governancas.com.br

Como já foi falado em vários outros artigos no governancas.com.br, o TCU recomenda e apoia os órgãos a estabelecerem forte atuação em Governança Organizacional – que compreende essencialmente os mecanismos de liderança, estratégia e controle postos em prática para avaliar, direcionar e monitorar a atuação da gestão, com vistas à condução de políticas públicas e à prestação de serviços de interesse da sociedade, nesse caso, com foco nas organizações públicas.

 

Do mesmo modo, denotando grande transparência, o TCU avalia com frequência a implementação dessas governanças recomendadas junto às organizações. Para isso, o TCU envia um convite e pede que as organizações respondam um questionário on-line que é compilado e divulgado no site. O TCU trata e atua diretamente sobre os órgãos públicos, porém, vale lembrar, que os indicadores avaliados nas organizações públicas não apenas se assemelham, mas, também, são praticamente os mesmos indicadores necessários às organizações privadas, portanto, será de excelente prática que organizações privadas integrem esses indicadores (estabelecimento de políticas, normas, processos, acordos, procedimentos, estruturas, formalizações, organizações, ferramentas, monitoramento, controle, etc.) e pratiquem regularmente as avaliações de níveis de governança, visando conhecimento e evolução de sua maturidade nas Governanças.

 

O questionário de Governança Organizacional será apresentado de um modo geral, porém, receberá uma lupa sobre os indicadores de Governança de TIC apontados como obrigatórios pelo TCU.

 

 

Buscando manter o agrupamento lógico de informações, o questionário de Governança Organizacional é dividido em áreas. As questões dentro dessas áreas foram agrupadas por assunto para que possam ser endereçadas especificamente aos seus respectivos responsáveis dentro de uma organização. Vamos às cinco áreas:

 

1000. Liderança

2000. Estratégia

3000. Controle

4000. Operações

5000. Resultados

 

O grupo 1000. Liderança objetiva mapear se o modelo de governança da organização está consolidado, se está sendo endereçado o aprimoramento da capacidade da alta administração e se está sendo promovida a ética e a integridade da organização.

O grupo 2000. Estratégia mapeia se a organização gere os seus riscos, se garante a continuidade do seu negócio, se possui estabelecida sua estratégia e se promove a gestão estratégica.

O grupo 3000. Controle visa mapear se a organização promove a transparência e a prestação de contas, se garante a devida responsabilização nos casos de irregularidade comprovada e se assegura uma atuação efetiva da auditoria interna.

O próximo grupo, 4000. Operações, possui subgrupos com muitas informações, portanto, vamos analisá-los por partes.

O subgrupo 4100. Gestão de Pessoas visa mapear se organização faz o planejamento de suas pessoas, se define adequadamente a demanda por seus recursos humanos, se assegura o adequado provimento de suas vagas, se assegura a disponibilidade de sucessores qualificados e, para isso, se desenvolve as competências e gere os desempenhos dos seus recursos humanos.

 

O subgrupo seguinte é 4200. Gestão de tecnologia da informação e da segurança da informação, (finalmente achamos o nosso alvo!). Esse grupo tem por objetivo mapear se a área de TIC de sua organização é devidamente planejada; se gere seus serviços, SLAs e riscos; se define as políticas de responsabilidades e se estabelece processos e atividades para a gestão da Segurança da Informação; se executa processo de software e se gere os projetos de TIC. Logo abaixo nos aprofundaremos nesse grupo, afinal, esse é o nosso objetivo!

O subgrupo 4300. Gestão de Contratações objetiva mapear se área de contratações da organização promove sua integridade, desenvolve sua capacidade, planeja suas contratações, estabelece processo de trabalho para as contratações, gere os riscos das contratações, contrata e gere com base em desempenho e se faz contratações sustentáveis.

O último subgrupo de Operações é 4400. Gestão orçamentária, que visa mapear o quanto a organização tem estabelecido seu processo orçamentário e se contempla adequadamente as prioridades no orçamento.

E, no último grupo, 5000. Resultados, o TCU objetiva identificar se os resultados finalísticos da organização estão sendo devidamente tratados através de indicadores da prestação de serviços com qualidade e em meio digital.

 

Uma vez apresentado os agrupamentos do questionário de Governança Pública Organizacional em linhas gerais, vamos voltar ao subgrupo 4200. Gestão de tecnologia da informação e da segurança da informação. Para os interessados em mais detalhes sobre os indicadores dos demais grupos, acesse os links disponibilizados na referência.

 

Vamos às suas subdivisões do grupo 4200:

4210. Realizar planejamento de tecnologia da informação

4220. Gerir serviços de tecnologia da informação

4230. Gerir nível de serviço de tecnologia da informação

4240. Gerir riscos de tecnologia da informação

4250. Definir políticas de responsabilidades para a gestão da segurança da informação

4260. Estabelecer processos e atividades para a gestão da segurança da informação

4270. Executar processo de software

4280. Gerir projetos de tecnologia da informação

 

Agora, vamos entrar em cada uma dessas subdivisões, entender brevemente o que significam e ver o que é esperado de cada um desses indicadores do questionário. Comentários pertinentes aos indicadores estarão imediatamente abaixo.

 

4210. Realizar planejamento de tecnologia da informação.

 

Essa subdivisão diz que a organização deve executar um processo de planejamento de TIC, bem como possuir um plano vigente de TIC.

 

4211. A organização executa processo de planejamento de tecnologia da informação

a) as áreas demandantes de soluções de TI participam do processo de planejamento de tecnologia da informação.

Além das áreas demandantes, é importante que outras áreas (áreas potencialmente stakeholders) estejam livres para participar do processo de planejamento de TIC, quando ideias e necessidades podem surgir e contribuir para o estabelecimento de um planejamento mais eficiente.

b) o processo de planejamento de TI integra-se e harmoniza-se com o processo de planejamento institucional.

Aqui fica claro que a TIC sozinha não é nada, ela deve ser utilizada como meio para alcançar os objetivos institucionais, isto é, estar alinhada às metas do PEI (livro).

c) a organização estabeleceu critérios para orientar a seleção e a priorização das iniciativas de TI (projetos e ações) e os mantêm atualizados.

Não existe nada melhor do que jogar conhecendo as regras! Não dá para priorizar iniciativas por um determinado momento ou por um forte desejo, mas sim, por critérios previamente definidos, aprovados e publicados.

d) análises de benefícios, de custos e de riscos subsidiam as decisões relacionadas à seleção e à priorização das iniciativas de TI (projetos e ações).

Alguns dos critérios a serem utilizados na seleção e priorização das iniciativas são as análises qualitativas e quantitativas das mesmas, registrando e fundamentando as decisões tomadas.

e) o processo de planejamento de TI está formalizado (a organização instituiu norma interna, guia ou instrumento similar com orientações quanto à execução do processo e definição de responsabilidades).

O processo de planejamento de TIC deverá estar definido, aprovado e tornado público no ambiente interno da organização, sempre buscando a promoção da transparência.

f) a organização avalia periodicamente o desempenho e a conformidade do processo de planejamento de TI e promove eventuais ajustes necessários

Como todo processo, o processo de planejamento de TIC também é vivo. Assim sendo, visando sua evolução contínua, ele deverá ser executado dentro de um ciclo de melhorias de processos como o PDCA (livro) ou DMAIC (livro).

 

4212. A organização possui plano de tecnologia da informação vigente

a) o plano de tecnologia da informação (plano de TI) é aprovado pelo dirigente máximo da organização ou por dirigente ou colegiado que integra a alta administração

A organização deve ter um PTIC (livro) vigente, aprovado pelo(s) responsável(is) pela organização, formalizando o conhecimento da mesma com as metas e objetivos da TIC comprometidos nesse documento e, ao contrário também, registrando que a área de TIC está comprometida e alinhada aos objetivos da organização.

b) o plano de TI é publicado na internet, para fácil acesso de partes interessadas e da sociedade

A transparência é muito importante em uma organização pública, porém, na iniciativa privada, o PTIC normalmente não é publicado na Internet, mas é de boa prática que se faça para que todos possam conhecer, acompanhar, participar e, até mesmo, cobrar – o que normalmente é exigido de empresas de capital aberto.

c) o plano de TI fundamenta a proposta orçamentária da área de TI e o plano de contratações

O PTIC além de direcionar o orçamento da área de TIC, ele também serve para embasar a construção do plano de contratações visando o alcance dos objetivos aprovados.

d) as iniciativas de TI (projetos e ações) constantes do plano de TI alinham-se aos objetivos e iniciativas definidos no plano estratégico e demais planos institucionais, assim como, quando aplicável, às estratégias e objetivos estabelecidos por instâncias de governança superiores (p. ex. Estratégia de Governança Digital – EGD, Estratégia Nacional de Tecnologia da Informação e Comunicação do Poder Judiciário – ENTIC-JUD)

Este é um encadeamento claro de objetivos: para apoiar o PEI, direcionamento máximo da organização, a PTIC deverá estar aderente e em consonância com os seus objetivo – a TIC é um dos meios que a organização faz uso para alcançar as suas metas.

e) a seleção de iniciativas de TI (projetos e ações) para compor o plano de TI considera estimativas fundamentadas em dados históricos ou em estudos técnicos sobre a capacidade e a disponibilidade dos recursos de TI da organização (financeiros, humanos, materiais, equipamentos etc.)

Aqui é solicitado que a organização realize comparativos de estimativa reais (históricos de iniciativas internas ou externas) estabelecendo-se um indicador para o momento da seleção.

f) ao elaborar o Plano de TI, a organização avalia iniciativas estratégicas que têm por objetivo ampliar ou melhorar o uso de TI como instrumento de transformação do negócio em benefício da sociedade (transformação digital), especialmente quanto aos riscos de adoção, adoção tardia ou não adoção de tais iniciativas.

As organizações públicas devem buscar a transformação digital de seus negócios e a TIC deve considerar a avaliação dessas iniciativas, uma vez que impactam diretamente a sociedade.

g) é feito acompanhamento concomitante à execução do plano de TI, com vistas a assegurar sua observância e possibilitar a realização de ajustes que se fizerem necessário.

Novamente o ciclo de melhorias de processos é invocado, PDCA ou DMAIC, visando pleno controle sobre a execução do PTIC.

 

4220. Gerir serviços de tecnologia da informação.

 

Nesse agrupamento o TCU indica que a organização deve manter um catálogo de serviços de TIC e executar processos de gestão para: mudanças, configuração e ativos (de serviços de TIC) e para incidentes de serviços de TIC.

 

4221. A organização elabora um catálogo de serviços de tecnologia da informação

a) o catálogo contém as metas definidas para cada serviço (p. ex. prazos de entrega, horários de serviço e de suporte, bem como pontos de contato para solicitação do serviço, envio de sugestões, esclarecimento de dúvidas e reporte de incidentes)

Nesse ponto, além de cobrar pelo catálogo de serviços de TIC, o TCU estende a abrangência de informações pertinentes aos serviços disponibilizados, objetivando a completude das informações e tornando mais fácil a vida dos usuários.

b) o catálogo está atualizado e as informações que nele constam são compatíveis com os Acordos de Níveis de Serviço (ANS) estabelecidos pela área de tecnologia da informação e as áreas de negócio da organização

Esse item trata do processo de atualização do catálogo de serviços de TIC, reforçando que o ANS/SLA deve ser um acordo entre a TIC e as áreas de negócio.

c) o catálogo é de fácil acesso e está amplamente disponível a seus usuários e às equipes de suporte

O acesso ao catálogo de serviços deve ser fácil (publicado na página inicial da Intranet, por exemplo) e plenamente disponível aos usuários.

 

4222. A organização executa processo de gestão de mudanças

a) a organização estabeleceu critérios para orientar a aprovação de mudanças, inclusive quanto ao tratamento de casos de exceção (mudanças emergenciais)

O processo de gestão de mudanças está estabelecido e com critérios de aprovação de mudança definidos, bem como de tratamentos específicos para mudanças emergenciais.

b) mudanças são previamente comunicadas a todas as partes que possam ser afetadas

Como parte do processo de mudança, a comunicação deve ocorrer às partes impactadas.

c) identificam-se os serviços e ativos de TI que possam ser afetados pela mudança, de modo a avaliar impactos em níveis de serviços acordados

Também, como parte do processo de gestão de mudança, os serviços e ativos de TIC são identificados visando execução de análise de impacto nos SLAs.

d) a realização de cada mudança é precedida de planejamento e testes

Como boa prática, antes de qualquer execução, deverá ser executado um planejamento detalhado e execução de testes controlados evitando encontrar possíveis desvios que possam ser corrigidos antes da efetiva mudança.

e) mudanças executadas são rastreáveis e monitoradas, com vistas à avaliação de sua efetividade e para permitir ações corretivas, no caso de ocorrência de efeitos não identificados nas fases de planejamento e testes

O impacto causado por uma mudança deverá ser rastreado e acompanhado, tratando os desvios não encontrados na etapa anterior de testes.

f) lições aprendidas com as mudanças são compartilhadas, com vistas ao aprimoramento do processo (ex: Wiki)

Toda lição deve ser registrada e publicada em ambiente compartilhado, evitando desperdício de esforço na repetição dos erros ou na solução dos mesmos.

g) o processo de gestão de mudanças está formalizado (a organização instituiu norma interna, guia ou instrumento similar com orientações quanto à execução do processo e definição de responsabilidades)

O processo de gestão de mudanças deverá estar definido, aprovado e publicado, com o apontamento das devidas responsabilidades, permitindo que todos conheçam seu papel de atuação e, desta forma, seja um processo devidamente repetitivo e passível de evolução.

h) a organização avalia periodicamente o desempenho e a conformidade do processo de gestão de mudanças e promove eventuais ajustes necessários

Como qualquer processo, o processo de gestão de mudanças deverá ser executado dentro de um ciclo de melhoria da qualidade (PDCA, DMAIC), visando sua evolução contínua.

 

4223. A organização executa processo de gestão de configuração e ativos (de serviços de tecnologia da informação)

a) a organização mantém uma base de dados consolidada com as configurações dos serviços e ativos de TI e o relacionamento entre eles

Esse item promove o uso de ferramenta de TIC para manter o processo de gestão de configuração e seus respectivos ativos de forma integrada.

b) a base de dados de configurações permite à organização conhecer o histórico da situação dos serviços e ativos de TI e do relacionamento entre eles ao longo do tempo

Essa ferramenta de TIC deverá manter o histórico de demandas sobre os serviços e sobre os ativos de TIC, facilitando uma análise de causa raiz ou analise de Pareto buscando os ativos/serviços com mais problemas.

c) a base de dados de configurações é mantida atualizada

Essa é uma ação natural quando executada de forma processual e sistêmica.

d) a base de dados de configurações é utilizada como insumo para o planejamento e o acompanhamento das mudanças

A base de dados de configurações deve ser analisada e utilizada no planejamento e no acompanhamento das mudanças, uma vez que as mesmas expõem as correlações entre os ativos impactados em uma determinada configuração.

e) o processo de gestão de configuração e ativos está formalizado (a organização instituiu norma interna, guia ou instrumento similar com orientações quanto à execução do processo e definição de responsabilidades)

Novamente, como qualquer processo, o processo de gestão de configuração e ativos deverá ser executado dentro de um ciclo de melhoria da qualidade (PDCA, DMAIC), visando sua evolução contínua.

f) a organização avalia periodicamente o desempenho e a conformidade do processo de gestão de configuração e ativos e promove eventuais ajustes necessários

Esse item cobra especificamente a etapa de Check do ciclo PDCA ou as etapas Analyse e Improve do ciclo DMAIC, reconhecidos ciclos de melhoria de processos.

 

4224. A organização executa processo de gestão de incidentes de serviços de tecnologia da informação

a) a organização definiu regras para a priorização e o escalamento de incidentes

Como parte do processo de gestão de incidentes de serviços de TIC, deverão ser estabelecidas as regras que classifiquem suas urgências, bem como os gatilhos que permitem o escalonamento ao próximo nível.

b) a resolução de incidentes considera os níveis de serviços especificados em acordos com as áreas clientes

Os tempos de provimento de solução aos incidentes deverão possuir como referência os SLAs acordados junto às áreas clientes.

c) bases de conhecimento sobre erros conhecidos e problemas são utilizadas como insumos na resolução de incidentes

O acesso e manutenção da base de conhecimento deverá fazer parte do processo de atendimento a um incidente, visando manter a base viva e atualizada.

d) o processo de gestão de incidentes está formalizado (a organização instituiu norma interna, guia ou instrumento similar com orientações quanto à execução do processo e definição de responsabilidades)

Tanto quanto qualquer processo, o processo de gestão de incidentes deverá estar definido, aprovado e publicado, com o apontamento das devidas responsabilidades, permitindo que todos conheçam seu papel de atuação e, desta forma, seja um processo devidamente repetitivo e passível de evolução.

e) a organização avalia periodicamente o desempenho e a conformidade do processo de gestão de incidentes de serviços de tecnologia da informação e promove eventuais ajustes necessários

Novamente, como todos os processos, o processo de gestão de incidentes deverá ser executado dentro de um ciclo de melhoria da qualidade (PDCA, DMAIC), visando sua evolução contínua.

 

4230. Gerir nível de serviço de tecnologia da informação.

 

Aqui, o TCU diz que área de gestão de TIC deve manter acordos de SLA junto às áreas de negócio da organização.

 

4231. A área de gestão de tecnologia da informação acorda os níveis de serviço com as demais áreas de negócio internas à organização (Acordo de Nível de Serviço – ANS)

a) os ANS estabelecem metas de nível de serviço acordadas com representantes das áreas de negócio clientes

Como já falado anteriormente, os SLA devem ser acordados junto às áreas de negócio clientes, com seus devidos representantes.

b) os ANS são submetidos a revisões regulares, para assegurar que estejam atualizados e sejam efetivos

Os SLAs devem ser mantidos dentro de um processo de melhoria contínua, visando que reflitam as condições atuais, isto é, um SLA acordado quando existia uma Infraestrutura frágil deverá ser revisto quando a mesma evoluir ou, ainda, quando leis/normas impuserem a mudança.

c) os ANS estabelecidos na organização são formalizados

Os SLA deverão ser acordados, aceitos e disponibilizados às partes.

d) a área de gestão de tecnologia da informação monitora continuamente o alcance dos níveis de serviço que foram definidos com as áreas de negócio clientes

O controle dos SLAs deverá ser parte integrante de um processo de avaliação contínua dos mesmos, disparando ajustes na execução dos serviços ou, até mesmo, revisão nos próprios SLAs acordados junto às áreas clientes.

e) a área de gestão de tecnologia da informação comunica às áreas de negócio o resultado do monitoramento do alcance dos níveis de serviço

Como resultado do monitoramento dos SLAs um relatório deve ser disponibilizado às áreas clientes, dando a devida transparência ao processo.

f) a organização comunica aos usuários o resultado do monitoramento do alcance dos níveis de serviço

Como parte do processo organizacional, a organização deve publicar aos usuários os resultados obtidos com o monitoramento dos SLAs.

 

 

4240. Gerir riscos de tecnologia da informação.

 

Nesse agrupamento, identificamos que a organização deve executar processos de gestão de riscos de TIC, bem como de continuidade de serviços de TIC.

 

4241. A organização executa processo de gestão dos riscos de tecnologia da informação relativos a processos de negócio

a) a organização identifica e avalia os riscos de tecnologia da informação dos processos organizacionais críticos para o negócio

Os serviços/ativos de TIC que interagem com os processos de negócio críticos devem estar regidos por um forte processo de riscos (livro).

b) a organização trata os riscos de tecnologia da informação dos processos organizacionais críticos para o negócio, com base em um plano de tratamento de risco

Os riscos de TIC que afetam diretamente ao negócio da organização devem ser acompanhados em um plano formal de riscos corporativos.

c) a organização atribuiu a responsabilidade por coordenar a gestão de riscos de tecnologia da informação

A organização deve atribuir um responsável pela coordenação da gestão de riscos de TIC.

d) o processo de gestão dos riscos de tecnologia da informação está formalizado (a organização instituiu norma interna, guia ou instrumento similar com orientações quanto à execução do processo e definição de responsabilidades)

O processo de gestão de riscos de TIC deverá estar definido, aprovado e publicado, com o apontamento das devidas responsabilidades, permitindo que todos conheçam seu papel de atuação e, desta forma, seja um processo devidamente repetitivo e passível de evolução.

e) a organização avalia periodicamente o desempenho e a conformidade do processo de gestão de riscos de tecnologia da informação e promove eventuais ajustes necessários

Como qualquer processo, o processo de gestão de riscos de TIC deverá ser executado dentro de um ciclo de melhoria da qualidade (PDCA, DMAIC), visando sua evolução contínua.

 

4242. A organização executa processo de gestão de continuidade de serviços de tecnologia da informação

a) a organização elabora um plano de continuidade de serviços de TI

Assim como a organização deve ter um PCN (livro), a TIC deve buscar o alinhamento através do seu plano equivalente, o plano de continuidade de serviços de TIC (livro).

b) as ações e os prazos definidos no plano de continuidade de serviços de TI fundamentam-se em análises de impacto no negócio realizadas sobre os processos organizacionais críticos

A TIC mostra-se novamente como um meio (importante!) para a organização alcançar seus objetivos, para isso, mais uma vez, deve estar alinhada aos processos organizacionais críticos visando a continuidade das operações, definindo ações e prazos embasados em análises de impacto sobre o negócio.

c) o plano de continuidade de serviços de TI é testado e revisado periodicamente

O plano de continuidade de serviços de TIC é vivo, precisa ser testado e revisto com periodicidade definida, visando estar em conformidade ao ambiente dinâmico de uma organização.

d) o processo de gestão de continuidade de serviços de TI integra o processo institucional de gestão de continuidade do negócio

Como já foi dito, esses dois planos devem estar em completo alinhamento, uma vez que o plano de continuidade de serviços de TIC viabiliza ações definidas no plano de continuidade de negócio.

e) o processo de gestão de continuidade de serviços de TI está formalizado (a organização instituiu norma interna, guia ou instrumento similar com orientações quanto à execução do processo e definição de responsabilidades)

O plano de continuidade de serviços de TIC deve ser mantido através de um processo definido, publicado e com responsabilidades nomeadas.

f) a organização avalia periodicamente o desempenho e a conformidade do processo de gestão de continuidade de serviços de TI e promove eventuais ajustes necessários

Como qualquer processo, o plano de continuidade de serviços de TIC deverá ser executado dentro de um ciclo de melhoria da qualidade (PDCA, DMAIC), visando sua evolução contínua.

 

4250. Definir políticas de responsabilidades para a gestão da segurança da informação.

 

Nessa subdivisão, podemos ver que, com relação à Segurança da Informação, a organização deve possuir um comitê, uma Política e um Gestor responsável pela SI.

 

4251. A organização dispõe de uma política de segurança da informação

a) a política declara o comprometimento da alta administração e estabelece princípios, diretrizes, objetivos, estruturas e responsabilidades relativos à segurança da informação

A PSI (livro) é um importante instrumento regulamentar de segurança de uma organização. Com base na PSI é criada a organização da área de SI, define-se como ocorrerá a gestão de ativos e como tratar a segurança em RH, bem como a segurança física e do ambiente, define-se o gerenciamento das operações e das comunicações, define-se ainda: o controle de acesso; a aquisição, desenvolvimento e manutenção de sistemas de informação; a gestão de incidentes de SI; a gestão da continuidade do negócio; a conformidade.

b) a política (ou norma interna complementar) contempla diretrizes sobre gestão de riscos de segurança da informação

A PSI deve referenciar a gestão dos riscos de segurança da informação, instrumentalizando e dando diretrizes sobre a mesma.

c) a política abrange diretrizes para conscientização, treinamento e educação em segurança da informação

A PSI deve possuir diretrizes que conduzam à disseminação de conhecimento em segurança da informação a todas as pessoas envolvidas com a organização.

d) a política é amplamente comunicada a empregados, servidores, colaboradores e partes externas relevantes

A PSI deve ser publicada e comunicada, por todos os meios possíveis, a todas as pessoas envolvidas com a organização.

e) a política é mantida atualizada, por meio de revisões periódicas

Como qualquer processo, a PSI deverá ser executada dentro de um ciclo de melhoria da qualidade (PDCA, DMAIC), visando sua evolução contínua.

 

4252. A organização dispõe de comitê de segurança da informação

a) o comitê de segurança da informação realiza as atividades previstas em seu ato constitutivo

A SI deverá ter formalmente nomeado o seu comitê, que visará a execução das atividades definidas no seu ato constitutivo – Norma, Decreto, Portaria, etc.

b) o comitê formula diretrizes para a segurança da informação

Uma das atividades definidas para a equipe do comitê de SI será a de definir as diretrizes de SI.

c) o comitê propõe a elaboração e a revisão de normas e de procedimentos inerentes à segurança da informação

Outra atividade do comitê é de buscar a evolução contínua de normas e procedimentos.

d) o comitê é composto por representantes de áreas relevantes da organização

A formação do comitê deve considerar as áreas de maior impacto na organização, devendo ser levado em consideração o próprio negócio.

 

4253. A organização possui um gestor institucional de segurança da informação

a) o gestor institucional de segurança da informação foi designado formalmente pela alta administração

Deve haver uma pessoa responsável pela SI, bem como deve ser publicada sua nomeação.

b) o gestor institucional de segurança da informação reporta-se diretamente à alta administração

Para evitar conflito de interesses, a área de SI deve estar, de forma hierárquica, diretamente abaixo da alta administração.

c) o gestor institucional de segurança da informação coordena o processo de gestão de riscos de segurança da informação em âmbito institucional

Conforme item anterior, a área de SI é corporativa, sendo a única responsável pelo processo de gestão de riscos de SI.

d) o gestor institucional de segurança da informação coordena ações de segurança da informação em âmbito institucional

As ações de SI possuem abrangência institucional, sendo conduzidas pelo gestor de SI.

e) o gestor institucional de segurança da informação fomenta e coordena ações periódicas de conscientização e de treinamento em segurança da informação para todas as partes interessadas, incluindo autoridades, servidores e colaboradores

Como parte de sua responsabilidade, o gestor de SI deve promover o conhecimento de SI às partes interessadas.

f) o gestor institucional de segurança da informação detém as prerrogativas e os recursos necessários para o desempenho de todas as suas competências

Uma vez que a área de SI é institucional, respondendo diretamente à alta administração, o gestor de SI deve possuir total autonomia para desempenhar suas atividades.

 

4260. Estabelecer processos e atividades para a gestão da segurança da informação.

 

Ainda com relação à Segurança da Informação, nessa subdivisão o TCU diz que a organização deve executar processo de gestão/controle: de riscos, de acesso à informação e aos ativos associados à informação, de classificação e tratamento de informações, de incidentes de segurança da informação e da segurança dos recursos de processamento da informação (incluindo recursos na nuvem).

 

4261. A organização executa processo de gestão de riscos de segurança da informação.

a) a organização identifica e avalia riscos de segurança da informação

Como parte do processo de gestão de riscos de segurança da informação, a organização deve dar o devido tratamento aos riscos de SI.

b) a organização trata riscos de segurança da informação com base em um plano de tratamento de riscos

Um plano de tratamento de riscos institucional deve direcionar o devido tratamento a ser dado aos riscos de SI.

c) a organização possui um gestor formalmente responsável por coordenar a gestão de riscos de segurança da informação

A instituição deve formalizar um responsável pela coordenação da gestão de riscos de SI.

d) o processo de gestão de riscos de segurança da informação está formalizado (a organização instituiu norma interna, guia ou instrumento similar com orientações quanto à execução do processo e definição de responsabilidades)

O processo de gestão de riscos de segurança da informação deve ser mantido através de um processo definido, publicado e com responsabilidades nomeadas.

e) a organização avalia periodicamente o desempenho e a conformidade do processo de gestão de riscos de segurança da informação e promove eventuais ajustes necessários

Como qualquer processo, o processo de gestão de riscos de SI deverá ser executado dentro de um ciclo de melhoria da qualidade (PDCA, DMAIC), visando sua evolução contínua.

 

4262. A organização executa processo de controle de acesso à informação e aos ativos associados à informação

a) a organização implementa controles de acesso físicos e lógicos à informação e aos ativos associados à informação que são por ela gerenciados ou custodiados, com vistas a proteger adequadamente a confidencialidade das informações não públicas e a integridade e a disponibilidade das informações consideradas críticas para o negócio

A organização deve implementar restrições de acesso físico e digital à informação e aos ativos áreas associadas à informação, como rack de telefonia, shaft, acesso à TIC, dentro outros.

b) os controles de acesso implementados na organização aplicam o princípio “necessidade de conhecer”, o qual prescreve que deve haver necessidade legítima que justifique o acesso à informação por pessoa, sistema ou entidade, bem como o princípio “privilégio mínimo”, o qual estabelece que o perfil de acesso concedido deve incluir tão somente os poderes necessários para o atendimento das legítimas necessidades

O acesso, quando necessário, será concedido através da política de acesso mínimo que possibilita atender às necessidades da pessoa, sistema ou necessidade.

c) há controles de acesso lógicos na organização que utilizam autenticação com certificado digital ICP-Brasil, a fim de prover identificação inequívoca de pessoas físicas e jurídicas e comprovação de autoria em transações digitais

Fomenta-se a aplicação de certificados digitais na utilização de sistemas de TIC, garantindo e certificando o acesso dos usuários.

d) a organização analisa criticamente, a intervalos regulares, os direitos de acesso lógicos e físicos existentes, com vistas à remoção de direitos que deixaram de ser necessários e para assegurar que privilégios indevidos não foram obtidos

Os direitos de acesso devem ser periódicos e revisados, evitando a permanência de acessos concedidos e sem uso, bem como deve ser integrado a processos de RH (contratação e desligamento) e de aquisições (abertura e encerramento de contratos).

e) a organização instituiu uma Política de Controle de Acesso (PCA), a qual estabelece princípios, objetivos, diretrizes, principais atividades e responsabilidades relativos ao processo de controle de acesso

A PCA deve ser formalizada junto à organização, visando dar pleno conhecimento às partes impactadas.

f) a organização avalia periodicamente o desempenho e a conformidade do processo de controle de acesso e promove eventuais ajustes necessários

Como qualquer processo, o processo do controle de acesso deverá ser executado dentro de um ciclo de melhoria da qualidade (PDCA, DMAIC), visando sua evolução contínua.

 

4263. A organização executa processo de gestão de ativos associados à informação

a) a organização mantém um inventário dos ativos associados à informação

Além do inventário de ativos totais da organização, deverá haver uma identificação diferenciada para os ativos associados à informação, visando tratamentos adequados e diferenciados.

b) a organização definiu responsabilidades pelos ativos associados à informação

Os ativos associados à informação deverão ter responsáveis nomeados visando o devido controle dos mesmos.

c) o inventário identifica as informações críticas que os ativos armazenam, processam ou transmitem

A área de TIC deverá possuir uma matriz de ativos associados à informação e as informações críticas que ele trata, permitindo valoração ou priorização, em caso de necessidade.

d) o processo de gestão de ativos associados à informação subsidia a implantação de controles e ações com vistas a assegurar a adequada proteção dos ativos e das informações que armazenam, processam ou transmitem

O processo de gestão de ativos associados à informação deve apoiar a criação de controle, indicadores e ações que busque a garantia da proteção dos ativos e de suas respectivas informações.

e) o processo de gestão de ativos associados à informação subsidia a implantação de ações mitigatórias aplicáveis no caso de ocorrência de evento catastrófico que inviabilize a utilização de ativos

O processo de gestão de ativos associados à informação deve apoiar a criação de contingências a serem aplicadas em caso de necessidade.

f) o processo de gestão de ativos associados à informação está formalizado (a organização instituiu norma interna, guia ou instrumento similar com orientações quanto à execução do processo e definição de responsabilidades)

O processo de gestão de ativos associados à informação deverá estar definido, aprovado e publicado às partes interessadas, sempre buscando a promoção da transparência.

g) a organização avalia periodicamente o desempenho e a conformidade do processo de gestão de ativos associados à informação e promove eventuais ajustes necessários

Como qualquer processo, o processo de gestão de ativos associados à informação deverá ser executado dentro de um ciclo de melhoria da qualidade (PDCA, DMAIC), visando sua evolução contínua.

 

4264. A organização executa processo para classificação e tratamento de informações

a) informações pessoais são identificadas e rotuladas, com vistas a viabilizar adequado tratamento e proteção

A classificação da informação deve ocorrer no momento de aquisição (entrada/criação) da mesma, permitindo que a mesma seja tratada adequadamente,

b) a organização adota procedimentos para tratamento e proteção das informações identificadas na forma do item “a” em conformidade com os requisitos legais e de negócio

Após a classificação, a informação deverá ser tratada conforme determinação da lei e, depois, conforme as necessidades do negócio.

c) informações sigilosas em razão de sua imprescindibilidade à segurança da sociedade ou do Estado são identificadas e rotuladas, com vistas a viabilizar adequado tratamento e proteção

As informações deverão receber as devidas classificações visando receber o tratamento adequado.

d) a organização adota procedimentos para tratamento e proteção das informações identificadas na forma do item “c” em conformidade com os requisitos legais e de negócio

As informações, depois de classificadas, deverão receber o tratamento e proteção adequadas conforme a lei e conforme o negócio.

e) informações sigilosas em função de outras hipóteses legais de sigilo ou segredo são identificadas e rotuladas, com vistas a viabilizar adequado tratamento e proteção

As informações deverão receber as devidas classificações visando receber tratamento adequado.

f) a organização adota procedimentos para tratamento e proteção das informações identificadas na forma do item “e” em conformidade com os requisitos legais e de negócio

As informações, depois de classificadas, deverão receber o tratamento e proteção adequadas conforme a lei e conforme o negócio.

g) informações críticas para a organização em razão de necessidades do negócio (p. ex. requisitos associados à integridade, disponibilidade, autenticidade ou a outros atributos da informação) são identificadas e rotuladas, com vistas a viabilizar adequado tratamento e proteção

As informações deverão receber as devidas classificações visando receber o tratamento adequado.

h) a organização adota procedimentos para tratamento e proteção das informações identificadas na forma do item “g” em conformidade com os requisitos legais e de negócio

As informações, depois de classificadas, deverão receber o tratamento e proteção adequadas conforme a lei e conforme o negócio.

i) o processo de classificação e tratamento de informações está formalizado (a organização instituiu norma interna, guia ou instrumento similar com orientações quanto à execução do processo e definição de responsabilidades)

O processo de classificação e tratamento de informações deverá estar definido, aprovado e publicado, com o apontamento das devidas responsabilidades, permitindo que todos conheçam seu papel de atuação e, desta forma, seja um processo devidamente repetitivo e passível de evolução.

j) a organização avalia periodicamente o desempenho e a conformidade do processo de classificação e tratamento de informações e promove eventuais ajustes necessários

Como qualquer processo, o processo para classificação e tratamento de informações deverá ser executado dentro de um ciclo de melhoria da qualidade (PDCA, DMAIC), visando sua evolução contínua.

 

4265. A organização executa processo de gestão de incidentes de segurança da informação

a) a organização definiu e comunica amplamente o ponto de contato a ser notificado no caso de ocorrência de incidente de segurança da informação, bem como os canais de comunicação apropriados

A organização deve seguir as boas práticas e utilizar-se de frameworks consagrados no mercado, criando canal centralizado de contato com os usuários e comunicando-o apropriadamente.

b) a organização definiu procedimentos e responsabilidades quanto ao tratamento das notificações de incidentes de segurança da informação, adoção de ações emergenciais e diretrizes para escalamento e comunicação interna e externa

O processo de tratamento de incidentes de SI deve ser formal e abranger atividades de ações emergenciais, bem como de comunicação a outros níveis de forma adequada.

c) a organização definiu procedimentos e responsabilidades quanto à análise de incidentes de segurança da informação, identificação de causas raízes e planejamento e implementação de ações corretivas

O processo de tratamento de incidentes de SI deve a análise de incidentes de SI através de métodos reconhecidos e possuir ações corretivas devidamente planejadas.

d) a organização instituiu equipe de tratamento e resposta a incidentes em redes computacionais (ETIR) ou estrutura equivalente

Deve haver uma equipe pré-definida e preparada para o tratamento de incidentes de redes.

e) o processo de gestão de incidentes de segurança da informação está formalizado (a organização instituiu norma interna, guia ou instrumento similar com orientações quanto à execução do processo e definição de responsabilidades)

O processo de gestão de incidentes de SI deverá estar definido, aprovado e publicado, com o apontamento das devidas responsabilidades, permitindo que todos conheçam seu papel de atuação e, desta forma, seja um processo devidamente repetitivo e passível de evolução.

f) a organização avalia periodicamente o desempenho e a conformidade do processo de gestão de incidentes de segurança da informação e promove eventuais ajustes necessários

Como qualquer processo, o processo de gestão de incidentes de SI deverá ser executado dentro de um ciclo de melhoria da qualidade (PDCA, DMAIC), visando sua evolução contínua.

 

4266. A organização executa atividades de gestão da segurança dos recursos de processamento da informação, inclusive dos recursos de computação em nuvem.

a) a organização gerencia (inventaria e controla) os dispositivos conectados em sua rede

A organização deve ter total controle sobre o que está disponível em sua rede, bem como quem acessa seus ativos.

b) a organização gerencia (inventaria e controla) os softwares instalados nos dispositivos conectados em sua rede

A organização deve possuir total controle sobre os softwares que possui e quem detém seu direito de uso.

c) a organização gerencia vulnerabilidades técnicas em seus ativos de software, de hardware e de rede críticos para o negócio

A organização deverá possuir uma equipe atuante em fóruns, blogs e afins, relativos aos seus ativos de hardware, software e rede que trazem impacto direto ao negócio, para manter-se atualizado com suas vulnerabilidades.

d) a organização implementa configurações seguras em seus ativos de software, de hardware e de rede críticos para o negócio

A organização deve manter seus ativos de hardware, software e rede com suas configurações de segurança sempre atualizadas.

e) a organização mantém, monitora e analisa logs de auditoria dos ativos de software, de hardware e de rede críticos para o negócio

A equipe de SI deve fracionar seu tempo de atuação na análise de logs de auditoria.

f) a organização aplica controles compensatórios para o uso de privilégios administrativos em seus ativos de software, de hardware e de rede críticos para o negócio

Devem ser criados controles compensatórios quando do uso de privilégios administrativos como, por exemplo, funções devem ser segregadas para evitar fraudes e erros, devem ser criadas trilhas de auditoria para monitoramento de acesso todos os usuários, etc.

g) a organização implementa defesas contra malware (ex: vírus) e outras ameaças cibernéticas (ex: phishing)

A organização deve ter em seus ativos de software ferramentas de defesas contra ameaças digitais atualizadas de forma automática.

h) a organização limita e controla o uso de portas, protocolos e serviços de rede nas conexões de sua rede interna com a internet e outras redes externas

A organização deverá fazer o controle e análise constante de acessos internos com o mundo exterior, bem como do mundo exterior para dentro de sua rede de comunicação.

i) a organização implementa defesa de perímetro das conexões de sua rede interna com a internet e outras redes externas

Devem ser criadas defesas nos perímetros de importantes ativos de comunicação visando restrição de acesso, através de catracas, cadeados, cofres, salas-cofres, etc.

j) a organização implementa cópias regulares de segurança (backup) das informações em meio digital, conforme as melhores práticas e as necessidades de negócio, incluindo a realização periódica de testes de recuperação das informações

A organização deve manter um processo para recuperação de seu negócio e, como parte integrante, possuir cópias de segurança atualizadas e validadas na maior frequência de tempo possível.

k) a organização executa regularmente testes de segurança em seu ambiente de TI (detecção de vulnerabilidades e testes de penetração)

A organização deve executar ou contratar testes de vulnerabilidades em seus ativos regularmente, visando detectar falhas controladas a serem corrigidas.

 

4270. Executar processo de software.

 

Nessa subdivisão o TCU define que a organização deve executar um processo de software.

 

4271. A organização executa um processo de software

a) a organização possui pessoal próprio capacitado para gerir o processo de software

A organização deve possuir uma área com as competências e conhecimentos necessários à gestão do processo de software.

b) a organização avalia as soluções existentes no mercado antes de decidir pelo desenvolvimento de software (análise do tipo “construir ou adquirir”)

A organização deve ter um processo de avaliação de soluções no mercado visando descobrir o custo versos o benefício entre a aquisição e o desenvolvimento próprio.

c) na etapa de planejamento das contratações de soluções de software, a organização realiza estudos para identificar e mitigar o risco de dependência tecnológica, com vistas a viabilizar a substituição de fabricante/fornecedor quando tecnicamente viável e economicamente vantajoso

A dependência tecnológica deve ser item a ser considerado no processo de aquisição de soluções de software, visando futura troca de fornecedor.

d) a organização utiliza prioritariamente arquiteturas de software que promovem o desacoplamento de soluções, sistemas e componentes, inclusive nos casos de software adquirido e desenvolvimento realizado mediante contratação, com vistas a facilitar a realização de manutenções e otimizar custos

A organização deve fomentar e cobrar a aplicação de boas práticas de software, visando futuras integrações, desativações de softwares ou manutenções.

e) o processo de software utilizado pela organização promove a participação de representante da área de negócio como integrante da equipe de desenvolvimento ou aquisição de software, desde sua concepção até a aceitação final

As principais áreas impactadas por um software devem estar alinhadas ao processo de aquisição ou de desenvolvimento do mesmo.

f) o processo de software da organização promove a identificação precoce de requisitos de segurança da informação e a gestão permanente desses requisitos durante todo o ciclo de vida do software

A SI deverá estar integrada não somente ao processo de software da organização, mas a todos os seus processos!

g) o processo de software da organização promove a identificação precoce de requisitos de interoperabilidade e a gestão permanente desses requisitos durante todo o ciclo de vida do software

A integração e interoperabilidade de softwares deve ser uma busca constante da área de arquitetura de software, visando manter um ambiente de software intercomunicável e acessível.

h) o processo de software da organização promove a identificação precoce de requisitos de acessibilidade e de usabilidade, bem como a gestão permanente desses requisitos durante todo o ciclo de vida do software

Como parte integrante do processo de software a acessibilidade e usabilidade devem estar endereçadas como pré-requisitos.

i) a organização assegura os seus direitos autorais, de propriedade e de uso relativamente ao software que desenvolve por meio de contratação

O processo de aquisições deverá endereçar esses pontos de forma transparente junto aos fornecedores.

j) organização avalia, por meio de mensurações, indicadores e metas, a qualidade do software desenvolvido ou adquirido

O processo de desenvolvimento de software deve endereçar os parâmetros, métricas e indicadores que o qualificam.

k) o processo de software está formalizado (a organização instituiu norma interna, guia ou instrumento similar com orientações quanto à execução do processo e definição de responsabilidades)

O processo de software deverá estar definido, aprovado e publicado, com o apontamento das devidas responsabilidades, permitindo que todos conheçam seu papel de atuação e, desta forma, seja um processo devidamente repetitivo e passível de evolução.

l) a organização avalia periodicamente o desempenho e a conformidade do processo de software e promove eventuais ajustes necessários

Como qualquer processo, o processo de software deverá ser executado dentro de um ciclo de melhoria da qualidade (PDCA, DMAIC), visando sua evolução contínua.

 

 

4280. Gerir projetos de tecnologia da informação.

 

E, por final, nessa subdivisão, o TCU define que a organização de executar processo de gestão de projetos de TIC.

 

4281. A organização executa processo de gestão de projetos de tecnologia da informação

a) a organização possui base de dados consolidada (portfólio) de projetos de tecnologia da informação

A organização deve possuir e manter seu portfólio de projetos de TIC atualizados.

b) escopo, custos, uso de recursos e cumprimento de prazos são gerenciados em cada projeto

Visando alcançar com sucesso a tríade escopo, tempo e custo, todas as áreas de conhecimento devem ser endereçadas em um projeto.

c) é realizada a gestão de riscos de cada um dos projetos de alta materialidade ou alta relevância

Os projetos categorizados como de maior relevância (valor ou importância) à organização deverão seguir o processo de gestão de riscos formal.

d) o processo de gestão de projetos está formalizado (a organização instituiu norma interna, guia ou instrumento similar com orientações quanto à execução do processo e definição de responsabilidades)

O processo de gestão de projetos deverá estar definido, aprovado e publicado, com o apontamento das devidas responsabilidades, permitindo que todos conheçam seu papel de atuação e, desta forma, seja um processo devidamente repetitivo e passível de evolução.

e) a organização avalia periodicamente o desempenho e a conformidade do processo de gestão de projetos de tecnologia da informação e promove eventuais ajustes necessários

Como qualquer processo, o processo de gestão de TIC deverá ser executado dentro de um ciclo de melhoria da qualidade (PDCA, DMAIC), visando sua evolução contínua.

 

 

Esse questionário, com certeza, possui tema para a produção de uma série de artigos, porém, em nosso caso, a ideia foi apenas de apresentar os indicadores de Governança de TIC e fomentar a aplicação dos mesmos nas organizações privadas – uma vez que o TCU cobra os mesmos de organizações públicas –, buscando elevação da maturidade em Governança de TIC e das outras Governanças.

 

 

Baixe essa publicação aqui!

 

 

Algumas referências apontam diretamente para artigos no blog de Governancas.com.br, outras, para o Livro Governança de TIC – Guia Prático de Apoio à Implantação:

Governança de TIC - Guia Prático de Apoio à Implantação

 


 

REFERÊNCIAS

 

As referências que consubstanciam o artigo foram agrupadas de acordo com os grupos identificados no questionário de Governança Organizacional Pública.

 

Governança Corporativa, Governança de TIC, GRC ou de apoio às mesmas:

Reduzindo Custos Através da Governança de TIC

Princípios Básicos da Governança Corporativa

Mapeamento de Processos com BPMN e Bizagi

Como criar seu checklist de Maturidade de Governança

15 Sintomas de Necessidade de Governança de TIC

Agindo nos 15 Sintomas de Necessidade de Governança de TIC

Por que você precisa da GRC

Governança de Compliance: Due Diligence

Ferramentas de apoio à implantação da Governança de TIC

Como implantar a Governança de TIC

 

  1. Realizar planejamento de tecnologia da informação:

PEI – Planejamento Estratégico Institucional

PEGTIC – Planejamento Estratégico em Governança de TIC

PDTIC – Plano Diretor de TIC

Governança de TIC

 

  1. Gerir serviços de tecnologia da informação:

Análise da causa-raiz: técnica dos 5 Porquês

 

  1. Gerir nível de serviço de tecnologia da informação:

Permeado por todo o Livro

 

  1. Gerir riscos de tecnologia da informação:

Maturidade no Processo de Gestão de Riscos Corporativos

Gerenciamento de Riscos

 

  1. Definir políticas de responsabilidades para a gestão da segurança da informação:

Checklist da Norma ISO 27.001

Política de Segurança da Informação, de acordo com a ISO 27.001

 

  1. Estabelecer processos e atividades para a gestão da segurança da informação:

Checklist da Norma ISO 27.001

Governança de Dados das Vacas e das Coisas

Governança da Privacidade agora é Lei e multará por inércia

Implementação e Autoavaliação do COBIT

Gestão da Continuidade de Negócios

Plano de Continuidade Operacional

 

  1. Executar processo de software:

Governança das Aquisições

Gestão da Terceirização de TIC

 

  1. Gerir projetos de tecnologia da informação:

Estudo para a Certificação PMP – 1/4

Estudo para a Certificação PMP – 2/4

Estudo para a Certificação PMP – 3/4

Estudo para a Certificação PMP – 4/4

 

 

 

TCU, TCE e iGovTI:

TCU – Governança Pública

Pesquisa Perfil GovTI 2016: Análise de dados

Análise do Relatório iGovTI TCE-RJ

Comparativo do questionário Perfil Gov TI 2016 com a versão de 2014

Questionário Perfil GovTI – 2014

Diferenças entre as versões 2012 e 2014 do Questionário Perfil GovTI

Checklist do Questionário Perfil GovTI 2014

Deixe uma Resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Você pode usar tags e atributos HTML:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>