(3ª Edição (Completo)

Transcrição

1 (3ª Edição (Completo)

2

3 PLANO DIRETOR DE TECNOLOGIA DA INFORMAÇÃO

4 Agência Nacional de Energia Elétrica ANEEL Diretoria Nelson Hübner Diretor-Geral André Pepitone da Nóbrega Edvaldo Alves de Santana Julião Silveira Coelho Romeu Donizete Rufino Diretores Superintendência de Gestão Técnica da Informação Victor Hugo da Silva Rosa Superintendente

5 Agência Nacional de Energia Elétrica Superintendência de Gestão Técnica da Informação PLANO DIRETOR DE TECNOLOGIA DA INFORMAÇÃO 3ª Edição Brasília, DF 2012

6 Superintendência de Gestão Técnica da Informação Superintendente Victor Hugo da Silva Rosa Assessor Wilson Delgado Pinto Coordenação (edição original) Antonio Carlos Borba Carapeba Flávio Vieira Talasca Pedro Paulo Costallat Bruno Equipe de Elaboração (edição original): Adriana de Carvalho Drumond Vivan André de Toledo Lima Andréa Hitomi Kabu Antonio Campos Monteiro Neto Carlos Alcebíades Barros Cavalcante Francisco Alexandre Stecher de Oliveira Jesse Duarte Menezes Marcio Constant de Andrade Reis Miriam Corrêa Fernandes da Cunha Equipe de Campo (3ª Edição) André Gustavo de Andrade Moreira Daniele Oliveira de Paula Erciley Gomes Ettore Nóbrega Chase Idalécio José de Aquino Jonatas Ribeiro de Oliveira José Eduardo Santos Martins Karoline Coelho Macedo Kristiano Medeiros Viana Laudimila Rita da Conceição Marques Leonardo Figueiredo de Freitas Líderes de Execução de Estratégias de TI: Adriana de Carvalho Drumond Vivan André de Toledo Lima Antonio Campos Monteiro Neto Carlos Henrique Araújo Pimenteç Cleide Maria Ricardo Daniel Fontoura Campos da Silva Ênio Ribeiro Salles Enzo Carlos Damo Marcelo Araújo Pinheiro Mayra Gonçalves de Souza Resende Renata Guanaes Machado Roberta Penha e Silva Marins Rodrigo Barbosa Medeiro Rodrigo Fortes Bellei Roberto Stefan Fernandes de Aguiar Rodrigo Pascoal Araújo Rodrigo Viegas Dantas Rodrigues Sérgio Williams Bezerra Lopes Thiago Resende de Abreu Sousa Fábio Araújo Cruz Fernando Gomes Fernandes Herbert Lima Monteiro Ricardo Marques Alves Pereira Rodrigo Mathias Antonioli Rodrigo Pereira de Mesquita Otávio Carneiro dos Santos Edição e Consolidação: Flávio Talasca Diagramação: Lívia Cristina Oliveira de Souza Capa: Tatiana Duarte Menezes A265p Agência Nacional de Energia Elétrica (Brasil). Plano diretor de tecnologia da informação / Agência Nacional de Energia Elétrica. 3. ed. Brasília: ANEEL, p. : il. Inclui anexos, glossários e abreviaturas. 1. Tecnologia da informação. 2. Plano diretor. 3. Plano de ação. I. Título. CDU: 004:658(083.9)

7 AS DUAS VERSÕES DESTE DOCUMENTO O presente documento é apresentado em duas versões, para melhor atendimento das finalidades a que se destina. Uma versão sintética, para uso da Diretoria, Superintendências e Áreas Operacionais, possibilita o claro e imediato entendimento sobre os rumos da Tecnologia da Informação e o papel que representa como instrumento estratégico de apoio ao cumprimento da missão institucional da ANEEL. A segunda versão (completa) aprofunda a visão técnica da primeira e fornece informações detalhadas e relevantes a todos os profissionais da Agência e cidadãos, familiarizados e envolvidos, ou não, com a Tecnologia da Informação - TI. O conteúdo das duas versões é a seguir discriminado. VERSÃO CAPÍTULO 1 ESTRATÉGIA GERAL DE TI NA ANEEL SINTÉTICA COMPLETA 1. Contexto da Missão Institucional da ANEEL x x 2. Contribuição da TI ao sucesso da ANEEL x x 3. Princípios de Gestão de TI x x 4. Governança de TI x x 5. Arquitetura de TI x x 6. Padrões de Serviços e Processos x x 7. Portfólio de Aplicações de TI x x 8. Infraestrutura de TI x x 9. Gestão Financeira x x 10. Estrutura Organizacional x x 11. Gerenciamento de Riscos x x 12. Fatores Críticos de Sucesso x x CAPÍTULO 2 DETALHAMENTO DO PLANO DIRETOR 1. Infraestrutura e Gestão da Informação x 2. Soluções Corporativas e Desenvolvimento x 3. Acervo Técnico e Gestão de Documentos x ANEXOS 1. Plano de Ações Prioritárias x x 2. Inventário de Ativos x 3. Finanças e Orçamentos x 4. Metodologia Aplicada x GLOSSÁRIO E LISTA DE SIGLAS E ABREVIATURAS x x

8

9 APRESENTAÇÃO Este documento tem como propósito contribuir para o aumento da capacidade de ação e desempenho das superintendências e áreas da ANEEL, no cumprimento de suas metas e desafios institucionais, por meio do fortalecimento dos recursos de Tecnologia da Informação - TI. Trata-se de um instrumento de cunho estratégico, por direcionar mudanças e explorar as melhores possibilidades de emprego e tratamento dos recursos de TI da Agência. Entre vários aspectos, este documento se propõe a: definir o Marco Referencial 1, cenários e prioridades para se alcançar as melhores soluções no atendimento das demandas de TI, tanto dos usuários internos e quanto dos usuários externos da Agência; estabelecer parâmetros para o manejo adequado das bases de dados corporativos e para otimização do emprego de recursos sistêmicos, humanos e de tecnologia; ser um norte orientador para suporte a todas as decisões de investimento e gastos relativos a TI; contribuir para o fortalecimento da governança de TI, por meio de definições, posicionamentos e diretrizes de fortalecimento dos mecanismos de controle e governança corporativa. Ao longo do tempo, espera-se também, com a aplicação das ações contidas neste trabalho, um aumento no nível de maturidade dos processos operacionais e das práticas de negócio da Agência, tornandoa cada vez mais ágil e próxima da sociedade, no cumprimento de sua missão social. NOTA DA 2ª EDIÇÃO Esta edição incorpora atualizações entre o período de maio de 2010 a junho de Ressaltamse dentre as principais alterações: a finalização de várias ações prioritárias (anteriormente em fase de elaboração), a aquisição / substituição de vários equipamentos da infraestrutura, a revisão do portólio de projetos / aplicações sistêmicas e também a revisão de nomenclatura, detalhamento e composição de várias ações contidas nas estratégias de TI (ETI). O anexo I foi melhorado, com a inclusão de gráfico sobre a evolução da implantação das ETI. NOTA DA 3ª EDIÇÃO Nesta edição foram atualizados: os cronogramas e prioridades das Unidades Organizacionais da Agência, o portfólio de produtos e a inclusão de vários itens novos entre o período de julho 2011 a novembro de O anexo I foi remodelado, de forma a demonstrar o nível de execução das estratégias de TI (ETI). 1 Utiliza-se a denominação Marco Referencial para designar a condição ideal de TI. Marco Referencial indica o 'rumo', o horizonte, a direção que a instituição deve seguir, no sentido da sua superação e transformação.

10

11 SUMÁRIO CAPÍTULO 1 ESTRATÉGIA GERAL DE TI NA ANEEL 1. Contexto da Missão Institucional da ANEEL Contribuição da TI ao sucesso da ANEEL Princípios de Gestão de TI e Comunicação Governança de TI Arquitetura de TI Padrões de Serviços e Processos Portfólio de Aplicações de TI Infraestrutura de TI Gestão Financeira Estrutura Organizacional Gerenciamento de Riscos Plano Operacional Fatores Críticos de Sucesso CAPÍTULO 2 DETALHAMENTO DO PLANO DIRETOR 1. Infraestrutura e Gestão da Informação Soluções Corporativas e Desenvolvimento Acervo Técnico e Gestão de Documentos ANEXOS 1. Detalhamento das Estratégias de TI Inventário de Ativos Finanças e Orçamentos Metodologia Aplicada GLOSSÁRIO E LISTA DE SIGLAS E ABREVIATURAS

12

13 CAPÍTULO 1 Estratégia Geral de TI na ANEEL

14

15 1. CONTEXTO DA MISSÃO INSTITUCIONAL DA ANEEL Proporcionar condições favoráveis para que o mercado de energia elétrica se desenvolva com equilíbrio entre os agentes e em benefício da sociedade. O espaço institucional da ANEEL é, por definição, complexo e abrangente. A ANEEL é responsável pela manutenção de regras claras e estáveis, indispensáveis à criação de um ambiente propício a investimentos de longo prazo no setor de energia. Assim, a atuação da ANEEL é condicionada por diversos aspectos: A regulação do setor elétrico tem impacto imediato no desenvolvimento econômico do país. A ANEEL desempenha papel primordial no estímulo a investimentos no setor elétrico, na prevenção de crises de abastecimento de energia elétrica e na redução dos custos de infraestrutura e de insumos ao setor produtivo o chamado custo Brasil ; O setor de energia não apenas tem participação expressiva no PIB, como condiciona severamente o desempenho dos demais setores produtivos; A escala da maior parte dos empreendimentos do setor elétrico requer o aporte de recursos financeiros em volumes extremamente elevados; As decisões no mercado de energia elétrica exigem planejamento de longo prazo, pois os investimentos necessários à geração, distribuição e comercialização de energia são direcionados a projetos que, em regra, demoram anos até sua conclusão e início de operação comercial; A efetividade da regulação depende fortemente da robustez técnica da ANEEL na definição de valores de tarifas, de forma a assegurar o equilíbrio entre remuneração do investimento e capacidade de pagamento dos consumidores. Além da complexidade inerente ao assunto, as decisões da ANEEL estão permanentemente expostas ao risco de situações de elevado custo político e ao risco de contencioso judicial; A regulação do setor elétrico tem impacto imediato na sustentabilidade ambiental e social da matriz energética; A atuação da ANEEL tem forte impacto social, uma vez que a fiscalização do cumprimento do marco normativo sustenta a política de acesso à energia elétrica pelo segmento da população de baixa renda; A ANEEL gera insumos para formulação de políticas públicas e planejamento governamental intersetorial, a exemplo da formulação das políticas industrial, de meio ambiente, de redução da pobreza e inclusão social; A ANEEL é depositária de dados e informações sensíveis e está obrigada a zelar pelo seu sigilo e integridade. Qualquer acesso indevido a tais informações expõe a Agência a riscos inaceitáveis - tanto de contencioso judicial, como de desgaste de sua imagem institucional. 3

16 4

17 2. CONTRIBUIÇÃO DA TI AO SUCESSO DA ANEEL Para que a regulação do setor elétrico cumpra seus objetivos, é indispensável captar a dinâmica e os diversos interesses do setor, frequentemente conflitantes, e refletir adequadamente a complexidade desta disputa. Por um lado, a informação é insumo para o processo decisório do órgão regulador e para a definição do marco normativo do setor elétrico. Por outro, quando organizada e disponibilizada pela ANEEL, a informação torna-se produto com elevado valor agregado para a tomada de decisão pelos diversos atores impactados pela regulação, desde formuladores de políticas públicas até investidores, produtores, distribuidores e consumidores finais de energia elétrica. A despeito da evolução da tecnologia e dos avanços organizacionais conquistados pela ANEEL desde sua criação em dezembro de 1996, foram detectados processos de trabalho da Agência severamente afetados pela falta, atraso ou imprecisão de informações, nas Oficinas de Trabalho TCU/FGV em , em especial: a fiscalização dos serviços de distribuição (avaliação física dos ativos); a regulação dos serviços de geração (acompanhamento do ONS); e a regulação tarifária (coleta e análise de informações de regulação econômica). Ainda de acordo com o trabalho do TCU/FGV, a precariedade do tratamento da informação na ANEEL prejudica de forma inequívoca a capacidade de o órgão cumprir sua missão institucional no que diz respeito à modicidade tarifária, pois este objeto de controle sofre mais de 73% do impacto global (probabilidade x materialidade x relevância) dos eventos relacionados à falta, atraso ou imprecisão das informações. A dificuldade no processamento de informações relacionadas à modicidade tarifária afeta, no mínimo, nove superintendências. O trabalho do TCU/FGV destacou também a dificuldade da ANEEL no tratamento do objeto de controle de qualidade, uma vez que este controle é afetado por mais de 15% do impacto global dos eventos relacionados à precariedade das informações. Entre as dificuldades na gestão da informação, as superintendências destacaram: Recebimento de informações e dados falhos, inadequados, pouco acurados, com omissões ou atraso; Problemas na qualidade da análise dos dados devido à falta de instrumentos automatizados; Ausência de mecanismos para coleta de dados; Ausência ou insuficiência de dados para análise; Erro de cálculo em decorrência de procedimentos não automatizados. Entretanto, está na governabilidade da ANEEL automatizar a captação e o tratamento de informações para mitigar a maior parte deste impacto, o que exige redesenho de processos para uso de workflow, definição de indicadores e metodologias na identificação de não-conformidades, definição de mecanismos de validação de dados captados e reestruturação das bases de dados corporativas, para viabilizar o uso de soluções de tecnologia para inteligência de negócio. 2 V. 5

18 6

19 3. PRINCÍPIOS DE GESTÃO DE TECNOLOGIAS DE INFORMAÇÃO E COMUNICAÇÃO A tecnologia de informação e comunicação atualmente disponível para uso corporativo permite coletar e processar dados em volumes praticamente ilimitados e gerar relatórios em tempo real. Entretanto, o que diferencia as organizações é a capacidade de identificar quais os dados necessários para gerar informação relevante para a tomada de decisão e processá-los de maneira a obter o conhecimento necessário ao cumprimento de sua missão institucional. Neste sentido, a gestão de tecnologia de informação e comunicação será pautada pelos seguintes princípios. Assegurar a confiabilidade da informação coletada, processada ou publicada pela ANEEL; Assegurar a integridade e o sigilo de informações sensíveis; Buscar a redução de custos operacionais para a ANEEL e para o agente regulado nos aspectos relacionados à gestão de TI; Aumentar a agilidade na tomada de decisão pela ANEEL, com a automação de processos de trabalho; Favorecer a redução do risco de contencioso. Tais princípios requerem: Interoperabilidade dos sistemas corporativos da ANEEL com os demais órgãos governamentais afetos ao setor de energia; Automação no recebimento e validação de dados junto aos agentes regulados; Registro cronológico do relacionamento com os agentes regulados, de maneira a gerar prontuários eletrônicos 3 ; Uso intensivo de ferramentas de inteligência de negócio; Uso intensivo de geoprocessamento; Aplicação das melhores práticas de gestão comumente aceitas (ex. ITIL), com o sentido de assegurar padrões de melhoria contínua de qualidade, ou no mínimo, nunca inferiores à condição atual. 3 Atualmente disponível pelo Sistema de Acompanhamento do Relacionamento Institucional (SARI) 7

20 8

21 4. GOVERNANÇA DE TI A ANEEL deverá preservar o modelo de gestão de TI aprovado pela Diretoria Colegiada em dezembro de 2007, cujas bases encontram-se abaixo mencionadas: Uma área formalmente responsável por propor a agenda de Tecnologia da ANEEL, composta de: i. Plano Diretor de Tecnologia da Informação PDTI, que estabelece as diretrizes para a Gestão de TI; ii. iii. Plano Operacional (anual), que detalha os projetos a serem implementados para o atendimento daquelas diretrizes 4 ; Plano de Investimentos (anual), que aponta os custos da implantação do Plano Operacional 5 ; Um colegiado com respaldo institucional para aprovar a Agenda de Tecnologia e para avaliar formalmente o desempenho das áreas envolvidas no cumprimento da agenda aprovada; Uma área formalmente responsável por executar as determinações do colegiado e cumprir a Agenda de Tecnologia por ele aprovada; Gestores de sistemas corporativos, formalmente responsabilizados para esta missão. Em síntese, a ANEEL deverá buscar permanentemente a contratualização interna da gestão de Tecnologia da Informação, o que requer não apenas a clara definição dos projetos, mas também a formalização dos compromissos de cada um dos envolvidos na sua execução, sejam estes responsáveis pela área de tecnologia, de logística, de recursos humanos, de orçamento e finanças ou, mesmo, por uma área finalística quando gestora de um sistema corporativo. O compromisso formal em torno de projetos, quando associado a um rito também formal de avaliação periódica, resulta na visibilidade do desempenho de todas as áreas envolvidas e permite antecipar a detecção de dificuldades e de riscos na execução da Agenda de Tecnologia. Este modelo está alinhado ao marco normativo do SISP Sistema de Administração dos Recursos de Informação e Informática, especialmente à Instrução Normativa n 04, da SLTI / Ministério do Planejamento, Orçamento e Gestão, qde 12 de novembro de 2010, que estabelece a orientação de as contratações serem precedidas de planejamento, elaborado em harmonia com o PDTI, alinhado ao planejamento estratégico do órgão ou entidade. 4 Vide Anexo 1. 5 Consubstanciado pela Previsão Orçamentária detalhada constante do Anexo 3 deste documento. 9

22 10

23 5. ARQUITETURA DE TI Em termos gerais, o atendimento da demanda por serviços de Tecnologia da Informação da ANEEL será suprido por meio do emprego de recursos humanos especializados e de acervo de ativos físicos em níveis de quantidade, qualidade e confiabilidade compatíveis ao cumprimento da missão institucional da Agência, para o presente e o futuro. A suficiência da infraestrutura tecnológica de TI estará garantida pelo acervo de equipamentos e dispositivos mantidos em condições de alta segurança (ex. sala-cofre), com renovação tecnológica constante e suporte de serviços especializados. Equipes de profissionais especializados estarão a cargo das responsabilidades relativas à gestão da Rede Lógica, Banco de Dados, Aplicações Web, Segurança da Informação, Geoprocessamento e Service Desk, de forma a assegurar os princípios de alta disponibilidade, rigor técnico, processo corporativo, equipe altamente capacitada, agilidade operacional e retenção de conhecimento especializado inerentes às necessidades da Agência. No tocante ao desenvolvimento e manutenção das aplicações, a gestão dos serviços será assegurada por equipes internas especializadas em administração dos projetos, aplicação de novas tecnologias, sustentação dos serviços gerais, geoprocessamento e legados existentes. O desenvolvimento de novas aplicações será realizado por equipes de desenvolvimento externo (Fábrica de Software) e os procedimentos e mecanismos de desenvolvimento serão regulados por meio da aplicação de padrões de gerenciamento internos adotados pela Superintendência de Gestão Técnica de Informação SGI da ANEEL. Equipes especializadas na gestão documental e execução das funções de preservação e suporte aos acervos informacionais se incorporam também à SGI, como o Centro de Documentação e a Gestão de Documentos de Arquivos, dentro do escopo da gestão de TI. Informações complementares encontram-se relacionadas no tópico 8 deste capítulo Infraestrutura de TI. O detalhamento de todo o material descritivo técnico referente ao Marco Referencial sobre arquitetura de ativos e serviços encontra-se no Capítulo 2 deste Plano Diretor (versão completa). 11

24 12

25 6. PADRÕES DE SERVIÇOS E PROCESSOS Para que os serviços de TI da ANEEL sejam prestados de forma ágil, eficiente e com níveis elevados de qualidade, integridade e confiabilidade, serão adotados os seguintes padrões referenciais: Para efetividade técnica-operacional da infraestrutura, a aplicação dos princípios da alta disponibilidade, rigor técnico, processo corporativo, equipe altamente capacitada, agilidade operacional e retenção de conhecimento especializado 6 ; Para busca da melhoria dos processos e boas práticas de governança na infraestrutura, operação e manutenção de serviços de TI, a aplicação dos princípios constantes da biblioteca de boas práticas do ITIL 7 ; Para alcance dos objetivos de desenvolvimento, a aplicação de técnicas e princípios de gestão universalmente aceitos (ITIL e PMBoK 8 ), padrões unificados de modelagem e metodologia de desenvolvimento e métricas para constatação de evidências de execução e melhoria contínua da qualidade dos serviços de TI; Para fortalecimento da capacidade de ação do usuário e atendimento de sua demanda específica, a promoção e disseminação de tecnologias inovadoras; Para assegurar o bom funcionamento e manutenção evolutiva dos sistemas em uso, a aplicação de esforços necessários e suficientes para sustentação do legado existente; Para alcance da melhor solução possível no processo de atendimento de uma demanda, a busca por soluções estruturantes e de inteligência de negócio. 6 V. detalhes no Capítulo 2 Detalhamento, tópico Sigla da Information Technology Infrastructure Library, conjunto de boas práticas que buscam promover a gestão com foco no cliente e na qualidade dos serviços de TI de forma a alcançar o alinhamento estratégico com os negócios da corporação. 8 Sigla do Project Management Body ok Knowledge, conjunto de práticas em gerenciamento de projetos. 13

26 14

27 7. PORTFÓLIO DE APLICAÇÕES DE TI O portfólio de aplicações de TI da ANEEL está abaixo sumarizado: 7.1 Sistemas ativos em funcionamento Áreas Sigla do Sistema * Total Uso Corporativo Geral SICNET, Duto, Dutonet, GU, WebServices, Colaboração EGP e Desenvolvimento (Team Foundation), S3A 7 Fiscalização: SFF, SFE, SFG TAXA V2/V3, SISGECONT, INDQUAL, SIGEFIS, BMP, Inadimplentes, CFSEE 7 Regulação: SPE, SRE, SEM, COMVEN, DMR, SIPA Participação, P&D, PEE, BXR, Universal, SCS, SAMP SRC, SRT, SRG, SRD (Extranet e Intranet), SIGET, CTR, Cálculo Taxa, Citenel 14 Autorização e Concessão: SGH, BIG, SIGEPH, Geração, Res 396, Comp.Financeira, Processos SCG, SCG, SCT Paracemp, CRGE, SAT, UND, HIDRO, CAC 12 Mediação: SMA SGO, Call Center 2 Administrativas: AIN, SRI, SRG, SIGAIN, SIGEC, Almoxarifado, Sisplan, Catraca, SigAneel, SICOR, SLC, PontoNet, SisRH, Dicom, Talentos, SIAL, Convênios, SARI, GESPRO, Boleto, 18 SLC, SAF, SGI, SPG, SGE, SRH Atesto de Contas Telefônicas Total de Sistemas Ativos: 60 * v. Glossário 7.2 Aplicações de Geoprocessamento existentes Áreas Descrição da Aplicação Total Uso Corporativo Geral / Uso Externo SCG/Prefeituras/Estados/ União SCG/Prefeituras/Estados/ União Uso Corporativo Geral / Uso Externo Diretoria / MME / Uso Corporativo / Uso Externo Uso Corporativo / Fiscalização / Uso Externo Geral SCG / AIN / Áreas de Fiscalização SIGEL - Sist. Informações Georeferenciadas do Setor Elétrico em ambiente Web 1 Análises cartográficas de reservatórios das UHEs (Usinas Hidrelétricas de Energia), para fins de compensação financeira a 1 entes da federação pela geração de energia Análises de documentação cartográfica dos processos de declaração de utilidade pública (DUP) para fins de 1 desapropriação de áreas e implantação de novos empreencimentos do setor elétrico, evitando erros de Outras aplicações para atendimento das mais diversas finalidades (Ex: produção de sedimentos x vida útil de reservatórios e capacidade de geração, regionalização da qualidade, confronto regional de tarifas x níveis de renda, etc. Webservice em Padrão WFS para Consumo do Sistema SIGEL e Outros => implantação de recurso de transmissão automática de informações de fontes externas para atualização dos dados georreferenciados nos sistemas disponibilizados pela ANEEL Sistema de divulgação do acervo de imagens via Web => ferramenta para disponibilização ao público do acervo de imagens de satélites e cartas topográficas integrantes do BD georeferenciado do Setor Elétrico, de interesse para fins de planejamento e gestão de empreendimentos no setor elétrico. Mapeamento das Concessões => para visualização do acervo existente, indicadores, razoabilidade dos leilões e tom.decisões s/planejam.novas redes div Total de Aplicações: <

28 7.3 Novos Projetos Sistêmicos Itens em desenvolvimento e/ou constantes do Portal Sharepoint em 30/11/2012: Área solic. Diretoria SPE SGE SPE SFF SCR Corpo -rativo Novo Projeto [N] / Evolução Adaptativa [E] Sistema APDIR Acompanhamento de Processos da Diretoria 11 Classificação de Prioridade Objetivo Benefícios a serem gerados Revisada 9 Anterior 10 N 110 SGP&D Sistema de Gestão de Pesquisa e N alta 12 Desenvolvimento 9 SICOR - Sistema de Controle de Reuniões N 110 da Diretoria 9 SGPEE Sistema de Gestão de Programa de Eficiência N alta10 Energética 9 CVA Cálculo das Variações dos itens N 110 da Parcela A 9 SARI Sistema de Acompanhamento do Relacionamento E 110 Instituconal 9 CASE - Cadastro de Agentes do Setor Elétrico Controlar, por Diretorrelator e por assessor, os assuntos submetidos às Reuniões da Diretoria Controlar os investimentos em Projetos de Pesquisa e Desenvolvimento feitos pelos agentes regulados, mediante aprovação da ANEEL. Controlar e automatizar a geração de documentos do processo de realização das Reuniões da Diretoria. Controlar os investimentos em Projetos do Programa de Eficiência Energética feitos pelos agentes regulados, mediante aprovação da ANEEL. Sistema para aferição das variações de custos não gerenciados pelos concessionários (parcela A) para apoio ao processo de reajustes tarifários Criar novo banco de dados, aumentar flexibilidade, melhorar classificação e eliminar precariedade do sistema atual de cadastro de agentes institucionais. N 110 dos agentes do setor Estruturação do Registro elétrico Acompanhamento, follow-up e levantamento estatístico dos assuntos submetidos às Reuniões da Diretoria. Deve estar integrado ao sistema SICOR. Controle do Andamento dos Projetos de P&D, para monitorar se os investimentos estão sendo aplicados conforme aprovados. Melhoria de Controles e da automação da geração de documentos das Reuniões da Diretoria, desde o sorteio dos processos a Diretor-relator até à elaboração da Ata da Reunião. Controle do Andamento dos Projetos de Eficiência Energética, para monitorar se os investimentos estão sendo aplicados conforme aprovados. Melhoria operacional, redução de carga de trabalho e eliminação de erros de cálculos por meio de automação de processos. Melhoria do controle do cadastro de agentes institucionais e da utilização por outros sistemas / outras áreas da Agência. Melhoria do controle do cadastro de agentes (concessionários, permissionários, autorizatários e registrados), em especial no que se refere às composições societárias e aos relacionamentos comerciais em cada empreendimento. 9 Pontuações de prioridade definidas em nova classificação, com base na Nota Técnica SGI-176/ Classificação de prioridade elaborada com base na edição original do Modelo de Desenvolvimento de Sistemas MDS. 11 Sistemas em desenvolvimento pela Fábrica de Software PD Case Posição de 15/10/ Desenvolvimento classificado como alta prioridade pela Comissão de Gestão da Informação CGI. 16

29 SFG/ SCG SAG Sistema de Acompanhamento da Geração (BIG- Banco de Informações da Geração) N 110 (N) Sistema de gerenciamento para fins de outorga de gerações e acompanhamento de empreendi-mentos em obras. (E) Evoluir o sistema para consulta Web on-line em novas bases. Redução da carga trabalho da SCG/SFG, aumento do retorno de respostas, compatibilidade ao Sist. Cadastro Outorgas / Obras Geração, e melhoria da confiabilidade da informação (Obs: o SAG deverá englobar o Sistema de Outorga, o módulo de acompanhamento de obras de empreendimentos de geração e o BIG, mantendo este último como o nome institucional do sistema). SAF/ SFF Corpo -rativo SRT/ SFE/ SCT/ SRE SMA SCR SAF SPG SIRE Sistema de Ressarcimento do ICMS SICNet 2 nova versão do Sistema Integrado de Gestão de Protocolos e Documentos SIGET - 2 E 75 SGO Sistema de Gestão de Ouvidoria (2ª versão) SIAD Sistema de Acompanhamento da Descentralização SIGEC 2 Sistema de Gerenciamento de Créditos SIGANEEL Sistema de Informações Gerenciais da ANEEL N alta 13 N 110 N 75 N 70 E 70 E 68 Automação do recebimento, processamento e cálculo da arrecadação do ICMS por estado e gestão financeira correlata. Reformulação do sistema de gestão eletrônica de documentos (GED) em nova plataforma com introdução de várias novas funcionalidades. Módulo de Acompanhamento de empreendimentos de transmissão para uso de diversas Superintendências Controle e Gerenciamento dos procedimentos para avaliação, auditoria e intermediação das reclamações, denúncias e solicitações de infirmações por parte de consumidores. Suporte às ações de descentralização das atividades da ANEEL para a esfera pública estadual, de forma a permitir acompanhamento diário e mais efetivo das atividades envolvidas no processo. Melhoria do sistema de gestão dos créditos da ANEEL, em especial daqueles oriundos da aplicação de multas pelas áreas de Fiscalização (integração ao SIGEFIS). Ampliar os recursos do sistema implantado Facilidade de acesso e coleta de informações, maior rapidez e automação de cálculos para múltiplas finalidades. Melhoria de processos de trabalho, redução de atividades duplicadas (cópia e escaneamento), uso de assinatura digital e acesso externo a documentos de processos. Troca de Informações com O N S e MME, Banco de Preços de Referência ANEEL, Leilão de Transmissão e Publicação de dados de transmissão na internet. Permitir o registro das solicitações de informações, reclamações e denúncias de consumidores, de forma a controlar e melhorar a intermediação entre usuários e concessionários. Possibilitar um controle efetivo do processo de descentralização da ANEEL, com inputs automáticos, menor complexidade, eliminação de atrasos e maior eficácia no controle das prestações de contas das agências estaduais. Ampliar funcionalidades e links, permitindo maior automação e facilidade de reconciliação das informações de créditos da ANEEL. Novas funcionalidades para Planejamento e emissão de Relatórios 13 Desenvolvimento classificado como alta prioridade pela Comissão de Gestão da Informação CGI. 17

30 Área solic. Novo Projeto [N] / Evolução Adaptativa [E] Sistema Classificação de Prioridade Revisada Anterior Objetivo Benefícios a serem gerados AIN SEM SFE SFE, SFF, SFG SRC SCG SFE SMA SFF SRD SIGAIN Sistema de Controle de Processos de Auditoria COMVEN Sistema de Contratos de Compra e Venda de Energia Elétrica SAABI Sistema de Amostragem e Acompanhamento do Bônus de Itaipu SIGEFIS Sistema de Gestão da Fiscalização SICRAM Sistema de Controle de Resultados de Atendimento dos Call Centers da Distribuidoras CFURH Sistema de Cálculo dos coeficientes de distribuição de comp. Financeira e dos royalties de Itaipu FISCONT Sistema de Fiscalização dos Indicadores de Continuidade SISCON Sistema de Controle das Atividades dos Conselhos e Consumidores CISE - Cadastro de Inadimplientes do Setor Elétrico SCPC Sistema de Controle de Cointinuidade dos Pontos de Conexão entre Transmissoras e Distribuidoras e entre Distribuidoras E 67 E 60 N 60 E 58 N 55 N 53 N 53 N 53 E 50 N 48 Desenvolver uma 2ª versão do sistema existente, com novas funcionalidades. Evolução do Sistema Existente, para subsidiar a elaboração de processo administrativo de Registro dos Contratos Calcular o repasse do saldo positivo da conta de comercialização de energia elétrica de Itaipu aos consumidores residenciais e rurais, na forma de bônus. Implantar novas funcionalidades no sistema Relatório analítico sobre desempenho das Centrais de teleatendimento das empresas distribuidoras de energia elétrica. Cálculo dos coeficientes de distribuição da compensação financeira e dos royalties de Itaipu. Cálculo dos indicadores de qualidade das distribuidoras (DEC/FEC) e a compensação devida ao consumidor, pela transgressão dos limites. Sistema de controle com inserção de dados Registro de inadimplência com utilização de tecnologia digital. Armazenar em cadastro específico os pontos de conexão, os dados das interrupções e realizar a gestão dos dados financeiros das compensações relativas à conti- Maior flexibilidade para anexação de documentos, filtrar documentos conforme tarefas, inclusão de comentários, entre outros. Melhoria de automação e integridade, via integração com a base de dados corporativa e ajustes da atual interface. Maior controle nos procedimentos da concessionária e maior confiabilidade nos processos. Maior capacidade de obtenção de informações, maior interação com os processos e mitigação dos riscos de perdas de prazos em processos de fiscalização. Permitir fiscalização do atendimento e acompanhamento da melhoria de qualidade das distribuidoras em benefício ao público. Aumento da automação e melhoria dos processos. Comparação dos cálculos feitos pelos Agentes e pela ANEEL, com extração de amostras para verificações em campo. Incremento da automação e melhoria dos processos, com ênfase na emissão de relatórios consolidados. Maior agilidade e confiabilidade na prestação de serviços da ANEEL, com emissão de certificado de adimplência on-line. Incremento da automação e melhoria dos processos. 18

31 SRG SRD SRC SCG ANAGER Sistema de apoio à Analise de Desempenho de UHEs não despachadas centralizadamente PDD- Plano de Desenvolvimento da Distribuição SCAP Sistema de Contribuições em Audiência Pública Sistema Concessões de Geração N 48 N 48 N 45 N 39 SCG Aplicativo A3P N 38 SFE Aplicativo SISGOP N 31 SCR Boletim Informações Gerenciais 14 N - nuidade dos pontos de conexão entre T-D e D-D. Sistema destinado à análise do desempenho de usinas hidrelétricas não despachadas centralizadamente com base na geração verificada. Programa para cadastro e envio das informações referentes ao Plano de Desenvolvimento da Distribuição (PDD) das distribuidoras (concessionárias e permissionárias). Aplicativo em ambiente Web para recebimento de contribuições por escrito em consultas e audiências públicas documentadas Sistema para gerenciamento das concessões de geração de energia elétrica Aplicativo para smartphone com as informações da cadeia societária das empresas geradoras Criação de um Banco de Dados com informações das ocorrências na Rede Básica do Sistema Interligado Nacional. Divulgação à sociedade dos principais indicadores quantitativos atualizados do Setor Elétrico de forma objetiva e gerencial. Incremento da automação e melhoria dos processos. Incremento da automação e melhoria dos processos. Incremento da automação e melhoria dos processos. Incremento de automação e melhoria dos processos, por meio de controles e gerenciamento de prazos, prorrogações, garantias de cumprimento, entre outros. Facilidade de acesso a informações de forma remota e on-line, com múltiplos benefícios. Informações para fins de acompanhamento do desempenho, geração de relatórios, tipos de ocorrências, entre outros, para uso da equipe de fiscalização. Possibilitar localização imediata a uma grande quantidade de informações, sem esforço e dar opção ao usuário para obter detalhes, por meio de links nos próprios formatos. Projetos em desenvolvimento pela área de Sustentação em 30/11/2012: SEL SCG SPE Sistema de Aporte de Garantia - SIAG Sistema de Utilização de Bem Público - UBP Sistema para suporte a eventos da SPE N N N Apoio aos processos de leilões de compra de energia elétrica. Controle das finalidades de uso de Bens Públicos, perante as atividades de outorga e concessões. Sistema para controle e cadastro das empresas participantes dos projetos de pesquisa Incremento da automação e melhoria dos controles. Disponibilização imediata de informações e melhoria de controles. Incremento da automação e melhoria dos processos / controles internos. 14 Aplicativo já em funcionamento desde março/2012, embora ainda não esteja 100% concluído. 19

32 7.4 Novas Aplicações de Geoprocessamento identificadas Áreas Descrição da Aplicação Total Uso Corporativo / Uso Externo Uso Corporativo / MME / Estados / Uso Externo Geral Uso Corporativo / MME / Agentes Diretoria / MME / Uso Externo SRD / SRE / Uso Externo / Distribuidoras SCG / AIN / Áreas de Fiscalização SGH / Áreas de Fiscalização / Concessionárias SRF / Áreas de Fiscalização / Concessionárias SMA/Ouvidoria / Uso Corporativo Implantação do processo de espacialização seletiva de dados e informações do SAD/SAS => incorporação de dados georreferenciados nas bases das ferramentas de Inteligência de Negócios (BI) Programa Luz para Todos: mapeamento, acompanhamento, representação geográfica e divulgação de áreas atendidas e ainda não atendidas => para maior transparência e conhecim. nas ações ligadas à justiça social junto ao setor elétrico. Linhas de Transmissão do SIN: mapeamento, acompanhamento, representação geográfica e divulgação do traçado real torre a torre => para fortalecimento e implantação de políticas públicas e direcionam.investimentos, com cruzamentos com outros mapas temáticos - escolas, povoados sem energia, IDH-M, etc. Suporte ao Programa de Tarifa subsidiada => para identificação do perfil sócio-econômico e cultural das populações subsidiadas e a razoabilidade da aplicação de justiça social. Mapeamento dos Conjuntos Elétricos e Índices DEC / FEC => para subsídios à definição dos indicadores de tendência, qualidade, problemas e decisões sobre investimentos e programas de melhoria. Mapeamento e monitoramento das ocupações ilícitas em torno dos reservatórios das UHE => reforçar o monitoramento e poder de polícia da Agência, no tocante à verificação física de ocupações irregulares e abusos, no âmbito do patrimônio da União). Mapeamento das bacias hidrográficas com maior potencial para implantação das PCHs ou CGHs => para suporte à agenda estratégica de prioridades de investimentos em projetos de geração. Georeferenciamento das perdas não técnicas => para detecção de furtos, "gatos", etc, culminando na exigência da ANEEL na tomada de providências, evitando que os bons consumidores sejam penalizados por essas perdas, no preço das tarifas. Controle Geográfico de Reclamações => para viabilizar ação coordenada com foco em qualidade de serviços, com base em informações estatístico-geográficas de reclamações, vinculando-se à procedência e às concessionárias associadas SRD / Uso Corporativo Geral PRODIST => Módulo com funções de geoprocessamento a ser incorporado no sistema de controle contábil dos ativos do setor 1 elétrico Total de Aplicações: 10 20

33 8. INFRAESTRUTURA DE TI O acervo de equipamentos e dispositivos de infraestrutura de rede da ANEEL encontra-se instalado em data center com sala-cofre de alta segurança e proteção, com climatização de precisão em redundância, no-break, geradores de emergência e outros dispositivos que asseguram estabilidade de funcionamento. O complexo instalado reúne ambiente tecnológico compatível aos níveis atuais, padronização, dimensionamento e suporte dos fabricantes em condições aceitáveis. Não obstante vários aspectos positivos, o acervo requer avaliação e redimensionamento contínuo para que sua suficiência operacional seja preservada com margem de segurança. No tocante ao volume de processamento e armazenamento de informações da Agência, pode-se dizer que há um crescimento do nível de demanda muito superior ao nível de crescimento econômico do país, que pode ser constatado pelos indicadores setoriais da Agência 15. Faz-se necessário, por consequência, avaliações periódicas e investimentos para prevenção de sobrecarga e instabilidade na rede lógica. Já o regime de contingenciamento, hoje operado apenas em nível interno, qualifica-se como insatisfatório, dada a inexistência de infraestrutura redundante instalada em local distante. Várias ações de melhorias encontram-se em estudo, como a substituição do cabeamento estruturado nas diversas dependências e andares da Agência, para melhoria da organização e velocidade de comunicação. Assim, como estratégia, deve ser perseguida a garantia de continuidade do negócio, com redundância do ambiente operacional instalado fora da ANEEL e a maximização da ação preventiva, com uso de nível elevado de automação no controle e monitoramento da rede, entre outros. Para a boa continuidade das operações de TI da ANEEL e saneamento das limitações acima, faz-se necessário a execução dos níveis de investimento em hardware e software em conformidade ao orçamento anual apurado pela SGI (Plano Gerencial). No caso específico de softwares, deve ser assegurada a atualização periódica das versões dos mesmos, dentro do aplicável. Abaixo, encontra-se a posição do acervo de infraestrutura de hardware e software da ANEEL em novembro de : Infraestrutura de Rede: Servidores de Rede: 56 equipamentos - 48 HP BL460C- G6, 8 Dell Power Edge R 710; Máquinas Virtuais: 96 servidores virtualizados; Dispositivos de Armazenamento (Storage): 1 EVA 8400 (SAN), 2 Clarion CX4-120 (SAN, 2 Netapp (SAN e NAS); Dispositivos Concentradores: 26 Switch Ethernet (Enterasys: 5 C3G124-48, 2 N3, 1 N7 e 1 E7; Cisco: 8 WS-CBS3120G-S e 8 WS-CBS3120X-S; Foundry: 1 FastIron Edge X424), 9 Switch de Fibra ótica (Brocade Silkworm: 1 mod e 8 mod. HP2) e 31 Switch Ethernet de Borda (Enterasys: 26 mod. C2H124-48, 4 mod. C2H124-48P e 1 B2H124-48); Dispositivos de Segurança: 1 servidor Dell Power Edge 1850, 9 Appliance (Fortinet e outros); Protocoladoras Digitais: 2 unidades Dell Power Edge R 200; 15 Entre as principais causas desse fenômeno, tem-se o crescente número de relações institucionais com atores de dentro e de fora do setor elétrico, a elevada quantidade de projetos de empreendimentos elétricos em estudo, a interação com os mercados de energia e a crescente complexidade da atividade regulatória em si. 16 V. detalhamento no Anexo 2 Inventário de Ativos 21

34 Unidade Robotizada de Backup: Dell Power Vault (1 ML 6000); Climatizadores de Alta Precisão: 2 Liebert Challenger 3000 e 2 Diamont Vega; Sistemas Operacionais/licenças: Windows 2003/2008 R2 Server em várias edições (Standard, Enterprise, R2, etc) 90 licenças e Red Hat Linux 3 licenças. Infraestrutura Banco de Dados: Ambiente de Produção: Sistema SQL Server 2008 R2 em um cluster com quatro máquinas para os bancos de produção. Ambientes de Desenvolvimento/Homologação: Sistema SDL Server 2008 em um cluster com duas máquinas. Service Desk: Central de atendimento que opera externamente em ponto único com sistemas de gerenciamento próprio. Infraestrutura de Segurança: Acervo com diversos dispositivos e ferramentas de segurança (antivírus, antispyware, antispam, antimalware, firewall VPN, etc), análises de risco e vulnerabilidade, filtros de conteúdo, etc. Infraestrutura Web: Softwares Cold Fusion, Microsoft SO versão 2008 e IIS versão 7.5 Infraestrutura para Geoprocessamento: Plataforma ESRI para aplicações vetoriais e ENVI para processamento digital de imagens. Infraestrutura do Acervo Técnico Informacional: Softwares em uso: Sistema Thesaurus de Automação de Bibliotecas (versão 6.0.5) hoje em processo de susbtituição, Next Page On-Line (versão 4) e Lightbase/Goldendoc. Infraestrutura da Gestão de Documentos de Arquivo: Sistema de Gestão Eletrônica de Documentos (GED) denominado SICnet, sendo que um novo sistema (SICNet 2), com plataforma tecnológica mais moderna encontra-se em fase final de homologação. 22

35 9. GESTÃO FINANCEIRA A gestão financeira dos serviços de TI da ANEEL envolve três pontos relevantes: (i.) o do orçamento, onde são abordados aspectos pertinentes à forma como os recursos financeiros serão obtidos e administrados para permitir a efetivação das ações de TI; (ii.) o da contabilidade, em que se discute o tratamento ideal para os custos de TI e (iii.) o da gestão de contratos relativos a serviços de TI. Para o primeiro ponto, o do orçamento, o fato primordial a destacar é que a ANEEL, necessita de mecanismos internos muito ágeis e eficazes, para elaboração de um orçamento coerente e compatível com as áreas demandantes de TI, em prazos muito exíguos na fase final de consolidação da proposta da LOA, com intensa e frequente troca de informações entre a Agência e a Subsecretaria de Planejamento, Orçamento e Administração SPOA do MME, em face das constantes alterações, que são intrínsecas à dinâmica do processo de elaboração do Orçamento da União. Na fase posterior, da execução orçamentária, a agilidade também é um aspecto essencial no sentido de assegurar um controle e acompanhamento ostensivo dos gastos e disponibilização, ante diferentes cenários de contingenciamento, remanejamentos de verbas de TI e outros eventos. Assim, o quesito agilidade deve ser suprido por: Profundo envolvimento e responsabilidade dos gestores do processo, no sentido de prover um bom embasamento das prioridades, projeções, justificativas de gastos e também uma boa interlocução com a alta direção, com a demonstração das consequências para a Agência em caso de impossibilidade de efetivação dos gastos de TI; Apoio da Comissão de Gestão da Informação CGI, no tocante às definições e aprovação de projetos de TI; Processos internos adequados e coordenados; Disponibilização de sistema integrado próprio, para atendimento das necessidades da Agência, em complemento aos sistemas SIAPE e SIAFI da União 17 ; Controle de toda a gestão orçamentária de TI por servidores efetivos destacados para esta função dentro da SGI e de forma a propiciar um compartilhamento e suporte destas atividades com a fase de planejamento de contratações, no âmbito do processo licitatório. Quanto à contabilização dos gastos de TI, o Marco Referencial para a ANEEL é o de perseguir a abertura de gastos por natureza, apropriação e formação, para apuração de todo o dinheiro gasto, com identificação de custos por cliente, serviço e atividade. Trata-se do tratamento de TI como um centro de custo, de forma a permitir a determinação de base de valor (referências: custo/hora, licença por equipamento, ponto de função, hora/máquina e outros) acompanhada dos valores de referência unitários correspondentes contidos em registros contábeis e documentação comprobatória disponível (nota fiscal, lançamento, ordem de serviço e outros), de forma a compor uma base justa, confiável e transparente de apropriação de custos para cada superintendência e área demandante de serviços de TI. Este conceito se encontra alinhado aos princípios do COBIT e da biblioteca ITIL de boas práticas de gestão. 17 Atualmente, a ANEEL utiliza um sistema próprio (SIGANEEL), desenvolvido pela SGI, que oferece apoio para a administração deste processo e atendimento a particularidades de detalhamento, composição de custos e abertura de contas e subcontas em diferentes níveis de classificação de Custeio e Investimentos de TI. Na condição atual, o sistema requer manutenção corretiva e evolutiva para sanar uma série de limitações existentes e implantar novas funcionalidades em face de alterações no SIAFI. 23

36 No tocante à gestão de contratos, o Marco Referencial é o da ação pró-ativa e do pleno alinhamento às diretrizes da Secretaria de Logística e Tecnologia da Informação SLTI do Ministério do Planejamento MPOG, tanto na fase de planejamento do processo licitatório, para redução do nível de incerteza existente no tocante à obtenção da solução desejada, como também na fase de execução dos contratos em vigor, onde o esforço a ser despendido deve ter por foco a busca da melhoria contínua, por meio do uso de instrumentos adequados de avaliação de desempenho e mitigação dos riscos envolvidos. Entre os tópicos essenciais a serem cobertos, tem-se a forma como deverão ser asseguradas, contratualmente, as devidas condições de segurança, níveis de qualidade de serviços, transferência de conhecimento, transição contratual e continuidade dos serviços, por ocasião da substituição dos contratos relativos a serviços técnicos especializados. 24

37 10. ESTRUTURA ORGANIZACIONAL O diagrama de estrutura organizacional da Superintendência de Gestão Técnica da Informação SGI, planejada básico para assegurar o funcionamento adequado de TI na ANEEL é apresentado na figura a seguir. Nas condições atuais, a estrutura de funcionamento da Superintendência de Gestão Técnica da Informação SGI assemelha-se à da Figura 1. Superintendente Assessoria Comitês Infraestrutura Gestão da Informação Soluções Corporativas e Desenvolvimento Documentos, Arquivos e Acervo Operação e Manutenção Datacenter Rede Segurança da Informação (SegInfo) Administração de Dados (AD) Banco de Dados Inteligência de Negócios (BI) Informações Gerenciais Escritório de Gerenciamento de Projetos (EGP) Fábrica de Software Projetos Especiais Sustentação Geoprocessamento (Geo) Intranet e Internet (Web) Apoio ao Usuário Service Desk 1º e 2º níveis Service Desk 3º nível Gestão de Ativos Centro de Documentação (CEDOC) Gestão de Atos e Legislação Desenvolvimento de Acervo Gestão de Acervo Pesquisa e Atendimento Gestão de Documentos e Arquivos (GEDOC) Arquivos Documentos Eletrônicos Apoio Administrativo Planejamento Orçamento Apoio a Contrações e Aquisições Apoio à Gestão de Contratos Fig. 1. Diagrama da estrutura organizacional A SGI está estruturada em cinco coordenações: Infraestrutura; Gestão da Informação; Soluções Corporativas e Desenvolvimento; Documentos, Arquivos e Acervo; e Apoio Administrativo. Estas, por sua vez, abrangem equipes, contratos e processos específicos de TI relacionados às suas áreas de competência. Além de buscar racionalidade técnico-administrativa nos processos e efetividade no alcance dos resultados da UORG, essa estrutura visa dar transparência da operação internamente à SGI e à Agência como um todo. Em última análise, isso contribui para aproximar a Superintendência de seus Clientes em outras palavras, alinhar a TI com as áreas de negócio da Agência. Daí o porquê de designações como soluções corporativas, apoio ao usuário e gestão da informação, que melhoram a comunicação com os demais servidores da Agência e a compreensão de nossa operação pelos líderes das outras UORGs e pela Diretoria da ANEEL. Por outro lado, esse diagrama não deve se traduzir no engessamento da estrutura organizacional da SGI. Pelo contrário, ela deve se reestruturar sempre que necessário, em face da dinâmica da Agência, do Setor Elétrico e da Administração Pública, levando em conta as melhores práticas de governança de TI que possam ser adotadada com o que se dispõe de recursos humanos, orçamentários, técnicos, etc. Assim, as equipes, os contratos e os processos específicos de TI que se circunscrevem hoje a cada uma das coordenações podem, e devem, se reconfigurar com fluidez, inclusive trocando de coordenação ou 25

38 sendo suprimidos quando esgotada sua razão de existir, da mesma forma como novos podem ser criados, de maneira a atender à evolução das necessidades de gestão da informação e de TI dos negócios da Agência. A seguir é apresentada a descrição de cada coordenação Coordenação de Infraestrutura Compete à Infraestrutura administrar o datacenter e a rede de computadores da ANEEL, o que compreende avaliar, especificar, dimensionar e valorar recursos e serviços de comunicação de dados; viabilizar a instalação de novos serviços e aplicações no ambiente do datacenter; projetar e definir novas tecnologias, topologia e configuração de datacenter, rede de computadores e sistemas de comunicação; especificar e prestar suporte técnico e consultoria quanto à aquisição, à implantação e ao uso adequado dos recursos de datacenter e rede; analisar a utilização e o desempenho das redes de computadores e sistemas de comunicação, implementar ações de melhoria e planejar a evolução do datacenter e da rede. Os seus produtos são: infraestrutura de TI administrada; soluções de infraestrutura em operação; especificações das novas soluções de infraestrutura atendidas; e serviços de infraestrutura disponíveis. Seus resultados são mensurado pelos indicadores: percentual (diário, semanal, mensal, anual) de disponibilidade do ambiente computacional; percentual de disponibilidade por aplicação, de acordo com a criticidade de cada e, quando houver, em conformidade com o acordo de nível de serviço (ANS) estabelecido para ela. Também a Infraestrutura é responsável via equipe SegInfo prover segurança da informação computacional da ANEEL, por meio da proposição e da execução de normas e políticas relativas à segurança da informação; operar ferramentas de segurança de rede; avaliar e tratar riscos relativos à disponibilidade, integridade, confidencialidade e autenticidade de informações trafegadas nos meios computacionais sob responsabilidade da Agência. Os principais produtos desta equipe são políticas de segurança da informação; comunicados sobre ações preventivas e de conscientização; pareceres sobre a segurança do ambiente e de sistemas, e análises de risco. Os resultados da equipe são mensurado pelos indicadores: atualização da Política de Segurança da Informação na periodicidade nela estabelecidas; quantidade de ações de capacitação e/ou de conscientização dos usuários; percentual de estações monitoradas; quantidade de estações de trabalho monitoradas; percentual de servidores de rede monitorados; quantidade de servidores de rede monitorados; percentual de sistemas com requisitos de segurança analisados; percentual de certificados digitais do tipo token vigentes; percentual de usuários de sistemas seguros com certificados digitais vigentes; percentual de sistemas seguros com certificado digital vigente Coordenação de Gestão da Informação A Gestão da Informação é responsável via a equipe Administração de Dados por desenvolver e administrar estratégias, procedimentos e práticas para o processo de gestão de dados corporativos da ANEEL, incluindo a elaboração de planos para sua definição, padronização, organização, proteção e utilização. Seus principais produtos, para execução de suas atribuições, são pareceres técnicos sobre os modelos de dados; scripts de criação, alteração ou exclusão dos objetos de banco de dados referentes aos modelos de dados lógicos validados; modelos de dados lógicos e físicos validados; dicionário de dados; glossário de termos; modelo de dados corporativo; política e normas referentes à arquitetura de dados; rastreabilidade de dados e modelos. 26

39 Seu objetivo último é obter e zelar pela manutenção do Banco de Dados Corporativo (BDC) que conterá as chaves primárias (unique keys) dos dados que devem servir como referência unívoca para todas as tabela e bases de dados dos aplicativos e sistemas computacionais da ANEEL. Seus resultados são mensurados pelo percentual de aplicações que são colocados em conformidade com a arquitetura de dados; frequência de atividades de validação de objetos de dados referentes a novos sistemas de informação; frequência de atividades de validação de objetos de dados referentes às manutenções de sistemas de informação; e frequência de atividades por tipo de solicitação. Adicionalmente, a Gestão da Informação é responsável via a equipe Banco de Dados pela manutenção dos recursos do BDC da ANEEL. São produtos dessa equipe: a instalação, configuração e suporte ao Sistema de Gerenciamento de Banco de Dados Relacional (SGBDR) padrão da ANEEL; objetos de banco de dados implementados; pareceres técnicos sobre os modelos de dados físicos; relatórios de planejamento de capacidade; política de backup e recuperação de banco de dados; restauração e recuperação de banco de dados; política e normas referentes à gestão de banco de dados; controle da segurança de banco de dados; scripts de objetos de banco de dados; alterações de dados em ambiente de produção; garantia da disponibilidade dos bancos de dados, e diagnóstico e resolução de problemas. Os resultados dessa equipe são mensurados pela quantidade de atendimentos por subprocesso e/ou sistema; quantidade de atendimentos por mês; e percentual de disponibilidade do ambiente do BDC. A Gestão da Informação também é responsável via a equipe Inteligência de Negócios (BI), pela definição e administração de estratégias, procedimentos e práticas de gestão de tecnologias orientadas a disponibilizar informação e conhecimento dos dados corporativos da ANEEL. Este subprocesso compreende: administração, configuração e suporte das plataformas SAS Institute e Microsoft SQL Server; a administração de dados multidimensionais; análise e modelagem multidimensional (cubos e dimensões); disponibilização de dados; modelagem e criação de rotinas ETL (extração, transformação e carga); criação e manutenção de rotinas de atualização de dados, cubos e dimensões; criação de relatórios de BI; validação de objetos; validação de dados, e análise de qualidade de dados. Essa equipe tem seus resultados mensurados pelos indicadores: quantidade de atendimentos por mês; quantidade de atendimentos por área de negócio, e percentual de disponibilidade do ambiente de BI. Também é de responsabilidade da Gestão da Informação materializada por meio do Boletim de Informações Gerenciais a divulgação à sociedade dos principais indicadores quantitativos atualizados do Setor Elétrico de forma objetiva e gerencial, de modo a possibilitar a localização imediata a uma grande quantidade de informações, sem requerer esforço de pesquisa e, ao mesmo tempo, dar opção ao usuário para obter detalhes, por meio de hyperlinks no próprio documento. O Boletim de Informações Gerenciais é publicado trimestralmente, sendo alimentado pelas diferentes UORGs da ANEEL produtoras dos conteúdos, sob coordenação da SCR e da SGI Coordenação de Soluções Corporativas e Desenvolvimento Cabe às equipes de Soluções Corporativas e Desenvolvimento, mediante processos formais e preferencialmente por meio do estabelecimento de projetos específicos, geridos sob o conceito de Escritório de Gerenciamento de Projetos (EGP), prover soluções em gestão da informação e TI, sejam elas desenvolvidas via a Fábrica de Software ou adquiridas de prateleira para pronto uso ou customizadas, via equipes ad hoc de Projetos Especiais para atender às necessidades das UORGs (áreas demandantes), com o propósito final de aumentar a efetividade e manter continuidade dos negócios delas, bem como auxiliar 27

40 os tomadores de decisão da Agência. O desempenho da equipe, nessas atividades, é mensurado pelo percentual de projetos dentro do cronograma e orçamento. Também compete à Soluções, fazer a manutenção corretiva e evolutiva das soluções em produção na ANEEL (sistemas legados) via a equipe Sustentação, com os mesmos propósitos supracitados e, para isso, primar pela contituidade e o adequado funcionamento dos sistemas, em conformidade com o nível de criticidade de cada um. Aqui, o desempenho da equipe é mensurado pelos seguintes indicadores: número de atendimentos por mês por sistema; número de chamados na fila de espera por semana; número de chamados fechados por semana. A Coordenação de Soluções também é responsável por desenvolver, disponibilizar e manutenir os sítios eletrônicos da ANEEL na Internet e na sua Intranet via a equipe Web, zelando, em conjunto com a Superintendência de Comunicação e Relações Institucionais SCR, para que as UORGs responsáveis pela produção do conteúdo os mantenham com as informações sempre atualizadas. Mensurado pelos indicadores: quantidade mensal de manutenções corretivas e evolutivas; quantidade mensal de projetos novos demandados e atendidos dentro do cronograma e orçamento; quantidade mensal de acessos as páginas do portal; percentual de confirmação de atualização das páginas, pelas UORGs reponsáveis pelo conteúdo, dentro da periodicidade estabelecida. Ademais, a Soluções é responsável via equipe Geo por desenvolver e manter Sistemas de Informações Geográficas (SIGs), bases de dados espaciais e demais aplicativos de geoprocessamento adequados às necessidades das UORGs demandantes e do público externo. Mensurado pelos indicadores: percentual de projetos dentro do cronograma, e percentual de atendimento do fluxo de demandas de manutenção (mensal, trimestral, semestral, anual). Compete também à equipe Geo realizar análises técnicas e instrução de processos relativos a informações georreferenciadas de UORGs demandantes, em especial para subsidiar processos de Declaração de Utilidade Pública (DUP), para fins de desapropriação de áreas para reservatórios de aproveitamentos hidrelétricos e implantação de parques eolioelétricos e para estabelecimento de faixa de servidão para passagem de linhas de transmissão, de cálculo da Compesação Financeira pela Utilização de Recursos Hídricos (CFURH), entre outros. Esse processo é mensurado pelo percentual de atendimento do fluxo de demandas de análises (mensal, trimestral, semestral, anual). Compete ainda à Soluções via equipe de Apoio ao Usuário a gestão de serviços de TI com vistas ao atendimento às demandas dos usuários internos e externos, empregando as soluções de TI mais adequadas. São produtos desta equipe: atendimento ao usuário no 1º nível do Service Desk via telefone ou correio eletrônico, a partir de central de atendimento (Call Center); atendimento ao usuário no 2º nível do Service Desk via acesso remoto à estação de trabalho do usuário ou por atendimento presencial no local; atendimento de chamado no 3º nível do Service Desk via equipe Sustentação, quando se tratar de manutenção corretiva ou evolutiva em sistema corporativo. Os resultados desta equipe são mensurados pelos indicadores: percentual de chamados atendidos no prazo; nota do atendimento do Service Desk. Por fim, compete à Soluções via a equipe Gestão de Ativos prover e gerenciar ativos de software e hardware da Agência, disponibilizando e atualizando licenças de aplicativos e equipamentos de TI conforme a necessidade dos usuários internos e externos. São produtos desta equipe: inventário de ativos de TI; controle de licenças e versões de software. Os resultados desta equipe são mensurados pelos indicadores: prazo médio de atendimento às solicitações dos usuários. 28

41 10.4 Coordenação de Documentos, Arquivos e Acervo À Coordenação de Documentos, Arquivos e Acervo compete via a equipe CEDOC coletar, processar, tratar, armazenar e disseminar as informações dos acervos bibliográfico, cartográfico, iconográfico, sonoro e de atos legislativos, propiciando a promoção do conhecimento aos usuários da ANEEL e ao público externo e, também, a utilização das novas tecnologias da informação. Os produtos dessa equipe são: legislação completa; legislação básica do setor elétrico brasileiro; legislação temática; glossário; normas organizacionais ANEEL para a catalogação de documentos; ofícios (documentos administrativos sobre registros de empreendimentos e liberação de Conta Caução); súmulas; Manual de Indexação da Legislação do Setor Elétrico; trabalhos acadêmicos; Vocabulário Controlado da ANEEL; inventários hidrelétricos aprovados; e atos do dia corrente, na íntegra, publicados pela ANEEL no Diário Oficial da União. Os resultados dessa equipe são mensurados por: número de consultas internas mensais por unidade organizacional; número de consultas externas mensais por órgão/entidade; número mensal de processamento técnico de informações de documentos do acervo catalogados, classificados, indexados e disponibilizados para empréstimo; de CDs duplicados; de documentos digitalizados; de arquivos convertidos para PDF, XML e/ou DOC; de documentos organizados nas estantes ; número mensal de documentos adquiridos por compra ou doação; número mensal de termos técnicos criados e incluídos no Vocabulário Controlado da ANEEL; número mensal de páginas publicadas, de manutenção dos sistemas e de documentos incluídos e registrados na Biblioteca Vitual. Também compete à Coordenação de Documentos, Arquivos e Acervo compete via a equipe GEDOC gerenciar a criação, o uso, a tramitação e a destinação de todas as informações arquivísticas registradas em qualquer suporte, para garantir registros fidedignos e autênticos, que possibilitem o suporte para a tomada de decisão no ambiente organizacional da ANEEL. Os produtos desta equipe são: Plano de Classificação de Documentos; Tabela de Gestão da Temporalidade de Documentos; Manual de Gestão Documental, e normas e guias de gestão; Manual de Editoração de Documentos; e a administração e manutenção do Sistema de Gerenciamento de Documentos (GED) da ANEEL, denominado SICNet Coordenação de Apoio Administrativo A equipe de Apoio Administrativo é responsável por auxiliar o Superintendente a elaborar e executar os planejamentos estratégico e orçamentário e a metas para fins de avaliação institucional da SGI. São produtos dela o Planejamento Plurianual (PPA) para área de TI da ANEEL, de cunho estratégico e materializado por meio do Plano Diretor de Tecnologia da Informação (PDTI) aprovado na Comissão de Gestão da Informação CGI; as Metas Intermediárias para fins de Avaliação Institucional da SGI, consolidadas nas Metas para fins de Avaliação Institucional da ANEEL pela Superintendência de Planejamento e Gestão SPG para, posteriormente, serem acordadas com a Diretoria da ANEEL; e a Proposta Orçamentária Anual da SGI, consolidada na Proposta Orçamentária Anual da ANEEL pela SPG para aprovação pela Diretoria da ANEEL e posterior submissão à Subsecretaria de Planejamento, Orçamento e Administração (SPOA) do MME. Também compete à equipe prover o controle e o suporte administrativo para os processos de aquisições em consonância com o PDTI, o planejamento orçamentário anual da SGI e as diretrizes da IN- 04/SLTI-MPOG. Acompanhar a gestão dos contratos orientando os respectivos gestores quanto aos procedimentos para pagamento e controle. Os resultados da equipe, quanto a essas competências, são mensurados pelos indicadores: percentual de processos encaminhados dentro do prazo pela equipe de planejamento; percentual de renovações de contratos concluidas dentro do prazo de validade; percentual de processos de pagamento realizados dentro do prazo contratual, e percentual de contratos encerrados em até 30 dias após encerramento da vigência contratual. 29

42 Especificamente quanto ao PDTI, compete à equipe mantê-lo atualizado e monitorá-lo, sendo isso mensurado pelos indicadores: PDTI atualizado no prazo; percentual de realização das Estratégias de TI. Por fim, compete à equipe, apoiar a administração da unidade, contemplando as atividades de mapeamento e gestão de processos internos e das Metas Intermediárias da SGI acordadas com a Diretoria. Os resultados da equipe com relação a essas atividades são mensurados pelos indicadores: percentual de processos mapeados e implantados e percentual de realização das metas intermediárias Comitês Os comitês temáticos dos quais a SGI participa, além daqueles comuns a todas as UORGs da ANEEL (planejamento, orçamento, gestão do clima, etc.), são os seguintes: 1. internos à Agência: 1.1. Comissão de Gestão da Informação CGI; 1.2. Comissão Permanente de Avaliação de Documentos CPAD; 1.3. Comissão Permanente de Avaliação de Documentos Sigilosos CPADS. 2. externos: 2.1. SIGA: Sistema de Gestão de Documentos de Arquivo (Arquivo Nacional); 2.2. e-vog (subdivisão do e-ping): Vocabulário de Ontologias do Governo Eletrônico (MPOG); 2.3. e-ping: Padrão de Inteorperabilidade do Governo Eletrônico (MPOG); 2.4. GT-IND Grupo de Trabalho de Infraestrutura Nacional de Dados Espaciais (IBGE- MPOG) 2.5. SISP Sistema de Administração dos Recursos de Tecnologia da Informação (MPOG) 10.7 Situação da Força de Trabalho Nos últimos anos e particularmente na legislação a partir de 2008, em decorrência do Acórdão 1603/2008 do TCU Plenário, Levantamento de Auditoria, Situação da Governança de TI na Administração Pública Federal - houve ênfase para o fortalecimento do quadro de servidores efetivos para atender as atividades de TI, qualificadas como estratégicas. Até junho de 2011 muitas atividades eram exercidas por pessoal terceirizado, o que aumentava consideravelmente os riscos de continuidade dos serviços e perda do conhecimento por ocasião das substituições de contratos. Como a estrutura de pessoal no âmbito da tecnologia da informação apresentava deficiências, foram incluídas vagas no concurso para Analistas e Técnicos Administrativos com foco na área de TI, Arquivologia, Biblioteconomia e Geoprocessamento realizado em 2009/2010. Após a entrada em exercício dos servidores concursados, a posição do quadro efetivo se elevou de 15 para 42, em 2011, mantendo-se em 40 em 2012, conforme o resumo a seguir: 30

43 Efetivos CO ER AA TA Outros Total Superintendente 1 1 Assessor 1 1 Infraestrutura - Operação e Manutenção Infraestrutura - Segurança da Informação 1 1 Gestão da Informação - AD, BD, BI e IG 4 4 Soluções Corporativas e Desenvolvimento - EGP / Sustentação Geoprocessamento Intranet e Internet Apoio ao Usuário / Serviços Centro de Documentação Gestão de Documentos Apoio Administrativo Total Quanto ao plano de capacitação, o mesmo está inserido no Plano Anual de Capacitação da ANEEL, elaborado pelo SRH e tem por objetivos: promover o processo de aprendizagem contínua e contribuir para o desenvolvimento das competências institucionais da Agência; aplicar a Política de Capacitação da Agência, como estimulo à aprendizagem ativa e contínua, conforme disposições da Norma de Organização nº 002/2003; atender à Lei nº /2004, com vistas a assegurar a profissionalização dos ocupantes dos cargos de seu quadro de pessoal ou que tenham exercício na Agência; atender ao Decreto nº 5.707/2006, que institui a Política e as Diretrizes para o Desenvolvimento de Pessoal na Administração Pública Federal; atender ao Decreto n 6.530/2008, que regulamenta as regras de progressão e promoção dos servidores do quadro efetivo das Agências Reguladoras. otimizar os recursos financeiros disponíveis para o atendimento das demandas de capacitação. O treinamento geral para os servidores cobre as seguintes competências: Competência Trabalho em Equipe; Competência Senso Público/ Conduta Pública; Competência Comunicação; e Competência Especialização Técnica. A posição atualizada do mapeamento de competências é a seguir discriminada: Posição de 31 de outubro de

44 Conteúdo Total Administração Financeira e Orçamentária - pública 4 Análise de ponto de função 5 Arquitetura da informação 5 Arquivologia 3 Biblioteconomia 2 Cadastro de Imóveis Rurais 2 Catalogação 1 Ciência da informação 1 COBIT - Control Objectives for Information and related Technology 9 Desenvolvimento de WEB 3 Direito administrativo - aspectos gerais 2 Elaboração de atos normativos (técnicas normativas) 1 Engenharia de Software 4 Fundamentos do setor elétrico 1 Geodésia 1 Geoprocessamento 2 Gestão da informação 6 Gestão de documentos 2 Gestão de projetos 11 Gestão de serviços de TI baseado em ITILF (IT Service Management Foundation) 8 Gestão de TI 9 Gestão do conhecimento 2 Gestão e fiscalização de contratos 2 Gestão orçamentária e financeira 3 Gestão por processos 4 Gestão pública 2 Governança de TI 10 Indicadores de desempenho institucional 1 Licitações e Contratos - aspectos gerais 26 Normas ABNT-NBR 1 Planejamento e gestão 4 Redes de computadores 3 Software - Análise de requisitos 6 Software - Banco de dados SQL 1 Software - Business Intelligence BI 2 Software - RUP e UML 4 Técnicas de Tomada de Decisão 1 Tendências em TI 2 32

45 11. GERENCIAMENTO DE RISCOS DE TI Este tópico define, em nível estratégico, alguns dos principais riscos que podem comprometer as operações da ANEEL, em decorrência de falhas ou descontinuidade das operações de TI e a forma de enfrentá-los. As principais fontes de risco identificadas atualmente são: (i.) inconformidades relacionadas à Gestão e cumprimento da Política de Segurança, o que eleva o grau de fragilidade no enfrentamento a ataques externos comuns, perda de informações e solução de incidentes; (ii.) perda de conhecimento devida à falta de capital intelectual humano; (iii.) risco de serviços prestados por novo fornecedor em nível incompatível às necessidades da Agência; (iv.) ausência de plano ativo para recuperação de desastres e (v.) fatores externos à governabilidade da SGI Sumário descritivo dos Riscos (1) Por inconformidades relacionadas à Gestão e cumprimento da Política de Segurança A força da ação preventiva ainda se constitui a melhor forma de reduzir o risco de incidentes. Neste sentido, acredita-se que a existência de ferramentas e softwares essenciais de prevenção seria suficiente para manter a Agência afastada de ataques externos por hackers, vírus, arquivos maliciosos, sabotagens, etc. Mas não. Há uma gama extensa de possibilidades de incidentes que podem ser provocados internamente, desde a contaminação potencial da rede por uso de pen-drives afetados por usuários mal orientados, até a falta de controle para acesso de usuários não autorizados a utilizar sistemas e recursos da Agência. Por sua vez, a existência de princípios, normas, diretrizes, força de trabalho e dispositivos de segurança adequados (software e hardware) 19 por si só nem sempre se revela suficiente para manter a invulnerabilidade das informações da Agência. Assim, dentro do diagnóstico efetuado 20 será preciso um esforço coordenado em várias frentes, com o apoio da alta direção, para elevar os níveis de maturidade da Segurança da Informação. Além das ameaças já identificadas, nos últimos anos, uma nova categoria de ataques direcionados tem motivado alertas por parte das empresas especializadas em Segurança da Informação. Softwares de altíssima complexidade têm sido desenvolvidos para atacar alvos pré-determinados como é o caso do Flame, Stuxnet e Duqu. As fabricantes de antivírus já se confessaram ineficazes no tratamento a estes riscos, sugerindo que as instituições se protejam utilizando uma estrutura de segurança em camadas 21. Em linhas gerais, como forma de mitigar riscos mais comuns por falha de segurança, a ANEEL assume seu compromisso em fortalecer e aperfeiçoar seus mecanismos preventivos, bem como manter níveis mínimos de investimento necessários à atualização anual de sua infraestrutura de segurança, à aquisição de novas ferramentas de controle e auditagem, ao treinamento da força de trabalho, à contratação de consultorias para diagnóstico e aferição dos graus de risco, de forma a assegurar a eficácia de sua gestão e política de segurança, dentro do Marco Referencial descrito no Capítulo 2 Detalhamento, deste Plano Diretor. 19 V. Capitulo 2 Detalhamento do PDTI, tópicos e Segurança: Marco Referencial, Situação Atual e Ações Prioritárias. 20 Efetuado pela consultoria Módulo Security Solutions realizada no 1º semestre de 2009, com base em metodologia própria. 21 A esse respeito, recomenda-se a leitura dos artigos e 33

46 (2) Por perda de conhecimento e capital intelectual humano Este grupo de risco decorre da iminente saída de profissionais efetivos e terceirizados que atuam há vários anos na Agência, sem a devida reposição por profissionais com domínio técnico idêntico ou superior. Os riscos encontram-se a seguir discriminados, com consequências tanto para as áreas de infraestrutura como desenvolvimento: a) Riscos associados à insuficiência do conhecimento da atividade regulatória da Agência: Trata-se da relação de dependência de cada processo de trabalho da ANEEL com a infraestrutura de rede. Por exemplo, qual o hardware e software envolvido com atividades como reuniões públicas da diretoria, audiências, ouvidoria, duto e todos os sistemas informatizados para atendimento dos negócios da agência. O risco refere-se à tomada de decisões potencialmente equivocadas na solução de problemas com a rede, uma vez que não contemplam o conhecimento desta relação de dependência e as possíveis implicações. b) Riscos associados à insuficiência de conhecimento da Infraestrutura: Refere-se ao conhecimento técnico sobre o funcionamento de todos os equipamentos, dispositivos e suas particularidades. O risco decorre do fato de as novas empresas contratadas alegarem que não dispõem de pessoal ou tempo para assimilar todo o conhecimento necessário para produzir o trabalho. Estima-se, pelo comportamento da curva do conhecimento e esforço, ambiente de caos (stress) para os primeiros 3 (três) meses, sem que as contratadas tenham condições de agir de imediato em situações de anormalidade. Após 9 (nove) meses, haveria uma tendência de retorno à normalidade, a depender do grau de esforço humano e cooperação na fase de transição contratual (ver figura nº 2): Conhecimento (variação ) Esforço forças-tarefas retorno à normalidade Stress 3m 6m 9m 12m 15m Fig. 2. Curva de Aprendizado Em um período intermediário, de 3 a 9 meses, seria necessária a realização de forças-tarefas ou jornadas especiais de trabalho por parte do novo contratado, que efetuará pressão sobre a ANEEL para ressarcimento de gastos não previstos com seus funcionários. c) Risco de perda, exposição indevida de informações, comprometimento da segurança dos dados decorrente do desconhecimento da infraestrutura ou do negócio. Exemplos: no trato com 34

47 informações sigilosas, o risco decorre de um funcionário executar a atividade técnica sem se ater ao sigilo negocial; perda de dados por desconhecimento das ferramentas, procedimentos de manobras, mudança de tecnologia; atender a uma solicitação emergencial de processamento de sistema com dados sigilosos, sem o devido conhecimento, entre outros. d) Riscos associados às mudanças constantes do ambiente tecnológico: Em função da dinâmica e diversidade das atividades e também das atualizações de hardware e software, os equipamentos e dispositivos de infraestrutura passam por mutações constantes, o que configura um ecossistema operacional, que funciona dentro de certa complexidade e regras críticas. Para toda mudança, há um risco de incompatibilidade entre equipamentos e suas interligações, o que requer planejamento, a partir de uma situação-piloto, antes de entrada em produção. O risco decorre da incapacidade temporária de se lidar com mudanças complexas e levar à interrupção temporária do funcionamento de certos serviços ou ao não atendimento da disponibilização solicitada, dentro do prazo programado. e) Risco de incapacidade de solução imediata de incidentes em terceiro nível de atendimento ou resolver problemas críticos Trata-se da demora na solução de incidentes, pelo fato de o técnico não estar familiarizado com a solução sistêmica e sua relação com a demanda do negócio. (3) Riscos associados a serviços prestados por novo fornecedor em nível incompatível com as necessidades da Agência: Trata-se dos riscos associados a fornecedor recém-contratado, cujos serviços prestados não atendam às necessidades da Agência, o que requer nova contratação. Os principais riscos seriam: a) Risco de interrupção da disponibilidade da rede, ou instabilidade de funcionamento, sem um pronto retorno à normalidade, dentro dos acordos de nível de serviço estabelecidos; b) Risco de incapacidade de resolver problemas críticos, ou de acompanhar as mutações do ecossistema, com perda de qualidade ou funcionamento precário da rede por tempo acima do normal; c) Risco de falta de comprometimento técnico e profissional da nova equipe, com perda de qualidade ou vícios ocultos não detectáveis sem uma análise mais profunda das questões técnicas. (4) Risco associado à ausência de plano ativo para recuperação de desastres A eliminação deste risco será possível por meio de solução de ambiente de redundância em local externo que assegure alta disponibilidade e armazenamento apropriado de informações, com expansão do canal Infovia já existente, instalação de servidor próprio, dispositivos de storage e outros equipamentos para assegurar a boa recuperação dos sistemas vitais e informações da Agência em caso de desastre ou acidente potencial 22. (5) Riscos oriundos de fatores externos à governabilidade da SGI 22 Ver Diagrama no Capítulo 2 Detalhamento, Tópico Administração da Rede Lógica 35

48 Refere-se a toda fonte externa geradora de risco, sobre a qual a SGI se encontra impossibilitada de exercer diretamente ação preventiva ou pró-ativa para mitigação do risco. Por exemplo: manutenção inadequada dos geradores da ANEEL por parte de outra superintendência (risco de interrupção da rede e de não fornecimento de serviços críticos em regime de alta disponibilidade); paralisação dos serviços do Serpro (risco de não disponibilidade de acesso à internet, portal e recursos sistêmicos que rodam em ambiente Web), entre outros Percentuais estimados de ocorrência de riscos As possibilidades de ocorrências potenciais dos riscos mencionados no subitem 11.1 são as seguintes: RISCOS IDENTIFICADOS: PERCENTUAIS DE OCORRÊNCIA PERÍODO EM MESES = = = = > = 3m > 6m 9m 12m 18m 24m 1. Por inconformidades relacionadas à Gestão e Política de Segurança pendente de nova análise de risco Por perda de conhecimento e capital intelectual humano: 24 a) Decisões equivocadas por insuficiência de conhecimento 50% 30% 20% 10% 0% 0% b) b1) Paralisações na rede 40% 20% 10% 5% 0% 0% b2) Esforço adicional para análise/solução 60% 50% 30% 15% 0% 0% c) Perda, experiência indevida ou comprometimento da Seginfo 30% 20% 10% 0% 0% 0% d) Efeitos de mudanças no ecossistema 40% 20% 10% 0% 0% 0% e) Incapacidade de solução de incidentes em 3º nível 20% 20% 20% 15% 10% 0% 3. Por níveis de serviços incompatíveis do novo fornecedor: a) Incapacidade de cumprir Acordo de Nível de Serviço (SLA) 20% 20% 10% 5% 0% 0% b) Incapaz resolver incidentes de 3º nível, problemas críticos, etc c) Falta de comprometimento técnico e profissional, vícios ocultos 40% 40% 30% 20% 10% 0% não mensurável Ausência de Plano ativo para Recuperação de Desastres não mensurável Fatores externos à governabilidade da SGI não mensurável Conforme avaliação da consultoria Módulo em 2009, entre 12 itens analisados, 8 tiveram classificação nível 1 (realizado) e 4 tiveram classificação 2 (gerenciado), enquanto que o recomendado seria de classificação 2 (gerenciado) para 6 itens, classificação 4 (controlado quantitativamente) para um item e 5 (otimizado) para 5 itens. Não obstante esses baixos níveis de maturidade para segurança, deve-se ressaltar que a ocorrência de incidentes graves como contaminação da rede por vírus é muito baixa (total de um incidente para cada 2 anos nos últimos 6 anos). 24 Percentuais direcionais de afastamento de padrões de normalidade com base em discussões levantadas junto ao pessoal especializado da Consultoria Sofhar. 36

49 11.3 Ações para minimizar riscos As ações que podem ser tomadas para amenizar ou eliminar as chances de ocorrência dos riscos acima identificados são: RISCOS AÇÕES 1. Implementar as ações prioritárias constantes do tópico Capítulo 2 deste Plano; 2. a, b, c, d, (a) Como ação geral para minimizar risco, manter todas as áreas de coordenação, planejamento e geração de políticas sob a coordenação de servidores do quadro efetivo; (b) Aditar parcialmente o contrato vigente de forma a manter um técnico em rede por um período mínimo de três meses e (c) reforçar a atualização da documentação sobre funcionamento de todos os dispositivos e programas existentes; 2. e Idem acima com a inclusão de um técnico em desenvolvimento familiarizado com sistemas da ANEEL e incluir cláusula no novo contrato referente a treinamento obrigatório e reciclagem da equipe especializada; 3. a, b 3. c 4. Reforçar controle de interrupções com imposição de penalidades no acordo de nível de serviço, adicionado de ação mencionada para o risco 2 a; Idem acima; finalização de contratação de auditoria de métricas e providencias judiciais para ressarcimento de prejuízos à ANEEL; Implementar ambiente de redundância em local externo conforme modelo descrito no Capítulo 2, tópico 1.1.2; 5. Reforçar monitoramento e exigir cumprimento de ações das áreas responsáveis. 37

50 38

51 12. PLANO OPERACIONAL Os efeitos da contribuição da TI para o alcance dos desafios estratégicos da ANEEL serão materializados pela execução de um plano coordenado de ações a seguir abordado. No ponto de partida, tem-se como base de direcionamento das ações a Agenda de Desafios Estratégicos , definida como instrumento de planejamento macroestrutural para alcance de determinados resultados da Agência no cumprimento de sua missão regulatória dentro de um horizonte de 4 anos. Para fins deste documento, esse período estende-se para o ano de 2013, prazo necessário para que novas definições de ordem estratégica, atualmente em análise, sejam aprovadas pela Diretoria Colegiada. Em outra perspectiva, tem-se os levantamentos efetuados junto às áreas operacionais e, em seguida, a aplicação da metodologia de elaboração do PDTI, que resultou em uma série de necessidades e demandas de Ti a serem atendidas para alcance da situação ideal (Marco Referencial). Após um processo de depuração e análise de todas essas informações, chegou-se a um conjunto de iniciativas de TI, ora denominado Estratégias de TI ou simplesmente ETI, cujo foco é a aplicação de esforço coordenado na execução de ações de ordem informacional em várias frentes. A aplicação destas ETI, em conjunto com as demais ações de ordem operacional por parte das equipes das diversas áreas da ANEEL, terá efeito propulsor na geração de mudanças no ambiente de negócios da Agência e no alcance dos resultados definidos pela Agenda de Desafios Estratégicos. Os quadros a seguir propiciam uma visão do alinhamento dos componentes de ordem estratégica acima relacionado. Quadro nº 1 Desafios Estratégicos da ANEEL , com extensão para 2013: transcrição dos tópicos definidos pela Agenda, com a inclusão dos resultados esperados; Quadro nº 2 Estratégias de TI (ETI): relaciona as iniciativas de TI, aqui definidos como marcos estratégicos cuja execução irá resultar nas mudanças do ambiente informacional que irão atuar em conjunto com as ações operacionais das diversas áreas da Agência; Quadro nº 3 - Alinhamento da TI para alcance dos Desafios Estratégicos: consiste no mapeamento de cada ETI no âmbito de cada Desafio Estratégico; Quadro nº 4 Cronograma da Evolução das ETI: visão temporal da ocorrência de implantação das ações componentes das iniciativas estratégicas de TI; Quadro nº 5 Implantação das ETI para alcance dos Objetivos , com extensão para 2013: demonstra a execução das ETI simultaneamente à evolução do Mapa estratégico da Agência. 39

52 40

53 Quadro nº 1 - Desafios Estratégicos da ANEEL : Mapa Estratégico Relação dos Desafios DESCRIÇÃO 1. COERÊNCIA REGULATÓRIA: promover a consolidação dos Atos Regulatórios emitidos pela ANEEL, pautando-se pela racionalidade, clareza e atualidade, bem como propiciar a harmonia em relação à legislação e às políticas setoriais. 2. ALOCAÇÃO EFICIENTE DOS CUSTOS DE ENERGIA ELÉTRICA: promover a correta alocação de custos para possibilitar o acesso aos serviços de energia elétrica com qualidade RESULTADOS ESPERADOS Legislação do setor elétrico sistematizada, racionalizada e clara Atos regulatórios harmonizados e atuais Estabilidade da Regulamentação alcançada Impacto regulatório avaliado Lacunas regulatórias reduzidas Preços compatíveis com os custos e assimetria tarifária reduzida Estrutura tarifária aperfeiçoada Incentivos à eficiência energética realizados Perdas não-técnicas e inadimplência reduzidas 41

54 adequada e pagamento justo. DESCRIÇÃO 3. QUALIDADE DO SERVIÇO DE ENERGIA ELÉTRICA: dotar a Agência de instrumentos eficazes de promoção e monitoramento da evolução da qualidade do serviço de energia elétrica ofertado pelos agentes, pautados em parâmetros e indicadores que subsidiem a formulação das regras e o controle de sua aplicação. 4. EQUILÍBRIO ENTRE OFERTA E DEMANDA DE ENERGIA: contribuir para o equilíbrio entre a oferta e a demanda de energia elétrica, por meio da realização dos leilões para contratação de energia, de regulação e métodos de fiscalização que garantam a efetiva implantação dos empreendimentos contratados e do incentivo ao uso racional e eficiente de energia elétrica. 5. FORTALECIMENTO E TRANSPARÊNCIA DOS INSTRUMENTOS DE DIÁLOGO COM A SOCIEDADE: aprimorar e ampliar as consultas e audiências públicas, visando fortalecer o relacionamento e o diálogo da ANEEL com a sociedade. 6. FORTALECIMENTO DA IDENTIDADE E AUTONOMIA INSTITUCIONAL: consolidar o papel institucional de órgão regulador com autonomia e atribuições claramente definidas. 7. DESENVOLVIMENTO ORGANIZACIONAL: promover o fortalecimento da cultura da instituição, alicerçada em políticas voltadas para a aprendizagem organizacional e o permanente desenvolvimento profissional Custos e encargos monitorados e controlados Metodologia de revisão e reajuste tarifário aprimorada RESULTADOS ESPERADOS Indicadores e instrumentos de aferição da qualidade do serviço aprimorados e aplicados. Mecanismos de incentivo econômico aos agentes implementados Ações preventivas e corretivas de controle da qualidade priorizadas Ações de fiscalização e regulamentação atuando integradas Regulação dos padrões de qualidade do serviço aperfeiçoada Inovação tecnológica no setor estimulada Leilões realizados com eficiência e eficácia garantindo a máxima competição Articulações interinstitucionais nos processos de planejamento e aprovação de inventários e outorgas fortalecidas Metas de universalização dos serv. energia elétrica definidas e fiscalizadas Empreendimentos contratados implantados Mecanismos de incentivo ao uso racional e eficiente de energia elétrica implementados Meios de comunicação e interlocução com a sociedade fortalecidos Efetividade e isonomia da participação dos atores, consumidores e agentes, garantidos Processo de audiências e consultas públicas aperfeiçoado Canais de comunicação e participação dos consumidores ampliados Papéis nas relações intra e interinstitucionais claramente definidos Autonomia administrativa, orçamentária e financeira implementada Participação no aprimoramento da legislação com vistas à modernização do ambiente institucional de sua atuação fortalecida Identidade institucional consolidada Servidores capacitados e comprometidos e uadro de pessoal dimensionado para o pleno exercício das funções institucionais Modelo de gestão aperfeiçoado de maneira contínua e sistemática Mecanismo de gestão do conhecimento e de processos aprimorados continuamente 8. INFORMAÇÃO COM QUALIDADE: reestruturar o modelo de gestão da informação, fortalecendo os mecanismos de acesso, integração e qualidade dos dados, bem como promover o tratamento racionalizado do fluxo das informações, no atendimento das demandas internas e do público interessado. 9. DESENVOLVIMENTO ORGANIZACIONAL: promover o fortalecimento da cultura da instituição, alicerçada em políticas voltadas para a aprendizagem organizacional e o permanente desenvolvimento profissional. Modelo de Gestão da Informação estruturado Informações integradas e com qualidade Meios de acesso e disponibilidade das informações aprimorados Identidade institucional consolidada Servidores capacitados e comprometidos e quadro de pessoal dimensionado para o pleno exercício das funções institucionais Modelo de gestão aperfeiçoado de maneira contínua e sistemática Mecanismo de gestão do conhecimento e de processos aprimorados continuamente 42

55 Quadro nº 2 Estratégias de TI (ETI) Como mencionado anteriormente, as Estratégias de TI ou simplesmente ETI são um resultado das iniciativas de Tecnologia da Informação derivadas do processo de depuração e análise de inputs oriundos de várias frentes. De um lado, o direcionamento dado pelo conteúdo da Agenda de Desafios Estratégicos , estendida para 2013 estabelecido pela Diretoria da ANEEL, e de outro lado, a produção de informações resultante de outras fontes internas e externas, como as Reuniões de Alinhamento Estratégico, o processo metodológico de elaboração do PDTI e as análises das melhores práticas no mercado (fluxo descrito abaixo). Reuniões de Alinhamento Estratégico Agenda de Desafios Estratégicos Elaboração do PDTI 1. Marco Referencial 2. Situação Atual INICIATIVAS DE TI 3. Ações prioritárias (próx.3 anos) Análise das melhores práticas no mercado ESTRATÉGIAS DE TI (ETI) A relação de Estratégias de Tecnologia da Informação (ETI) é a seguir discriminada. DESCRIÇÃO ETI 1 - NOVO MODELO DE GESTÃO CONSO- LIDADO: finalização das novas contratações e ampliação do quadro de servidores efetivos via concurso. ETI 2 - INFRAESTRUTURA ROBUSTA E INFORMAÇÃO 100% INTEGRADA IMPLANTADA: aprimoramento da infraestrutura, eliminação da redundância, criação de banco de dados único, Back-up corporativo e outras ações internas implantadas. Subcomponentes das ETI 1. Contratação da fábrica de software finalizada 2. Serviços especializados de gestão da infraestrutura contratados 3. Serviços de auditoria de métricas e qualidade contratados 4. Concurso e nomeação de novos servidores efetivados 1. Infraestrutura aprimorada 2. Redundância eliminada (obs: anexada ao item seguinte) 3. Banco de Dados Único implantado 4. Ambiente de Redundância em nível externo implantado 5. Outras ações de padronização e estruturação. 43

56 DESCRIÇÃO ETI 3 - INTELIGÊNCIA DE NEGÓCIOS E SOLUÇÕES INOVADORAS IMPLANTADAS: ações de Business Intelligence, ações Web, portfólio de sistemas e outras ações. ETI 4 - USO DE GEOPROCESSAMENTO INTENSIFICADO: ações de prospecção e viabilização de geoprocessamento, integração de acervos, portal elaborado. ETI 5 GESTÃO DE DOCUMENTAÇÃO MODERNIZADA: novo SICnet, certificação digital, ferramentas de buscas, etc. ETI 6 NÍVEL DE MATURIDADE DE GESTÃO DE TI APRIMORADO: elevação do nível de maturidade operacional, gestão do conhecimento e Seginfo obtidos, normas de TI atualizadas e consultoria internacional contratada Subcomponentes das ETI 1. BI: ferramenta implantada e entrada em operação 2. Portal Web: remodelação, atualização tecnológica e outros 3. especializados Portfólio: sistemas de gestão desenvolvidos da infra-estrutura 4. Administração dos Processos de Negócio implantada 1. Novo fornecedor contratado 2. Banco de Dados geográfico integrado implantado 3. Portfólio de Geoprocessamento: oportunidades de utilização e aplicações implantadas 4. PRODIST: módulo com funções de geoprocessamento implantado 1. Repositório único e novos procedimentos de administração de documentos implantados 2. Certificação digital implantada 3. Novos instrumentos de gestão de documentos implantados (SICnet, ferramentas de buscas, etc.) 4. Melhoria e refinamento dos processos internos executados 1. Nível de 100% de conformidade com ITIL alcançado 2. Melhoria do processo de contratações de TI implantada 3. Gestão do Conhecimento aprimorada 4. Nível de Segurança da informação aprimorado e normas de TI atualizadas 44

57 Quadro nº 3 Alinhamento da TI para alcance dos Desafios Estratégicos As capacidades técnicas que irão permitir a devida mutação adaptativa da organização rumo aos resultados esperados nos desafios estratégicos encontram-se mapeadas na matriz representada na forma abaixo: Estratégias de TI (ETI) Desafios Estratégicos O processo de implantação das Estratégias de Tecnologia de informação deverá permitir a total integração de todos os sistemas e dados da Agência, ao longo do tempo. Requer, no entanto, um realinhamento dos processos de negócio aos quais os colaboradores estão envolvidos e também um ambiente de cooperação propício para definições de alterações no workflow e na fase inicial de manuseio das novas ferramentas. 45

58 46

59 DESAFIOS ESTRATÉGICOS Denominação 1. COERÊNCIA REGULATÓRIA: consolidar a) Legislação do setor elétrico sistematizada, racionalizada e clara atos b) atos regulatórios harmonizados e atuais regulatórios, incoerências. eliminar inconsistências e c) estabilidade da regulamentação alcançada d) impacto regulatório avaliado e) lacunas regulatórias reduzidas a) Preços compatíveis c/ custos e assimetria tarifária reduzida b) Estrutura tarifária aperfeiçoada 2. ALOCAÇÃO EFICIENTE DOS CUSTOS DE ENERGIA ELÉTRICA: promover a correta alocação de custos c) Incentivos à eficiência energética realizados para possibilitar o acesso aos serviços de EE com d) Perdas não-técnicas e inadimplência reduzidas qualidade e pagamento justo. e) Custos e encargos monitorados e controlados f) Metodologia de revisão e reajuste tarifário aprimorada a) Indicadores e instrumentos de aferição da qualidade aprimorados e aplicados 3.QUALIDADE DE SERVIÇO DE ENERGIA ELÉTRICA: b) Mecanismos de incentivo econômico aos agentes implementados disponibilizar instrumentos eficazes de promoção e c) Ações preventivas e corretivas de controle de qualidade integradas monitoramento da evolução da qualidade dos d) Ações de fiscalização e regulamentação integradas serviços de EE, pautados em parâmetros e indicadores apropriados. e) Regulação dos padrões de qualidade do serviço aperfeiçoada f) Inovação tecnológica no setor estimulada 4. EQUILÍBRIO OFERTA E DEMANDA DE ENERGIA a) Leilões realizados com eficiência e eficácia garantindo a máxima competição ELÉTRICA: Contribuir para o equilíbrio entre a b) Articulações inter-institucionais nos processos de planejamento e aprovação de oferta e a demanda de energia elétrica, por meio da inventários e outorgas fortalecidas realização dos leilões para contratação de energia, de regulação e métodos de fiscalização que c) Metas de universalização dos serviços de EE definidas e fiscalizadas garantam a efetiva implantação dos d) Empreendimentos contratados implantados empreendimentos contratados e do incentivo ao uso racional e eficiente da energia elétrica. e) Mecanismos de incentivo ao uso racional e eficiente de EE implementados a) Meios de comunicação e interlocução com a sociedade fortalecidos 5. FORTALECIMENTO E TRANSPARÊNCIA DOS INSTRUMENTOS DE DIÁLOGO COM A SOCIEDADE: b) Efetividade e isonomia da participação dos atores, consumidores e agentes, garantidos aprimorar e ampliar as consultas e audiências públicas, visando fortalecer o relacionamento e o c) Processo de audiências e consultas públicas aperfeiçoado diálogo da ANEEL com a sociedade d) Canais de comunicação e participação dos consumidores ampliados ALINHAMENTO DA TI PARA ALCANCE DOS DESAFIOS ESTRATÉGICOS DA ANEEL ESTRATÉGIAS DE TI (ETI) Resultados esperados a) Papéis nas relações intra e interinstitucionais claramente definidos 6. FORTALECIMENTO DA IDENTIDADE E AUTONOMIA INSTITUCIONAL: consolidar o papel b) Autonomia administrativa, orçamentária e financeira implementada institucional de Órgão Regulador com autonomia e atribuições claramente definidas c) Participação no aprimoramento da legislação com vistas à modernização do ambiente contribuir) institucional de sua atuação fortalecida a) Identidade Institucional consolidada X 7. DESENVOLVIMENTO ORGANIZACIONAL: b) Servidores capacitados e comprometidos e quadro de pessoal dimensionado para o promover o fortalecimento da cultura da instituição, alicerçada em políticas voltadas para a aprendizagem organizacional e o permanente desenvolvimento profissional pleno exercício das funções institucionais X X ETI 2- Infraestrutura robusta e informação ETI 4- Uso de Geoprocessamento ETI 5- Gestão da ridade de Gestão de TI ETI 6- Nível de matu- ETI 3- Inteligência de ETI 1- Novo modelo de 100% integrada e implantada: aprimoram. intensificado: ações de Documentação mo- aprimorado: aderência negócios e soluções Gestão consolidado: inovadoras implantadas: ações BI, Web, finalizar novas contratações e ampliar quadro Segurança, Am-biente viabilização de "Geo", certificicação digital, Seginfo, Indicadores de hardware, melhoria da prospecção e dernizada: SICnet 2, ao ITIL, melhoria BD único, portfólio de de efetivos via concurso em regime de integração de acervos, ferram.buscas, etc. desempenho, entre sistemas e outras redundância externa e portal, etc. outros. outras ações c) Modelo de gestão aperfeiçoado de maneira contínua e sistemática X X X d) Mecanismo de gestão do conhecimento e de processos aprimorados continuamente X X X X 8. INFORMAÇÃO COM QUALIDADE: reestruturar o modelo de gestão da informação, fortalecendo os a) Modelo de Gestão da Informação reestruturado X mecanismos de acesso, integração e qualidade dos dados, bem como promover o tratamento racionalizado do fluxo das informações, no atendimento das demandas internas e do público interessado. 9. APRIMORAMENTO DO PROCESSO DE a) Modelo de descentralização reestruturado, eficiente e com foco em resultados DESCENTRALIZAÇÃO: rever o modelo de b) Custos de referência para as atividades descentralizadas definidos descentralização de atividades complementares de regulação às Agências Reguladoras estaduais c) Indicadores para avaliação das metas formulados X (alta disponibilidade em sistemas críticos) X (alta disponibili-dade em sistemas críticos) X (melhoria da infraestrutura pode X X X X (Sist.Coleta de Preços, SIGET, RIT, Sist.Participação Financeira, Sist. Análise Perturbações no SE, SAMP, CVA, BI) X (novo Sigefis, GCEM) X (várias aplicações potenciais) X (SGP&D, SGP-EE, X (várias aplicações COMVEN) potenciais) X (Sist.Ouvidoria, Contr.Atendim Call center, Part.Financ. de Consum, Apoio a Eventos, Controle de Mediações) X (evolução do SIGANEEL) b) Informações integradas e com qualidade X X X X X c) Meios de acesso e disponibilidade das informações aprimorados X X X X X X (BI, SARI, SIAD, Sigecont) 1/ 2/ 3/ X X (celerização do processo de reajustes e revisões tarifárias por meio de melhoria da gestão documental) X (celerização do processo de reajustes e revisões tarifárias por meio de melhoria da gestão documental) X (Melhoria das X (Acervo de imagens ferramentas de busca via Web) da documentação e legislação) 1/ Situações-exemplo: cruzamento de diversos bancos de dados por meio de BI para assegurar a procedência de dados fornecidos pelos agentes, no decorrer do processo de reajuste tarifário. 2/ Exemplo prático para aplicação de Geoprocessamento na coerência regulatória: cálculo de reajuste tarifário com influência das condições climáticas (raios, maresia, indice pluviométrica) como componente. 3/ SICNet 2 e novas ferramentas de busca deverão contribuir para a melhoria do alcance deste desafio. 47

60 48

61 Quadro nº 4 Cronograma da Evolução das ETI A estimativa de tempo de implantação das ETI é abaixo indicada (vide quadro em anexo) ETI 1: Novo Modelo de Gestão consolidado 1.1 Contratação de Fábrica de Software finalizada completado em 3 meses * 1.2 Serv.especializados de Gestão da Infraestrutura contratados completado em 15 meses * 1.3 Auditoria de Métricas e Qualidade contratada 30 meses para contratação. 1.3 Concurso e nomeação de novos servidores efetivados completado em 18 meses * ETI 2: Infraestrutura robusta e informação 100% integrada implantada 2.1 Infraestrutura aprimorada a ser completado em 45 meses * 2.2 Redundância eliminada item incorporado à ETI Banco de Dados único implantado 26 meses, contados da data de 01/12/ Ambiente de Redundância em nível externo 28 meses para implantação. 2.5 Outras ações estruturantes e de padronização: a ser completadas em 48 meses * ETI 3: Inteligência de negócios e soluções inovadoras implantadas 3.1 BI: ferramenta implantada e entrada em operação completado em 20 meses. 3.2 Portal Web: remodelação, atualiz. tecnológica e outros 44 meses de execução. 3.3 Portfólio de sistemas estimativa de 48 meses * deverá avançar para meados de BPM, Administração dos processos de negócio 30 meses para implantação. ETI 4: Uso de Geoprocessamento intensificado 4.1 Novo fornecedor contratado completado em 3 meses * 4.2 Webservice desenvolvida em padrão WFS completado em 3 meses (apenas proj.piloto). 4.3 Portfólio Geo desenvolvimento durante todo o período do PDTI. 4.4 PRODIST: módulo com funções de geoprocessam.(proj.piloto) completado em 16 meses. ETI 5: Gestão da Documentação modernizada 5.1 Repositório único e novos procedimentos de adm.documentos a ser implantado em 12 meses. 5.2 Certificação Digital implantada 27 meses para implantação. 5.3 Novo software de gestão de documentos 29 meses para implantação 5.4 Melhoria e refinamento dos processos internos Implantação a médio / longo prazo ** ETI 6: Nível de Maturidade de Gestão de TI aprimorado 6.1 Nível de 100% conformidade com ITIL alcançado 42 meses estimado para execução. 6.2 Melhoria do processo de contratações de TI implantada 17 meses para implantação 6.3 Gestão do Conhecimento aprimorada 21 meses para execução. 6.4 Nível de Segurança da informação aprimorado e normas de TI atualizadas alcance estimado em 34 meses. *Período contado a partir de 01/01/2010. ** Em razão de projetos estruturantes, como o Redinee (ETI 5.4.5) 49

62 50

63 CRONOGRAMA DA EVOLUÇÃO DAS ESTRATÉGIAS DE TI ESTRATÉGIAS DE TI Descrição Subdivisão das ETI J F M A M J J A S O N D J F M A M J J A S O N D J F M A M J J A S O N D J F M A M J J A S O N D 1- Fábrica de Software contratada OK ETI 1- Novo modelo de Gestão consolidado: finalizar novas 2- Serviços Especializados de Gestão de Infraestrutura contratados OK contratações e ampliar quadro de 3- Serviços espec.auditoria e Métricas de Qualidade contratados Po=18 Mp=30 efetivos via concurso 4- Concurso e nomeação de novos servidores efetivados OK 1- Infraestrutura aprimorada Po=18 Mp=45 ETI 2- Infraestrutura robusta e informação 100% integrada implantada: 2- Redundância eliminada (Mapeamento GT-Dados) item posteriormente anexado à ETI 2.3 aprimoram. da infra- 3- Banco de Dados único implantado estrutura, eliminação da redundância, MapInfo e demais etapas: longo prazo ---> criação de BD único, B-up corporativo 4- Ambiente de Redundância em nível externo implantado Po=26/Mp 28 e outras ações 5- Outras Ações internas Po=42/Mp BI: implantação da ferramenta e entrada em operação Po=17 Efet 20 ETI 3- Inteligência de negócios e soluções inovadoras implantadas: 2- Web: remodelação, atualização tecnológica e outros Po=11 MP=44 ações BI, Web, portfólio de sistemas e 3- Portfólio: desenvolvimento de sistemas Po=36 MP=48 outras 4- Administração dos Processos de Negócios (BPM) Po=18 Mp=30 1- Novo Fornecedor contratado OK ETI 4- Uso de Geoprocessamento intensificado: ações de prospecção e 2- Webservice padrão WFS para consumo do SIGEL e outros OK viabilização de "Geo", integração de 3- Portfólio "Geo": analisar oportunidades de utilização e aplicações implantadas. Po=27 Mp=40 acervos, portal, etc. 4- PRODIST: módulo de geoprocessamento implantado (piloto) Po=11 OK Efet=16 1- Repositório único e novos procedim.adm.doc.implantados Po=7 Mp=12 ETI 5- Modernização da Gestão da Documentação implantada: novo 2- Certificação Digital implantada Po=27 SICnet, certific. digital, ferram.buscas, 3- Novos instrumentos gestão docum (SICNet 2, ferram.buscas, etc) Po=15 Mp=29 etc. 4- Melhoria e Refinamento dos Processos de Doc.implantados Po=26 LP=> 1- Maturidade Operacional (100% ITIL) ETI 6- Nível de maturidade de Gestão Mp=31 Mp=42 de TI aprimorado: melhorar Seginfo, 2- Melhoria do processo de contratações de TI implantada Po=5 Mp=17 Gestão do conhecimento, melhoria dos procedim. contratações de TI e 3- Gestão do Conhecimento aprimorada Po=12 Mp=21 outros 4- Nível de Segurança da informação aprimorada Po=23 Mp=34 Legenda: Previsão original Previsão atual Po=Previsão Original / Mp=Mais provável / Efet=Efetivo (n º de meses) 51

64 52

65 DESAFIOS ESTRATÉGICOS Quadro nº 5 Implantação das ETI para alcance dos objetivos IMPLANTAÇÃO DAS ESTRATÉGIAS DE TI (ETI) 2009 Coerência Regulatória Novo modelo de Gestão consolidado Infra-estrutura robusta e inform. 100% integrada Inteligência de Negócios e soluções inovadoras implantadas 3.1 Geoprocessamento intensificado 4.3 Alcance de Resultados em Dez % Gestão da Documentação modernizada 5.3 Nível de maturidade de TI aprimorado Alocação Eficiente dos Custos de Energia Elétrica Qualidade do Serviço de Energia Elétrica Equilíbrio entre Oferta e Demanda Fortalecim.e Transp.dos instrum.diálogo c/sociedade Fortalecim.Identidade e Autonomia Institucional Aprimoramento do Processo de Descentralização Desenvolvimento Organizacional Informações com Qualidade Recursos para adequado funcionamento da ANEEL ETI 1 ETI 2 ETI 3 ETI 4 ETI 5 ETI 6 O quadro demonstra, de forma direcional, a relação entre os desafios estratégicos da ANEEL e as Estratégias de TI para alcance dos resultados objetivados. As faixas horizontais referem-se aos desafios estratégicos da ANEEL, cujos resultados deverão ser alcançados de forma gradual, em uma sequência ascendente de implantação das ETI. Deve-se ressaltar que cada ETI não é necessariamente subsequente uma à outra, muito embora a relação de interdependência entre elas seja maior ou menor. No decorrer do tempo, vários projetos e ações serão levados a efeito, de forma a contribuir para o alcance de um ou mais objetivos estratégicos, conforme a indicação das linhas verticais, cuja localização no quadro deve ser tomada como referência. 53

66 54

67 13. FATORES CRÍTICOS DE SUCESSO Foram identificados os seguintes pontos-chave para alcance dos objetivos definidos por este documento: Apoio da Alta Direção: consiste na aprovação e reconhecimento formal deste documento como um plano de natureza estratégica que define a Agenda de TI e as prioridades da ANEEL para os próximos anos; Coerência Técnica: trata-se do embasamento técnico e metodológico com que foi desenvolvido este documento, dentro de parâmetros objetivos e com o devido compartilhamento e consenso de toda a equipe responsável da SGI - ANEEL; Foco no fortalecimento da TI: que se define como um caminho de a Agência ampliar seu horizonte de atendimento e missão institucional, por meio do uso das ferramentas de TI; Fator seriedade: definido como o grau elevado de comprometimento de toda a estrutura organizacional da Agência para o cumprimento das ações contidas neste Plano Diretor, para a busca de melhoria de seus processos operacionais dentro do entendimento de que a TI se trata de assunto de todos e não apenas de uma área-meio que disponibiliza serviços de informática; Publicidade: consiste na divulgação interna e externa deste documento de forma a torná-lo conhecido de toda a organização como instrumento orientador de decisões de TI. 55

68 56

69 CAPÍTULO 2 Detalhamento 57

70

71 SUMÁRIO 1. INFRAESTRUTURA E GESTÃO DA INFORMAÇÃO Marco Referencial Princípios gerais de Infraestrutura de TI Administração da Rede Lógica Administração de Dados Banco de Dados Service Desk Segurança Gestão Internet / Intranet Equipamentos e Software de uso comum Situação Atual e Ações Prioritárias Quanto à adoção dos Princípios Gerais Administração de Rede Administração de Dados Banco de Dados Service Desk Segurança Gestão Internet / Intranet Equipamentos e Software de uso comum SOLUÇÕES CORPORATIVAS E DESENVOLVIMENTO Marco Referencial Novos Projetos Geoprocessamento Sustentação de Sistemas Desenvolvimento - Situação Atual Desenvolvimento de Novos Projetos Geoprocessamento Sustentação de Sistemas ACERVO TÉCNICO E GESTÃO DE DOCUMENTOS Marco Referencial Acervo Técnico Informacional Gestão Arquivística de Documentos Situação Atual e Ações Prioritárias Acervo Técnico Informacional Gestão Arquivística de Documentos

72

73 1. INFRAESTRUTURA E GESTÃO DA INFORMAÇÃO 1.1 Marco Referencial Como mencionado anteriormente, este Plano Diretor designa Marco Referencial como a melhor condição possível de operações de cada subárea de Tecnologia da Informação. O termo indica o 'rumo' ou direção que a instituição deve seguir. Na infraestrutura, para a busca do que seria o melhor, faz-se necessário uma reflexão inicial sobre certas questões básicas, como: no que consiste exatamente uma Infraestrutura de TI; qual o tipo de negócio exatamente envolvido; e até que ponto a Infraestrutura influencia na definição de um modelo que melhor atenda à entidade reguladora. De forma sucinta, pode-se definir a Infraestrutura de TI como uma base sobre a qual é possível a construção de soluções e sistemas de informação que atendam às demandas de negócio de uma determinada organização de forma integrada e eficaz. Dentro desta base incorporam-se vários segmentos ou ilhas de atuação (Rede, Segurança, Web etc.) com perfis tecnológicos específicos e que formam um conjunto harmônico, de forma a permitir às equipes de projetos o desenvolvimento de novas aplicações e soluções de automação / informação demandadas pela organização. A Infraestrutura permite também, aos usuários em geral, processar todos os sistemas e aplicativos existentes de forma corporativa. Desta definição decorre que, ante uma ampla diversidade de tamanhos, ramos de atividades e complexidade, haverá sempre um perfil de infraestrutura que, melhor ou pior, se encaixa ao atendimento de necessidades de TI de uma organização, o que muitas vezes pode ser decisivo na obtenção de seu sucesso em um mundo de alta instabilidade e demanda por informação. No tocante às outras questões, pode-se afirmar que o tipo de negócio envolvido setor elétrico constitui uma das bases primordiais em que outros setores da economia mantêm alta dependência de fornecimento ininterrupto. Desta forma, indústria, comércio, agricultura e serviços não podem prescindir da disponibilidade de energia, mesmo que temporária, sob pena de comprometimento de todo o modelo econômico e da sustentação do desenvolvimento e crescimento social. A eficácia deste modelo de atuação em um país de dimensões continentais depende do bom funcionamento de todo um complexo de atividades segregadas em fases distintas (geração, distribuição, transmissão, comercialização etc.), do envolvimento de muitos atores, entidades e investimentos além de um emaranhado de recursos, equipamentos e dispositivos de ponta que atuam de forma ordenada e controlada para afastar riscos de eventual interrupção temporária ou precariedade no fornecimento de serviços. Em uma rápida associação, se o custo da não-disponibilidade, tanto de eletricidade como de TI, para um ambiente altamente competitivo do setor privado, leva a efeitos adversos pela perda de vendas, clientes, produtividade, reputação, etc., para a ANEEL, uma condição precária ou de falta de disponibilidade de TI, mesmo que momentânea, terá repercussões desfavoráveis no seu desempenho operacional, ante as várias situações embaraçosas que poderiam ocorrer. Entre estas situações potencias, podem-se citar: não atendimento a reclamações, impossibilidade de consultas à legislação regulatória, impossibilidade de obtenção imediata de documentos assinados digitalmente para obtenção de liminares, falhas na realização de eventos como leilões, falhas nas transmissões de audiências e reuniões públicas da Diretoria, não funcionamento do portal da internet, não submissão de arquivos e informações pelo sistema Duto, atrasos no repasse de verbas de compensação financeira ou recebimento de receitas, etc. Enfim, toda a boa reputação 61

74 da Agência, como órgão regulador, seria afetada, pela incapacidade temporária de cumprir plenamente sua missão social 25. Diante destas considerações iniciais, tem-se a seguir, as linhas gerais que irão nortear o perfil adequado de ambiente de infraestrutura de Tecnologia da Informação da ANEEL Princípios gerais de Infraestrutura de TI Marco Referencial Para a Infraestrutura de TI em sentido amplo, o presente Plano Diretor estabelece os seguintes princípios gerais aplicáveis a todas as subáreas de atuação, como Marco Referencial: Alta Disponibilidade: definida como a capacidade de assegurar o fornecimento de serviços de forma contínua, estável e com boa qualidade, mesmo sob condições adversas. De forma inversa, define-se condição inaceitável a ocorrência de interrupções temporárias, paralisação ou instabilidade da Infraestrutura de TI que venha a comprometer as operações da ANEEL; Rigor Técnico: definido como o conjunto de práticas e procedimentos de trabalho que visam assegurar plena aderência e conformidade a todas as normas, padrões, diretrizes, requisitos e especificações técnicas quanto à utilização, operacionalização e preservação do acervo de informação e dos ativos de Infraestrutura de TI. O termo rigor refere-se à relevância ao fato de que não podem ser tolerados desvios e incompatibilidades operacionais no tocante aos quesitos citados na camada de base onde se estrutura todas as operações de TI; Processo Corporativo: definido como o modelo sequencial de ações que levam à identificação e classificação dos processos corporativos; à propriedade das informações e serviços de forma a garantir a indicação de gestores e responsáveis pelo acompanhamento, decisões e avaliação de resultados; e à consolidação do uso de recursos de TI de forma a orientar a produtividade obtida através de produtos e serviços de uso da Agência, com a implantação de políticas de uso e melhoria contínua das soluções; Equipe altamente capacitada: refere-se à disponibilização de recursos humanos que detenham conhecimento de tecnologias e domínio técnico para operacionalização, manutenção e evolução do ambiente de Infraestrutura de TI. Esta definição incorpora a garantia de realização de ciclos de treinamento e atualização contínua do conhecimento dos profissionais da Agência no tocante a hardware, software, geoprocessamento, plataformas de segurança, banco de dados, conectividade, segurança digital, gestão eletrônica de documentos, portais corporativos, BI e legislação. Isso proporcionará integração do conhecimento e portfólio de TI às operações e negócios conduzidos pela Agência, para fortalecimento da gestão e educação corporativa; Agilidade Operacional: definida como um conjunto de ações e procedimentos que asseguram a aquisição dos suprimentos que atendam a um padrão de desempenho com resposta operacional no tempo adequado. Inclui a realização de planejamento e ações que facilitam a aquisição de equipamentos, softwares, suporte, consultoria e serviços especializados de forma célere e a utilização de ferramentas que apliquem, ou incorporem de forma embutida, técnicas ou melhores práticas de TI aceitas na atualidade, como ITIL, COBIT, BSC, Team Foundation, etc. 25 Segundo o Código de Ética da ANEEL, a eficiência é um dos valores que pautam as ações da Agência, definida como a busca da excelência nos processos, tarefas e atividades, otimizando recursos de forma a obter os resultados esperados pela sociedade. 62

75 Retenção de conhecimento especializado: definida como a existência de quantidade mínima de profissionais efetivos, no âmbito das equipes de gestão técnica das áreas de infraestrutura, de forma a permitir a boa continuidade de funcionamento de todo o hardware e software existente e afastar riscos de perda de conhecimento especializado por ocasião da substituição de contratos de serviços especializados. Tais profissionais devem ser selecionados por meio de concurso público, para desempenhar funções em cada subárea específica. Passa-se, a seguir, aos detalhes específicos que complementam o Marco Referencial para cada subárea de Infraestrutura de TI Administração da Rede Lógica Marco Referencial A Administração da Rede é responsável pela guarda do data center da Agência 26, um complexo eletro-eletrônico onde as informações corporativas são processadas e armazenadas. Todos os recursos computacionais que compõem a rede hardware, software, dispositivos elétricos, lógicos, etc. bem como a condução de ações relativas à manutenção, licenciamento e suporte dos mesmos são de responsabilidade desta área. Além destas funções, a área ainda provê suporte, sustentação e coordenação de todas as ações inerentes ao processo evolutivo e de migração tecnológica de hardware e software do ambiente computacional, o que envolve um conhecimento multidisciplinar e amplo domínio técnico de toda a equipe, ante uma diversidade de projetos a serem executados com diferentes particularidades. Os seguintes parâmetros são definidos neste Plano Diretor como Marco Referencial de Infraestrutura de TI, específicos para a área de Administração da Rede Lógica, que devem ser aplicados de forma superveniente aos princípios gerais descritos no item 3.1.1: Instalações de alta segurança: deve ser assegurada a existência de um data center próprio, instalado em sala-cofre com dispositivos que garantam alto nível de proteção aos ativos de rede contra incêndios e outros incidentes, climatização de alto desempenho, gerador próprio, cabeamento e layout adequado para permitir auditoria visual e lógica por ocasião da realização de leilões. Esta definição decorre do modelo centralizado da Agência, sem filiais regionais onde poderiam abrigar redundância operacional; Sustentação: deve ser assegurado junto à área responsável pela infraestrutura predial, elétrica, hidráulica e de telefonia a atuação integrada e comprometimento no suporte e manutenção geral da infraestrutura de Rede, em razão da interdependência de TI para com vários itens essenciais como no-breaks, geradores, climatização etc., os quais não podem deixar de ser levados em consideração dentro do processo de planejamento da evolução tecnológica de TI; Sistemas Críticos e Não críticos: deve ser assegurada alta disponibilidade em regime de dois turnos de operação (12x5x365) e regime de sobreaviso 27. Deve ser assegurada a existência de regras de classificações, análises de risco, análises e monitoramento de tráfego de dados para que os níveis de criticidade sejam corretamente apurados. 26 Em razão de incertezas e das experiências ainda incipientes sobre soluções virtuais como cloud computing, o conceito de Infraestrutura de Rede referencial neste documento segue a forma de arquitetura convencional, como a utilizada pela maioria das grandes corporações no atual momento. 27 Definido como a existência de funcionário escalado para atuar em situações emergenciais, quando requerido pela Agência. 63

76 Backup Corporativo: deve ser assegurada a existência de normas e procedimentos para: classificação de dados; políticas de salvaguarda e restauração de dados; localização da informação; acomodação (mídia) e armazenamento (local e remoto); segmentação de arquivos salvaguardados; plano de testes; solução de Plano de Continuidade de Negócios / Recuperação de Desastres por meio de solução de Backup Corporativo e/ou recursos de storage que assegurem redundância e armazenamento apropriado das informações contidas nos bancos de dados. Exemplo ilustrativo demonstrado na Fig. 3. A responsabilidade sobre a elaboração e atualização de normas relativas ao Backup Corporativo deverá ser compartilhada com as equipes de Infraestrutura de Banco de Dados e Segurança da Informação; ANEEL ÓRGÃO CONVENIADO Switch Ethernet Switch Ethernet CX4-120 Servidores Servidores Switch de fibra ótica Switch de fibra ótica Storage Storage Fig. 3. Diagrama de solução para ambiente redundante Evolução Tecnológica, Quantitativa e Qualitativa: devem ser realizados e revistos periodicamente os planos de aquisição de equipamentos e dispositivos de forma a assegurar um padrão de atualização de plataformas e melhoria constante de qualidade e propiciar uma migração tecnológica de hardware e software com base em processos planejados e coordenados. Os critérios de seleção de investimentos em equipamentos devem ser orientados pelo aspecto de disponibilidade, qualidade, redundância e grau de extensão do uso da tecnologia a ser adquirida, de forma a evitar obsolescência e desuso tecnológico em curto prazo. Armazenamento e Processamento: devem ser efetuados estudos preventivos de situações de sobrecarga de capacidade, falta de espaço para manobras e volume de crescimento das operações, de forma a manter afastado o risco de colapso em gargalos na rede, colisão de dados em dispositivos concentradores ou insuficiência de armazenamento por informações processadas no ambiente tecnoõgico da agência. O período mínimo a ser coberto é de 5 anos do crescimento vegetativo dos negócios da Agência. 64

77 Classificação da informação: deve ser assegurada a existência de política e regras para criação, manuseio, armazenamento, acesso, auditoria, tempo de vida útil e descarte de dados corporativos; Critério de seleção para arquiteturas: os princípios norteadores devem seguir o resultado a ser alcançado junto à área demandante ou a produtividade da SGI. Por exemplo, para uma determinada aplicação, cuja solução possa ser processada por plataforma Windows, Novell, Linux, Oracle, Lotus Notes, Sun Solaris ou outra qualquer, a arquitetura de solução deve ser selecionada dentro de rigor técnico voltado à obtenção de resultado. No tocante à rede instalada, a tecnologia disponível deve permitir expansão dinâmica de equipamentos, para atender a uma demanda crescente por armazenamento e desempenho de processamento decorrente de novas soluções sistêmicas. A padronização deve ser sempre perseguida em situações de riscos de incompatibilidade de desempenho ou diversidade de configuração ou identificação de softwares por dispositivos que possam afetar o processamento de sistemas legados ou soluções desenvolvidas sob várias linguagens. A arquitetura de projetos deve estar sempre voltada a desempenho, robustez, política de testes, localização, acesso rápido a sites, sistemas e serviços através de portais corporativos customizados, autenticação otimizada (Single Sign On) e obtenção de resultados. O padrão corrente de servidores blade deve ser perseguido, por reunir as melhores condições de espaço físico e tecnologia. Deverá ser avaliada a eventual utilização de software livre / público, sempre que aplicável. O padrão corrente de servidores blade tem se mostrado inadequado, visto que depende de arquitetura proprietária. Desta forma, deve-se perseguir um modelo independente de fabricante, utilizando-se servidores para rack 19, possibilitando maior liberdade para aquisições e maior competitividade em licitações. Definição de especificações de produtos enquadráveis para o ambiente de Infraestrutura de TI da ANEEL, sujeitos à aprovação e análise de viabilidade técnica da SGI: Mobilidade: a disponibilização de notebooks, tablets e celulares pode ser empregada sempre que haja necessidade de acesso remoto a dados corporativos decorrente da atividade dos colaboradores, por meio de OCS, NetMeeting, Vídeo Conferência, Windows Media, Unify Messenger etc; Redes sem fio: a cobertura do interior de toda a Agência por redes sem fio é desejável, para permitir acesso a utilização de tablets, celulares e outros dispositivos de acesso móvel; Certificação Digital: altamente recomendado para autenticações na rede. Nível de Maturidade: deve ser assegurada uma evolução qualitativa do ambiente computacional por nível de maturidade apoiado em processos, segregação de ambientes de desenvolvimento, homologação e produção, classificação da informação, papel dos agentes, políticas, diretrizes e cultura organizacional, além da devida associação com as particularidades de negócio às quais a Agência está envolvida, como os leilões, riscos de racionamento de energia, transmissão pública de reuniões da Diretoria, demandas por imagens, geoprocessamento, etc. No tocante à governança, deve ser assegurada a existência de métricas e indicadores que permitam observar claramente os padrões de desempenho e a capacidade de resposta a incidentes de qualquer natureza; 65

78 Política de divulgação das ferramentas de TI: deve ser coordenada ação conjunta com a área de Recursos Humanos no sentido de elevar o nível de conhecimento corporativo dos aplicativos e soluções existentes Administração de Banco de Dados Marco Referencial A função da equipe de Administração de Banco de Dados é de natureza totalmente distinta da função de Administração de Dados. Enquanto a primeira associa-se à infraestrutura, cuidando de assuntos relativos ao armazenamento, condições de acesso, disponibilidade, monitoramento e segurança, a segunda função, de Administração de Dados, dedica-se aos modelos de dados, ou seja, objetiva a melhor representação e organização dos últimos, tendo em vista a integridade, classificação, disponibilidade e facilidade de identificação da utilização dos dados. Trata-se de uma distinção da maior relevância e que leva a várias conclusões, como: 1 - a de que não é possivel desenvolver e manter sistemas de forma eficaz sem um profundo entendimento dos negócios de uma organização; 2 - a de que é preciso assegurar que os modelos conceitual, lógico e físico de dados sejam implantados corretamente; 3 - a de que há uma cultura a ser disseminada na organização, no tocante à definição de restrições de integridade, regras de validação de dados e a disciplina quanto à necessidade de informações. Apesar da clareza dessa distinção de conceitos dentro da SGI/ANEEL, as funções de Administração de Dados têm sido exercidas parcialmente pela área de Gestão da informação devido ao grande volume de tarefas e do limitado contingente de profissionais disponíveis. O Marco Referencial da ANEEL é o da Administração de Dados como um subprocesso incorporado à Gestão da Informação. Com isso será assegurada maior qualidade e integridade nas informações, e uma maior contribuição à unificação da visão que a Agência necessita ter de seus Ativos Digitais, com a gradativa prevenção da redundância e anomalias na base de dados. Os seguintes aspectos devem integrar o Marco Referencial, para consolidação do papel de Administração de Dados na ANEEL: Modelagem de dados: a Administração de dados, com a utilização de conhecimentos sólidos de modelagem de dados, deve possibilitar a criação e manutenção de estruturas de dados que sejam coerentes com o negócio da organização, imponham integridade e sejam flexíveis para permitir o compartilhamento da informação, permitindo a utilização segundo uma visão corporativa. Atualmente, quase a totalidade dos bancos de dados é relacional, ou seja, baseado na teoria matemática das relações. A adoção da modelagem relacional permite, com a aplicação de suas técnicas, alcançar o objetivo principal que é ter dados íntegros. Trata-se de técnicas consolidadas em âmbito internacional, por várias décadas. Estabelecendo a integridade dos dados, visa implementar restrições nas informações armazenadas, diminuindo a probabilidade de entrada de dados errados. Com a 66

79 normalização é possível focar em aspectos como a preservação de integridade dos dados, estabilidade ao modelo e eliminação de redundância. Consultoria em Modelagem de Dados: a Administração de Dados deve orientar no uso das técnicas, padrões e ferramentas de apoio à modelagem de dados, conceitos corporativos e boas práticas para atingir qualidade de dados. Regras e Padrões: É necessário o estabelecimento formal de regras e padrões que direcionam e padronizam a atividade de modelagem de dados. Sendo um norteador para as atividades de modelagem realizadas pelas equipes de desenvolvendo. As regras devem abranger técnicas de modelagem de dados relacional, padrões de modelagem de dados da organização, padrões de nomenclatura e padrões de dicionarização de dados. É papel da Administração de dados zelar pelos padrões, sendo, porém, responsabilidade de todos na Agência a busca pela adoção dos padrões determinados. Uso de Ferramentas de apoio: uma ferramenta CASE (Computer-Aided Software Engineering) auxilia o processo de modelagem de dados, pois permite a realização do projeto com componentes gráficos, sua dicionarização, geração de script s das estruturas e o compartilhamento dos modelos existentes. A utilização de modelos de dados permite o gerenciamento da complexidade. É instrumento de comunicação entre os profissionais envolvidos no desenvolvimento e manutenção e impõe disciplina para a especificação de problemas, assegurando as devidas considerações lógicas. Ainda conduz a sistemas de informação estáveis, robustos e confiáveis, de forma que mudanças normais na empresa não os afetem. Favorece o processo de verificação e validação e gera maior entendimento da entidade real a ser construída. Repositório Centralizado: um repositório centralizado de modelo de dados permite o armazenamento, a busca e a recuperação de modelos e todas as informações relacionadas. A utilização de uma ferramenta CASE que possua um repositório centralizado de modelo de dados intensifica a característica do modelo de dados de ser instrumento de comunicação. O controle do acesso, versionamento e compartilhamento de modelo de dados são fundamentais. Dicionário de Dados: O dicionário de dados é a centralização dos conceitos que envolvem cada objeto de dado, definidos formalmente de acordo com regras e padrões determinados. Deve ser estabelecida uma metodologia que imponha clareza, completude e padronização na dicionarização dos dados. O estabelecimento de um glossário é um facilitador para o reuso da informação. Considerando que uma palavra, pode estar relacionada a vários significados, é necessária a definição de apenas um conceito para determinada palavra, tornando este conceito corporativo. Desta forma, aonde for identificado um conceito corporativo saberá que está se tratando da mesma coisa Banco de Dados Marco Referencial De uma forma geral, a área de Banco de Dados exerce o papel de guardião dos dados corporativos, uma vez que sua incumbência é a de mantê-los seguros e acessíveis para os usuários dentro dos padrões de segurança definidos em normas específicas. Trata-se da área responsável pelo suporte, administração, monitoramento e implantação de bases de dados com foco na segurança, estabilidade, confiabilidade e acessibilidade, para garantia da integração e 67

80 unicidade da informação. Dentro desta visão, os padrões de utilização e as normas de segurança são essenciais para o respaldo das ações e decisões tomadas pelos analistas de banco de dados e backup. A área atende clientes internos da ANEEL, tanto dentro da SGI como de outras superintendências. Esses clientes são constituídos por áreas como a de sustentação de sistemas, superintendências que demandam a criação de relatórios de DW (Data Warehouse) e usuários que necessitem da recuperação ou realização de backups 28. Sob a ótica das melhores práticas de gestão, este Plano Diretor define os seguintes parâmetros como Marco Referencial, que devem ser aplicados de forma superveniente aos princípios relacionados no item 4.1.1: Quanto a Normas e Padronizações Relativas a Bancos de Dados: Obrigatoriedade de utilização: é obrigatória a utilização de padrões para formatos, nomenclatura, mecanismos de restrição, perfis de autoridade etc., no sentido de impedir a criação de soluções que atendam a interesses individuais ou de determinada área sem metodologia, que possam comprometer a segurança e integridade do Banco de Dados Corporativo e/ou levar a redundância e inconsistência de informações. Responsabilidades: a elaboração e atualização regular das normas e padrões estarão a cargo da equipe de Bancos de Dados e deverão ser revistas pela equipe de Segurança da Informação no que tange às disposições específicas sobre assuntos de segurança da informação; Clareza: as normas e padrões devem ser definidos de forma clara e permitir uma boa disciplina de utilização do Banco de Dados Corporativo no âmbito de desenvolvimento de sistemas; Rigidez: deve ser assegurado alto nível de rigidez normativo para forma e técnicas de utilização de BD, no tocante a objetos, modelos de dados, dicionarização, tabelas temporárias e uso de códigos armazenados no banco de dados (como stored procedures ou triggers). Deve ser garantida a existência de um único padrão na Agência, de forma a trazer clareza aos desenvolvedores e reduzir o nível de retrabalhos, redundâncias, inconsistências e a incidência de erros de modelagem, decorrentes da adoção de diferentes padrões para cada sistema; Garantia de compatibilidade: no planejamento de aquisição de software e produtos, deve ser observada a obrigatoriedade de os fabricantes procederem ao ajuste de compatibilidade de seus produtos à plataforma de Bancos de Dados em uso na Agência, e não o contrário; Backup Corporativo: a responsabilidade sobre a elaboração de normas e procedimentos de Backup Corporativo deverá ser compartilhada com a equipe de Infraestrutura de Administração de Rede, Segurança da Informação e Gestão de Documentos. 28 Além das atribuições inerentes à Administração de Banco de Dados, a área responde temporariamente pelas atribuições de Aministração de Dados até que essa função passe a ser desempenhada por uma área específica para esse fim, vinculada ao EGP. Vide tópico

81 Quanto à Segurança e Auditoria: Acesso ao ambiente de produção: deverá ser assegurada a existência de normas rígidas e mecanismos eficazes de segurança para garantir que o acesso ao ambiente de produção seja realizado somente por meio de sistemas e aplicações, e não por acesso direto de determinado usuário ou analista de sistemas individualmente. As senhas dos sistemas devem ter um controle restrito feito pela área de Serviços (gestão de liberação e implantação) e o analista de sistemas não deverá ter conhecimento da mesma. Com a segmentação do ambiente de produção, será possível um maior controle e auditoria de acesso aos bancos de dados de produção, garantindo maior nível de segurança e integridade dos dados; Alteração de dados em ambiente de produção: deverá ser assegurada a existência de norma rígida para garantir que ninguém possa ler, alterar, suprimir ou inserir dados em produção sem que seja através de um sistema ou aplicação. Caso necessário, a norma de segurança deve prever exceções, com indicação dos canais de autorização e a forma de registro desse acesso, onde o usuário individual ou analista de sistemas que faça uso das informações assine um termo de responsabilidade; Utilização de senhas: a norma de segurança deverá prever: (i.) controle de acesso rígido às bases de produção com vedação de uso de senhas fracas ou óbvias pelos usuários dos sistemas de produção; (ii.) as senhas de produção devem ser apenas configuradas para acesso dos sistemas. (iii.) os acessos de usuários à produção devem ser controlados e temporários, sem uso das senhas de sistemas; (iv.) vedação de que a senha fique codificada na aplicação, ou no caso de senhas codificadas nos sistemas, garantia de que o acesso ao código de produção seja controlado; (v;) manutenção de senhas criptografadas; (vi.) adoção de uma política de modificação periódica nas senhas de produção; (vii.) manutenção de um registro das senhas em arquivo criptografado, para agilizar a manutenção; (viii.) utilização de certificados digitais que reconheçam o acesso apenas das aplicações, o que restringe acesso não autorizado, mesmo que o invasor tenha conhecimento da senha do sistema; (ix) garantia de que o controle das senhas fique a cargo da área responsável pela Gerência de Liberação e Implantação, de acordo com o ITIL; (x) segmentação da rede para que mesmo que algum usuário conheça a senha, o acesso será bloqueado pelo firewall. Na ANEEL, a área responsável por essa gestão é a Gerência de Serviços, dentro da estrutura da SGI. Práticas de auditoria: deverão ser adotadas boas práticas usuais de trabalho, como a auditoria de qualquer operação crítica no Banco de Dados, alterações de estrutura e alterações de dados em tabelas declaradas como críticas. A auditoria deve incluir também operações realizadas pelo Administrador de Banco de Dados (DBA) e pelo Administrador de Dados (AD). Tais atividades devem ser realizadas por meio da utilização de ferramentas específicas para auditoria de Banco de Dados disponíveis no mercado, que armazenam as informações em uma base separada e controlada. Os sistemas devem implementar auditoria de utilização como boa prática. Em caso de uma auditoria de sistemas feita pela AIN, TCU ou outro órgão externo, o sistema será capaz de fornecer informações úteis sobre quem acessa os sistemas, quem realizou determinada ação e se essa ação teve o objetivo de fraudar dados; 69

82 Eliminação de dados críticos: deverá ser assegurada por norma a não-eliminação de dados críticos por nenhum sistema ou usuário, ocorrendo apenas uma eliminação lógica de dados. Esta norma deverá dispor sobre a retenção destes dados, alteração de status informacional e migração dos mesmos para tabelas históricas quando não mais necessários dentro das bases transacionais, de forma a propiciar resposta imediata a qualquer necessidade sem se recorrer a backup, como por exemplo, no caso de questionamento jurídico; Responsabilidade sobre identificação da criticidade: deverá ser normatizada a definição dos responsáveis por identificar quais dados são sensíveis e / ou críticos, tanto do ponto de vista de acesso quanto de retenção da informação; Segurança compartilhada: deverá ser observado que nenhuma alteração poderá ser efetuada nos servidores de Banco de Dados sem o conhecimento da Administração dos Bancos de Dados (DBA), uma vez que a Segurança da Informação também envolve a responsabilidade sobre a administração do DBA. Como qualquer alteração de configuração pode ter impacto no desempenho dos sistemas, deve o DBA estar ciente da nova condição do servidor para poder considerar esta variável. Quanto ao ambiente computacional: Sistema Gerenciador de Banco de Dados Relacional (SGBDR):: a escolha de um SGBDR deve seguir um processo seletivo em que diversas variáveis deverão ser consideradas, para que a melhor decisão seja evidenciada, resultante da combinação ótima entre estas variáveis. Devem ser consideradas as seguintes variáveis: tecnologia, desempenho, robustez, funcionalidade, interface de administração, compatibilidade, aplicabilidade, custos com licenças, custos com migração de legados, custos com treinamento, dentre outras. O SQL Server 2008 foi adotado como a continuidade evolutiva mais vantajosa e econômica para o perfil da ANEEL e constitui-se no Marco Referencial para o presente momento. A eventual substituição por outro fabricante (Oracle, por exemplo) só poderia ser viabilizada caso o conjunto de custos de conversão de todos os sistemas legados, treinamento de pessoal técnico em nova linguagem, custo com duplicação de novas licenças para suportar o legado existente e os riscos de eventual incompatibilidade para os demais aplicativos e todo o hardware fosse suficientemente menor e livre de vários riscos inerentes à mudança radical de conceito a ser implantada. Deve ser levada em consideração a potencial utilização de software livre, sempre que determinados nichos de oportunidade se mostrar favoráveis à sua utilização. Disponibilidade x Criticidade: deve ser assegurado que todos os bancos de dados de produção funcionem em ambiente redundante com o uso de tecnologia de cluster 29, dispositivos de armazenamento em rede (storage), bancos stand-by (se for preciso um nível mais alto de disponibilidade), política de backup e demais requisitos inerentes a esta classificação. Deverá haver alta disponibilidade para sistemas críticos, para garantir o mínimo de downtime 30 do ambiente, de acordo com 29 Termo utilizado para designar um aglomerado ou conjunto de computadores que utiliza um sistema operacional compartilhado entre os mesmos. Entre os vários tipos existentes, tem-se como mais conhecidos os Clusters de Alto Desempenho, Clusters de Alta Disponibilidade e os Clusters para Balanceamento de Carga. 30 Termo que define o período de tempo em que determinado sistema fica indisponível. 70

83 parâmetros definidos em projeto. Deve ser definido o nível de disponibilidade exigido para os bancos de dados, como por exemplo, o regime 24x7 e quais as janelas disponíveis para manutenções. A ANEEL deve prover Acordos de Nível de Serviço (SLA na sigla em inglês) com a empresa terceirizada responsável pelo suporte de banco de dados, indicando os tempos aceitáveis de indisponibilidade do ambiente, de retorno à normalidade e janelas de manutenção; Topologia: a topologia mais adequada deve ser definida de acordo com a necessidade de disponibilidade dos serviços e recursos. Um SGBDR com mais recursos administrativos permite à área de Administração de Banco de Dados realizar estudos de planejamento de capacidade mais precisos e com maior subsídio técnico, o que contribui para avaliar a adequação da arquitetura e a previsão de necessidades futuras. O infográfico da Figura 4 apresenta a topologia que será adotada para fornecer um alto nível de disponibilidade para os bancos de dados de produção da ANEEL. Essa topologia não garante 100% de disponilidade, mas garante um tempo extremamente baixo de normalização do ambiente de banco de dados, devido ao contingenciamento de servidores. Fig 4. Topologias de alta disponibilidade para Bancos de Dados Segregação de ambientes: deve ser assegurada a definição clara de ambientes de desenvolvimento, homologação e produção. Para cada sistema em desenvolvimento, deverá haver definição clara dos procedimentos a serem seguidos antes da colocação em produção, com a determinação de um fluxo de procedimentos a serem seguido. Deverá haver restrição para baixa de dados de produção para o desenvolvimento. As equipes de desenvolvimento deverão criar massa de testes para os sistemas. Caso esse tipo de solicitação seja frequente, deve-se buscar no mercado ferramentas que mascarem dados sensíveis, para transformação dos mesmos sem valor legal. Essa alteração dos dados deve levar em conta que somente o ambiente de desenvolvimento acesse os dados de desenvolvimento e que não seja permitido o direcionamento do ambiente de produção para acessar dados de outros ambientes e vice-versa. Quanto ao Banco de Dados Corporativo (BDC) e Business Inteligence (BI): 71

84 Identificação da permanência: a existência de um Banco de Dados Corporativo implica na identificação do que deveria permanecer na base central e o que deveria ser separado destes como dados de sistemas. Em outras palavras, seria criado um banco de dados para cada sistema e o BDC poderia ser acessado através de visões baseadas em queries 31 e/ou códigos armazenados no banco de dados (stored procedure) de forma transparente. A verificação de integridade referencial pode ser realizada através de triggers 32 ou chaves estrangeiras (foreign key). Esse banco de dados corporativo evoca um trabalho de transformar os dados em informação corporativa isenta de redundâncias e inconsistências, dentro das melhores práticas da gestão da informação; Alteração da modelagem: devem ser adotados procedimentos rígidos no momento da alteração da modelagem do BDC, para afastar riscos ao funcionamento dos sistemas. Desta forma, este trabalho deverá envolver um levantamento dos dados corporativos, dos sistemas que consomem esses dados, de quem os mantém e como devem ser acessados; Camada de isolamento: deverá ser disponibilizada camada de isolamento que funcionará como interface de comunicação dos sistemas com as tabelas do BDC e de um sistema com outros sistemas. Atualmente essa camada é fornecida pelos WebServices, mas nem todos os sistemas a utilizam. Essa camada deverá ser administrada pela área que administra o desenvolvimento de sistemas (EGP). O uso dessa prática deverá ser intensificado para sistemas desenvolvidos internamente ou produzidos pela fábrica ou comprados externamente; Acompanhamento técnico para BI: deverá ser assegurado acompanhamento adequado para a equipe e a estrutura de trabalho de atendimento à demanda por soluções de BI bem como suporte técnico apropriado. Dentro deste conceito, os dados não permaneceriam mais restritos a seus respectivos sistemas, mas sim, dentro de um contexto mais amplo, com inclusão de inteligência no uso da informação para maior suporte à tomada de decisão. Há um aspecto cultural que deve ser levado em consideração ao se implantar BI, em que a conscientização e o treinamento deverão contemplar tanto os profissionais de campo quanto os usuários finais da solução. Quanto ao Backup Corporativo: da mesma forma estabelecida para a normatização, os procedimentos operacionais de backup deverão ser compartilhados pelas áreas de Banco de Dados e Administração da Rede Lógica, em virtude da natureza afim deste trabalho. De uma forma ampla, as diretrizes, normatização, acompanhamento e políticas de backup não podem, em hipótese alguma, prescindir o envolvimento da área de Banco de Dados, posto que a arquitetura, estrutura e controle de BD são operacionalizados por esta área. 31 O termo query, cujo significado isolado é o de inquirir ou consultar corresponde a uma funcionalidade ou objeto de consulta / busca ao SGBD oferecida pela própria linguagem para consulta ao Banco e dados a chamada SQL, Structured Query Language, ou Linguagem Estruturada de Consulta. 32 O termo trigger, que significa gatilho, refere-se a um procedimento programado cuja execução ocorre sempre que haja uma tentativa de modificar os dados de uma tabela protegida por ele. Quando a alteração é efetuada, o gatilho é disparado, com gravação do histórico de alterações, usuário e horário da ocorrência. 72

85 1.1.5 Service Desk Marco Referencial O objetivo do Service Desk é prover um ponto único de contato aos usuários de TI, condição imprescindivel para uma comunicação efetiva entre os usuários e as equipes de TI da SGI/ANEEL. Um Service Desk utiliza softwares especializados e ferramentas para registrar e gerenciar todos os eventos, com rápida orientação e restauração à normalidade dos serviços disponibilizados aos usuários e a devida interação dos subprocessos da SGI junto aos prestadores de serviços de TI. De acordo com as melhores práticas de mercado (ITIL, ISO 20000, COBIT), e no âmbito deste Plano Diretor, uma central de Service Desk deve possuir como Marco Referencial os seguintes pontos: Quanto ao Controle do Incidente: como responsável pelo controle dos incidentes, o Service Desk deve ser acessível aos clientes e usuários em suas atividades de gerenciamento. Entre as particularidades envolvidas quanto ao controle, devem ser observadas: Interface: deve ser disponibilizada interface a outras atividades como gerenciamento de serviço, mudança, problema, configuração, liberação, nível de serviço e gerenciamento de continuidade de serviço de Tl; Aceitação: deve ser assegurado um nível de boa aceitabilidade dos clientes e usuários, o que melhora a satisfação em relação ao fornecimento dos serviços de TI; Comunicação: deve ser assegurado suporte à comunicação de mudanças em toda a organização e o tratamento de incidentes até a resolução; Registro: deve ser assegurado que todos os incidentes sejam registrados com o intuito de se mensurar os gastos com TI, o tempo médio por atendimento, as relações entre incidentes, a manutenção do banco de soluções e os históricos de itens de configuração; Cobertura de suporte: deve ser proporcionada cobertura de suporte capaz de atender ao período de funcionamento da ANEEL com respostas às solicitações (teleatendimento, , sistemas remotos, sistemas de aberturas de chamados etc.); Processos: deve haver descrição suficiente de processos e procedimentos de atendimento. Quanto à forma de atendimento em Primeiro Nível: Desempenho e eficiência: o Service Desk deve atuar de forma proativa ao resolver a maioria dos incidentes possíveis em primeiro nível, por telefone ou remotamente. Ele tem a obrigação de manter os usuários informados sobre eventos, questões e dificuldades nos serviços de TI que possam impactar adversamente sobre a capacidade de realizar suas atividades. Com isso, reduz-se o tempo de paralisação das atividades desenvolvidas pelos colaboradores da Agência e obtém-se um bom desempenho e eficiência dessa função, o que contribui para a melhoria da qualidade do fornecimento de serviços de TI. Quanto ao alcance de benefícios: deverão ser obtidos: 73

86 Boa acessibilidade das informações e comunicações, através do ponto único de contato; Perguntas, pedidos, reclamações e comentários designados prontamente para ação; Boa qualidade e tempo de resposta rápido (retorno) para os pedidos dos clientes; Enfoque e abordagem estruturada proativa à provisão do serviço de suporte; Menor impacto negativo de incidente, maior produtividade do cliente/usuário; Melhor gerenciamento e controle da infraestrutura; Utilização aprimorada dos recursos de suporte de TI para maior produtividade do pessoal de negócios; Espírito de equipe, boa motivação e comunicação organizacional; Utilização de recursos eficientes, efetiva e superior; Relato de informações de gerenciamento consistente para aprimoramento das decisões de suporte; Realização de diagnósticos e restaurações de ambientes remotamente, sem a necessidade de deslocamento físico dos técnicos do Service Desk; Maior agilidade, flexibilidade e velocidade para a identificação e resolução de problemas; Racionalização dos custos de Service Desk; Aumento da satisfação dos usuários internos com os serviços de TI; Reduções de custo reais através da melhora significativa na disponibilização do equipamento para inventário e atualizações; Redução do tempo ocioso do equipamento que aumenta a produtividade do usuário; Aperfeiçoamento significativo das técnicas de diagnóstico e reparo de hardware e software. Quanto às métricas: as métricas do Service Desk deverão contemplar: Percentagem de chamadas resolvidas durante o primeiro contato com o Service Desk (ou seja, enquanto o usuário relata o problema na chamada telefônica); Percentagem de chamadas resolvidas pela própria equipe do Service Desk, sem recorrer à escalação; Tempo médio para resolver um incidente (quando resolvidos na primeira linha); Tempo médio para escalar um incidente (quando a resolução de primeira linha não é possível); Média de custo do Service Desk para lidar com um incidente; Percentual de clientes ou atualização de usuários conduzidos dentro dos limites dos Acordos de Nível de Serviços (SLA); Tempo médio para revisar e fechar uma ligação resolvida; Número de ligações perdidas por hora do dia ou da semana, combinada com a média de ligações ( item crítico para determinação da força de trabalho necessária); 74

87 Pesquisa de satisfação dos clientes. Quanto à Estrutura Organizacional: o Service Desk pode ser estruturado dentro das instalações físicas da ANEEL, externamente ou com uma combinação das duas situações. Apenas o atendimento em primeiro nível poderá estar em ambiente externo. Os demais níveis devem ser instalados fisicamente dentro da Agência a fim de proporcionar agilidade de atendimento. Na criação de níveis de equipe, devem ser considerados os seguintes fatores, quando aplicável: Expectativas de serviço dos usuários; Requisitos de negócios (orçamento e tempo de resposta as ligações); Tamanho, desenho e complexidade da Infraestrutura de TI e o Catálogo de Serviço; Número de clientes e usuários para dar suporte; Tipos de Incidentes e Requisições de Serviços ou tipos de Requisição de Mudanças, se apropriado; Período de cobertura de suporte e o tipo de resposta necessária (telefone, , fax, voice mail, vídeo, atendimento físico); Nível de treinamento necessário; Tecnologias de suporte disponíveis (sistema de telefone, ferramentas de suporte remoto, etc.) Níveis de habilidades existentes da equipe; Processos e procedimentos em uso. Processos: o Marco Referencial de funcionamento do Service Desk deve contemplar um método de entradas e saídas dos processos como demonstrado na Figura 5. Fig. 5. Diagrama representativo do Service Desk 75

88 1.1.6 Segurança Marco Referencial Em um mundo onde a informação representa valor imprescindível para que todos os segmentos da sociedade exerçam suas funções, surge a necessidade da ação da área de Segurança Informacional, seja para prevenção de riscos associados a fatos naturais, seja para afastar a ação maliciosa ou nociva por parte de criminosos ou interessados que venham causar dano a este componente de vital importância. Atualmente, as organizações ficam expostas a diversos tipos de riscos e ameaças de ordem informacional, como fraudes eletrônicas, espionagem, sabotagem, vandalismo além de todos os efeitos naturais que possam destruir acervos eletrônicos, como incêndio ou inundações. Danos causados por códigos maliciosos, crackers e ataques de negação de serviços tornam-se a cada dia mais destrutivos e sofisticados. A Infraestrutura de Segurança da Informação tem por missão proteger os ativos de informação contra ameaças, na busca da diminuição das ocorrências, dos impactos e, consequentemente, dos riscos. Caracteriza-se por ser, antes de tudo, uma metodologia personalizada às condições encontradas. A sua implantação requer o levantamento de uma série de informações, a fim de que os produtos finais possam ser adaptados para uso pleno. Sob a ótica das melhores práticas de gestão, este Plano Diretor define os seguintes parâmetros como Marco Referencial, que devem ser aplicados de forma superveniente aos princípios relacionados no item 1.1.1: Quanto à Organização da Segurança da Informação: as atividades devem estar bem definidas e em conformidade com a Política de Segurança da Informação. As diretrizes básicas dessa política deverão atender às normas ABNT NBR ISO/IEC 27002:2006 e ABNT NBR ISO/IEC 27005:2008. O papel dos profissionais e do gestor da Segurança da Informação deve estar alinhado com a proteção que se deseja dar aos ativos e à implantação de controles específicos. Quanto à Análise/Avaliação e Tratamento de Riscos: a análise e avaliação de riscos devem ser realizadas periodicamente e de forma metódica, com a inclusão das mudanças nos requisitos de segurança da informação, ou seja, nos ativos, ameaças, vulnerabilidades, impactos e sempre que mudanças significativas no ambiente ocorrerem. Para o tratamento dos riscos deve-se levar em conta a definição de critérios para se aceitar o risco ou não e considerar ainda a relação custo - benefício de se aplicar o devido controle. Os controles devem ser aplicados sempre que pertinentes, no sentido de reduzir os riscos. O risco pode ser evitado, eliminado ou transferido e seu escopo deve ser translúcido com enfoque na sua magnitude (análise) e significância (avaliação). Quanto à Política de Segurança da Informação: a política de Segurança da Informação deve ser formalizada por meio de documento oficial da instituição, aprovada pela direção, publicada e comunicada para todos os colaboradores e partes externas relevantes. O momento ideal para o desenvolvimento de uma política de Segurança da Informação é a situação anterior ao acontecimento dos problemas graves, pois a prevenção e o preparo são justamente a sua principal finalidade. Existem vários fatores a serem contemplados numa política, entre os principais: Diretrizes básicas; Manuseio e classificação de informações; Licenciamento de softwares; 76

89 Backups; Acesso remoto; Resposta a incidentes; Investigação e perícia forense; Acesso aos recursos tecnológicos; Termo de confidencialidade; Declaração de comprometimento da direção; Acesso privilegiado; Propriedade intelectual; Requisitos legais e regulatórios, dentre outros. Quanto à Gestão dos Ativos: é preciso alcançar e manter a proteção adequada dos ativos da organização. Os ativos devem ser inventariados e a sua responsabilidade dever ser atribuída ao proprietário. A ANEEL deve identificar e manter o controle de todos os seus ativos com a devida documentação da importância de cada um. Os seguintes ativos devem ser considerados prioritariamente: Ativos de informação; Ativos de software; Ativos físicos; Serviços; Pessoas; Reputação e imagem da corporação, dentre outros. Quanto à Gestão de Incidentes de Segurança da Informação: os serviços devem ser restaurados ao padrão normal o mais rápido possível com o mínimo de interrupção, e impacto negativo nas áreas de negócio. As fragilidades e eventos de Segurança da Informação associados com sistemas de informação devem ser comunicados, para permitir a devida tomada de ação corretiva em tempo hábil. Quanto à Gestão de Continuidade de Negócios: o desenvolvimento preventivo de um conjunto de estratégias e planos de ação deve ser conduzido juntamente às áreas de Infraestrutura de Rede e Banco de Dados, de maneira a garantir que os serviços essenciais sejam devidamente identificados e preservados após a ocorrência de um desastre e até o retorno à situação normal de funcionamento da corporação dentro do contexto do negócio do qual ela faz parte. Um plano de continuidade de negócios deve abranger os seguintes aspectos: Definição das medidas de redução de riscos apropriadas e o plano de continuidade das operações; Decisão sobre as estratégias de recuperação dos serviços de TI; 77

90 Responsabilidades; Matriz de comunicação; Procedimentos, dentre outros. Quanto à Conformidade: um dos fatores primordiais na identificação dos requisitos de proteção necessários a uma dada informação é o olhar atento sobre legislação / regulamentação à qual a organização está sujeita, com a devida análise em detalhes na busca de determinações específicas. O objetivo da conformidade legal é evitar a violação de qualquer lei criminal ou civil, estatutos, regulamentações ou obrigações contratuais e de quaisquer requisitos de segurança da informação. Os gestores devem garantir que todos os procedimentos de Segurança da Informação, dentro da sua área de responsabilidade, sejam executados corretamente para atender à conformidade com as normas e políticas de segurança da informação. No âmbito da Administração Pública Federal, a Gestão da Segurança da Informação e Comunicações é disciplinada pela Instrução Normativa GSI nº 1 e suas normas complementares ( Quanto à Capacitação e Conscientização em Segurança da Informação: o elo mais fraco da corrente de Segurança da Informação são os próprios seres humanos. Para disseminar a cultura em Segurança da Informação é necessário conscientizar e capacitar os usuários de uma maneira sob medida para cada organização. Isso exige recursos financeiros, tempo das pessoas, alinhamento com a estratégia de negócio, planejamento de atividades e trabalho constante. A conscientização em Segurança da Informação deve respeitar a cultura organizacional e a maneira de ser de cada pessoa. Da alta direção até o colaborador de menor hierarquia ou relacionamento profissional, todos devem participar do processo de conscientização e treinamento. Aprender implica mudança de hábitos. O hábito é um dos produtos finais da aprendizagem que, por sua vez, significa mudança de comportamento. Quanto aos Indicadores: os indicadores são instrumentos importantes que devem ser utilizados no controle da gestão, verificação e medição de eficiência e eficácia da Segurança da Informação. São da maior relevância para o campo da administração pública, pois permitem observar e mensurar aspectos de uma determinada realidade, na medida em que contribuem para o aumento da transparência da gestão e facilitação do diálogo entre os mais diversos grupos sociais organizados Gestão Internet / Intranet Marco Referencial A gestão da Internet / Intranet encerra uma gama de responsabilidades distintas, conforme a natureza das competências por parte das diversas áreas da ANEEL. Cabe à Superintendência de Comunicação e Relações Institucionais SCR a responsabilidade sobre a concepção, lay-out e desenvolvimento do sítio da Agência e do portal interno (intranet), bem como o fornecimento de informações a serem veiculadas e os serviços a serem oferecidos ao público dentro das competências definidas pelos incisos I e III do artigo 14-A da Portaria MME n 349/ (Regimento Interno da ANEEL). 33 Conforme a redação dada pela Resolução Normativa ANEEL n 249 de 30/01/

91 Já no tocante ao apoio técnico associado ao funcionamento do portal e ao desenvolvimento de outras aplicações em ambiente WEB, tem-se as responsabilidades atribuídas à SGI, dentro do escopo de suas competências. As principais responsabilidades envolvem tanto a gestão do ambiente computacional, infraestrutura de rede, banco de dados, administração de dados, segurança como também o apoio técnico para sustentação do portal, além do próprio desenvolvimento de aplicações sistêmicas em ambiente WEB. Disseminar a informação é a palavra chave de todo o processo, pois nada adianta o trabalho árduo das unidades organizacionais e de toda a Diretoria Colegiada se a informação e conteúdos produzidos pela Agência não forem divulgadas à sociedade, em condições de tempo e forma confiáveis, com disponibilidade de 24 horas em todos os dias da semana. Há uma série de atividades envolvidas pertinentes à segurança e gestão de conteúdo que devem ser consideradas, além do imprescindível cuidado com informações atualizadas e verídicas, uma vez que o recurso já se tornou ferramenta do dia-a-dia para os trabalhos dos usuários internos e externos. Desta forma, a WEB é a vitrine que exibe as informações e o desempenho das unidades organizacionais, à sociedade. Quanto mais fáceis o entendimento e localização das informações, maior a percepção e retorno da sociedade em termos de confiança, credibilidade, transparência e boa imagem da ANEEL. Para o Marco Referencial da ANEEL, na ótica das melhores práticas em gestão de ambiente WEB corporativo, aplicam-se as seguintes disposições: Quanto aos aspectos normativos e de padronização, cabe primordialmente à SCR no tocante à(s): Páginas da Internet: atender às recomendações de acessibilidade para a construção e adaptação de conteúdos do Governo Brasileiro na Internet (e-mag), publicadas em sítio específico 34 que edita regras e impõe objetos e links obrigatórios. É necessária a devida atenção para com novas regras e modificações, principalmente no momento de transições governamentais, e que devem ser seguidas por todo o Poder Executivo; Identidade Visual: harmonizar a identidade visual da Agência com o ambiente WEB, no qual a linguagem, forma, fontes, logomarca, cores e padronização estão definidas no Manual de Identidade Visual correspondente. Padronização: no caso de desenvolvimento de aplicações, a SGI deve seguir, quando aplicável, normas próprias de design, estilo, fontes, cores, padrão de menus e funcionalidades, de forma a padronizar as aplicações e sistemas WEB. Quanto à Segurança, cabe à SGI, no tocante a: Áreas de infraestrutura: respeitar as normas e padrões de segurança, banco de dados, desenvolvimento e infraestrutura do ambiente de TI da ANEEL. Deve ser assegurado o procedimento de backup e contingência com garantia de continuidade do serviço e recuperação de todas as informações, Banco de dados e sistemas, além da gestão da segurança e garantia dos sistemas críticos para situações emergenciais. 34 Atualmente no endereço 79

92 Confiabilidade e autenticidade: garantir a confiabilidade da informação e a autenticidade do cliente gestor da informação através da melhoria contínua das técnicas de autenticação; Controle de modificações / Prevenção de fraudes: registrar em log 35 as atividades e modificações de inclusão de dados e informações publicadas na página. Deverão ser utilizadas técnicas de confirmação para assegurar a identidade do cliente externo como assinatura digital, ambiente seguro e certificação por cartório digital, para minimização das chances de fraude. A impossibilidade de modificação indevida de dados e captura de senhas deverá ser garantida por meio da aplicação de tecnologias de segurança adequadas; Quanto ao Sistema Gerenciador de conteúdo, aplicações e serviços da Internet / Intranet / Extranet / Hotsites cabe à SCR e SGI, no tocante a: Sistema Gerenciador: assegurar a disponibilização de um sistema que permita ao gestor alterar de forma simples e dinâmica as informações, com ferramentas que atendam às necessidades do dia a dia. Um sistema gerenciador dos sites e portais é de importância vital para a coordenação, organização da montagem dos sites e portais, de forma a garantir fácil acesso dos gestores de conteúdo, a manutenção dos seus dados, assim como a utilização de aplicativos específicos. Autonomia: permitir, quando aplicável, que as Unidades Organizacionais atuem de forma independente e descentralizada, com autonomia para divulgação de suas informações; Desempenho de serviços: assegurar o funcionamento do sistema e suas ferramentas de forma rápida e dinâmica, de forma a permitir a divulgação de informações no tempo e na hora que o cliente ANEEL (interno ou externo) necessitar. A segurança não pode ser esquecida em nenhum momento. Quanto ao Ambiente Computacional, cabe à SGI: Ambiente Redundante: assegurar que todos os sites e portais funcionem em ambiente robusto com o uso de tecnologia de alta disponibilidade e balanceamento de carga entre outras, para permitir à sociedade obter informação a qualquer tempo que necessita. Os bancos de dados e sistemas necessários ao funcionamento destes sites e portais também devem estar em infraestrutura similar (alta disponibilidade), em razão da utilização pelo público em regime 24x7 (ininterrupto, como padrão para ambientes Web) e do elevado número de páginas visitadas. A topologia mais adequada deve ser definida de acordo com a necessidade de disponibilidade dos serviços e os recursos disponíveis Quanto à Análise de conteúdo e Caducidade da Informação, cabe à SCR, com apoio da SGI, no tocante à: Gestão do Conteúdo: utilizar técnicas avançadas de gestão de conteúdo para garantir fácil alteração, registro dos eventos e procedimentos de auditoria. A SCR 35 Procedimento de registro em espaço específico no banco de dados, que contém informações sobre nome, identificador de item, valores, etc para permitir recuperação de dados, dentro de determinadas condições. 80

93 deverá estabelecer mecanismos para assegurar as responsabilidades de forma descentralizada junto às áreas da ANEEL quanto ao controle da temporalidade das informações contidas no sítio; Registros e Controles: assegurar a disponibilidade de avisos automáticos de conteúdo com data a expirar ou vencida e escalonamento dos avisos à medida da criticidade do dado. O registro das modificações, validade do conteúdo e periodicidade da informação são condições imprescindíveis. Devem ser evitadas e/ou eliminadas a redundância e informações conflitantes. Quanto aos Recursos Humanos, no tocante a: Gestores de Conteúdo WEB: cabe à SCR, com apoio da SGI assegurar que o gerenciamento do processo seja conduzido por servidores do quadro efetivo com experiência nas atividades de gerenciamento do conteúdo e aptos. a treinar os gestores de conteúdo na ferramenta de administração, dentro do aplicável. Deverão ser asseguradas atualização e capacitação técnica dos profissionais, para acompanhamento das novas tecnologias envolvidas; Desenvolvedores e Mantenedores dos Sistemas e Aplicações WEB (Internet e Intranet): cabe à SGI assegurar a existência de profissionais qualificados, com capacidade de manter um bom gerenciamento dos serviços, hardware, software e sistemas, bem como de assimilação de novas tecnologias, para otimização do ambiente; Quanto à Tecnologia e atualização, cabe à SGI com apoio da SCR, no tocante a: Novos mecanismos de interação com a sociedade: acompanhar diariamente as novidades relativas às mídias sociais na internet, ante a rapidez da proliferação de novas tecnologias em detrimento da descontinuidade de outras. Ante o desejo geral de se obter informação em todos os meios disponíveis, é imprescindível a pesquisa por novos recursos de comunicação utilizados pela sociedade (RSS, , cadastros, redes sociais) desde que, após análises e pesquisas, seja recomendada a utilização por adequação ao ambiente da Agência. Novos produtos: acompanhar a atualização tecnológica dos produtos existentes e das novas tecnologias utilizadas em sites e portais Pesquisa externa: utilizar ou eventualmente contratar, quando aplicável e dentro das necessidades, serviços prestados por empresas especializadas na realização de enquetes, para identificação dos anseios da sociedade, por ocasião da coleta de sugestões para redesenho do portal e seus sistemas. Este procedimento se faz necessário no sentido de se rever periodicamente a forma como os usuários enxergam a Agência Equipamentos e Software de Uso Comum Marco Referencial A existência de regras e procedimentos coerentes para aquisição de itens de uso comum, como equipamentos (computadores, notebooks, impressoras, scanners, etc) e softwares (aplicáveis a determinadas áreas, como MindManager, ACL, AutoCad, PageMaker, CorelDraw, etc),é requisito essencial para assegurar 81

94 a disponibilização de um parque de equipamentos de boa procedência, qualidade e padronização. Tais elementos auxiliam fortemente a tomada de decisões e propiciam suporte para o enfrentamento das várias dificuldades que ameaçam o equilíbrio no atendimento das demandas dos usuários internos da ANEEL, como a elevada obsolescência ou limitação de recursos financeiros. Os seguintes parâmetros são definidos como Marco Referencial da Agência. Regras gerais para aquisição de itens de uso comum: Microcomputadores e Notebooks: a decisão sobre a aquisição e perfil dos equipamentos estará condicionada às necessidades de trabalho dos usuários e também à melhor relação possível de custo x benefício; Softwares: idem acima Procedimento para Solicitação/Aquisição: deverá ser aberto um chamado ao Service Desk. O fluxo deste procedimento estará disponível em local apropriado no sítio intranet da Agência. Necessidade de especificação: será levado em consideração as atividades exercidas pelo usuário. Por exemplo, os equipamentos de tipo avançado são primordialmente destinados às áreas de desenvolvimento, Web, Administração da Rede, Banco de Dados e outras áreas que utilizam softwares gráficos ou planilhas complexas; para as demais áreas onde não há necessidade atrelada ao trabalho desenvolvido, os itens poderão seguir o padrão normal. Impressoras, dispositivos e serviços de impressão: deverá ser perseguida a terceirização de serviços de impressão, de forma a evitar aquisição de artigos consumíveis como tinta, toner e outros. No modelo de terceirização, deverá ser assegurada a possibilidade de identificação individual do usuário, para controle do volume de impressão gerado. Na ocasião de renovação de contratos, deverá ser efetuada análise de viabilidade entre diferentes modalidades de contrato, como: custo por impressão com e sem inclusão de papel, custo de equipamentos que incluem digitalização, scanner e fax e outros, de forma a se obter a melhor relação possível custo versus benefício para Agência. Scanners: deverá ser perseguida uma política de conversão de scanners individuais para scanners corporativos, em razão de os novos equipamentos já embutirem esta funcionalidade sem acarretar custos para a digitalização. Parâmetros relativos a mobilidade: Determinação da necessidade: deverá ser apontado pelas superintendências e outras áreas a dependência de equipamentos como notebooks, PDA e GPS para exercício de suas atividades. Os potenciais usuários destes equipamentos portáteis são os membros da Diretoria e os servidores das áreas de fiscalização, concessão e eventos, por realizarem viagens para realização de suas atividades; Requisitos: a definição dos requisitos para esses equipamentos deverá levar em conta parâmetros como resistência, portabilidade (peso e dispositivos de acesso), desempenho e autonomia. 82

95 Definição de política de renovação tecnológica: Ciclo de vida dos equipamentos: será atrelado ao período de garantia dos mesmos; Renovação tecnológica: será utilizada política de renovação de acordo com o prazo de expiração da garantia. Por exemplo, se para determinado lote a garantia expira em 3 anos, a renovação será de 33% a cada ano, se for 5 anos, a renovação será de 20%. O processo de aquisição será mesclado com contrato de suporte para as máquinas com prazo de garantia expirado e também, alternativamente quando for tecnicamente viável, a realização de melhorias (upgrade) como aquisição de memórias para melhora de desempenho dos equipamentos. Regras para descarte dos equipamentos: Dispositivos legais: deverá ser observado o cumprimento da IN 205/2008 do SEDAP/PR e Decreto nº 99658/1990 da Casa Civil; Responsabilidade: a responsabilidade para o descarte estará a cargo da Superintendência de Administração e Finanças SAF, e não da SGI; Definições legais: deverão ser realizadas análises periódicas para classificação da imprestabilidade dos bens. Com amparo no Decreto 99658/1990 Art. 3, Parágrafo Único, Alíneas c e d, tais equipamentos são classificados como inservíveis para as atividades de tecnologia de informação da ANEEL, em razão da condição, in verbis: (c) antieconômica, pela manutenção onerosa, rendimento precário devido ao uso prolongado, desgaste prematuro ou obsoletismo; (d) irrecuperável, por não mais poderem ser utilizados para o fim a que se destinam, devido à perda de suas características ou em razão da inviabilidade econômica de sua recuperação. Análise e aprovação de atendimento de demandas encaminhadas pelos usuários: de forma ampla, para atendimento de demandas internas da Agência, a tomada de decisão sobre aquisição de itens de informática de uso geral nunca deve ser tomada por áreas solicitantes, mas sim pela CGI Comissão de Gestão da Informação, que detém competência exclusiva para isto, com apoio em critérios e parâmetros técnicos elaborados pela SGI. O processo de atendimento deve ser operado dentro da seguinte sequência de atividades: área identifica a necessidade => SGI analisa e define a especificação => SGI inclui a solicitação dentro da relação de aquisição periódica (anual, semestral etc.) => CGI autoriza a aquisição. Software Livre: deverá sempre ser avaliada a disponibilização destes recursos, para eventual utilização, sempre que aplicável. 83

96 84

97 1.2 Situação Atual e Ações Prioritárias Infraestrutura Neste tópico, faz-se um confronto entre e a situação atual e o Marco Referencial da Infraestrutura de TI da ANEEL. Todos os aspectos positivos e negativos encontram-se descritos, de forma a demonstrar as limitações, riscos e fragilidades da condição atual. Ao final, são relacionadas ações prioritárias que irão possibilitar o alcance da situação ideal definida no Marco Referencial. Antes da análise de cada segmento de atuação, faz-se o confronto da situação atual da infraestrutura, quando à adoção dos princípios gerais de infraestrutura relacionados no item Quanto à adoção dos Princípios Gerais No tocante ao rigor técnico e processo corporativo, consideradas as limitações de hardware e software do presente momento, qualifica-se o nível de aderência a esses quesitos como aceitável, visto que as fragilidades identificadas ainda não foram suficientes para comprometer o bom desempenho de toda a infraestrutura. As ações relativas a infraestrutura envolvem a utilização de recursos orçamentários, sempre sujeitos a restrições e contingenciamentos. As aquisições realizadas no Governo Federal são naturalmente mais morosas do que aquelas realizadas na iniciativa privada. No caso das aquisições de TI, especificamente, a sujeição à Instrução Normativa nº 4/2010 do MPOG amplia a complexidade destas questões. A SGI tem buscado contornar todas estas questões por meio de um maior foco no planejamento e maior visibilidade das ações de infraestrutura, assim como a realização de melhorias maximizem os recursos disponíveis em detrimento de novas aquisições. Desta forma, considera-se que a agilidade operacional em termos de infraestrutura terá considerável ganho no biênio 2012/2013. Com relação a recursos humanos e conhecimento especializado, a SGI sofreu um grande impacto no processo de substituição de contratos de serviços. A quantidade de servidores efetivos contratados mediante concurso público em 2010 mostrou-se insuficiente para a plena substituição de parte da equipe terceirizada, sobretudo com a rápida perda de alguns novos servidores para outros órgãos. Deve-se buscar empenho junto à SRH para a reposição dos servidores que deixaram a Agência e para a qualificação técnica dos servidores que continuam na ANEEL, de forma que uma maior especialização sirva de compensação para a menor quantidade de pessoas lotadas em atividades de infraestrutura. Assim, as ações necessárias para sanar as limitações e deficiências acima apontadas seriam, independentemente de ordem de prioridade: Implantar totalmente, ou ampliar, a extensão do regime de alta disponibilidade na infraestrutura, de forma a permitir a operação de todas as aplicações e sistemas críticos; Elevar o nível de maturidade de gestão de TI, por meio de ações de fortalecimento de conhecimento, como programas de treinamento e atualização; Elevar os níveis de orçamento de TI da Agência, por meio de articulação interna e externa; Aumentar o grau de articulação entre a SGI, a SLC e a PGE, visando maior agilidade nos processos de contratação; Articular com a SRH a reposição de servidores que deixaram a Agência e a capacitação dos servidores lotados na SGI. 85

98 Passa-se a seguir, à discussão do confronto da situação atual da Infraestrutura com o Marco Referencial, detalhada por segmento de atuação e o devido levantamento de ações prioritárias Administração da Rede Situação Atual Na condição atual, sob a ótica dos padrões mínimos exigidos pela Agência, a área de Administração da Rede apresenta tanto virtudes como defeitos. Em relação às instalações do data center, a existência de uma sala-cofre para abrigo dos equipamentos (dotada de alta segurança, dispositivos de proteção, climatização de alta precisão, geradores, etc.) é um ponto forte que assegura bom nível de segurança, estabilidade de atendimento e baixa ocorrência de falhas. Há um complexo instalado que reúne ambiente tecnológico relativamente avançado, bom grau de padronização, dimensionamento e suporte dos fabricantes em condições aceitáveis. Este aspecto altamente positivo se contrasta, no entanto, com uma série de limitações e deficiências. Os sistemas de gerenciamento integrados, responsáveis pelo monitoramento e notificação de alterações no ambiente de infraestrutura da sala-cofre ainda apresentam limitações e impedem uma prevenção proativa e eficaz na ocorrência de incidentes. No tocante ao ambiente de servidores e armazenamento de dados, os investimentos realizados em 2009, com a aquisição de servidores HP Blade e um storage HP EVA 8400, já se mostram insuficientes em virtude do rápido aumento da demanda, tanto por usuários, sistemas, pela necessidade de backup e pela reestruturação da topologia. Devido à necessidade de alocação de recursos de storage durante os anos de 2010/2011 e implantação de alta disponibilidade aos serviços de TI da agência, faz-se necessário revisões com maior periodicidade quanto às necessidades de expansão de servidores de rede e armazenamento de dados, para garantia da disponibilidade das soluções, principalmente durante as manutenções de hardware e software, sem que exista a necessidade de parada das soluções publicadas. Adicionalmente, a entrada em funcionamento de um novo Sistema de Gestão de Documentos (SICNet 2) deverá exigir uma infraestrutura muito robusta para comportar um aumento na carga de processamento de informações. O processo de Backup Corporativo foi atualizado em decorrência da aquisição de biblioteca de fitas robotizada com tecnologia de última geração, que permite crescimento modular, o que eliminou a precariedade anterior. Em virtude do aumento da demanda por espaço em disco, faz-se necessário revisar as políticas de backup e recuperação de dados, de modo a garantir rapidez na recuperação de informações e desastres. Outra deficiência é a indisponibilidade de infraestrutura redundante instalada em local distante, um componente altamente estratégico para plena efetividade de seu Plano de Continuidade de Negócios / Recuperação de Desastres. Quanto a recursos humanos, a deficiência de servidores efetivos especializados em administração de rede, apontada anteriormente como fator de fragilidade em todas as áreas de infraestrutura, foi parcialmente amenizada com o recente ingresso de novos servidores concursados. Deverá ser perseguida a manutenção de um processo evolutivo de ambiente orientado a projetos, com a adoção de diretrizes, políticas precisas e critérios objetivos para orientação de soluções futuras, padronização de ambientes (desenvolvimento, homologação e produção) e existência de mecanismos de auditoria independentes. Em resumo, ante a situação reportada, tem-se que o modelo ideal de governança de TI para o ambiente de rede ainda não se encontra totalmente implantado, o que requer ação coordenada para o alcance do Marco Referencial. As ações prioritárias relacionadas a seguir propiciam o saneamento das deficiências acima relacionadas e a melhoria da condição atual, e devem ser seguidas, independentemente 86

99 da ordem, de forma superveniente às ações listadas no tópico obs: os itens marcados com (*) encontram-se em andamento vide Anexo I: Estudar alteração da topologia atual separando fisicamente produção, homologação/desenvolvimento e DMZ; Executar substituição dos switches de borda e do cabeamento estruturado para categoria 6; Realizar estudos de soluções de backup que agreguem tecnologias condizentes com a nova realidade de TI para a Agência (e.g. snapshots); Estudar, planejar e implementar gerenciamento de serviços de TI via biblioteca de boas práticas do ITIL; Elaborar, aprovar e implantar a replicação de sites e serviços para ambiente externo ao edifício sede (redundância externa); Efetuar investimentos em ferramentas de monitoramento e auditoria; Criar ciclo de treinamento para a equipe de rede; Assegurar investimentos em hardware para atender a demanda atual e garantir o crescimento futuro; (*) Desenvolver uma cultura de utilização dos produtos e serviços disponibilizados pela SGI; Elevar a capacidade de armazenamento de dados corporativos (storage) da Agência 36 ; Estudar e propor a implantação de solução de rede sem fio em toda a Agência; Administração de Banco de Dados Situação Atual Como mencionado no Marco Referencial, as funções de Administração de Dados tem sido exercidas pela área de infraestrutura de Banco de Dados, existindo, porém uma clareza dentro da SGI/ANEEL quanto ao papel da equipe de infraestrutura Bancos de Dados e a sua distinção da função de Administração de Dados. Essa clareza de distinção pode ser percebida ao se observar as várias iniciativas tomadas para suprir essa deficiência organizacional, como: as ações efetuadas cotidianamente para evitar redundância nas bases de dados e a montagem do dicionário de dados. Entre as ações prioritárias para essa equipe até o final de 2012 tem-se: a redefinição de padrões de modelagem de dados (nomenclatura, metodologia, etc) e o fluxo de trabalho compartilhado com outros subprocessos da SGI Banco de Dados Situação Atual A situação atual dos procedimentos de gestão de Bancos de Dados em confronto com o Marco Referencial ideal é a seguir detalhada. 36 Para o ano de 2012, foi ampliada em 100% capacidade de armazenamento por meio da aquisição de novos equipamentos. 87

100 Normas e Procedimentos: a norma de banco de dados já foi atualizada, no aguardo de assinatura e publicação por parte da SGI. Os procedimentos de serviços de banco de dados estão consolidados no catálogo de serviços constante do software de Service Desk OTRS. Os procedimentos de serviços de banco de dados estão de acordo com o que está descrito na Norma de Banco de Dados Segurança e Auditoria: Com relação à auditoria no nível de aplicação, o desenvolvimento do sistema S3A entrou recentemente em produção. Esse novo sistema consiste em um gateway 37 entre a aplicação e o Banco de Dados destinado principalmente aos novos sistemas desenvolvidos na ANEEL. O controle de acesso ao ambiente de produção ainda precisa ser implantado, mas o processo já se encontra alinhado entre as gerências de Banco de Dados, Sustentação de Sistemas e Serviços. Atualmente, a Gerência de Banco de Dados implementou um processo de auditoria de banco de dados usando recursos de auditoria do SQL Server 2008 e também através da implementação de triggers no nível de objeto de banco de dados, porém esse segundo método ainda está restrito a um único sistema. Esse nível de auditoria de banco de dados garante um controle das ações realizadas pelos usuários (delete, insert, update) através das aplicações de produção e também diretamente no banco de dados. Ambiente Computacional: no tocante ao Sistema Gerenciador de Banco de Dados Relacional (SGBDR), o Microsoft SQL Server 2000 foi substituído recentemente pela versão SQL Server Quanto ao ambiente computacional, foram disponibilizados pela Gerência de Rede 6 servidores com a configuração de dois conjuntos de cluster, um com duas máquinas para bancos de dados usados por serviços (como Sharepoint, desenvolvimento e homologação, por exemplo) e outro com 4 máquinas para os demais bancos de dados de produção. A configuração do SQL Server nesse ambiente e posterior migração dos bancos de dados para o novo ambiente ocorreu no primeiro semestre de A migração dos bancos de dados de produção foi finalizada em setembro de Banco de Dados Corporativo (BDC): no tocante ao BDC, estão em curso as ações necessárias ao desenvolvimento do Banco de Dados único (vide Anexo 1 ETI 2.3). Na condição atual, há um compartilhamento da base existente com diversos sistemas legados, o que gera dificuldades na identificação de gargalos, isolamento de erros, backup e recuperação. Porém o principal problema está na insconsistência e na redundância de dados, com a mesma informação sendo criada em diferentes bancos de dados, sendo tratados de uma forma estanque e não como dados corporativos. Um projeto chamado de Projeto de Insumos e Saneamento de Dados está sendo inciado agor ano segundo semestre de 2012 com o objetivo de disciplinar, organizar e sanear os dados corporativos da ANEEL. Business Inteligence (BI): no tocante à utilização de ferramentas de BI (Business Inteligence), a ANEEL usa a tecnologia de data warehouse embutida dentro do contexto do SAD (Sistema de Apoio a Decisão). Porém esta abordagem ainda é apenas voltada para geração de relatórios gerenciais sem a utilização de todos os recursos do BI. A cultura organizacional para desenvolvimento de soluções de BI encontra-se atualmente em formação, com várias aplicações já em fase final de implantação junto a várias áreas operacionais. A ANEEL implantou em 2010 o SAS, ferramenta voltada para BI que está se tornando padrão para a Agência, porém a sua utilização ainda está restrita a poucas superintências, principalmente pelo pouco conhecimento do potencial da ferramenta. Independente desse fato, finalizou-se a migração dos cubos do SAD do Microsoft Analysis Service para o SAS e uma equipe de BI está sendo formada, mesclada com a participação da equipe de serviços especializados contratados e servidores efetivos da ANEEL, o que representa um avanço em relação à situação anterior. Backup Corporativo: o Backup Corporativo, atualmente se encontra sob responsabilidade da área de infraestrutura da SGI. Um trabalho conjunto entre as áreas de infraestrura e de banco de dados está 37 Gateway ou porta de ligação é um dispositivo ou equipamento dedicado a efetuar uma intermediação geralmente destinada a interligar redes, separar domínios de colisão ou traduzir protocolos diferentes. 88

101 garantindo a boa execução da política de backup corporativo voltado para backup de banco de dados de produção, homologação e desenvolvimento. Com base na política atual de backup será feita uma atualização para refletir a nova tecnologia de hardware de backup e também a possibilidade de armazenamento das fitas de backup em um ambiente externo à ANEEL. A política de backup corporativo apresentou avanços no decorrer do início de 2011, e passa por uma revisão com foco na continuidade do negócio. A arquitetura com base na política de backup corporativo é mostrada na figura abaixo. A partir da aquisição de uma nova tecnologia de armazenamento de dados (Storage), uma nova política de backup será desenvolvida pela área de infraestrutura com apoio da área de banco de dados. Essa nova tecnologia de armazenamento embutiu novas funcionalidades e recursos que deverão ser explorados na nova política com o objetivo de tornar o processo de backup e recuperação ainda mais eficaz. As ações prioritárias identificadas como o mínimo necessário para manutenção da rota norteadora descrita no Marco Referencial e que assegura padrões de boa gestão do Banco de Dados com foco na segurança, eficiência e melhoria contínua são as seguintes - obs: os itens marcados com (*) contém ações em andamento vide Anexo I: Publicação da Norma de Banco de Dados para que ela passe a ser norteador do padrão que deve ser adotado pela Agência no que tange à arquitetura física de banco de dados. Implementar o controle das senhas no âmbito da Gestão de Liberação e Implantação feito pela Gerência de Serviços de acordo com as práticas do ITIL; Integrar o monitoramento de banco de dados à ferramenta Micrososft System Center e que está em fase de estudos pela Gerência de Rede (*); Realizar treinamento específico para a equipe de Banco de Dados como forma de garantir a atualização tecnológica e permitir que seja oferecido um serviço de suporte compatível com as necessidades da ANEEL; Remodelar o Banco de Dados Corporativo, com foco na eliminação de redundâncias e inconsistências, e criação de um modelo de informações corporativas (*); Definir a arquitetura de banco de dados com base na segregação de ambientes em desenvolvimento, homologação e produção. Para uma abordagem mais eficaz, é preciso 89

102 criar regras bem claras e restritas para entrada de sistemas em produção. Essa definição da arquitetura de banco de dados passa pela definição de um padrão para desenvolvimento e sustentação de sistemas; Dar continuidade à atualização e revisão da política de backup corporativo com foco na continuidade do negócio, com previsão do armazenamento externo das fitas de backup e dentro de novas tecnologias em uso como HyperV (virtualização) e recursos do storage NetApp, por exemplo. Priorizar estudos e implementações votadas para segurança da informação com foco em controle de acesso, controle de senhas, auditoria e disponibilidade da informação. Implementar a segregação física do ambiente de servidores de banco de dados como meio de aprimorar a seguranaç da informação através do controle e auditoria de acesso. Iniciar estudos com vista à migração dos bancos de dados para a nova versão de SGBD Microsoft SQL Server 2012 lançada no mercado recentemente e que traz inovações quanto ao gerenciamento, desempenho, segurança, disponibilidade, BI e qualidade de dados Service Desk Situação Atual Visão geral das mudanças Desde o início das operações até outubro de 2009, o atendimento aos usuários de TI da ANEEL era efetuado na forma de um Help Desk, com uma estrutura de 9 funcionários terceirizados de alta qualificação e familiarização com o ambiente computacional da Agência. A principal característica desse tipo de atendimento era que todos os funcionários desempenhavam o papel de atendente e solucionador dos serviços, por vezes diretamente associados em diferentes subprocessos (Rede, Banco de Dados, etc), sem a concentração em um ponto único de contato (SPOC 38 ), o que abria espaço para os usuários internos e externos da SGI terem acesso livre aos demais subprocessos (vide figura 6). Fig. 6. Estrutura relacional do Help Desk anterior ao novo contrato de serviços de Central de Atendimento 38 Abrev. de Single Point of Contact, referente ao ponto único de contato. 90

103 Apesar da boa aceitação pelos usuários, são muitas as implicações decorrentes de um modelo em que é permissível o contato direto do usuário com as áreas de produção, com diversos transtornos que vão desde a queda de produtividade até a descaracterização e inviabilidade do processo de execução do Help Desk, e que torna subjetivo todo e qualquer quantitativo de valores que poderiam ser gerados pelas solicitações à SGI. Assim, para maior ganho de produtividade, empregava-se um esforço muito grande no gerenciamento da mensuração dos serviços, uma vez que boa parte dos incidentes não era registrada na ferramenta existente 39. Esse modelo também não contemplava uma classificação dos atendimentos realizados em primeiro, segundo e terceiro nível, desde a abertura de chamado realizada pelo técnico disponível na Central de Atendimento. Com o intuito de promover um avanço em relação às melhores práticas de gerenciamento de serviços de TI 40, bem como recomendação do Tribunal de Contas da União e da SLTI/MPOG, a SGI/ANEEL promoveu a contratação dos serviços nos moldes de uma Central de Atendimento (Service Desk). Essa nova modalidade contratual trouxe um grande avanço em relação ao modelo definido no Marco Referencial, com a existência de uma dinâmica de funcionamento que contempla, entre várias melhorias, diferentes níveis de execução de serviços, atendimento remoto em primeiro nível, benefícios associados a um melhor procedimento de chamadas e melhores controles de registro. De acordo com esse modelo, os usuários internos devem realizar as solicitações por meio de contato telefônico ou . Por telefone, o técnico atendente verifica a possibilidade de resolução do incidente imediatamente de forma remota através do Systems Management Server (SMS) ou tira a dúvida do usuário para depois abrir e finalizar o chamado. Caso seja necessária a intervenção presencial, é aberto o chamado que entra em uma fila de espera, até que um técnico possa verificar o incidente in loco, para solução ou recolhimento do equipamento para as instalações do Help Desk para reparos. Quando a solicitação é realizada por , o técnico que primeiro verificar a mensagem, abre o chamado que entra em uma fila de espera e envia uma mensagem para o usuário com o número da solicitação. Caso o técnico perceba que o incidente pode ser solucionado remotamente, entra em contato com o usuário interno e solicita autorização do mesmo para a realização de conexão e atendimento à demanda. Após a realização do serviço, fecha o chamado. Transição para o primeiro contrato Durante os primeiros meses de vigência do contrato com a primeira empresa fornecedora 41 houve reações negativas e descontamento dos usuários pela mudança implantada 42, e que pode ser atribuído primordialmente ao fator cultural, fenômeno comum a todas as organizações que promovem mudanças deste tipo. O fato de os técnicos da empresa não conseguirem obter resultados significativos na qualidade e presteza do atendimento de demandas das mais diversas áreas da Agência tornava o descontentamento ainda maior. Após algumas ações corretivas por parte da empresa prestadora e a mudança de hábito dos usuários, houve uma melhoria das condições operacionais. A ferramenta implantada pela empresa foi a Inforoad, que contemplava todas as classificações de chamados (1º e 2º nível). Quando as chamadas eram transferidas para solução em 3º nível, era utilizada 39 Na época, a ANEEL havia adquirido o software AHD da Computer Associates para gerenciamento desses serviços. 40 Constantes do ITIL Information Technologu Infrastructure Library. 41 Contrato firmado com a empresa Net Service, no ano de Dentre as principais reações iniciais a essa mudança, os usuários recusavam-se a abrir chamados pelo ponto único de contato e expressavam descontentamento pela perda de qualidade e presteza no tocante ao atendimento de suas demandas. 91

104 outra ferramenta, a CA 6.0, semelhante à anteriormente utilizada pela Agência. Mesmo com a ocorrência de transtornos ocasionais pela falta de atualização dessa ferramenta, a empresa logrou nível de atendimento satisfatório para as condições da ANEEL, com custo-benefício em níveis razoáveis. No entanto, passado mais algum tempo de execução, a empresa alegou a existência de subdimensionamento do volume de serviços no momento de apresentação da proposta contratual, por ter considerado apenas dois técnicos para atendimento, o que configurou condição financeiramente desvantajosa para a prorrogação do prazo de vigência do contrato nas mesmas bases. Com esse fato, procedeu-se a uma nova licitação para seleção de um novo fornecedor. Transição para o segundo contrato No segundo processo licitatório, foi acrescentada a obrigatoriedade de a empresa incluir em sua proposta a disponibilização de um software de Service Desk com vista à obtenção de um melhor desempenho de suas funções. A Agência, no entanto, foi novamente surpreendida pelo mercado, pelo fato dos serviços terem sofrido drásticas perdas de qualidade. Dentro do procedimento acertado, a empresa contratada 43 havia proporcionado à ANEEL o software OTRS, de plataforma livre e em sua segunda versão. Esse sistema ficou inoperante e com deficiências em grande parte do tempo, o que acarretou muita insatisfação quanto ao atendimento. Além disso, outros fatores agravantes surgiram, como: demora excessiva de atendimento, abandonos de chamadas, falta de treinamento, etc, que resultaram em piora na qualidade dos serviços prestados. Passados 8 meses, após várias ações tomadas pela SGI/ANEEL para solução dos problemas junto ao fornecedor como sanções, advertências e penalidades a qualidade dos serviços começou a melhorar, tendo se estabilizado a um nível de qualidade adequado ao longo de Estatísticas de atendimento Na apreciação dos indicadores de atendimentos do Service Desk, pode-se observar a significativa participação dos atendimentos prestados de forma remota (atendimentos de 1º nível e grande parte do 2º nível) e um detalhamento mais acurado dos atendimentos por fator causal, elemento de suma importância que, associado a outros indicadores, constitui insumo básico para as atividades de planejamento de atendimento, prospecção de incidentes e melhoria de qualidade. 43 A segunda empresa contratada foi a Solução Serviços Especializados Ltda. 92

105 Jul-set Out-dez Jan-mar Abr-jun Jul-set Out-dez Jan-mar Abr-jun Jul-set Out-dez Jan-mar Abr-jun Jul-set Out-dez Jan-mar Abr-jun Jul-set Registros de Ocorrências Tab 5: Média mensal de Ocorrências Out/ Set/2010 Jul-Dez/ 2011 Jan-Set/ 2012 Atendimentos não classificados (antigo HelpDesk) Atendimento de 1º nível n.i Atendimento de 2º nível Banco de dados / Arquitetura de Dados Business Inteligence Cedoc / Gestão de Documentos n.i Geoprocessamento Rede - Total disto: Backup n.i. n.i Correio Eletrônico n.i Outros Reprografia n.i Segurança da Informação Serviços: - Ativos Geral Sistemas / Sustentação - Desenvolvimento Sustentação Web Outros grupos n.i Total A tendência ao longo dos meses demonstra (1) substancial incremento advindo da implantação do ponto único de contato (efeito cultural entre o final de 2009 a meados de 2010) e; (2) manutenção de um patamar entre a atendimentos mensais, com picos ocasionais primordialmente associados à substituição de equipamentos ou mudança de software (Figura 7). Observa-se também uma maior prevalência do suporte em 3º nível, que é um reflexo da maior complexidade sistêmica e de procedimentos Total Suporte em 1º / 2º nível Suporte em 3º nível Figura 7: Atendimento do Service Desk: dados de Jul 2008 a Set

106 Principais Conclusões: Na posição anterior à primeira transição contratual (antigo modelo), a equipe de 11 pessoas era composta de um gerente, 7 técnicos e três estagiários, com mais de 70% de seus integrantes em formação no nível superior e com certificações COBIT, ITIL e MCDST e vários cursos oficiais Microsoft, dentre outros. De uma forma geral, a combinação da forma de atendimento predominantemente local/presencial com uma demanda de alta oscilação e oferta fixa de força de trabalho resultava em um modelo pouco eficiente para os padrões da ANEEL. Com a alteração do modelo contratual, a Agência se beneficiou em três aspectos: (1) na redução do tempo de atendimento dos chamados, através do conceito de ponto único de atendimento; (2) na assimilação de uma cultura próativa na solução de problemas, dentro das práticas do ITIL e; (3) na economia de custos de mão de obra especilizada, da ordem de aproximadamente R$ ,00 anuais. O lado menos favorável para esse modelo seria a da maior dependência de funcionários da Central de Atendimento para habilidades técnicas e interpessoais, no sentido de prover com maior eficiência a resolução de problemas em todos os níveis. Como se pode observar no gráfico da figura 7, o crescimento de resolução de problemas no 3º nível pode sinalizar indício de menor eficiência por parte dos profissionais da empresa contratada. Ressalta-se que, mesmo com problemas de qualidade, este modelo sanou a ausência de controle eficaz das atividades realizadas pela Central de Atendimento, uma deficiência que acarretava, entre vários efeitos, o desconhecimento do valor real dos custos incorridos de TI nestes serviços. Uma situação típica do modelo anterior era aquela em que, por exemplo, durante um determinado atendimento presencial, o técnico aproveitava o tempo para efetuar atendimentos a outros usuários nas proximidades, sem o devido registro. Entre os efeitos adversos decorrentes dessa prática, tinha-se: atrasos no roteiro dos demais atendimentos programados, perda dos históricos atendidos referentes aos itens de configuração (CIs), falta de informação no banco de soluções, dificuldade de se levantar diagnósticos precisos em determinadas situações, impossibilidade de se apurar corretamente o tempo de atendimento e de se apropriar o custo incorrido real, etc. Independente de outras considerações, ressalta-se que o modelo de ponto único de contato demonstra ser o mais vantajoso para a Agência, dada sua versatilidade e indução à ação próativa de resolução de problemas de TI. O Marco Referencial da ANEEL, no entanto, vai além, na busca da melhoria contínua de qualidade e aprendizado (ITIL), o que requer uma parceria com fornecedores que mantenham e praticam esses valores na prestação de seus serviços, sem canibalização e alta rotatividade nas equipes de atendimento Segurança da Informação Situação Atual Histórico da Evolução e Base da Situação Atual A preocupação com a Segurança da Informação na ANEEL permeia o ano de 2000, quando se planejou um Ambiente Operacional Seguro. A implementação desse projeto contemplou a solução integrada de segurança lógica para sistema de informação da ANEEL para possibilitar a disponibilização das informações institucionais com integridade e confiabilidade. Contemplou ainda, a integração de ferramentas de segurança ao ambiente de gerenciamento corporativo. 94

107 Como forma de direcionamento, a Presidência da República, por meio do Decreto nº 3.505/2000, instituiu a Política de Segurança da Informação nos órgãos e entidades da Administração Pública Federal. Em 2001, foi publicada pela ABNT a norma ISO (versão traduzida da norma inglesa BS7799 atualmente publicada no Brasil na versão NBR ISO/IEC 27002:2006), que estabelece boas práticas para gestão da segurança da informação. Essa norma tem sido considerada no Brasil e no mundo uma referência de segurança da informação. As orientações do Governo Federal com relação à Segurança da Informação ficam mais claras com a publicação dos Decretos 4.553/2002 que dispõe sobre a salvaguarda de dados, informações, documentos e materiais sigilosos de interesse da segurança da sociedade e do Estado, no âmbito da Administração Pública Federal. A lei /2003 delegou ao Gabinete de Segurança Institucional da Presidência da República (GSI/PR) a competência para coordenar as atividades de Segurança da Informação do Poder Executivo Federal. Nesta competência, a GSI/PR publicou a Instrução Normativa 1/2008 e diversas normas complementares que estabelecem diretrizes para processos relativos à Segurança da Informação. No primeiro semestre de 2003, a ANEEL realizou, com ajuda de consultoria especializada, análise, avaliação e tratamento de riscos em seu ambiente operacional. Esse foi o marco para os trabalhos em Segurança da Informação que resultou na implementação de diversos recursos tecnológicos de segurança em sua rede de computadores e na criação da equipe específica para administração de segurança da informação. Nessa época foi elaborada a primeira versão da Política de Segurança da Informação 44, por meio das Normas Organizacionais 12, 13, 14 e 15. Estas normas foram elaboradas em 2004 e receberam atualização em Faz-se necessário que a Diretoria da Agência realize a análise crítica destas normas a intervalos regulares, como indicado na Norma ABNT NBR ISO/IEC 27002:2006, item Feitas estas considerações iniciais, passa-se à descrição da situação atual na mesma ordem de sequência de apresentação dos parâmetros do Marco Referencial relacionados no item Organização da Segurança da Informação O subprocesso Segurança da Informação é composto por um servidor efetivo e uma equipe terceirizada de quatro pessoas. O servidor efetivo é o responsável pela gestão dos contratos necessários à gestão da Segurança da Informação, pela participação em grupos de trabalho de Governo (e-ping, NSIC, etc.) e pela e orientação da equipe terceirizada, que operacionaliza as configurações de firewall, antispam e outros appliances. Análise/Avaliação e Tratamento de Riscos A gestão e o controle efetivos dos riscos implicam em desenvolvimento e manutenção de um processo que permita identificar, analisar, avaliar e tratar riscos que possam causar impactos negativos à organização, além de priorizar as ações para redução de riscos a níveis aceitáveis. Dessa forma, foi adquirido em 2008, um software que automatiza os processos de Gestão de Riscos, Conformidade e Governança em TI, que permite identificar e avaliar os riscos na ANEEL, além de 44 A missão da Administração da Segurança da Informação é promover a Segurança da Informação Corporativa, provendo a Agência dos meios normativos e tecnológicos necessários, em consonância com as Diretrizes Básicas da Política de Segurança da Informação da ANEEL. 95

108 fornecer base para priorização de ações e recursos. Esse contrato contemplou ainda, consultoria especializada que auxiliou na execução de nova avaliação do ambiente operacional e institucional para fazer a gestão da Segurança da Informação e do conhecimento. O relatório apresentado pela consultoria contratada em 2009 é pouco conclusivo e não permite a determinação de um plano efetivo para tratamento aos riscos apresentados. Em novembro de 2011, a empresa responsável pela terceirização de serviços de TI na ANEEL apresentou uma análise de riscos no ambiente tecnológico da Agência. Cada equipe da SGI realizou o tratamento dos riscos relativos à sua própria coordenação. Como se percebe, a gestão de riscos na Agência ocorre de maneira pontual, por meio de iniciativas isoladas. Sugere-se a instituição de uma norma de gestão de riscos de forma que a identificação, monitoramento e tratamento de riscos seja realizada de maneira periódica e com apoio institucional. Política de Segurança da Informação O primeiro documento da Política de Segurança elaborado pela empresa de consultoria contratada em 2003 constitui-se a peça fundamental para o início da cultura de segurança na Agência. Foi aprovado pela Diretoria Colegiada da ANEEL em 2004 e amplamente divulgado. A Política de Segurança da ANEEL é composta pelo conjunto de normas a seguir: Norma de Organização ANEEL nº 12/2004 (revisada em 2006), que dispõe sobre as Diretrizes Básicas da Política de Segurança da Informação, referentes ao conjunto de medidas de proteção que, quando aplicadas aos ativos de informações, possa proporcionar à ANEEL garantia aos princípios da confidencialidade, integridade, disponibilidade, autenticidade e não-repúdio; Norma Organizacional nº 13/2004, que estabelece as Normas Gerais para Colaboradores e visa apresentar as ações de segurança e definir critérios para a utilização e disponibilização dos ativos em atendimento à Política de Segurança da Informação da Agência; Norma Organizacional ANEEL nº 14/2004, que dispõe sobre regras para Administradores de Serviço, com determinação de critérios para acesso privilegiado aos ativos em atendimento à Política de Segurança da Informação da Agência e Norma Organizacional ANEEL nº 15/2004, que dispõe sobre a classificação, o tratamento e a gestão da informação de natureza pública, apresentada à Agência Nacional de Energia Elétrica ANEEL, em qualquer suporte, conforme os critérios de sigilo, de disponibilidade e de integridade; Alguns procedimentos de trabalho foram elaborados com intuito de orientar a padronização e a racionalização das Unidades Organizacionais da ANEEL, ao normatizar as atividades de administração. São eles: Procedimento Administrativo para utilização de caixa postal de correio eletrônico da ANEEL; 96

109 Procedimento Administrativo para qualidade em serviços de atendimento aos usuários da ANEEL; Instrução para criação e alteração de senha. Termos de responsabilidade são aplicados para os colaboradores, no inicio da prestação de serviços e durante o curso de formação de servidores, com aplicação efetiva a toda vez que se ingressa um novo colaborador na ANEEL. Dentre a lista de fatores a serem contemplados na política de segurança, relacionados no Marco Referencial, com exceção do item investigação e perícia forense e da falta de uma maior ação do Comitê de Gestão da Informação CGI no tocante ao intercâmbio com a direção, tem-se o atendimento integral dos demais itens. Pelas informações acima demonstradas, conclui-se que a Política de Segurança da Informação encontra-se organizada e estruturada. Gestão dos Ativos No tocante à Gestão dos Ativos, as preocupações da ANEEL são de duas ordens: o da segurança lógica e o da segurança física, esta última com o objetivo de prevenir acesso não autorizado, dano e interferência às informações, equipamentos e instalações físicas da organização. Inclui também, a utilização de dispositivos que interagem com o mundo físico, em contraste e complementação aos dispositivos lógicos. Quanto à segurança lógica, a Gestão dos Ativos é conduzida de forma automatizada em todo o processo, com atualizações dos antivírus nas estações de trabalho realizadas de forma automática e controladas por um servidor central que executa todo o gerenciamento das políticas de segurança, atualizações dos componentes e a emissão dos relatórios de infecção e conformidade do ambiente. As atualizações de segurança e de produtos provenientes do fabricante da plataforma de sistema operacional utilizado na ANEEL 45 são distribuídas e gerenciadas pelos administradores. O foco dessa ação é manter o ambiente das estações de trabalho atualizado e com todas as correções de segurança aplicadas. Paralelamente, são retirados relatórios estatísticos e gerenciais sobre tais atualizações e suas aplicações no ambiente. No tocante ao back-up corporativo, há um compartilhamento de responsabilidades: os procedimentos operacionais estão a cargo do subprocesso Administração de Banco de Dados Rede e as questões relativas à normatização e políticas de salvaguardas são compartilhadas pelos Subprocessos de Segurança da Informação, Administração de Banco de Dados e Administração de Rede, em razão da amplitude desta responsabilidade, que envolve o Plano de Continuidade de Negócios (discutido no próximo tópico). Após realização de backup mensal, as fitas são cadastradas no sistema SICNet e posteriormente encaminhadas ao arquivo geral para guarda física (sala-cofre própria). Em junho de 2011 foi iniciado um processo de duplicação das fitas e o armazenamento em empresa externa contratada para guarda de outros documentos. Esse procedimento não é o mais adequado para a segurança das mídias, e será substituído pela implantação do novo sistema de Backup Corporativo (descrito no tópico 1.1.2), no âmbito do Plano de Continuidade de Negócios. A solução de antispam em alta-disponibilidade existente proporciona um controle adequado do conteúdo recebido nas caixas postais, com análise de malwares, arquivamento e quarentena de mensagens 45 Microsoft Windows, para as plataformas Windows 2008/Vista/XP, assim como para Microsoft Office 2003/

110 suspeitas dos colaboradores. Resumidamente, depois de passar por um filtro inicial, as mensagens suspeitas, ficam retidas na caixa de quarentena dos respectivos destinatários para serem avaliadas, e podem ser excluídas ou liberadas para suas caixas de correio institucionais. A vantagem desta nova solução, além da redundância dos serviços e do controle parcial que o usuário possui sobre as mensagens que deseja ou não receber, é a proteção às mensagens que chegam e saem da ANEEL, além do baixo índice de spams que entram dentro do ambiente da Agência. De 100% das mensagens recepcionadas, cerca de 90% são bloqueadas por essa ferramenta, e o remanescente de 10% constituem-se mensagens dentro dos padrões de conformidade para envio e recebimento de s. A Agência dispõe de solução de Firewall e VPN para suportar diversas necessidades atuais, como: proteção de todas as estações de trabalho e servidores contra as ameaças da internet, publicações de serviços para o público externo, segmentação das redes remotas que compartilham informações com a ANEEL, segurança aos acessos aos sites disponibilizados pela Agência, com o intuito de mantê-los protegidos contra aplicativos espiões, acessos não autorizados, o acesso remoto controlado, a garantia de disponibilidade de acesso aos serviços e o monitoramento de atividades indevidas por meio de relatórios de utilização de protocolos. A ANEEL adota certificação digital para Pessoas Físicas (e-cpf), pessoas jurídicas (e-cnpj) e Serviços WEB e este serviço é conduzido pelo subprocesso Administração de Segurança da Informação. Foi adquirida também solução para assinatura digital de documentos digitais, que possa ser aplicada em todos os aspectos de resguardo e posterior armazenamento de informações e dados, bem como integração, em sua totalidade, com o sistema de gestão de documentos SICNet. As ferramentas de segurança utilizadas pelo subprocesso são: análise de risco e gestão do conhecimento, gerenciador do tokens 46 antivírus, antispyware, antispam, antimalware, classificação e bloqueio de páginas web, firewall e vpn, sistemas de detecção e prevenção de intrusão, analisador de vulnerabilidades e rotinas de back-up (Anexo de Inventário de Software e Dispositivos de Segurança). Os canais de comunicação com a Segurança da Informação são as páginas de intranet e internet, o correio eletrônico, por meio do seginfo@aneel.gov.br. Quanto à Gestão de Ativos sob a ótica da Segurança Física com relação a: acessos não autorizados, danos e interferências nas instalações, que podem ter como resultado perdas, prejuízos, furtos, comprometimento de ativos e interrupção das atividades, tem-se a atribuição operacional destas atividades sob a responsabilidade da Superintendência de Administração Financeira SAF. A equipe de Segurança da Informação elabora recomendações e propicia apoio à SAF a questões relativas ao controle de acesso físico 47 de visitantes, bem como de prestadores de serviços, contratos temporários, diretores, procuradores gerais e servidores públicos, entre as áreas. Com base nos dados acima, conclui-se pela existência de padrões satisfatórios no tocante à Gestão de Ativos. Gestão de Incidentes de Segurança da Informação e Gestão de Continuidade do Negócio Para os processos da organização identificados como serviços críticos, a SGI mantém um plano estratégico, que inclui procedimentos de trabalho e ações com vistas a manter a operacionalidade e a alta disponibilidade destes serviços, o que afasta riscos de interrupções nos casos de eventos súbitos como 46 Trata-se de dispositivo de hardware para armazenamento de chaves criptográficas referentes à certificação digital 47 Cita-se como exemplo a instalação de câmeras de segurança no interior da Agência 98

111 desastres de grande magnitude que podem causar prejuízos aos ativos e processos da instituição. Um exemplo prático de criticidade é a transmissão das Reuniões Públicas da Diretoria. Os serviços críticos estão identificados nos resultados da recente análise de risco feita e são tratados de forma adequada, à luz da norma de melhores práticas em Segurança da Informação ABNT NBR ISO 27002:2006. Quanto ao Plano de Continuidade de Negócios, encontra-se em fase de elaboração, com previsão de término para julho de Como há interrelação deste plano com as ações de proteção contra desastres, as responsabilidades sobre a elaboração do Plano de Ambiente em Refundância foram definidas da seguinte forma: elaboração e implantação a cargo da Administração da Rede; acompanhamento da elaboração e normatização a cargo da equipe de Segurança da Informação. Dada a inexistência do Plano de Continuidade acima, avalia-se a situação da Gestão de Incidentes e Continuidade de Negócios como deficiente, e que deve ser sanada tão logo sejam concluídas as ações em curso. Conformidade As ações em Segurança da Informação realizadas na ANEEL atendem aos requisitos preconizados conforme: A Lei nº 9.983, de 14 de julho de 2000, que dispõe sobre a responsabilidade civil e criminal de usuários que cometam irregularidades em razão do acesso a dados, informações e sistemas informatizados da Administração Pública; O Decreto nº 3.505, de 13 de junho de 2000, que institui a Política de Segurança da Informação nos órgãos e entidades de Administração Pública Federal; O Decreto nº 4.553, de 27 de dezembro de 2002, que dispõe sobre a salvaguarda de dados, informações, documentos e materiais sigilosos de interesse da segurança da sociedade e do Estado, no âmbito da Administração Pública Federal; A NBR/ISO/IEC 27001:2005 da ABNT, que trata do Código de Prática para o Sistema de Gestão de Segurança da Informação; A NBR/ISO/IEC 27002:2006 da ABNT, que trata do Código de Prática para a Gestão da Segurança da Informação Técnicas de Segurança; Medida Provisória , de 28 de junho de 2001, que institui a Infraestrutura de Chaves Públicas Brasileira - ICP-Brasil, e dá outras providências. As Normas de Organização ANEEL. Refere-se ao fato de que o exercício da boa prática da Segurança requer que todas as normas sejam conhecidas e cumpridas por todos. Capacitação e Conscientização em Segurança da Informação A equipe tem concentrado esforços nas ações de divulgação e na atualização dos conhecimentos sobre segurança da informação. Paralelamente, busca identificar a visão da corporação, suas expectativas e 99

112 estratégias em relação à segurança, com a definição de políticas que tornam a segurança uma responsabilidade de todos e não apenas da equipe de segurança (Figura 8). Fig. 8. Trinômio da Segurança: Pessoas, Processos e Ferramentas Atualmente a conscientização é feita por meio de informativos periódicos sobre um tema predeterminado enviados para os s corporativos dos colaboradores. Outras ações incluem a divulgação de notícias relacionadas à Segurança da Informação no informe Compartilhando emitido pela ACI e o portal corporativo intranet, no menu da SGI Administração da Segurança da Informação. Assim, com base nas iniciativas existentes, tem-se uma avaliação razoável da situação atual quanto aos aspectos de capacitação e conscientização de Segurança da Informação. Resumo dos Aspectos Positivos Política de Segurança da Informação estruturada e implementada; Realização de conscientização dos colaboradores com emprego de diferentes métodos; Tecnologias avançadas e atualizadas para suportar os serviços oferecidos pela ANEEL e proteger o seu ambiente operacional; Softwares adequados para monitoramento e controle do ambiente; Soluções com redundância (nível interno) que garantem disponibilidade dos sistemas e serviços; Constante intercâmbio de informações e recursos entre outros órgãos públicos; Equipe constantemente capacitada e especializada. Resumo dos Aspectos Negativos Falta de documentação adequada dos projetos e produtos gerados nos demais Subprocessos da SGI; Falta de planos de contingência para diversos serviços oferecidos; Alta rotatividade de técnicos com a perda de expertise, por término dos contratos ou por oportunidades melhores no mercado, ou pela saída de servidores para outros órgãos da Administração Pública Federal com maior remuneração, por meio de concurso; 100

113 Ações prioritárias para os próximos 3 anos ( ) Segurança Física e Lógica: Criação de agenda de segurança para melhoria da integração entre as áreas da ANEEL e das práticas atuais que dependam do apoio da alta direção e demais superintendência, no sentido de mitigar os riscos tecnológicos, humanos e físicos existentes na ANEEL, em linha com as orientações dos Decretos do Governo Federal (nº 3.505, e outros) e do novo Código Civil que responsabiliza os administradores por negligência, imprudência ou imperícia perante a sociedade e terceiros prejudicados, por culpa no desempenho de suas funções. Inclusão de tópico de diretrizes de segurança para discussões na agenda da Comissão de Gestão da Informação. É importante que essa comissão tenha o compromisso de se reunir para discutir aspectos de Segurança da Informação com periodicidade; Execução do correlacionamento de informações em todos os dispositivos de segurança, hardware e software e auditoria dos sistemas através de ferramenta de SIEM (Security Information and Event Management); Avaliação da qualidade e análise de código fonte das aplicações que são desenvolvidas pela ANEEL ou fábrica de software com o uso de soluções para inspeção de código estático.os benefícios diretos seriam a codificação segura das aplicações, descobertas de bugs em aplicações em processo de desenvolvimento e incorporação ao ciclo de desenvolvimento de software seguro; Definição de camada de segurança para aplicações web e banco de dados - firewall de aplicações web - contra ataques destinados a estes serviços, com exploração das possívels vulnerabilidades onde as soluções atuais, IPS e IDS não são efetivas em categorias específicas de ataques do tipo SQL Injection, XSS, Application Denial of Service e Brutal Foce Login. Política de Segurança da Informação da ANEEL: Implantação de rotina anual de avaliação de segurança no ambiente (físico e lógico) da ANEEL e dos processos, no intuito de aferir o nível de risco dos respectivos ambientes e implementar as ações necessárias para alcançar o melhor grau de segurança possível, com a colaboração de consultoria especializada; Implantação das Normas Complementares nº 4, 5 e 8 da Instrução Normativa nº 01 do Departamento de Segurança da Informação e Comunicações do Gabinete de Segurança Institucional da Presidência da República (DSIC/CSIPR). Revisão das Normas Organizacionais Referentes à Política de Segurança da Informação da ANEEL e criação de novas que se façam necessárias; Criação de procedimentos para Gestão de Desastres Plano de Contingência, em conjunto com as áreas de Infraestrutura de Administração de Rede e Banco de Dados; 101

114 Tecnologia: Dar continuidade à aquisição e renovação de soluções tecnológicas de ponta por meio de pesquisas realizadas em empresas gabaritadas e confiáveis (p.ex. Gartner); Auditoria das atividades dos colaboradores para certificar o cumprimento da Política de Segurança da Informação Pessoas: Realização de campanhas periódicas de conscientização e educação em todas as superintendências e áreas da Agência, em parceria com outras superintendências ; Elaboração e implementação de programas que melhorem a capacitação dos colaboradores quanto à conscientização sobre segurança da informação, em parceria com SRH e ACI e que serão utilizados na consecução dos serviços com avanço tecnológico, com vistas a garantir a adequada articulação entre a ANEEL e as entidades do Estado; Disponibilização de ouvidoria interna como um meio para receber reclamações, anônimas ou não, que relatem problemas do dia-a-dia. As reclamações devem ser tratadas pela SRH em conjunto com a equipe de Segurança da Informação (canal SegInfo ); Criação do CSIRT (Computer Security Incident Response Team). Trata-se de um grupo responsável pela condução de tratamento e respostas a incidentes em redes computacionais, conforme a Norma Complementar nº 05/IN01/DSIC/GSIPR. Indicadores de Desempenho: Rever e atualizar os Indicadores de Desempenho de forma a detectar antecipadamente riscos ainda não conhecidos e desvios ou sobrecargas em novas soluções ou ferramentas de rede e comunicação. Elaboração de Projetos: Padronização dos Projetos de Segurança no modelo indicado pelo Escritório de Projetos, quando aplicável; Gestão Internet / Intranet Situação Atual Na qualidade de instrumento de alta veiculação e interoperabilidade das unidades organizacionais com o público, a Web tem apresentado uma demanda e utilização cada vez maior. Os registros no período compreendido entre 01/01/2012 e 30/09/2012 indicam números expressivos: mais de 29 milhões de páginas vistas e mais de 22 milhões de downloads concluídos, apenas no Portal da Agência. 102

115 O Portal da Agência é acessado durante todos os dias da semana e em todas as horas do dia, sem exceções. Nos finais de semanas, por exemplo, mais de um milhão de páginas são vistas, com registros durante a madrugada de mais de 500 mil páginas visitadas a cada hora (período de 0h às 5h). Tem-se a seguir um detalhamento das particularidades. Segurança e Auditoria O controle de acesso ao gerenciador do portal, sites e hotsites apresenta deficiência. Apesar de grupos e perfis serem organizados no atual gerenciador de conteúdo, as senhas ainda não estão ligadas ao Administrador de Dados, o que obriga a um gerenciamento manual das permissões. Existe um termo de uso confirmado pelo cliente a cada acesso ao sistema de publicação de conteúdos e sistemas. Mas não existe um procedimento definido de auditoria de dados corporativo e publicações. Sistema Gerenciador de Sites e Portais (Administrador) O sistema gerenciador foi adquirido com transferência de tecnologia há cerca de 8 anos e desde então é adaptado às necessidades da Agência. A facilidade de manutenção do mesmo é uma vantagem, porém deve-se considerar que o avanço muito rápido da tecnologia leva à necessidade de evolução constante do produto. Com isto, pode-se antever a necessidade de releitura de todas as aplicações e da disponibilização de um novo gerenciador para os próximos anos. Ambiente Computacional e Alta Disponibilidade Atualmente o Portal, Fórum e Conselho de Consumidores, entre outros projetos, não operam em ambiente de alta-disponibilidade, situação esta que deverá ser revertida tão logo sejam instalados os hardwares e softwares de Infraestrutura de Rede correspondentes. Análise de conteúdo e Caducidade da Informação Atualmente o administrador já incorpora facilidades como controles de data de inclusão, expiração, validade da informação, envio de automático que solicita atualização do conteúdo aos responsáveis e seus superiores. No entanto, a política de gestão de conteúdo ainda precisa ser implantada. Pessoal qualificado e manutenção das aplicações A área de sustentação da SGI possui atualmente pessoal qualificado para manutenção e desenvolvimento de pequenas aplicações em WEB, em regime de rápido atendimento para os clientes. Contudo, a demanda de serviços sempre crescente e a alta velocidade de lançamento de novos produtos e soluções, trazem muita pressão à equipe e incorre na necessidade de se proceder a um redimensionamento quantitativo da força de trabalho. Tecnologia e atualização 103

116 A atualização tecnológica das ferramentas de construção dos sites encontra-se em andamento, dentro do aplicável por meio da equipe de serviços especializados contratados.. Backup e Contingências Atualmente a contingência é feita por servidor stand-by e pela Infraestrutura de Banco de Dados com equipe própria para alta disponibilidade. Para o conteúdo estático, pastas, aplicativos e sistemas, o backup do conteúdo do portal é efetuado diariamente pela equipe de Banco de Dados. Ações Prioritárias obs: ações em andamento assinaladas com (*) Alta Disponibilidade: implantar as ações necessárias para garantir alta disponibilidade e contingenciamento em nível interno em linha com a demanda exigida pela sociedade e pelos gestores internos (*); Portal internet: renovar o sítio e atualizá-lo tecnologicamente. Ação a cargo da SCR (*); Portais de Trabalho: disponibilizar ferramenta de organização e centralização dos trabalhos nas unidades organizacionais 48 ; Criar e divulgar normas de procedimentos para publicação de páginas e sites ligados a identidade visual da Agência (a cargo da SCR) Equipamentos e Software de Uso Comum Com relação às regras gerais para aquisição, o procedimento atual não é muito diferente do Marco Referencial, muito embora a normatização explícita ainda não esteja disponibilizada. Além disto, como a atuação da CGI ainda se encontra incipiente, as decisões sobre compra de microcomputadores tem sido feitas diretamente pela SGI, com base em parâmetros técnicos e avaliação da real necessidade do trabalho, sem o envolvimento desta comissão. No tocante a impressoras, a prática de uso de impressoras individuais, utilizada há alguns anos atrás, foi substituída pela política de uso de impressoras corporativas. A ANEEL é proprietária de 92 impressoras que compreendem as marcas Xerox, HP, Epson e Okidata. Alem dessas, utiliza mais 34 multifuncionais, por meio de contrato de reprografia 49, cujos valores aproximados são de R$ 0,04 por cada impressão monocromática e de R$ 0,49 por cada impressão policromática. A mudança de scanners individuais para corporativos ainda não foi implantada, em razão da necessidade de ajustes na compatibilidade com o SICNet. Ações Prioritárias Para alcance do Marco Referencial, faz-se necessário: 48 Soluções como SharePoint, Blogs e Mini-portais. 49 Maiores referências pelo link 104

117 Retorno operativo da CGI, no tocante à tomada de decisões sobre atendimento das necessidades e aquisição de equipamentos de uso geral; Análise e levantamento sobre novas modalidades de contratação de serviços de impressão, com o objetivo de se perseguir maior economia de escala; Rever ajuste de compatibilidade das impressoras multifuncionais com o SicNet, para disponibilização de scanners corporativos, junto à área de Soluções Corporativas e Desenvolvimento. 105

118 2. SOLUÇÕES CORPORATIVAS E DESENVOLVIMENTO 2.1 Marco Referencial Por desenvolvimento, no âmbito da Tecnologia da Informação, entende-se o subprocesso onde várias atividades e técnicas são aplicadas de forma a gerar soluções de melhorias no campo da automação, redução do esforço manual, gerenciamento, processamento e controle de grande massa de dados, comunicação, integração, etc. Tais soluções permitem às organizações operarem em níveis elevados de eficiência, qualidade, confiabilidade e maior eficácia no cumprimento de seus objetivos e desafios. Como decorrência da natureza complexa da atividade reguladora e do setor-objeto regulado, a ANEEL possui uma alta demanda por soluções de desenvolvimento, condição esta agravada por um crescimento contínuo de novas situações, novos atores, programas, alterações normativas, etc. que ameaçam a capacidade de bom atendimento e das operações da Agência. Assim, o emprego intensivo de soluções de TI contribui positivamente, de um lado, para atenuar a sobrecarga de trabalho dos usuários junto às várias superintendências e áreas em que atuam, e de outro, para propiciar maior qualidade e velocidade de resposta ao atendimento das demandas da sociedade. Para introdução ao tema desenvolvimento, sob a ótica de TI, deve-se levar em conta a existência de muitas partes, variáveis e técnicas que necessitam atuar em conjunto, no levantamento, análise e busca da solução para cada demanda da organização, o que envolve uma grande complexidade de atividades e tarefas. Além disso, as formas de solução se alteram no decorrer do tempo, em decorrência da evolução das tecnologias, tanto no âmbito do ecossistema computacional como no âmbito das técnicas, linguagens e utilização de ferramentas de programação e aplicativos 50. Em razão dessa grande diversidade de variáveis, elementos e fases a serem controlados, faz-se necessário aplicar técnicas modernas de gerenciamento e controle, chamadas Gerenciamento de Projetos. Assim, para cada nova solução de informação que venha a ser aplicada, seja um novo sistema, software, aplicativo ou ferramenta, utiliza-se o termo projeto, o qual, como o nome indica, designa a formalização do esforço temporário envolvido e a sequência de atividades relativas à criação da solução de TI propriamente dita. Quando a ação de desenvolvimento é relativa à atualização, manutenção corretiva ou evolutiva de um sistema poderá existir um projeto específico ou não, conforme o grau de complexidade envolvida no processo. Como Marco Referencial, o subprocesso de desenvolvimento da ANEEL é abordado sob quatro grupos de atuação em TI: Novos Projetos, Geoprocessamento, Administração de Dados e Sustentação de Sistemas. 50 Entre as grandes alterações dos últimos anos, tem-se o uso dos chamados ERP - Enterprise Resourde Planning, Sistemas Integrados de Gestão que processam informações em tempo real e que cobre todos os processos empresariais, como Contabilidade, Finanças, Compras, Vendas, Logística, RH, etc. Dentro deste conceito, todos os processos devem se amoldar ao sistema, e não o contrário, com a substituição da atividade de desenvolvimento pela customização e a atividade de desenvolvimento restrita apenas às necessidades ou funcionalidades específicas não cobertas ou disponibilizadas pelo ERP, com o devido interfaceamento destas ao sistema. No caso da ANEEL e demais órgãos da Administração Pública Federal, há certa semelhança do conceito ERP na área governamental pelo uso de sistemas integrados de gestão como SIAFI, SIAPE, SIDOR e outros no âmbito da União. 106

119 2.1.1 Novos Projetos Como mencionado anteriormente, para toda nova solução ou aplicação de TI há um projeto correspondente de forma a viabilizar uma condução adequada de todas as atividades e fases envolvidas no desenvolvimento e implantação. O modelo de desenvolvimento definido para a ANEEL considera que o gerenciamento de projetos, de uma forma ampla, fica a cargo da área de Escritório de Gerenciamento de Projetos (EGP), e que a construção propriamente dita dos projetos deve se processar de forma terceirizada. Assim, cabe ao EGP a condução de todas as ações necessárias relativas às fases preparatórias, de coordenação e acompanhamento da execução, que se traduzirão em artefatos técnicos, homologações e pagamentos ao fornecedor. Os seguintes parâmetros abaixo são definidos como Marco Referencial para fins de elaboração e gerenciamento de novos projetos: Adoção de técnicas e princípios de gerenciamento universalmente aceitos: dentre as melhores práticas adotadas, o EGP utilizará como norte orientador os princípios do PMBoK. A delimitação dos ciclos de desenvolvimento considera as fases de priorização, planejamento, iniciação, elaboração, construção, gerenciamento de aquisições e transição, definidas em documento próprio 51 cujo diagrama encontra-se abaixo reproduzido; Fig. 9. Ciclos de gerenciamento do projeto 51 O documento de referência é o MDS ANEEL. Modelo de Desenvolvimento de Sistemas, versão 1.0, publicado em Agosto de

120 Utilização de padrão único para disciplina de desenvolvimento: o desenvolvimento de projetos da ANEEL deverá seguir um padrão único para modelagem e metodologia de desenvolvimento de sistemas. Como referência, tem-se as regras estabelecidas do documento MDS-ANEEL, que seguiu os padrões UML e RUP; Adoção de Métricas como busca de melhoria contínua: no tocante ao processo de definição de métricas objetivas relativo a decisões sobre priorização de projetos, constatações e evidências nas várias fases de desenvolvimento, apuração de qualidade e diagnósticos de avaliação, fica estabelecido que a definição de tais métricas deverá ter como foco de direcionamento a melhoria contínua da relação custo-benefício para a Agência em âmbito corporativo, de forma a obter-se ganhos de eficiência, qualidade, segurança, aprimoramento / simplificação dos processos e economicidade; Pagamento dos Serviços prestados pelo fornecedor: todo pagamento de serviços ao fornecedor, seja com base em pontos de função, projeto contratado ou mesmo homem/hora, deverá estar condicionado à existência de métricas que comprovem a evidência de que os serviços ou artefatos foram devidamente executados ou entregues e dentro do nível de qualidade estabelecido; Princípios norteadores para desenvolvimento de projetos: no desenvolvimento de novos sistemas, aplicações e soluções deverão ser observados os seguintes princípios: Não redundância: refere-se à garantia de que toda informação do Setor Elétrico e da sociedade deverá ser obtida por fonte única, para posterior tratamento sistêmico e utilização em tomada de decisões; Confiabilidade: traduz-se na garantia de que as informações que circulam internamente e que são fornecidas à sociedade são confiáveis e de fonte segura; Flexibilidade: refere-se à necessidade de se extrair, analisar e processar informações a partir de um único repositório de dados; Processos automatizados: corresponde ao objetivo de se obter processos internos ligados a metas institucionais de forma automatizada e controlados por sistemas ou soluções de TI; Documentação organizada: trata-se da necessidade de se ter a documentação relevante das atividades diárias, atualmente guardada nos computadores dos colaboradores, devidamente classificada e organizada num único repositório; Preferência pela utilização de documentos eletrônicos: entendido como a tramitação dos processos públicos e administrativos por meio eletrônico, com requisito de autenticação digital. Promoção e disseminação de novas tecnologias: dentro do modelo terceirizado de construção de soluções, o EGP deverá avaliar a tecnologia mais adequada a uma demanda específica. Adicionalmente, terá que promover a implantação, sempre que viável, de tecnologias corporativas, de forma a fortalecer a capacidade de ação do usuário. Para 108

121 cumprir esse papel, terá que periodicamente avaliar produtos e soluções de mercado, com vistas à potencial aplicação na gestão da informação na ANEEL. Independentemente dessa atribuição, ficam definidas como prioridade a implantação de tecnologias de Inteligência Empresarial (BI), de Gerenciamento de Processos de Negócio (BPM) e Certificação Digital. Relação de Projetos Prioritários: a relação de projetos sistêmicos encontra-se alinhada com os objetivos estratégicos da Agência e deve ser ratificada e revisada periodicamente pela Comissão de Gestão da Informação CGI. Os critérios de pontuação de prioridade seguem a metodologia adotada pelo documento MDS ANEEL, Versão 1.0. A base de informação é o portal SharePoint do EGP de 31/10/2012 e inclusões adicionais como resultado de atualizações feitas pela SGI às demais Superintendências e Áreas. A relação encontra-se detalhada na página Geoprocessamento Marco Referencial O Geoprocessamento encerra uma série de atividades e procedimentos aplicáveis a qualquer tema que manipule dados ou informações vinculadas a um determinado lugar no espaço onde seus elementos possam ser representados e referenciados eletronicamente em um mapa, tais como rios, usinas hidrelétricas, reservatórios, bacias hidrográficas, unidades de conservação, linhas de transmissão etc. Ao longo dos anos, os avanços obtidos no referenciamento de informações cartográficas combinado com os esforços internos de prospecção e viabilização de uso nos sistemas computacionais para processamento permitiu a abertura de um campo enorme de aplicações para a ANEEL. Com a intensificação de sua utilização, o Geoprocessamento se consolida como uma importante ferramenta de apoio à tomada de decisões, ao possibilitar à Agência o alcance de um controle efetivo do espaço territorial onde exerce suas funções de regulação e fiscalização, condição essencial para o pleno domínio do seu negócio. Ressalta-se, também, a importância estratégica, para a ANEEL, da tarefa de organizar e manter atualizado o acervo de dados e informações técnicas relativas às atividades estratégicas do setor de energia elétrica do país 52. Pelo fato desses insumos se encontrarem esparsos em diversas instituições e sem padronização, firma-se o Geoprocessamento como instrumento adequado para integrar essas informações de forma a que possam servir aos fins institucionais da ANEEL e à sociedade. Em linha com as normas e objetivos estratégicos, este Plano Diretor define os seguintes parâmetros como Marco Referencial de Geoprocessamento: Eliminação da ambiguidade informacional: refere-se ao esforço inerente ao processo, no sentido de se realizar o confronto, combinação e interpretação de dados geográficos 52 Ver Decreto de 06/10/1997 que institui a ANEEL, onde se estabelece em seu Anexo I, art. 4º, item XXXIII a competência de organizar e manter atualizado o acervo das informações e dados técnicos relativos às atividades estratégicas do serviço de energia elétrica e do aproveitamento da energia hidráulica e no art. 16º, item V que a ação fiscalizadora da Agência visará, primordialmente, à educação e orientação dos agentes, à prevenção de condutas violadoras da lei e dos contratos, com os propósitos, entre outros de subsidiar, com informações e dados necessários, a ação regulatória, visando à modernização do ambiente institucional de atuação. Na Agenda 2009 de Desafios Estratégicos da ANEEL encontra-se também o desafio nº 8 Informação com Qualidade em que vários quesitos são mencionados, entre os quais a busca da informação organizada e disponibilizada como um produto de elevado valor agregado para os diversos atores afetos à regulação, a disponibilização de novas ferramentas de inteligência corporativa, a melhoria dos mecanismos de acesso, nível de integração e confiabilidade de dados. 109

122 individuais obtidos por diferentes fontes, como forma de buscar a integridade e confiabilidade da informação; Unificação de Bases de dados georeferenciados: trata-se de ação estruturante para unificar as bases de dados de todas as instituições que operam no setor de energia elétrico nacional (ONS, Eletronorte, ANEEL, EPE, MME, ANA, concessionárias etc.), com a devida importação dos dados hospedados nestas instituições para a ANEEL via recurso de webservice 53, que por sua vez, disponibilizaria às instituições parceiras o acervo de mapas e imagens digitais associados a dados e informações neles representados. Os benefícios desta ação seriam a consistência, a responsabilidade compartilhada pela manutenção e atualização de dados, maior transparência e a disponibilização externa das informações aos atores e parceiros usuários, ao invés do uso restrito na Agência; Banco de Dados Georeferenciado: definido como a priorização na modelagem e implantação de Banco de Dados Corporativo, que contém informações sobre geração, transmissão, distribuição, comercialização, regulação e outros dados temáticos e cartográficos de interesse com extensão de vínculos para acesso a imagens pelos sistemas existentes na Agência; Evolução tecnológica em nível compatível ao setor regulado: trata-se da disposição da ANEEL em assumir a dianteira ou, no mínimo, nível semelhante de avanço tecnológico e de conhecimento ao das empresas e entidades do setor elétrico, com o objetivo de preservar a confiabilidade e condições técnicas para regulação e fiscalização das atividades desse setor; Integração: maior integração entre os sistemas Georreferenciados e os demais sistemas corporativos da ANEEL. Novas aplicações de Geoprocessamento: embora ainda sem uma concordância formal das Superintendências e áreas da ANEEL, ficam mantidas as aplicações abaixo como Marco Referencial deste Plano Diretor, em razão da relevância e dos benefícios potenciais importantes para a tomada de decisões e cumprimento das funções institucionais da Agência. A relação detalhada encontra-se no capítulo 1, item 7.4. Hardware e Ambientes de trabalho: deverá ser seguida a mesma filosofia de trabalho demonstrada no tópico de Marco Referencial de Infraestrutura Banco de Dados e EGP, com as seguintes particularidades para a área de Geoprocessamento: Ambiente de Desenvolvimento: constituído por um computador de configuração compatível para o tratamento e processamento de dados e imagens, com sistema operacional preferencialmente de 64 bits e versão atualizada do ambiente de programação Visual Studio; Ambiente de Homologação: a ser constituído por um servidor específico para esse fim Ambiente de Produção: a ser constituído por três servidores específicos para essa finalidade; 53 Trata-se de uma tecnologia que permite que os dados sejam obtidos por meio de uma camada informacional disponibilizada para acesso por qualquer sistema de mapas online via WEB. 110

123 Na estrutura proposta, as necessidades de acesso deverão ser organizadas dentro de um padrão adequado, em conformidade com as configurações dos sistemas e aplicativos que compõem o ambiente de Geoprocessamento e as normas de segurança e infraestrutura de rede da ANEEL. Enfatiza-se que a plataforma ESRI para aplicações vetoriais e o produto ENVI para processamento digital de imagens, atualmente utilizados, deverão ser mantidas, dentro da evolução da padronização já implantada na Agência. Recursos Humanos: a força de trabalho do Geoprocessamento implica na existência de duas equipes distintas: a) Equipe de Gestão: responsável pela Administração de Dados Geográficos e atendimento de terceiro nível para incidentes. Esta equipe assume um papel-chave em todo o subprocesso, por permitir um direcionamento adequado das ações de sustentação das aplicações existentes e uma maior disciplina na administração do Banco de Dados, obtendo-se eficácia na qualidade e velocidade de atendimento a demandas. Devem ser despendidos esforços em: Capacidade de assimilação de novas competências; Conhecimento dos processos e negócios da Agência; Ações de treinamento e atualizações constantes em tecnologias inovadoras. b) Equipe de Desenvolvimento SIG : responsável pelo desenvolvimento de aplicações propriamente dito, e que pode ser viabilizada por fábrica de software específica, a exemplo do proposto em Novos Projetos, com benefícios de economicidade e maior flexibilidade para atendimento a grande número de demandas simultâneas Sustentação de Sistemas Após o desenvolvimento e entrada em operação, os sistemas de informação poderiam funcionar eternamente sem nenhuma necessidade de alteração, caso o ambiente do setor de energia elétrica e os demais fatores externos associados permanecessem imutáveis ao longo do tempo. No entanto, isto não ocorre. Mesmo que nas fases de análise e modelagem se incorporasse muita flexibilidade para adaptação às mudanças, dificilmente os sistemas poderiam continuar funcionando na forma original, sendo necessário atualizá-los ou adaptá-los às novas regras do jogo. Há uma quantidade considerável de mudanças originadas por várias causas, como alterações na legislação, novas decisões, novas formas de cálculo, mudança de quantidade ou perfil de atores, mudança no desenho ou nos processos de negócio, novas necessidades a serem reguladas, novas políticas de governo, aderência a novas tecnologias, atualizações constantes de softwares por parte dos fabricantes, etc, e que levam à necessidade 111

124 de se efetuar ações de manutenção aos sistemas existentes. Estas ações podem ser de manutenção corretiva, adaptativa, perfectiva, tecnológica ou mesmo relacionadas a projetos de inovação ou melhoria 54. Em razão do acervo expressivo de sistemas ativos na Agência (total de 60 sistemas legados em pleno funcionamento), as atividades relativas à sustentação assumem papel de alta relevância para as Superintendências e áreas da Agência. Correspondem ao Terceiro Nível do gerenciamento de incidentes atendidos pelo Service Desk 55, encerrando atividades que encerram alta complexidade e que exigem um nível elevado de comprometimento e envolvimento da Equipe de Sustentação. Como Marco Referencial para as atividades de sustentação, este Plano Diretor define os seguintes parâmetros: Interação com outras áreas: o subprocesso de Sustentação deve fluir conectado aos demais subprocessos relacionados à Gestão da Informação (primordialmente EGP, Infraestrutura Banco de Dados, Web e Service Desk), dada a alta interdependência de informações referentes ao acompanhamento de novos projetos e todas as ocorrências envolvendo as demais áreas da SGI. Da mesma forma, deverá ser assegurado uma participação clara da área de gerenciamento da Sustentação na formulação dos objetivos estratégicos da SGI, e o devido alinhamento aos objetivos estratégicos da Agência; Divulgação das conclusões sobre Incidentes: trata-se da transmissão que deve ser efetuada ao EGP ou demais desenvolvedores sobre o aprendizado obtido na solução de incidentes sempre que identificada a utilidade ou aplicabilidade para fins de prevenção ou não repetição de problemas semelhantes, por meio de relatórios e reuniões periódicas; Busca de soluções estruturantes: item que requer compartilhamento com o EGP e que consiste na criação de bases padronizadas tanto para as novas aplicações como na atualização dos legados existentes, com o objetivo de se obter ganhos em: segurança, simplificação dos trabalhos de verificação e controle, auditoria, padronização de documentação, diagramação, validação, testes, etc. Utilização de plataformas de aplicativos e tecnologias de implantação inovadoras: consiste na política de se utilizar ferramentas de ponta para as ações de sustentação, sempre que aplicável, dada a constatação de que as soluções desenvolvidas sob tais tecnologias permitem melhor performance e tempo de resposta tanto no desenvolvimento como na sustentação; Foco na preservação do capital intelectual: trata-se de elemento-chave no subprocesso. O objetivo é centralizar forças no desenvolvimento e retenção do capital humano necessário para um bom direcionamento das ações de sustentação em todas as suas variantes, obtendo-se eficácia na qualidade, velocidade e aprendizado na solução de demandas críticas. Os esforços a serem despendidos, devem ser concentrados, primordialmente: 54 As mudanças mencionadas afetam o dia a dia do mundo da TI de um modo geral, o que pode ser observado cotidianamente, no momento do download de atualizações automáticas dos sistemas operacionais e softwares de uso geral. No caso de aplicativos, ferramentas e softwares adquiridos, pode-se observar também, com frequência, o forte apelo mercadológico que ressalta vantagens ou novas funcionaliidades de uma nova versão recém lançada, e que encobre, na verdade, a incorporação de uma série de ações corretivas necessárias para eliminar falhas e bugs de funcionamento. 55 Escala de solução de incidentes: Primeiro Nível - atendimento remoto; se a solução não é encontrada, entra em funcionamento o Segundo Nível - atendimento local; se não resolvido, entre em operação o Terceiro Nível de atendimento, realizado pela área de sustentação ou subárea de infraestrutura, conforme o caso. 112

125 No domínio das competências essenciais e na capacidade de assimilação de novas competências; No conhecimento dos demais processos e negócios da Agência; Nas ações de treinamento e atualizações constantes em tecnologias inovadoras; Na disseminação e compartilhamento do conhecimento em nível interno; Documentação: consiste no esforço conjunto de ações que deve ser realizado, no sentido de se reunir e manter atualizada a documentação de todos os sistemas e o histórico de alterações, de forma a facilitar o resgate do conhecimento sobre os produtos desenvolvidos, facilitar a identificação de variáveis e direcionar as soluções de manutenção; Apoio a Casos Especiais: trata-se de eventuais situações envolvendo caso fortuito, força maior ou outros, não necessariamente associadas a defeitos nos sistemas propriamente ditos, mas decorrente de circunstâncias junto às áreas usuárias em que a intervenção da Equipe de Sustentação possa vir a ser a melhor solução para sanar problemas e atender demandas que venham a ocorrer. As solicitações para atendimento destas demandas devem ser autorizadas pelo Superintendente da SGI. Indicadores de Desempenho: consiste na adoção e utilização de indicadores que avaliem, controlem e assegurem o cumprimento dos acordos de nível de serviço prestados pela equipe de sustentação. 113

126 2.2 Desenvolvimento Situação Atual Neste tópico, faz-se um confronto entre a situação atual e o Marco Referencial do subprocesso Desenvolvimento de TI da ANEEL. Todos os aspectos positivos e negativos encontram-se descritos, de forma a demonstrar as limitações da condição atual. Ao final, são relacionadas às ações prioritárias que possibilitam o alcance da situação ideal definida do Marco Referencial Desenvolvimento de Novos Projetos O EGP (Escritório Gerenciamento de Projetos) da ANEEL foi criado em 2006, com a responsabilidade sobre o levantamento de requisitos, preparação, comando, controle e acompanhamento da execução de projetos sistêmicos da Agência junto à equipe de desenvolvimento. A área atualmente encontrase em fase de estruturação e organização rumo à plena operacionalização do modelo de referência, tendo já conseguido implantar vários projetos junto à equipe da fabrica de software atualmente em operação na Agência (empresa Poliedro), com base na utilização das metodologias mencionadas no Marco Referencial. Dentre as principais dificuldades, cita-se o número reduzido de pessoal qualificado, aspecto vital a ser equacionado. Apesar disto, o EGP tem-se empenhado nas boas práticas de gerência de projetos aos sistemas, tendo obtido algumas realizações ao longo do período , no tocante às especificações dos Planos de Projeto e gerenciamento do desenvolvimento dos seguintes sistemas de informação: Sistema Inadimplentes Versão 3, Sistema de Controle das Reuniões de Diretoria (SICOR), Sistema Indicadores de Qualidade (INDQUAL) e Sistema de Monitoramento das Usinas Não-Despachadas Centralizadamente (UND). Além da especificação dos sistemas acima, O EGP gerenciou e participou do desenvolvimento dos sistemas: SIGAIN (Sistema de Gerência da Auditoria Interna), SIGEFIS v2 (Sistema de Gestão da Fiscalização) e Leilões das Usinas de Santo Antonio e Jirau. Ação relevante do EGP digna de menção é a elaboração do documento Metodologia para o Desenvolvimento de Sistemas MDS, que trata da descrição de métodos, processos e documentação para subsidiar o relacionamento da ANEEL com a futura contratada, no processo de contratação de serviços de desenvolvimento de sistemas na modalidade Fábrica de Software. As ações prioritárias para o período no âmbito do EGP são as seguintes: Administração dos dados corporativos da ANEEL: que consiste, em um primeiro momento, na execução de um conjunto de ações para mitigação de toda redundância da informação existente e, num segundo passo, da criação de um projeto para a base de dados corporativa, a partir das bases de dados atuais, e a geração de uma camada de webservices que tornarão essas informações disponíveis aos novos sistemas. Estes terão como requisito de arquitetura a utilização dessa camada, e na medida do possível, os sistemas legados também, por meio de manutenções evolutivas (Observação: a administração do Banco de Dados continuará a cargo da área de infraestrutura correspondente); Administração dos documentos da ANEEL: que consiste na criação, alteração e exclusão de repositórios de documentos, e o gerenciamento do ciclo de existência da informação, visando proteger e permitir a difusão de documentos importantes e que hoje estão dispersos nas estações dos colaboradores. Este processo deve ser feito em duas fases, iniciando-se com a busca de toda a documentação existente e da complementação 114

127 armazenada nas bibliotecas atuais (servidor Zinco, biblioteca virtual etc). Em seguida, com o desenvolvimento de um projeto para a criação de repositório único de documentos, com o auxílio de software específico (p.ex. Enterprise Content Management - ECM), de modo a resgatar e disponibilizar, com os requisitos de confidencialidade e segurança, a documentação relevante para as operações da ANEEL. O aplicativo deverá ser capaz de gerenciar o ciclo de vida da documentação, promovendo a remoção do documento de mídia mais rápida para uma mídia de consulta mais lenta ou de backup, esgotado o prazo legal de retenção; Gerenciamento do processo de desenvolvimento, baseado na entrega de produtos: que consiste na mudança do contrato de serviços terceirizados, atualmente remunerado em homens-hora, por contrato com remuneração baseada nos produtos entregues, no qual será utilizado o método dos Pontos de Função, padronizado pelo IFPUG. Espera-se com essa mudança uma maior celeridade na entrega dos produtos. Promoção e disseminação na ANEEL de novas tecnologias: o EGP, no novo processo de contratação, será responsável pela avaliação da tecnologia mais adequada a uma demanda específica. Adicionalmente, terá que promover a implantação, sempre que viável, de tecnologias corporativas, a fim de diminuir a departamentalização da informação. Para cumprir esse papel, terá que, periodicamente, avaliar produtos e soluções de mercado, e sua aplicabilidade à gestão de informação na ANEEL. Dentre elas, figuram as tecnologias de Business Process Management (BPM), Business Intelligence (BI) e Certificação Digital Geoprocessamento Situação Atual A experiência tem demonstrado a importância do uso do Geoprocessamento como ferramenta eficaz nas soluções de inúmeras demandas envolvendo a atividade de regulação do setor elétrico, principalmente pelo fato que a maioria das informações possui componente geográfico. No entanto, o Geoprocessamento ainda é subutilizado na Agência. Entre as causas que podem explicar esse fato, tem-se: a) causas de ordem estrutural, como: ausência de um banco de dados georreferenciado unificado 56 ; o pouco conhecimento quanto aos dados georeferenciados disponíveis nas concessionárias e outras instituições públicas e privadas que atuam no setor elétrico nacional; a falta de regulação quanto à obrigatoriedade de fornecimento de informações geográficas pelas outorgadas; a falta de padrão de intercâmbio de dados entre a ANEEL, concessionárias e os demais atores do setor elétrico nacional; b) causas de ordem conjuntural, como: 56 Atualmente, o sistema SIGEL possui um banco de dados geográfico estruturado. Por ser limitado e restrito às aplicações em uso pela ANEEL, ele não tem uma abrangência necessária para representar corporativamente todo o setor elétrico nacional. 115

128 a falta de divulgação da ferramenta entre os técnicos da Agência; o pouco incentivo para participação do pessoal de campo e agentes internos em eventos técnicos, reciclagem de aprendizado, troca de informações com outras entidades e órgãos governamentais, etc. Atualmente, a equipe responsável da SGI concentra esforços em duas frentes de trabalho: (1) na prospecção, viabilização de aplicações e atendimento de demandas junto às áreas operacionais, em atuação como Analistas de Negócios e (2) no desenvolvimento propriamente dito, como Analistas de Sistemas especializados em soluções de Geoprocessamento. Esta atuação híbrida da equipe possibilitou a implantação de várias aplicações na ANEEL e elevar o nível de conscientização sobre as virtudes desta tecnologia junto às áreas operacionais, além de promover o crescimento de grande número de clientes externos, constatado pelo número expressivo de acessos ao sistema SIGEL em 2012: cerca de acessos externos, downloads de arquivos. Do total de registros, foi apurado uma participação de 37,84% visitas efetuadas por usuários estrangeiros no período. Apesar destes avanços, no entanto, há registros de exemplos práticos de casos que envolvem lacunas de controle e equívocos em atividades de fiscalização, concessão e outorga, o que evidencia fragilidade no poder de ação das áreas finalísticas da ANEEL, que poderia ser revertida com o melhor aproveitamento da tecnologia de Geoprocessamento. A relação dos serviços atualmente executados pela equipe de Geoprocessamento da SGI encontrase demonstrada no capítulo 1, item 7.2: No tocante à infraestrutura de Geoprocessamento, a situação atual reflete a especificação do Marco Referencial, conforme demonstrado na figura abaixo: PUBLICADORES AMBIENTE DE PRODUÇÃO EXTERNO Internet NOBELIO AMBIENTE DE PRODUÇÃO INTERNO SAP103 SAP104 GEOPROCESSAMENTO (SGI) FERMIO HAP100 AMBIENTE DE HOMOLOGAÇÃO E DESENVOLVIMENTO LUTECIO ANEEL 57 Posição acumulada até 31/10/

129 A estrutura é composta por dois ambientes: externo e interno. O ambiente externo é o que provê os serviços públicos de geoprocessamento. Atualmente este ambiente contempla o sítio SIGEL 58 que é o portal de geoprocessamento da ANEEL, que subsidia também o acesso externo aos serviços prestados através do Web Services 59. O ambiente interno subdivide-se em duas partes: (1) ambiente de homologação e desenvolvimento, utilizado pela equipe técnica para desenvolver, processar, validar e homologar novas informações e aplicativos previamente à sua publicação no ambiente de produção externo e/ou interno; e (2) ambiente de produção interno, que contempla os aplicativos de acesso interno da Agência, acessado através da intranet. Dentro da equipe técnica, há profissionais responsáveis pela publicação e administração dos serviços ( publicadores) que possuem diretivas e funções específicas para prover a continuidade dos serviços GIS em boa ordem. Entre as ações que levam à melhoria da condição atual e aproximam-se do Marco Referencial, temse: Ações de conscientização: trata-se da continuidade das ações conduzidas até o momento junto às áreas e Superintendências finalísticas da ANEEL, no sentido de elevar a conscientização dos benefícios do uso do Geoprocessamento. Estas ações devem ser compartilhadas com a área de Soluções Corporativas e Desenvolvimento a equipe de sustentação de Geoprocessamento, que resultarão em novas demandas a ser desenvolvidas pela equipe de Desenvolvimento (fábrica ou não). Fortalecimento institucional da atividade: ação ampla que consiste na centralização dos trabalhos em uma equipe multidisciplinar, com analistas de desenvolvimento especializados em Geoprocessamento na área de sustentação das aplicações já existentes. Para um bom dimensionamento da força de trabalho, seria necessária uma avaliação da SGI que contemple o desenvolvimento potencial das aplicações listadas anteriormente; Banco de dados geográfico: modelagem e implantação de BD corporativo, com informações sobre geração, transmissão e distribuição de energia elétrica, bem como dados temáticos e cartográficos de interesse para o setor. Ações estruturantes: consiste na efetivação: Da ação de Unificação da Base de dados entre as diversas instituições, como mencionado no Marco Referencial; Da implantação de diretrizes para obrigatoriedade de fornecimento de informações geográficas pelas concessionárias; Da adoção de um padrão de intercâmbio de dados entre a ANEEL, concessionárias e demais atores do setor elétrico nacional; Da contratação da fábrica de software exclusiva para Geoprocessamento (quando aplicável) Os serviços em Web Services são prestados no formato WFS, que é o padrão aberto do Open Geospatial Consortium, organização voluntária internacional de padrões de consenso. 117

130 2.2.3 Sustentação de Sistemas Situação Atual Conforme explicitado no Marco Referencial (item 2.1.4) as atividades de sustentação encerram grande complexidade. Adiciona-se a isto a quantidade relativamente elevada de sistemas legados ativos existentes na Agência (60 sistemas) as constantes mudanças de regra nos negócios da agência, a perda de profissionais de alta qualificação, a demanda crescente por solicitações de manutenção e a necessidade de constantes retrabalhos provocados por diversos fatores causais, tem-se um cenário de dificuldades para o bom desempenho desta área. Entre os aspectos mais relevantes da situação atual, deve-se destacar: Adequação da Relação Volume x Força de Trabalho: dentre os 60 produtos legados ativos atualmente existentes, desenvolvidos e administrados no âmbito da SGI, aproximadamente 50 a 60% são submetidos anualmente a ações de manutenção (corretiva, adaptativa, perfectiva, tecnológica, projetos de inovação ou melhoria) pelo Grupo de Sustentação. Faz-se necessário um monitoramento constante no dimensionamento da força de trabalho alocada no processo de sustentação, em razão das oscilações de demanda, da complexidade das tarefas e atendimento aos procedimentos relativos à publicação, validação e backup de sistemas em ambientes de desenvolvimento, homologação e produção (vide tópico seguinte). Subprocessos/Atividades da área: dentro do conceito UML/RUP (Unified Modeling Language Rational Unified Process) de classificação de demandas, o Grupo de Sustentação atua em diversas atividades vinculadas aos diferentes subprocessos (total de 153 atividades identificadas) como: acompanhamento de projetos, atendimento a usuários internos / externos e atividades de ordem gerencial e administrativa, análise, especificação, modelagem, ambientação, testes de verificação, etc. Adicionalmente, não é rara a ocorrência de situações em que a ação da área se faz necessária para realização de projetos de sistemas em caráter emergencial, em razão de circunstâncias e peculiaridades do momento, como por exemplo, no caso das recentes ocorrências com os sistemas FAD 60 e Acompanhamento de Metas Institucionais. Interação com Outras Áreas de TI: a área de Sustentação necessita de plena integração com as áreas de EGP, Banco de Dados, Rede, Geoprocessamento e Service Desk, primordialmente em razão de ser a responsável pela solução de incidentes, em um 3º nível de atendimento, associada a sistemas de informação. Há uma gama de muitas atividades interligadas, sem as quais a atividade de sustentação fica seriamente comprometida. Em razão disto, faz-se necessário que o modelo de gestão contemple a alocação dos funcionários responsáveis pela a atividade de sustentação dentro das dependências da ANEEL. Tecnologias Aplicadas: a decisão pela utilização de novas linguagens não é uma mera opção interna, mas sim consequência da evolução natural de tecnologias rumo à obtenção de maior velocidade e facilidade para implantação de soluções. Apesar da busca por padronização, há uma quantidade considerável de linguagens (10), ferramentas (9), tecnologias em servidores (5) e ambientes de desenvolvimento (13) e programação voltadas 60 Sigla de Fiscalização da Avaliação de Desempenho, aplicativo de pequeno porte destinado ao uso da SRH desenvolvido pela equipe de Sustentação. 118

131 para finalidades específicas das diferentes áreas de especializações de TI na Agência, o que exige conhecimento diversificado e especializado da força humana disponível. Observa-se que as soluções desenvolvidas sob tecnologias inovadoras têm permitido melhor desempenho e tempo de resposta tanto no tocante a desenvolvimento como sustentação. Quanto a software livre, deve ser efetuado confronto entre vantagens e desvantagens caso a caso, tomando-se por base o perfil de alta disponibilidade definido para a ANEEL. Perfil dos profissionais: além dos quesitos de ordem técnica que compõem a qualificação dos funcionários, deve-se ressaltar a necessidade dos membros da equipe possuir capacidade de absorver tecnologias inovadoras e serem voltados para a disseminação e compartilhamento do conhecimento. Documentação: em comparação com 2009, houve uma melhoria significativa na situação da documentação. Há ainda uma quantidade significativa de produtos com documentação insuficiente ou inapropriada para os padrões em voga. Além disso, os manuais de instrução ou do usuário são incompletos ou pouco explicativos, situação esta agravada pela constante rotatividade de usuários na ANEEL, que não repassam os conhecimentos necessários aos usuários sucessores. Esta situação requer esforços adicionais da equipe para ser totalmente revertida. A SGI tem como meta até julho de 2013 a documentação de 20 sistemas legados a serem escolhidos de acordo com a criticidade de cada um. Indicadores de nível de serviços: deverão ser aplicados os seguintes indicadores para a área de sustentação, com adoção de padrões ideais de referência: - Número de atendimentos por mês (por sistema) - medição mensal; - Tempo de atendimento baseado no tipo de atendimento (por sistema) medição mensal, classificando-se as alterações em: pontuais, estruturantes ou evolutivas (pequenas); - Número de reincidências do mesmo atendimento (por sistema) medição semanal; - Número de chamados na fila de espera média semanal; - Número de chamados fechados média semanal. Ressalta-se que a ANEEL está em processo atualização do software HD da empresa CA (licença já existente), que deverá permitir um melhor controle da carga de trabalho comparado com a demanda, por meio dos indicadores disponíveis. Ações Prioritárias - os itens marcados com (*) indicam ações em andamento Destacam-se entre as principais: a formação do portal de sistemas; a Certificação digital para o DUTONET; a elaboração do Cadastro de agentes (*);aplicação contínua de Webservice e SOA (Service Oriented Architeture), a finalização dos trabalhos de documentação dos sitemas legados (*) 20 sistemas até julho de 2013 e a implantação e acompanhamento dos indicadores para verificação do acordo de nível de serviços da área de sustentação. 119

132 120

133 3. ACERVO TÉCNICO E GESTÃO DE DOCUMENTOS 3.1 Marco Referencial Apesar da afinidade existente entre o Acervo Técnico Informacional e a Gestão de Documentos de Arquivos, tratam-se de subprocessos totalmente distintos na ótica de Gestão Técnica da Informação. Enquanto no Acervo Técnico o foco primordial é a preservação do conhecimento gerado pelo setor energético e áreas afins e/ou que venham, em nível de primeiro acesso, representar interesse para os negócios da ANEEL, na Gestão de Documentos tem-se um conjunto de técnicas aplicáveis à guarda e acesso imediato de toda informação produzida ou que se tornou oficial em decorrência de atendimento, tarefa ou qualquer função ou atividade exercida pela Agência, no âmbito de suas funções institucionais. As linhas gerais que deverão nortear a melhor referência para estes subprocessos encontram-se a seguir definidas Acervo Técnico Informacional Marco Referencial Na função Acervo Técnico Informacional, o marco referencial é o de uma entidade de guarda e difusão de documentos nos moldes de um padrão híbrido de biblioteca e arquivo, ao prover a coleta, recepção, organização, preservação, disseminação e acesso às informações contidas em documentos únicos ou múltiplos, produzidos por diversas fontes geradoras (sob a forma de originais ou cópias) e/ou referências sobre área de especialização da Agência, os quais chegam por passagem natural e obrigatória para dar suporte às atribuições da ANEEL e demais usuários. Para que os documentos cumpram suas funções sociais, administrativas, jurídicas, técnicas, científicas, culturais, artísticas e/ou históricas é necessário que estejam preservados, organizados e acessíveis. Há quatro tipos de entidades que se incubem dessa tarefa: arquivos, bibliotecas, museus e centros de documentação. Essas entidades têm a corresponsabilidade no processo de recuperação da informação, em benefício da divulgação científica, tecnológica, cultural e social, bem como do testemunho jurídico e histórico. As linhas básicas de concepção deste modelo derivam do marco inicial quando do seu projeto de implantação, no ano de 1998, por meio do trabalho intitulado Consultoria para Informatização da Superintendência de Gestão Técnica da Informação (SGI) da Agência Nacional de Energia Elétrica, e da passagem por transformações no decorrer dos anos em virtude do ambiente e das necessidades informacionais da ANEEL. De uma forma mais simplificada, esse modelo pode ser usualmente denominado de Centro de Documentação, ou Cedoc, expressão atualmente utilizada para referir-se às funções dessa entidade, cuja missão é coletar, processar, tratar, armazenar e disseminar as informações dos acervos bibliográfico, cartográfico, iconográfico, sonoro e de atos legislativos, com o objetivo de propiciar a promoção do conhecimento aos usuários da ANEEL e do público externo e utilização das novas tecnologias da informação. Cabe lembrar que, embora o Cedoc e o Arquivo da ANEEL tenham um papel comum a desempenhar na guarda e difusão dos documentos, diferem quanto ao tipo de documento que guardam e quanto aos procedimentos técnicos que empregam para organizar e descrever adequadamente o seu acervo. 121

134 No modelo referencial do Centro de Documentação, faz-se necessário a incorporação de características técnicas padronizadas e utilizadas internacionalmente, tais como: catalogação, classificação, indexação, organização e difusão seletiva da informação (fornecer a cada usuário, ou grupo de usuários, informações que correspondam ao seu centro de interesse), as quais são inerentes à boa gestão de entidades do gênero. Principais Prioridades Como Marco Referencial, ficam definidas as prioridades a seguir, devidamente alinhadas à Agenda de Desafios Estratégicos da Agência: Retomada do projeto Redinee, iniciado em 2000 e interrompido no ano seguinte, cujo objetivo é o de estabelecer padrões e normas de descrição e recuperação da informação pelas diferentes unidades informacionais das entidades relacionadas ao setor elétrico; Aquisição de novo software de gerenciamento dos serviços de biblioteca, acompanhado de melhoramento de processos, de forma a permitir o aprimoramento de serviços e produtos, incluindo a possibilidade de criação de repositório institucional para os mais diversos fins. Criação de Base de Dados e mecanismo de busca para atos administrativos da Agência na Biblioteca Virtual; Passa-se, a seguir, à descrição dos elementos que compõem a função do Acervo Técnico Informacional. Área de Especialização A área de especialização do CEDOC é a de energia elétrica e áreas afins às atribuições da Agência, com o objetivo de suprir às necessidades de informação técnica dos usuários da ANEEL, para o bom desenvolvimento de suas atividades, bem como servir de suporte bibliográfico para o público em geral. Assim, em linha com as diversas atribuições da Agência, como regulação e fiscalização de geração, transmissão, distribuição e comercialização de energia elétrica, mediação de conflitos, atos de concessão, permissão e autorização de serviços de energia, etc. o CEDOC orienta a definição de linhas temáticas, em torno das quais se dará a formação e a ampliação do acervo, bem como a criação de programas de ação e a definição de atividades. Essas linhas poderão sofrer um processo de transformação à medida que a área do conhecimento à qual o CEDOC está ligado se transforma, o que altera, assim, suas perspectivas e demandas de pesquisa, pois essas modificações implicam novas demandas de informação. 122

135 Usuários Os usuários descritos abaixo são os clientes identificados e categorizados pelo CEDOC, os quais representam os destinatários dos bens e serviços. Usuários Internos: Diretores, Procurador-Geral e Titulares das Unidades Organizacionais, Servidores, Procuradores federais e Funcionários terceirizados. Usuários Externos: Agências reguladoras, Concessionárias do setor elétrico, Empresas de consultoria, Escritórios de advocacia, Organismos internacionais, Ouvidorias, Órgãos públicos, Pessoas físicas, Pessoas jurídicas, Universidades etc. Acervo e classificação O acervo do CEDOC é composto de documentos e publicações, em especial os relacionados aos setores de energia elétrica e hidrologia. Classifica-se o Acervo em: Material não periódico: livros, folhetos, manuais, normas técnicas, dicionários, enciclopédias, guias, diretórios, anuários, almanaques e inventários hidrelétricos; Material periódico: revistas, relatórios, jornais, boletins e diários oficiais; e Material especial: mapas, fitas de vídeo, fitas cassetes, CD-ROM e outros tipos de material de consulta e informação em qualquer suporte físico, menos papel. O material não periódico está organizado por assunto, em conformidade com a Classificação Decimal Universal CDU, com o objetivo de facilitar o acesso aos documentos nas estantes. O acesso ao acervo é semi-aberto. O usuário interno pode consultar as estantes com o acompanhamento de funcionário do setor de atendimento aos usuários do CEDOC e proceder à consulta das publicações nas estantes deslizantes e acionadas por meio de mecanismo eletrônico. Pesquisa e Recuperação das Informações As informações sobre os acervos do CEDOC, produtos e serviços devem ser encontradas no portal da Agência, 61 em razão da elevada demanda e número visitantes 62. Deverão ser asseguradas ferramentas avançadas para recuperação de informações. 63 Produtos da Biblioteca Virtual: Como Marco Referencial, os produtos e atividades abaixo relacionados serão mantidos dentro do leque de oferta de serviços da área, a saber: 61 Atualmente é encontrado no link de Biblioteca Virtual 62 Registros de visitantes no período de Janeiro a agosto de 2012: Biblioteca Virtual , Pesquisa Legislativa Ferramentas atualmente utilizadas: Sistema Thesaurus e Next Page On-line. 123

136 Produtos: Legislação básica (Legislação aplicável ao setor elétrico); Normas de organização; Ofícios; Súmulas (enunciados de caráter orientativo, com entendimento pacífico, reiterado e uniforme, provenientes das decisões da Diretoria da ANEEL); Pesquisa bibliográfica (fácil, livre e estruturada); Pesquisa legislativa (decretos, leis, portarias, resoluções, despachos etc.); Pesquisa Resoluções Normativas (Resoluções normativas do setor elétrico); Glossário (termos técnicos do setor elétrico); Trabalhos acadêmicos (teses, dissertações, artigos); Vocabulário Controlado (palavras-chaves controladas); Edições ANEEL (CDs, livros, relatórios, revistas e vídeos). Atividades: Constituição e ampliação do acervo; Recebimento e registro de documentos; Tratamento documental (catalogação, classificação e indexação); Pesquisa e produção de referências; Conservação de documentos e reprografia; Atendimento ao público; Divulgação e intercâmbio. CEDOC Gerência Atendimento Setor Legislativo Setor de Periódicos Setor Bibliográfico Setor de Multimeios Adm. de Dados e Bib. Virtual Terminologia Fig. 11. Estrutura Operacional do CEDOC 124

137 3.1.2 Gestão Arquivística de Documentos Marco Referencial A área de Gestão de Documentos de Arquivos exerce o papel de gestora e guardiã dos documentos oficiais da ANEEL, com a incumbência de mantê-los organizados e acessíveis, de forma a garantir ao usuário rapidez de acesso, localização, recuperação imediata, preservação e guarda permanente dentro dos padrões definidos pela legislação arquivística. Como decorrência de suas atividades e funções, a ANEEL produz, recebe e gera diariamente um volume elevado de documentos. Esses documentos, após cumprir sua finalidade devem ser preservados e disponibilizados para consultas posteriores. Assim, para que todo o processo funcione de forma eficaz, é necessário que haja uma política de gestão documental efetiva, no sentido de prover as diversas Unidades Organizacionais da Agência de procedimentos, recursos, sistemas e métodos de Gestão de Documentos que abrangem a geração, recebimento, produção, tramitação, uso, avaliação e destinação final (eliminação ou guarda permanente). Este Plano Diretor define os pontos a seguir considerados ideais, como Marco Referencial para Gestão de Documentos de Arquivos: Gestão Integrada Eficaz: deverá ser assegurada a preservação de um modelo eletrônico integrado de gestão, de forma a inibir a existência de documentos que estejam fora de um processo devidamente numerado e cadastrado pelo mesmo. As atualizações e manutenções evolutivas deste sistema devem ser estruturadas de forma a que a implementação e utilização contribuam efetivamente para o aumento da qualidade e da eficiência dos processos, serviços e produtos da Gestão de Documentos de Arquivos; Agilidade: definido como a característica de presteza e facilidade na localização e recuperação de documentos gerados, recebidos e mantidos pela ANEEL, nos termos da legislação sobre documentos públicos; Eliminação/Preservação de Documentos: deverá ser assegurada a eliminação dos documentos que não possuem valor primário e secundário, conforme os procedimentos e diretrizes da legislação brasileira sobre o assunto e regulação internacional. Além disso, deverá ser garantida a preservação e a guarda permanente de documentos de valor histórico, informativo e probatório, bem como seu acesso aos usuários e cidadãos, conforme regulamentações da legislação arquivística em vigor; Técnicas e métodos adequados: deverá ser assegurada a aplicação adequada das técnicas e métodos da Arquivologia, com apoio das tecnologias da informação e gestão de documentos; Atualização Permanente: deverão ser permanentemente atualizados o Plano de Classificação de Assuntos da Atividade Fim e a Tabela de Temporalidade Documental da ANEEL; Normatização: deverão ser propostas e mantidas atualizadas as normas e os procedimentos de gestão de documentos de arquivos; Disseminação do conhecimento: deverão ser promovidos treinamentos intensivos das normas e procedimentos de gestão de documentos de forma a garantir a disseminação do conhecimento; 125

138 Capacidade de Atendimento: definido como a preservação de profissionais técnicos e especializados em gestão de arquivos em número suficiente para atendimento das demandas; Infraestrutura sistêmica e de armazenamento: definido como a necessidade de se manter disponibilizados de modo compatível às necessidades: os meios físicos adequados para armazenamento e guarda de documentação; as técnicas de digitalização para documentação histórica e permanente; sistema corporativo de controle de tramitação de processos e documentos, com utilização da tecnologia de Gerenciamento Eletrônico de Documentos de Arquivo, com acesso simultâneo à imagem dos documentos a todos os servidores, respaldado por normas internas e procedimentos e de acordo com legislação específica. 126

139 3.2 Situação Atual Acervo Técnico Informacional De uma forma geral, a presente situação é muito próxima do Marco Referencial descrito no item Os pontos de divergência, a seguir descritos, não são suficientes para configurar um afastamento do modelo ideal discutido. O Centro de Documentação - CEDOC da Agência é uma unidade de informação especializada e originou-se da Biblioteca do Departamento Nacional de Águas e Energia Elétrica - DNAEE, implantada em setembro de 1984 e desativada em junho de 1990, com a criação do Ministério da Infraestrutura - MINFRA e a extinção do Ministério das Minas e Energia MME. Foi reativada em novembro de 1991 com o acervo remanescente da área de Recursos Hídricos. Com a criação da ANEEL, passou a denominar-se, de fato, CEDOC, integrante da Superintendência de Gestão Técnica da Informação SGI e que não se constitui unidade administrativa, mas sim núcleo de informação. Entre os aspectos positivos da condição atual, tem-se: Capacidade de atendimento a uma demanda elevada de informações (aproximadamente atendimentos de pesquisas, empréstimos e consultas às bases de dados por mês); Cultura corporativa direcionada para um bom nível de qualidade de atendimento e desempenho no cumprimento da missão da área; Tratamento e disponibilização na Biblioteca Virtual dos atos legais emanados pela ANEEL e os de interesse do Setor Elétrico Brasileiro, atualizados diariamente; Possui vários contratos vigentes para atender as necessidades da Agência, tais como: aquisição e manutenção de arquivos deslizantes mecânicos e eletromecânicos; aquisição de periódicos (jornais e revistas); duplicação de CDs; assinatura e encadernação de Diários Oficiais da União; aquisição de publicações e normas técnicas nacionais e internacionais; manutenção evolutiva e corretiva dos sistemas Thesaurus de Automação de Bibliotecas, NextPage NXT e LightBase/GoldenDoc; Referência Nacional no setor de energia elétrica, que presta consultoria a vários agentes do setor elétrico e bibliotecas especializadas; Interdisciplinaridade na absorção de demandas oriundas dos usuários internos e externos; Maior centro informacional do Brasil no setor de energia elétrica com o maior acervo catalogado voltado a este setor. 127

140 Por outro lado, a situação atual reflete limitações para continuidade da qualidade dos produtos e serviços oferecidos, a seguir relacionadas: Constantes substituições dos contratos de Terceirização de Serviços de Biblioteconomia com dificuldades para manutenção de uma equipe constante que detém o conhecimento (perda frequente de capital intelectual); Menor condição de incorporação de novos projetos e absorção de novos trabalhos, como reflexo das condições de instabilidade da equipe atual de trabalho e da rotatividade constante de profissionais experientes; Necessidade de definir uma política de desenvolvimento de coleções; Condições físicas, acústicas, ergonômicas e de segurança insatisfatórias e limitadas, em vista o crescimento do acervo e dos atendimentos presenciais; Pouca capacidade de armazenamento digital em servidor de dados, em vista do crescimento do acervo em torno de 20% ao ano; Ameaças de segurança de dados e instalações físicas: as presentes condições de segurança são insatisfatórias, com risco de incêndio e falta de treinamento preventivo e periódico contra acidentes. Como ações prioritárias para o período , tem-se: (obs: as marcações com (*) indicam ações em andamento) No tocante a software, manutenção e outras ações de ordem sistêmica: Aprimoramento e/ou substituição do software de automação e de gerenciamento de acervos; Incorporação de manutenção evolutiva nas Bases de Dados construídas na plataforma Light Base / GoldenDoc; (*) Criação de base de dados e implantação de ferramenta de busca de trabalhos acadêmicos e de informações referenciais sobre os inventários hidrelétricos; Aprimoramento do portal do CEDOC, através da difusão de novos produtos (Boletim de novas aquisições de livros e de periódicos, Boletim de alerta legislativo, Normas técnicas digitais etc.) para maximizar a utilização do acervo e otimizar o atendimento aos usuários; Digitalização de todos os trabalhos técnicos produzidos pela Agência e pelo extinto Departamento Nacional de Águas e Energia Elétrica DNAEE, os quais estão armazenados no acervo da Biblioteca Depositária, para formação da Biblioteca Depositária Digital; Automatização do controle de estoque das Edições ANEEL(*); Ampliação da capacidade de armazenamento do servidor de dados do CEDOC. 128

141 No tocante a normatização: Atualização da Norma Organizacional ANEEL 007 (Regulamento do CEDOC), a fim de aprimorar os procedimentos de empréstimo dos acervos; Elaboração da política de desenvolvimento de coleções para formalizar as atividades de seleção, aquisição, desbaste, descarte e avaliação dos acervos informacionais - documentos legislativos, bibliográficos (livros, folhetos, periódicos, teses, normas técnicas e relatórios), técnicos (inventários hidrelétricos), cartográficos (atlas e mapas), audiovisuais (cds, dvds, fitas cassetes e vídeos) e documentos eletrônicos. Revisão da responsabilidade e dos usuários administradores das bases de dados geridas pelo CEDOC; No tocante à oferta e qualidade de serviços oferecidos: Disponibilização das capas e sumários de materiais bibliográficos e fascículos de periódicos (revistas, relatórios e boletins) para otimizar o tempo de pesquisa do usuário por informação de qualidade (relevante, precisa, clara, consistente, oportuna); Realização de um novo estudo do perfil dos usuários do CEDOC para detectar os tipos de informação ou assuntos, gerais e/ou específicos, de interesse destes usuários; Mensuração, quantitativa e qualitativa, do grau de qualidade dos acervos informacionais e dos serviços em relação ao nível de atendimento das necessidades dos usuários; Divulgação do acervo, suas referências, seus produtos e serviços ao público especializado; Promoção do compartilhamento e intercâmbio de informações com outras entidades afins, com o objetivo de complementação, soma de esforços e não duplicação. No tocante ao aumento da capacidade e melhoria física das instalações: Alteração do layout e aumento das instalações físicas do CEDOC para proporcionar um ambiente de informação eficaz; Ampliação dos arquivos deslizantes. No tocante a Recursos Humanos: Seleção de número mínimo de profissionais bibliotecários efetivos por meio de concurso, para preservação do conhecimento e capital intelectual(*); Realização de treinamentos para utilização das bases de dados do CEDOC. 129

142 3.2.2 Gestão Arquivística de Documentos Com base nos indicadores quantitativos crescentes, feed back dos usuários e qualidade dos serviços prestados, pode-se dizer que o modelo de Gestão de Documentos de Arquivo da ANEEL, desde sua implantação há 12 anos, tem se demonstrado robusto, principalmente em razão da existência de práticas de trabalho que asseguram boa disciplina e que inibem a existência de documentos que estejam fora de um processo devidamente numerado e cadastrado no sistema de gestão integrado (SICNet). Deve-se ressaltar que o subprocesso Gestão de Documentos encerra uma gama diversificada de produtos e serviços prestados para a Agência, de cunho normativo e de procedimentos, e que envolve planejamento, controle e ações de apoio para solução das mais variadas demandas das Superintendências e áreas da ANEEL. Os principais aspectos positivos do quadro atual são: Capacidade: a atual capacidade de atendimento suporta uma demanda elevada de consultas; Cultura Corporativa: existência de uma cultura corporativa direcionada para um bom nível de qualidade de atendimento e desempenho no cumprimento da missão da área; Acesso a imagens: o atual sistema disponibiliza imagens de documentos e processos. Não obstante as virtudes e o bom funcionamento, há um quadro de muitas limitações para o presente modelo, e que poderiam colocar em risco seu desempenho satisfatório para os próximos anos, caso providências oportunas não tivessem sido tomadas. As principais limitações da condição atual encontram-se a seguir relacionadas: Defasagem tecnológica: refere-se à indisponibilidade de ferramenta mais avançada para a gestão de documentos. A melhor previsão para entrada em produção do novo sistema (SICNet 2.0) é no decorrer do primeiro trimestre de Durante o lapso de tempo até a entrada efetiva, a Agência terá que conviver com limitações associadas à pouca interação amigável em ambiente Web, à lentidão em menus de pesquisas e à ausência de funcionalidades avançadas, seja no campo da pesquisa, emprego de formulários eletrônicos e integração com sistemas de apoio à decisão. Limitações de Capacidade e Segurança: por limitações de espaço físico adequado e seguro para acomodação de documentos o acervo de documentos da Agência encontra-se em local inadequado para sua conservação e preservação. 130

143 As ações prioritárias abaixo identificadas que propiciam uma aproximação da situação atual para com o Marco Referencial ideal são as seguintes obs: os itens marcados com (*) indicam ações em andamento: Aprovação do projeto de atualização do Plano de Classificação de Assuntos da Atividade Fim da ANEEL, junto à Diretoria e o Conselho Nacional de Arquivos CONARQ; Avaliação de documentos e processos, em conformidade com a Tabela de Temporalidade de Documentos de Arquivo da Atividade Meio e Fim com vistas à guarda permanente ou descarte (*); Finalização da instalação e customização de novo sistema adquirido em substituição ao Sistema SICNet, o que resolve a questão da defasagem tecnológica e da falta de ferramentas identificadas (*); Aprovação da norma de uso da assinatura eletrônica na ANEEL; Implementação do projeto de integração do sistema de gestão de documentos com novas tecnologias, quecompreende: Protocolos digitais: recebimento de documentos eletrônicos; Termos eletrônicos com Assinatura digital gerados pelo sistema: geração dos termos de instrução processual por formulários eletrônicos integrados a solução da Assinatura Eletrônica; Gestão dos documentos digitais criados pelas Unidades Organizacionais: implementação do controle de minutas para todas as espécies de documentos gerados nas unidades organizacionais, com aplicação de assinatura eletrônica; Busca Textual em documento digital: implementação do projeto de busca textual para acesso rápido as informações realizadas no conteúdo do documento digital; Implementação de automação do fluxo ou trâmite de documentos: com vistas à simplificação e agilização na tramitação dos documentos de arquivos; Projetos específicos: elaboração e execução de projetos específicos para migração dos acervos digitais que estão armazenados em coleções de CDs, com objetivo de preservação e disseminação da Informação; Banco de Imagens: organização das informações registradas e melhorias da forma de trabalho do Banco de imagens Corporativo, no sentido de auxiliar as ações de descarte por meio da aplicação da Tabela de Temporalidade Documental. Fortalecimento Organizacional: promover programa de reciclagem de treinamentos aos servidores com vistas à capacitação de servidores no uso das ferramentas de gestão de documentos, para agregar eficiência e eficácia à aplicação das Normas e Procedimentos. Melhoria das instalações físicas do Arquivo Central: inclui a elaboração e execução de projetos específicos para migração dos acervos digitais que estão armazenados em coleções de CDs, com objetivo de preservação e disseminação da Informação (Sala de Arquivos), a exemplo têm os Boletins de Campo, Prestação Anual de Contas PAC, Processos de Licitações de concessões editais, Atos Legais da ANEEL, Fichas de Controle de Processos, entre muitos outros. 131

144 132

145 ANEXOS 133

146 134

147 Anexo 1 Detalhamento das Estratégias de TI Conteúdo Resultado consolidado em 30/11/2012 fls 2-3 ETI 1 Novo Modelo de Gestão Consolidado fls 4-5 ETI 2 Infraestrutura robusta e informação 100% integrada implantada fls 6-7 ETI 3 Inteligência de negócios e soluções inovadoras implantadas fls ETI 4 Uso de Geoprocessamento intensificado fls ETI 5 Modernização da Gestão da Documentação implantada fls ETI 6 Nível de maturidade de Gestão de TI aprimorado fls

148 Detalhamento das Estratégias de TI Anexo 1 Resultado da Execução fls 2 / Posição de 30/11/2012: Nível percentual de execução Denominação Responsáveis ETI 1 - Novo Modelo de Gestão Consolidado Superintendente SGI / Equipes de Apoio 80,3% ETI 2 - Infra-estrutura robusta e informação 100% integrada implantada Equipes Adm.Rede, BD, AD e Serviços 39,6% ETI 3 - Inteligência de Negócios e Soluções Inovadoras implantadas Equipes EGP, BI, Fáb.Software e Sustentação 56,4% ETI 4 - Uso de Geoprocessamento intensificado Equipe Geoprocessamento ETI 5 - Modernização da Gestão da Documentação implantada Equipes Cedoc / Gestão de Documentos 52,5% 50,0% ETI 6 - Nível de maturidade de Gestão de TI aprimorado Equipes Apoio ao Usuário, SegInfo, Administração 65,6% Total da Execução - Posição Consolidada 58,4% % Evolução comparativa entre o executado e o previsto: PDTI 3ª Edição ( ) 80 PDTI Original ( ) ,1 33,8 54,4 48,7 58,4 Execução efetiva das ETI: 58,4% (30/11/2011) ,3 8,7 18,0 136

149 Detalhamento das Estratégias de TI Anexo 1 Resultado da Execução fls 3 / Comentários: O nível de execução de cada uma das Estratégias de TI (ETI) da ANEEL avançou 58,4% na posição média total de 30/11/2011 conforme demonstrado no quadro do item 1. Na mensuração, utilizou-se o critério de peso idêntico * para cada projeto, independente de sua complexidade. As medições extraídas nos períodos apontados no gráfico foram apresentadas e discutidas pormenorizadamente com os líderes e equipes de execução das ETI, no decorrer das diversas reuniões de acompanhamento realizadas, com a participação do Superintendente da SGI e da Equipe de coordenação. De uma forma geral, deve-se registrar que a execução das ETI sofreu o impacto de diversos fatores adversos. Entre os principais, tem-se a morosidade nos processos licitatórios (principalmente provocada por diversos mandados de segurança impertrados por empresas concorrentes), atraso de aproximadamente um ano para a autorização de convocação para posse dos servidores aprovados em concurso, qualidade insatisfatória nos serviços prestados pela fábrica de software, limitações orçamentárias e também a maior complexidade observada em determinados itens - como o mapeamento das informações o que demanda uma maior quantidade de tempo para análise e implantação. Dessa forma, a equipe de execução das ETI deverá concentrar esforços na tentativa de superar os atrasos observados. O cronograma e o andamento da execução das ETI encontram-se detalhados nas páginas a seguir, acompanhada dos devidos comentários. (*) Excetuam-se eventuais ajustes oriundas de exclusões ou mudanças ocorridas na composição de algumas ETI, para refletir o compromisso assumido no PDTI original. 137

150 Detalhamento das Estratégias de TI Anexo 1 ETI 1 Novo Modelo de Gestão Consolidado fls 4 / Nível de execução: 80,3% Fábrica de Software Contratada Serviços Especializados de Gestão da Infra-estrutura contratados 100% 100% Serv.Especializados Auditoria e Métricas de Qualidade contratados 21% Concurso e nomeação de novos servidores efetivados 100% Total da Execução 80,3% 0% 20% 40% 60% 80% 100% 2. Cronograma de Implantação Legenda: Po=Previsão Original (nº meses) / Mp=Prazo mais provável de implantação Denominação Nº % Responsável ETI Exec Fábrica de Software Contratada Superintendência SGI % OK Serviços Especializados de Gestão da Infra-estrutura contratados Superintendência SGI % OK Serv.Especializados Auditoria e Métricas de Qualidade contratados Po= 18 Mp= 30 Superintendência SGI ,0% Concurso e nomeação de novos servidores efetivados Superintendências SRH / SGI % OK Total da Execução: 80,3% 2013 I II III IV I II III IV I II III IV I II III IV 138

151 Detalhamento das Estratégias de TI Anexo 1 ETI 1 Novo Modelo de Gestão Consolidado fls 5 / 23 Comentários: O novo modelo de gestão de TI encontra-se plenamente consolidado na ANEEL, independentemente do atraso verificado na contratação dos serviços especializados de auditoria e métricas de qualidade (ETI 1.3). Entre as principais modificações introduzidas por esse novo modelo, tem-se: a) Licitação de serviços contratados sob novas regras, com a substituição da unidade de medida das bases contratuais de salário/hora da mão de obra especializada para itens solicitados em ordens de serviços previamente emitidas pela ANEEL. O pagamento aos fornecedores, por conseguinte, baseia-se na comprovação dos serviços efetivamente executados pelo fornecedor ou, no caso de fábrica de software, com base em pontos de função atribuídos aos serviços e artefatos efetivamente executados e entregues. Todos os pagamentos passam pela aferição dos níveis de qualidade (SLA) acordados entre a ANEEL e os fornecedores. b) Substituição de empresa única prestadora de serviços por diferentes empresas, dentro de cada área de atuação, como Service Desk, Fábrica de Software, Serviços de Infraestrutura e Geoprocessamento, entre outros, ficando o acompanhamento e gestão dos contratos de cada fornecedor a cargo de servidores efetivos. c) Entrada em atividade de servidores efetivos nomeados por concurso público em meados de 2011, o que permitiu sanar uma séria deficiência de força de trabalho existente na SGI. A ETI 1 trouxe vários benefícios para a Agência, tanto no tocante à melhoria das práticas de gestão de TI como no aspecto econômico. Neste último aspecto, a redução nos gastos com serviços especializados superou o aumento de recursos despendidos na remuneração dos servidores efetivos, e resultou em uma redução líquida em torno de 20% nos gastos com a força de trabalho aplicada à TI para a Agência (os detalhes podem ser apurados no Anexo 3). No tocante aos procedimentos administrativos, a complexidade da gestão se elevou, em razão do maior número de licitações, documentos, diligências feitas às empresas licitantes, procedimentos de controle e formalidades legais necessárias para a gestão de um maior número de fornecedores e contratos, com impacto na carga de trabalho em várias outras áreas da Agência, como a SLC, SAF e Procuradoria. A implantação desse novo modelo vem ao encontro das boas práticas de gestão modernamente adotadas no setor público, as orientações emitidas pelo TCU em seus diferentes acórdãos e pareceres e as diretrizes da Instrução Normativa nº 4/2010 da SLTI/MPOG. 139

152 Detalhamento das Estratégias de TI Anexo 1 ETI 2 Infraestrutura robusta e informação 100% integrada implantada fls 6 / Nível de Execução: 39,6% Infra-estrutura aprimorada 90,3% Redundância eliminada Banco de Dados único implantado Ambiente de Redundância em nível externo implantado Outras Ações Total da Execução (anexado à ETI 2.3) ,3% 27,3% 77,3% 39,6% 2. Cronograma de Implantação ETI 2.1 a 2.3 Descrição da Ação Nº % 0% 20% 40% 60% 80% 100% Legenda: Po=Previsão Original (nº meses) / Mp=Prazo mais provável de implantação Responsável ETI Exec I II III IV I II III IV I II III IV I II III IV Infra-estrutura aprimorada 1. Assegurar infraestr.elétrica estável e redundante com capacidade de operação por longos períodos de queda energia Resp: Superintendente SAF / Gerente Adm Rede % Po=8 OK 2. Implantar software para monitoramento dos ativos e serviços de TI Po=16 Mp=40 Resp: Gerente Adm. Rede ,0% 3. Treinamento específico da equipe de BD como forma de garantir a atualização tecnológica (SQL 2008 e BI). Resp: Gerente Adm.Bco de Dados % Po=5 OK 4. Investimentos em hardware que atenda a demanda atual de BD produção/garanta crescimento futuro. Resp: Gerente Adm.Bco de Dados % OK 5. Definir a topologia de BD e arquitetura de alta disponibilidade Resp: Gerente Adm.Bco de Dados % OK 6. Migrar os bancos de dados para SQL Server 2008 para garantir a atualização tecnológica e o suporte do fabricante. Resp: Gerente Adm.Bco de Dados % OK 7. Criação do Sistema S3A - Autenticação, Autorização e Auditoria como plataf.segurança única de sistema da ANEEL. Resp: Egp - Fábr.Software % OK 8. Ampliar a capacidade de armazenamento do servidor de dados do Centro de Documentação. Resp: Gerente CEDOC / Gerente Adm. Rede % Po=10 - OK 9. Atualização tecnológica dos Recursos de TI (área de Rede) Po=16 Mp=27 Resp: Gerente Adm. Rede / Bco de Dados / Serv iços ,1% 10. Implantar contingenciamento da infra-estrutura em nível interno Po=6 - OK Mp=24 Resp: Gerente Adm. Rede / Bco de Dados / Serv iços ,6% Posição consolidada ETI ,3% Redundância eliminada (obs: item originalmente separado e posteriormente anexado à ETI 2.3) Banco de Dados único implantado (Análise e diagnóstico (Previsão original 1. Mapeamento das Informações (MapInfo) GT-Dados - ETI 2.2) em outras bases) Mapinfo Mp=8 Resp: Adm.Dados - Equipe MapInfo / UORGs ,9% 2. Análise da Complexidade ->Mar/14 Resp: Administração de Dados % 3. Definição de intersecções ->Mai/14 Resp: Administração de Dados % 4. Negociação entre partes interessadas -> a definir Resp: Superintendência / Adm.Dados / UORGs % 5. Seleção de sugestões de modelagem -> a definir Resp: Administração de Dados % 6. Sugestão de modelo corporativo -> a definir Resp: Administração de Dados % 7. Adequação dos Sistemas -> a definir Resp: Administração de Dados / Sustentação % Posição consolidada ETI 2.3 0,3% Po= Mp=45 -> m 140

153 Detalhamento das Estratégias de TI Anexo 1 ETI 2 Infraestrutura robusta e informação 100% integrada implantada fls 7 / 23 Comentários (ETI 2.1 a 2.3): A ETI 2 é composta de vários projetos direcionados ao fortalecimento e robustez da infraestrutura de TI da ANEEL. Parte desses projetos, pela magnitude, tem passado por entraves na sua execução, tanto pela complexidade como pela limitação de recursos financeiros. A ETI 2.1 apresentou avanços satisfatórios, pela execução de projetos importantes na área da infraestrutura e que vem contribuindo significativamente para a melhoria do desempenho da rede lógica. Os itens faltantes que restam dependem da contratação de suporte técnico de empresa especializada em infraestrutura de rede (a ser efetivado em meados de 2013) e do desenvolvimento de pré-requisitos para a implantação das ferramentas Active Directory, Exchange e Virtualização, para migração ao novo ambiente de storage e de servidores de rede recém adquiridos pela Agência. O prazo final para implantação da ETI 2.1 é previsto para outubro de A ETI 2.3 (que engloba a ETI 2.2, originalmente prevista em separado no PDTI original) é composta de várias etapas que possuem uma sequência lógica de desenvolvimento e implantação. O trabalho está sendo conduzido pela Equipe de Administração de Dados (v. Capítulo 2, tópico e 1.2.3) cuja formação foi condição necessária à execução desse projeto. O marco inicial dos trabalhos deu-se efetivamente em outubro de 2012, após várias análises e estudos, com a apresentação e obtenção do apoio e patrocínio da Diretoria, no tocante à abordagem e à forma da condução dos procedimentos junto às demais áreas da ANEEL. O desafio consiste em um levantamento criterioso da origem e trâmite dos insumos e produtos informacionais, para posterior captura e armazenamento apropriado no repositório único a ser criado. Em sua integralidade, a execução da ETI 2.3 deverá demandar um total entre 26 a 30 meses de trabalho. Esse prazo poderá se estender ainda mais, a depender da maior ou menor dinâmica dos trabalhos da SGI em conjunto com as demais áreas da ANEEL. Ressalta-se que o foco da ETI 2.3 se concentra no trâmite e fluxo informacional exercido pelas áreas da ANEEL, através das ferramentas de trabalho das áreas e do legado de mais de 60 sistemas desenvolvidos ao longo de vários anos de existência da Agência, e que o risco de agravamento da redundância informacional encontra-se sob controle, em vista que todos os sistemas recém-desenvolvidos ou em desenvolvimento pela Agência, já atendem aos requisitos de aderência à política de Administração de Dados implantada. Por outro lado, o trabalho produzido pelo grupo GT Dados (ETI 2.2) está sendo utilizado como confronto ao processo de mapeamento das informações.. (continua na página seguinte) 141

154 Detalhamento das Estratégias de TI Anexo 1 ETI 2 Infraestrutura robusta e informação 100% integrada implantada fls 8 / 23 (continuação) 2.3 Cronograma de Implantação ETI 2.4 a 2.5 Descrição da Ação Nº % Responsável ETI Exec Legenda: Po=Previsão Original (nº meses) / Mp=Prazo mais provável de implantação Ambiente de Redundância em nível externo implantado 1. Execução do plano de ações para Ambiente de Redundância, incl. articulação com órgãos externos Po=10 Mp=28 Resp: Adm. Rede / Superintendente SGI ,0% 2. Atualizar política de backup corporativo com base em novo robô e armazenamento externo Po=10 Mp=17 Resp: Adm.Bco de Dados / Adm. Rede ,0% 3. Criação de procedimentos para Gestão de Desastres - Plano de Contingência e Continuidade de Negócios Mp=27 Resp: Adm.Rede / Equipe de Segurança ,0% Posição consolidada ETI ,3% Outras Ações 1. Desvincular administração do cabeam.estruturado da rede da porção da SGI da SAF Resp: SAF / SGI ,0% (v. nota 1) 2. Estruturar a área de Serviços, adotando práticas do ITIL para aliar as particularidades de cada demanda Resp: SAF / SGI % OK 3. Reestruturação dos serviços de Mensageria Po=11 Mp=38 Resp: Adm. Rede ,0% 4. Atualizar/rever NT nº 6/2004 padronização de objetos da Base de Dados Corporativa Po=5 Mp=17 (v. nota 2) Resp: Adm.Bco de Dados ,0% 5. Aprimorar a auditoria de alterações de dados críticos Po=5 Resp: Gerente Adm.Bco de Dados / Eq.Sustentação ,0% OK (v. nota 3) 6. Disseminar nova cultura de usuários internos e externos quanto à nova realidade de atendimento Resp: Adm. Service Desk ,0% OK 7. Decidir a aquisição de software de gestão, atualização do softw existente ou contratação com softw proprietário Resp: Adm. Service Desk ,0% OK 8. Criar script atendimento de 1º nível Resp: Adm. Service Desk ,0% OK 9. Formação do Portal de Sistemas (com emprego do Sistema S3A) Resp: Gerente Adm. Rede ,0% OK Posição consolidada ETI ,4% Total da Execução - ETI 2: 39,6% I II III IV I II III IV I II III IV I II III IV Po=26 Mp=28 Po=42 Mp

155 Detalhamento das Estratégias de TI Anexo 1 ETI 2 Infraestrutura robusta e informação 100% integrada implantada fls 9 / 23 (continuação) Comentários (ETI 2.4 e 2.5): O objetivo da ETI 2.4 é o de prover um ambiente de redundância em local externo para assegurar a continuidade das operações dos serviços críticos de TI (Disaster Recovery). O fundamento dessa ETI reside no fato de que os negócios da Agência tem elevada dependência de TI, e que, mesmo com um contando com um data Center instalado em segurança alta segurança, a Agência não está imune a situações de desastres naturais ou força maior. Em razão do elevado investimento requerido em equipamentos (em torno de R$ 5 milhões), as limitações de orçamento da ANEEL são um entrave para a implantação do projeto, o que sujeita a execução dessa ETI às condições de viabilidade e oportunidade aplicáveis à Agência. A ETI 2.5 reúne uma série de ações de infraestrutura não relacionadas às ETI anteriores. Houve avanço significativo em vários itens, o que contribuiu para a melhoria das condições de segurança em vários aspectos particulares do ambiente operacional de TI. Notas: Nota 1: (ETI 2.5.1) - Em avaliação interna recente, constatou-se que as ações efetuadas no âmbito do desvinculo do cabeamento estruturado não produziram o efeito esperado, o que qualifica esse item como não executado. Serão realizadas novas discussões entre SGI e SAF para se acertar um novo acordo e definição de providências rumo ao saneamento das deficiências existentes. Nota 2: (ETI 2.5.3) A ação tem como pré-requisito a contratação de suporte técnico especializado em Exchange, o que deverá ocorrer no início de Nota 3: (ETI 2.5.5) A auditoria de dados críticos está sendo executada pelas próprias ferramentas do SQL Server em condições satisfatórias, pela equipe de Banco de dados. A extensão do sistema próprio de auditoria (S3A) para os sistemas legados constitui-se em uma ação à parte, dentro da padronização prevista, e que demandará envolvimento com a área de desenvolvimento. 143

156 Detalhamento das Estratégias de TI Anexo 1 ETI 3 Inteligência de negócios e soluções inovadoras implantadas fls 10 / Nível de Execução: 67,7% BI: implantação da ferramenta e entrada em operação 97,5% Portal Web: remodelação do portal, atualização tecnológica e outros. 8,5% Portfólio: desenvolvimento de sistemas 62,6% Administração dos Processos de Negócio (BPM) 39,3% Sustentação de Sistemas aprimorada 74,0% Total da Execução 56,4% 0% 20% 40% 60% 80% 100% 2. Cronograma de Implantação: ETI 3 Descrição da Ação Nº % Responsável ação Exec Legenda: ( Previsão Po=Previsão Original Original = Po / Mais (nº meses) provável / Mp=Prazo a ser implantado mais provável em nº de de meses implantação = Mp) I II III IV I II III IV I II III IV 2013 I II III IV BI: implantação da ferramenta e entrada em operação 1. Implantação da ferramenta de BI (SAS) Po=13 Resp: Adm.Bco de Dados / EGP % OK 2. Treinamento da equipe para atuação com a ferramenta Po=6 Resp: Adm.Bco de Dados / EGP % OK 3. Implantação e Entrada em Operação Po=9 Resp: Adm.Bco de Dados / EGP % OK 4. Elaboração de Políticas Po=9 Resp: EGP ,0% OK Posição consolidada ETI ,5% OK Portal Web: remodelação do portal, atualização tecnológica e outros 1. Realizar revisão do Portal e Atualização tecnológica Po=11 Mp=42 Resp: SGI - Serv iços / ACI % 2. Portais de Trabalho: disponibilizar ferramenta de organiz/centraliz dos trab nas UO, SharePoint, Blogs e Mini-portais Mp=43 Resp: SGI - EGP / Serv iços Web % Po=6 (Mar/14) Posição consolidada ETI 3.2 8,5% Portfólio: desenvolvimento de sistemas a) Sistema implantados ou em manutenção evolutiva - área solicitante 1. Sistema de Autenticação, Autorização e Auditoria de acesso - S3A (SGI) Resp: EGP - Fábrica de Software 100% OK 2. Sistema de Atesto a Contas Telefônicas (SAF) Resp: EGP 100% OK 3. Sistema de Gestão da Fiscalização SIGEFIS Versão Sharepoint (SFF/SFG) Resp: EGP 100% OK 4. Sistema de Gestão da Transmissão SIGET - SRT/SFE/SCT/SRE (módulo adicional para atender legislação) Resp: EGP - Fábrica de Software 100% OK 5. Sistema SIGECONT (SFE) - Migração para o SAS e manutenção evolutiva - módulo INDQUAL Resp: EGP - Sustentação 63,6% (obs: migrado para BI - SAS) 6. Sistema de Gestão de Campos Eletromagnéticos (GCEM) Resp: EGP - Fábrica de Software 100% OK 7. Sistema de Gestão da Transmissão SIGET - SRT/SFE/SCT/SRE (modificação p/ revisão tarifária 2012) Resp: EGP - Sustentação 100% OK 8. Sistema de Compensação Financeira: melhoria do SIGEC (SAF) Resp: EGP - Sustentação 100% OK 9. Sistema de Avaliação de Desempenho FAD (SRH) Resp: EGP - Sustentação 100% OK 144

157 Detalhamento das Estratégias de TI Anexo 1 ETI 3 Inteligência de negócios e soluções inovadoras implantadas fls 11 / 23 Descrição da Ação Nº Responsável ação b) Sistema em desenvolvimento / implantação Legenda: Po=Previsão Original (nº meses) / Mp=Prazo mais provável de implantação I II III IV I II III IV I II III IV I II III IV 1. Sistema de Acompanhamento de Processos da Diretoria APDIR - (Diretoria) Mp=18 Resp: EGP - Fábrica de Software 68,6% 2. Sistema de Gestão de Pesquisa e Desenvolvimento SGP&D (SPE) Mp=18 Resp: EGP - Fábrica de Software 75,7% 3. Sistema de Controle das Reuniões da Diretoria SICOR - (Diretoria) Po=8 Mp=30 Resp: EGP - Fábrica de Software 63,6% 4. Sistema de Gestão de Eficiência Energética SGPEE (SPE) Mp=18 Resp: EGP - Fábrica de Software 64,3% 5. Sistema de Cálculo das Variações dos itens da Parcela A - CVA (SFF) Mp=18 Resp: EGP - Fábrica de Software 40,0% 6. Sistema de Acompanhamento do Relacionamento Institucional - SARI versão 4 (SRI/SGI) Po=14 Mp=35 Resp: EGP - Fábrica de Software 90,0% 7. Sistema de Cadastro de Agentes do Setor Elétrico CASE (SRI) Po=8 Mp=27 Resp: EGP - Fábrica de Software 71,4% 8. Sistema de Acompanhamento da Geração SAG (SFG) Resp: EGP - Fábrica de Software 7,1% depende de nov a licitação 9. Sistema de Ressarcimento de ICMS SIRE (SAF) Resp: EGP - Fábrica de Software 57,1% depende de nov a licitação 10. Sistema de Gestão de Documentos SICNet 2 (Corporativo) Po=15 Mp =29 Resp: EGP - Empresa Fornecedora 82,7% 11. Sistema de Gestão da Transmissão SIGET(SRT/SFE/SCT/SRE) - modificação evolutiva II para atendim de revisão tarifária extraordinária Resp: EGP - Sustentação 72,9% Mp= Sistema de Gestão da Transmissão SIGET(SRT/SFE/SCT/SRE) - troca de informações com O N S, MME e outras melhorias Resp: EGP - Fábrica de Software 0,0% depende de nov a licitação 13. Sistema de Ouvidoria (SMA) - 2ª versão Resp: EGP - Fábrica de Software 0,0% depende de nov a licitação 14. Sistema de Acompanhamento da Descentralização - SIAD (SRI) Resp: EGP - Fábrica de Software 0,0% depende de nov a licitação 15. Sistema de Informações Gerenciais da ANEEL SIGANEEL (SPG): manutenção evoutiva do módulo de execução Resp: EGP - Fábrica de Software 100,0% depende de nov a licitação 16. Sistema de Informações Gerenciais da ANEEL SIGANEEL (SPG): reconstrução do sistema, incluindo novas funcionalidades Resp: EGP - Fábrica de Software 0,0% depende de nov a licitação 17. Sistema de Controle de Processos de Auditria (AIN) Resp: EGP - Fábrica de Software 0,0% depende de nov a licitação 18. Sistema de Controle de Contratos de Compra e Venda COMVEN (SEM) Resp: EGP - Fábrica de Software 0,0% depende de nov a licitação 19. Sistema de Amostragem e Acompanhamento do Bônus Itaipu SAABI (SFE) Resp: EGP - Fábrica de Software 0,0% depende de nov a licitação 20. Sistema de Fiscalização da Geração (SFG) Resp: EGP - Fábrica de Software 0,0% depende de nov a licitação 21. Sistema de Controle de Reclamações (SRC) Resp: EGP - Fábrica de Software 0,0% depende de nov a licitação 22. Sistema de Cálculo dos coeficientes de distribuição de comp.financeira e royalties Itaipu - (SCG) Resp: EGP - Fábrica de Software 0,0% depende de nov a licitação 23. Sistema de Fiscalização dos Indicadores de Continuidade FISCONT (SFE) Resp: EGP - Fábrica de Software 0,0% depende de nov a licitação 24. Sistema de Controle das Atividades dos Conselhos de Consumidores SISCON (SMA) Resp: EGP - Fábrica de Software 0,0% depende de nov a licitação 145

158 Detalhamento das Estratégias de TI Anexo 1 ETI 3 Inteligência de negócios e soluções inovadoras implantadas fls 12 / 23 Descrição da Ação Nº Responsável 25. Cadastro de Inadimplentes do Setor Elétrico CISE (SFF) ação Legenda: Po=Previsão Original (nº meses) / Mp=Prazo mais provável de implantação Resp: EGP - Fábrica de Software 0,0% depende de nov a licitação 26. Sistema de Controle de Continuidade dos Pontos de Conexção entre Transm.e Distrib.e entre Distribuidoras SCPC (SRD) Resp: EGP - Fábrica de Software 0,0% depende de nov a licitação 27. Sistema de apoio à Análise de Desempenho de UHE não despachadas centralizadamente ANAGER (SRG) Resp: EGP - Fábrica de Software 0,0% depende de nov a licitação 28. Plano de Desenvolvimento de Distribuição PDD (SRD) Resp: EGP - Fábrica de Software 0,0% depende de nov a licitação 29. Sistema de Contribuições em Audiência Pública SCAP (SRC) Resp: EGP - Fábrica de Software 0,0% depende de nov a licitação 30. Sistema para gerenciamento das concessões de geração de energ.elétrica CONCESSÕES (SCG) Resp: EGP - Fábrica de Software 0,0% depende de nov a licitação 31. Aplicativo PARACEMP A3P (SCG Resp: EGP - Fábrica de Software 0,0% depende de nov a licitação 32. Aplicativo para gerenciamento de ocorrências e perturbações SISGOP (SFE) Resp: EGP - Fábrica de Software 0,0% depende de nov a licitação 33. Sistema de Relatório de Informações Trimestrais RIT (SFF) Resp: EGP - Fábrica de Software 0,0% depende de nov a licitação 34. Boletim Informações Gerenciais (SCR) * Mp=14 Resp: EGP 84,3% c) Sistema em implantação pela área de Sustentação 1. Sistema de Aporte de Garantia SIAG - (SEL) Mp=9 Resp: EGP - Sustentação 28,6% 2. Sistema de Utilização de Bem Público UBP (SCG) Mp=9 Resp: EGP - Sustentação 42,9% 3. Sistema para suporte a eventos da SPE (Citenel) ** Mp=9 Resp: EGP - Sustentação 85,7% Posição consolidada ETI ,6% I II III IV I II III IV I II III IV I II III IV Administração dos Processos de Negócio (BPM) 1. Elaboração de projeto para Administração dos Processos de Negócios (BPM) Po=6 Mp=27 Resp: EGP ,6% 2. Execução de Projeto-piloto Po=12 Mp=24 Resp: EGP Posição consolidada ETI ,3% Po=18 Mp= Sustentação de Sistemas aprimorada 1. Transição de pico de pendências para nível normal Po=9 Resp: EGP - Sustentação ,0% OK 2. Levantamento e elaboração da documentação do legado existente (30 sistemas) Po=12 Mp=24 Resp: EGP - Sustentação ,0% Posição consolidada ETI ,0% Total da Execução - ETI 3: 67,7% * aplicativo em funcionamento desde Março de 2012, embora incompleto ** aplicação existente na Eletronorte e que será importada pela ANEEL com adaptações. Po=23 Mp=35 146

159 Detalhamento das Estratégias de TI Anexo 1 ETI 3 Inteligência de negócios e soluções inovadoras implantadas fls 13 / 23 Comentários ETI 3: O total do nível de execução da ETI 3 é de 67,7%. Na ETI 3.1, o índice de 97,5% reflete a quase integralidade de execução, restando apenas a aprovação da política de uso e gestão da ferramenta de inteligência de negócios. Os benefícios dessa ETI podem ser melhor apurados quando observado o número significativo de aplicações de BI desenvolvidas pelos próprios usuários nas várias áreas da Agência mais de 25 até meados de 2012 e que resultam em ganho de tempo, eficiência e confiabilidade na coleta, pesquisa e manuseio das informações para as mais diversas finalidades. A execução da ETI 3.2 apresentou avanços intermitentes e uma redefinição de escôpo pelas Superintendências. Ressalte-se a troca das equipes internas e dos Superintendentes da SCR e SGI, levando a um reposicionamento do conteúdo de toda a ETI. Assim, ao invés de contratação de empresa especializada para remodelação do novo site, será utilizado o emprego da força de trabalho interna, com prazo final de implantação projetado para 30/11/2013. O percentual de 8,5% de execução reflete os estudos sobre o uso e da política de uso da ferramenta de colaboração, bem como os avanços havidos nos diagnósticos de problemas e na definição do escopo do projeto de novo desenvolvimento do site da Agência. No tocante à ETI 3.3, o índice de execução de 62,6% reflete a conclusão de 9 sistemas (sendo 7 pela área de Sustentação e 2 pela Fábrica de Software) e a execução parcial de outras 12 aplicações sistêmicas em fase de desenvolvimento. De uma forma geral, o desenvolvimento tem sido muito prejudicado pela qualidade aquém do esperado dos produtos da Fábrica de Software contratada, situação essa que deverá ser revertida para Ressalte-se que a medição utilizada reflete o compromisso assumido no PDTI original de desenvolvimento de 27 novos sistemas. Ou seja, como houve 12 cancelamentos solicitados pelas áreas nos últimos dois anos, foram incluídos outros 12 novos sistemas da relação de novos pedidos, de forma a perfazer o total de 27 solicitações originais. A ETI 3.4 teve sua conclusão postergada para Junho de 2013, em razão da dependência de várias áreas para conclusão da atualização e redesenho de processos internos da ANEEL. Paralelamente, está-se procedendo à licitação da ferramenta Bizagi Studio, capaz de automatizar os processos mapeados por meio de workflow. Na ETI 3.5, o nível de 74,0% de execução reflete a superação do período de dificuldades decorrente da substituição de quase toda a equipe de sustentação e o correspondente retorno à normalidade do atendimento em 3º nível, face à transição ao novo modelo de gestão (ETI 1.1), além da pendência de documentação existente (obs: o total compromissado é de 30 sistemas legados a serem documentados, tendo se já efetivado um total de 50%). Ressalte-se que a área de Sustentação responde tanto pela manutenção sistêmica de dos sistemas em operação na Agência como pelo desenvolvimento de aplicações sistêmicas abaixo de 50 pontos de função. 147

160 Detalhamento das Estratégias de TI Anexo 1 ETI 4 Uso de Geoprocessamento intensificado fls 14 / Nível de Execução: 52,5% - vide observação (*) na página seguinte Novo fornecedor contratado Webservice desenvolvida em padrão WFS para consumo do SIGEL e outros sistemas georreferenciados 100,0% 100,0% Portfólio de Geoprocessamento intensificado 36,7% PRODIST: módulo com funções de geoprocessamento implantado 100,0% Total da Execução 52,5% 0% 20% 40% 60% 80% 100% 2. Cronograma de Execução: Descrição da Ação Nº % Legenda: Po=Previsão Original (nº meses) / Mp=Prazo mais provável de implantação Responsável ETI Exec I II III IV I II III IV I II Novo fornecedor contratado 1. Contratação de serviços técnicos especializados para atendimento às atividades finalísticas e de suporte Resp: Superintendente SGI % OK Webservice desenvolvida em padrão WFS para consumo do SIGEL e outros sistemas georreferenciados 1. Projeto Piloto WFS implantado Po=4 Resp: Equipe Geoprocessamento % OK 2. Projeto Piloto WFS integrando SIG com BI implantado Po=4 Resp: Equipe Geoprocessamento / EGP - BI % OK Portfólio de Geoprocessamento intensificado 1. Divulgação de acervo de imagens via Web Po=5 Resp: Equipe Geoprocessamento % OK 2. Implantação de processo de espacialização seletiva de dados e informações do SAD/SAS; Po=15 Resp: Equipe Geoprocessamento (inserido na ETI ) 3. Suporte ao Programa Luz para Todos Resp: Equipe Geoprocessamento % projeto em prospecção 4. Mapeamento das Linhas de Transmissão Po=8 Efet=20 Resp: Equipe Geoprocessamento % OK 5. Suporte ao Programa de Tarifa Subsidiada Resp: Equipe Geoprocessamento % projeto em prospecção 6. Mapeamento dos Conjuntos Elétricos e índices DEC/FEC Resp: Equipe Geoprocessamento projeto incorporado à ETI Mapeamento e monitoram ocupações ilícitas em torno dos reservatórios das UHEs Resp: Equipe Geoprocessamento % projeto em prospecção 8. Mapeamento das Concessões Po=23 / Efet=20 Resp: Equipe Geoprocessamento % 9. Mapeamento das Bacias Hidrográficas com maior potencial p/implantação de PCH/CGHs Resp: Equipe Geoprocessamento % projeto em prospecção 10. Mapeamento das áreas de ocorrências de perdas não técnicas Resp: Equipe Geoprocessamento projeto em prospecção 11. Análise Geográfica das reclamações recebidas pela Ouvidoria Po=24 Mp=37 Resp: Equipe Geoprocessamento ,7% Posição consolidada ETI ,7% PRODIST: módulo com funções de geoprocessamento implantado 1. Projeto piloto em empresa selecionada Po=11 / Efet=8 Resp: Equipe Geoprocessamento % 2. Extensão para outras empresas distribuidoras Efet=6 Resp: SRD / SGI % Posição consolidada ETI % Total da Execução - ETI 4: 52,5% III IV 2013 I II III IV 148

161 Detalhamento das Estratégias de TI Anexo 1 ETI 4 Uso de Geoprocessamento intensificado fls 15 / 23 Comentários ETI 4: A ETI 4 avançou 52,5% * na execução consolidada. Esse nível reflete o esforço concentrado da equipe de SGI-Geoprocessamento, dentro da atuação em parceria com as áreas da Agência, desde a prospecção até a finalização do desenvolvimento de aplicações. Do total de 18 aplicações potenciais contidas no PDTI original, 6 foram totalmente executadas, 5 foram suspensas temporariamente, podendo ser retomadas no futuro e duas aplicações foram incorporadas em outras ETI, restando atualmente um total de 5 aplicações em fase de prospecção ou execução. Na fase atual, ressalte-se que a viabilização de aplicações de geoprocessamento é altamente dependente das atividades de prospecção conduzidas pela equipe da SGI-Geoprocessamento, cuja receptividade junto às áreas usuárias, anteriormente nem sempre favorável, seja em razão da priorização diferenciada das atividades de cada área, seja por limitações de ordem técnica e de força de trabalho, vem evoluindo favoravelmente ao longo do tempo. Considerando-se essas dificuldades, o índice alcançado de execução da ETI 4 não deixa de ser altamente motivador. Adicione-se a esse fato a constatação do interesse cada vez maior no uso do geoprocessamento na Agência, ao longo do tempo, principalmente pelas aplicações em uso nas Superintendências SRD, SFE, SMA, SRE, SCG, SCT e SGH. Atualmente, os projetos prioritários da área são: Georreferenciamento da Ouvidoria (ETI ), evolução e ampliação do uso do SIG-R/ Prodist (evolução adicional da ETI 4.4) e a operacionalização das bases de dados do mapeamento de concessões (ETI 4.3.8). (*) Observação: na composição do índice total da ETI 4, adotou-se peso 1 para as ETI 4.1, 4.2 e 4.4 e peso 9 para a ETI 4.3, para refletir plena fidelidade e coerência ao compromisso firmado no PDTI original. 149

162 Detalhamento das Estratégias de TI Anexo 1 ETI 5 Modernização da Gestão da Documentação implantada fls 16 / Nível de Execução: 50,0% Repositório único e novos procedimentos implantados 14,4% Certificação Digital implantada 52,4% Novos instrumentos para gestão de documentos implantados 82,7% Outras Melhorias e refinamento de processos implantados 55,2% Total da Execução 50,0% 2. Cronograma de execução: Descrição da Ação Nº % Responsável ETI Exec 0% 20% 40% 60% 80% 100% Legenda: Po=Previsão Original (nº meses) / Mp=Prazo mais provável de implantação I II III IV I II III IV I II III IV I II III IV Repositório único e novos procedimentos implantados * 1. Preparação da Infraestrutura de Armazenamento Mp=4 Resp: Gerente EGP ,3% 2. Instalação e testes em Sharepoint Mp=4 Resp: Gerente EGP % 3. Organização e migração do conteúdo ao novo ambiente Mp=7 Resp: Equipe de Sustentação ,0% * ETI ajustada às condições de 2012 Obs: condições de 2010 (Po=8) Mp=12 Posição consolidada ETI ,4% Certificação Digital implantada 1. Elaboração de projeto para implantação da Certificação Digital Po=6 Resp: Gerente EGP % OK 2. Implantação e Entrada em Operação Po=6 Mp=18 Resp: Gerente EGP ,5% 3. Inclusão de certificação digital para o DUTONET; Po=6 / Efet=5 Resp: Equipe de Sustentação % OK 4. Geração dos Termos de instrução processual por formulários eletrônicos integrados à Assinatura Eletrônica Po=3 Mp=9 Resp: Equipe Gestão de Documentos / Fábr Softw ,0% 5. Implem.controle de minutas para todas as espécies de documentos gerados aplicando a Assinatura Eletrônica Po=1 Mp=15 Resp: Equipe Gestão de Documentos / Fábr Softw ,0% 6. Implantação de Protocolização Digital para Recebimento de documentos eletrônicos Po=8 Mp=21 Resp: Equipe Gestão de Documentos / Fábr Softw ,3% 7. Aprovação da Norma de uso da Assinatura Eletrônica na ANEEL; Po=16 Mp=24 Resp: Equipe Gestão de Documentos ,6% Po=16 Mp=25 Posição consolidada ETI ,4% Novos instrumentos para gestão de documentos implantados 1. Implantar nova Solução Corporativa de Gestão de Documentos e Fluxo de Trabalho (SICNet 2) Po=15 Mp=29 Resp: Superintendente SGI / Gerente EGP ,7% 2. Implantação de sistema de localização de protocolos por rádio frequência Po=9 Resp: Equipe Gestão de Documentos / Fábr Softw (item cancelado) Po=15 Mp=29 Posição consolidada ETI ,7% 150

163 Detalhamento das Estratégias de TI Anexo 1 ETI 5 Modernização da Gestão da Documentação implantada fls 17 / 23 Comentários ETI 5: A ETI 5 reúne uma série de ações para fortalecimento da Gestão de Documentação da ANEEL. O índice de evolução alcançado é de 50,0%. Como se observará a seguir, a maioria dos projetos mantém alta dependência da finalização da implantação e customização do novo sistema de gestão eletrônica de documentos SicNet 2 em implantação na Agência. No decorrer da execução, alguns itens tiveram que passar por revisões, em razão de atualizações e ajustes posteriores à elaboração dos projetos originalmente elaborados, sem prejuízo, no entanto, para a estrutura e concepção original da ETI 5. Assim, na ETI 5.1 Repositório único e novos procedimentos implantados para substituição do repositório zinco, definiu-se inicialmente as fases de planejamento e levantamento dos tipos de documentos necessários, o estabelecimento de classificação e critérios de segurança entre outros requisitos e em seguida a aquisição de um software de repositório único (ECM) para a devida operacionalização. Na condição atual, o projeto continua similar, com a alteração, no entanto, de utilização do Sharepoint, ferramenta que, em razão da simplicidade e baixo custo, tornou-se referência de mercado para ECM nos últimos anos, e que mantem operabilidade com a plataforma do SicNet 2. Os esforços da ETI 5.1 irão convergir, portanto, para essa nova configuração, que contempla a criação de um ambiente de colaboração para apoio e formação do repositório de minutas e documentos da Agência. A ETI 5.2 Certificação Digital implantada - passou por recalendarizações, em razão dos atrasos observados na customização e entrada em operação do SIcNet 2, devendo ser finalizada em meados de A ETI 5.3 corresponde ao desenvolvimento e implantação do SicNet 2 propriamente dito. O processo de desenvolvimento e adaptação às condições da ANEEL passou por vários atrasos e problemas de qualidade, levando à aplicação de advertências e iminência de ruptura contratual com o fornecedor. Após vários entendimentos, foram efetuados dois termos aditivos, chegando-se a um cenário de maior expectativa de implantação do novo programa até o prazo contratual de 22/02/2013. Numa próxima etapa, mais provável para julho de 2013, prevê-se a disponibilização do acesso ao protocolo eletrônico pelo público externo, via web, o que facilitará o acesso às informações e processos da Agência, em benefício da sociedade. (continua) 151

164 Detalhamento das Estratégias de TI Anexo 1 ETI 5 Modernização da Gestão da Documentação implantada fls 18 / 23 Descrição da Ação Nº % Responsável ETI Exec Legenda: Po=Previsão Original (nº meses) / Mp=Prazo mais provável de implantação I II III IV I II III IV I II III IV I II III IV Outras Melhorias e Refinamento dos processos de documentação implantados a) Ações relativas à Gestão de Documentos de Arquivo 1. Tratamento do passivo de documentos históricos com vistas à preservação Po=11 Resp: Equipe de Gestão Documentos de Arquivo ,0% 2. Revisão dos Instrumentos de Gestão (Tab.Temporalidade e Código de Classif.Documental - atividade-fim) Resp: Equipe de Gestão Documentos de Arquivo ,0% Po=9 3. Revisão da Norma Organizacional nº 11 (ref. Instrução processual após implantação do novo SICNet) Resp: Equipe de Gestão Documentos de Arquivo ,5% Po=4 4. Elaboração do Manual de Cadastramento de Documentos Po=5 Resp: Equipe de Gestão Documentos de Arquivo % b) Ações relativas à área de Acervo Técnico Informacional 5. Projeto REDINEE implantado Po=26 longo prazo -> Resp: Equipe Cedoc ,8% 6. Padronização da forma de apresentação e de recuperação da Legislação Completa na Biblioteca Virtual implantada, conforme o modelo utilizado na Legislação Básica do Setor Elétrico Resp: Equipe CEDOC / Superintendente SGI ,0% 7. Base de dados/mecanismos de busca criados para os atos administrativos da Agência na Biblioteca Virtual. Po=17 Resp: Equipe CEDOC ,6% 8. Software de automação e de gerenciamento de acervos substituído Po=6 Mp=18 Resp: Equipe CEDOC ,5% 9. Projeto de Preservação da Memória da ANEEL implantado Po=15 Mp=27 Resp: Equipe CEDOC ,2% 10 Página de Intranet do CEDOC revisada Po=3 Resp: Equipe CEDOC / ACI % OK 11 Acesso para download na página do CEDOC disponibilizado Po=3 Efet=16 Resp: Equipe CEDOC / Serviços - SGI % OK 12. Base de Dados para estudos acadêmicos implantada Po=3 Mp=25 Resp: Planejamento / Finanças ,0% c) Outras ações 13. Processos de Trabalho da SGI revisados Po=9 Mp=25 Resp: Planejamento / Finanças ,0% Cronograma consolidado ETI ,2% Total da Execução - ETI 5: 50,0% Po=21 Po=26 Mp=32 152

165 Detalhamento das Estratégias de TI Anexo 1 ETI 5 Modernização da Gestão da Documentação implantada fls 19 / 23 Comentários ETI 5 (continuação): A ETI 5.4 inclui uma série de projetos associados à modernização da Gestão de Documentos e processos de trabalho não inseridos nas demais ETI do grupo 5 anteriores, e também os projetos do Acervo Técnico, mantido pelo Centro de Documentação CEDOC. Os projetos da área do CEDOC sofreram atrasos em razão da dependência de decisão sobre a aquisição de novo software mais adequado para a área, em substituição ao Thesaurus (ETI 5.4.7). Nesse contexto, pesaram vários fatores, para alcance da melhor relação de custo/benefício e oportunidade, observando-se não apenas a Agência mas também os agentes envolvidos, em razão da conveniência de interação de processos e de diversos sistemas, o que é essencial para ETI estruturantes, como o Projeto da Rede de Informações do Setor Elétrico Redinee. A posição consolidada de execução da ETI 5 é de 50,0%, tendo-se uma expectativa favorável de evolução mais significativa para 2013, após a entrada em produção dos novos softwares de Gestão de Documentos e do Acervo Técnico. 153

166 Detalhamento das Estratégias de TI Anexo 1 ETI 6 Nível de Maturidade de Gestão de TI aprimorado fls 20 / Nível de Execução: 65,6% Nível elevado de conformidade alcançado perante as melhores práticas de TI 58,3% Melhoria do processo de contratações implantada 84,6% Gestão do Conhecimento Aprimorada Nível de Segurança da Informação aprimorado Total da Execução 2. Cronograma de execução: 75,0% 44,3% 65,6% 0% 20% 40% 60% 80% 100% Descrição da Ação Nº % Legenda: Po=Previsão Original (nº meses) / Mp=Prazo mais provável de implantação Responsável ETI Exec I II III IV I II III IV I II III IV I II III IV Nível elevado de conformidade alcançado perante as melhores práticas de TI 1. Catálogo de serviços aprimorado Po=6 Mp=39 Resp: Adm. Service Desk % 2. TCO (Total Cost of Ownership) implantado Po=3 Resp: Planejamento % a definir 3. Aquisição de ferramental de monitoramento em tempo real da rede lógica Po=6 Resp: Gerente Adm. Rede (item já contemplado na ETI 2.1.2) 4. Definir a forma de relacionamento entre os subprocessos (3º nível) Po=5 Resp: Adm. Service Desk % (OK) 5. Avaliar com os subprocessos quais serviços poderão ser repassados ao Service Desk Resp: Adm. Service Desk % (OK) 6. Melhorar administração do inventário de ativos tecnológicos Po=2 Mp=28 Resp: Adm. Service Desk % 7. Aprimorar processo de Gerenciamento de Projetos (PO 10 - Cobit / PMBoK) Po=6 Resp: EGP % 8. Avaliar a maturidade da Gestão de Projetos Po=2 Resp: EGP % OK 9. Implantar e mapear processo de aquisições e contratações de TI em conformidade com a IN 04/2010 Po=5 Resp: Administração de TI (item reclassificado como ETI 6.2) 10. Implantar o Comitê de Gestão de Incidentes Po=Efet=4 Resp: Segurança da Informação % OK Posição consolidada ETI ,3% Po= Mp= Melhoria do processo de contratações implantada 1. Mapeamentos e ajustes às condições da IN 04/2010 SLTI-MPOG Po=5 Mp=17 Resp: Apoio Administrativo - SGI ,6% Gestão do Conhecimento Aprimorada 1. Implantar Plano de Capacitação e Treinamento específico para a área de TI da ANEEL Po=12 Resp: Planejamento SGI / SRH % OK 2. Rever política de treinamento de usuários nos sistemas e aplicativos disponibilizados (de uso comum) Po=12 Mp=21 Resp: Planejamento SGI / SRH % Posição consolidada ETI ,0% Po=12 Mp=21 154

167 Detalhamento das Estratégias de TI Anexo 1 ETI 6 Nível de Maturidade de Gestão de TI aprimorado fls 21 / 23 Comentários ETI 6: A ETI 6 compõe-se de vários projetos que refletem o grau de maturidade alcançado na gestão de TI conduzida pela Agência. As ETI 6.1 a 6.3 abrangem aspectos normativos, de capacitação e de aderência às boas práticas de gestão de projetos e de tecnologia da informação. As ETI do grupo 6.4 focam exclusivamente a Segurança da Informação (página seguinte). As ETI 6.1.1, -3, -4, 5 e 6 encerram um grupo de aderência das funções de Serviços ao ITIL, com avanços significativos na execução e que repercutem na qualidade dos serviços prestados pelo Service Desk. Na ETI 6.1.8, tem-se a avaliação efetuada no tocante à maturidade de projetos de TI segundo o COBIT, que recebeu a nota 2, dentro de uma escala de 0 a 5, qualificação ligeiramente inferior à média 2,3 apurada pela média das empresas de mercado. Nesta avaliação, destaca-se como ponto forte o fato de a Agência possuir processos documentados para as atividades-chave, fazendo uso das boas práticas comumente utilizadas e como ponto fraco, a ausência de objetivos claros, métricas de avaliação e formalização das atribuições do processo. Nos demais quesitos - ferramentas e automação, habilidades/especialização e responsabilidades apurou-se um nível de enfoque comum no uso de ferramentas (ocasionalmente sub-utilizados), a existência de habilidades mínimas para áreas críticas, com treinamento em resposta às necessidades e ausência de formalização de atribuições de responsabilidades. A ETI 6.2 engloba um conjunto de ações voltadas ao fortalecimento da aderência dos processos de contratação de bens e serviços de TI às determinações da IN-04/SLTI-MPOG, cobrindo o mapeamento dos processos, mecanismos de controle e manuais internos de orientação aos servidores. Nesse escopo, foram revistos e incorporados todos os requisitos normativos nas atividades da SGI/ANEEL e definidos os diferentes papéis e responsabilidades pelas equipes no processo de planejamento integrantes requisitante, técnico e administrativo e no processo de gerenciamento dos contratos gestor do contrato e fiscais requisitante, técnico e administrativo. A ETI encontra-se totalmente concluída, restando apenas a devida formalização interna. Na ETI 6.3, o percentual de execução reflete os avanços no processo de gestão do conhecimento, atualmente compartilhado com a Superintendência de Recursos Humanos SRH, por meio do mapeamento de competências conduzido por esta. Com base nos diagnósticos anuais, busca-se identificar conteúdos que precisam ser desenvolvidos para aquisição ou manutenção da competência mapeada, e que resultam no Plano Anual de Capacitação. Na posição de 2012, para cada servidor efetivo da SGI foi identificado entre 9 a 13 conteúdos a serem desenvolvidos individualmente, os quais vêm sendo atendidos ao longo dos meses, dentro das condições negociadas com a SRH e os fornecedores. Até 30/11/2012, foi registrado um total de horas / aula para os servidores da SGI, entre cursos e treinamentos. 155

168 (continua) Detalhamento das Estratégias de TI Anexo 1 ETI 6 Nível de Maturidade de Gestão de TI aprimorado fls 22 / 23 Descrição da Ação Nº % Legenda: Po=Previsão Original (nº meses) / Mp=Prazo mais provável de implantação Responsável ETI Exec I II III IV I II III IV I II III IV I II III IV Nível de Segurança da Informação aprimorado 1. Criação do Grupo de Segurança e Resposta a Incidentes em Redes Computacionais Po=2 Mp=23 Resp: Superintendente SGI ,3% 2. Inclusão de tópico de diretrizes de segurança para discussões na agenda da CGI Po=2 Mp=22 Resp: Equipe de Segurança / SRH % 3. Alinhar ações às diretrizes da APF e demais decretos complementares com ref ao e-gov Po=3 Mp=23 Resp: Equipe de Segurança ,0% 4. Revisão das Normas Organizacionais ref Política de Segurança da Informação da ANEEL Po=3 Mp=10 Resp: Equipe de Segurança % OK 5. Estabelecer políticas de acesso às informações para garantir interoperabilidade e disponib dados à sociedade Po=7 Mp=20 Resp: Equipe de Segurança ,0% 6. Substituir termo de responsabilidade por termo de confidencialidade, respeitando diferentes situações Resp: Equipe de Segurança % OK 7. Disponibilizar proteção de confiabilidade, autenticidade e integridade por meios criptografados Po=5 Efet=13 Resp: Equipe de Segurança % OK 8. Elaborar norma para Gestão de Risco em acordo com a IN 01/GSIPR Po=4 Mp=16 Resp: Equipe de Segurança % 9. Elaborar norma para Gestão da continuidade do negócio, de acordo com a IN 01/GSIPR Po=4 Mp=16 Resp: Equipe de Segurança / Rede / Banco de Dados % 10. Identificar e Mapear infraestrutura críticas da informação e interdependências Po=3 Mp=14 Resp: Rede / Banco de Dados / Segurança da Informação % Po=23 Mp=34 Posição consolidada ETI ,3% Total da Execução - ETI 6: 65,6%

169 Detalhamento das Estratégias de TI Anexo 1 ETI 6 Nível de Maturidade de Gestão de TI aprimorado fls 23 / 23 Comentários ETI 6: (conclusão) As ETI do Grupo 6.4 englobam a melhoria das condições relativas à Segurança da Informação da Agência. O índice de execução de 44,3% não deve ser interpretado como um medidor das condições de segurança de nível inferior a um padrão mediano, mas sim como uma indicação da necessidade de complementação de várias ações que ainda não foram concluídas, dentro da prioridade estabelecida pela SGI. No total, o nível de 65,6% de execução da ETI 6 reflete uma posição ainda intermediária, em face da necessidade de tempo requerida para a devida constatação da maturação e mudança cultural decorrente das mudanças implantadas. 157

170 158

171 ANEXO 2 INVENTÁRIO DE ATIVOS INFRAESTRUTURA Equipamentos e estrutura básica 1. Infraestrutura de Rede posição de 30/11/2012 EQUIPAMENTO MARCA MODELO QTD Servidor Físico HP BL460C G6 48 Dell Power Edge R Servidor Virtual 96 Dispositivos de Armazenamento (Storage) EVA 8400 (SAN) 1 Clarion CX4-120 (SAN) 2 Netapp SAN e NAS 2 C3G Enterasys N3 2 N7 1 Switch Ethernet E7 1 Cisco WS-CBS3120G-S 8 WS-CBS3120X-S 8 Foundry FastIron Edge X424 1 Switch Fibra Ótica Brocade Silkworm Silkworm HP2 8 CSH Switch Ethernet de Borda Enterasys CSH124-48P 4 BSH Protocolador Digital Dell Power Edge R200 2 Unidade Robotizada de Backup Dell Power Vault ML Fortigate 620B 4 Fortinet Ativos de Segurança FortiAnalyzer 1000B 1 Proof Point Anti-Spam 1 Ativos de Segurança SCM Dell Power Edge Climatizador de Precisão Diamont Veja 2 Liebert Challenger Windows 2003/2008 Microsoft Sistema Operacional (licenças) R2 Server 90 Red Hat Linux 3 159

172 2. Infraestrutura de Banco de Dados: Ambiente de Produção: Sistema SQL Server 2008 R2 em um cluster com quatro máquinas para os bancos de produção; 3. Infraestrutura de Service Desk: Central de atendimento que opera externamente em single-point, com sistema de gerenciamento próprio; 4. Infraestrutura de Segurança: Ferramentas de Segurança: Risk Manager; Gerenciador do tokens; Antivírus; Antispyware; Antispam; Antimalware; Classificação e Bloqueio de Páginas Web; Firewall e VPN; Sistema de Detecção de Intrusão; Sistema de Prevenção de Intrusão; Analisador de Vulnerabilidades; Rotinas de Back-up; Inventário de Software e Dispositivos de Segurança: Firewall - Fortinet Antispam - Fortimail Análise de Vulnerabilidades Fortinet VTM Antivírus MCafee, que inclui DLP, HIPS, NAC Análise e Classificação das mensagens recebidas na Caixa "seginfo@aneel.gov.br": para reportar as mensagens recebidas que apresentam suspeitas de infecções por vírus, spams, além de sites e s bloqueados, com a indicação dos tipos de mensagens; Análise do Software de Gerenciamento de Antivírus da ANEEL: que reporta o total de tentativas de contaminação do ambiente corporativo da ANEEL (vide Figura 1). 160

173 Fig. 1. Relatório do Software de Gerenciamento na posição de 31/05/2011. Estatísticas de s analisados pela Ferramenta Antispam: indicam a quantidade e o percentual de mensagens eletrônicas recebidas e enviadas pela solução de antispam, com a descrição de cada mecanismo de defesa adotado, para o controle de malwares no fluxo de entrada e saída. Na Figura 2, tem-se a estatística referente ao primeiro trimestre de Fig. 2. Estatísticas de s analisados pela Ferramenta Antispam 161

174 Estatísticas de tentativas de ataques aos Sítios: indicam a quantidade de ataques, malsucedidos ou bem-sucedidos, com diversos níveis de criticidade, direcionados aos sites, sistemas e aplicações utilizadas pela ANEEL e disponibilizados através da internet e internamente (Fig. 3) Fig. 3. Relatório de ataques aos sistemas e aplicações da ANEEL posição de maio de 2011 Relatórios estatísticos sobre a utilização da internet com o objetivo de se fornecer à ANEEL a habilidade de se monitorar e controlar o seu uso (vide Figura 4). 162

175 Fig. 4. Relatório de risco corporativo sobre a utilização da internet baseado em métricas do fabricante (filtragem de conteúdo, Websense etc). Estatística sobre a utilização da internet com o objetivo de se fornecer à ANEEL a habilidade de se monitorar e controlar o seu uso. Fig. 5. Relatório de acesso à internet categorizado. Ref: maio de

176 5. Infraestrutura Web: Software SOFTWARE FABRICANTE DESCRIÇÃO VERSÃO Cold Fusion Adobe Servidor de aplicações web 9 Windows Server Microsoft Sistema Operacional 2008 IIS Microsoft Gerenciador de serviços de informações de internet Infraestrutura para Geoprocessamento: Hardware existente: Microcomputadores 12 micros da marca HP i7 com 4 GB de memória RAM cada um Servidores à disposição da unidade de Geoprocessamento: Servidor HAP100: Servidor de homologação que concentra as funções de servidor de serviços, utilizado para a publicação e teste do SIGEL e demais SIGs, além de repositório das bases de dados utilizadas pela equipe de geoprocessamento. Servidor SAP103: Servidor de produção que é a máquina principal para funcionamento do SIGEL por ser o servidor de serviços (ArcGis Server). Servidor SAP104: Servidor de produção que atua como servidor de dados e provê a maior parte das informações utilizadas pelos SIGs e 100% das informações do SIGEL. Servidor NOBELIO: Servidor virtual, de produção Web, que capta os acessos externos ao SIGEL e hospeda o site em Flex. Também atua como fronteira para o servidor de serviços de forma modular e que garante maior segurança do ambiente de rede da ANEEL. Servidor LUTECIO: Servidor virtual, de homologação, que armazena espelho do banco de dados de produção (SAP104), utilizado para a validação e processamento dos dados em nível de desenvolvimento e homologação. Todos os Servidores se encontram fisicamente na sala-cofre sob administração da equipe de rede da ANEEL. Softwares de geoprocessamento, existentes: Pacote ArcGIS versão 10.0, que contém: 10 Licenças flutuantes do ArcGIS no modo ArcVIEW; 05 licença flutuante do ArcGIS no modo ArcEditor; 04 licenças flutuantes do ArcGIS no modo ArcInfo; 02 licença flutuante da extensão 3D Analyst; 02 licença flutuante da extensão Spatial Analyst; 01 licença de produção do ArcGIS Server Enterprise; 01 licença de desenvolvimento do ArcGIS Server Enterprise; ENVI IDL 4.8 (Software para processamento de imagens) 02 licenças flutuantes. 164

177 Todos os servidores ESRI possuem, além da licença de instalação no servidor, duas licenças para desenvolvimento Software Básico: SQL Server 02 (duas) licenças distribuídas entre os servidores de Homologação e Produção. MS Windows Server bits e MS Windows 7 64 bits. Visual Studio (duas) licenças, Adobe Flash Builder 01 (uma) licença, versão Flex. 7. Equipamentos de Uso Comum UO Impressora Notebook Micro Computador Scanner ACI AIN ASS CGA DIR Service Desk PF SAF SCG SCT SEM SFE SFF SFG SGE SGH SGI SLC SMA SPE SPG SRC SRD SRE SRG SRH SRI SRT Total

178 166

179 ANEXO 3 SUPERINTENDÊNCIA DE GESTÃO TÉCNICA DA INFORMAÇÃO FINANÇAS EFETIVO E PREVISÃO I Gastos da ANEEL alocados na SGI II Detalhamento dos Gastos da SGI III Previsão IV Detalhamento do Orçamento 2013 V Pesquisa Comparativa 167

180 168

181 I - Gastos da ANEEL alocados na SGI 200,0 Total ANEEL 150,0 Custeio e Investimentos R$ Milhões 143,4 162,5 167,3 189,4 166,8 100,0 121,0 143,2 149,7 50,0 SGI 0,0 Fonte: SPG / SAF 15,6% 11,9% 10,8% 11,9% 22,4 19,3 17,6 22, Parcela SGI Total 15,6 > 11,9% do total Valores Efetivos Custo atual menor / (maior) que anterior x x 2010 absol. Pct absol. Pct [1] [2] [3] [4] [3] - [2] [4] - [3] Despesas Correntes e Investim. ANEEL (R$ 000) ,8% ,2% disto: Gastos classificados na SGI - Total (R$ 000) ,1% ,8% - percentual em relação ao total 15,6% 11,9% 10,5% 11,9% 3.7 pts 1.1 pt Composição dos Gastos da SGI Gastos de TI ,5% ,4% disto: Infraestrutura ,6% ,1% Equpamentos e Licenças de uso geral ,8% 20 2,9% Desenvolvimento ,3% 100 2,5% Administração de TI ,3% ,5% Gastos do CEDOC / Gestão de Documentos / Outros ,4% ,8% Mão de Obra alocada em outras Superintendências - SAF, SCT, SCG, SRD, SGE, SFF, SRH, SGH e ACI ,9% -90-4,1% 169

182 II Detalhamento dos Gastos de TI Valores Efetivos Custo atual menor / (-)maior que anterior x x 2010 absol. Pct absol. Pct [1] [2] [3] [4] [3] - [2] [4] - [3] Gastos classificados na SGI - Total (R$ 000) ,1% ,8% disto: Gastos de TI - Total (R$ 000) ,5% ,4% disto: Infraestrutura ,6% ,1% disto: Software / Licenças associadas a Infraestrutura ,9% ,2% Equipamentos de Rede ,2% ,9% Manutenção de Rede / Servidores ,5% ,6% Cabeamento Estruturado Infovia / Serpro ,7% -23-8,2% Contratação de Serviços Especializados - Infraestrutura de Rede ,0% ,4% - Administração de Bancos de Dados ,1% ,6% - Segurança da Informação ,8% ,4% - Adm. Portal / Internet-Intranet / Serviços ,4% -8-4,6% - Help Desk / Service Desk / Adm Ativos ,0% ,3% Equipamentos / Licenças de uso geral ,8% 20 2,9% disto: Microcomputadores e Notebooks ,7% 73 10,7% Impressoras e Scanners Software e Licenças ,4% ,9% Desenvolvimento ,3% 100 2,5% disto: Sustentação de Sistemas ,9% ,3% Fábrica de Software Geoprocessamento ,2% ,0% Licenças de Software de Geoprocessamento ,0% Administr.de TI: remuneração de servidores efetivos ,3% ,5% Gastos ref ao CEDOC e Gestão de Documentos ,4% ,8% disto: - Serviços Contratados - Mão de Obra especializada ,9% ,7% - Remuneração de servidores efetivos ,3% ,5% - Aquisição novo sist. Gestão de Docum (SICNet 2) Keyfile/Keyflow/LightBase/Goldendoc/Thesaurus ,1% ,1% - Publicações e Periódicos ,2% 45 38,3% - Arquivos Deslizantes ,9% - Outros, incl. reprografia e impressão ,1% -1-0,3% Serviços realizados em outras Superintendências (SAF, SCT, SCG, SRD, SGE, SFF, SRH, SGH e ACI) ,1% ,6% 170

183 II Detalhamento dos Gastos de TI Composição Percentual por Biênio 12,6% ,3% Infraestrutura e Sustentação de Serviços Equipamentos / Licenças de Uso Geral 20,1% 40,3% 14,8% 40,5% Desenvolvimento / Sustentação de Sistemas Administração de TI (Servidores efetivos) 4,4% 20,7% 1,9% 9,7% 20,2% 3,5% CEDOC / Gestão de Documentos M.Obra em outras Superintendências Composição da Infraestrutura (R$ 000) (43,1%) 171

184 III Previsão de Gastos de TI Valores Efetivos P R E V I S Ã O absol. %(Acrésc)/ absol. %(Acrésc)/ [1] [2] [3] [4] [5] Decrésc [6] Decrésc Gastos alocados na SGI - Total (R$ 000) ,3% ,3% disto: Gastos de TI - Total (R$ 000) ,9% ,1% disto: Infraestrutura ,0% ,3% disto: Software / Licenças associadas a Infraestrutura ,6% ,6% Equipamentos de Rede ,6% ,1% Manutenção de Rede / Servidores ,4% 760-0,3% Cabeamento Estruturado Infovia / Serpro ,9% 314 5,0% Contratação de Serviços Especializados ,2% ,2% disto: - Infraestrutura de Rede ,1% ,9% - Administração de Bancos de Dados ,1% 870 2,2% - Segurança da Informação ,1% ,2% - Adm. Portal / Internet-Intranet / Serviços ,1% 200 8,6% - Help Desk / Service Desk / Adm Ativos ,9% ,7% Equipamentos / Licenças de uso geral ,8% ,3% disto: Microcomputadores e Notebooks ,2% ,3% Impressoras e Scanners Software e Licenças ,6% Desenvolvimento ,9% ,9% disto: Sustentação de Sistemas ,1% ,1% Fábrica de Software ,2% ,6% Geoprocessamento ,3% ,4% Licenças de Software de Geoprocessamento Administr.de TI: remuneração de servidores efetivos ,9% ,8% Gastos ref ao CEDOC e Gestão de Documentos ,4% ,2% disto: - Serviços Contratados - Mão de Obra especializada ,3% ,1% - Remuneração de servidores efetivos ,9% 128 0,8% - Aquisição novo sist. Gestão de Docum (SICNet 2) Keyfile/Keyflow/LightBase/Goldendoc/Thesaurus ,4% 50-60,9% - Publicações e Periódicos ,7% ,0% - Arquivos Deslizantes Outros, incl. reprografia e impressão ,1% ,5% Serviços realizados em outras Superintendências (SAF, SCT, SCG, SRD, SGE, SFF, SRH, SGH e ACI) ,3% ,7% 172

185 III Previsão de Gastos de TI Infraestrutura Desenvolvimento CEDOC / Gestão de Documentos Equpamentos e Licenças de uso geral Administração de TI Serviços em outras Superintendências 173

186 174

187 IV Detalhamento do Orçamento 2013 Plano Gerencial 2013 * / Item Descrição Orçamento 2013 Classif. SIAFI Infraestrutura 15.2 Contratar Suporte Coldfusion , Prover Suporte Técnico especializado para produtos Microsoft , Atualizar Produtos da Microsoft , Adquirir Componentes diversos de Informática Adquirir Componentes diversos de Informática , Manter switches da rede lógica , Manter climatizadores Manter climatizadores , Manter a Sala Cofre , Manter a Sala Cofre , Substituir cabeamento estruturado de rede lógica e telefônica , Acessar redes externas de computadores , Adquirir Certificado Digital , Adquirir solução Antivírus/Antispam , Adquirir solução Antivírus/Antispam , Adquirir solução de firewall Adquirir solução de firewall Adquirir/ Atualizar/ Manter ferramenta de backup , Adquirir/ Atualizar/ Manter ferramenta de backup , Prestar Serviços de apoio técnico e infraestrutura de TI , Realizar Serviços - Central de Atendimento , Equipamentos / Licenças de uso geral Adquirir notebooks , Adquirir microcomputadores , Adquirir scanners / outros equipamentos , Desenvolvimento 14.2 Realizar Serviços - Fábrica de Software , Prestar serviços de sustentação de sistemas , Prestar serviços técnicos de Geoprocessamento , Atualizar aplicativos de Geoprocessamento , Atualizar aplicativos de Geoprocessamento , Gastos ref. ao Cedoc e Gestão de Documentos 24.1 Realizar Serviços Especializados de Biblioteconomia , Realizar Serviços de Gestão de documentos , Prover serviços de consultoria, desenv. e suporte aos softwares keyfile/keyflow , Adquirir publicações nacionais e estrangeiras , Adquirir Periódicos - Jornais e Revistas , Assinar o Diário Oficial da União 3.000, Adquirir normas técnicas digitais Duplicar CDs e DVDs 6.750, Adquirir Software de Bibliotecas Atualizar/Manter o aplicativo Thesaurus , Atualizar/manter o aplicativo LightBase/Goldendoc , Manter Arquivos Deslizantes , Manter Arquivos Deslizantes , Manter Acervo em Brasília , Prover serviço de suporte técnico especializado Próton , Atualizar software PDDE , Atualizar software PDDE , Prover aplicativo Gestão de Documentos - Próton , Realizar Convênio com Fundação de Apoio ao Desenvolvim.Computação Científica 6.000, Manter serviço de reprografia e impressão , Total do Orçamento ,00 */ Posição do Sistema SIGANEEL em 06/11/2012, com adaptações. Adicionais não considerados acima: Remuneração dos Servidores Efetivos - SGI ,00 Mão de Obra alocada em Outras Superintendências ,00 Posição de Gastos de TI ,00 175

188 V Pesquisa Comparativa a) Percentual de Gastos e Investimentos de TI sobre a Receita Líquida 8,0 7,0 7,0% Empresas do Setor Privado 1/ 6,0 5,0 4,0 ANEEL 4,1% 3, Tendência Gastos de TI em relação às Receitas - ANEEL Taxa de Fiscalização - R$ Milhões 271,3 310,6 331,3 382,4 377,1 389,0 468,3 2. Gastos de TI 2/ - R$ Milhões 12,9 16,2 17,0 19,3 16,7 15,2 19,4 Relação 2./. 1 4,7% 5,2% 5,1% 5,0% 4,4% 3,9% 4,1% 1/ Pesquisa anual efetuada pela Fundação Getúlio Vargas. A quantidade de empresas pesquisadas em 2012 foi de (validadas), sendo 66% entre as maiores do Brasil. 2/ Exclui despesas do Cedoc e Geoprocessamento, para plena equiparação com as empresas do setor privado. 176

189 V Pesquisa Comparativa b) Gastos por Usuário (US$) Empresas do Setor Privado ANEEL Gastos por usuário em US$ Empresas do Setor Privado 1/ ANEEL / Pesquisa anual efetuada pela Fundação Getúlio Vargas. A quantidade de empresas pesquisadas em 2012 foi de (validadas), sendo 66% entre as maiores do Brasil. 177