Relatório Final de Auditoria (Área de gestão de tecnologia da informação)

Transcrição

1 Secretaria-Geral Assessoria de Controle e Auditoria Divisão de Auditoria Relatório Final de Auditoria (Área de gestão de tecnologia da informação) Órgão Auditado: Tribunal Regional do Trabalho da 23ª Região Cidade Sede: Cuiabá/MT Período da auditoria: 16 a 19 de novembro de 2010 Gestores Responsáveis: Desembargador Osmair Couto (Presidente) Ércio de Arruda Lins (Diretor-Geral) Marcelo Kobayashi (Secretário de TI) Equipe da ASCAUD/CSJT: Cláudio Fontes Feijó Ítalo Pinheiro de A. Figueiredo Rilson Ramos de Lima Gilvan Nogueira do Nascimento MAIO/2012

2

3 SUMÁRIO 1. HISTÓRICO DA TRAMITAÇÃO ANÁLISE DAS CONSIDERAÇÕES DO GESTOR OCORRÊNCIA: Estratégia de TI incompleta: Inexistência de Plano Diretor de Tecnologia da Informação e Comunicações (PDTIC) e de Planos de Gerenciamento dos Projetos estratégicos. (Item do Relatório Preliminar de Auditoria) OCORRÊNCIA: Não participação das áreas do negócio na construção/elaboração do Planejamento Estratégico de Tecnologia da Informação e Comunicação (PETIC). (Item do Relatório Preliminar de Auditoria) OCORRÊNCIA: A Secretaria de Tecnologia da Informação não promoveu as Reuniões de Análise da Estratégia com periodicidade trimestral para o PETIC. A primeira reunião foi agendada após o envio da solicitação de auditoria CAUTI.SECON. Nº 01/2010. (Item do Relatório Preliminar de Auditoria) OCORRÊNCIA: Não existem indicadores de desempenho voltados para medir e governar a gestão da TI de modo a aprimorar o valor e a qualidade da informação entregue pela tecnologia para o negócio. (Item do Relatório Preliminar de Auditoria) OCORRÊNCIA: Os riscos que podem afetar a execução da estratégia de TIC não foram previamente identificados e consequentemente não estão sendo considerados, analisados e tratados. (Item do Relatório Preliminar de Auditoria) OCORRÊNCIA: Os responsáveis designados para prestar contas dos resultados de cada um dos objetivos estratégicos do PETIC não apresentaram os resultados, mesmo que parciais,

4 conforme solicitado. (Item do Relatório Preliminar de Auditoria) OCORRÊNCIA: Deficiências no processo de trabalho voltado para garantir a continuidade dos serviços e inexistência de planos voltados para garantir a continuidade dos negócios críticos. (Item do Relatório Preliminar de Auditoria) OCORRÊNCIA: Não existem procedimentos aprovados que sustentem um plano de contingência e de recuperação de desastres. (Item do Relatório Preliminar de Auditoria) OCORRÊNCIA: Inexistência de plano de comunicação voltado para reunir e orientar as equipes de trabalho no momento da contingência. (Item do Relatório Preliminar de Auditoria) OCORRÊNCIA: Inexistência de avaliação dos principais riscos de TI para o negócio, a fim de sustentar a construção dos planos de continuidade dos serviços. (Item do Relatório Preliminar de Auditoria) OCORRÊNCIA: Inexistência de equipe designada para a execução do plano de continuidade dos serviços do negócio com papéis e responsabilidades definidas, comunicadas e aceitas pelos envolvidos. (Item do Relatório Preliminar de Auditoria) OCORRÊNCIA: Não existe previsão de um hot-site, ou solução equivalente, com as configurações mínimas requeridas para a sustentação do plano de continuidade dos serviços do negócio e recomposição dos sistemas, serviços e produtos críticos que sustentam estes. (existe na sede do fórum apenas site backup). (Item do Relatório Preliminar de Auditoria) OCORRÊNCIA: Inexistência de testes para comprovar a eficácia dos planos de continuidade do negócio, mesmo em ações

5 específicas cujo objetivo é a recuperação da TI (não há alternativas para realização de testes) (Item do Relatório Preliminar de Auditoria) OCORRÊNCIA: Não existem programas de treinamentos específicos, voltados para a capacitação dos servidores responsáveis pela elaboração e execução do plano de continuidade. (Item do Relatório Preliminar de Auditoria) OCORRÊNCIA: Não existem indicadores de desempenho dedicados para medir e governar o processo de trabalho da continuidade dos serviços do negócio. (Item do Relatório Preliminar de Auditoria) OCORRÊNCIA: Não existe processo formal estabelecido e dedicado para o tratamento das questões de segurança, bem como não existe um PISI - Plano Institucional de Segurança da Informação. (Item do Relatório Preliminar de Auditoria) OCORRÊNCIA: Ausência de segregação de responsabilidades nas unidades dedicadas à segurança da informação. (Item do Relatório Preliminar de Auditoria) OCORRÊNCIA: Não foram realizadas análises de riscos voltadas para definir os objetivos, escopo de atuação, responsabilidades e orientação de atuação da unidade dedicada de segurança da informação. (Item do Relatório Preliminar de Auditoria) OCORRÊNCIA: A PSI - Política de Segurança da Informação vigente não foi construída com base nos controles estabelecidos na norma brasileira NBR ISO/IEC 27002:2005 nem na identificação e análise dos riscos e requisitos de negócio para a segurança da informação. (Item do Relatório Preliminar de Auditoria)... 43

6 2.20. OCORRÊNCIA: Não existe um plano de comunicação voltado para dar publicidade a PSI - Política de Segurança da Informação e aos procedimentos ligados à segurança da informação. (Item do Relatório Preliminar de Auditoria) OCORRÊNCIA: Não existe um processo de revisão da PSI - Política de Segurança da Informação que reflita as mudanças no ambiente computacional e na infraestrutura tecnológica. (Item do Relatório Preliminar de Auditoria) OCORRÊNCIA: Em decorrência da inexistência de um PISI - Plano Institucional de Segurança da Informação, não existem projetos voltados para treinar servidores e formar gerentes especializados na área de segurança da informação. (Item do Relatório Preliminar de Auditoria) OCORRÊNCIA: Não existem indicadores estabelecidos para medir os resultados e avaliar a eficiência do processo de segurança da informação. (Item do Relatório Preliminar de Auditoria) OCORRÊNCIA: Inexistência de papéis e responsabilidades bem definidas na área de segurança. (Item do Relatório Preliminar de Auditoria) OCORRÊNCIA: Não existe uma PCA - Política de Controle de Acesso lógico estabelecida, divulgada e documentada. (Item do Relatório Preliminar de Auditoria) OCORRÊNCIA: Não há obrigatoriedade de usuários de recursos de TI e gestores do negócio (gestores dos sistemas de informação) subscreverem termos de compromisso, nos quais estejam discriminados os direitos de acesso, os compromissos assumidos e suas responsabilidades e as sanções em caso de violação das políticas e dos procedimentos de segurança organizacional. (Item do Relatório Preliminar de Auditoria)... 55

7 2.27. OCORRÊNCIA: Não existe classificação da informação, dos sistemas e dos recursos computacionais quanto ao nível de importância e quanto ao risco para o negócio. (Item do Relatório Preliminar de Auditoria) OCORRÊNCIA: Os gestores do negócio e dos sistemas em produção não atuam na definição dos requisitos de segurança (Inexistência de designação de gestores dos sistemas de informação, o que impede a participação no processo de aprovação e concessão de direitos de acessos aos respectivos sistemas de informação e no que diz respeito ao armazenamento e retenção dos dados). (Item do Relatório Preliminar de Auditoria) OCORRÊNCIA: Os aspectos da segurança da informação, bem como a identificação e classificação dos riscos não estão sendo considerados/tratados durante o desenvolvimento de novos projetos. (Item do Relatório Preliminar de Auditoria) OCORRÊNCIA: Não existe procedimento para realizar monitoramento constante sobre as novas ameaças em potencial, a fim de prevenir incidentes de segurança e interrupções indesejadas. (Item do Relatório Preliminar de Auditoria) OCORRÊNCIA: Ausência de dicionário de dados corporativos. (Item do Relatório Preliminar de Auditoria) OCORRÊNCIA: Não existe processo e planos formais e documentados para as aquisições, implementações e manutenções da infraestrutura tecnológica. (Item do Relatório Preliminar de Auditoria) OCORRÊNCIA: Inexistência de inventário completo de todos os programas de computador em uso no Tribunal, com reflexo no controle das licenças de software em uso. (Item do Relatório Preliminar de Auditoria)... 67

8 2.34. OCORRÊNCIA: Inexistência de processo de trabalho voltado para a gestão das mudanças no ambiente de desenvolvimento e manutenção das aplicações. (Item do Relatório Preliminar de Auditoria) OCORRÊNCIA: Ausência de avaliação de impacto, priorização e autorização formal das mudanças. (Item do Relatório Preliminar de Auditoria) OCORRÊNCIA: Não são utilizados planos de testes para as novas implementações de TI. (Item do Relatório Preliminar de Auditoria) OCORRÊNCIA: Inexistência de definição e gerenciamento dos níveis de serviço nos produtos entregues pela área de tecnologia. (Item do Relatório Preliminar de Auditoria) OCORRÊNCIA: Inexistência do portfólio dos serviços do negócio suportados por recursos tecnológicos. (Item do Relatório Preliminar de Auditoria) OCORRÊNCIA: Inexistência de processo de trabalho formalmente estabelecido para o gerenciamento do desempenho e da capacidade instalada dos recursos de TI. (Item do Relatório Preliminar de Auditoria) OCORRÊNCIA: Inconsistências no processo de gerenciar os dados da instituição. (Item do Relatório Preliminar de Auditoria) OCORRÊNCIA: A área de negócio não participou da elaboração dos procedimentos de retenção de dados. (Item do Relatório Preliminar de Auditoria) OCORRÊNCIA: Inexistência de testes periódicos de restauração das cópias de segurança (backups). (Item do Relatório Preliminar de Auditoria) OCORRÊNCIA: Inconsistências no processo de trabalho voltado para gerenciar o ambiente físico do Centro de

9 Processamento de Dados. (Item do Relatório Preliminar de Auditoria) OCORRÊNCIA: Inexistência de política de segurança física e medidas de controle de acesso para os gestores de TI. (Item do Relatório Preliminar de Auditoria) OCORRÊNCIA: Inexistência de monitoramento e registro dos serviços realizados para o ambiente físico no Centro de Processamento de Dados. (Item do Relatório Preliminar de Auditoria) OCORRÊNCIA: Não há política de gestão de pessoas para fixação de recursos humanos na área de TIC, como também ausência de formalização das atribuições e responsabilidades das unidades da Secretaria de Tecnologia da Informação. (Item do Relatório Preliminar de Auditoria) OCORRÊNCIA: Aquisição de software em 2006, porém este não foi mais utilizado efetivamente após sua instalação em (Item do Relatório Preliminar de Auditoria) OCORRÊNCIA: Recomendação Final. (Item do Relatório Preliminar de Auditoria) CONCLUSÃO PROPOSTA DE ENCAMINHAMENTO... 89

10 1. Histórico da tramitação PODER JUDICIÁRIO JUSTIÇA DO TRABALHO CONSELHO SUPERIOR DA JUSTIÇA DO TRABALHO Cuida-se de auditoria de gestão de tecnologia da informação realizada no Tribunal Regional do Trabalho da 23ª Região, em cumprimento à determinação do Ex. mo Ministro Presidente do Conselho Superior da Justiça do Trabalho constante do Ato SECON.CSJT.TST n.º 2, de 18 de outubro de O relatório preliminar da referida auditoria foi encaminhado à Corte Regional, mediante o Ofício CSJT.SG.ASCAUD n.º 47/2011, de 1º/7/2011, para apresentação de manifestação sobre as constatações e recomendações nele contidas, consoante disposição do artigo 74 do Regimento Interno do CSJT. Em resposta, o tribunal auditado, mediante o Ofício n.º 417/2011-GP/TRT 23ª Região, de 8/8/2011, relatou providências a serem tomadas com vistas à solução de algumas impropriedades identificadas. Passa-se, pois, à análise da manifestação do TRT da 23ª Região. 2. Análise das considerações do gestor O exame acerca das informações e justificativas apresentadas pelo Tribunal Regional do Trabalho da 23ª Região terá como metodologia a avaliação comparativa entre as recomendações da equipe de auditoria e as providências ou os esclarecimentos apresentados. Assessoria de Controle e Auditoria Setor de Administração Federal Sul (SAFS), Quadra 8, Lote 1, Bloco A, sala 436 / Brasília DF / CEP Telefone: (61) / Correio eletrônico: ascaud@csjt.jus.br U:\02 AUDITORIAS PAAC\2 Auditorias TRT's 2011\2 TRT 23 MT\5 Relatório Final\TI\Relatório Final de Auditoria TRT 23 (TI) V5.132 com anexos.docx 8

11 PODER JUDICIÁRIO JUSTIÇA DO TRABALHO CONSELHO SUPERIOR DA JUSTIÇA DO TRABALHO 2.1. OCORRÊNCIA: Estratégia de TI incompleta: Inexistência de Plano Diretor de Tecnologia da Informação e Comunicações (PDTIC) e de Planos de Gerenciamento dos Projetos estratégicos. (Item do Relatório Preliminar de Auditoria) I Recomendações da equipe de auditoria do CSJT a) Em atendimento à Resolução CNJ n.º 90/2009, art. 11, parágrafo único, desenvolva Plano Diretor da Tecnologia da Informação, alinhado ao Plano Estratégico de TI, utilizando-se como diretrizes as disposições contidas na IN 04/2010 e no Manual de Contratação de Soluções de TI, ambos da SLTI; b) Envide esforços para terminar prontamente a implementação da metodologia de gerência de projetos, por meio de uma estrutura formal, consoante o Cobit 4.1, item PO10.2 Estrutura de Gestão de Projetos; c) Envide esforços para terminar prontamente a elaboração dos Planos de Gerenciamento dos Projeto que desdobrarão do PDTI, elaborados segundo a metodologia de gerência de projetos adotada, consoante o Cobit 4.1, item PO 1.5 Planos Táticos de TI; d) Assegure que na fase de início dos projetos haja designação formal de seus gerentes, sem prejuízo das Assessoria de Controle e Auditoria Setor de Administração Federal Sul (SAFS), Quadra 8, Lote 1, Bloco A, sala 436 / Brasília DF / CEP Telefone: (61) / Correio eletrônico: ascaud@csjt.jus.br U:\02 AUDITORIAS PAAC\2 Auditorias TRT's 2011\2 TRT 23 MT\5 Relatório Final\TI\Relatório Final de Auditoria TRT 23 (TI) V5.132 com anexos.docx 9

12 PODER JUDICIÁRIO JUSTIÇA DO TRABALHO CONSELHO SUPERIOR DA JUSTIÇA DO TRABALHO demais diretrizes do Cobit 4.1, item PO 10.6 Fase de Início do Projeto. II Providências/esclarecimentos do TRT II.a No tocante à ausência de PDTI, seguem os principais trechos da manifestação do Tribunal: A referência à instrução normativa 4 da SLTI, esta possui como objetivo disciplinar o processo de contratação de serviços de tecnologia da informação. Nesse sentido dispõe o artigo 3º que: As contratações de que trata esta Instrução Normativa deverão ser precedidas de planejamento, elaborado em harmonia com o Plano Diretor de Tecnologia da Informação - PDTI, alinhado à estratégia do órgão ou entidade Tal dispositivo, smj. Pode ser contemplado com a vinculação do planejamento das contratações ao Planejamento Estratégico de TI. Nesse ínterim o PETI guardaria a referência estratégica para as contratações nos termos da IN4. (...) Destaca-se a necessidade de aderência das contratações ao Plano Diretor de Tecnologia da Informação e Planejamento Estratégico Institucional. Não existe obrigatoriedade de dois instrumentos estratégicos da unidade de TI nas determinações emanadas. (...) Assessoria de Controle e Auditoria Setor de Administração Federal Sul (SAFS), Quadra 8, Lote 1, Bloco A, sala 436 / Brasília DF / CEP Telefone: (61) / Correio eletrônico: ascaud@csjt.jus.br U:\02 AUDITORIAS PAAC\2 Auditorias TRT's 2011\2 TRT 23 MT\5 Relatório Final\TI\Relatório Final de Auditoria TRT 23 (TI) V5.132 com anexos.docx 10

13 PODER JUDICIÁRIO JUSTIÇA DO TRABALHO CONSELHO SUPERIOR DA JUSTIÇA DO TRABALHO Nestes termos sugerimos que as informações constantes no Planejamento Estratégico de TI sejam complementadas a partir do modelo de Plano Diretor de Tecnologia da Informação do TCU, sobretudo com informações baseadas nas práticas e metodologias de gestão de projetos (recomendação a ser discutida a partir do próximo parágrafo). A STI, na pessoa de seu diretor, Marcelo M. Kobayashi ficará responsável pela tarefa com prazo estimado para conclusão em novembro de II.b No tocante à priorização de projetos, o Tribunal se manifestou como se segue, apresentando ainda planilhas que constam do Anexo 1 do presente relatório: Em complemento às ações delineadas no Planejamento Estratégico de TI e, em atendimento às solicitações oriundas das diferentes unidades organizacionais, foram apresentadas das demandas apresentadas para atendimento pela STI. Estas demandas foram submetidas ao Comitê Estratégico e Diretivo de TI para priorização, com sugestão de ordenação baseada na planilha de priorização elaborada pelo Conselho Nacional de Justiça. (Anexo 1). (...) Destas, foram priorizadas, em reunião realizada no dia 3 de dezembro de 2010 as demandas abaixo: (Anexo 1). (...) Assessoria de Controle e Auditoria Setor de Administração Federal Sul (SAFS), Quadra 8, Lote 1, Bloco A, sala 436 / Brasília DF / CEP Telefone: (61) / Correio eletrônico: ascaud@csjt.jus.br U:\02 AUDITORIAS PAAC\2 Auditorias TRT's 2011\2 TRT 23 MT\5 Relatório Final\TI\Relatório Final de Auditoria TRT 23 (TI) V5.132 com anexos.docx 11

14 PODER JUDICIÁRIO JUSTIÇA DO TRABALHO CONSELHO SUPERIOR DA JUSTIÇA DO TRABALHO O objetivo da priorização é o de integrar os métodos de priorização de demandas e projetos para a identificação daqueles que serão realizados em conformidade com a metodologia da gestão de projetos. Entretanto a ausência de estruturas formais e o esforço realizado nas atividades e demandas apresentadas para execução por esta STI impediram que houvesse a implantação efetiva da metodologia. Assim, em conformidade com recomendação para a criação de uma estrutura de gestão de projetos, reiteramos pleito para criação de uma estrutura formal adequada, vinculada à STI voltada para a execução das atividades descritas nas melhores práticas de governança sobretudo no COBIT e, no item em questão (PO10.2) responsável pela gestão dos projetos. Muito embora exista um setor criado com este objetivo, tal estrutura não tem sido suficiente para assegurar a aderência às melhores práticas nos termos da recomendação apresentada neste item da auditoria. Nesse sentido sugerimos à administração, por meio da Secretaria Geral da Presidência, o envio de novo projeto de criação de cargos nos quantitativos solicitados ou a transformação de cargos criados ou a serem criados para compor estas e outras estruturas formais voltadas à governança e gestão de TI. Assim, se aceita a sugestão, identificamos a Secretaria-Geral da Presidência como unidade responsável pela condução da estratégia para formalização desta e outras estruturas formais de atuação especializada nesta STI. Assessoria de Controle e Auditoria Setor de Administração Federal Sul (SAFS), Quadra 8, Lote 1, Bloco A, sala 436 / Brasília DF / CEP Telefone: (61) / Correio eletrônico: ascaud@csjt.jus.br U:\02 AUDITORIAS PAAC\2 Auditorias TRT's 2011\2 TRT 23 MT\5 Relatório Final\TI\Relatório Final de Auditoria TRT 23 (TI) V5.132 com anexos.docx 12

15 PODER JUDICIÁRIO JUSTIÇA DO TRABALHO CONSELHO SUPERIOR DA JUSTIÇA DO TRABALHO II.c Em relação à elaboração de planos de projeto e a designação formal do gerente, o Tribunal se manifestou da seguinte forma: No que se refere à elaboração dos Planos de Gerenciamentos de Projetos decorrentes do PDTI, bem como a designação formal dos gerentes, tais recomendações só poderão ser atendidas plenamente quando do atendimento do item anterior, da criação de estruturas formalmente adequadas. III Análise dos esclarecimentos pela ASCAUD/CSJT No que concerne à elaboração de Plano Diretor de Tecnologia da Informação (PDTI), a equipe de auditoria de TI conclui que o Planejamento Estratégico de Tecnologia da Informação (PETI) do TRT da 23ª Região, da forma pela qual foi elaborado, atende em parte às exigências constantes do normativo do Conselho Nacional de Justiça (CNJ) e de acórdãos do Tribunal de Contas da União (TCU). Pela leitura das explicações e justificativas apresentadas pelo Tribunal Regional e considerando as providências em curso adotadas por este, considera-se a recomendação atendida. No tocante à priorização de projetos, a equipe de auditoria considera satisfatórios os esclarecimentos prestados pelo Tribunal Regional. Em relação à elaboração de Planos de Gerenciamento de Projeto e à designação formal de gerentes, a equipe de Assessoria de Controle e Auditoria Setor de Administração Federal Sul (SAFS), Quadra 8, Lote 1, Bloco A, sala 436 / Brasília DF / CEP Telefone: (61) / Correio eletrônico: ascaud@csjt.jus.br U:\02 AUDITORIAS PAAC\2 Auditorias TRT's 2011\2 TRT 23 MT\5 Relatório Final\TI\Relatório Final de Auditoria TRT 23 (TI) V5.132 com anexos.docx 13

16 PODER JUDICIÁRIO JUSTIÇA DO TRABALHO CONSELHO SUPERIOR DA JUSTIÇA DO TRABALHO auditoria conclui que, em razão da importância da recomendação, o Tribunal adotar as providências necessárias para atendê-la, considerando a importância da efetiva implantação de metodologia de gerenciamento de projetos para o alcance dos objetivos estratégicos daquela Corte, no escopo, prazo e custo inicialmente planejados. Nessa direção, ratificam-se os achados de auditoria pertinentes à metodologia de gerenciamento de projeto e recomenda-se a sua implementação prioritária OCORRÊNCIA: Não participação das áreas do negócio na construção/elaboração do Planejamento Estratégico de Tecnologia da Informação e Comunicação (PETIC). (Item do Relatório Preliminar de Auditoria) I Recomendações da equipe de auditoria do CSJT a) Ao Gabinete da Presidência, na qualidade de unidade que governa diretamente a tecnologia, que patrocine revisão completa do plano estratégico de TI, a fim de assegurar que o portfólio de investimentos em TI contenha programas e projetos baseados em sólidos estudos de caso de negócio. Deverá ficar claro, ainda, como a TI contribuirá com os objetivos estratégicos institucionais do TRT da 23ª Região e quais os custos e riscos envolvidos; b) O plano revisado deve contemplar a forma como a TI aplicará os programas de investimento, definir claramente Assessoria de Controle e Auditoria Setor de Administração Federal Sul (SAFS), Quadra 8, Lote 1, Bloco A, sala 436 / Brasília DF / CEP Telefone: (61) / Correio eletrônico: ascaud@csjt.jus.br U:\02 AUDITORIAS PAAC\2 Auditorias TRT's 2011\2 TRT 23 MT\5 Relatório Final\TI\Relatório Final de Auditoria TRT 23 (TI) V5.132 com anexos.docx 14

17 PODER JUDICIÁRIO JUSTIÇA DO TRABALHO CONSELHO SUPERIOR DA JUSTIÇA DO TRABALHO as responsabilidades e como os objetivos serão medidos e, para cada ação ou projeto, identificar os benefícios tangíveis e intangíveis esperados pelo negócio; c) Que as autorizações de início dos projetos, bem como as designações formais dos gerentes de projeto sejam feitas pelo Gabinete da Presidência; d) Que seja criado e treinado, no nível de especialização, um grupo de gestores de projetos estratégicos voltados para a execução da estratégia institucional e de TI. II Providências/esclarecimentos do TRT Quanto à constatação apresentada neste item divergimos pois a constatação desta situação implicaria em negar o texto, a composição das equipes (de líderes, de líderes ampliada e de desenvolvimento) e os meios de aprovação do PETI pelo Tribunal Pleno. Neste caso, além das participação de representantes de diferentes unidades, houve apoio total da unidade especializada em Planejamento Estratégico no âmbito da 23ª região, a Secretaria de Gestão Estratégica. Assim, ao dar ciência deste item do relatório e das sugestões, entendemos suficiente certificar a participação efetiva das áreas de negócio bem como a utilização da metodologia BSC pelos argumentos acima apresentados e pelo fato de que o PETI constitui desdobramento do Planejamento Estratégico Institucional, inclusive com acompanhamento periódico nas reuniões de avaliação estratégica. Assessoria de Controle e Auditoria Setor de Administração Federal Sul (SAFS), Quadra 8, Lote 1, Bloco A, sala 436 / Brasília DF / CEP Telefone: (61) / Correio eletrônico: ascaud@csjt.jus.br U:\02 AUDITORIAS PAAC\2 Auditorias TRT's 2011\2 TRT 23 MT\5 Relatório Final\TI\Relatório Final de Auditoria TRT 23 (TI) V5.132 com anexos.docx 15

18 PODER JUDICIÁRIO JUSTIÇA DO TRABALHO CONSELHO SUPERIOR DA JUSTIÇA DO TRABALHO Quanto às autorizações de início de projetos e designações formais de gerentes de projeto, quando instituídas, asseguramos que serão feitas pelo Gabinete da Presidência; Quanto ao programa de capacitação, em nível de especialização, dos gestores de TI em gestão estratégica de projetos apresentamos a sugestão de realização na modalidade EAD do MBA Executivo Internacional em Gerenciamento de Projetos, promovido pela FGV. As informações adicionais podem ser acessadas em ( _cd=eigpj*06_03#ugmpjead). III Análise dos esclarecimentos pela ASCAUD/CSJT No tocante à participação das áreas de negócio nas revisões de análise de estratégia de TI, a equipe de auditoria considera os esclarecimentos satisfatórios. Em relação à autorização para início dos projetos e designação formal de gerentes, ante as providências que serão tomadas pelo Tribunal, necessário se faz o monitoramento e a comprovação de que doravante estarão sendo feitas, consoante os termos da metodologia de gerenciamento de projeto que será implementada. Nesse sentido, ratificam-se os achados em referência. Assessoria de Controle e Auditoria Setor de Administração Federal Sul (SAFS), Quadra 8, Lote 1, Bloco A, sala 436 / Brasília DF / CEP Telefone: (61) / Correio eletrônico: ascaud@csjt.jus.br U:\02 AUDITORIAS PAAC\2 Auditorias TRT's 2011\2 TRT 23 MT\5 Relatório Final\TI\Relatório Final de Auditoria TRT 23 (TI) V5.132 com anexos.docx 16

19 PODER JUDICIÁRIO JUSTIÇA DO TRABALHO CONSELHO SUPERIOR DA JUSTIÇA DO TRABALHO No que concerne ao treinamento de gestores de projeto, ante as providências tomadas pelo TRT da 23ª Região, considera-se a recomendação atendida OCORRÊNCIA: A Secretaria de Tecnologia da Informação não promoveu as Reuniões de Análise da Estratégia com periodicidade trimestral para o PETIC. A primeira reunião foi agendada após o envio da solicitação de auditoria CAUTI.SECON. Nº 01/2010. (Item do Relatório Preliminar de Auditoria) I Recomendações da equipe de auditoria do CSJT a) Ao Gabinete da Presidência, unidade que governa diretamente a TI, que patrocine a realização das Reuniões de Análise da Estratégia de TI, conforme determinado na Resolução CNJ n.º 99/2009, art. 4º, único; b) Que a STI promova análise para entender os riscos afetos à execução da estratégia de TI, a fim de mitigá-los, caso necessário. II Providências/esclarecimentos do TRT Muito embora tenha sido agendada e apresentada em dezembro de 2010 a avaliação da estratégia do PETI 23ª região não foi apresentada à equipe responsável pela auditoria. O material apresentado segue em anexo. Assessoria de Controle e Auditoria Setor de Administração Federal Sul (SAFS), Quadra 8, Lote 1, Bloco A, sala 436 / Brasília DF / CEP Telefone: (61) / Correio eletrônico: ascaud@csjt.jus.br U:\02 AUDITORIAS PAAC\2 Auditorias TRT's 2011\2 TRT 23 MT\5 Relatório Final\TI\Relatório Final de Auditoria TRT 23 (TI) V5.132 com anexos.docx 17

20 PODER JUDICIÁRIO JUSTIÇA DO TRABALHO CONSELHO SUPERIOR DA JUSTIÇA DO TRABALHO Também é praxe a apresentação de resultados nas Reuniões de Avaliação da Estratégia institucional. A STI promoveu análise de riscos com apoio especializado da consultoria ELO Group, cujo resultado é apresentado em anexo. III Análise dos esclarecimentos pela ASCAUD/CSJT Ante os esclarecimentos e os documentos apresentados pelo TRT da 23ª Região (Anexos 4 e 6), a equipe de auditoria considera as recomendações atendidas OCORRÊNCIA: Não existem indicadores de desempenho voltados para medir e governar a gestão da TI de modo a aprimorar o valor e a qualidade da informação entregue pela tecnologia para o negócio. (Item do Relatório Preliminar de Auditoria) I Recomendação da equipe de auditoria do CSJT a) Que o Gabinete da Presidência, unidade que governa diretamente a TI, estabeleça e implante, metas e indicadores de desempenho da gestão, voltados para governar a gestão da TI, possibilitando, dessa forma, o aprimoramento do valor e da qualidade da informação entregue pela tecnologia para o negócio. Assessoria de Controle e Auditoria Setor de Administração Federal Sul (SAFS), Quadra 8, Lote 1, Bloco A, sala 436 / Brasília DF / CEP Telefone: (61) / Correio eletrônico: ascaud@csjt.jus.br U:\02 AUDITORIAS PAAC\2 Auditorias TRT's 2011\2 TRT 23 MT\5 Relatório Final\TI\Relatório Final de Auditoria TRT 23 (TI) V5.132 com anexos.docx 18

21 PODER JUDICIÁRIO JUSTIÇA DO TRABALHO CONSELHO SUPERIOR DA JUSTIÇA DO TRABALHO II Providências/esclarecimentos do TRT Os indicadores estratégicos referentes ao desempenho da TI foram estabelecidos no PETI, muitos deles em decorrência das determinações constantes na resolução 99/2009 do CNJ. Apresentaremos maiores sugestões quando da conclusão do estudo de acréscimo de informações ao PETI baseado no PDTI do TCU. III Análise dos esclarecimentos pela ASCAUD/CSJT Ante os esclarecimentos e justificativas prestados pelo TRT da 23ª Região, considera-se a recomendação atendida OCORRÊNCIA: Os riscos que podem afetar a execução da estratégia de TIC não foram previamente identificados e consequentemente não estão sendo considerados, analisados e tratados. (Item do Relatório Preliminar de Auditoria) I Recomendação da equipe de auditoria do CSJT a) Que a área técnica, sob a supervisão da Secretaria-Geral da Presidência, proceda à avaliação e gerenciamento dos riscos de TI, nos termos do norma técnica ITGI Cobit 4.1 processo COBIT PO9 - Avaliar e Gerenciar os Riscos de TI, para fins de planejamento, com consequente adequação do Assessoria de Controle e Auditoria Setor de Administração Federal Sul (SAFS), Quadra 8, Lote 1, Bloco A, sala 436 / Brasília DF / CEP Telefone: (61) / Correio eletrônico: ascaud@csjt.jus.br U:\02 AUDITORIAS PAAC\2 Auditorias TRT's 2011\2 TRT 23 MT\5 Relatório Final\TI\Relatório Final de Auditoria TRT 23 (TI) V5.132 com anexos.docx 19

22 PODER JUDICIÁRIO JUSTIÇA DO TRABALHO CONSELHO SUPERIOR DA JUSTIÇA DO TRABALHO PETIC, valendo-se do software Risk Manager e da necessária interação com as áreas de negócio. II Providências/esclarecimentos do TRT A análise de riscos da execução estratégica foi realizada e materializada em relatório já apresentado em anexo (Item 2.2.3). Já a análise de Riscos utilizando o software Risk Manager será realizada no mês de setembro deste ano. III Análise dos esclarecimentos pela ASCAUD/CSJT A equipe de auditoria considera a recomendação atendida, ante os esclarecimentos apresentados pelo TRT da 23ª Região e a documentação constante do Anexo 2, encaminhada pelo Tribunal Regional OCORRÊNCIA: Os responsáveis designados para prestar contas dos resultados de cada um dos objetivos estratégicos do PETIC não apresentaram os resultados, mesmo que parciais, conforme solicitado. (Item do Relatório Preliminar de Auditoria) I Recomendações da equipe de auditoria do CSJT a) Que a STI elabore e apresente a prestação de contas de todos os projetos estratégicos de TI, executados em 2010, Assessoria de Controle e Auditoria Setor de Administração Federal Sul (SAFS), Quadra 8, Lote 1, Bloco A, sala 436 / Brasília DF / CEP Telefone: (61) / Correio eletrônico: ascaud@csjt.jus.br U:\02 AUDITORIAS PAAC\2 Auditorias TRT's 2011\2 TRT 23 MT\5 Relatório Final\TI\Relatório Final de Auditoria TRT 23 (TI) V5.132 com anexos.docx 20

23 PODER JUDICIÁRIO JUSTIÇA DO TRABALHO CONSELHO SUPERIOR DA JUSTIÇA DO TRABALHO indicando como os benefícios proclamados foram atingidos e como os projetos entregaram valor ao negócio; b) Que a STI demonstre como os indicadores do plano foram obtidos e se as metas estabelecidas foram alcançadas. O Gabinete da Presidência deve estabelecer um prazo para a prestação de contas, pela Secretaria de Tecnologia da Informação, das atividades e projetos realizados em 2010; c) Que sejam estabelecidos critérios e prazos para a prestação de contas do PETIC para os anos subsequentes. II Providências/esclarecimentos do TRT STI. Relatório apresentado em anexo: Prestação de Contas III Análise dos esclarecimentos pela ASCAUD/CSJT A equipe de auditoria considera as recomendações atendidas, ante a documentação apresentada pelo Tribunal Regional, constante do Anexo 3. Assessoria de Controle e Auditoria Setor de Administração Federal Sul (SAFS), Quadra 8, Lote 1, Bloco A, sala 436 / Brasília DF / CEP Telefone: (61) / Correio eletrônico: ascaud@csjt.jus.br U:\02 AUDITORIAS PAAC\2 Auditorias TRT's 2011\2 TRT 23 MT\5 Relatório Final\TI\Relatório Final de Auditoria TRT 23 (TI) V5.132 com anexos.docx 21

24 PODER JUDICIÁRIO JUSTIÇA DO TRABALHO CONSELHO SUPERIOR DA JUSTIÇA DO TRABALHO 2.7. OCORRÊNCIA: Deficiências no processo de trabalho voltado para garantir a continuidade dos serviços e inexistência de planos voltados para garantir a continuidade dos negócios críticos. (Item do Relatório Preliminar de Auditoria) I Recomendações da equipe de auditoria do CSJT a) Providencie a identificação e análise dos principais riscos para a continuidade dos serviços; b) Defina formalmente um Plano de Continuidade do Negócio (Plano de Contingências) que garanta, em caso de falhas ou desastre natural significativo, a retomada em tempo hábil do funcionamento do TRT. Deve haver proteção aos processos críticos de TI para o negócio, de acordo com o previsto nos seguintes normativos: item 14 da NBR ISO/IEC 17799:2005; orientações previstas no Cobit 4.1, item DS4.2 (Planos de Continuidade de TI); e orientações do TCU contidas no Acórdão n / Plenário, item ; c) Privilegie na elaboração dos planos de continuidade itens críticos. Esses itens devem assegurar a capacidade de restabelecimento, definindo prioridades, evitando desvios de atenção para os pontos de recuperação menos críticos e assegurando resposta e reentrada ágil em operação, em alinhamento com as necessidades de maior importância para o negócio; Assessoria de Controle e Auditoria Setor de Administração Federal Sul (SAFS), Quadra 8, Lote 1, Bloco A, sala 436 / Brasília DF / CEP Telefone: (61) / Correio eletrônico: ascaud@csjt.jus.br U:\02 AUDITORIAS PAAC\2 Auditorias TRT's 2011\2 TRT 23 MT\5 Relatório Final\TI\Relatório Final de Auditoria TRT 23 (TI) V5.132 com anexos.docx 22

25 PODER JUDICIÁRIO JUSTIÇA DO TRABALHO CONSELHO SUPERIOR DA JUSTIÇA DO TRABALHO d) Considere, na elaboração dos planos de continuidade, a capacidade de restauração e os requisitos de resposta e recuperação em diferentes níveis, p. ex., de 1 a 4 horas, de 4 horas a 24 horas, mais de 24 horas; e os períodos operacionais de negócios críticos, p. ex., a folha de pagamentos, disponibilização de consulta a andamento de processos e o acesso, via internet, aos processos eletrônicos; e) Desenvolva e implante modelo de processo para continuidade da TI. Esse processo deve observar o disposto nos seguintes normativos: NBR ISO/IEC 17799:2005 (itens , e ); e item do Acórdão n /2007 do TCU; f) Preveja testes regulares de efetividade dos Planos de Continuidade de TI para assegurar que os sistemas críticos possam ser plenamente recuperados, documentando eventuais desvios e providências para corrigir inconsistências, com vistas a que o referido Plano alcance seus objetivos; g) Assegure que o processo de gestão do Plano de Continuidade reúna todas as partes envolvidas e recebam treinamento especializado sobre os procedimentos, papéis e respectivas responsabilidades no caso de um incidente ou desastre, conforme recomendação prolatada, no mesmo sentido, pelo TCU no Acórdão n. 782/ Primeira Câmara, item Assessoria de Controle e Auditoria Setor de Administração Federal Sul (SAFS), Quadra 8, Lote 1, Bloco A, sala 436 / Brasília DF / CEP Telefone: (61) / Correio eletrônico: ascaud@csjt.jus.br U:\02 AUDITORIAS PAAC\2 Auditorias TRT's 2011\2 TRT 23 MT\5 Relatório Final\TI\Relatório Final de Auditoria TRT 23 (TI) V5.132 com anexos.docx 23

26 PODER JUDICIÁRIO JUSTIÇA DO TRABALHO CONSELHO SUPERIOR DA JUSTIÇA DO TRABALHO h) O modelo implantado deve prever integração com os procedimentos de controle de mudança para assegurar que o plano de continuidade de TI seja atualizado e reflita sempre os requisitos de negócios da infraestrutura. II Providências/esclarecimentos do TRT Apesar de não existir formalmente um Plano de Continuidade de Negócios, este Regional dispõe de um site backup, contendo infraestrutura de TI suficiente para a migração dos serviços em caso de desastre que venha a comprometer ou indisponibilizar o funcionamento do datacenter principal. O site backup esta equipado com dois racks, Infraestrutura completa de rede com conectividade com as redes dos prédios da Corte, Administrativo e das Varas do Trabalho desta capital, além de um nobreak e climatizador de ar suficientes para o funcionamento de dos principais serviços e processos de TI neste Regional. Independente da capacitação, é necessária aquisição das normas ABNT NBR ISO/IEC 27001, ABNT NBR ISO/IEC 27002, ABNT NBR ISO/IEC 27004, ABNT NBR ISO/IEC 27005, para as quais já estamos tomando as providências para aquisição. (...) Quando a elaboração da formal do PCN será necessária a capacitação específica do servidor responsável pela Seção de Segurança da Informação. (...) Assessoria de Controle e Auditoria Setor de Administração Federal Sul (SAFS), Quadra 8, Lote 1, Bloco A, sala 436 / Brasília DF / CEP Telefone: (61) / Correio eletrônico: ascaud@csjt.jus.br U:\02 AUDITORIAS PAAC\2 Auditorias TRT's 2011\2 TRT 23 MT\5 Relatório Final\TI\Relatório Final de Auditoria TRT 23 (TI) V5.132 com anexos.docx 24

27 PODER JUDICIÁRIO JUSTIÇA DO TRABALHO CONSELHO SUPERIOR DA JUSTIÇA DO TRABALHO O relatório da auditoria recomenda que seja previamente realizado uma analise de risco e identificação dos eventos que possam causar interrupções nos processos do negócio. Neste sentido, estamos preparando o ambiente para a realização da analise de risco utilizando a ferramenta Risk Manager. A avaliação será realizada a partir do dia 19 de setembro de 2011, sob responsabilidade do Servidor Luciano Francisco de Jesus. Consideramos que a análise de risco e a capacitação são requisitos para elaboração do Plano de Continuidade de Negócio, razão pela qual, este será concluído após as atividades preparatórias mencionadas neste parágrafo. Submeteremos à administração deste Regional o pedido de alocação dos recursos necessários à esta atividade, principalmente no tocante à capacitação específica e adequada. III Análise dos esclarecimentos pela ASCAUD/CSJT Tendo em vista as providências em curso no âmbito do TRT da 23ª Região, consideram-se atendidas as recomendações. Assessoria de Controle e Auditoria Setor de Administração Federal Sul (SAFS), Quadra 8, Lote 1, Bloco A, sala 436 / Brasília DF / CEP Telefone: (61) / Correio eletrônico: ascaud@csjt.jus.br U:\02 AUDITORIAS PAAC\2 Auditorias TRT's 2011\2 TRT 23 MT\5 Relatório Final\TI\Relatório Final de Auditoria TRT 23 (TI) V5.132 com anexos.docx 25

28 PODER JUDICIÁRIO JUSTIÇA DO TRABALHO CONSELHO SUPERIOR DA JUSTIÇA DO TRABALHO 2.8. OCORRÊNCIA: Não existem procedimentos aprovados que sustentem um plano de contingência e de recuperação de desastres. (Item do Relatório Preliminar de Auditoria) I Recomendações da equipe de auditoria do CSJT a) Estabeleça imediatamente procedimentos emergenciais mínimos voltados para garantir a continuidade dentro dos prazos estabelecidos pelas áreas de negócio; b) Privilegie a elaboração dos procedimentos emergenciais para itens críticos apontados pelo negócio. Esses itens devem assegurar a capacidade de restabelecimento, definindo prioridades, evitando desvios de atenção para os pontos de recuperação menos críticos e assegurando resposta e reentrada ágil em operação; c) Providencie que todos os procedimentos emergenciais estabelecidos devem estar contemplados e adaptados nos planos definitivos. II Providências/esclarecimentos do TRT (2.3.1) Atividades preparatórias descritas no item anterior. III Análise dos esclarecimentos pela ASCAUD/CSJT Assessoria de Controle e Auditoria Setor de Administração Federal Sul (SAFS), Quadra 8, Lote 1, Bloco A, sala 436 / Brasília DF / CEP Telefone: (61) / Correio eletrônico: ascaud@csjt.jus.br U:\02 AUDITORIAS PAAC\2 Auditorias TRT's 2011\2 TRT 23 MT\5 Relatório Final\TI\Relatório Final de Auditoria TRT 23 (TI) V5.132 com anexos.docx 26

29 PODER JUDICIÁRIO JUSTIÇA DO TRABALHO CONSELHO SUPERIOR DA JUSTIÇA DO TRABALHO Tendo em vista as providências em curso no âmbito do TRT da 23ª Região, consideram-se atendidas as recomendações OCORRÊNCIA: Inexistência de plano de comunicação voltado para reunir e orientar as equipes de trabalho no momento da contingência. (Item do Relatório Preliminar de Auditoria) I Recomendação da equipe de auditoria do CSJT: a) Elabore Plano de Comunicação no contexto dos planos de continuidade gerais. O plano em questão, voltado para atender exclusivamente as necessidades da contingência, deve ter responsável designado pela sua implementação quando requerido. II Providências/esclarecimentos do TRT O referido Plano de Comunicação será elaborado assim que instanciado o projeto nos termos da metodologia PMBok e realizadas as capacitações descritas nos itens e III Análise dos esclarecimentos pela ASCAUD/CSJT Tendo em vista as providências em curso no âmbito do TRT da 23ª Região, considera-se a recomendação atendida. Assessoria de Controle e Auditoria Setor de Administração Federal Sul (SAFS), Quadra 8, Lote 1, Bloco A, sala 436 / Brasília DF / CEP Telefone: (61) / Correio eletrônico: ascaud@csjt.jus.br U:\02 AUDITORIAS PAAC\2 Auditorias TRT's 2011\2 TRT 23 MT\5 Relatório Final\TI\Relatório Final de Auditoria TRT 23 (TI) V5.132 com anexos.docx 27

30 PODER JUDICIÁRIO JUSTIÇA DO TRABALHO CONSELHO SUPERIOR DA JUSTIÇA DO TRABALHO OCORRÊNCIA: Inexistência de avaliação dos principais riscos de TI para o negócio, a fim de sustentar a construção dos planos de continuidade dos serviços. (Item do Relatório Preliminar de Auditoria) I Recomendações da equipe de auditoria do CSJT a) Selecione e implemente controles apropriados para assegurar que os riscos sejam eliminados ou reduzidos a um nível aceitável. Os controles devem ser selecionados a partir da NBR ISO/IEC 27002:2005 ou de outro conjunto de controles como o Cobit. A seleção de controles de segurança da informação depende das decisões da organização e é baseada nos critérios para aceitação de risco, nas opções para tratamento do risco e no enfoque geral da gestão de risco aplicado à organização; b) Realize ciclo para a gestão dos riscos (inventariar, analisar, avaliar e tratar), produzindo relatório detalhado sobre a situação atual, com prazo estabelecido pela unidade governante da TI; c) Realize trabalho completo de classificação da informação e de todos os ativos digitais do TRT, com vista a auxiliar o processo da continuidade e no processo de definir a Arquitetura da Informação. II Providências/esclarecimentos do TRT Assessoria de Controle e Auditoria Setor de Administração Federal Sul (SAFS), Quadra 8, Lote 1, Bloco A, sala 436 / Brasília DF / CEP Telefone: (61) / Correio eletrônico: ascaud@csjt.jus.br U:\02 AUDITORIAS PAAC\2 Auditorias TRT's 2011\2 TRT 23 MT\5 Relatório Final\TI\Relatório Final de Auditoria TRT 23 (TI) V5.132 com anexos.docx 28

31 PODER JUDICIÁRIO JUSTIÇA DO TRABALHO CONSELHO SUPERIOR DA JUSTIÇA DO TRABALHO Conforme proposto no item a avaliação dos riscos utilizando-se a o software Risk Manager será realizada no dia 19 de setembro de Entretanto como fase preparatória realizamos a análise de riscos ambientais que segue em documento anexado. A análise de riscos estratégicos realizada está juntada como anexo. III Análise dos esclarecimentos pela ASCAUD/CSJT A equipe de auditoria considera as recomendações atendidas, ante os esclarecimentos apresentados pelo TRT da 23ª Região e a documentação constante do Anexo 7, encaminhada pelo Tribunal Regional OCORRÊNCIA: Inexistência de equipe designada para a execução do plano de continuidade dos serviços do negócio com papéis e responsabilidades definidas, comunicadas e aceitas pelos envolvidos. (Item do Relatório Preliminar de Auditoria) I Recomendação da equipe de auditoria do CSJT Assessoria de Controle e Auditoria Setor de Administração Federal Sul (SAFS), Quadra 8, Lote 1, Bloco A, sala 436 / Brasília DF / CEP Telefone: (61) / Correio eletrônico: ascaud@csjt.jus.br U:\02 AUDITORIAS PAAC\2 Auditorias TRT's 2011\2 TRT 23 MT\5 Relatório Final\TI\Relatório Final de Auditoria TRT 23 (TI) V5.132 com anexos.docx 29

32 PODER JUDICIÁRIO JUSTIÇA DO TRABALHO CONSELHO SUPERIOR DA JUSTIÇA DO TRABALHO a) Indique e treine servidores com o propósito de elaborar, testar e, quando for o caso de uma contingência, executar os planos de continuidade de serviços, parcial ou completamente. Os membros da equipe e os prazos devem ser estabelecidos pela unidade governante da TI. II Providências/esclarecimentos do TRT Entendemos que a equipe será constituída como parte do projeto de elaboração do Plano de Continuidade de Negócio nos termos do item III Análise dos esclarecimentos pela ASCAUD/CSJT Considera-se satisfatória a justificativa apresentada OCORRÊNCIA: Não existe previsão de um hot-site, ou solução equivalente, com as configurações mínimas requeridas para a sustentação do plano de continuidade dos serviços do negócio e recomposição dos sistemas, serviços e produtos críticos que sustentam estes. (existe na sede do fórum apenas site backup). (Item do Relatório Preliminar de Auditoria) I Recomendações da equipe de auditoria do CSJT Assessoria de Controle e Auditoria Setor de Administração Federal Sul (SAFS), Quadra 8, Lote 1, Bloco A, sala 436 / Brasília DF / CEP Telefone: (61) / Correio eletrônico: ascaud@csjt.jus.br U:\02 AUDITORIAS PAAC\2 Auditorias TRT's 2011\2 TRT 23 MT\5 Relatório Final\TI\Relatório Final de Auditoria TRT 23 (TI) V5.132 com anexos.docx 30

33 PODER JUDICIÁRIO JUSTIÇA DO TRABALHO CONSELHO SUPERIOR DA JUSTIÇA DO TRABALHO a) Realize análise criteriosa dos riscos afetos à segurança física de seu ambiente de site backup e promova as adequações necessárias, como forma de garantir sucesso na recuperação da TI, em situação de contingência; b) Incorpore no ambiente do site backup a infraestrutura necessária para sustentação do plano de continuidade do negócio, considerando o processo judicial eletrônico, no que tange à disponibilidade, integridade e confiabilidade; c) Elabore indicadores de desempenho para governar o processo de segurança dos sistemas, consoante diretrizes do Cobit 4.1, item PC 6 Melhoria da Performance do Processo. II Providências/esclarecimentos do TRT Assessoria de Controle e Auditoria Setor de Administração Federal Sul (SAFS), Quadra 8, Lote 1, Bloco A, sala 436 / Brasília DF / CEP Telefone: (61) / Correio eletrônico: ascaud@csjt.jus.br U:\02 AUDITORIAS PAAC\2 Auditorias TRT's 2011\2 TRT 23 MT\5 Relatório Final\TI\Relatório Final de Auditoria TRT 23 (TI) V5.132 com anexos.docx 31

34 PODER JUDICIÁRIO JUSTIÇA DO TRABALHO CONSELHO SUPERIOR DA JUSTIÇA DO TRABALHO De fato não existe tal previsão tendo em vista a inexistência de análise criteriosa dos riscos à segurança física do ambiente que demonstre tal necessidade. Mesmo aparentemente incoerente tendo em vista ausência de documento motivador de tal investimento, concordamos com a recomendação apresentada e elaboramos estimativa prévia baseada em licitações realizadas pelo Tribunal Superior do Trabalho, Conselho Nacional de Justiça e outros órgãos da administração pública federal, que segue abaixo Assessoria de Controle e Auditoria Setor de Administração Federal Sul (SAFS), Quadra 8, Lote 1, Bloco A, sala 436 / Brasília DF / CEP Telefone: (61) / Correio eletrônico: ascaud@csjt.jus.br U:\02 AUDITORIAS PAAC\2 Auditorias TRT's 2011\2 TRT 23 MT\5 Relatório Final\TI\Relatório Final de Auditoria TRT 23 (TI) V5.132 com anexos.docx 32

35 PODER JUDICIÁRIO JUSTIÇA DO TRABALHO CONSELHO SUPERIOR DA JUSTIÇA DO TRABALHO Certamente tais valores estão sujeitos a revisão, tendo em vista o curto espaço de tempo para seu levantamento, mas para atendimento da recomendação imagina-se necessário tal investimento. III Análise dos esclarecimentos pela ASCAUD/CSJT Tendo em vista os esclarecimentos e as providências em curso no âmbito do TRT da 23ª Região, consideram-se as recomendações atendidas OCORRÊNCIA: Inexistência de testes para comprovar a eficácia dos planos de continuidade do negócio, mesmo em ações específicas cujo objetivo é a recuperação da TI (não há alternativas para realização de testes) (Item do Relatório Preliminar de Auditoria) I Recomendações da equipe de auditoria do CSJT a) Execute testes regulares nos procedimentos e planos de continuidade, de forma que sejam divulgados antecipadamente a documentação com o escopo, os resultados registrados, e que se implementem planos de ação corrigindo as falhas apontadas. O Gabinete da Presidência deve estabelecer a periodicidade e o escopo dos testes em conjunto com a STI; b) Assegure que o processo de trabalho da continuidade garanta Assessoria de Controle e Auditoria Setor de Administração Federal Sul (SAFS), Quadra 8, Lote 1, Bloco A, sala 436 / Brasília DF / CEP Telefone: (61) / Correio eletrônico: ascaud@csjt.jus.br U:\02 AUDITORIAS PAAC\2 Auditorias TRT's 2011\2 TRT 23 MT\5 Relatório Final\TI\Relatório Final de Auditoria TRT 23 (TI) V5.132 com anexos.docx 33