Fatores motivadores da Governança de TI e Compliance

Fatores motivadores da
Governança de TI e Compliance
Em meio às incertezas sobre seu
futuro, as organizações necessitam
encontrar novas formas de gestão
que garantam sua sustentabilidade.

Fatores Motivadores da GTI
Fonte: autoria

• Segundo a ISO/IEC 38500 (ABNT, 2009), a
Governança de TI “é o sistema pelo qual o uso
atual e futuro da TI são dirigidos e controlados.
Significa avaliar e direcionar o uso da TI para dar
suporte à organização e monitorar seu uso para
realizar planos. Inclui a estratégia e as políticas de
uso da TI dentro da organização”.
• A partir desta definição, temos que o objetivo
principal da GTI é o seu alinhamento ao negócio.

• Objetivos secundários da GTI

adaptado de Fernandes e Abreu, 2014
GTI
no
contexto
da
Governança

adaptado pelo autor da ABNT, 2005
GTI
no
contexto
da
Governança

• PRESSÕES SOBRE A ORGANIZAÇÃO

Fonte: adaptado de Fernandes e Abreu, 2014

• Ambiente de negócios de TIC
• Mercado de TI no Brasil deve crescer 5,8% em 2018.
• A internet das coisas (IoT) já deve movimentar US$ 612
milhões no Brasil e modificar produtos, serviços e relações
com o consumidor.
• Gastos com infraestrutura, software e serviços em big data e
analytics devem alcancar US$ 3,2 bilhões no País este ano.
• Infraestrutura, plataforma e software como serviço (SaaS) em
cloud pública devem movimentar US$ 1,7 bilhão.
• Gastos com segurança devem crescer 9% em 2018, em relação
ao ano passado, e somar US$ 1,2 bilhão no Brasil.
Fonte: www.itforum365.com.br

• Infraestrutura de TI como serviço
• ITIL.
• Serviços integrados.
• Gestão proativa.
• DevOps.

• TI como produto (aplicações)
• Inclui a experiência do usuário – UX.
• Design de software orientado pela jornada do usuário.
• Metodologias ágeis e design thinking.
• Produtos evolutivos e incrementais em ciclos rápidos.

• Integração Tecnológica
• Infraestrutura de TI híbrida.
• APIs como bases para aplicações.
• Arquitetura de micro serviços de software.
• Mobile Device Management e Mobile Aplication Managment.
• Integração automática de sistemas.
• Integração com dados de redes sociais.
• Convergência digital e divergência de aplicações.
• Mashup.

• Segurança da Informação
• Ransomware das coisas (RoT)
• Computação em nuvem
• Segurança integrada
• Segurança em RAID
• Crime-as-a-servisse
• Fake news
• Machine learning
Fonte: itforum360; transformacaodigital
Doug Chayka (The New York Times)

• Dependência do negócio em relação à TI
Fonte: Fernandes e Abreu, 2014

• Quando a TI tem alto impacto nas operações chaves (presente) e alto
impacto nas estratégias chaves (futuro), diz-se que a TI é estratégica para
o negócio.
• Quando a TI tem alto impacto nas operações chaves e baixo impacto nas
estratégias chaves, tem a conotação de uma Fábrica para o negócio, ou
seja, o dia a dia do negócio depende da TI, mas o seu futuro não.
• Quando a TI tem baixo impacto nas operações chaves e baixo impacto
nas estratégias chaves, diz-se que ela está executando apenas tarefas de
suporte, não sendo, do ponto de vista dos dirigentes, essencial para o
negócio.
• Quando a TI tem baixo impacto nas operações chaves e alto impacto nas
estratégias chaves, diz-se que ela está exercendo um papel de mudança,
ou seja, está apoiando fortemente o direcionamento futuro da
organização.

• Principais marcos:
– SOX
– Resoluções BACEN
– Marco Civil da Internet
– Lei Geral de Proteção de Dados Pessoais
– Marcos na gestão pública

• A SOX exige, da TI, que:
– Os sistemas de informação precisam estejam adequados às regras de
elaboração e publicações de resultados financeiros.
– O CEO e CFO precisam atestar e assinar que os relatórios financeiros
estão corretos. Imaginem a pressão deles por controles adequados
dos sistemas por parte da TI.
– A informação precisa estar disponível no momento correto, acessível
somente por pessoas autorizadas (segurança) e precisa estar correta
e atualizada.
– Os sistemas internos precisam ter controles relativos às informações
e permitir o rastreio (logs) de erros e alterações indevidas.
– Processos de TI precisam ser implementados para mitigar os riscos.
Fonte: autor

• BACEN - eventos-gatilho
• O BACEN, sob influência dos Acordos de Basiléia, normatizou
os riscos operacionais e listou, na Resolução BACEN
Nº4.557/2017, 8 possibilidades de eventos-gatilhos que se
constituem em causas de ocorrência de riscos.
• A Circular 3.681/2013, apesar de dirigir-se a um segmento
específico de instituições, introduz mais 3 eventos na lista
anterior que, quando considerados na Governança de TI,
causam um grande e amplo impacto na gestão e operações de
serviços de TI.
Fonte: autor

• EVENTOS-GATILHO para RISCOS OPERACIONAIS
• RESOLUÇÃO BACEN Nº 4557/2017
– Fraudes internas;
– Fraudes externas;
– Falhas em sistemas de tecnologia da informação;
– Demandas trabalhistas e segurança deficiente do local de
trabalho;
– Práticas inadequadas relativas a clientes, produtos e serviços;
– Danos a ativos físicos próprios ou em uso pela instituição;
– Eventos que acarretem a interrupção das atividades da
instituição;
– Falhas na execução, cumprimento de prazos e gerenciamento
das atividades na instituição.
Fonte: autor

• EVENTOS-GATILHO para RISCOS OPERACIONAIS
• CIRCULAR BACEN Nº 3.681/2013
– Falhas na proteção e na segurança de dados sensíveis
relacionados tanto às credenciais dos usuários finais
quanto a outras informações trocadas com o objetivo de
efetuar transações de pagamento;
– Falhas na identificação e autenticação do usuário final;
– Falhas na autorização das transações de pagamento.
Fonte: autor

• Principais leis e decretos existentes
Fonte: autor

• Marco Civil da Internet (Lei nº 12.965)
• Estabelece princípios, garantias, direitos e deveres para o uso
da internet no Brasil e determina as diretrizes para atuação da
União, dos Estados, do Distrito Federal e dos Municípios em
relação à matéria.
• Procura promover o acesso universal à rede, à informação e ao
conhecimento, à inovação e difusão de novas tecnologias
aderentes à padrões tecnológicos abertos.
Fonte: autor

• Estabelece direitos e garantias para os usuários, dentre
eles:
– Inviolabilidade da intimidade e da vida privada;
– O sigilo das informações trafegadas e armazenadas e a previsão de
exclusão definitiva de dados pessoais;
– A manutenção da qualidade e disponibilidade;
– Clareza de cláusulas contratuais, políticas de uso e de privacidade;
– Acessibilidade;
– Observância das leis de consumo e comércio para o e-commerce.
Fonte: autor

• Estabelece a neutralidade da rede, que garante que seja
pago apenas o acesso e a velocidade da internet, mas não
pelo conteúdo, que é livre para qualquer usuário.
• O artigo 9º da lei diz que as operadoras devem "tratar de
forma isonômica quaisquer pacotes de dados, sem
distinção por conteúdo, origem e destino, serviço,
terminal ou aplicação".
• Se não existisse, as operadoras poderiam privilegiar
determinados aplicativos em detrimento de outros, por
exemplo.
Fonte: autor

• As questões sobre sigilo e a guarda de dados pessoais será
regulada pela Lei Geral de Proteção de Dados Pessoais,
que entrou em vigor em agosto de 2018.
• A LGPDP altera o artigo 7º, inciso X e o artigo 16, inciso II, do
Marco Civil da Internet.
Fonte: autor

• Art. 7o O acesso à internet é essencial ao exercício da cidadania, e
ao usuário são assegurados os seguintes direitos:
X - exclusão definitiva dos dados pessoais que tiver fornecido a determinada
aplicação de internet, a seu requerimento, ao término da relação entre as partes,
ressalvadas as hipóteses de guarda obrigatória de registros previstas nesta Lei;
• Art. 16. Na provisão de aplicações de internet, onerosa ou gratuita,
é vedada a guarda:
I - dos registros de acesso a outras aplicações de internet sem que o titular dos
dados tenha consentido previamente, respeitado o disposto no art. 7o; ou
II - de dados pessoais que sejam excessivos em relação à finalidade para a qual foi
dado consentimento pelo seu titular.
Fonte: autor

• Lei Geral de Proteção de Dados Pessoais (Lei 13.709)
• A LGPDO no Brasil (PLC 53/2018) foi aprovada pelo
Senado no dia 12/07 e é composta de 62 artigos. Trata
de temas sobre coleta de dados, prestação de contas
por parte das empresas, segurança, reutilização de
dados por parte de órgãos públicos, direitos dos
usuários, além de marcos regulatórios e autoridades
para as empresas.
Fonte: autor

•Lei Geral de Proteção de Dados Pessoais (Lei 13.709)
• Inspirada na GDPR (General Data Protection Regulation).
• Determina como dados pessoais podem ser coletados e
tratados no Brasil, especialmente no que diz respeito aos meios
digitais.
• Dado pessoal é qualquer informação relacionada a uma pessoa
que, que isoladamente ou em conjunto com outros detalhes,
permite identificá-la.
• Legisla sobre as operações de tratamento de dados realizados
no Brasil ou em outro país, desde que a coleta de dados seja
feita em território brasileiro.
Fonte: autor

• Os dados só podem ser coletados com o consentimento do
titular
• O consentimento é dado para que os dados sejam utilizados
para uma finalidade específica declaradamente por uma ou
mais entidades.
• Mudança na finalidade ou utilização por outras entidades
somente com novo consentimento.
• O consentimento pode ser revogado pelo usuário a qualquer
tempo.
• O usuário pode solicitar revisão e correção dos dados.
• O usuário pode pedir revisão humana da utilização dos dados.
Fonte: autor

• Tipifica alguns dados como sensíveis, cuja utilização será mais
restritiva.
• As organizações só podem solicitar os dados estritamente
necessários para os fins propostos.
• Dados para fins acadêmicos, artísticos ou jornalísticos, que
envolvem segurança pública, defesa nacional, proteção da vida
e políticas governamentais serão objeto de legislação
específica.
Fonte: autor

• Autoridade Nacional de Proteção de Dados (ANPD).
• Vinculada ao Ministério da Justiça.
• Conselho Diretor, com três membros.
• Conselho Nacional de Proteção de Dados Pessoais, com
23 representantes do poder público e da sociedade civil.
• Em caso de vazamento, organização deve avisar a ANPD.
• Em caso de infrações, a organização responsável poderá
receber desde advertências até multa equivalente a 2% do seu
faturamento limitada ao valor máximo de R$ 50 milhões.
Fonte: autor

•Marcos da GTI na gestão pública
•No poder executivo a Governança de TI é coordenada,
supervisionada e controlada pelo SISP - Sistema de
Administração dos Recursos de Informação e Informática
da Administração Pública Federal, através da SETIC/MP -
Secretaria de Tecnologia da Informação e Comunicação do
Ministério do Planejamento, Orçamento e Gestão.
Fonte: SETIC/MP(www.planejamento.gov.br

Fonte: – EGTI 2013-2015 – SETIC/MPDG
Órgãos
membros
do
SISP

•Guia de Governança de TIC do SISP
•A SETIC/MP, na condição de órgão central do SISP, elaborou
o Guia de Governança de Tecnologia da Informação e
Comunicação (GovTIC), orientações aos órgãos e entidades
pertencentes à APF.
•O Guia sugere um modelo referencial de governança de TIC
constituído por um conjunto de 10 (dez) práticas
relacionadas à governança de Tecnologia da Informação e
Comunicação (TIC).
Fonte: Guia de Governança de TIC do SISP, 2017

•Guia de Governança de TIC do SISP
•O guia está fundamentado em um conjunto de
princípios:
•A) da administração pública;
•B) da governança ;
•C) da governança de TI.
Fonte: Guia de Governança de TIC do SISP, 2017

•O papel do TCU
• O TCU (Tribunal de Contas da União), através da SEFTI
(Secretaria de Fiscalização de Tecnologia da Informação),
fiscaliza o uso da TIC nos diversos órgãos da APF (Administração
Pública Federal).
Fonte: Instituto Brasileiro de Governança Pública, 2014

•O papel do TCU
• A Nota Técnica 7/2014 apresenta o conceito de GTIC na APF, um
conjunto de viabilizadores e preceitua que a organização deve
adotar um sistema de governança de TI como forma de articular
os viabilizadores.
• Estabelece um sistema de governança de TI com uma
organização básica de estruturas, políticas, princípios e
processos para que as organizações públicas dirijam
adequadamente a gestão e o uso atual e futuro da TI.

•Os viabilizadores
• O Cobit 5 propõe a implantação da governança de TI por meio
da utilização de viabilizadores, que são fatores que têm a
capacidade de influenciar o funcionamento adequado da
governança da TI.
• Das sete categorias de viabilizadores propostas pelo COBIT 5,
cinco são abordadas nesta nota técnica: princípios, políticas e
frameworks; estruturas organizacionais; processos; cultura,
ética e comportamento; pessoas, habilidades e competências.

•Viabilizador “Princípios, políticas e frameworks”
–Convém definir uma política de governança de TI que seja
formalmente instituída pela alta administração e que contemple, no
mínimo, princípios, diretrizes, papéis e responsabilidades
necessários para desempenhar as funções de avaliar, dirigir e
monitorar a gestão e o uso da TI.
•Viabilizador “Estruturas organizacionais”
–Convém estabelecer as estruturas organizacionais e os papeis
necessários para a governança, a gestão e o uso de TI na instituição,
definindo-se formalmente o modo de organização e funcionamento
dessas estruturas.

•Viabilizador “Comitê de TI”
–É recomendável que as organizações públicas federais
instituam um comitê de TI, de natureza consultiva ou
deliberativa, que seja composto por representantes das
principais áreas da organização e do setor de TI da
organização.
–São suas responsabilidades atuar: na aprovação da alocação
de recursos destinados à TI; na priorização de ações e de
projetos de TI; no acompanhamento da execução das
estratégias e planos de TI; na comunicação à alta
administração de informações gerenciais sobre o
desempenho de TI.

•Viabilizador “Processos”
–Convém adotar processos e práticas de governança e de
gestão de TI necessários para que a TI maximize a entrega de
valor às partes interessadas com base em fatores que
reflitam seu contexto específico.
•Viabilizar “Pessoas, habilidades e competências”
–Convém alocar recursos humanos próprios em número
suficiente para executar as funções relacionadas à TI com
respaldo em avaliações objetivas dos quantitativos
necessários, buscando e desenvolvendo as habilidades e
competências essenciais ao exercício de suas atribuições.

•Viabilizador “Cultura, ética e comportamento”
–Convém promover os valores relacionados à cultura, ética e
comportamento que favoreçam a melhoria da governança
de TI, a exemplo da adoção, pela alta administração, do
comportamento que é esperado do restante dos
colaboradores da organização.
–Convém realizar ações de sensibilização de todas as pessoas
da organização envolvidas com a governança de TI em todos
os níveis e áreas, não se restringindo somente ao setor de TI.

•Sistema de Governança de TI
–Convém definir o Sistema de Governança de TI da
organização, que seja formalmente instituído por meio da
Política de Governança de TI e composto pelo conjunto de
viabilizadores necessários para avaliar, dirigir e monitorar a
gestão e o uso da TI, a exemplo do definido na ABNT NBR
ISO/IEC 38500 e no COBIT 5, de forma a proporcionar o
aprimoramento contínuo e gradual da governança de TI na
instituição, considerando seu contexto específico.

•O aprimoramento contínuo da governança de TI
• Estabelecer um processo formal de aprimoramento contínuo da
governança de TI na organização, com, no mínimo, as seguintes
etapas:
–Diagnóstico: avaliação da situação atual da governança de TI;
–Planejamento: definição do futuro e planejamento das mudanças
necessárias;
–Execução: implementação das mudanças e dos aprimoramentos;
–Operação e medição: operação do sistema com os aprimoramentos
incorporados, medição da sua eficiência e eficácia;
–Avaliação: avaliação e melhoria do ciclo com um novo ciclo.

Atividades
• Realizar as atividades indicadas às páginas 10 e
16 do livro da disciplina.

Boa noite.
Próxima aula:
• Bases da GTI
• Foco
• Ciclo
• Modelo

Fatores motivadores da Governança de TI e Compliance

Recomendados

Recomendados

Mais conteúdo relacionado

Semelhante a Fatores motivadores da Governança de TI e Compliance

Semelhante a Fatores motivadores da Governança de TI e Compliance (20)

Fatores motivadores da Governança de TI e Compliance

Notas do Editor