõe o
Decreto nº 2.271/97.
Conclui-se disso que a terceirização regular alcança somente serviços e não mão-de-
obra, sob pena de ofensa ao princípio constitucional que prevê a aprovação em concurso
público como regra para se estabelecer uma relação jurídica entre o indivíduo e a
Administração Pública.
53
transferência de conhecimentos ao contratante e sendo remuneradas segundo os
resultados apresentados;
Se, por um lado, o órgão não tem condições de assumir a execução integral do
escopo de serviços especificados, por outro, a administração não estaria agindo em prol de
seus interesses ao entregá-los totalmente a particulares, aumentando o risco de dependência
em relação a fornecedores externos. Portanto, considerando que através da execução mista
haverá compartilhamento da execução entre o órgão e fornecedores externos contratados
dentro de fronteiras de atuação claramente definidas, essa opção mostra-se a mais viavelmente
adequada para o atual cenário diagnosticado.
54
padrão normativo para as contratações de TI (IN SLTI/MP n° 04/2010) e um modelo
corporativo para desenvolvimento de produtos de software (“Roteiro de Métricas de Software
do SISP”).
Porém, a organização analisada ainda não internalizou tais padrões formalizando seu
processo interno de provimento e gerenciamento de soluções de TI. Outrora isso não implique
em ilegalidade, visto principalmente que todas as contratações realizadas para aquisição de
produtos e serviços de TI contenham especificação clara de requisitos, níveis de serviço e
padrões de qualidade, essa situação – caso perdure – implicará na exaustão da capacidade
técnica da área de TI do órgão isso porque cada contratação adota um conjunto singular de
requisitos, critérios de avaliação e artefatos de controle.
55
5 GESTÃO DE SEGURANÇA DA INFORMAÇÃO.
Por sua vez, a gestão de riscos é apenas uma das estratégias integrantes da chamada
gestão da segurança da informação. Esse processo envolve o planejamento, gerenciamento a
proteção e a distribuição dos recursos de informação de acordo com seu core business.
A gestão de segurança da informação tem como foco principal as características
humanas, organizacionais e estratégicas relativas à segurança da informação. Visa, ainda, à
adoção de medidas alinhadas com as estratégias de negócio, a partir de um monitoramento
contínuo dos processos, métodos e ações.
Assim, em linhas gerais, a gestão de SI é formada pelas ações e métodos que visam à
integração das atividades de gestão de riscos, gestão de continuidade do negócio, tratamento
de incidentes, tratamento da informação, conformidade, credenciamento, segurança
cibernética, segurança física, segurança lógica, segurança orgânica e segurança organizacional
aos processos institucionais estratégicos, operacionais e táticos, não se limitando, portanto, à
tecnologia da informação e comunicações (TCU, 2012).
As boas práticas mostram que o sucesso de uma PSI está diretamente relacionado ao
envolvimento e à atuação da alta administração nas organizações. Quanto maior for o
57
comprometimento da administração superior com os processos de elaboração e implantação
de tal política corporativa, maior será a probabilidade de esta ser efetiva e eficaz. Importante
destacar que esse comprometimento deve ser expresso formalmente, por escrito.
Outra boa prática quanto à gestão de SI para as organizações públicas é que em sua
estrutura exista uma área responsável pela segurança da informação, “a qual deve iniciar o
processo de elaboração da política de segurança de informações, bem como coordenar sua
implantação, aprová-la e revisá-la, além de designar funções de segurança” (TCU, 2012).
Além da inexistência de uma PSI outras situações que merecem atenção foram
diagnosticadas, assim identificadas:
58
a) Não há atribuição formal de papéis e responsabilidades em segurança da
informação, a área de TI surge como única responsável pela promoção de práticas
e controles de SI e, em consequência disso, acaba sendo responsabilizada pelas
falhas e incidentes;
b) Inexiste uma equipe responsável pelas práticas e controles de SI, tais como
tratamento e resposta a incidentes, o que coloca em risco a continuidade dos
negócios da organização;
Se por um lado há falhas estratégicas sérias relacionadas a SI, por outro se verifica
que também há pontos fortes, por exemplo, o bom nível de aderência às normas que
regulamentam a contratação de soluções de TI e seus procedimentos de definição de
requisitos de segurança da informação, análise de riscos relacionadas aos produtos e serviços
de TI adquiridos no mercado e também procedimentos de continuidade dos negócios.
59
5.3 PROPOSTA DE MELHORIAS E DISCUSSÃO.
Por tratar-se de uma autarquia pública, algumas das ações propostas refletem o
atendimento a requisitos de conformidade legal e, além disso, alinham-se às melhores práticas
de gestão de segurança da informação reconhecidas e aplicadas internacionalmente. Tais
ações propiciarão, ainda, melhoria significativa da capacidade dos processos de gestão e
governança de TI.
Tabela 5.1: Relação entre ações propostas, deficiências identificadas, princípios de conformidade e boas práticas para
a área de gestão de segurança da informação.
Princípio de
Ação sugerida Deficiência a ser tratada Boa Prática
Conformidade
60
Atribuição de papéis e
Instituir um Comitê Gestor de NBR ISO/IEC
responsabilidades IN GSI/PR nº 01/2008
Segurança da Informação. 27002:2005
relacionadas a SI.
Atribuição de papéis e
Designar um Gestor de NBR ISO/IEC
responsabilidades IN GSI/PR nº 01/2008
Segurança da Informação. 27002:2005
relacionadas a SI.
Atribuição de papéis e
Instituir uma Equipe de NBR ISO/IEC
responsabilidades IN GSI/PR nº 01/2008
Segurança da Informação. 27002:2005
relacionadas a SI.
Destinar investimentos
Falta de recursos para NBR ISO/IEC
específicos para ações de IN GSI/PR nº 01/2008
ações de SI. 27002:2005
segurança da informação.
Essa fase do trabalho apontou que a organização tem um longo caminho a traçar com
respeito aos processos de gestão de segurança da informação. Porém, o quadro geral é
positivo, pois há clima organizacional favorável ao desenvolvimento de tais processos.
61
A disponibilidade de recursos humanos para atuar na área de SI – principalmente de
pessoas com perfil profissional adequado – surge como limitante a ser seriamente considerado
pela organização. Em vista disso – e considerando a boa disponibilidade orçamentária –
dever-se-ia considerar a possibilidade de ampliar os investimentos em qualificação técnica das
equipes quanto à segurança da informação.
Outro ponto crítico que merece ser listado é a falta de informações referenciais e suporte
por parte dos órgãos governantes superiores para auxiliar os demais órgãos e entidades da
Administração Pública Federal na instituição de políticas, controles e instâncias de gestão de
segurança da informação. A preocupação maior desses órgãos parece ser a atividade
normalizadora quando, principalmente em face da carência de recursos humanos, seus entes
subordinados necessitam muito mais de efetivo suporte na internalização e operacionalização
das muitas normas instituídas do que de meras normas.
Disso se extrai que uma PSI pode ser composta por várias políticas inter-relacionadas,
como a política de senhas, de backup, de contratação e instalação de equipamentos e
softwares, dentre tantas outras. Ademais, quando for conveniente e necessário, a PSI pode ser
mais abrangente e detalhada, envolvendo a criação de outros documentos que especifiquem
práticas e procedimentos e que descrevam com mais detalhes as regras de uso da tecnologia
da informação no ambiente.
A PSI é o primeiro de muitos documentos com informações cada vez mais detalhadas
sobre procedimentos, práticas e padrões a serem aplicados em determinadas circunstâncias,
sistemas ou recursos. Sendo que seus documentos complementares costumam dispor sobre
regras mais específicas, que detalham as responsabilidades dos usuários, gerentes e auditores
e que normalmente serão atualizados com maior frequência.
62
6 GESTÃO DE SERVIÇOS DE TI.
Segundo esse conceito as áreas de TI devem adotar uma nova abordagem voltada
para serviços, porém para atingir essa condição é necessário haver mudança de
comportamentos – tanto da área de TI quanto das áreas de negócio (MAGALHÃES e
PINHEIRO, 2007).
Como grande provedora de serviços dentro das organizações, a área de TI é cada vez
mais responsável por responder as expectativas das áreas de negócios, tais como aumento da
produtividade e da eficiência operacional; redução de riscos e custos nas operações;
qualificação, otimização e integração dos processos de negócios; e garantia e disponibilização
de informações consistentes, atualizadas e que permitam suportar as decisões. E, obviamente,
a TI busca fazer isso ofertando produtos e serviços.
Por isso, atualmente, é muito comum que a própria área de TI manifeste o desejo de
rever suas práticas com o objetivo de tornar a gestão tecnológica mais eficiente e,
principalmente, mais próxima das necessidades das organizações. Para conseguir isso as áreas
de TI tem avaliado formas de estruturar seus modelos de governança de maneira a
adequarem-se plenamente às tendências e às demandas estratégicas das áreas de negócio,
revisando papéis, responsabilidades, processos e procedimentos, assim como o portfólio de
produtos e serviços, para que tenham completa aderência aos requisitos de negócio
(OLIVEIRA, 2007).
A ITIL® busca promover a gestão com foco no cliente e na qualidade dos serviços da
área de TI, apresentando um conjunto abrangente de processos e procedimentos gerenciais
organizados em disciplinas, com os quais uma organização pode fazer sua gestão tática e
operacional com vistas a alcançar o alinhamento estratégico da TI com as áreas de negócio
(SILVA, 2010).
13
ITIL® é marca registrada do United Kingdom´s Office of Government Commerce (OGC).
64
A ITIL habilita o aprovisionamento da organização com serviços de TI de alta
qualidade, valorizando o relacionamento com os clientes, o que, por sua vez, permite
assegurar cada vez mais o atendimento de suas expectativas, sem esquecer-se das
necessidades e das expectativas dos usuários. Isto significa que a área de TI deve prestar seus
serviços para a organização de acordo com as necessidades dos seus clientes, ou seja, demais
áreas de negócio, fortalecendo o relacionamento da área de TI com os mesmos, bem como
dela para com seus parceiros, fornecedores de Tecnologia da Informação e serviços
correlatos, pois a área de TI depende deles para a consecução de seus objetivos de nível de
serviço na entrega e na operação dos serviços de TI para a organização (MAGALHÃES e
PINHEIRO, 2007).
Por outro lado, parece ser um erro comum referir-se ao contrato firmado entre a
organização e seu fornecedor externo de TI como um “Acordo de Nível de Serviço”, na
verdade aquele documento, de aspecto mais formal, é o “Contrato de Apoio” (do inglês
Underpinning Contract), que também pode e deve envolver a definição de níveis de serviço,
mas não se configura um ANS propriamente dito. Por essas razões, as organizações públicas
tem evitado o uso do conceito integral de “Acordo de Nível de Serviço” e, em seu lugar,
fazem referência a expressões tais como “Níveis Mínimos de Serviço Exigido” (NMSE)
(TCU, 2008).
65
45%
40%
35%
30%
25%
20%
15%
10%
5%
0%
2010 2012
Figura 6.1: Gráfico comparativo da evolução na adoção de processos de gestão de serviços de TI baseados em ITIL®
na Administração Pública brasileira – Resultados de levantamentos realizados nos anos de 2010 e 2012 (TCU, 2012).
66
responsável por definir, monitorar e avaliar tanto os níveis mínimos de serviço (ANS) quanto
os acordos de nível operacional (ANO).
Tal situação potencializa o risco na gestão dos fornecedores externos da área de TI,
sobrecarrega a área e reprime o desenvolvimento dos serviços providos, vez que não há
preocupação das áreas demandantes em analisar a qualidade do que lhes está sendo entregue
em face de sua real necessidade.
67
fortes resultados: o processo de identificação e desenvolvimento de soluções de TI (BAI3) e o
processo de gerenciamento de fornecedores (APO10).
e) Assegurar que cliente e TI tenham uma expectativa clara e não ambígua sobre o
nível de serviço a ser entregue;
68
f) Assegurar que as medidas proativas para melhorar os níveis de serviço são
aplicadas sempre que seja economicamente justificável fazê-las.
Por outro lado, a própria área de sistemas de informação surge como demandante de
serviços críticos de TI ao passo que também contrata fornecedores externos para desenvolver
e manter os sistemas de informação da organização. Nesse prisma cabe a ela fixar, monitorar
e avaliar níveis de serviço para tais prestadores, porém, como sua capacidade interna de
trabalho também é limitada, as rotinas do setor acabam monopolizando o esforço da equipe
69
sendo necessário buscar outras formas de realizar as atividades de controle de qualidade dos
serviços prestados.
70
2.271/1997, em alinhamento com os princípios da eficiência e da economicidade (Acórdão nº
1.215/2009-TCU-Plenário).
Em uma análise geral pode-se dizer que a organização tem amplas condições de
realizar significativas melhorias relacionadas à gestão de serviços de TI. Dentre os pontos
positivos encontram-se a boa capacidade técnica dos recursos humanos da área de TI e a
crescente evolução dos investimentos orçamentários neste segmento.
71
7 CONCLUSÕES.
Este trabalho pôde averiguar tal situação ao atestar que na organização estudada
também existe essa visão negativa sobre a área de TI. Comprovada diante da das seguintes
falhas estratégicas diagnosticadas:
c) Gasto excessivo com infraestrutura de TI: notou-se que existe a percepção de que
não há uma correta demonstração de resultados dos investimentos em
infraestrutura. Como não há divulgação de relatórios de disponibilidade, nível de
atendimento e uso de recursos de TI apenas os gastos saltam aos olhos, porém,
mesmo diante da compreensão da complexidade tecnológica e do tamanho da
infraestrutura da organização, nem os próprios gestores de TI sabem precisar com
clareza quais os resultados (entrega de valor) dos investimentos em infraestrutura
de TI e isso parece coadunar com a cultura existente de comprar infraestrutura sem
conhecer a real necessidade. Essa situação leva á percepção de que as justificativas
para os investimentos em infraestrutura são insuficientes ou pouco fundamentadas.
73
demasiadamente complexo em virtude da grande parafernália de soluções que o
compõe, tal complexidade eleva custos e dificulta a gestão da TI. Ao passo que os
investimentos atuais estejam sendo feitos apenas em face da própria expansão da
capacidade dos recursos de TI em si, estes deveriam ser justificados em razão de
benefícios e melhores resultados para a organização – há muito que evoluir em
relação ao planejamento da infraestrutura de TI.
Se por um lado os desafios são grandes, por outro o estudo também demonstrou
como a aplicação de conceito e práticas relacionadas aos diversos segmentos analisados
podem ajudar a organização a ter sucesso em superar tais desafios. Isso porque essas práticas
contribuirão efetivamente para melhorar a operação atual da TI ao passo que construirão uma
melhor visão de posicionamento futuro e de objetivos de longo prazo para a área.
74
O desafio de governar uma área de TI, embora seja há muito tempo do interesse da
comunidade de TI, apenas tornou-se recentemente uma preocupação da alta direção das
organizações. O alinhamento estratégico da área de TI com as áreas de negócio parece ser o
assunto do momento no mercado privado, bem como suas diversas abordagens.
Tal situação parece não contrastar de forma significativa da visão geral que se tem a
respeito da governança de TI dentro do setor público, surgindo como um “tema mal definido,
com limites obscuros e pouco compreendido pelos profissionais da área” (RODRIGUES,
2010).
75
A governança de TI para o setor público não apresenta diferenças fundamentais em
relação à aplicada ao setor privado, nota-se apenas que o setor público fornece “bens
públicos” ao invés de produtos para venda – característica comum das organizações privadas
(RODRIGUES, 2010). Em todas as situações eleva-se a importância do papel decisório da
governança de TI, buscando encorajar comportamentos desejáveis na área de TI e definindo
os papéis e responsabilidades relacionadas à tomada de decisões com foco na entrega de mais
e melhores resultados.
Porém, é sabido que TI não se faz apenas com processos, serviços e infraestrutura. É
preciso lançar mão de talentos humanos capacitados e nisso o setor público carrega imensa
desvantagem. Na tenra história do desenvolvimento de sua área de TI, o setor público ainda
não pensou de forma consistente em uma carreira estruturada para abarcar as necessidades
desse setor – afinal continua-se promovendo o ingresso de servidores para a TI nos mesmos
moldes como se dá o ingresso para qualquer cargo de atribuições administrativas generalistas.
Em 2009 foi criado, dentro do Plano Geral de Cargos do Poder Executivo (PGPE), o
cargo efetivo de Analista em Tecnologia da Informação, mas a medida acabou por introduzir
o cargo dentro de um plano de carreira pouco atrativo e os servidores empossados passaram a
migrar para outros cargos de carreiras estruturadas e remuneração mais vantajosa (ANATI,
2012). Isso ajuda a entender que a atual estratégia de provimento de recursos humanos para a
76
área de TI não é adequada às necessidades do setor e isso, de fato, carece de maior atenção
por parte dos órgãos governantes superiores.
77
8 BIBLIOGRAFIA
ANATI. Qual o futuro dos Analistas em TI? Associação Nacional dos Analistas em TI, 2012.
Disponivel em: <http://anati.org.br/index.php/it-career/97-futuro-dos-atis>. Acesso em: 16 Janeiro
2013.
BERMEJO, P. H. D. S.; TONELLI, A. O. Gestão de serviços de TI. 1ª. ed. Lavras: UFLA/FAEPE,
2008.
BRASIL. Lei Federal n° 8.666, de 21 de junho de 1993. Casa Civil da Presidência da República,
1993. Disponivel em: <http://www.planalto.gov.br/ccivil_03/leis/L8666cons.htm>. Acesso em: 09
Janeiro 2013.
CERVO, A. L. Metodologia Científica. 6ª. ed. São Paulo: Pearson Prentice Hall, 2007.
CGU. Servidores civis e militares do Poder Executivo Federal. Portal da Transparencia, 2013.
Disponivel em: <http://www.transparencia.gov.br/servidores/OrgaoExercicio-
ListaOrgaos.asp?CodOS=40107>. Acesso em: 21 Janeiro 2013.
CHIAVENATO, I. Administração Geral e Pública. Rio de Janeiro: Elsevier, 2006. ISBN 978-85-
352-2154-1.
CNJ. Resolução n° 90, de 29 de setembro de 2009. Conselho Nacional de Justiça, 2009. Disponivel
em: <http://www.cnj.jus.br/atos-administrativos/atos-da-presidencia/323-resolucoes/12205-resolucao-
no-90-de-29-de-setembro-de-2009>. Acesso em: 21 Janeiro 2013.
IBGC. Código das melhores práticas de governança corporativa. 4ª. ed. São Paulo: Instituto
Brasileiro de Governança Corporativa, 2009. ISBN 978-85-99645-14-7.
79
IPHAN. Relatório de Gestão - 2011. Instituto do Patrimônio Histórico e Artístico Nacional, 2012.
Disponivel em: <http://portal.iphan.gov.br/portal/baixaFcdAnexo.do?id=2119>. Acesso em: 29 janeiro
2013.
RIBEIRO, R. V. Estratégia empresarial e de recursos humanos. Curitiba: IESDE Brasil S.A., 2008.
ISBN 978-85-387-2090-4.
SILVA, M. G. R. TI Mudar e Inovar: resolvendo conflitos com ITIL v3. Brasília: SENAC DF, 2010.
ISBN ISBN 978-85-98694-70-2.
SOFTEX. Guia Geral. Associação para Promoção da Excelência do Software Brasileiro, 2012.
Disponivel em: <http://www.softex.br>. Acesso em: 19 Outubro 2012.
TCU. Nota Técnica n° 02/2008 - SEFTI/TCU. Tribunal de Contas da União, 2008. Disponivel em:
<http://portal2.tcu.gov.br/portal/page/portal/TCU/comunidades/tecnologia_informacao/notas_tecnicas/
notas_tecnicas_aprovadas/Nota%20T%C3%A9cnica%202%20-
%20Preg%C3%A3o%20para%20TI.v08.oficial.pdf>. Acesso em: 08 fevereiro 2013.
TCU. Acórdão TCU n° 2585/2012 - Plenário. Tribunal de Contas da União, 2012. Disponivel em:
<http://portal2.tcu.gov.br/portal/page/portal/TCU/comunidades/tecnologia_informacao/pesquisas_gov
ernanca/D500BE942EEF7793E040010A89001367>. Acesso em: 07 fevereiro 2013.
TCU. Boas práticas em Segurança da Informação. 4ª. ed. Brasília: TCU/Sefti, 2012.
80
TCU. Guia de boas práticas em contratação de soluções de tecnologia da informação: riscos e
controles para o planejamento da contratação - Versão 1.0. Brasília: TCU, 2012.
TCU. Perfil de Governança de TI. Tribunal de Contas da União, 2013. Disponivel em:
<http://portal2.tcu.gov.br/portal/page/portal/TCU/comunidades/tecnologia_informacao/pesquisas_gov
ernanca>. Acesso em: 22 janeiro 2013.
81
ANEXO I. AVALIAÇÃO DE MATURIDADE EM SEGURANÇA DA INFORMAÇÃO.
A Tabela a seguir traz o resultado da avaliação de maturidade em segurança da informação realizada junto a autoridade máxima da área de TI, visando
a subsidiar o diagnóstico organizacional nesse quesito.
AVALIAÇÃO
COMENTÁRIOS E
NÍVEL CARACTERÍSTICAS Procede
Não Procede Procede CONSIDERAÇÕES
Parcialmente
Gestão de riscos não atua sobre processos de aquisição de soluções de TI nem sobre a entrega de Os processos de aquisição seguem a
serviços de TI, que envolvem o processo. IN 04, incluindo avaliação de riscos.
A organização reconhece de forma
A organização não reconhece a necessidade de segurança sobre o processo. informal a necessidade de segurança
sobre o processo.
Responsabilidades associadas à proteção de ativos de informação não são atribuídas para o
processo.
82
AVALIAÇÃO
COMENTÁRIOS E
NÍVEL CARACTERÍSTICAS Procede
Não Procede Procede CONSIDERAÇÕES
Parcialmente
Falhas de segurança são tratadas pontualmente se detectadas, uma vez que responsabilidades de
detecção não são claras.
Existem processos de TI definidos
Respostas a falhas de segurança não são previsíveis, visto que não há um processo definido para para ocorrência de falhas, mas não
tal. abrangem todas as falhas de
segurança.
Responsabilidades pela continuidade de serviços são informais, com autoridade limitada para
tratar questões relevantes sobre riscos, planos de continuidade ou resposta a incidentes.
Algumas abordagens para avaliação de risco existem, mas elas ainda são prematuras e encontra- Existem abordagens para um número
se em estágio inicial de desenvolvimento. pequeno de falhas de segurança.
Responsabilidades para a segurança da informação são atribuídas a um coordenador com Não existe o papel formal definido na
autoridade sobre as questões relevantes que envolvam segurança. organização
83
AVALIAÇÃO
COMENTÁRIOS E
NÍVEL CARACTERÍSTICAS Procede
Não Procede Procede CONSIDERAÇÕES
Parcialmente
Os relatórios sobre segurança são incompletos, enganosos ou não pertinentes para tratar Não há geração de relatórios sobre
necessidades de negócio. segurança.
Relatórios sobre disponibilidade de serviços são incompletos e não levam em conta os impactos Não há geração de relatórios sobre
no negócio. disponibilidade de serviços.
Uma ampla política de gestão de riscos define quando e como conduzir análise de riscos.
A análise de riscos segue um processo definido que é documentado e disponibilizado para todos
os colaboradores envolvidos.
Responsabilidades sobre a segurança da informação são atribuídas, mas não são consistentemente
aplicadas.
Os relatórios de segurança da informação são focados na TI, ao invés de focar nas questões Não há relatórios de segurança da
envolvidas diretamente no negócio. informação.
Há a execução de testes de intrusão
Testes ad hoc de intrusão são executados. na rede computacional, executado
pela equipe de operação de rede.
84
AVALIAÇÃO
COMENTÁRIOS E
NÍVEL CARACTERÍSTICAS Procede
Não Procede Procede CONSIDERAÇÕES
Parcialmente
A análise de risco é padronizada e exceções a esse padrão serão comunicadas pelo líder de TI. Análise de riscos não é padronizada.
É provável que a gestão de riscos seja uma área definida na empresa, com um gerente de nível Não há área específica para gestão de
sênior. riscos.
A gerência de riscos e a gerência de TI determinam os níveis de risco que a organização pode Não há área específica para gestão de
tolerar. riscos.
As responsabilidades pela segurança da informação são claramente atribuídas, gerenciadas e Não há atribuição formal de
4- GERENCIADO E MENSURÁVEL
Relatórios de segurança da informação estão relacionados aos objetivos de negócio. Não há produção de relatórios de SI.
85
AVALIAÇÃO
COMENTÁRIOS E
NÍVEL CARACTERÍSTICAS Procede
Não Procede Procede CONSIDERAÇÕES
Parcialmente
A segurança da informação é de responsabilidade conjunta da TI e do negócio, sendo integrada Não há atribuição formal de
aos objetivos corporativos. responsabilidades em SI.
Requisitos de segurança são claramente definidos, otimizados e incorporados ao plano de Há apenas definição de requisitos de
segurança da informação. segurança.
Incidentes são prontamente tratados por procedimentos formais de resposta e são suportados por Incidentes são tratados, há uma
ferramentas automatizadas. ferramenta, mas não há o processo.
Testes de intrusão, análises de causa raiz de incidentes e identificação proativa de riscos são as
bases para a melhoria contínua da segurança.
86
ANEXO II. ARRANJOS DECISÓRIOS DA ÁREA DE TI.
Neste quadro encontra-se a matriz de arranjo das decisões de TI na organização, segundo os arquétipos de governança de TI para a alocação de direitos
de decisão (BERMEJO e TONELLI, 2012):
87
ANEXO III. PRINCIPAIS SISTEMAS DE INFORMAÇÃO EM USO NA ORGANIZAÇÃO.
Neste quadro pode-se observar uma descrição sintética dos principais sistemas de informação em uso pela organização (IPHAN, 2010):
Sistema de Administração Corporativa – Sistema legado responsável por permitir o controle de acesso de servidores aos diferentes
JAVA 139
ADMCORP sistemas do IPHAN
Sistema de Gestão de Almoxarifado – Sistema de gerenciamento de estoque por unidade do IPHAN, contemplando o cadastro de
JAVA
ALMOXARIFADO materiais, suas respectivas aquisições e baixas, além da emissão de diversos relatórios.
Arquivo Noronha Santos – ANS ASP 261 Hotsite apenas de consulta ao acervo do Arquivo Noronha Santos
Sistema de Bens Culturais Procurados – Consulta Interface web, disponível no portal do IPHAN, para consulta, por meio de diferentes filtros,
JAVA 261
Externa – BCP/CE dos dados cadastrados através do sistema BCR.
Sistema que agrega informações sobre os bens registrados pelo IPHAN até o momento.
Sistema de Bens Culturais Registrados – BCR JAVA 530 Disponibiliza não apenas informações textuais, como também, vídeos e áudios relacionados
ao bem imaterial registrado.
Sistema de Bens Culturais Registrados – Consulta Interface web, disponível no portal do IPHAN, para consulta, por meio de diferentes filtros,
JAVA 261
Externa – BCR/CE dos dados cadastrados através do sistema BCP.
88
Software de catalogação e a difusão de acervos de bibliotecas públicas e privadas, de
Biblioteca Livre JAVA; TOMCAT6
variados portes.
Sistema responsável armazenar os dados de identificação pessoal dos negociantes, bem como
Cadastro Nacional de Negociantes de Antiguidades
JAVA 187 dos objetos por eles comercializados. Registra, da mesma forma, informações sobre os
e Obras de Arte – CNART
leiloeiros que atuam no mercado de arte, além dos respectivos eventos de leilão.
Sistema que controla os processos e documentos recebidos e expedidos IPHAN, no que diz
Sistema de Controle de Processo e Documento –
ASP, JAVA 390 respeito à sua gestão documental (registro, classificação, tramitação, arquivamento,
CPROD
expedição, avaliação, transferência, pesquisa e gerenciamento).
Ferramenta portal que permite gerenciamento dinâmico das informações, organizadas por
Portal Internet JAVA 387 seções de conteúdo. O sistema permite cadastramento de diferentes tipos de informações,
como notícias, legislação, unidade organizacional, dentre outras categorias.
Sistema de Acompanhamento e Cadastramento de Sistema responsável pelo cadastro de solicitações de autorização de pesquisa pelas
JAVA; TOMCAT7
Conhecimento Tradicional Associado – SACCTA Universidades e acompanhamento dos respectivos projetos pelo IPHAN.
Gerencia o patrimônio de cada unidade do IPHAN por meio de acesso setorizado. Permite
Sistema de Gerenciamento de Patrimônio – SGP JAVA cadastrar bens e suas respectivas categorias, diferentes formas de movimentação desses bens
entre diversos responsáveis, além da emissão de diversos formatos de relatórios.
89
Sistema responsável pelo cadastro de sítios arqueológicos que são objeto de trabalho do
Sistema de Gerenciamento do Patrimônio
DELPHI 73 IPHAN. A ferramenta permite, também, publicar as informações finalizadas para um
Arqueológico – SGPA
ambiente wordpress disponível no portal do IPHAN.
Sistema de Informações Gerenciais do IPHAN PHP 1500 Sistema que permite cadastrar e tramitar planos de ação no âmbito do IPHAN.
Sistema responsável pela manutenção atualizada dos dados dos servidores, estagiários e
Sistema de Gestão de Pessoas IPHAN – SISGEP JAVA; JBOSS terceirizados do IPHAN. Deverá ser composto de vários módulos, como Cadastro, Avaliação,
Capacitação, Pagamento, dentre outros.
Sistema de Controle de Planos de Ação – Sistema de planos de ação do IPHAN. Atualmente disponível somente para consulta, já que
JAVA 295
Planejamento – SISPLAN foi substituído pelo Sig-IPHAN
90
ANEXO IV. SUGESTÃO DE INDICADORES E METAS.
No quadro abaixo estão listados os indicadores sugeridos pelo autor para medir o desempenho do Processo de Aquisição de Soluções e Gerenciamento
de Contratações de Tecnologia da Informação:
METAS
INFORMAÇÃO DO IPHAN
E GERENCIAMENTO DE
TI.
3 – Percentual de implantação de
ferramenta de gerenciamento de contratos 50% 12 meses 100% 24 meses
no âmbito da organização.
91