GERIS: UM FRAMEWORK PARA GERENCIAMENTO DE RISCOS EM SISTEMAS DE SUPORTE A DECISÕES CLÍNICAS

Tamanho: px
Começar a partir da página:

Download "GERIS: UM FRAMEWORK PARA GERENCIAMENTO DE RISCOS EM SISTEMAS DE SUPORTE A DECISÕES CLÍNICAS"

Transcrição

1 XXX ENCONTRO NACIONAL DE ENGENHARIA DE PRODUÇÃO Maturidade e desafios da Engenharia de Produção: competitividade das empresas, condições de trabalho, meio ambiente. São Carlos, SP, Brasil, 12 a15 de outubro de GERIS: UM FRAMEWORK PARA GERENCIAMENTO DE RISCOS EM SISTEMAS DE SUPORTE A DECISÕES CLÍNICAS Cristiane Ellwanger (UFSM) cristianeellwanger@yahoo.com.br Raul Ceretta Nunes (UFSM) ceretta@inf.ufsm.br Leandro Cantorski da Rosa (UFSM) leski78@hotmail.com Maria Angélica Figueiredo Oliveira (UFSM) mariaangelicafo@gmail.com Sistemas de Suporte a Decisões Clínicas exercem um papel fundamental no que tange aos cuidados relacionados à saúde de pacientes. Devido à alta complexidade destes sistemas e a importância das informações neles armazenadas, este artigo apreesenta um framework para gerenciamento dos riscos a que estes sistemas estão expostos, agregando aspectos físicos, tecnológicos, de processos, humanos e informações. Tendo por base uma estrutura analítica do processo, o framework GERIS apresenta-se como um modelo para o mapeamento dos ativos que compõem estes sistemas e para o estabelecimento de procedimentos para o tratamento e gerenciamento dos riscos identificados. Palavras-chaves: Gerenciamento de Riscos, Sistemas de Suporte a Decisões Clínicas, Tecnologias de Informação

2 1. Introdução Os avanços no desenvolvimento de software através de componentes e de técnicas de integração resultaram em uma nova geração de sistemas que traz consigo a necessidade de intensas mudanças tais como a interoperabilidade de sistemas heterogêneos, o compartilhamento e reuso de componentes, o gerenciamento da complexidade e os aspectos de segurança e privacidade (SARTIPI, YARMANMH e DOWND, 2007). Devido a estas características os Sistemas de Suporte a Decisões Clínicas (CDSSs) têm despertado a atenção de diversos estudiosos pertencentes à área da saúde. Estudos nos quais os autores salientam alguns pontos relevantes a serem observados com relação a estes sistemas. Neste sentido Mendonça (2004) destaca que o custo de aquisição de profissionais com conhecimento abrangente, capazes de manter a sustentabilidades dos CDSSs, é o principal obstáculo desses sistemas, pois os mesmos necessitam de atualizações constantes devido à complexidade e a natureza mutável do conhecimento clínico. Para Garg, Adhikari, Mcdonald et al. (2005) a efetividade desse tipo de sistema é um dos pressupostos para que o clínico opte pela sua adoção ou não. Os benefícios que estes sistemas são capazes de trazer devem ser comprovados antes de sua produção. Testes devem ser realizados, constantemente, nos mesmos, pois eles podem causar efeitos indesejados quando utilizados na assistência à saúde de pacientes. Após a realização de diversos testes com vários tipos de CDSSs, o autor revela que a maioria dos CDSSs disponíveis não cumpre com seu objetivo principal. Entretanto Barbosa, Almeida e Costa (2006) verificaram em seu trabalho que os profissionais responsáveis pelo desenvolvimento destes sistemas e os usuários dos mesmos tem diferentes percepções sobre os CDSSs. Segundo os autores os desenvolvedores priorizam a forma de operação, ou seja, como estes sistemas trabalham internamente; a flexibilidade de armazenamento de informações e a sua facilidade de atualização. Em contrapartida, os decisores priorizam a manipulação de dados, a operação autônoma desempenhada pelo sistema e a sua adequação a novas necessidades. Nesse sentido os profissionais da área clínica, objeto do estudo de Garg, Adhikari, Mcdonald et al. (2005), podem ter percepções distorcidas sobre estes sistemas, tendo em vista que os mesmos são desenvolvidos para dar apoio ao clínico e não substituir o estudo aprofundado e especializado destes profissionais. As diferentes percepções constatadas no estudo Barbosa, Almeida e Costa (2006) evidenciam os riscos a que estes sistemas estão expostos. Um correto gerenciamento de riscos faz-se necessário devido à complexidade e ao domínio de aplicação dos CDSSs. Entretanto, profissionais da área tecnológica têm se dedicado a estudos direcionados ao gerenciamento de riscos de tecnologia da informação (TI) de forma generalizada (Bonabeau, 2007; Hughes, 2006), ao gerenciamento de riscos durante o processo de desenvolvimento de softwares (Dey, Kinch e Ogunlana, 2007) ou ao gerenciamento de riscos voltado a preservação das informações armazenadas nesses sistemas (Gerber e Solms, 2005; Peltier, 2004) e pouca atenção tem sido dada a infra-estrutura de TI nos sistemas direcionados à saúde (SARTIPI, YARMANMH e DOWND, 2007). Como contribuição o presente artigo apresenta GERIS, um framework para o gerenciamento eficiente dos riscos direcionando-se aos sistemas de suporte a decisões clínicas, podendo ser utilizado tanto em sistemas já em execução quanto nos projetos de desenvolvimento dos mesmos. O alicerce do framework proposto ampara-se em uma estrutura analítica, desenvolvida para o processo de gerenciamento de riscos de CDSSs, a qual contempla todos os aspectos que permeiam estes sistemas, ou seja, físicos, tecnológicos, de processos, humanos e informações. Para apresentação e compreensão do framework o artigo estrutura-se 2

3 da seguinte forma: na seção 2 são apresentados conceitos básicos relacionados aos CDSSs, demonstrando alguns tipos de sistemas e suas características; a seção 3 aborda a importância do gerenciamento de riscos em CDSSs e a apresentação de algumas ferramentas utilizadas para identificar e gerenciar riscos; a seção 4 menciona algumas metodologias que podem ser utilizadas para o gerenciamento de riscos em tecnologias da informação (TI); a seção 5 apresenta os procedimentos metodológicos deste estudo, a seção 6 demonstra o framework proposto e a seção 7 apresenta as conclusões advindas da realização deste trabalho. 2. CDSSs Definições e características Diversas ferramentas têm sido desenvolvidas com o objetivo de auxiliar profissionais de diferentes áreas na tomada de decisão. Estas ferramentas são conhecidas como Sistemas de Apoio a Decisão SADs ou Sistemas de Suporte a Decisão (Decision Support Systems). Na concepção de Shortliffe e Perreault (2000) podem ser caracterizados como sistemas de apoio à decisão tanto os aplicativos que utilizam dados e informações quanto aqueles que utilizam o conhecimento, ou seja, os sistemas especialistas (SE). No entanto quando direcionados a profissionais da área da saúde estes sistemas, podem ser encontrados na literatura sob a denominação de Sistemas de Apoio a Decisões Clínicas SADC ou Sistemas de Suporte a Decisões Clínicas CDSSs (Clinical Decision Support Systems). Considerados programas de computação projetados para prover apoio especializado aos profissionais de saúde na tomada de decisões clínicas (Musen, Shahar, e Shortliffe, 2001) utilizam-se da agregação de conhecimento clínico para auxiliar os profissionais de saúde a analisar os dados de pacientes e permitir a tomada decisão relacionada ao diagnóstico, prevenção e tratamento de problemas de saúde. Exemplos de tais sistemas podem ser encontrados em diversas áreas direcionadas ao cuidado médico como a odontologia, a medicina, a farmácia entre outras (SHORTLIFFE e PERREAULT, 2000; MENDONÇA, 2004). Sistemas de Suporte a Decisões Clínicas (CDSSs) têm se destacado nestas áreas, principalmente, devido aos avanços tecnológicos, ao crescente acesso a sistemas de computadores na prática clínica, por seu grande potencial para a redução de erros médicos, pela melhoria de resultados clínicos e pelo aumento do interesse pela qualidade e eficiência no cuidado médico (GARG, ADHIKARI, MCDONALD et al,, 2005; SIM, GORMAN, GREENES et al., 2001; EVANS, PESTONIK, CLASSEN et al., 1998). Entretanto, na concepção de Goldschmidt (2005), a introdução de novas tecnologias pode potencializar erros, bem como reduzí-los, sendo a redução uma das razões para sua introdução. Por exemplo, falhas em computadores, captura de anomalias nos dados, erros de programação e outras falhas de automatização podem substituir a perda de diagnósticos, letras ilegíveis, perda das informações, e outros problemas existentes na sua manipulação. Entretanto a automatização desestruturada pode introduzir novos problemas aos processos. Se a tecnologia de informação na área da saúde resulta em sistemas altamente agregados, fracassos podem aumentar as chances de catástrofes. Goldschmidt (2005) salienta ainda que o uso difundido de tecnologia de apoio à decisão traz consigo o risco de substituir as grandes tolices de poucos pelos enganos secundários de muitos e que informações inválidas propagadas em tecnologias de suporte à decisão, integradas a prontuários eletrônicos de pacientes, podem incitar médicos a executar intervenções inadequadas e causar danos ao invés de ajudar os pacientes. Devido à complexidade de tais sistemas, não somente com relação a sua estrutura física, mas também devido à importância das informações neles contidas e ao domínio de aplicação em que se encontram, existe a necessidade de se identificar e gerenciar os riscos a que estes sistemas estão expostos, tendo em vista que uma falha neste tipo de sistema implica na perda, não somente das funcionalidades do mesmo, como também das informações pessoais e 3

4 históricos clínicos de pacientes, podendo ocasionar danos irreversíveis para a organização e, principalmente, comprometer vidas humanas. 3. Importância do Gerenciamento de Riscos nos CDSSs O gerenciamento de riscos nos CDSSs está intrinsecamente relacionado à segurança destes sistemas. Tendo em vista que segurança absoluta não existe, o melhor a se fazer é reduzir os riscos a níveis aceitáveis ou transferí-los, lembrando que os custos em segurança dos sistemas e os custos relacionados à sua proteção não devem ser maiores que o valor do que deve ser protegido e vice-versa (PASQUINUCCI, 2007). Incidentes de segurança tendem a se manifestar como sendo problemas tecnológicos, mas geralmente suas origens estão nas pessoas e em processos deficientes (STEWART, 2004). Os riscos relacionados às tecnologias da informação (TI) têm diferentes causas raízes, sendo necessárias diversas abordagens para seu gerenciamento e mitigação. Estas abordagens requerem uma combinação de processos, pessoas, tecnologia e informação (HUGHES, 2006). Portanto, o gerenciamento dos riscos existentes nos CDSSs deve abranger os riscos que possam comprometer todo o aporte tecnológico necessário a seu correto funcionamento, os riscos relacionados às informações neles armazenadas e necessárias ao processo de tomada de decisões e os riscos relacionados às pessoas que manipulam e utilizam este tipo de tecnologia da informação. Para Stoneburner, Goguen e Feringa (2004) risco é o impacto negativo que ocorre através de uma vulnerabilidade envolvendo a probabilidade e o impacto de sua ocorrência. O gerenciamento de riscos é o processo que envolve a identificação de riscos, sua avaliação e a execução de medidas para reduzí-los a níveis aceitáveis. Pasquinucci (2007) salienta que os princípios gerais do gerenciamento de riscos são simples e claros, entretanto quando se tiver que colocá-los em prática as coisas podem ficar bastante complicadas, pois o gerenciamento de riscos é um processo contínuo e deve sempre ser reavaliado em busca de possíveis inconsistências. Na concepção de Scudere (2006) a condução de uma análise de riscos pode ser dividida em (Figura 1): a) Planejamento e estratégia: planejar ações e criar estratégias de avaliação; b) Identificação: Criar procedimentos para uma correta identificação dos riscos; c) Qualificação: Introduzir uma qualificação decorrente de uma vulnerabilidade; d) Quantificação: Possibilitar uma pontuação do nível de risco; e) Impactos e respostas: Criar procedimentos para se determinar o impacto de um determinado risco e a resposta que deverá ser utilizada e f) Monitoramento e Controle: Determinar procedimentos para um constante acompanhamento dos riscos e ações realizadas para minimizá-los. 4

5 Figura 1 Processo de Gerenciamento de Riscos adaptado de SCUDERE (2006) Já na concepção de Hughes (2006) para se efetuar uma classificação eficaz dos riscos identificados e tomar decisões corretas em termos de priorização e alocação de recursos para o seu monitoramento, é necessária uma categorização de acordo com sua natureza e relevância. Há também a necessidade de mensurar a sua ocorrência potencial e os possíveis impactos estratégicos, operacionais, de conformidade e, obviamente, econômico-financeiros. Diversas técnicas podem ser utilizadas para análise e avaliação de riscos, dentre as quais se destacam: Análise de Modos de Falha e Efeitos (FMEA), Análise de Árvore de Falhas (AAF), ALARP As Low As Reasonably Practicable e o Poka-Yoke (FERNANDES, 2006; DE CICCO e FANTAZZINI, 2003). Hughes (2006) salienta ainda que a avaliação dos riscos relacionados a TI pode proporcionar significativas melhorias para os stakeholders. Entretanto, para que estas melhorias sejam obtidas é necessário que se desenvolva uma conscientização da natureza dos riscos de TI e a quantificação de seu do impacto para o negócio, resultantes da perda de informações ou do acesso às aplicações; o entendimento da evolução de ferramentas disponíveis para o gerenciamento de riscos; o alinhamento dos custos entre o gerenciamento de riscos de TI e o valor do negócio; e, finalmente, o desenvolvimento de uma sistemática capacidade organizacional para o gerenciamento de riscos de TI. 4. Metodologias disponíveis para gerenciamento de riscos em TI Diversas metodologias, normas e modelos estão emergindo no sentido de descrever as melhores práticas no que diz respeito aos processos operacionais de TI (HUGHES, 2006). Dentre os modelos pode-se relacionar o COBIT e o ITIL. O COBIT (Control Objetives for Information and Related Technology) estrutura-se a partir de controles internos, orientado para o entendimento e o gerenciamento dos riscos associados ao uso da tecnologia da informação (FERREIRA e ARAUJO, 2006). Criado em 1994 pela ISACA (Information System Audit and Control Association), a partir de seu conjunto inicial de objetivos de controle, vem evoluindo através da incorporação de padrões internacionais, técnicos, profissionais, regulatórios e específicos para processos de TI. O gerenciamento de riscos é um dos pilares deste modelo. Tanto a avaliação quanto o gerenciamento de riscos são abordados dentro de um dos domínios do modelo denominado Planejamento e Organização. Este domínio tem abrangência estratégica e tática e identifica as formas através das quais pode 5

6 melhor contribuir para o atendimento dos objetivos do negócio, envolvendo planejamento, comunicação e gerenciamento sob diversas perspectivas (FERNANDES, 2006). O ITIL (Information Technology Infrastructure Library) é um modelo que agrupa as melhores práticas para o gerenciamento de serviços de TI de alta qualidade, obtidas em consenso após mais de uma década de observação prática, pesquisas e trabalhos de profissionais de TI e processamento de dados em todo o mundo. Neste modelo o gerenciamento de riscos envolve o gerenciamento de incidentes, o gerenciamento de problemas e o gerenciamento de mudanças. O gerenciamento de incidentes visa restaurar a operação normal de um serviço no menor tempo possível de forma a minimizar os impactos adversos para o negócio, garantindo que os níveis de qualidade e disponibilidade dos serviços sejam mantidos dentro dos padrões acordados (trata o efeito e não a causa). Já o gerenciamento de problemas visa minimizar os impactos de incidentes e problemas para o negócio quando causados por falhas na infraestrutura de TI, assim como prevenir que a ocorrência de incidentes relacionados a estas falhas ocorram novamente. Pode ter um efeito reativo (resolução de problemas em resposta a um ou mais incidentes) ou proativa (identificando e resolvendo problemas e falhas conhecidas antes da ocorrência dos incidentes). Já o gerenciamento de mudanças visa assegurar o tratamento sistemático e padronizado de todas as mudanças ocorridas no ambiente operacional, minimizando assim os impactos decorrentes de incidentes ou problemas relacionados a estas mudanças na qualidade do serviço e melhorando, conseqüentemente, a rotina operacional da organização (FERNANDES, 2006). No que tange às metodologias destaca-se a OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation) desenvolvida pela Carnegie Mellon University e pelo Software Engineering Institute (SEI). Permite atender tanto organizações de grande porte quanto empresas menores (CERT, 2008). Um dos diferenciais desta metodologia está na forma de proceder na avaliação dos riscos. Possuindo uma visão organizacional e estratégica da empresa, antes de qualquer atividade, o profissional de risco deverá entender o negócio, o cenário e o contexto em que a análise está inserida, diferente da maioria das metodologias, focadas apenas na tecnologia e com uma visão apenas na estrutura tática da organização (ALVES, 2006). Finalmente no que se refere às normas, destaca-se a ISO/IEC 27001:2005 voltada à segurança da informação. Através de um sistema de gerenciamento que visa garantir à segurança da informação (ISMS), a norma aborda uma série de requisitos para que os riscos possam ser gerenciados tais como: seleção, implementação, revisão e monitoramento de controles. A avaliação, o gerenciamento e o tratamento dos riscos são interligados ao longo do processo. Baseada no modelo PDCA (Plan-Do-Check-Act) esta norma enfatiza em cada ciclo os componentes necessários ao gerenciamento de riscos (ISO/IEC 27001, 2005). Como complemento à norma ISO/IEC 27001:2005, foi lançada a norma ISO/IEC 27005:2008, tendo por objetivo fornecer as diretrizes necessárias ao processo de gerenciamento de riscos de segurança da Informação (ISO/IEC 27005, 2008). 5. Procedimentos Metodológicos O presente framework propõe a integração entre diferentes abordagens. Como a literatura apresenta o gerenciamento de riscos de forma isolada, referindo-se a questões tecnológicas, de forma gereneralizada (Bonabeau, 2006; Hughes, 2006), ao processo de desenvolvimento de softwares (Dey; Kinch; Ogunlana, 2007) ou a questões direcionadas a garantir a segurança das informações (Gerber; Solms, 2005; Peltier, 2004), o presente framework contempla aspectos relacionados ao ambiente físico, tecnológico, de informações, de processos e 6

7 aspectos relacionados aos recursos humanos existentes nas organizações (pessoas), conforme demonstra a Figura 2. para Gerenciamento de contradas na literatura Proposta para Gerenciamento de Riscos em CDSSs Desenvolvimento de Software Ambiente Físico -Riscos relacionados ao processo de desenvolvimento (Dey, kinch e Ogunlana, 2007) Pessoas Ambiente Tecnológico I) dos de au,, Segurança da Informação -Riscos de conscientização (Gerber e Solms, 2005), Risco das informaqções (Peltier, 2004) Gerenciamento de Riscos Processos Informações Figura 2 Abordagem proposta para o gerenciamento de riscos. Para a realização do processo de gerenciamento de riscos em CDSSs o framework proposto se utiliza uma estrutura em forma de árvore, a qual pode ser encontrada no estudos de Bakari et al. (2007) e Dey, Kinch e Ogunlana (2007). Esta estrutura, denominada estrutura analítica do processo, possibilita a organização de um processo de forma hierárquica, permitindo a captura da essência de um determinado problema. O uso desta estrutura permite o desmembramento de um problema complexo a estágios mais simples para sua resolução, podendo ser construída através de uma abordagem top-down ou botton-up. Neste estudo utilizou-se uma abordagem top-down, partindo-se da descrição dos objetivos dos CDSSs e expandindo-se até o desenvolvimento de estratégias para o tratamento de riscos presentes nos ativos, necessários ao correto funcionamento destes sistemas. Uma discussão completa sobre a construção e o uso desta estrutura pode ser encontrada em Belton e Stewart (2002). Para o delineamento geral do framework utilizou-se as normas ISO/IEC 27001:2005 e 27005:2008, as quais apresentam os pressupostos necessários ao gerencimento de riscos em sistemas de informação. 6. GERIS: O framework proposto Esta seção descreve o framework proposto (Figura 3) para o correto gerenciamento de riscos em CDSSs, o qual consiste na realização de uma série de procedimentos, sendo estes detalhados conforme segue: 7

8 Sistema novo? Sim Analisar os Requisitos Funcionais do CDSS Não Definir o escopo dos CDSSs Verificar lições aprendidas Sim Existem riscos novos em componentes do escopo? Sim Realizar mudanças operacionais Não Risco residual pode ser tolerado? Não Identificar e alinhar riscos na Estrutura Analítica do Processo Elaborar estratégias em resposta aos riscos Analisar o impacto do risco Sim Não Risco pode ser reduzido? Elaborar/Revisar Plano de Gerenciamento do Risco Figura 3 Framework proposto para Gerenciamento de Riscos de CDSSs. 6.1 Análise dos requisitos funcionais do sistema A etapa inicial envolve a definição dos requisitos funcionais do sistema, ou seja, a verificação de todos os recursos necessários para que o sistema possa executar a função a que se propõe, ou seja, proporcionar a tomada de decisões de forma eficiente. 6.2 Definição do escopo do sistema O escopo representa os objetivos do sistema e os aspectos determinantes sobre os quais o gerenciamento de riscos deve atuar. Na etapa de definição do escopo do sistema são definidos os objetivos do sistema e todos os aspectos que permeiam os mesmos, sejam eles físicos, tecnológicos, de processos, humanos ou de informações, organizados em uma estrutura analítica do processo (Figura 4). O ambiente físico envolve o conhecimento de toda a estrutura física necessária a dar suporte aos CDSSs, dentre os quais pode-se mencionar o local onde está localizado o CDSS e no qual as pessoas trabalham nesses sistemas, a climatização do ambiente, o sistema de iluminação, dentre outros. O ambiente tecnológico, como o próprio nome diz, está relacionado aos recursos tecnológicos necessários ao funcionamento do CDSS tais como: banco de dados, estrutura de redes, cabeamentos, interfaces, servidores etc. No que tange aos processos refere-se ao conhecimento sobre as melhores práticas (ITIL, COBIT, ISO/IEC :2005, ISSO/IEC 27005:2008 e outros padrões), utilizados pelas organizações, para o gerenciamento de processos de tecnologias de informação e os processos executados pelo sistema. Com relação às pessoas (recursos humanos) envolve todo o conhecimento que estes detêm para a manipulação e utilização do sistema, bem como as habilidades necessárias para que pessoas possam agir diante de um determinado risco. No que diz respeito às informações, envolve o entendimento sobre os tipos de informações existentes 8

9 no sistema (confidenciais, públicas, privadas) e a que tipo de dados estas informações se referem (informações pessoais de pacientes, diagnóstico clínico dentre outras) bem como as informações necessárias para que as pessoas saibam como proceder diante de uma ameaça que por ventura possa ocorrer. Sistema CDSS Objetivos do CDSS Amb.Físico/Tecnológico Processos Pessoas Informações A1 A2 An... A1 A2 An... A1 A2 An... A1 A2 An... R1 R2 Rn... R1 R2 Rn... R1 R2 Rn... R1 R2 Rn... E1 E2 En... E1 E2 En... E1 E2 En... E1 E2 En... Legenda: A Ativo relacionado R Risco relacionado E Estratégia para tratamento do risco Figura 4 Estrutura Analítica do processo para o gerenciamento de riscos em CDSSs. Conforme demonstra a Figura 4, a estrutura analítica, parte integrante do escopo do sistema e alicerce do framework, proporciona uma correlação entre o mapeamento dos ativos, os riscos relacionados a estes ativos e as estratégias necessárias para a sua minimização, facilitando o processo de gerenciamento dos riscos identificados. A partir dessa estrutura, inicialmente são verificados todos os ativos correspondentes a cada um dos aspectos necessários ao correto funcionamento dos CDSSs (físicos, tecnológicos, de processos, humanos e informações), partindo-se em seguida para a enumeração de todos os riscos correspondentes a estes ativos e finalmente para a identificação de estratégicas que possam ser utilizadas para reduzir os riscos identificados nos ativos a níveis aceitáveis. Esta estrutura analítica, pré-determinada no escopo e alinhada às demais etapas descritas no framework proporciona aos profissionais responsáveis pelo gerenciamento de riscos um melhor entendimento de todo o suporte estrutural necessário aos CDSSs e um nível de detalhamento bastante abrangente no que tange aos riscos identificados, o que permite inclusive que o processo de gerenciamento de riscos destes sistemas não necessariamente tenha de ser desempenhado por profissionais especialistas nesta área. 6.3 Identificação e alinhamento de riscos em componentes do escopo; A Identificação e alinhamento de riscos, em componentes do escopo, envolve a identificação dos componentes vulneráveis, descritos na estrutura analítica (ativos), que podem ocasionar o 9

10 comprometimento dos objetivos gerais do sistema, bem como sua organização na estrutura analítica pré-determinada. Esta etapa exige o envolvimento ativo e participativo dos stakeholders, visto que as diferentes percepções das pessoas, diretamente envolvidas com o sistema, podem se complementar proporcionando uma melhor identificação e alinhamento dos riscos. 6.4 Análise do impacto do risco A Análise de impacto do risco tem por intuito analisar a probabilidade e a severidade dos riscos identificados. A partir de uma listagem de riscos verificam-se aqueles que realmente têm probabilidade de ocorrer e o impacto que estes riscos podem causar quando de sua ocorrência. Ferramentas qualitativas e quantitativas, mencionadas na Seção 2, podem ser utilizadas para a realização desta análise, entretanto, a sua realização exige o envolvimento ativo dos stakeholders para a definição de riscos que, realmente, devem ser priorizados. 6.5 Desenvolvimento do plano de gerenciamento de riscos contendo a elaboração de estratégias em respostas aos riscos, verificações de lições aprendidas e a realização de mudanças operacionais. O Plano de gerenciamento do risco é desenvolvido em resposta aos riscos adversos, antes de sua ocorrência. Este plano é evolutivo e contribui para a redução dos efeitos de um determinado risco. Quando os CDSS estão em fase de desenvolvimento este plano deve ser elaborado e algumas das ferramentas descritas por De Cicco e Fantazzini (2003) podem ser utilizadas para sua elaboração. Nos CDSSs em execução este plano deve ser constantemente revisado a fim de que se possa correlacionar os riscos identificados às estratégias utilizadas para o seu tratamento, sendo esta uma das recomendações da ISO/IEC 27005:2008. No framework, a etapa elaborar/revisar o plano de gerenciamento de riscos é otimizada devido a esta correlação, determinada pela norma, já ter sido realizada na etapa de definição do escopo do sistema. As etapas de elaboração de estratégias em respostas aos riscos identificados, verificação de lições aprendidas e realização de mudanças operacionais são parte integrante do plano de gerenciamento do risco. Na etapa de elaboração de estratégias em respostas aos riscos identificados, são estabelecidas respostas aos riscos no intuito de permitir a redução dos mesmos em toda a estrutura dos CDSSs. Segundo Steinberg et al. (2004) em respostas aos riscos pode-se optar por evitá-los, transferí-los, reduzí-los ou aceitá-los. Se a opção for evitálos, então não se adota nenhuma tecnologia ou processo que ofereça riscos ao negócio, pois a forma de tratar um determinado risco pode gerar um novo risco maior do que o benefício que ele pode vir a trazer. Ao transferí-los o tratamento do risco é direcionado a terceiros ou a outro setor, sendo uma alternativa viável quando o seu tratamento torna-se oneroso. Já a redução de um determinado risco implica na adoção de mecanismos ou controles no intuito de mitigar o risco encontrado. No caso de aceitá-los, não se toma nenhuma medida, ou nenhuma ação é realizada para reduzir a probabilidade de ocorrência ou impacto do risco. Na etapa de verificação das lições aprendidas todas as ações realizadas diante da ocorrência de um determinado risco são documentadas e servirão de base caso o risco ocorra novamente. Já na etapa de realização de mudanças operacionais, são verificadas quais as modificações devem ser realizadas quando houver a impossibilidade de um determinado risco ser minimizado ou reduzido a níveis aceitáveis. Essas mudanças podem ocorrer em todos os aspectos que compõem a estrutura dos CDSSs (ambiente físico, tecnológico, de processos, humanos ou informações) ou em partes dele. Tanto as lições aprendidas quanto as mudanças realizadas são essenciais para que o sistema possa funcionar corretamente e, por esse motivo, 10

11 tornam-se parte integrante dos requisitos do sistema. Todas as etapas acima descritas formam o framework proposto, proporcionando aos profissionais responsáveis pelo gerenciamento de riscos em CDSSs a integração de conhecimentos e o entendimento amplo de toda a estrutura que comporta esses sistemas. Este embasamento teórico-prático, demonstrado através do framework, fornece os parâmetros inicias para um eficiente gerenciamento de riscos em sistemas de suporte a decisões clinicas. 7. Conclusões O gerenciamento eficiente de riscos relacionados às tecnologias de informações, especialmente àquelas voltadas a dar suporte a decisões clínicas de pacientes, necessitam de uma correta estruturação que aborde os diversos aspectos a que estas tecnologias estão expostas sejam elas físicas, de processos, tecnológicas, humanas ou de informações. Utilizando-se de uma estrutura analítica do processo, o framework proposto permite a identificação dos ativos relacionados aos aspectos anteriormente mencionados, a verificação dos riscos relacionados a cada um dos ativos identificados e a definição de estratégias para o tratamento ou a mitigação de riscos, dando suporte não somente a estabilidade dos CDSSs no que tange as falhas dos mesmos mas também a qualidade das informações neles armazenadas e que na maioria das vezes são manipuladas por profissionais com diferentes habilidades. Como o principal obstáculo destes sistemas está relacionado ao custo de profissionais altamente qualificados para mantê-los (Mendonça, 2006), o framework proporciona uma verificação prévia dos riscos existentes nos mesmos, possibilitando que estudos de viabilidade de seu uso possam ser realizados de acordo com a necessidade imposta pelo contexto organizacional e a minimização de custos destes profissionais devido a estrutura analítica do processo permitir um embasamento inicial de como deve ser feito todo o gerenciamento de riscos nos CDSSs, permitindo inclusive que atualizações constantes possam ser realizadas devido ao caráter evolutivo do framework. Além disso, a forma pró-ativa com que é feito o gerenciamento de riscos no framework pode minimizar a necessidade constante de testes em CDSSs, pois riscos podem ser identificados antes de sua ocorrência, melhorando a sua efetividade, um dos pressupostos descritos por Garg, Adhikari, Mcdonald et al. (2005) para a adoção destes sistemas. Finalmente, tendo em vista que profissionais da área da saúde embasam-se nestes sistemas para a tomada de decisões, referentes a cuidados relacionados a saúde de pacientes, o presente estudo procurou, através de um framework, dar uma atenção especial a estes sistemas denominados sistemas críticos, pois decisões erradas podem comprometer, significativamente, vidas humanas. Assim, GERIS pode servir de alicerce para a realização da tarefa de gerencimanto dos riscos em sistemas de suporte a deciões clínicas, pois ele não contempla somente as questões técnicas necessárias ao correto funcionamento dos CDSSs, mas também questões gerenciais correspondentes aos processos, as informações e ao ambiente físico em que estão inseridos estes sistemas, ou seja, questões indispensáveis para que o gerenciamento dos riscos a que estes sistemas estão expostos seja realizada de forma eficaz. Referências ALVES, G.A. Segurança da Informação Uma visão Inovadora da Gestão. Rio de Janeiro: Ciência Moderna, BAKARI J. K.; TARIMO, C. N.; YNGSTRÖM L.; MAGNUSSON C; KOWALSKI S. Bridging the gap 11

12 between general management and technicians A case study on ICT security in a developing country. Computers & Security, v.26, p BARBOSA, G. R.; ALMEIDA, A. T.; COSTA, A. P. C. S. SAD: Análise da percepção de usuários e desenvolvedores através de análise fatorial. Produção, v. 16, n. 2, p , BELTON, V.; STEWART, T.J. Multiple criteria decision analysis. An integrated approach. Dordrecht: Academic Publishers; BLAKLEY, B; MCDERMOTT, E; GEER, D. Information security is information risk management. In: Proceedings of the 2001 workshop on new security paradigms. New York, NY, USA: ACM Press, p , BRENNER, J. ISO 27001: Risk Management and Compliance. Risk Management Magazine, v.54, n.1, p BONABEAU E. Understanding and Managing Complexity Risk. MIT Sloan Manage, v.48, n. 4, p.62-68, CERT. Centro de Estudos, Resposta e tratamento de incidentes de Segurança no Brasil. Disponível em: Acesso em julho de De CICCO F; FANTAZZINI, M. Tecnologias Consagradas de Gestão de Riscos. Risk Management; São Paulo; DEY, P.K.; KINCH, J.; OGUNLANA, S.O. Managing risk in software development projects: a case study. Industrial Management & Data Systems, v. 107, n.2, p , EVANS R.S, PESTONIK S.L, CLASSEN D.C, et al. A computer-assisted management program for antibiotics and other antiinfective agents. New England Journal of Medicine, v.338, p FERNANDES, A.A. Implantando a Governança em TI: da estratégia à gestão dos processos e serviços. Rio de Janeiro:Brasport, FERREIRA, F.N.F.; ARAÚJO, M. T. Política de Segurança da Informação - Guia prático para elaboração e implementação. Rio de Janeiro: Ed. Ciência Moderna GARG, A.X.; ADHIKARI, N. K. J.; MCDONALD, H.; et al. Effects of Computerized Clinical Decision Support Systems on Practitioner Performance end Patient Outcomes. Journal American Medical Association (JAMA), v. 293, n.10, GERBER, M.; SOLMS, R.V. Management of risk in the information age. Computers & Security, v.24, p GOLDSCHMIDT, P.G. HIT and MIS: Implications of Health Information Technology and Medical Information Systems. Communications of the ACM. v. 48, n. 10, p.68-74, HRIPCSAK. G; CLAYTON, P.D; JENDERS, R.A; CIMINO, J.J; JOHNSON, S.B. Design of a clinical event monitor. Comput Biomed Res, v.29, p , HUGHES, G. Five Steps IT Risks Management Best Practices. Risk Management Magazine. v.53 n.7, p MENDONÇA, E. Clinical Decision Support Systems: Perspectives in Dentistry. Journal of Dental Education, v. 68, p , MUSEN M.A.; SHAHAR Y,; SHORTLIFFE E.H. Clinical Decision Support Systems. In: Shortliffe EH, Perreault LE, Wiederhold G, Fagan LM, eds. Medical informatics: computer applications in health care and biomedicine. 2nd ed. New York: Springer-Verlag, p NBR ISO/IEC 27001:2005. Tecnologia da Informação. Código de Prática para a Gestão da Segurança da Informação. Rio de Janeiro: Associação Brasileira de Normas Técnicas, NBR ISO/IEC 2005:2008. Tecnologia da informação - Técnicas de segurança - Gestão de riscos de segurança da informação. Associação Brasileira de Normas Técnicas. Rio De Janeiro PASQUINUCCI A. Security, risk analysis and governance: a practical approach. Computer Fraud & Security. v. 2007, Issue 7, p

13 PELTIER, Thomas R. Risk Analysis and Risk Management. Information Security Systems. v.13 n, SARTIPI, Kamran; YARMAND, Mohammad H.; DOWN, Douglas G. Mined-knowledge and Decision Support Services in Electronic Health. IEEE Computer Society in: International Workshop on Systems Development in SOA Environments (SDSOA'07), SHORTLIFFE EH, PERREAULT LE. Medical Informatics. Computers Applications in Health Care and Biomedicine. New York: Springer; SCUDERE, L. Risco Digital. Rio de Janeiro: Elsivier, STONEBURNER Gary, GOGUEN Alice, FERINGA Alexis. Risk Management Guide for Information Technology Systems. NIST - National Institute of Standards and Technology, Special Publication SIM I, GORMAN P, GREENES RA, et al. Clinical decision support systems for the practice of evidencebased medicine. Journal American Medical Information Association; v.8; p STEINBERG, R.M.; EVERSON, M.E.A.; MARTENS, F.J.; NOTTINGHAM, L.E. Enterprise Risk Management Framework (DRAFT). Comittee of Sponsoring Organizations of the Tradeway Commission (COSO). Disponível em: Acesso em: julho STEWART, A. On risk: perception and direction. Computers & Security. v.23, p

Gerenciamento de Serviços de TI ITIL v2 Módulo 1 Conceitos básicos

Gerenciamento de Serviços de TI ITIL v2 Módulo 1 Conceitos básicos Gerenciamento de Serviços de TI ITIL v2 Módulo 1 Conceitos básicos Referência: An Introductory Overview of ITIL v2 Livros ITIL v2 Cenário de TI nas organizações Aumento da dependência da TI para alcance

Leia mais

POLÍTICA DE GESTÃO DE RISCOS DAS EMPRESAS ELETROBRAS

POLÍTICA DE GESTÃO DE RISCOS DAS EMPRESAS ELETROBRAS POLÍTICA DE GESTÃO DE RISCOS DAS EMPRESAS ELETROBRAS Versão 2.0 30/10/2014 Sumário 1 Objetivo... 3 2 Conceitos... 3 3 Referências... 4 4 Princípios... 4 5 Diretrizes... 5 5.1 Identificação dos riscos...

Leia mais

Gerenciamento de Riscos em Segurança da informação. cynaracarvalho@yahoo.com.br

Gerenciamento de Riscos em Segurança da informação. cynaracarvalho@yahoo.com.br $XWDUTXLD(GXFDFLRQDOGR9DOHGR6mR)UDQFLVFR± $(96) )DFXOGDGHGH&LrQFLDV6RFLDLVH$SOLFDGDVGH3HWUROLQD± )$&$3( &XUVRGH&LrQFLDVGD&RPSXWDomR Gerenciamento de Riscos em Segurança da informação cynaracarvalho@yahoo.com.br

Leia mais

GERIC GERENCIAMENTO DO I.T.I.L E DO COBIT

GERIC GERENCIAMENTO DO I.T.I.L E DO COBIT GERIC GERENCIAMENTO DO I.T.I.L E DO COBIT Angélica A. da Silva, Regiani R.Nunes e Sabrina R. de Carvalho 1 Tathiana Barrére Sistemas de Informação AEDB - Associação Educacional Dom Bosco RESUMO Esta sendo

Leia mais

15/09/2015. Gestão e Governança de TI. Modelo de Governança em TI. A entrega de valor. A entrega de valor. A entrega de valor. A entrega de valor

15/09/2015. Gestão e Governança de TI. Modelo de Governança em TI. A entrega de valor. A entrega de valor. A entrega de valor. A entrega de valor Gestão e Governança de TI Modelo de Governança em TI Prof. Marcel Santos Silva PMI (2013), a gestão de portfólio é: uma coleção de projetos e/ou programas e outros trabalhos que são agrupados para facilitar

Leia mais

Gerenciamento de Problemas

Gerenciamento de Problemas Gerenciamento de Problemas O processo de Gerenciamento de Problemas se concentra em encontrar os erros conhecidos da infra-estrutura de TI. Tudo que é realizado neste processo está voltado a: Encontrar

Leia mais

Governança de TI. ITIL v.2&3. parte 1

Governança de TI. ITIL v.2&3. parte 1 Governança de TI ITIL v.2&3 parte 1 Prof. Luís Fernando Garcia LUIS@GARCIA.PRO.BR ITIL 1 1 ITIL Gerenciamento de Serviços 2 2 Gerenciamento de Serviços Gerenciamento de Serviços 3 3 Gerenciamento de Serviços

Leia mais

CHECK - LIST - ISO 9001:2000

CHECK - LIST - ISO 9001:2000 REQUISITOS ISO 9001: 2000 SIM NÃO 1.2 APLICAÇÃO A organização identificou as exclusões de itens da norma no seu manual da qualidade? As exclusões são relacionadas somente aos requisitos da sessão 7 da

Leia mais

CONCURSO PÚBLICO ANALISTA DE SISTEMA ÊNFASE GOVERNANÇA DE TI ANALISTA DE GESTÃO RESPOSTAS ESPERADAS PRELIMINARES

CONCURSO PÚBLICO ANALISTA DE SISTEMA ÊNFASE GOVERNANÇA DE TI ANALISTA DE GESTÃO RESPOSTAS ESPERADAS PRELIMINARES CELG DISTRIBUIÇÃO S.A EDITAL N. 1/2014 CONCURSO PÚBLICO ANALISTA DE GESTÃO ANALISTA DE SISTEMA ÊNFASE GOVERNANÇA DE TI RESPOSTAS ESPERADAS PRELIMINARES O Centro de Seleção da Universidade Federal de Goiás

Leia mais

SISTEMAS INTEGRADOS DE GESTÃO PAS 99:2006. Especificação de requisitos comuns de sistemas de gestão como estrutura para a integração

SISTEMAS INTEGRADOS DE GESTÃO PAS 99:2006. Especificação de requisitos comuns de sistemas de gestão como estrutura para a integração Coleção Risk Tecnologia SISTEMAS INTEGRADOS DE GESTÃO PAS 99:2006 Especificação de requisitos comuns de sistemas de gestão como estrutura para a integração RESUMO/VISÃO GERAL (visando à fusão ISO 31000

Leia mais

ISO/IEC 12207: Gerência de Configuração

ISO/IEC 12207: Gerência de Configuração ISO/IEC 12207: Gerência de Configuração Durante o processo de desenvolvimento de um software, é produzida uma grande quantidade de itens de informação que podem ser alterados durante o processo Para que

Leia mais

MASTER IN PROJECT MANAGEMENT

MASTER IN PROJECT MANAGEMENT MASTER IN PROJECT MANAGEMENT PROJETOS E COMUNICAÇÃO PROF. RICARDO SCHWACH MBA, PMP, COBIT, ITIL Atividade 1 Que modelos em gestão de projetos estão sendo adotados como referência nas organizações? Como

Leia mais

Wesley Vaz, MSc., CISA

Wesley Vaz, MSc., CISA Wesley Vaz, MSc., CISA Objetivos Ao final da palestra, os participantes deverão ser capazes de: Identificar e compreender os princípios do Cobit 5; Identificar e conhecer as características dos elementos

Leia mais

TRIBUNAL SUPERIOR DO TRABALHO SECRETARIA DE TECNOLOGIA DA INFORMAÇÃO ORDEM DE SERVIÇO Nº 1/SETIN, DE 30 DE SETEMBRO DE 2010

TRIBUNAL SUPERIOR DO TRABALHO SECRETARIA DE TECNOLOGIA DA INFORMAÇÃO ORDEM DE SERVIÇO Nº 1/SETIN, DE 30 DE SETEMBRO DE 2010 TRIBUNAL SUPERIOR DO TRABALHO SECRETARIA DE TECNOLOGIA DA INFORMAÇÃO ORDEM DE SERVIÇO Nº 1/SETIN, DE 30 DE SETEMBRO DE 2010 O SECRETÁRIO DE TECNOLOGIA DA INFORMAÇÃO DO TRIBUNAL SUPERIOR DO TRABALHO, no

Leia mais

BANCO CENTRAL DO BRASIL 2009/2010

BANCO CENTRAL DO BRASIL 2009/2010 BANCO CENTRAL DO BRASIL 2009/2010 CONTINUIDADE DE NEGÓCIOS E PLANOS DE CONTINGÊNCIA Professor: Hêlbert A Continuidade de Negócios tem como base a Segurança Organizacional e tem por objeto promover a proteção

Leia mais

18/08/2015. Governança Corporativa e Regulamentações de Compliance. Gestão e Governança de TI. Governança Corporativa. Governança Corporativa

18/08/2015. Governança Corporativa e Regulamentações de Compliance. Gestão e Governança de TI. Governança Corporativa. Governança Corporativa Gestão e Governança de TI e Regulamentações de Compliance Prof. Marcel Santos Silva A consiste: No sistema pelo qual as sociedades são dirigidas, monitoradas e incentivadas, envolvendo o relacionamento

Leia mais

Profa. Gislaine Stachissini. Unidade III GOVERNANÇA DE TI

Profa. Gislaine Stachissini. Unidade III GOVERNANÇA DE TI Profa. Gislaine Stachissini Unidade III GOVERNANÇA DE TI Information Technology Infrastructure Library ITIL Criado pelo governo do Reino Unido, tem como objetivo a criação de um guia com as melhores práticas

Leia mais

Código de prática para a gestão da segurança da informação

Código de prática para a gestão da segurança da informação Código de prática para a gestão da segurança da informação Edição e Produção: Fabiano Rabaneda Advogado, professor da Universidade Federal do Mato Grosso. Especializando em Direito Eletrônico e Tecnologia

Leia mais

CAMPO DE APLICAÇÃO Esta Norma Complementar se aplica no âmbito da Administração Pública Federal, direta e indireta.

CAMPO DE APLICAÇÃO Esta Norma Complementar se aplica no âmbito da Administração Pública Federal, direta e indireta. 06/IN01/DSIC/GSIPR 01 11/NOV/09 1/7 PRESIDÊNCIA DA REPÚBLICA Gabinete de Segurança Institucional Departamento de Segurança da Informação e Comunicações GESTÃO DE CONTINUIDADE DE NEGÓCIOS EM SEGURANÇA DA

Leia mais

Abordagem de Processo: conceitos e diretrizes para sua implementação

Abordagem de Processo: conceitos e diretrizes para sua implementação QP Informe Reservado Nº 70 Maio/2007 Abordagem de Processo: conceitos e diretrizes para sua implementação Tradução para o português especialmente preparada para os Associados ao QP. Este guindance paper

Leia mais

Pós-Graduação em Gerenciamento de Projetos práticas do PMI

Pós-Graduação em Gerenciamento de Projetos práticas do PMI Pós-Graduação em Gerenciamento de Projetos práticas do PMI Planejamento do Gerenciamento das Comunicações (10) e das Partes Interessadas (13) PLANEJAMENTO 2 PLANEJAMENTO Sem 1 Sem 2 Sem 3 Sem 4 Sem 5 ABRIL

Leia mais

PODER JUDICIÁRIO. PORTARIA Nº CJF-POR-2014/00413 de 30 de setembro de 2014

PODER JUDICIÁRIO. PORTARIA Nº CJF-POR-2014/00413 de 30 de setembro de 2014 PODER JUDICIÁRIO JUSTIÇA FEDERAL CONSELHO DA JUSTIÇA FEDERAL PORTARIA Nº CJF-POR-2014/00413 de 30 de setembro de 2014 Dispõe sobre a aprovação do Documento Acessório Diferenciado "Política de Gestão de

Leia mais

Conhecimento em Tecnologia da Informação. CobiT 5. Apresentação do novo framework da ISACA. 2013 Bridge Consulting All rights reserved

Conhecimento em Tecnologia da Informação. CobiT 5. Apresentação do novo framework da ISACA. 2013 Bridge Consulting All rights reserved Conhecimento em Tecnologia da Informação CobiT 5 Apresentação do novo framework da ISACA Apresentação Este artigo tem como objetivo apresentar a nova versão do modelo de governança de TI, CobiT 5, lançado

Leia mais

Gerenciamento de Níveis de Serviço

Gerenciamento de Níveis de Serviço Gerenciamento de Níveis de Serviço O processo de Gerenciamento de Níveis de Serviço fornece o contato entre a organização de TI e o cliente, para garantir que a organização de TI conhece os serviços que

Leia mais

Gerência de Projetos de Software Modelos de gerência. CMM: Capability Maturity Model ITIL: Information Technology Infrastructure Library MPS BR

Gerência de Projetos de Software Modelos de gerência. CMM: Capability Maturity Model ITIL: Information Technology Infrastructure Library MPS BR Modelos de gerência CMM: Capability Maturity Model ITIL: Information Technology Infrastructure Library MPS BR Modelo de maturidade: CMM CMM (Capability Maturity Model) é um modelo subdividido em 5 estágios

Leia mais

PÁGINA 4 ITIL V.2 & ITIL V.3

PÁGINA 4 ITIL V.2 & ITIL V.3 PÁGINA 4 ITIL V.2 & ITIL V.3 Gerência de Níveis de Serviço Manter e aprimorar a qualidade dos serviços de TI Revisar continuamente os custos e os resultados dos serviços para garantir a sua adequação Processo

Leia mais

MECANISMOS PARA GOVERNANÇA DE T.I. IMPLEMENTAÇÃO DA. Prof. Angelo Augusto Frozza, M.Sc. http://about.me/tilfrozza

MECANISMOS PARA GOVERNANÇA DE T.I. IMPLEMENTAÇÃO DA. Prof. Angelo Augusto Frozza, M.Sc. http://about.me/tilfrozza MECANISMOS PARA IMPLEMENTAÇÃO DA GOVERNANÇA DE T.I. Prof. Angelo Augusto Frozza, M.Sc. http://about.me/tilfrozza CICLO DA GOVERNANÇA DE TI O CICLO DA GOVERNANÇA DE TI O Ciclo da Governança de T.I. ALINHAMENTO

Leia mais

CONCORRÊNCIA AA Nº 05/2009 BNDES ANEXO X PROJETO BÁSICO: DESCRIÇÃO DOS PROCESSOS DE TI

CONCORRÊNCIA AA Nº 05/2009 BNDES ANEXO X PROJETO BÁSICO: DESCRIÇÃO DOS PROCESSOS DE TI CONCORRÊNCIA AA Nº 05/2009 BNDES ANEXO X PROJETO BÁSICO: DESCRIÇÃO DOS PROCESSOS DE TI 1. PI06 TI 1.1. Processos a serem Atendidos pelos APLICATIVOS DESENVOLVIDOS Os seguintes processos do MACROPROCESSO

Leia mais

efagundes com GOVERNANÇA DE TIC Eduardo Mayer Fagundes Aula 3/4

efagundes com GOVERNANÇA DE TIC Eduardo Mayer Fagundes Aula 3/4 GOVERNANÇA DE TIC Eduardo Mayer Fagundes Aula 3/4 1 CobIT Modelo abrangente aplicável para a auditoria e controle de processo de TI, desde o planejamento da tecnologia até a monitoração e auditoria de

Leia mais

Governança. Sistemas de Informação 8º Período Prof: Mafran Oliveira

Governança. Sistemas de Informação 8º Período Prof: Mafran Oliveira Governança Sistemas de Informação 8º Período Prof: Mafran Oliveira 1 Definição de Governança Governança Corporativa: É a Estrutura que identifica os objetivos de uma organização e de que forma pode-se

Leia mais

Atividade: COBIT : Entendendo seus principais fundamentos

Atividade: COBIT : Entendendo seus principais fundamentos SECRETARIA DE EDUCAÇÃO PROFISSIONAL E TECNOLÓGICA INSTITUTO FEDERAL DO PIAUÍ CAMPUS FLORIANO EIXO TECNOLÓGICO: INFORMAÇÃO E COMUNICAÇÃO CURSO: TECNOLOGIA EM ANÁLISE E DESENVOLVIMENTO DE SISTEMAS PERÍODO

Leia mais

MODELO CMM MATURIDADE DE SOFTWARE

MODELO CMM MATURIDADE DE SOFTWARE MODELO CMM MATURIDADE DE SOFTWARE O modelo CMM Capability Maturity Model foi produzido pelo SEI (Software Engineering Institute) da Universidade Carnegie Mellon (CMU), em Pittsburgh, EUA, por um grupo

Leia mais

Processos Técnicos - Aulas 4 e 5

Processos Técnicos - Aulas 4 e 5 Processos Técnicos - Aulas 4 e 5 Trabalho / PEM Tema: Frameworks Públicos Grupo: equipe do TCC Entrega: versão digital, 1ª semana de Abril (de 31/03 a 04/04), no e-mail do professor (rodrigues.yuri@yahoo.com.br)

Leia mais

Gerenciamento de projetos. cynaracarvalho@yahoo.com.br

Gerenciamento de projetos. cynaracarvalho@yahoo.com.br Gerenciamento de projetos cynaracarvalho@yahoo.com.br Projeto 3URMHWR é um empreendimento não repetitivo, caracterizado por uma seqüência clara e lógica de eventos, com início, meio e fim, que se destina

Leia mais

Desenvolve Minas. Modelo de Excelência da Gestão

Desenvolve Minas. Modelo de Excelência da Gestão Desenvolve Minas Modelo de Excelência da Gestão O que é o MEG? O Modelo de Excelência da Gestão (MEG) possibilita a avaliação do grau de maturidade da gestão, pontuando processos gerenciais e resultados

Leia mais

Gerenciamento de Riscos do Projeto Eventos Adversos

Gerenciamento de Riscos do Projeto Eventos Adversos Gerenciamento de Riscos do Projeto Eventos Adversos 11. Gerenciamento de riscos do projeto PMBOK 2000 PMBOK 2004 11.1 Planejamento de gerenciamento de riscos 11.1 Planejamento de gerenciamento de riscos

Leia mais

Política de Gerenciamento do Risco Operacional Banco Opportunity e Opportunity DTVM Março/2015

Política de Gerenciamento do Risco Operacional Banco Opportunity e Opportunity DTVM Março/2015 Política de Gerenciamento do Risco Operacional Banco Opportunity e Opportunity DTVM Março/2015 1. OBJETIVO Esta política tem como objetivo estabelecer as diretrizes necessárias para o adequado gerenciamento

Leia mais

ITIL. Conteúdo. 1. Introdução. 2. Suporte de Serviços. 3. Entrega de Serviços. 4. CobIT X ITIL. 5. Considerações Finais

ITIL. Conteúdo. 1. Introdução. 2. Suporte de Serviços. 3. Entrega de Serviços. 4. CobIT X ITIL. 5. Considerações Finais ITIL Conteúdo 1. Introdução 2. Suporte de Serviços 3. Entrega de Serviços 4. CobIT X ITIL 5. Considerações Finais Introdução Introdução Information Technology Infrastructure Library O ITIL foi desenvolvido,

Leia mais

Lista de Exercícios 01: ITIL Prof. Fernando Pedrosa

Lista de Exercícios 01: ITIL Prof. Fernando Pedrosa Lista de Exercícios 01: ITIL Prof. Fernando Pedrosa Canais: fpedrosa@gmail.com http://tinyurl.com/ycekmjv INMETRO - Infraestrutura - (CESPE 2009) 81 Gerenciamento de nível de serviço é uma forma de entrega

Leia mais

Universidade de Brasília Faculdade de Economia, Administração, Contabilidade e Ciência da Informação e Documentação Departamento de Ciência da

Universidade de Brasília Faculdade de Economia, Administração, Contabilidade e Ciência da Informação e Documentação Departamento de Ciência da Universidade de Brasília Faculdade de Economia, Administração, Contabilidade e Ciência da Informação e Documentação Departamento de Ciência da Informação e Documentação Disciplina: Planejamento e Gestão

Leia mais

Gledson Pompeu 1. Cenário de TI nas organizações. ITIL IT Infrastructure Library. A solução, segundo o ITIL

Gledson Pompeu 1. Cenário de TI nas organizações. ITIL IT Infrastructure Library. A solução, segundo o ITIL Cenário de TI nas organizações Gerenciamento de Serviços de TI ITIL v2 Módulo 1 Conceitos básicos Referência: An Introductory Overview of ITIL v2 Livros ITIL v2 Aumento da dependência da TI para alcance

Leia mais

PLANEJAMENTO PLANEJAMENTO ESTRATÉGIA CICLO PDCA CICLO PDCA 09/04/2015 GESTÃO DE ESCOPO GERENCIAMENTO DE PROJETOS ACT

PLANEJAMENTO PLANEJAMENTO ESTRATÉGIA CICLO PDCA CICLO PDCA 09/04/2015 GESTÃO DE ESCOPO GERENCIAMENTO DE PROJETOS ACT UNIVERSIDADE FEDERAL DO PARANÁ DEPARTAMENTO DE CONSTRUÇÃO CIVIL PLANEJAMENTO 2 GERENCIAMENTO DE PROJETOS SUBMETIDA E APROVADA A PROPOSTA DO PROJETO PROCESSO DE PLANEJAMENTO GESTÃO DE Processo fundamental

Leia mais

ITIL - Information Technology Infraestructure Library

ITIL - Information Technology Infraestructure Library ITIL Biblioteca de infra estrutura de TI (do Inglês, Information Technology Infraestructure Library) e ISO/IEC 20.000 ITIL - Information Technology Infraestructure Library Foi criado no fim dos anos 80

Leia mais

MUDANÇAS NA ISO 9001: A VERSÃO 2015

MUDANÇAS NA ISO 9001: A VERSÃO 2015 MUDANÇAS NA ISO 9001: A VERSÃO 2015 Está em andamento o processo de revisão da Norma ISO 9001: 2015, que ao ser concluído resultará na mudança mais significativa já efetuada. A chamada família ISO 9000

Leia mais

Universidade Paulista

Universidade Paulista Universidade Paulista Ciência da Computação Sistemas de Informação Gestão da Qualidade Principais pontos da NBR ISO/IEC 12207 - Tecnologia da Informação Processos de ciclo de vida de software Sergio Petersen

Leia mais

Profa. Celia Corigliano. Unidade IV GERENCIAMENTO DE PROJETOS DE TI

Profa. Celia Corigliano. Unidade IV GERENCIAMENTO DE PROJETOS DE TI Profa. Celia Corigliano Unidade IV GERENCIAMENTO DE PROJETOS DE TI Agenda da disciplina Unidade I Gestão de Projetos Unidade II Ferramentas para Gestão de Projetos Unidade III Gestão de Riscos em TI Unidade

Leia mais

SISTEMA DE GESTÃO AMBIENTAL ABNT NBR ISO 14001

SISTEMA DE GESTÃO AMBIENTAL ABNT NBR ISO 14001 SISTEMA DE GESTÃO AMBIENTAL ABNT NBR ISO 14001 Prof. Eduardo Lucena Cavalcante de Amorim INTRODUÇÃO A norma ISO 14001 faz parte de um conjunto mais amplo de normas intitulado ISO série 14000. Este grupo

Leia mais

Secretaria de Gestão Pública de São Paulo. Guia de Avaliação de Maturidade dos Processos de Gestão de TI

Secretaria de Gestão Pública de São Paulo. Guia de Avaliação de Maturidade dos Processos de Gestão de TI Secretaria de Gestão Pública de São Paulo Guia de Avaliação de Maturidade dos Processos de Gestão de TI Objetivos As empresas e seus executivos se esforçam para: Manter informações de qualidade para subsidiar

Leia mais

PODER JUDICIÁRIO TRIBUNAL REGIONAL DO TRABALHO DA 3ª REGIÃO

PODER JUDICIÁRIO TRIBUNAL REGIONAL DO TRABALHO DA 3ª REGIÃO Controle de Versões Autor da Solicitação: Subseção de Governança de TIC Email:dtic.governanca@trt3.jus.br Ramal: 7966 Versão Data Notas da Revisão 1 03.02.2015 Versão atualizada de acordo com os novos

Leia mais

Curso preparatório para a certificação COBIT 4.1 Fundation

Curso preparatório para a certificação COBIT 4.1 Fundation Curso preparatório para a certificação COBIT 4.1 Fundation Dentro do enfoque geral em conhecer e discutir os fundamentos, conceitos e as definições de Governança de TI - tecnologia da informação, bem como

Leia mais

Gerenciamento de Incidentes

Gerenciamento de Incidentes Gerenciamento de Incidentes Os usuários do negócio ou os usuários finais solicitam os serviços de Tecnologia da Informação para melhorar a eficiência dos seus próprios processos de negócio, de forma que

Leia mais

GARANTIA DA QUALIDADE DE SOFTWARE

GARANTIA DA QUALIDADE DE SOFTWARE GARANTIA DA QUALIDADE DE SOFTWARE Fonte: http://www.testexpert.com.br/?q=node/669 1 GARANTIA DA QUALIDADE DE SOFTWARE Segundo a NBR ISO 9000:2005, qualidade é o grau no qual um conjunto de características

Leia mais

Glossário Apresenta a definição dos termos, siglas e abreviações utilizadas no contexto do projeto Citsmart.

Glossário Apresenta a definição dos termos, siglas e abreviações utilizadas no contexto do projeto Citsmart. Apresenta a definição dos termos, siglas e abreviações utilizadas no contexto do projeto Citsmart. Versão 1.6 15/08/2013 Visão Resumida Data Criação 15/08/2013 Versão Documento 1.6 Projeto Responsáveis

Leia mais

Governança AMIGA. Para baixar o modelo de como fazer PDTI: www.microsoft.com/brasil/setorpublico/governanca/pdti

Governança AMIGA. Para baixar o modelo de como fazer PDTI: www.microsoft.com/brasil/setorpublico/governanca/pdti e d a id 4 m IN r fo a n m Co co M a n ua l Governança AMIGA Para baixar o modelo de como fazer PDTI: www.microsoft.com/brasil/setorpublico/governanca/pdti Um dos grandes desafios atuais da administração

Leia mais

Sistemas de Informação I

Sistemas de Informação I + Sistemas de Informação I Dimensões de análise dos SI Ricardo de Sousa Britto rbritto@ufpi.edu.br + Introdução n Os sistemas de informação são combinações das formas de trabalho, informações, pessoas

Leia mais

POLÍTICA DE GESTÃO DE RISCO - PGR

POLÍTICA DE GESTÃO DE RISCO - PGR POLÍTICA DE GESTÃO DE RISCO - PGR DATASUS Maio 2013 Arquivo: Política de Gestão de Riscos Modelo: DOC-PGR Pág.: 1/12 SUMÁRIO 1. APRESENTAÇÃO...3 1.1. Justificativa...3 1.2. Objetivo...3 1.3. Aplicabilidade...4

Leia mais

Western Asset Management Company Distribuidora de Títulos e Valores Mobiliários Limitada. Política de Gerenciamento de Risco Operacional

Western Asset Management Company Distribuidora de Títulos e Valores Mobiliários Limitada. Política de Gerenciamento de Risco Operacional Western Asset Management Company Distribuidora de Títulos e Valores Mobiliários Limitada Política de Gerenciamento de Risco Operacional Ratificada pela Reunião de Diretoria de 29 de abril de 2014 1 Introdução

Leia mais

Risco na medida certa

Risco na medida certa Risco na medida certa O mercado sinaliza a necessidade de estruturas mais robustas de gerenciamento dos fatores que André Coutinho, sócio da KPMG no Brasil na área de Risk & Compliance podem ameaçar a

Leia mais

Manual de Risco Operacional

Manual de Risco Operacional Manual de Risco Operacional Atualizado em maio/2014 Índice 1. Definição 3 2. Política e Premissas 4 3. Estrutura de Gestão de Risco Operacional 5 3a. Competências 6 3b. Modelo de Gestão do Risco Operacional

Leia mais

O POSICIONAMENTO DA ARQUITETURA DA INFORMAÇÃO NA GOVERNANÇA DE TI

O POSICIONAMENTO DA ARQUITETURA DA INFORMAÇÃO NA GOVERNANÇA DE TI O POSICIONAMENTO DA ARQUITETURA DA INFORMAÇÃO NA GOVERNANÇA DE TI Claudio Gottschalg Duque Professor Departamento de Ciência da Informação Universidade de Brasília (UnB) Brasil Mauricio Rocha Lyra Aluno

Leia mais

Política de Gestão de Riscos das Empresas Eletrobras

Política de Gestão de Riscos das Empresas Eletrobras Política de Gestão de Riscos das Empresas Eletrobras Versão 5.0 dezembro 2010 Política de Gestão de Riscos das Empresas Eletrobras Sumário 1. Objetivos 2. Conceitos 3. Referências 4. Princípios 5. Diretrizes

Leia mais

Sistema de Gestão da Qualidade

Sistema de Gestão da Qualidade Sistema de Gestão da Qualidade Coordenadora Responsável Mara Luck Mendes, Jaguariúna, SP, mara@cnpma.embrapa.br RESUMO Em abril de 2003 foi lançado oficialmente pela Chefia da Embrapa Meio Ambiente o Cronograma

Leia mais

Gestão da Qualidade. Gestão da. Qualidade

Gestão da Qualidade. Gestão da. Qualidade Gestão da Qualidade Gestão da Qualidade 1621131 - Produzido em Abril/2011 Gestão da Qualidade A Gestão da Qualidade é um modelo de mudança cultural e comportamental, através de uma liderança persistente

Leia mais

Política de Gestão de Riscos

Política de Gestão de Riscos Política de Gestão de Riscos 1 OBJETIVO Fornecer as diretrizes para a Gestão de Riscos da Fibria, assim como conceituar, detalhar e documentar as atividades a ela relacionadas. 2 ABRANGÊNCIA Abrange todas

Leia mais

UNIP UNIVERSIDADE PAULISTA

UNIP UNIVERSIDADE PAULISTA UNIP UNIVERSIDADE PAULISTA GERENCIAMENTO DE REDES Segurança Lógica e Física de Redes 2 Semestre de 2012 NORMAS ABNT ISSO/IEC 27001 E 27002 (Antiga ISSO/IEC 17799) A norma ISO/IEC 27001. A norma ISO/IEC

Leia mais

CobiT 5. Como avaliar a maturidade dos processos de acordo com o novo modelo? Conhecimento em Tecnologia da Informação

CobiT 5. Como avaliar a maturidade dos processos de acordo com o novo modelo? Conhecimento em Tecnologia da Informação Conhecimento em Tecnologia da Informação CobiT 5 Como avaliar a maturidade dos processos de acordo com o novo modelo? 2013 Bridge Consulting All rights reserved Apresentação Sabemos que a Tecnologia da

Leia mais

O Valor da TI. Introduzindo os conceitos do Val IT para mensuração do valor de Tecnologia da Informação. Conhecimento em Tecnologia da Informação

O Valor da TI. Introduzindo os conceitos do Val IT para mensuração do valor de Tecnologia da Informação. Conhecimento em Tecnologia da Informação Conhecimento em Tecnologia da Informação Conhecimento em Tecnologia da Informação O Valor da TI Introduzindo os conceitos do Val IT para mensuração do valor de Tecnologia da Informação 2010 Bridge Consulting

Leia mais

POLÍTICA DE GESTÃO DE RISCOS DAS EMPRESAS ELETROBRAS

POLÍTICA DE GESTÃO DE RISCOS DAS EMPRESAS ELETROBRAS POLÍTICA DE GESTÃO DE RISCOS DAS EMPRESAS ELETROBRAS Versão 5.0 06/12/2010 Sumário 1 Objetivos... 3 2 Conceitos... 3 3 Referências... 4 4 Princípios... 4 5 Diretrizes... 5 6 Responsabilidades... 6 7 Disposições

Leia mais

MBA: Master in Project Management

MBA: Master in Project Management Desde 1968 MBA: Master in Project Management Projetos e Tecnologia da Informação FMU Professor: Marcos A.Cabral Projetos e Tecnologia da Informação Professor Marcos A. Cabral 2 Conceito É um conjunto de

Leia mais

CENTRO UNIVERSITÁRIO ESTÁCIO RADIAL DE SÃO PAULO SÍNTESE DO PROJETO PEDAGÓGICO DE CURSO 1

CENTRO UNIVERSITÁRIO ESTÁCIO RADIAL DE SÃO PAULO SÍNTESE DO PROJETO PEDAGÓGICO DE CURSO 1 SÍNTESE DO PROJETO PEDAGÓGICO DE CURSO 1 CURSO: ANÁLISE E DESENVOLVIMENTO DE SISTEMAS MISSÃO DO CURSO A concepção do curso de Análise e Desenvolvimento de Sistemas está alinhada a essas novas demandas

Leia mais

Curso ITIL Foundation. Introdução a ITIL. ITIL Introduction. Instrutor: Fernando Palma fernando.palma@gmail.com http://gsti.blogspot.

Curso ITIL Foundation. Introdução a ITIL. ITIL Introduction. Instrutor: Fernando Palma fernando.palma@gmail.com http://gsti.blogspot. Curso ITIL Foundation Introdução a ITIL ITIL Introduction Instrutor: Fernando Palma fernando.palma@gmail.com http://gsti.blogspot.com Agenda Definição / Histórico Escopo Objetivos Benefícios e Problemas

Leia mais

Projeto 2.47 QUALIDADE DE SOFTWARE WEB

Projeto 2.47 QUALIDADE DE SOFTWARE WEB OBJETIVO GERAL Projeto 2.47 QUALIDADE DE SOFTWARE WEB Marisol de Andrade Maués Como objetivo geral, buscou-se avaliar a qualidade de produtos Web, tendo como base o processo de avaliação de qualidade descrito

Leia mais

GESTÃO DE SERVIÇOS DE TI: OTIMIZAÇÃO DE RECURSOS E PROCESSOS. Realização:

GESTÃO DE SERVIÇOS DE TI: OTIMIZAÇÃO DE RECURSOS E PROCESSOS. Realização: GESTÃO DE SERVIÇOS DE TI: OTIMIZAÇÃO DE RECURSOS E PROCESSOS Realização: Ademar Luccio Albertin Mais de 10 anos de experiência em Governança e Gestão de TI, atuando em projetos nacionais e internacionais

Leia mais

POLÍTICA DE SEGURANÇA, MEIO AMBIENTE E SAÚDE (SMS) Sustentabilidade

POLÍTICA DE SEGURANÇA, MEIO AMBIENTE E SAÚDE (SMS) Sustentabilidade POLÍTICA DE SEGURANÇA, MEIO AMBIENTE E SAÚDE (SMS) Sustentabilidade POLÍTICA DE SEGURANÇA, MEIO AMBIENTE E SAÚDE (SMS) A CONCERT Technologies S.A. prioriza a segurança de seus Colaboradores, Fornecedores,

Leia mais

Políticas de Qualidade em TI

Políticas de Qualidade em TI Políticas de Qualidade em TI Prof. www.edilms.eti.br edilms@yahoo.com Aula 03 CMMI Capability Maturity Model Integration Parte II Agenda sumária dos Processos em suas categorias e níveis de maturidade

Leia mais

ADMINISTRAÇÃO DE ATIVOS DE TI GERENCIAMENTO DE LIBERAÇÃO

ADMINISTRAÇÃO DE ATIVOS DE TI GERENCIAMENTO DE LIBERAÇÃO 1 ADMINISTRAÇÃO DE ATIVOS DE TI GERENCIAMENTO DE LIBERAÇÃO 2 INTRODUÇÃO A cada dia que passa, cresce a pressão pela liberação para uso de novas tecnologias disponibilizadas pela área de TI, sob o argumento

Leia mais