Boas Práticas em Governança
e Gestão de TI
Prof. Guilherme Alexandre Monteiro Reinaldo
Recife
‹#›
Contatos

Prof. Guilherme Alexandre Monteiro Reinaldo

Apelido: Alexandre Cordel

E-mail/gtalk: [email protected]
[email protected]

Site: http://www.alexandrecordel.com.br/fbv

Celular: (81) 9801-1878
Agenda

Planejamento de TI

Desenvolvimento

Infraestrutura

Serviços de TI

Gerenciamento de Projetos

Segurança da Informação

Contratações de Soluções de TI

Como Fazer?
BOAS PRÁTICAS
PARTE I
Planejamento de TI
Desenvolvimento
Infraestrutura
Serviços de TI
Gerenciamento de Projetos
Neg
ócio
TI
SLA
Planejamento de TI
Planejamento Estratégico
Institucional
Planejamento Estratégico de TI
Planejamento Tático de TI
Contratação de Soluções de TI
Planejamento de TI

Posicionamento e Estruturação da TI
Alta
Administração
Tecnologia da
Informação
Desenvolvimen
to
Infraestrutura
Segurança da
Informação
...
Planejamento de TI

Pessoal de TI
Carreira e Cargos Específicos
de TI
Quantitativo de Pessoal
Adequado
Mapeamento de Competências
Capacitação e Treinamento
Planejamento de TI

Comitê de TI
•Estrutura para Tomada de Decisão
•Natureza: Consultiva ou Deliberativa
•Como fazer:
Constituição
do Comitê de
TI
Planejamento
das
Comunicações
Execução do
Cronograma
de Reuniões
Planejamento de TI

Mapeamento dos Processos de TI
Planejamento de TI

Recomendações
• Reavaliar a composição do Comitê Gestor de TI, incluindo
representantes das áreas de negócio da entidade, e elaborar
plano de comunicação e cronograma de reuniões do comitê.
• Implantar processo formal de planejamento estratégico,
englobando as ações, benefícios, custos e riscos da TI que
sustentem a estratégia de negócio e os requisitos de
governança, utilizando como linha orientativa o Processo PO
01 do COBIT.
• Realizar estudo quantitativo e qualitativo das necessidades de
pessoal para planejamento, coordenação e controle dos
processos de gestão e governança de TI, procedendo com o
posterior processo seletivo e a contratação dos profissionais,
se for o caso.
Desenvolvimento

Processo de Desenvolvimento de Software
Desenvolvimento

Medição de Esforço
Desenvolvimento

Catálogo de Sistemas
Infraestrutura

Gestão e Monitoramento de Ativos
Serviços de TI

Catálogo e Acordos de Níveis de Serviços de TI
TI
Negóci
o
SLA
Serviços de TI

Helpdesk
Gerenciamento de Projetos

Metodologia de Gerenciamento de Projetos (PMBOK)
Gerenciamento de Projetos

Escritório de Gerenciamento de Projetos
Gestão de Projetos
Diagnóstico e Maturidade
Mentoring e Coaching
Gestão de Portfólio de Projetos
Seleção de Perfis Internos
Gestão de Mudança
BOAS PRÁTICAS
PARTE II
SEGURANÇA DA INFORMAÇÃO
CONTRATAÇOES DE SOLUÇÕES DE TI
Segurança da Informação

Política de Segurança da Informação - PSI

Plano de Continuidade do Negócio – PCN

PSI e PCN x Órgãos de controle
Segurança da Informação
Por que é importante zelar pelas informações?
É o recurso patrimonial mais crítico;
Compromete a imagem da
instiuição;
Adulterar
informações
Pessoa de má-fé
Concorrentes
Comprometimento de processos
institucionais;
Clientes e sociedades.
1) Política de Segurança da Informação
DOCUMENTO APROVADO PELA ALTA
ADMINISTRAÇÃO
PRINCÍPIOS, DIRETRIZES E REGRAS
PSI
LINHAS MESTRAS A SEREM SEGUIDAS
PELA INSTITUIÇÃO
REVISADO , ATUALIZADO E
DIVULGADO
NÃO RESTRITO A ÁREA DE TI
1) Política de Segurança da Informação
Informações mínimas:
Declaração do comprometimento da alta administração
Definição de responsabilidades gerais
Gerência de Riscos e Plano de Continuidade do Negócio
PSI
Política inter- relacionadas (backup, senhas, contratação, internet,
softwares, equipamentos, etc )
Classificação das informações: irrestrito, interno, confidencial e
secreta.
Consequências de violações de normas ( penalidades)
Plano de treinamento em S.I.
2) Plano de Continuidade dos Negócios
PCN
Integridade
Disponibilidade
A
L
T
A
A
D
M
I
N
I
S
T
R
A
Ç
Ã
O
Plano de estratégias e procedimentos
Conjunto de medidas com ações preventivas e de
recuperação
Serve para combater problemas inesperados
Minimizar impactos negativos
Ex: desastres, incêncios, greves, falhas de
equipamentos, interrupção de serviços e sistemas
3) Plano de Continuidade dos Negócios

Como garantir que o PCN funcionará?
a)
Treinamento e conscientização
b)
Testes periódicos
c)
Manutenção contínua (revisado)
Como eu faço?
Estabelecendo Normas Internas da Empresa
Exemplo: Linha orientativa:
Norma Complementar 06/IN01/DSIC/GSIPR
PSI x Órgãos de controle
Acórdão nº 1233/2012 Plenário)
9.15.12. estabeleça a obrigatoriedade de que os entes sob sua
jurisdição implementem os seguintes controles gerais de TI
relativos à segurança da informação (subitem II.8):
9.15.12.4. estabelecimento de política de segurança da
informação, à semelhança das orientações contidas na NBR ISO/IEC
27.002, item 5.1 – Política de segurança da informação
Acórdão nº 1382/2009 Plenário, Acórdão nº 906/2009 Plenário,
Acórdão nº 381/2011 Plenário, Acórdão nº 2746/2010 Plenário.
PCN x Órgãos de controle
(Acórdão 1382/2009 Plenário)
9.2. (...) defina formalmente um Plano de Continuidade do
Negócio (PCN) que garanta, em caso de falhas ou desastre
natural significativo, a retomada tempestiva do funcionamento
do órgão, protegendo os processos críticos, de acordo com o
previsto no item 14 da NBR ISO/IEC 17799:2005, e segundo
orientações contidas no Cobit 4.1, item DS4.2 - Planos de
Continuidade de TI
Contratações de Soluções de TI
Vantagens: (garantias)

Riscos envolvidos sejam gerenciados;

Contratação alinhada aos objetivos institucionais

Recursos sejam bem utilizados (financeiros e humanos)
Demandam esforço considerável de várias unidades para fazer
a licitação (ex. estudos técnicos preliminares, TR – Termo de
Referência, edital, jurídico, etc.)
Contratações de Soluções de TI
Desvantagens:



Contratar produtos e serviços que não agreguem
efetivamente valor ao órgão, isto é, que não ajudem o
órgão a alcançar os objetivos definidos;
Preço acima de valores do mercado
Contratar soluções de TI que ultrapassem a necessidade da
entidade
Esses riscos podem materializar-se em eventos e gerar sanções àquele
que lhes deram causa.
Consequência: Órgãos de controle Públicos = TCU, CGU e MP.
Órgãos de Controle Privados = Controladoria Interna.
BOAS PRÁTICAS
1)
2)
Documentar os artefatos de planejamento da contratação nos autos
do processo de contratação. (processo administrativo)
Publicar políticas e normas:
O que pode ser normatizado?
a)
Procedimentos para estimar preços das contratações;
b)
PSI
c)
Metodologia de Desenvolvimento de Sistemas (MDS), NBR
ISO/IEC 12.207 e 15.504;
d)
Nomeação e atribuições dos gestores e fiscais de contratos
e)
Política de uso dos recursos de TI (internet, e-mail, etc.)
BOAS PRÁTICAS
3) Capacitar funcionários em contratação de soluções de TI e em gestão de contratos
a)
Funcionários minimamente capacitados (qtd. adequada)
b)
Contínua (complexidade e dinamismo)
4) Documentar todas as interações com empresas interessadas, licitantes e com
a contratada.
5)Utilizar compilação da legislação, da jurisprudência e dos normativos do órgão
que afetam as contratações de TI

Lei de introdução as normas do Direito brasileiro – antigo Cod. Civil
Decreto-Lei 4.657/1942
“Art. 3º Ninguém se escusa de cumprir a lei, alegando que não a conhece.”
Falta de conhecimento da lei não é justificativa para deixar de cumpri-la.
Cobit 4.1, “ME3.1 Identificação dos Requisitos de Conformidade com Leis,
Regulamentações e Contratos Externos
Principais fragilidades
1) Falhas na definição dos objeto da contratação;
2) Ausência de orçamento estimado em planilhas de quantitativos e
preços unitários;
3) Pagamento pela prestação de serviços de TI não vinculado aos
resultados/pagamento por homem-hora;
Paradoxo lucro-incompetência
1)
< qualificação > nr de horas > lucro empresa > custo Entidade
2)
Pagar por disponibilidade mesmo s/ contraprestação do serviço
4) Ausência de mecanismos de gestão contratual.
GESTÃO DE CONTRATOS DE TI
Cláusulas específicas de TI:

Comunicação;

Confidencialidade;

Segurança da informação;

Direitos autorais;

Transferência de informação e documentação;

ANS: prazos, penalidades, responsabilidades das partes;

Qualidade dos serviços.
Atores
GESTOR
Serviço administrativo
FISCAL
Serviço pontual
Reequilíbrio econômico-financeiro, Eficiência, eficácia, efetividade,
pagamentos, repactuação, reajuste, qualidade e resultados
etc.
Cuida dos aspectos formais da
contratação
Acompanha a execução contratual
Sugere a aplicação das penalidades
Identifica e reporta as
irregularidades
ATRIBUIÇÕES DOS FISCAIS





Conhecer o objeto;
Fazer check-list com informações ao bom e fiel
cumprimento do contrato
Registrar todas ocorrências e providências que possam
prejudicar o contrato – “Registro e Comunicação de
ocorrências”
Ter arquivo exclusivo ( cópia do contrato, proposta, edital,
TR, anexos, comunicações com o preposto.
Ter um livro de registro.
ATRIBUIÇÕES DOS FISCAIS



Preposto – comunicação formal – evitar subordinação direta
Fiscalizar cumprimento de obrigações e encargos
trabalhistas
Ateste de NF conferindo previamente o bem ou serviço de
acordo com o contratado (qualidade, ANS, preços, prazos
de entrega)
Contratações de Soluções de TI

Recomendações
•Designar fiscal para acompanhamento da
execução dos contratos, estabelecendo, nas
contratações de serviços de TI, procedimentos
periódicos de controle com vistas a verificar o
cumprimento da obrigação contratual em
relação às equipes técnicas de empregados e
respectivos serviços prestados.
•Realizar ampla pesquisa das especificações
técnicas de bens de TI, abrangendo diversos
modelos e marcas, com vistas a não restringir a
participação de potenciais licitantes no
processo licitatório.
Contratações de Soluções de TI

Recomendações
•Utilizar métricas vinculadas aos resultados
esperados nas contratações de soluções de TI,
se abstendo de realizar o pagamento por
simples medição das horas trabalhadas.
•Definir níveis mínimos de serviços nas futuras
contratações de soluções de TI, a fim de
possibilitar a mensuração dos valores a serem
pagos pelos serviços prestados.
•Definir, no instrumento contratual, as sanções
administrativas, de forma clara e detalhada,
inclusive pelo não atendimento dos níveis
mínimos de serviço estabelecidos.
Contratações de Soluções de TI

Recomendações
•Definir, no instrumento contratual, as
sanções administrativas, de forma clara e
detalhada, inclusive pelo não atendimento
dos níveis mínimos de serviço estabelecidos.
Como fazer?

Modelos e Frameworks
• ITIL v.3
• COBIT 4.1
• ISO/IEC 38500:2009 (Governança Corporativa de TI)
• ISO/IEC 27001 e 27002 (Gestão da Segurança da
Informação)
• CMMI
• MPS.BR
• NBR ISO/IEC 12.207 e 15.504
Referências



ROSS, Jeanne W.; WEILL, Peter. Governança de TI:
tecnologia da informação: como as empresas com melhor
desempenho administram os direitos decisórios de ti na
busca por resultados superiores. São Paulo: M. Books, 2006.
TERRA, José Cláudio Cyrineu. Gestão do Conhecimento: o
grande desafio empresarial. Rio de Janeiro: Elsevier, 2005.
WEILL, Peter; ROSS, Jeanne W. Governança de TI –
tecnologia da informação. São Paulo: M. Books, 2006.
Download
  1. No category

Boas Praticas de Governanca de TI

A realidade atual do ensino de ciências no ensino médio: atende os

A realidade atual do ensino de ciências no ensino médio: atende os

Weskley Rodrigues Secretário de Gestão Estratégica CNMP

Weskley Rodrigues Secretário de Gestão Estratégica CNMP

4 – ANA DEZOLT Grupo Compras COGEF Agosto2014

4 – ANA DEZOLT Grupo Compras COGEF Agosto2014

Apresentação do PowerPoint

Apresentação do PowerPoint

Educação

Educação

1.5. Cabimento do Registro de Preços

1.5. Cabimento do Registro de Preços

Implantação dos novos procedimentos de compra e

Implantação dos novos procedimentos de compra e

ISO 12207

ISO 12207