Governança em Tecnologia da Informação - FONAI-MEC
47
Governança em Tecnologia da Informação 40º FonaiT ec Campo Grande, 16 de maio de 2014 André Luiz Furtado Pacheco, CISA Informação
Transcript of Governança em Tecnologia da Informação - FONAI-MEC
Governança em Tecnologia da
Informação
40º Fonai TeecCampo Grande, 16 de maio de 2014
André Luiz Furtado Pacheco, CISA
Informação
Agenda1. Introdução2. Situação Governança de TI na Administração
Pública Federal3. A Alta Administração na Governança de TI4. Problemas advindos da baixa Governança
2
4. Problemas advindos da baixa Governança de TI
5. Um caso real: Acórdão 649/2014–Plenário
6. Como implantar a Governança de TI na Administração Pública
7. O Controle Interno na Governança de TI
1. Introdução1. Introdução
3
Alta dependência da TI�O que ocorreria se falhassem, por
exemplo, os sistemas que controlam:• ... o recebimento do IRPF?• ... o pagamento do Bolsa Família?• ... o pagamento de aposentadorias?• ... o pagamento de aposentadorias?• ... o andamento dos processos judiciais?• ... as sessões do Congresso Nacional?• ... as publicações da Imprensa Nacional?• ... as matrículas nas Universidades? • … as eleições no País?
4
O que é Governança?O problema de agência
PrincipalAgente
Contrata
Executa
Interessepróprio
Interessepróprio
Principal Executa
Assimetria de informação
Conflito de interesse
5
Definição
� “O sistema pelo qual o uso atual e futuro da TI é dirigido e controlado.”
Governança de TI
futuro da TI é dirigido e controlado.” (NBR 38.500)
� TI deve agregar valor ao negócio� Riscos aceitáveis
6
Mas o que é agregar valor ?
Governança de TI
O Rei do Camarote pode responder ?7
Governança de TIResponsabilidade
A responsabilidade por prover umaboa governança de TI é da altaboa governança de TI é da altaadministração da organização(NBR 38.500)
8
2. Situação da Governança de TI na Administração de TI na Administração
Pública Federal
9
Levantamentos de Governança de TI (iGovTI)
• 1º em 2007• 255 Organizações• 39 perguntas• Acórdão 1603/2008-P
• 2º em 2010• 301
Organizações• 30 perguntas
• 3º em 2012• 338
Organizações• 36 perguntas• Acórdão 1603/2008-P
• Ênfase em *Planejamento;*Comitê de TI; *Contratação de TI; *Processo de Software; *Orçamento; *Recursos Humanos; *Segurança da Informação; *Auditoria de TI.
• 30 perguntas• 152 itens
• Criação do iGovTI
• Acórdão 2308/2010-P
• Ênfase em Liderança
• 36 perguntas• 494 itens
• Acórdão 2585/2012-P
• Ênfase em Resultados
10
Levantamentos de Governança de TI (iGovTI)
Distribuições das Organizações por estágio do iGovTI
11
Mapeamento de Riscos
12
Caso da espionagem americana
� Revelações de Edward Snowden;� Decreto nº 8.135, de 4 de novembro de 2013:
� Dispõe sobre as comunicações de dados daadministração pública federal direta, autárquica efundacional, e sobre a dispensa de licitação nascontratações que possam comprometer a segurançanacional;
� Ferramenta de correio eletrônico segura e criptografada,desenvolvida com base no Expresso V3.
13
Acórdão 1.603/2008-TCU-Plenário:“9.2. recomendar ao Gabinete de Segurança Institucional daPresidência da República - GSI/PR que oriente osórgãos/entidades da Administração Pública Federalsobre a importância do gerenciamento da segurança dainformação , promovendo, inclusive mediante orientaçãonormativa , ações que visem estabelecer e/ou aperfeiçoar anormativa , ações que visem estabelecer e/ou aperfeiçoar agestão da continuidade do negócio , a gestão demudanças , a gestão de capacidade , a classificação dainformação , a gerência de incidentes , a análise de riscosde TI, a área específica para gerenciamento dasegurança da informação , a política de segurança dainformação e os procedimentos de controle de acesso .”
14
Segurança da InformaçãoAcórdão 2.585/2012-TCU-Plenário - Baixos sinais de e volução
15
3. A Alta Administração na Governança de TIna Governança de TI
16
Papel da Alta Administração
Responsabilidade
Estratégia
Aquisição
Avaliar
Dirigir
Baseado na NBR 38.500, governar a TI é:
Desempenho
Conformidade
Comportamento Humano
Dirigir
Monitorar
17
Papel da liderança na Governança de TI
50%
60%
70%
80%
90%
100%
gove
rnan
ça em
proc
esso
s de T
ICorrelação entre governança em liderança e governança em
processos de TI
0%
10%
20%
30%
40%
50%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
gove
rnan
ça em
proc
esso
s de T
I
governança em liderança de TI
Coeficiente de correlação=0,60
18
Temas que merecem atenção
A Alta Administração NÃO:
� ... estabeleceu objetivos de desempenho de gestão de TI (46%)
Resultados(Dimensão Liderança)
gestão de TI (46%)
� ... definiu indicadores de desempenho de gestão e uso de TI (63%)
� ... acompanha os indicadores de benefícios dos principais sistemas (77%)
19
4. Problemas Advindos da Baixa Governança de TIBaixa Governança de TI
20
1º) Ausência de Plano de Continuidade de Negócio em vigor (97%)
�Situação:• Ausência de Plano de Continuidade do
Negócio• Falta/deficiência de recursos ou planos• Falta/deficiência de recursos ou planos
de contingência�Exemplos reais:
• Acórdão 172/2008-TCU-2ª Câmara• Acórdão 1.330/2008-TCU-Plenário
21
1º) Ausência de Plano de Continuidade de Negócio em vigor (97%)
�Consequências:• Falha nos equipamentos de processamento
centralizado provocou (Acórdão 172/2008):� Paralisação do Banco por mais de 20h� Paralisação do Banco por mais de 20h� Danos à imagem� Prejuízos financeiros
• Vírus gerou paralisação da rede por mais deduas semanas (Acórdão 1330/2008)
22
2º) Ausência de processo de software gerenciado - nível 2 da NBR 15.504 (40%)�Exemplo Real: TC 031.963/2008-0
�Situação:• Edital e projeto básico não possuíam indicadores de
qualidade e desempenho (níveis de serviço ouparâmetros de performance)parâmetros de performance)
• Processo de homologação do produto sem viéstécnico e sem verificar a solução de TI em suaintegralidade� Homologação focada só na usabilidade (ponto de
vista do usuário)� Homologação focada no aceite de casos de uso
individual (ausência de testes integrais)
23
2º) Ausência de processo de software gerenciado - nível 2 da NBR 15.504 (40%)
�Consequências:• Produto apresentou problemas de 2004 a 2007
(momento da entrega da solução completa)• Procedimento de homologação não garantiu a• Procedimento de homologação não garantiu a
qualidade do produto e não logrou exigircorreções pela contratada
• Não implantação do sistema , apesar de tersido homologado e pago
24
3º) Ausência de aprovação e publicação do PDTI interna ou externamente (46%)�Exemplo Real: Acórdão 2.023/2005-TCU-Plenário�Situação:
• Planejamento deficiente�Consequência:
• Desenvolvimento de sistema em 2000/2001 , • Desenvolvimento de sistema em 2000/2001 , considerado relevante e aprovado nos testes
• Ausência de infraestrutura necessária à execução do sistema (infraestrutura de rede, servidores e equipamentos)
• Sistema não implantado até 2005
25
4º) Ausência de política corporativa de segurança da informação (55%)
�Exemplo Real: Acórdão 71/2007-TCU-Plenário
�Situação:• Sistema de âmbito nacional com
informações confidenciais e relevantes dosinformações confidenciais e relevantes doscidadãos
• Minuta de Política de Segurança daInformação (PSI) desatualizada e nãoformalmente aprovada
• Política de Controle de Acesso deficiente
26
4º) Ausência de política corporativa de segurança da informação (55%)
�Consequências:• Dificuldade na identificação de
responsabilidades quanto aos assuntos de segurança da informaçãode segurança da informação
• Grande vulnerabilidade do sistema• Vazamento e mau uso de informações
privadas e confidenciais dos cidadãos• Atraso na implementação total do
sistema
27
5. Um caso real: Acórdão 649/2014 –PlenárioAcórdão 649/2014 –Plenário
28
Um caso real: Acórdão 649/2014-Plenário
� Auditoria realizada na primeira fase do trabalho defiscalização de governança de TI com foco na avaliaçãoda entrega de resultados e na gestão de riscos ,realizado na sistemática de Fiscalização de OrientaçãoCentralizada (FOC);
� O objetivo da auditoria foi avaliar a implementação doscontroles informados pela Universidade em resposta aolevantamento do perfil de governança de TI realizado em2012, bem como verificar e avaliar a adoção pela entidadeauditada de planos e estratégias para implementação emelhoria da governança e da gestão de TI .
29
Um caso real: Acórdão 649/2014-Plenário“9.1. Recomendar à Universidade (...):9.1.1. estabeleça processo de planejamento estratégicode TI que contemple, ao menos, as práticas descritas nositens 9.1.2.1 a 9.1.2.6 do acórdão 1233/2012-TCU-Plenário;”
Acórdão 1233/2012-TCU-Plenário:“9.1.2.1. elaboração, com participação de representantes“9.1.2.1. elaboração, com participação de representantesdos diversos setores da organização, de um documento quematerialize o plano estratégico de TI , contemplando, pelomenos:9.1.2.1.1. objetivos, indicadores e metas para a TIorganizacional, sendo que os objetivos devem estarexplicitamente alinhados aos objetivos de negócioconstantes do plano estratégico institucional;(...)”30
Um caso real: Acórdão 649/2014-Plenário“(...)9.1.2.1.2. alocação de recursos (financeiros, humanos, materiais etc);9.1.2.1.3. estratégia de terceirização;9.1.2.2. aprovação, pela mais alta autoridade da organização, doplano estratégico de TI;9.1.2.3. desdobramento do plano estratégico de TI pelas unidadesexecutoras;9.1.2.4. divulgação do plano estratégico de TI para conhecimento9.1.2.4. divulgação do plano estratégico de TI para conhecimentodos cidadãos brasileiros, exceto nos aspectos formalmentedeclarados sigilosos ou restritos;9.1.2.5. acompanhamento periódico do alcance das metasestabelecidas, para correção de desvios;9.1.2.6. divulgação interna e externa do alcance das metas, ou osmotivos de não as ter alcançado;”
31
Um caso real: Acórdão 649/2014-Plenário“9.1.2. elabore e aprove formalmente processo deaprimoramento contínuo da governança de TI , a exemplodas boas práticas contidas no capítulo 3 do guia dereferência da implementação do Cobit 5 , que contemple,ao menos:definição de papéis e responsabilidades voltadasespecificamente para a melhoria da governança de TI;especificamente para a melhoria da governança de TI;realização de diagnósticos ou autoavaliações degovernança e de gestão de TI;e definição e acompanhamento de metas de governançade TI e das ações necessárias para alcançá-las, com baseem parâmetros de governança, necessidades de negócio eriscos relevantes;(...)”32
Um caso real: Acórdão 649/2014-Plenário“9.1.3. estabeleça, formalmente, em consonância com odisposto no item 9.1.1 do acórdão 2308/2010-TCU-Plenário ecom base nas boas práticas contidas na seção 3.3 da ABNTNBR ISO/IEC 38500:2009:9.1.3.1. objetivos de gestão e de uso corporativos de TIalinhados às estratégias de negócio;9.1.3.2. indicadores de desempenho para os objetivos de9.1.3.2. indicadores de desempenho para os objetivos degestão definidos;9.1.3.3. metas de desempenho da gestão e do usocorporativos de TI para cada indicador definido;9.1.3.4. mecanismos para que a alta administraçãoacompanhe o desempenho da TI da instituição; e9.1.3.5. mecanismos de gestão dos riscos relacionados aosobjetivos de gestão e de uso corporativos de TI;”33
Um caso real: Acórdão 649/2014-Plenário“9.1.4. adote providências no sentido de dotar esse setorcom o quantitativo de pessoal adequado para suprir asnecessidades de trabalho em TI , com fundamento nasorientações contidas no Cobit 5, Prática de Gestão APO07.01– Maintain adequate and appropriate staffing, levando emconsideração as necessidades de pessoal das demais áreasdo órgão;do órgão;9.1.5. elabore, aprove e acompanhe a execução de planoanual de capacitação do pessoal do setor de TI daentidade , de forma a prover e aprimorar o conhecimentonecessário para a gestão e operação de TI, com fundamentonas orientações contidas no Cobit 5, Prática de GestãoAPO07.03 – Maintain the skills and competencies ofpersonnel, atividades 4 e 5, e em consonância com oitem 9.9.1 do acórdão 1233/2012-TCU-Plenário;”34
Um caso real: Acórdão 649/2014-Plenário
“9.1.6. implemente processo de gestão de nível de serviço
de TI, de forma a assegurar que níveis adequados de
serviço sejam entregues para os clientes internos de TI
de acordo com as prioridades do negócio e dentro do
orçamento estabelecido , com fundamento nas orientações
contidas na seção 6.1 da ABNT NBR ISO/IEC 20000-2:2008
c/c APO09 - Manage Service Agreements, Cobit 5;”
35
Um caso real: Acórdão 649/2014-Plenário“9.1.7. elabore e execute processo de gestão decontinuidade dos serviços de TI , com fundamento nasorientações contidas no Cobit 5, DSS04.3 – Develop andimplement a business continuity response;9.1.8. elabore, execute e teste periodicamente o plano degestão de continuidade do negócio da instituição , de formaa minimizar os impactos decorrentes de falhas, desastres oua minimizar os impactos decorrentes de falhas, desastres ouindisponibilidades significativas sobre as atividades daentidade , com fundamento nas orientações contidas na seção14 da ABNT NBR ISO/IEC 27002:2005, nas seções 8.6 e 8.7da ABNT NBR 15999-1:2007 e no Cobit 5, DSS04.3 – Developand implement a business continuity response, em atenção àsdisposições contidas na NC – DSIC/GSI/PR 6/IN01, de 11 denovembro de 2009, e em consonância com o item 9.2 doacórdão 1603/2008-TCU-Plenário;”
36
Um caso real: Acórdão 649/2014-Plenário“9.1.9. elabore e execute processo de gestão de ativos deinformação da entidade , com fundamento nas orientaçõescontidas na seção 7.1 da ABNT NBR ISO/IEC 27002:2005 e noCobit 5, Processo BAI09 – Manage assets, em atenção aodisposto na NC – DSIC/GSI/PR 10/IN01, de 30 de janeiro de2012;
9.1.10. elabore e aprove formalmente a política de controle9.1.10. elabore e aprove formalmente a política de controlede acesso a informações e recursos de TI , com base nosrequisitos de negócio e de segurança da informação do/daórgão/entidade, com fundamento nas orientações contidas naseção 11.1.1 da ABNT NBR ISO/IEC 27002:2005, em atençãoao item 2.6 da NC – DSIC/GSI/PR 7/IN01, de 6 de maio de2010, e em consonância com o item 9.2 do acórdão 1603/2008-TCU-Plenário;”
37
Um caso real: Acórdão 649/2014-Plenário
“9.1.11. implante programas de conscientização etreinamento em segurança da informação no âmbito daentidade , com fundamento nas orientações contidas na seção8.2.2 da ABNT NBR ISO/IEC 27002:2005, em atenção aodisposto na seção 3.2.5 da NC – DSIC/GSI/PR 2/IN01, 13 deoutubro de 2008;outubro de 2008;
9.1.12. elabore e implemente processo de gestão de riscosde segurança da informação , com fundamento nasorientações contidas na seção 4 da ABNT NBR ISO/IEC27002:2005, em atenção ao disposto na NC – DSIC/GSI/PR4/IN01, de 15 de fevereiro de 2013;”
38
Um caso real: Acórdão 649/2014-Plenário
“9.1.13. elabore e execute processo de gestão de
incidentes de segurança da informação , bem como institua
formalmente equipe específica para tratar dos incidentes
dessa natureza, com fundamento nas orientações contidas na
seção 13 da ABNT NBR ISO/IEC 27002:2005, em atenção ao
item 3.2.7 da NC – DSIC/GSI/PR 2/IN01, de 13 de outubro de
2008.”
39
Um caso real: Acórdão 649/2014-Plenário“9.2. Determinar à [Universidade] que inclua nos relatóriosde gestão dos exercícios vindouros informaçõesespecíficas que permitam o acompanhamento pelosórgãos de controle das ações afetas à governança de TI ,conforme orientações contidas no item 7 e seus subitens doAnexo Único da Portaria-TCU 175/2013.9.3. Alertar a administração da [Universidade] sobre osriscos atinentes à contratação de bens e serviços de TI ,elencados no item 26 da proposta de deliberação, a que estáexposta ao não adotar adequadamente as boas práticasutilizadas como parâmetro de avaliação, bem como asrecomendações exaradas nos acórdãos de referência ;”
40
6. Como Implantar a Governança de TI na Governança de TI na
Administração Pública
41
Acórdão 2.308/2010-TCU-Plenário
�Orientar a alta administração a estabelecer formalmente :• os objetivos institucionais de TI alinhados às
estratégias de negócio (dirigir)• os indicadores para cada objetivo (dirigir)• os indicadores para cada objetivo (dirigir)• as metas para cada indicador (dirigir)• os mecanismos que a alta administração
adotará para acompanhar o desempenho daTI da instituição (monitorar)
42
Como implantar a Governança de TI na Administração Pública
� Passo 1: Obter, capacitar, valorizar e manter Recursos Humanos de TI
� Passo 2: Aprovar um Plano Estratégico Institucional (PEI)� Passo 3: Aprovar um Plano Estratégico de TI (PETI)� Passo 4: Criar Comitê de TI� Passo 4: Criar Comitê de TI� Passo 5: Implantar Estrutura de Gestão de TI� Passo 6: Implantar Gestão de Segurança da Informação� Passo 7: Implantar Processo de Software� Passo 8: Implantar Processo de Contratação de TI� Passo 9: Utilizar a Auditoria Interna� Passo 10: Monitorar os resultados
43
7. O Controle Interno na Governança de TIGovernança de TI
44
Reforçando
Governar a TI é ação da Alta Administração, e não da área de TI.e não da área de TI.
45
Objetivo Final
Governança de TI
Implementação/aprimoramentoAlta
AdministraçãoImplementação/aprimoramentodo modelo de governança
Desgovernança de TI
Administração(responsabilidade)
com apoio do Controle Interno
46
