O documento descreve uma investigação realizada pela SEFTI sobre a governança de TI na Administração Pública Federal brasileira. A investigação avaliou 9 questões de auditoria relacionadas à gestão de TI e identificou 32 achados problemáticos. Os principais achados incluíram a ausência de planejamento estratégico de TI, falta de qualificação dos recursos humanos de TI e inexistência de políticas e processos de segurança da informação.

1. Acórdão 1603/2008 e CobiT4.1 na APF Francisco Ítalo Lopes França, PMP Novembro de 2009 1 Francisco Ítalo Lopes França, PMP www.governancadeti.com.br

2. SEFTI Secretaria do TCU criada em 2006 Dimensão estratégica da TI Complexidade de gestão Aumento dos gastos públicos com TI Denúncias sobre aquisições Objetivo Fiscalizar a gestão e uso de recursos de TI pela APF; 2 Francisco Ítalo Lopes França, PMP www.governancadeti.com.br

3. Origem da investigação SEFTI necessitava conhecer a situação atual da Governança de TI na APF; Autorizada pelo Acórdão 435/2007; Objetivo: Coletar informações acerca dos processos de aquisição de bens e serviços de TI, de segurança da informação, de gestão de RH de TI, e das principais bases de dados e sistemas da APF 3 Francisco Ítalo Lopes França, PMP www.governancadeti.com.br

4. Forma de coleta Processo: TC-008.380/2007-1 Questionário eletrônico; 39 perguntas; Evidências em anexo; Amostra de 333 órgãos; Apenas 255 responderam; 4 Francisco Ítalo Lopes França, PMP www.governancadeti.com.br

5. Bases da investigação NBR ISO/IEC 17799:2005 Gestão de segurança da informação NBR ISO/IEC 15999-1:2007 Gestão da continuidade do negócio CobiT 4.1 Instrução Normativa 04/2008 Diversos acórdãos 5 Francisco Ítalo Lopes França, PMP www.governancadeti.com.br

6. Apresentação da investigação Dividida em 9 questões de auditoria; Resultou em 32 achados; Validada pelo Acórdão 1603/2008; 6 Francisco Ítalo Lopes França, PMP www.governancadeti.com.br

7. Questões de auditoria Q1. Planejamento estratégico Q2. Estrutura de pessoal de TI Q3. Segurança da informação Q4. Desenvolvimento de sistemas Q5. Acordos de nível de serviço Q6. Contratação de bens e serviços Q7. Gestão de contratos Q8. Processo orçamentário de TI Q9. Auditoria de TI 7 Francisco Ítalo Lopes França, PMP www.governancadeti.com.br

8. Q1. Planejamento estratégico Questão de auditoria: É feito planejamento estratégico institucional e de TI nos órgãos/entidades? Achados: 1. Ausência de planejamento estratégico institucional em vigor 2. Ausência de planejamento estratégico de TI em vigor 3. Ausência de comitê diretivo sobre ações e investimentos em TI 8 Francisco Ítalo Lopes França, PMP www.governancadeti.com.br

9. Q1. Planejamento estratégico Objetivos de controle associados: PO1.2 Alinhamento entre TI e negócio PO1.4 Plano estratégico de TI PO4.3 Comitê diretivo de TI Francisco Ítalo Lopes França, PMP www.governancadeti.com.br 9

10. Q1. Planejamento estratégico Requisitos de sucesso: Alinhar os planos estratégicos de TI com as necessidades atuais e futuras do negócio; Entender as capacidades atuais da TI; Criar um esquema de priorização dos objetivos de negócio que destaque seus requisitos; Definir um padrão para os processos de TI; Estabelecer estrutura organizacional apropriada; Definir regras e responsabilidades. 10 Francisco Ítalo Lopes França, PMP www.governancadeti.com.br

11. Q2. Estrutura de pessoal de TI Questão de auditoria: Qual o perfil dos recursos humanos da área de TI quanto à formação, vínculo com a organização e pré-requisitos para ocupação de funções comissionadas? Achados: 4. Quantidade reduzida de servidores na área de TI 5. Ausência de formação específica em TI 6. Inobservância das competências necessárias para funções comissionadas 7. Ausência de carreira específica para a área de TI 11 Francisco Ítalo Lopes França, PMP www.governancadeti.com.br

12. Q2. Estrutura de pessoal de TI Objetivos de controle associados: PO7.5 Dependência em indivíduos PO7.2 Competências pessoais PO7.1 Recrutamento e retenção de pessoal Francisco Ítalo Lopes França, PMP www.governancadeti.com.br 12

13. Q2. Estrutura de pessoal de TI Requisitos de sucesso: Revisar desempenho do corpo de colaboradores; Contratar pessoal de TI para dar suporte aos planos táticos de TI; Minimizar o risco de dependência de pessoas chave. Francisco Ítalo Lopes França, PMP www.governancadeti.com.br 13

14. Q3. Segurança da informação Questão de auditoria: São efetuadas ações e procedimentos que contribuam para a minimização dos riscos e o aumento no nível de segurança das informações dos órgãos/entidades? Achados: 8. Ausência de política de segurança da informação em vigor 9. Ausência de plano de continuidade de negócios em vigor 10. Ausência de classificação das informações 11. Ausência de procedimentos de controle de acesso em vigor 12. Ausência de área específica para lidar com segurança da informação 13. Ausência de área específica para gerência de incidentes 14. Ausência de gestão de mudanças 15. Ausência de gestão de capacidade e compatibilidade das soluções de TI 16. Ausência de análise de riscos na área de TI 14 Francisco Ítalo Lopes França, PMP www.governancadeti.com.br

15. Q3. Segurança da informação Objetivos de controle associados: DS5.2 Plano de Segurança de TI DS4.1 Padrão de continuidade de TI; DS4.2 Planos de continuidade de TI; DS4.3 Recursos de TI críticos; DS4.4 Manutenção de plano de continuidade de TI; DS4.5 Teste de plano de continuidade de TI; DS4.6 Treinamento no plano de continuidade de TI; DS4.7 Distribuição do plano de continuidade de TI; DS4.8 Recuperação e retomada de services de TI; DS4.9 Armazenamento externo de backup; DS4.10 Revisão pós retomada PO2.3 Esquema de classificação da informação DS5.3 Gerência de identidade; DS5.4 Gerência de contas de usuário DS12.2 Medidas de segurança física; DS12.3 Acesso físico DS5.1 Gerência da segurança de TI DS5.5 Teste, vigilância e monitoramento de segurança; DS5.6 Definição de incidente de segurança AI6.1 Mudanças em padrões e procedimentos; AI6.2 Avaliação de impacto, priorização e autorização; AI6.3 Mudanças emergenciais; AI6.4 Mudanças no controle de situação e informes; AI6.5 Conclusão de mudanças e documentação PO3.4 Padrões tecnológicos DS3.1 Planejamento de desempenho e capacidade; DS3.2 Desempenho e capacidade atuais; DS3.3 Desempenho e capacidade futuras; DS3.4 Disponibilidade de recursos de TI; DS3.5 Monitoramento e informe PO9.4 Análise de riscos Francisco Ítalo Lopes França, PMP www.governancadeti.com.br 15

16. Q3. Segurança da informação Requisitos de sucesso: Garantir a precisão dos dados de arquitetura e modelo de dados; Atribuir propriedade dos dados; Classificar informações usando um padrão acordado; Estabelecer um fórum para guiar a arquitetura e avaliar a conformidade; Estabelecer um plano de infraestrutura de tecnologia balanceado entre custo, risco e requisitos; Definir padrões de infraestrutura de tecnologia baseados em requisitos de arquitetura; Garantir que o gerenciamento de riscos está totalmente inserido nos processos de gerenciamento, interna e externamente, e aplicado consistentemente; Realizar avaliações de risco; Recomendar e comunicar planos de ação corretiva para riscos; Definir e comunicar procedimentos de mudança, incluindo mudanças emergenciais; 16 Francisco Ítalo Lopes França, PMP www.governancadeti.com.br

17. Q3. Segurança da informação Requisitos de sucesso (cont.): Avaliar, priorizar e autorizar mudanças; Informar o andamento das mudanças; Planejar e prover capacidade e disponibilidade de sistemas; Monitorar e informar desempenho de sistemas; Modelar e prever desempenho de sistemas; Desenvolver, manter e melhorar a contingência de TI; Treinar pessoal e testar os planos de contingência de TI; Armazenar cópias dos planos de contingência e dados externamente; Entender requisitos de segurança, vulnerabilidades e ameaças; Gerenciar identidade de usuários e autorizações de forma padronizada; Testar a segurança regularmente; Implantar medidas de segurança física; Selecionar e gerenciar instalações. 17 Francisco Ítalo Lopes França, PMP www.governancadeti.com.br

18. Q4. Desenvolvimento de sistemas Questão de auditoria: O desenvolvimento de sistemas segue alguma metodologia? Os órgãos/entidades mantêm inventário dos principais sistemas e bases de dados? Achados: 17. Não-adoção de metodologia de desenvolvimento de sistemas 18 Francisco Ítalo Lopes França, PMP www.governancadeti.com.br

19. Q4. Desenvolvimento de sistemas Objetivos de controle associados: AI2.7 Desenvolvimento de software aplicativo Francisco Ítalo Lopes França, PMP www.governancadeti.com.br 19

20. Q4. Desenvolvimento de sistemas Requisitos de sucesso: Traduzir requisitos de negócio em especificações para aplicativos; Aderir a padrões de desenvolvimento em todas as mudanças; Separar operações de desenvolvimento, teste e operação. 20 Francisco Ítalo Lopes França, PMP www.governancadeti.com.br

21. Q5. Acordos de nível de serviço Questão de auditoria: Os órgãos/entidades gerenciam os acordos de níveis de serviço tanto quando prestam internamente como quando contratam externamente serviços de TI? Achados: 18. Ausência de gestão de acordos de níveis de serviços prestados internamente 19. Ausência de gestão de acordos de níveis de serviços contratados externamente 21 Francisco Ítalo Lopes França, PMP www.governancadeti.com.br

22. Q5. Acordos de nível de serviço Objetivos de controle associados: DS1.1 Padrão do gerenciamento de nível de serviço DS1.2 Definição de serviços DS1.3 Acordos de nível de serviço DS1.4 Acordos de nível operacional DS1.5 Monitoramento e informe de ANS DS1.6 Revisão de ANS e contratos Francisco Ítalo Lopes França, PMP www.governancadeti.com.br 22

23. Q5. Acordos de nível de serviço Requisitos de sucesso: Revisar acordos internos e externos de forma alinhada às necessidades e capacidades; Informar resultados dos ANS; Identificar e comunicar qualquer alteração nos requisitos de serviço para o planejamento estratégico. 23 Francisco Ítalo Lopes França, PMP www.governancadeti.com.br

24. Q6. Contratação de bens e serviços Questão de auditoria: O processo de contratação de bens e serviços de TI é formalizado, padronizado e judicioso quanto ao custo, à oportunidade e aos benefícios advindos das contratações de TI? Achados: 20. Ausência de processo formal de trabalho para contratações de TI 21. Ausência de análise de custo/benefício da solução de TI contratada 22. Ausência de explicitação dos benefícios nas contratações de TI 23. Não-exigência de demonstrativo de formação de preço antes da adjudicação 24 Francisco Ítalo Lopes França, PMP www.governancadeti.com.br

25. Q6. Contratação de bens e serviços Objetivos de controle associados: AI5.1 Controle sobre aquisições AI1.3 Estudo de viabilidade e formulação de soluções alternativasAI1.4 Decisão e aprovação dos requisitos e da viabilidade Francisco Ítalo Lopes França, PMP www.governancadeti.com.br 25

26. Q6. Contratação de bens e serviços Requisitos de sucesso: Definir requisitos técnicos e de negócio; Criar estudos de viabilidade como definidos nos padrões de desenvolvimento; Submeter à aprovação os resultados de estudos de viabilidade. 26 Francisco Ítalo Lopes França, PMP www.governancadeti.com.br

27. Q7. Gestão de contratos Questão de auditoria: O processo de gestão dos contratos de TI é formalizado, padronizado e executado? Achados: 24. Ausência de processo formal de trabalho para gestão de contratos de TI 25. Não-realização de reuniões periódicas para avaliar o andamento dos contratos de TI 26. Não-definição prévia de itens para atestação técnica das faturas de contratos de TI 27. Monitoração administrativa dos contratos de TI feita pela área de TI 28. Não-transferência de conhecimento relativo aos produtos e serviços terceirizados para os servidores dos órgãos/entidades 27 Francisco Ítalo Lopes França, PMP www.governancadeti.com.br

28. Q7. Gestão de contratos Objetivos de controle associados: AI5.1 Controle sobre aquisições AI5.2 Gerenciamento de contratos de fornecedores DS2.2 Gerenciamento de relacionamento com fornecedores DS2.3 Gerenciamento de riscos com fornecedores DS2.4 Monitoramento de desempenho de fornecedores AI4.4 Transferência de conhecimento para equipes de operação e suporte Francisco Ítalo Lopes França, PMP www.governancadeti.com.br 28

29. Q7. Gestão de contratos Requisitos de sucesso: Desenvolver e disponibilizar documentação sobre transferência de conhecimento; Comunicar e treinar usuários, gerentes de negócio, equipes operacionais e de suporte; Produzir material de treinamento; Requisitar conselhos profissionais sobre legalidade de contratos; Definir padrões e procedimentos de aquisição; Adquirir equipamento, aplicativo e serviços de forma alinhada aos padrões; Identificar e categorizar serviços de fornecedores; Identificar e mitigar riscos de fornecedores; Monitorar e medir desempenho de fornecedores. Francisco Ítalo Lopes França, PMP www.governancadeti.com.br 29

30. Q8. Processo orçamentário de TI Questão de auditoria: Os órgãos/entidades solicitam o orçamento de TI com base no planejamento da área e controlam os gastos com TI ao longo do exercício financeiro? Achados: 29. Não-consideração das ações planejadas para o próximo ano quando da solicitação de orçamento para a área de TI 30. Não-alocação dos recursos previstos no orçamento às ações constantes do planejamento de TI no início do ano 30 Francisco Ítalo Lopes França, PMP www.governancadeti.com.br

31. Q8. Processo orçamentário de TI Objetivos de controle associados: PO5.3 Orçamentação de TI Francisco Ítalo Lopes França, PMP www.governancadeti.com.br 31

32. Q8. Processo orçamentário de TI Requisitos de sucesso: Prever a alocar orçamentos; Definir critérios formais de investimento; Medir e avaliar o valor do negócio frente às previsões. 32 Francisco Ítalo Lopes França, PMP www.governancadeti.com.br

33. Q9. Auditoria de TI Questão de auditoria: Os órgãos/entidades realizam auditorias de TI nas suas organizações? Achados: 31. Inexecução de auditoria de TI pelos órgãos/entidades 32. Inexistência de equipe própria para realizar auditoria de TI 33 Francisco Ítalo Lopes França, PMP www.governancadeti.com.br

34. Q9. Auditoria de TI Objetivos de controle associados: ME2.1 Monitoramento do padrão de controle interno ME2.2 Revisão de supervisão ME2.3 Exceções de controle ME2.4 Controle de auto avaliação ME2.5 Avaliação de controle interno ME2.6 Controle interno e de terceiros ME2.7 Ações corretivas Francisco Ítalo Lopes França, PMP www.governancadeti.com.br 34

35. Q9. Auditoria de TI Requisitos de sucesso: Definir um sistema de controle interno inserido no quadro de processo de TI; Acompanhar e informar a respeito da eficácia dos controles internos de TI; Informar as exceções de controle para os gestores. Francisco Ítalo Lopes França, PMP www.governancadeti.com.br 35

36. Conclusões O produto mais significativo é o Planejamento estratégico de TI - PETI; Metade (16) achados do TCU estão relacionados ao PETI; 47% não tem Planejamento estratégico institucional; 53% não tem Planejamento estratégico de TI; Planejamento mal elaborado em função da falta de alinhamento entre negócio e TI; Francisco Ítalo Lopes França, PMP www.governancadeti.com.br 36

37. Francisco Ítalo Lopes França, PMP www.governancadeti.com.br italo@italolopes.com (61) 8411-6101 Francisco Ítalo Lopes França, PMP www.governancadeti.com.br 37